CN101997879B - 一种ip多媒体子系统漏洞检测的方法及系统 - Google Patents
一种ip多媒体子系统漏洞检测的方法及系统 Download PDFInfo
- Publication number
- CN101997879B CN101997879B CN 201010557727 CN201010557727A CN101997879B CN 101997879 B CN101997879 B CN 101997879B CN 201010557727 CN201010557727 CN 201010557727 CN 201010557727 A CN201010557727 A CN 201010557727A CN 101997879 B CN101997879 B CN 101997879B
- Authority
- CN
- China
- Prior art keywords
- sip signaling
- lopsided
- threat
- ims
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种IP多媒体子系统漏洞检测的方法及系统,所述方法包括:根据SIP信令规范及特点,构造IP多媒体子系统IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;根据用户的需求及畸形SIP信令的威胁维度,设置IMS的检测策略;根据用户选择的检测策略、测试方案,选取畸形SIP信令发送至IMS;检测IMS的网络状态,生成检测报告。本发明通过构造畸形SIP信令并设置畸形SIP信令的威胁维度,根据用户需求制定检测策略,根据用户选择的检测策略及测试方案选取适宜的畸形SIP信令发送至IMS,检测IMS接收到畸形SIP信令后的网络状态,实现了IMS的漏洞检测,有助于实现IMS安全性的提高。
Description
技术领域
本发明涉及系统安全检测技术,尤其涉及一种IP多媒体子系统漏洞检测的方法及系统。
背景技术
IP多媒体子系统(IP Multimedia Subsystem,IMS)是由第三代移动通信伙伴组织(3rd Generation Partnership Project,3GPP)在Release5版本标准中提出的支持IP多媒体业务的子系统。IMS的核心特点是基于IP分组网络,支持开放的应用程序接口(Application Programming Interface,API),采用会话起始协议(Session Initial Protocol,SIP)作为会话控制协议,会话描述协议(SessionDescription Protocol,SDP)作为多媒体会话描述协议,实现业务、呼叫控制和承载的相互分离,并可屏蔽接入手段的差异。IMS是解决移动网和固网融合,引入语音、数据、视频三重融合等差异化业务的重要方式。IMS的体系结构采用分层设计的方式,包括承载层、信令控制层和应用层,其中,信令控制层是IMS网络中的中间层,主要由网络控制服务器组成,负责管理呼叫以及会话的设置、修改和释放,所有IP多媒体业务的信令控制都在这一层完成。
SIP协议是互联网工程任务组(The Internet Engineering Force,IETF)提出的、在IP网络上进行多媒体通信的应用层控制协议,同时也是IMS网络中重要的信令控制协议。SIP协议是基于因特网两个成功的服务Web和E-mail进行设计的。SIP协议借鉴了Internet的标准和协议设计思想,坚持简洁、开放和可扩展、可重用性的原则,为组建多媒体通信网络、提供多媒体业务提供了一种可以将简单的应用结合到复杂的服务中的方法。SIP协议通过便捷的方式来建立和控制各种类型的点到点媒体会话,与Internet协议类似,它采用的是一种模块化结构、请求/应答模式、基于文本方式,因此使用非常简单灵活,升级扩展也很方便。
鉴于IMS的重要性和SIP协议在IMS中的重要地位,SIP协议的安全问题目前成为学术界和工业界共同关注的焦点之一。虽然SIP协议具有易用性、灵活性和扩展性强等特点,但由于SIP协议一般使用文本方式在IP网络上传输,且SIP协议的传输使用了代理服务器、重定向服务器等中间设备,使其信令的完整性、保密性、可用性和真实性存在安全隐患。另外,在将SIP协议转化为产品的过程中,由于开发人员素质的参差不齐、以及SIP标准开发的产品长时间不进行维护,也会无形中增加一些安全漏洞。然而,SIP协议与公共交换的电话网络密切相关,因此,如何避免网络中的病毒与恶意威胁,避免被网络窃听等已经成为采用SIP协议产品的重要考虑因素。
目前,SIP协议的安全问题已经得到了广泛重视,为了减轻畸形SIP信令对IMS网络的威胁,关键是找到SIP产品的漏洞以对其进行修复。
发明内容
有鉴于此,本发明的主要目的在于提供一种IP多媒体子系统漏洞检测的方法及系统,实现IMS的漏洞检测。
为达到上述目的,本发明的技术方案是这样实现的:
一种IP多媒体子系统漏洞检测的方法,所述方法包括下述步骤:
将SIP信令划分成不同的字段,根据畸形规则构造方法指向的字段、以及字段本身具有的关键字信息,定位到需要处理的SIP信令的字段;
根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;
根据所述异常元素类型构造IP多媒体子系统IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;
根据用户的需求及所述畸形SIP信令的威胁维度,设置IMS的检测策略;
根据用户选择的检测策略、测试方案,选取畸形SIP信令发送至IMS;
检测IMS的网络状态,生成检测报告。
其中,所述将SIP信令划分成不同的字段为:在SIP信令块层面上,将SIP信令划分为请求行或者状态行、SIP信令头以及SIP信令体;或者,
在SIP信令行层面上,利用换行符号将SIP信令划分为行集合;或者,
在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合;或者,
在SIP信令单词层面上,将SIP信令划分成单词集合。
具体地,所述畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种;
所述定位SIP信令的字段为:根据畸形规则构造方法指向的字段以及所述字段的关键字,定位SIP信令的字段。
其中,所述异常元素类型包括溢出异常、整数异常、资源标志符URI异常、格式控制符异常、ANSI码转义异常、通用转换格式UTF-8异常及IP地址异常的一种或多种;
所述根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型为:根据预先存储的SIP信令的字段与异常元素类型的对应关系,以及定位得到的SIP信令的字段,获取所述定位得到的SIP信令的字段对应的异常元素类型。
进一步地,所述威胁维度包括威胁维度内容和威胁维度等级;其中,所述威胁维度内容包括影响资产、影响安全目标以及造成的威胁的一种或多种;所述威胁维度等级包括低级威胁、中级威胁以及高级威胁一种或多种;所述测试方案包括测试资产、测试安全目标以及测试的威胁的一种或多种;
所述根据用户选择的检测策略、测试方案以及所述畸形SIP信令的威胁维度,选取畸形SIP信令发送到IMS为:
当检测策略为快速检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令发送至IMS;
当检测策略为有效检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令、以及中级威胁等级的畸形SIP信令发送至IMS;
当检测策略为全面检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令、以及低级威胁等级的畸形SIP信令发送至IMS。
一种IP多媒体子系统漏洞检测的系统,所述系统包括畸形SIP信令生成单元、检测策略制定单元、发送单元以及检测单元;其中,
所述畸形SIP信令生成单元,用于将SIP信令划分成不同的字段,根据畸形规则构造方法指向的字段、以及字段本身具有的关键字信息,定位到需要处理的SIP信令的字段;根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;根据所述异常元素类型构造IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;
检测策略制定单元,用于根据用户的需求及所述畸形SIP信令生成单元设置的畸形SIP信令的威胁维度,设置IMS的检测策略;
发送单元,用于根据用户选择的检测策略、测试方案,从所述畸形SIP信令生成单元中选取畸形SIP信令发送至IMS,并发送触发信息给检测单元;
检测单元,用于根据所述发送单元发送的触发信息,检测IMS的网络状态,并生成检测报告。
其中,所述畸形SIP信令生成单元进一步包括:划分模块、定位模块、异常元素类型获取模块、构造模块以及威胁维度设置模块;其中,
划分模块,用于将SIP信令划分成不同的字段;
定位模块,用于根据预先定义的畸形规则构造方法,定位所述划分模块划分得到的SIP信令的字段;
异常元素类型获取模块,用于根据所述定位模块定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;
构造模块,用于根据异常元素类型获取模块获取的异常元素类型及预先存储的异常元素值,构造IMS的畸形SIP信令;
威胁维度设置模块,用于设置所述构造模块构造得到的畸形SIP信令的威胁维度。
其中,所述划分模块具体用于在SIP信令块层面上,将SIP信令划分为请求行或者状态行、SIP信令头以及SIP信令体;或者在SIP信令行层面上,利用换行符号将SIP信令划分为行集合;或者在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合;或者在SIP信令单词层面上,将SIP信令划分成单词集合;
所述定位模块具体用于根据畸形规则构造方法指向的字段以及所述字段的关键字,定位所述划分模块划分得到的SIP信令的字段,其中所述畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种;
