CN101924660B - 检测网络恶意行为的方法和装置 - Google Patents

Abstract

本发明涉及一种用于在网络中检测恶意行为的方法及其装置和网络单元。所述方法包括：对时间间隔期间到分组交换域的消息数进行规范化处理；设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击。从而可以基于应用预先检测到恶意攻击，并标识恶意用户的帐户，最终彻底阻止他们。

Description

检测网络恶意行为的方法和装置

技术领域

本发明涉及在网络中的恶意行为攻击的方法和装置，更具体地，涉及分布式拒绝服务(DDOS)的恶意行为的检测。

背景技术

网络的使用越来越广泛，伴随着网络的发展产生各种应用服务来便利人们的生活，这样的网络在人们的生活中几乎无所不在。然而，出于商业竞争、打击报复和网络敲诈等多种因素，导致很多互联网数据中心IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被拒绝服务(DOS)攻击以及DDOS攻击所困扰。在第三代网络中，广泛使用支持用户的多媒体业务的IP多媒体子系统(IMS)，然而对IMS网络的安全性没有充分进行检查。已经证明这种DOS攻击以及DDOS可以攻击IMS，特别是通过阻塞其核心业务呈现业务来进行攻击，所产生的网络消息被呈现服务器放大以造成对网络的攻击。例如，使用具有低业务量的14个无抵抗的客户来拥塞IMS网络，而该网络可以支持城市中心区域的一百万用户。

呈现业务是允许通知用户关于可达性、可用性和与另外的用户通信的意愿的业务，已经变成对于诸如即时消息和一键通的许多流行的应用的重要的推动者。已经认识到，基于呈现业务的特性，对业务攻击的较少数量的拒绝就可以阻塞所有IMS业务。在IMS中，诸如分组交换、VoIP(网络电话)业务、一键通业务的许多业务均通过呼叫会话控制功能(CSCF)以进行路由、计费目的。当分组业务经受DOS攻击时，许多正常的业务量将被延迟。基于SIP中的重传机制，消息延迟可以导致多次重传。例如，如果没有在32秒内接收到响应，则每个SIP请求可以被重传10次。结果，重传的无害业务量和恶意业务量两者加起来可以拥塞CSCF，从而拒绝其它不得不经过CSCF的IMS业务。

如果网络正在遭受攻击，所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向网络，瞬间就可能使网络服务器瘫痪。为了阻止这种DOS攻击，我们将不得不在服务器被分组交换业务量负载拥塞之前来停止它。因此在现实中迫切需要一种阻止这种DOS攻击以及DDOS攻击的在线早期防御机制，旨在预先检测到恶意攻击，并标识恶意用户，最终阻止他们。

此外，现有技术中通常是基于IP地址过滤来识别，例如发起攻击的机器IP地址很分散而不是固定在某网段，就可以认为它是傀儡机，即被控制的发起恶意行为攻击的机器。而当用户的帐号、特别是IMS网络账号被盗用时，可以通过任何连接到网络的计算机或移动通信终端进行频繁注册/取消注册的状态更新，所引发的网络消息被呈现服务器放大以造成对网络的攻击。此时识别到傀儡机是不能阻止攻击的，因为被盗取的是网络中的合法用户帐号，盗窃者可以在其它任何一台终端上重新发起攻击。这样，识辨傀儡机只能临时消除一部分攻击，而不能彻底阻止攻击的再次发生。因此迫切需要一种机制来识别攻击来源于哪个用户账号，从而可以监控可疑用户账号的任何异常行为，以彻底阻止来源于此用户的消息，从而抵制攻击。

发明内容

根据本发明的实施例的一个方面，提供一种用于在网络中检测恶意行为的方法，所述网络包括应用服务器、订户信息数据库以及与之相连的代理，所述方法包括：

对时间间隔期间到分组交换域的消息数进行规范化处理；

设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及

如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击。

优选的，所述第一参数可以为时间间隔期间的最大消息数。

在本发明的实施例中，所述时间间隔期间的最大消息数可以为时间间隔到分组交换域的平均消息数与前一时间间隔到分组交换域的平均消息数之差。

在本发明的实施例中，所述规范化处理步骤包括利用前一时间间隔期间消息的平均数来对所述消息数进行规范化处理。

优选的，还包括对所述消息的平均数进行平滑处理。

在本发明的实施例中，所述检测恶意行为的方法还包括：当检测到恶意行为的攻击时，检测恶意行为的来源。

其中所述检测恶意行为的来源可以进一步包括：

获得来自与特定帐号关联的用户的采样消息间隔；

设置源检测标识，所述源检测标识是在该源检测标识的历史值与第二参数与所述特定帐号的用户的采样消息间隔之差的和与第二预定阈值之间取最大，其中所述第二参数小于消息到达间隔的平均值；以及

