[发明专利]移动通信网络中基于移动性进行入侵异常检测的系统和方法

说明书

技术领域

本发明涉及移动通信网络安全领域，特别涉及移动通信网络异常检测技术领域，具体是指一种移动通信网络中基于移动性进行入侵异常检测的系统和方法。

背景技术

近些年来，随着社会信息化程度的不断提高，蜂窝移动网络的数据业务得到了快速发展，人们在日常生活中使用蜂窝电话来做越来越多重要和敏感的事务，如电子购物、电子银行等，这些急速发展的新业务带来巨大经济效益和社会效益的同时，也面临着日益严重的安全问题。网络安全的主要方面就是防止网络被攻击和对网络信息的入侵，尽管在蜂窝移动网络中使用了多种鉴权协议，但由于无线传输环境的开放性和移动设备物理缺陷，如何设计高度安全的蜂窝移动网络仍然是个巨大的挑战。

通常，保护一个系统存在两类方法：基于预防的方法和基于检测的方法。基于预防的技术，如鉴权和加密，通过对用户身份的鉴权识别和对信息的加密，阻止非法用户进入系统来有效的减少攻击，它们通常基于一些对称或非对称的机制来确保用户遵守预先确定的安全策略。然而，有线网络安全方面的经验显示，由于系统中一些缺陷很难预知，多层次、多级别的防护是非常必要的，移动网络更是如此，因为移动设备低的物理安全性，攻击者能利用各种技术来破解嵌入在移动设备中的用户信息。另外，当前防篡改的硬件和软件是非常昂贵的，在用户移动设备使用是不现实的。因此一旦移动设备被破解，设备上的所有秘密都会暴露给攻击者，使得所有基于预防的技术都将无效并给整个系统带来巨大的损害，为了解决这类问题，入侵检测系统(Intrusion Detection Systems，IDSs)作为保护系统的第二道防线能有效的帮助识别非法的活动。

目前入侵检测系统所采用的技术通常可分为特征检测与异常检测两种。特征检测(Signature-based detection)又称误用检测(Misuse detection)，包含基于规则(Rule-BasedIntrusion Detection)、基于模型(Model-Based Intrusion Detection)等建模方式，这一检测假设入侵者活动可以用一种模式来表示，对已知的攻击或入侵的方式和系统的缺陷形成签名，并存入数据库，系统的目标是检测当前的主体活动是否符合这些签名，当被审计的活动与已知的入侵事件签名相匹配时，即报警。它可以将已有的入侵方法检查出来，但由于缺乏相应的签名，对新的入侵方法无能为力。异常检测(Anomaly detection)包括基于统计(Statistic-BasedIntrusion Detection)、完整性分析等建模方式，根据系统状态或用户行为建立正常活动的“归档资料”，然后将当前主体的活动状况与“归档资料”相比较，当其违反其统计规律时，认为该活动可能是“入侵”行为，即报警。他可以将未知的入侵检测出来。

一个基本入侵检测系统需要解决两个方面的问题：一是如何充分并有效的提取活动行为的特征数据；二是如何高效并准确的识别入侵行为。然而，由于终端用户的移动性，蜂窝移动网络很难建立正常的“归档资料”，因此，如何建立移动用户正常的“归档资料”是蜂窝移动网络中设计入侵检测方案的关键。

在实际的生活工作中，用户的运动通常带有目的性并以最短的路径到目的地，这造成了绝大多数用户有自己的路径和习惯的运动方式，一般有一条或多条路径，如家→公司→家、家→学校→家。每个用户的移动模式(mobility pattern)是其运动路径的反应，尽管攻击者能破解移动设备的所有秘密，但他不能遵从真正用户的运动模式，也就是说，攻击者往往有不同的路径。通过建立能准确反映正常运动模式的用户归档资料和与当前运动模式的比较，就能有效的识别非法行为。

发明内容

本发明的目的是克服了上述现有技术中的缺点，提供一种能够准确灵敏检测异常入侵、显著提高移动通信网络的安全可靠性、确保移动通信服务质量、提高资源管理性能、工作性能稳定、适用范围较为广泛的移动通信网络中基于移动性进行入侵异常检测的系统和方法。

为了实现上述的目的，本发明的移动通信网络中基于移动性进行入侵异常检测的系统和方法如下：

该移动通信网络中基于移动性进行入侵异常检测的系统，包括归属位置寄存器，其主要特点是，所述的系统中还包括移动性数据库和入侵异常检测模块，所述的移动性数据库位于所述的归属位置寄存器中，所述的入侵异常检测模块与所述的归属位置寄存器相连接。

该使用上述的系统实现基于移动性进行入侵异常检测的方法，其主要特点是，所述的方法包括以下步骤：