基于低復雜度隨機分組檢測的LTE核心網入侵識別

劉雅麗,石瑞峰,任曉亮

(1.內蒙古農業大學 計算機與信息工程學院,呼和浩特 010018; 2.天津中醫藥大學 中藥學院,天津 301617)

0 概述

長期演進(Long Term Evolution,LTE)是近年來興起的一種多極蜂窩網絡技術。截至目前,大多數國家的運營商已經開通了LTE(VLTE)業務的第四代4G語音業務[1-2]。然而,隨著4G可用性以及OTT(Over The Top)移動應用的普及,移動數據報文數量正在呈指數級增長。全球通信量的日益增長不僅對現有的硬件和通信基礎設施帶來了巨大的挑戰,也增大了網絡攻擊和惡意活動的風險。

第三代合作伙伴計劃(3GPP)引入了新的網絡節點,稱為報文檢測功能(TDF),以識別通過分組數據網絡網關(P-GW)的分組應用類型。信息被傳遞到策略和計費控制(PCC)系統中的策略和計費執行功能(PCEF),以針對相應數據流執行適當的帶寬分配和計費規則[3-4]。然而,TDF節點在識別潛在的惡意包并將其提請網絡管理員注意方面也有可能充當入侵檢測系統(IDS)。由于大量應用采取了非標準端口,因此傳統的基于端口報文的分類方法在網絡入侵中的應用較為有限。因此,對于執行入侵檢測、病毒掃描和因特網內容過濾,基于分組非IP報頭內容的深度分組檢查(DPI)是更可靠的[6-7]。

文獻[8]提出DPI策略,為預防VoLTE網絡濫用提供了有效的途徑。盡管DPI提供了控制3GPP核心網絡中的業務和阻塞惡意分組的有用工具,可是TDF缺乏在突發業務下檢查所有監控業務所需的資源,因此可能發生分組丟失。當前,研究者提出各種解決方案來加速分組檢查過程。硬件解決方案包括FPGA[9]、網絡處理器[10]和多核處理器[11],它們提供并行性以增加吞吐量,但同時在購買專用硬件或多處理器機器時會帶來額外成本。諸如Snort[12]或BRO[13]之類的軟件解決方案使用模式匹配引擎來更有效地檢測入侵,但是隨著全球蜂窩數據報文的持續增長,仍然缺乏檢查所有分組的能力。在非常繁忙的報文負載下,IDS可能被迫丟棄數據包,以防止其成為系統中的瓶頸。為避免這個問題,需要減少檢查的數據包數量。文獻[14]研究表明,攻擊者可以精心設計能夠通過檢測的分組,使得潛在的惡意報文不被轉發到IDS。

在實踐中,LTE核心網絡中通過P-GW的報文流大部分來自聲譽良好的流媒體應用程序或移動應用程序。因此,盲目地檢查所有分組而不考慮會話的侵入時間段不僅耗時和昂貴,而且是不必要的。為此,本文采用隨機檢測的方法,提出一種在TDF中進行隨機分組檢測的方案,根據會話的感知入侵周期調整檢測率。同時,建立一個分析模型,從入侵檢測率角度來評估所提檢測方案的性能。

1 算法框架

3GPP版本規定了用于在核心網絡中實現動態網絡資源控制和計費管理的標準化的基于IP的PCC體系結構[15-16]。通過定義適當的規則,在服務會話中PCC系統允許或丟棄某些分組,以符合其特定服務要求的方式向數據流分配網絡資源并據此進行收費。PCC規則通常包括服務數據流模板、相關服務質量(QoS)描述(即上行鏈路/下行鏈路業務的QoS類和最大并保證帶寬)以及計費信息(即測量方法和計費密鑰)。圖1給出3GPP演進分組核心的PCC系統基本架構。

