入侵检测是网络安全防护的一个重要技术,如何将传统骨干网的入侵检测技术应用到日益普及的第三代移动通信网络的安全管理,是相关研究领域和业界所关注的关键问题和研究热点。本文针对3G网络中分组域比较复杂的CDMA2000网络,提出在CDMA2000分组网络进行入侵检测需要解决的两个关键支撑技术,以及绑定用户IP和唯一标识的关联技术。根据提出的三个技术,使用软硬件结合的方法,自主研发出高效的CDMA2000流量提取系统。目前,该系统已经成功应用于CDMA2000运营网络。本文研究了CDMA2000核心网分组域的组成及其功能结构。通过分析核心设备PDSN的功能,提出入侵检测设备必须部署在PCF和PDSN之间的A10/A11接口之间。根据PCF和PDSN运行的协议栈特点,进一步提出对核心网分组域进行入侵检测的系统应该具有的支撑技术:用户数据报文提取技术和Van Jacobson TCP/IP头部解压缩技术。通过PCF和PDSN之间的R-P接口协议流程的分析,进一步描述提取用户数据报文的问题,得到进行用户数据报文提取的难点,然后研究提取用户数据报文的方法。针对传统提取方法的不足,我们提出一种新的软硬结合的SHADE提取方法。利用提取的IPCP报文以及A11信令的连接建立消息的关系,提出用户标识MSID和访问互联网使用的动态IP关联技术。介绍MS和PDSN之间PPP连接使用Van Jacobson TCP/IP头部压缩技术的基本思想和压缩算法,然后阐述Van Jacobson头部解压缩的方法,以及CDMA2000流量提取系统对解压缩技术的实现。构建用于对CDMA2000流量提取系统进行入侵检测验证的测试环境,将R-P接口处采集的A10数据报文和A11信令消息,使用报文重放的方式将报文发送到CDMA2000流量提取系统进行用户报文提取,用IDS服务器对提取的报文进行检测。实验表明,本文设计实现的流量提取系统成功实现用户数据报文的还原,满足对CDMA2000核心网络的分组报文进行检测的需求。同时,通过使用用户信息关联技术,实现了将异常流量和用户相关联。