CN101854333A - 对不完整会话攻击进行检测的方法和装置 - Google Patents
对不完整会话攻击进行检测的方法和装置 Download PDFInfo
- Publication number
- CN101854333A CN101854333A CN200910081215A CN200910081215A CN101854333A CN 101854333 A CN101854333 A CN 101854333A CN 200910081215 A CN200910081215 A CN 200910081215A CN 200910081215 A CN200910081215 A CN 200910081215A CN 101854333 A CN101854333 A CN 101854333A
- Authority
- CN
- China
- Prior art keywords
- session
- initiated
- attack
- incomplete
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种对不完整会话攻击进行检测的方法、装置和系统。该方法包括:获取在一个不完整会话攻击的检测周期内,用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。通过本发明实施例,可以判断出该已注册的用户或特定的用户接入网段中的未注册用户是否发起了不完整会话攻击,从而有效地对已注册的用户或特定的用户接入网段中的未注册用户发起的不完整会话攻击进行防护。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种对基于SIP(会话起始协议,Session Initiatjon Protocol)协议的不完整会话攻击进行检测的方法和装置。
背景技术
以SIP协议为基础的IMS(IP Multimedia Subsystem,IP多媒体子系统)/NGN(Next Generation Network,下一代网络)解决方案,面对着很多传统电信网络所没有经历的安全威胁。
IMS/NGN解决方案的业务逻辑相对复杂,用户和用户、用户和网络之间特定的业务实现需要在用户和网络侧建立状态,并在状态转移的过程中进行资源分配。在SIP信令层面上,攻击者发起SIP请求,要求通信对端(网络侧或另一用户)分配资源并建立状态,但攻击者并不对通信对端的响应消息进行处理,也不进行真正的资源分配,通信对端的状态和资源分配将一直保留到本次会话超时。攻击者通过发起大量不能完成的会话,造成通信对端的信令处理能力的大量消耗,形成资源耗尽型DoS(Denial of service,拒绝服务)攻击,且无法为网络侧成功计费,这种攻击方法称之为基于SIP的不完整会话攻击。
上述不完整会话攻击中的SIP请求主要包括:REGISTER(注册)请求和INVITE(邀请)请求,其中REGISTER请求对攻击者的要求为已注册合法用户身份、未注册合法用户或未注册非法用户,INVITE请求对攻击者的要求为已注册合法用户身份。
现有技术中的一种对上述基于SIP的解决方案中的不完整会话攻击进行防护的方法为:
由于上述不完整会话攻击实质上是一种flooding(流量式)型的攻击,该方案通过防火墙设备来检测和防护基于flooding的DoS攻击以及上述不完整会话攻击,通过配置防火墙设备的ACL(Access Control List,访问控制列表)流量规则,对于超过流量阀制的数据流实施过滤。对于基于flooding的DoS攻击能够提供有效的防护。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
由于基于SIP的不完整会话攻击的资源消耗能力基于会话超时前大量处于“会话建立中”状态的SIP请求的累积,上述不完整会话攻击可以在不明显违背防火墙设备的ACL流量规则的前提下,通过相对慢速的SIP请求来消耗资源。因此,该方案中的防火墙设备并不能有效地检测出基于SIP的不完整会话攻击,也不能对基于SIP的不完整会话攻击进行有效地防护。
发明内容
本发明的实施例提供了一种对不完整会话攻击进行检测的方法和装置,以有效地检测出基于SIP的不完整会话攻击。
一种对不完整会话攻击进行检测的方法,包括:
获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;
根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
一种对不完整会话攻击进行检测的方法,包括:
确定用户发起的处于会话建立中的会话总数,所述处于会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;
判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
一种网络装置,包括:
获取模块,用于获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;
判断处理模块,用于根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
一种网络装置,包括:
