文摘
大量的移动应用程序提供位置信息通过使用基于位置的服务最近正在开发。例如,智能手机会找到我的位置和目的地通过运行一个程序使用GPS芯片的设备。然而,信息泄露和滥用造成的泄露信息的犯罪发生移动信息系统的网络攻击。因此,兴趣和信息安全的重要性正在增加。也在韩国使用移动设备的用户数量越来越多,和移动设备的安全变得越来越重要。Snort探测系统被用来检测和处理网络攻击但Snort检测系统应用不同的政策为每个不同类型的设备。预计移动信息系统的安全将得到改善和信息泄漏被选择的选项通过优化Snort检测政策来保护用户在移动信息系统环境中使用基于位置的服务。
1。介绍
基于位置的服务(LBS)的重要性,这是一个有线和无线互联网服务利用当前和过去的位置信息与终端用户可以跟踪位置,强调是由于移动通信技术的发展和移动终端的迅速蔓延1]。
基于位置的服务是一种服务,识别用户的位置使用位置检测技术并添加相关的应用程序。我认为它可以用于各种目的,创造附加价值使用有线和无线互联网的应用和位置信息。
同时,由于网络攻击技术的最新发展,信息泄漏黑客和个人信息曝光已经成为一个问题。担心高曝光个人信息的当前位置由于位置信息服务的本质。成员信息通过在线网站,公开个人信息,如名称、注册号(ID),居民一个地址,和一个居民登记数量可以用于其他目的通过盗窃。此外,客户的位置信息和运动轨迹的识别通过位置信息可能已经作为直接侵犯隐私的因素。出于这个原因,侵犯隐私担忧造成的泄漏定位服务在韩国更严重的2- - - - - -4]。
安全监控的关键是网络攻击的快速检测。各种安全监测系统中,一个基于网络的入侵检测系统(IDS)是唯一的系统能够检测应用程序攻击如web黑客最有效地控制网络入口之间的安装他们。入侵检测系统(IDS)的功能是使用模式匹配方法检测到的攻击并生成一个警报当标题或负载信息交流通过网络检测到攻击。
然而,如果攻击者进行加密通信信号由于攻击数据包或恶意代码感染,入侵检测系统(IDS)只检查加密的数据包。即使攻击数据包是一个真实的攻击数据包,它不能被检测到,路标也不能被探测到。为了检测这样的攻击,有必要开发一个基于行为的检测系统,可以使用一个未知的攻击检测和预警的攻击技术,而不是模式匹配方法(6- - - - - -8]。
目前,安全监测技术分析网络攻击技术和恶意代码,提取模式,如某些字符串,然后使用这个模式来开发检测模式(签名),并将它们应用于入侵检测系统。之后,如果网络攻击信息匹配的检测模式,它是发现一个意外。如果攻击技术是改变,检测模式应该及时纠正维护优化状态。然而,它是不容易发现新的攻击或恶意代码。
此外,最近的网络攻击技术,如黑客和恶意代码分布发展迅速,利用先进的智能技术,如双重加密技术,以防止被安全监控检测或疫苗。所以它并不足以完全检测和阻止新网络攻击。
因此,为了有效地发现和应对网络攻击的系统,利用基于位置的服务在移动信息系统中,有必要优化安全监控检测技术之间共享信息安全监控中心或根据异构设备标准化检测模式。
2。相关工作
2.1。基于位置的服务
磅是基于位置服务的缩写。通常定义为一个应用系统和服务,准确地掌握一个人的位置或对象基于移动通信网络和利用它。因此,伦敦商学院是一个系统,掌握个人或车辆的位置信息通过移动通信基站和GPS(全球定位系统)和基于信息(提供各种先进的服务1]。
伦敦商学院提供各种基于位置信息的应用程序服务。这些包括紧急援助,位置信息服务,交通拥堵和导航信息,基于位置的账单。其他应用包括智能交通系统(ITS),为残疾人辅助设备,L-Commerce基于位置信息,和细胞的实名朋友使用手机(见表1)。
当前位置信息采集技术的无线通信网络可以收集更精确的位置信息,结合GPS和其他位置定位技术和无线通信网络,它可以提供更多的各种各样的应用程序服务。位置信息是与移动通信网络,可以提供一个通用服务在未来,和应用程序提供的服务结构网络正在从有线/无线通信网络结构与一个独立的垂直结构为有线/无线集成水平结构。此外,所有的网络实体将演变成一个开放的融合网络基于一个平衡的全ip网络提供服务。通过快速等定位系统的开发(Assistance-GPS)和范式的变化无处不在和普适计算环境,太(移动终端)将成为一个主题的信息提供独立和发展它的形式将其位置信息磅SP(服务提供者)。这些进展,有必要提供定位服务的组件的安全性和可靠性水平超出了传统的有线和无线网络。
2.2。入侵检测系统
介绍了入侵检测系统(IDS)在1980年由詹姆斯Enderson美国的一篇论文中称为“计算机安全威胁监测和监督。“1986年,多萝西丹宁发表了一篇题为“一个入侵检测模型”,并受到id。
入侵检测系统可以减少滥用检测和改善系统的性能,设计高效的网络威胁和完整的检测规则。规则应该尽可能简单,灵活和处理大量的网络流量没有包丢失。这需要测试程序来评估应用开发前的适当性规则和周期优化加快规则。
为了准确检测规则,你必须测试前应用在入侵检测系统(IDS)。不准确的规则导致太多的假阳性和假阴性。大量的虚假检测事件可能会导致不必要的分析时间,防止检测的普通攻击事件,或导致的网络传感器id。为了减少错误检测事件,测试过程需要在系统应用。当测试、效率、可用性,准确性,应考虑和独特性。
此外,应减少假阳性。假阳性事件发生广泛配置检测规则时或者当你激活不必要的规则。为了减少这个,我们需要严格应用检测规则通过精确的分析利用。此外,它禁用的检测规则简单的信息提供格式如“ICMP UNREACH”来减少网络攻击事件的负载。不准确的规则洪水假阳性产生假阴性。大量的虚假检测事件可能导致不必要的分析时间和防止网络攻击事件的检测。
直到现在,“安全监测”这一术语没有被定义为一个法律规则。近年来,这是一个步骤在概念化的过程中在学术意义。“安全控制”一词中使用英语作为“安全监视”或“安全监视与控制。”的字典意义“监控”是防止各种计算机程序执行过程中可能出现的错误。和朝鲜朝鲜语言词典》指出,“控制”是指“控制和控制的必要性在一个国家或一个机场”(9)(见图1)。
2.3。入侵检测系统
Snort入侵检测系统是一种最广泛使用的系统中入侵检测系统(IDS)是一个开源的基于网络的入侵检测系统(开源NIDS) [12- - - - - -14]。
规则分为头部和选项。如(图所示2),细则可以称之为条件检测的检测操作、协议类型、源地址、源端口、交通传播方向、目的IP地址和目的港。总结了本细则中使用的元素,如图2。
Snort规则头的一个组成部分的检测规则,包括五个要素:规则行动,协议,源、目的IP,源、目的港,交通方向。规则操作指定的规则应该做什么如果数据包匹配规则。Snort规则行为如“日志,警报”,但在大多数情况下,它使用预警规则操作(15- - - - - -18)(见表2)。
Snort规则选项分为一般、负载检测和Nonpayload检测规则的选择如表所示3。
3所示。优化选择Snort-Based检测规则
3.1。头检测规则优化
在“警报”规则操作,生成一个警告,“日志”留下了一个日志,“通过”忽略了包,“激活”发出警告并激活指定的动态规则,和“下降”扔掉包和叶子一个日志。还“拒绝”离开连接和日志,和“sdrop”丢弃数据包没有日志。其中6项,包括“日志”,“通过”,“激活”,“动态”,“拒绝”和“sdrop”被排除在外。出于这个原因,“日志”和“通过”选项包记录或包忽略。“激活”和“动态”主要用于额外的日志后检测的攻击。他们不适合通知攻击的发生的目的。“拒绝”和“sdrop”排除在外,因为它们是拦截后额外的行动。
在协议tcp”、“udp,”“icmp,”和“知识产权”支持tcp, udp, icmp,分别和ip协议。”“tcp协议,支持tcp协议,udp支持udp协议,“icmp”支持icmp协议,“知识产权”支持ip协议(见表4)。
在IP,“任何”代表了全IP地址的目标,“数字IP”代表一个特定的IP地址的目标,“数字IP列表”支持多达10个,包括CIDR在多个IP地址,“CIDR”表示对象的一个特定的网络地址,长度和“否定(!)”表示全IP地址目的地除了指定的IP地址。在港口,“任何”代表所有端口号目标,“静态端口”代表固定端口号目标,“范围(:)”表示端口范围的目标,和“否定(!)”表示所有端口目的地除了指定港口。方向,”- >选择“显示目的地主机从源主机的方向,和“< >选项”方向的源主机和目的主机。< -选择降低了探测效率通过生成大量的入侵检测传感器负载。也,“< -”是消除强制选择,因为需要使用- >选项通过改变源IP地址和目的IP(见表5)。
3.2。一般规则的优化
一般而言,“味精”是作为一个选项来显示消息时记录检测安全控制事件。“参考”指的是额外的信息,“gid”警报的ID生成模块,sid用于识别Snort检测规则,”< 100”是留给未来的使用,“100 - 1000000”表明Snort交办的数量,和“> 1000000”代表一个用户定义的规则分配号码。“牧师”字表示sid的修订信息,“classtype”标识信息可以分类攻击,和“优先级”表示规则的重要性。一般来说,所有的选项排除“味精”被排除在外。“参考”案件排除作为一个额外的选项供参考检测规则的信息。“Gid”和“sid”被排除在Snort配置模块作为显示模块ID和检测规则ID生成警告。同时,“牧师”是排除作为一个选项用于版本控制的检测规则,和“classtype”和“优先级”排除由于缺乏可用性作为一个选项进行排序和优先检测规则(见表6)。
3.3。负载检测和Nonpayload检测规则优化
在有效载荷检测(内容,内容修改器),“内容”表示具体内容在数据包的有效载荷,并“查看nocase”意味着不区分大小写的。“Rawbytes”忽略了解码过程和显示原始数据包数据检查,抵消表示模式搜索起始位置,深度显示模式的搜索范围,距离表明新模式搜索起始位置后,以前的模式匹配,并显示模式的搜索范围内。体内http_client_body搜索HTTP请求的一部分。饼干的http_cookie搜索HTTP报头的一部分。在HTTP报头http_header搜索部分。HTTP方法的http_method搜索部分。http_uri部分搜索HTTP URI fast_pattern眼。这是命令指定搜索模式。然而,HTTP内容选项可以指定相关的命令,可以排除。Fast_pattern不包括字符串匹配的优先级(见表7)。
在负载检测,“uricontent”从HTTP URI信息,搜索模式“urilen”检查HTTP URI长度,和“isdataat”搜索负载是否有一定数量的字节。“Pcre”搜索正则表达式,byte_test比较它到一个特定的值在一定字节操作,和“byte_jump”跳到一个结果值在某个字节操作。检测到一个FTP反弹攻击,“Ftpbounce asn1”检测到一个恶意编码,和“简历”字符串cvs中检测到一个无效的条目。也,“dce_iface”、“dce_opnum”和“dce_stup_data”检测DCE / RPC请求交通模式。其中,“urilen”排除在外,因为它可以使用强制选项指定,和“ftpbounce”,“asn1。”“cvs,”“dce-iface”,“dce-opnum,”和“dce_stup_data”命令应该被排除在外,因为这些选项用于检测特定的攻击特定的服务(见表8)。
Nonpayload检测中选择,与知识产权相关的命令如fragoffset fragbits,服务条款,id, ipopts,和TCP相关命令seq, ack,窗户被排除在外,因为它们不是用于创建检测规则(见表9)。
Nonpayload检测、“dsize”检查数据包的有效载荷大小检测异常的数据包大小,和“流”定义包方向相对于客户端和服务器之间的通信流。“Flowbits”是一个选项来支持基于会话的检测,和“Rpc”行为识别Rpc服务但排除在外,因为它可以使用强制指定选项。“sameip”检查是否源和目的地ip是相同的,和“流大小”检查会话的大小根据TCP序列号,但却被排除在外,因为它可以通过指定“dsize”选项。在“限制”规则的阈值,表示第一次出现一个警告,当相同的事件发生在一定的时间内,和“阈值”显示一个警告当同一事件的数量在一定时间内发生超过相应的数量。阈值的选择是使用Snort 2.8.5之前版本;Snort 2.8.5.1或晚使用检测滤波器或事件过滤器选项(见表10)。
4所示。比较分析现有的Snort检测选项
优化现有的Snort检测语法将允许用户理解和分析错误的类型的政策创造了不考虑检测传感器的性能和假阳性的漏洞攻击。这也可以精心设计的检测规则。为了规范化检测规则;首先,如果短字符串,入侵检测系统的检测传感器发生频繁,从而降低入侵检测系统的传感器的性能。因此,有必要建立一个政策,检测到一个字符串至少4个字节或更多。第二,当检测到通信字符串频繁,大量生成检测事件,这可能会导致一场虚惊,和检测传感器的性能可能会降低,从而限制通信流量在一个典型的网络环境。第三,在PCRE语法,。(点),(星号)是一种特殊的字符,匹配任何字符串。因为这个匹配字符串匹配所有数据包的有效载荷,PCRE计算消耗大量的系统资源和入侵检测系统的泄漏传感器。第四,如果设置值超过了入侵检测系统的检测字符串长度限制传感器,这可能会导致一个问题,它不能被检测到。此外,长度PCRE匹配导致了入侵检测系统的性能负载传感器。第五,当搜索一个连续的模式相同的性格,一个循环的现象可能发生重复执行操作,导致沉重的CPU使用率上的负载。因此,有一个目的来提高这五个问题通过优化Snort检测语法(见表11)。
5。结论
本文的目的是要找到一个检测规则优化方法对于保护用户使用基于位置的服务在移动信息系统和证明的兼容性检测规则之间不同的入侵检测系统(IDS / IPS)介绍了每个安全控制中心(网络安全中心)根据id Snort为了准备新的网络威胁和网络攻击。
最近黑客技术了解网络攻击数据包内容为了发现新的网络威胁,发展迅速,目前是最好的网络环境下的入侵检测规则。Snort检测规则的基础上,我们设计了模型和期权的基本检测规则和建议最优化检测规则生产标准通过了解和分析错误的政策,如检测传感器的性能和不考虑假阳性的政策。在本文中,我们提出一个有效检测并通过Snort-based对策的新网络攻击检测规则标准的要求。同时,建设标准化安全管理系统的异构入侵检测系统通过维护优化状态通过纠正和修改检测模式根据每个安全控制中心的实际情况是可能的。
这种标准化的综合入侵检测模式预计将建立一个高效的操作系统的安全控制中心(网络安全中心)进行安全控制。
的利益冲突
作者宣称没有利益冲突。