基于低復(fù)雜度隨機分組檢測的LTE核心網(wǎng)入侵識別

劉雅麗,石瑞峰,任曉亮

(1.內(nèi)蒙古農(nóng)業(yè)大學(xué) 計算機與信息工程學(xué)院,呼和浩特 010018; 2.天津中醫(yī)藥大學(xué) 中藥學(xué)院,天津 301617)

0 概述

長期演進(Long Term Evolution,LTE)是近年來興起的一種多極蜂窩網(wǎng)絡(luò)技術(shù)。截至目前,大多數(shù)國家的運營商已經(jīng)開通了LTE(VLTE)業(yè)務(wù)的第四代4G語音業(yè)務(wù)[1-2]。然而,隨著4G可用性以及OTT(Over The Top)移動應(yīng)用的普及,移動數(shù)據(jù)報文數(shù)量正在呈指數(shù)級增長。全球通信量的日益增長不僅對現(xiàn)有的硬件和通信基礎(chǔ)設(shè)施帶來了巨大的挑戰(zhàn),也增大了網(wǎng)絡(luò)攻擊和惡意活動的風(fēng)險。

第三代合作伙伴計劃(3GPP)引入了新的網(wǎng)絡(luò)節(jié)點,稱為報文檢測功能(TDF),以識別通過分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW)的分組應(yīng)用類型。信息被傳遞到策略和計費控制(PCC)系統(tǒng)中的策略和計費執(zhí)行功能(PCEF),以針對相應(yīng)數(shù)據(jù)流執(zhí)行適當(dāng)?shù)膸挿峙浜陀嬞M規(guī)則[3-4]。然而,TDF節(jié)點在識別潛在的惡意包并將其提請網(wǎng)絡(luò)管理員注意方面也有可能充當(dāng)入侵檢測系統(tǒng)(IDS)。由于大量應(yīng)用采取了非標(biāo)準(zhǔn)端口,因此傳統(tǒng)的基于端口報文的分類方法在網(wǎng)絡(luò)入侵中的應(yīng)用較為有限。因此,對于執(zhí)行入侵檢測、病毒掃描和因特網(wǎng)內(nèi)容過濾,基于分組非IP報頭內(nèi)容的深度分組檢查(DPI)是更可靠的[6-7]。

文獻[8]提出DPI策略,為預(yù)防VoLTE網(wǎng)絡(luò)濫用提供了有效的途徑。盡管DPI提供了控制3GPP核心網(wǎng)絡(luò)中的業(yè)務(wù)和阻塞惡意分組的有用工具,可是TDF缺乏在突發(fā)業(yè)務(wù)下檢查所有監(jiān)控業(yè)務(wù)所需的資源,因此可能發(fā)生分組丟失。當(dāng)前,研究者提出各種解決方案來加速分組檢查過程。硬件解決方案包括FPGA[9]、網(wǎng)絡(luò)處理器[10]和多核處理器[11],它們提供并行性以增加吞吐量,但同時在購買專用硬件或多處理器機器時會帶來額外成本。諸如Snort[12]或BRO[13]之類的軟件解決方案使用模式匹配引擎來更有效地檢測入侵,但是隨著全球蜂窩數(shù)據(jù)報文的持續(xù)增長,仍然缺乏檢查所有分組的能力。在非常繁忙的報文負載下,IDS可能被迫丟棄數(shù)據(jù)包,以防止其成為系統(tǒng)中的瓶頸。為避免這個問題,需要減少檢查的數(shù)據(jù)包數(shù)量。文獻[14]研究表明,攻擊者可以精心設(shè)計能夠通過檢測的分組,使得潛在的惡意報文不被轉(zhuǎn)發(fā)到IDS。

在實踐中,LTE核心網(wǎng)絡(luò)中通過P-GW的報文流大部分來自聲譽良好的流媒體應(yīng)用程序或移動應(yīng)用程序。因此,盲目地檢查所有分組而不考慮會話的侵入時間段不僅耗時和昂貴,而且是不必要的。為此,本文采用隨機檢測的方法,提出一種在TDF中進行隨機分組檢測的方案,根據(jù)會話的感知入侵周期調(diào)整檢測率。同時,建立一個分析模型,從入侵檢測率角度來評估所提檢測方案的性能。

1 算法框架

3GPP版本規(guī)定了用于在核心網(wǎng)絡(luò)中實現(xiàn)動態(tài)網(wǎng)絡(luò)資源控制和計費管理的標(biāo)準(zhǔn)化的基于IP的PCC體系結(jié)構(gòu)[15-16]。通過定義適當(dāng)?shù)囊?guī)則,在服務(wù)會話中PCC系統(tǒng)允許或丟棄某些分組,以符合其特定服務(wù)要求的方式向數(shù)據(jù)流分配網(wǎng)絡(luò)資源并據(jù)此進行收費。PCC規(guī)則通常包括服務(wù)數(shù)據(jù)流模板、相關(guān)服務(wù)質(zhì)量(QoS)描述(即上行鏈路/下行鏈路業(yè)務(wù)的QoS類和最大并保證帶寬)以及計費信息(即測量方法和計費密鑰)。圖1給出3GPP演進分組核心的PCC系統(tǒng)基本架構(gòu)。

圖1 PCC系統(tǒng)3GPP演進基本體系結(jié)構(gòu)Fig.1 The basic architecture of PCC system in 3GPP evolution

圖1說明了3GPP演進包核心的PCC系統(tǒng)的基本結(jié)構(gòu)。系統(tǒng)的主要功能包含在一個稱為“策略和計費規(guī)則功能”(PCRF)的獨立網(wǎng)絡(luò)節(jié)點和一個稱為“策略和計費執(zhí)行功能”(PCEF)的邏輯節(jié)點中。PCRF生成用于控制數(shù)據(jù)流、管理QoS和應(yīng)用適當(dāng)充電規(guī)則的PCC規(guī)則。PCEF執(zhí)行這些規(guī)則,通常與P-GW搭配使用。訂閱者配置文件存儲庫(SPR)存儲相關(guān)訂閱者信息,例如訂閱的收費計劃、可用的服務(wù)、所需的QoS等。流量檢測功能(TDF)執(zhí)行應(yīng)用程序檢測、報告和服務(wù)數(shù)據(jù)流描述。TDF包含兩個與DPI相關(guān)的組件,即網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)和簽名庫。NIDS執(zhí)行基于負載的入侵檢測,以監(jiān)視和分析通過P-GW的數(shù)據(jù)流,而簽名庫存儲已知的惡意代碼和簽名。通過將NIDS的輸出與簽名庫的內(nèi)容相匹配,TDF使操作員能夠識別數(shù)據(jù)包的應(yīng)用程序類型,并根據(jù)需要執(zhí)行網(wǎng)絡(luò)控制(例如丟棄可疑數(shù)據(jù)包以阻止?jié)撛诘木W(wǎng)絡(luò)攻擊)。

2 隨機分組檢測方案

2.1 模型構(gòu)建

如圖2所示,用戶會話保持tm=τ4-τ0時間。用戶在LTE網(wǎng)絡(luò)中的停留時間是由隨機變量tl進行建模的。會話保持時間和LTE網(wǎng)絡(luò)駐留時間是兩個隨機變量,具有不同的分布。在圖2中,用戶在會話結(jié)束之前離開LTE網(wǎng)絡(luò),這可能發(fā)生在用戶實際切換到另一種無線接入技術(shù)(例如WiFi)或用戶移動到?jīng)]有LTE信號的地方(例如隧道中)時。在這兩種情況下,沒有數(shù)據(jù)包被路由到TDF節(jié)點,因此不進行檢查[17-18]。

圖2 在TDF中執(zhí)行入侵檢測的時序圖Fig.2 Sequence diagram of intrusion detection performed in TDF

當(dāng)用戶駐留在LTE網(wǎng)絡(luò)中時,TDF監(jiān)視的新會話的開始被建模為隨機觀察點。將rl表示為tl的剩余壽命;TDF監(jiān)視的用于通過分組檢查執(zhí)行入侵檢測的用戶會話時長是tx=min{tm,rl}。假設(shè)tx具有速率γ的指數(shù)分布,且具有密度函數(shù)形式:

fs(tx)=γe-γtx

(1)

(2)

圖3 OFF和ON周期的時序圖Fig.3 Sequence diagram of OFF and ON periods

2.2 檢測流程

2.1節(jié)所述模型適用于各種入侵檢測系統(tǒng),包括數(shù)據(jù)網(wǎng)絡(luò)或電信核心網(wǎng)絡(luò)。然而,由于電信核心網(wǎng)需要高QoS控制,因此有必要采用有效方式來對直接由PCEF處理的分組進行分類,且需要通過TDF進行進一步的檢查。常規(guī)規(guī)則集過濾器(例如防火墻)無法確定哪些數(shù)據(jù)包需要深入研究。而隨機檢測方案可以平衡執(zhí)行DPI的成本,防止惡意數(shù)據(jù)包。

在圖2中,假設(shè)用戶會話在τ0開始并終止于τ4。在所提出的方案中,TDF在間隔(τ0,τ4)上隨機執(zhí)行多個分組檢查。在新會話開始時,必須執(zhí)行分組檢查,因為攻擊向量(如果存在)通常包含在流的前幾千字節(jié)內(nèi)。然后,通過預(yù)先配置的檢測率λ和隨機數(shù)發(fā)生器來確定其他分組檢查的發(fā)生時間。假設(shè)前三個分組檢查分別發(fā)生在τ0、τ1和τ2。令τp,i=τi-τi-1,表示第i和(i-1)個分組檢查之間的時間間隔,即E[τp,i]=1/λ。顯然,應(yīng)該根據(jù)會話的感知入侵期來設(shè)置λ的值。在本文中,λ的值是由檢測率、檢測成本和檢測延遲作為檢測率的函數(shù)分析模型來確定的,具體模型將在2.3節(jié)中給出。圖4給出了所提隨機檢測方案的處理流程。

圖4 隨機分組檢測處理流程Fig.4 Processing flow of random packet detection

當(dāng)接收到屬于特定會話的數(shù)據(jù)包時,TDF首先檢查為會話配置的檢查字段的值。如果該字段被配置為“Inspection=Y”,則TDF執(zhí)行Set_Inspection過程來調(diào)度會話的下一次分組檢查。然后,TDF執(zhí)行DPI操作(步驟3),在該操作中,TDF掃描分組報頭,檢查應(yīng)用程序類型,并檢查有效負載是否存在惡意代碼。如果沒有檢測到簽名(步驟4),則將該分組傳遞到P-GW進行策略控制(步驟6)。否則,該分組被丟棄以防止網(wǎng)絡(luò)入侵,并且會話也被阻塞,即這個會話的檢查過程也終止(步驟5)。如果在步驟1中將檢查字段配置為“Inspection=N”,則TDF將數(shù)據(jù)包直接轉(zhuǎn)發(fā)到P-GW以執(zhí)行策略控制(步驟6)。

圖5顯示了圖4中步驟2觸發(fā)的Set_Inspection檢查過程的細節(jié)。TDF首先將檢查字段的值設(shè)置為“N”(即不需要檢查)。然后,它為下一個分組檢查生成所需的間隔τp,i(步驟2.2)。在此基礎(chǔ)上,TDF確定檢查時間(步驟2.3)并配置檢查定時器(步驟2.4)。當(dāng)定時器到期時,TDF將檢查字段的值設(shè)置為“Y”,在下次接收屬于會話的分組時觸發(fā)(參見圖4中的步驟1)。

圖5 Set_Inspection過程Fig.5 The Set_Inspection process

IDS研究人員一般使用假陽性率、假陰性率和檢測率3種度量來評估檢測性能。然而,本文提出的隨機檢測方案的目標(biāo)不是通過自身提高IDS的準(zhǔn)確性,而是假設(shè)在未確定的入侵開啟周期中生成的所有分組都是惡意分組并且攜帶與TDF使用的簽名庫相匹配的惡意代碼。換言之,本文研究的目的是讓操作者選擇檢測率的值,該值在給定的入侵期間實現(xiàn)檢測率、檢測成本和檢測延遲之間的平衡。

2.3 檢測率推導(dǎo)

本節(jié)推導(dǎo)條件概率Ps,假設(shè)該會話實際上包含惡意代碼,則該會話訪問入侵狀態(tài)“ON”。定義形式如下:

Ps=Pr[tp

(3)

如果會話從未訪問過“ON”狀態(tài),則Z=0,否則Z=1。首先,考慮用戶會話是否從狀態(tài)“1”或狀態(tài)“0”開始導(dǎo)出式(3)的分子。當(dāng)用戶會話開始于狀態(tài)1(即Pr[X(τ0)=1]=p的“ON”周期)時,TDF可以在0處執(zhí)行第1次分組檢查時檢測入侵。因此,Pr[tp

Pr[tp

Pr[tp

(4)

當(dāng)X(τ0)=1時,TDF檢測會話開始時的入侵。在這種情況下,tp=τp,0=0:

Pr[tp

(5)

綜合式(4)和式(5)可得:

Pr[tp

(6)

式(6)中的Pr[tp

(7)

令τr是從n1周期開始的時間段直到分組檢測發(fā)生。設(shè)τr具有密度函數(shù)gr(·)和分布函數(shù)Gr(·)。假定N(t)表示在長度t期間發(fā)生的分組檢查次數(shù)。根據(jù)記憶屬性可得:

Gr(t)=Pr[τr

(8)

(9)

對式(9)的推導(dǎo)可解釋為:將入侵周期稱為ON周期的后續(xù)周期。對于X(τ0)=0情形,用戶的會話以狀態(tài)OFF開始,入侵檢測僅發(fā)生在式(1)在前n1周期沒有會話終止時,或者會話發(fā)生在第np個分組檢查之后,在第n1個ON周期中。利用Pr[rx>tOFF]表示在關(guān)閉期間沒有會話終止,其中:

(10)

類似可得:

(11)

(12)

因此,在第j周期的ON周期中,τr

(13)

(14)

將式(10)～式(14)代入式(9)可得:

Pr[tp

(15)

將式(15)代入式(3)可得:

(16)

同時,可得:

(17)

為簡化,當(dāng)tOFF和tON具有指數(shù)分布且速率分別為μ0和μ1時,tOFF和tON的拉普拉斯變換為:

(18)

將式(17)、式(18)代入式(16)可得檢測率推導(dǎo)模型為:

(19)

3 實驗與結(jié)果分析

實驗硬件設(shè)置:處理器i5-6400K,內(nèi)存16 GB ddr 4-2400K,仿真平臺Visual C++,系統(tǒng)為Win10旗艦版。構(gòu)建基于C++的離散事件仿真模型來驗證本文所提出的隨機檢驗分析模型性能。在執(zhí)行模擬時,假定tOFF和tON都具有伽瑪分布特性。為簡化符號,令m0=E[tOFF]=1/μ0,m1=E[tON]=1/μ1,v0=V[tOFF],v1=V[tON]。f1(·)和f0(·)的拉普拉斯變換形式為[19-20]:

(20)

(21)

實驗1報文檢測率的影響

圖6給出報文檢測率λ對入侵檢測率、檢測延遲的影響。圖中顯示了模擬結(jié)果(符號)和分析結(jié)果(實線)的對比?？梢钥闯?在每一種入侵周期里,兩組結(jié)果之間都存在良好的一致性,這證實了分析模型的有效性。對于每種考慮的入侵周期,隨著λ的增加,入侵檢測率增加,檢測延遲減小。

