CN106792712B - 针对VoLTE设备的SIP协议的自动监测框架系统 - Google Patents

针对VoLTE设备的SIP协议的自动监测框架系统 Download PDF

Info

Publication number
CN106792712B
CN106792712B CN201710105514.7A CN201710105514A CN106792712B CN 106792712 B CN106792712 B CN 106792712B CN 201710105514 A CN201710105514 A CN 201710105514A CN 106792712 B CN106792712 B CN 106792712B
Authority
CN
China
Prior art keywords
volte
sip
monitoring
module
sip message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710105514.7A
Other languages
English (en)
Other versions
CN106792712A (zh
Inventor
朱浩瑾
张珅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201710105514.7A priority Critical patent/CN106792712B/zh
Publication of CN106792712A publication Critical patent/CN106792712A/zh
Application granted granted Critical
Publication of CN106792712B publication Critical patent/CN106792712B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Telephonic Communication Services (AREA)
  • Monitoring And Testing Of Exchanges (AREA)

Abstract

本发明提供了一种针对VoLTE设备的SIP协议的自动监测框架系统,SIP工厂模块用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取SIP消息,并将SIP消息解密后发送给监测模块;规则生成器模块用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则发送给监测模块;监测模块用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测。本发明针对VoLTE服务的SIP报文的洪泛攻击和消息伪造攻击,实现实时监测VoLTE设备系统;本发明在尽可能不影响用户使用VoLTE服务的体验的情况下,有效的监测出那些针对SIP协议的安全攻击。

Description

针对VoLTE设备的SIP协议的自动监测框架系统
技术领域
本发明涉及一种针对目前VoLTE设备4G的主流通话解决方案VoLTE的安全监测框架,具体地,涉及一种针对VoLTE设备的SIP协议的自动监测框架系统。
背景技术
在移动通信领域中,传统的2G/3G使用电路交换和报文交换两种通信方式,其中报文交换提供网络通信能力,电路交换提供语音通信能力。然而,电路交换的低带宽成为了移动通信的瓶颈。因此,4G只提供了报文交换通路,为了解决语音通信问题,同时提出了VoLTE(一种基于IMS的语音业务)的通话解决方案。目前为止,VoLTE已经作为手机4G的主流通话解决方案,在世界各地的运营商中进行中广泛的部署。然而,VoLTE的通话协议所使用的SIP协议继承了网络中VoIP的全部特点,因此一些成熟的针对VoIP的网络攻击在移动网络中,针对VoLTE可能同样会有很多效果。
然而现有的VoLTE通话解决方案,通常存在如下缺陷:
现有的VoLTE语音通话技术下,存在的问题主要是运营商在通信协议的实现中存在一些漏洞,同时现有的VoLTE设备厂商的通信协议和VoLTE设备操作系统的实现,也存在一些漏洞,所以这使得恶意攻击者可以针对某些特定的受害者进行攻击,比如伪造短信来欺骗受害者,或者使得受害者的VoLTE设备通信功能瘫痪。
目前没有发现同本发明类似技术的说明或报道,也尚未收集到国内外类似的资料。
发明内容
针对现有技术中存在的上述不足,本发明的目的是提供一种针对VoLTE设备的SIP协议的自动监测框架系统,该自动监测框架系统为了避免用户在使用VoLTE设备进行通信时,受到来自黑客的攻击,将VoLTE的通话协议所使用的SIP协议作为出发点,针对VoLTE的SIP协议进行攻击监测,当黑客针对VoLTE的设备进行攻击时,该自动监测框架系统可以及时发现该攻击并提出警报,报告给用户。
为实现上述目的,本发明是通过以下技术方案实现的。
一种针对VoLTE设备的SIP协议的自动监测框架系统,包括SIP工厂模块、规则生成器模块和监测模块;其中:
SIP工厂模块:用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP消息,并将该SIP消息解密后发送给监测模块;
规则生成器模块:用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块;
监测模块:用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测,判断VoLTE设备此时是否遭受攻击。
优选地,所述SIP工厂模块利用VpnService(虚拟专用网络服务器)来和VoLTE设备的VoLTE接口通信,以此来抓取所有在VoLTE的控制通道中传输的SIP消息;同时,通过获取VoLTE设备操作系统内核层的系统秘钥,来对提取到的加密过的SIP消息进行解密。
优选地,所述规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP消息实例进行描述;当规则生成器模块收到来自监测模块所发送规则请求时,规则生成器模块便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块。
优选地,所述监测模块通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备是否正在遭受攻击。
优选地,所述监测模块采用的监测方法为:
使用监测规则监测VoLTE设备收到的SIP消息是否符合SIP消息的结构和特征:
如果并不符合,则说明该SIP消息被篡改过,是一条伪造的SIP消息;
如果符合,便计算该SIP消息的大小,并将计算结果缓存,等待下一个SIP消息的累加;
每隔一分钟,统计一次在这一分钟内所接收到的SIP消息的总大小:
若该统计值超过了设定的阈值,则判定VoLTE设备当前正在遭受数据DoS攻击;
若该统计值没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
本发明提供的针对VoLTE设备的SIP协议的自动监测框架系统,其工作过程具体为:
现有的针对VoLTE中SIP协议的黑客攻击可以分为两大类:SIP协议的洪泛攻击和SIP协议的伪造攻击;
针对SIP协议的洪泛攻击:首先自动监测框架系统提取所有VoLTE设备收到的SIP协议,然后开始计算每分钟VoLTE设备所接收到的SIP协议的总大小,当该流量总和超过设定的阈值之后,则认为此刻VoLTE设备受到了SIP协议的洪泛攻击。其理论的根据很直白,因为VoLTE建立语音通信时所使用的控制通道是专用通道,只有和VoLTE设备的电话短信通信才会使用该通道和SIP协议,因此正常情况下使用VoLTE服务,VoLTE设备收到的SIP协议大小远低于阈值。
针对SIP协议的伪造攻击:首先自动监测框架系统提取所有VoLTE设备收到的SIP协议,并通过提取存储于VoLTE设备固件中的秘钥来对所收到的SIP消息进行解密。当得到SIP消息的明文时,通过已经固定好的针对SIP协议的本体描述语言来生成实例并用该实例监测收到的SIP协议是否为一个合法的SIP协议,如果该消息未能通过实例监测,测判定该消息为伪造的SIP消息,因此,目前VoLTE设备有可能遭受SIP协议的伪造攻击。
与现有技术相比,本发明具有如下有益效果:
1、本发明针对VoLTE服务的SIP协议,针对SIP报文的洪泛攻击和消息伪造攻击,在VoLTE设备安装,实现实时监测VoLTE设备系统,安全可靠;
2、本发明在尽可能不影响用户使用VoLTE服务的体验的情况下,有效的监测出那些针对SIP协议的安全攻击,方便快捷。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明系统结构示意图。
具体实施方式
下面对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
实施例
下面结合附图对本实施例进行详细描述。
如图1所示,本实施例提供的针对VoLTE设备的SIP协议的自动监测框架系统,主要由三个模块构成,分别为:SIP工厂模块(图1中SIP工厂)、规则生成器模块(图1中规则生成器)和监测模块(图1中监测处理器)。它们之间的功能关系分别如下:
SIP工厂模块:该模块主要负责与VoLTE设备(图1中VoLTE模块,例如手机或其他应用VoLTE服务的设备)的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP信息,并将该SIP信息解密后发送给监测模块。
规则生成器模块:该模块存储了许多用本体描述语言来描述的SIP消息实例,当监测单元请求规则时,规则生成器模块便将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块。
监测模块:该模块根据一定的监测方法和接收到的监测规则,对VoLTE设备(例如手机端或其他应用VoLTE服务的设备)收到的SIP消息进行监测,判断VoLTE设备(例如手机或其他应用VoLTE服务的设备)此时是否遭受攻击。
进一步地,
SIP工厂模块利用VpnService(虚拟专用网络服务器,例如Android SDK(安卓系统的软件开发工具包)中提供的)来和VoLTE设备(例如手机端或其他应用VoLTE服务的设备)的VoLTE接口通信,以此来提取所有在VoLTE的控制通道中传输的SIP报文(SIP消息)。同时,通过获取VoLTE设备(例如手机或其他应用VoLTE服务的设备)的操作系统内核层的系统秘钥,来对提取到的加密过的SIP报文(SIP消息)进行解密。
规则生成器模块:规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP协议的消息规范(SIP消息实例)进行描述。当规则生成器模块收到来自监测模块所发送规则请求时,便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块。
监测模块:通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备(例如手机或其他应用VoLTE服务的设备)是否正在遭受攻击。如果遭受攻击,边警报提醒用户。
进一步地,所述监测模块采用的监测方法为:首先,监测模块使用本体描述语言描述的SIP消息实例提供的结构和格式化(特征)规则(即监测规则)监测VoLTE设备收到的SIP报文(SIP消息)是否符合SIP的结构和格式化(特征)规则。如果并不符合,则说明该SIP报文被篡改过,是一条伪造的SIP报文,因此监测模块便发出警报提醒用户。如果符合结构和格式化规则,便计算该SIP报文的大小,并将计算结果缓存等待下一个SIP报文的累加。利用定时器每隔一分钟,统计一次在这一分钟内所接收到的SIP报文的总大小。若该统计值超过了设定的阈值,则判定VoLTE设备(例如手机)当前正在遭受数据DoS攻击,并发出警报提醒用户。如果没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。

Claims (1)

1.一种针对VoLTE设备的SIP协议的自动监测框架系统,其特征在于,包括SIP工厂模块、规则生成器模块和监测模块;其中:
SIP工厂模块:用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP消息,并将该SIP消息解密后发送给监测模块;
规则生成器模块:用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块;
监测模块:用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测,判断VoLTE设备此时是否遭受攻击;
所述SIP工厂模块利用VpnService来和VoLTE设备的VoLTE接口通信,以此来抓取所有在VoLTE的控制通道中传输的SIP消息;同时,通过获取VoLTE设备操作系统内核层的系统秘钥,来对提取到的加密过的SIP消息进行解密;
所述规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP消息实例进行描述;当规则生成器模块收到来自监测模块所发送规则请求时,规则生成器模块便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块;
所述监测模块通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备是否正在遭受攻击;
所述监测模块采用的监测方法为:
使用监测规则监测VoLTE设备收到的SIP消息是否符合SIP消息的结构和特征:
如果并不符合,则说明该SIP消息被篡改过,是一条伪造的SIP消息;
如果符合,便计算该SIP消息的大小,并将计算结果缓存,等待下一个SIP消息的累加;
每隔一分钟,统计一次在这一分钟内所接收到的SIP消息的总大小:
若该统计值超过了设定的阈值,则判定VoLTE设备当前正在遭受数据DoS攻击;
若该统计值没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
CN201710105514.7A 2017-02-26 2017-02-26 针对VoLTE设备的SIP协议的自动监测框架系统 Active CN106792712B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710105514.7A CN106792712B (zh) 2017-02-26 2017-02-26 针对VoLTE设备的SIP协议的自动监测框架系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710105514.7A CN106792712B (zh) 2017-02-26 2017-02-26 针对VoLTE设备的SIP协议的自动监测框架系统

Publications (2)

Publication Number Publication Date
CN106792712A CN106792712A (zh) 2017-05-31
CN106792712B true CN106792712B (zh) 2020-04-03

Family

ID=58959399

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710105514.7A Active CN106792712B (zh) 2017-02-26 2017-02-26 针对VoLTE设备的SIP协议的自动监测框架系统

Country Status (1)

Country Link
CN (1) CN106792712B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120572A (zh) * 2017-06-22 2019-01-01 中兴通讯股份有限公司 Sip信令解密方法、装置、系统及计算机可读存储介质
CN107483287B (zh) * 2017-08-17 2021-07-20 郑州云海信息技术有限公司 一种自动监测网口数据包收发故障系统及方法
CN110198308A (zh) * 2019-05-10 2019-09-03 南京邮电大学 一种基于pjsip协议栈服务于特定接口的参数组合的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247281A (zh) * 2008-03-21 2008-08-20 华为技术有限公司 一种协议报文的检测方法、系统及设备
CN101459561A (zh) * 2009-01-09 2009-06-17 北京邮电大学 基于cusum算法检测sip消息洪泛攻击的装置和方法
CN102685736A (zh) * 2012-05-22 2012-09-19 上海交通大学 无线网络自适应攻击检测方法
CN104852894A (zh) * 2014-12-10 2015-08-19 北京奇虎科技有限公司 一种无线报文侦听检测方法、系统及中控服务器
CN106357685A (zh) * 2016-10-28 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种防御分布式拒绝服务攻击的方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101574193B1 (ko) * 2010-12-13 2015-12-11 한국전자통신연구원 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
US9295028B2 (en) * 2013-10-21 2016-03-22 At&T Intellectual Property I, Lp Detection and mitigation of denial-of-service attacks in wireless communication networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247281A (zh) * 2008-03-21 2008-08-20 华为技术有限公司 一种协议报文的检测方法、系统及设备
CN101459561A (zh) * 2009-01-09 2009-06-17 北京邮电大学 基于cusum算法检测sip消息洪泛攻击的装置和方法
CN102685736A (zh) * 2012-05-22 2012-09-19 上海交通大学 无线网络自适应攻击检测方法
CN104852894A (zh) * 2014-12-10 2015-08-19 北京奇虎科技有限公司 一种无线报文侦听检测方法、系统及中控服务器
CN106357685A (zh) * 2016-10-28 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种防御分布式拒绝服务攻击的方法及装置

Also Published As

Publication number Publication date
CN106792712A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
WO2015018303A1 (en) Method and device for detecting distributed denial of service attack
US9781137B2 (en) Fake base station detection with core network support
Yang et al. Stateful intrusion detection for IEC 60870-5-104 SCADA security
CN106792712B (zh) 针对VoLTE设备的SIP协议的自动监测框架系统
CN108270600A (zh) 一种对恶意攻击流量的处理方法及相关服务器
CN107454065B (zh) 一种UDP Flood攻击的防护方法及装置
CN115396200A (zh) 一种跨平台数据安全管理应用方法、装置及系统
CN106572103B (zh) 一种基于sdn网络架构的隐藏端口检测方法
CN115484047A (zh) 云平台中的泛洪攻击的识别方法、装置、设备及存储介质
CN107864159A (zh) 基于证书及信任链的通信方法和装置
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
CN102780691B (zh) 一种移动终端检测、回避网络攻击的方法
CN105991509A (zh) 会话处理方法及装置
CN105162794B (zh) 一种使用约定方式的ipsec密钥更新方法及设备
CN112311763A (zh) 一种基于sip协议抓包和操作系统防火墙的sip服务保护方法、装置及服务系统
CN106385384B (zh) 一种报文发送方法及网络设备
CN115835211B (zh) 一种5g信令攻击检测系统
CN103150243A (zh) 一种移动终端的应用程序的监控方法
JPWO2006035928A1 (ja) Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
CN115426654A (zh) 一种构建面向5g通信系统的网元异常检测模型的方法
CN104869116A (zh) 电信网信令安全主动防护方法
CN104683360B (zh) Ip语音通信系统
US20130104233A1 (en) Network data control device and network data control method for controling network data that generates malicious code in mobile equipment
KR101379779B1 (ko) 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant