專利名稱:檢測網(wǎng)絡惡意行為的方法和裝置的制作方法
技術領域:
本發(fā)明涉及在網(wǎng)絡中的惡意行為攻擊的方法和裝置,更具體地,涉及分布式拒絕 服務(DDOS)的惡意行為的檢測。
背景技術:
網(wǎng)絡的使用越來越廣泛,伴隨著網(wǎng)絡的發(fā)展產(chǎn)生各種應用服務來便利人們的生 活,這樣的網(wǎng)絡在人們的生活中幾乎無所不在。然而,出于商業(yè)競爭、打擊報復和網(wǎng)絡敲詐 等多種因素,導致很多互聯(lián)網(wǎng)數(shù)據(jù)中心IDC托管機房、商業(yè)站點、游戲服務器、聊天網(wǎng)絡等 網(wǎng)絡服務商長期以來一直被拒絕服務(DOS)攻擊以及DDOS攻擊所困擾。在第三代網(wǎng)絡中, 廣泛使用支持用戶的多媒體業(yè)務的IP多媒體子系統(tǒng)(IMS),然而對IMS網(wǎng)絡的安全性沒有 充分進行檢查。已經(jīng)證明這種DOS攻擊以及DDOS可以攻擊IMS,特別是通過阻塞其核心業(yè) 務呈現(xiàn)業(yè)務來進行攻擊,所產(chǎn)生的網(wǎng)絡消息被呈現(xiàn)服務器放大以造成對網(wǎng)絡的攻擊。例如, 使用具有低業(yè)務量的14個無抵抗的客戶來擁塞IMS網(wǎng)絡,而該網(wǎng)絡可以支持城市中心區(qū)域 的一百萬用戶。呈現(xiàn)業(yè)務是允許通知用戶關于可達性、可用性和與另外的用戶通信的意愿的業(yè) 務,已經(jīng)變成對于諸如即時消息和一鍵通的許多流行的應用的重要的推動者。已經(jīng)認識到, 基于呈現(xiàn)業(yè)務的特性,對業(yè)務攻擊的較少數(shù)量的拒絕就可以阻塞所有IMS業(yè)務。在IMS中, 諸如分組交換、VoIP(網(wǎng)絡電話)業(yè)務、一鍵通業(yè)務的許多業(yè)務均通過呼叫會話控制功能 (CSCF)以進行路由、計費目的。當分組業(yè)務經(jīng)受DOS攻擊時,許多正常的業(yè)務量將被延遲。 基于SIP中的重傳機制,消息延遲可以導致多次重傳。例如,如果沒有在32秒內(nèi)接收到響 應,則每個SIP請求可以被重傳10次。結果,重傳的無害業(yè)務量和惡意業(yè)務量兩者加起來 可以擁塞CSCF,從而拒絕其它不得不經(jīng)過CSCF的IMS業(yè)務。如果網(wǎng)絡正在遭受攻擊,所能做的抵御工作將是非常有限的。因為在原本沒有準 備好的情況下有大流量的災難性攻擊沖向網(wǎng)絡,瞬間就可能使網(wǎng)絡服務器癱瘓。為了阻止 這種DOS攻擊,我們將不得不在服務器被分組交換業(yè)務量負載擁塞之前來停止它。因此在 現(xiàn)實中迫切需要一種阻止這種DOS攻擊以及DDOS攻擊的在線早期防御機制,旨在預先檢測 到惡意攻擊,并標識惡意用戶,最終阻止他們。此外,現(xiàn)有技術中通常是基于IP地址過濾來識別,例如發(fā)起攻擊的機器IP地址很 分散而不是固定在某網(wǎng)段,就可以認為它是傀儡機,即被控制的發(fā)起惡意行為攻擊的機器。 而當用戶的帳號、特別是IMS網(wǎng)絡賬號被盜用時,可以通過任何連接到網(wǎng)絡的計算機或移 動通信終端進行頻繁注冊/取消注冊的狀態(tài)更新,所引發(fā)的網(wǎng)絡消息被呈現(xiàn)服務器放大以 造成對網(wǎng)絡的攻擊。此時識別到傀儡機是不能阻止攻擊的,因為被盜取的是網(wǎng)絡中的合法 用戶帳號,盜竊者可以在其它任何一臺終端上重新發(fā)起攻擊。這樣,識辨傀儡機只能臨時消 除一部分攻擊,而不能徹底阻止攻擊的再次發(fā)生。因此迫切需要一種機制來識別攻擊來源 于哪個用戶賬號,從而可以監(jiān)控可疑用戶賬號的任何異常行為,以徹底阻止來源于此用戶 的消息,從而抵制攻擊。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實施例的一個方面,提供一種用于在網(wǎng)絡中檢測惡意行為的方法, 所述網(wǎng)絡包括應用服務器、訂戶信息數(shù)據(jù)庫以及與之相連的代理,所述方法包括對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范化處理后的消息數(shù)與 第一參數(shù)之差的和與第一預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理后的消息數(shù) 的均值;以及如果所述檢測標識大于所述第一預定閾值,則檢測到惡意行為的攻擊。優(yōu)選的,所述第一參數(shù)可以為時間間隔期間的最大消息數(shù)。在本發(fā)明的實施例中,所述時間間隔期間的最大消息數(shù)可以為時間間隔到分組交 換域的平均消息數(shù)與前一時間間隔到分組交換域的平均消息數(shù)之差。在本發(fā)明的實施例中,所述規(guī)范化處理步驟包括利用前一時間間隔期間消息的平 均數(shù)來對所述消息數(shù)進行規(guī)范化處理。優(yōu)選的,還包括對所述消息的平均數(shù)進行平滑處理。在本發(fā)明的實施例中,所述檢測惡意行為的方法還包括當檢測到惡意行為的攻 擊時,檢測惡意行為的來源。其中所述檢測惡意行為的來源可以進一步包括獲得來自與特定帳號關聯(lián)的用戶的采樣消息間隔;設置源檢測標識,所述源檢測標識是在該源檢測標識的歷史值與第二參數(shù)與所述 特定帳號的用戶的采樣消息間隔之差的和與第二預定閾值之間取最大,其中所述第二參數(shù) 小于消息到達間隔的平均值;以及如果所述源檢測標識大于所述預定閾值,則檢測到所述惡意行為來自所述特定帳號。優(yōu)選的,所述第二參數(shù)可以為最小消息到達間隔,所述最小消息達到間隔是時間 間隔到分組交換域的平均消息數(shù)的最大值的倒數(shù)。優(yōu)選的,所述第一閾值與所述第二閾值可以相同或不同。在本發(fā)明的實施例中,所述網(wǎng)絡可以為IP多媒體子系統(tǒng)IMS,所述IMS包括應用服 務器、呈現(xiàn)服務器、歸屬用戶服務器HSS和與之連接的呼叫會話控制功能。根據(jù)本發(fā)明的實施例的另一方面,提供了一種用于在網(wǎng)絡中檢測惡意行為的裝 置,所述網(wǎng)絡包括應用服務器、訂戶信息數(shù)據(jù)庫以及與之相連的代理,所述裝置包括規(guī)范化處理裝置,用于對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;檢測設置裝置,用于設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范 化后的消息數(shù)與第一參數(shù)之差的和與預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理 后的消息數(shù)的均值;以及確定裝置,用于如果所述檢測標識大于所述預定閾值,則檢測到惡意行為的攻擊。優(yōu)選的,第一參數(shù)可以為時間間隔期間的最大消息數(shù)。優(yōu)選的,所述時間間隔期間的最大消息數(shù)可以為時間間隔到分組交換域的平均消 息數(shù)與前一時間間隔到分組交換域的平均消息數(shù)之差。
4
優(yōu)選的,所述規(guī)范化處理裝置被配置來利用前一時間間隔期間消息的平均數(shù)來對 所述消息數(shù)進行規(guī)范化處理。優(yōu)選的,所述裝置還包括用于對所述消息的平均數(shù)進行平滑處理的裝置。在本發(fā)明的實施例中,所述用于檢測惡意行為的裝置還包括惡意行為源檢測裝 置,用于當檢測到惡意行為的攻擊時,進一步檢測惡意行為的來源。 所述惡意行為源檢測裝置可以包括用于獲得來自與特定帳號關聯(lián)的用戶的采樣消息間隔的裝置;用于設置源檢測標識的裝置,所述源檢測標識是在該源檢測標識的歷史值與第二 參數(shù)與所述特定帳號的用戶的采樣消息間隔之差的和與第二預定閾值之間取最大,其中所 述第二參數(shù)小于消息到達間隔的平均值;以及用于如果所述源檢測標識大于所述第二預定閾值,則檢測到所述惡意行為來自所 述特定帳號的裝置。優(yōu)選的,所述第二參數(shù)可以為最小消息到達間隔,所述最小消息達到間隔是時間 間隔到分組交換域的平均消息數(shù)的最大值的倒數(shù)。優(yōu)選的,所述第一閾值與所述第二閾值可以相同或不同。在本發(fā)明的實施例中,所述惡意行為源檢測裝置可以與所述用于檢測惡意行為的 裝置物理上分離。在本發(fā)明的實施例中,所述網(wǎng)絡可以為IP多媒體子系統(tǒng)IMS,所述IMS包括應用服 務器、呈現(xiàn)服務器、歸屬用戶服務器HSS和與之連接的呼叫會話控制功能。根據(jù)本發(fā)明的實施例的另一方面,提供一種網(wǎng)絡單元,包括上述用于在網(wǎng)絡中檢 測惡意行為的裝置。在本發(fā)明的實施例中,所述網(wǎng)絡單元可以為呈現(xiàn)服務器。在本發(fā)明的實施例中,所述網(wǎng)絡單元可以為呼叫會話控制功能CSCF。在本發(fā)明的實施例中,在所述惡意行為源檢測裝置與所述用于檢測惡意行為的裝 置物理上分離的情況下,所述用于檢測惡意行為的裝置可以位于CSCF上,而所述惡意行為 源檢測裝置可以位于呈現(xiàn)服務器。
結合附圖,從下面對本發(fā)明的實施例的詳細描述中本發(fā)明的目的、特點和優(yōu)點將 顯而易見,其中圖1示例性示出了其中實施本發(fā)明的實施例的通用網(wǎng)絡的環(huán)境的結構框圖;圖2示例性示出了其中實施本發(fā)明的實施例的IMS的環(huán)境的結構框圖;圖3示例性示出了根據(jù)本發(fā)明實施例的用于檢測網(wǎng)絡中的惡意行為的裝置的框 圖;圖4示例性示出了根據(jù)本發(fā)明實施例的用于檢測網(wǎng)絡中的惡意行為方法的流程 圖;圖5示例性示出了根據(jù)本發(fā)明的實施例方法的檢測惡意行為來源的流程;圖6 (包括圖6a和6b)示例性示出了根據(jù)本發(fā)明實施例的DOS流量和檢測標識效 果5
圖7(包括圖7a和7b)示例性示出了根據(jù)本發(fā)明實施例的單個用戶在白天和夜晚 狀態(tài)遷移;圖8(包括圖8a和8b)示例性示出了根據(jù)本發(fā)明實施例的單個用戶在白天和夜晚 的行為;圖9示例性示出了根據(jù)本發(fā)明實施例的白天和夜晚不同配置的用戶在線概率;圖10示例性示出了根據(jù)本發(fā)明實施例的用戶在時間間隔期間的登錄/登出概 率;圖11示例性示出了根據(jù)本發(fā)明的實施例的在IMS系統(tǒng)中的各種消息類型的分 布;圖12示例性示出了根據(jù)本發(fā)明的實施例的一天中的總的消息分布;圖13示例性示出了根據(jù)本發(fā)明實施例的呈現(xiàn)服務器;以及圖14示例性示出了根據(jù)本發(fā)明實施例的呼叫會話控制功能CSCF。
具體實施例方式下面,結合附圖對本發(fā)明的實施例進行詳細描述。圖1示例性示出了實施本發(fā)明的實施例的通信網(wǎng)絡的結構框圖。如圖1所示,通 用通信網(wǎng)絡包括應用服務器10、訂戶信息數(shù)據(jù)庫12、代理(Proxy) 14以及云圖16,云圖16 代表連接了各種不同的業(yè)務的客戶,例如業(yè)務1的客戶161和業(yè)務2的客戶162。應用服務 器10、訂戶信息數(shù)據(jù)庫12和云圖16均與代理14相連。在通用通信網(wǎng)絡中,訂戶信息數(shù)據(jù) 庫將帳戶與客戶進行關聯(lián)。在業(yè)務處理時,代理14將查詢訂戶信息數(shù)據(jù)庫對該客戶進行鑒 權。通過鑒權后,該客戶可以進行這種業(yè)務,例如VoIP業(yè)務、一鍵通業(yè)務等。本發(fā)明的構思是在線早期檢測裝置作為代理和分組交換功能的一部分以檢測何 時系統(tǒng)處于攻擊中。這可以通過監(jiān)控與使用某種業(yè)務相關的輸入的消息的數(shù)量來實現(xiàn),并 且可以通過監(jiān)控用戶的任何異常行為來標識這種DOS攻擊的來源。在本發(fā)明的實施例中,通信網(wǎng)絡可以為IMS系統(tǒng)。圖2例示了 IMS的環(huán)境的結構框 圖。如圖2所示,該網(wǎng)絡包括呈現(xiàn)服務器20、應用服務器21、歸屬用戶服務器HSS 22XSCF 23以及代表連接了不同業(yè)務的客戶的云圖24、26和28。呈現(xiàn)服務器20、應用服務器21、HSS 22均連接到CSCF23。云圖24、26和28也與CSCF 23相連。在本發(fā)明的實施例中,云圖24 可以表示連接了 一鍵通業(yè)務的三個客戶,云圖26代表連接了 VoIP業(yè)務的三個客戶,而云圖 28代表連接了呈現(xiàn)業(yè)務的兩組客戶281和282。本領域技術人員應該理解,不同業(yè)務的客 戶可以為一個或多個,圖示的客戶數(shù)目僅為示例而非限制。在本發(fā)明的實施例中,如圖3所示,用于在網(wǎng)絡中檢測惡意行為的裝置301可以包 括規(guī)范化處理裝置310,用于對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化;檢測設 置裝置320,用于設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范化處理后的消 息數(shù)與第一參數(shù)之差的和與第一預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理后的 消息數(shù)的均值;以及確定裝置330,用于如果所述檢測標識大于所述第一預定閾值,則檢測 到惡意行為的攻擊。在本發(fā)明的實施例中,該裝置也可以用于IP多媒體子系統(tǒng)IMS中檢測惡意行為以 進行拒絕服務檢測。
6
在本發(fā)明的實施例中,裝置301執(zhí)行在網(wǎng)絡中檢測惡意行為的方法,包括對時間 間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;設置檢測標識,所述檢測標識是在檢測 標識的歷史值與規(guī)范化處理后的消息數(shù)與第一參數(shù)之差的和與第一預定閾值之間取最大, 其中第一參數(shù)大于規(guī)范化處理后的消息數(shù)的均值;以及如果所述檢測標識大于所述第一預 定閾值,則檢測到惡意行為的攻擊。如圖4所示,在步驟S410,對時間間隔t期間到分組交換域的消息數(shù)進行規(guī)范化處 理。在本發(fā)明的實施例中,通信網(wǎng)絡可以是IP多媒體子系統(tǒng)IMS。設{An,t,n = 0,l,..., t e DAYYNIGHT}為在一個采樣間隔中采集的到分組交換域的消息數(shù)。正如本領域技術人員所知,網(wǎng)絡中的用戶具有關聯(lián)的帳號,其具有兩個基本行為 登錄和登出。當用戶進行登錄/登出時,他將變?yōu)樵诰€/離線狀態(tài)并且產(chǎn)生新的消息。而用 戶在線或離線的時間段是隨機的,依賴于一天的時間。例如,白天用戶在線的時間長于夜晚 在線的時間。為了準確描述,我們將用戶狀態(tài)分為兩個時間段白天(DAY)和夜晚(NIGHT)。 白天和夜晚是分組交換服務器所在地的營業(yè)時間和休息時間。例如,如果所在地為中國,則 DAY= [8:00,17:00)而NIGHT = [17 00,8 00)。應該理解的是,這種白天和夜晚的設置僅 用于示例,類似的分析也可以應用其它設置。在本發(fā)明的實施例中,可以每小時采樣10次,從零點開始進行采樣,這樣則可以 用采樣次數(shù)來表示采樣時間。通常{Δ&,η = 0,1,... ,t e DAYY NIGHT}的平均值取決于 采樣間隔集合的大小,也隨一天的時間而不同。為了減少這種依賴性,利用在前一采樣間隔 t0期間的消息的平均數(shù)々《-O來對消息數(shù){ An,t,η = 0,1,...,t e DAYYNIGHT}進行歸范 化處理以消除采樣值對時間間隔的敏感度,可設=A-Ain-Oo在本發(fā)明的實施例中,消息的平均數(shù)可以實時來估測并周期更新。優(yōu)選的,一 個的循環(huán)估測和更新的示例如下 其中η為離散時間索引即采樣次數(shù),α為平滑因子,是0和1之間的常數(shù)。當進行平滑處理時,可以在流量變化較大的時期減少較多的錯誤報警信息。接下來,在步驟S420,設置檢測標識yn,該檢測標識是在檢測標識的歷史值與規(guī)范 化處理后的消息數(shù)與參數(shù)a之差的和與預定閾值之間取最大,其中參數(shù)a大于規(guī)范化處理 后的消息數(shù)的均值C。具體地,對于
,可以選擇參數(shù)a為c的上限,SPa > C。 對于每個χη,定義
,這樣正常操作時足具有負的平均值。當出現(xiàn)攻擊時,足會突 然變?yōu)榇蟮恼龜?shù)。在本發(fā)明的實施例中,可以選擇各種預定閾值N。為了簡單起見,可以選擇N = 0。則可以設檢測標識 其中η= 1,2,· · ·,y。= 0。在本發(fā)明的實施例中,要選擇參數(shù)以使得檢測裝置301不要太敏感以將正常流量 變化錯誤地當作攻擊,也不要太遲鈍而錯過任何真的攻擊。優(yōu)選的,可以取參數(shù)a = maxN, 其中max N為時間間隔期間的最大消息數(shù),可以通過如下來計算 其中,Cal_nT0tal(t)為在每個時間間隔t期間到分組交換域的平均消息數(shù),其中 t e DAYYNIGHT,將在下面詳述。在本發(fā)明的實施例中,在步驟S430,將檢測標識與閾值進行比較。如果檢測標識yn 大于預定閾值N,例如yn > 0,則在步驟S440檢測到惡意行為的攻擊。否則,繼續(xù)對下一間 隔的消息數(shù)進行規(guī)范化處理。這時,還可以檢測到攻擊時時間為T = nXt, t為采樣間隔長,在本發(fā)明的實施例 中,例如t = 6分鐘。在本發(fā)明的實施例中,當檢測到惡意行為的攻擊時,還可以檢測到惡意行為來源。 具體地,檢測惡意行為的裝置301還可以包括惡意行為源檢測裝置340,用于檢測到惡意行 為的攻擊時,進一步檢測惡意行為的來源。在本發(fā)明的實施例中,檢測惡意行為的裝置301也可以與惡意行為源檢測裝置 340物理分離。在本發(fā)明的實施例中,惡意行為源檢測裝置340還可以包括用于獲得來自與特 定帳號關聯(lián)的用戶的采樣消息間隔的裝置341 ;用于設置源檢測標識的裝置342,所述源檢 測標識是在該源檢測標識的歷史值與第二參數(shù)與所述特定帳號的用戶的采樣消息間隔之 差的和與第二預定閾值之間取最大,其中所述第二參數(shù)小于消息到達間隔的平均值;以及 用于如果所述源檢測標識大于所述預定閾值,則檢測到所述惡意行為來自所述特定帳號的 裝置343。具體地,惡意行為源檢測裝置340執(zhí)行當檢測到惡意行為的攻擊時,檢測惡意行 為的來源的步驟。如圖5所示,惡意行為源檢測裝置340具體執(zhí)行以下步驟在步驟S510,獲得來自與特定帳戶關聯(lián)的用戶的采樣消息間隔τ n,n = 0,1,...。在步驟S520,設置源檢測標識。對與本領域技術人員,可以得到消息到達間隔的平 均值、該消息到達間隔的平均值是在時間間隔到分組交換域的平均消息數(shù)的倒數(shù),令參數(shù) b <、。該源檢測標識Zn是在該源檢測標識的歷史值與參數(shù)b與特定帳戶的用戶采樣消息 間隔之差的和與第二預定閾值之間取最大。在本發(fā)明的實施例中,參數(shù)b可以優(yōu)選為最小消息到達間隔,是最大消息數(shù)的倒 數(shù),S卩b = min τ = 1/maxR,而最大消息數(shù)可以通過如下來計算maxR = max {nArrival (t) 11 e DAYYNIGHT}........(4)其中nArrival (t)為時間間隔t期間到分組交換域的平均消息數(shù),將在下面詳述。在本發(fā)明的實施例中,對于來自特定帳號的用戶1的采樣間隔τη,η = 0,1,..., 可以得到G = min τ-τη,而令源檢測標識z = m似…,+FJ,在此預定閾值可以 取 N = 0,η = 1,2, · · ·,Z0 = 0。于是,在步驟S530,對源檢測標識與閾值進行比較。如果源檢測標識大于該閾值 (S530-是分支),例如Zn > 0,則在步驟S540,檢測到惡意行為來源的用戶的帳號??梢詫?該帳號進行監(jiān)控、封閉等處理,以阻止攻擊。在本發(fā)明的實施例中,檢測惡意行為的裝置301可以用于IMS系統(tǒng)中。檢測惡意 行為的裝置301可以設置在CSCF中以檢測基于分組交換域的攻擊,而可以單獨設置在呈現(xiàn) 服務器中以檢測攻擊源。當然,也可以在CSCF和呈現(xiàn)服務器中均設置用于檢測惡意行為的 裝置301。而在本發(fā)明的實施例中,用于檢測惡意行為的裝置301可以包括惡意行為源檢測
8裝置340,也可以在物理上兩者分離。在后者情況下,檢測惡意行為的裝置301可以設置在 CSCF中,而惡意行為源檢測裝置340可以設置在呈現(xiàn)服務器上,反之亦然。在本發(fā)明的實施例中,第一閾值與第二閾值可以相同或不同。如圖6a和6b所示,如果每小時采樣10次,從零點開始進行采樣(例如,時間80 100就代表上午8:00 10:00),則拒絕服務流量出現(xiàn)在上午8:00 10:00。在本發(fā)明的實 施例中,通過設置的攻擊檢測標識就可以精確檢測出攻擊出現(xiàn)以及攻擊出現(xiàn)的時間。下面將主要描述在本發(fā)明的實施例中如何來確定在實施例中使用的參數(shù)在 每個時間間隔t期間到分組交換域的平均消息數(shù)calnTotal (t)和nArrival (t), 據(jù)此可以得到時間間隔期間的最大消息數(shù)maxN以及最大消息數(shù)maxR = max{nArrival(t)|t e DAYYNIGHT}。在歷史數(shù)據(jù)可用的情況下,這些參數(shù)以及服務器的總業(yè)務量均可以通過統(tǒng)計來獲 得,在此不再贅述。而當歷史數(shù)據(jù)不可用時,這些參數(shù)計算如下不失一般性,假設采用廣泛使用的馬爾可夫模型來分析網(wǎng)絡中的單個用戶的行 為。為了清楚起見,以IMS系統(tǒng)為例來進行描述?;谠搯蝹€用戶模型可以分析具有N個 用戶的系統(tǒng)的呈現(xiàn)服務器的總業(yè)務量。本領域技術人員應該理解,馬爾可夫模型僅用來示 例而非限制,任何可用的模型均可以用來估計用戶所能產(chǎn)生的服務器流量分布。對于單個用戶,將其狀態(tài)可以分為四種類型,每種狀態(tài)的時間取決于其當前狀態(tài)。 當用戶處于在線狀態(tài)時,可以修改其狀態(tài),其客戶應用可以周期性刷新其狀態(tài)和訂閱,從而 可以產(chǎn)生到分組交換域的MODIFY和REFESH業(yè)務。這兩狀態(tài)之間的遷移也可以產(chǎn)生一些 PUBLISH 業(yè)務。如圖7所示,用戶狀態(tài)可以分為四種類型=Stl 用戶在夜晚登出并離線^ 用戶在 夜晚登錄并在線;S2 用戶在白天登出并離線;s3 用戶在白天登錄并在線。登錄和登出是可 以改變用戶狀態(tài)的行為,并且其下一狀態(tài)基于其當前狀態(tài)和登錄和登出行為發(fā)生的時間。設λ i表示從狀態(tài)Si到其它狀態(tài)的速率,假定用戶在白天和夜晚連續(xù)的在線和離
線時間是平均值分別為 ^off,night' ^on, night' ^off, day' ^on, day 的指數(shù)分布變量,于是入
0 ^off,night‘
入 1 一 ^on, night'入 2 一 ^off, day 禾口 入 3 一 ^on, day °在本發(fā)明的實施例中,離散時域馬爾可夫鏈可以用于描述用戶的狀態(tài)遷移,其狀 態(tài)空間{(Si;t),i = 0,1,2,3 ;t = 0, At,. . . 24-At}表示在采樣間隔t用戶的狀態(tài)為Si0 根據(jù)前面所述描述的,對于t,馬爾可夫模型下的狀態(tài)同樣可以分為白天(DAY)狀態(tài)和夜晚 (NIGHT)狀態(tài)。在白天時,狀態(tài)遷移如圖8a所示。對于Vi, e Λ47和Vi2,狀態(tài)遷移概率如
下
P (S3, t2|s2, ti) = P2, if (Vt1 =At)P(SiiUJS^ti) = ο,Vi = 0,1, if(h -h= At)P (S2, t2|S3, ti) = p3, if (Vt1 =At)..........(5) 當在夜晚時,狀態(tài)遷移如圖8b所示,VG e MGI和Vi2,狀態(tài)遷移概率如下Ρ(5 2|^, ι) =0, ViJ = 0,1,2, 3,ι/( 2- ι Φ ^t)P(SlMSiA1) = I-PiM = 0,1.2’ ‘i’if(t2 - ι = At)FiSl, mSoJi) = 0, Vi = 2,3, if(t2 -h= Δ )
P (S1, t2|S2, ti) = p2, if (Vt1 =At)Ρ(5' , t2\SaM) = 0, Vi = 1,2,if(t2 -h = At)P (S0, t21 S3, ti) = p3, if (Vt1 =At)..........(6)
P (S1, t2|S0, ti) = P0, if (Vt1 =At) P(Si,t2\Slrh) = Ο,ν = 2.3,4/(42 — h = At)
P (S0, tJSi, ti) = P1, if (Vt1 =At) P(S^t2IS2Ji) = o, Vi = 0,3,i/(f2 — U = At) 在上述等式中Pi (i = 0,1,2,3)表示用戶在時間At之后改變到狀態(tài)5^丨=0, 1,2,3)的概率。由于每個狀態(tài)的連續(xù)時間符合Xi的指數(shù)分布,可以如下計算Pi: Pi
/.Δ
Jo ‘
Xie-x^dx,i =0,1,2,3
….(7)基于這些遷移概率,利用馬爾可夫鏈的遷移矩陣M可以獲得平衡分布{b(Si;t),i =0,1,2,3 ;t = 0,At, ... ,24-At} ο其中
M--
P(So1OISo5O) P(S1iOISo5O)
PiS'3l0|Sa,0)
P(SliAiIS0lO)
_P(S3,24 _Δ |,%’0)
F(.9O,0|53,0) P(^llOIS3lO)
Ρ(&>0|53,0) P(Sa, Δ4|5'3,0)
F(SllAtIS3lO)
尸(.Sb,0|So, Δ ) Ρ(5ι,0|5ο,Δ )
F(Si3lOIS0sAi) P(S0.At\Sa,&t)
P(S1}At\S0:Ai)
FfS3,24 - Δ |,53,0) P(53,24 - Ati |5ο, Δ )
Ρ(50,0|53,24-Δ )
/' ,53.0|6'3,24-Δ ) PfS0i^iiS3,24-Δ )
F(SuAt\S3,2i - , ) PIjSs, 24 - Δ |S3 f 24 - Δ ,)
.(8)設 B = [b(S0,0),···,b(S3,0)b(S0,At),...,b(S3,At),...,b (S3,24-Δ t) ]T 為 所有狀態(tài)的平衡分布的矢量。根據(jù)平衡分布的特性,可以獲得MB = B。定義矢量I= [1, 1,...,1]具有B的同樣長度。根據(jù)平衡分布的歸一化條件,可以得到IB= 1.因此可以通 過求解
M J
S =
B
來計算矢量B。
在任何采樣間隔t,用戶在狀態(tài)Si (i = 0,1,2,3)的概率為
10
用戶在時間t在線的概率為 在時間t用戶在下一間隔At登錄的概率為 用戶在下一間隔At登出的概率為 圖9示出了單個用戶在t。n,day,t。n,night的DAY和NIGHT的不同配置下的一天中的 估測的在線概率。而圖10示出了一天期間在每個時間間隔At用戶的登錄和登出概率。在[T1, T2]期間,用戶的平均登錄和登出時間可以通過如下公式來分別估測 對于具有N個用戶的IMS系統(tǒng),一天中的[T1, T2]的期間的PUBLISH、NOTIFY和 SUBSCRIBE類型的消息數(shù)可以通過以下公式來估測
其中,η (T1, T2)是[T1, T2]期間的平均在線用戶,可以通過N_(t)來計算。
油是在[T1,T2]期間由用戶客戶軟件刷新而產(chǎn)生的平均消息數(shù),r_mod ify是主動修 改其狀態(tài)的頻率,而ruonlinejatchertT” T2]是[T1, T2]期間用戶的平均在線聯(lián)系人數(shù), 也表示為n_watcher,其通過rucontactXnC^,T2)/N來計算,在此n_contact是用戶的聯(lián) 系人數(shù)目,示例中可以取值為10。圖11示出了分組交換域的一天中的每個小時的PUBLISH、N0TIFY和SUBSCRIBE消 息的計算和仿真結果。圖12(1)示出了分組交換域的一天中的每個小時的PUBLISH、N0TIFY 和SUBSCRIBE消息的總的消息sum(nTotal)的計算和仿真結果。圖12(2)示出了不同類型 的消息的比率在一天的不同時間而不同。在本發(fā)明的實施例中,可以使用總的消息數(shù)nTotal作為參數(shù)calnTotal,在這種 情況下不需要知道消息類型。也可以使用計算的SUBSCRIBE或者PUBLISH或NOTIFY消息 作為參數(shù),這樣只有一種類型的消息需要被監(jiān)視。本領域的技術人員可以明白,除了提出用戶行為模型來估計用戶所能產(chǎn)生的服務
器流量分布并將其作為檢測使用的參數(shù)輸入外,還可以應用其它方法來估計服務器流量并 基于此種估計來檢測DDOS攻擊。在本發(fā)明的實施例中,例如還可以采用正態(tài)分布來進行估計。正態(tài)分布是應用最 廣的連續(xù)概率分布,生產(chǎn)與科學實驗中很多隨機變量的概率分布都可以近似地用正態(tài)分布 來描述。在本發(fā)明的實施例中,在歷史數(shù)據(jù)可用的情況下,可以通過以下步驟來檢測DDOS 攻擊估計服務器的流量均值和方差μ和ο 2;在正常服務流量下,消息到達速率在 (μ-σ,μ + 0 )的概率可以為 68. 27%,在(μ_1·96σ,μ+1. 96 σ )內(nèi)的可以為 95. 00%, 在(μ-2.58σ,μ +2. 58 σ )內(nèi)的概率可以為99. 00 %。設消息最大到達速率maxN = μ +2. 58 σ,對服務器的消息到達速率進行采樣統(tǒng)計,如果到達速率大于maxN的頻率遠遠 大于參數(shù)1%,則服務器應該出現(xiàn)報警信息。然而這樣可能在服務正在部署的應用時,在流 量變化較大的時期會產(chǎn)生較多的錯誤報警信息。也可以通過以下步驟來估計用戶消息數(shù)設每個用戶在線時期消息產(chǎn)生速率最大 為巧,對M個用戶,可以用maxN = M^r^p^t來計算正常用戶的最大消息生成速率,其中P1 是用戶的在線概率,t為采樣間隔。這種用最大值來估計的方法可以使服務器的很多容量閑置。也可以用服務器的最大設計能力的80%來作為參數(shù)設置的標準。比如maxN = 80%,應用算法一來檢測DDOS攻擊,這種方法在服務器所支持的正常訪問能力達到maxN的 時候,錯誤報警將會增加。在本發(fā)明的實施例中,不僅可以在諸如IMS的通信網(wǎng)絡中檢測DDOS攻擊,也可以 用于因特網(wǎng)中檢測DDOS攻擊?;诔尸F(xiàn)服務器的服務如MSN、QQ等在因特網(wǎng)中廣泛部署。 攻擊者通過創(chuàng)建多個或盜用他人MSN帳號頻繁更新狀態(tài)以造成對網(wǎng)絡的攻擊。攻擊及其檢 測過程的原理類似于IMS網(wǎng)絡中的攻擊檢測過程,在此不再贅述。在本發(fā)明的實施例中,如圖13和14所示,網(wǎng)絡單元可以包括用于在網(wǎng)絡中檢測惡 意行為的裝置301,檢測惡意行為的裝置201也可以與惡意行為源檢測裝置340物理分離。 當然,網(wǎng)絡單元中也可以包括用于檢測惡意行為的裝置301和惡意行為源檢測裝置340。在 本發(fā)明的實施例的IMS系統(tǒng)中,這種網(wǎng)絡單元可以是呈現(xiàn)服務器,也可以是呼叫會話控制 功能CSCF。在惡意行為源檢測裝置301與檢測惡意行為的裝置340物理上分離的情況下, 裝置301可以位于CSCF上,而裝置340可以位于呈現(xiàn)服務器。本領域的普通技術人員可以理解上述的方法和裝置及其系統(tǒng)可以使用計算機可 執(zhí)行指令和/或包含在處理器控制代碼中來實現(xiàn),例如在諸如磁盤、⑶或DVD-ROM的載體 介質(zhì)、諸如只讀存儲器(固件)的可編程的存儲器或者諸如光學或電子信號載體的數(shù)據(jù)載 體上提供了這樣的代碼。本實施例的檢測惡意行為的裝置以及組件可以由諸如超大規(guī)模集 成電路或門陣列、諸如邏輯芯片、晶體管等的半導體、或者諸如現(xiàn)場可編程門陣列、可編程 邏輯設備等的可編程硬件設備的硬件電路實現(xiàn),也可以用由各種類型的處理器執(zhí)行的軟件 實現(xiàn),也可以由上述硬件電路和軟件的結合例如固件來實現(xiàn)。雖然以上結合具體實施例對本發(fā)明實施例的用于在網(wǎng)絡中檢測惡意行為的方法 及其裝置進行了詳細描述,但本發(fā)明并不限于此,本領域普通技術人員能夠理解可以對本 發(fā)明進行多種變換、替換和修改而不偏離本發(fā)明的精神和范圍;本發(fā)明的保護范圍由所附
12權利要求來限定。
權利要求
一種用于在網(wǎng)絡中檢測惡意行為的方法,所述網(wǎng)絡包括應用服務器、訂戶信息數(shù)據(jù)庫以及與之相連的代理,所述方法包括對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范化處理后的消息數(shù)與第一參數(shù)之差的和與第一預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理后的消息數(shù)的均值;如果所述檢測標識大于所述第一預定閾值,則檢測到惡意行為的攻擊。
2.根據(jù)權利要求1所述的方法,其中第一參數(shù)為時間間隔期間的最大消息數(shù)。
3.根據(jù)權利要求2所述的方法,其中所述時間間隔期間的最大消息數(shù)為時間間隔到分 組交換域的平均消息數(shù)與前一時間間隔到分組交換域的平均消息數(shù)之差。
4.根據(jù)權利要求1至3中任一所述的方法,其中所述規(guī)范化處理步驟包括利用前一時 間間隔期間消息的平均數(shù)來對所述消息數(shù)進行規(guī)范化處理。
5.根據(jù)權利要求4所述的方法,其中還包括對所述消息的平均數(shù)進行平滑處理。
6.根據(jù)權利要求1所述的方法,其中還包括當檢測到惡意行為的攻擊時,檢測惡意行為的來源。
7.根據(jù)權利要求6所述的方法,其中所述檢測惡意行為的來源進一步包括獲得來自與特定帳號關聯(lián)的用戶的采樣消息間隔;設置源檢測標識,所述源檢測標識是在該源檢測標識的歷史值與第二參數(shù)與所述特定 帳號的用戶的采樣消息間隔之差的和與第二預定閾值之間取最大,其中所述第二參數(shù)小于 消息到達間隔的平均值;如果所述源檢測標識大于所述預定閾值,則檢測到所述惡意行為來自所述特定帳號。
8.根據(jù)權利要求7所述的方法,其中所述第二參數(shù)為最小消息到達間隔,所述最小消 息達到間隔是時間間隔到分組交換域的平均消息數(shù)的最大值的倒數(shù)。
9.一種用于在網(wǎng)絡中檢測惡意行為的裝置,所述網(wǎng)絡包括應用服務器、訂戶信息數(shù)據(jù) 庫以及與之相連的代理,所述裝置包括規(guī)范化處理裝置,用于對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;檢測設置裝置,用于設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范化后 的消息數(shù)與第一參數(shù)之差的和與預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理后的 消息數(shù)的均值;確定裝置,用于如果所述檢測標識大于所述預定閾值,則檢測到惡意行為的攻擊。
10.呈現(xiàn)服務器,包括權利要求9所述的用于在網(wǎng)絡中檢測惡意行為的裝置。
全文摘要
本發(fā)明涉及一種用于在網(wǎng)絡中檢測惡意行為的方法及其裝置和網(wǎng)絡單元。所述方法包括對時間間隔期間到分組交換域的消息數(shù)進行規(guī)范化處理;設置檢測標識,所述檢測標識是在檢測標識的歷史值與規(guī)范化處理后的消息數(shù)與第一參數(shù)之差的和與第一預定閾值之間取最大,其中第一參數(shù)大于規(guī)范化處理后的消息數(shù)的均值;以及如果所述檢測標識大于所述第一預定閾值,則檢測到惡意行為的攻擊。從而可以基于應用預先檢測到惡意攻擊,并標識惡意用戶的帳戶,最終徹底阻止他們。
文檔編號H04L29/08GK101924660SQ20091014666
公開日2010年12月22日 申請日期2009年6月9日 優(yōu)先權日2009年6月9日
發(fā)明者遲彩霞 申請人:阿爾卡特朗訊公司