S=C-Ca
当正常行为偏离度或异常行为相似度高于一定的阀值,则按照两种程度的高低对可疑用户进行排队,程度较高的优先启动拦截机制,而程度较低的则可以延后处理同时继续对其呼叫行为进行观测以降低误检率。
(3)攻击响应防御
攻击响应模块完成对攻击的控制或终止,当分析检测单元判断某次呼叫具有异常特征,根据用户的历史信息来决定是否进行拦截。由于分析检测单元主要采取用户行为特征匹配来检测是否发生了攻击,但是业务的类型、时间段、用户身份的特殊性或突发事件及特殊时期等各种因素都可能影响用户行为。同样的行为在普通情况下可能是攻击行为,而在特殊的情况下则可能是正常行为,系统必须灵活地对不同的用户采取不同的判定条件。模型采取多名单的方式区别对待不同身份的用户,初始生成白、灰、黑三种名单记录用户名,具有高可信度的用户进入白名单,这些用户因为业务或身份的特殊性,在呼叫过程中可能会有与正常行为不相似的行为,因此被检测到时应该不做拦截处理;黑名单中则包含不应当出现异常行为的用户,或长期具有不良记录的用户,几乎可以肯定当这些用户出现异常行为均是由于进行了攻击;而对于其他的普通用户,则利用建立的呼叫行为轮廓比较待测用户的行为,按照正常行为偏离程度和异常行为相似度的大小对不同用户的呼叫请求进行排队,可疑性较小的呼叫优先处理。
对呼叫请求的处理流程如图3所示,当发现可疑用户后,先由白名单匹配模块执行匹配操作,若匹配成功则不做干涉,若在名单内没有匹配项,则进行黑名单匹配,若匹配则创建响应消息强行切断即将要建立的连接并释放所占用的资源,否则交给灰名单做轮廓比对并进行请求排队。
利用待测用户行为轮廓对呼叫请求进行排队是一个动态过程,防御系统每隔一段时间都会根据实时信令更新C值,再根据上述方法对呼叫请求的排队进行动态调整。由于攻击者为了有效达到攻击目的就会提高恶意呼叫的持续时间,这会造成其轮廓的异常度更加明显,在灰名单中被分配的优先级就会随之不断下降最终进入黑名单,从而达到抑制攻击行为或攻击强度的目的。而正常用户的行为特征在分布规律上具有稳定性,时间越长越符合正常行为特征,其呼叫请求将不会受到防御系统的抑制。
4结束语
开放的电信网在网络融合环境下面临越来越多的外部威胁,利用并不完善的安全措施攻击者可以采用多种手段对电信网络发起危害极大的攻击。本文分析了利用信令消息对电信业务发起的DoS攻击形式及其可能产生的后果,介绍了一种基于用户呼叫行为判定的DoS攻击防御模型,提高了对DoS攻击识别的准确性与处理速度。在整个防御体系中,信令消息的采集及处理部分至关重要,随着攻击技术的不断发展,加强对网络数据的解析速率以获取更多的攻击信息是以后研究的重要内容。当然,在通过信令分析出用户行为后,如何判断其是否属于异常行为则需要对真实的业务网络进行长期的行为统计以得到正常与异常行为轮廓,这也是系统实现的难点之一,需进一步研究。