所述异常元素类型获取模块具体用于根据预先存储的SIP信令的字段与异常元素类型的对应关系,以及所述定位模块定位得到的SIP信令的字段,获取所述定位得到的SIP信令的字段对应的异常元素类型。
进一步地,所述畸形SIP信令的威胁维度包括威胁维度内容和威胁维度等级;其中,所述威胁维度内容包括影响资产、影响安全目标以及造成的威胁的一种或多种;所述威胁维度等级包括低级威胁、中级威胁以及高级威胁一种或多种;所述测试方案包括测试资产、测试安全目标以及测试的威胁的一种或多种;
所述发送单元具体用于当检测策略为快速检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令发送至IMS;当检测策略为有效检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令以及中级威胁等级的畸形SIP信令发送至IMS;当检测策略为全面检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令以及低级威胁等级的畸形SIP信令发送至IMS。
本发明通过构造畸形SIP信令,并设置畸形SIP信令的威胁维度,制定检测策略,根据用户选择的检测策略及测试方案,选取需要发送的畸形SIP信令发送至IMS,通过检测IMS接收到畸形SIP信令后的网络状态,实现IMS的漏洞检测,进而实现IMS安全性的提高。
附图说明
图1为本发明IP多媒体子系统漏洞检测方法的实现流程示意图;
图2为本发明IP多媒体子系统漏洞检测的具体实施例的实现流程示意图;
图3为本发明IP多媒体子系统漏洞检测的系统结构示意图。
具体实施方式
本发明的基本思想为:根据SIP信令规范及特点构造IMS的畸形SIP信令,并设置畸形SIP信令的威胁维度和检测策略,根据用户选择的检测策略及畸形SIP信令的威胁维度选取畸形SIP信令发送至IMS,发送完毕后,检测IMS的网络状态,并生成检测报告,实现IMS的漏洞检测。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图1示出了本发明IMS漏洞检测方法的实现流程,如图1所示,本发明实现IMS漏洞检测的方法包括下述步骤:
步骤S101,根据SIP信令规范及特点,构造IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度。
本步骤中,具体构造畸形SIP信令的方法为:将SIP信令划分成不同的字段;根据预先定义的畸形规则构造方法,定位SIP信令的字段;根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;根据所述异常元素类型,构造IMS的畸形SIP信令。
并且,根据畸形SIP信令特点及其影响实体,设置畸形SIP信令的威胁维度具体根据畸形SIP信令中出现异常的字段及其对应的异常元素类型所会影响到的资产内容、影响程度的大小等因素,设置畸形SIP信令的威胁维度,即对每条畸形SIP信令根据威胁维度所包括的类别设置畸形SIP信令的属性,其中威胁维度包括威胁维度内容和威胁维度等级,其中威胁维度内容包括影响资产、影响安全目标以及可能造成的相关的威胁等;威胁维度等级包括低级威胁、中级威胁以及高级威胁等。
例如,一个畸形SIP信令的畸形情况如下:To字段的IP地址被修改为广播地址,如255.255.255.255,则该畸形SIP信令的威胁维度内容为IMS网络中所有包含SIP协议器的功能实体,又因为其威胁到IMS网络中所有包含SIP协议器的功能实体,故其威胁维度等级为高级威胁。
这里,所述影响安全目标包括机密性、完整性、可用性、可计费性、可控制性和抗抵赖性的一种或多种;威胁维度等级中低级威胁为对IMS造成轻微威胁的等级,中级威胁为对IMS造成中等威胁的等级,高级威胁为对IMS造成严重威胁的等级。
步骤S102,根据用户的需求及畸形SIP信令的威胁维度,设置检测策略;
本步骤中,检测策略包括快速检测策略、有效检测策略以及全面检测策略。
步骤S103,根据用户选择的检测策略、测试方案,选取畸形SIP信令发送至IMS。
具体地,当检测策略为快速检测策略时,根据测试方案中用户需要测试的资产等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取高级威胁等级的畸形SIP信令发送至IMS;
当检测策略为有效检测策略时,根据测试方案中用户需要测试的资产等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取高级威胁等级的畸形SIP信令、以及中级威胁等级的畸形SIP信令发送至IMS;
当检测策略为全面检测策略时,根据测试方案中用户需要测试的资产等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令、以及低级威胁等级的畸形SIP信令发送至IMS。
步骤S104,检测IMS的网络状态,生成检测报告。
图2示出了本发明IP多媒体子系统漏洞检测的具体实施例的实现流程,如图2所示,本实施例中实现IMS漏洞检测的方法包括下述步骤:
步骤S201,启动IMS,部署IMS漏洞检测的系统。
本步骤中,启动IMS,确定要进行测试的IMS核心网工作正常,部署IMS漏洞检测系统,制定测试方案,具体为根据用户的测试目的确定需要测试资产、需要测试安全目标以及需要测试的相关威胁等。
通常,部署IMS漏洞检测系统具体包括:确定目标IMS允许正常用户使用服务的接入点,如P-CSCF或者SBC的IP地址、接收SIP信令的端口号、以及一个合法用户的身份等,用来保证IMS漏洞检测系统生成的畸形SIP信令能够与目标IMS进行交互,其中信令交互流程包括注册、解注册、发起呼叫以及结束呼叫等。
步骤S202,根据SIP信令规范及其特点,构造畸形SIP信令,并设置畸形SIP信令的威胁维度。
本步骤中,首先,根据SIP信令规范及特点,将SIP信令进行字段划分。具体地,可以在如下四个层面上分别进行划分:在SIP信令块层面上,将SIP信令划分为三个部分:请求行或者状态行、SIP信令头以及SIP信令体;在SIP信令行层面上,利用换行符号将SIP信令划分为行集合,其中所述换行符号可以为回车符;在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合,其中所述分界符可以为空格;在SIP信令单词层面上,将SIP信令划分成最小的有意义的单词集合。
然后,根据预先定义的畸形规则构造方法,对划分得到的SIP信令的字段进行定位,得到需要处理的SIP信令的字段。具体地,预先定义的畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种,根据各自畸形规则构造方法指向的字段、以及字段本身具有的关键字信息,找到需要处理的SIP信令的字段。
获取上述需要处理的SIP信令的字段所对应的异常元素类型,具体地,根据预先存储的SIP信令的字段与异常元素类型的对应关系,获取定位得到的需要处理的SIP信令的字段对应的异常元素类型,其中,异常元素类型包括溢出异常、整数异常、资源标志符(Universal Resource Identifier,URI)异常、格式控制符异常、ANSI码转义异常、通用转换格式(Universal Transformation Format)UTF-8异常及IP地址异常的一种或多种。
最后,根据异常元素类型,得到异常元素值,生成IMS的畸形SIP信令,其中异常元素值可以根据异常元素类型随机生成,或者从预先存储的数据库中获得等等。
本步骤中,畸形SIP信令的威胁维度包括威胁维度内容和威胁维度等级,其中威胁维度内容包括影响资产、影响安全目标以及可能造成的相关威胁等;威胁维度等级包括低级威胁、中级威胁以及高级威胁等。
这里,所述影响资产包括物理资产和逻辑资产,其中物理资产包括用户设备(User Equipment,UE),呼叫会话控制功能实体(Call Session Control Function,CSCF)以及归属用户服务器(Home Subscriber Server,HSS)的一种或多种;CSCF具体还包含代理呼叫会话控制功能(Proxy CSCF,P-CSCF)、问讯呼叫会话控制功能(Interrogation CSCF,I-CSCF)和服务呼叫会话控制功能(SendngCSCF,S-CSCF);逻辑资产包括UE的IP地址、UE的IP多媒体公共标识(IPMultimedia Public Identity,IMPU)、私有身份标识(IMS Private Identity,IMPI)、认证方式中的一种或多种。
所述影响安全目标包括机密性、完整性、可用性、可计费性、可控制性和抗抵赖性的一种或多种;威胁维度等级中低级威胁为对IMS造成轻微威胁的等级,中级威胁为对IMS造成中等威胁的等级,高级威胁为对IMS造成严重威胁的等级。
步骤S203,根据用户的需求及畸形SIP信令的威胁维度,设置检测策略。
本步骤中,检测策略包括快速检测策略、有效检测策略以及全面检测策略。
步骤S204,根据用户的选择,确定检测策略。
步骤S205,根据检测策略,测试方案,选取畸形SIP信令发送至IMS。
具体地,当检测策略为快速检测策略时,根据测试方案中确定的需要测试资产、需要测试安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案的高级威胁等级的畸形SIP信令发送至IMS;
当检测策略为有效检测策略时,根据测试方案中确定的需要测试资产、需要测试的安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案的高级威胁等级的畸形SIP信令、以及中级威胁等级的畸形SIP信令发送至IMS;
当检测策略为全面检测策略时,根据测试方案中确定的需要测试资产、需要测试安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案的高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令、以及低级威胁等级的畸形SIP信令发送至IMS。
