一种复杂大流量下VoIP恶意行为发现方法技术

本发明专利技术公开了一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：1)从网络流量中筛选出VoIP呼叫信令；2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。本发明专利技术能够针对复杂实时数据流进行全面细致的检测，充分挖掘历史数据，有效检测VoIP恶意行为，更好地应对复杂度高、隐蔽性高的VoIP恶意行为。

【技术实现步骤摘要】
一种复杂大流量下VoIP恶意行为发现方法
本专利技术涉及一种复杂大流量下VoIP恶意行为发现方法，属于计算机网络

技术介绍
随着网络融合的发展及IP电话的普及，人们具有了越来越多的通信手段，而通信手段的增加也给网络电话带来了许多新的安全威胁。其中对于VoIP话路的恶意占用，已经成为攻击者新的攻击手段。此种攻击是指攻击者为了达到占用被叫用户线路、干扰被叫用户正常通话的目的，而对被叫用户发起的无意义的连续的强制性VoIP恶意行为。一旦被叫用户受到攻击，被叫用户的话路将被完全阻塞，严重影响了用户的通信自由和生活的安宁。目前对于发现该类VoIP恶意行为的研究也有很多，但发现和检测方法大都基于特定的数据集，泛化能力不强，不能很好的应用于复杂大流量下的实时检测。VoIP的全称为VoiceOverInternetProtocol。该系统具备比较显著的优点，比如成本比较低，部署起来难度小，当今其在语音通信业务当中得到了十分广泛的应用，虽然其带来了较好的发展机遇，但是同时面临着很多安全问题。例如，呼叫劫持、哄骗消息等。伴随着网络的融合，这些安全问题开始延伸到电路交换网络中，使得原本封闭的公共交换电话网络(PublicSwitchedTelephoneNetwork，PSTN)的语音话路同样会遭受到非法用户的恶意占用。VoIP恶意行为与传统方式的DoS(DenialofService)攻击存在一定差异。首先是主要攻击目标不同，传统方式的DoS攻击主要针对传输带宽或服务器可用资源，而VoIP恶意行为重点是破坏用户的接通率，具体表现在以下两方面：一种是使会话无法正常建立(用户无法正常拨打、接听电话)，另一种是使已经建立会话无法保持正常通话状态。其次是作用机理不同，传统方式的DoS攻击是利用协议漏洞发送大量攻击报文或者发动大量主机对同一个目标(传输带宽或服务器)实施攻击，而VoIP恶意行为更多的体现在时间轴上的连续呼叫行为，仅需一台主机也可以完全阻塞一个电话终端用户，这无疑为黑客创造了更加丰富的攻击手段和机会。从攻击效果方面分析，由于网络的融合，使得VoIP恶意行为的攻击成本降低，攻击者基本无需顾忌攻击成本问题，攻击发起者可以多次反复尝试多种攻击手段。而VoIP被叫一端一旦缺少对VoIP恶意行为的防护措施，用户电话线路将长时间被阻塞，从而使得该用户不能正常接听合法呼叫，严重影响了用户的通信自由和生活的安宁，因此该VoIP恶意行为带来了更加显著的危害。VoIP恶意行为的攻击者的行为特征与垃圾电话(SPIT，spamoverInternettelephony)中攻击者行为特征有一定的相似性，都具有比较高的呼叫频率和比较短的呼叫间隔。不同的是，在VoIP恶意行为中，攻击者为了尽可能长时间占用被叫话路，一般不会主动挂断电话，并且攻击者有可能只针对某一个被叫发起持续的呼叫；垃圾电话的攻击者一般为了尽可能多的发送垃圾信息给被叫，一般发送完就会挂断电话，继续向下另一被叫发送。在两种攻击形式中，攻击者的攻击目的不同，导致被叫用户在呼叫行为特征上也有一定的差异。在VoIP恶意行为中，被叫用户一般会受到持续的攻击，一定时间内，被叫用户的拒接电话的比率会比较高；而在垃圾电话中，一定时间内，单个被叫用户的拒接电话的比率不一定会很高。因此，不妨借鉴垃圾电话的检测方法，或许能够得到启发。当前一些垃圾电话的检测方法主要包括基于名单的判别、基于名声的过滤、图灵测试和计算谜题、根据统计信息的行为分析等，下面仅对几种主流的检测方法的优缺点进行分析和总结。1)基于名单的判别根据名单类型的不同，可以把名单分为三类，黑名单、白名单和灰名单。在名单比对过程中，如果主叫账号处在黑名单列表中，则直接拒接此呼叫；如果主叫账号处在白名单列表中，则接受此呼叫；如果主叫账号处在灰名单列表中，则需要进一步判别。基于名单的判别需要提前确定账号的类型，那么如果攻击者没有在黑名单中，攻击者依然可以对被叫用户发起攻击，直到加入黑名单；而白名单则恰恰相反，对于没有在白名单中的友好呼叫，也会被阻止掉；灰名单则是一个动态学习判别的过程。采用基于名单的判别的优点包括：a)此方法实施简单，能够快速判别，系统资源消耗较少；b)不需要对整个VoIP系统架构进行改变，只需要把名单放置于代理服务器上；c)协议不需要改变。2)基于名声的过滤基于名声的过滤需要一个类似社区网络的系统，社区中彼此通信的用户之间互相给予对方名声值，对一次通信的满意度给予评判。在每次通话中，被叫用户将根据主叫用户的名声值来决定是否接听呼叫。基于名声的过滤方法，相对其他检测方法实施起来更复杂，并且实行的好坏很大程度上取决于用户对一次通话的评判，攻击者可以申请多个账号，然后彼此通信来把自己的名声值提高。这种方法只能在一定程度上的缓解垃圾电话的危害。3)图灵测试和计算谜题图灵测试和计算谜题本质上是一样的，系统提供一些测试给呼叫发起者，呼叫发起者需要正确回答，以证明其身份的合法性。图灵测试和计算谜题这种方法一方面需要在协议上做一定改变，另一方面是对主叫非常不友好。优点在于不需要改变整个VoIP系统架构，测试可以在代理服务器上实施，并且不需要被叫用户的参与。4)根据统计信息的行为分析根据统计信息的行为分析，主要是通过采集用户的信令消息，通过信令解析恢复出呼叫数据记录，并且将呼叫纪录存储起来形成历史数据，便于后期的分析。这种方法需要一个历史呼叫累积的过程，检测的准确性完全建立在呼叫数据的分析上。优点在于分析在服务端进行，不需要用户的参与，对协议及VoIP系统架构不做任何改变。随着网络融合的进一步深化及IP电话的普及，VoIP恶意行为的数量不断增多，攻击形式也更加多样化，为了对大量VoIP恶意行为进行预防，减弱VoIP恶意行为对合法用户的损害，保证合法用户的话路畅通，研究复杂大流量下的VoIP恶意行为及相应的检测发现方法，及时正确检测出VoIP恶意行为来源并采取手段拦截，显得尤为重要。而目前的检测方法均不适用及时正确检测出VoIP恶意行为来源。目前的方法无法较好的兼顾实时性和准确性，在线检测一般基于名单或名声，有严重的背景数据依赖，泛化能力差；而离线检测方法虽然可能具备较高的准确性，但实时性较差，尤其无法满足在TB级流量下的实时检测发现。
技术实现思路
本专利技术的目的在于提供一种复杂大流量下VoIP恶意行为发现方法。本专利技术提出了从大规模、分布式、非对称的被动流量中发现VoIP恶意行为的方法，该复杂大流量存在于国家或区域级大型网关，该类网关具有TB级流量、跨域部署、非对称路由、流量复杂等特点，海量的分布式通信数据给细粒度恶意行为发现带来了巨大挑战。本方法首先筛选在线流量中的原始VoIP呼叫信令，利用过滤门限对呼叫信令进行初步的筛选，迅速从大量的呼叫流量中找出可疑的流量；然后启动细分析，提取可疑流量中的被叫账号的历史呼叫信令数据，进行详细的统计分析，得到呼叫行为特征参数，最终分析出此被叫是否受到了恶意攻击本文档来自技高网...

【技术保护点】
1.一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：/n1)从网络流量中筛选出VoIP呼叫信令；/n2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；/n3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。/n

【技术特征摘要】
1.一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：
1)从网络流量中筛选出VoIP呼叫信令；
2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；
3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。


2.如权利要求1所述的方法，其特征在于，当一被叫账号的呼叫数据累积到被叫次数门限或被叫次数门限整数倍时进行步骤3)；或者存在一次呼叫满足过滤门限，则进行步骤3)；如果同一被叫账号第i次接收了一次呼叫，第i+1次接收的呼叫满足该过滤门限条件，则判定该被叫账号未受到恶意攻击。


3.如权利要求1所述的方法，其特征在于，筛选出可疑的网络流量的方法为：首先对VoIP呼叫信令进行解析，如果呼叫结束方式为忙，则该VoIP呼叫信令为非可疑的网络流量；如果呼叫结束方式为正常结束、超时或者拒接，则进一步判断该VoIP呼叫信令中的被叫账号是否是新的被叫账号，即判断该被叫账号是否已经存在哈希表中，如果该被叫账号是新的被叫账号，则初始化一新的哈希表项，记录该被叫账号的相关信息，包括被叫账号、呼叫开始时间、呼叫结束时间和被叫次数，被叫呼叫纪录标识设置为真；如果该被叫账号已经存在于哈希表中，进一步通过计算得到该被叫账号的本次呼叫结束时间和第一次呼叫发起时间差，判断此时间差是否满足预先设定的过滤门限条件，则该VoIP呼叫信令为可疑的网络流量；判断该被叫账号的叫呼叫纪录标识，如果此标识为假，则进行步骤3)并更新该哈希表，将该被叫账号的被叫次数设置为1、该被叫账号的第一次呼叫时间设置为该VoIP呼叫信令中的发起请求时间、会话结束时间设置为当前系统时间，被叫呼叫纪录标识设置为真；如果该被叫账号的呼叫记录标识为真，则更新该哈希表，包括设置该被叫账号的第一次呼叫开始时间为该VoIP信令数据中的发起请求时间、呼叫结束时间为当前系统时间；如果该被叫账号的相邻两次呼叫结束间隔没有满足过滤门限条件，则更新该哈希表，包括设置该被叫账号的被叫次数为当前被叫次数加1、呼叫结束时间为当前系统时间、被叫呼叫记录标识为假。


4.如权利要求3所述的方法，其特征在于，判断该被叫账号是否受到恶意攻击的方法为：
31)获取哈希表中的第一次呼叫开始时间和当前被叫呼叫结束时间的时间窗口内的该被叫账号的被呼叫历史纪录，然后根据所获取呼叫历史纪录运算得到呼叫该被叫账号的主叫账号的个数，判断此个数是否小于呼叫源个数门限值，如果小于该呼叫源个数门限值，则...

【专利技术属性】
技术研发人员：孙旭东，张成伟，黄远，李舒，孙晓晨，杜梅婕，刘发强，李钊，
申请(专利权)人：国家计算机网络与信息安全管理中心，中国科学院信息工程研究所，
类型：发明
国别省市：北京;11