[发明专利]一种复杂大流量下VoIP恶意行为发现方法

权利要求书

1.一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：

1)从网络流量中筛选出VoIP呼叫信令；

2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；

3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。

2.如权利要求1所述的方法，其特征在于，当一被叫账号的呼叫数据累积到被叫次数门限或被叫次数门限整数倍时进行步骤3)；或者存在一次呼叫满足过滤门限，则进行步骤3)；如果同一被叫账号第i次接收了一次呼叫，第i+1次接收的呼叫满足该过滤门限条件，则判定该被叫账号未受到恶意攻击。

3.如权利要求1所述的方法，其特征在于，筛选出可疑的网络流量的方法为：首先对VoIP呼叫信令进行解析，如果呼叫结束方式为忙，则该VoIP呼叫信令为非可疑的网络流量；如果呼叫结束方式为正常结束、超时或者拒接，则进一步判断该VoIP呼叫信令中的被叫账号是否是新的被叫账号，即判断该被叫账号是否已经存在哈希表中，如果该被叫账号是新的被叫账号，则初始化一新的哈希表项，记录该被叫账号的相关信息，包括被叫账号、呼叫开始时间、呼叫结束时间和被叫次数，被叫呼叫纪录标识设置为真；如果该被叫账号已经存在于哈希表中，进一步通过计算得到该被叫账号的本次呼叫结束时间和第一次呼叫发起时间差，判断此时间差是否满足预先设定的过滤门限条件，则该VoIP呼叫信令为可疑的网络流量；判断该被叫账号的叫呼叫纪录标识，如果此标识为假，则进行步骤3)并更新该哈希表，将该被叫账号的被叫次数设置为1、该被叫账号的第一次呼叫时间设置为该VoIP呼叫信令中的发起请求时间、会话结束时间设置为当前系统时间，被叫呼叫纪录标识设置为真；如果该被叫账号的呼叫记录标识为真，则更新该哈希表，包括设置该被叫账号的第一次呼叫开始时间为该VoIP信令数据中的发起请求时间、呼叫结束时间为当前系统时间；如果该被叫账号的相邻两次呼叫结束间隔没有满足过滤门限条件，则更新该哈希表，包括设置该被叫账号的被叫次数为当前被叫次数加1、呼叫结束时间为当前系统时间、被叫呼叫记录标识为假。

4.如权利要求3所述的方法，其特征在于，判断该被叫账号是否受到恶意攻击的方法为：

31)获取哈希表中的第一次呼叫开始时间和当前被叫呼叫结束时间的时间窗口内的该被叫账号的被呼叫历史纪录，然后根据所获取呼叫历史纪录运算得到呼叫该被叫账号的主叫账号的个数，判断此个数是否小于呼叫源个数门限值，如果小于该呼叫源个数门限值，则进行步骤32)；如果被叫账号的呼叫源个数大于或等于呼叫源个数门限值，并且该被叫账号的话路占用率小于被叫话路占用率门限值，则分别对该时间窗口内的所有呼叫源，即主叫账号，统计其呼叫次数和主叫话路占用率，如果主叫账号的呼叫次数不大于呼叫次数门限，则将该主叫账号判定为可疑账号；如果主叫账号的呼叫次数大于呼叫次数门限，且主叫账号的主叫话路占用率不大于主叫话路占用率门限，则将该主叫账号判定为可疑账号；否则将该主叫账号判定为恶意呼叫发起账号；

32)计算各个主叫账号与该被叫账号的平均观测时长，如果主叫账号与该被叫账号的平均观测时长小于设定的平均观测时长门限值，则进行步骤33)；否则判断主叫账号呼叫该被叫账号的次数是否大于设定的呼叫次数门限值，如果是，则将该主叫账号判定为可疑账号，否则将该主叫账号判定为正常账号；

33)判断主叫账号呼叫该被叫账号的次数是否大于设定的呼叫次数门限值；如果是，则进行步骤34)，否则判断主叫的拒接比是否大于拒接比门限值，如果是，则将该主叫账号判定为可疑账号，否则将该主叫账号判定为正常账号；

34)判断主叫的拒接比是否大于拒接比门限值，如果是，则将该主叫账号判定为恶意呼叫发起账号，否则将该主叫账号判定为可疑账号。

5.如权利要求1所述的方法，其特征在于，所述呼叫行为特征包括平均观测时长、呼叫次数、拒接比、话路占用率。

6.如权利要求5所述的方法，其特征在于，将平均观测时长小于设定平均观测时长门限值、呼叫次数大于设定的呼叫次数门限值且拒接比高大于拒接比门限值的主叫账号判定为VoIP恶意行为发起账号。