会话总数确定模块,用于确定用户发起的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;
会话处理模块,用于判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
一种网络系统,包括:所述的网络装置和用户设备,
所述用户设备,用于使用户通过该用户设备发起会话初始请求;
所述网络装置,用于获取在一个不完整会话攻击的检测周期内,用户通过所述用户设备发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
一种网络系统,包括:所述的网络装置和用户设备,
所述用户设备,用于使用户通过该用户设备发起会话初始请求;
所述网络装置,用于确定用户发起的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过统计已注册的用户或特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量,可以判断出该已注册的用户或特定的用户接入网段中的未注册用户是否发起了不完整会话攻击,从而有效地对已注册的用户或特定的用户接入网段中的未注册用户发起的基于SIP的不完整会话攻击进行检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提出的对基于SIP的不完整会话攻击进行检测的方法的处理流程图;
图2为本发明实施例三提出的对基于SIP的不完整会话攻击进行检测的方法的处理流程图;
图3为本发明实施例提供的一种网络装置的具体实现结构图;
图4为本发明实施例提供的另一种网络装置的具体实现结构图;
图5为本发明实施例提供的一种网络系统的具体结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例可以应用于基于SIP的网络,具体可以是IMS网络,也可以是其他协议类型的网络。
本发明实施例中,获取在一个不完整会话攻击的检测周期内,用户发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和收到的成功建立会话的响应数量。然后,根据所述用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
进一步地,获取在一个不完整会话攻击的检测周期内,一个已注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量;或者,特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。
进一步地,所述的不完整会话攻击的检测周期大于一个会话的超时时长。
进一步地,计算所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。
进一步地,在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进行取消或拒绝处理;或者,在安全日志中记录所述用户的攻击行为,并上报不完整会话攻击告警。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例针对已注册用户,该实施例提供的一种对基于SIP的不完整会话攻击进行检测的方法的处理流程如图1所示,包括如下处理步骤:
步骤11、设置不完整会话攻击的检测周期,获取已注册的当前用户在一个检测周期内发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和收到的成功建立会话的响应数量。
基于SIP的不完整会话攻击具有攻击流量相对不大,每个独立的会话都不能成功建立;会话的通信对端设备的状态和资源将一直保持,直至会话因为超时、取消或拒绝等原因结束后,会话的通信对端设备的状态和资源才能被释放,消耗资源的时间比较长等特点。
本发明实施例首先设置一个不完整会话攻击的检测周期。由于基于SIP的不完整会话在超时之前没有得到响应在协议上是合法的,因此上述检测周期要大于一个会话的超时时长,这样才能有效地检测不完整会话攻击。在实际应用中,需要根据网络实际运营情况适当调整检测周期。
在IMS/NGN网中,可以通过“源IP+源端口”来标识一个已注册用户,用户尝试修改本地的IP和端口将导致网络侧认为用户身份非法,因此已注册用户的行为特征是可以统计的。
该实施例在一个检测周期,比如第n个检测周期内,针对一个已注册的当前用户进行如下两个数值的统计:
session_setup_initial_request[n]:第n个检测周期内该用户主动发起的会话初始请求数量;
session_setup_final_response[n]:第n个检测周期内该用户收到的成功建立会话的响应数量。
步骤12、获取上述当前用户在一个检测周期内发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值,根据该差值和预定义的阈值,判断当前用户是否发起了不完整会话攻击。
计算所述session_setup_initial_request[n]和session_setup_final_response[n]的差值Δ[n]:
Δ[n]=session_setup_initial_request[n]-session_setup_final_response[n]
(n=0,1,2...)
在实际应用中,可以直接判断上述Δ[n]是否超过预定的第一阀值,如果是,则判断上述当前用户发起了不完整会话攻击;否则,则判断上述当前用户没有发起不完整会话攻击。
在通常情况下,上述Δ[n]的大小和用户特征、取样时间等因素有着密切的关系,缺乏统计学特征,因此,该实施例采用CUSUM(累积和算法)算法对上述Δ[n]进行变换处理,根据变换后的Δ[n]来判断上述当前用户是否发起了不完整会话攻击。上述CUSUM算法的具体处理过程如下:
为得到更有统计学特征的数据来描述未建立的会话情况,我们得要找到一个平滑处理参量,抵消实际取样中出现的用户正常行为或检测周期导致的统计波动。网络实际状态的波动会在统计周期内成功建立的会话数量上体现,所以我们以统计周期内成功建立的会话来构造平滑处理参量。
首先我们设置α∈[0..1],此为预定义比例常量,决定于平滑处理参量受网络波动情况影响的大小。我们设定第0个周期内的平滑处理参量为0,第一个周期内的平滑处理参量为第0个周期内的平滑处理参量的α比例加上第一个周期内的成功会话数的(1-α)比例,第二个周期内的平滑处理参量为第一个周期内的平滑处理参量的α比例加上第二个周期内的成功会话数的(1-α)比例,以此类推,第n个周期内的平滑处理参量为第(n-1)个周期内的平滑处理参量的α比例加上第n个周期内的成功会话数的(1-α)比例。这样,每个统计周期内都会有相应的平滑处理参量smoothed_fn[n],将每个周期内的未成功建立的会话数Δ[n]除以相应的平滑处理参量smoothed_fn[n],就可以抵消实际取样中的用户正常行为或检测周期导致的统计波动,得到统计学特征的稳态结果X[n]。
上述X[n]的具体计算过程如下:
smoothed_fn[0]=0;
smoothed_fn[n]=α*smoothed_fn[n-1]+(1-α)*session_setup_final_response[n]
(n=1,2,...n)
X[n]=Δ[n]/smoothed_fn[n]
上述α∈[0..1],为预定义常量。
由于通过变换得到的X[n]不再依赖于接入用户的行为特征和检测周期,因此可以将X[n]视为静态随机过程,但根据实际统计,一段时间内的X[n]变量存在较大颠簸,不具备统计特征,需要进一步处理,使其更平滑且更能明确标识出攻击情况。
首先使用X2[n]=X[n]-max_avg_X,将X[n]转化为在不含攻击情况下不大于0的X2[n]。max_avg_X为网络不含攻击情况下的X[n]期望的最大值。
其次我们定义一种算法(a)+,其中a是变量,()+为我们定义的算法。这种算法定义下面这种结果:当a大于0时,(a)+等于a;当a小于等于0时,(a)+等于0。利用上述算法(a)+,我们定义:
Y[n]=(Y[n-1]+X2[n])+,Y[0]=0。
在网络不含攻击情况下,X2[n]小于0,Y[n-1]=0,所以Y[n]等于0。当会话请求增加但成功会话未相应增加时,X[n]会出现增长,当X[n]超过max_avg_X时,从而使X2[n]大于0。这时Y[n]就出现大于0的情况,当Y[n]大于预定义的第二阀值T,这样就可以判断上述当前用户发起了不完整会话攻击。
为了使在判断当前用户发起了不完整会话攻击之后,上述y[n]的数值能够相应地减少,能够用于下一次的不完整会话攻击检测,能够检测到攻击的结束时间,对上述数列Y[n]的算法进行如下的改进:
f(Y[n]>T){
判定当前用户发起不完整会话攻击;
Y[n]=β*T;
}
其中,β∈[0..1],保证Y[n]在下个检测周期前恢复到上述预定义的第二阀值T以下。如果下个周期仍有攻击,Y[n+1]会重新长到T以上。如果下周期没有攻击,Y[n+1]会在T以下并在后续检测周期中下降到0。
步骤13、采取一定的防护机制,对当前用户发起的不完整会话攻击进行防护。
在判断上述当前用户发起了不完整会话攻击后,需要采取一定的防护机制,该防护机制包括但不限于以下几种:
1、从主叫侧SIP接入服务器上对上述当前用户发起的处于等待主叫侧处理的会话采用CANCEL(取消)处理,对该会话进行拆线,释放该会话所占用的资源;
2、从主叫侧SIP接入服务器上对上述当前用户发起的处于等待主叫侧处理的会话采用403forbidden(禁止)处理,对该会话直接拒绝;
3、对上述当前用户发起的攻击数据流实施反向遏制;
4、记录上述当前用户的攻击行为到安全日志,并上报不完整会话攻击告警。
该实施例可以根据已注册的当前用户在一个检测周期内主动发起的会话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该当前用户是否发起了不完整会话攻击。从而有效地对已注册的当前用户发起的不完整会话攻击进行防护。
实施例二
由于在用户未注册的情况下,无法参考“源IP+源端口”的方式来识别单个用户发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的请求,也不能根据用户的IMS业务鉴约数据对用户进行识别。根据上述分析,只能在SIP接入服务器,比如PCSCF(Proxy Call Server Control Function,代理会话控制功能)上,对一个特定的用户接入网段中的SIP注册请求进行统计。
设置一个不完整会话攻击的检测周期,针对一个特定的用户接入网段,进行如下两个数值的统计:
session_setup_initial_request[n]:第n个检测周期内特定的用户接入网段中主动发起的会话初始请求数量;
session_setup_final_response[n]:第n个检测周期内特定的用户接入网段中收到的成功建立会话的响应数量。
然后,根据上述session_setup_initial_request[n]和session_setup_final_response[n],按照上述实施例一提供的处理流程,判断上述特定的用户接入网段中是否发起了不完整会话攻击。
当检测到上述特定的用户接入网段中发起了不完整会话攻击后,由于不能精确到特定攻击用户,只能采取上报不完整会话攻击告警和记录安全日志的防护措施。
该实施例可以根据在一个检测周期内特定的用户接入网段中发起的会话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该特定的用户接入网段中的未注册用户是否发起了不完整会话攻击。从而有效地对特定的用户接入网段中的未注册用户发起的不完整会话攻击进行防护。
实施例三
该实施例提出的对基于SIP的不完整会话攻击进行检测的方法的处理流程如图2所示,包括如下处理步骤:
步骤21、统计注册用户发起的处于“会话建立中状态”的会话总数。
对某个已注册的用户发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的每个会话进行动态统计,确定每个会话的状态。按照预定的统计周期,定时统计其中处于“会话建立中状态”的会话总数。
上述会话建立中状态的会话包括:已经被用户发起的,未被成功建立的、未因为超时、被取消、被拒绝等原因建立失败而退出的会话;
步骤22、判断处于“会话建立中状态”的会话总数是否大于预先设定的第三阀值,如果是,则拒绝上述用户发起的新的会话请求,直到处于“会话建立中状态”的会话总数低于预先设定的第三阀值。
在统计了上述处于“会话建立中状态”的会话总数后,判断该处于“会话建立中状态”的会话总数是否大于预先设定的第三阀值,如果是,则确定上述用户发起了不完整会话攻击,拒绝上述用户发起的新的会话请求。
并且,继续按照预定的统计周期,定时统计上述用户发起的处于“会话建立中状态”的会话总数。继续判断该处于“会话建立中状态”的会话总数是否大于预先设定的第三阀值,如果是,则继续拒绝上述用户发起的新的会话请求。
直到上述用户发起的处于“会话建立中状态”的会话总数低于预先设定的阀值,则确定上述用户没有发起不完整会话攻击,不再拒绝上述用户发起的新的会话请求,继续按照正常的会话处理机制处理上述用户发起的新的会话请求。
在实际应用中,上述实施例一和二提出的处理流程可以结合使用,也可以分别独立实施。
该实施例可以根据注册用户发起的处于“会话建立中状态”的会话总数,来判断该注册用户是否发起了不完整会话攻击。
上述实施例一和实施例二中的第一阀值、第二阀值和第三阀值的取值互不相同。
本发明实施例还提供了一种网络装置,其具体实现结构如图3所示,具体可以包括:
获取模块31,用于获取在一个不完整会话攻击的检测周期内,用户发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和收到的成功建立会话的响应数量;
判断处理模块32,用于根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
所述装置还可以包括:
防护处理模块33,用于在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进行取消或拒绝处理;或者用于在安全日志中记录所述用户的攻击行为,并上报不完整会话攻击告警。
所述获取模块31包括:第一获取模块311和第二获取模块312中的至少一项,其中,
第一获取模块311,用于获取一个已注册用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量;
第二获取模块312,用于获取特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。
所述判断处理模块32,具体包括:第一判断处理模块321和第二判断处理模块322中的至少一项,其中,
第一判断处理模块321;用于计算所述用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击;
第二判断处理模块322;用于计算所述用户主动发起的会话初始请求数量session_setup_initial_request[n]和收到的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ[n],所述Δ[n]的计算方法如下:
Δ[n]=session_setup_initial_request[n]-session_setup_final_response[n]
(n=0,1,2...)