另外,发送给IMS的畸形SIP信令首先都会经过P-CSCF处理,若畸形SIP信令被P-CSCF过滤掉,则不会再进一步影响IMS后续处理的功能实体,因此为了保证漏洞检测的准确性,在执行上述检测策略时,还可以如下进行:
当检测策略为快速检测策略时,根据测试方案中确定的需要测试资产、需要测试安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案,并分别将对P-CSCF造成严重威胁的高级威胁等级畸形SIP信令发送至P-CSCF,并对IMS中除P-CSCF外的其他资产造成严重威胁的高级威胁等级畸形SIP信令发送至IMS中除P-CSCF外的其他资产;
当检测策略为有效检测策略时,根据测试方案中确定的需要测试资产、需要测试的安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案,并分别将对P-CSCF造成严重威胁、中级威胁的高级、中级威胁等级的畸形SIP信令发送至P-CSCF,和对IMS中除P-CSCF外的其他资产造成严重威胁、中级威胁的高级、中级威胁等级的畸形SIP信令发送至IMS中除P-CSCF外的其他资产;
当检测策略为全面检测策略时,根据测试方案中确定的需要测试资产、需要测试安全目标等以及畸形SIP信令的威胁维度内容,如影响资产、影响安全目标等,选取适合上述测试方案并分别将对P-CSCF造成严重威胁、中级威胁、轻微威胁的高级、中级、低级威胁等级的畸形SIP信令发送至P-CSCF,和对IMS中除P-CSCF外的其他资产造成严重威胁、中级威胁、轻微威胁的高级、中级、低级威胁等级的畸形SIP信令发送至IMS中除P-CSCF外的其他资产。
步骤S206,检测IMS的网络状态,生成检测报告,并通过检测报告确定IMS的漏洞。
本步骤中,通过发送合法的SIP消息给IMS,根据接收到的IMS回复的响应,检测IMS当前的网络状态,并将IMS回复的响应记录到检测报告中。
图3示出了本发明IP多媒体子系统漏洞检测的系统结构,所述系统包括畸形SIP信令生成单元10、检测策略制定单元20、发送单元30以及检测单元40;其中,畸形SIP信令生成单元10,用于根据SIP信令规范及特点,构造IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;检测策略制定单元20,用于根据用户的需求及所述畸形SIP信令生成单元10设置的畸形SIP信令的威胁维度,设置IMS的检测策略;发送单元30,用于根据用户选择的检测策略、测试方案,从所述畸形SIP信令生成单元10中选取畸形SIP信令发送至IMS,并发送触发信息给检测单元40;检测单元40,用于根据所述发送单元30发送的触发信息,检测IMS的网络状态,并生成检测报告。
进一步地,所述畸形SIP信令生成单元10还包括划分模块11、定位模块12、异常元素类型获取模块13、构造模块14以及威胁维度设置模块15;其中,划分模块11,用于将SIP信令划分成不同的字段;定位模块12,用于根据预先定义的畸形规则构造方法,定位划分模块11划分得到的SIP信令的字段;异常元素类型获取模块13,用于根据所述定位模块12定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;构造模块14,用于根据异常元素类型获取模块13获取的异常元素类型,构造IMS的畸形SIP信令;威胁维度设置模块15,用于设置所述构造模块14构造得到的畸形SIP信令的威胁维度。
具体地,划分模块11具体用于在SIP信令块层面上,将SIP信令划分为请求行或者状态行、SIP信令头以及SIP信令体;或者在SIP信令行层面上,利用换行符号将SIP信令划分为行集合,其中所述换行符号可以为回车符;或者在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合,其中所述分界符可以为空格;或者在SIP信令单词层面上,将SIP信令划分成最小的有意义的单词集合。
定位模块12具体用于根据畸形规则构造方法指向的字段、以及所述字段的关键字,定位所述划分模块11划分得到的SIP信令的字段,其中所述畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种。
异常元素类型获取模块13具体用于根据预先存储的SIP信令的字段与异常元素类型的对应关系,以及所述定位模块12定位得到的SIP信令的字段,获取所述定位得到的SIP信令的字段对应的异常元素类型,其中,异常元素类型包括溢出异常、整数异常、资源标志符URI异常、格式控制符异常、ANSI码转义异常、通用转换格式UTF-8异常及IP地址异常的一种或多种。
进一步地,所述畸形SIP信令的威胁维度包括威胁维度内容和威胁维度等级;其中,所述威胁维度内容包括影响资产、影响安全目标以及造成的威胁一种或多种;所述威胁维度等级包括低级威胁、中级威胁以及高级威胁一种或多种;所述检测策略包括快速检测策略、有效检测策略以及全面检测策略的一种或多种。
发送单元30具体用于当检测策略为快速检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元10生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令发送至IMS;当检测策略为有效检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元10生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令、以及中级威胁等级的畸形SIP信令发送至IMS;当检测策略为全面检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元10生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令、以及低级威胁等级的畸形SIP信令发送至IMS。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (8)
1.一种IP多媒体子系统漏洞检测的方法,其特征在于,所述方法包括下述步骤:
将SIP信令划分成不同的字段,根据畸形规则构造方法指向的字段、以及字段本身具有的关键字信息,定位到需要处理的SIP信令的字段;其中,所述畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种;
根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;
根据所述异常元素类型构造IP多媒体子系统IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;
根据用户的需求及所述畸形SIP信令的威胁维度,设置IMS的检测策略;
根据用户选择的检测策略、测试方案,选取畸形SIP信令发送至IMS;
检测IMS的网络状态,生成检测报告;
其中,所述根据用户选择的检测策略、测试方案,选取畸形SIP信令发送到IMS为:
当检测策略为快速检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令发送至IMS;
当检测策略为有效检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令、以及中级威胁等级的畸形SIP信令发送至IMS;
当检测策略为全面检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令、以及低级威胁等级的畸形SIP信令发送至IMS。
2.根据权利要求1所述的方法,其特征在于,所述将SIP信令划分成不同的字段为:
在SIP信令块层面上,将SIP信令划分为请求行或者状态行、SIP信令头以及SIP信令体;或者,
在SIP信令行层面上,利用换行符号将SIP信令划分为行集合;或者,
在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合;或者,
在SIP信令单词层面上,将SIP信令划分成单词集合。
3.根据权利要求1所述的方法,其特征在于,所述异常元素类型包括溢出异常、整数异常、资源标志符URI异常、格式控制符异常、ANSI码转义异常、通用转换格式UTF-8异常及IP地址异常的一种或多种;
所述根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型为:
根据预先存储的SIP信令的字段与异常元素类型的对应关系,以及定位得到的SIP信令的字段,获取所述定位得到的SIP信令的字段对应的异常元素类型。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述威胁维度包括威胁维度内容和威胁维度等级;其中,所述威胁维度内容包括影响资产、影响安全目标以及造成的威胁的一种或多种;所述威胁维度等级包括低级威胁、中级威胁以及高级威胁一种或多种;所述测试方案包括测试资产、测试安全目标以及测试的威胁的一种或多种。
5.一种IP多媒体子系统漏洞检测的系统,其特征在于,所述系统包括畸形SIP信令生成单元、检测策略制定单元、发送单元以及检测单元;其中,
所述畸形SIP信令生成单元,用于将SIP信令划分成不同的字段,根据畸形规则构造方法指向的字段、以及字段本身具有的关键字信息,定位到需要处理的SIP信令的字段;根据定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;根据所述异常元素类型构造IMS的畸形SIP信令,并设置所述畸形SIP信令的威胁维度;其中,所述畸形规则构造方法包括字段重复、字段删除、字段插入及字段乱序的一种或多种;
检测策略制定单元,用于根据用户的需求及所述畸形SIP信令生成单元设置的畸形SIP信令的威胁维度,设置IMS的检测策略;
发送单元,用于根据用户选择的检测策略、测试方案,从所述畸形SIP信令生成单元中选取畸形SIP信令发送至IMS,并发送触发信息给检测单元;
检测单元,用于根据所述发送单元发送的触发信息,检测IMS的网络状态,并生成检测报告;
其中,所述发送单元,具体用于当检测策略为快速检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令发送至IMS;当检测策略为有效检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令以及中级威胁等级的畸形SIP信令发送至IMS;当检测策略为全面检测策略时,根据畸形SIP信令的威胁维度内容及测试方案,从畸形SIP信令生成单元生成的畸形SIP信令中选取高级威胁等级的畸形SIP信令、中级威胁等级的畸形SIP信令以及低级威胁等级的畸形SIP信令发送至IMS。
6.根据权利要求5所述的系统,其特征在于,所述畸形SIP信令生成单元进一步包括:划分模块、定位模块、异常元素类型获取模块、构造模块以及威胁维度设置模块;其中,
划分模块,用于将SIP信令划分成不同的字段;
定位模块,用于根据预先定义的畸形规则构造方法,定位所述划分模块划分得到的SIP信令的字段;
异常元素类型获取模块,用于根据所述定位模块定位得到的SIP信令的字段,获取所述字段对应的异常元素类型;
构造模块,用于根据异常元素类型获取模块获取的异常元素类型及预先存储的异常元素值,构造IMS的畸形SIP信令;
威胁维度设置模块,用于设置所述构造模块构造得到的畸形SIP信令的威胁维度。
7.根据权利要求6所述的系统,其特征在于,所述划分模块具体用于在SIP信令块层面上,将SIP信令划分为请求行或者状态行、SIP信令头以及SIP信令体;或者在SIP信令行层面上,利用换行符号将SIP信令划分为行集合;或者在SIP信令字符串层面上,利用分界符将SIP信令划分为字符串集合;或者在SIP信令单词层面上,将SIP信令划分成单词集合;
所述定位模块具体用于根据畸形规则构造方法指向的字段以及所述字段的关键字,定位所述划分模块划分得到的SIP信令的字段;
所述异常元素类型获取模块具体用于根据预先存储的SIP信令的字段与异常元素类型的对应关系,以及所述定位模块定位得到的SIP信令的字段,获取所述定位得到的SIP信令的字段对应的异常元素类型。
8.根据权利要求5至7任一项所述的系统,其特征在于,所述畸形SIP信令的威胁维度包括威胁维度内容和威胁维度等级;其中,所述威胁维度内容包括影响资产、影响安全目标以及造成的威胁的一种或多种;所述威胁维度等级包括低级威胁、中级威胁以及高级威胁一种或多种;所述测试方案包括测试资产、测试安全目标以及测试的威胁的一种或多种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010557727 CN101997879B (zh) | 2010-11-22 | 2010-11-22 | 一种ip多媒体子系统漏洞检测的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010557727 CN101997879B (zh) | 2010-11-22 | 2010-11-22 | 一种ip多媒体子系统漏洞检测的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101997879A CN101997879A (zh) | 2011-03-30 |
CN101997879B true CN101997879B (zh) | 2013-12-18 |
Family
ID=43787460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010557727 Expired - Fee Related CN101997879B (zh) | 2010-11-22 | 2010-11-22 | 一种ip多媒体子系统漏洞检测的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101997879B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594607B (zh) * | 2012-03-13 | 2015-05-20 | 北京邮电大学 | 一种电信应用业务安全测试评估通用平台系统及其方法 |
CN104660587B (zh) * | 2015-01-16 | 2018-02-16 | 北京邮电大学 | 一种基于sip处理方式的畸形sip生成方法和系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100661313B1 (ko) * | 2003-12-03 | 2006-12-27 | 한국전자통신연구원 | 평생 번호를 사용한 이동성 제공이 가능한 sip 기반의멀티미디어 통신 시스템 및 이동성 제공 방법 |
-
2010
- 2010-11-22 CN CN 201010557727 patent/CN101997879B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
Non-Patent Citations (2)
Title |
---|
Dong Wang et al..Model-based Vulnerability Analysis of IMS Network.《JOURNAL OF NETWORKS》.2009,第4卷(第4期),第III-IV部分. |
Model-based Vulnerability Analysis of IMS Network;Dong Wang et al.;《JOURNAL OF NETWORKS》;20090630;第4卷(第4期);第III-IV部分 * |
Also Published As
Publication number | Publication date |
---|---|
CN101997879A (zh) | 2011-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101333164B1 (ko) | Sip 메세지에 대한 신뢰를 결정하는 시스템 및 방법 | |
EP2604051B1 (en) | Enhanced registration messages in internet protocol multimedia subsystems | |
EP2521304B1 (en) | Authentication method, system and apparatus | |
EP2452485B1 (en) | Methods and apparatus for initiating provisioning of subscriber data in a hss of an ip multimedia subsystem network | |
EP2165557A2 (en) | Methods, systems, and computer program products for identifying a serving home subscriber server (hss) in a communications network | |
DE602007010841D1 (de) | Verfahren und vorrichtung zur verwendung in einem kommunikationsnetz | |
KR101891639B1 (ko) | 웹 실시간 통신(WebRTC)에 있어 IP 멀티미디어 서브시스템(IMS)으로의 액세스에 대한 보안 | |
WO2009050017A2 (en) | Methods, apparatuses and computer program products for providing identities and corresponding services supported for each of the identities | |
CN102075924B (zh) | 基于会话状态的ip多媒体子系统脆弱性检测方法及系统 | |
CN102511172A (zh) | 一种ims网络中紧急呼叫传送用户位置信息到cs网络的方法、装置 | |
EP2752039B1 (en) | Methods and apparatus for determining network support for other media during ims emergency sessions | |
CN101668016A (zh) | 鉴权方法及装置 | |
EP2090059A1 (en) | Method for provisioning of internet multimedia subsystem services to end-users | |
EP2569998B1 (en) | Enabling set up of a connection from a non-registered UE in IMS | |
CN101997879B (zh) | 一种ip多媒体子系统漏洞检测的方法及系统 | |
Shuang et al. | IMS security analysis using multi-attribute model | |
CN101014047A (zh) | 一种定位多媒体子系统网络攻击来源的方法、装置及防攻击系统 | |
CN100388662C (zh) | 一种防止具有3g能力用户使用过渡鉴权方式的方法 | |
CN101060704B (zh) | 一种因特网协议多媒体子系统域的紧急注册方法 | |
Idboufker et al. | A Secure Architecture for Nomadic User in IMS Network | |
Shun et al. | An Attack Based IMS Vulnerability Validate Platform | |
KR20120097897A (ko) | Ims망내 와일드카드 번호체계 가입자의 위치등록전달방법 및 그 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131218 Termination date: 20161122 |