论文部分内容阅读
【摘 要】电信业务的实现大多将IP地址当做承载,然而其可能遇到隐藏的DOS攻击,攻击后果就是减少用户网络的接通率,甚至导致电信业务中断的现象,严重阻碍着电信业务的推广与应用。本文在简要论述DOS攻击在电信业务攻击原理和特点的基础上,并找到科学有效的DOS攻击特征检测方法和拦截DOS攻击的有效对策,以期保障用户网络运行环境的安全。
【关键词】融合网络 电信业务 DOS攻击 防御系统
现在通信网的发展趋势为融合化,这种融合化主要体现在技术、业务、网络等方面。经融合而形成的电信网会产生很多将IP当做承载的业务。IP网络的缺陷在于,由于进行多个分组交换,使其呈现出面向无连接以及QOS保证较差的劣势,致使攻击源头无处不在而又无处查询,给电信业务带来很多的安全风险。DOS攻击为IP网络遇到的常见攻击类型之一,可以采取剥夺网络节点资源的方式,给正常的网路造成阻碍作用。因此,为了有效抵御融合网路电信业务DOS攻击,就应该充分认识DOS攻击原理和特点,有利于电信业务对DOS攻击进行防御拦截。
一、电信业务DOS攻击特征的分析
(一)DOS攻击类型和特点
对于各种控制协议或者信令的电话,电信业务最显著的特点就是对语音资源的依赖,因此电信业务中DOS攻击的目的之一就是对语音资源的剥夺。在现代化的融合网络下,呼叫发起方由以前的PSTN或者移动通信用户转变为软交换网络用户。攻击者在充分利用交换网络中终端高智能特性的基础上,采取终端的编程设计对电信网络中其它的网络节点开展攻击,受击对象有网管、交换机、网络代理、业务终端等。
1.以交换机、业务服务器为对象的DOS攻击
这类攻击采取洪泛攻击方式对目标资源进行消耗,以致其很难进行正常的业务服务,还会对交换机、服务器等下属节点的接通率造成不利的影响作用,其攻击方式和原有的互联网DOS攻击行为相仿,其实质原因还是依靠电信网络高层TP/TCP协议存在的漏洞。
2.以电信业务终端为对象的DOS攻击
此类攻击的目的就是对个体用户语音资源的剥夺,采取强制性介入的方式,减少用户IP网络的接通率,。不同类型电信业务终端都是有限的,通常含有待机、振铃、通话等三种运行状态,而信令就是终端于三种状态转换的触发设施。恶意信令的存在使得电话线路长时间处在占线状态而影响用户的正常呼叫,这样就完成了攻击的目的,恶意信令攻击通常有呼叫请求消息攻击、释放消息攻击、畸形消息攻击三种典型攻击方式。
(二)DOS攻击检测方式
与原有的互联网DOS攻击方式相比,融合网络下的电信业务DOS攻击是在充分利用高层信令协议漏洞的基础上进行的。然而,高层协议通常具有多样性、复杂性的特点,给DOS攻击的检测工作造成不小的障碍。还有攻击者通常选取挂着合法标志的高层信令消息,其呼叫过程大多是在遵循相关协议的基础上进行的,DOS攻击具有很强的隐蔽性,如果仅采取加大网络节点的识别和认证能力,就很难对DOS攻击进行有效的检测,只能发挥基础的防御效果,并不能从源头遏制DOS攻击的产生。根据实践总结,我们可以得到这样一个结果:不同类型的电信业务DOS攻击在信令交互中都会呈现出一定的异常特征,而这种特征产生于用户的呼叫行为。按照相关的研究结果,正常的呼叫具有比较固定的行为模式。这样就可以将高层信令体现的呼叫行为特征当作检测DOS/DDOS攻击的有效凭证,例如,可以实时采集可以信令链路的数据包,经深入研究分析后,将结果与正常呼叫行为进行比较,进而判断融合网络是否受到了DOS攻击。
二、融合网络中电信业务DOS攻击的防御过程
(一) 采集网络系统信令消息
这是防御系统实现的首要环节,通过分布式部署与网络中不同位置的采集模块从网络流量中过滤出应要处理分析的信令部分,如常见的SIP、H323和7号等信令消息。对信令进行分类的目的就是在充分认识不同种类信令业务特点的基础上,有效提升检测准确度以及响应灵敏度;根据多种信令协议含有信令类型体现功能的不同,可以将其划分为和呼叫行为有关的呼叫控制、接续信令以及网络管理信令,呼叫控制信令能够充分表现用户呼叫行为特征,是整个网络系统所重点采集的对象。
(二)恢复呼叫行为
所谓呼叫行为恢复,就是系统对收集到的信令消息进行协议语法方面的分析研究,并从中提取单次呼叫的用户ID、呼叫时间、振铃时长、通话时长、通话结束时间等多个方面的参数,并以此为基础,建立统一的数据结构系统。
(三)分析检测
在呼叫行为恢复完毕之后,就进入到了分析检測阶段,其中分为粗检测和精检测两个方面的内容,对一般号码攻击、重点号码攻击、多路服务号码攻击以及号码段攻击开展相应的检测操作,并对检测到攻击的攻击信息进行输出。粗检测是在分析当前窗口信号时频特征的基础上,与链路正常信号信息做出比较,通过相关的异常状况判断疑似DOS攻击;精检测是粗检测的深化,在恢复呼叫行为的基础上,获得对用户行为的详细分析。
(四)DOS攻击拦截
如果能够确认DOS攻击发生,就应该找出攻击一方的行为特征,并且开展相应的呼叫拦截操作,完成对攻击的控制或者终止,起到良好的防御功能。
三、结论
具有开放性的电信网在网络融合环境下面临越来越多的外部威胁,因此,对电信业务出现的DoS攻击形式及其可能产生后果的分析具变得尤为重要,建立一种基于用户呼叫行为判定的DoS攻击拦截防御模式,能够提高对DoS攻击识别的准确性与处理速度。
参考文献:
[1]刘智宏,李宏昌.浅谈电信网络环境下的DDOS攻击防护技术[J].数字技术与应用,2012(7)
[2]沈峥嵘.“网络安全专家”为企业构筑网络安全屏障[J].通信世界,2008(45)
[3]邱俊沙,梅林.网络融合边界的电信DoS攻击检测[J].计算机应用研究,2011(12)
[4]卢联强.抗击DDoS强大攻击保障企业与电信级网络安全[J].网络安全技术与应用,2007(12)
【关键词】融合网络 电信业务 DOS攻击 防御系统
现在通信网的发展趋势为融合化,这种融合化主要体现在技术、业务、网络等方面。经融合而形成的电信网会产生很多将IP当做承载的业务。IP网络的缺陷在于,由于进行多个分组交换,使其呈现出面向无连接以及QOS保证较差的劣势,致使攻击源头无处不在而又无处查询,给电信业务带来很多的安全风险。DOS攻击为IP网络遇到的常见攻击类型之一,可以采取剥夺网络节点资源的方式,给正常的网路造成阻碍作用。因此,为了有效抵御融合网路电信业务DOS攻击,就应该充分认识DOS攻击原理和特点,有利于电信业务对DOS攻击进行防御拦截。
一、电信业务DOS攻击特征的分析
(一)DOS攻击类型和特点
对于各种控制协议或者信令的电话,电信业务最显著的特点就是对语音资源的依赖,因此电信业务中DOS攻击的目的之一就是对语音资源的剥夺。在现代化的融合网络下,呼叫发起方由以前的PSTN或者移动通信用户转变为软交换网络用户。攻击者在充分利用交换网络中终端高智能特性的基础上,采取终端的编程设计对电信网络中其它的网络节点开展攻击,受击对象有网管、交换机、网络代理、业务终端等。
1.以交换机、业务服务器为对象的DOS攻击
这类攻击采取洪泛攻击方式对目标资源进行消耗,以致其很难进行正常的业务服务,还会对交换机、服务器等下属节点的接通率造成不利的影响作用,其攻击方式和原有的互联网DOS攻击行为相仿,其实质原因还是依靠电信网络高层TP/TCP协议存在的漏洞。
2.以电信业务终端为对象的DOS攻击
此类攻击的目的就是对个体用户语音资源的剥夺,采取强制性介入的方式,减少用户IP网络的接通率,。不同类型电信业务终端都是有限的,通常含有待机、振铃、通话等三种运行状态,而信令就是终端于三种状态转换的触发设施。恶意信令的存在使得电话线路长时间处在占线状态而影响用户的正常呼叫,这样就完成了攻击的目的,恶意信令攻击通常有呼叫请求消息攻击、释放消息攻击、畸形消息攻击三种典型攻击方式。
(二)DOS攻击检测方式
与原有的互联网DOS攻击方式相比,融合网络下的电信业务DOS攻击是在充分利用高层信令协议漏洞的基础上进行的。然而,高层协议通常具有多样性、复杂性的特点,给DOS攻击的检测工作造成不小的障碍。还有攻击者通常选取挂着合法标志的高层信令消息,其呼叫过程大多是在遵循相关协议的基础上进行的,DOS攻击具有很强的隐蔽性,如果仅采取加大网络节点的识别和认证能力,就很难对DOS攻击进行有效的检测,只能发挥基础的防御效果,并不能从源头遏制DOS攻击的产生。根据实践总结,我们可以得到这样一个结果:不同类型的电信业务DOS攻击在信令交互中都会呈现出一定的异常特征,而这种特征产生于用户的呼叫行为。按照相关的研究结果,正常的呼叫具有比较固定的行为模式。这样就可以将高层信令体现的呼叫行为特征当作检测DOS/DDOS攻击的有效凭证,例如,可以实时采集可以信令链路的数据包,经深入研究分析后,将结果与正常呼叫行为进行比较,进而判断融合网络是否受到了DOS攻击。
二、融合网络中电信业务DOS攻击的防御过程
(一) 采集网络系统信令消息
这是防御系统实现的首要环节,通过分布式部署与网络中不同位置的采集模块从网络流量中过滤出应要处理分析的信令部分,如常见的SIP、H323和7号等信令消息。对信令进行分类的目的就是在充分认识不同种类信令业务特点的基础上,有效提升检测准确度以及响应灵敏度;根据多种信令协议含有信令类型体现功能的不同,可以将其划分为和呼叫行为有关的呼叫控制、接续信令以及网络管理信令,呼叫控制信令能够充分表现用户呼叫行为特征,是整个网络系统所重点采集的对象。
(二)恢复呼叫行为
所谓呼叫行为恢复,就是系统对收集到的信令消息进行协议语法方面的分析研究,并从中提取单次呼叫的用户ID、呼叫时间、振铃时长、通话时长、通话结束时间等多个方面的参数,并以此为基础,建立统一的数据结构系统。
(三)分析检测
在呼叫行为恢复完毕之后,就进入到了分析检測阶段,其中分为粗检测和精检测两个方面的内容,对一般号码攻击、重点号码攻击、多路服务号码攻击以及号码段攻击开展相应的检测操作,并对检测到攻击的攻击信息进行输出。粗检测是在分析当前窗口信号时频特征的基础上,与链路正常信号信息做出比较,通过相关的异常状况判断疑似DOS攻击;精检测是粗检测的深化,在恢复呼叫行为的基础上,获得对用户行为的详细分析。
(四)DOS攻击拦截
如果能够确认DOS攻击发生,就应该找出攻击一方的行为特征,并且开展相应的呼叫拦截操作,完成对攻击的控制或者终止,起到良好的防御功能。
三、结论
具有开放性的电信网在网络融合环境下面临越来越多的外部威胁,因此,对电信业务出现的DoS攻击形式及其可能产生后果的分析具变得尤为重要,建立一种基于用户呼叫行为判定的DoS攻击拦截防御模式,能够提高对DoS攻击识别的准确性与处理速度。
参考文献:
[1]刘智宏,李宏昌.浅谈电信网络环境下的DDOS攻击防护技术[J].数字技术与应用,2012(7)
[2]沈峥嵘.“网络安全专家”为企业构筑网络安全屏障[J].通信世界,2008(45)
[3]邱俊沙,梅林.网络融合边界的电信DoS攻击检测[J].计算机应用研究,2011(12)
[4]卢联强.抗击DDoS强大攻击保障企业与电信级网络安全[J].网络安全技术与应用,2007(12)