对所述Δ[n]进行平滑处理得到X[n],所述X[n]的计算方法如下:
smoothed_fn[0]=0;
smoothed_fn[n]=α*smoothed_fn[n-1]+(1-α)*session_setup_final_response[n]
(n=1,2,...n)
X[n]=Δ[n]/smoothed_fn[n]
所述α∈[0..1],为预定义常量;
计算X2[n]=X[n]-max_avg_X,其中max_avg_X为网络不含攻击情况下的X[n]期望的最大值,设置判定序列Y[n],所述Y[n]的计算方法如下:
Y[0]=0,当Y[n-1]+X2[n]>0时,则Y[n]=(Y[n-1]+X2[n]);当Y[n-1]+X2[n]<=0时,则Y[n]=0;
判断所述Y[n]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。
本发明实施例还提供了另一种网络装置,其具体实现结构如图4所示,具体可以包括:
会话总数确定模块41,用于确定用户发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;
会话处理模块42,用于判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
所述网络装置还包括:
会话拒绝模块43,用于在确定所述用户发起了不完整会话攻击后,拒绝所述用户发起的新的会话请求。
本发明实施例的网络装置具体可以是路由器、交换机、基站控制器等。
本发明实施例还提供了一种网络系统,其具体结构如图5所示,包括:网络装置51和用户设备52,其中,
所述用户设备51,用于使用户通过该用户设备发起会话初始请求;
所述网络装置52,用于获取在一个不完整会话攻击的检测周期内,用户通过所述用户设备发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。上述网络装置52包括:获取模块、判断处理模块和防护处理模块,其中各个模块的作用与图3所示的网络装置实施例类似,此处不再重复描述。
或者,
所述用户设备51,用于使用户通过该用户设备发起会话初始请求;
所述网络装置52,用于确定用户发起的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。上述网络装置52包括:会话总数确定模块、会话处理模块和会话拒绝模块,其中各个模块的作用与图4所示的网络装置实施例类似,此处不再重复描述。
上述网络系统中网络装置具体可以是路由器、交换机、基站控制器等,上述网络装置中的各个模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述网络系统中的网络装置和用户设备可以集成于一个装置,也可以分布于多个装置。
综上所述,本发明实施例可以根据已注册的当前用户在一个检测周期内主动发起的会话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该当前用户是否发起了不完整会话攻击。从而有效地对已注册的当前用户发起的不完整会话攻击进行防护。
本发明实施例还可以根据注册用户发起的处于“会话建立中”的状态的会话总数,来判断该注册用户是否发起了不完整会话攻击。
本发明实施例可以根据在一个检测周期内特定的用户接入网段中主动发起的会话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该特定的用户接入网段中的未注册用户是否发起了不完整会话攻击。从而有效地对特定的用户接入网段中的未注册用户发起的不完整会话攻击进行防护。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (17)
1.一种对不完整会话攻击进行检测的方法,其特征在于,包括:
获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;
根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
2.根据权利要求1所述的方法,其特征在于,所述的用户发起的会话初始请求数量和收到的成功建立会话的响应数量包括:
已注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量;
或者,
特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。
3.根据权利要求1所述的方法,其特征在于,所述的不完整会话攻击的检测周期大于一个会话的超时时长。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述的根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击包括:
确定所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则确定所述用户发起了不完整会话攻击。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述的根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击包括:
计算所述用户发起的会话初始请求数量session_setup_initial_request[n]和收到的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ[n],所述Δ[n]的计算方法如下:
Δ[n]=session_setup_initial_request[n]-session_setup_final_response[n]
(n=0,1,2...)
对所述Δ[n]进行平滑处理得到X[n],所述X[n]的计算方法如下:
smoothed_fn[0]=0;
smoothed_fn[n]=α*smoothed_fn[n-1]+(1-α)*session_setup_final_response[n]
(n=1,2,...n)
X[n]=Δ[n]/smoothed_fn[n]
所述α∈[0..1],为预定义常量;
计算X2[n]=X[n]-max_avg_X,其中max_avg_X为网络不含攻击情况下的X[n]期望的最大值,设置判定序列Y[n],所述Y[n]的计算方法如下:
Y[0]=0,当Y[n-1]+X2[n]>0时,Y[n]=Y[n-1]+X2[n];当Y[n-1]+X2[n]<=0时,则Y[n]=0;
判断所述Y[n]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。
6.根据权利要求5所述的方法,其特征在于,所述的方法还包括:
当所述Y[n]大于预定的第二阀值,并判断所述用户发起了不完整会话攻击后,对所述Y[n]进行减少处理,使所述Y[n]在下个检测周期到来前,低于所述预定的第二阀值。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述的方法还包括:
在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进行取消或拒绝处理;或者,
在安全日志中记录所述用户的攻击行为,上报不完整会话攻击告警。
8.一种对不完整会话攻击进行检测的方法,其特征在于,包括:
确定用户发起的处于会话建立中的会话总数,所述处于会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;
判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
9.根据权利要求8所述的对不完整会话攻击进行检测的方法,其特征在于,所述方法还包括:
在确定所述用户发起了不完整会话攻击后,拒绝所述用户发起的新的会话请求。
10.一种网络装置,其特征在于,包括:
获取模块,用于获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;
判断处理模块,用于根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
11.根据权利要求10所述的网络装置,其特征在于,所述网络装置还包括:
防护处理模块,用于在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进行取消或拒绝处理;或者用于在安全日志中记录所述用户的攻击行为,上报不完整会话攻击告警。
12.根据权利要求10所述的网络装置,其特征在于,所述获取模块包括第一获取模块和第二获取模块中的至少一个,其中:
第一获取模块,用于获取已注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量;或者,
第二获取模块,用于获取特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。
13.根据权利要求10至12任一项所述的网络装置,其特征在于,所述判断处理模块,包括:第一判断处理模块和第二判断处理模块中的至少一项,其中,
第一判断处理模块;用于计算所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击;
第二判断处理模块;用于计算所述用户发起的会话初始请求数量session_setup_initial_request[n]和收到的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ[n],所述Δ[n]的计算方法如下:
Δ[n]=session_setup_initial_request[n]-session_setup_final_response[n]
(n=0,1,2...)
对所述Δ[n]进行平滑处理得到X[n],所述X[n]的计算方法如下:
smoothed_fn[0]=0;
smoothed_fn[n]=α*smoothed_fn[n-1]+(1-α)*session_setup_final_response[n]
(n=1,2,...n)
X[n]=Δ[n]/smoothed_fn[n]
所述α∈[0..1],为预定义常量;
计算X2[n]=X[n]-max_avg_X,其中max_avg_X为网络不含攻击情况下的X[n]期望的最大值,设置判定序列Y[n],所述Y[n]的计算方法如下:
Y[0]=0,当Y[n-1]+X2[n]>0时,则Y[n]=(Y[n-1]+X2[n]);当Y[n-1]+X2[n]<=0时,则Y[n]=0;
判断所述Y[n]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。
14.一种网络装置,其特征在于,包括:
会话总数确定模块,用于确定用户发起的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;
会话处理模块,用于判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
15.根据权利要求14所述的网络装置,其特征在于,所述网络装置还包括:
会话拒绝模块,用于在确定所述用户发起了不完整会话攻击后,拒绝所述用户发起的新的会话请求。
16.一种网络系统,其特征在于,包括网络装置和用户设备,其中:
所述用户设备,用于发起会话初始请求;
所述网络装置,用于获取在一个不完整会话攻击的检测周期内,所述用户设备发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
17.一种网络系统,其特征在于,包括网络装置和用户设备,其中:
所述用户设备,用于发起会话初始请求;
所述网络装置,用于确定所述用户设备发起的处于会话建立中的会话总数,所述会话建立中的会话类型包括:已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910081215 CN101854333B (zh) | 2009-03-30 | 2009-03-30 | 对不完整会话攻击进行检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910081215 CN101854333B (zh) | 2009-03-30 | 2009-03-30 | 对不完整会话攻击进行检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101854333A true CN101854333A (zh) | 2010-10-06 |
| CN101854333B CN101854333B (zh) | 2013-06-05 |
Family
ID=42805606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910081215 Active CN101854333B (zh) | 2009-03-30 | 2009-03-30 | 对不完整会话攻击进行检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101854333B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882894A (zh) * | 2012-10-30 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别攻击的方法及装置 |
| GB2505196A (en) * | 2012-08-21 | 2014-02-26 | Metaswitch Networks Ltd | Acknowledgement message monitoring |
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN116366371A (zh) * | 2023-05-30 | 2023-06-30 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4434551B2 (ja) * | 2001-09-27 | 2010-03-17 | 株式会社東芝 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
| CN100420197C (zh) * | 2004-05-13 | 2008-09-17 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| CN101197768A (zh) * | 2006-12-04 | 2008-06-11 | 西门子公司 | 提高移动自组网安全性的方法和节点设备 |
| CN101163041B (zh) * | 2007-08-17 | 2013-10-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及系统 |
-
2009
- 2009-03-30 CN CN 200910081215 patent/CN101854333B/zh active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2505196A (en) * | 2012-08-21 | 2014-02-26 | Metaswitch Networks Ltd | Acknowledgement message monitoring |
| US9407671B2 (en) | 2012-08-21 | 2016-08-02 | Metaswitch Networks Limited | Acknowledgement message monitoring |
| GB2505196B (en) * | 2012-08-21 | 2018-01-24 | Metaswitch Networks Ltd | Acknowledgement message monitoring |
| CN102882894A (zh) * | 2012-10-30 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别攻击的方法及装置 |
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN104202297B (zh) * | 2014-07-30 | 2018-09-14 | 新华三技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN116366371A (zh) * | 2023-05-30 | 2023-06-30 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
| CN116366371B (zh) * | 2023-05-30 | 2023-10-27 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101854333B (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102934122B (zh) | 用于适配信息系统基础设施的安全策略的方法 | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| US8973150B2 (en) | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network | |
| Clark et al. | Effectiveness of IP address randomization in decoy-based moving target defense | |
| CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
| CN101179583A (zh) | 一种防止用户假冒上网的方法及设备 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| CN101854333B (zh) | 对不完整会话攻击进行检测的方法和装置 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
| EP2448211A1 (en) | Method, system and equipment for detecting botnets | |
| US11233751B2 (en) | Method and system for managing transmission resources in a SIP-based communication system | |
| Knysz et al. | Good guys vs. bot guise: Mimicry attacks against fast-flux detection systems | |
| CN105610851A (zh) | 防御分布式拒绝服务攻击的方法及系统 | |
| Lee et al. | VoIP-aware network attack detection based on statistics and behavior of SIP traffic | |
| CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| CN112804230B (zh) | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 | |
| CN104202297B (zh) | 一种动态地适应服务器性能的防攻击方法和设备 | |
| WO2005076565A2 (en) | Operating a communication network through use of blocking measures for responding to communication traffic anomalies | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
| CN112153036B (zh) | 一种基于代理服务器的安全防御方法及系统 | |
| CN110855615A (zh) | 一种设备绑定的方法和装置 | |
| CN113347136B (zh) | 一种访问认证方法、装置、设备及存储介质 | |
| CN115913784B (zh) | 一种网络攻击防御系统、方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201117 Address after: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. Effective date of registration: 20201117 Address after: 215500 No.13, Caotang Road, Changshu, Suzhou, Jiangsu Province Patentee after: Changshu intellectual property operation center Co.,Ltd. Address before: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP02 | Change in the address of a patent holder |
Address after: 215500 5th floor, building 4, 68 Lianfeng Road, Changfu street, Changshu City, Suzhou City, Jiangsu Province Patentee after: Changshu intellectual property operation center Co.,Ltd. Address before: 215500 No.13, Caotang Road, Changshu, Suzhou, Jiangsu Province Patentee before: Changshu intellectual property operation center Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |