CN101582905A - 基于分组的网络的攻击保护 - Google Patents
基于分组的网络的攻击保护 Download PDFInfo
- Publication number
- CN101582905A CN101582905A CNA2009101497186A CN200910149718A CN101582905A CN 101582905 A CN101582905 A CN 101582905A CN A2009101497186 A CNA2009101497186 A CN A2009101497186A CN 200910149718 A CN200910149718 A CN 200910149718A CN 101582905 A CN101582905 A CN 101582905A
- Authority
- CN
- China
- Prior art keywords
- feature
- network
- packets
- stream
- border node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 77
- 238000001514 detection method Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 21
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 10
- 230000011664 signaling Effects 0.000 claims description 10
- 238000007619 statistical method Methods 0.000 claims description 9
- 230000035945 sensitivity Effects 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 description 7
- 244000035744 Hura crepitans Species 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012300 Sequence Analysis Methods 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000004804 winding Methods 0.000 description 2
- 101100465000 Mus musculus Prag1 gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于保护基于分组的网络免受攻击的保护单元(15),包括:特征分析器(5),用于分析在基于分组的网络(1)的安全边界节点(2a)中接收的分组流(6),并通过比较分组流(6)的特征和先前识别的攻击的特征组来检测攻击;异常检测器,尤其是统计分析器(7),用于检测分组流(6)中的异常;以及特征干涉单元(9),用于在检测到分组流(6)中的异常时更新特征组,所更新的特征组(12)接着被用于执行特征分析。分配单元(13)将更新的特征组(12)中的至少一个特征分配至所述基于分组的网络(1)中至少一个另外的安全边界节点,优选分配至每个其它的安全边界节点。本发明还涉及包括这种保护单元的安全边界节点、包括至少两个这种保护单元的网络以及相应的保护方法。
Description
技术领域
本发明涉及一种用于保护基于分组的网络免受攻击的方法和保护单元、包括这种保护单元的基于分组的网络的安全边界节点,以及包括至少两个这种保护单元的基于分组的网络。
本发明涉及保护基于分组的网络免受任何种类的攻击,所述网络例如为通信/计算机网络,特别是核心网络。核心网络可以分别利用TISPAN(电信及互联网融合业务及高级网络协议)和具有IMS(IP多媒体子系统)的下一代网络(NGN)架构实现,该NGN使用诸如会话初始协议(SIP)的应用层控制(信令)协议,用于与一个或多个参与者进行会话的建立、修改和中止。在这种核心网络中,攻击可能产生在不同的层(IP层、传输层乃至应用层),且攻击形式多样。特别在核心网络的边界节点中,应用协议栈是高度危险的,因此需要一种保护机制来获得整个系统所需的高可用性,特别是对于运转良好(well behaving)的用户/设备。应当明白,本发明并不限于具有SIP信令的NGN/IMS/TISPAN网络,而是适于使用诸如SOAP(简单对象访问协议)等其它类型的信令协议的所有类型的IP网络。
图1中显示了上述类型的一种核心网络1。该核心网络1具有多个(安全)边界节点2a至2f,用于将该核心网络1连接至接入网络3,接入网络3自身连接至终端用户设备4。边界节点2a至2f中的一些也可被用来将核心网络1连接至其它核心网络(未示出)。在边界节点2a至2f中,需要应用安全策略来从潜在的危险通信业务中立即识别出正当的通信业务。被识别为欺诈的通信业务需要被阻断(通过提供一个数据识别序列或其它识别特征样式来实现),下文中也被称为特征。
目前的安全方案是基于特征检测或/和使用基于分类的检测算法,基于特征检测速度快,但是对新的攻击形式不适应,使用基于分类的检测算法具有适应性,但是会造成高处理负荷。此外,目前的安全策略分别致力于单个、独立的会话边界控制器(SBC)或安全边界节点。
发明目的
本发明的目的是提供:用于保护基于分组的网络免受攻击的方法和保护单元、包括这种保护单元的安全边界节点,以及包括至少两个这种保护单元的网络,它们都能有效地保护基于分组的网络免受攻击。
发明内容
本发明的目的是通过上述方法来实现的,包括:通过比较分组流的特征与先前识别的攻击的特征组对在网络的安全边界节点中接收到的分组流执行特征分析以检测攻击,对至少部分分组流执行异常检测,特别是统计分析,以检测分组流中的异常,当检测到分组流中的异常时更新特征组,更新的特征组接着被用于执行特征分析,并且该更新的特征组中的每一个特征被分配至网络中的至少一个其它安全边界节点,优选是每一个其它安全边界节点。
