1引言
目前,通信网正向技术融合、业务融合和网络融合的方向快速发展,融合后的电信网中将会出现大量以IP为承载的业务。IP网络的特点是基于分组交换、面向无连接、QoS保证较差,恶意攻击源无处不在且难以追踪溯源。IP网络的不可管、不可控性使得融合后的电信业务存在大量的安全隐患。拒绝服务攻击(DoS/DDoS)是IP网络中较为常见的一类攻击,它通过剥夺网络节点资源来降低其提供正常服务的能力甚至阻塞服务。在传统的电信网中,网络的封闭性、终端的非智能性以及节点的可追溯性,使发起针对电信网的DoS攻击相对困难。但是,在融合网络环境下,电信网开放的网络接口和终端高智能化以及攻击代价低等特征使以电信业务为目标的DoS/DDoS攻击变得容易,增大了发生的可能性[1,2]。
融合网络中的电信业务主要包括信令应用层采用SIP、H.323协议或传统7号信令、底层承载使用IP链路的业务。为保证此类业务的安全运营,国内外相关机构进行了大量研究。参考文献[3]介绍了以SIP和H.323为控制协议的电信业务潜在的安全漏洞,而参考文献[4]分析了利用这些漏洞产生DoS攻击的方式。可以明确,利用伪造恶意信令消息、对合法信令消息进行篡改和截取是攻击者发起DoS攻击的主要手段,具有代表性的包括Unregister Attacks[5]、Malformed Message Attacks[6]等。
对于仍然采用7号信令系统的电信业务,融合网络环境下的DoS攻击方式有同样的特征,参考文献[7]和[8]列举了若干利用伪造和篡改MTP信令管理消息或ISUP用户信令消息对SP和用户终端发起DoS攻击的实例,当7号信令系统采用IP机制进行传输后,这种攻击方式将显得更为常见并具有更强的攻击效果[9,10]。同时,不论信令应用层采用何种信令方式,当利用看似“合法”的信令消息对电信业务发起DoS/DDoS攻击时,攻击具有更强的隐蔽性,难以检测和防御。参考文献[5]针对SIP业务中的Unregister attacks 提出了一种基于One-way Hash算法的防御方案;参考文献[11]提出利用Hellinger距离对VoIP洪泛攻击进行检测;参考文献[12]对每个服务请求进行黑白名单鉴定来控制恶意用户。但是,这些方案都只能针对某种具体的攻击方式进行有限的针对性防御。
针对上述问题,本文首先对融合网络环境下针对电信业务的DoS攻击行为及其特点进行分析,然后提出了一种基于信令数据分析的电信业务DoS攻击防御模型。该防御模型具有以下特点:分布式采集用户信令消息,有效收集用户行为;基于呼叫行为的检测手段提高检测准确度,降低误检率;对于不同的业务类型采取不同的检测要点和判决策略;识别已知的针对电信业务攻击类型,对新型网络环境下未知的可能攻击类型进行预警和防御。
2电信业务DoS攻击分析
2.1 典型攻击类型及特点
不论是采用SIP或H.323控制协议,还是采用传统信令方式的电话,电信业务最明显的特征是对语音资源的依赖,对语音资源的剥夺是针对电信业务进行DoS攻击的重要目的之一。在融合环境下,呼叫发起方由传统的PSTN或移动通信用户转换为软交换网络用户。攻击者利用软交换网络终端高智能的特点,可以通过对终端的编程设计向电信网络内的其他节点发起攻击,攻击目标包括交换机、网关、代理及业务终端等。