圖1 PCC系統3GPP演進基本體系結構Fig.1 The basic architecture of PCC system in 3GPP evolution

圖1說明了3GPP演進包核心的PCC系統的基本結構。系統的主要功能包含在一個稱為“策略和計費規則功能”(PCRF)的獨立網絡節點和一個稱為“策略和計費執行功能”(PCEF)的邏輯節點中。PCRF生成用于控制數據流、管理QoS和應用適當充電規則的PCC規則。PCEF執行這些規則,通常與P-GW搭配使用。訂閱者配置文件存儲庫(SPR)存儲相關訂閱者信息,例如訂閱的收費計劃、可用的服務、所需的QoS等。流量檢測功能(TDF)執行應用程序檢測、報告和服務數據流描述。TDF包含兩個與DPI相關的組件,即網絡入侵檢測系統(NIDS)和簽名庫。NIDS執行基于負載的入侵檢測,以監視和分析通過P-GW的數據流,而簽名庫存儲已知的惡意代碼和簽名。通過將NIDS的輸出與簽名庫的內容相匹配,TDF使操作員能夠識別數據包的應用程序類型,并根據需要執行網絡控制(例如丟棄可疑數據包以阻止潛在的網絡攻擊)。

2 隨機分組檢測方案

2.1 模型構建

如圖2所示,用戶會話保持tm=τ4-τ0時間。用戶在LTE網絡中的停留時間是由隨機變量tl進行建模的。會話保持時間和LTE網絡駐留時間是兩個隨機變量,具有不同的分布。在圖2中,用戶在會話結束之前離開LTE網絡,這可能發生在用戶實際切換到另一種無線接入技術(例如WiFi)或用戶移動到沒有LTE信號的地方(例如隧道中)時。在這兩種情況下,沒有數據包被路由到TDF節點,因此不進行檢查[17-18]。

圖2 在TDF中執行入侵檢測的時序圖Fig.2 Sequence diagram of intrusion detection performed in TDF

當用戶駐留在LTE網絡中時,TDF監視的新會話的開始被建模為隨機觀察點。將rl表示為tl的剩余壽命;TDF監視的用于通過分組檢查執行入侵檢測的用戶會話時長是tx=min{tm,rl}。假設tx具有速率γ的指數分布,且具有密度函數形式:

fs(tx)=γe-γtx

(1)

(2)

圖3 OFF和ON周期的時序圖Fig.3 Sequence diagram of OFF and ON periods

2.2 檢測流程

2.1節所述模型適用于各種入侵檢測系統,包括數據網絡或電信核心網絡。然而,由于電信核心網需要高QoS控制,因此有必要采用有效方式來對直接由PCEF處理的分組進行分類,且需要通過TDF進行進一步的檢查。常規規則集過濾器(例如防火墻)無法確定哪些數據包需要深入研究。而隨機檢測方案可以平衡執行DPI的成本,防止惡意數據包。

在圖2中,假設用戶會話在τ0開始并終止于τ4。在所提出的方案中,TDF在間隔(τ0,τ4)上隨機執行多個分組檢查。在新會話開始時,必須執行分組檢查,因為攻擊向量(如果存在)通常包含在流的前幾千字節內。然后,通過預先配置的檢測率λ和隨機數發生器來確定其他分組檢查的發生時間。假設前三個分組檢查分別發生在τ0、τ1和τ2。令τp,i=τi-τi-1,表示第i和(i-1)個分組檢查之間的時間間隔,即E[τp,i]=1/λ。顯然,應該根據會話的感知入侵期來設置λ的值。在本文中,λ的值是由檢測率、檢測成本和檢測延遲作為檢測率的函數分析模型來確定的,具體模型將在2.3節中給出。圖4給出了所提隨機檢測方案的處理流程。

圖4 隨機分組檢測處理流程Fig.4 Processing flow of random packet detection

當接收到屬于特定會話的數據包時,TDF首先檢查為會話配置的檢查字段的值。如果該字段被配置為“Inspection=Y”,則TDF執行Set_Inspection過程來調度會話的下一次分組檢查。然后,TDF執行DPI操作(步驟3),在該操作中,TDF掃描分組報頭,檢查應用程序類型,并檢查有效負載是否存在惡意代碼。如果沒有檢測到簽名(步驟4),則將該分組傳遞到P-GW進行策略控制(步驟6)。否則,該分組被丟棄以防止網絡入侵,并且會話也被阻塞,即這個會話的檢查過程也終止(步驟5)。如果在步驟1中將檢查字段配置為“Inspection=N”,則TDF將數據包直接轉發到P-GW以執行策略控制(步驟6)。

圖5顯示了圖4中步驟2觸發的Set_Inspection檢查過程的細節。TDF首先將檢查字段的值設置為“N”(即不需要檢查)。然后,它為下一個分組檢查生成所需的間隔τp,i(步驟2.2)。在此基礎上,TDF確定檢查時間(步驟2.3)并配置檢查定時器(步驟2.4)。當定時器到期時,TDF將檢查字段的值設置為“Y”,在下次接收屬于會話的分組時觸發(參見圖4中的步驟1)。

圖5 Set_Inspection過程Fig.5 The Set_Inspection process

IDS研究人員一般使用假陽性率、假陰性率和檢測率3種度量來評估檢測性能。然而,本文提出的隨機檢測方案的目標不是通過自身提高IDS的準確性,而是假設在未確定的入侵開啟周期中生成的所有分組都是惡意分組并且攜帶與TDF使用的簽名庫相匹配的惡意代碼。換言之,本文研究的目的是讓操作者選擇檢測率的值,該值在給定的入侵期間實現檢測率、檢測成本和檢測延遲之間的平衡。

2.3 檢測率推導

本節推導條件概率Ps,假設該會話實際上包含惡意代碼,則該會話訪問入侵狀態“ON”。定義形式如下:

Ps=Pr[tp

(3)

如果會話從未訪問過“ON”狀態,則Z=0,否則Z=1。首先,考慮用戶會話是否從狀態“1”或狀態“0”開始導出式(3)的分子。當用戶會話開始于狀態1(即Pr[X(τ0)=1]=p的“ON”周期)時,TDF可以在0處執行第1次分組檢查時檢測入侵。因此,Pr[tp

Pr[tp

Pr[tp

(4)

當X(τ0)=1時,TDF檢測會話開始時的入侵。在這種情況下,tp=τp,0=0:

Pr[tp

(5)

綜合式(4)和式(5)可得:

Pr[tp

(6)

式(6)中的Pr[tp

(7)

令τr是從n1周期開始的時間段直到分組檢測發生。設τr具有密度函數gr(·)和分布函數Gr(·)。假定N(t)表示在長度t期間發生的分組檢查次數。根據記憶屬性可得:

Gr(t)=Pr[τr

(8)

(9)

對式(9)的推導可解釋為:將入侵周期稱為ON周期的后續周期。對于X(τ0)=0情形,用戶的會話以狀態OFF開始,入侵檢測僅發生在式(1)在前n1周期沒有會話終止時,或者會話發生在第np個分組檢查之后,在第n1個ON周期中。利用Pr[rx>tOFF]表示在關閉期間沒有會話終止,其中:

(10)

類似可得:

(11)

(12)

因此,在第j周期的ON周期中,τr

(13)

(14)

將式(10)～式(14)代入式(9)可得:

Pr[tp

(15)

將式(15)代入式(3)可得:

(16)

同時,可得:

(17)

為簡化,當tOFF和tON具有指數分布且速率分別為μ0和μ1時,tOFF和tON的拉普拉斯變換為:

(18)

將式(17)、式(18)代入式(16)可得檢測率推導模型為:

(19)

3 實驗與結果分析

實驗硬件設置:處理器i5-6400K,內存16 GB ddr 4-2400K,仿真平臺Visual C++,系統為Win10旗艦版。構建基于C++的離散事件仿真模型來驗證本文所提出的隨機檢驗分析模型性能。在執行模擬時,假定tOFF和tON都具有伽瑪分布特性。為簡化符號,令m0=E[tOFF]=1/μ0,m1=E[tON]=1/μ1,v0=V[tOFF],v1=V[tON]。f1(·)和f0(·)的拉普拉斯變換形式為[19-20]:

(20)

(21)

實驗1報文檢測率的影響

圖6給出報文檢測率λ對入侵檢測率、檢測延遲的影響。圖中顯示了模擬結果(符號)和分析結果(實線)的對比。可以看出,在每一種入侵周期里,兩組結果之間都存在良好的一致性,這證實了分析模型的有效性。對于每種考慮的入侵周期,隨著λ的增加,入侵檢測率增加,檢測延遲減小。

圖6 報文檢測率的影響Fig.6 Influence of message detection rate

由圖6可知,對于高危會話(m1=10m0),當λ從100增加到101時,入侵檢測率提高1.6%,檢測延遲減少68.1%。換言之,隨著檢測率的增加,檢測潛伏期顯著縮短。然而,當λ從102增加到103時,入侵檢測率僅提高了0.1%,檢測延遲減少了2.4%。因此,當檢測率足夠高時,在可以獲得檢測性能進一步改進的假設下,繼續增加檢測率沒有必要。圖6中表明,101<λ<1002的設置可以在檢測率和相關的檢測成本之間獲得可接受的平衡。同時,圖6顯示該隨機檢測方案對于超長和長入侵周期會話表現良好。例如,給定λ=1檢測率,兩個會話入侵檢測率分別為97.8%和90%,而檢測延遲分別為0.38和1.49。如上所述,當檢測率超過102,檢測潛伏期接近恒定值。這是因為存在會話,概率為1-p,在隨機時間之后生成帶有惡意代碼的數據包。

實驗2用戶會話時間的影響

圖7給出預期的會話時間(E[tx]=1/γ)對入侵檢測率和檢測延遲兩個輸出量的影響。可以看出,兩個輸出量的模擬結果與分析結果之間存在良好的一致性。

圖7 用戶會話時間的影響Fig.7 Impact of user session time

由圖7可以看出,當1/γ在入侵期間中期(即1/μ0=1/μ1)從101增加到102時,入侵檢測率提高0.8%,檢測延遲減少1%。對于恒定入侵級別,包含入侵周期(tON)的會話概率隨預期用戶會話時間的增加而增加。因此,TDF應該執行更多的分組檢測,以便檢測有效負載內的惡意代碼。這樣會減少檢測延遲,但增加檢測成本。對于1/γ>102,入侵檢測率和檢測潛伏期基本保持不變,然而檢測成本顯著增加。在惡意會話中,可檢測前幾個分組或在會話的早期中間來識別惡意代碼存在,然后停止檢測過程。然而,對于非惡意會話,即使數據包不包含惡意代碼,TDF也在整個會話期間繼續執行隨機檢測。因此,隨著用戶會話時間的增加,檢測成本增加。可通過指數級地增加檢測間隔來解決這個問題。

實驗3方差v1的影響

圖8給出入侵持續時間的方差v1對入侵檢測率和檢測延遲的影響。與上文實驗結果相同,分析和模擬結果具有良好的一致性。

圖8 方差v1的影響Fig.8 Influence of variance v1

由圖8可看出,當v1>102時,所有入侵級別的入侵檢測率都降低,檢測延遲增加。例如,對于中入侵周期(m1=m0)的會話,隨著v1從101增加到102,入侵檢測率從85%下降到77%,而檢測延遲從1.6增加到8.9。由于m1的平均值沒有改變,所以較大的v1值意味著會話包含較多的短“ON”周期,TDF更可能錯過檢測包含惡意代碼分組的機會,使檢測率降低。在實踐中,當發現異常會話的“ON”周期長度有較大方差時,可通過增加檢測率來解決這個問題。

4 結束語

移動平臺數量的增加使LTE核心網絡面對的安全威脅日益增大。隨著全球移動數據業務量持續增長,PCC系統中的TDF節點無法檢測通過網絡的所有分組,需要更有效的DPI技術。為此,本文提出一種隨機檢測方案,根據會話感知入侵周期調整檢測率。實驗結果表明,當會話的入侵周期統計量已知時,該分析模型可以有效平衡LTE核心網絡中的檢測率、檢測成本和檢測延遲。下一步將考慮自動識別會話風險的問題,即無需操作員的參與,使得分析模型可以在TDF上實現,并且根據會話風險的變化動態調整檢測率。此外,還將針對簽名在多個分組上傳播的情況進行基于流的入侵檢測。