◆王龍業(yè) 羅 杰

?

即時(shí)通信系統(tǒng)安全監(jiān)控概述

◆王龍業(yè)1,2羅 杰1

(1.四川恒進(jìn)依科技有限公司 四川 610054；2.電子科技大學(xué) 四川 611731)

隨著移動互聯(lián)網(wǎng)的普及，即時(shí)通信系統(tǒng)伴隨著崛起，系統(tǒng)的安全風(fēng)險(xiǎn)也越來越大。本文在介紹幾種即時(shí)通信系統(tǒng)安全監(jiān)控研究的基礎(chǔ)上，闡述了即時(shí)通信軟件內(nèi)容監(jiān)控和過濾方法、參與者行為分析內(nèi)容監(jiān)控和過濾方法、關(guān)鍵字識別和內(nèi)容過濾方法研究的基本原理和過濾平臺的性能評價(jià)

即時(shí)通信；系統(tǒng)安全監(jiān)控；過濾；關(guān)鍵字識別

0 引言

近年來，即時(shí)通信、信息和資料共享已經(jīng)成為人們生活中重要的部分，即時(shí)通信（簡稱為IM）軟件（如：QQ、MSN和微信等）也就早已成為人與人之間交流的必備工具。雖然這些軟件功能越來越強(qiáng)大，給大家?guī)砹丝旖?、方便、廉價(jià)的聯(lián)系工具，根據(jù)CNNIC中國互聯(lián)網(wǎng)調(diào)查報(bào)告顯示，截止到2017年6月，我國即時(shí)通信(IM)用戶規(guī)模達(dá)到6.92億。

但是它們的廣泛使用也帶來了諸多的安全問題。首先，非法組織或者個(gè)人可以利用即時(shí)通信軟件來迅速散播不法內(nèi)容、侵犯個(gè)人隱私、泄露國家機(jī)密；其次，不法份子經(jīng)常利用即時(shí)通信軟件大肆傳播一些色情方面的圖片、文章和網(wǎng)址，同時(shí)，越來越多的病毒利用即時(shí)通信軟件進(jìn)行釣魚網(wǎng)站URL發(fā)送，從而進(jìn)行詐騙活動。移動互聯(lián)網(wǎng)越來越普及，即時(shí)通信軟件逐漸地融合到各類設(shè)備中去，比如智能手機(jī)、掌上電腦等。這樣，每個(gè)用戶通過即時(shí)通信的在線時(shí)間就越來越長，所帶來的安全風(fēng)險(xiǎn)危害也越來越大。本文擬就即時(shí)通信系統(tǒng)安全監(jiān)控現(xiàn)狀和發(fā)展進(jìn)行闡述，為即時(shí)通信系統(tǒng)安全防護(hù)提供參考。

1 即時(shí)通信系統(tǒng)安全原則

即時(shí)通信IM系統(tǒng)需要符合以下安全原則：

（1）能夠充分保證各用戶節(jié)點(diǎn)及時(shí)、安全地接入系統(tǒng)，防止假冒接入和獨(dú)占資源帶來的系統(tǒng)擁堵；

（2）即時(shí)通信系統(tǒng)安全保障模塊要能檢測和阻斷惡意內(nèi)容的散布；

（3）即時(shí)通信系統(tǒng)安全保障模塊能實(shí)現(xiàn)遏制惡意節(jié)點(diǎn)的數(shù)量和行為，不斷擴(kuò)大表現(xiàn)良好節(jié)點(diǎn)的數(shù)量比例；

（4）能夠?qū)Ω饔脩艄?jié)點(diǎn)信任度進(jìn)行評價(jià)，并讓即時(shí)通信系統(tǒng)各用戶能訪問其他節(jié)點(diǎn)的信任度，激勵即時(shí)通信系統(tǒng)的有序化、良性發(fā)展；

（5）滿足各用戶節(jié)點(diǎn)隨機(jī)加入和退出的需求，具有靈活性和可伸縮性。

基于該安全原則，即時(shí)通信系統(tǒng)各用戶節(jié)點(diǎn)的行為遵循如圖1所示：

圖1安全原則行為規(guī)律

2 即時(shí)通信系統(tǒng)安全管控

在分析即時(shí)通信軟件的協(xié)議基礎(chǔ)上，主要研究基于協(xié)議的即時(shí)通信系統(tǒng)過濾算法，開發(fā)實(shí)時(shí)、有效的內(nèi)容過濾和監(jiān)控體系。

2.1即時(shí)通信軟件內(nèi)容監(jiān)控和過濾方法研究

針對即時(shí)通信機(jī)制和協(xié)議的研究，分析與即時(shí)通信相關(guān)的SIP、IMPP、RTP和STUN協(xié)議，這些協(xié)議的共性都是先在客戶端登錄，驗(yàn)證并協(xié)商其相關(guān)信息，連接相關(guān)服務(wù)器并保持“在線”狀態(tài)，當(dāng)客戶端欲與其他客戶端建立會話時(shí)，發(fā)送相關(guān)信令、建立連接。不同的即時(shí)通信軟件設(shè)置了不同的信令格式，他們之間不能實(shí)現(xiàn)互通。同樣，每一個(gè)信令代表了其不同的含義與預(yù)設(shè)的動作，通過對即時(shí)通信的信令和數(shù)據(jù)包進(jìn)行分析，我們可以很快速的對通過服務(wù)器或者某一出口網(wǎng)關(guān)的即時(shí)信息數(shù)據(jù)進(jìn)行抓取、還原和分析。提取具有代表性的文本通信、文件傳輸、語音聊天、視頻聊天的協(xié)議共性，這些都作為后續(xù)即時(shí)信息的采集、內(nèi)容過濾和分析奠定基礎(chǔ)。

2.2即時(shí)通信參與者行為分析內(nèi)容監(jiān)控和過濾方法研究

將圖分析工具用于即時(shí)通信中通信人員關(guān)系建立，建立通信人員關(guān)系圖，該分析方法是檢測節(jié)點(diǎn)以及其相互之間的關(guān)系，主要研究內(nèi)容包含有整體網(wǎng)絡(luò)、個(gè)體網(wǎng)絡(luò)、網(wǎng)絡(luò)的演化、網(wǎng)絡(luò)的結(jié)構(gòu)、網(wǎng)絡(luò)的模型性質(zhì)等。將網(wǎng)絡(luò)分析的中心性、凝聚子群和核心邊緣等方法應(yīng)用于即時(shí)通信系統(tǒng)敏感內(nèi)容過濾和分析，實(shí)現(xiàn)新型即時(shí)通信系統(tǒng)內(nèi)容過濾、分析和阻斷的平臺搭建。

2.3即時(shí)通信的關(guān)鍵字識別和內(nèi)容過濾方法研究

購建即時(shí)通信的關(guān)鍵字識別和內(nèi)容過濾系統(tǒng)，包括數(shù)據(jù)包的捕獲模塊、數(shù)據(jù)包分析模塊、即時(shí)通信關(guān)鍵字的識別模塊、即時(shí)通信的日志記錄模塊。借助網(wǎng)絡(luò)分析工具將所獲取的即時(shí)通信的數(shù)據(jù)進(jìn)行分析，對非法內(nèi)容行為進(jìn)行有效關(guān)鍵點(diǎn)阻斷。

識別和過濾系統(tǒng)中，關(guān)鍵詞過濾是關(guān)鍵。關(guān)鍵詞過濾技術(shù)是一種基于內(nèi)容的過濾技術(shù)，通常創(chuàng)建一些與垃圾信息相關(guān)的詞匯表來識別垃圾信息，把某一類關(guān)鍵詞設(shè)為判定依據(jù)，內(nèi)容中出現(xiàn)了這些關(guān)鍵詞的頻率超過預(yù)定的閥值時(shí)，就可以將這段內(nèi)容判定為嫌疑垃圾信息?；诖耍P(guān)鍵詞過濾是有一定的缺陷，一是需要維護(hù)一個(gè)龐大的過濾關(guān)鍵詞表，二是關(guān)鍵詞很難全面收集和更新，三是不法分子較易采用拼音、同義替代等方式繞過關(guān)鍵詞過濾方式。針對關(guān)鍵字這些固有缺點(diǎn)，本項(xiàng)目提出基于加權(quán)機(jī)制的快速處理方式，先計(jì)算各條信息的垃圾程度，根據(jù)系統(tǒng)設(shè)定的閥值再進(jìn)行后續(xù)的處理。

2.4即時(shí)通信的關(guān)鍵字識別和內(nèi)容過濾平臺的性能評價(jià)

進(jìn)行即時(shí)通信監(jiān)控和內(nèi)容過濾開發(fā)平臺系統(tǒng)的監(jiān)控和實(shí)時(shí)阻斷性能評價(jià)。作為一個(gè)實(shí)時(shí)的即時(shí)通信不良信息識別和過濾系統(tǒng)，對于實(shí)時(shí)性的要求是很高的，需要統(tǒng)計(jì)測試集所有信息的在處理每一條信息時(shí)所花費(fèi)的時(shí)間，研究分詞分類的平均時(shí)間、社會網(wǎng)絡(luò)分析的處理時(shí)間，通過測試來分析搭建的系統(tǒng)能否滿足實(shí)時(shí)過濾、即時(shí)通信的各項(xiàng)標(biāo)準(zhǔn)和要求。

3 結(jié)論及展望

本文介紹了3種即時(shí)通信系統(tǒng)安全監(jiān)控技術(shù)概況，從目前國內(nèi)外開發(fā)的即時(shí)通信安全軟件（監(jiān)控和病毒過濾）來看，這些技術(shù)和產(chǎn)品，全部都使用了自行研發(fā)的深層數(shù)據(jù)包檢測技術(shù)，除了在性能和檢測精度上存在差別外，其技術(shù)的本質(zhì)是相同的，沒有給出具體的性能參數(shù)，缺少實(shí)時(shí)分析監(jiān)控的實(shí)效性，不同即時(shí)通信軟件的防護(hù)兼容性差。因此，開發(fā)實(shí)時(shí)、有效的即時(shí)通信系統(tǒng)安全監(jiān)控技術(shù)，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的重要課題。

[1]Alfonso Valdes, Detecting novel scans through pattern anomaly detection[A].DARPA Information Survivability Conference and Exposition[C].IEEE Computer Society, 2003.

[2]宋華，羅平，戴一奇.一種新的分布式端口掃描檢測方法,計(jì)算機(jī)工程與應(yīng)用[J]，2008.

[3]賴海光，許峰，黃皓，謝俊元.基于Dempster-Shafer證據(jù)理論的端口掃描檢測方法[J].電子學(xué)報(bào)，2006.

[4]鄭君杰，肖軍模，劉志華等.基于Honeypot技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng).西安電子科技大學(xué)學(xué)報(bào)，2007.

[5]S Staniford, J A Hoagland, J M McAlerney, Practical automated detection of stealthy portscans[J]. Journal of Computer Security, 2002.

[6]Raj Basu, Robert K Cunningham,.Detecting low-profile probes and novel denial-of-service attacks[A].2001 IEEE Workshop on Information Assurance.

四川省科技支撐項(xiàng)目 (編號: 2016GZ0130)資助。