CN101605072A - 保护基于分组的网络不受攻击的方法以及安全边界节点 - Google Patents
保护基于分组的网络不受攻击的方法以及安全边界节点 Download PDFInfo
- Publication number
- CN101605072A CN101605072A CNA2009101460938A CN200910146093A CN101605072A CN 101605072 A CN101605072 A CN 101605072A CN A2009101460938 A CNA2009101460938 A CN A2009101460938A CN 200910146093 A CN200910146093 A CN 200910146093A CN 101605072 A CN101605072 A CN 101605072A
- Authority
- CN
- China
- Prior art keywords
- message
- information
- session
- session control
- control message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种保护基于分组的网络不受攻击的方法以及安全边界节点(2a)。所述安全边界节点包括:异常检测单元(10),用于对于在所述安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(11),特别是SIP消息,执行异常检测,特别是统计分析。所述安全边界节点进一步包括消息上下文供应单元(13),用于将至少一个会话控制消息(11)连同与所述会话控制消息(11、11a至11f)归属于的客户端(22)和/或会话(23)有关的消息上下文信息(12、17、24)一起提供给所述异常检测单元(10)。本发明还涉及一种计算机程序产品以及一种基于分组的网络。
Description
技术领域
本发明涉及一种保护基于分组的网络不受攻击的方法,该方法包括:对于会话控制消息,特别是对于在网络的安全边界节点中接收的分组流中包含的会话启动协议(SIP)消息,执行异常检测,特别是统计分析。还涉及一种适于执行所述方法的计算机程序产品。本发明进一步涉及一种用于保护基于分组的网络不受攻击的安全边界节点,该安全边界节点包括:异常检测单元,用于对于会话控制消息,特别是对于在安全边界节点中接收的分组流中包含的SIP消息,执行异常检测,特别是统计分析。本发明还涉及一种包括至少一个这样的安全边界节点的基于分组的网络。
背景技术
本发明涉及保护基于分组的网络(诸如通信/计算机网络),特别是核心网络不受任意种类的攻击。可以使用ETSI/TISPAN(电信和因特网融合服务及高级网络协议)来实现核心网络,所述ETSI/TISPAN也即使用会话/应用层控制(信令)协议的具有3GPP/IMS(IP多媒体子系统)的下一代网络(NGN)体系结构,所述会话/应用层控制(信令)协议诸如会话启动协议(SIP),用于创建、修改和终止具有一个或多个参与者的会话。在这样的核心网络中,攻击可能在不同层上(IP层、传输层直到应用层)发生,并且攻击策略可能不同。特别地,在核心网络的边界节点中的应用/会话协议栈是高度危害性的,并且因此需要保护机制来实现对于整个系统的所请求的高度可用性,尤其是针对具有良好表现的用户/设备而言。可以理解,本发明不限于具有SIP信令的NGN/IMS/TISPAN网络,而是与使用其它类型的信令协议(例如,SOAP(简单对象访问协议)、H.323等等)的所有类型的IP网络有关。
上述类型的核心网络1在图1中示出。核心网络1具有多个(安全)边界节点2a至2f,用于连接核心网络1以便访问网络3,网络3自身连接于终端用户装置4。边界节点2a至2f中的某些还可以被用于将核心网络1连接于其它核心网络(未示出)。在边界节点2a至2f中,安全策略需要被应用,其立即从潜在有危险的流量中识别出合法的流量,并且被识别为欺诈的流量需要被阻止。出于此目的,在(OSI模型的)层3/层4上运行的防火墙和特征分析功能被应用以保护网络。这些解决方案需要预先知道攻击策略。然而,即将到来的、应用了新策略的攻击可以通过这些保护方法。因此,“零天”(即首次出现)攻击无法被识别,并且可能导致严重的干扰。
因此,在SIP应用/会话控制层,还存在用于处理不同类型攻击的不同类型的保护技术:通过诸如ABNF(扩充巴科斯-瑙尔范式)检验器的技术,SIP消息语法攻击可以被揭露和处理。相反地,SIP消息攻击示出了正确的语法,并且已知可以将它们识别为恶意的特征不存在。为了识别这些类型的攻击,异常检测策略正在调查字节流的二进制和可变长度(n元语法)序列,以检测新类型的攻击方案。(例如参见K.Rieck,P.Laskov的“Language Models for Detection of Unknown Attacks in NetworkTraffic”;Fraunhofer FIRST;http://www.springerlink.com)。这些机制可以检测字节流的“零天”攻击。然而,这些机制不具有用于检测下述攻击的(序列)记忆,所述攻击仅通过将第n个序列与第(n+m)个序列相关联才成为可见的。因此,由特定关联(例如序列号、时间相关性、源/目的地相关性以及它们的任意组合)构成的所有这些SIP消息攻击无法被当今技术所识别。