本发明提出扩展防火墙和利用异常检测的基于特征的保护逻辑,它可以实现为基于分类的统计分析,通常执行数据流(数字信号)的块分析,或另一类型的粒度分析,例如基于机器学习算法。通常,为了检测异常,一个字节或多个字节的分析器可以被用来执行统计分析。接着,检测到的异常被报告至特征干涉引擎,特征干涉引擎通过将统计分析的分类结果转换为一个新的特征组,以此获得特征或检测逻辑的更新。这样,用于检测新攻击的处理负荷就被转移到了防火墙和特征检测,而处理负荷得以减少。
在一个或多个新的特征和检测逻辑通过了一些认证测试之后,产生的配置文件可以被推送到其它的安全边界节点,并将应用于其它安全边界节点的安全功能中,由此在基于分组的网络的各个安全边界节点之间自动分配新获得的攻击阻断策略。
在一个极优选的变化实施例中,所述方法还包括:对应用层控制消息执行异常检测,特别是对分组流的会话初始协议SIP消息执行异常检测,特征组的更新将考虑异常检测的结果。对于那些只能在应用层被检测的攻击来说,应用层控制栈,特别是SIP栈,也可以拥有接口来报告任何异常。这些异常还在特征干涉引擎中被检查以确定一个合适的特征,这使得这些消息可以在保护逻辑的首要的且极迅速的平台(“FW”、“特征”)上进行检测。
优选的是,所述方法还包括:使用一个安全阈值来控制特征分析和/或异常检测的灵敏度,用于检测攻击和/或异常,该安全阈值优选为依据攻击的至少一个特征进行调整,特别是根据每单位时间内检测到的攻击的数量。特别的,用于产生攻击指示的阈值水平可以由适当的控制软件来设定,该阈值水平可以基于计算机网络的历史和/或当前状况而受到控制。
在该变化实施例的优选改进方案中,所执行的统计分析是一种并行多序列字节分析,该字节序列分析的权重依据安全阈值并基于当前攻击状态而受安全实例(security instance)的控制。使用在每个分析周期内仅移动一个字节的滑动窗口对所谓的n-grams,即,给定序列(通常为一字符串)的n项(通常为字节)的序列,执行字节分析形式的统计分析。在并行多序列字节分析的过程中,使用多个并行分析器,该分析器执行不同尺寸的n-grams的分析,例如unigrams(尺寸1)、bigrams(尺寸2)等。并行分析器的分析结果被提供给一个决定器,其依据安全阈值来对结果进行加权。
上述方法可优选地以计算机程序产品来实现,所述计算机程序产品具有用于执行上述步骤的代码装置。特别的,所述方法可以以软件或合适的硬件组件(ASIC等)实现。
本发明的第二方面在用于保护基于分组的网络免受攻击的保护单元中实现,所述保护单元包括:特征分析器,用于分析在网络的安全边界节点中接收的分组流,并通过比较分组流的特征和先前识别的攻击的特征组来检测攻击;异常检测器,尤其是统计分析器,用于检测分组流中的异常;特征干涉单元,用于在检测到分组流中的异常时更新特征组,所更新的特征组接着被所述特征分析器用于执行特征分析;以及分配单元,用于将更新的特征组中的至少一个特征分配至网络中至少一个其它安全边界节点,最好分配至网络中每个其它的安全边界节点。
专用特征可以具有一个生存时间(time to live)指示,其允许限制特征文件的大小。特征干涉单元可以存储来自字节分析的攻击报告的信息元组以及相应的特征,以便能够立即更新保护逻辑。这样,在基于分组的网络的一个或有限数量的网络端口处检测的用于保护网络免受攻击的特征可以迅速地被分配至所有网络端口,由此提高跨多节点保护的质量和性能。特别的,也可以在诸如因特网的全球网络中安装一个用于检测到的特征的数据库,大量网络提供者可对该数据库进行访问,使得新的特征还被分配至其它提供者正操控的网络安全边界节点。应当理解,对具有相近时间关联度且其内容也相关的两个或更多个异常所进行的检测可以使特征组的更新更可靠。
在一个极优选的实施例中,保护单元还包括:信令栈,优选为SIP栈,用于对分组流中包含的应用层控制消息,特别是SIP消息,执行异常检测,在特征干涉单元中对特征组的更新将考虑异常检测的结果。由此,对于特征组的更新而言,只能在应用层被检测的那些攻击也能被考虑到了。
在另一个极优选的实施例中,保护单元还包括:控制单元,使用安全阈值来控制特征分析器和/或异常检测器的灵敏度,从而检测攻击和/或异常,该安全阈值优选为依据攻击的至少一个特征进行调整,特别是依据预定时间间隔内检测到的攻击的数量。以此方式,安全灵敏度可以基于攻击历史和/或与攻击相关的当前状况而受到控制。攻击的另一个特征可以是特别类型的攻击可能对网络产生的破坏,当检测到一个或多个特别危险的攻击时就提高安全级别。
在另一个优选实施例中,统计分析器是一种并行多序列字节分析器,该字节序列分析的权重依据安全阈值来控制。通常,相比于具有较小尺寸的n-grams的分析结果,给具有较大尺寸的n-grams的分析结果提供较高的权重,从而减少错误警报。
在另一极优选的实施例中,保护单元进一步包括:安全信令栈,特别是安全SIP栈,用于处理包含于数据流中的应用层控制消息,优选的是,依据安全阈值来做出与安全信令栈中必须处理的消息有关的决定。在检测到异常的情况下,为了防止服务失败,安全边界节点可以将异常消息,一般是SIP消息,派送到一个低优先级的SIP栈,该SIP栈在一个被称为“沙箱”的环境中受到保护。在安全SIP栈中的处理通常不以线速度执行,以便如果SIP消息包含有任何可识别的攻击,则可以提供充足的时间来进行彻底检查。
在另一个有利的实施例中,保护单元进一步包括:决定单元,用于做出与必须执行异常检测的数据流中所包含的消息相关的,特别是与SIP消息相关的决定;以及会话排队单元,用于把执行异常检测的消息进行排队,优选的是,依据异常检测的结果来丢弃(drop)或处理排队的消息。决定单元决定所述消息是否须由异常检测器进行额外的分析或者是否依赖于特征检测就足够了。决定单元的输入可以是消息的类型(请求/响应)、SIP方法、产生消息的网络的网络ID、类似Call ID的SIP头、来自SIP栈的关于一个或多个先前SIP消息或方法的反馈、或者事务ID。
在另一个实施例中,保护单元进一步包括针孔,用于从数据流中丢弃消息,该针孔在反馈环路中受统计分析器和/或特征分析器的控制。针孔能够过滤出专用5元组(5-tuple)识别出的消息/分组,过滤的通信量取决于统计分析器和/或特征分析器所应用的安全阈值。
本发明的第三方面在用于基于分组的网络的安全边界节点中实现,所述节点包括上述类型的保护单元。为了提高整体检测精度,在多个分布式安全/边界节点中执行的检测算法可以分配机器学习信息或流程导向图形,由此实现安全信息的跨节点关联。实现这种跨节点关联的一种方式是安全边界节点之间的对等信息交换,这在每个安全边界节点都具有其自己的保护单元的时候是可行的。
本发明的第四方面在一种基于分组的网络中实现,该基于分组的网络包括至少两个如上所述类型的保护单元,该保护单元具有一个公共的特征干涉单元,该特征干涉单元最好布置在计算机网络的中央网络安全实例中。由此,所提供的防火墙架构可以通过引入跨运营商域安全实体(网络安全实例)而得到加强。这种主控实体允许收集、处理、再分配多个站点的安全相关信息。再者,可以执行机器学习算法以将所有可用信息关联。
以下参考附图在对典型实施例的描述中阐明了其他特征和优点,并且在权利要求中也定义了这些特征和优点,附图显示了重要的细节。各个特征可以由其自己来单独实现,或者其中的某些特征可以以任意想要的组合方式来实现。
附图简要说明
简略图中显示了典型实施例,并在下面的说明书中进行解释。所示如下:
附图1:根据本发明具有若干安全边界节点的基于分组的网络的实施例的示意图;
附图2:根据本发明的安全边界节点的实施例,其作用为保护单元,该保护单元具有自适应分布式安全环路架构;
附图3:具有中央特征干涉单元和安全边界节点的保护单元的实施例,他们共同实现自适应分布式安全环路架构;
附图4:附图2所示类型的安全边界节点的实施例,其具有一个额外的应用层安全环路;
附图5:附图3所示类型的保护单元的实施例,其具有一个额外的应用层安全环路;
附图6:具有可调安全阈值的字节分析器,用于决定包含于分组流中的哪些消息须在安全SIP栈中处理;
附图7:具有可调安全阈值的特征分析器,用于决定包含于分组流中的哪些消息须在安全SIP栈中处理;
附图8a、8b:在数据路径中(a)或在数据路径外的所选消息上(b)执行的字节序列分析;
附图9:具有可调字节序列分析权重的并行多字节序列分析器;
附图10:字节分析器、特征分析器和针孔之间的反馈链路;
附图11:实现多策略安全架构的保护单元的实施例,在信号路径中执行字节分析;以及
附图12:实现多策略安全架构的保护单元的另一个实施例,在信号路径外执行字节分析。
优选实施例的详细描述
附图2是附图1的基于分组的网络1的安全边界节点2a的更详细视图。该安全边界节点2a包括特征分析器5,用于分析在安全边界节点2a的输入处接收的分组流6。特征分析器5通过将分组流6的特征和先前识别的攻击的特征组进行比较而检测攻击。在分组流6的信号路径8中,特征分析器5之后是统计分析器形式的异常检测器,该统计分析器实现为字节分析器7。为了检测分组流6中的异常,该字节分析器7对分组流6执行可变长度字节序列(n字节分析)的统计分析。
任何异常均报告给特征干涉单元9,该特征干涉单元9将所检测到的异常考虑在内计算出新的特征组。安全边界节点2a进一步包括自动认证单元10,该自动认证单元10将修改过的特征组与存储在测试单元11中的正确特征组和攻击测试图形(未示出)进行对比测试。在成功认证之后,更新的特征组12被提供到特征分析器5,之后,该特征分析器5基于该更新的特征组12执行特征分析。通过上述方式,在安全边界节点2a中实现保护单元15。
更新的特征组12同样被提供到安全边界节点2a的分配单元13,分配单元13将该更新的特征组12分配到核心网络1的其它安全边界节点2b至2f。由于安全边界节点2a的分配单元13也可以从其它安全边界节点2b至2f接收更新的特征组,因此特征分析器5能够识别任何类型的攻击,不管是先前在安全边界节点2a自身中识别的,还是在任何一个其它安全边界节点2b-2f中先前识别的。以此方式,所有的安全边界节点2a至2f都是基于对等信息交换的分布式自适应安全环路的一部分。
由于特征分析器5和字节分析器7均布置于信号路径8中,因此基于特征的攻击分析能够以线速度/实时地执行。由此,上述方法自动地在每个安全边界节点2a至2f和每个输入端口处分析攻击,更新特征组,并由此加强所有其它安全边界节点2a至2f对攻击的防卫。
附图3中示出了图2的架构的一种变体,其中的特征干涉单元9、认证单元10、测试单元11和分配单元13都布置在中央网络安全实例14中。这样,用于保护图1的核心网络1的分布式保护单元15由该网络安全实例14、安全边界节点2a的特征分析器5和字节分析器7形成。应当理解的是不但安全边界节点2a、而且其它安全边界节点2b至2f都向中央特征干涉单元9报告其字节分析的结果。通过在网络1的单个位置执行特征更新,可以更方便地保证特征的一致性,且所需的资源也更少。
上述策略还可以扩展到跨边界节点域之间。这意味着所有应用的边界节点(全球范围的)可以将他们的报告发送到一个更高的层级上,使得全球范围内、跨产品以及可能跨供应商的特征干涉单元可以产生新的特征组,接着该新的特征组将被下载到所有的安全边界节点或者应用了特征分析的特定公司的产品中。一种变化的实现方式可以在每个域或产品中应用特征干涉单元,如果获得新的特征,则将该特征分配到全球。
附图4和5中分别显示了在安全边界节点2a的保护单元14和分布式保护单元14中的另一种反馈环路的实施方式。第二反馈环路基于包含于数据流6中的SIP消息的应用层分析,该分析在SIP栈16中执行。该第二环路是专为那些不能被字节分析器7识别的、而仅通过应用层处理的首次出现的攻击而设计的。SIP栈16将SIP消息的特征(非语义的)内容报告给特征干涉单元9,然后特征干涉单元9以上文描述的方式产生新的特征组。这意味着SIP栈16是否识别了一个语义上不正确的SIP消息,它的不正确之处只能在多个头字段之间的内容中显现。在SIP栈16发现了这些不一致之后,它产生一个包含相关头内容的报告,并将该报告发送到特征干涉单元9。
附图4和5显示了具有该额外反馈环路的保护单元15的两种架构变体。第一种中,在安全边界节点2a中实现保护单元15,第二种中,保护单元15是分布式的,其具有中央网络安全实例14(同样相比于附图2和3)。在这两个变体中,用于识别应用层层面上的攻击的步骤如下:特征分析器5或字节分析器7分别不会识别出首次出现的攻击。SIP栈16中的SIP应用层级上的语义处理随后识别该攻击,从该SIP消息中提取一部分并将该序列(以及可能的其它层3/层4的信息)报告给特征干涉单元9。这样,在更新了特征组之后,特征分析单元5将会检测到第二个类似的消息攻击。
在附图2至5所示的示例中,特征分析器5和字节分析器7都可以具有可调安全阈值17a,该可调安全阈值17a由控制单元17(参见附图6和7)设置,用于控制字节分析和/或特征分析的灵敏度。该控制单元17可以实现为一种控制软件,其依据攻击的数量和/或攻击的特征,例如攻击的类型,来控制该可调阈值。为此,控制单元17分别收集包含于特征分析器5、字节分析器7和SIP栈16的报告中的信息。控制单元17可以在安全边界节点2a中实现,并且仅仅依据由安全边界节点2a接收到的数据流6来控制安全级别,或者控制单元17可以是中央网络安全实例14的一部分,由此将来自不同的安全边界节点2a至2f的用于安全阈值调整的报告考虑在内。无论哪种情况,用于产生攻击指示的阈值水平可以基于历史的和当前的攻击情况而控制。
此外,如附图6和7所示,分别对于字节分析器7和特征分析器5来说,如果超过了阈值,则SIP消息不会像通常那样处理,而是会转送到一个安全SIP栈18中,该安全SIP栈18在一种具有低处理优先级的“沙箱”(sandbox)环境中运行。如果该SIP消息不包含任何可识别的攻击,则安全SIP栈18如任何其它表现良好的消息那样处理该消息。接着将安全SIP栈18的处理反馈(肯定/否定)报告给例如控制单元17,控制单元17于是可以决定修改安全灵敏度决定级别以适应安全阈值。
在附图8a和8b中显示了执行字节分析的两种可替代方式。在图8a中显示的第一可替代方式中,字节分析器7作为数据路径8中的一个插入式元件而提供,数据路径8还额外包括一个令牌化器(tokenizer)19和一个会话排队单元20。在这种情况下,由于字节分析不减少输入输出量,因此对处理负荷和处理性能的要求很高。因此,特征分析器5、字节分析器7和令牌化器19组成的链条必须能够以所期望的最大消息速率运行。字节分析器7可以指出“陌生的”消息并指示会话排队单元20将这些消息发送到在沙箱中运行的安全SIP栈18。如果安全SIP栈18识别了攻击,或者甚至是崩溃,则滤除该会话消息并关闭会话队列。可选地,可触发另一个SIP栈(未示出)以将消息发送到寄存器或S-CSCF(Serving Call SessionControl Function服务呼叫会话控制功能),以此通过正常方式关闭会话或客户端。
在附图8b所示的示例中,字节分析器7配置在消息路径8之外,且字节分析只在另一决定单元21给出肯定的结果时才进行,由此,依据决定单元21的结果,字节分析器7将只分析特定的SIP消息。这些SIP消息被标注,使得会话排队单元20知道必须对这些消息排队,直到执行完进一步的调查。字节分析器7还可决定对安全SIP栈18中的消息执行进一步分析。在任何情况下,测试结果都被提供给会话排队单元20,该测试结果指示丢弃或者处理由字节分析器7处理的消息。在字节分析器7指示该消息应当被处理的情况下,像对任何其它非关键消息一样执行处理。这种方案的优点是减少了总处理负荷并增加了输入输出量,但是这种方案的成功取决于特征分析的质量和可调的安全阈值,因为在决定单元21是特征分析器5的一部分的情况下,安全阈值就要被考虑在内从而进行决定。对决定单元21的输入还可包括消息的类型(请求/响应)、SIP方法、发送该消息的网络的网络ID、类似Call ID的SIP头、来自SIP栈的关于一个或多个先前SIP消息或方法的反馈、或者事务ID。
附图9显示了在字节分析器7中如何有利地使用安全阈值17a,其中该字节分析器7实施为一种并行多字节序列分析器,并具有派送/复制单元22、多个用于分析不同长度字符串的字符串分析单元,其中三个字符串分析单元23a至23c示于附图9中,以及权重决定器24,其依据控制单元17提供给字节分析器17的安全阈值17a来加权字符串分析单元23a至23c的结果,由此在当前攻击状况的基础上适应字节分析。
在附图2至8中显示的任一个示例中,可以执行字节分析器7、特征分析器5和针孔25之间的反馈,例如以附图10所示的方式:特征分析器5控制针孔块25以滤除从专用5元组接收的消息,仅当超过了特征分析的特定安全阈值(未示出)时,特征分析器5才执行该专用阻断。在特征分析器5和字节序列分析器7都指示出永久失常的消息的情况下,可以控制针孔模块25来关闭针孔(一给定的时间)。
从字节分析器7到之前的功能模快也存在类似的反馈。向特征分析器5的反馈是一种来自特征分析器5的“检查消息”请求的篡改或认证。这允许提高或降低专用会话的阈值,且在这种情况下特征分析器5可被用作决定单元。举例来说,如果针对同一会话向字节分析器7提出的若干消息检查请求总是产生“没有识别出攻击”的结果,则特征分析器5可以提高阈值来对该会话执行额外检查。
最后,在附图11和12中,附图2至附图10描述的组装模块被组合形成保护单元14的两个有利示例,该保护单元14实现跨层和多策略的安全架构。
在附图11显示的示例中,以参照附图8a所描述的方式在数据路径8中执行字节分析,会话排队单元20包括一个优先级调度器20a,该调度器给核定为“陌生”并被发送到安全SIP栈18进行处理的SIP消息分配低优先级。被字节分析器7核定为“陌生”的SIP消息被发送到未保护的SIP栈16中并以高优先级进行处理。
在附图12的示例性实施例中,字节分析器7配置在数据路径8之外,并且特征分析器5包括一个决定单元(未示出),用于决定包含于数据流6中的哪些SIP消息需要通过字节分析器7检查。在这种情况下,正如参照附图8b进行的更详细的讨论那样,会话排队单元20将执行字节分析的SIP消息进行排队,并依据字节分析的结果丢弃或处理排好队的消息。
在这两种情况下,特征分析器5和字节分析器7的安全阈值都可以由控制单元来控制,为了简便起见,该控制单元在附图11和12中均未显示。
本领域的技术人员应当理解,附图11和12中的功能模块不必局限地位于附图11和12中显示的安全边界节点2a处,因为将完全线速度(full linespeed)处理模块放置在安全边界节点的输入端口也可能是有利的。特别的,令牌化器19、会话排队单元20,优先级调度器20a以及尤其是SIP栈16和安全SIP栈18可以被放置地更中央(在安全边界节点中),甚至在诸如中央网络安全实例14的中央网络元件中。而且,应当理解,正如参照附图2和4所描述的,除了使用附图11和12中显示的分布式架构的保护单元15,也可以将整个保护单元15集成在安全边界节点2a中。
综上所述,通过提供上述类型的保护单元,可以有效地保护计算机网络免于在一个或有限数量的核心网络端口处检测到的网络攻击,并向其它网络端口快速分配特征。应当理解,保护单元并不一定在网络的安全边界节点中实现,在某些情况下,保护单元的实现位于网络内部的某些节点处也是有利的。最后,本领域技术人员应当理解,尽管在上述示例中已经描述了SIP消息的处理,但是上述构思也可以应用到用于应用层信令的其它类型的应用层控制消息。而且,虽然上文中参照字节分析描述了异常检测,但是应当理解,还存在执行异常检测的其它方式,可以基于其它类型的统计分析,也可以基于其它异常检测方法,例如机器学习等。
