專利名稱：移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動(dòng)通信網(wǎng)絡(luò)安全領(lǐng)域，特別涉及移動(dòng)通信網(wǎng)絡(luò)異常檢測(cè)技術(shù)領(lǐng)域，具體是指一種移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法。

背景技術(shù)：
近些年來(lái)，隨著社會(huì)信息化程度的不斷提高，蜂窩移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)得到了快速發(fā)展，人們?cè)谌粘Ｉ钪惺褂梅涓C電話來(lái)做越來(lái)越多重要和敏感的事務(wù)，如電子購(gòu)物、電子銀行等，這些急速發(fā)展的新業(yè)務(wù)帶來(lái)巨大經(jīng)濟(jì)效益和社會(huì)效益的同時(shí)，也面臨著日益嚴(yán)重的安全問(wèn)題。網(wǎng)絡(luò)安全的主要方面就是防止網(wǎng)絡(luò)被攻擊和對(duì)網(wǎng)絡(luò)信息的入侵，盡管在蜂窩移動(dòng)網(wǎng)絡(luò)中使用了多種鑒權(quán)協(xié)議，但由于無(wú)線傳輸環(huán)境的開放性和移動(dòng)設(shè)備物理缺陷，如何設(shè)計(jì)高度安全的蜂窩移動(dòng)網(wǎng)絡(luò)仍然是個(gè)巨大的挑戰(zhàn)。
通常，保護(hù)一個(gè)系統(tǒng)存在兩類方法基于預(yù)防的方法和基于檢測(cè)的方法?；陬A(yù)防的技術(shù)，如鑒權(quán)和加密，通過(guò)對(duì)用戶身份的鑒權(quán)識(shí)別和對(duì)信息的加密，阻止非法用戶進(jìn)入系統(tǒng)來(lái)有效的減少攻擊，它們通?；谝恍?duì)稱或非對(duì)稱的機(jī)制來(lái)確保用戶遵守預(yù)先確定的安全策略。然而，有線網(wǎng)絡(luò)安全方面的經(jīng)驗(yàn)顯示，由于系統(tǒng)中一些缺陷很難預(yù)知，多層次、多級(jí)別的防護(hù)是非常必要的，移動(dòng)網(wǎng)絡(luò)更是如此，因?yàn)橐苿?dòng)設(shè)備低的物理安全性，攻擊者能利用各種技術(shù)來(lái)破解嵌入在移動(dòng)設(shè)備中的用戶信息。另外，當(dāng)前防篡改的硬件和軟件是非常昂貴的，在用戶移動(dòng)設(shè)備使用是不現(xiàn)實(shí)的。因此一旦移動(dòng)設(shè)備被破解，設(shè)備上的所有秘密都會(huì)暴露給攻擊者，使得所有基于預(yù)防的技術(shù)都將無(wú)效并給整個(gè)系統(tǒng)帶來(lái)巨大的損害，為了解決這類問(wèn)題，入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems，IDSs)作為保護(hù)系統(tǒng)的第二道防線能有效的幫助識(shí)別非法的活動(dòng)。
目前入侵檢測(cè)系統(tǒng)所采用的技術(shù)通?？煞譃樘卣鳈z測(cè)與異常檢測(cè)兩種。特征檢測(cè)(Signature-based detection)又稱誤用檢測(cè)(Misuse detection)，包含基于規(guī)則(Rule-BasedIntrusion Detection)、基于模型(Model-Based Intrusion Detection)等建模方式，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，對(duì)已知的攻擊或入侵的方式和系統(tǒng)的缺陷形成簽名，并存入數(shù)據(jù)庫(kù)，系統(tǒng)的目標(biāo)是檢測(cè)當(dāng)前的主體活動(dòng)是否符合這些簽名，當(dāng)被審計(jì)的活動(dòng)與已知的入侵事件簽名相匹配時(shí)，即報(bào)警。它可以將已有的入侵方法檢查出來(lái)，但由于缺乏相應(yīng)的簽名，對(duì)新的入侵方法無(wú)能為力。異常檢測(cè)(Anomaly detection)包括基于統(tǒng)計(jì)(Statistic-BasedIntrusion Detection)、完整性分析等建模方式，根據(jù)系統(tǒng)狀態(tài)或用戶行為建立正?；顒?dòng)的“歸檔資料”，然后將當(dāng)前主體的活動(dòng)狀況與“歸檔資料”相比較，當(dāng)其違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為，即報(bào)警。他可以將未知的入侵檢測(cè)出來(lái)。
一個(gè)基本入侵檢測(cè)系統(tǒng)需要解決兩個(gè)方面的問(wèn)題一是如何充分并有效的提取活動(dòng)行為的特征數(shù)據(jù)；二是如何高效并準(zhǔn)確的識(shí)別入侵行為。然而，由于終端用戶的移動(dòng)性，蜂窩移動(dòng)網(wǎng)絡(luò)很難建立正常的“歸檔資料”，因此，如何建立移動(dòng)用戶正常的“歸檔資料”是蜂窩移動(dòng)網(wǎng)絡(luò)中設(shè)計(jì)入侵檢測(cè)方案的關(guān)鍵。
在實(shí)際的生活工作中，用戶的運(yùn)動(dòng)通常帶有目的性并以最短的路徑到目的地，這造成了絕大多數(shù)用戶有自己的路徑和習(xí)慣的運(yùn)動(dòng)方式，一般有一條或多條路徑，如家→公司→家、家→學(xué)?！摇Ｃ總€(gè)用戶的移動(dòng)模式(mobility pattern)是其運(yùn)動(dòng)路徑的反應(yīng)，盡管攻擊者能破解移動(dòng)設(shè)備的所有秘密，但他不能遵從真正用戶的運(yùn)動(dòng)模式，也就是說(shuō)，攻擊者往往有不同的路徑。通過(guò)建立能準(zhǔn)確反映正常運(yùn)動(dòng)模式的用戶歸檔資料和與當(dāng)前運(yùn)動(dòng)模式的比較，就能有效的識(shí)別非法行為。


發(fā)明內(nèi)容
本發(fā)明的目的是克服了上述現(xiàn)有技術(shù)中的缺點(diǎn)，提供一種能夠準(zhǔn)確靈敏檢測(cè)異常入侵、顯著提高移動(dòng)通信網(wǎng)絡(luò)的安全可靠性、確保移動(dòng)通信服務(wù)質(zhì)量、提高資源管理性能、工作性能穩(wěn)定、適用范圍較為廣泛的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法。
為了實(shí)現(xiàn)上述的目的，本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法如下 該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)，包括歸屬位置寄存器，其主要特點(diǎn)是，所述的系統(tǒng)中還包括移動(dòng)性數(shù)據(jù)庫(kù)和入侵異常檢測(cè)模塊，所述的移動(dòng)性數(shù)據(jù)庫(kù)位于所述的歸屬位置寄存器中，所述的入侵異常檢測(cè)模塊與所述的歸屬位置寄存器相連接。
該使用上述的系統(tǒng)實(shí)現(xiàn)基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其主要特點(diǎn)是，所述的方法包括以下步驟 (1)系統(tǒng)獲得移動(dòng)通信網(wǎng)絡(luò)中的被檢測(cè)移動(dòng)用戶對(duì)應(yīng)的歷史路徑信息，并提取相應(yīng)的用戶特征； (2)系統(tǒng)對(duì)所述的用戶特征信息進(jìn)行數(shù)據(jù)壓縮處理，并生成移動(dòng)性樹； (3)根據(jù)移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息通過(guò)指數(shù)加權(quán)移動(dòng)平均算法對(duì)所述的移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新，得到移動(dòng)用戶的正常歸檔資料； (4)系統(tǒng)根據(jù)移動(dòng)用戶的當(dāng)前移動(dòng)信息計(jì)算距離值，并對(duì)距離值進(jìn)行歸一化處理； (5)系統(tǒng)判斷所得到的距離值與系統(tǒng)報(bào)警閾值之間的關(guān)系； (6)如果距離值不低于系統(tǒng)報(bào)警閾值，則系統(tǒng)認(rèn)為是正常行為；反之，則系統(tǒng)認(rèn)為是異常行為，進(jìn)行后續(xù)報(bào)警處理。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的獲得被檢測(cè)移動(dòng)用戶對(duì)應(yīng)的歷史路徑信息并提取用戶特征，包括以下步驟 (11)系統(tǒng)獲得被檢測(cè)移動(dòng)用戶所訪問(wèn)過(guò)的小區(qū)列表信息； (12)系統(tǒng)將所述的小區(qū)列表信息保存在所述的歸屬位置寄存器中的移動(dòng)性數(shù)據(jù)庫(kù)中； (13)系統(tǒng)根據(jù)移動(dòng)性數(shù)據(jù)庫(kù)中的該被檢測(cè)用戶的歷史路徑信息，提取對(duì)應(yīng)的用戶特征。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的進(jìn)行數(shù)據(jù)壓縮處理并生成移動(dòng)性樹，具體為 系統(tǒng)通過(guò)基于字典的Lempel-Ziv文本壓縮編碼算法對(duì)所述的小區(qū)列表信息進(jìn)行數(shù)據(jù)壓縮，并得到相應(yīng)的移動(dòng)性多叉樹。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的基于字典的Lempel-Ziv文本壓縮編碼算法為L(zhǎng)Z78壓縮編碼算法。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的對(duì)移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新得到移動(dòng)用戶的正常歸檔資料，包括以下步驟 (21)根據(jù)t時(shí)刻移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息判斷所述的移動(dòng)性樹中哪些節(jié)點(diǎn)被歷經(jīng)； (22)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻被歷經(jīng)的節(jié)點(diǎn)i，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)i的頻率值Fi(t) Fi(t)＝λ×1+(1-λ)×Fi(t-1)； 其中，λ為決定衰減率的修正常量，F(xiàn)i(0)＝0； (23)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻未被歷經(jīng)的節(jié)點(diǎn)j，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)j的頻率值Fj(t) Fj(t)＝λ×0+(1-λ)×Fj(t-1)； 其中，λ為決定衰減率的修正常量，F(xiàn)j(0)＝0； (24)得到t時(shí)刻的移動(dòng)用戶的正常歸檔資料。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的計(jì)算距離值并進(jìn)行歸一化處理，包括以下步驟 (31)利用高階馬爾可夫模型通過(guò)部分匹配預(yù)測(cè)PMM算法根據(jù)以下公式計(jì)算出移動(dòng)用戶的當(dāng)前移動(dòng)信息S＝(X1，X2，…，Xn)的混合轉(zhuǎn)移概率P 其中，m為馬爾可夫模型的最大階數(shù)，wi為系統(tǒng)預(yù)設(shè)的模型概率權(quán)值，Pi為第i階轉(zhuǎn)移概率，且其中滿足以下規(guī)則 (a) (b)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)能夠檢索到路徑(Xj，Xj+1，…，Xj+i-1)，則 其中，

為節(jié)點(diǎn)Xj+，的頻率值，

為節(jié)點(diǎn)Xj+i-1的頻率值； (c)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)無(wú)法檢索到路徑(Xj，Xj+1，…，Xj+i-1)，則 P(Xj+i|Xj，Xj+1，…，Xj+i-1)＝0； (32)通過(guò)以下公式得到當(dāng)前移動(dòng)信息S所對(duì)應(yīng)的歸一化的距離值Distance(S) 其中，Length(S)為當(dāng)前移動(dòng)信息S的長(zhǎng)度。
該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的判斷距離值與系統(tǒng)報(bào)警閾值之間的關(guān)系，包括以下步驟 (41)系統(tǒng)判斷歸一化的距離值Distance(S)與系統(tǒng)預(yù)設(shè)的報(bào)警閾值參數(shù)Pthr之間的關(guān)系； (42)如果滿足Distance(S)≥Pthr，則返回距離值不低于系統(tǒng)報(bào)警閾值的結(jié)果； (43)如果滿足Distance(S)<Pthr，則返回距離值低于系統(tǒng)報(bào)警閾值的結(jié)果。
采用了該發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法，由于其基于最新的移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)預(yù)測(cè)技術(shù)，并主要關(guān)注利用用戶移動(dòng)性模式來(lái)檢測(cè)異常行為，因?yàn)橐苿?dòng)預(yù)測(cè)能極大的改進(jìn)移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)性管理、服務(wù)質(zhì)量保障和資源管理的性能，同時(shí)移動(dòng)位置預(yù)測(cè)技術(shù)也能用來(lái)設(shè)計(jì)檢測(cè)異?；顒?dòng)，從而當(dāng)移動(dòng)用戶的移動(dòng)信息符合常規(guī)的路徑時(shí)，本發(fā)明的方法能容忍微小的改變，保證了誤報(bào)警率較低；而且由于移動(dòng)性樹記錄了移動(dòng)用戶最常見(jiàn)的路徑，即使異常路徑很短，也會(huì)非常敏感，從而能夠快速的檢測(cè)出異?；顒?dòng)，在被攻擊后能夠有效避免經(jīng)濟(jì)損失，同時(shí)，能夠顯著改進(jìn)移動(dòng)通信網(wǎng)絡(luò)中的移動(dòng)性管理，確保移動(dòng)通信服務(wù)質(zhì)量，提高資源管理性能，安全有效，工作性能穩(wěn)定可靠，適用范圍較為廣泛，給人們的生活和工作都提供了安全的保障，并為移動(dòng)通信技術(shù)的進(jìn)一步普及應(yīng)用奠定了堅(jiān)實(shí)的基礎(chǔ)。



圖1為本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)結(jié)構(gòu)示意圖。
圖2是本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法的流程圖。
圖3a、3b是本發(fā)明的真實(shí)網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)模型示意圖。
圖4是本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中的移動(dòng)性樹示意圖。
圖5是本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中基于路徑的位置管理示意圖。
圖6a、6b、6c、6d為本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法中根據(jù)移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息通過(guò)指數(shù)加權(quán)移動(dòng)平均算法對(duì)移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新的過(guò)程示意圖。

具體實(shí)施例方式 為了能夠更清楚地理解本發(fā)明的技術(shù)內(nèi)容，特舉以下實(shí)施例詳細(xì)說(shuō)明。
首先對(duì)本發(fā)明中所使用的更加現(xiàn)實(shí)的網(wǎng)絡(luò)模型、用戶移動(dòng)模型和數(shù)據(jù)壓縮算法作簡(jiǎn)單的介紹 (1)網(wǎng)絡(luò)模型在之前無(wú)線蜂窩網(wǎng)絡(luò)的研究中使用了圖形模型，如六邊形、正方形小區(qū)，但這些模型并不能準(zhǔn)確的表示真實(shí)的蜂窩網(wǎng)絡(luò)，真實(shí)情況下，每個(gè)基站覆蓋一個(gè)小區(qū)，小區(qū)的形狀和大小隨著基站天線的發(fā)射模式和無(wú)線傳播環(huán)境的不同而各不相同。本發(fā)明使用通用的圖形來(lái)建模真實(shí)的網(wǎng)絡(luò)環(huán)境，模型如下 G＝(V，E)； 其中，頂點(diǎn)集V表示基站的集合，這里假設(shè)每個(gè)基站控制單一小區(qū)；邊集E表示相鄰的小區(qū)對(duì)，另外在網(wǎng)絡(luò)中沒(méi)有假設(shè)位置區(qū)。請(qǐng)參閱圖3所示，其是這種網(wǎng)絡(luò)模型的一個(gè)例子，其中 V＝{a，b，c，...，1} E＝{(a，b)，(a，c)，...，(k，1)}。
(2)用戶移動(dòng)模型對(duì)稱隨機(jī)行走模型(random walk model)被廣泛應(yīng)用于個(gè)體運(yùn)動(dòng)特征的研究中，在該模型中，移動(dòng)用戶離開當(dāng)前小區(qū)進(jìn)入相鄰小區(qū)的概率是相同的。但由于現(xiàn)實(shí)生活中移動(dòng)用戶的行動(dòng)通常帶有目的性，模型不能這樣建立。本發(fā)明使用了m階馬爾可夫模型，在這個(gè)模型下用戶的移動(dòng)性可以用一個(gè)符號(hào)序列來(lái)表示，如C1、C2、C3、......Ci，......，其中，Ci表示移動(dòng)臺(tái)當(dāng)前所在小區(qū)的標(biāo)識(shí)。由于用戶下一個(gè)位置與他之前運(yùn)動(dòng)的歷史相關(guān)，可以假設(shè)符號(hào)序列C1、C2、C3、......Ci，......由m階馬爾可夫信源產(chǎn)生，用戶運(yùn)動(dòng)到特定小區(qū)的概率與當(dāng)前用戶所在小區(qū)和最近經(jīng)過(guò)的小區(qū)列表相關(guān)。
(3)數(shù)據(jù)壓縮算法數(shù)據(jù)壓縮是在不丟失信息的前提下通過(guò)數(shù)據(jù)的編碼來(lái)減小存儲(chǔ)空間。實(shí)際上一些最常見(jiàn)的無(wú)損數(shù)據(jù)壓縮算法通常是基于數(shù)據(jù)字典的，其中字典D＝(M，C)是短語(yǔ)M和函數(shù)C有限集，其中函數(shù)C將短語(yǔ)M影射為碼集。事實(shí)上如果沒(méi)有數(shù)據(jù)源的先驗(yàn)知識(shí)，那么數(shù)據(jù)壓縮問(wèn)題會(huì)非常復(fù)雜。
Lempel-Ziv算法系列也屬于基于字典的文本壓縮和編碼技術(shù)，它們以Ziv和Lempel發(fā)明的分解算法為基礎(chǔ)，并廣泛用于數(shù)據(jù)壓縮領(lǐng)域，從它被發(fā)明開始，產(chǎn)生了很多變種，LZ78是最流行的一種。LZ78最初是一個(gè)以字符為基礎(chǔ)的數(shù)據(jù)壓縮算法，它把輸入字符串S(如小區(qū)列表)以某種方式分解成一系列短語(yǔ)x1，x2，......，xm，這些短語(yǔ)有以下屬性如果j>1，那么存在數(shù)字i<j，使得短語(yǔ)xj等于短語(yǔ)xi加上一個(gè)字符c，其中c是字母表中的一個(gè)字符，這也被叫做前綴屬性。在分解處理過(guò)程中，一個(gè)短語(yǔ)是之前最長(zhǎng)的匹配的短語(yǔ)加上一個(gè)字符，那么這是一個(gè)新的短語(yǔ)，需要被加入到字典中?！耙苿?dòng)性樹”非常適合存儲(chǔ)這些被分解的短語(yǔ)，這是棵多叉樹。
下面是實(shí)現(xiàn)LZ78算法偽代碼 Inputstring S to beencoded Outputthe parsed string stored in the dictionary BEGINInitialize the dictionary D＝EMPTYInitialize the current prefix P＝EMPTYLOOPC＝next character in SIF string(P+C)exist in the dictionary DTHEN P＝P+CELSEAdd string(P+C)to the dictionary DP＝EMPTYIF no more characters exist in STHEN breakFOREVER END LZ78算法理論是最優(yōu)的，且實(shí)現(xiàn)方便。當(dāng)輸入文本由平穩(wěn)遍歷的信源產(chǎn)生時(shí)，隨著輸入的增大，LZ78算法的性能將接近最優(yōu)，也就是說(shuō)，在信源熵指定的條件下LZ78能把無(wú)窮長(zhǎng)的字符串編碼成最小。實(shí)現(xiàn)方便意味著通過(guò)把每條短語(yǔ)插入到樹的數(shù)據(jù)結(jié)構(gòu)中LZ78算法的檢索能有效的執(zhí)行。樹結(jié)構(gòu)非常適合存儲(chǔ)被分解的短語(yǔ)，在樹中，只有短語(yǔ)的前綴被保存，因?yàn)楹缶Y能通過(guò)檢索短語(yǔ)決定，從樹根往下直到不匹配或到葉結(jié)點(diǎn)能找到最長(zhǎng)的匹配子串。
這里有個(gè)使用LZ78算法分解字符串和創(chuàng)建樹的例子。假定字母表A為{a，b，c}，輸入字符串S為＂abcababcacababc......＂，字母表A中的元素表示用戶可能訪問(wèn)的小區(qū)，那么S表示用戶經(jīng)過(guò)的小區(qū)列表。根據(jù)上面說(shuō)述的分解方式，這個(gè)字符串S被分解成如下一系列短語(yǔ)(a)(b)(c)(ab)(abc)(ac)(aba)(bc......)，這些短語(yǔ)能形成如圖4所示的樹，這是棵多叉樹，從根節(jié)點(diǎn)到任何節(jié)點(diǎn)的路徑都表示一個(gè)短語(yǔ)，節(jié)點(diǎn)中的數(shù)字表示該節(jié)點(diǎn)在分解過(guò)程中的頻率。在這些短語(yǔ)中有5個(gè)以a開頭，1個(gè)以b開頭，1個(gè)以c開頭，那么在根節(jié)點(diǎn)下a的概率為5/7，b的概率為1/7，c的概率為1/7；類似的，在5個(gè)以a開頭的短語(yǔ)中，3個(gè)以ab開頭，則在{a，5}節(jié)點(diǎn)ab的概率為3/5，以此類推可得出所有的概率信息。
(4)概率計(jì)算本發(fā)明的概率計(jì)算方法是根據(jù)部分匹配預(yù)測(cè)(Prediction by PartialMatching，PMM)算法得出的，使用m階馬爾可夫模型來(lái)建模輸入符號(hào)序列，根據(jù)之前連續(xù)的多個(gè)字符就能預(yù)測(cè)下一個(gè)符號(hào)。
