CN102148720A - Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 - Google Patents
Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 Download PDFInfo
- Publication number
- CN102148720A CN102148720A CN2010105577568A CN201010557756A CN102148720A CN 102148720 A CN102148720 A CN 102148720A CN 2010105577568 A CN2010105577568 A CN 2010105577568A CN 201010557756 A CN201010557756 A CN 201010557756A CN 102148720 A CN102148720 A CN 102148720A
- Authority
- CN
- China
- Prior art keywords
- message
- detect
- detection
- strategy
- sip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种IP多媒体子系统DDoS脆弱性检测方法及系统,所述方法包括:客户端根据预先确定的检测模型构造检测消息;客户端根据用户的检测需求确定检测策略及执行所述检测策略的服务端,并将检测消息和检测策略发送至服务端;服务端接收检测消息,并执行检测策略;之后将执行检测策略得到的检测结果反馈给客户端。本发明通过根据用户的检测需求确定检测策略,并通过确定的检测模型构造检测消息,服务端接收执行检测策略,实现了针对IMS的DDoS脆弱性的全面检测,从整体上把握了IMS的脆弱性,从而为各运营商的部署提供了依据,进而保障了IMS所提供电信服务的质量。
Description
技术领域
本发明涉及系统安全检测技术,尤其涉及一种IP多媒体子系统分布式拒绝服务(Distributed Denial of Service,DDoS)脆弱性检测方法及系统。
背景技术
IP多媒体子系统(IP Multimedia Subsystem,IMS)是由第三代移动通信伙伴组织(3rd Generation Partnership Project,3GPP)在Release5版本标准中提出的支持IP多媒体业务的子系统,它的核心特点是基于IP分组网络,支持开放的应用程序编程接口(Application Programming Interface,API),采用会话起始协议(Session Initial Protocol,SIP)作为会话控制协议,会话描述协议(SessionDescription Protocol,SDP)作为多媒体会话描述协议,实现业务、呼叫控制和承载的相互分离,并可屏蔽接入手段的差异。
随着IMS标准的逐步成熟,IMS已经在下一代网络领域得到广泛应用,目前,IMS被认为是下一代网络(Next Generation Network,NGN)控制层技术的核心,它的部署建设也是3GPP、国际电信联盟远程通信标准化组(InternationalTelecommunication Union-Telecommunication Standardization Sector,ITU-T)等国际标准组织研究的重点。
而下一代网络将采用互联网的许多关键技术,最终将核心网统一到IP分组网络,而IP分组网络的“开放性”将原有互联网的诸多安全问题引入到下一代网络领域,因而IMS的安全问题成为业界关注的焦点之一。
部署在IP网上的IMS不可避免的需要考虑互联网上出现的各种安全威胁,而一直困扰互联网安全的DDoS威胁也因而成为IMS面临的首要安全威胁。当前IMS正在被各运营商部署,尚处于初级应用阶段,对于IMS的DDoS脆弱性检测的研究尚处于起步阶段,业界还缺乏一种针对IMS的DDoS脆弱性的全面检测方法。
发明内容
有鉴于此,本发明的主要目的在于提供一种IP多媒体子系统DDoS脆弱性检测方法及系统,实现了针对IMS的DDoS脆弱性的全面检测。
为达到上述目的,本发明的技术方案是这样实现的:
一种IP多媒体子系统分布式拒绝服务DDoS脆弱性检测方法,所述方法包括:
客户端根据预先确定的检测模型构造检测消息;
客户端根据用户的检测需求确定检测策略及执行所述检测策略的服务端,将所述检测消息和所述检测策略发送至所述服务端;
服务端接收所述检测消息,并执行接收到的检测策略;之后,将执行检测策略得到的检测结果反馈给客户端。
进一步地,所述方法还包括:对所述检测模型进行设置,得到包括自定义构造方式和截获构造方式的检测模型;每种构造方式均包括构造属性和数量属性,其中,构造属性包括合法和畸形,数量属性包括单个和海量;
所述检测消息为SIP检测消息、和/或承载SDP内容的SIP检测消息;
相应地,所述检测模型为自定义构造方式时,所述根据预先确定的检测模型构造检测消息为:自定义构造一个或多个合法或畸形的数据包作为SIP/SDP检测消息;
所述检测模型为截获构造方式时,所述根据预先确定的检测模型构造检测消息为:截获一个或多个合法数据包,改造为合法或畸形的数据包作为SIP/SDP检测消息。
其中,所述检测策略为单SIP/SDP消息检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端发送单条SIP/SDP检测消息给IMS核心网;
所述检测策略为交互式检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端按照确定的发送顺序发送一条SIP/SDP检测消息给IMS核心网,并根据接收到的IMS核心网的回复消息,将下一条SIP/SDP检测消息进行修改后并发送,直至SIP/SDP检测消息发送完毕。
其中,所述服务端将执行检测策略得到的检测结果反馈给客户端为:服务端将IMS核心网回复消息的统计反馈给客户端;
所述服务端将执行检测策略得到的检测结果反馈给客户端之后还包括:
客户端通过发送正常的注册REGISTER消息给IMS核心网,根据所述IMS核心网的回复消息得到IMS核心网的网络状态;或者通过远程登录到IMS核心网,查看IMS的网络状态。
其中,所述检测策略为自动检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端按照确定的发送顺序发送一条SIP/SDP检测消息给IMS核心网,发送完毕后发送正常REGISTER消息给IMS核心网,若接收到IMS核心网对所述正常REGISTER消息的回复消息,继续发送下一条SIP/SDP检测消息,否则结束。
其中,所述服务端将执行检测策略得到的检测结果反馈给客户端为:服务端将IMS核心网对最后一条正常REGISTER消息的回复消息、以及最后服务端发送给IMS核心网的检测消息的名称反馈给客户端,通过分析所述反馈的消息,得到IMS的网络状态。
一种IP多媒体子系统DDoS脆弱性检测系统,所述系统包括客户端和服务端;其中,
所述客户端,用于根据预先确定的检测模型构造检测消息,根据用户的检测需求确定检测策略及执行所述检测策略的服务端,并将所述检测消息和所述检测策略发送至所述服务端;
所述服务端,用于接收所述检测消息,并执行接收到的检测策略,将执行检测策略得到的检测结果反馈给所述客户端。
进一步地,所述客户端还包括:
检测消息构造模块,用于当所述检测模型为自定义构造方式时,通过自定义构造一个或多个合法或畸形的数据包作为SIP/SDP检测消息;或者,当所述检测模型为截获构造方式时,通过截获一个或多个合法数据包,改造为合法或畸形的数据包作为SIP/SDP检测消息。
进一步地,所述客户端还包括检测策略模块、网络交互控制模块;其中,
检测策略制定模块,用于根据用户的检测需求制定检测策略,所述检测策略包括单SIP/SDP消息检测策略、交互式检测策略和自动检测策略;
网络交互控制模块,用于根据自定义通信协议与所述服务端进行通信,将所述检测消息和所述检测策略发送给所述服务端,并接收所述服务端返回的检测结果。
进一步地,所述服务端还包括网络交互控制模块,用于根据自定义通信协议与所述客户端进行通信,接收所述客户端发送的检测消息和检测策略,并将检测结果发送给所述客户端。
进一步地,所述服务端还包括检测策略执行模块、检测消息发送模块:其中,
检测策略执行模块,用于当检测策略为单SIP/SDP消息检测策略时,通过所述检测消息发送模块发送单条SIP/SDP检测消息给IMS核心网;
当检测策略为交互式检测策略时,按照确定的发送顺序通过所述检测消息发送模块发送一条SIP/SDP检测消息给IMS核心网,并根据接收到的IMS核心网的回复消息,将下一条SIP/SDP检测消息进行修改后,通过所述检测消息发送模块发送给IMS核心网,直至SIP/SDP检测消息发送完毕;
当检测策略为自动检测策略时,按照确定的发送顺序通过检测消息发送模块发送一条SIP/SDP检测消息给IMS核心网,发送完毕后通过所述检测消息发送模块发送正常REGISTER消息给IMS核心网,若接收到IMS核心网对所述正常REGISTER消息的回复消息,继续通过所述检测消息发送模块发送下一条SIP/SDP检测消息,否则结束。
本发明所提供的IP多媒体子系统DDoS脆弱性检测方法及系统,根据用户的检测需求确定检测策略,并通过确定的检测模型构造检测消息,服务端接收并执行检测策略,实现了针对IMS的DDoS脆弱性的全面检测,从整体上把握了IMS的脆弱性,从而为各运营商的部署提供了依据,保障了IMS所提供电信服务的质量。
附图说明
图1为本发明IP多媒体子系统DDoS脆弱性检测方法的实现流程示意图;
图2为本发明IP多媒体子系统DDoS脆弱性检测方法具体实施例的实现流程示意图;
图3为本发明IP多媒体子系统DDoS脆弱性检测系统的组成结构示意图。
具体实施方式
本发明的基本思想为:客户端根据预先确定的检测模型构造检测消息,并根据用户的检测需求确定检测策略及执行所述检测侧的服务端,将检测模型和检测策略发送至服务端,服务端接收并执行检测策略,并将检测结果反馈给客户端,实现了针对IMS的DDoS脆弱性的全面检测,从整体上把握了IMS的脆弱性。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图1为本发明IP多媒体子系统DDoS脆弱性检测方法的实现流程图,如图1所示,该方法包括下述步骤:
步骤S101,客户端根据用户的检测需求对检测模型进行设置,并确定检测模型,根据确定的检测模型构造检测消息。
本步骤中,检测模型是构造检测消息的基础,其中检测消息是指SIP/SDP检测消息,具体指IMS中的SIP检测消息和/或承载有SDP内容的SIP检测消息。对检测模型进行设置,得到包括自定义构造方式和截获构造方式的检测模型,每种构造方式均包括以下属性:构造属性、数量属性。其中,构造属性具体包括:畸形、合法;数量属性具体包括:单个、海量。
检测模型与构造SIP/SDP检测消息的关系如表1所示:
表1
步骤S102,客户端根据用户的检测需求确定检测策略。
本步骤中,可以选择的检测策略包括:手动检测策略和自动检测策略,其中,手动检测策略还包括单SIP/SDP消息检测策略和交互式检测策略。
单SIP/SDP消息检测策略具体为:根据用户的需求以指定的速率单线程或多线程地发送单条SIP/SDP检测消息,每次发送SIP/SDP检测消息时,实时地修改SIP/SDP检测消息的指定字段,以保证IMS核心网不会将该条SIP/SDP检测消息作为上一条SIP/SDP检测消息的重发,而将该条SIP/SDP检测消息丢弃;其中,修改的具体方法可以为:修改SIP/SDP检测消息中的Call-id、Cseq字段,以及branch、tag的值,例如对Cseq、tag字段可以每次加1,对于Call-id和branch字段则可以每次产生随机字符串的方式进行修改,最终保证在一次测试中SIP/SDP检测消息的不重复;交互式检测策略具体为:单线程或多线程地以多条SIP/SDP检测消息与IMS核心网进行交互。
自动检测策略具体为:单线程或多线程地发送一条或多条SIP/SDP检测消息,并且验证发送的SIP/SDP检测消息是否使IMS核心网造成DDoS,所述DDoS具体为IMS核心网不能正常运转,从而不能向合法用户提供所需要的服务或者使得服务质量降低等。
步骤S103,客户端根据用户的需求选取执行上述检测策略的一个或多个服务端,将构造的SIP/SDP检测消息以及检测策略发送至选取的服务端,并控制服务端执行检测策略。
本步骤中,客户端通过自定义通信协议将SIP/SDP检测消息以及检测策略发送至选取的一个或多个服务端,并对服务端进行控制。其中,服务端和客户端间的自定义通信协议可以为树形层次协议,即:后续字段作为前继字段的进一步解析,每个树形分支代表一个功能动作。
符合自定义通信协议的消息包括消息头和消息体,其中,消息头还包括:消息标识字段、参数标识字段以及内容标识字段;消息标识字段用于指定消息的功能,参数标识字段用于指定消息的功能参数,内容标识字段用于指定功能参数的内容。
客户端控制服务端执行检测策略具体可以通过修改消息中代表不同功能及其参数、内容等信息的字段来实现,其中,自定义通信协议的部分具体消息的内容可以参见下面的表2。
步骤S104,服务端受客户端的控制,执行接收到的检测策略。
本步骤中,当接收到的检测策略为单SIP/SDP消息检测策略时,则根据用户的需求以指定的速率单线程或多线程地发送单条SIP/SDP检测消息,并在每次发送检测消息时,实时地修改检测消息的指定字段。
当接收到的检测策略为交互式检测策略时,其执行步骤如下:
第一步:确定SIP/SDP检测消息的发送顺序;
第二步:按照发送顺序发送一条SIP/SDP检测消息;
第三步:SIP/SDP检测消息发送完毕后,接收IMS核心网的回复消息;
第四步:根据IMS核心网的回复消息内容,修改按照发送顺序应当发送的下一条SIP/SDP检测消息的指定字段,具体的修改方法与单SIP/SDP消息检测策略中的修改方式相同,不再赘述;然后返回第二步,继续发送下一条SIP/SDP检测消息,直至所有SIP/SDP检测消息发送完毕。
当接收到的检测策略为自动检测策略时,其执行步骤如下:
第一步:确定SIP/SDP检测消息的发送顺序;
第二步:按照发送顺序发送一条SIP/SDP检测消息;
第三步:SIP/SDP检测消息发送完毕后,向IMS核心网发送正常REGISTER消息以发起注册请求;
第四步:在预先规定的超时时间内是否接收到IMS核心网的回复消息,若接收到回复消息,则根据上述回复消息的内容,修改按照发送顺序应当发送的下一条SIP/SDP检测消息的指定字段,具体的修改方法与单SIP/SDP消息检测策略中的修改方式相同,不再赘述;然后返回第二步,继续发送修改得到的下一条SIP/SDP检测消息;
若没有接收到回复消息,则再次发送正常REGISTER消息以发起注册请求,如果连续三次在预先规定的超时时间内没有接收到回复消息,停止发送正常REGISTER消息,并停止发送后面的SIP/SDP检测消息。
步骤S105,服务端将检测结果反馈给客户端。
当上述检测策略为单SIP/SDP消息检测策略或者交互式检测策略时,服务端反馈给客户端的内容包括IMS核心网所有回复消息的统计,如回复消息包括20条500消息、30条100消息等等,然后可以通过用户手动检测IMS核心网的网络状态,得到上述发送的SIP/SDP检测消息对IMS核心网造成的影响,实现针对IMS的DDoS脆弱性的全面检测。
具体地,用户手动检测IMS核心网的网络状态可以通过一个客户端终端发送正常的REGISTER消息以发起注册请求,通过查看IMS核心网对上述正常的REGISTER消息的回复消息内容,得到IMS核心网的网络状态,检测其是否出现DDoS;也可以通过远程登录到IMS核心网,查看IMS核心网的网络状态,检测IMS是否出现DDoS。
若上述检测策略为自动检测策略时,服务端将IMS核心网对最后一条正常REGISTER消息的回复消息、以及最后服务端发送给IMS核心网的检测消息的名称反馈给客户端,通过分析IMS核心网反馈的消息,得到IMS核心网受上述SIP/SDP检测消息的影响程度,进一步检查IMS是否出现DDoS,完成针对IMS的DDoS脆弱性的全面检测,例如:当IMS核心网对最后一条正常REGISTER消息的回复消息为401或200时,则说明检测完毕,否则,说明最后发的检测消息导致IMS核心网验证失败。
图2示出了本发明完成一次IMS的DDoS脆弱性检测的具体消息流程,下面结合表2和图2详细说明完成一次IMS的DDoS脆弱性检测的具体消息流程,其中,表2显示了上述自定义通信协议的部分具体消息的内容:
表2
第一步,客户端根据用户的检测需求建立检测模型,根据检测模型构造检测消息;
第二步,客户端根据用户的检测需求制定检测策略;
第三步,客户端通过分组包消息PACKET将检测消息发送至所选取的服务端,服务端对接收到的检测消息进行存储;
第四步,客户端通过设置所有参数消息SET-ALL将检测策略发送至服务端,服务端根据接收到的检测策略进行配置;
第五步,客户端通过控制开始消息CONTROL-START命令服务端开始执行检测策略;
第六步,服务端执行检测策略时,通过响应消息RESPONSE将检测结果反馈给客户端;
第七步,客户端通过控制结束消息CONTROL-STOP命令服务端停止执行检测策略。
图3为本发明IP多媒体子系统DDoS脆弱性检测系统的组成结构示意图,如图3所示,该系统包括客户端10和至少一个服务端20;其中,客户端10,用于根据预先确定的检测模型构造检测消息,根据用户的检测需求确定检测策略及执行所述检测策略的服务端20,并将所述检测消息和所述检测策略发送至所述服务端20;服务端20,用于接收所述检测消息,并执行接收到的检测策略,将执行检测策略得到的检测结果反馈给所述客户端10。
客户端10进一步包括检测消息构造模块11,检测消息构造模块11通过检测模型构造检测消息,客户端10可以根据用户的检测需求对检测模型进行设置,检测模型是构造检测消息的基础;
本实施例中,检测模型如上述方法中所述,包括自定义构造方式和截获构造方式的检测模型,每种构造方式均包括以下属性:构造属性、数量属性。其中,构造属性具体包括:畸形、合法;数量属性具体包括:单个、海量。检测模型与构造检测消息的关系请参照表1,当所述检测模型为自定义构造方式时,通过自定义构造一个或多个合法或畸形的数据包作为SIP/SDP检测消息;或者,当所述检测模型为截获构造方式时,通过截获一个或多个合法数据包,改造为合法或畸形的数据包作为SIP/SDP检测消息。
客户端10还包括检测策略制定模块12,用于根据用户的检测需求制定适当的检测策略;本实施例中,检测策略包括:手动检测策略和自动检测策略。其中手动检测策略包括单SIP/SDP消息检测策略和交互式检测策略,每种检测策略的具体方式与上述方法中的检测策略相同,不再赘述。
客户端10还包括网络交互控制模块13,用于与服务端进行通信。本实施例中,网络交互控制模块13根据自定义通信协议与服务端20进行通行,将检测消息和检测策略发送给服务端20,并接收服务端20返回的检测结果;
具体地,网络交互控制模块13将检测消息构造模块11构造的检测消息以及检测策略制定模块12制定的检测策略发送给服务端20,以控制服务端20执行检测策略,并接收服务端20执行检测策略时返回的检测结果。其中,自定义通信协议的内容与上述方法中自定义通信协议相同,不再赘述,符合自定义通信协议的部分具体消息内容请参见表2。
服务端20进一步包括网络交互控制模块23,用于与客户端10进行通信。本实施例中,网络交互控制模块23根据自定义通信协议接收客户端10的网络交互模块13发送的检测消息以及检测策略,并将检测结果反馈给客户端10;
具体地,网络交互模块23接收客户端10的网络交互模块13发送的检测消息以及检测策略,并将服务端20接收到的IMS核心网的回复发送给客户端10。其中自定义通信协议的内容与上述方法中自定义通信协议相同,不再赘述,符合自定义通信协议的部分具体消息内容请参见表2。
服务端20进一步包括检测策略执行模块21和检测消息发送模块22,其中,检测消息发送模块22,用于根据检测策略执行模块21的指令,将所述检测消息发送给IMS核心网;检测策略执行模块21,用于执行网络交互控制模块23发送的检测策略。本实施例中,检测策略包括手动检测策略和自动检测策略,其中手动检测策略包括单SIP/SDP消息检测策略和交互式检测策略,每种检测策略的具体方式与上述方法中的检测策略的具体方式相同,不再赘述。
具体地,当接收到的检测策略为单SIP/SDP消息检测策略时,检测策略执行模块21对接收到的单条SIP/SDP检测消息进行修改,其中修改的具体方法可以为:修改SIP/SDP检测消息中的Call-id、Cseq字段,以及branch、tag的值,例如对Cseq、tag字段可以每次加1,对于Call-id和branch字段则可以每次产生随机字符串的方式进行修改,最终保证在一次测试中SIP/SDP检测消息的不重复;然后根据用户的需求以指定的速率触发检测消息发送模块22将修改得到的SIP/SDP检测消息发送给IMS核心网;
当接收到的检测策略为交互式检测策略时,检测策略执行模块21首先确定SIP/SDP检测消息的发送顺序,并按照发送顺序将应该发送的SIP/SDP检测消息通过检测消息发送模块22发送给IMS核心网;发送完毕后,接收IMS核心网对所发送的SIP/SDP检测消息的回复,根据IMS核心网的回复消息,修改应该发送的下一条SIP/SDP检测消息的指定字段,具体修改方法与单SIP/SDP消息检测策略中的修改方式相同,不再赘述;再次通过检测消息发送模块22将其发送给核心网,以此类推,直到所有的SIP/SDP检测消息发送完毕。
当接收到的检测策略为自动检测策略时,检测策略执行模块21首先确定SIP/SDP检测消息的发送顺序,并按照发送顺序将应该发送的SIP/SDP检测消息通过检测消息发送模块22发送给IMS核心网;发送完毕后,检测策略执行模块21触发检测消息发送模块22发送正常REGISTER消息给IMS核心网,并检测在预先规定的超时时间内是否接收到IMS核心网的回复消息,若接收到,则根据上述回复消息的内容,修改按照发送顺序应当发送格的下一条SIP/SDP检测消息的指定字段,具体的修改方法与单SIP/SDP消息检测策略中的修改方式相同,不再赘述;然后再次通过检测消息发送模块22将修改得到的下一条SIP/SDP检测消息发送给IMS核心网,以此类推,若在预先规定的超时时间内没有接收到IMS核心网的回复消息,则再次通过检测消息发送模块22发送正常REGISTER消息给IMS核心网,如果连续三次在上述超时时间内均没有接收到回复消息,则停止检测消息发送模块22发送正常REGISTER消息以及后续SIP/SDP检测消息的发送;
当上述检测策略为单SIP/SDP消息检测策略或者交互式检测策略时,服务端20的检测策略执行模块21反馈给客户端10的内容包括IMS核心网所有回复消息的统计,如回复消息包括20条500消息、30条100消息等等;然后,可以通过用户的手动检测IMS核心网的网络状态,得到上述发送的SIP/SDP检测消息对IMS核心网造成的影响,实现了针对IMS的DDoS脆弱性的全面检测;
具体地,用户手动检测IMS核心网的网络状态可以通过一个客户端发送正常的REGISTER消息以发起注册请求,通过查看IMS核心网对上述正常的REGISTER消息的回复消息内容得到IMS核心网的网络状态,也可以通过远程登录到IMS核心网,检测其是否出现DDoS。
上述检测策略为自动检测策略时,服务端20的检测策略执行模块21将接收到的IMS核心网对最后一条正常REGISTER消息的回复消息、以及最后服务端发送给IMS核心网的检测消息的名称通过网络交互控制模块23,反馈给客户端10,通过分析IMS核心网反馈的消息,得到IMS核心网受上述SIP/SDP检测消息的影响程度,进一步检查IMS是否出现DDoS,完成针对IMS的DDoS脆弱性的全面检测,例如:当IMS核心网对最后一条正常REGISTER消息的回复消息为401或200时,则说明检测完毕,否则,说明最后发的检测消息导致IMS核心网验证失败。
本发明根据用户的检测需求确定检测策略,并通过确定的检测模型构造检测消息,服务端接收并执行检测策略,实现了针对IMS的DDoS脆弱性的全面检测,从整体上把握了IMS的脆弱性,从而为各运营商的部署提供了依据,保障了IMS所提供电信服务的质量。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种IP多媒体子系统分布式拒绝服务DDoS脆弱性检测方法,其特征在于,所述方法包括:
客户端根据预先确定的检测模型构造检测消息;
客户端根据用户的检测需求确定检测策略及执行所述检测策略的服务端,将所述检测消息和所述检测策略发送至所述服务端;
服务端接收所述检测消息,并执行接收到的检测策略;之后,将执行检测策略得到的检测结果反馈给客户端。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对所述检测模型进行设置,得到包括自定义构造方式和截获构造方式的检测模型;每种构造方式均包括构造属性和数量属性,其中,构造属性包括合法和畸形,数量属性包括单个和海量;
所述检测消息为SIP检测消息、和/或承载SDP内容的SIP检测消息;
相应地,所述检测模型为自定义构造方式时,所述根据预先确定的检测模型构造检测消息为:自定义构造一个或多个合法或畸形的数据包作为SIP/SDP检测消息;
所述检测模型为截获构造方式时,所述根据预先确定的检测模型构造检测消息为:截获一个或多个合法数据包,改造为合法或畸形的数据包作为SIP/SDP检测消息。
3.根据权利要求2所述的方法,其特征在于,所述检测策略为单SIP/SDP消息检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端发送单条SIP/SDP检测消息给IMS核心网;
所述检测策略为交互式检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端按照确定的发送顺序发送一条SIP/SDP检测消息给IMS核心网,并根据接收到的IMS核心网的回复消息,将下一条SIP/SDP检测消息进行修改后并发送,直至SIP/SDP检测消息发送完毕。
4.根据权利要求3所述的方法,其特征在于,所述服务端将执行检测策略得到的检测结果反馈给客户端为:服务端将IMS核心网回复消息的统计反馈给客户端;
所述服务端将执行检测策略得到的检测结果反馈给客户端之后还包括:
客户端通过发送正常的注册REGISTER消息给IMS核心网,根据所述IMS核心网的回复消息得到IMS核心网的网络状态;或者通过远程登录到IMS核心网,查看IMS的网络状态。
5.根据权利要求2所述的方法,其特征在于,所述检测策略为自动检测策略时,所述服务端接收所述检测消息并执行接收到的检测策略为:服务端按照确定的发送顺序发送一条SIP/SDP检测消息给IMS核心网,发送完毕后发送正常REGISTER消息给IMS核心网,若接收到IMS核心网对所述正常REGISTER消息的回复消息,继续发送下一条SIP/SDP检测消息,否则结束。
6.根据权利要求5所述的方法,其特征在于,所述服务端将执行检测策略得到的检测结果反馈给客户端为:服务端将IMS核心网对最后一条正常REGISTER消息的回复消息、以及最后服务端发送给IMS核心网的检测消息的名称反馈给客户端,通过分析所述反馈的消息,得到IMS的网络状态。
7.一种IP多媒体子系统DDoS脆弱性检测系统,其特征在于,所述系统包括客户端和服务端;其中,
所述客户端,用于根据预先确定的检测模型构造检测消息,根据用户的检测需求确定检测策略及执行所述检测策略的服务端,并将所述检测消息和所述检测策略发送至所述服务端;
所述服务端,用于接收所述检测消息,并执行接收到的检测策略,将执行检测策略得到的检测结果反馈给所述客户端。
8.根据权利要求7所述的系统,其特征在于,所述客户端还包括:
检测消息构造模块,用于当所述检测模型为自定义构造方式时,通过自定义构造一个或多个合法或畸形的数据包作为SIP/SDP检测消息;或者,当所述检测模型为截获构造方式时,通过截获一个或多个合法数据包,改造为合法或畸形的数据包作为SIP/SDP检测消息。
9.根据权利要求8所述的系统,其特征在于,所述客户端还包括检测策略模块、网络交互控制模块;其中,
检测策略制定模块,用于根据用户的检测需求制定检测策略,所述检测策略包括单SIP/SDP消息检测策略、交互式检测策略和自动检测策略;
网络交互控制模块,用于根据自定义通信协议与所述服务端进行通信,将所述检测消息和所述检测策略发送给所述服务端,并接收所述服务端返回的检测结果。
10.根据权利要求7所述的系统,其特征在于,所述服务端还包括网络交互控制模块,用于根据自定义通信协议与所述客户端进行通信,接收所述客户端发送的检测消息和检测策略,并将检测结果发送给所述客户端。
11.根据权利要求7所述的系统,其特征在于,所述服务端还包括检测策略执行模块、检测消息发送模块:其中,
检测策略执行模块,用于当检测策略为单SIP/SDP消息检测策略时,通过所述检测消息发送模块发送单条SIP/SDP检测消息给IMS核心网;
当检测策略为交互式检测策略时,按照确定的发送顺序通过所述检测消息发送模块发送一条SIP/SDP检测消息给IMS核心网,并根据接收到的IMS核心网的回复消息,将下一条SIP/SDP检测消息进行修改后,通过所述检测消息发送模块发送给IMS核心网,直至SIP/SDP检测消息发送完毕;
当检测策略为自动检测策略时,按照确定的发送顺序通过检测消息发送模块发送一条SIP/SDP检测消息给IMS核心网,发送完毕后通过所述检测消息发送模块发送正常REGISTER消息给IMS核心网,若接收到IMS核心网对所述正常REGISTER消息的回复消息,继续通过所述检测消息发送模块发送下一条SIP/SDP检测消息,否则结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010557756 CN102148720B (zh) | 2010-11-22 | 2010-11-22 | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010557756 CN102148720B (zh) | 2010-11-22 | 2010-11-22 | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102148720A true CN102148720A (zh) | 2011-08-10 |
| CN102148720B CN102148720B (zh) | 2013-10-23 |
Family
ID=44422737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010557756 Expired - Fee Related CN102148720B (zh) | 2010-11-22 | 2010-11-22 | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102148720B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230825A (zh) * | 2016-08-01 | 2016-12-14 | 北京金和网络股份有限公司 | 兼顾处理速度与解析质量的自适应的网络协议解析策略 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN1968280A (zh) * | 2006-11-23 | 2007-05-23 | 华为技术有限公司 | 对非法头域进行检测和过滤的系统和方法 |
| CN101431809A (zh) * | 2008-10-28 | 2009-05-13 | 中国科学院研究生院 | 一种obex协议漏洞挖掘方法及其系统 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101917731A (zh) * | 2010-02-02 | 2010-12-15 | 北京邮电大学 | 传输认知网络信息的方法、系统、网络设备和终端设备 |
-
2010
- 2010-11-22 CN CN 201010557756 patent/CN102148720B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN1968280A (zh) * | 2006-11-23 | 2007-05-23 | 华为技术有限公司 | 对非法头域进行检测和过滤的系统和方法 |
| CN101431809A (zh) * | 2008-10-28 | 2009-05-13 | 中国科学院研究生院 | 一种obex协议漏洞挖掘方法及其系统 |
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试系统及测试方法 |
| CN101917731A (zh) * | 2010-02-02 | 2010-12-15 | 北京邮电大学 | 传输认知网络信息的方法、系统、网络设备和终端设备 |
Non-Patent Citations (1)
| Title |
|---|
| HUA LIU ET.AL: "A Generic Approach to Service Conflict Control in IMS", 《INTERNATIONAL CONFERENCE ON NETWORKING AND SERVICES》, 25 April 2009 (2009-04-25) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230825A (zh) * | 2016-08-01 | 2016-12-14 | 北京金和网络股份有限公司 | 兼顾处理速度与解析质量的自适应的网络协议解析策略 |
| CN106230825B (zh) * | 2016-08-01 | 2019-05-24 | 北京金和网络股份有限公司 | 兼顾处理速度与解析质量的自适应的网络协议解析策略 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102148720B (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104994481B (zh) | 一种Android系统中应用程序之间广播消息的收发方法及系统 | |
| CN102138313B (zh) | 针对rfc 3313的带内dpi媒体预留修改 | |
| Arango et al. | Media gateway control protocol (MGCP) version 1.0 | |
| CN104767755A (zh) | 保护基于分组的网络不受攻击的方法以及安全边界节点 | |
| KR101088852B1 (ko) | 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 | |
| US20110149808A1 (en) | Lawful call interception support | |
| US20090265456A1 (en) | Method and system to manage multimedia sessions, allowing control over the set-up of communication channels | |
| CA2449184A1 (en) | Method for processing session information of session initiation protocol system and recorded medium thereof | |
| EP1949647A1 (de) | Verfahren, detektionseinrichtung und servereinrichtung zur auswertung einer eingehenden kommunikation an einer kommunikationseinrichtung | |
| WO2008021315B1 (en) | Methods, systems, and computer program products for associating independent legs of a call in a telecommunications network | |
| CN101047509B (zh) | 会话攻击检测系统及检测方法 | |
| US20100049794A1 (en) | Method and system for implementing service compatibility | |
| CN102148720B (zh) | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 | |
| CN101631174B (zh) | 基于会话发起协议的网络电话实时识别和过滤方法 | |
| US10291663B2 (en) | Methods and apparatus for implementing a communication barring service | |
| CN102739458B (zh) | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 | |
| CN101304328A (zh) | 组播认证的方法、认证设备和组播认证服务器 | |
| US20080317004A1 (en) | SIP ENDPOINT CONFIGURATION IN VoIP NETWORKS | |
| WO2007121647A1 (en) | A system, device and method for filtering session initiation protocol message | |
| US10686849B2 (en) | Data processing | |
| Costin et al. | Extending the libtins library with SIP and RTP classes | |
| WO2021017994A1 (zh) | 网络电话voip的通话业务处理方法及装置 | |
| EP1452044A1 (de) | Verfahren zum übermitteln von signalisierungsnachrichten, zugehörige vorrichtung, zugehörige signalisierungsnachricht und zugehöriges programm | |
| Mishra et al. | Performance analysis of SIP signaling network using hierarchical modeling | |
| EP3058695B1 (en) | Performing an action on certain media streams in a multimedia communications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131023 Termination date: 20161122 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |