软交换平台下号码段的拒绝服务攻击检测方法技术

本发明专利技术涉及软交换平台下号码段的拒绝服务攻击检测方法，包括步骤：步骤１．拒绝服务攻击行为预判断；步骤２．采集号码段的呼叫数据形成呼叫信号，对呼叫信号进行希尔伯特变换得到呼叫流量信号ｆ（ｍ）对应的呼叫解析信号ｚ（ｍ），进而计算得到呼叫流量信号ｆ（ｍ）的瞬时频率Ｗ（ｍ）；步骤３．对检测窗口瞬时频率Ｗ１（ｍ）和历史窗口瞬时频率Ｗ２（ｍ）进行方差分析，得到方差偏离参数σｒａｔｉｏｎ。本发明专利技术的有益效果：可以有效的检测出软交换平台下的号码段的拒绝服务攻击行为的发生。并且结合已有的呼叫数据，还可以准确的确定出攻击方的号码。

【技术实现步骤摘要】

本专利技术通信
，具体涉及通信安全技术。
技术介绍
拒绝服务(DoS，Denial of Service)攻击是指故意攻击网络协议实现的缺陷或 直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服 务，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放 的进程或者允许的连接等，是网络上一种简单但很有效的破坏性攻击手段。软交换(softswitching)技术是利用把呼叫控制功能与媒体网关分开的方法来 沟通公用电话交换网(PSTN)与IP电话(VoIP)的一种交换技术。软交换平台是采用软交 换技术将公用电话交换网与IP电话融合的一种系统。IP电话的成功促使软交换平台的转 型，分组化、软交换等技术的使用，使得原本小概率的软交换平台安全问题日渐突出，在软 交换平台这种攻击方式也应运而生。软交换平台受到来自Internet网络攻击的可能性不 断增大，主要原因在于1.终端智能化；在极大丰富了服务类型与内容的同时，拥有丰富智能特性的终端 也将一般IP网的安全问题带入了软交换平台。具有很强计算能力、存储能力和通信能力的 计算机，一旦成为傀儡机，完全有可能在用户没有察觉的情况下成为向软交换平台终端发 起攻击的主机。2.攻击代价低并追溯困难；这使得攻击发起者可以多次反复尝试多种攻击手段， 而基本无需顾忌攻击成本问题。这与IP网的匿名、开放、无管理等有着直接关系，用户在网 络中的行为基本不受约束，黑客/骇客大行其道。3.攻击强度高并破坏性大；使得原本需要很大代价才能达成的目的现在可以较 为容易地实现。如对某个软交换平台号码或号段的阻塞、对某些用户的电话騷扰、进行某些 反动言论的宣传等。由于“投入产出比”较高，促成了某些潜在的网络犯罪行为，如网络敲 诈、网络欺骗等，进一步使得软交换平台平台的安全形势恶化。同时，深入分析针对软交换平台下电话终端的拒绝服务攻击，虽然其仍然具有传 统拒绝服务攻击的特征，但与一般意义上的拒绝服务已存在一定的差异。首先，在主要作用 目标上有区别，前者重点破坏被叫用户的接通率，后者则针对传输带宽或服务器可用资源。 其次，在作用机理上，前者若是针对单个电话终端的拒绝服务攻击，更多的体现在时间轴上 的连续呼叫行为，除了发动大量主机对同一个目标(传输带宽或服务器)实施攻击这种传 统方式外，仅需一台主机也可以完全阻塞一个电话终端用户，这无疑为黑客创造了更加丰 富的攻击手段和机会。从攻击效果方面分析，在面对更加复杂更加险恶的网络环境的同时， 由于软交换平台一端缺少安全防护措施，一旦电话线路长时间被阻塞，电话终端立即陷入 瘫痪状态，攻击带来的危害将显著提高。因此，考虑到软交换平台的拒绝服务问题具有明显有别于IP网拒绝服务攻击的 特征，特别是软交换平台不断地向下一代网络的融合的过程中，该类安全问题日渐突出，软交换平台迫切需要快速高效的号码段拒绝服务攻击检测算法。在拒绝服务攻击安全方面的研究，目前主要集中在对IP网络中该攻击的研究。大 体上我们可以将现有的研究方向分为三类利用更好的信号处理方法来发现异常流量；二 是建立更好的网络流量模型来精确刻画流量变化，以此为基础发现异常流量；三是采用智 能推理方法来分析发现异常流量。以下分别对这三类研究方向简单介绍1.利用更好的信号处理方法来发现异常；本类方法是目前网络流量异常检测方 法发展的主流，受到的重视最多，研究得到的方法也最多，该类方法大致有可分为两类一 是单时间序列分析方法，另一类是多时间序列分析方法。所谓单时间序列分析方法是将一 条链路的流量信号看作一个一维信号，采用一维信号的分析方法进行异常检测(当然也有 个别方法将一维分解成二维信号进行分析)；所谓多时间序列分析方法是将多条链路的流 量信号看作一个二维信号，采用二维信号的分析方法进行异常检测。2.基于网络流量模型的异常检测方法，随着网络技术的不断发展和更新，许多研 究者投入到分组网络业务量的研究之中，并根据各自的学术背景提出了各种业务量表征的 概念和模型。研究者已经发现在正常网络业务中，对某一特定的节点而言，来自大量不同数 据源的数据之间通常不具有时间和分组特征(比如协议类型，分组尺寸)方面的相关性，但 是，当异常(比如拒绝服务攻击)发生时，大量邻近的分组段之间在时间和分组特征上具有 某种特定的相关性。正是这种相关性的变化，将会导致其流量模型的相关参数的变化，从而 有可能利用流量分析的方法将包含有异常数据的业务量和正常业务区分开来。该类方法通 过对网络流量模型参数变化的监测，不需拆开分组，不需分析攻击所属的协议类型，计算量 小，占用资源少，可运用于分布式系统，能准确有效的判断异常的发生。3.流量异常的智能推理方法，用有限状态机或者模式匹配等智能推理方法来进行 异常检测很早就出现了，目前已经不是主流的检测方法，但有必要进行归类和简单描述(31)有限状态机方法；有限状态机模型通过一系列异常事件发生过程中或发生 以前的预警序列来检测异常行为。它的缺点是因为所有的异常错误都可以通过一定长度 的有限状态机预警序列来捕获，这就可能导致状态的数量随着异常模型的数量和复杂度增 加，我们要研究的参数也跟着增加。参数设定好之后，只能适用于固定的网络，灵活性差，时 间复杂度高，不适用于实时检测。(32)模式匹配方法；把异常信号和正常信号区分开来。异常信号是偏离正常信号 的变化。这种方法中，通过在线学习建立给定网络的流量模型，参数有如链接数、包丢失数、 冲突数。然后按照时间对流量模型分类，比如星期、特殊日子(周末、假期)等。如果一个 新的到达数据不能在一定的置信区间匹配这些模型，那么我们就认为这个数据是一个异常 数据。它的缺点是严重依赖于网络流量的波形统计，当用于新的网络时，需要花大量的时 间建立起网络流量波形的统计。以上的现有技术研究的内容均是计算机网络中的拒绝服务攻击的检测，均未实现 对软交换平台下拒绝服务攻击的检测，而实际需求中，迫切需要一种软交换平台下号码段 的拒绝服务攻击检测方法。
技术实现思路
本专利技术的目的是满足软交换平台的实际需求，提出了，可以准确的检测出拒绝服务攻击的发生。为了实现上述目的，本专利技术的技术方案是软交换平台下号码段的拒绝服务攻击 检测方法，包括步骤步骤1.拒绝服务攻击行为预判断预先设定一指定号码段的计时器时间门限T和 计数器次数门限值N，启动计时器和计数器，记录此时的工作时刻为起始时刻、，判断计时 器的工作时间是否达到计时器时间门限T，如果达到计时器时间门限T，则计时器和计数器 复位重新启动计时器和计数器，如果没有达到计时器时间门限T，则进一步判断计数器次数 η是否达到计数器次数门限值N;如果达到计数器次数门限值N，记录此时的工作时刻为计 数器中止时刻t2，同时进入下一步骤，否则计时器和计数器复位重新启动计时器和计数器；步骤2.采集号码段的呼叫数据形成呼叫信号，对呼叫信号进行希尔伯特变换得 到呼叫流量信号f(m)对应的呼叫解析信号z(m)，进而计算得到呼叫流量信号f(m)的瞬时 频率W(m)；步骤3.对检测窗口瞬时频率W1(Hi)和历史窗口瞬时频率W2(m)进行方差分析，得 到方差偏离参数ο Mti。n;同时，根据预设的方差偏离参数的判定门限值本文档来自技高网...

【技术保护点】
软交换平台下号码段的拒绝服务攻击检测方法，包括步骤：步骤１．拒绝服务攻击行为预判断：预先设定一指定号码段的计时器时间门限Ｔ和计数器次数门限值Ｎ，启动计时器和计数器，记录此时的工作时刻为起始时刻ｔ↓［１］，判断计时器的工作时间是否达到计时器时间门限Ｔ，如果达到计时器时间门限Ｔ，则计时器和计数器复位重新启动计时器和计数器，如果没有达到计时器时间门限Ｔ，则进一步判断计数器次数ｎ是否达到计数器次数门限值Ｎ；如果达到计数器次数门限值Ｎ，记录此时的工作时刻为计数器中止时刻ｔ↓［２］，同时进入下一步骤，否则计时器和计数器复位重新启动计时器和计数器；步骤２．采集号码段的呼叫数据形成呼叫信号，对呼叫信号进行希尔伯特变换得到呼叫流量信号ｆ（ｍ）对应的呼叫解析信号ｚ（ｍ），进而计算得到呼叫流量信号ｆ（ｍ）的瞬时频率Ｗ（ｍ）；步骤３．对检测窗口瞬时频率Ｗ↓［１］（ｍ）和历史窗口瞬时频率Ｗ↓［２］（ｍ）进行方差分析，得到方差偏离参数σ↓［ｒａｔｉｏｎ］；同时，根据预设的方差偏离参数的判定门限值σ↓［Ｔ］，将方差偏离参数σ↓［ｒａｔｉｏｎ］与方差偏离参数的判定门限值σ↓［Ｔ］进行比对，判定指定号码段的检测窗口Ｔ↓［ＤｅｔＷｉｎ］内的呼叫流量信号ｆ↓［１］（ｍ）是否发生异常；步骤４．根据指定号码段的各个段外主叫方对指定号码段的呼叫数据，统计各个段外主叫方对该指定号码段发起的呼叫次数和各个段外主叫方对该号码段发起的呼叫的平均通话时长，同时，计算呼叫次数门限σ↓［Ｔ１］和平均通话时长门限σ↓［Ｔ２］；步骤５．将步骤（４）中的段外主叫方对指定号码段的呼叫次数Ｃｏｕｎｔ↓［ｉ］及平均通话时长Ｔｉｍｅ↓［ｉ］与计算得到的呼叫次数判决门限σ↓［Ｔ１］和平均通话时长判决门限σ↓［Ｔ２］进行比对，若呼叫次数Ｃｏｕｎｔ↓［ｉ］大于呼叫次数判决门限σ↓［Ｔ１］并且平均通话时长Ｔｉｍｅ↓［ｉ］小于平均通话时长判决门限σ↓［Ｔ２］，则判断该主叫方为拒绝服务攻击的具体攻击方；。...

【技术特征摘要】
软交换平台下号码段的拒绝服务攻击检测方法，包括步骤步骤1.拒绝服务攻击行为预判断预先设定一指定号码段的计时器时间门限T和计数器次数门限值N，启动计时器和计数器，记录此时的工作时刻为起始时刻t1，判断计时器的工作时间是否达到计时器时间门限T，如果达到计时器时间门限T，则计时器和计数器复位重新启动计时器和计数器，如果没有达到计时器时间门限T，则进一步判断计数器次数n是否达到计数器次数门限值N；如果达到计数器次数门限值N，记录此时的工作时刻为计数器中止时刻t2，同时进入下一步骤，否则计时器和计数器复位重新启动计时器和计数器；步骤2.采集号码段的呼叫数据形成呼叫信号，对呼叫信号进行希尔伯特变换得到呼叫流量信号f(m)对应的呼叫解析信号z(m)，进而计算得到呼叫流量信号f(m)的瞬时频率W(m)；步骤3.对检测窗口瞬时频率W1(m)和历史窗口瞬时频率W2(m)进行方差分析，得到方差偏离参数σration；同时，根据预设的方差偏离参数的判定门限值σT，将方差偏离参数σration与方差偏离参数的判定门限值σT进行比对，判定指定号码段的检测窗口TDetWin内的呼叫流量信号f1(m)是否发生异常；步骤4.根据指定号码段的各个段外主叫方对指定号码段的呼叫数据，统计各个段外主叫方对该指定号码段发起的呼叫次数和各个段外主叫方对该号码段发起的呼叫的平均通话时长，同时，计算呼叫次数门限σT1和平均通话时长门限σT2；步骤5.将步骤(4)中的段外主叫方对指定号码段的呼叫次数Counti及平均通话时长Timei与计算得到的呼叫次数判决门限σT1和平均通话时长判决门限σT2进行比对，若呼叫次数Counti大于呼叫次数判决门限σT1并且平均通话时长Timei小于平均通话时长判决门限σT2，则判断该主叫方为拒绝服务攻击的具体攻击方；2.根据权利要求1所述的软交换平台下号码段的拒绝服务攻击检测方法，其特征在 于，所述步骤2的包括如下步骤步骤21.呼叫流量信号的形成设采样时间间隔为Ttl，待提取的信号的时间段分别为 检测窗口 Tlletwin= [ti; t2]和历史窗口 Tlliswin= [t0, t2]，Tmswin 为预设值并且大于 T_in， 按采样时间间隔Ttl分割为检测窗口采样点数= \TDeimn /Γ。]和历史窗口采样点数 Mmswm = \THisWm/T0^，m为抽样点序号，取值范围为O到礼_ 或Mlliswin之间的任意整数；把 Tnetffin或Tlliswin时间内指定号码段被呼叫的次数按采样时间间隔Ttl形成的信号定义为检测 窗口呼叫流量信号f^m)或历史窗口呼叫流量信号f2(m)，则有 时间段内的被呼叫的次数，otherwise ； 时问段内的被呼叫的次数，otherwise ’步骤22.对呼叫流量信号进行时频分析采用滑动窗口的检测方式，分别对检测窗口 Tltetwin和历史窗口 Tmswin内的检测窗口呼叫流量信号Km)和历史窗口呼叫流量信号f2(m) 进行希尔伯特变换，得到检测窗口解析信号Z1(Hl)和历史窗口解析信号Z2(Hl)，进而分别计 算得到检测窗口瞬时频率W1 (...

【专利技术属性】
技术研发人员：汪孔林，邱俊沙，胡光岷，鲁才，隆克平，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：90[中国|成都]