如果階數(shù)m太小，用來(lái)預(yù)測(cè)的數(shù)據(jù)很少，在長(zhǎng)時(shí)間運(yùn)行中導(dǎo)致預(yù)測(cè)結(jié)果不是非常準(zhǔn)確；如果階數(shù)太大，大多數(shù)上下文將很少發(fā)生，會(huì)產(chǎn)生零概率問(wèn)題，在預(yù)測(cè)時(shí)不得不考慮。在考慮上述情況后，本發(fā)明選擇了一個(gè)折中的方案，采用混合模型，這個(gè)方案是把不同階數(shù)的預(yù)測(cè)整合到一起，使用多個(gè)不同階數(shù)的模型分別計(jì)算概率，并對(duì)每個(gè)模型分配一個(gè)權(quán)值，最后對(duì)加權(quán)后的每個(gè)模型的概率取和。
假設(shè)最大的階數(shù)是m，下一個(gè)字符是α可以根據(jù)之前i個(gè)字符預(yù)測(cè)，使用i階模型預(yù)測(cè)后概率是pi(α)，該模型的權(quán)值是wi，那么混合概率可由下面公式計(jì)算得到 其中權(quán)值wi應(yīng)該要?dú)w一化處理。注意當(dāng)i為0時(shí)，每個(gè)字符概率是獨(dú)立的。通常因?yàn)楦唠A的模型往往預(yù)測(cè)更加準(zhǔn)確，模型的階數(shù)越大，賦予的權(quán)值應(yīng)該越大。根據(jù)不同的情況，最大的階數(shù)m和權(quán)值wi可以自行設(shè)計(jì)。
請(qǐng)參閱圖1所示，該移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)，包括歸屬位置寄存器(HLR)1、移動(dòng)性數(shù)據(jù)庫(kù)3和入侵異常檢測(cè)模塊2，所述的移動(dòng)性數(shù)據(jù)庫(kù)3位于所述的歸屬位置寄存器1中，所述的入侵異常檢測(cè)模塊2與所述的歸屬位置寄存器1相連接。
再請(qǐng)參閱圖2所示，該使用上述的系統(tǒng)實(shí)現(xiàn)基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，包括以下步驟 (1)系統(tǒng)獲得移動(dòng)通信網(wǎng)絡(luò)中的被檢測(cè)移動(dòng)用戶對(duì)應(yīng)的歷史路徑信息，并提取相應(yīng)的用戶特征，包括以下步驟 (a)系統(tǒng)獲得被檢測(cè)移動(dòng)用戶所訪問(wèn)過(guò)的小區(qū)列表信息； (b)系統(tǒng)將所述的小區(qū)列表信息保存在所述的歸屬位置寄存器1中的移動(dòng)性數(shù)據(jù)庫(kù)3中； (c)系統(tǒng)根據(jù)移動(dòng)性數(shù)據(jù)庫(kù)3中的該被檢測(cè)用戶的歷史路徑信息，提取對(duì)應(yīng)的用戶特征； (2)系統(tǒng)對(duì)所述的用戶特征信息進(jìn)行數(shù)據(jù)壓縮處理，并生成移動(dòng)性樹，具體為 系統(tǒng)通過(guò)基于字典的Lempel-Ziv文本壓縮編碼算法對(duì)所述的小區(qū)列表信息進(jìn)行數(shù)據(jù)壓縮，并得到相應(yīng)的移動(dòng)性多叉樹；該算法可以為L(zhǎng)Z78壓縮編碼算法，也可以為其它的基于字典的Lempel-Ziv文本壓縮編碼算法； (3)根據(jù)移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息通過(guò)指數(shù)加權(quán)移動(dòng)平均算法對(duì)所述的移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新，得到移動(dòng)用戶的正常歸檔資料，包括以下步驟 (a)根據(jù)t時(shí)刻移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息判斷所述的移動(dòng)性樹中哪些節(jié)點(diǎn)被歷經(jīng)； (b)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻被歷經(jīng)的節(jié)點(diǎn)i，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)i的頻率值Fi(t) Fi(t)＝λ×1+(1-λ)×Fi(t-1)； 其中，λ為決定衰減率的修正常量，F(xiàn)i(0)＝0； (c)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻未被歷經(jīng)的節(jié)點(diǎn)j，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)j的頻率值Fj(t) Fj(t)＝λ×0+(1-λ)×Fj(t-1)； 其中，λ為決定衰減率的修正常量，F(xiàn)j(0)＝0； (d)得到t時(shí)刻的移動(dòng)用戶的正常歸檔資料； (4)系統(tǒng)根據(jù)移動(dòng)用戶的當(dāng)前移動(dòng)信息計(jì)算距離值，并對(duì)距離值進(jìn)行歸一化處理，包括以下步驟 (a)利用高階馬爾可夫模型通過(guò)部分匹配預(yù)測(cè)PMM算法根據(jù)以下公式計(jì)算出移動(dòng)用 戶的當(dāng)前移動(dòng)信息S＝(X1，X2，…，Xn)的混合轉(zhuǎn)移概率P 其中，m為馬爾可夫模型的最大階數(shù)，wi為系統(tǒng)預(yù)設(shè)的模型概率權(quán)值，Pi為第i階轉(zhuǎn)移概率，且其中滿足以下規(guī)則 (i) (ii)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)能夠檢索到路徑 (Xj，Xj+1，…，Xj+i-1)，則 其中，

為節(jié)點(diǎn)Xj+i的頻率值，

為節(jié)點(diǎn)Xj+i-1的頻率值； (iii)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)無(wú)法檢索到路徑(Xj，Xj+1，…，Xj+i-1)，則 P(Xj+i|Xj，Xj+1，…，Xj+i-1)＝0； (b)通過(guò)以下公式得到當(dāng)前移動(dòng)信息S所對(duì)應(yīng)的歸一化的距離值Distance(S) 其中，Length(S)為當(dāng)前移動(dòng)信息S的長(zhǎng)度； (5)系統(tǒng)判斷所得到的距離值與系統(tǒng)報(bào)警閾值之間的關(guān)系，包括以下步驟 (a)系統(tǒng)判斷歸一化的距離值Distance(S)與系統(tǒng)預(yù)設(shè)的報(bào)警閾值參數(shù)Pthr之間的關(guān)系； (b)如果滿足Distance(S)≥Pthr，則返回距離值不低于系統(tǒng)報(bào)警閾值的結(jié)果； (c)如果滿足Distance(S)<Pthr，則返回距離值低于系統(tǒng)報(bào)警閾值的結(jié)果； (6)如果距離值不低于系統(tǒng)報(bào)警閾值，則系統(tǒng)認(rèn)為是正常行為；反之，則系統(tǒng)認(rèn)為是異常行為，進(jìn)行后續(xù)報(bào)警處理。
本發(fā)明的基本技術(shù)思想如下 提取移動(dòng)用戶經(jīng)過(guò)的小區(qū)識(shí)別符(Cell IDs)作為特征值，每個(gè)用戶的移動(dòng)模式可以用高階馬爾可夫模型來(lái)表現(xiàn)；使用優(yōu)化的數(shù)據(jù)壓縮LZ算法生成移動(dòng)性“樹”；對(duì)“樹”運(yùn)用指數(shù)加權(quán)移動(dòng)平均(EWMA)被用來(lái)動(dòng)態(tài)的更新用戶正常的歸檔資料，用戶的歸檔資料能準(zhǔn)確的表現(xiàn)用戶正常的活動(dòng)并對(duì)異常改變非常敏感；根據(jù)用戶當(dāng)前的活動(dòng)進(jìn)行距離計(jì)算；使用閾值策略來(lái)判斷當(dāng)前活動(dòng)是否是入侵行為，如果是則發(fā)出報(bào)警。
在設(shè)計(jì)本基于移動(dòng)性的異常檢測(cè)方法時(shí)，是基于以下假定的 第一，假定每個(gè)用戶都有對(duì)應(yīng)的一個(gè)移動(dòng)性數(shù)據(jù)庫(kù)來(lái)記錄該用戶的正?；顒?dòng)，在蜂窩移動(dòng)網(wǎng)絡(luò)中這個(gè)假設(shè)是合理的，因?yàn)檫@個(gè)數(shù)據(jù)庫(kù)能通過(guò)位置跟蹤和預(yù)測(cè)來(lái)構(gòu)建，該數(shù)據(jù)庫(kù)應(yīng)該和用戶的個(gè)人信息一起存儲(chǔ)在歸屬位置寄存器(HLR，Home Location Register)中，歸屬位置寄存器存有全部的本地用戶信息，由運(yùn)營(yíng)商輸入有關(guān)的用戶信息，如用戶的號(hào)碼、國(guó)際移動(dòng)用戶識(shí)別碼(International Mobile Subscriber Identification Number，IMSI)等。由于HLR的重要性，通常受保護(hù)的安全級(jí)別非常高，可以假定HLR是安全的并且運(yùn)動(dòng)位置信息是正確的，因此一般很難被破解。同樣，位置的更新和注冊(cè)是根據(jù)當(dāng)前移動(dòng)設(shè)備所在的服務(wù)小區(qū)和硬件的注冊(cè)信息(如SIM卡的序列號(hào))，這樣即使入侵者破解了移動(dòng)設(shè)備所有的秘密也很難隱藏和偽造他的位置信息，即使他找到了一些方法來(lái)偽造他的位置，他仍然無(wú)法知道真實(shí)用戶正常的運(yùn)動(dòng)路徑歸檔資料。
第二，假定移動(dòng)設(shè)備能被破解，并且所有相關(guān)的秘密都暴露給了入侵者。在這個(gè)假設(shè)下，沒(méi)有必要假設(shè)使用防篡改硬件和軟件，這些對(duì)手提移動(dòng)設(shè)備是非常昂貴和不切實(shí)際的。因?yàn)橐坏┮苿?dòng)設(shè)備被破解，會(huì)導(dǎo)致所有的預(yù)防保護(hù)技術(shù)無(wú)效，這個(gè)假設(shè)正好證明了本異常檢測(cè)方案的有效性。實(shí)際上，如果假定所有軟硬件都是防篡改的，那么整個(gè)安全體系的研究將變得非常簡(jiǎn)單。
第三，假定絕大多數(shù)移動(dòng)用戶有規(guī)則的路線，這使得建立用戶正常的歸檔資料是可行的。由于大多數(shù)用戶有正常的日常生活，這個(gè)假設(shè)也是合理的。事實(shí)上，所有的入侵檢測(cè)都基于以下兩個(gè)假設(shè) (1)通過(guò)一些審計(jì)機(jī)制，系統(tǒng)能監(jiān)控主體的活動(dòng)； (2)正常和異常的活動(dòng)證明是不同的動(dòng)作。
本發(fā)明提出了異常檢測(cè)方法是基于數(shù)據(jù)壓縮Lempel-Ziv算法，當(dāng)討論這些算法時(shí)，使用“字符”，當(dāng)用于蜂窩移動(dòng)網(wǎng)絡(luò)時(shí)，使用“小區(qū)”，這兩個(gè)詞在各自的領(lǐng)域含義是相同的；相似的，“字符串”被用于Lempel-Ziv算法，“小區(qū)列表”被用于蜂窩移動(dòng)網(wǎng)絡(luò)。
圖1示意了使用本發(fā)明的異常檢測(cè)模塊在整個(gè)蜂窩網(wǎng)絡(luò)中的位置。在不破壞現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，在蜂窩網(wǎng)絡(luò)核心網(wǎng)中增加了入侵異常檢測(cè)模塊2，該入侵異常檢測(cè)模塊2從歸屬位置寄存器1能夠中獲取用戶的歷史路徑信息，并使用本發(fā)明的入侵異常檢測(cè)方法。
對(duì)于本發(fā)明的方法的具體實(shí)現(xiàn)過(guò)程，步驟如下 一、特征提取，獲得用戶訪問(wèn)過(guò)的小區(qū)列表，并將信息保存在之前假設(shè)的HLR中的移動(dòng)性數(shù)據(jù)庫(kù)中。之前的研究表明可以有多種技術(shù)來(lái)獲取用戶訪問(wèn)過(guò)程小區(qū)列表信息，其中最簡(jiǎn)單的是目前蜂窩系統(tǒng)中提供的位置跟蹤服務(wù)，用戶每次經(jīng)過(guò)的一個(gè)小區(qū)時(shí)向網(wǎng)絡(luò)報(bào)告他的位置，這在增加網(wǎng)絡(luò)流量的同時(shí)也會(huì)引起用戶位置的隱私問(wèn)題，蜂窩系統(tǒng)提供給用戶是否關(guān)閉該服務(wù)的選項(xiàng)。另外基于移動(dòng)性的位置管理是個(gè)不錯(cuò)的選擇，在提高網(wǎng)絡(luò)利用率的同時(shí)又能得到用戶經(jīng)過(guò)的小區(qū)信息。
二、根據(jù)數(shù)據(jù)壓縮技術(shù)，LZ(Lempel-Ziv)壓縮算法，對(duì)用戶經(jīng)過(guò)的小區(qū)列表進(jìn)行分解，產(chǎn)生相應(yīng)的小區(qū)序列，生成移動(dòng)性“樹”，這是棵多叉樹，從“根”到每個(gè)“節(jié)點(diǎn)”都表示用戶經(jīng)過(guò)的路徑。
三、對(duì)“樹”運(yùn)用指數(shù)加權(quán)移動(dòng)平均(EWMA)被用來(lái)動(dòng)態(tài)的更新用戶正常的歸檔資料，用戶的歸檔資料能準(zhǔn)確的表現(xiàn)用戶正常的活動(dòng)并對(duì)異常改變非常敏感。
四、根據(jù)用戶當(dāng)前的活動(dòng)進(jìn)行距離計(jì)算，并對(duì)距離值做歸一化處理，如果是異?；顒?dòng)，那么移動(dòng)性“樹”中沒(méi)有該路徑信息，距離值會(huì)相應(yīng)小些。
五、使用閾值策略來(lái)判斷當(dāng)前活動(dòng)是否是異常行為，如果距離值大于閾值，則認(rèn)為是正常行為；反之則是異常行為，發(fā)出報(bào)警。
對(duì)于移動(dòng)通信網(wǎng)絡(luò)的移動(dòng)用戶來(lái)說(shuō)，運(yùn)動(dòng)模式能被捕捉并建模。通過(guò)研究授權(quán)用戶的移動(dòng)歷史，就能知道用戶的移動(dòng)模式，之后通過(guò)比較當(dāng)前的移動(dòng)信息和正常的運(yùn)動(dòng)模式就能識(shí)別入侵者，然而，有一定數(shù)量的用戶(如出租車司機(jī))不存在規(guī)則的運(yùn)動(dòng)模式，就算可能，對(duì)這些用戶運(yùn)動(dòng)模式的建模也是非常困難的，另外，用戶偶爾改變正常的路線也是正常的，如用戶外出度假會(huì)與正常的運(yùn)動(dòng)模式產(chǎn)生巨大的差異，不同的度假路線將導(dǎo)致非常罕見(jiàn)的事件。所有這些因素可能會(huì)導(dǎo)致建立的用戶的正常歸檔資料不準(zhǔn)確，因此，本發(fā)明沒(méi)有指望該基于移動(dòng)模式的檢測(cè)方案對(duì)所有情況下所有用戶都適用?；谝陨峡紤]，使用本發(fā)明構(gòu)建的系統(tǒng)并不能準(zhǔn)確的檢測(cè)出所有的入侵；相反，本發(fā)明的目標(biāo)是向終端用戶提供一種可選的服務(wù)，同時(shí)也給服務(wù)運(yùn)營(yíng)商提供一個(gè)有效的管理工具。如果被破解的蜂窩電話沒(méi)有被及時(shí)的識(shí)別，攻擊者將給授權(quán)用戶帶來(lái)巨大的損失，由于這個(gè)原因，如果系統(tǒng)發(fā)現(xiàn)了異常行為，系統(tǒng)應(yīng)該通過(guò)其他渠道(如電子郵件，家庭固定電話)給真正的用戶發(fā)出一些警告信息，這些警告信息如“我們發(fā)現(xiàn)你的運(yùn)動(dòng)模式有重大的改變，你的手機(jī)還安全嗎？”。由于無(wú)線網(wǎng)絡(luò)安全相關(guān)的攻擊事件數(shù)量不斷增加，可以相信這樣一種可選服務(wù)將非常受歡迎。對(duì)于服務(wù)提供商，采用本技術(shù)的系統(tǒng)能建立一個(gè)“灰色列表”，列表中包含運(yùn)動(dòng)模式有重大改變的用戶，這些列表中的用戶需要被更加謹(jǐn)慎的監(jiān)控，只要他們?cè)噲D發(fā)出一些危害網(wǎng)絡(luò)的命令，系統(tǒng)將立即做出響應(yīng)來(lái)避免潛在的經(jīng)濟(jì)損失。這個(gè)“灰色列表”會(huì)被動(dòng)態(tài)的更新，例如，用戶離開去度假時(shí)由于運(yùn)動(dòng)模式發(fā)生巨大改變將會(huì)被加入到這個(gè)列表中，用戶回來(lái)后回到之前正常的運(yùn)動(dòng)模式時(shí)將會(huì)從列表中刪除。這和銀行系統(tǒng)的處理相似，當(dāng)用戶的信用卡在該用戶經(jīng)常所處的地方之外的其他地方使用時(shí)，系用將會(huì)檢測(cè)該次使用，并通過(guò)其他途徑通知用戶。
本發(fā)明的方法中，主要關(guān)注利用用戶移動(dòng)性模式來(lái)檢測(cè)異常行為。在入侵者偽造了授權(quán)用戶的移動(dòng)電話之后，他撥打電話時(shí)有可能處于靜態(tài)或半靜態(tài)狀態(tài)，目前已經(jīng)有利用其它特征如呼叫駐留時(shí)間(call residence time)來(lái)檢測(cè)這類潛在的異常行為，本發(fā)明暫時(shí)不考慮這種情況，但在第四步中距離歸一化之后可以很簡(jiǎn)單的對(duì)這種情況進(jìn)行擴(kuò)展，這樣就能識(shí)別更多的入侵行為。
在實(shí)際應(yīng)用當(dāng)中，本發(fā)明將采用下面的詳細(xì)的工作過(guò)程 (一)特征提取，獲得用戶的歷史路徑信息 由于用戶能在蜂窩網(wǎng)絡(luò)覆蓋的范圍內(nèi)自由活動(dòng)，網(wǎng)絡(luò)為了隨時(shí)能與用戶建立通信，需要知道用戶在網(wǎng)絡(luò)中的位置，在目前的技術(shù)中是通過(guò)位置更新過(guò)程實(shí)現(xiàn)的，即用戶每進(jìn)入一個(gè)新的位置區(qū)時(shí)向網(wǎng)絡(luò)通知其的位置發(fā)生了改變。位置區(qū)是網(wǎng)絡(luò)能確定移動(dòng)臺(tái)位置的最小區(qū)域，通常包含若干個(gè)小區(qū)，也就是說(shuō)網(wǎng)絡(luò)并不知道用戶具體在那個(gè)小區(qū)。如果位置區(qū)縮小成一個(gè)小區(qū)時(shí)，就會(huì)有大量的位置更新過(guò)程，浪費(fèi)大量的網(wǎng)絡(luò)資源，最新研究表明，如果能預(yù)測(cè)出用戶將來(lái)的位置，那就沒(méi)有必要大量的更新，這就是基于路徑的位置管理技術(shù)。
假設(shè)用戶經(jīng)過(guò)的小區(qū)列表是“abcababcacababc”，經(jīng)過(guò)LZ78算法進(jìn)行分解后得到一系列短語(yǔ)(a)(b)(c)(ab)(abc)(ac)(aba)(bc)，根據(jù)之前概率計(jì)算中介紹的部分匹配預(yù)測(cè)算法，用戶的位置能通過(guò)預(yù)測(cè)得出，那么只有用戶進(jìn)入新的路徑時(shí)才需要向網(wǎng)絡(luò)更新，并向網(wǎng)絡(luò)報(bào)告其新的路徑，圖5示意了基于路徑的位置管理的過(guò)程，其中“↑”表示位置更新，這樣網(wǎng)絡(luò)就得到了用戶的歷史路徑，并將該信息保存在HLR中的用戶移動(dòng)性數(shù)據(jù)庫(kù)中。
關(guān)于基于路徑的位置管理的詳細(xì)的技術(shù)細(xì)節(jié)說(shuō)明，可以參閱申請(qǐng)人之前遞交的以下中國(guó)專利申請(qǐng) 專利申請(qǐng)?zhí)?00710043970.X 專利申請(qǐng)日2007年7月18日 發(fā)明名稱移動(dòng)通信系統(tǒng)中實(shí)現(xiàn)移動(dòng)臺(tái)位置管理的系統(tǒng)及其方法 (二)根據(jù)第一步得到的字符串(小區(qū)列表信息)，使用上面介紹的LZ78算法進(jìn)行分解。假設(shè)用戶經(jīng)過(guò)的小區(qū)列表是“abcababcacababc”，與之前的例子相同，那么分解后的移動(dòng)性樹請(qǐng)參閱圖4所示。
(三)對(duì)移動(dòng)性樹整合EWMA算法，得到用戶正常的歸檔資料。
在異常檢測(cè)中，每個(gè)主體都存在一個(gè)正常的用戶歸檔資料，對(duì)于單個(gè)主體，他的活動(dòng)會(huì)隨著時(shí)間改變，因此為了及時(shí)地反映每個(gè)用戶的活動(dòng)，正常歸檔資料需要不斷的更新。在蜂窩網(wǎng)絡(luò)中，由于用戶的移動(dòng)性，用戶活動(dòng)的正常歸檔資料應(yīng)該是動(dòng)態(tài)的，通常用戶最近過(guò)去的活動(dòng)應(yīng)該比一段時(shí)間之前的活動(dòng)更能反映當(dāng)前用戶的情況，即權(quán)重應(yīng)該大些，采用自適應(yīng)的方法修改正常歸檔資料是非常合適的。
基于以上考慮，本發(fā)明將EWMA算法整合到之前構(gòu)建的移動(dòng)性樹中，當(dāng)新短語(yǔ)被解析之后，認(rèn)為發(fā)生了新的事件或活動(dòng)，注意該事件對(duì)應(yīng)一個(gè)符號(hào)序列，也就是用戶的路徑發(fā)生了改變。其實(shí)，沒(méi)有必要在樹建成后再做這樣的修改，完全可以在步驟二中分解路徑的同時(shí)更新樹，這樣效率會(huì)更高。移動(dòng)性樹的修改更新以下面的方式進(jìn)行，假設(shè)在時(shí)間t，樹中每個(gè)節(jié)點(diǎn)的頻率有如下更新 ●Fi(t)＝λ×1+(1-λ)×Fi(t-1)；其中節(jié)點(diǎn)i是事件中的節(jié)點(diǎn) ●Fi(t)＝λ×0+(1-λ)×Fi(t-1)；其中節(jié)點(diǎn)i不是事件中的節(jié)點(diǎn) 這里Fi(t)是在時(shí)間t節(jié)點(diǎn)i中保存的頻率值，λ是決定衰減率的修正常量。從時(shí)間(t-k)到時(shí)間t，沒(méi)有歷經(jīng)的節(jié)點(diǎn)的頻率將衰減到(1-λ)k，在這種方法下，每個(gè)節(jié)點(diǎn)的頻率反映了該節(jié)點(diǎn)最近過(guò)去的強(qiáng)度。在本發(fā)明后面的敘述中，假設(shè)λ的值是0.3，這是一個(gè)修正常量的常用值，也就是說(shuō)，當(dāng)一個(gè)新節(jié)點(diǎn)插入到樹中時(shí)，它的頻率值是0.3。
下面是整合EWMA算法到移動(dòng)性樹的偽代碼 Initialize mobility database＝null LOOP Wait for a sequence s IF(the mobility trie of the mobile exists) IF(a path p corresponding to s is found) Add s to the mobility trie Using EWMA to modify the frequencies of nodes ELSE Create new nodes，and initialize their frequencies to λ ELSE 1)Create a mobility trie＝single sequence s 2)Initialize the frequencies for every nodein sequences to λ FOREVER 下面是EWMA算法運(yùn)用的一個(gè)例子假設(shè)用戶經(jīng)過(guò)的小區(qū)列表(字符串)是“abcababcacababc”，分解成如下一系列短語(yǔ)(a)(b)(c)(ab)(abc)(ac)(aba)(bc)，與第二步中的假設(shè)相同，那么對(duì)于圖4中的樹運(yùn)用EWMA算法時(shí)，當(dāng)?shù)谝粋€(gè)字符a被解析時(shí)，節(jié)點(diǎn)的頻率如圖6a所示，之后(b)(c)(ab)被解析時(shí)分別如圖6b、圖6c、圖6d所示，其中 對(duì)于圖6a，節(jié)點(diǎn)a的初始化頻率值為0.3； 對(duì)于圖6b，節(jié)點(diǎn)a的頻率值為0.3×0+(1-0.3)×0.3＝0.21；節(jié)點(diǎn)b的初始化頻率值為0.3； 對(duì)于圖6c，節(jié)點(diǎn)a的頻率值為0.3×0+(1-0.3)×0.21＝0.147；節(jié)點(diǎn)b的頻率值為0.3×0+(1-0.3)×0.3＝0.21；節(jié)點(diǎn)c的初始化頻率值為0.3； 對(duì)于圖6d，節(jié)點(diǎn)a的頻率值為0.3×1+(1-0.3)×0.147＝0.4029；節(jié)點(diǎn)b的頻率值為0.3×0+(1-0.3)×0.21＝0.147；節(jié)點(diǎn)c的頻率值為0.3×0+(1-0.3)×0.3＝0.21；節(jié)點(diǎn)d的初始化頻率值為0.3。
以此類推，可以得到小區(qū)列表解析完成后所有節(jié)點(diǎn)的頻率信息。
(四)距離計(jì)算 運(yùn)用了EWMA算法的移動(dòng)性樹維護(hù)了用戶最近活動(dòng)中的穩(wěn)定的部分，據(jù)此就能準(zhǔn)確地預(yù)測(cè)出將來(lái)的活動(dòng)是否正常。
設(shè)置S＝(X1，X2，…，Xn)表示被監(jiān)控的用戶活動(dòng)，其中Xi表示一個(gè)小區(qū)號(hào)。根據(jù)之前建立的移動(dòng)性樹，要識(shí)別出當(dāng)前活動(dòng)是正常還是異常的。首先，使用高階馬爾可夫模型來(lái)計(jì)算出該活動(dòng)的混合轉(zhuǎn)移概率。
對(duì)于階i≥1，假設(shè)相應(yīng)的權(quán)值是wi，那么第o階轉(zhuǎn)移概率定義如下 當(dāng)o為第0階模型時(shí)，概率定義為 為了計(jì)算(Xi，Xi+1，...，Xi+o-1)→Xi+o的轉(zhuǎn)移概率，從移動(dòng)性樹的根節(jié)點(diǎn)檢索路徑(Xi，Xi+1，...，Xi+o-1)，如果能找到該路徑，則概率定義如下 如果不能找到該路徑(Xi，Xi+1，...，Xi+o-1)，則概率設(shè)為0。
假設(shè)混合權(quán)值向量為[w0，w1，...，wm]，那字符串S的概率定義為 顯而易見(jiàn)的，如果S的長(zhǎng)度增長(zhǎng)，更多的轉(zhuǎn)變會(huì)被考慮進(jìn)來(lái)，P將隨著S的長(zhǎng)度增加而增加，因此P不是一種很好的度量方法，本發(fā)明使用下面的定義作為距離的度量 其中Length(S)是字符串S的長(zhǎng)度。
根據(jù)該定義，距離的度量能通過(guò)字符串的長(zhǎng)度歸一化，為評(píng)估該活動(dòng)的正常性提供了很好的標(biāo)準(zhǔn)。直觀的說(shuō)，距離反映了該用戶遵守他自己路徑的程度。
對(duì)于路徑S，可以計(jì)算得到相應(yīng)的距離值Distance(S)，當(dāng)用戶遵守他自己的路徑運(yùn)動(dòng)時(shí)，因?yàn)樵撀窂椒从吃谝苿?dòng)性樹中，各階模型中多數(shù)改變都能找到，根據(jù)此前的定義，距離Distance(S)將是一個(gè)相應(yīng)的大值；反之，如果移動(dòng)設(shè)備破解，入侵者運(yùn)行的是不同的路徑，多數(shù)的改變將不可能在移動(dòng)性樹中，該路徑的距離值將趨向與一個(gè)非常小的數(shù)。
(五)閾值判斷 使用閾值策略來(lái)判斷當(dāng)前活動(dòng)是否是異常行為，如果距離值大于閾值，則認(rèn)為是正常行為；反之則是異常行為，發(fā)出報(bào)警。
設(shè)計(jì)一個(gè)閾值參數(shù)Pthr，當(dāng)距離Distance(S)≥Pthr時(shí)，字符串S表示的活動(dòng)被認(rèn)為是正常的；反之則為異常。該閾值是實(shí)現(xiàn)相關(guān)的，隨著用戶移動(dòng)性的不同而不同，在不同系統(tǒng)中可以不同實(shí)現(xiàn)。
當(dāng)用戶的活動(dòng)符合之前的路徑時(shí)，本發(fā)明中的方法能容忍微小的改變，那么誤報(bào)警率會(huì)非常低；同樣，由于移動(dòng)性樹記錄了用戶最常見(jiàn)的路徑，即使異常路徑很短，也會(huì)非常敏感，這使得該方法能非?？焖俚臋z測(cè)出異常活動(dòng)，這也是被攻擊后避免經(jīng)濟(jì)損失的一個(gè)重要方面。
采用了上述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法，由于其基于最新的移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)預(yù)測(cè)技術(shù)，并主要關(guān)注利用用戶移動(dòng)性模式來(lái)檢測(cè)異常行為，因?yàn)橐苿?dòng)預(yù)測(cè)能極大的改進(jìn)移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)性管理、服務(wù)質(zhì)量保障和資源管理的性能，同時(shí)移動(dòng)位置預(yù)測(cè)技術(shù)也能用來(lái)設(shè)計(jì)檢測(cè)異?；顒?dòng)，從而當(dāng)移動(dòng)用戶的移動(dòng)信息符合常規(guī)的路徑時(shí)，本發(fā)明的方法能容忍微小的改變，保證了誤報(bào)警率較低；而且由于移動(dòng)性樹記錄了移動(dòng)用戶最常見(jiàn)的路徑，即使異常路徑很短，也會(huì)非常敏感，從而能夠快速的檢測(cè)出異常活動(dòng)，在被攻擊后能夠有效避免經(jīng)濟(jì)損失，同時(shí)，能夠顯著改進(jìn)移動(dòng)通信網(wǎng)絡(luò)中的移動(dòng)性管理，確保移動(dòng)通信服務(wù)質(zhì)量，提高資源管理性能，安全有效，工作性能穩(wěn)定可靠，適用范圍較為廣泛，給人們的生活和工作都提供了安全的保障，并為移動(dòng)通信技術(shù)的進(jìn)一步普及應(yīng)用奠定了堅(jiān)實(shí)的基礎(chǔ)。
在此說(shuō)明書中，本發(fā)明已參照其特定的實(shí)施例作了描述。但是，很顯然仍可以作出各種修改和變換而不背離本發(fā)明的精神和范圍。因此，說(shuō)明書和附圖應(yīng)被認(rèn)為是說(shuō)明性的而非限制性的。
權(quán)利要求
1、一種移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)，包括歸屬位置寄存器，其特征在于，所述的系統(tǒng)中還包括移動(dòng)性數(shù)據(jù)庫(kù)和入侵異常檢測(cè)模塊，所述的移動(dòng)性數(shù)據(jù)庫(kù)位于所述的歸屬位置寄存器中，所述的入侵異常檢測(cè)模塊與所述的歸屬位置寄存器相連接。
2、一種使用權(quán)利要求1所述的系統(tǒng)實(shí)現(xiàn)基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的方法包括以下步驟
(1)系統(tǒng)獲得移動(dòng)通信網(wǎng)絡(luò)中的被檢測(cè)移動(dòng)用戶對(duì)應(yīng)的歷史路徑信息，并提取相應(yīng)的用戶特征；
(2)系統(tǒng)對(duì)所述的用戶特征信息進(jìn)行數(shù)據(jù)壓縮處理，并生成移動(dòng)性樹；
(3)根據(jù)移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息通過(guò)指數(shù)加權(quán)移動(dòng)平均算法對(duì)所述的移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新，得到移動(dòng)用戶的正常歸檔資料；
(4)系統(tǒng)根據(jù)移動(dòng)用戶的當(dāng)前移動(dòng)信息計(jì)算距離值，并對(duì)距離值進(jìn)行歸一化處理；
(5)系統(tǒng)判斷所得到的距離值與系統(tǒng)報(bào)警閾值之間的關(guān)系；
(6)如果距離值不低于系統(tǒng)報(bào)警閾值，則系統(tǒng)認(rèn)為是正常行為；反之，則系統(tǒng)認(rèn)為是異常行為，進(jìn)行后續(xù)報(bào)警處理。
3、根據(jù)權(quán)利要求1所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的獲得被檢測(cè)移動(dòng)用戶對(duì)應(yīng)的歷史路徑信息并提取用戶特征，包括以下步驟
(11)系統(tǒng)獲得被檢測(cè)移動(dòng)用戶所訪問(wèn)過(guò)的小區(qū)列表信息；
(12)系統(tǒng)將所述的小區(qū)列表信息保存在所述的歸屬位置寄存器中的移動(dòng)性數(shù)據(jù)庫(kù)中；
(13)系統(tǒng)根據(jù)移動(dòng)性數(shù)據(jù)庫(kù)中的該被檢測(cè)用戶的歷史路徑信息，提取對(duì)應(yīng)的用戶特征。
4、根據(jù)權(quán)利要求3所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的進(jìn)行數(shù)據(jù)壓縮處理并生成移動(dòng)性樹，具體為
系統(tǒng)通過(guò)基于字典的Lempel-Ziv文本壓縮編碼算法對(duì)所述的小區(qū)列表信息進(jìn)行數(shù)據(jù)壓縮，并得到相應(yīng)的移動(dòng)性多叉樹。
5、根據(jù)權(quán)利要求4所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的基于字典的Lempel-Ziv文本壓縮編碼算法為L(zhǎng)Z78壓縮編碼算法。
6、根據(jù)權(quán)利要求4所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的對(duì)移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新得到移動(dòng)用戶的正常歸檔資料，包括以下步驟
(21)根據(jù)t時(shí)刻移動(dòng)用戶的實(shí)時(shí)移動(dòng)信息判斷所述的移動(dòng)性樹中哪些節(jié)點(diǎn)被歷經(jīng)；
(22)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻被歷經(jīng)的節(jié)點(diǎn)i，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)i的頻率值Fi(t)
Fi(t)＝λ×1+(1-λ)×Fi(t-1)；
其中，λ為決定衰減率的修正常量，F(xiàn)i(O)＝0；
(23)對(duì)于所述的移動(dòng)性樹中在t時(shí)刻未被歷經(jīng)的節(jié)點(diǎn)j，根據(jù)以下公式計(jì)算該節(jié)點(diǎn)j的頻率值Fj(t)
Fj(t)＝λ×0+(1-λ)×Fj(t-1)；
其中，λ為決定衰減率的修正常量，F(xiàn)j(O)＝0；
(24)得到t時(shí)刻的移動(dòng)用戶的正常歸檔資料。
7、根據(jù)權(quán)利要求6所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的計(jì)算距離值并進(jìn)行歸一化處理，包括以下步驟
(31)利用高階馬爾可夫模型通過(guò)部分匹配預(yù)測(cè)PMM算法根據(jù)以下公式計(jì)算出移動(dòng)用戶的當(dāng)前移動(dòng)信息S＝(X1，X2，…，Xn)的混合轉(zhuǎn)移概率P
其中，m為馬爾可夫模型的最大階數(shù)，wi為系統(tǒng)預(yù)設(shè)的模型概率權(quán)值，Pi為第i階轉(zhuǎn)移概率，且其中滿足以下規(guī)則
(a)
(b)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)能夠檢索到路徑(Xj，Xj+1，…，Xj+i-1)，則
其中，
為節(jié)點(diǎn)Xj+i的頻率值，
為節(jié)點(diǎn)Xj+i-1的頻率值；
(c)如果從所述的移動(dòng)性樹的根節(jié)點(diǎn)出發(fā)無(wú)法檢索到路徑(Xj，Xj+1，…，Xj+i-1)，則
P(Xj+i|Xj，Xj+1，…，Xj+i-1)＝0；
(32)通過(guò)以下公式得到當(dāng)前移動(dòng)信息S所對(duì)應(yīng)的歸一化的距離值Distance(S)
其中，Length(S)為當(dāng)前移動(dòng)信息S的長(zhǎng)度。
8、根據(jù)權(quán)利要求7所述的移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，其特征在于，所述的判斷距離值與系統(tǒng)報(bào)警閾值之間的關(guān)系，包括以下步驟
(41)系統(tǒng)判斷歸一化的距離值Distance(S)與系統(tǒng)預(yù)設(shè)的報(bào)警閾值參數(shù)Pthr之間的關(guān)系；
(42)如果滿足Distance(S)≥Pthr，則返回距離值不低于系統(tǒng)報(bào)警閾值的結(jié)果；
(43)如果滿足Distance(S)<Pthr，則返回距離值低于系統(tǒng)報(bào)警閾值的結(jié)果。
全文摘要
本發(fā)明涉及一種移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的系統(tǒng)和方法，系統(tǒng)包括歸屬位置寄存器中的移動(dòng)性數(shù)據(jù)庫(kù)和與歸屬位置寄存器相連接的入侵異常檢測(cè)模塊，方法包括對(duì)獲得移動(dòng)用戶的歷史路徑信息并進(jìn)行特征提取、對(duì)用戶特征進(jìn)行數(shù)據(jù)壓縮生成移動(dòng)性樹、對(duì)移動(dòng)性樹進(jìn)行動(dòng)態(tài)更新得到移動(dòng)用戶正常歸檔資料、計(jì)算當(dāng)前移動(dòng)用戶的距離值并歸一化處理、判斷距離值與系統(tǒng)報(bào)警閾值間的關(guān)系、如果距離值低于系統(tǒng)報(bào)警閾值則是異常行為并進(jìn)行后續(xù)報(bào)警處理。采用該種移動(dòng)通信網(wǎng)絡(luò)中基于移動(dòng)性進(jìn)行入侵異常檢測(cè)的方法，能快速準(zhǔn)確檢測(cè)出異?；顒?dòng)，確保通信服務(wù)質(zhì)量，提高資源管理性能，工作性能穩(wěn)定，適用范圍廣，為移動(dòng)通信技術(shù)的普及應(yīng)用奠定了堅(jiān)實(shí)基礎(chǔ)。
文檔編號(hào)H04W12/12GK101547445SQ20081003506
公開日2009年9月30日 申請(qǐng)日期2008年3月25日 優(yōu)先權(quán)日2008年3月25日
發(fā)明者非 于, 吳天明, 亮 鞠, 車兆輝, 濤 寧 申請(qǐng)人:上海摩波彼克半導(dǎo)體有限公司