如果所述源检测标识大于所述预定阈值，则检测到所述恶意行为来自所述特定帐号。

优选的，所述第二参数可以为最小消息到达间隔，所述最小消息达到间隔是时间间隔到分组交换域的平均消息数的最大值的倒数。

优选的，所述第一阈值与所述第二阈值可以相同或不同。

在本发明的实施例中，所述网络可以为IP多媒体子系统IMS，所述IMS包括应用服务器、呈现服务器、归属用户服务器HSS和与之连接的呼叫会话控制功能。

根据本发明的实施例的另一方面，提供了一种用于在网络中检测恶意行为的装置，所述网络包括应用服务器、订户信息数据库以及与之相连的代理，所述装置包括：

规范化处理装置，用于对时间间隔期间到分组交换域的消息数进行规范化处理；

检测设置装置，用于设置检测标识，所述检测标识是在检测标识的历史值与规范化后的消息数与第一参数之差的和与预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及

确定装置，用于如果所述检测标识大于所述预定阈值，则检测到恶意行为的攻击。

优选的，第一参数可以为时间间隔期间的最大消息数。

优选的，所述时间间隔期间的最大消息数可以为时间间隔到分组交换域的平均消息数与前一时间间隔到分组交换域的平均消息数之差。

优选的，所述规范化处理装置被配置来利用前一时间间隔期间消息的平均数来对所述消息数进行规范化处理。

优选的，所述装置还包括用于对所述消息的平均数进行平滑处理的装置。

在本发明的实施例中，所述用于检测恶意行为的装置还包括恶意行为源检测装置，用于当检测到恶意行为的攻击时，进一步检测恶意行为的来源。

所述恶意行为源检测装置可以包括：

用于获得来自与特定帐号关联的用户的采样消息间隔的装置；

用于设置源检测标识的装置，所述源检测标识是在该源检测标识的历史值与第二参数与所述特定帐号的用户的采样消息间隔之差的和与第二预定阈值之间取最大，其中所述第二参数小于消息到达间隔的平均值；以及

用于如果所述源检测标识大于所述第二预定阈值，则检测到所述恶意行为来自所述特定帐号的装置。

优选的，所述第二参数可以为最小消息到达间隔，所述最小消息达到间隔是时间间隔到分组交换域的平均消息数的最大值的倒数。

优选的，所述第一阈值与所述第二阈值可以相同或不同。

在本发明的实施例中，所述恶意行为源检测装置可以与所述用于检测恶意行为的装置物理上分离。

在本发明的实施例中，所述网络可以为IP多媒体子系统IMS，所述IMS包括应用服务器、呈现服务器、归属用户服务器HSS和与之连接的呼叫会话控制功能。

根据本发明的实施例的另一方面，提供一种网络单元，包括上述用于在网络中检测恶意行为的装置。

在本发明的实施例中，所述网络单元可以为呈现服务器。

在本发明的实施例中，所述网络单元可以为呼叫会话控制功能CSCF。

在本发明的实施例中，在所述恶意行为源检测装置与所述用于检测恶意行为的装置物理上分离的情况下，所述用于检测恶意行为的装置可以位于CSCF上，而所述恶意行为源检测装置可以位于呈现服务器。

附图说明

结合附图，从下面对本发明的实施例的详细描述中本发明的目的、特点和优点将显而易见，其中：

图1示例性示出了其中实施本发明的实施例的通用网络的环境的结构框图；

图2示例性示出了其中实施本发明的实施例的IMS的环境的结构框图；

图3示例性示出了根据本发明实施例的用于检测网络中的恶意行为的装置的框图；

图4示例性示出了根据本发明实施例的用于检测网络中的恶意行为方法的流程图；

图5示例性示出了根据本发明的实施例方法的检测恶意行为来源的流程；

图6(包括图6a和6b)示例性示出了根据本发明实施例的DOS流量和检测标识效果图；

图7(包括图7a和7b)示例性示出了根据本发明实施例的单个用户在白天和夜晚状态迁移；

图8(包括图8a和8b)示例性示出了根据本发明实施例的单个用户在白天和夜晚的行为；

图9示例性示出了根据本发明实施例的白天和夜晚不同配置的用户在线概率；

图10示例性示出了根据本发明实施例的用户在时间间隔期间的登录/登出概率；

图11示例性示出了根据本发明的实施例的在IMS系统中的各种消息类型的分布；

图12示例性示出了根据本发明的实施例的一天中的总的消息分布；

图13示例性示出了根据本发明实施例的呈现服务器；以及

图14示例性示出了根据本发明实施例的呼叫会话控制功能CSCF。

具体实施方式

下面，结合附图对本发明的实施例进行详细描述。

图1示例性示出了实施本发明的实施例的通信网络的结构框图。如图1所示，通用通信网络包括应用服务器10、订户信息数据库12、代理(Proxy)14以及云图16，云图16代表连接了各种不同的业务的客户，例如业务1的客户161和业务2的客户162。应用服务器10、订户信息数据库12和云图16均与代理14相连。在通用通信网络中，订户信息数据库将帐户与客户进行关联。在业务处理时，代理14将查询订户信息数据库对该客户进行鉴权。通过鉴权后，该客户可以进行这种业务，例如VoIP业务、一键通业务等。

本发明的构思是在线早期检测装置作为代理和分组交换功能的一部分以检测何时系统处于攻击中。这可以通过监控与使用某种业务相关的输入的消息的数量来实现，并且可以通过监控用户的任何异常行为来标识这种DOS攻击的来源。

在本发明的实施例中，通信网络可以为IMS系统。图2例示了IMS的环境的结构框图。如图2所示，该网络包括呈现服务器20、应用服务器21、归属用户服务器HSS 22、CSCF 23以及代表连接了不同业务的客户的云图24、26和28。呈现服务器20、应用服务器21、HSS 22均连接到CSCF23。云图24、26和28也与CSCF 23相连。在本发明的实施例中，云图24可以表示连接了一键通业务的三个客户，云图26代表连接了VoIP业务的三个客户，而云图28代表连接了呈现业务的两组客户281和282。本领域技术人员应该理解，不同业务的客户可以为一个或多个，图示的客户数目仅为示例而非限制。

在本发明的实施例中，如图3所示，用于在网络中检测恶意行为的装置301可以包括：规范化处理装置310，用于对时间间隔期间到分组交换域的消息数进行规范化；检测设置装置320，用于设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及确定装置330，用于如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击。

在本发明的实施例中，该装置也可以用于IP多媒体子系统IMS中检测恶意行为以进行拒绝服务检测。

在本发明的实施例中，装置301执行在网络中检测恶意行为的方法，包括：对时间间隔期间到分组交换域的消息数进行规范化处理；设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；以及如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击。

如图4所示，在步骤S410，对时间间隔t期间到分组交换域的消息数进行规范化处理。在本发明的实施例中，通信网络可以是IP多媒体子系统IMS。设{Δ_n，t，n＝0，1，...，t∈DAY Y NIGHT}为在一个采样间隔中采集的到分组交换域的消息数。

正如本领域技术人员所知，网络中的用户具有关联的帐号，其具有两个基本行为：登录和登出。当用户进行登录/登出时，他将变为在线/离线状态并且产生新的消息。而用户在线或离线的时间段是随机的，依赖于一天的时间。例如，白天用户在线的时间长于夜晚在线的时间。为了准确描述，我们将用户状态分为两个时间段：白天(DAY)和夜晚(NIGHT)。白天和夜晚是分组交换服务器所在地的营业时间和休息时间。例如，如果所在地为中国，则DAY＝[8:00，17:00)而NIGHT＝[17:00，8:00)。应该理解的是，这种白天和夜晚的设置仅用于示例，类似的分析也可以应用其它设置。

在本发明的实施例中，可以每小时采样10次，从零点开始进行采样，这样则可以用采样次数来表示采样时间。通常{Δ_n，t，n＝0，1，...，t∈DAY Y NIGHT}的平均值取决于采样间隔集合的大小，也随一天的时间而不同。为了减少这种依赖性，利用在前一采样间隔t₀期间的消息的平均数Δ(n-1)来对消息数{Δ_n，t，n＝0，1，...，t∈DAY Y NIGHT}进行归范化处理以消除采样值对时间间隔的敏感度，可设X_n＝Δ_n-Δ(n-1)。

在本发明的实施例中，消息的平均数Δ(n)可以实时来估测并周期更新。优选的，一个Δ(n)的循环估测和更新的示例如下：

Δ(n，t)＝αΔ(n-1，t)+(1-α)Δ(n，t)                        (1)

其中n为离散时间索引即采样次数，α为平滑因子，是0和1之间的常数。

当进行平滑处理时，可以在流量变化较大的时期减少较多的错误报警信息。

接下来，在步骤S420，设置检测标识y_n，该检测标识是在检测标识的历史值与规范化处理后的消息数与参数a之差的和与预定阈值之间取最大，其中参数a大于规范化处理后的消息数的均值c。

具体地，对于X_n＝Δ_n-Δ(n-1)，E(X_n)＝c，可以选择参数a为c的上限，即α＞c。对于每个X_n，定义 ${\tilde{X}}_n=X_n-a,$ 这样正常操作时具有负的平均值。当出现攻击时，

会突然变为大的正数。

在本发明的实施例中，可以选择各种预定阈值N。为了简单起见，可以选择N＝0。

则可以设检测标识 $y_n=\max (0,y_{n-1}+{\tilde{X}}_n)...\left(2\right),$

其中：n＝1，2，...，y₀＝0。

在本发明的实施例中，要选择参数以使得检测装置301不要太敏感以将正常流量变化错误地当作攻击，也不要太迟钝而错过任何真的攻击。优选的，可以取参数a＝max N，其中max N为时间间隔期间的最大消息数，可以通过如下来计算：

max N＝max{cal_nTotal(t)-cal_nTotal(t-1)|t∈DAY Y NIGHT}        .....(3)

其中，cal_nTotal(t)为在每个时间间隔t期间到分组交换域的平均消息数，其中t∈DAY Y NIGHT，将在下面详述。

在本发明的实施例中，在步骤S430，将检测标识与阈值进行比较。如果检测标识y_n大于预定阈值N，例如y_n＞0，则在步骤S440检测到恶意行为的攻击。否则，继续对下一间隔的消息数进行规范化处理。

这时，还可以检测到攻击时时间为T＝n×t，t为采样间隔长，在本发明的实施例中，例如t＝6分钟。

在本发明的实施例中，当检测到恶意行为的攻击时，还可以检测到恶意行为来源。具体地，检测恶意行为的装置301还可以包括恶意行为源检测装置340，用于检测到恶意行为的攻击时，进一步检测恶意行为的来源。

在本发明的实施例中，检测恶意行为的装置301也可以与恶意行为源检测装置340物理分离。

在本发明的实施例中，恶意行为源检测装置340还可以包括：用于获得来自与特定帐号关联的用户的采样消息间隔的装置341；用于设置源检测标识的装置342，所述源检测标识是在该源检测标识的历史值与第二参数与所述特定帐号的用户的采样消息间隔之差的和与第二预定阈值之间取最大，其中所述第二参数小于消息到达间隔的平均值；以及用于如果所述源检测标识大于所述预定阈值，则检测到所述恶意行为来自所述特定帐号的装置343。

具体地，恶意行为源检测装置340执行当检测到恶意行为的攻击时，检测恶意行为的来源的步骤。如图5所示，恶意行为源检测装置340具体执行以下步骤：

在步骤S510，获得来自与特定帐户关联的用户的采样消息间隔τ_n，n＝0，1，...。

在步骤S520，设置源检测标识。对与本领域技术人员，可以得到消息到达间隔的平均值t₁，该消息到达间隔的平均值是在时间间隔到分组交换域的平均消息数的倒数，令参数b＜t₁。该源检测标识zn是在该源检测标识的历史值与参数b与特定帐户的用户采样消息间隔之差的和与第二预定阈值之间取最大。

在本发明的实施例中，参数b可以优选为最小消息到达间隔，是最大消息数的倒数，即b＝minτ＝1/maxR，而最大消息数可以通过如下来计算：

maxR＝max{nArrival(t)|t∈DAY Y NIGHT}          ........(4)

其中nArrival(t)为时间间隔t期间到分组交换域的平均消息数，将在下面详述。

在本发明的实施例中，对于来自特定帐号的用户1的采样间隔τ_n，n＝0，1，...，可以得到 ${\widetilde{\mathrm{\τ}}}_n=\min \mathrm{\τ}-{\mathrm{\τ}}_n,$ 而令源检测标识 $z_n=\max (0,z_{n-1}+{\widetilde{\mathrm{\τ}}}_n),$ 在此预定阈值可以取N＝0，n＝1，2，...，z₀＝0。

于是，在步骤S530，对源检测标识与阈值进行比较。如果源检测标识大于该阈值(S530-是分支)，例如z_n＞0，则在步骤S540，检测到恶意行为来源的用户的帐号。可以对该帐号进行监控、封闭等处理，以阻止攻击。

在本发明的实施例中，检测恶意行为的装置301可以用于IMS系统中。检测恶意行为的装置301可以设置在CSCF中以检测基于分组交换域的攻击，而可以单独设置在呈现服务器中以检测攻击源。当然，也可以在CSCF和呈现服务器中均设置用于检测恶意行为的装置301。而在本发明的实施例中，用于检测恶意行为的装置301可以包括恶意行为源检测装置340，也可以在物理上两者分离。在后者情况下，检测恶意行为的装置301可以设置在CSCF中，而恶意行为源检测装置340可以设置在呈现服务器上，反之亦然。

在本发明的实施例中，第一阈值与第二阈值可以相同或不同。

如图6a和6b所示，如果每小时采样10次，从零点开始进行采样(例如，时间80～100就代表上午8:00～10:00)，则拒绝服务流量出现在上午8:00～10:00。在本发明的实施例中，通过设置的攻击检测标识就可以精确检测出攻击出现以及攻击出现的时间。

下面将主要描述在本发明的实施例中如何来确定在实施例中使用的参数在每个时间间隔t期间到分组交换域的平均消息数cal_nTotal(t)和nArrival(t)，据此可以得到时间间隔期间的最大消息数max N以及最大消息数max R＝max{nArrival(t)|t∈DAY Y NIGHT}。

在历史数据可用的情况下，这些参数以及服务器的总业务量均可以通过统计来获得，在此不再赘述。

而当历史数据不可用时，这些参数计算如下：

不失一般性，假设采用广泛使用的马尔可夫模型来分析网络中的单个用户的行为。为了清楚起见，以IMS系统为例来进行描述。基于该单个用户模型可以分析具有N个用户的系统的呈现服务器的总业务量。本领域技术人员应该理解，马尔可夫模型仅用来示例而非限制，任何可用的模型均可以用来估计用户所能产生的服务器流量分布。

对于单个用户，将其状态可以分为四种类型，每种状态的时间取决于其当前状态。当用户处于在线状态时，可以修改其状态，其客户应用可以周期性刷新其状态和订阅，从而可以产生到分组交换域的MODIFY和REFESH业务。这两状态之间的迁移也可以产生一些PUBLISH业务。

如图7所示，用户状态可以分为四种类型：S₀：用户在夜晚登出并离线；S₁：用户在夜晚登录并在线；S₂：用户在白天登出并离线；S₃：用户在白天登录并在线。登录和登出是可以改变用户状态的行为，并且其下一状态基于其当前状态和登录和登出行为发生的时间。

设λ_i表示从状态S_i到其它状态的速率，假定用户在白天和夜晚连续的在线和离线时间是平均值分别为t_off，night，t_on，night，t_off，day，t_on，day的指数分布变量，于是λ₀＝t_off，night，λ₁＝t_on，night，λ₂＝t_off，day和λ₃＝t_on，day。

在本发明的实施例中，离散时域马尔可夫链可以用于描述用户的状态迁移，其状态空间{(S_i，t)，i＝0，1，2，3；t＝0，Δt，...24-Δt}表示在采样间隔t用户的状态为S_i。根据前面所述描述的，对于t，马尔可夫模型下的状态同样可以分为白天(DAY)状态和夜晚(NIGHT)状态。在白天时，状态迁移如图8a所示。对于 ${\∀t}_l\∈\mathrm{DAY}$ 和

状态迁移概率如下：

$P(S_i,t_2|S_j,t_1)=0,\∀i,j=\mathrm{0,1,2,3},\mathrm{if}(t_2-t_1\≠\mathrm{\Δt})$

$P(S_i,t_2|S_i,t_1)=1-p_i,\∀i=\mathrm{0,1,2,3},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_0,t_1)=0,\∀i=\mathrm{1,2},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_3,t_2|S_0,t_1)=p_0,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_1,t_1)=0,\∀i=0,3,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_2,t_2|S_1,t_1)=p_1,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_2,t_1)=0,\∀i=\mathrm{0,1},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_3,t_2|S_2,t_1)=p_2,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_3,t_1)=0,\∀i=\mathrm{0,1},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_2,t_2|S_3,t_1)=p_3,\mathrm{if}(t_2-t_1=\mathrm{\Δt})..........\left(5\right)$

当在夜晚时，状态迁移如图8b所示， ${\∀t}_I\∈\mathrm{NIGHT}$ 和

状态迁移概率如下：

$P(S_i,t_2|S_j,t_1)=0,\∀i,j=\mathrm{0,1,2,3},\mathrm{if}(t_2-t_1\≠\mathrm{\Δt})$

$P(S_i,t_2|S_i,t_1)=1-p_i,\∀i=\mathrm{0,1,2,3},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_0,t_1)=0,\∀i=\mathrm{2,3},\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_1,t_2|S_0,t_1)=p_0,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_1,t_1)=0,\∀i=2,3,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_0,t_2|S_1,t_1)=p_1,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_2,t_1)=0,\∀i=0,3,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_1,t_2|S_2,t_1)=p_2,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_i,t_2|S_3,t_1)=0,\∀i=1,2,\mathrm{if}(t_2-t_1=\mathrm{\Δt})$

$P(S_0,t_2|S_3,t_1)=p_3,\mathrm{if}(t_2-t_1=\mathrm{\Δt})..........\left(6\right)$

在上述等式中p_i(i＝0，1，2，3)表示用户在时间Δt之后改变到状态S_i(i＝0，1，2，3)的概率。由于每个状态的连续时间符合λ_i的指数分布，可以如下计算p_i：

$p_i={\∫}_0^{\mathrm{\Δt}}{\mathrm{\λ}}_i{e}^{-{\mathrm{\λ}}_i\text{x}}\mathrm{dx},i=\mathrm{0,1,2,3}....\left(7\right)$

基于这些迁移概率，利用马尔可夫链的迁移矩阵M可以获得平衡分布{b(S_i，t)，i＝0，1，2，3，t＝0，Δt，...，24-Δt}。

其中

设B＝[b(S₀，0)，...，b(S₃，0)，b(S₀，Δt)，...，b(S₃，Δt)，...，b(S₃，24-Δt)]^T为所有状态的平衡分布的矢量。根据平衡分布的特性，可以获得MB=B。定义矢量I＝[1，1，...，1]具有B的同样长度。根据平衡分布的归一化条件，可以得到IB＝1.因此可以通过求解

$\left[\begin{array}{c}M\\ I\end{array}\right]B=\left[\begin{array}{c}B\\ 1\end{array}\right]$

来计算矢量B。

在任何采样间隔t，用户在状态S_i(i＝0，1，2，3)的概率为：

$q_i\left(t\right)=\frac{b(S_i,t)}{\underset{i=0}{\overset{i=3}{\mathrm{\Σ}}}b\left(S_{i,t}\right)},i=\mathrm{0,1,2,3}....\left(9\right)$

用户在时间t在线的概率为：

p_on(t)＝q₁(t)+q₃(t)    ....(10)

在时间t用户在下一间隔Δt登录的概率为：

p_in(t)＝q₀(t)*p₀+q₂(t)*p₂  ....(11)

用户在下一间隔Δt登出的概率为：

p_out(t)＝q₁(t)*p₁+q₃(t)*p₃    ....(12)

图9示出了单个用户在t_on，day，t_on，night的DAY和NIGHT的不同配置下的一天中的估测的在线概率。而图10示出了一天期间在每个时间间隔Δt用户的登录和登出概率。

在[T₁，T₂]期间，用户的平均登录和登出时间可以通过如下公式来分别估测： $P_{\mathrm{in}}(T_1,T_2)=\underset{t\∈[T_1,T_2]}{\mathrm{\Σ}}{p}_{\mathrm{in}}\left(t\right)$

$P_{\mathrm{out}}(T_1,T_2)=\underset{t\∈[T_1,T_2]}{\mathrm{\Σ}}{p}_{\mathrm{out}}\left(t\right)....\left(13\right)$

对于具有N个用户的IMS系统，一天中的[T₁，T₂]的期间的PUBLISH、NOTIFY和SUBSCRIBE类型的消息数可以通过以下公式来估测：

nPUB(T₁，T₂)＝N×[Pin(T₁，T₂)+P_out(T₁，T₂)]

            +n(T₁，T₂)×r_refresh

            +n(T₁，T₂)×r_modify

nNOT(T₁，T₂)＝[N×(P_in(T₁，T₂)+P_out(T₁，T₂))

            +n(T₁，T₂)×r_modify]

            ×n_online_watcher[T₁，T₂]

nSUB(T₁，T₂)＝N×[P_in(T₁，T₂)+P_out(T₁，T₂)]

            +n(T₁，T₂)×(T₂-T₁)×r_refresh

nTotal(T₁，T₂)＝nPUB(T₁，T₂)

              +nNOT(T₁，T₂)+nSUB(T₁，T₂)            ....(14)

其中，n(T₁，T₂)是[T₁，T₂]期间的平均在线用户，可以通过Np_on(t)来计算。r_refresh是在[T₁，T₂]期间由用户客户软件刷新而产生的平均消息数，r_modify是主动修改其状态的频率，而n_online_watcher[T₁，T₂]是[T₁，T₂]期间用户的平均在线联系人数，也表示为n_watcher，其通过n_contact×n(T₁，T₂)/N来计算，在此n_contact是用户的联系人数目，示例中可以取值为10。

图11示出了分组交换域的一天中的每个小时的PUBLISH、NOTIFY和SUBSCRIBE消息的计算和仿真结果。图12(1)示出了分组交换域的一天中的每个小时的PUBLISH、NOTIFY和SUBSCRIBE消息的总的消息sum(nTotal)的计算和仿真结果。图12(2)示出了不同类型的消息的比率在一天的不同时间而不同。

在本发明的实施例中，可以使用总的消息数nTotal作为参数cal_nTotal，在这种情况下不需要知道消息类型。也可以使用计算的SUBSCRIBE或者PUBLISH或NOTIFY消息作为参数，这样只有一种类型的消息需要被监视。

本领域的技术人员可以明白，除了提出用户行为模型来估计用户所能产生的服务器流量分布并将其作为检测使用的参数输入外，还可以应用其它方法来估计服务器流量并基于此种估计来检测DDOS攻击。

在本发明的实施例中，例如还可以采用正态分布来进行估计。正态分布是应用最广的连续概率分布，生产与科学实验中很多随机变量的概率分布都可以近似地用正态分布来描述。

在本发明的实施例中，在历史数据可用的情况下，可以通过以下步骤来检测DDOS攻击：估计服务器的流量均值和方差μ和σ2；在正常服务流量下，消息到达速率在(μ-σ，μ+σ)的概率可以为68.27％，在(μ-1.96σ，μ+1.96σ)内的可以为95.00％，在(μ-2.58σ，μ+2.58σ)内的概率可以为99.00％。设消息最大到达速率maxN＝μ+2.58σ，对服务器的消息到达速率进行采样统计，如果到达速率大于maxN的频率远远大于参数1％，则服务器应该出现报警信息。然而这样可能在服务正在部署的应用时，在流量变化较大的时期会产生较多的错误报警信息。

也可以通过以下步骤来估计用户消息数：设每个用户在线时期消息产生速率最大为r₁，对M个用户，可以用maxN＝M*r₁*p₁*t来计算正常用户的最大消息生成速率，其中p₁是用户的在线概率，t为采样间隔。这种用最大值来估计的方法可以使服务器的很多容量闲置。

也可以用服务器的最大设计能力的80％来作为参数设置的标准。比如maxN＝80％，应用算法一来检测DDOS攻击，这种方法在服务器所支持的正常访问能力达到maxN的时候，错误报警将会增加。

在本发明的实施例中，不仅可以在诸如IMS的通信网络中检测DDOS攻击，也可以用于因特网中检测DDOS攻击。基于呈现服务器的服务如MSN、QQ等在因特网中广泛部署。攻击者通过创建多个或盗用他人MSN帐号频繁更新状态以造成对网络的攻击。攻击及其检测过程的原理类似于IMS网络中的攻击检测过程，在此不再赘述。

在本发明的实施例中，如图13和14所示，网络单元可以包括用于在网络中检测恶意行为的装置301，检测恶意行为的装置201也可以与恶意行为源检测装置340物理分离。当然，网络单元中也可以包括用于检测恶意行为的装置301和恶意行为源检测装置340。在本发明的实施例的IMS系统中，这种网络单元可以是呈现服务器，也可以是呼叫会话控制功能CSCF。在恶意行为源检测装置301与检测恶意行为的装置340物理上分离的情况下，装置301可以位于CSCF上，而装置340可以位于呈现服务器。

本领域的普通技术人员可以理解上述的方法和装置及其系统可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本实施例的检测恶意行为的装置以及组件可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

虽然以上结合具体实施例对本发明实施例的用于在网络中检测恶意行为的方法及其装置进行了详细描述，但本发明并不限于此，本领域普通技术人员能够理解可以对本发明进行多种变换、替换和修改而不偏离本发明的精神和范围；本发明的保护范围由所附权利要求来限定。

Claims (8)

1.一种用于在网络中检测恶意行为的方法，所述网络包括应用服务器、订户信息数据库以及与之相连的代理，所述方法包括：

对时间间隔期间到分组交换域的消息数进行规范化处理；

设置检测标识，所述检测标识是在检测标识的历史值与规范化处理后的消息数与第一参数之差的和与第一预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；

如果所述检测标识大于所述第一预定阈值，则检测到恶意行为的攻击，所述方法进一步包括，当检测到恶意行为的攻击时，检测恶意行为的来源，

其中所述检测恶意行为的来源包括：

获得来自与特定帐号关联的用户的采样消息间隔；

设置源检测标识，所述源检测标识是在该源检测标识的历史值与一值的和与第二预定阈值之间取最大，其中，所述一值等于第二参数与所述特定帐号的用户的采样消息间隔之差，所述第二参数小于消息到达间隔的平均值；

如果所述源检测标识大于所述预定阈值，则检测到所述恶意行为来自所述特定帐号。

2.根据权利要求1所述的方法，其中第一参数为时间间隔期间的最大消息数。

3.根据权利要求2所述的方法，其中所述时间间隔期间的最大消息数为时间间隔到分组交换域的平均消息数与前一时间间隔到分组交换域的平均消息数之差。

4.根据权利要求1至3中任一所述的方法，其中所述规范化处理步骤包括利用前一时间间隔期间消息的平均数来对所述消息数进行规范化处理。

5.根据权利要求4所述的方法，其中还包括对所述消息的平均数进行平滑处理。

6.根据权利要求1所述的方法，其中所述第二参数为最小消息到达间隔，所述最小消息达到间隔是时间间隔到分组交换域的平均消息数的最大值的倒数。

7.一种用于在网络中检测恶意行为的设备，所述网络包括应用服务器、订户信息数据库以及与之相连的代理，所述设备包括：

规范化处理装置，用于对时间间隔期间到分组交换域的消息数进行规范化处理；

检测设置装置，用于设置检测标识，所述检测标识是在检测标识的历史值与规范化后的消息数与第一参数之差的和与预定阈值之间取最大，其中第一参数大于规范化处理后的消息数的均值；

确定装置，用于如果所述检测标识大于所述预定阈值，则检测到恶意行为的攻击，

所述设备还包括恶意行为源检测装置，用于当检测到恶意行为的攻击时，检测恶意行为的来源，

所述恶意行为源检测装置包括：

用于获得来自与特定帐号关联的用户的采样消息间隔的装置；

用于设置源检测标识的装置，所述源检测标识是在该源检测标识的历史值与一值的和与第二预定阈值之间取最大，其中，所述一值等于第二参数与所述特定帐号的用户的采样消息间隔之差，所述第二参数小于消息到达间隔的平均值；以及

用于如果所述源检测标识大于所述第二预定阈值，则检测到所述恶意行为来自所述特定帐号的装置。

8.一种呈现服务器，包括权利要求7所述的用于在网络中检测恶意行为的设备。

Images