通过示例的方式,给出了上述优选实施例的描述。从所揭示的内容中,本领域的技术人员将不仅理解本发明及其伴随的优点,而且还将发现对所披露的结构和方法的各种显而易见的变化和修改。因此,本申请人试图将落入本发明的精神和主旨的所有这些变化和修改进行覆盖,正如所附的权利要求及其对等物所定义的那样。
Claims (11)
1.一种用于保护基于分组的网络(1)免受攻击的方法,包括:
通过比较分组流(6)的特征与先前识别的攻击的特征组对在网络(1)的安全边界节点(2a)中接收到的分组流(6)执行特征分析以检测攻击,
对至少部分分组流(6)执行异常检测,特别是统计分析,以检测分组流(6)中的异常,
当检测到分组流中的异常时更新所述特征组,更新的特征组(12)接着被用于执行特征分析,
将该更新的特征组(12)中的至少一个特征分配至网络(1)中的至少一个其它安全边界节点(2b-2f),优选分配至每一个其它安全边界节点(2b-2f),
其特征在于
对应用层控制消息,特别是分组流(6)的会话初始协议SIP消息执行异常检测,特征组的更新考虑所述异常检测的结果。
2.如权利要求1所述的方法,还包括:
使用安全阈值(17a)来控制特征分析和/或异常检测的灵敏度,用于检测攻击和/或异常,该安全阈值(17a)优选依据攻击的至少一个特征,特别是攻击的数量,进行调整。
3.如权利要求2所述的方法,其中所述异常检测被执行为并行多序列字节分析,该字节序列分析的权重依据所述安全阈值(17a)来控制。
4.一种用于保护基于分组的网络(1)免受攻击的保护单元(15),包括:
特征分析器(5),用于分析在网络(1)的安全边界节点(2a)中接收的分组流(6),并通过比较分组流(6)的特征和先前识别的攻击的特征组来检测攻击;
异常检测器,尤其是统计分析器(7),用于检测分组流(6)中的异常;
特征干涉单元(9),用于在检测到分组流(6)中的异常时更新特征组,所更新的特征组(12)接着被所述特征分析器(5)用于执行特征分析;
分配单元(13),用于将所述更新的特征组(12)中的至少一个特征分配至所述基于分组的网络(1)中至少一个其它安全边界节点(2b-2f),优选分配至每个其它的安全边界节点(2b-2f),
其特征在于
信令栈,优选为SIP栈(16),用于对包含于分组流(6)中的应用层控制消息,特别是SIP消息执行异常检测,在特征干涉单元(9)中对所述特征组的更新考虑所述异常检测的结果。
5.如权利要求4所述的保护单元,还包括:控制单元(17),使用安全阈值(17a)来控制特征分析器(5)和/或异常检测器的灵敏度,用于检测攻击和/或异常,该安全阈值(17a)优选依据攻击的至少一个特征,特别是攻击的数量进行调整。
6.如权利要求5所述的保护单元,其中所述异常检测器是并行多序列字节分析器(7),该字节序列分析的权重依据所述安全阈值(17a)来控制。
7.如权利要求5所述的保护单元,还包括:
安全信令栈,特别是安全SIP栈(18),用于处理包含于数据流(6)中的应用层控制消息,关于必须在该安全信令栈中处理的消息的决定优选是依据所述安全阈值(17a)来做出。
8.如权利要求4所述的保护单元,还包括:
决定单元(21),用于做出关于数据流(6)中所包含的、必须进行异常检测的消息,特别是SIP消息的决定,以及
会话排队单元(20),用于把执行异常检测的消息进行排队,排队的消息优选依据所述异常检测的结果来丢弃或处理。
9.如权利要求4所述的保护单元,还包括针孔(25),用于从数据流(6)中丢弃消息,该针孔(25)在反馈环路中受异常检测器(7)和/或特征分析器(5)的控制。
10.一种基于分组的网络(1)的安全边界节点(2a),包括如权利要求4所述的保护单元(15)。
11.一种基于分组的网络(1),包括至少两个如权利要求4所述的保护单元(15),该保护单元(15)具有公共的特征干涉单元(9),该特征干涉单元(9)优选布置在该网络(1)的中央网络安全实例(14)中。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08290395.6 | 2008-04-22 | ||
| EP08290395.6A EP2112803B1 (en) | 2008-04-22 | 2008-04-22 | Attack protection for a packet-based network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582905A true CN101582905A (zh) | 2009-11-18 |
| CN101582905B CN101582905B (zh) | 2012-10-17 |
Family
ID=40011300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101497186A Active CN101582905B (zh) | 2008-04-22 | 2009-04-22 | 基于分组的网络的攻击保护 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8601564B2 (zh) |
| EP (1) | EP2112803B1 (zh) |
| JP (1) | JP5320458B2 (zh) |
| KR (1) | KR101143097B1 (zh) |
| CN (1) | CN101582905B (zh) |
| WO (1) | WO2009130203A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN107690776A (zh) * | 2015-06-04 | 2018-02-13 | 思科技术公司 | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 |
| CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
| US8489534B2 (en) | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
| FI20096394A0 (fi) | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
| EP2369529A1 (en) * | 2010-03-24 | 2011-09-28 | Alcatel Lucent | A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor |
| US9455892B2 (en) | 2010-10-29 | 2016-09-27 | Symantec Corporation | Data loss monitoring of partial data streams |
| US8682814B2 (en) * | 2010-12-14 | 2014-03-25 | Symantec Corporation | User interface and workflow for performing machine learning |
| US9094291B1 (en) | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
| US9015082B1 (en) | 2010-12-14 | 2015-04-21 | Symantec Corporation | Data quality assessment for vector machine learning |
| US8862522B1 (en) | 2010-12-14 | 2014-10-14 | Symantec Corporation | Incremental machine learning for data loss prevention |
| US8984627B2 (en) * | 2010-12-30 | 2015-03-17 | Verizon Patent And Licensing Inc. | Network security management |
| US9813449B1 (en) * | 2012-08-10 | 2017-11-07 | Lookwise S.L. | Systems and methods for providing a security information and event management system in a distributed architecture |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9692771B2 (en) * | 2013-02-12 | 2017-06-27 | Symantec Corporation | System and method for estimating typicality of names and textual data |
| EP2819365A1 (en) * | 2013-06-24 | 2014-12-31 | Alcatel Lucent | Network traffic inspection |
| US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US20150142936A1 (en) | 2013-10-21 | 2015-05-21 | Nyansa, Inc. | System and method for observing and controlling a programmable network using time varying data collection |
| US9485262B1 (en) * | 2014-03-28 | 2016-11-01 | Juniper Networks, Inc. | Detecting past intrusions and attacks based on historical network traffic information |
| ES2959674T3 (es) * | 2015-04-07 | 2024-02-27 | Umbra Tech Ltd | Cortafuegos de perímetro múltiple en la nube |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| CN106302318A (zh) | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| US10326793B2 (en) * | 2015-06-10 | 2019-06-18 | RunSafe Security, Inc. | System and method for guarding a controller area network |
| US10200267B2 (en) | 2016-04-18 | 2019-02-05 | Nyansa, Inc. | System and method for client network congestion detection, analysis, and management |
| US10230609B2 (en) | 2016-04-18 | 2019-03-12 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
| US10193741B2 (en) | 2016-04-18 | 2019-01-29 | Nyansa, Inc. | System and method for network incident identification and analysis |
| US10200259B1 (en) * | 2016-09-21 | 2019-02-05 | Symantec Corporation | Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences |
| US10348650B2 (en) | 2017-04-17 | 2019-07-09 | At&T Intellectual Property I, L.P. | Augmentation of pattern matching with divergence histograms |
| RU2649789C1 (ru) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
| US10666494B2 (en) | 2017-11-10 | 2020-05-26 | Nyansa, Inc. | System and method for network incident remediation recommendations |
| US10931696B2 (en) | 2018-07-13 | 2021-02-23 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies |
| US10659484B2 (en) * | 2018-02-19 | 2020-05-19 | Cisco Technology, Inc. | Hierarchical activation of behavioral modules on a data plane for behavioral analytics |
| US10949750B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
| US10944776B2 (en) | 2018-07-13 | 2021-03-09 | Ribbon Communications Operating Company, Inc. | Key performance indicator anomaly detection in telephony networks |
| US10949749B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
| CN108965336B (zh) * | 2018-09-10 | 2021-03-23 | 杭州迪普科技股份有限公司 | 一种攻击检测方法及装置 |
| CN110650134B (zh) * | 2019-09-20 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种信号处理方法、装置、电子设备以及存储介质 |
| US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
| US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
| US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
| CN115408574A (zh) * | 2021-05-28 | 2022-11-29 | 南宁富联富桂精密工业有限公司 | 数据分析方法、装置及计算机可读存储介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
| WO2003029934A1 (en) | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
| US7444679B2 (en) * | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
| JP3928866B2 (ja) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| US7603716B2 (en) * | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
| ES2270307T3 (es) * | 2004-06-07 | 2007-04-01 | Alcatel | Metodo y dispositivo para prevenir ataques a un servidor de llamadas. |
| KR100639997B1 (ko) * | 2004-12-14 | 2006-11-01 | 한국전자통신연구원 | 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 |
| US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| WO2007019583A2 (en) | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| DE102005055148B4 (de) * | 2005-11-18 | 2008-04-10 | Siemens Ag | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
| KR100615080B1 (ko) | 2005-12-15 | 2006-08-25 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
| US8141156B1 (en) * | 2005-12-28 | 2012-03-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for mitigating routing misbehavior in a network |
| WO2008023423A1 (fr) * | 2006-08-24 | 2008-02-28 | Duaxes Corporation | Système de gestion de communication et procédé de gestion de communication associé |
| FR2909823B1 (fr) * | 2006-12-06 | 2012-12-14 | Soc Fr Du Radiotelephone Sfr | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication |
-
2008
- 2008-04-22 EP EP08290395.6A patent/EP2112803B1/en active Active
-
2009
- 2009-04-21 WO PCT/EP2009/054718 patent/WO2009130203A1/en active Application Filing
- 2009-04-21 KR KR1020107023580A patent/KR101143097B1/ko active IP Right Grant
- 2009-04-21 JP JP2011505484A patent/JP5320458B2/ja active Active
- 2009-04-22 CN CN2009101497186A patent/CN101582905B/zh active Active
- 2009-04-28 US US12/387,121 patent/US8601564B2/en active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN106416171B (zh) * | 2014-12-30 | 2020-06-16 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN107690776A (zh) * | 2015-06-04 | 2018-02-13 | 思科技术公司 | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 |
| CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2112803A1 (en) | 2009-10-28 |
| US20090265778A1 (en) | 2009-10-22 |
| WO2009130203A1 (en) | 2009-10-29 |
| KR101143097B1 (ko) | 2012-05-08 |
| US8601564B2 (en) | 2013-12-03 |
| JP2011519533A (ja) | 2011-07-07 |
| KR20110013370A (ko) | 2011-02-09 |
| JP5320458B2 (ja) | 2013-10-23 |
| EP2112803B1 (en) | 2013-12-18 |
| CN101582905B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582905B (zh) | 基于分组的网络的攻击保护 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| Xuan et al. | Detecting application denial-of-service attacks: A group-testing-based approach | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| Makiou et al. | Improving Web Application Firewalls to detect advanced SQL injection attacks | |
| CN107294982A (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
| CN101605072A (zh) | 保护基于分组的网络不受攻击的方法以及安全边界节点 | |
| CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
| CN1894669A (zh) | 用于解决对计算机系统的侵入攻击的方法和系统 | |
| Vidal et al. | Alert correlation framework for malware detection by anomaly-based packet payload analysis | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
| Aminanto et al. | Automated threat-alert screening for battling alert fatigue with temporal isolation forest | |
| CN104852910A (zh) | 一种攻击检测的方法和装置 | |
| US7971054B1 (en) | Method of and system for real-time form and content classification of data streams for filtering applications | |
| CN113645233A (zh) | 流量数据的风控智能决策方法、装置、电子设备和介质 | |
| CN115442159B (zh) | 一种基于家用路由的风险管控方法、系统和存储介质 | |
| Marchal et al. | Mitigating mimicry attacks against the session initiation protocol | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| Ruiz-Agundez et al. | Fraud detection for voice over ip services on next-generation networks | |
| KR101410233B1 (ko) | 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 | |
| Vennila et al. | Performance analysis of VoIP spoofing attacks using classification algorithms | |
| Feng et al. | A behavior-based online engine for detecting distributed cyber-attacks | |
| Kaur et al. | Proposed Optimization Technique to detect DDOS Attacks on Software Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |