[发明专利]检测网络恶意行为的方法和装置

说明书

技术领域

本发明涉及在网络中的恶意行为攻击的方法和装置，更具体地，涉及分布式拒绝服务(DDOS)的恶意行为的检测。

背景技术

网络的使用越来越广泛，伴随着网络的发展产生各种应用服务来便利人们的生活，这样的网络在人们的生活中几乎无所不在。然而，出于商业竞争、打击报复和网络敲诈等多种因素，导致很多互联网数据中心IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被拒绝服务(DOS)攻击以及DDOS攻击所困扰。在第三代网络中，广泛使用支持用户的多媒体业务的IP多媒体子系统(IMS)，然而对IMS网络的安全性没有充分进行检查。已经证明这种DOS攻击以及DDOS可以攻击IMS，特别是通过阻塞其核心业务呈现业务来进行攻击，所产生的网络消息被呈现服务器放大以造成对网络的攻击。例如，使用具有低业务量的14个无抵抗的客户来拥塞IMS网络，而该网络可以支持城市中心区域的一百万用户。

呈现业务是允许通知用户关于可达性、可用性和与另外的用户通信的意愿的业务，已经变成对于诸如即时消息和一键通的许多流行的应用的重要的推动者。已经认识到，基于呈现业务的特性，对业务攻击的较少数量的拒绝就可以阻塞所有IMS业务。在IMS中，诸如分组交换、VoIP(网络电话)业务、一键通业务的许多业务均通过呼叫会话控制功能(CSCF)以进行路由、计费目的。当分组业务经受DOS攻击时，许多正常的业务量将被延迟。基于SIP中的重传机制，消息延迟可以导致多次重传。例如，如果没有在32秒内接收到响应，则每个SIP请求可以被重传10次。结果，重传的无害业务量和恶意业务量两者加起来可以拥塞CSCF，从而拒绝其它不得不经过CSCF的IMS业务。

如果网络正在遭受攻击，所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向网络，瞬间就可能使网络服务器瘫痪。为了阻止这种DOS攻击，我们将不得不在服务器被分组交换业务量负载拥塞之前来停止它。因此在现实中迫切需要一种阻止这种DOS攻击以及DDOS攻击的在线早期防御机制，旨在预先检测到恶意攻击，并标识恶意用户，最终阻止他们。

此外，现有技术中通常是基于IP地址过滤来识别，例如发起攻击的机器IP地址很分散而不是固定在某网段，就可以认为它是傀儡机，即被控制的发起恶意行为攻击的机器。而当用户的帐号、特别是IMS网络账号被盗用时，可以通过任何连接到网络的计算机或移动通信终端进行频繁注册/取消注册的状态更新，所引发的网络消息被呈现服务器放大以造成对网络的攻击。此时识别到傀儡机是不能阻止攻击的，因为被盗取的是网络中的合法用户帐号，盗窃者可以在其它任何一台终端上重新发起攻击。这样，识辨傀儡机只能临时消除一部分攻击，而不能彻底阻止攻击的再次发生。因此迫切需要一种机制来识别攻击来源于哪个用户账号，从而可以监控可疑用户账号的任何异常行为，以彻底阻止来源于此用户的消息，从而抵制攻击。

发明内容

根据本发明的实施例的一个方面，提供一种用于在网络中检测恶意行为的方法，所述网络包括应用服务器、订户信息数据库以及与之相连的代理，所述方法包括：

对时间间隔期间到分组交换域的消息数进行规范化处理；

设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及

如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击。

优选的，所述第一参数可以为时间间隔期间的最大消息数。

在本发明的实施例中，所述时间间隔期间的最大消息数可以为时间间隔到分组交换域的平均消息数与前一时间间隔到分组交换域的平均消息数之差。

在本发明的实施例中，所述规范化处理步骤包括利用前一时间间隔期间消息的平均数来对所述消息数进行规范化处理。

优选的，还包括对所述消息的平均数进行平滑处理。

在本发明的实施例中，所述检测恶意行为的方法还包括：当检测到恶意行为的攻击时，检测恶意行为的来源。

其中所述检测恶意行为的来源可以进一步包括：

获得来自与特定帐号关联的用户的采样消息间隔；

设置源检测标识，所述源检测标识是在该源检测标识的历史值与第二参数与所述特定帐号的用户的采样消息间隔之差的和与第二预定阈值之间取最大，其中所述第二参数小于消息到达间隔的平均值；以及

如果所述源检测标识大于所述预定阈值，则检测到所述恶意行为来自所述特定帐号。