技术摘要：
本发明公开了一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：1)从网络流量中筛选出VoIP呼叫信令；2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为  全部
背景技术：
随着网络融合的发展及IP电话的普及，人们具有了越来越多的通信手段，而通信 手段的增加也给网络电话带来了许多新的安全威胁。其中对于VoIP话路的恶意占用，已经 成为攻击者新的攻击手段。此种攻击是指攻击者为了达到占用被叫用户线路、干扰被叫用 户正常通话的目的，而对被叫用户发起的无意义的连续的强制性VoIP恶意行为。一旦被叫 用户受到攻击，被叫用户的话路将被完全阻塞，严重影响了用户的通信自由和生活的安宁。 目前对于发现该类VoIP恶意行为的研究也有很多，但发现和检测方法大都基于特 定的数据集，泛化能力不强，不能很好的应用于复杂大流量下的实时检测。 VoIP的全称为Voice  Over  Internet  Protocol。该系统具备比较显著的优点，比 如成本比较低，部署起来难度小，当今其在语音通信业务当中得到了十分广泛的应用，虽然 其带来了较好的发展机遇，但是同时面临着很多安全问题。例如，呼叫劫持、哄骗消息等。伴 随着网络的融合，这些安全问题开始延伸到电路交换网络中，使得原本封闭的公共交换电 话网络(Public  Switched  Telephone  Network，PSTN)的语音话路同样会遭受到非法用户 的恶意占用。 VoIP恶意行为与传统方式的DoS(Denial  of  Service)攻击存在一定差异。首先是 主要攻击目标不同，传统方式的DoS攻击主要针对传输带宽或服务器可用资源，而VoIP恶意 行为重点是破坏用户的接通率，具体表现在以下两方面：一种是使会话无法正常建立(用户 无法正常拨打、接听电话)，另一种是使已经建立会话无法保持正常通话状态。其次是作用 机理不同，传统方式的DoS攻击是利用协议漏洞发送大量攻击报文或者发动大量主机对同 一个目标(传输带宽或服务器)实施攻击，而VoIP恶意行为更多的体现在时间轴上的连续呼 叫行为，仅需一台主机也可以完全阻塞一个电话终端用户，这无疑为黑客创造了更加丰富 的攻击手段和机会。从攻击效果方面分析，由于网络的融合，使得VoIP恶意行为的攻击成本 降低，攻击者基本无需顾忌攻击成本问题，攻击发起者可以多次反复尝试多种攻击手段。而 VoIP被叫一端一旦缺少对VoIP恶意行为的防护措施，用户电话线路将长时间被阻塞，从而 使得该用户不能正常接听合法呼叫，严重影响了用户的通信自由和生活的安宁，因此该 VoIP恶意行为带来了更加显著的危害。 VoIP恶意行为的攻击者的行为特征与垃圾电话(SPIT，spam  over  Internet  telephony)中攻击者行为特征有一定的相似性，都具有比较高的呼叫频率和比较短的呼叫 间隔。不同的是，在VoIP恶意行为中，攻击者为了尽可能长时间占用被叫话路，一般不会主 动挂断电话，并且攻击者有可能只针对某一个被叫发起持续的呼叫；垃圾电话的攻击者一 般为了尽可能多的发送垃圾信息给被叫，一般发送完就会挂断电话，继续向下另一被叫发 送。在两种攻击形式中，攻击者的攻击目的不同，导致被叫用户在呼叫行为特征上也有一定 4 CN 111556013 A 说　明　书 2/8 页 的差异。在VoIP恶意行为中，被叫用户一般会受到持续的攻击，一定时间内，被叫用户的拒 接电话的比率会比较高；而在垃圾电话中，一定时间内，单个被叫用户的拒接电话的比率不 一定会很高。因此，不妨借鉴垃圾电话的检测方法，或许能够得到启发。 当前一些垃圾电话的检测方法主要包括基于名单的判别、基于名声的过滤、图灵 测试和计算谜题、根据统计信息的行为分析等，下面仅对几种主流的检测方法的优缺点进 行分析和总结。 1)基于名单的判别 根据名单类型的不同，可以把名单分为三类，黑名单、白名单和灰名单。在名单比 对过程中，如果主叫账号处在黑名单列表中，则直接拒接此呼叫；如果主叫账号处在白名单 列表中，则接受此呼叫；如果主叫账号处在灰名单列表中，则需要进一步判别。 基于名单的判别需要提前确定账号的类型，那么如果攻击者没有在黑名单中，攻 击者依然可以对被叫用户发起攻击，直到加入黑名单；而白名单则恰恰相反，对于没有在白 名单中的友好呼叫，也会被阻止掉；灰名单则是一个动态学习判别的过程。采用基于名单的 判别的优点包括： a)此方法实施简单，能够快速判别，系统资源消耗较少； b)不需要对整个VoIP系统架构进行改变，只需要把名单放置于代理服务器上； c)协议不需要改变。 2)基于名声的过滤 基于名声的过滤需要一个类似社区网络的系统，社区中彼此通信的用户之间互相 给予对方名声值，对一次通信的满意度给予评判。在每次通话中，被叫用户将根据主叫用户 的名声值来决定是否接听呼叫。 基于名声的过滤方法，相对其他检测方法实施起来更复杂，并且实行的好坏很大 程度上取决于用户对一次通话的评判，攻击者可以申请多个账号，然后彼此通信来把自己 的名声值提高。这种方法只能在一定程度上的缓解垃圾电话的危害。 3)图灵测试和计算谜题 图灵测试和计算谜题本质上是一样的，系统提供一些测试给呼叫发起者，呼叫发 起者需要正确回答，以证明其身份的合法性。 图灵测试和计算谜题这种方法一方面需要在协议上做一定改变，另一方面是对主 叫非常不友好。优点在于不需要改变整个VoIP系统架构，测试可以在代理服务器上实施，并 且不需要被叫用户的参与。 4)根据统计信息的行为分析 根据统计信息的行为分析，主要是通过采集用户的信令消息，通过信令解析恢复 出呼叫数据记录，并且将呼叫纪录存储起来形成历史数据，便于后期的分析。这种方法需要 一个历史呼叫累积的过程，检测的准确性完全建立在呼叫数据的分析上。优点在于分析在 服务端进行，不需要用户的参与，对协议及VoIP系统架构不做任何改变。 随着网络融合的进一步深化及IP电话的普及，VoIP恶意行为的数量不断增多，攻 击形式也更加多样化，为了对大量VoIP恶意行为进行预防，减弱VoIP恶意行为对合法用户 的损害，保证合法用户的话路畅通，研究复杂大流量下的VoIP恶意行为及相应的检测发现 方法，及时正确检测出VoIP恶意行为来源并采取手段拦截，显得尤为重要。 5 CN 111556013 A 说　明　书 3/8 页 而目前的检测方法均不适用及时正确检测出VoIP恶意行为来源。目前的方法无法 较好的兼顾实时性和准确性，在线检测一般基于名单或名声，有严重的背景数据依赖，泛化 能力差；而离线检测方法虽然可能具备较高的准确性，但实时性较差，尤其无法满足在TB级 流量下的实时检测发现。
技术实现要素：
本发明的目的在于提供一种复杂大流量下VoIP恶意行为发现方法。本发明提出了 从大规模、分布式、非对称的被动流量中发现VoIP恶意行为的方法，该复杂大流量存在于国 家或区域级大型网关，该类网关具有TB级流量、跨域部署、非对称路由、流量复杂等特点，海 量的分布式通信数据给细粒度恶意行为发现带来了巨大挑战。 本方法首先筛选在线流量中的原始VoIP呼叫信令，利用过滤门限对呼叫信令进行 初步的筛选，迅速从大量的呼叫流量中找出可疑的流量；然后启动细分析，提取可疑流量中 的被叫账号的历史呼叫信令数据，进行详细的统计分析，得到呼叫行为特征参数，最终分析 出此被叫是否受到了恶意攻击，实现VoIP恶意行为实时发现。 本发明的技术方案为： 一种复杂大流量下VoIP恶意行为发现方法，其步骤包括： 1)从网络流量中筛选出VoIP呼叫信令； 2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量； 3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该 被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。 进一步的，当一被叫账号的呼叫数据累积到被叫次数门限或被叫次数门限整数倍 时进行步骤3)；或者存在一次呼叫满足过滤门限，则进行步骤3)；如果同一被叫账号第i次 接收了一次呼叫，第i 1次接收的呼叫满足该过滤门限条件，则判定该被叫账号未受到恶意 攻击。 进一步的，筛选出可疑的网络流量的方法为：首先对VoIP呼叫信令进行解析，如果 呼叫结束方式为忙，则该VoIP呼叫信令为非可疑的网络流量；如果呼叫结束方式为正常结 束、超时或者拒接，则进一步判断该VoIP呼叫信令中的被叫账号是否是新的被叫账号，即判 断该被叫账号是否已经存在哈希表中，如果该被叫账号是新的被叫账号，则初始化一新的 哈希表项，记录该被叫账号的相关信息，包括被叫账号、呼叫开始时间、呼叫结束时间和被 叫次数，被叫呼叫纪录标识设置为真；如果该被叫账号已经存在于哈希表中，进一步通过计 算得到该被叫账号的本次呼叫结束时间和第一次呼叫发起时间差，判断此时间差是否满足 预先设定的过滤门限条件，则该VoIP呼叫信令为可疑的网络流量；判断该被叫账号的叫呼 叫纪录标识，如果此标识为假，则进行步骤3)并更新该哈希表，将该被叫账号的被叫次数设 置为1、该被叫账号的第一次呼叫时间设置为该VoIP呼叫信令中的发起请求时间、会话结束 时间设置为当前系统时间，被叫呼叫纪录标识设置为真；如果该被叫账号的呼叫记录标识 为真，则更新该哈希表，包括设置该被叫账号的第一次呼叫开始时间为该VoIP信令数据中 的发起请求时间、呼叫结束时间为当前系统时间；如果该被叫账号的相邻两次呼叫结束间 隔没有满足过滤门限条件，则更新该哈希表，包括设置该被叫账号的被叫次数为当前被叫 次数加1、呼叫结束时间为当前系统时间、被叫呼叫记录标识为假。 6 CN 111556013 A 说　明　书 4/8 页 进一步的，判断该被叫账号是否受到恶意攻击的方法为： 31)获取哈希表中的第一次呼叫开始时间和当前被叫呼叫结束时间的时间窗口内 的该被叫账号的被呼叫历史纪录，然后根据所获取呼叫历史纪录运算得到呼叫该被叫账号 的主叫账号的个数，判断此个数是否小于呼叫源个数门限值，如果小于该呼叫源个数门限 值，则进行步骤32)；如果被叫账号的呼叫源个数大于或等于呼叫源个数门限值，并且该被 叫账号的话路占用率小于被叫话路占用率门限值，则分别对该时间窗口内的所有呼叫源， 即主叫账号，统计其呼叫次数和主叫话路占用率，如果主叫账号的呼叫次数不大于呼叫次 数门限，则将该主叫账号判定为可疑账号；如果主叫账号的呼叫次数大于呼叫次数门限，且 主叫账号的主叫话路占用率不大于主叫话路占用率门限，则将该主叫账号判定为可疑账 号；否则将该主叫账号判定为恶意呼叫发起账号； 32)计算各个主叫账号与该被叫账号的平均观测时长，如果主叫账号与该被叫账 号的平均观测时长小于设定的平均观测时长门限值，则进行步骤33)；否则判断主叫账号呼 叫该被叫账号的次数是否大于设定的呼叫次数门限值，如果是，则将该主叫账号判定为可 疑账号，否则将该主叫账号判定为正常账号； 33)判断主叫账号呼叫该被叫账号的次数是否大于设定的呼叫次数门限值；如果 是，则进行步骤34)，否则判断主叫的拒接比是否大于拒接比门限值，如果是，则将该主叫账 号判定为可疑账号，否则将该主叫账号判定为正常账号； 34)判断主叫的拒接比是否大于拒接比门限值，如果是，则将该主叫账号判定为恶 意呼叫发起账号，否则将该主叫账号判定为可疑账号。 进一步的，所述呼叫行为特征包括平均观测时长、呼叫次数、拒接比、话路占用率。 进一步的，将平均观测时长小于设定平均观测时长门限值、呼叫次数大于设定的 呼叫次数门限值且拒接比高大于拒接比门限值的主叫账号判定为VoIP恶意行为发起账号。 进一步的，将呼叫次数大于设定的呼叫次数门限值且主叫话路占用率大于主叫话 路占用率门限的主叫账号判定为VoIP恶意行为发起账号。 进一步的，将VoIP恶意行为发起账号加入黑名单，将怀疑账号加入灰名单，将黑名 单和灰名单传送给相应的防御拦截系统，对VoIP恶意行为进行拦截或限制。 进一步的，根据最大历史空闲时长与最大历史话路占用时长确定该过滤门限取 值；如果主叫账号的一个空闲时长或一个话路占用时长小于或等于该过滤门限则判定该主 叫账号是VoIP恶意行为发起账号。 一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所 述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上述方法中各步 骤的指令。 与现有技术相比，本发明的积极效果为： 本发明针对复杂高速网络环境中的海量通信数据使VoIP恶意行为实时发现难以 细粒度分析的问题，发明研制了一种复杂大流量下基于VoIP用户呼叫行为特征分析的VoIP 恶意行为发现方法，能够针对复杂实时数据流进行全面细致的检测，充分挖掘历史数据，有 效检测VoIP恶意行为，更好地应对复杂度高、隐蔽性高的VoIP恶意行为。 7 CN 111556013 A 说　明　书 5/8 页 附图说明 图1是过滤门限选取方法示意图； 图2为筛选处理流程图； 图3为细分析方法处理流程图。