專利名稱:一種垃圾語(yǔ)音信息的檢測(cè)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,特別是涉及一種垃圾語(yǔ)音信息的檢測(cè) 方法和裝置。
背景技術(shù):
網(wǎng)絡(luò)融合可以充分利用資源、降低運(yùn)營(yíng)成本、豐富業(yè)務(wù)樣式,使得用戶無(wú)論在固定還是移動(dòng)環(huán)境中,都可以享受同樣的服務(wù)。從全球角度看,F(xiàn)MC( Fixed Mobile Convergence,固定與移動(dòng)網(wǎng)絡(luò)融合)是必然趨勢(shì),并成為世界性潮流。 在這樣的大趨勢(shì)下,具有實(shí)現(xiàn)簡(jiǎn)單、擴(kuò)展性好、多媒體會(huì)話提供能力強(qiáng)等特點(diǎn) 的SIP協(xié)i義(Session Initiation Protocol,會(huì)話初始協(xié)i義)成為了應(yīng)用的 主流。IETF和3GPP等標(biāo)準(zhǔn)化組織都將SIP協(xié)議作為核心的應(yīng)用層控制協(xié)議, Microsoft、 Cisco和IBM等知名廠商也都努力在自己的產(chǎn)品中提供對(duì)SIP協(xié)議 的支持。在基于SIP協(xié)議的眾多應(yīng)用中,VoIP ( Voice over IP )已經(jīng)成為最具 竟?fàn)幜Φ臉I(yè)務(wù)應(yīng)用之一,并迅猛發(fā)展。SIP是基于IP的一個(gè)應(yīng)用層控制協(xié)議。由于SIP是基于純文本的信令協(xié) 議,可以管理不同接入網(wǎng)絡(luò)上的會(huì)晤等。會(huì)晤可以是終端設(shè)備之間任何類型的 通信,如視頻會(huì)晤、即時(shí)信息處理或協(xié)作會(huì)晤。支持SIP的網(wǎng)絡(luò)將提供一個(gè)網(wǎng) 橋,以擴(kuò)展向互聯(lián)網(wǎng)和無(wú)線網(wǎng)絡(luò)的各種設(shè)備提供融合業(yè)務(wù)能力。這將允許運(yùn)營(yíng) 商為其移動(dòng)用戶提供大量的信息處理業(yè)務(wù),通過(guò)SMS互通能力與固定用戶和 2G無(wú)線用戶交互。SIP也是在麗TS3GPP R5/R6版本中使用的信令協(xié)議,因此 可以保護(hù)運(yùn)營(yíng)商目前的投資而極具技術(shù)優(yōu)勢(shì)和商業(yè)價(jià)值。然而SIP協(xié)議在設(shè)計(jì)之初缺乏完善的安全機(jī)制,導(dǎo)致垃圾語(yǔ)音信息(Spam over Internet Telephony, SPIT )作為一種非預(yù)期的語(yǔ)音發(fā)送行為,成為VoIP業(yè)務(wù)應(yīng)用發(fā)展中 一種新的重要安全威脅。與垃圾電子郵件(Email Spam)不同,SPIT具有實(shí)時(shí)性和直接性的特點(diǎn),因此具有更大的威脅,也更加難于檢測(cè)及防范。垃圾語(yǔ)音以音頻作為內(nèi)容承載 網(wǎng)絡(luò)的開放與互通也使得簡(jiǎn)單的黑白名單機(jī)制不再適用。在例如電話營(yíng)銷、惡意騷擾等絕大多數(shù)SPIT行為中,其連接建立便已構(gòu)成了 SPIT威脅,因此需要 在連接建立前采取措施,無(wú)法驀于內(nèi)容過(guò)濾??傊?,現(xiàn)有技術(shù)缺乏合適的檢測(cè)SPIT行為的解決方案,需要本領(lǐng)域技術(shù) 人員迫切解決的一個(gè)技術(shù)問(wèn)題就是如何能夠創(chuàng)造性的提供一種在VoIP應(yīng)用 中斗全測(cè)垃圾語(yǔ)音信息的解決方案。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種垃圾語(yǔ)音信息的檢測(cè)方法和裝置, 能夠有效針對(duì)SPIT攻擊行為,提高檢測(cè)準(zhǔn)確性,降低漏報(bào)和誤報(bào)。為了解決上述問(wèn)題,本發(fā)明公開了一種垃圾語(yǔ)音信息的檢測(cè)方法,包括獲取SIP事務(wù)信令;利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài) 監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在 狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子 信息與垃;及語(yǔ)音信息相關(guān)。優(yōu)選的,所述特定狀態(tài)變遷包括由呼叫或進(jìn)行狀態(tài)接收到多重選擇應(yīng)答 而變遷至完成狀態(tài)、由呼叫或進(jìn)行狀態(tài)接收到不明確請(qǐng)求應(yīng)答而變遷至完成狀 態(tài)、由呼叫或進(jìn)行狀態(tài)接收到目標(biāo)不存在應(yīng)答而變遷至完成狀態(tài)中的任一項(xiàng) 或者任意組合項(xiàng)。優(yōu)選的,所述的檢測(cè)方法還可以包括對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置 的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。 優(yōu)選的,所述統(tǒng)計(jì)分析包括統(tǒng)計(jì)一定預(yù)置時(shí)間—敬內(nèi)的呼叫頻率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參凄t,如 果該參數(shù)值大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都 'J、于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)維持連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾 值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)被叫方掛斷連接次數(shù)或者其比重,如果大于預(yù)設(shè)閾值,則確認(rèn) 屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊; 或者,上述方法的任意組合。優(yōu)選的,所述統(tǒng)計(jì)分析包括統(tǒng)計(jì)在第一預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫 范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S;計(jì)算針對(duì)第二預(yù)置時(shí)間段的評(píng)價(jià)參數(shù)L,所述第 二預(yù)置時(shí)間段比所述第一預(yù)置時(shí)間段長(zhǎng),并早于所述第一預(yù)置時(shí)間段;如果評(píng) 價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊。優(yōu)選的,所述的檢測(cè)方法還可以包括對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析 得到的告警,進(jìn)行規(guī)范化處理,得到相應(yīng)的元告警;依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān) 聯(lián)規(guī)則,對(duì)所得到的各個(gè)元告警進(jìn)行關(guān)聯(lián),輸出關(guān)聯(lián)結(jié)果。依據(jù)本發(fā)明的另 一實(shí)施例,還公開了 一種垃圾語(yǔ)音信息的^r測(cè)裝置,包括用于獲取SIP事務(wù)信令的接口模塊;對(duì)特定的狀態(tài)變遷設(shè)置有標(biāo)識(shí)的SIP事務(wù)有限狀態(tài)機(jī);監(jiān)控模塊,用于利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控, 所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在狀態(tài)變 遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子信息與 垃圾語(yǔ)音信息相關(guān)。優(yōu)選的,所述特定狀態(tài)變遷包括由呼叫或進(jìn)行狀態(tài)接收到多重選擇應(yīng)答 而變遷至完成狀態(tài)、由呼叫或進(jìn)行狀態(tài)接收到不明確請(qǐng)求應(yīng)答而變遷至完成狀 態(tài)、由呼叫或進(jìn)行狀態(tài)接收到目標(biāo)不存在應(yīng)答而變遷至完成狀態(tài)中的任一項(xiàng) 或者任意組合項(xiàng)。優(yōu)選的,所述的檢測(cè)裝置還可以包括統(tǒng)計(jì)分析才莫塊,用于對(duì)所纟全測(cè)到的 原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。優(yōu)選的,所述統(tǒng)計(jì)分析包括統(tǒng)計(jì)一定預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參數(shù),如 果該參數(shù)值大于預(yù)設(shè)闊值,則確認(rèn)屬于垃;及語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都 d、于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)維持連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)被叫方掛斷連接的次數(shù)或者其比重,如果大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大 于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,上述方法的任意組合。優(yōu)選的,所述統(tǒng)計(jì)分析包括統(tǒng)計(jì)在第一預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫 范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S;計(jì)算針對(duì)第二預(yù)置時(shí)間段的評(píng)價(jià)參數(shù)L,所述第 二預(yù)置時(shí)間段比所述第一預(yù)置時(shí)間段長(zhǎng),并早于所述第一預(yù)置時(shí)間段;如果評(píng) 價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊。優(yōu)選的,所述的^r測(cè)裝置還可以包括格式規(guī)范模塊,用于對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析得到的告警,進(jìn)行 規(guī)范化處理,得到相應(yīng)的元告警;關(guān)聯(lián)模塊,用于依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,對(duì)所得到的各個(gè)元告警 進(jìn)行關(guān)聯(lián),輸出關(guān)聯(lián)結(jié)果。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)本發(fā)明深入剖析SPIT的行為特性,并將這些^f亍為特性與其在SIP信令的 類型和流程上所體現(xiàn)的特征對(duì)應(yīng)起來(lái);然后向SIP事務(wù)有限狀態(tài)機(jī)中標(biāo)識(shí)出相 應(yīng)的狀態(tài)變遷,以通過(guò)監(jiān)控信令流量來(lái)檢測(cè)前述特征,從而得到SPIT相關(guān)的 原子信息(SPIT Information,簡(jiǎn)稱SI )。當(dāng)SI被檢測(cè)出來(lái),在一定程度上說(shuō) 明SPIT行為的可能性,即完成了本發(fā)明第一個(gè)層次的攻擊檢測(cè)。進(jìn)而,依據(jù)本發(fā)明所建立的第二層次的檢測(cè)模型,對(duì)前述所得到的SPIT 相關(guān)的原子信息(SI )進(jìn)行統(tǒng)計(jì)分析,從而得到更高語(yǔ)義級(jí)別的告警(Alert )。更進(jìn)一步,本發(fā)明還依據(jù)樣本實(shí)驗(yàn)數(shù)據(jù)分析得到關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,以 將前述所檢測(cè)得到的SI和Alert關(guān)聯(lián)起來(lái),挖掘其內(nèi)部的因果聯(lián)系。 一方面, 可以識(shí)別攻擊者的行為蹤跡,重構(gòu)攻擊場(chǎng)景,方便技術(shù)人員對(duì)攻擊行為進(jìn)行更 深入、更詳細(xì)的剖析;另一方面,可以用于較低安全級(jí)別的攻擊檢測(cè),即當(dāng)滿 足所設(shè)定的關(guān)聯(lián)關(guān)系時(shí),即關(guān)聯(lián)出攻擊的行為蹤跡時(shí),才檢測(cè)確定為攻擊行為??傊?,本發(fā)明提供了一個(gè)多層次的SPIT;^測(cè)方案,能夠在多個(gè)層次上進(jìn) 行檢測(cè)和分析,細(xì)化檢測(cè)粒度,并能夠識(shí)別復(fù)雜的多步驟SPIT攻擊。
圖1是本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)方法實(shí)施例1的步驟流程圖;圖2是本發(fā)明一種CT INVITE的LST-FA示意圖;圖3是本發(fā)明一種ST INVITE的LST-FA示意圖;圖4是本發(fā)明一種CT Non-INVITE的LST-FA示意圖;圖5是本發(fā)明一種ST Non-INVITE的LST-FA示意圖;圖6是本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)方法實(shí)施例2的步驟流程圖;圖7是本發(fā)明一種垃圾語(yǔ)音信息的^r測(cè)方法實(shí)施例3的步驟流程圖;圖8是一種關(guān)聯(lián)結(jié)果示例的示意圖;圖9是本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)裝置實(shí)施例1的結(jié)構(gòu)框圖; 圖IO是本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)裝置實(shí)施例2的結(jié)構(gòu)框圖; 圖11是本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)裝置實(shí)施例3的結(jié)構(gòu)框圖; 圖12是本發(fā)明一種整體模型的示意圖; 圖13是本發(fā)明在仿真測(cè)試環(huán)境下的關(guān)聯(lián)結(jié)果圖。
具體實(shí)施方式
為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。本發(fā)明的發(fā)明人仔細(xì)分析了現(xiàn)有解決方案存在不足的原因,認(rèn)為其主要是 缺乏針對(duì)SPIT獨(dú)有的特點(diǎn)而進(jìn)行的有針對(duì)性的檢測(cè),并且對(duì)檢測(cè)結(jié)果沒(méi)有進(jìn) 一步的融合與處理,導(dǎo)致檢測(cè)結(jié)果片面、孤立,缺乏對(duì)統(tǒng)計(jì)特性和復(fù)雜態(tài)勢(shì)的 分析與推理。發(fā)明人為了實(shí)現(xiàn)有針對(duì)性的檢觀'j,提高檢測(cè)的準(zhǔn)確性,首先深入剖析SPIT 獨(dú)有的特點(diǎn),掌握各種SPIT攻擊在信令流上體現(xiàn)出的特征,并利用SIP事務(wù) 有限狀態(tài)機(jī)中特定的狀態(tài)變遷進(jìn)行表示,即對(duì)SIP事務(wù)有限狀態(tài)機(jī)的特定狀態(tài) 變遷進(jìn)行標(biāo)識(shí)來(lái)對(duì)應(yīng)上述特征。然后分三個(gè)層次對(duì)SPIT行為進(jìn)行;險(xiǎn)測(cè)與分析 首先利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)SIP信令進(jìn)行監(jiān)控,輸出SPIT相關(guān)的原子信息,該信息可以直接用來(lái)防范,也可以^敝進(jìn)一步處理,此為第一層次;然后對(duì)這些原子信息進(jìn)行統(tǒng)計(jì)分析,得到具.有統(tǒng)計(jì)意義的告警,該告警同樣既可以直接用來(lái)防范,也可以做進(jìn)一步處理,此為第二層次;再后對(duì)告警進(jìn)行因果關(guān)聯(lián), 得到SPIT攻擊的行為蹤跡,以便識(shí)別復(fù)雜的多步驟SPIT攻擊,此為第三層次。 最后根據(jù)前面三個(gè)層次得到的檢測(cè)分析結(jié)果采取防范措施。參照?qǐng)D1,示出了本發(fā)明一種垃圾語(yǔ)音信息的檢測(cè)方法實(shí)施例1,具體可 以包括步驟1Q1、獲取SIP事務(wù)信令;步驟102、利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控,所 述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;步驟103、如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài) 變遷,則記錄相應(yīng)的原子信息;所述原子信息與垃圾語(yǔ)音信息相關(guān)。在記錄與垃圾語(yǔ)音信息相關(guān)的原子信息之后,可以用于進(jìn)一步的數(shù)據(jù)處 理,也可以依據(jù)所檢測(cè)到的原子信息,執(zhí)行相應(yīng)的防范措施。所述的防范措施 有很多,例如轉(zhuǎn)發(fā)、報(bào)警或者阻斷等等,此部分不是本發(fā)明的重點(diǎn),不再贅述。 本領(lǐng)域技術(shù)人員可以依據(jù)實(shí)際需要自行設(shè)定相應(yīng)的防范措施即可。簡(jiǎn)單介紹SIP事務(wù)SIP是一個(gè)基于事務(wù)處理的協(xié)議部件之間的交互是通過(guò)一系列相關(guān)的消 息交換所完成的。特別是, 一個(gè)SIP事務(wù)由一個(gè)單個(gè)請(qǐng)求和這個(gè)請(qǐng)求的所有 應(yīng)答組成,這些應(yīng)答包括了零個(gè)或者多個(gè)臨時(shí)應(yīng)答以及一個(gè)或者多個(gè)終結(jié)應(yīng) 答。在事務(wù)中,當(dāng)請(qǐng)求是一個(gè)INVITE (叫做INVITE事務(wù)),當(dāng)終結(jié)應(yīng)答不是 一個(gè)2xx應(yīng)答的時(shí)候,事務(wù)還包括一個(gè)ACK。如果應(yīng)答是一個(gè)2xx應(yīng)答,那么 ACK并不認(rèn)為是事務(wù)的一部分。事務(wù)分為客戶端和服務(wù)端兩方??蛻舳说氖聞?wù)是客戶端事務(wù),服務(wù)器端的 事務(wù)就是服務(wù)端事務(wù)??蛻舳耸聞?wù)發(fā)出請(qǐng)求,并且服務(wù)端事務(wù)送回應(yīng)答。客戶 端和服務(wù)端事務(wù)都是邏輯上的概念,他們可以被無(wú)數(shù)部件所包含。特別是,他 們?cè)谟脩舸鞺A (User Agent)中和有狀態(tài)的代理(proxy)月l務(wù)器中存在。SPIT行為分析從防范的角度看, 一個(gè)攻擊行為往往對(duì)應(yīng)3個(gè)階革爻即攻擊準(zhǔn)備階段、攻 擊實(shí)施階段和結(jié)果顯現(xiàn)階段,SPIT攻擊同樣符合該性質(zhì)。在攻擊準(zhǔn)備階段, 攻擊者spa腿er會(huì)收集攻擊所需的各種信息,為攻擊做好準(zhǔn)備;在攻擊實(shí)施階 段,攻擊者會(huì)利用準(zhǔn)備好的信息發(fā)起攻擊;在結(jié)果顯現(xiàn)階段,會(huì)顯現(xiàn)出實(shí)施的 攻擊在SPIT含義上的結(jié)果。具體針對(duì)SPIT攻擊行為的獨(dú)有特點(diǎn),分析如下 I.攻擊準(zhǔn)備階段i、 獲耳又目標(biāo)地址(GTA, Getting Target Address):通過(guò)隱諱請(qǐng)求獲 耳又目標(biāo)地址; II.攻擊實(shí)施階段i、 高頻廣域請(qǐng)求(FWI, Frequent Wide Invite):短時(shí)間內(nèi)大范圍的 發(fā)布SPIT;ii、 分支代理群發(fā)(FPI, Forking Proxy Invite):為達(dá)到高頻廣域目 的;iii、 呼叫非法地址(INA, Invite Non-exist Address ):對(duì)臆造目標(biāo)地 址進(jìn)4亍呼叫;III.結(jié)果顯現(xiàn)階段i、 "f展鈴時(shí)間限制(RLI, Ring Limited Invite):無(wú)應(yīng)答時(shí),SPIT發(fā)布者為節(jié)省資源不會(huì)一味的保持呼叫狀態(tài);ii、 連接瞬間掛斷(CIH, Connect Instant Hangup):當(dāng)被呼叫方識(shí)另'J 出SPIT時(shí),會(huì)瞬間掛斷連接;iii、 總是被叫方掛斷(ACH, Always Callee Hangup):幾乎所有SPIT 連接都由被呼叫方掛斷;iv、 SPIT呼叫被拒(RSI, Refuse SPIT Invite):通過(guò)來(lái)電顯示等方式 識(shí)別出SPIT時(shí),就會(huì)拒絕呼叫。需要說(shuō)明的是,由于SPIT攻擊行為的特點(diǎn)還有很多,并且分析角度不同, 得到的特征可能就不同,因此,上面所分析得到的特點(diǎn)僅僅用于示例,實(shí)際中可能還存在其他很多的攻擊特征。本發(fā)明無(wú)需、也不必對(duì)SPIT行為的攻擊特 征加以限定。例如,SPIT行為的攻擊特征還可以包括以下兩種獲取廣4番地址GBA (Getting Broadcast Address),用于進(jìn)4亍廣#番SPIT 攻擊;對(duì)廣插-地址發(fā)送請(qǐng)求IBA (Invite Broadcast Address):為達(dá)到高頻廣 域的目的。特定狀態(tài)變遷的標(biāo)識(shí)SIP事務(wù)有限狀態(tài)機(jī)在SIP中已經(jīng)被定義。 一個(gè)有狀態(tài)的用戶代理UA會(huì) 分為客戶端UAc和服務(wù)器端UAs,根據(jù)處理的請(qǐng)求是否為INVITE還可以分為 INVITE類型和Non-INVITE類型,因此,SIP共有4個(gè)SIP事務(wù)有限狀態(tài)機(jī), 分別為CT INVITE、 CT Non—INVITE、 ST INVITE、 ST Non-INVITE。SIP事務(wù)有限狀態(tài)機(jī)執(zhí)行于事務(wù)層,用以表示SIP會(huì)話過(guò)程,用數(shù)學(xué)方法 表示狀態(tài)的轉(zhuǎn)換。每一時(shí)刻協(xié)議機(jī)(發(fā)送方或接受方)總處于一個(gè)特定的狀態(tài), 其狀態(tài)是由所有變量值組成的,包括計(jì)數(shù)器在內(nèi)。剖析了 SPIT行為特有的特點(diǎn)后,發(fā)現(xiàn)這些特點(diǎn)都會(huì)在SIP信令流量的類 型和流程上體現(xiàn)出一些特征,因此可以對(duì)SIP事務(wù)有限狀態(tài)機(jī)中特定的狀態(tài)變述方便,將標(biāo)識(shí)后的事務(wù)有限狀態(tài)機(jī)采用LST-FA表示Labeled SIP Transaction—Finite Automatioru.參照?qǐng)D2,示出了 CT INVITE的LST-FA示意圖,在傳統(tǒng)的SIP事務(wù)有限 狀態(tài)機(jī)中標(biāo)識(shí)了一些特定狀態(tài)變遷來(lái)檢測(cè)SI。其中,A識(shí)別INVITE呼叫,對(duì) 應(yīng)于攻擊實(shí)施階段的FWI; B識(shí)別200 OK應(yīng)答,對(duì)應(yīng)于結(jié)果顯現(xiàn)階段的CIH; C識(shí)別300應(yīng)答,對(duì)應(yīng)于攻擊準(zhǔn)備階段的GTA; D識(shí)別404應(yīng)答,對(duì)應(yīng)于攻擊 實(shí)施階^殳的INA; E識(shí)別485應(yīng)答,對(duì)應(yīng)于攻擊實(shí)施階l殳的FPI; F識(shí)別487 應(yīng)答,對(duì)應(yīng)于結(jié)果顯現(xiàn)階^a的RSI。上述用數(shù)字代號(hào)表示的應(yīng)答是本領(lǐng)域的常用表示方法,對(duì)其含義簡(jiǎn)單描述 如下:lxx:臨時(shí)應(yīng)答-請(qǐng)求已經(jīng)接收,正在處理這個(gè)請(qǐng)求。2xx:成功處理-請(qǐng)求已經(jīng)成功接收,并且正確處理了這個(gè)請(qǐng)求。 . 3xx:重定向-還需要附加的操作才能完成這個(gè)請(qǐng)求,本請(qǐng)求轉(zhuǎn)發(fā)到其他 的服務(wù)器上處理。4xx:客戶端錯(cuò)誤--請(qǐng)求包含錯(cuò)誤的格式或者不能在這個(gè)服務(wù)器上完成。 5xx:服務(wù)器錯(cuò)誤-服務(wù)器不能正確的處理這個(gè)顯然合法的請(qǐng)求。 6xx:全局錯(cuò)誤-請(qǐng)求不能被任何服務(wù)器處理。例如,300應(yīng)答是指多重選擇應(yīng)答,485應(yīng)答是指不明確請(qǐng)求應(yīng)答,404 應(yīng)答是指目標(biāo)不存在應(yīng)答。由于該數(shù)字代號(hào)的表示方法是本領(lǐng)域技術(shù)人員所熟 知的,因此,在此不再贅述。ST INVITE與CT INVITE相似,參照?qǐng)D3,示出了 ST INVITE的LST-FA 示意圖。由于ST INVITE以服務(wù)器身份與CT INVITE捕捉相同的SI,因此這 里只給出ST INVITE與CT INVITE中SI的對(duì)應(yīng)關(guān)系即可。其中,I-〉A(chǔ)、 J->B、 K-〉C、 L->D、 M-〉E、 N-〉F。參照?qǐng)D4,示出了 CT Non-INVITE的LST-FA示意圖,同樣在傳統(tǒng)的SIP 事務(wù)有限狀態(tài)機(jī)中標(biāo)識(shí)特定的狀態(tài)變遷來(lái)檢測(cè)SI。其中,G識(shí)別CANCEL請(qǐng)求, 對(duì)應(yīng)于結(jié)果顯現(xiàn)階段的RLI; H識(shí)別BYE請(qǐng)求,對(duì)應(yīng)于結(jié)果顯現(xiàn)階^^殳的CIH以 及ACH。ST Non-INVITE與CT Non-INVITE相似,參照?qǐng)D5,示出了 ST Non-INVITE 的LST-FA示意圖。由于ST Non-INVITE以服務(wù)器的身份與CT Non-INVITE捕 才足相同的SI,因此這里只給出ST Non-INVITE與CT Non-INVITE中SI的對(duì)應(yīng) 關(guān)系。其中,P->G、 Q-〉H。需要說(shuō)明的是,本發(fā)明的有限狀態(tài)機(jī)是針對(duì)各種SPIT行為對(duì)應(yīng)的SI而進(jìn) 行標(biāo)記得到的,如果對(duì)SPIT行為分析后,又得到了其他的新的特征(或者與 前述例子不同的特征組合),則也可以對(duì)前述的有限狀態(tài)機(jī)進(jìn)行補(bǔ)充,增加(或 者改變)這些新的特定狀態(tài)變遷來(lái)^^測(cè)相應(yīng)的SI即可。即前述的4個(gè)SIP事 務(wù)有限狀態(tài)機(jī)僅僅用于舉例說(shuō)明而已。當(dāng)事務(wù)在狀態(tài)變遷的過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則觸發(fā)記錄SI。所記錄的信息內(nèi)容可以包括信令的方向、原子信息SI類型以及時(shí)間信息等等。具體來(lái)說(shuō),作為一個(gè)SIP實(shí)體,當(dāng)它發(fā)起請(qǐng)求時(shí),它便作為一個(gè)客戶端; 當(dāng)它接收到一個(gè)請(qǐng)求時(shí),它便作為一個(gè)服務(wù)器端。然后按照請(qǐng)求的內(nèi)容是否為 INVITE,還可以將客戶端和服務(wù)器端分別劃分為INVITE和non-INVITE類型。 即一般的在一個(gè)SIP實(shí)體中同時(shí)存在前述的4個(gè)SIP事務(wù)有限狀態(tài)機(jī)。例如, 當(dāng)釆用本發(fā)明對(duì)域內(nèi)環(huán)境進(jìn)行SPIT檢測(cè)與防范時(shí),可以將本發(fā)明應(yīng)用在域邊 界的一個(gè)SIP實(shí)體上(通常為網(wǎng)關(guān))。實(shí)時(shí)的對(duì)所有域范圍內(nèi)的SIP流量進(jìn)行 監(jiān)控,當(dāng)SIP事務(wù)在狀態(tài)變遷過(guò)程中發(fā)生了特定的狀態(tài)變遷,便會(huì)觸發(fā)記錄 SPIT相關(guān)的原子信息SI,并對(duì)應(yīng)記錄源、目的、時(shí)間等相關(guān)信息。如果安全 級(jí)別要求較高,則可以當(dāng)發(fā)現(xiàn)某個(gè)SI信息時(shí)就采用相應(yīng)的防范措施。參照?qǐng)D6,示出了一種垃圾語(yǔ)音信息的檢測(cè)方法實(shí)施例2,可以包括 步驟6Q1、獲取SIP事務(wù)信令;步驟602、利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控,所 述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;步驟603、如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài) 變遷,則記錄相應(yīng)的原子信息;所述原子信息與垃圾語(yǔ)音信息相關(guān);步驟604、對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析, 對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。在得到統(tǒng)計(jì)結(jié)果以及告警信息之后,可以用于進(jìn)一步的數(shù)據(jù)處理,也可以 依據(jù)所述統(tǒng)計(jì)分析結(jié)果,執(zhí)行相應(yīng)的防范措施。實(shí)施例2與實(shí)施例1的區(qū)別之一在于實(shí)施例2是在統(tǒng)計(jì)分析的基礎(chǔ)上采 用相應(yīng)的防范措施的。因?yàn)槭褂肔ST-FA確實(shí)可以得到SPIT相關(guān)的原子信息, 并且SPIT攻擊必然對(duì)應(yīng)這些原子信息,但這些原子信息的出現(xiàn)并不能推斷 SPIT攻擊的必然存在,只是在一定程度上反映了潛在的SPIT攻擊。因此,實(shí) 施例1直接由LST-FA監(jiān)控得到的SI對(duì)應(yīng)至相應(yīng)的防范措施的解決方案, 一般僅適用于對(duì)安全級(jí)別要求較高的情況,因?yàn)槠淠軌虮WC很高的安全性,但是會(huì) 存在一定的誤報(bào)率。為了提高檢測(cè)的準(zhǔn)確度,實(shí)施例2增加了對(duì)這些原子信息進(jìn)行統(tǒng)計(jì)分析,從而得到更高語(yǔ)義級(jí)別的告警(Alert )。本領(lǐng)域技術(shù)人員可能選用的統(tǒng)計(jì)分析方式有多種多樣,下面通過(guò)幾個(gè)例子 進(jìn)^S爭(zhēng)細(xì)i兌明。方式1: FWI的統(tǒng)計(jì)FWI統(tǒng)計(jì)的基本思想是 一個(gè)caller越頻繁、越大范圍的進(jìn)行呼叫,其 為SPIT發(fā)布者的可能性就越大。為了滿足該統(tǒng)計(jì)思想,可以設(shè)計(jì)出各種各樣 的統(tǒng)計(jì)算法。例如,可以釆用如下方式完成統(tǒng)計(jì)分析統(tǒng)計(jì)一定預(yù)置時(shí)間—段內(nèi)的呼叫頻 率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參數(shù),如果該參數(shù)值大于預(yù)設(shè)閾值,則確認(rèn)屬 于垃圾語(yǔ)音信息攻擊。優(yōu)選的,也可以采用如下方式完成統(tǒng)計(jì)分析統(tǒng)計(jì)在第一預(yù)置時(shí)間段內(nèi)的 呼叫頻率和呼叫范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S;計(jì)算針對(duì)第二預(yù)置時(shí)間段的評(píng)價(jià) 參數(shù)L,所述第二預(yù)置時(shí)間段比所述第一預(yù)置時(shí)間段長(zhǎng),并早于所述第一預(yù)置 時(shí)間段;如果評(píng)價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾 語(yǔ)音信息攻擊。具體描述如下對(duì)于FWI的統(tǒng)計(jì)分為兩個(gè)尺度,即長(zhǎng)期的和短期的。短期 的尺度描述了一個(gè)caller在短期內(nèi)的行為,并隨caller的行為快速調(diào)整,能 夠防止caller在短時(shí)間內(nèi)頻繁的大范圍的進(jìn)行SPIT攻擊。作為短期尺度的補(bǔ) 充引入了長(zhǎng)期尺度,長(zhǎng)期尺度的調(diào)整相對(duì)較慢,還會(huì)考慮用戶的歷史信息,因 此可以長(zhǎng)時(shí)間的對(duì)SPIT行為進(jìn)行標(biāo)識(shí)。計(jì)算后將長(zhǎng)期尺度L和短期尺度S相 加,如果結(jié)果大于預(yù)先設(shè)置的閥值TFWI,則識(shí)別了FWI行為。<formula>formula see original document page 15</formula>(2'1)
公式2. 1給出了長(zhǎng)期尺度的計(jì)算公式,其中丄表示長(zhǎng)期尺度值,尸丄表示上 次長(zhǎng)期尺度值,57/標(biāo)識(shí)caller凈皮識(shí)別為spammer的次數(shù),7^2表示一個(gè)4交長(zhǎng)的時(shí)間周期,/,表示呼叫的時(shí)間間隔,4和丑,是兩個(gè)常量,用來(lái)控制調(diào)整的幅 度。z'e(single, multiple},分別代表呼叫的間隔針對(duì)單一 目標(biāo)和多重目標(biāo)。當(dāng)呼 叫的間隔針對(duì)多重目標(biāo)時(shí),更符合FWI,因此《,大于4^, An^小于A一。 由公式2. 1可知,當(dāng)呼叫的間隔在時(shí)間周期712內(nèi)時(shí),將增加長(zhǎng)期尺度丄的 ^i,時(shí)間間隔越小增力口的幅度越大,該caller 4皮識(shí)另'J為spammer的次凄t越多 增加的幅度同樣越大。并且呼叫的間隔針對(duì)多重目標(biāo)時(shí),增加的幅度更大。當(dāng) 呼叫的間隔超過(guò)時(shí)間周期7^時(shí),將減小長(zhǎng)期尺度Z的值,時(shí)間間隔越大減小 的幅度越大,該caller祐:識(shí)別為spammer的次H越少減小的幅度同樣越大。 并且呼叫的間隔針對(duì)單一目標(biāo)時(shí),減小的幅度更大。以上論述滿足對(duì)FWI統(tǒng)計(jì) 的思想。計(jì)算后如果L<0,則令L=0。<formula>formula see original document page 16</formula>(22)公式2. 2給出了短期尺度的計(jì)算公式,其中S表示短期尺度值,尸S表示 上次短期尺度值,巧表示一個(gè)較短的時(shí)間周期。C,和A是兩個(gè)常量,用來(lái)控 制調(diào)整的幅度,C』p,e大于Cs一, ^拳小于A一。對(duì)公式2.2的解釋與公式 2. 1基本相同,不再贅述,計(jì)算后如果5<0,則令s:o。如果s^r,,則令丄=5, 5 = 0。方式2:RLI的統(tǒng)計(jì)RLI的統(tǒng)計(jì)的基本思想是SPIT發(fā)布者為節(jié)省資源,在呼叫一個(gè)終端一定 時(shí)間無(wú)應(yīng)答后,便會(huì)主動(dòng)終止呼叫,轉(zhuǎn)而呼叫其他終端。因此對(duì)caller發(fā)起 和取消呼叫所維持的時(shí)間進(jìn)行統(tǒng)計(jì),通過(guò)發(fā)現(xiàn)較短的振鈴時(shí)間限制來(lái)識(shí)別 RLI。為了滿足該統(tǒng)計(jì)思想,可以設(shè)計(jì)出各種各樣的統(tǒng)計(jì)算法。例如統(tǒng)計(jì)SIP 事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾值,則確 認(rèn)屬于垃圾語(yǔ)音信息攻擊。當(dāng)然,也可以僅僅采用均值進(jìn)行判斷。五(77丄)二Jd_ (23)公式2. 3中,7Y丄,表示caller—次呼叫所持續(xù)的時(shí)間,五(77丄)是一個(gè)caller 所有r幾,的均值。該值小于預(yù)先設(shè)定的閥值r^可以在一定程度上反映RLI行 為。然而£(7/£)只能從總體上反映振鈴時(shí)間的長(zhǎng)短,不能識(shí)別一個(gè)明顯的時(shí)間 限制,可以通過(guò)r/丄,與5(77丄)的偏離度(公式2. 4)來(lái)作進(jìn)一步的判斷。t?。?(t孤,)2cr卿"^---^^ (2.4)c7(77Z)標(biāo)識(shí)了所有77Z,與丑(nL)的偏離度,該值需同時(shí)小于閥值r虹^,方可 識(shí)別RLI。為了能夠充分反映統(tǒng)計(jì)特性,要求w》3。方式3:CIH的統(tǒng)計(jì)CIH統(tǒng)計(jì)的基本思想是當(dāng)被呼叫端識(shí)別出SPIT時(shí),會(huì)瞬間掛斷連接。 因此對(duì)連接維持時(shí)間7UA進(jìn)行統(tǒng)計(jì),通過(guò)發(fā)現(xiàn)大量的短連接來(lái)識(shí)別CIH。為了 滿足該統(tǒng)計(jì)思想,可以設(shè)計(jì)出各種各樣的統(tǒng)計(jì)算法。例如,統(tǒng)計(jì)SIP事務(wù)維持 連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息 攻擊;當(dāng)然,也可以僅僅采用均值進(jìn)行判斷。具體參見公式2. 5和2. 6。五(厄)=^—— (2.5)cr(rc丄)鬥=1 ._~—— (2.6)公式2.5中的五(rc丄)從總體上識(shí)別了短連接,該值小于預(yù)先設(shè)定的閥值 r,e時(shí),在一定程度上反映了 CIH行為。為了避免個(gè)別連接導(dǎo)致五(rci:)小于閥 值,同樣要求rcz,與五(7U丄)的偏離度公式2.6不能超過(guò)預(yù)先設(shè)定的閥值:r,。。為充分體現(xiàn)統(tǒng)計(jì)特性,要求"23。方式4: ACH的統(tǒng)計(jì)ACH統(tǒng)計(jì)的基本思想是幾乎所有的SPIT連接都是凈皮叫方掛斷的,因此 對(duì)一個(gè)呼叫者主動(dòng)與被動(dòng)掛斷連接的次數(shù)進(jìn)行統(tǒng)計(jì),可以識(shí)別ACH行為。為了 滿足該統(tǒng)計(jì)思想,可以設(shè)計(jì)出各種各樣的統(tǒng)計(jì)算法。例如,統(tǒng)計(jì)被叫方掛斷連 接的次數(shù)或者其比重,如果大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊。也 可以采用公式2. 7進(jìn)行統(tǒng)計(jì)分析其中,H,,代表了被動(dòng)掛斷連接的次數(shù),_^*代表了主動(dòng)掛斷連接的次 數(shù)。當(dāng)P(」C//)大于預(yù)先設(shè)置的閥值r,w時(shí)便可識(shí)別ACH。方式5: RSI的統(tǒng)計(jì)RSI統(tǒng)計(jì)的基本思想是當(dāng)被呼叫端通過(guò)來(lái)電顯示等方法識(shí)別出SPIT時(shí) 便會(huì)拒絕呼叫,因此對(duì)一個(gè)呼叫者所有呼叫結(jié)果進(jìn)行統(tǒng)計(jì),可以識(shí)別RSI行為。 為了滿足該統(tǒng)計(jì)思想,可以設(shè)計(jì)出各種各樣的統(tǒng)計(jì)算法。例如,統(tǒng)計(jì)SIP事務(wù) 的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大于預(yù)設(shè)閾值,則確認(rèn)屬于 垃圾語(yǔ)音信息攻擊。也可以采用公式2. 8進(jìn)行統(tǒng)計(jì)分析其中,A—代表了呼叫被拒的次數(shù),i/。,,代表了呼叫連通的次數(shù),當(dāng) P(i^/)大于預(yù)先設(shè)置的閱值r,時(shí)便可識(shí)別RSI 。需要說(shuō)明的是,本發(fā)明可能應(yīng)用的統(tǒng)計(jì)分析方案還可以有其他方式,當(dāng)然, 也可以包括上述各種方式的任意組合。參照?qǐng)D7,示出了一種垃圾語(yǔ)音信息的檢測(cè)方法實(shí)施例3,可以包括 步驟701、獲取SIP事務(wù)信令;步驟702、利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控,所 述狀態(tài)監(jiān)粒包括跟蹤SIP事務(wù)的狀態(tài)變遷;步驟703、如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài) 變遷,則記錄相應(yīng)的原子信息;所述原子信息與垃;及語(yǔ)音信息相關(guān);步驟704、對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析, 對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警;步驟705、對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析得到的告警,進(jìn)行規(guī)范化處 理,得到相應(yīng)的元告警;步驟706、依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,對(duì)所得到的各個(gè)元告警進(jìn)行 關(guān)聯(lián),輸出關(guān)聯(lián)結(jié)果。實(shí)施例3在前述實(shí)施例的基礎(chǔ)上增加了對(duì)各個(gè)SPIT行為間的關(guān)聯(lián)關(guān)系的 分析,所得到的關(guān)聯(lián)結(jié)果可以識(shí)別攻擊者的行為蹤跡,能夠識(shí)別復(fù)雜的、多步 驟的攻擊,即依據(jù)關(guān)聯(lián)結(jié)果,執(zhí)行相應(yīng)的防范措施;其次,可以重構(gòu)攻擊場(chǎng)景, 以便技術(shù)人員深入分析、了解各種SPIT攻擊。當(dāng)然,了解各種SPIT攻擊,也 可以將所獲得的信息加入至對(duì)SPIT攻擊的防范中去,例如,添加至黑名單等 等。下面進(jìn)行詳細(xì)說(shuō)明關(guān)聯(lián)分析利用LST-FA的監(jiān)控可以得到反映潛在SPIT攻擊的原子信息(SI ),利用 統(tǒng)計(jì)分析可以得到具有更高語(yǔ)義級(jí)別的告警(Alert),從而可以識(shí)別前述的所 有SPIT行為。然而這些SPIT行為間還存在一些因果聯(lián)系,利用這些因果聯(lián)系 對(duì)SPIT行為進(jìn)行關(guān)聯(lián),可以識(shí)別攻擊者的行為蹤跡,重構(gòu)攻擊場(chǎng)景,從而更 深入、更詳細(xì)的對(duì)攻擊進(jìn)行剖析進(jìn)而防范。關(guān)聯(lián)分析的對(duì)象既包含由SI直接對(duì)應(yīng)的Alert,又包含由SI統(tǒng)計(jì)分析得 到的Alert,因此在關(guān)聯(lián)之前需要對(duì)Alert進(jìn)行規(guī)范化,得到歸一化的元告警 (meta-alert )。元告警可以用五元組<Act ion, From, To, StartTime, EndTime〉來(lái)表示,其中Action:描述SPIT行為,對(duì)應(yīng)于Alert識(shí)別的各階)爻的SPIT 4亍為;rom:描述SPIT行為的發(fā)起者;To:描述SPIT行為的被叫者;StartTime:描述SPIT《亍為的發(fā)起時(shí)間;EndTime:描述SPIT行為的結(jié)束時(shí)間; 元告警用歸一化的格式展現(xiàn)了各階段的SPIT行為,將這些行為有效的關(guān) 聯(lián)起來(lái)還需要挖掘每一種行為出現(xiàn)所需的條件和導(dǎo)致的后果,挖掘的結(jié)果稱為 關(guān)聯(lián)知識(shí)。本發(fā)明在這里給出一種關(guān)聯(lián)知識(shí)的表示形式,用三元組〈Fact, Prerequisite, Consequence〉來(lái)表示,其中Fact:關(guān)聯(lián)知識(shí)描述的主體,即需要進(jìn)行關(guān)聯(lián)的SPIT行為,具體化為元 告警中的Action;Prerequisite: Fact對(duì)應(yīng)的行為出現(xiàn)需要依據(jù)的前4是條件,該項(xiàng)可以為 空,表示Fact無(wú)需前提條件便可出現(xiàn);Consequence: Fact ^t應(yīng)的^亍為出現(xiàn)可能導(dǎo)致的結(jié)果,該項(xiàng)也可以為空, 表示Fact不導(dǎo)致任何結(jié)果。上述的關(guān)聯(lián)知識(shí)可以通過(guò)對(duì)各種元告警之間的因果聯(lián)系進(jìn)行實(shí)驗(yàn)和分析 而得到。利用關(guān)聯(lián)知識(shí)對(duì)元告警進(jìn)行關(guān)聯(lián),還需要依據(jù)關(guān)聯(lián)規(guī)則,如下 a.Action. Consequence = b. Action. Prerequissite; a. EndTime<=b. StartTime; a. From = b. From其中a和b為兩個(gè)元告警,關(guān)聯(lián)規(guī)則首先給出了兩個(gè)元告警進(jìn)行關(guān)聯(lián)需要 依循的因果關(guān)系,然后給出了需^循的時(shí)間順序,最后給出了需要依循的空 間約束。由于針對(duì)攻擊者的SPIT行為進(jìn)行關(guān)聯(lián),所以空間約束選擇From為約 束對(duì)象。參見圖8,示出了一種關(guān)聯(lián)結(jié)果示例。圖8中,通過(guò)LST-FA監(jiān)控到 GTA和FPI,利用統(tǒng)計(jì)分析得到FWI和ACH,并歸一化為元告警。利用前述的 關(guān)聯(lián)知識(shí)依循關(guān)聯(lián)規(guī)則對(duì)這些行為進(jìn)行關(guān)聯(lián),得到關(guān)聯(lián)結(jié)果。該結(jié)果反映了攻 擊者的行為蹤跡,并重構(gòu)了攻擊場(chǎng)景,從而更加準(zhǔn)確、詳實(shí)的識(shí)別SPIT攻擊。參照?qǐng)D9,示出了一種垃圾語(yǔ)音信息的檢測(cè)裝置實(shí)施例1,可以包括用于獲取SIP事務(wù)信令的接口模塊901;對(duì)特定的狀態(tài)變遷設(shè)置有標(biāo)識(shí)的SIP事務(wù)有限狀態(tài)機(jī)902;監(jiān)控模塊903,用于利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài) 監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在 狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子 信息與垃圾語(yǔ)音信息相關(guān)。在本發(fā)明的另 一優(yōu)選實(shí)施例中,可以直"^妄利用所;險(xiǎn)測(cè)到的原子信息進(jìn)行攻 擊防御,則可以進(jìn)一步包括防范模塊904,用于依據(jù)所檢測(cè)到的原子信息,執(zhí) 行相應(yīng)的防范措施。優(yōu)選的,所述特定狀態(tài)變遷可以包括由呼叫或進(jìn)行狀態(tài)接收到多重選擇應(yīng)答而變遷至完成狀態(tài);由呼叫或進(jìn)行狀態(tài)接收到不明確請(qǐng)求應(yīng)答而變遷至完成狀態(tài);由呼叫或進(jìn)行狀態(tài)^接收到目標(biāo)不存在應(yīng)答而變遷至完成狀態(tài);上述各項(xiàng)中的任一項(xiàng)或者任意組合項(xiàng)。參見圖10,示出了一種垃圾語(yǔ)音信息的^r測(cè)裝置實(shí)施例2,可以包括 用于獲取SIP事務(wù)信令的接口模塊1001; 對(duì)特定的狀態(tài)變遷設(shè)置有標(biāo)識(shí)的SIP事務(wù)有限狀態(tài)機(jī)1002; 監(jiān)控模塊1003,用于利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀 態(tài)監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原 子信息與垃:敗語(yǔ)音信息相關(guān);統(tǒng)計(jì)分析模塊1004,用于對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型 進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。在本發(fā)明的另 一優(yōu)選實(shí)施例中,可以直接利用所獲得的統(tǒng)計(jì)信息進(jìn)行攻擊 防御,則可以進(jìn)一步包括防范模塊1005,用于依據(jù)統(tǒng)計(jì)分析結(jié)果,執(zhí)行相應(yīng) 的防范措施。上述實(shí)施例中,所述統(tǒng)計(jì)分析可以采用如下的任意一種方式或者如下方式的4壬意組合。例如 .統(tǒng)計(jì)一定預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參數(shù),如果該參數(shù)值大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都 小于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)維持連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾 值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)被叫方掛斷連接的次數(shù)或者其比重,如果大于預(yù)設(shè)閾值,則確 認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大 于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊。在本發(fā)明的另一優(yōu)選實(shí)施例中,所述統(tǒng)計(jì)分析也可以包括統(tǒng)計(jì)在第一預(yù) 置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S;計(jì)算針對(duì)第二預(yù)置 時(shí)間段的評(píng)價(jià)參數(shù)L,所述第二預(yù)置時(shí)間段比所述第一預(yù)置時(shí)間段長(zhǎng),并早于 所述第一預(yù)置時(shí)間段;如果評(píng)價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則 確認(rèn)屬于垃;及語(yǔ)音信息攻擊。參見圖11,示出了一種垃圾語(yǔ)音信息的檢測(cè)裝置實(shí)施例3,可以包括用于獲取SIP事務(wù)信令的接口才莫塊1101;對(duì)特定的狀態(tài)變遷設(shè)置有標(biāo)識(shí)的SIP事務(wù)有限狀態(tài)機(jī)1102;監(jiān)控模塊1103,用于利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀 態(tài)監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù) 在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原 子信息與垃圾語(yǔ)音信息相關(guān);統(tǒng)計(jì)分析模塊1104,用于對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型 進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。格式規(guī)范模塊1105,用于對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析得到的告警, 進(jìn)行M^范化處理,得到相應(yīng)的元告警;關(guān)聯(lián)模塊1106,用于依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,對(duì)所得到的各個(gè) 元告警進(jìn)行關(guān)舉,輸出關(guān)聯(lián)結(jié)果。所述關(guān)聯(lián)結(jié)果可以提供給技術(shù)人員,用于作 進(jìn)一步的研究分析。優(yōu)選的,本實(shí)施例還可以包括防范模塊1107,用于依據(jù)關(guān)聯(lián)結(jié)果,執(zhí) 行相應(yīng)的防范措施。參見圖12,給出了本發(fā)明的一個(gè)整體模型。該模型示出了本發(fā)明各個(gè)層 次檢測(cè)步驟之間的關(guān)系,應(yīng)用該模型進(jìn)行垃圾語(yǔ)音信息4全測(cè)所涉及的步驟大致 如下1) 利用標(biāo)記的SIP事務(wù)有限狀態(tài)機(jī)LST-FA對(duì)SIP信令(Signal )進(jìn)行監(jiān) 控m,得到SPIT相關(guān)的原子信息SI, m(/5T - ^'g"a/) — 57;2) 對(duì)原子信息SI進(jìn)行統(tǒng)計(jì)s,得到具有統(tǒng)計(jì)意義的告警Alert,~>襲r,;3) 對(duì)告警Alert進(jìn)行因果關(guān)聯(lián)c,得到行為蹤跡Trace, c(Aw) — Tm";4) 利用SI, Alert, Trace進(jìn)行防范p得到應(yīng)采取的防范措施Action,5) 跳至步驟l,循環(huán)執(zhí)行。具體應(yīng)用中,如果安全級(jí)別要求高,那么可以當(dāng)發(fā)現(xiàn)某個(gè)SI時(shí)就采取措 施,不高時(shí)可以要求當(dāng)有統(tǒng)計(jì)特性Alert時(shí)才采取措施;甚至可以要求當(dāng)關(guān)聯(lián) 出行為蹤跡時(shí)才采取防范措施。下面通過(guò)一個(gè)SPIT攻擊的示例來(lái)展現(xiàn)本發(fā)明提出的多層次的;f全測(cè)與防范 方法i"可工]乍。1) 攻擊準(zhǔn)備階,殳攻擊者利用隱晦請(qǐng)求(ambiguous request )獲取大量 目標(biāo)地址,此時(shí)LST-FA通過(guò)標(biāo)記的特定狀態(tài)變遷C或K監(jiān)控得到相應(yīng)的SI, 該信息不需統(tǒng)計(jì)分析,直接對(duì)應(yīng)至告警Alert: GTA;2) 攻擊實(shí)施階段攻擊者利用群呼軟件和Forking Proxy對(duì)獲取的目標(biāo)進(jìn) 行垃圾語(yǔ)音發(fā)送。此時(shí)LST-FA通過(guò)標(biāo)記的特定狀態(tài)變遷E或M監(jiān)控到Forking Proxy對(duì)應(yīng)的SI,該信息不需統(tǒng)計(jì)分析,直接對(duì)應(yīng)至告警Alert: FPI。又通 過(guò)標(biāo)記的特定狀態(tài)變遷A或I監(jiān)控到群呼軟件對(duì)應(yīng)的SI,統(tǒng)計(jì)得到告警Alert: FWI;3) 結(jié)果顯現(xiàn)階段由于發(fā)送的是垃圾語(yǔ)音,因此總是接收方掛斷。此時(shí) LST-FA通過(guò)標(biāo)記的特定狀態(tài)變遷H或Q監(jiān)控到相應(yīng)的SI,統(tǒng)計(jì)得到告警 Alert: ACH;4) 行為關(guān)聯(lián)階段首先對(duì)得到的Alert進(jìn)行歸一化形成元告警,然后遍歷 關(guān)聯(lián)知識(shí)庫(kù),將滿足關(guān)聯(lián)規(guī)則的元告警關(guān)聯(lián)起來(lái)。如前述,關(guān)聯(lián)知識(shí)三元組 描述了對(duì)于一個(gè)Alert,它出現(xiàn)的前提Prerequissite是什么,以及它出現(xiàn) 后導(dǎo)致的結(jié)果Consequence是什么。關(guān)聯(lián)規(guī)則說(shuō)明了什么樣的Alert能夠關(guān) 聯(lián)在一起,既一個(gè)Alert產(chǎn)生的結(jié)果是另一個(gè)Alert出現(xiàn)的前提,并且滿足 時(shí)序關(guān)系才可以關(guān)聯(lián)在一起。對(duì)于本例而言,關(guān)聯(lián)知識(shí)說(shuō)明GTA出現(xiàn)的結(jié)果 是FWI出現(xiàn)的前提,因此將兩者關(guān)聯(lián)在一起,以此類推,得到圖8所示的關(guān) 聯(lián)圖。如示例展現(xiàn),本文提出的檢測(cè)與防范方法首先利用LST-FA監(jiān)控得到所有 SPIT相關(guān)的原子信息,然后對(duì)這些信息進(jìn)行統(tǒng)計(jì)分析得到具有統(tǒng)計(jì)含義的更 高語(yǔ)義級(jí)別的告警,最后將這些告警進(jìn)行關(guān)聯(lián)得到行為蹤跡、重構(gòu)攻擊場(chǎng)景。 實(shí)際應(yīng)用中,根據(jù)環(huán)境要求的安全級(jí)別來(lái)使用SI、 Alert與Trace判斷應(yīng)采 取的防范措施,如轉(zhuǎn)發(fā)、報(bào)警或阻斷等。通過(guò)仿真測(cè)試環(huán)境IH正本發(fā)明測(cè)試環(huán)境仿真了一個(gè)基于Partysip (—種SIP代理服務(wù)器的模擬軟件) 的提供VoIP服務(wù)的小型局域網(wǎng),局域網(wǎng)內(nèi)部有10臺(tái)終端,其中3臺(tái)Linphone、 3臺(tái)XLite和4臺(tái)自己開發(fā)的基于oSIP協(xié)i義棧的Winphone。在局域網(wǎng)的網(wǎng)關(guān) 處對(duì)SIP信令流量進(jìn)行截獲與解析,并使用LST-FA進(jìn)行監(jiān)控得到SI。同時(shí)對(duì) SI進(jìn)行在線的統(tǒng)計(jì)分析與因果關(guān)聯(lián)得到Alert和Trace,并根據(jù)結(jié)果采取防范 措施。為了模擬SPIT攻擊,設(shè)計(jì)并實(shí)現(xiàn)了基于oSIP協(xié)議棧的SPIT發(fā)生器。該 發(fā)生器能夠模擬各種類型的SPIT攻擊,也能模擬正常的基于SIP協(xié)議的VoIP 通話。利用SPIT發(fā)生器模擬100次垃圾語(yǔ)音攻擊與100次正常VoIP通話,分別分10輪進(jìn)行,每輪10次。對(duì)于垃圾語(yǔ)音呼叫,接收方大約經(jīng)歷2次便會(huì)識(shí)別, 從而拒絕呼叫或不做應(yīng)答,因此發(fā)生器每3輪便重新獲取目標(biāo)地址進(jìn)行攻擊。 實(shí)—瞼從SI的監(jiān)控情況、Alert的統(tǒng)計(jì)情況以及Trace的關(guān)聯(lián)情況來(lái)分析本文 提出的檢測(cè)與防范方法的性能與效用。SI監(jiān)控分析利用LST-FA分別對(duì)模擬的垃圾與正常VoIP通話進(jìn)行監(jiān)控。 當(dāng)全部為正常通話時(shí),真正SPIT相關(guān)的原子信息量為0,但檢測(cè)到的SI 卻隨著所監(jiān)控的請(qǐng)求與應(yīng)答量線性增長(zhǎng)。當(dāng)全部為垃圾語(yǔ)音時(shí),真正SPIT相 關(guān)的原子信息與檢測(cè)到的SI完全吻合。該實(shí)驗(yàn)說(shuō)明基于LST-FA的信令監(jiān)控, 對(duì)于SP工T相關(guān)的原子信息的檢測(cè)率為100%,而誤報(bào)率隨樣本屬性變化,樣本 中垃圾語(yǔ)音比重越大誤報(bào)率越低,全部為垃圾語(yǔ)音時(shí),誤報(bào)率為0。Alert統(tǒng)計(jì)分析SI反映了潛在的SPIT攻擊,對(duì)SI進(jìn)行統(tǒng)計(jì)分析可以得到具有統(tǒng)計(jì)特性的 更高語(yǔ)義級(jí)別的告警。當(dāng)全部為垃圾語(yǔ)音時(shí),每輪末尾都會(huì)統(tǒng)計(jì)識(shí)別出FWI,每3輪末尾會(huì)識(shí)別 出RLI和RSI,每次更換目標(biāo)的下一4侖會(huì)識(shí)別出ACH和CIH,識(shí)別率為100°/。。 全部為正常通話時(shí),由于特定時(shí)段呼叫頻率較高,以及特定時(shí)段呈現(xiàn)出的大多 由^^皮叫端終止通話,^l誤^R了 2次FWI和1次ACH。該實(shí)騶,說(shuō)明統(tǒng)計(jì)分析可以 準(zhǔn)確的提煉SPIT攻擊的行為特性,并精簡(jiǎn)告警信息。Trace關(guān)聯(lián)分析當(dāng)全部為垃圾語(yǔ)音時(shí),通過(guò)統(tǒng)計(jì)分析得到了 SPIT行為FWI、 RLI、 ACH、 CIH 和RSI,而GTA、 FPI和INA可由SI直接對(duì)應(yīng)得到。利用關(guān)聯(lián)知識(shí)按照關(guān)聯(lián)規(guī) 則對(duì)這些SPIT行為進(jìn)行關(guān)聯(lián),結(jié)果如圖13所示。由關(guān)聯(lián)圖可以看出,關(guān)聯(lián)算法有效的將SPIT攻擊對(duì)應(yīng)的三個(gè)階_敬的行為關(guān) 聯(lián)起來(lái),清晰的再現(xiàn)了攻擊者由攻擊準(zhǔn)備階段GTA,到攻擊實(shí)施階段FPI、 INA、 FWI,再到結(jié)果顯現(xiàn)階,殳RLI、 RSI、 CIH、 ACH的攻擊場(chǎng)景。本發(fā)明提出了一種多層次的SPIT ;f企測(cè)與防范方法。實(shí)驗(yàn)證明,針對(duì)SPIT 獨(dú)有特點(diǎn)的分析使得檢測(cè)更具針對(duì)性并且更加準(zhǔn)確。儐令監(jiān)控算法對(duì)SPIT相 關(guān)的原子信息的檢測(cè)率達(dá)到100%,并在全部為垃圾語(yǔ)音時(shí)誤報(bào)率達(dá)到0。統(tǒng)計(jì) 分析算法統(tǒng)計(jì)識(shí)別率達(dá)到100%,在提高語(yǔ)義級(jí)別的同時(shí)精簡(jiǎn)了告警數(shù)量。關(guān) 聯(lián)分析算法識(shí)別了攻擊的行為蹤跡,重構(gòu)了攻擊場(chǎng)景。整體性能與效用滿足 SPIT檢測(cè)與防范的需求。本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的 都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見即 可。對(duì)于裝置實(shí)施例而言,由于其與方法實(shí)施例基本相似,所以描述的比較簡(jiǎn) 單,相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可。以上對(duì)本發(fā)明所提供的 一種垃圾語(yǔ)音信息的檢測(cè)方法和裝置,進(jìn)行了詳細(xì)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域 的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改 變之處,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1、一種垃圾語(yǔ)音信息的檢測(cè)方法,其特征在于,包括獲取SIP事務(wù)信令;利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子信息與垃圾語(yǔ)音信息相關(guān)。
2、 如權(quán)利要求1所述的檢測(cè)方法,其特征在于,所述特定狀態(tài)變遷包括由呼叫或進(jìn)行狀態(tài)接收到多重選擇應(yīng)答而變遷至 完成狀態(tài)、由呼叫或進(jìn)行狀態(tài)接收到不明確請(qǐng)求應(yīng)答而變遷至完成狀態(tài)、由呼 叫或進(jìn)行狀態(tài)接收到目標(biāo)不存在應(yīng)答而變遷至完成狀態(tài)中的任一項(xiàng)或者任意 組合項(xiàng)。
3、 如權(quán)利要求1所述的檢測(cè)方法,其特征在于,還包括 對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。
4、 如權(quán)利要求3所述的檢測(cè)方法,其特征在于,所述統(tǒng)計(jì)分析包括 統(tǒng)計(jì)一定預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參數(shù),如果該參數(shù)值大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都 、于預(yù)設(shè)闊值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)維持連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾 值,則確認(rèn)屬于垃〗及語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)被叫方掛斷連接次數(shù)或者其比重,如果大于預(yù)設(shè)闊值,則確認(rèn) 屬于垃;及語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大 于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,上述方法的任意組合。
5、 如權(quán)利要求3所述的檢測(cè)方法,其特征在于,所述統(tǒng)計(jì)分析包括 統(tǒng)計(jì)在第一預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S;計(jì)算針對(duì)第二預(yù)置時(shí)間段的評(píng)價(jià)參數(shù)L,所述第二預(yù)置時(shí)間段比所述第一 預(yù)置時(shí)間段長(zhǎng),并早于所述第一預(yù)置時(shí)間段;如果評(píng)價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音 信息攻擊。
6、 如權(quán)利要求3所述的檢測(cè)方法,其特征在于,還包括 對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析得到的告警,進(jìn)行規(guī)范化處理,得到相應(yīng)的元告警;依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,對(duì)所得到的各個(gè)元告警進(jìn)行關(guān)聯(lián),輸出 關(guān)聯(lián)結(jié)果。
7、 一種垃圾語(yǔ)音信息的^r測(cè)裝置,其特征在于,包括 用于獲取SIP事務(wù)信令的接口模塊; 對(duì)特定的狀態(tài)變遷設(shè)置有標(biāo)識(shí)的SIP事務(wù)有限狀態(tài)機(jī);監(jiān)控模塊,用于利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控, 所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在狀態(tài)變 遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子信息與 垃圾語(yǔ)音信息相關(guān)。
8、 如權(quán)利要求7所述的檢測(cè)裝置,其特征在于,所述特定狀態(tài)變遷包括 由呼叫或進(jìn)行狀態(tài)接收到多重選擇應(yīng)答而變遷至完成狀態(tài)、由呼叫或進(jìn)行狀態(tài)接收到不明確請(qǐng)求應(yīng)答而變遷至完成狀態(tài)、由呼叫或進(jìn)行狀態(tài)接收到目標(biāo) 不存在應(yīng)答而變遷至完成狀態(tài)中的任一項(xiàng)或者任意組合項(xiàng)。
9、 如權(quán)利要求7所述的檢測(cè)裝置,其特征在于,還包括 統(tǒng)計(jì)分析模塊,用于對(duì)所檢測(cè)到的原子信息,依據(jù)預(yù)置的統(tǒng)計(jì)模型進(jìn)行統(tǒng)計(jì)分析,對(duì)確認(rèn)的垃圾語(yǔ)音信息形成告警。
10、 如權(quán)利要求9所述的檢測(cè)裝置,其特征在于,所述統(tǒng)計(jì)分析包括 統(tǒng)計(jì)一定預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,并轉(zhuǎn)換為一評(píng)價(jià)參數(shù),如果該參數(shù)值大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)從發(fā)起到取消所維持的時(shí)間,如果其均值和偏離度都d、于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)維持連接的時(shí)間,如果其均值和偏離度都小于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)被叫方掛斷連接的次數(shù)或者其比重,如果大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,統(tǒng)計(jì)SIP事務(wù)的呼叫結(jié)果,如果被拒絕的次數(shù)占所有呼叫的比例大 于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音信息攻擊;或者,上述方法的任意組合。
11、 如權(quán)利要求9所述的檢測(cè)裝置,其特征在于,所述統(tǒng)計(jì)分析包括 統(tǒng)計(jì)在第一預(yù)置時(shí)間段內(nèi)的呼叫頻率和呼叫范圍,轉(zhuǎn)換為一評(píng)價(jià)參數(shù)S; 計(jì)算針對(duì)第二預(yù)置時(shí)間段的評(píng)價(jià)參數(shù)L,所述第二預(yù)置時(shí)間段比所述第一預(yù)置時(shí)間段長(zhǎng),并早于所述第一預(yù)置時(shí)間段;如果評(píng)價(jià)參數(shù)S與評(píng)價(jià)參數(shù)L的和,大于預(yù)設(shè)閾值,則確認(rèn)屬于垃圾語(yǔ)音 4言息攻擊。
12、 如權(quán)利要求9所述的檢測(cè)裝置,其特征在于,還包括 格式規(guī)范模塊,用于對(duì)所檢測(cè)到的原子信息和統(tǒng)計(jì)分析得到的告警,進(jìn)行規(guī)范化處理,得到相應(yīng)的元告警;關(guān)聯(lián)模塊,用于依據(jù)預(yù)置的關(guān)聯(lián)知識(shí)和關(guān)聯(lián)規(guī)則,對(duì)所得到的各個(gè)元告警 進(jìn)行關(guān)聯(lián),輸出關(guān)聯(lián)結(jié)果。
全文摘要
本發(fā)明提供了一種垃圾語(yǔ)音信息的檢測(cè)方法,包括獲取SIP事務(wù)信令;利用SIP事務(wù)有限狀態(tài)機(jī)對(duì)獲取的SIP信令進(jìn)行狀態(tài)監(jiān)控,所述狀態(tài)監(jiān)控包括跟蹤SIP事務(wù)的狀態(tài)變遷;如果所監(jiān)控的SIP事務(wù)在狀態(tài)變遷過(guò)程中,發(fā)生了特定的狀態(tài)變遷,則記錄相應(yīng)的原子信息;所述原子信息與垃圾語(yǔ)音信息相關(guān)。本發(fā)明深入剖析SPIT的行為特性,并將這些行為特性與其在SIP信令的類型和流程上所體現(xiàn)的特征對(duì)應(yīng)起來(lái);然后向SIP事務(wù)有限狀態(tài)機(jī)中標(biāo)識(shí)出相應(yīng)的狀態(tài)變遷,以通過(guò)監(jiān)控信令流量來(lái)檢測(cè)前述特征,從而得到SPIT相關(guān)的原子信息SI(SPIT Information)。進(jìn)而,本發(fā)明提供了一個(gè)多層次的SPIT檢測(cè)方案,能夠在多個(gè)層次上進(jìn)行檢測(cè)和分析,細(xì)化檢測(cè)粒度,并能夠識(shí)別復(fù)雜的多步驟SPIT攻擊。
文檔編號(hào)H04L12/26GK101222379SQ20071019487
公開日2008年7月16日 申請(qǐng)日期2007年12月13日 優(yōu)先權(quán)日2007年12月13日
發(fā)明者何光宇, 博 趙, 宏 趙, 聞?dòng)⒂? 陳書義 申請(qǐng)人:東軟集團(tuán)有限公司