CN101547445A - 移动通信网络中基于移动性进行入侵异常检测的系统和方法 - Google Patents

Abstract

本发明涉及一种移动通信网络中基于移动性进行入侵异常检测的系统和方法，系统包括归属位置寄存器中的移动性数据库和与归属位置寄存器相连接的入侵异常检测模块，方法包括对获得移动用户的历史路径信息并进行特征提取、对用户特征进行数据压缩生成移动性树、对移动性树进行动态更新得到移动用户正常归档资料、计算当前移动用户的距离值并归一化处理、判断距离值与系统报警阈值间的关系、如果距离值低于系统报警阈值则是异常行为并进行后续报警处理。采用该种移动通信网络中基于移动性进行入侵异常检测的方法，能快速准确检测出异常活动，确保通信服务质量，提高资源管理性能，工作性能稳定，适用范围广，为移动通信技术的普及应用奠定了坚实基础。

Description

移动通信网络中基于移动性进行入侵异常检测的系统和方法

技术领域

本发明涉及移动通信网络安全领域，特别涉及移动通信网络异常检测技术领域，具体是指一种移动通信网络中基于移动性进行入侵异常检测的系统和方法。

背景技术

近些年来，随着社会信息化程度的不断提高，蜂窝移动网络的数据业务得到了快速发展，人们在日常生活中使用蜂窝电话来做越来越多重要和敏感的事务，如电子购物、电子银行等，这些急速发展的新业务带来巨大经济效益和社会效益的同时，也面临着日益严重的安全问题。网络安全的主要方面就是防止网络被攻击和对网络信息的入侵，尽管在蜂窝移动网络中使用了多种鉴权协议，但由于无线传输环境的开放性和移动设备物理缺陷，如何设计高度安全的蜂窝移动网络仍然是个巨大的挑战。

通常，保护一个系统存在两类方法：基于预防的方法和基于检测的方法。基于预防的技术，如鉴权和加密，通过对用户身份的鉴权识别和对信息的加密，阻止非法用户进入系统来有效的减少攻击，它们通常基于一些对称或非对称的机制来确保用户遵守预先确定的安全策略。然而，有线网络安全方面的经验显示，由于系统中一些缺陷很难预知，多层次、多级别的防护是非常必要的，移动网络更是如此，因为移动设备低的物理安全性，攻击者能利用各种技术来破解嵌入在移动设备中的用户信息。另外，当前防篡改的硬件和软件是非常昂贵的，在用户移动设备使用是不现实的。因此一旦移动设备被破解，设备上的所有秘密都会暴露给攻击者，使得所有基于预防的技术都将无效并给整个系统带来巨大的损害，为了解决这类问题，入侵检测系统(Intrusion Detection Systems，IDSs)作为保护系统的第二道防线能有效的帮助识别非法的活动。

目前入侵检测系统所采用的技术通常可分为特征检测与异常检测两种。特征检测(Signature-based detection)又称误用检测(Misuse detection)，包含基于规则(Rule-BasedIntrusion Detection)、基于模型(Model-Based Intrusion Detection)等建模方式，这一检测假设入侵者活动可以用一种模式来表示，对已知的攻击或入侵的方式和系统的缺陷形成签名，并存入数据库，系统的目标是检测当前的主体活动是否符合这些签名，当被审计的活动与已知的入侵事件签名相匹配时，即报警。它可以将已有的入侵方法检查出来，但由于缺乏相应的签名，对新的入侵方法无能为力。异常检测(Anomaly detection)包括基于统计(Statistic-BasedIntrusion Detection)、完整性分析等建模方式，根据系统状态或用户行为建立正常活动的“归档资料”，然后将当前主体的活动状况与“归档资料”相比较，当其违反其统计规律时，认为该活动可能是“入侵”行为，即报警。他可以将未知的入侵检测出来。

一个基本入侵检测系统需要解决两个方面的问题：一是如何充分并有效的提取活动行为的特征数据；二是如何高效并准确的识别入侵行为。然而，由于终端用户的移动性，蜂窝移动网络很难建立正常的“归档资料”，因此，如何建立移动用户正常的“归档资料”是蜂窝移动网络中设计入侵检测方案的关键。

在实际的生活工作中，用户的运动通常带有目的性并以最短的路径到目的地，这造成了绝大多数用户有自己的路径和习惯的运动方式，一般有一条或多条路径，如家→公司→家、家→学校→家。每个用户的移动模式(mobility pattern)是其运动路径的反应，尽管攻击者能破解移动设备的所有秘密，但他不能遵从真正用户的运动模式，也就是说，攻击者往往有不同的路径。通过建立能准确反映正常运动模式的用户归档资料和与当前运动模式的比较，就能有效的识别非法行为。

发明内容

本发明的目的是克服了上述现有技术中的缺点，提供一种能够准确灵敏检测异常入侵、显著提高移动通信网络的安全可靠性、确保移动通信服务质量、提高资源管理性能、工作性能稳定、适用范围较为广泛的移动通信网络中基于移动性进行入侵异常检测的系统和方法。

为了实现上述的目的，本发明的移动通信网络中基于移动性进行入侵异常检测的系统和方法如下：

该移动通信网络中基于移动性进行入侵异常检测的系统，包括归属位置寄存器，其主要特点是，所述的系统中还包括移动性数据库和入侵异常检测模块，所述的移动性数据库位于所述的归属位置寄存器中，所述的入侵异常检测模块与所述的归属位置寄存器相连接。

该使用上述的系统实现基于移动性进行入侵异常检测的方法，其主要特点是，所述的方法包括以下步骤：

(1)系统获得移动通信网络中的被检测移动用户对应的历史路径信息，并提取相应的用户特征；

(2)系统对所述的用户特征信息进行数据压缩处理，并生成移动性树；

(3)根据移动用户的实时移动信息通过指数加权移动平均算法对所述的移动性树进行动态更新，得到移动用户的正常归档资料；

(4)系统根据移动用户的当前移动信息计算距离值，并对距离值进行归一化处理；

(5)系统判断所得到的距离值与系统报警阈值之间的关系；

(6)如果距离值不低于系统报警阈值，则系统认为是正常行为；反之，则系统认为是异常行为，进行后续报警处理。

该移动通信网络中基于移动性进行入侵异常检测的方法中的获得被检测移动用户对应的历史路径信息并提取用户特征，包括以下步骤：

(11)系统获得被检测移动用户所访问过的小区列表信息；

(12)系统将所述的小区列表信息保存在所述的归属位置寄存器中的移动性数据库中；

(13)系统根据移动性数据库中的该被检测用户的历史路径信息，提取对应的用户特征。

该移动通信网络中基于移动性进行入侵异常检测的方法中的进行数据压缩处理并生成移动性树，具体为：

系统通过基于字典的Lempel-Ziv文本压缩编码算法对所述的小区列表信息进行数据压缩，并得到相应的移动性多叉树。

该移动通信网络中基于移动性进行入侵异常检测的方法中的基于字典的Lempel-Ziv文本压缩编码算法为LZ78压缩编码算法。

该移动通信网络中基于移动性进行入侵异常检测的方法中的对移动性树进行动态更新得到移动用户的正常归档资料，包括以下步骤：

(21)根据t时刻移动用户的实时移动信息判断所述的移动性树中哪些节点被历经；

(22)对于所述的移动性树中在t时刻被历经的节点i，根据以下公式计算该节点i的频率值F_i(t)：

F_i(t)＝λ×1+(1-λ)×F_i(t-1)；

其中，λ为决定衰减率的修正常量，F_i(0)＝0；

(23)对于所述的移动性树中在t时刻未被历经的节点j，根据以下公式计算该节点j的频率值F_j(t)：

F_j(t)＝λ×0+(1-λ)×F_j(t-1)；

其中，λ为决定衰减率的修正常量，F_j(0)＝0；

(24)得到t时刻的移动用户的正常归档资料。

该移动通信网络中基于移动性进行入侵异常检测的方法中的计算距离值并进行归一化处理，包括以下步骤：

(31)利用高阶马尔可夫模型通过部分匹配预测PMM算法根据以下公式计算出移动用户的当前移动信息S＝(X₁，X₂，…，X_n)的混合转移概率P：

$P=\underset{i=0}{\overset{m}{\mathrm{\Σ}}}{w}_i\×P_i$

其中，m为马尔可夫模型的最大阶数，w_i为系统预设的模型概率权值，P_i为第i阶转移概率，且 $P_i=\underset{j=1}{\overset{n-i}{\mathrm{\Σ}}}P\left(X_{j+i}\right|X_j,X_{j+1},\·\·\·,X_{j+i-1}),$ 其中满足以下规则：

(a) $P_0=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}P\left(X_i\right);$

(b)如果从所述的移动性树的根节点出发能够检索到路径(X_j，X_j+1，…，X_j+i-1)，则：

$P\left(X_{j+i}\right|X_j,X_{j+1},\·\·\·,X_{j+i-1})=\frac{F_{X_{j+i}}}{F_{X_{j+i-1}}};$

其中，

为节点Xj+，的频率值，

为节点X_j+i-1的频率值；

(c)如果从所述的移动性树的根节点出发无法检索到路径(X_j，X_j+1，…，X_j+i-1)，则：

P(X_j+i|X_j，X_j+1，…，X_j+i-1)＝0；

(32)通过以下公式得到当前移动信息S所对应的归一化的距离值Distance(S)：

$\mathrm{Dis}\tan \mathrm{ce}\left(S\right)=\frac{P}{\mathrm{Length}\left(S\right)};$

其中，Length(S)为当前移动信息S的长度。

该移动通信网络中基于移动性进行入侵异常检测的方法中的判断距离值与系统报警阈值之间的关系，包括以下步骤：

(41)系统判断归一化的距离值Distance(S)与系统预设的报警阈值参数P_thr之间的关系；

(42)如果满足Distance(S)≥P_thr，则返回距离值不低于系统报警阈值的结果；

(43)如果满足Distance(S)<P_thr，则返回距离值低于系统报警阈值的结果。

采用了该发明的移动通信网络中基于移动性进行入侵异常检测的系统和方法，由于其基于最新的移动通信网络中移动预测技术，并主要关注利用用户移动性模式来检测异常行为，因为移动预测能极大的改进移动通信网络中移动性管理、服务质量保障和资源管理的性能，同时移动位置预测技术也能用来设计检测异常活动，从而当移动用户的移动信息符合常规的路径时，本发明的方法能容忍微小的改变，保证了误报警率较低；而且由于移动性树记录了移动用户最常见的路径，即使异常路径很短，也会非常敏感，从而能够快速的检测出异常活动，在被攻击后能够有效避免经济损失，同时，能够显著改进移动通信网络中的移动性管理，确保移动通信服务质量，提高资源管理性能，安全有效，工作性能稳定可靠，适用范围较为广泛，给人们的生活和工作都提供了安全的保障，并为移动通信技术的进一步普及应用奠定了坚实的基础。

附图说明

图1为本发明的移动通信网络中基于移动性进行入侵异常检测的系统结构示意图。

图2是本发明的移动通信网络中基于移动性进行入侵异常检测的方法的流程图。

图3a、3b是本发明的真实网络环境的拓扑结构模型示意图。

图4是本发明的移动通信网络中基于移动性进行入侵异常检测的方法中的移动性树示意图。

图5是本发明的移动通信网络中基于移动性进行入侵异常检测的方法中基于路径的位置管理示意图。

图6a、6b、6c、6d为本发明的移动通信网络中基于移动性进行入侵异常检测的方法中根据移动用户的实时移动信息通过指数加权移动平均算法对移动性树进行动态更新的过程示意图。

具体实施方式

为了能够更清楚地理解本发明的技术内容，特举以下实施例详细说明。

首先对本发明中所使用的更加现实的网络模型、用户移动模型和数据压缩算法作简单的介绍：

(1)网络模型：在之前无线蜂窝网络的研究中使用了图形模型，如六边形、正方形小区，但这些模型并不能准确的表示真实的蜂窝网络，真实情况下，每个基站覆盖一个小区，小区的形状和大小随着基站天线的发射模式和无线传播环境的不同而各不相同。本发明使用通用的图形来建模真实的网络环境，模型如下：

G＝(V，E)；

其中，顶点集V表示基站的集合，这里假设每个基站控制单一小区；边集E表示相邻的小区对，另外在网络中没有假设位置区。请参阅图3所示，其是这种网络模型的一个例子，其中

V＝{a，b，c，...，1}

E＝{(a，b)，(a，c)，...，(k，1)}。

(2)用户移动模型：对称随机行走模型(random walk model)被广泛应用于个体运动特征的研究中，在该模型中，移动用户离开当前小区进入相邻小区的概率是相同的。但由于现实生活中移动用户的行动通常带有目的性，模型不能这样建立。本发明使用了m阶马尔可夫模型，在这个模型下用户的移动性可以用一个符号序列来表示，如C₁、C₂、C₃、......C_i，......，其中，C_i表示移动台当前所在小区的标识。由于用户下一个位置与他之前运动的历史相关，可以假设符号序列C₁、C₂、C₃、......C_i，......由m阶马尔可夫信源产生，用户运动到特定小区的概率与当前用户所在小区和最近经过的小区列表相关。

(3)数据压缩算法：数据压缩是在不丢失信息的前提下通过数据的编码来减小存储空间。实际上一些最常见的无损数据压缩算法通常是基于数据字典的，其中字典D＝(M，C)是短语M和函数C有限集，其中函数C将短语M影射为码集。事实上如果没有数据源的先验知识，那么数据压缩问题会非常复杂。

Lempel-Ziv算法系列也属于基于字典的文本压缩和编码技术，它们以Ziv和Lempel发明的分解算法为基础，并广泛用于数据压缩领域，从它被发明开始，产生了很多变种，LZ78是最流行的一种。LZ78最初是一个以字符为基础的数据压缩算法，它把输入字符串S(如小区列表)以某种方式分解成一系列短语x₁，x₂，......，x_m，这些短语有以下属性：如果j>1，那么存在数字i<j，使得短语x_j等于短语xi加上一个字符c，其中c是字母表中的一个字符，这也被叫做前缀属性。在分解处理过程中，一个短语是之前最长的匹配的短语加上一个字符，那么这是一个新的短语，需要被加入到字典中。“移动性树”非常适合存储这些被分解的短语，这是棵多叉树。

下面是实现LZ78算法伪代码：

Input：string S to beencoded

Output：the parsed string stored in the dictionary

BEGIN

     Initialize the dictionary D：＝EMPTY

     Initialize the current prefix P：＝EMPTY

     LOOP

     C：＝next character in S

     IF string(P+C)exist in the dictionary D

     THEN P：＝P+C

     ELSE

         Add string(P+C)to the dictionary D

         P：＝EMPTY

     IF no more characters exist in S

     THEN break

     FOREVER

END

LZ78算法理论是最优的，且实现方便。当输入文本由平稳遍历的信源产生时，随着输入的增大，LZ78算法的性能将接近最优，也就是说，在信源熵指定的条件下LZ78能把无穷长的字符串编码成最小。实现方便意味着通过把每条短语插入到树的数据结构中LZ78算法的检索能有效的执行。树结构非常适合存储被分解的短语，在树中，只有短语的前缀被保存，因为后缀能通过检索短语决定，从树根往下直到不匹配或到叶结点能找到最长的匹配子串。

这里有个使用LZ78算法分解字符串和创建树的例子。假定字母表A为{a，b，c}，输入字符串S为＂abcababcacababc......＂，字母表A中的元素表示用户可能访问的小区，那么S表示用户经过的小区列表。根据上面说述的分解方式，这个字符串S被分解成如下一系列短语：(a)(b)(c)(ab)(abc)(ac)(aba)(bc......)，这些短语能形成如图4所示的树，这是棵多叉树，从根节点到任何节点的路径都表示一个短语，节点中的数字表示该节点在分解过程中的频率。在这些短语中有5个以a开头，1个以b开头，1个以c开头，那么在根节点下a的概率为5/7，b的概率为1/7，c的概率为1/7；类似的，在5个以a开头的短语中，3个以ab开头，则在{a，5}节点ab的概率为3/5，以此类推可得出所有的概率信息。

(4)概率计算：本发明的概率计算方法是根据部分匹配预测(Prediction by PartialMatching，PMM)算法得出的，使用m阶马尔可夫模型来建模输入符号序列，根据之前连续的多个字符就能预测下一个符号。

如果阶数m太小，用来预测的数据很少，在长时间运行中导致预测结果不是非常准确；如果阶数太大，大多数上下文将很少发生，会产生零概率问题，在预测时不得不考虑。在考虑上述情况后，本发明选择了一个折中的方案，采用混合模型，这个方案是把不同阶数的预测整合到一起，使用多个不同阶数的模型分别计算概率，并对每个模型分配一个权值，最后对加权后的每个模型的概率取和。

假设最大的阶数是m，下一个字符是α可以根据之前i个字符预测，使用i阶模型预测后概率是p_i(α)，该模型的权值是w_i，那么混合概率可由下面公式计算得到：

$p\left(\mathrm{\&alpha;}\right)=\underset{i=0}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i\&times;p_i\left(\mathrm{\&alpha;}\right)$

其中权值w_i应该要归一化处理。注意当i为0时，每个字符概率是独立的。通常因为高阶的模型往往预测更加准确，模型的阶数越大，赋予的权值应该越大。根据不同的情况，最大的阶数m和权值w_i可以自行设计。

请参阅图1所示，该移动通信网络中基于移动性进行入侵异常检测的系统，包括归属位置寄存器(HLR)1、移动性数据库3和入侵异常检测模块2，所述的移动性数据库3位于所述的归属位置寄存器1中，所述的入侵异常检测模块2与所述的归属位置寄存器1相连接。

再请参阅图2所示，该使用上述的系统实现基于移动性进行入侵异常检测的方法，包括以下步骤：

(1)系统获得移动通信网络中的被检测移动用户对应的历史路径信息，并提取相应的用户特征，包括以下步骤：

(a)系统获得被检测移动用户所访问过的小区列表信息；

(b)系统将所述的小区列表信息保存在所述的归属位置寄存器1中的移动性数据库3中；

(c)系统根据移动性数据库3中的该被检测用户的历史路径信息，提取对应的用户特征；

(2)系统对所述的用户特征信息进行数据压缩处理，并生成移动性树，具体为：

系统通过基于字典的Lempel-Ziv文本压缩编码算法对所述的小区列表信息进行数据压缩，并得到相应的移动性多叉树；该算法可以为LZ78压缩编码算法，也可以为其它的基于字典的Lempel-Ziv文本压缩编码算法；

(3)根据移动用户的实时移动信息通过指数加权移动平均算法对所述的移动性树进行动态更新，得到移动用户的正常归档资料，包括以下步骤：

(a)根据t时刻移动用户的实时移动信息判断所述的移动性树中哪些节点被历经；

(b)对于所述的移动性树中在t时刻被历经的节点i，根据以下公式计算该节点i的频率值F_i(t)：

F_i(t)＝λ×1+(1-λ)×F_i(t-1)；

其中，λ为决定衰减率的修正常量，F_i(0)＝0；

(c)对于所述的移动性树中在t时刻未被历经的节点j，根据以下公式计算该节点j的频率值F_j(t)：

F_j(t)＝λ×0+(1-λ)×F_j(t-1)；

其中，λ为决定衰减率的修正常量，F_j(0)＝0；

(d)得到t时刻的移动用户的正常归档资料；

(4)系统根据移动用户的当前移动信息计算距离值，并对距离值进行归一化处理，包括以下步骤：

(a)利用高阶马尔可夫模型通过部分匹配预测PMM算法根据以下公式计算出移动用

户的当前移动信息S＝(X₁，X₂，…，X_n)的混合转移概率P：

$P=\underset{i=0}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i\&times;P_i$

其中，m为马尔可夫模型的最大阶数，w_i为系统预设的模型概率权值，P_i为第i阶转移概率，且 $P_i=\underset{j=1}{\overset{n-i}{\mathrm{\&Sigma;}}}P\left(X_{j+i}\right|X_j,X_{j+1},\&CenterDot;\&CenterDot;\&CenterDot;,X_{j+i-1}),$ 其中满足以下规则：

(i) $P_0=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}P\left(X_i\right);$

(ii)如果从所述的移动性树的根节点出发能够检索到路径

(X_j，X_j+1，…，X_j+i-1)，则：

$P\left(X_{j+i}\right|X_j,X_{j+1},\&CenterDot;\&CenterDot;\&CenterDot;,X_{j+i-1})=\frac{F_{X_{j+i}}}{F_{X_{j+i-1}}};$

其中，

为节点X_j+i的频率值，

为节点X_j+i-1的频率值；

(iii)如果从所述的移动性树的根节点出发无法检索到路径(X_j，X_j+1，…，X_j+i-1)，则：

P(X_j+i|X_j，X_j+1，…，X_j+i-1)＝0；

(b)通过以下公式得到当前移动信息S所对应的归一化的距离值Distance(S)：

$\mathrm{Dis}\tan \mathrm{ce}\left(S\right)=\frac{P}{\mathrm{Length}\left(S\right)};$

其中，Length(S)为当前移动信息S的长度；

(5)系统判断所得到的距离值与系统报警阈值之间的关系，包括以下步骤：

(a)系统判断归一化的距离值Distance(S)与系统预设的报警阈值参数P_thr之间的关系；

(b)如果满足Distance(S)≥P_thr，则返回距离值不低于系统报警阈值的结果；

(c)如果满足Distance(S)<P_thr，则返回距离值低于系统报警阈值的结果；

(6)如果距离值不低于系统报警阈值，则系统认为是正常行为；反之，则系统认为是异常行为，进行后续报警处理。

本发明的基本技术思想如下：

提取移动用户经过的小区识别符(Cell IDs)作为特征值，每个用户的移动模式可以用高阶马尔可夫模型来表现；使用优化的数据压缩LZ算法生成移动性“树”；对“树”运用指数加权移动平均(EWMA)被用来动态的更新用户正常的归档资料，用户的归档资料能准确的表现用户正常的活动并对异常改变非常敏感；根据用户当前的活动进行距离计算；使用阈值策略来判断当前活动是否是入侵行为，如果是则发出报警。

在设计本基于移动性的异常检测方法时，是基于以下假定的：

第一，假定每个用户都有对应的一个移动性数据库来记录该用户的正常活动，在蜂窝移动网络中这个假设是合理的，因为这个数据库能通过位置跟踪和预测来构建，该数据库应该和用户的个人信息一起存储在归属位置寄存器(HLR，Home Location Register)中，归属位置寄存器存有全部的本地用户信息，由运营商输入有关的用户信息，如用户的号码、国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)等。由于HLR的重要性，通常受保护的安全级别非常高，可以假定HLR是安全的并且运动位置信息是正确的，因此一般很难被破解。同样，位置的更新和注册是根据当前移动设备所在的服务小区和硬件的注册信息(如SIM卡的序列号)，这样即使入侵者破解了移动设备所有的秘密也很难隐藏和伪造他的位置信息，即使他找到了一些方法来伪造他的位置，他仍然无法知道真实用户正常的运动路径归档资料。

第二，假定移动设备能被破解，并且所有相关的秘密都暴露给了入侵者。在这个假设下，没有必要假设使用防篡改硬件和软件，这些对手提移动设备是非常昂贵和不切实际的。因为一旦移动设备被破解，会导致所有的预防保护技术无效，这个假设正好证明了本异常检测方案的有效性。实际上，如果假定所有软硬件都是防篡改的，那么整个安全体系的研究将变得非常简单。

第三，假定绝大多数移动用户有规则的路线，这使得建立用户正常的归档资料是可行的。由于大多数用户有正常的日常生活，这个假设也是合理的。事实上，所有的入侵检测都基于以下两个假设：

(1)通过一些审计机制，系统能监控主体的活动；

(2)正常和异常的活动证明是不同的动作。

本发明提出了异常检测方法是基于数据压缩Lempel-Ziv算法，当讨论这些算法时，使用“字符”，当用于蜂窝移动网络时，使用“小区”，这两个词在各自的领域含义是相同的；相似的，“字符串”被用于Lempel-Ziv算法，“小区列表”被用于蜂窝移动网络。

图1示意了使用本发明的异常检测模块在整个蜂窝网络中的位置。在不破坏现有网络结构的基础上，在蜂窝网络核心网中增加了入侵异常检测模块2，该入侵异常检测模块2从归属位置寄存器1能够中获取用户的历史路径信息，并使用本发明的入侵异常检测方法。

对于本发明的方法的具体实现过程，步骤如下：

一、特征提取，获得用户访问过的小区列表，并将信息保存在之前假设的HLR中的移动性数据库中。之前的研究表明可以有多种技术来获取用户访问过程小区列表信息，其中最简单的是目前蜂窝系统中提供的位置跟踪服务，用户每次经过的一个小区时向网络报告他的位置，这在增加网络流量的同时也会引起用户位置的隐私问题，蜂窝系统提供给用户是否关闭该服务的选项。另外基于移动性的位置管理是个不错的选择，在提高网络利用率的同时又能得到用户经过的小区信息。

二、根据数据压缩技术，LZ(Lempel-Ziv)压缩算法，对用户经过的小区列表进行分解，产生相应的小区序列，生成移动性“树”，这是棵多叉树，从“根”到每个“节点”都表示用户经过的路径。

三、对“树”运用指数加权移动平均(EWMA)被用来动态的更新用户正常的归档资料，用户的归档资料能准确的表现用户正常的活动并对异常改变非常敏感。

四、根据用户当前的活动进行距离计算，并对距离值做归一化处理，如果是异常活动，那么移动性“树”中没有该路径信息，距离值会相应小些。

五、使用阈值策略来判断当前活动是否是异常行为，如果距离值大于阈值，则认为是正常行为；反之则是异常行为，发出报警。

对于移动通信网络的移动用户来说，运动模式能被捕捉并建模。通过研究授权用户的移动历史，就能知道用户的移动模式，之后通过比较当前的移动信息和正常的运动模式就能识别入侵者，然而，有一定数量的用户(如出租车司机)不存在规则的运动模式，就算可能，对这些用户运动模式的建模也是非常困难的，另外，用户偶尔改变正常的路线也是正常的，如用户外出度假会与正常的运动模式产生巨大的差异，不同的度假路线将导致非常罕见的事件。所有这些因素可能会导致建立的用户的正常归档资料不准确，因此，本发明没有指望该基于移动模式的检测方案对所有情况下所有用户都适用。基于以上考虑，使用本发明构建的系统并不能准确的检测出所有的入侵；相反，本发明的目标是向终端用户提供一种可选的服务，同时也给服务运营商提供一个有效的管理工具。如果被破解的蜂窝电话没有被及时的识别，攻击者将给授权用户带来巨大的损失，由于这个原因，如果系统发现了异常行为，系统应该通过其他渠道(如电子邮件，家庭固定电话)给真正的用户发出一些警告信息，这些警告信息如“我们发现你的运动模式有重大的改变，你的手机还安全吗？”。由于无线网络安全相关的攻击事件数量不断增加，可以相信这样一种可选服务将非常受欢迎。对于服务提供商，采用本技术的系统能建立一个“灰色列表”，列表中包含运动模式有重大改变的用户，这些列表中的用户需要被更加谨慎的监控，只要他们试图发出一些危害网络的命令，系统将立即做出响应来避免潜在的经济损失。这个“灰色列表”会被动态的更新，例如，用户离开去度假时由于运动模式发生巨大改变将会被加入到这个列表中，用户回来后回到之前正常的运动模式时将会从列表中删除。这和银行系统的处理相似，当用户的信用卡在该用户经常所处的地方之外的其他地方使用时，系用将会检测该次使用，并通过其他途径通知用户。

本发明的方法中，主要关注利用用户移动性模式来检测异常行为。在入侵者伪造了授权用户的移动电话之后，他拨打电话时有可能处于静态或半静态状态，目前已经有利用其它特征如呼叫驻留时间(call residence time)来检测这类潜在的异常行为，本发明暂时不考虑这种情况，但在第四步中距离归一化之后可以很简单的对这种情况进行扩展，这样就能识别更多的入侵行为。

在实际应用当中，本发明将采用下面的详细的工作过程：

(一)特征提取，获得用户的历史路径信息

由于用户能在蜂窝网络覆盖的范围内自由活动，网络为了随时能与用户建立通信，需要知道用户在网络中的位置，在目前的技术中是通过位置更新过程实现的，即用户每进入一个新的位置区时向网络通知其的位置发生了改变。位置区是网络能确定移动台位置的最小区域，通常包含若干个小区，也就是说网络并不知道用户具体在那个小区。如果位置区缩小成一个小区时，就会有大量的位置更新过程，浪费大量的网络资源，最新研究表明，如果能预测出用户将来的位置，那就没有必要大量的更新，这就是基于路径的位置管理技术。

假设用户经过的小区列表是“abcababcacababc”，经过LZ78算法进行分解后得到一系列短语：(a)(b)(c)(ab)(abc)(ac)(aba)(bc)，根据之前概率计算中介绍的部分匹配预测算法，用户的位置能通过预测得出，那么只有用户进入新的路径时才需要向网络更新，并向网络报告其新的路径，图5示意了基于路径的位置管理的过程，其中“↑”表示位置更新，这样网络就得到了用户的历史路径，并将该信息保存在HLR中的用户移动性数据库中。

关于基于路径的位置管理的详细的技术细节说明，可以参阅申请人之前递交的以下中国专利申请：

专利申请号：200710043970.X

专利申请日：2007年7月18日

发明名称：移动通信系统中实现移动台位置管理的系统及其方法

(二)根据第一步得到的字符串(小区列表信息)，使用上面介绍的LZ78算法进行分解。假设用户经过的小区列表是“abcababcacababc”，与之前的例子相同，那么分解后的移动性树请参阅图4所示。

(三)对移动性树整合EWMA算法，得到用户正常的归档资料。

在异常检测中，每个主体都存在一个正常的用户归档资料，对于单个主体，他的活动会随着时间改变，因此为了及时地反映每个用户的活动，正常归档资料需要不断的更新。在蜂窝网络中，由于用户的移动性，用户活动的正常归档资料应该是动态的，通常用户最近过去的活动应该比一段时间之前的活动更能反映当前用户的情况，即权重应该大些，采用自适应的方法修改正常归档资料是非常合适的。

基于以上考虑，本发明将EWMA算法整合到之前构建的移动性树中，当新短语被解析之后，认为发生了新的事件或活动，注意该事件对应一个符号序列，也就是用户的路径发生了改变。其实，没有必要在树建成后再做这样的修改，完全可以在步骤二中分解路径的同时更新树，这样效率会更高。移动性树的修改更新以下面的方式进行，假设在时间t，树中每个节点的频率有如下更新：

●F_i(t)＝λ×1+(1-λ)×F_i(t-1)；其中节点i是事件中的节点

●F_i(t)＝λ×0+(1-λ)×F_i(t-1)；其中节点i不是事件中的节点

这里F_i(t)是在时间t节点i中保存的频率值，λ是决定衰减率的修正常量。从时间(t-k)到时间t，没有历经的节点的频率将衰减到(1-λ)^k，在这种方法下，每个节点的频率反映了该节点最近过去的强度。在本发明后面的叙述中，假设λ的值是0.3，这是一个修正常量的常用值，也就是说，当一个新节点插入到树中时，它的频率值是0.3。

下面是整合EWMA算法到移动性树的伪代码：

Initialize mobility database：＝null

LOOP

Wait for a sequence s

IF(the mobility trie of the mobile exists)

  IF(a path p corresponding to s is found)

    Add s to the mobility trie

    Using EWMA to modify the frequencies of nodes

  ELSE

    Create new nodes，and initialize their frequencies to λ

ELSE

  1)Create a mobility trie：＝single sequence s

  2)Initialize the frequencies for every nodein sequences to λ

FOREVER

下面是EWMA算法运用的一个例子：假设用户经过的小区列表(字符串)是“abcababcacababc”，分解成如下一系列短语：(a)(b)(c)(ab)(abc)(ac)(aba)(bc)，与第二步中的假设相同，那么对于图4中的树运用EWMA算法时，当第一个字符a被解析时，节点的频率如图6a所示，之后(b)(c)(ab)被解析时分别如图6b、图6c、图6d所示，其中：

对于图6a，节点a的初始化频率值为0.3；

对于图6b，节点a的频率值为0.3×0+(1-0.3)×0.3＝0.21；节点b的初始化频率值为0.3；

对于图6c，节点a的频率值为0.3×0+(1-0.3)×0.21＝0.147；节点b的频率值为0.3×0+(1-0.3)×0.3＝0.21；节点c的初始化频率值为0.3；

对于图6d，节点a的频率值为0.3×1+(1-0.3)×0.147＝0.4029；节点b的频率值为0.3×0+(1-0.3)×0.21＝0.147；节点c的频率值为0.3×0+(1-0.3)×0.3＝0.21；节点d的初始化频率值为0.3。

以此类推，可以得到小区列表解析完成后所有节点的频率信息。

(四)距离计算

运用了EWMA算法的移动性树维护了用户最近活动中的稳定的部分，据此就能准确地预测出将来的活动是否正常。

设置S＝(X₁，X₂，…，X_n)表示被监控的用户活动，其中X_i表示一个小区号。根据之前建立的移动性树，要识别出当前活动是正常还是异常的。首先，使用高阶马尔可夫模型来计算出该活动的混合转移概率。

对于阶i≥1，假设相应的权值是w_i，那么第o阶转移概率定义如下：

$P_o=\underset{i=1}{\overset{n-o}{\mathrm{\&Sigma;}}}P\left(X_{i+o}\right|X_i,X_{i+1},...,X_{i+o-1})$

当o为第0阶模型时，概率定义为：

$P_0=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}P\left(X_i\right)$

为了计算(X_i，X_i+1，...，X_i+o-1)→X_i+o的转移概率，从移动性树的根节点检索路径(X_i，X_i+1，...，X_i+o-1)，如果能找到该路径，则概率定义如下：

$P\left(X_{i+o}\right|X_i,X_{i+1},...,X_{i+o-1})=\frac{F\left(X_{i+o}\right)}{F\left(X_{i+o-1}\right)}$

如果不能找到该路径(X_i，X_i+1，...，X_i+o-1)，则概率设为0。

假设混合权值向量为[w₀，w₁，...，w_m]，那字符串S的概率定义为：

$P=\underset{i=0}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i\&times;P_i$

显而易见的，如果S的长度增长，更多的转变会被考虑进来，P将随着S的长度增加而增加，因此P不是一种很好的度量方法，本发明使用下面的定义作为距离的度量：

$\mathrm{Dis}\tan \mathrm{ce}\left(S\right)=\frac{P}{\mathrm{Length}\left(S\right)}$

其中Length(S)是字符串S的长度。

根据该定义，距离的度量能通过字符串的长度归一化，为评估该活动的正常性提供了很好的标准。直观的说，距离反映了该用户遵守他自己路径的程度。

对于路径S，可以计算得到相应的距离值Distance(S)，当用户遵守他自己的路径运动时，因为该路径反映在移动性树中，各阶模型中多数改变都能找到，根据此前的定义，距离Distance(S)将是一个相应的大值；反之，如果移动设备破解，入侵者运行的是不同的路径，多数的改变将不可能在移动性树中，该路径的距离值将趋向与一个非常小的数。

(五)阈值判断

使用阈值策略来判断当前活动是否是异常行为，如果距离值大于阈值，则认为是正常行为；反之则是异常行为，发出报警。

设计一个阈值参数P_thr，当距离Distance(S)≥P_thr时，字符串S表示的活动被认为是正常的；反之则为异常。该阈值是实现相关的，随着用户移动性的不同而不同，在不同系统中可以不同实现。

当用户的活动符合之前的路径时，本发明中的方法能容忍微小的改变，那么误报警率会非常低；同样，由于移动性树记录了用户最常见的路径，即使异常路径很短，也会非常敏感，这使得该方法能非常快速的检测出异常活动，这也是被攻击后避免经济损失的一个重要方面。

采用了上述的移动通信网络中基于移动性进行入侵异常检测的系统和方法，由于其基于最新的移动通信网络中移动预测技术，并主要关注利用用户移动性模式来检测异常行为，因为移动预测能极大的改进移动通信网络中移动性管理、服务质量保障和资源管理的性能，同时移动位置预测技术也能用来设计检测异常活动，从而当移动用户的移动信息符合常规的路径时，本发明的方法能容忍微小的改变，保证了误报警率较低；而且由于移动性树记录了移动用户最常见的路径，即使异常路径很短，也会非常敏感，从而能够快速的检测出异常活动，在被攻击后能够有效避免经济损失，同时，能够显著改进移动通信网络中的移动性管理，确保移动通信服务质量，提高资源管理性能，安全有效，工作性能稳定可靠，适用范围较为广泛，给人们的生活和工作都提供了安全的保障，并为移动通信技术的进一步普及应用奠定了坚实的基础。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

Claims (8)

1、一种移动通信网络中基于移动性进行入侵异常检测的系统，包括归属位置寄存器，其特征在于，所述的系统中还包括移动性数据库和入侵异常检测模块，所述的移动性数据库位于所述的归属位置寄存器中，所述的入侵异常检测模块与所述的归属位置寄存器相连接。

2、一种使用权利要求1所述的系统实现基于移动性进行入侵异常检测的方法，其特征在于，所述的方法包括以下步骤：

(1)系统获得移动通信网络中的被检测移动用户对应的历史路径信息，并提取相应的用户特征；

(2)系统对所述的用户特征信息进行数据压缩处理，并生成移动性树；

(3)根据移动用户的实时移动信息通过指数加权移动平均算法对所述的移动性树进行动态更新，得到移动用户的正常归档资料；

(4)系统根据移动用户的当前移动信息计算距离值，并对距离值进行归一化处理；

(5)系统判断所得到的距离值与系统报警阈值之间的关系；

(6)如果距离值不低于系统报警阈值，则系统认为是正常行为；反之，则系统认为是异常行为，进行后续报警处理。

3、根据权利要求1所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的获得被检测移动用户对应的历史路径信息并提取用户特征，包括以下步骤：

(11)系统获得被检测移动用户所访问过的小区列表信息；

(12)系统将所述的小区列表信息保存在所述的归属位置寄存器中的移动性数据库中；

(13)系统根据移动性数据库中的该被检测用户的历史路径信息，提取对应的用户特征。

4、根据权利要求3所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的进行数据压缩处理并生成移动性树，具体为：

系统通过基于字典的Lempel-Ziv文本压缩编码算法对所述的小区列表信息进行数据压缩，并得到相应的移动性多叉树。

5、根据权利要求4所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的基于字典的Lempel-Ziv文本压缩编码算法为LZ78压缩编码算法。

6、根据权利要求4所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的对移动性树进行动态更新得到移动用户的正常归档资料，包括以下步骤：

(21)根据t时刻移动用户的实时移动信息判断所述的移动性树中哪些节点被历经；

(22)对于所述的移动性树中在t时刻被历经的节点i，根据以下公式计算该节点i的频率值F_i(t)：

F_i(t)＝λ×1+(1-λ)×F_i(t-1)；

其中，λ为决定衰减率的修正常量，F_i(O)＝0；

(23)对于所述的移动性树中在t时刻未被历经的节点j，根据以下公式计算该节点j的频率值F_j(t)：

F_j(t)＝λ×0+(1-λ)×F_j(t-1)；

其中，λ为决定衰减率的修正常量，F_j(O)＝0；

(24)得到t时刻的移动用户的正常归档资料。

7、根据权利要求6所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的计算距离值并进行归一化处理，包括以下步骤：

(31)利用高阶马尔可夫模型通过部分匹配预测PMM算法根据以下公式计算出移动用户的当前移动信息S＝(X₁，X₂，…，X_n)的混合转移概率P：

$P=\underset{i=0}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i\&times;P_i$

其中，m为马尔可夫模型的最大阶数，w_i为系统预设的模型概率权值，P_i为第i阶转移概率，且 $P_i=\underset{j=1}{\overset{n-i}{\mathrm{\&Sigma;}}}P\left(X_{j+i}\right|X_j,X_{j+1},\&CenterDot;\&CenterDot;\&CenterDot;,X_{j+i-1}),$ 其中满足以下规则：

(a) $P_0=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}P\left(X_i\right);$

(b)如果从所述的移动性树的根节点出发能够检索到路径(X_j，X_j+1，…，X_j+i-1)，则：

$P\left(X_{j+i}\right|X_j,X_{j+1},\&CenterDot;\&CenterDot;\&CenterDot;,X_{j+i-1})=\frac{F_{X_{j+i}}}{F_{X_{j+i-1}}};$

其中，

为节点X_j+i的频率值，

为节点X_j+i-1的频率值；

(c)如果从所述的移动性树的根节点出发无法检索到路径(X_j，X_j+1，…，X_j+i-1)，则：

P(X_j+i|X_j，X_j+1，…，X_j+i-1)＝0；

(32)通过以下公式得到当前移动信息S所对应的归一化的距离值Distance(S)：

$\mathrm{Dis}\tan \mathrm{ce}\left(S\right)=\frac{P}{\mathrm{Length}\left(S\right)};$

其中，Length(S)为当前移动信息S的长度。

8、根据权利要求7所述的移动通信网络中基于移动性进行入侵异常检测的方法，其特征在于，所述的判断距离值与系统报警阈值之间的关系，包括以下步骤：

(41)系统判断归一化的距离值Distance(S)与系统预设的报警阈值参数P_thr之间的关系；

(42)如果满足Distance(S)≥P_thr，则返回距离值不低于系统报警阈值的结果；

(43)如果满足Distance(S)<P_thr，则返回距离值低于系统报警阈值的结果。

Images