專利名稱:軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明通信技術(shù)領(lǐng)域,具體涉及通信安全技術(shù)�。
背景技術(shù):
拒絕服務(wù)(DoS,Denial of Service)攻擊是指故意攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或 直接通過(guò)野蠻手段耗盡被攻擊對(duì)象的資源���,目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服 務(wù)�����,使目標(biāo)系統(tǒng)停止響應(yīng)甚至崩潰�。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬��、文件系統(tǒng)空間容量�、開(kāi)放 的進(jìn)程或者允許的連接等,是網(wǎng)絡(luò)上一種簡(jiǎn)單但很有效的破壞性攻擊手段�。軟交換(softswitching)技術(shù)是利用把呼叫控制功能與媒體網(wǎng)關(guān)分開(kāi)的方法來(lái) 溝通公用電話交換網(wǎng)(PSTN)與IP電話(VoIP)的一種交換技術(shù)。軟交換平臺(tái)是采用軟交 換技術(shù)將公用電話交換網(wǎng)與IP電話融合的一種系統(tǒng)����。IP電話的成功促使軟交換平臺(tái)的轉(zhuǎn) 型,分組化����、軟交換等技術(shù)的使用�����,使得原本小概率的軟交換平臺(tái)安全問(wèn)題日漸突出����,在軟 交換平臺(tái)這種攻擊方式也應(yīng)運(yùn)而生�。軟交換平臺(tái)受到來(lái)自Internet網(wǎng)絡(luò)攻擊的可能性不 斷增大,主要原因在于1.終端智能化�;在極大豐富了服務(wù)類型與內(nèi)容的同時(shí),擁有豐富智能特性的終端 也將一般IP網(wǎng)的安全問(wèn)題帶入了軟交換平臺(tái)�。具有很強(qiáng)計(jì)算能力、存儲(chǔ)能力和通信能力的 計(jì)算機(jī)���,一旦成為傀儡機(jī)�,完全有可能在用戶沒(méi)有察覺(jué)的情況下成為向軟交換平臺(tái)終端發(fā) 起攻擊的主機(jī)��。2.攻擊代價(jià)低并追溯困難����;這使得攻擊發(fā)起者可以多次反復(fù)嘗試多種攻擊手段����, 而基本無(wú)需顧忌攻擊成本問(wèn)題�����。這與IP網(wǎng)的匿名�、開(kāi)放���、無(wú)管理等有著直接關(guān)系�,用戶在網(wǎng) 絡(luò)中的行為基本不受約束���,黑客/駭客大行其道�����。3.攻擊強(qiáng)度高并破壞性大�;使得原本需要很大代價(jià)才能達(dá)成的目的現(xiàn)在可以較 為容易地實(shí)現(xiàn)���。如對(duì)某個(gè)軟交換平臺(tái)號(hào)碼或號(hào)段的阻塞���、對(duì)某些用戶的電話騷擾、進(jìn)行某些 反動(dòng)言論的宣傳等�����。由于“投入產(chǎn)出比”較高,促成了某些潛在的網(wǎng)絡(luò)犯罪行為���,如網(wǎng)絡(luò)敲 詐���、網(wǎng)絡(luò)欺騙等,進(jìn)一步使得軟交換平臺(tái)平臺(tái)的安全形勢(shì)惡化����。同時(shí),深入分析針對(duì)軟交換平臺(tái)下電話終端的拒絕服務(wù)攻擊����,雖然其仍然具有傳 統(tǒng)拒絕服務(wù)攻擊的特征,但與一般意義上的拒絕服務(wù)已存在一定的差異����。首先,在主要作用 目標(biāo)上有區(qū)別���,前者重點(diǎn)破壞被叫用戶的接通率��,后者則針對(duì)傳輸帶寬或服務(wù)器可用資源����。 其次��,在作用機(jī)理上���,前者若是針對(duì)單個(gè)電話終端的拒絕服務(wù)攻擊��,更多的體現(xiàn)在時(shí)間軸上 的連續(xù)呼叫行為����,除了發(fā)動(dòng)大量主機(jī)對(duì)同一個(gè)目標(biāo)(傳輸帶寬或服務(wù)器)實(shí)施攻擊這種傳 統(tǒng)方式外�,僅需一臺(tái)主機(jī)也可以完全阻塞一個(gè)電話終端用戶,這無(wú)疑為黑客創(chuàng)造了更加豐 富的攻擊手段和機(jī)會(huì)���。從攻擊效果方面分析���,在面對(duì)更加復(fù)雜更加險(xiǎn)惡的網(wǎng)絡(luò)環(huán)境的同時(shí), 由于軟交換平臺(tái)一端缺少安全防護(hù)措施����,一旦電話線路長(zhǎng)時(shí)間被阻塞,電話終端立即陷入 癱瘓狀態(tài)����,攻擊帶來(lái)的危害將顯著提高�。因此���,考慮到軟交換平臺(tái)的拒絕服務(wù)問(wèn)題具有明顯有別于IP網(wǎng)拒絕服務(wù)攻擊的 特征��,特別是軟交換平臺(tái)不斷地向下一代網(wǎng)絡(luò)的融合的過(guò)程中����,該類安全問(wèn)題日漸突出�����,軟交換平臺(tái)迫切需要快速高效的號(hào)碼段拒絕服務(wù)攻擊檢測(cè)算法���。在拒絕服務(wù)攻擊安全方面的研究����,目前主要集中在對(duì)IP網(wǎng)絡(luò)中該攻擊的研究�。大 體上我們可以將現(xiàn)有的研究方向分為三類利用更好的信號(hào)處理方法來(lái)發(fā)現(xiàn)異常流量;二 是建立更好的網(wǎng)絡(luò)流量模型來(lái)精確刻畫流量變化���,以此為基礎(chǔ)發(fā)現(xiàn)異常流量���;三是采用智 能推理方法來(lái)分析發(fā)現(xiàn)異常流量���。以下分別對(duì)這三類研究方向簡(jiǎn)單介紹1.利用更好的信號(hào)處理方法來(lái)發(fā)現(xiàn)異常;本類方法是目前網(wǎng)絡(luò)流量異常檢測(cè)方 法發(fā)展的主流���,受到的重視最多,研究得到的方法也最多�����,該類方法大致有可分為兩類一 是單時(shí)間序列分析方法�,另一類是多時(shí)間序列分析方法。所謂單時(shí)間序列分析方法是將一 條鏈路的流量信號(hào)看作一個(gè)一維信號(hào)�,采用一維信號(hào)的分析方法進(jìn)行異常檢測(cè)(當(dāng)然也有 個(gè)別方法將一維分解成二維信號(hào)進(jìn)行分析);所謂多時(shí)間序列分析方法是將多條鏈路的流 量信號(hào)看作一個(gè)二維信號(hào)�,采用二維信號(hào)的分析方法進(jìn)行異常檢測(cè)。2.基于網(wǎng)絡(luò)流量模型的異常檢測(cè)方法���,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和更新����,許多研 究者投入到分組網(wǎng)絡(luò)業(yè)務(wù)量的研究之中���,并根據(jù)各自的學(xué)術(shù)背景提出了各種業(yè)務(wù)量表征的 概念和模型�。研究者已經(jīng)發(fā)現(xiàn)在正常網(wǎng)絡(luò)業(yè)務(wù)中,對(duì)某一特定的節(jié)點(diǎn)而言����,來(lái)自大量不同數(shù) 據(jù)源的數(shù)據(jù)之間通常不具有時(shí)間和分組特征(比如協(xié)議類型,分組尺寸)方面的相關(guān)性�,但 是,當(dāng)異常(比如拒絕服務(wù)攻擊)發(fā)生時(shí)��,大量鄰近的分組段之間在時(shí)間和分組特征上具有 某種特定的相關(guān)性�。正是這種相關(guān)性的變化,將會(huì)導(dǎo)致其流量模型的相關(guān)參數(shù)的變化���,從而 有可能利用流量分析的方法將包含有異常數(shù)據(jù)的業(yè)務(wù)量和正常業(yè)務(wù)區(qū)分開(kāi)來(lái)����。該類方法通 過(guò)對(duì)網(wǎng)絡(luò)流量模型參數(shù)變化的監(jiān)測(cè)�,不需拆開(kāi)分組,不需分析攻擊所屬的協(xié)議類型�����,計(jì)算量 小,占用資源少���,可運(yùn)用于分布式系統(tǒng)�����,能準(zhǔn)確有效的判斷異常的發(fā)生�����。3.流量異常的智能推理方法,用有限狀態(tài)機(jī)或者模式匹配等智能推理方法來(lái)進(jìn)行 異常檢測(cè)很早就出現(xiàn)了���,目前已經(jīng)不是主流的檢測(cè)方法��,但有必要進(jìn)行歸類和簡(jiǎn)單描述(31)有限狀態(tài)機(jī)方法����;有限狀態(tài)機(jī)模型通過(guò)一系列異常事件發(fā)生過(guò)程中或發(fā)生 以前的預(yù)警序列來(lái)檢測(cè)異常行為����。它的缺點(diǎn)是因?yàn)樗械漠惓ee(cuò)誤都可以通過(guò)一定長(zhǎng)度 的有限狀態(tài)機(jī)預(yù)警序列來(lái)捕獲,這就可能導(dǎo)致?tīng)顟B(tài)的數(shù)量隨著異常模型的數(shù)量和復(fù)雜度增 加��,我們要研究的參數(shù)也跟著增加。參數(shù)設(shè)定好之后��,只能適用于固定的網(wǎng)絡(luò)�����,靈活性差���,時(shí) 間復(fù)雜度高����,不適用于實(shí)時(shí)檢測(cè)���。(32)模式匹配方法����;把異常信號(hào)和正常信號(hào)區(qū)分開(kāi)來(lái)�。異常信號(hào)是偏離正常信號(hào) 的變化。這種方法中�,通過(guò)在線學(xué)習(xí)建立給定網(wǎng)絡(luò)的流量模型,參數(shù)有如鏈接數(shù)�、包丟失數(shù)、 沖突數(shù)�����。然后按照時(shí)間對(duì)流量模型分類,比如星期�����、特殊日子(周末�����、假期)等���。如果一個(gè) 新的到達(dá)數(shù)據(jù)不能在一定的置信區(qū)間匹配這些模型�����,那么我們就認(rèn)為這個(gè)數(shù)據(jù)是一個(gè)異常 數(shù)據(jù)。它的缺點(diǎn)是嚴(yán)重依賴于網(wǎng)絡(luò)流量的波形統(tǒng)計(jì)��,當(dāng)用于新的網(wǎng)絡(luò)時(shí)�����,需要花大量的時(shí) 間建立起網(wǎng)絡(luò)流量波形的統(tǒng)計(jì)����。以上的現(xiàn)有技術(shù)研究的內(nèi)容均是計(jì)算機(jī)網(wǎng)絡(luò)中的拒絕服務(wù)攻擊的檢測(cè)�����,均未實(shí)現(xiàn) 對(duì)軟交換平臺(tái)下拒絕服務(wù)攻擊的檢測(cè)�����,而實(shí)際需求中���,迫切需要一種軟交換平臺(tái)下號(hào)碼段 的拒絕服務(wù)攻擊檢測(cè)方法。
發(fā)明內(nèi)容
本發(fā)明的目的是滿足軟交換平臺(tái)的實(shí)際需求���,提出了軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法�,可以準(zhǔn)確的檢測(cè)出拒絕服務(wù)攻擊的發(fā)生����。為了實(shí)現(xiàn)上述目的,本發(fā)明的技術(shù)方案是軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊 檢測(cè)方法�,包括步驟步驟1.拒絕服務(wù)攻擊行為預(yù)判斷預(yù)先設(shè)定一指定號(hào)碼段的計(jì)時(shí)器時(shí)間門限T和 計(jì)數(shù)器次數(shù)門限值N,啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器��,記錄此時(shí)的工作時(shí)刻為起始時(shí)刻���、�,判斷計(jì)時(shí) 器的工作時(shí)間是否達(dá)到計(jì)時(shí)器時(shí)間門限T,如果達(dá)到計(jì)時(shí)器時(shí)間門限T�,則計(jì)時(shí)器和計(jì)數(shù)器 復(fù)位重新啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器,如果沒(méi)有達(dá)到計(jì)時(shí)器時(shí)間門限T����,則進(jìn)一步判斷計(jì)數(shù)器次數(shù) η是否達(dá)到計(jì)數(shù)器次數(shù)門限值N;如果達(dá)到計(jì)數(shù)器次數(shù)門限值N,記錄此時(shí)的工作時(shí)刻為計(jì) 數(shù)器中止時(shí)刻t2�,同時(shí)進(jìn)入下一步驟,否則計(jì)時(shí)器和計(jì)數(shù)器復(fù)位重新啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器���;步驟2.采集號(hào)碼段的呼叫數(shù)據(jù)形成呼叫信號(hào)�,對(duì)呼叫信號(hào)進(jìn)行希爾伯特變換得 到呼叫流量信號(hào)f(m)對(duì)應(yīng)的呼叫解析信號(hào)z(m)����,進(jìn)而計(jì)算得到呼叫流量信號(hào)f(m)的瞬時(shí) 頻率W(m);步驟3.對(duì)檢測(cè)窗口瞬時(shí)頻率W1(Hi)和歷史窗口瞬時(shí)頻率W2(m)進(jìn)行方差分析����,得 到方差偏離參數(shù)ο Mti�����。n;同時(shí),根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值ο τ�����,將方差偏離參 數(shù)Oratim與方差偏離參數(shù)的判定門限值01進(jìn)行比對(duì)��,判定指定號(hào)碼段的檢測(cè)窗口�!^ 內(nèi) 的呼叫流量信號(hào)Km)是否發(fā)生異常;步驟4.根據(jù)指定號(hào)碼段的各個(gè)段外主叫方對(duì)指定號(hào)碼段的呼叫數(shù)據(jù)�,統(tǒng)計(jì)各個(gè) 段外主叫方對(duì)該指定號(hào)碼段發(fā)起的呼叫次數(shù)和各個(gè)段外主叫方對(duì)該號(hào)碼段發(fā)起的呼叫的 平均通話時(shí)長(zhǎng),同時(shí)���,計(jì)算呼叫次數(shù)門限σ T1和平均通話時(shí)長(zhǎng)門限σ Τ2 ���;步驟5.將步驟(4)中的段外主叫方對(duì)指定號(hào)碼段的呼叫次數(shù)Coimti及平均通話 時(shí)長(zhǎng)Timei與計(jì)算得到的呼叫次數(shù)判決門限στ1和平均通話時(shí)長(zhǎng)判決門限σΤ2進(jìn)行比對(duì), 若呼叫次數(shù)Coimti大于呼叫次數(shù)判決門限σ T1并且平均通話時(shí)長(zhǎng)Timei小于平均通話時(shí)長(zhǎng) 判決門限σΤ2����,則判斷該主叫方為拒絕服務(wù)攻擊的具體攻擊方;上述步驟2的包括如下步驟步驟21.呼叫流量信號(hào)的形成設(shè)采樣時(shí)間間隔為Ttl�,待提取的信號(hào)的時(shí)間段分 別為檢測(cè)窗口T
DetWin 一 [ti;t2]和歷史窗口 T
HisWin — [t。����,t2]�,THisWin 為預(yù)設(shè)值并且大于T
DetWin'
按采樣時(shí)間間隔τ���。分割為檢測(cè)窗口采樣點(diǎn)數(shù)= \Tl)clWm /Γ��。1和歷史窗口采樣點(diǎn)數(shù) Mwswm = \THisWJT,~\���,m為抽樣點(diǎn)序號(hào),取值范圍為O到禮_ 或Mlliswin之間的任意整數(shù)���;把 Tnetffin或Tlliswin時(shí)間內(nèi)指定號(hào)碼段被呼叫的次數(shù)按采樣時(shí)間間隔Ttl形成的信號(hào)定義為檢測(cè) 窗口呼叫流量信號(hào)f^m)或歷史窗口呼叫流量信號(hào)f2(m)����,則有
Jo,m = 0
義(—二1[7�����;.( -1),7�����;. <1時(shí)間段內(nèi)的被呼叫的次數(shù)���,otherwise �;時(shí)間段內(nèi)的被呼叫的次數(shù)����,otherwise ; 步驟22.對(duì)呼叫流量信號(hào)進(jìn)行時(shí)頻分析采用滑動(dòng)窗口的檢測(cè)方式�����,分別對(duì)檢測(cè) 窗口 Tllrtwin和歷史窗口 Tmswin內(nèi)的檢測(cè)窗口呼叫流量信號(hào)f\ (m)和歷史窗口呼叫流量信號(hào) f2(m)進(jìn)行希爾伯特變換����,得到檢測(cè)窗口解析信號(hào)Zl(m)和歷史窗口解析信號(hào)Z2(m),進(jìn)而分
7別計(jì)算得到檢測(cè)窗口瞬時(shí)頻率W1 (m)和歷史窗口瞬時(shí)頻率W2 (m)���。上述步驟3的包括如下步驟步驟31.計(jì)算W1(Hi)相對(duì)W2(m)的方差偏離參數(shù)σ Mti����。n 在當(dāng)前時(shí)刻t��,計(jì)算出檢 測(cè)窗口 Tltetwin的檢測(cè)窗口方Sv1以及歷史窗口 TmswinW歷史窗口方差v2�。令Oratim= (V2/ V1-D2,參數(shù)σ Mti。n反映了檢測(cè)窗口中樣本較歷史正常數(shù)據(jù)的偏離�����,如果當(dāng)前時(shí)刻點(diǎn)上信號(hào) 有異常,那么它必然會(huì)影響到檢測(cè)窗的測(cè)量結(jié)果�,反映在σ Mti。n這個(gè)參數(shù)上�,會(huì)有一個(gè)幅度 值的增長(zhǎng);V1, V2的具體計(jì)算方法如下
1^ DdiVin Vi = —-- £ (E(fV, (/ )) - Wl (m))2�����;
^ DetlVin + 丄 /"=0
1M I-HfiWinV2 = --- £ 師2 (―) - W2 (m)f����;
^ HisWin + 丄 w二0其中,E(W1On)) SW1Oii)的統(tǒng)計(jì)均值��,E(W2On))為Ψ2(μ)的統(tǒng)計(jì)均值�,均可以通過(guò) 預(yù)先統(tǒng)計(jì)得到;步驟32.根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值σ τ以及步驟31計(jì)算得到的方差 偏離參數(shù)orati���。n來(lái)判決指定號(hào)碼段的檢測(cè)窗內(nèi)的呼叫流量信號(hào)Km)是否異常判 決方法是若方差偏離參數(shù)Qratim大于方差偏離參數(shù)的判定門限值����,則判定指定號(hào)碼段 的檢測(cè)窗口 Tltetwin內(nèi)的呼叫流量信號(hào)Km)異常����,即判定段外主叫方可能對(duì)該指定號(hào)碼段進(jìn) 行了攻擊�����,進(jìn)入下一步驟;否則判定指定號(hào)碼段的檢測(cè)窗口 Tllrtwin內(nèi)的呼叫流量信號(hào)Km) 正常��,即判定段外主叫方?jīng)]有對(duì)該指定號(hào)碼段進(jìn)行了攻擊��,結(jié)束整個(gè)檢測(cè)過(guò)程���;上述步驟4的包括如下步驟步驟41.分析呼叫歷史數(shù)據(jù)根據(jù)歷史呼叫數(shù)據(jù)�����,統(tǒng)計(jì)各個(gè)段外主叫方對(duì)指定號(hào) 碼段的呼叫次數(shù)Coimti及平均通話時(shí)長(zhǎng)Timei,同時(shí)����,根據(jù)所有段外主叫方的最大呼叫次數(shù) Numfflax和最短的通話時(shí)長(zhǎng)Lengthmin分別計(jì)算呼叫次數(shù)相對(duì)于最大呼叫次數(shù)Nummax的離散系
數(shù)CT2wwm以及平均通話時(shí)長(zhǎng)相對(duì)最小通話時(shí)長(zhǎng)Lengthmin的離散系數(shù)�����;Nummax = max (Counti)�;Lengthmin = Hiin(Timei);
1 “ 2Cr2 = —^y (Num - Count)
Num mmax
‘'/=1 .
1 “ 2 τ2 = — V (Length ~ Time )
Length yj ^^mi ηi
11 /=I·
, 其中Nummax為最大呼叫次數(shù)�,Lengthfflin為最小平均通話時(shí)長(zhǎng),η為段外主叫的個(gè) 數(shù)���,Counti表示第i個(gè)段外主叫對(duì)指定號(hào)碼段的呼叫次數(shù)�,Timei表示第i個(gè)段外主叫對(duì)指 定號(hào)碼段的平均通話時(shí)間���。步驟42.判決門限的設(shè)定呼叫次數(shù)判決門限σ n ο n = Nummax- σ Num ��;平均通話時(shí)長(zhǎng)判決門限σ T2 ο T2 = Lengthmin+ σ length �����;本發(fā)明的有益效果一般情況下���,拒絕服務(wù)攻擊的單個(gè)攻擊的發(fā)起端的行為,其異常也許并不明顯���,但是針對(duì)某個(gè)號(hào)碼段拒絕服務(wù)攻擊�,如果存在多個(gè)攻擊的發(fā)起端�,此時(shí), 多個(gè)準(zhǔn)同時(shí)發(fā)生的呼叫����,具有相似的用戶行為構(gòu)成了威脅�。由于此時(shí)呼叫方有相似的呼叫 行為�����,當(dāng)在軟交換平臺(tái)獲得流量參數(shù)后�,本發(fā)明將流量特征參數(shù)看作隨時(shí)間變化的信號(hào)�����,此 時(shí)�����,可將異常行為特征分析轉(zhuǎn)化為流量信號(hào)的分析問(wèn)題�����。通過(guò)對(duì)流量信號(hào)的分析以及可疑 呼叫方的行為分析����,進(jìn)而對(duì)攻擊方進(jìn)行溯源。因此�,針對(duì)軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻 擊的特征�,本發(fā)明提出的方法通過(guò)將流量異常檢測(cè)應(yīng)用于軟交換平臺(tái)下的號(hào)碼段的拒絕服 務(wù)攻擊檢測(cè)����,進(jìn)一步對(duì)攻擊源進(jìn)行確認(rèn)認(rèn)定,最終快速���、準(zhǔn)確的找出了攻擊源�����。因此本發(fā)明 可以有效的檢測(cè)出軟交換平臺(tái)下的號(hào)碼段的拒絕服務(wù)攻擊行為的發(fā)生����。并且結(jié)合已有的呼 叫數(shù)據(jù)���,還可以準(zhǔn)確的確定出攻擊方的號(hào)碼���。
圖1是本發(fā)明具體實(shí)施例的主流程圖。圖2是本發(fā)明具體實(shí)施例步驟1的具體流程圖����。圖3是本發(fā)明具體實(shí)施例步驟2的具體流程圖。圖4是本發(fā)明具體實(shí)施例步驟2的滑動(dòng)窗口檢測(cè)原理示意圖����。圖5是本發(fā)明具體實(shí)施例步驟3的具體流程圖��。
具體實(shí)施例方式在對(duì)具體實(shí)施例進(jìn)行具體描述前�����,先對(duì)以下概念做出定義或解釋號(hào)碼段包括的 號(hào)碼稱為段內(nèi)號(hào)碼��;非段內(nèi)號(hào)碼稱為段外號(hào)碼���;段外號(hào)碼向某個(gè)號(hào)碼段的段內(nèi)號(hào)碼發(fā)起的 呼叫稱為該號(hào)碼段的段外主叫����;某個(gè)號(hào)碼段的段外主叫的主叫方(即某個(gè)段外號(hào)碼)稱為 該號(hào)碼段的段外主叫方。下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明�。如圖1所示,軟交換平臺(tái)下 號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法����,包括步驟步驟1.拒絕服務(wù)攻擊行為預(yù)判斷如圖2所示,預(yù)先設(shè)定一指定號(hào)碼段的計(jì)時(shí)器 時(shí)間門限T和計(jì)數(shù)器次數(shù)門限值N���,啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器����,記錄此時(shí)的工作時(shí)刻為起始時(shí)刻 t1;判斷計(jì)時(shí)器的工作時(shí)間是否達(dá)到計(jì)時(shí)器時(shí)間門限T,如果達(dá)到計(jì)時(shí)器時(shí)間門限T�����,則計(jì)時(shí) 器和計(jì)數(shù)器復(fù)位重新啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器��,如果沒(méi)有達(dá)到計(jì)時(shí)器時(shí)間門限T�����,則進(jìn)一步判斷 計(jì)數(shù)器次數(shù)η是否達(dá)到計(jì)數(shù)器次數(shù)門限值N ����;如果達(dá)到計(jì)數(shù)器次數(shù)門限值N,記錄此時(shí)的工 作時(shí)刻為計(jì)數(shù)器中止時(shí)刻t2����,同時(shí)進(jìn)入下一步驟,否則計(jì)時(shí)器和計(jì)數(shù)器復(fù)位重新啟動(dòng)計(jì)時(shí) 器和計(jì)數(shù)器��;上述過(guò)程中�,如果計(jì)數(shù)器次數(shù)η在計(jì)時(shí)器的工作時(shí)刻t沒(méi)有達(dá)到計(jì)時(shí)器時(shí)間門限 值T之前達(dá)到計(jì)數(shù)器次數(shù)門限值N,則認(rèn)為可能有拒絕服務(wù)攻擊行為發(fā)生��,則進(jìn)入下一步驟 進(jìn)一步判斷,否則認(rèn)為沒(méi)有拒絕服務(wù)攻擊行為發(fā)生����。步驟2.采集號(hào)碼段的呼叫數(shù)據(jù)形成呼叫信號(hào),對(duì)呼叫信號(hào)進(jìn)行希爾伯特變換 (Hilbert transform)得到呼叫流量信號(hào)f (m)對(duì)應(yīng)的呼叫解析信號(hào)ζ (m)�,進(jìn)而計(jì)算得到呼 叫流量信號(hào)f(m)的瞬時(shí)頻率W(m);本步驟的詳細(xì)過(guò)程如圖3和圖4所示步驟21.呼叫流量信號(hào)的形成設(shè)采樣時(shí)間間隔為Ttl���,待提取的信號(hào)的時(shí)間段分
9別為檢測(cè)窗口T
DetWin 一 [ti;t2]和歷史窗口 T
HisWin — [t��。�����,t2]���,THisWin 為預(yù)設(shè)值并且大于T
DetWin'
按采樣時(shí)間間隔Ttl分割為檢測(cè)窗口采樣點(diǎn)數(shù)MDelWm =「&_ / Γ�。1和歷史窗口采樣點(diǎn)數(shù) Mhhxwm =「7^,,,,/7;](門表示向上取整����,即若最后一個(gè)時(shí)間間隔不足采樣時(shí)間間隔Ttl時(shí),仍 然將其作為一個(gè)采樣時(shí)間間隔Ttl來(lái)處理)���,m為抽樣點(diǎn)序號(hào)��,取值范圍為0到Mltetwin或Mmswin 之間的任意整數(shù)�。我們把Tllrtwin或Tmswin時(shí)間內(nèi)指定號(hào)碼段被呼叫的次數(shù)按采樣時(shí)間間隔 T0形成的信號(hào)定義為檢測(cè)窗口呼叫流量信號(hào)(m)或歷史窗口呼叫流量信號(hào)f2 (m),則有 步驟22.對(duì)呼叫流量信號(hào)進(jìn)行時(shí)頻分析采用滑動(dòng)窗口的檢測(cè)方式�����,分別對(duì)檢測(cè) 窗口 Tllrtwin和歷史窗口 Tmswin內(nèi)的檢測(cè)窗口呼叫流量信號(hào)(m)和歷史窗口呼叫流量信號(hào) f2(m)進(jìn)行希爾伯特變換���,得到檢測(cè)窗口解析信號(hào)Zl(m)和歷史窗口解析信號(hào)Z2(m)����,進(jìn)而分 別計(jì)算得到檢測(cè)窗口瞬時(shí)頻率W1 (m)和歷史窗口瞬時(shí)頻率W2 (m)��。下面介紹瞬時(shí)頻率及希爾伯特變換瞬時(shí)頻率(IF�,Instantaneous Frequency)是時(shí)頻分析領(lǐng)域的一個(gè)重要概念,也是 一個(gè)有著重要實(shí)際意義的信號(hào)參數(shù)���,瞬時(shí)頻率對(duì)時(shí)變非平穩(wěn)信號(hào)的分析有著尤其重要的作 用���。本發(fā)明將時(shí)頻分析這種理論應(yīng)用到呼叫流量信號(hào)f(m)的處理,通過(guò)分析呼叫流量信號(hào) f(m)的瞬時(shí)頻率,來(lái)發(fā)掘呼叫流量信號(hào)出現(xiàn)f(m)的異常���,在呼叫流量信號(hào)f(m)的瞬時(shí)頻率 變化上所反映出來(lái)的特征�����,有助我們深入理解呼叫流量信號(hào)異常f (m)的特性����,實(shí)現(xiàn)對(duì)呼叫 流量信號(hào)f(m)的異常更加準(zhǔn)確有效的檢測(cè)���。對(duì)任一連續(xù)的時(shí)間內(nèi)呼叫信號(hào)的呼叫流量f(m)��,可得到它的希爾伯特變換ζ (m)
其中m = 0�,1����,2,......M ���;希爾伯特變換是信號(hào)處理中的一種常用變換,因此不再詳細(xì)描述��。計(jì)算過(guò)程如下令/( 7)為呼叫流量信號(hào)f(m)的離散Foutier變換(DFT)�����,即 f(m) = DFT(J\m))公式(3)令中間變量R(m)為 則ζ (m)為R(m)的逆離散Foutier變換(IDFT),即ζ (m) =IDFT (R(m))公式(5)z(m)的復(fù)數(shù)表達(dá)形式為ζ (m) =Re (m) +i Im (m) 公式(6)其中Re(m)為z(m)的實(shí)部���,Im(m)為ζ (m)的虛部而呼叫流量信號(hào)f(m)的解析信號(hào)ζ (m)的瞬時(shí)相位ω (m)定義為
公式(7)自然�����,解析信號(hào)z(m)的瞬時(shí)頻率W(m)就定義為
= l,2,...,M公式⑶ 2π本發(fā)明的檢測(cè)窗口呼叫流量信號(hào)Km)或歷史窗口呼叫流量信號(hào)f2(m)對(duì)應(yīng)于 f (m)�����,經(jīng)過(guò)上述公式�,分別計(jì)算得到檢測(cè)窗口解析信號(hào)Z1 (m)和歷史窗口解析信號(hào)Z2 (m)���,進(jìn) 而計(jì)算得到檢測(cè)窗口瞬時(shí)頻率W1 (m)和歷史窗口瞬時(shí)頻率W2 (m)�,針對(duì)檢測(cè)窗口時(shí)����,M的取值 為Mlletwin,針對(duì)歷史窗口時(shí)�����,M的取值為MHisWin。步驟3.對(duì)檢測(cè)窗口瞬時(shí)頻率W1(Hi)和歷史窗口瞬時(shí)頻率W2(m)進(jìn)行方差分析����,得 到方差偏離參數(shù)ο Mti。n;同時(shí)�����,根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值ο τ�,將方差偏離參 數(shù)orati。n與方差偏離參數(shù)的判定門限值01進(jìn)行比對(duì)�����,判定指定號(hào)碼段的檢測(cè)窗口��!^ 內(nèi) 的呼叫流量信號(hào)Km)是否發(fā)生異常���。具體過(guò)程如圖5所示步驟31.計(jì)算W1 (m)相對(duì)W2 (m)的方差偏離參數(shù)ο Mti���。n。在當(dāng)前時(shí)刻t���,我們計(jì)算 出檢測(cè)窗口 Tlletwin的檢測(cè)窗口方SV1以及歷史窗口 THisWin&歷史窗口方差V2�。令Oratim = (V2/Vl-1)2�,參數(shù)O rati。n反映了檢測(cè)窗口中樣本較歷史正常數(shù)據(jù)的偏離���,如果當(dāng)前時(shí)刻點(diǎn)上 信號(hào)有異常�����,那么它必然會(huì)影響到檢測(cè)窗的測(cè)量結(jié)果��,反映在O這個(gè)參數(shù)上�,會(huì)有一個(gè) 幅度值的增長(zhǎng)�。V1, V2的具體計(jì)算方法如下 其中,E(W1On)) SW1Oii)的統(tǒng)計(jì)均值�,E(W2On))為%(m)的統(tǒng)計(jì)均值,均可以通過(guò) 預(yù)先統(tǒng)計(jì)得到����。步驟32.根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值σ τ以及步驟31計(jì)算得到的方差 偏離參數(shù)orati。n來(lái)判決指定號(hào)碼段的檢測(cè)窗內(nèi)的呼叫流量信號(hào)Km)是否異常判 決方法是若方差偏離參數(shù)Qratim大于方差偏離參數(shù)的判定門限值���,則判定指定號(hào)碼段 的檢測(cè)窗口 Tltetwin內(nèi)的呼叫流量信號(hào)Km)異常���,即判定段外主叫方可能對(duì)該指定號(hào)碼段進(jìn) 行了攻擊��,進(jìn)入下一步驟�����;否則判定指定號(hào)碼段的檢測(cè)窗口 Tllrtwin內(nèi)的呼叫流量信號(hào)Km) 正常���,即判定段外主叫方?jīng)]有對(duì)該指定號(hào)碼段進(jìn)行了攻擊,結(jié)束整個(gè)檢測(cè)過(guò)程����;上述步驟1到步驟3也被稱為軟交換平臺(tái)下號(hào)碼段拒絕服務(wù)攻擊檢測(cè)方法的粗檢 測(cè)過(guò)程。步驟4.根據(jù)指定號(hào)碼段的各個(gè)段外主叫方(比如028-88636763等電話號(hào)碼)對(duì) 指定號(hào)碼段(比如028-68000000到02868001111)的呼叫數(shù)據(jù)�����,統(tǒng)計(jì)各個(gè)段外主叫方對(duì)該 指定號(hào)碼段發(fā)起的呼叫次數(shù)和各個(gè)段外主叫方對(duì)該號(hào)碼段發(fā)起的呼叫的平均通話時(shí)長(zhǎng)��,同 時(shí)��,計(jì)算呼叫次數(shù)門限στ1和平均通話時(shí)長(zhǎng)門限σΤ2�。上述這些段外主叫的呼叫數(shù)據(jù)包括主、被叫號(hào)碼���,呼叫發(fā)起時(shí)間��,呼叫應(yīng)答時(shí)間��, 呼叫結(jié)束時(shí)間�,掛機(jī)方����。
步驟41.分析呼叫歷史數(shù)據(jù)根據(jù)歷史呼叫數(shù)據(jù),統(tǒng)計(jì)各個(gè)段外主叫方對(duì)指定號(hào) 碼段的呼叫次數(shù)Coimti及平均通話時(shí)長(zhǎng)Timei,同時(shí)�,根據(jù)所有段外主叫方的最大呼叫次數(shù) Numfflax和最短的通話時(shí)長(zhǎng)Lengthmin分別計(jì)算呼叫次數(shù)相對(duì)于最大呼叫次數(shù)Nummax的離散系
數(shù)σ2Μ )1以及平均通話時(shí)長(zhǎng)相對(duì)最小通話時(shí)長(zhǎng)Lengthmin的離散系數(shù)。Nummax = max (Counti)公式(11)Lengthmin = Hiin(Timei)公式(I2)
2
^ ηLσ =-J](Num -Count)公式(13)
Num yjmaxι^ ^ v 7
n /=I
1 fi 2二—ηΣ@η_�����、· —T脈)公式(14) , n i=\其中Nummax為最大呼叫次數(shù)�����,Lengthfflin為最小平均通話時(shí)長(zhǎng)�����,η為段外主叫的個(gè) 數(shù)����,Counti表示第i個(gè)段外主叫對(duì)指定號(hào)碼段的呼叫次數(shù)����,Timei表示第i個(gè)段外主叫對(duì)指 定號(hào)碼段的平均通話時(shí)間����。步驟42.判決門限的設(shè)定呼叫次數(shù)判決門限ση:On = Numfflax-oNum 公式(15)平均通話時(shí)長(zhǎng)判決門限ο T2 σ T2 = Lengthfflin+ σ length 公式(16)步驟5.將步驟(4)中的段外主叫方對(duì)指定號(hào)碼段的呼叫次數(shù)Coimti及平均通話 時(shí)長(zhǎng)Timei與計(jì)算得到的呼叫次數(shù)判決門限στ1和平均通話時(shí)長(zhǎng)判決門限σΤ2進(jìn)行比對(duì), 若呼叫次數(shù)Coimti大于呼叫次數(shù)判決門限σ T1并且平均通話時(shí)長(zhǎng)Timei小于平均通話時(shí)長(zhǎng) 判決門限σ Τ2�,則判斷該主叫方為拒絕服務(wù)攻擊的具體攻擊方。步驟6.白名單篩選若上一步驟判斷出主叫方為拒絕服務(wù)攻擊的具體攻擊方�,則 將該主叫方與系統(tǒng)預(yù)先設(shè)定的白名單進(jìn)行比對(duì),若該主叫方在白名單中�,則判斷該主教方 不是具體攻擊方,結(jié)束該階段判斷��。本步驟為可選步驟���,主要是考慮到一些電話號(hào)碼從步驟(4)的技術(shù)分析的角度滿 足具體攻擊方的條件���,但是實(shí)際上并非攻擊方的情況。步驟7.黑名單篩選若上一步驟判斷出主叫方不是拒絕服務(wù)攻擊的具體攻擊方����, 則將該主叫方與系統(tǒng)預(yù)先設(shè)定的黑名單進(jìn)行比對(duì)�����,若該主叫方在黑名單中�,則判斷該主教 方是具體攻擊方�,否則直接結(jié)束該階段判斷。本步驟為可選步驟�����,主要是考慮到一些電話號(hào)碼從步驟(4)的技術(shù)分析的角度不 滿足具體攻擊方的條件�����,但是實(shí)際上是攻擊方的情況���。上述步驟6和7完成后,若判斷主叫方為具體攻擊方�����,還可以向系統(tǒng)報(bào)告該攻擊
者ο上述步驟4到步驟7被稱為軟交換平臺(tái)下號(hào)碼段拒絕服務(wù)攻擊檢測(cè)方法的精檢測(cè) 過(guò)程����,這些步驟都是可選擇步驟�����,可以根據(jù)方案的功能設(shè)計(jì)有選擇的采用��。本領(lǐng)域的普通技術(shù)人員將會(huì)意識(shí)到�,這里所述的實(shí)施例是為了幫助讀者理解本發(fā) 明的實(shí)施方法����,應(yīng)被理解為本發(fā)明的保護(hù)范圍并不局限于這樣的特別陳述和實(shí)施例。本領(lǐng)
12域的普通技術(shù)人員可以根據(jù)本發(fā)明公開(kāi)的這些技術(shù)啟示做出各種不脫離本發(fā)明實(shí)質(zhì)的其 它各種具體變形和組合��,這些變形和組合仍然在本發(fā)明的保護(hù)范圍內(nèi)�。
權(quán)利要求
軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法,包括步驟步驟1.拒絕服務(wù)攻擊行為預(yù)判斷預(yù)先設(shè)定一指定號(hào)碼段的計(jì)時(shí)器時(shí)間門限T和計(jì)數(shù)器次數(shù)門限值N���,啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器���,記錄此時(shí)的工作時(shí)刻為起始時(shí)刻t1,判斷計(jì)時(shí)器的工作時(shí)間是否達(dá)到計(jì)時(shí)器時(shí)間門限T�,如果達(dá)到計(jì)時(shí)器時(shí)間門限T,則計(jì)時(shí)器和計(jì)數(shù)器復(fù)位重新啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器����,如果沒(méi)有達(dá)到計(jì)時(shí)器時(shí)間門限T�����,則進(jìn)一步判斷計(jì)數(shù)器次數(shù)n是否達(dá)到計(jì)數(shù)器次數(shù)門限值N�;如果達(dá)到計(jì)數(shù)器次數(shù)門限值N����,記錄此時(shí)的工作時(shí)刻為計(jì)數(shù)器中止時(shí)刻t2,同時(shí)進(jìn)入下一步驟��,否則計(jì)時(shí)器和計(jì)數(shù)器復(fù)位重新啟動(dòng)計(jì)時(shí)器和計(jì)數(shù)器����;步驟2.采集號(hào)碼段的呼叫數(shù)據(jù)形成呼叫信號(hào)�,對(duì)呼叫信號(hào)進(jìn)行希爾伯特變換得到呼叫流量信號(hào)f(m)對(duì)應(yīng)的呼叫解析信號(hào)z(m),進(jìn)而計(jì)算得到呼叫流量信號(hào)f(m)的瞬時(shí)頻率W(m)����;步驟3.對(duì)檢測(cè)窗口瞬時(shí)頻率W1(m)和歷史窗口瞬時(shí)頻率W2(m)進(jìn)行方差分析,得到方差偏離參數(shù)σration����;同時(shí),根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值σT,將方差偏離參數(shù)σration與方差偏離參數(shù)的判定門限值σT進(jìn)行比對(duì)��,判定指定號(hào)碼段的檢測(cè)窗口TDetWin內(nèi)的呼叫流量信號(hào)f1(m)是否發(fā)生異常����;步驟4.根據(jù)指定號(hào)碼段的各個(gè)段外主叫方對(duì)指定號(hào)碼段的呼叫數(shù)據(jù),統(tǒng)計(jì)各個(gè)段外主叫方對(duì)該指定號(hào)碼段發(fā)起的呼叫次數(shù)和各個(gè)段外主叫方對(duì)該號(hào)碼段發(fā)起的呼叫的平均通話時(shí)長(zhǎng)�����,同時(shí)�����,計(jì)算呼叫次數(shù)門限σT1和平均通話時(shí)長(zhǎng)門限σT2��;步驟5.將步驟(4)中的段外主叫方對(duì)指定號(hào)碼段的呼叫次數(shù)Counti及平均通話時(shí)長(zhǎng)Timei與計(jì)算得到的呼叫次數(shù)判決門限σT1和平均通話時(shí)長(zhǎng)判決門限σT2進(jìn)行比對(duì)�,若呼叫次數(shù)Counti大于呼叫次數(shù)判決門限σT1并且平均通話時(shí)長(zhǎng)Timei小于平均通話時(shí)長(zhǎng)判決門限σT2,則判斷該主叫方為拒絕服務(wù)攻擊的具體攻擊方����;
2.根據(jù)權(quán)利要求1所述的軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法,其特征在 于�����,所述步驟2的包括如下步驟步驟21.呼叫流量信號(hào)的形成設(shè)采樣時(shí)間間隔為Ttl,待提取的信號(hào)的時(shí)間段分別為 檢測(cè)窗口 Tlletwin= [ti; t2]和歷史窗口 Tlliswin= [t0, t2]�,Tmswin 為預(yù)設(shè)值并且大于 T_in, 按采樣時(shí)間間隔Ttl分割為檢測(cè)窗口采樣點(diǎn)數(shù)= \TDeimn /Γ����。]和歷史窗口采樣點(diǎn)數(shù) Mmswm = \THisWm/T0^,m為抽樣點(diǎn)序號(hào)�,取值范圍為O到禮_ 或Mlliswin之間的任意整數(shù);把 Tnetffin或Tlliswin時(shí)間內(nèi)指定號(hào)碼段被呼叫的次數(shù)按采樣時(shí)間間隔Ttl形成的信號(hào)定義為檢測(cè) 窗口呼叫流量信號(hào)f^m)或歷史窗口呼叫流量信號(hào)f2(m)��,則有 時(shí)間段內(nèi)的被呼叫的次數(shù)��,otherwise ����; 時(shí)問(wèn)段內(nèi)的被呼叫的次數(shù),otherwise ’步驟22.對(duì)呼叫流量信號(hào)進(jìn)行時(shí)頻分析采用滑動(dòng)窗口的檢測(cè)方式���,分別對(duì)檢測(cè)窗口 Tltetwin和歷史窗口 Tmswin內(nèi)的檢測(cè)窗口呼叫流量信號(hào)Km)和歷史窗口呼叫流量信號(hào)f2(m) 進(jìn)行希爾伯特變換,得到檢測(cè)窗口解析信號(hào)Z1(Hl)和歷史窗口解析信號(hào)Z2(Hl)�,進(jìn)而分別計(jì) 算得到檢測(cè)窗口瞬時(shí)頻率W1 (m)和歷史窗口瞬時(shí)頻率W2 (m)。
3.根據(jù)權(quán)利要求1所述的軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法�,其特征在于,所述步驟3的包括如下步驟步驟31.計(jì)算W1(Hi)相對(duì)W2(m)的方差偏離參數(shù)oMti���。n 在當(dāng)前時(shí)刻t�����,計(jì)算出檢測(cè)窗口 Tltetwin的檢測(cè)窗口方SV1以及歷史窗口 TmswinW歷史窗口方差V2�����。令orati����。n= (V2/V「l)2, 參數(shù)cMti���。n反映了檢測(cè)窗口中樣本較歷史正常數(shù)據(jù)的偏離�,如果當(dāng)前時(shí)刻點(diǎn)上信號(hào)有異 常�,那么它必然會(huì)影響到檢測(cè)窗的測(cè)量結(jié)果,反映在σ Mti�����。n這個(gè)參數(shù)上�,會(huì)有一個(gè)幅度值的 增長(zhǎng);V1, V2的具體計(jì)算方法如下 其中����,E(W1On)) SWi(HI)的統(tǒng)計(jì)均值��,E(W2On))的統(tǒng)計(jì)均值�����,均可以通過(guò)預(yù)先統(tǒng)計(jì)得到����;步驟32.根據(jù)預(yù)設(shè)的方差偏離參數(shù)的判定門限值0工以及步驟31計(jì)算得到的方差偏離 參數(shù)c 一來(lái)判決指定號(hào)碼段的檢測(cè)窗口 Tllrtwin內(nèi)的呼叫流量信號(hào)f 是否異常判決 方法是若方差偏離參數(shù)oMti���。n大于方差偏離參數(shù)的判定門限值στ�����,則判定指定號(hào)碼段的 檢測(cè)窗口 Tltetwin內(nèi)的呼叫流量信號(hào)Km)異常��,即判定段外主叫方可能對(duì)該指定號(hào)碼段進(jìn)行 了攻擊��,進(jìn)入下一步驟��;否則判定指定號(hào)碼段的檢測(cè)窗口 Tltetwin內(nèi)的呼叫流量信號(hào)Km)正 常,即判定段外主叫方?jīng)]有對(duì)該指定號(hào)碼段進(jìn)行了攻擊�����,結(jié)束整個(gè)檢測(cè)過(guò)程;
4.根據(jù)權(quán)利要求1所述的軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法�����,其特征在 于�����,所述步驟4的包括如下步驟步驟41.分析呼叫歷史數(shù)據(jù)根據(jù)歷史呼叫數(shù)據(jù)�,統(tǒng)計(jì)各個(gè)段外主叫方對(duì)指定號(hào)碼 段的呼叫次數(shù)Coimti及平均通話時(shí)長(zhǎng)Timei,同時(shí),根據(jù)所有段外主叫方的最大呼叫次數(shù) Numfflax和最短的通話時(shí)長(zhǎng)Lengthmin分別計(jì)算呼叫次數(shù)相對(duì)于最大呼叫次數(shù)Nummax的離散系數(shù)CT 2_ 以及平均通話時(shí)長(zhǎng)相對(duì)最小通話時(shí)長(zhǎng)Lengthmin的離散系數(shù)��; ι其中Nummax為最大呼叫次數(shù)���,Lengthmin為最小平均通話時(shí)長(zhǎng)�����,η為段外主叫的個(gè)數(shù)���, Coimti表示第i個(gè)段外主叫對(duì)指定號(hào)碼段的呼叫次數(shù),Timei表示第i個(gè)段外主叫對(duì)指定號(hào) 碼段的平均通話時(shí)間�����。步驟42.判決門限的設(shè)定呼叫次數(shù)判決門限σ T1 : σ T1 = Numfflax- σ Nim ;平均通話時(shí)長(zhǎng)判決門限σ T2 ο T2 = Lengthmin+ σ length ���;
5.根據(jù)權(quán)利要求1所述的軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法����,其特征在于�,所述步驟5之后還包括如下步驟步驟6.白名單篩選若上一步驟判斷出主叫方為拒絕服務(wù)攻擊的具體攻擊方,則將該 主叫方與系統(tǒng)預(yù)先設(shè)定的白名單進(jìn)行比對(duì)����,若該主叫方在白名單中,則判斷該主教方不是 具體攻擊方��,結(jié)束該階段判斷�。
6.根據(jù)權(quán)利要求1所述的軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法,其特征在 于����,所述步驟5之后還包括如下步驟步驟7.黑名單篩選若上一步驟判斷出主叫方不是拒絕服務(wù)攻擊的具體攻擊方,則將 該主叫方與系統(tǒng)預(yù)先設(shè)定的黑名單進(jìn)行比對(duì)���,若該主叫方在黑名單中�����,則判斷該主教方是 具體攻擊方�����,否則直接結(jié)束該階段判斷���。
全文摘要
本發(fā)明涉及軟交換平臺(tái)下號(hào)碼段的拒絕服務(wù)攻擊檢測(cè)方法,包括步驟步驟1.拒絕服務(wù)攻擊行為預(yù)判斷�����;步驟2.采集號(hào)碼段的呼叫數(shù)據(jù)形成呼叫信號(hào)�,對(duì)呼叫信號(hào)進(jìn)行希爾伯特變換得到呼叫流量信號(hào)f(m)對(duì)應(yīng)的呼叫解析信號(hào)z(m),進(jìn)而計(jì)算得到呼叫流量信號(hào)f(m)的瞬時(shí)頻率W(m)�;步驟3.對(duì)檢測(cè)窗口瞬時(shí)頻率W1(m)和歷史窗口瞬時(shí)頻率W2(m)進(jìn)行方差分析,得到方差偏離參數(shù)σration���。本發(fā)明的有益效果可以有效的檢測(cè)出軟交換平臺(tái)下的號(hào)碼段的拒絕服務(wù)攻擊行為的發(fā)生����。并且結(jié)合已有的呼叫數(shù)據(jù)��,還可以準(zhǔn)確的確定出攻擊方的號(hào)碼。
文檔編號(hào)H04L12/26GK101917445SQ201010264729
公開(kāi)日2010年12月15日 申請(qǐng)日期2010年8月27日 優(yōu)先權(quán)日2010年8月27日
發(fā)明者汪孔林, 胡光岷, 邱俊沙, 隆克平, 魯才 申請(qǐng)人:電子科技大學(xué)