各种信令协议所包含的信令种类按照不同功能均可划分为与呼叫相关的呼叫控制、接续信令和网络管理信令,其中前者体现了用户的呼叫行为,是系统重点采集的对象。但是每一种信令协议中与呼叫控制相关的信令都多达几十种,以ISUP信令为例,其消息类型共有40余种,而SIP与H.323消息类型则更多,对所有的信令消息都进行采集是不现实的。通过分析电信业务的呼叫建立流程,应该重点对个别体现呼叫过程中用户行为的信令进行采集,系统关注的用户行为主要由3个因素描述:起呼频率、振铃时长、通话时长。在一段特定的时间段内,典型的攻击行为模式为:较高的起呼频率、逐渐增大至超时的振铃时长、极短的通话时长。如果攻击者妄图模仿正常用户行为,如降低起呼频率,则会降低攻击效果,同时当攻击者接近正常行为时其性质也远离攻击范畴了。
以ISUP信令为例讨论需要采集的信令种类,振铃时长可以由ANM消息时间减去ACM消息时间得到,通话时长则由参与会话的任一用户发出REL消息时间减去ACM时间得到,而统计一段时间前后两次IAM消息的时间差则能统计出用户的起呼频率。因此,在ISUP业务中主要采集IAM、ACM、ANM和REL四种消息。对于SIP和H.323协议,忽略RTP封装的媒体流,仅关注其中的控制PDU,同时选择对应的消息类型进行采集,需要采集的消息类型见表1。
在代表一次完整呼叫流程的信令被全部采集前,需要为每一次呼叫建立并维护状态机表。记录该次呼叫的过程,包括业务类型、主被叫身份、呼叫标识、各个信令的采集时间等。其中呼叫标识用于区分不同的呼叫,对于SIP与H.323业务,协议明确定义了呼叫标识用于标识一次呼叫。对于传统电信网业务,呼叫参考作为备用字段而未使用,若在融合网络业务实现中仍未采用该字段,可以使用电路识别码CIC进行区分。
(2)利用信令数据分析进行攻击识别
按照网络分层体系结构的理论,属于不同层次的数据应该在其对应的层次进行处理。电信业务DoS攻击属于应用层攻击行为,这与传统的利用低层协议(IP、TCP等)漏洞发动的DoS攻击有较大的区别,同时孤立地检测每一个高层数据包的正常性是不能有效检测到攻击的。但是正如前文所述,如果对电信业务的用户行为进行监控和分析,就可以挖掘出有规律性的特征。参考文献[19]、[20]、[21]的研究说明尽管用户不同,但是在一定时期或一定业务范围内的呼叫行为是非常相似的。即使是在突发流场景,剧增的流量也主要来自于用户数量的增长[22],单个用户的行为同样是相似的。
我们首先利用大量正常用户的历史呼叫记录建立用户的正常呼叫行为轮廓Cn,同时根据已知的攻击方式建立典型的异常行为轮廓Ca。利用建立的轮廓比较待测用户的行为轮廓C,得到正常呼叫行为偏离程度与异常呼叫行为相似程度。假设待测用户在长度为T的时间段内发起了N次呼叫,则C的计算方式如下:
令f为T时间段内待测用户的呼叫频率;
在T时间段内统计待测用户通话时长小于t的呼叫次数n;
求得这n次呼叫振铃时长的均方差σ;
在T时刻内待测用户呼叫频率越高则攻击可能性较高,而一般攻击通话时长都较短,振铃时长较为稳定,如果有这种特征的呼叫次数n较大则攻击疑似性也更大。
C=knfT/σ (k>0)
k要根据实际情况和采取的策略而定,以达到最佳的防御效果。
对于Cn和Ca,则分不同的T区间对n、f和σ取适当的值进行计算得到。最后正常行为偏离度D和异常行为相似度S可以由Cn、Ca和C求出。
D=C-Cn;