圖6 報文檢測率的影響Fig.6 Influence of message detection rate

由圖6可知,對于高危會話(m1=10m0),當(dāng)λ從100增加到101時,入侵檢測率提高1.6%,檢測延遲減少68.1%。換言之,隨著檢測率的增加,檢測潛伏期顯著縮短。然而,當(dāng)λ從102增加到103時,入侵檢測率僅提高了0.1%,檢測延遲減少了2.4%。因此,當(dāng)檢測率足夠高時,在可以獲得檢測性能進一步改進的假設(shè)下,繼續(xù)增加檢測率沒有必要。圖6中表明,101<λ<1002的設(shè)置可以在檢測率和相關(guān)的檢測成本之間獲得可接受的平衡。同時,圖6顯示該隨機檢測方案對于超長和長入侵周期會話表現(xiàn)良好。例如,給定λ=1檢測率,兩個會話入侵檢測率分別為97.8%和90%,而檢測延遲分別為0.38和1.49。如上所述,當(dāng)檢測率超過102,檢測潛伏期接近恒定值。這是因為存在會話,概率為1-p,在隨機時間之后生成帶有惡意代碼的數(shù)據(jù)包。

實驗2用戶會話時間的影響

圖7給出預(yù)期的會話時間(E[tx]=1/γ)對入侵檢測率和檢測延遲兩個輸出量的影響?？梢钥闯?兩個輸出量的模擬結(jié)果與分析結(jié)果之間存在良好的一致性。

圖7 用戶會話時間的影響Fig.7 Impact of user session time

由圖7可以看出,當(dāng)1/γ在入侵期間中期(即1/μ0=1/μ1)從101增加到102時,入侵檢測率提高0.8%,檢測延遲減少1%。對于恒定入侵級別,包含入侵周期(tON)的會話概率隨預(yù)期用戶會話時間的增加而增加。因此,TDF應(yīng)該執(zhí)行更多的分組檢測,以便檢測有效負載內(nèi)的惡意代碼。這樣會減少檢測延遲,但增加檢測成本。對于1/γ>102,入侵檢測率和檢測潛伏期基本保持不變,然而檢測成本顯著增加。在惡意會話中,可檢測前幾個分組或在會話的早期中間來識別惡意代碼存在,然后停止檢測過程。然而,對于非惡意會話,即使數(shù)據(jù)包不包含惡意代碼,TDF也在整個會話期間繼續(xù)執(zhí)行隨機檢測。因此,隨著用戶會話時間的增加,檢測成本增加。可通過指數(shù)級地增加檢測間隔來解決這個問題。

實驗3方差v1的影響

圖8給出入侵持續(xù)時間的方差v1對入侵檢測率和檢測延遲的影響。與上文實驗結(jié)果相同,分析和模擬結(jié)果具有良好的一致性。

圖8 方差v1的影響Fig.8 Influence of variance v1

由圖8可看出,當(dāng)v1>102時,所有入侵級別的入侵檢測率都降低,檢測延遲增加。例如,對于中入侵周期(m1=m0)的會話,隨著v1從101增加到102,入侵檢測率從85%下降到77%,而檢測延遲從1.6增加到8.9。由于m1的平均值沒有改變,所以較大的v1值意味著會話包含較多的短“ON”周期,TDF更可能錯過檢測包含惡意代碼分組的機會,使檢測率降低。在實踐中,當(dāng)發(fā)現(xiàn)異常會話的“ON”周期長度有較大方差時,可通過增加檢測率來解決這個問題。

4 結(jié)束語

移動平臺數(shù)量的增加使LTE核心網(wǎng)絡(luò)面對的安全威脅日益增大。隨著全球移動數(shù)據(jù)業(yè)務(wù)量持續(xù)增長,PCC系統(tǒng)中的TDF節(jié)點無法檢測通過網(wǎng)絡(luò)的所有分組,需要更有效的DPI技術(shù)。為此,本文提出一種隨機檢測方案,根據(jù)會話感知入侵周期調(diào)整檢測率。實驗結(jié)果表明,當(dāng)會話的入侵周期統(tǒng)計量已知時,該分析模型可以有效平衡LTE核心網(wǎng)絡(luò)中的檢測率、檢測成本和檢測延遲。下一步將考慮自動識別會話風(fēng)險的問題,即無需操作員的參與,使得分析模型可以在TDF上實現(xiàn),并且根據(jù)會話風(fēng)險的變化動態(tài)調(diào)整檢測率。此外,還將針對簽名在多個分組上傳播的情況進行基于流的入侵檢測。