本发明的目的是提供:一种方法、一种计算机程序产品、一种安全边界节点、以及一种基于分组的网络,它们全部允许识别出无法通过以上述方式执行异常检测而揭露的攻击。
发明内容
此目的由上述方法实现,进一步包括:对于至少一个会话控制消息以及与所述会话控制消息归属于的客户端和/或会话有关的消息上下文信息执行异常检测。每个SIP(请求)消息关联于客户端(用户代理),SIP消息例如被用于注册用户代理(REGISTER)。每个SIP消息典型地还与会话有关(例如,用于启动会话(INVITE)、终止会话(BYE)等等)。分别与该客户端和会话有关的上下文信息连同SIP消息一起被提供给异常检测,以便检查SIP消息连同上下文信息的内容。出于此目的,通过向异常检测单元提供多个样本消息连同上下文信息,并且通过执行反馈来调节异常检测算法以便产生期望的异常检测的输出,异常检测单元可以被训练,以便在SIP消息和上下文信息的组合中检测攻击。
以此方式,消息上下文(客户端和/或会话信息)可以被考虑进来,并且本发明扩展了针对基于SIP的应用的(现有技术)异常检测系统(ADS)的能力,从而更多复杂的攻击可以被检测到,仅当消息历史和/或客户端行为是相关联的(例如,INVITE洪流)之时所述攻击可以被揭露。新的能力如下:对会话和消息协议异常的检测(即,仅当检查若干SIP消息时攻击变为可见)、垃圾网络电话(SPIT)检测、以及对从不同源生成的消息率异常的检测。
在优选的变体中,所述方法进一步包括以下步骤:将所述消息上下文信息包括到所述会话控制消息中。通过将所述消息上下文信息包括(即添加或附加)到被提供用于异常检测的SIP消息的消息文本中,可以确保上下文信息和SIP消息总是被异常检测单元并发地检查。以此方式,不需要附加的接口用于并发地提供上下文信息和SIP消息,并且不需要重新设计用于执行异常检测所需的组件。将会理解,在异常检测之后以及在处理SIP栈中的SIP消息之前,上下文信息应该被移除。
在优选的变体中,所述方法进一步包括:使用在所述会话控制消息中包含的信息对数据库进行寻址,所述数据库用于存储和检索所述消息上下文信息,所述信息特别地是客户端ID、会话ID、源IP地址和/或消息类型。典型地,对于将提供给异常检测的每个SIP消息,客户端ID(客户端地址)和会话ID(如果其已经存在的话)被用于对数据库进行寻址。诸如消息类型(INVITE、OPTION、BYE等等)、源IP地址等等的另外的信息可以被提供以用于对数据库进行寻址和/或被作为上下文信息存储在数据库中。出于此目的,数据库可以适于动态地插入和提取客户端和会话记录。客户端记录构建了树的根,树的叶子是客户端保有的会话。在通过SIP消息中包含的信息对数据库进行寻址之后,数据库提供了与该消息所属的会话/客户端记录有关的补充(上下文)信息。对于适当的补充信息的选择确定了异常检测在不同层可以检测到哪些(附加的)异常。
在优选的变体中,消息上下文信息从包括以下的组中选择:会话历史或会话状态信息(特别地,与消息序列和/或允许的下一个消息类型有关)、消息到达间隔时间、以及客户端历史信息。会话历史信息可以包括消息序列,从而可以使得与当前会话状态有关的信息可用于异常检测。由于对每个会话状态,仅存在有限数量的允许的下一个消息类型,则或者与会话状态/消息序列有关的信息、或者与允许的下一个消息类型有关的信息可以作为上下文信息被提供给异常检测。对于被检查的SIP消息归属于的会话/客户端的消息的消息到达间隔时间的提供可以允许检测在会话之内或跨(客户端)会话的协议异常中隐藏的攻击,例如,即便特定客户端的会话建立/更新属于不同会话,当所述建立/更新已经被取消或者尚未完成若干次的时候。此外,当向异常检测馈送通过消息到达间隔时间信息扩展的会话控制消息时,异常检测可以暗中执行消息率攻击检测。客户端历史信息(即与客户端在过去的行为有关的统计数据)可以被用于调节被附加在SIP消息的补充信息的量。
上述方法可以用计算机程序产品实现,所述计算机程序产品包括适于执行上述所有步骤的代码工具。所述计算机程序产品可以用适当的软件或硬件实现,特别是现场可编程门阵列(FPGA)或专用集成电路(ASIC)。
本发明还可以用上述类型的安全边界节点实现,所述安全边界节点进一步包括消息上下文供应单元,用于将至少一个会话控制消息连同与所述会话控制消息归属于的客户端和/或会话有关的消息上下文信息一起提供给异常检测单元。
单独的接口可以被部署在消息上下文供应单元中,用于将上下文信息连同会话控制消息一起提供给异常检测单元。
优选地,所述消息上下文供应单元适于将所述消息上下文信息包括到所述会话控制消息中。以此方式,不需要从消息上下文供应单元到异常检测单元的附加接口。消息上下文典型地在异常检测之前被附加到每个进入的会话控制消息,以及在异常检测已完成之后从会话控制消息中移除。以此方式,异常检测获得了附加的(之前不可见的)信息,并且可以识别出在附加信息中或者该信息与会话控制消息内容的组合中隐藏的攻击。
在优选实施例中,所述安全边界节点进一步包括数据库,用于存储和检索所述消息上下文信息,所述消息上下文供应单元使用在所述会话控制消息中包含的信息对所述数据库进行寻址,所述信息特别地是客户端ID、会话ID、源IP地址和/或消息类型。适当的上下文信息可以组成强制性的和自适应的记录。强制性的记录例如可以包括客户端和服务器地址(构成去往/来自同一客户端的之前的消息)、请求或消息类型历史(INVITE、OPTIONS、200OK、ACK、BYE等等)、以及属于相同的会话或请求的时间戳。所述消息上下文供应单元通过在所述会话控制消息中包含的信息对所述数据库进行寻址,以及检索与所述会话控制消息所属的会话和/或客户端有关的上下文信息。如果无法被分配给数据库条目的消息到达,则其要么被上下文信息供应单元自身丢弃,要么将(丢弃)指示条目添加到该消息。而且,消息率或会话建立率可以被观察到,并且相应的值可以被插入到消息中,从而异常检测可以同样根据该值来执行其决策。
优选地,数据库适于存储从包括以下的组中选择的消息上下文信息:会话历史或会话状态信息,特别地,与消息序列和/或允许的下一个消息类型有关;消息到达间隔时间;以及客户端历史信息。如上所述,所有这些类型的上下文信息对于检测仅通过考虑到会话和/或客户端历史才可以被检测到的攻击是有用的。然而,可以理解,上下文信息不限于以上给出的示例,因为出于此目的提供其它类型的信息也可以是有用的,如将在下文中进一步描述的那样。
在高度优选的实施例中,所述消息上下文供应单元适于将所述会话控制消息的时间戳提供给所述数据库。时间戳可以用于确定消息到达间隔时间,由此允许计算特定客户端的消息率以及基于在每个时间单元中增加的消息数量识别出攻击(例如INVITE洪流)。
在另一优选实施例中,所述安全边界节点包括决策单元,用于基于异常检测的结果来决定会话控制消息是必须被丢弃还是被转发,所述决策单元优选地将与所述决策的结果有关的上下文信息提供给数据库和/或从所述会话控制消息中移除所述消息上下文信息。所述决策单元适于执行异常检测单元的决策,即,要么丢弃从异常检测单元接收的会话控制消息,要么将其转发到会话控制消息栈,典型地为SIP栈。在后一情况下,当上下文信息已被添加到会话控制消息的文本时,决策单元首先从会话控制消息中移除上下文信息。而且,与决策的结果有关的上下文信息也可以是多状态信息,即,不一定是二进制信息,由此表示针对会话和/或客户端以及任一方向的多个信任级。以此方式,对于若干之前的消息执行的异常检测的决策已经接近于异常,对于这些决策的积累可以最终导致“丢弃”决策。
在另一优选实施例中,所述安全边界节点进一步包括会话控制消息栈,特别是SIP栈,用于处理所述会话控制消息,优选地,其适于将与所述处理的结果有关的信息作为消息上下文信息提供给数据库。以此方式,来自对消息的处理的反馈(特别是,与在处理期间的异常或者允许的下一个消息类型有关)可以被提供给数据库。
在高度优选的开发中,所述安全边界节点进一步包括消息处理单元,用于:取决于与所述决策的结果有关的消息上下文信息和/或与对于归属于相同的客户端和/或会话的之前的会话控制消息的所述处理的结果有关的信息,以不同的方式处理会话控制消息。所述消息处理单元可以丢弃属于已被识别为攻击会话或攻击客户端的会话或客户端的消息。而且,如果由于客户端历史指示出该客户端具有良好行为(即,从未产生任意攻击),所以认为不存在来自消息的攻击,则所述消息处理单元可以在无需执行异常检测(即,跳过异常检测)的情况下将该消息直接转发到决策单元或者SIP栈,从而不需要浪费异常检测的工作。然而,将会理解,来自SIP栈的负面反馈可能导致所述消息处理单元不再跳过对于来自特定客户端的消息的异常检测。可替换地或者附加地,特别是通过将较低优先级归属于可疑消息和/或将可疑消息归属于(低)优先级队列,所述消息处理单元可以延迟对于某些消息执行异常检测。所述消息处理单元还可以使得消息上下文供应单元将头部添加到可疑消息,所述头部指示出这些消息必须被馈送到附加的安全实例。
本发明的另一方面用一种基于分组的网络实现,所述网络包括至少一个上述的安全边界节点。通过使基于分组的网络配备这样的安全边界节点,高效保护该基于分组的网络不会受到之前未识别的攻击是可能的。
通过参考示出了大量细节的附图的图形,另外的特征和优点在以下对示例性实施例的描述中被阐述,并由权利要求所限定。独立的特征可以由其自身独立地实现,或者若干特征可以用任意期望的组合来实现。
附图说明
示例性的实施例在图形状附图中被示出,以及在以下描述中被解释。示出如下:
图1示出了根据本发明的、具有若干安全边界节点的基于分组的网络的实施例的示意图;
图2示出了根据本发明的、用于在考虑到消息上下文信息的情况下对于会话控制消息执行异常检测的安全边界节点的实施例;以及
图3示出了在图2的安全边界节点中安置的数据库的操作。
具体实施方式
