针对电信业务的DoS攻击主要发生在应用层,利用应用层的控制协议发送合法的通信请求,其实现是以正常TCP连接和IP分组为前提的,不需要利用底层协议的漏洞, 因此这类攻击不具备传统DoS/DDoS攻击的特征,可以顺利穿越基于底层协议的防御系统。同时由于应用层协议和服务差异很大,攻击可以采取多种不同的形式,检测存在很大困难。
融合网的电信业务DoS攻击与传统DoS攻击的最大区别在于利用高层信令协议的漏洞,但是由于高层协议的多样性与复杂性,攻击很难被检测到。同时,攻击者大量采用披着合法外衣的高层信令消息,呼叫流程也很少违背相关协议的标准,所以仅仅依靠增强网络节点之间的鉴权和认证能力只能进行有限的基本防御,不能从根本上遏制攻击的发生。但是正如前文所述,所有的攻击在信令消息交互过程上都会存在不正常的特征,这些特征都源于用户的呼叫行为。一些研究表明,正常的呼叫存在较为固定的行为模式,例如参考文献[19]表明用户的通话时长服从对数正态分布,参考文献[20]和[21]也发现蜂窝小区中的信道占用时长可以用三个对数正态分布的混合分布来拟合。因此,高层信令体现出的用户呼叫行为特征可以作为电信业务DoS/DDoS攻击检测的有效依据,如果对可疑信令链路上的数据包做实时采集并进行信息提取,在有大量统计数据后分析用户呼叫行为,再与正常行为做对比,就可以根据统计量的异常度来判断是否发生了DoS攻击。基于此,本文提出的攻击防御模型如下。
3电信业务DoS攻击防御模型及实现
3.1 防御模型
电信业务DoS攻击防御系统功能模型设计如图2所示。
防御系统的第一个环节是对网络中信令消息的实时采集,通过分布式部署于网络各处的采集模块从网络流量中过滤出需要处理的信令部分,目前主要关注的常见信令种类包括SIP、H.323和七号信令消息。
呼叫行为恢复是指系统对采集到的信令消息进行协议语法分析,从中提取单次呼叫的用户ID、起呼时间、振铃时长、通话时长及结束时间等表现用户行为的参数并形成统一的数据结构。
完成行为恢复后进入分析检测环节,包括粗检测和精检测两部分,对普通号码攻击、重点号码攻击、多路服务号码攻击和号码段攻击等进行检测,输出检测到的攻击信息。粗检测通过分析当前窗口的信号时频特征,与该链路的正常信号特征进行比对,如果攻击发生,短时间内链路上必然有大量连续的呼叫产生,同时与被叫号码相关的流量必然呈现出异常,若信号特征差异很大,如短时间呼叫请求消息数量急剧增多,通话次数频繁但通话时间极短等,则报告疑似攻击;精检测是粗检测的深化,通过对由呼叫行为恢复得到的用户行为进行详细分析,若确认有攻击发生,则找出攻击方的特征并进入异常呼叫拦截。
安全状态评估环节实时接收用户信息反馈和链路流量状态,若在当前防御策略下未能有效拦截攻击行为,则生成报表上交策略管理单元,灵活调整拦截力度以达到最好效果。
由于用户行为和流量特征是不断变化的,且受时段、业务类型、用户身份甚至突发事件或特殊时期的影响,因此需要管理机制人为地调整对攻击的检测方式和拦截措施,策略管理环节根据安全状态评估的结果动态调整分析检测中的特征门限值和异常呼叫拦截环节的启动条件。
最后,异常呼叫拦截完成对攻击的控制或终止,当确认攻击发生后对攻击实施阻断。
3.2 模型原理及实现
(1)信令采集与呼叫行为恢复
防御模型中的信令消息采集组件分布式部署于网络的各个链路上用于获取信令数据包,按照信令协议的不同进行分类。当前典型的电信业务均采用7号信令、SIP或H.323,因此以这3种协议作为研究重点。之所以要对信令协议采取分类的方法,主要是考虑到采用不同信令类型的业务有其自身的业务特点,依据这些特点可以提高检测准确度和响应灵敏度。
