[发明专利]软交换平台下号码段的拒绝服务攻击检测方法

说明书

技术领域

本发明通信技术领域，具体涉及通信安全技术。

背景技术

拒绝服务(DoS，Denial of Service)攻击是指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等，是网络上一种简单但很有效的破坏性攻击手段。

软交换(softswitching)技术是利用把呼叫控制功能与媒体网关分开的方法来沟通公用电话交换网(PSTN)与IP电话(VoIP)的一种交换技术。软交换平台是采用软交换技术将公用电话交换网与IP电话融合的一种系统。IP电话的成功促使软交换平台的转型，分组化、软交换等技术的使用，使得原本小概率的软交换平台安全问题日渐突出，在软交换平台这种攻击方式也应运而生。软交换平台受到来自Internet网络攻击的可能性不断增大，主要原因在于：

1.终端智能化；在极大丰富了服务类型与内容的同时，拥有丰富智能特性的终端也将一般IP网的安全问题带入了软交换平台。具有很强计算能力、存储能力和通信能力的计算机，一旦成为傀儡机，完全有可能在用户没有察觉的情况下成为向软交换平台终端发起攻击的主机。

2.攻击代价低并追溯困难；这使得攻击发起者可以多次反复尝试多种攻击手段，而基本无需顾忌攻击成本问题。这与IP网的匿名、开放、无管理等有着直接关系，用户在网络中的行为基本不受约束，黑客/骇客大行其道。

3.攻击强度高并破坏性大；使得原本需要很大代价才能达成的目的现在可以较为容易地实现。如对某个软交换平台号码或号段的阻塞、对某些用户的电话骚扰、进行某些反动言论的宣传等。由于“投入产出比”较高，促成了某些潜在的网络犯罪行为，如网络敲诈、网络欺骗等，进一步使得软交换平台平台的安全形势恶化。

同时，深入分析针对软交换平台下电话终端的拒绝服务攻击，虽然其仍然具有传统拒绝服务攻击的特征，但与一般意义上的拒绝服务已存在一定的差异。首先，在主要作用目标上有区别，前者重点破坏被叫用户的接通率，后者则针对传输带宽或服务器可用资源。其次，在作用机理上，前者若是针对单个电话终端的拒绝服务攻击，更多的体现在时间轴上的连续呼叫行为，除了发动大量主机对同一个目标(传输带宽或服务器)实施攻击这种传统方式外，仅需一台主机也可以完全阻塞一个电话终端用户，这无疑为黑客创造了更加丰富的攻击手段和机会。从攻击效果方面分析，在面对更加复杂更加险恶的网络环境的同时，由于软交换平台一端缺少安全防护措施，一旦电话线路长时间被阻塞，电话终端立即陷入瘫痪状态，攻击带来的危害将显著提高。

因此，考虑到软交换平台的拒绝服务问题具有明显有别于IP网拒绝服务攻击的特征，特别是软交换平台不断地向下一代网络的融合的过程中，该类安全问题日渐突出，软交换平台迫切需要快速高效的号码段拒绝服务攻击检测算法。

在拒绝服务攻击安全方面的研究，目前主要集中在对IP网络中该攻击的研究。大体上我们可以将现有的研究方向分为三类：利用更好的信号处理方法来发现异常流量；二是建立更好的网络流量模型来精确刻画流量变化，以此为基础发现异常流量；三是采用智能推理方法来分析发现异常流量。以下分别对这三类研究方向简单介绍：

1.利用更好的信号处理方法来发现异常；本类方法是目前网络流量异常检测方法发展的主流，受到的重视最多，研究得到的方法也最多，该类方法大致有可分为两类：一是单时间序列分析方法，另一类是多时间序列分析方法。所谓单时间序列分析方法是将一条链路的流量信号看作一个一维信号，采用一维信号的分析方法进行异常检测(当然也有个别方法将一维分解成二维信号进行分析)；所谓多时间序列分析方法是将多条链路的流量信号看作一个二维信号，采用二维信号的分析方法进行异常检测。