图2示出了图1的核心网络1的安全边界节点2a,出于简明的目的,并未示出它的所有组件。来自接入网络3的分组流5被提供到安全边界节点2a的处理路径6。分组流5首先被馈送到防火墙7,其以本领域已知的方式处理层3(网络层)/层4(传输层)的攻击,并且因此在此不需要进行更详细的描述。在防火墙7之后的ABNF(扩充巴科斯-瑙尔范式)检验器8被用于对于在分组流5中包含的会话控制(SIP)消息执行语法检查。防火墙7和ABNF检验器8适于当分组/消息被识别为攻击的情况下丢弃所述分组/消息。在处理路径6中在ABNF检验器8之后的特征检验器9将分组流5的分组的特征与之前已识别的攻击的特征集合进行比较,并且当在分组流5中找到之前已识别的攻击的特征的情况下丢弃分组/消息。在特征检验器9之后的是异常检测单元10,也被称为异常检测模块(ADM),用于对于在分组流5中包含的会话控制消息11执行统计分析(n元语法分析),所述会话控制消息11在本示例中以SIP消息的形式进行部署。异常检测单元10不知道与会话或SIP消息/请求有关的任何信息,并且因此不存储与会话的当前状态有关的任何信息,从而它无法识别由SIP消息序列组成的攻击。
为了检测这样的攻击,SIP消息11与消息上下文信息12一起被馈送到异常检测单元10,所述消息上下文信息12与当前被检查的会话控制消息有关,消息上下文信息12与该会话控制消息11所属的客户端和/或会话有关。出于使用消息上下文信息12的目的,在异常检测单元10周围布置了三个附加的单元:消息上下文供应单元13,用于将会话控制消息11与消息上下文信息12一起提供给异常检测单元10;数据库14,用于存储和检索消息上下文信息;以及决策单元15,用于基于异常检测的结果来决定会话控制消息是必须被丢弃还是被转发到SIP栈16,决策单元15还将与决策结果有关的上下文信息17提供给数据库14。在下文中,将更详细地描述所述三个单元13、14、15。
安全边界节点2a的消息上下文供应单元13适于将从数据库14检索的消息上下文信息12包括到随后将由异常检测单元10检查的SIP消息11中。出于此目的,消息上下文供应单元13从SIP消息11中提取信息18,特别是用户代理的客户端ID以及当前会话的呼叫ID,并且将所述信息18提供给数据库14,用于检索在数据库14的记录中存储的上下文信息12,所述记录与特定客户端ID和呼叫ID有关,数据库14适于动态地插入和提取这样的记录,在下文中将更详细地描述。消息上下文供应单元13还从SIP消息11中提取消息类型,与消息类型有关的信息也被提供给数据库14,所述信息被用作为归属于相同的会话和客户端的随后的SIP消息11的上下文信息。此外,消息上下文供应单元13包括时钟发生器19,其适于提供当前处理的SIP消息11的时间戳,所述时间戳还被提供给数据库14,并且可被用作为归属于相同的客户端或会话的随后的SIP消息11的另外的上下文信息。
从数据库14接收的、与当前处理的SIP消息11有关的上下文信息12可以被选择作为例如会话历史信息(特别是,与会话序列和/或允许的下一消息类型有关)、消息到达间隔时间、以及客户端历史信息(特别是与呼叫率有关,呼叫率指示出在每个时间单元由同一客户端请求的呼叫次数)。
消息上下文供应单元13适于将消息上下文信息直接包括在SIP消息11的文本中,如将在下文中参照BYE类型的SIP消息的文本所描述的那样,所述BYE类型的SIP消息在上下文信息供应单元13中接收,并在以下示出:
BYE sip:1234@10.1.2.3:5060;user=phone SIP/2.0
Reason:Q.850;cause=95;text=”invalid message”
Date:Thu.22 Mar 2007 14:06:32 GMT
To:<sip:1234@10.1.2.3:5060;user=phone>;tag=46028a7a91
From:4711<sip:4711@10.1.2.25:5061;user=phone>;tag=58FD..
Call-ID:01F81F1C0A81400000000048@unique.de
CSeq:2 BYE
Max-Forwards:70
Timestamp:3769
Via:SIP/2.0/UDP 10.1.2.25:5061;branch=z9hG4bK..
Content-Length:0
消息上下文供应单元13接着向消息文本中添加与SIP消息11归属于其的客户端的呼叫率有关的消息上下文信息,以及与会话的之前交换的消息有关的信息,在本示例中为INVITE、200OK,以及ACK消息,连同它们的消息到达间隔时间,在以下消息文本中在方括号中示出:
BYE sip:1234@10.1.2.3:5060;user=phone SIP/2.0
[call rate x]
[INVITE,v ms]
[200OK,y ms]
[Ack,25000ms]
Reason:Q.850;cause=95;text=”invalid message”
Date:Thu,22 Mar 2007 14:06:32 GMT
To:<sip:1234@10.1.2.3:5060;user=phone>;tag=46028a7a91
From:4711<sip:4711@10.1.2.25:5061;user=phone>;tag=58FD..
Call-ID:01F81F1C0A81400000000048@unique.de
CSeq:2 BYE
Max-Forwards:70
Timestamp:3769
Via:SIP/2.0/UDP 10.1.2.25:5061;branch=z9hG4bK..
