基於逆向的入侵檢測系統及其方法

2023-08-07 20:11:21 2

基於逆向的入侵檢測系統及其方法
【專利摘要】本發明公開了一種基於逆向的入侵檢測系統及其方法，涉及網絡加密協議領域。本系統包括數據提取模塊、逆向分析模塊、入侵規則模塊、響應模塊和數據管理模塊。本方法是：①數據提取模塊捕獲所有流經安卓手機的網絡數據包，發送給逆向分析引擎，數據提取模塊獲取網絡進程以及用戶行為，生成系統日誌和網絡日誌發送給數據管理模塊；②逆向分析引擎通過TCP/IP協議分析技術和apk反編譯逆向技術，結合系統日誌和網絡日誌識別入侵行為；③響應模塊對逆向分析引擎識別出來的入侵行為進行警告以及記錄；④用戶所有的信息都會存放在數據管理模塊中，方便以後取證查找。本發明具有安全性、時效性、可擴展性和超前性。
【專利說明】基於逆向的入侵檢測系統及其方法
【技術領域】
[0001]本發明涉及網絡加密協議領域，尤其涉及一種基於逆向的入侵檢測系統及其方法，具有可擴展性和高時效性的優勢。
【背景技術】
[0002]根據專業手機殺毒軟體企業安全管家發布的《2013年上半年度手機安全行業分析報告》顯示，2013年上半年，共發現手機惡意軟體33930款，其中基於安卓平臺的惡意軟體就有26580款，增長非常迅猛。26580款惡意軟體中，其中有12%存在盜取用戶的隱私信息如地理位置信息、通訊錄、簡訊及設備信息等的現象。入侵檢測系統能識別入侵行為，對盜取用戶隱私信息的危險進行有效抑制，對維護網絡安全具有很大的實用價值。
[0003]復旦大學計算機科學技術學院研究團隊對移動智能終端用戶隱私洩露問題也進行了相應的研究。研究結果顯示在該團隊抽樣33個熱門的安卓應用程式中，58%的程序存在隱私洩露行為，其中有25%的應用程式對用戶的隱私信息進行加密後上傳至伺服器，力口大了審查認證的難度。

【發明內容】

[0004]本發明的目的就在於克服現有技術存在的缺點和不足，針對隱私信息的加密操作，提供一種基於逆向的入侵檢測系統及其方法，實現對加密入侵行為的識別。
[0005]實現本發明目的技術方案是:
本發明主要檢測用戶隱私洩露的問題，遵從網絡信息安全的保密性，從手機側獲得用戶的行為特徵，實現對危險行為的預警以及隱私洩露的警告，為維護網絡安全奠定了理論基礎。
[0006]本發明通過對當今安卓手機入侵行為，尤其是洩露用戶隱私這個危險較大的行為進行詳細研究，通過以下3種方式實現入侵行為的檢測:
1、利用 TCP/IP (Transmission Control Protocol / Internet Protocol,傳輸控制/網絡通訊)協議對未加密入侵行為產生的網絡數據包進行分析，獲取特徵字寫到入侵規則模塊中，在此之後的用戶數據包，一旦命中入侵規則模塊，則被識別成已知的入侵行為。
[0007]2、根據網絡日誌判斷入侵行為，分析入侵行為和手機正常應用程式行為特徵在相關日誌的具體表現形式與差異性，總結歸納出手機入侵行為檢測規則，比如瀏覽一些HTTP (Hyper Text Transport Protocol,超文本傳輸協議)的網站,其訪問地址中不會帶有用戶 IMSI (International Mobile Subscriber Identity,國際移動用戶識別碼)、IMEI(International Mobile Equipment Identity,國際行動電話設備)、ICCID (IntegrateCircuit Card Identity,成電路卡識別碼)和 MSISDN(Mobile Subscriber InternationalISDN/PSTN number，移動用戶號碼)，一旦發現帶有用戶隱私信息，則被識別為入侵行為。
[0008]3、根據系統日誌判斷入侵行為，通過對涉及入侵的代碼進行分析，獲取一些統計的和靜態的信息；通過對程序文件進行反編譯後，利用逆向技術，查看反編譯後的代碼，從而判斷程序是否具有入侵行為的意圖。
[0009]一旦被識別為入侵行為，系統將會產生警告，這些規則可以由用戶自己設定；而與之相關的記錄都會存儲在數據管理模塊中，方便日後取證。
[0010]一、基於逆向的入侵檢測系統(簡稱系統)
本系統包括數據提取模塊、逆向分析模塊、入侵規則模塊、響應模塊和數據管理模塊； 其交互關係是:
數據提取模塊、逆向分析模塊和響應模塊依次交互，實現網絡數據包的提取、逆向分析以及對入侵行為的響應；
逆向分析模塊分別與入侵規則模塊和數據管理模塊交互，實現入侵行為規則的積累和存儲；
數據提取模塊和響應模塊分別與數據管理模塊交互，實現系統日誌和網絡日誌的生成，從而識別入侵行為。
[0011]二、基於逆向的入侵檢測方法(簡稱方法)
本方法的研究思路是通過當今安卓手機入侵行為，尤其是洩露用戶隱私這種危害較大的行為進行詳細研究，通過逆向技術和協議分析技術，結合系統日誌和網絡日誌實現對入侵行為的檢測，並且對入侵行為進行警告以及記錄。
[0012]本方法包括下列步驟:
①數據提取模塊捕獲所有流經安卓手機的網絡數據包，發送給逆向分析引擎，數據提取模塊獲取網絡進程以及用戶行為，生成系統日誌和網絡日誌發送給數據管理模塊；
②逆向分析引擎通過TCP/IP協議分析技術和apk反編譯逆向技術，結合系統日誌和網絡日誌識別入侵行為；
③響應模塊對逆向分析引擎識別出來的入侵行為進行警告以及記錄；
④用戶所有的信息都會存放在數據管理模塊中，方便以後取證查找。
[0013]本發明具有下列優點和積極效果:
①安全性:本發明在保障系統安全策略措施的實施，引入的前提是不妨礙安卓系統的正常運行；
②時效性:將入侵行為特徵轉換為系統行為和網絡行為的日誌特徵，通過對日誌的分析來檢測入侵行為，其檢測範圍要比傳統實時行為檢測要少，檢測規則也相對簡單，也降低了對系統資源的開銷；
③可擴展性:在不對系統的結構進行修改的前提下，對檢測手段進行調整，以此來保證可以檢測新的攻擊；
④超前性:目前入侵檢測系統可以識別未加密的帶有用戶隱私信息的入侵行為，本發明基於結合逆向技術和協議分析技術可以識別加密用戶隱私信息的入侵行為。
【專利附圖】

【附圖說明】
[0014]圖1是本系統的結構方框圖；
其中:
100—數據提取模塊；
200—逆向分析引擎；300—入侵規則模塊；
400一響應模塊；
500—數據管理模塊。
[0015]英譯漢
1、TCP/IP !Transmission Control Protocol / Internet Protocol,傳輸控制 / 網絡通訊。
[0016]2> HTTP:Hyper Text Transport Protocol,超文本傳輸協議；
3、IMS1:1nternational Mobile Subscriber Identity,國際移動用戶識 別碼；
4、IME1:1nternational Mobile Equipment Identity,國際行動電話設備識別碼；
5、ICCID:1ntegrate Circuit Card Identity,成電路卡識別碼;
6、MSISDN:Mobile Subscriber International ISDN/PSTN number，移動用戶號碼；
7、libpcap:Lib Packet Capture,數據包捕獲函數庫。
【具體實施方式】
[0017]下面結合附圖和實施例詳細說明:
一、系統
1、總體
如圖1，本系統包括數據提取模塊100、逆向分析模塊200、入侵規則模塊300、響應模塊400和數據管理模塊500 ；
其交互關係是:
數據提取模塊100、逆向分析模塊200和響應模塊400依次交互，實現網絡數據包的提取、逆向分析以及對入侵行為的響應；
逆向分析模塊200分別與入侵規則模塊300和數據管理模塊500交互，實現入侵行為規則的積累和存儲；
數據提取模塊100和響應模塊400分別與數據管理模塊500交互，實現系統日誌和網絡日誌的生成，從而識別入侵行為。
[0018]2、功能模塊
①數據提取模塊100
數據提取模塊100是一種數據採集方法；
採用Iibpcap函數庫；
截獲網絡數據包發給逆向分析引擎200，並且把系統日誌和網絡日誌發給數據管理模塊 500。
[0019]②逆向分析引擎200
逆向分析引擎200是一種協議還原方法；
採用TCP/IP協議規則抽取其特徵碼到入侵規則模塊300 ；
通過系統日誌和網絡日誌結合逆向技術識別入侵行為。 [0020]③入侵規則模塊300
入侵規則模塊300是一種配置文件，裡面存放唯一識別入侵行為的特徵碼； 通過逆向分析引擎200分析大量的已知入侵行為的樣本，找到入侵行為的特徵碼，存儲到入侵規則模塊。
[0021]④響應模塊400
響應模塊400是一種對入侵行為響應的選項；
當網絡數據包命中入侵規則模塊300，或者系統調用以及用戶行為命中系統網絡日誌時，也就是檢測到這些動作為入侵動作，響應模塊400則對其進行警報，並且記錄到數據管理模塊500中。
[0022]⑤數據管理模塊500
數據管理模塊500是一種sqlite3資料庫；
存放系統日誌、網絡日誌以及入侵行為的處理日誌，以供用戶日後查證；
資料庫採用安卓平臺內置的sqlite3輕量級資料庫實現，由於安卓系統存儲空間有限，當數據量達到到一定大小時，可以轉存在PC機上或者定時清理。
[0023]3、本系統的工作機理:
當網絡數據包流經數據提取模塊100時，採用Iibpcap函數庫實現網絡數據包的採集，數據提取模塊100根據網絡進程和用戶行為生成系統日誌和網絡日誌，逆向分析引擎200採用TCP/IP協議分析技術掃描網絡數據包，一旦命中入侵規則庫中的特徵碼，則被識別為入侵行為；根據網絡日誌、分析入侵行為和手機正常應用程式行為特徵在相關日誌的具體表現形式與差異性，識別入侵行為；根據系統日誌結合逆向技術判斷入侵行為意圖，同樣可以被識別為入侵行為。接著響應模塊400會對入侵行為進行報警，最後用戶的所有信息都會存儲到數據管理模塊，方便日後取證。
[0024]二、方法
1、步驟①:
所述的網絡數據包是對用戶行為過程的描述，發給逆向分析引擎；
所述的系統日誌是對網絡上所有的進程進行監控，記錄調用的系統函數，發給數據管理模塊；
所述的網絡日誌是對用戶的行為進行監測，包括進程號碼，用戶瀏覽的網址，操作的軟體以及流量信息發給數據管理模塊。
[0025]2、步驟②:
A、通過TCP/IP協議分析技術實現網絡數據包的還原，獲取ip、埠和特徵碼，以及任何可以識別該入侵行為的標誌，這些標誌都是通過大量的分析已知入侵行為獲取的，存到入侵規則模塊中，當對手機網絡數據包進行檢測時，掃描其中是否會命中入侵規則模塊中的特徵碼，一旦命中則可以判定該行為為入侵行為，並且可以判斷是哪種入侵行為；
B、結合逆向技術，參看系統日誌，入侵行為一般都會具有某個相同或者相似的行為，而這些行為具有一定的特徵，因此對特定的程序指令序列或多種程序指令系列的組合為規則進行掃描，就可以判斷為入侵行為；
其中找到特定的程序指令序列的方式採用逆向技術，它是在現有軟體的基礎上經過逆向反編譯，對二進位代碼進行分析總結出程序內部數據結構，邏輯關係來實現apk軟體程序流程的分析。破解一個完整的apk程序的過程如下:將apk文件利用ApkTool反編譯，生成Smail格式的反彙編代碼，閱讀Smail文件的代碼來理解程序的運行機制，參看系統日誌，參看程序調用的系統函數，找到程序的突破口進行修改，最後使用ApkTool重新編譯生成apk文件並籤名，測試運行,如此循環,直到程序被成功破解。在破解一個加密協議的過程中，有時候我們並不需要了解整個協議的運行機制，只需知道在哪個環節造成了用戶信息的洩露，形成了入侵行為。比如用戶瀏覽網站的時候，惡意插件私下上傳用戶的通訊錄信息，那麼通過系統日誌找到上傳時調用的函數，通過查看反編譯代碼找到之間的關聯，從而確定特定的程序指令序列，一旦系統函數調用這個特定的程序指令序列，則被識別為入侵行為；
C、通過查看網絡日誌，確定入侵行為；
網絡日誌是對用戶的行為進行監測，包括進程號碼，用戶瀏覽的網址，操作的軟體以及流量信息。比如，通過HTTP請求訪問方式進行用戶隱私信息的洩露，其訪問地址必然帶有參數，且參數信息中含有MSI，IMEI, ICCID或者MSISDN用戶信息。而對於普通正常的應用程式訪問網絡的行為，訪問網址不會帶有這麼多的用戶隱私信息。因此在網絡日誌中對HTTP訪問連接進行記錄，檢測其連接地址是否含有用戶隱私信息，就能夠識別出這種洩露用戶隱私的入侵行為。
[0026]3、步驟③:
a、採用TCP/IP協議分析技術，命中入侵規則模塊的行為，響應模塊實現警告以及記
錄;
b、採用逆向技術，結合系統日誌，判斷出入侵行為，響應模塊實現警告以及記錄；
C、結合網絡日誌，判斷出入侵行為，響應模塊實現警告以及記錄。
[0027]4、步驟④:
a、破解管理模塊接收數據提取模塊的系統日誌和網絡日誌，裡面包括豐富實時的系統f目息，網絡彳目息;
b、系統日誌和網絡日誌提供給逆向分析引擎分析研究；
C、破解管理模塊接收響應模塊提供的警報信息，詳細的記錄了現場數據，以便日後需要取證時重建某些網絡事件。
[0028]5、數據提取模塊100的工作流程包括下列步驟:
a、數據提取模塊100採用開源的Iibpcap函數庫實現數據包的截獲，發送給逆向分析引擎200 ；
b、數據提取模塊100對網絡上所有的進程進行監控，記錄下進程號碼，用戶瀏覽的網址，操作的軟體，流量信息，以網絡日誌的形式發送給數據管理模塊500 ；
C、數據提取模塊100通過觀察用戶操作，記錄下這些操作對應的系統日誌，發給數據管理模塊500。
[0029]6、逆向分析引擎200的工作流程包括下列步驟:
a、逆向分析引擎200收到數據提取模塊100發送的數據包，根據TCP/IP協議分析方法，獲取埠，ip，url，以及標識協議的16進位串信息與入侵規則模塊中的關鍵字進行對t匕,一旦命中，則被識別為入侵行為；
b、逆向分析引擎200從數據管理模塊500獲取系統日誌，利用逆向技術，對程序文件進行反編譯後，對程序指令序列進行分析，判斷出程序是否具有入侵的行為意圖；
C、逆向分析引擎200從數據管理模塊500獲取網絡日誌，分析入侵行為和手機正常應用程式行為特徵在相關日誌的具體表現形式與差異性，識別入侵行為。
[0030]7、入侵規則模塊300的工作流程包括下列步驟:
入侵規則模塊300中積累了很多已知入侵行為的樣本關鍵字，每一個流經的數據包都會和入侵規則模塊中的特徵碼進行匹配，匹配成功的則可以判斷是哪一種入侵行為。
[0031]8、響應模塊400的工作流程同方法步驟③。
[0032]9、數據管理模塊500的工作流程同方法步驟④。
[0033]三、應用
智慧型手機在短短的幾十年中有著飛速的發展，期間在智慧型手機的平臺上主要流行著五大作業系統:諾基亞的Symbian平臺，微軟的WindowsMobile平臺，Iinux平臺，Google的Android平臺以及蘋果iphone的Mac平臺。2013年2月數據顯示,Android已經佔據全球智慧型手機作業系統市場62.5%的份額，中國市場佔有率78.4%o考慮到Android系統在手機平臺舉足輕重的地位以及開源的特性，本發明選擇了在該平臺上做入侵檢測的研究。
[0034]該發明選在Android手機側獲取網絡數據包，Android的SDK為開發者提供了四個非常重要的開發組件，分別為 Activity, Service, Intent 和 ContentProvider。Activity 用於開發應用程式界面，Service用來開發後臺伺服器程序，Intent用於在應用程式之間傳遞數據，ContentProvider為應用程式提供數據接口。作為一款手機的軟體，入侵檢測系統離不開這四個組件。首先用戶和手機進行交互，開啟入侵檢測服務，交互界面通過Activity組件完成，用戶點擊開啟按鈕，打開入侵檢測系統，該服務為後臺運行的服務，對應於一個IDService0入侵檢測系統對用戶的輸入，進程信息和網絡信息進行監控，生成系統日誌和網絡日誌，存放於sqlite3資料庫中，通過Android提供的接口，完成對資料庫的操作。逆向分析引擎是在檢測到產生網絡連接的情況下才進行分析，對網絡數據包進行分析，命中入侵規則庫，識別為入侵行為，結合系統日誌，網絡日誌識別入侵行為，響應模塊則對入侵行為進行警告以及記錄，最後用戶的所有信息存放在Android的sqlite3資料庫，當數據量達到到一定大小時，可以轉存在PC機上或者定時清理。
【權利要求】
1.一種基於逆向的入侵檢測系統，其特徵在於: 包括數據提取模塊(100)、逆向分析模塊(200)、入侵規則模塊(300)、響應模塊(400)和數據管理模塊(500)； 其交互關係是: 數據提取模塊(100)、逆向分析模塊(200)和響應模塊(400)依次交互，實現網絡數據包的提取、逆向分析以及對入侵行為的響應； 逆向分析模塊(200)分別與入侵規則模塊(300)和數據管理模塊(500)交互，實現入侵行為規則的積累和存儲； 數據提取模塊(100 )和響應模塊(400 )分別與數據管理模塊(500 )交互，實現系統日誌和網絡日誌的生成，從而識別入侵行為； 所述的數據提取模塊(100)是一種數據採集方法； 所述的逆向分析模塊(200)是一種協議還原方法； 所述的入侵規則模塊(300)是一種配置文件； 所述的響應模塊(400)是一種入侵行為響應的選項； 所述的數據管理模塊50 0是一種資料庫。
2.基於權利要求1所述系統的基於逆向的入侵檢測方法，其特徵在於: ①數據提取模塊捕獲所有流經安卓手機的網絡數據包，發送給逆向分析引擎，數據提取模塊獲取網絡進程以及用戶行為，生成系統日誌和網絡日誌發送給數據管理模塊； ②逆向分析引擎通過TCP/IP協議分析技術和apk反編譯逆向技術，結合系統日誌，網絡日誌識別入侵行為； ③響應模塊對逆向分析引擎識別出來的入侵行為進行警告以及記錄； ④用戶所有的信息都會存放在數據管理模塊中，方便以後取證查找。
3.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於步驟①: 所述的網絡數據包是對用戶行為過程的描述，發給逆向分析引擎； 所述的系統日誌是對網絡上所有的進程進行監控，記錄調用的系統函數，發給數據管理模塊； 所述的網絡日誌是對用戶的行為進行監測，包括進程號碼，用戶瀏覽的網址，操作的軟體以及流量信息發給數據管理模塊。
4.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於步驟②: A、逆向分析引擎採用TCP/IP協議分析技術掃描網絡數據包，一旦命中入侵規則庫中的特徵碼，則被識別為入侵行為； B、結合逆向技術，參看系統日誌，入侵行為一般都會具有某個相同或者相似的行為，而這些行為具有一定的特徵，其中找到特定的程序指令序列的方式採用逆向技術，它是在現有軟體的基礎上經過逆向反編譯，對二進位代碼進行分析總結出程序內部數據結構，邏輯關係來實現apk軟體程序流程的分析；因此對特定的程序指令序列或多種程序指令系列的組合為規則進行掃描，就可以判斷為入侵行為； C、根據網絡日誌，分析入侵行為和手機正常應用程式行為特徵在相關日誌的具體表現形式與差異性，識別入侵行為。
5.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於步驟③:a、採用TCP/IP協議分析技術，命中入侵規則模塊的行為，響應模塊實現警告以及記錄; b、採用逆向技術，結合系統日誌，判斷出入侵行為，響應模塊實現警告以及記錄； C、結合網絡日誌，判斷出入侵行為，響應模塊實現警告以及記錄。
6.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於步驟④: a、破解管理模塊接收數據提取模塊的系統日誌和網絡日誌，裡面包括豐富實時的系統f目息，網絡彳目息; b、系統日誌和網絡日誌提供給逆向分析引擎分析研究； C、破解管理模塊接收響應模塊提供的警報信息，詳細的記錄了現場數據，以便日後需要取證時重建某些網絡事件。
7.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於數據提取模塊(100)的工作流程包括下列步驟: a、數據提取模塊(100)採用開源的Iibpcap函數庫實現數據包的截獲，發送給逆向分析引擎(200)； b、數據提取模塊(100)對網絡上所有的進程進行監控，記錄下進程號碼，用戶瀏覽的網址，操作的軟體，流量信息，以網絡日誌的形式發送給數據管理模塊(500)； C、數據提取模塊(100 )通過觀察用戶操作，記錄下這些操作對應的系統日誌，發給數據管理模塊(500)。
8.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於逆向分析引擎(200)的工作流程包括下列步驟: a、逆向分析引擎(200)收到數據提取模塊(100)發送的數據包，根據TCP/IP協議分析方法，獲取埠，ip，url，以及標識協議的16進位串信息與入侵規則模塊中的關鍵字進行對比，一旦命中，則被識別為入侵行為； b、逆向分析引擎(200)從數據管理模塊(500)獲取系統日誌，利用逆向技術，對程序文件進行反編譯後，對程序指令序列進行分析，判斷出程序是否具有入侵的行為意圖； C、逆向分析引擎(200)從數據管理模塊(500)獲取網絡日誌，分析入侵行為和手機正常應用程式行為特徵在相關日誌的具體表現形式與差異性，識別入侵行為。
9.按權利要求2所述基於逆向的入侵檢測方法，其特徵在於入侵規則模塊(300)的工作流程包括下列步驟: 入侵規則模塊(300)中積累了很多已知入侵行為的樣本關鍵字，每一個流經的數據包都會和入侵規則模塊中的特徵碼進行匹配，匹配成功的則可以判斷是哪一種入侵行為。
【文檔編號】H04L29/06GK103746992SQ201410005098
【公開日】2014年4月23日 申請日期:2014年1月6日 優先權日:2014年1月6日
【發明者】匡紅, 保勇武 申請人:武漢虹旭信息技術有限責任公司