专利名称:基于云计算识别及治理利用短信实施DDoS的系统和方法
技术领域:
本发明涉及一种基于云计算方式实现的治理移动终端在感染病毒后发送大量垃圾短信对特定业务平台进行分布式拒绝服务攻击(DD0S)的系统和方法。
背景技术:
随着移动终端系统智能化和应用多样化方向的发展,移动终端的安全性日益变得重要。大量的感染特定病毒的移动终端同时向开通短信功能的特定业务平台持续发送大量的垃圾短信,造成业务平台的针对正常业务用户的服务质量下降,甚至不能提供正常的服务,此种攻击方式被称为分布式拒绝服务攻击(DDoS)。如何治理通信网络中非法的行为保证通信安全和保证通信业务平台正常的服务,日趋成为通信网络中研究的重点。云计算是近几年发展起来的网络技术,它是将计算任务分布在大量计算机构成的资源池上,使得各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。总结起来云计算具有以下特点:(I)超大规模。“云”具有相当的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器,“云”能赋予用户前所未有的计算能力。(2)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。(3)高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。(4)通用性。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。(5)高可扩展性。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。(6)按需服务。“云”是一个庞大的资源池,你按需购买;云可以象自来水,电,煤气那样计费。(7)极其廉价。由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。
发明内容
本发明目的在于基于当前云计算技术构建识别及治理利用短信实施DDoS的系统和方法,识别及治理利用短信实施DDoS的行为,避免业务平台遭受短信实施DDoS攻击,达到保障业务平台的服务质量的目的。
实现上述目的的技术方案是:一种基于云计算识别及治理利用短信实施DDoS的系统,包括若干个云端处理系统和至少一个基于云计算的集中管理平台,其中:所述云端处理系统部署于信令链路中,并且经由通信网络与所述集中管理平台相连;所述云端处理系统包括云端接口模块和云端处理模块;其中,云端接口模块从所述集中管理平台接收过滤规则并加载到云端处理模块,云端处理模块根据过滤规则,对流经的信令消息进行实时分析,执行信令消息的过滤功能,并经由云端接口模块将非过滤信令和过滤信令以不同标识上报所述集中管理平台,形成历史信令数据;所述集中管理平台包括依次连接并构成回路的管理模块、DDoS识别模块、平台接口模块和智能学习反馈模块,其中,管理模块负责所述集中管理平台规则的设定和管理,该规则包括DDoS识别规则、智能学习反馈模型和云端处理系统的过滤规则;DDoS识别模块根据所述的DDoS识别规则识别疑似短信DDoS攻击源,根据DDoS攻击源的行为生成新的过滤规则,并经由平台接口模块实时加载到各云端处理系统;智能学习反馈模块根据当前的过滤规则实际运行效果和所述集中管理平台中的历史信令数据,进行学习并调整当前的过滤规则和DDoS识别规则,并将它们分别实时加载到各云端处理系统和所述DDoS识别模块;平台接口模块负责过滤规则加载到各云端处理系统,并从各云端处理系统接收上报的非过滤信令和过滤信令。上述的基于云计算识别及治理利用短信实施DDoS的系统,其中,所述云端处理系统部署在的信令链路包括64Kb/s普通信令链路、2Mb/s高速信令链路、承载传递信令消息的IP数据链路以及三者的混合使用。上述的基于云计算识别及治理利用短信实施DDoS的系统,其中,所述云端处理系统部署于以无信令点编码方式串接于信令链路中的消息处理装置中,该消息处理装置连接至少一个业务平台。上述的基于云计算识别及治理利用短信实施DDoS的系统,其中,所述云端处理系统部署于单个业务平台前端保护单个业务平台;或者部署于多个业务平台的前端同时保护多个业务平台,此时,所述的DDoS识别规则和过滤规则均对应于该云端处理系统保护的全部业务平台。上述系统的识别及治理利用短信实施DDoS的方法,其中,包括下列步骤:步骤S1:在所述集中管理平台中设定参数和规则,包括设定系统运行的参数、DDoS识别规则、智能学习反馈模型和云端处理系统的过滤规则;步骤S2:所述集中管理平台将设定的过滤规则通过通信网络加载至各云端处理系统;步骤S3:所述集中管理平台接收云端处理系统以不同标识上报的非过滤信令和过滤信令;步骤S4:所述集中管理平台根据接收的非过滤信令,判断该非过滤信令的主叫号码发送行为是否符合设定的DDoS识别规则,如符合,则将所述主叫号码作为DDOS攻击源,并转步骤S5 ;否则转步骤S3 ;步骤S5:根据识别出的DDoS攻击源,生成新的过滤规则,加载到各云端处理系统;步骤S6:判断系统是否满足退出条件,如符合则结束,否则转步骤S2。上述的识别及治理利用短信实施DDoS的方法,其中,所述智能学习反馈模块根据预先设定的时间间隔进行动作,包括如下步骤:步骤SI,:读取所述集中管理平台中的历史信令数据;步骤S2’:根据所述管理模块中设定的智能学习反馈模型,进行智能学习反馈;步骤S3’:判断当前的DDoS识别规则和过滤规则是否需调整,如需调整则转步骤S4’,否则转步骤SI’ ;步骤S4,:对DDoS识别规则和过滤规则进行调整;步骤S5’:将调整后的DDoS识别规则加载至DDoS识别模块;步骤S6’:将调整后的调整后的过滤规则加载至各云端处理系统;步骤S7’:判断系统是否满足退出条件,如符合则结束,否则转步骤SI’。上述的识别及治理利用短信实施DDoS的方法,其中,所述的DDoS识别规则为:移动终端特定时间内发往被保护业务平台集合内的短信频次,或者移动终端发往被保护业务平台集合内的短信内容规则,或者移动终端特定时间内发送往被保护业务平台集合内的短信频次联合其发送的短信内容。上述的识别及治理利用短信实施DDoS的方法,其中,所述的过滤规则为:发往特定被保护业务平台集合的移动终端号码,或者发往特定被保护业务平台集合的移动终端发送的短信内容,或者发往特定被保护业务平台集合的移动终端号码联合其发送的短信内容。上述的识别及治理利用短信实施DDoS的方法,其中,所述的预先设定的时间间隔为N天,N为正整数且N默认为3 ;所述智能学习反馈模块动作时,统计当前时间N天内过滤规则过滤信令的总数,计算N天内每主叫号码发送的平均数=N天过滤信令总数/N天内不同主叫号码总数;对于设定的过滤规则,统计当天24小时内发送信令总数低于每主叫号码发送的平均数l/Μ的规则进行删除,即将过滤规则中的主叫号码从DDoS攻击源名单中删除,M大于I且M默认为2,统计当天24小时内发送信令总数超出每主叫号码发送的平均数M倍的且未列入DDoS攻击源名单的主叫号码加入DDoS攻击源名单,生成新的过滤规则,并将修订后的过滤规则同步到各云端处理系统本发明的有益效果是:本发明基于云计算技术构建识别及治理利用短信实施DDoS的系统和方法,提供了空前的计算处理能力和存储能力,且部署成本低廉,从而能够高效识别DDoS异常行为,及时治理DDoS行为,提供高可靠性和高扩展性,达到保证业务平台的服务质量,避免经济损失,维护品牌价值目的。
图1是本发明之一的基于云计算识别及治理利用短信实施DDoS的系统的组网架构示意图2是本发明之一的基于云计算识别及治理利用短信实施DDoS的系统的云端处理系统部署的不意图之一;图3是本发明之一的基于云计算识别及治理利用短信实施DDoS的系统的云端处理系统部署的示意图之二;图4是本发明之二的基于本发明之一所述系统的识别及治理利用短信实施DDoS的方法的流程图示意;图5是本发明之二的识别及治理利用短信实施DDoS的方法中智能学习反馈模块的处理流程图。
具体实施例方式下面将结合附图对本发明作进一步说明。请参阅图1,本发明之一的基于云计算识别及治理利用短信实施DDoS的系统,包括若干个云端处理系统10和至少一个基于云计算的集中管理平台30,云端处理系统10经由通信网络20和集中管理平台30相连,其中:云端处理系统10部署于以无信令点编码方式串接于信令链路中的消息处理装置(图中未示)中,该消息处理装置(图中未示)连接至少一个业务平台40,以达到透明保护业务平台40的目的;云端处理系统10包括云端接口模块10,2和云端处理模块101,其中,云端接口模块102从集中管理平台30接收过滤规则并加载到云端处理模块101,云端处理模块101根据过滤规则,对流经的信令消息进行实时分析,执行信令消息的过滤功能,并经由云端接口模块102将非过滤信令和过滤信令以不同标识上报集中管理平台30,形成历史信令数据;集中管理平台30包括依次连接并构成回路的管理模块304、DDoS识别模块302、平台接口模块301和智能学习反馈模块303,其中,管理模块304负责集中管理平台30规则的设定和管理,该规则包括DDoS识别规贝U、智能学习反馈模型和云端处理系统的过滤规则;DDoS识别模302根据所述的DDoS识别规则识别疑似短信DDoS攻击源,根据DDoS攻击源的行为生成新的过滤规则,并经由平台接口模块301实时加载到各云端处理系统10 ;智能学习反馈模块303根据当前的过滤规则实际运行效果和集中管理平台30中的历史信令数据,进行学习并调整当前的过滤规则和DDoS识别规则,并将它们分别实时加载到各云端处理系统10和DDoS识别模块302 ;平台接口模块301负责过滤规则加载到各云端处理系统10,并从各云端处理系统10接收上报的非过滤信令和过滤信令。上述的云端处理系统10部署在的信令链路包括:64Kb/s普通信令链路、2Mb/s高速信令链路、承载传递信令消息的IP数据链路以及三者的混合使用。请参阅图2和图3,上述的云端处理系统10部署于单个业务平台40前端保护单个业务平台40,或者部署于多个业务平台40的前端同时保护多个业务平台40,此时,所述的DDoS识别规则和过滤规则均对应于该云端处理系统10保护的全部业务平台40。请参阅图4,本发明之二的基于上述系统的识别及治理利用短信实施DDoS的方法,本实施例中,云端处理系统10部署于业务平台A和业务平台B流经的信令链路中,即云端处理系统10保护业务平台A和业务平台B,则,所述方法包括下列步骤:步骤S1:在集中管理平台30中设定参数和规则,包括设定系统运行的参数、DDoS识别规则、智能学习反馈模型和云端处理系统10的过滤规则;本实施例中,设定的识别规则为:“5分钟内发往业务平台A和业务平台B的最大阈值为10”,即从统计的当前时间记起的前5分钟内发往业务平台A和业务平台B的短信总数目不能大于10条;对于识别规则,移动终端发往被保护业务平台集合内的短信内容规则,或者移动终端特定时间内发送往被保护业务平台集合内的短信频次联合其发送的短信内容的设置类似。设定的过滤规则为:“发往被保护业务平台A和业务平台B的移动终端号码13300000001的短信被拦截”,即以移动终端号码13300000001为主叫发往业务平台A和业务平台B的短信将被拦截,不能到达业务平台A和业务平台B ;对于过滤规则,发往特定被保护业务平台集合的移动终端发送的短信内容,或者发往特定保护平台集合的移动终端号码联合其发送的内容设置类似。步骤S2:集中管理平台30将设定的过滤规则通过通信网络20加载至各云端处理系统10 ;本实施例中将“发往被保护业务平台A和业务平台B的移动终端号码13300000001的短信被拦截”规则加载至各云端系统10 ;步骤S3:集中管理平台30接收云端处理系统10以不同标识上报的非过滤信令和过滤信令;本实施例中,云端处理系统10对于主叫号码13300000001发往业务平台A和业务平台B的短信进行拦截并以拦截标识上报集中管理平台30 ;将非主叫号码13300000001发往业务平台A和业务平台B的短信以正常短信标识方式上报,也即云端处理系统10对于非主叫号码13300000001发往业务平台A和业务平台B的短信不进行拦截,只进行上报;本实例中,号码13300000002往业务平台A发送了 5条短信,往业务平台B发送了 6条短信,在云端处理系统10进行放通的同时,并上报至了集中管理平台30 ;步骤S4:集中管理平台30根据接收的非过滤信令,判断该非过滤信令的主叫号码发送行为是否符合设定的DDoS识别规则,如符合,则将所述主叫号码作为DDOS攻击源,并转步骤S5 ;否则转步骤S3 ;本实例中,号码13300000002往业务平台A和业务平台B发送了共11条短信,满足了设定规则,即11 > 10,转步骤S5 ;步骤S5:根据识别出的DDoS攻击源,生成新的过滤规则,加载到各云端处理系统10 ;本实例中,根据规则“5分钟内发往平台A和B的最大阈值为10”识别出的主叫号码13300000002将被加入DDoS攻击源名单,生成新的过滤规则:“发往业务平台A和业务平台B的移动终端号码13300000002的短信被拦截”;步骤S6:判断系统是否满足退出条件,如符合则结束,否则转步骤S2。请参阅图5,所述智能学习反馈模块根据预先设定的时间间隔进行动作,具体包括如下步骤:步骤SI’:读取集中管理平台30中的历史信令数据;步骤S2’:根据管理模块304中设定的智能学习反馈模型,进行智能学习反馈;步骤S3’:判断当前的DDoS识别规则和过滤规则是否需调整,如需调整则转步骤S4’,否则转步骤SI’ ;步骤S4,:对DDoS识别规则和过滤规则进行调整;步骤S5’:将调整后的DDoS识别规则加载至DDoS识别模块302 ;步骤S6’:将调整后的调整后的过滤规则加载至各云端处理系统10 ;步骤S7’:判断系统是否满足退出条件,如符合则结束,否则转步骤SI’。上述的DDoS识别规则为:移动终端特定时间内发往被保护业务平台集合内的短信频次,或者移动终端发往被保护业务平台集合内的短信内容规则,或者移动终端特定时间内发送往被保护业务平台集合内的短信频次联合其发送的短信内容这三类。上述的过滤规则为:发往特定被保护业务平台集合的移动终端号码,或者发往特定被保护业务平台集合的移动终端发送的短信内容,或者发往特定被保护业务平台集合的移动终端号码联合其发送的短信内容这三类。上述的预先设定的时间间隔为N天,N为正整数且N默认为3 ;智能学习反馈模块303动作时,统计当前时间N天内过滤规则过滤信令的总数,计算N天内每主叫号码发送的平均数=N天过滤信令总数/N天内不同主叫号码总数;对于设定的过滤规则,统计当天24小时内发送信令总数低于每主叫号码发送的平均数l/Μ的规则进行删除,即将过滤规则中的主叫号码从DDoS攻击源名单删除,M大于I且M默认为2,统计当天24小时内发送信令总数超出每主叫号码发送的平均数M倍的且未列入DDoS攻击源名单的主叫号码加入DDoS攻击源名单,生成新的过滤规则,并将修订后的过滤规则同步到各云端处理系统10中。综上所述,本发明基于云计算识别及治理利用短信实施DDoS,提供了空前的计算处理能力和存储能力,且部署成本低廉,从而能够高效识别DDoS异常行为,及时治理DDoS行为,提供高可靠性和高扩展性,达到保证业务平台的服务质量,避免经济损失,维护品牌价值目的。以上实施例仅供说明本发明之用,而非对本发明的限制,有关技术领域的技术人员,在不脱离本发明的精神和范围的情况下,还可以作出各种变换或变型,因此所有等同的技术方案也应该属于本发明的范畴,应由各权利要求所限定。
权利要求
1.一种基于云计算识别及治理利用短信实施DDoS的系统,其特征在于,包括若干个云端处理系统和至少一个基于云计算的集中管理平台,其中: 所述云端处理系统部署于信令链路中,并且经由通信网络与所述集中管理平台相连;所述云端处理系统包括云端接口模块和云端处理模块;其中, 云端接口模块从所述集中管理平台接收过滤规则并加载到云端处理模块,云端处理模块根据过滤规则,对流经的信令消息进行实时分析,执行信令消息的过滤功能,并经由云端接口模块将非过滤信令和过滤信令以不同标识上报所述集中管理平台,形成历史信令数据; 所述集中管理平台包括依次连接并构成回路的管理模块、DDoS识别模块、平台接口模块和智能学习反馈模块,其中, 管理模块负责所述集中管理平台规则的设定和管理,该规则包括DDoS识别规则、智能学习反馈模型和云端处理系统的过滤规则; DDoS识别模块根据所述的DDoS识别规则识别疑似短信DDoS攻击源,根据DDoS攻击源的行为生成新的过滤规则,并经由平台接口模块实时加载到各云端处理系统; 智能学习反馈模块根据当前的过滤规则实际运行效果和所述集中管理平台中的历史信令数据,进行学习并调整当前的过滤规则和DDoS识别规则,并将它们分别实时加载到各云端处理系统和所述DDoS识别模块; 平台接口模块负责过滤规则加载到各云端处理系统,并从各云端处理系统接收上报的非过滤信令和过滤信令。
2.根据权利要求1所述的基于云计算识别及治理利用短信实施DDoS的系统,其特征在于,所述云端处理系统部署在的信令链路包括64Kb/s普通信令链路、2Mb/s高速信令链路、承载传递信令消息的IP数据 链路以及三者的混合使用。
3.根据权利要求1或2所述的基于云计算识别及治理利用短信实施DDoS的系统,其特征在于,所述云端处理系统部署于以无信令点编码方式串接于信令链路中的消息处理装置中,该消息处理装置连接至少一个业务平台。
4.根据权利要求3所述的基于云计算识别及治理利用短信实施DDoS的系统,其特征在于,所述云端处理系统部署于单个业务平台前端保护单个业务平台;或者部署于多个业务平台的前端同时保护多个业务平台,此时,所述的DDoS识别规则和过滤规则均对应于该云端处理系统保护的全部业务平台。
5.一种基于权利要求1所述系统的识别及治理利用短信实施DDoS的方法,其特征在于,包括下列步骤: 步骤S1:在所述集中管理平台中设定参数和规则,包括设定系统运行的参数、DDoS识别规则、智能学习反馈模型和云端处理系统的过滤规则; 步骤S2:所述集中管理平台将设定的过滤规则通过通信网络加载至各云端处理系统;步骤S3:所述集中管理平台接收云端处理系统以不同标识上报的非过滤信令和过滤信令; 步骤S4:所述集中管理平台根据接收的非过滤信令,判断该非过滤信令的主叫号码发送行为是否符合设定的DDoS识别规则,如符合,则将所述主叫号码作为DDOS攻击源,并转步骤S5 ;否则转步骤S3 ;步骤S5:根据识别出的DDoS攻击源,生成新的过滤规则,加载到各云端处理系统; 步骤S6:判断系统是否满足退出条件,如符合则结束,否则转步骤S2。
6.根据权利要求5所述的识别及治理利用短信实施DDoS的方法,其特征在于,所述智能学习反馈模块根据预先设定的时间间隔进行动作,包括如下步骤: 步骤SI’:读取所述集中管理平台中的历史信令数据; 步骤S2’:根据所述管理模块中设定的智能学习反馈模型,进行智能学习反馈; 步骤S3’:判断当前的DDoS识别规则和过滤规则是否需调整,如需调整则转步骤S4’,否则转步骤SI’ ; 步骤S4,:对DDoS识别规则和过滤规则进行调整; 步骤S5’:将调整后的DDoS识别规则加载至DDoS识别模块; 步骤S6’:将调整后的调整后的过滤规则加载至各云端处理系统; 步骤S7’:判断系统是否满足退出条件,如符合则结束,否则转步骤SI’。
7.根据权利要求5所述的识别及治理利用短信实施DDoS的方法,其特征在于,所述的DDoS识别规则为:移动终端特定时间内发往被保护业务平台集合内的短信频次,或者移动终端发往被保护业务平台集合内的短信内容规则,或者移动终端特定时间内发送往被保护业务平台集合内的短信频次联合其发送的短信内容。
8.根据权利要求5所述的识别及治理利用短信实施DDoS的方法,其特征在于,所述的过滤规则为:发往特定被保护业务平台集合的移动终端号码,或者发往特定被保护业务平台集合的移动终端发送的短信内容,或者发往特定被保护业务平台集合的移动终端号码联合其发送的短信内容。
9.根据权利要求6所述的识别及治理利用短信实施DDoS的方法,其特征在于,所述的预先设定的时间间隔为N天,N为正整数且N默认为3 ; 所述智能学习反馈模块动作时,统计当前时间N天内过滤规则过滤信令的总数,计算N天内每主叫号码发送的平均数=N天过滤信令总数/N天内不同主叫号码总数;对于设定的过滤规则,统计当天24小时内发送信令总数低于每主叫号码发送的平均数l/Μ的规则进行删除,即将过滤规则中的主叫号 码从DDoS攻击源名单中删除,M大于I且M默认为2,统计当天24小时内发送信令总数超出每主叫号码发送的平均数M倍的且未列入DDoS攻击源名单的主叫号码加入DDoS攻击源名单,生成新的过滤规则,并将修订后的过滤规则同步到各云端处理系统。
全文摘要
本发明公开了一种基于云计算识别及治理利用短信实施DDoS的系统和方法,系统由若干个云端处理系统和至少一个基于云计算的集中管理平台组成,并经通信网络相连。云端处理系统部署于信令链路,负责信令采集并依据加载过滤规则完成信令的过滤功能,并将非过滤信令和过滤信令以不同标识上报集中管理平台;集中管理平台对云端处理系统上报的信令进行DDoS攻击异常行为识别,并通过智能学习反馈模块不断根据异常行为调整过滤策略。方法包括设定参数和规则;加载过滤规则至各云端处理系统;集中管理平台接收信令,并识别出DDoS攻击源,从而生成新的过滤规则;退出系统或重复。本发明避免业务平台遭受短信实施DDoS攻击,达到保障业务平台的服务质量的目的。
文档编号H04W4/14GK103188226SQ201110452008
公开日2013年7月3日 申请日期2011年12月29日 优先权日2011年12月29日
发明者狄卫华 申请人:上海粱江通信系统股份有限公司