Content-Length:0
可以理解,对于消息上下文供应单元13来说,将消息上下文信息12直接包括在SIP消息11中是必要的,因为使用单独的接口(如图2中的虚线箭头所指示的)将此信息与被检查的SIP消息11并发地提供给异常检测单元10也是可能的。为了考虑到被包括在SIP消息11中的消息上下文信息12,在任一情形中,可以通过将相当大数量的范例SIP消息连同上下文信息一起提供给异常检测单元10,而预先执行训练,从而异常检测单元10可以学会如何对于已组合的消息内容和上下文信息执行异常检测。
在异常检测已经执行之后,取决于异常检测的结果(是否检测到攻击),决策单元15要么丢弃所检查的SIP消息,要么将其转发到SIP栈16。将会理解,当消息上下文信息被直接包括在SIP消息11中的情况中决策单元15在将消息传输到SIP栈16之前从消息中移除消息上下文信息。
此外,决策单元15将与决策结果有关的上下文信息17提供给数据库14。此上下文信息17可以是多状态信息,可被用于向消息上下文供应单元13-更特别地,在其中安置的消息处理单元13a-提供信息,所述信息用于决定客户端/会话的随后的消息是否应该被馈送到异常检测单元10。特别地,当会话/客户端已经被识别为攻击会话/客户端的情况下,上下文信息17可以指示出下一个也即该会话/客户端的所有消息应该被丢弃。在客户端过去具有良好表现的情况下,上下文信息17可以指示出归属于某个客户端/会话的SIP消息11应该使用旁路20被分别直接转发到决策单元15或SIP栈16。可替换地或者附加地,当满足附加条件时,上下文信息17可以指示出某个客户端/会话的SIP消息11仅应该被提供给异常检测单元10。以此方式,不同信任级可以分别归属于会话或客户端。
可以理解,取代于由消息处理单元20将消息丢弃,还可以将上下文信息包括在导致异常检测单元10中的攻击检测、将被丢弃的SIP消息11中,从而SIP消息11最终在决策单元15中被丢弃。此外,消息处理单元20可以向可疑消息添加指示,例如头部,指示出这些消息应该被馈送到另外的安全实例(未示出)。例如通过将较低优先级归属于可疑消息以及将可疑消息归属于(低)优先级队列,消息处理单元20还可以延迟对于某些消息执行异常检测。
在下文中,参考图3将更详细地描述存储每个客户端和会话的补充(上下文)信息的客户端/呼叫数据库14。数据库14允许动态地插入和提取记录,记录表示客户端或者会话。客户端记录构建了树的根,树的叶子/分支对应于客户端保有的会话。如果在数据库14中没有可用的客户端记录,则该客户端迄今为止尚未进行注册。在此情形中,如果消息上下文供应单元13将与REGISTER类型的SIP消息11a有关的信息提供给数据库14,则记录构造器21创建新的客户端记录22(在下文中被称为客户端)。客户端22的消息率或会话建立率可以在客户端构造器21中观察到,并且相应的值可以被添加到客户端记录22作为上下文信息22a,以便以上述方式将其提供给消息上下文供应单元13,从而异常检测单元10可以通过考虑该值而执行其决策。
一旦客户端记录22已经生成,则新的会话记录23(在下文中也被称为会话)将在接收到INVITE类型的SIP消息11b时被生成。对于会话23的INVITE消息11b以及随后的SIP消息11c至11f,与会话23有关的上下文信息23a被持续更新,由此使得消息历史(即会话23的消息序列11b至11f)以及消息到达间隔时间ΔT可用于消息上下文供应单元13。此外,来自决策单元15的附加的上下文信息也可以被添加到会话23的上下文信息23a或者被添加到客户端22的上下文信息22a。此外,SIP栈16也可以将与SIP消息11的处理中的异常有关的信息作为消息上下文信息24提供给数据库14,参见图2。
如果无法被分配给数据库条目的SIP消息11,例如无法归属于客户端记录并且不属于REGISTER类型的SIP消息,到达消息上下文供应单元13中,则其要么被消息上下文供应单元13自身丢弃,要么将(丢弃)指示条目添加到SIP消息11中。所述条目应用于下述SIP消息,其可以归属于客户端记录22和会话记录23二者,但是消息类型不符合会话23的SIP消息的已允许序列11b至11f,例如,当INVITE消息在ACK消息之后被接收时,或者当相同消息类型的不止一个SIP消息在消息上下文供应单元13中被重复接收时。以此方式,消息上下文供应单元可以仅将属于允许的消息类型即,被期望用于序列11b至11f中的特定会话状态的消息类型的那些SIP消息11提供给异常检测单元10。
本领域技术人员将理解,被提供用于异常检测的上下文信息不限于上述类型,并且对于适当的上下文信息的选择确定了异常检测单元10在不同层可以检测到哪些(附加的)异常。特别地,与客户端在过去的行为有关的统计数据可以被用于调节包括在该客户端的SIP消息11中的补充信息的量。而且,从消息上下文供应单元13、决策单元15和/或SIP栈16提供给数据库14的上下文信息可以在数据库14中被进一步处理,以构成已修改的上下文信息,例如,通过从消息历史中确定会话的随后消息的允许的消息类型,仅将此信息提供给消息上下文供应单元13。可替换地,消息上下文供应单元13可以适于处理由数据库14提供的上下文信息,以及将已修改的上下文信息提供给异常检测单元10。
尽管已经参照SIP消息作为会话控制消息的示例而给出了上述描述,但是本领域技术人员将理解,以上解决方案也可以应用于其它协议类型的消息,例如H.323协议类型。总之,以上述方式,针对这些消息的异常检测算法的“零天”攻击检测能力向着信令状态感知的方向扩展,其允许更高效地防护网络不会受到隐藏在并置消息或互连会话之内的攻击。
已经通过示例给出了对优选实施例的上述描述。从给出的公开中,本领域技术人员将不仅理解本发明及其附带优点,而且还将发现对于所公开的结构和方法的明显的多种改变和修改。因此,申请者试图覆盖所有这些改变和修改,使其落入由所附权利要求及其等价物所限定的本发明的精神和范围内。
Claims (14)
1.一种用于保护基于分组的网络(1)不受攻击的方法,包括:
对于在所述网络(1)的安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(11、11a至11f)执行异常检测,
其特征在于:
对于至少一个会话控制消息(11、11a至11f)连同与所述会话控制消息(11、11a至11f)有关的消息上下文信息(12、17、22a、23a、24)执行所述异常检测,其中,所述消息上下文信息(12、17、22a、23a、24)与所述会话控制消息(11、11a至11f)归属于的会话(23)有关,所述消息上下文信息(12、17、22a、23a、24)包括会话历史信息。
2.根据权利要求1所述的方法,进一步包括以下步骤:将所述消息上下文信息(12、17、22a、23a、24)包括到所述会话控制消息(11、11a至11f)中。
3.根据权利要求1所述的方法,进一步包括:使用在所述会话控制消息(11、11a至11f)中包含的信息(18)对数据库(14)进行寻址,所述数据库(14)用于存储和检索所述消息上下文信息(12、17、22a、23a、24),所述信息(18)特别地是客户端ID、会话ID、源IP地址和/或消息类型。
4.根据权利要求1所述的方法,其中从包括以下的组中选择另外的消息上下文信息(12、22a、23a):会话状态信息、消息到达间隔时间、以及客户端历史信息,所述会话状态信息特别地与消息序列和/或允许的下一个消息类型有关。
5.一种用于保护基于分组的网络(1)不受攻击的安全边界节点(2a),包括:
异常检测单元(10),用于对于在所述安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(11、11a至11f)执行异常检测,
其特征在于:
消息上下文供应单元(13),用于将至少一个会话控制消息(11、11a至11f)连同与所述会话控制消息(11、11a至11f)归属于的会话(23)有关的消息上下文信息(12、17、22a、23a、24)一起提供给所述异常检测单元(10),所述消息上下文信息(12、17、22a、23a、24)包括会话历史信息。
6.根据权利要求5所述的安全边界节点,其中所述消息上下文供应单元(13)适于将所述消息上下文信息(12、17、22a、23a、24)包括到所述会话控制消息(11、11a至11f)中。
7.根据权利要求5所述的安全边界节点,进一步包括数据库(14),用于存储和检索所述消息上下文信息(12、17、22a、23a、24),所述消息上下文供应单元(13)使用在所述会话控制消息(11、11a至11f)中包含的信息(18)对所述数据库(14)进行寻址,所述信息(18)特别地是客户端ID、会话ID、源IP地址和/或消息类型。
8.根据权利要求7所述的安全边界节点,其中所述数据库(14)适于存储从包括以下的组中选择的消息上下文信息(22a、23a):会话历史或会话状态信息、消息到达间隔时间、以及客户端历史信息,所述会话状态信息特别地与消息序列和/或允许的下一个消息类型有关。
9.根据权利要求7所述的安全边界节点,其中所述消息上下文供应单元(13)适于将所述会话控制消息(11、11a至11f)的时间戳提供给所述数据库(14)。
10.根据权利要求5所述的安全边界节点,进一步包括决策单元(15),用于基于所述异常检测的结果来决定会话控制消息(11、11a至11f)是必须被丢弃还是被转发,所述决策单元(15)优选地将与所述决策的结果有关的上下文信息(17)提供给数据库(14)和/或从所述会话控制消息(11、11a至11f)中移除所述消息上下文信息(12、17、22a、23a、24)。
11.根据权利要求7所述的安全边界节点,进一步包括会话控制消息栈,特别是会话启动协议栈(16),用于处理所述会话控制消息(11、11a至11f),优选地,其适于将与所述处理的结果有关的信息作为消息上下文信息(24)提供给所述数据库(14)。
12.根据权利要求10或11的任一项所述的安全边界节点,进一步包括消息处理单元(13a),用于:取决于与所述决策的结果有关的消息上下文信息(17)和/或与对于归属于相同的客户端(22)和/或会话(23)的之前的会话控制消息(11、11a至11f)的所述处理的结果有关的信息,以不同的方式处理会话控制消息(11、11a至11f)。
13.一种基于分组的网络(1),包括根据权利要求5所述的至少一个安全边界节点(2a)。
14.一种计算机程序产品,包括适于执行根据权利要求1所述的方法的所有步骤的代码工具。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510173974.4A CN104767755A (zh) | 2008-06-12 | 2009-06-12 | 保护基于分组的网络不受攻击的方法以及安全边界节点 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08290549.8 | 2008-06-12 | ||
| EP08290549.8A EP2134057B1 (en) | 2008-06-12 | 2008-06-12 | Method for protecting a packet-based network from attacks, as well as security border node |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510173974.4A Division CN104767755A (zh) | 2008-06-12 | 2009-06-12 | 保护基于分组的网络不受攻击的方法以及安全边界节点 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101605072A true CN101605072A (zh) | 2009-12-16 |
Family
ID=40342159
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510173974.4A Pending CN104767755A (zh) | 2008-06-12 | 2009-06-12 | 保护基于分组的网络不受攻击的方法以及安全边界节点 |
| CNA2009101460938A Pending CN101605072A (zh) | 2008-06-12 | 2009-06-12 | 保护基于分组的网络不受攻击的方法以及安全边界节点 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510173974.4A Pending CN104767755A (zh) | 2008-06-12 | 2009-06-12 | 保护基于分组的网络不受攻击的方法以及安全边界节点 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8365284B2 (zh) |
| EP (1) | EP2134057B1 (zh) |
| JP (1) | JP5175975B2 (zh) |
| KR (1) | KR101202540B1 (zh) |
| CN (2) | CN104767755A (zh) |
| WO (1) | WO2009150049A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103053150A (zh) * | 2010-07-26 | 2013-04-17 | 思科技术公司 | 用于转移协作会话的方法 |
| CN104641686A (zh) * | 2012-07-18 | 2015-05-20 | 感觉媒体 | VVoIP通话转移 |
| CN109040126A (zh) * | 2018-09-18 | 2018-12-18 | 中国人民解放军战略支援部队信息工程大学 | Ims网络sip洪泛攻击的检测装置及方法 |
| CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| CN109995566A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团辽宁有限公司 | 网络故障定位方法、装置、设备及介质 |
| CN110521171A (zh) * | 2017-03-28 | 2019-11-29 | 思科技术公司 | 用于应用性能监视和管理的流簇解析 |
| CN110794811A (zh) * | 2019-11-07 | 2020-02-14 | 浙江工业大学 | 一种带有量化的网络化运动控制系统的安全控制方法 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5381087B2 (ja) * | 2008-10-06 | 2014-01-08 | 日本電気株式会社 | 通信システム及び通信制御方法 |
| JP2010114870A (ja) * | 2008-10-06 | 2010-05-20 | Nec Corp | 通信システム及び通信制御方法 |
| JP5381086B2 (ja) * | 2008-10-06 | 2014-01-08 | 日本電気株式会社 | 通信システム及び通信制御方法 |
| EP2369529A1 (en) * | 2010-03-24 | 2011-09-28 | Alcatel Lucent | A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor |
| JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
| KR20130017333A (ko) * | 2011-08-10 | 2013-02-20 | 한국전자통신연구원 | 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법 |
| JP5716712B2 (ja) * | 2012-07-24 | 2015-05-13 | 横河電機株式会社 | パケット転送装置及び方法 |
| US9398055B2 (en) * | 2012-09-28 | 2016-07-19 | Avaya Inc. | Secure call indicator mechanism for enterprise networks |
| US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
| US11496531B2 (en) * | 2013-10-02 | 2022-11-08 | Avaya Inc. | System and method to identify secure media streams to conference watchers in SIP messaging |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
| US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10033766B2 (en) | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| EP3285248B1 (en) * | 2016-08-16 | 2019-07-03 | Alcatel Lucent | Blockchain-based security threat detection method and system |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10348650B2 (en) | 2017-04-17 | 2019-07-09 | At&T Intellectual Property I, L.P. | Augmentation of pattern matching with divergence histograms |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| US11533373B2 (en) * | 2021-02-26 | 2022-12-20 | Trackerdetect Ltd. | Global iterative clustering algorithm to model entities' behaviors and detect anomalies |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE515761C2 (sv) * | 1998-06-03 | 2001-10-08 | Ericsson Telefon Ab L M | Anordning, system och förfarande relaterande till data/ telekommunikation för att hantera information om kommunikationsvägar mellan processmedel |
| US20030120813A1 (en) * | 2001-12-21 | 2003-06-26 | Ishita Majumdar | Apparatus and method for optimizing message sizes of textual protocols used in multimedia communications |
| EP1501257A1 (en) * | 2003-07-25 | 2005-01-26 | Hewlett-Packard Development Company, L.P. | Improvements in or relating to fault tolerant systems |
| JP4956892B2 (ja) * | 2003-10-31 | 2012-06-20 | 沖電気工業株式会社 | サービス提供システム |
| US7526803B2 (en) * | 2003-11-17 | 2009-04-28 | Alcatel Lucent | Detection of denial of service attacks against SIP (session initiation protocol) elements |
| US8194640B2 (en) * | 2004-12-31 | 2012-06-05 | Genband Us Llc | Voice over IP (VoIP) network infrastructure components and method |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| US7716729B2 (en) * | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
| US20070168537A1 (en) * | 2006-01-18 | 2007-07-19 | Archan Misra | Method for intelligent and automated transmission of local context in converged signaling |
| DE102006004202B4 (de) * | 2006-01-27 | 2008-02-14 | Nec Europe Ltd. | Verfahren zum Schutz von SIP basierten Anwendungen |
| US8464329B2 (en) * | 2006-02-21 | 2013-06-11 | Watchguard Technologies, Inc. | System and method for providing security for SIP-based communications |
| US7441429B1 (en) * | 2006-09-28 | 2008-10-28 | Narus, Inc. | SIP-based VoIP traffic behavior profiling |
| FR2909823B1 (fr) * | 2006-12-06 | 2012-12-14 | Soc Fr Du Radiotelephone Sfr | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication |
| EP1986391A1 (en) * | 2007-04-23 | 2008-10-29 | Mitsubishi Electric Corporation | Detecting anomalies in signalling flows |
| US8302186B2 (en) * | 2007-06-29 | 2012-10-30 | Verizon Patent And Licensing Inc. | System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel |
| US8522344B2 (en) * | 2007-06-29 | 2013-08-27 | Verizon Patent And Licensing Inc. | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems |
| CN101330449B (zh) * | 2007-07-02 | 2011-07-13 | 中兴通讯股份有限公司 | 一种ip多媒体子系统业务交互的实现方法 |
| US8200797B2 (en) * | 2007-11-16 | 2012-06-12 | Nec Laboratories America, Inc. | Systems and methods for automatic profiling of network event sequences |
| EP2081356A1 (en) * | 2008-01-18 | 2009-07-22 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method of and telecommunication apparatus for SIP anomaly detection in IP networks |
| US8375453B2 (en) * | 2008-05-21 | 2013-02-12 | At&T Intellectual Property I, Lp | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network |
| CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
-
2008
- 2008-06-12 EP EP08290549.8A patent/EP2134057B1/en not_active Not-in-force
-
2009
- 2009-05-27 JP JP2011512925A patent/JP5175975B2/ja not_active Expired - Fee Related
- 2009-05-27 KR KR1020117000870A patent/KR101202540B1/ko active IP Right Grant
- 2009-05-27 WO PCT/EP2009/056430 patent/WO2009150049A1/en active Application Filing
- 2009-06-01 US US12/457,069 patent/US8365284B2/en active Active
- 2009-06-12 CN CN201510173974.4A patent/CN104767755A/zh active Pending
- 2009-06-12 CN CNA2009101460938A patent/CN101605072A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103053150A (zh) * | 2010-07-26 | 2013-04-17 | 思科技术公司 | 用于转移协作会话的方法 |
| CN103053150B (zh) * | 2010-07-26 | 2016-02-03 | 思科技术公司 | 用于转移协作会话的方法 |
| CN104641686A (zh) * | 2012-07-18 | 2015-05-20 | 感觉媒体 | VVoIP通话转移 |
| CN110521171A (zh) * | 2017-03-28 | 2019-11-29 | 思科技术公司 | 用于应用性能监视和管理的流簇解析 |
| CN109995566A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团辽宁有限公司 | 网络故障定位方法、装置、设备及介质 |
| CN109995566B (zh) * | 2017-12-31 | 2022-05-10 | 中国移动通信集团辽宁有限公司 | 网络故障定位方法、装置、设备及介质 |
| CN109040126A (zh) * | 2018-09-18 | 2018-12-18 | 中国人民解放军战略支援部队信息工程大学 | Ims网络sip洪泛攻击的检测装置及方法 |
| CN109040126B (zh) * | 2018-09-18 | 2020-10-30 | 中国人民解放军战略支援部队信息工程大学 | Ims网络sip洪泛攻击的检测装置及方法 |
| CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| CN109818970B (zh) * | 2019-03-07 | 2021-04-30 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| CN110794811A (zh) * | 2019-11-07 | 2020-02-14 | 浙江工业大学 | 一种带有量化的网络化运动控制系统的安全控制方法 |
| CN110794811B (zh) * | 2019-11-07 | 2021-02-26 | 浙江工业大学 | 一种带有量化的网络化运动控制系统的安全控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110030575A (ko) | 2011-03-23 |
| JP5175975B2 (ja) | 2013-04-03 |
| US8365284B2 (en) | 2013-01-29 |
| EP2134057B1 (en) | 2013-05-01 |
| WO2009150049A1 (en) | 2009-12-17 |
| CN104767755A (zh) | 2015-07-08 |
| EP2134057A1 (en) | 2009-12-16 |
| US20090313698A1 (en) | 2009-12-17 |
| JP2011523314A (ja) | 2011-08-04 |
| KR101202540B1 (ko) | 2012-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101605072A (zh) | 保护基于分组的网络不受攻击的方法以及安全边界节点 | |
| JP5320458B2 (ja) | パケットベースのネットワークのための攻撃保護 | |
| CN101505276B (zh) | 网络应用流量识别方法和装置及网络应用流量管理设备 | |
| WO2008109761A2 (en) | Method and apparatus for data processing | |
| CN104468554A (zh) | 基于ip和host的攻击检测方法和装置 | |
| CN107911381A (zh) | 应用程序编程接口的访问方法、系统、服务端及客户端 | |
| US8300531B2 (en) | Methods and apparatus for overload control of prioritized message flows in a state machine execution environment | |
| CN108011898A (zh) | 漏洞检测方法、装置、计算机设备和存储介质 | |
| US7869363B2 (en) | Methods and apparatus for prioritizing message flows in a state machine execution environment | |
| US20220321611A1 (en) | System and method of admission control of a communication session | |
| US8224933B2 (en) | Method and apparatus for case-based service composition | |
| US20220086175A1 (en) | Methods, apparatus and systems for building and/or implementing detection systems using artificial intelligence | |
| CN110309645A (zh) | 一种对api进行安全防护的方法、设备和系统 | |
| CN105939315A (zh) | 一种http攻击防护方法及装置 | |
| US20220094589A1 (en) | Communications methods and apparatus for minimizing and/or preventing message processing faults | |
| JP5312402B2 (ja) | 情報処理装置、通信システム及び方法 | |
| CN106161542A (zh) | 一种数据下载方法及装置 | |
| CN102148720B (zh) | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 | |
| CN105959252A (zh) | 处理会话日志的方法及装置 | |
| CN118138371B (zh) | 基于搜索引擎的快速蜜罐构建方法、装置及设备 | |
| Yan et al. | Extracting attack knowledge using principal-subordinate consequence tagging case grammar and alerts semantic networks | |
| CN113055395B (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN108632050A (zh) | 一种记录网站访问日志的方法和装置 | |
| Rusinovic et al. | Self-Protecting Session Initiation Protocol Stack | |
| Guang-Yu et al. | Spit detection and prevention method based on signal analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20091216 |