（计算机科学与技术专业论文）ims网络垃圾通信识别过滤系统的研究与实现.pdf

， 北京邮电大学硕士研究生毕业论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究 所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 掣一 日期： 一迎也二厶：_ 臣 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定， 即：研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被 查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、 缩印或其它复制手段保存、汇编学位论文。 本人签名： 导师签名： ， ， 、 h 北京邮电大学硕士研究生毕业论文摘要 i m s 网络垃圾通信识别过滤系统的研究与实现 摘要 i m s ( i pm u l t i m e d i as u b s y s t e m ) 是由3 g p p ( t h e3 r dg e n e r a t i o n p a r t n e r s h i pp r o j e c t ) 组织推动的3 g 核心网络标准。它基于i p 的网络， 融合了传统电信网络技术与互联网技术，使运营商可以快速提供用户 所期望的多媒体业务。但网络融合也打破了传统电信网络的封闭性， 给i m s 网络带来了诸多如垃圾v o l p 、垃圾即时消息、垃圾呈现等垃圾 通信。这些垃圾通信降低了i m s 网络的服务质量、影响了用户体验， 是影响i m s 网络安全的重要问题。目前i m s 安全研究还处于起步阶段， i m s 垃圾通信识别过滤的研究基本属于空白，因此有必要提出一套i m s 垃圾通信识别过滤方法。 本文在研究传统网络垃圾通信识别过滤方法的基础上，提出了基 于社会网络分析的i m s 网络用户行为建模与分析方法，设计实现了一 套i m s 垃圾通信识别过滤系统，为i m s 脆弱性弥补方案研究提出了新 的思路。 本文首先阐述了论文的研究背景，对i m s 网络安全威胁研究和现 有网络垃圾通信识别过滤方法做了简要分析；其次提出了一种描述用 户通信行为的社会网络模型并对其进行分析；在此基础上，提出了一 种垃圾通信识别的社会网络分析方法；接下来论文介绍了应用上述方 法实现的i m s 垃圾通信识别过滤系统，着重对系统设计进行了阐述； 最后对今后工作进行了探讨。 关键字：i p 多媒体子系统，垃圾通信识别，垃圾通信过滤，社会网络分析， 用户关系模型 t h er e s e a r c ha n dr e a i i z a t i o no f j u n kc o m m u n i ( r i o n si d e n t i f i ( 弋a t i o na n df i i j e r i n g i ni m sn e t w o r k a b s l n ra c t i m s ( i vm u l t i m e d i as u b s y s t e m ) i s d r i v e nb v3 g p p ( t h e3 r d g e n e r a t i o np a r t n e r s h i pp r o j e c t ) a st h e3 gc o r en e t w o r ki n f r a s t r u c t u r e i m s i sb a s e do na l li pn e t w o r k i tc o m b i n e st h e e x i s t i n gt r a d i t i o n a l t e l e c o m m u n i c a t i o n st e c h n o l o g yw i t ht h ei n t e r n e tt e c h n o l o g y t h i sw i l l a l l o wo p e r a t o r st oo f f e rn e w , i n n o v a t i v es e r v i c e st h a tu s e r sa r ee x p e c t i n g b u tt h en e t w o r kc o n v e r g e n c eb r e a k st h ec l o s e ds t a t eo ft r a d i t i o n a l t e l e c o m m u n i c a t i o nn e t w o r k sa n dh a sb r o u g h tal o to fi u n kc o m m u n i c a t i o n s s u c ha sv o i ps p a m ，i n s t a n tm e s s a g i n gs p a m ，a n dp r e s e n ts p a m t h es p a m r e d u c e st h e q u a l i t yo fs e r v i c eo fi m sn e t w o r k ，a f f e c t i n gt h e u s e r s e x p e r i e n c e i ti sa ni m p o r t a n ti s s u et h a ta f f e c t st h es e c u r i t yo fi m sn e t w o r k c u r r e n t l y , i m ss e c u r i t yr e s e a r c hi ss t i l li ni t si n f a n c v ，a n dt h es t u d yo f i d e n t i f y i n g a n d f i l t e r i n gj u n k c o m m u n i c a t i o n si ni m si s b a s i c a l l y n o n - e x i s t e n t ，t h u s ，i ti sn e c e s s a r yt op r o p o s eas e to fm e t h o d st of i l t e ra n d i d e n t i f yi u n kc o m m u n i c a t i o n si ni m s t h i st h e s i sp r o p o s e sas e to fm e t h o d sa b o u tm o d e l i n ga n da n a l y z i n g t h eu s e r s b e h a v i o ro fi m sn e t w o r kb a s e do ns o c i a ln e t w o r ka n a l y s i so nt h e b a s i so fd o i n gr e s e a r c ho nj u n kc o m m u n i c a t i o n si d e n t i f y i n ga n df i l t e r i n go f t r a d i t i o n a ln e t w o r k b a s e do nt h e s em e t h o d s ，t h i st h e s i sd e s i g n sa n d r e a l i z e sa ni m si u n kc o m m u n i c a t i o n si d e n t i f i c a t i o na n df i l t e r i n gs y s t e m i t p r o v i d e san e ws o l u t i o nf o rt h ev u l n e r a b i l i t yr e s e a r c ho fi m s t h i st h e s i sb e g i n sb ye x p o u n d i n gt h er e s e a r c hb a c k g r o u n d ，a f t e rt h a t ， b r i e f l ya n a l y z e st h er e s e a r c ho fi m sn e t w o r ks e c u r i t yt h r e a t sa n dt h e m e t h o d so ff i l t e r i n ga n di d e n t i f y i n gj u n kc o m m u n i c a t i o n so ft h ee x i s t i n g n e t w o r k ；t h e np r o p o s e st h ec o r eo ft h i sa r t i c l e ，t h a ti s ，as y s t e ma i m e da t 北京邮电大学硕士研究生毕业论文 f i l t e r i n ga n di d e n t i f y i n gj u n kc o m m u n i c a t i o n si ni m sn e t w o r k i n c l u d i n g i n t r o d u c i n ga n da n a l y z i n gu s e rr e l a t i o n s h i pa n a l y s i sm o d e lw h i c hd e s c r i b e s u s e r sc o m m u n i c a t i o nb e h a v i o r , o nt h i sb a s i s ，t h et h e s i sp r o p o s e sas o c i a l n e t w o r ka n a l y s i sm e t h o dt oi d e n t i f yi u n kc o m m u n i c a t i o n s ；n e x t ，t h et h e s i s d e s c r i b e st h es y s t e mo ff i l t e r i n ga n di d e n t i f y i n gj u n kc o m m u n i c a t i o n s w h i c hd e p e n d so na p p l y i n gt h ea b o v e m e n t i o n e di d e n t i f y i n gm e t h o d si n i m s ；f i n a l l y , t h ef u t u r ew o r ki nt h i sa r e ar e l a t e dt ot h i st h e s i sa r ed i s c u s s e d k e yw o r d s ：i pm u l t i m e d i a s u b s y s t e m ；j u n k c o m m u n i c a t i o n s i d e n t i f i c a t i o n ；j u n kc o m m u n i c a t i o n sf i l t e r i n g ；s o c i a ln e t w o r k a n a l y s i s ； u s e rr e l a t i o n s h i pm o d e l ， 目录 目录 l绪论l 1 1 研究背景。1 1 2 研究意义。2 1 3 研究内容3 1 4 研究生阶段工作。4 1 5 论文结构4 2 i 髂网络垃圾通信识别基础5 2 1i m s 网络安全威胁。5 2 2 垃圾语音通信识别研究9 2 3 垃圾消息通信的检测研究1 1 2 4 社会网络分析方法1 2 3 垃圾通信的社会网络分析模型1 5 3 1 通信网络的用户关系模型1 5 3 1 1 现有通信网络模型。1 5 3 1 2 现有通信网络用户关系模型的不足1 6 3 1 3 通信社会网络分析模型1 9 3 2 垃圾通信用户关系模型。2 0 3 2 1 用户关系属性。2 1 3 2 2 用户节点属性集合矗2 1 3 3 垃圾通信的用户关系模型特征2 5 3 3 1 垃圾通信的用户关系模型特征2 5 3 3 2 垃圾通信行为分类。2 7 4 垃圾通信的社会网络识别方法 4 1 传统社会网络分析方法。2 9 4 1 1 聚类系数计算。3 0 4 1 2 传统聚类系数的缺陷。3 1 4 2 社会网络分析的通信网络扩展。3 2 4 2 1 聚类系数计算的方向性扩展。3 3 4 2 2 聚类系数计算的权值扩展3 5 4 2 3 邻域的三角形节点率。3 6 4 3 通信社会网络垃圾通信用户识别算法3 7 4 3 1 计算用户模型节点属性特征3 9 4 3 2 计算用户扩展的局部聚类系数3 9 4 3 3 计算用户邻域三角形节点率。4 0 4 4 算法验证。4 0 4 4 1 垃圾语音用户识别4 0 4 4 2 垃圾短信用户识别率。4 1 5 i m s 网络垃圾通信识别与过滤系统 5 1l m s 网络垃圾通信识别与过滤系统设计4 3 i 北京邮电大学硕上研究生毕业论文 目录 5 1 1i m s 网络垃圾通信识别与过滤系统目标4 3 5 1 2i m s 网络垃圾通信识别过滤系统软件体系结构4 3 5 1 3i m s 网络垃圾通信识别过滤系统部署4 5 5 2i m s 网络垃圾通信过滤方法4 6 5 2 1 接入端过滤方法4 7 5 2 2 应用端过滤方法4 8 5 3i m s 网络垃圾通信识别过滤系统模块设计。4 9 5 3 1 接入端检测过滤模块4 9 5 3 2 应用端检测过滤模块。! ；( ) 5 3 3 垃圾用户识别模块5 0 5 4i m s 网络垃圾通信识别过滤系统数据库设计5 0 5 4 1 数据库设计原则5 1 5 4 2 数据库概述5 1 5 5i m s 网络垃圾通信识别过滤系统测试5 4 5 5 1i m s 网络垃圾通信识别过滤系统的功能测试5 4 5 5 2i m s 网络垃圾通信识别过滤系统的性能测试5 6 6总结 7 8 9 1 0 6 1 论文总结5 7 6 2 下一步： 作5 7 参考文献 附录 致谢 攻读学位期间发表的学术论文目录 5 9 6 l 6 3 6 5 、 ， 图目录 图目录 图2 - 1 垃圾v o i p 信令流程。1 0 图2 - 2 垃圾即时消息信令流程1 1 图2 3 垃圾电子邮件发送网络拓扑图( 引自文献【1 9 】) 1 3 图2 - 4 正常电子邮件发送网络拓扑图( 引自文献 1 9 】) 1 3 图3 - 1 现有通信网络用户关系模型示意图1 6 图3 - 2 结点a 为垃圾通信主叫的无向用户关系网络图1 7 图3 - 3 结点a 为垃圾通信主叫的有向用户关系网络图1 7 图3 4 结点a 为普通用户的有向用户关系网络图1 7 图3 s 普通用户的用户关系权值1 8 图3 6 垃圾主叫用户的通信网络权值1 8 图3 7 垃圾短信与正常短信的回复统计柱状酣捌2 7 图4 1 通信社会网络用户关系图2 9 图4 2 开放三连体和封闭三连体3 0 图4 - 3 以a 为计算结点的全连通通信网络3 2 图“以a 为计算结点的通信网络3 2 图4 一s 有向图中的非空三j 奎体3 3 图4 - 6 非空三连体的传递性3 4 图舢7 方向扩展的垃圾通信示意图3 4 图4 8 邻域边权重扩展示意图3 s 图4 - 9 邻边权重扩展示意图3 6 图4 1 0 邻域三角形参与率举例。3 7 图4 - 1 1 垃圾通信用户识别算法流程3 8 图4 一1 2 四种垃圾语音用户识别实验结果。4 l 图4 - 1 3 两种垃圾短信用户识别实验结果。4 1 图5 - 2i m s 网络示意图4 5 图5 3i m s 网络部署垃圾通信检测系统示意图4 6 图5 4i m s 网络垃圾通信检测系统结构4 6 图5 5 黑名单用户注册接入端模块处理流程4 7 图5 - 6 用户异常呼叫接入端模块处理过程4 8 图s 一7 应用服务端检测到垃圾通信处理流程4 8 图s 8 应用服务端检测到正常通信处理流程4 9 图5 9 接入端模块的架构图4 9 图s - 1 0 应用服务端垃圾通信检测模块。5 0 m 北京邮电大学硕士研究生毕业论文 表目录 表目录 表3 - 1 正常用户与s p i t 用户的用户节点属性特征2 6 表4 1 某移动网络用户通信特征统计4 0 表5 - 1 用户通信关系属性表。5 2 表5 2 用户结点属性表一s 2 表5 - 3 用户分类表5 3 表s - 4 短信呼叫过滤策略表5 3 表5 5 语音呼叫过滤规则表5 4 。 r y 第一章绪论 1 1 研究背景 1 绪论 下一代网络是一个国家的信息基础设施的重要组成部分和信息通信的神经枢 纽，承担着大范围内的公众电信业务，因而其安全问题成为下一代网络研究和部 署中的核心问题之一。下一代网络将采用互联网的许多关键技术，最终将核心网 统一到i p 分组网络，而分组网络的“开放性 将原有互联网的诸多安全问题引入 到下一代网络领域。口多媒体子系统( i m s ，i pm u l t i m e d i as u b s y s t e m ) 是由3 g 移 动通信领域中最权威的工业组织3 g p p 于2 0 0 2 年3 月在它的r 5 版本中提出的重 要概念i l j 。它的核心特点是基于i p 分组网络，支持开放的a p i ( a p p l i c a t i o n p r o g r a m m i n gi n t e r f a c e ) ，采用s i p 协议( s e s s i o ni n i t i a lp r o t o c 0 1 ) ，实现业务、呼叫 控制和承载的相互分离，并可屏蔽接入手段的差异。随着i m s 标准的逐步成熟， 它已经在下一代网络领域得到广泛接受，电信领域的国际标准化组织( 包括删t 、 e t s i 和a n s i 等) 已经开始在i m s 的基础上制定下一代网络标准。该领域的专家 普遍认为：以软交换为核心的网络是向i m s 过渡的重要阶段，i m s 是下一代网络 的最终目标架构，软交换网络和i m s 将先后出现在网络中长期共存，最终统一在 i m s 。 当前，国内外对i m s 脆弱性及安全的研究还处于起步阶段，仅限于早期部署 所引发的安全问题，只有一些粗浅的建议，尚没有系统的研究成果出现。随着i m s 大规模部署的日益临近，如何有效维护i m s 网络的安全成为业界亟需解决的难题 之一。 中国移动自2 0 0 9 年1 月开始分别在国内9 省开展i m s 全业务运营试点，并于 2 0 0 9 年1 2 月启动i m s 商用招标和规模部署，计划于2 0 1 0 年正式开始商用运营。 随着i m s 网络的部署与商用，i m s 网络中垃圾通信将会大量出现，如垃圾短信息、 一声响即挂电话、垃圾语音电话等，这些垃圾通信不仅浪费了大量的网络带宽， 造成网络服务质量的下降，而且会频繁呼叫普通用户，对普通用户的通信及生活 带来负面影响，影响用户体验。 i m s 网络脆弱性研究中发现，相对于会话劫持、a r p 欺骗等针对i m s 网络本身 的攻击，用户发起的垃圾通信是用户对i m s 网络所提供业务的滥用，对i m s 网络 的信令流与媒体流等网络资产不造成破坏，因而用户发起的垃圾通信是i m s 网络 中难以发现、无法有效控制的影响i m s 网络安全的行为。在i m s 即将商用之际， 有必要对i m s 网络中的垃圾通信进行研究，根据其通信特征予以有效识别和过滤， 提高i m s 网络的安全性与稳定性。 l 北京邮电大学硕上研究生毕业论文第一章绪论 1 2 研究意义 垃圾通信是指垃圾信息制造者滥用通信系统发送大量未被请求的消息，被人 们所熟知的垃圾通信包括垃圾电子邮件、垃圾短信等。垃圾通信在不同的通信系 统中都有出现，如p s t n 中的语音广告、互联网中的垃圾电子邮件、移动通信网 络中的垃圾短信息等。垃圾通信不仅占用了大量的通信带宽，严重影响到用户的 正常生活，甚至还会通过传播恶意软件等方式威胁通信系统的安全。 i m s 网络中作为下一代网络的核心，提供了现有业务的融合，面临着更大的 威胁。2 0 0 6 年初，j r o s e n b e r g 等在i e t f 草案中把未来融合网络环境( f m c ， f i x e d m o b i l ec o n v e r g e n c e ) 中基于s i p 的垃圾信息( s p a m ) 分为三类：语音垃圾 信息( c a l ls p a m ) 、即时通信垃圾信息( i n s t a n tm e s s a g es p a m ) 和呈现垃圾信息 ( p r e s e n c es p a m ) 1 2 j 。上述的三类对应着i m s 网络中最主要的三种业务类型 语音通信业务、即时通信业务和呈现业务。 i m s 网络中的垃圾通信影响了正常通信，降低了网络的服务质量，严重干扰 了用户的正常生活、耗费人们的大量时间，给i m s 网络安全带来了巨大的威胁， 其危害性主要表现在以下方面： 第一、占用网络带宽、消耗网络资源、降低网络服务质量。s i p 与s m t p 协 议类似，本质上是一种p u s h 模式的应用约定，这种协议应用模式在未经接收方 审核和认证的情况下就将信息发送给接收方，并且由接收方负责信息的存储及保 副3 1 据美国互联网安全公司m e s s a g e l a b s 发布的2 0 0 9 年垃圾电子邮件统计数据， 垃圾电子邮件率高达8 7 7 ，大约每天全球共发送1 0 7 0 亿封垃圾电子邮件l 引。i m s 网络商用后也将面临着垃圾通信在网络中占较大的比例的挑战。这些垃圾通信大 量占用网络带宽，不仅消耗了运营商的网络资源，而且会影响正常通信的时延， 降低网络的服务质量。 第二、侵犯被叫用户的个人利益。通信具有实时性，用户未接触到具体内容 之前，已经受到振铃音的骚扰，严重干扰了用户的正常生活，影响用户体验。 第三、威胁i m s 网络安全。垃圾通信不仅仅会带来类似于垃圾邮件的安全及 应用问题，更为重要的它会成为电话钓鱼攻击和拒绝服务攻击( d e n i a lo f s e r v i c e ， d o s ) 的手段，危害到整个下一代融合网络的运营安全。同时，它的产生也会对国 家的政治经济安全以及社会稳定带来重大威胁。 第四、对社会造成危害。与垃圾电子邮件相同，由于发送者的身份及地址信 息极易伪造和篡改，并且容易批量发送实现，因此垃圾通信将是商业垃圾广告、 恶意骚扰、特定政治利益团体宣传以及谣言恶意发送者重要的手段，垃圾通信的 泛滥将会影响到社会的安定。垃圾v o l p ( s p i t ，s p a r eo v e ri et e l e p h o n y ) 的成本 要远远低于传统电路交换的话音业务，特别是国际呼叫业务的成本更为低廉，因 2 北京邮电人学硕+ 研究生毕业论文第一章绪论 此垃圾v o l p 会被境外敌对组织及势力利用成为主要的宣传手段。 第五、严重影响网络服务提供商和国家的形象。英国安全机构s o p h o s 公布的 最新调查显示，中国是世界上第二大垃圾邮件制造国。大量的垃圾邮件会导致互 联网被大规模的屏蔽，国外许多邮件服务商曾一度封杀中国邮件服务器的i p ，致 使中国用户蒙受不可估量的损失，影响了正常业务，在国际上造成了不好影响。 相对于传统p s t n ，i m s 网络中更容易产生垃圾语音电话。i m s 网络使用s i p 协议，包含一个呼叫建立阶段和一个媒体会话阶段，用户是否接听电话的决定都 必须在真正媒体会话开始前实时的做出。由此可见，语音电话的通信过程不同于 垃圾邮件，无法使用类似电子邮件内容过滤的方式对语音电话进行反垃圾检测， 传统的垃圾邮件检测技术不适用于对抗垃圾语音电话。为了应对i m s 网络中出现 的垃圾通信的挑战，我们需要研究能够针对i m s 网络中的垃圾通信，尤其是垃圾 电话和垃圾短信进行有效的检测与过滤的系统，提高i m s 网络的安全性。 1 3 研究内容 本论文主要研究i m s 网络的垃圾通信识别与过滤方法，对i m s 网络中的垃圾 通信用户与普通通信用户予以区别，过滤i m s 网络中垃圾通信用户发起的呼叫， 从而保障i m s 网络的安全与服务质量，提高下一代网络的安全性。 论文的思路是在业界垃圾通信识别研究的基础上，针对i m s 网络中出现的垃 圾通信，提出一套适用于i m s 网络的垃圾通信识别和过滤方法与相应的实现。本 文依托于北京邮电大学网络与交换技术国家重点实验室i m s 网络安全及防御技术 研究项目，着重对i m s 网络中用户滥用系统造成的垃圾通信进行识别研究。研究 内容主要分为以下三个部分： 一、针对目前用户通信行为抽象模型的不足，提出一种用户通信行为模型， 该模型对用户在通信网络中的行为进行建模。正常用户与垃圾通信用户在通信中 的行为不同，在通信网络关系模型上的表现特征也不同，通过对正常用户与垃圾 通信用户的通信行为进行分析，我们可以得到两类用户在模型上的特征。对所有 用户通信数据进行建模后，可以根据用户的模型特征对用户进行分类。 二、本文针对现有社会网络分析中聚类系数无法对有向带权图进行分析的情 况，对聚类系数的计算方法进行了扩展，提出了适用于用户通信行为模型的社会 网络分析算法。该算法能够根据垃圾通信制造者的模型特征，有效识别出垃圾通 信制造者。 三、本文进一步将垃圾通信制造者的识别算法应用在实际i m s 网络中，设计 了一套能够在i m s 网络上有效识别垃圾通信并予以过滤的系统，针对i m s 网络中 用户滥用服务的脆弱性进行弥补，提高i m s 网络的安全性。 3 北京邮电大学硕十研究生毕业论文第一章绪论 需要说明的是，本研究提出的用户通信行为抽象模型与垃圾通信用户识别的 技术不仅适用于垃圾通信用户的识别，也可用于其它诸如关键客户分析等应用中。 从本质上讲，本文提出的垃圾用户识别技术是从用户通信行为的角度对用户进行 分类。在分类的过程中，根据选取参数的不同，分类可用于识别出通信网络中的 垃圾通信用户，也可以用于识别高价值用户、相同行为用户等其他类别，因而该 技术具有通用性。本文的研究范围限于通信网络中垃圾通信用户的识别，对其他 类型不涉及。 1 4 研究生阶段工作 本人在研究生阶段，参与了实验室两个项目的研究与开发工作，具体工作内 容如下： 1 、参与国家9 7 3 课题“新一代互联网服务模型和服务管理理论一的支撑系统 。基于p 2 p 的面向智能服务的中间件系统 ，作为项目成员负责服务监控模块的研 究与开发工作，代码量2 0 0 0 余行。 2 、参与国家8 6 3 计划支持的重大项目“面向下一代电信网的安全测试评估技 术与工具( 项目编号：2 0 0 6 a a 0 1 2 4 4 8 ) 。作为小组负责人，负责i m s 网络脆弱性 评估方案研究与制定、i m s 网络脆弱性评估软件中脆弱性分析评估部分设计与实 现，提交i m s 网络评估方法的专利申请一篇，代码工作量8 0 0 0 余行 本文是项目二的延续，在其研究基础上，重点针对用户滥用i m s 网络服务所 产生的的脆弱性，提出了一种i m s 网络脆弱性的弥补方案限于论文篇幅原因， 本文不涉及项目一内容，项目二内容也仅作少许介绍 1 s 论文结构 本文第一章为绪论；第二章介绍了i m s 网络的脆弱性研究，以及当前垃圾通 信识别的方法与局限性；第三章首先建立了反映用户通信行为的用户关系模型， 对模型进行了深入分析探讨并对垃圾通信用户在模型上的特征予以分类说明； 第四章在该模型上提出了识别垃圾通信主叫的社会网络分析算法，并对该算法的 有效性予以验证；第五章介绍应用该算法所设计和实现的i m s 网络垃圾通信识别 与过滤系统，对系统进行了说明；第六章对本文的工作进行了总结，对下一步的 工作进行了探讨。 4 2im s 网络垃圾通信识别基础 目前业界对i m s 安全的研究还处于起步阶段，针对i m s 网络脆弱性的弥补方 案涉及的更少。针对i m s 网络面临的安全威胁，本文在分类研究的基础上，对业 务滥用威胁造成的垃圾通信进行了脆弱性弥补方案研究。本章首先介绍i m s 网络 安全威胁的研究，其次分析了目前通信网络中垃圾v o l p 与垃圾短消息的识别方法， 最后简要介绍适用于i m s 网络垃圾通信识别的社会网络分析方法。 2 1i m s 网络安全威胁 下一代网络作为网络融合与演进的最终目标网络是一个基于i p 承载技术和电 信网层次模型的独立系统，这种开放的网络结构给下一代网络带来了有别于传统 电信网的重大安全隐患。i m s 在带来网络融合以及业务提供能力增强的同时，也 给基于i m s 的下一代网络带来巨大的安全威胁，其安全问题目前成为学术界与工 业界共同关注的焦点之一。i m s 的安全风险不仅来自口网络固有的脆弱性，也来 自其网络架构、信令及业务流程等方面的脆弱性。因而评估i m s 的脆弱性，掌握 其对i m s 规划、部署、运行、维护的影响情况，可有效指导i m s 安全措施的部署， 以良好的性价比达到最优的网络安全防护目的。五 在i m s 脆弱性进行研究的过程中，分类是系统认识网络脆弱性的基础，是成 功管理和存储脆弱性信息的关键。对脆弱性进行分类，有助于应用统计分析、数 据挖掘等技术对脆弱性数据进行分析，发现其中的模式、分布和规律，为脆弱性 的检测和预防技术奠定良好的基础，同时还可为合理客观地对脆弱性进行评估打 下坚实基础。 现有的脆弱性分类方法大多是基于单一属性的，无法从多个侧面来全面描述 i m s 脆弱性的特点，而i m s 中，不同的脆弱性具有不同的关键属性，并且其来源、 分布于网络中的位置以及被利用的方式均不相同，因此仅仅从单一属性的角度进 行分析难以完整地描述n g n 脆弱性的整体状况。 为了对i m s 脆弱性进行分析评估，我们采用多属性定义i m s 脆弱性，形式化 定义如下： v 表示i m s 网络中某个具体的脆弱性，它是一个向量，可表示为 v 。其中，a 代表资产，w 代表弱点，t 代表威胁，l 代表位置，u 代表攻击可能造成的不利后果，r 代表风险。 向量v 可以理解成某个资产a 具有某种弱点w ，被某个威胁t 利用，发生在 某个位置l ，造成了某种不利后果u ，其风险r 有多大。其中位置l 表示资产a 5 北京邮电大学硕士研究生毕业论文第二章i m s 网络垃圾通信识别基础 在网络中的实际位置，参考点或具体功能实体；威胁t 表示网络受到的威胁，要 求t 是原子的，即一个威胁t 必须且只能利用一个弱点w ，弱点w 和威胁t 存 在一对多的关系；弱点w 是静态的一种隐患。只有当存在于某一资产的弱点w 被 具体的威胁t 利用并产生特定后果u 时，这些信息的集合所构成的向量v 才能称 为脆弱性。 上述描述可以看出，威胁t 具有原子性，可以作为i m s 脆弱性分类的依据。 为此我们引入i m s 网络的安全目标。i m s 网络安全目标是通过对i m s 系统环境的 分析得到的。确定安全目标是为了从不同方面、全面地描述系统的安全关注点， 它应作为威胁分类、扫描以及评估的依据。 i m s 网络在提供多媒体会话服务时，应充分考虑i m s 网络自身( i m sc o r e ) 、 用户的安全，保证信令、媒体在传输过程中反篡改，反窃听，反破坏，反伪装， 以及网络对传输流量的可控以及可计费。具体来讲，i m s 网络应该满足以下安全 目标： 机密性( c o n f i d e n t i a l i t y ) i m s 网络中的用户签约数据、信令、媒体、网络拓扑结构等信息不会被随 意泄露或侦知的特性。即特定的信息只能够被特定的授权用户或同一安全 域内的实体所得到，它是保护网络系统安全的重要手段。 完整性( i n t e g r i t y ) i m s 网络中的信令、媒体、用户签约数据、网络配置项等信息未经授权保 持不变的特性。即网络中的信令、媒体等信息在传输过程不会遭到篡改、 删除、伪造、重放等破坏，以及用户签约数据，网络配置项在存储过程中 不会遭到篡改、删除等破坏。 可用性( a v a i l a b i l i t y ) i m s 网络中的服务可以被授权用户或实体使用，不会被异常拒绝的特性。 即i m s 网络中的硬件和软件资源应能够高效运行，为授权用户或实体提 供持续有效服务，当遭到攻击或灾难发生时应能快速、完全地恢复。 可认证性( a u t h e n t i c a t i o n ) i m s 网络应提供高安全级别的双向认证机制的特性。即i m s 网络可以阻 止非法用户获取i m s 用户权限，使非i m s 签约用户无法得到i m s 网络提 供的服务，同时用户也具备对网络进行认证的能力，网络实体间也具备相 互认证的能力，以及网络可以对信息交互过程中，参与者的身份进行认证， 确认参与者身份的正确性。 可计费性( a c c o u n t a b i l i t y ) i m s 网络应具备对i m s 用户使用的服务进行及时、正确计费能力的特性。 即i m s 用户无法逃避或减少其使用服务所应支付的费用。 6 北京邮电大学硕士研究生毕业论文 第二章i m s 网络垃圾通信识别基础 可监控性( c o n t r o l l a b i l i t y ) i m s 网络对信息的传播和内容具有监视和控制能力的特性。即i m s 网络 可以保证对网络信息进行安全监控。 以该安全目标分类模型为威胁分类的依据，把违反某一个安全目标并且威胁 手段和达到后果相似的威胁行为划分为一类，这样一类威胁只能违反一个安全目 标。由此，我们可以得到i m s 网络威胁的分类，针对不同类型的威胁分别予以弥 补，以提高i m s 网络的安全性。将目前已知i m s 网络面临的威胁进行分类，可以 得到以下的分类结果。 第一、影响机密性威胁类型 正常消息泄密：攻击者对i m s 正常消息进行分析，可以获得核心网的相关 信息，造成i m s 丢失私密的后果，具体包括r e g i s t e r 流程泄密与i n v i t e 流程泄密。 电磁泄漏：攻击者使用先进的仪器和软件处理技术截获i m s 设备发出的电 磁辐射信号并还原成数据，得到i m s 网络的信息。 蠡 网络侦查：攻击者采用嗅探、扫描等侦查手段，获取u e 和i m s 网络的相 关信息，为后续攻击做准备。 第二、影响完整性威胁类型 会话劫持攻击：攻击者作为第三方参与一个正常的会话过程，通过伪造、 篡改等手段、可以监视、拆卸该会话，还可以插入恶意数据，甚至取代其 中的一方参与者来接管该会话。具体包括：会话拆卸攻击、会话内容攻击、 s i p 会话重定向攻击。 签约数据攻击：攻击者采用s q l 注入手段，或在非法入侵h s s 实体的基 础上，以篡改、删除等手段，对h s s 签约数据进行破坏。 网络路由攻击：攻击者采用篡改，删除等手段，对提供路由信息的实体进 行破坏，便可破坏i m s 网络路由。 第三、影响可用性威胁类型 洪泛攻击：攻击者采用洪泛手段，向目标网络发送大量消息，使目标网络 拒绝服务。具体包括：网络层洪泛、传输层洪泛、应用层洪泛。 协议解析攻击：攻击者采用发送畸形消息等手段，使目标i m s 网络拒绝服 务。具体包括：s i p 协议解析攻击、h 1 曙协议解析攻击、x m l 解析攻击、 d i a m e t e r 协议解析攻击。 协议内嵌恶意程序攻击：攻击者采用发送内嵌恶意程序消息的手段，使目 标i m s 网络拒绝服务。具体包括：s i p 内嵌恶意程序攻击、r t p 内嵌恶意 程序攻击、d i a m e t e r 内嵌恶意程序攻击、h 1 r p 内嵌恶意程序攻击、x m l 7 北京邮电大学硕士研究生毕业论文 第二章i m s 网络垃圾通信识别基础 内嵌恶意程序攻击 第四、影响可认证性威胁类型 服务器伪装攻击：在网络路由攻击点基础上，攻击者采取伪造等手段，把 攻击者伪造成服务器。具体包括：单向伪装攻击与双向伪装攻击。 服务器入侵攻击：攻击者采取特殊的黑客手段，非法入侵目标实体主机。 u e 身份掠夺攻击：攻击者采取注册地址劫持，资源掠夺和暴力破解等手 段，获取合法i m s 用户的身份。具体包括：注册地址劫持攻击、资源掠 夺攻击、暴力破解攻击。 u e 身份伪造攻击：攻击者采取i p 欺骗，s i p 标识欺骗等手段，或在实施 u e 身份掠夺攻击的基础上，利用合法s i p 标识达到掩盖攻击者真实身份， 嫁祸他人的目的，使会话