[发明专利]一种复杂大流量下VoIP恶意行为发现方法

说明书

本发明公开了一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：1)从网络流量中筛选出VoIP呼叫信令；2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。本发明能够针对复杂实时数据流进行全面细致的检测，充分挖掘历史数据，有效检测VoIP恶意行为，更好地应对复杂度高、隐蔽性高的VoIP恶意行为。

技术领域

本发明涉及一种复杂大流量下VoIP恶意行为发现方法，属于计算机网络技术领域。

背景技术

随着网络融合的发展及IP电话的普及，人们具有了越来越多的通信手段，而通信手段的增加也给网络电话带来了许多新的安全威胁。其中对于VoIP话路的恶意占用，已经成为攻击者新的攻击手段。此种攻击是指攻击者为了达到占用被叫用户线路、干扰被叫用户正常通话的目的，而对被叫用户发起的无意义的连续的强制性VoIP恶意行为。一旦被叫用户受到攻击，被叫用户的话路将被完全阻塞，严重影响了用户的通信自由和生活的安宁。

目前对于发现该类VoIP恶意行为的研究也有很多，但发现和检测方法大都基于特定的数据集，泛化能力不强，不能很好的应用于复杂大流量下的实时检测。

VoIP的全称为Voice Over Internet Protocol。该系统具备比较显著的优点，比如成本比较低，部署起来难度小，当今其在语音通信业务当中得到了十分广泛的应用，虽然其带来了较好的发展机遇，但是同时面临着很多安全问题。例如，呼叫劫持、哄骗消息等。伴随着网络的融合，这些安全问题开始延伸到电路交换网络中，使得原本封闭的公共交换电话网络(Public Switched Telephone Network，PSTN)的语音话路同样会遭受到非法用户的恶意占用。

VoIP恶意行为与传统方式的DoS(Denial of Service)攻击存在一定差异。首先是主要攻击目标不同，传统方式的DoS攻击主要针对传输带宽或服务器可用资源，而VoIP恶意行为重点是破坏用户的接通率，具体表现在以下两方面：一种是使会话无法正常建立(用户无法正常拨打、接听电话)，另一种是使已经建立会话无法保持正常通话状态。其次是作用机理不同，传统方式的DoS攻击是利用协议漏洞发送大量攻击报文或者发动大量主机对同一个目标(传输带宽或服务器)实施攻击，而VoIP恶意行为更多的体现在时间轴上的连续呼叫行为，仅需一台主机也可以完全阻塞一个电话终端用户，这无疑为黑客创造了更加丰富的攻击手段和机会。从攻击效果方面分析，由于网络的融合，使得VoIP恶意行为的攻击成本降低，攻击者基本无需顾忌攻击成本问题，攻击发起者可以多次反复尝试多种攻击手段。而VoIP被叫一端一旦缺少对VoIP恶意行为的防护措施，用户电话线路将长时间被阻塞，从而使得该用户不能正常接听合法呼叫，严重影响了用户的通信自由和生活的安宁，因此该VoIP恶意行为带来了更加显著的危害。

VoIP恶意行为的攻击者的行为特征与垃圾电话(SPIT，spam over Internettelephony)中攻击者行为特征有一定的相似性，都具有比较高的呼叫频率和比较短的呼叫间隔。不同的是，在VoIP恶意行为中，攻击者为了尽可能长时间占用被叫话路，一般不会主动挂断电话，并且攻击者有可能只针对某一个被叫发起持续的呼叫；垃圾电话的攻击者一般为了尽可能多的发送垃圾信息给被叫，一般发送完就会挂断电话，继续向下另一被叫发送。在两种攻击形式中，攻击者的攻击目的不同，导致被叫用户在呼叫行为特征上也有一定的差异。在VoIP恶意行为中，被叫用户一般会受到持续的攻击，一定时间内，被叫用户的拒接电话的比率会比较高；而在垃圾电话中，一定时间内，单个被叫用户的拒接电话的比率不一定会很高。因此，不妨借鉴垃圾电话的检测方法，或许能够得到启发。

当前一些垃圾电话的检测方法主要包括基于名单的判别、基于名声的过滤、图灵测试和计算谜题、根据统计信息的行为分析等，下面仅对几种主流的检测方法的优缺点进行分析和总结。

1)基于名单的判别