◆王龙业 罗 杰
即时通信系统安全监控概述
◆王龙业1,2罗 杰1
(1.四川恒进依科技有限公司 四川 610054;2.电子科技大学 四川 611731)
随着移动互联网的普及,即时通信系统伴随着崛起,系统的安全风险也越来越大。本文在介绍几种即时通信系统安全监控研究的基础上,阐述了即时通信软件内容监控和过滤方法、参与者行为分析内容监控和过滤方法、关键字识别和内容过滤方法研究的基本原理和过滤平台的性能评价
即时通信;系统安全监控;过滤;关键字识别
近年来,即时通信、信息和资料共享已经成为人们生活中重要的部分,即时通信(简称为IM)软件(如:QQ、MSN和微信等)也就早已成为人与人之间交流的必备工具。虽然这些软件功能越来越强大,给大家带来了快捷、方便、廉价的联系工具,根据CNNIC中国互联网调查报告显示,截止到2017年6月,我国即时通信(IM)用户规模达到6.92亿。
但是它们的广泛使用也带来了诸多的安全问题。首先,非法组织或者个人可以利用即时通信软件来迅速散播不法内容、侵犯个人隐私、泄露国家机密;其次,不法份子经常利用即时通信软件大肆传播一些色情方面的图片、文章和网址,同时,越来越多的病毒利用即时通信软件进行钓鱼网站URL发送,从而进行诈骗活动。移动互联网越来越普及,即时通信软件逐渐地融合到各类设备中去,比如智能手机、掌上电脑等。这样,每个用户通过即时通信的在线时间就越来越长,所带来的安全风险危害也越来越大。本文拟就即时通信系统安全监控现状和发展进行阐述,为即时通信系统安全防护提供参考。
即时通信IM系统需要符合以下安全原则:
(1)能够充分保证各用户节点及时、安全地接入系统,防止假冒接入和独占资源带来的系统拥堵;
(2)即时通信系统安全保障模块要能检测和阻断恶意内容的散布;
(3)即时通信系统安全保障模块能实现遏制恶意节点的数量和行为,不断扩大表现良好节点的数量比例;
(4)能够对各用户节点信任度进行评价,并让即时通信系统各用户能访问其他节点的信任度,激励即时通信系统的有序化、良性发展;
(5)满足各用户节点随机加入和退出的需求,具有灵活性和可伸缩性。
基于该安全原则,即时通信系统各用户节点的行为遵循如图1所示:
图1安全原则行为规律
在分析即时通信软件的协议基础上,主要研究基于协议的即时通信系统过滤算法,开发实时、有效的内容过滤和监控体系。
针对即时通信机制和协议的研究,分析与即时通信相关的SIP、IMPP、RTP和STUN协议,这些协议的共性都是先在客户端登录,验证并协商其相关信息,连接相关服务器并保持“在线”状态,当客户端欲与其他客户端建立会话时,发送相关信令、建立连接。不同的即时通信软件设置了不同的信令格式,他们之间不能实现互通。同样,每一个信令代表了其不同的含义与预设的动作,通过对即时通信的信令和数据包进行分析,我们可以很快速的对通过服务器或者某一出口网关的即时信息数据进行抓取、还原和分析。提取具有代表性的文本通信、文件传输、语音聊天、视频聊天的协议共性,这些都作为后续即时信息的采集、内容过滤和分析奠定基础。
将图分析工具用于即时通信中通信人员关系建立,建立通信人员关系图,该分析方法是检测节点以及其相互之间的关系,主要研究内容包含有整体网络、个体网络、网络的演化、网络的结构、网络的模型性质等。将网络分析的中心性、凝聚子群和核心边缘等方法应用于即时通信系统敏感内容过滤和分析,实现新型即时通信系统内容过滤、分析和阻断的平台搭建。
购建即时通信的关键字识别和内容过滤系统,包括数据包的捕获模块、数据包分析模块、即时通信关键字的识别模块、即时通信的日志记录模块。借助网络分析工具将所获取的即时通信的数据进行分析,对非法内容行为进行有效关键点阻断。
识别和过滤系统中,关键词过滤是关键。关键词过滤技术是一种基于内容的过滤技术,通常创建一些与垃圾信息相关的词汇表来识别垃圾信息,把某一类关键词设为判定依据,内容中出现了这些关键词的频率超过预定的阀值时,就可以将这段内容判定为嫌疑垃圾信息。基于此,关键词过滤是有一定的缺陷,一是需要维护一个庞大的过滤关键词表,二是关键词很难全面收集和更新,三是不法分子较易采用拼音、同义替代等方式绕过关键词过滤方式。针对关键字这些固有缺点,本项目提出基于加权机制的快速处理方式,先计算各条信息的垃圾程度,根据系统设定的阀值再进行后续的处理。
进行即时通信监控和内容过滤开发平台系统的监控和实时阻断性能评价。作为一个实时的即时通信不良信息识别和过滤系统,对于实时性的要求是很高的,需要统计测试集所有信息的在处理每一条信息时所花费的时间,研究分词分类的平均时间、社会网络分析的处理时间,通过测试来分析搭建的系统能否满足实时过滤、即时通信的各项标准和要求。
本文介绍了3种即时通信系统安全监控技术概况,从目前国内外开发的即时通信安全软件(监控和病毒过滤)来看,这些技术和产品,全部都使用了自行研发的深层数据包检测技术,除了在性能和检测精度上存在差别外,其技术的本质是相同的,没有给出具体的性能参数,缺少实时分析监控的实效性,不同即时通信软件的防护兼容性差。因此,开发实时、有效的即时通信系统安全监控技术,已经成为网络安全领域的重要课题。
[1]Alfonso Valdes, Detecting novel scans through pattern anomaly detection[A].DARPA Information Survivability Conference and Exposition[C].IEEE Computer Society, 2003.
[2]宋华,罗平,戴一奇.一种新的分布式端口扫描检测方法,计算机工程与应用[J],2008.
[3]赖海光,许峰,黄皓,谢俊元.基于Dempster-Shafer证据理论的端口扫描检测方法[J].电子学报,2006.
[4]郑君杰,肖军模,刘志华等.基于Honeypot技术的网络入侵检测系统.西安电子科技大学学报,2007.
[5]S Staniford, J A Hoagland, J M McAlerney, Practical automated detection of stealthy portscans[J]. Journal of Computer Security, 2002.
[6]Raj Basu, Robert K Cunningham,.Detecting low-profile probes and novel denial-of-service attacks[A].2001 IEEE Workshop on Information Assurance.
四川省科技支撑项目 (编号: 2016GZ0130)资助。