CN106792712B - 针对VoLTE设备的SIP协议的自动监测框架系统 - Google Patents
针对VoLTE设备的SIP协议的自动监测框架系统 Download PDFInfo
- Publication number
- CN106792712B CN106792712B CN201710105514.7A CN201710105514A CN106792712B CN 106792712 B CN106792712 B CN 106792712B CN 201710105514 A CN201710105514 A CN 201710105514A CN 106792712 B CN106792712 B CN 106792712B
- Authority
- CN
- China
- Prior art keywords
- volte
- sip
- monitoring
- module
- sip message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Telephonic Communication Services (AREA)
- Monitoring And Testing Of Exchanges (AREA)
Abstract
本发明提供了一种针对VoLTE设备的SIP协议的自动监测框架系统,SIP工厂模块用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取SIP消息,并将SIP消息解密后发送给监测模块;规则生成器模块用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则发送给监测模块;监测模块用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测。本发明针对VoLTE服务的SIP报文的洪泛攻击和消息伪造攻击,实现实时监测VoLTE设备系统;本发明在尽可能不影响用户使用VoLTE服务的体验的情况下,有效的监测出那些针对SIP协议的安全攻击。
Description
技术领域
本发明涉及一种针对目前VoLTE设备4G的主流通话解决方案VoLTE的安全监测框架,具体地,涉及一种针对VoLTE设备的SIP协议的自动监测框架系统。
背景技术
在移动通信领域中,传统的2G/3G使用电路交换和报文交换两种通信方式,其中报文交换提供网络通信能力,电路交换提供语音通信能力。然而,电路交换的低带宽成为了移动通信的瓶颈。因此,4G只提供了报文交换通路,为了解决语音通信问题,同时提出了VoLTE(一种基于IMS的语音业务)的通话解决方案。目前为止,VoLTE已经作为手机4G的主流通话解决方案,在世界各地的运营商中进行中广泛的部署。然而,VoLTE的通话协议所使用的SIP协议继承了网络中VoIP的全部特点,因此一些成熟的针对VoIP的网络攻击在移动网络中,针对VoLTE可能同样会有很多效果。
然而现有的VoLTE通话解决方案,通常存在如下缺陷:
现有的VoLTE语音通话技术下,存在的问题主要是运营商在通信协议的实现中存在一些漏洞,同时现有的VoLTE设备厂商的通信协议和VoLTE设备操作系统的实现,也存在一些漏洞,所以这使得恶意攻击者可以针对某些特定的受害者进行攻击,比如伪造短信来欺骗受害者,或者使得受害者的VoLTE设备通信功能瘫痪。
目前没有发现同本发明类似技术的说明或报道,也尚未收集到国内外类似的资料。
发明内容
针对现有技术中存在的上述不足,本发明的目的是提供一种针对VoLTE设备的SIP协议的自动监测框架系统,该自动监测框架系统为了避免用户在使用VoLTE设备进行通信时,受到来自黑客的攻击,将VoLTE的通话协议所使用的SIP协议作为出发点,针对VoLTE的SIP协议进行攻击监测,当黑客针对VoLTE的设备进行攻击时,该自动监测框架系统可以及时发现该攻击并提出警报,报告给用户。
为实现上述目的,本发明是通过以下技术方案实现的。
一种针对VoLTE设备的SIP协议的自动监测框架系统,包括SIP工厂模块、规则生成器模块和监测模块;其中:
SIP工厂模块:用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP消息,并将该SIP消息解密后发送给监测模块;
规则生成器模块:用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块;
监测模块:用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测,判断VoLTE设备此时是否遭受攻击。
优选地,所述SIP工厂模块利用VpnService(虚拟专用网络服务器)来和VoLTE设备的VoLTE接口通信,以此来抓取所有在VoLTE的控制通道中传输的SIP消息;同时,通过获取VoLTE设备操作系统内核层的系统秘钥,来对提取到的加密过的SIP消息进行解密。
优选地,所述规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP消息实例进行描述;当规则生成器模块收到来自监测模块所发送规则请求时,规则生成器模块便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块。
优选地,所述监测模块通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备是否正在遭受攻击。
优选地,所述监测模块采用的监测方法为:
使用监测规则监测VoLTE设备收到的SIP消息是否符合SIP消息的结构和特征:
如果并不符合,则说明该SIP消息被篡改过,是一条伪造的SIP消息;
如果符合,便计算该SIP消息的大小,并将计算结果缓存,等待下一个SIP消息的累加;
每隔一分钟,统计一次在这一分钟内所接收到的SIP消息的总大小:
若该统计值超过了设定的阈值,则判定VoLTE设备当前正在遭受数据DoS攻击;
若该统计值没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
本发明提供的针对VoLTE设备的SIP协议的自动监测框架系统,其工作过程具体为:
现有的针对VoLTE中SIP协议的黑客攻击可以分为两大类:SIP协议的洪泛攻击和SIP协议的伪造攻击;
针对SIP协议的洪泛攻击:首先自动监测框架系统提取所有VoLTE设备收到的SIP协议,然后开始计算每分钟VoLTE设备所接收到的SIP协议的总大小,当该流量总和超过设定的阈值之后,则认为此刻VoLTE设备受到了SIP协议的洪泛攻击。其理论的根据很直白,因为VoLTE建立语音通信时所使用的控制通道是专用通道,只有和VoLTE设备的电话短信通信才会使用该通道和SIP协议,因此正常情况下使用VoLTE服务,VoLTE设备收到的SIP协议大小远低于阈值。
针对SIP协议的伪造攻击:首先自动监测框架系统提取所有VoLTE设备收到的SIP协议,并通过提取存储于VoLTE设备固件中的秘钥来对所收到的SIP消息进行解密。当得到SIP消息的明文时,通过已经固定好的针对SIP协议的本体描述语言来生成实例并用该实例监测收到的SIP协议是否为一个合法的SIP协议,如果该消息未能通过实例监测,测判定该消息为伪造的SIP消息,因此,目前VoLTE设备有可能遭受SIP协议的伪造攻击。
与现有技术相比,本发明具有如下有益效果:
1、本发明针对VoLTE服务的SIP协议,针对SIP报文的洪泛攻击和消息伪造攻击,在VoLTE设备安装,实现实时监测VoLTE设备系统,安全可靠;
2、本发明在尽可能不影响用户使用VoLTE服务的体验的情况下,有效的监测出那些针对SIP协议的安全攻击,方便快捷。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明系统结构示意图。
具体实施方式
下面对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
实施例
下面结合附图对本实施例进行详细描述。
如图1所示,本实施例提供的针对VoLTE设备的SIP协议的自动监测框架系统,主要由三个模块构成,分别为:SIP工厂模块(图1中SIP工厂)、规则生成器模块(图1中规则生成器)和监测模块(图1中监测处理器)。它们之间的功能关系分别如下:
SIP工厂模块:该模块主要负责与VoLTE设备(图1中VoLTE模块,例如手机或其他应用VoLTE服务的设备)的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP信息,并将该SIP信息解密后发送给监测模块。
规则生成器模块:该模块存储了许多用本体描述语言来描述的SIP消息实例,当监测单元请求规则时,规则生成器模块便将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块。
监测模块:该模块根据一定的监测方法和接收到的监测规则,对VoLTE设备(例如手机端或其他应用VoLTE服务的设备)收到的SIP消息进行监测,判断VoLTE设备(例如手机或其他应用VoLTE服务的设备)此时是否遭受攻击。
进一步地,
SIP工厂模块利用VpnService(虚拟专用网络服务器,例如Android SDK(安卓系统的软件开发工具包)中提供的)来和VoLTE设备(例如手机端或其他应用VoLTE服务的设备)的VoLTE接口通信,以此来提取所有在VoLTE的控制通道中传输的SIP报文(SIP消息)。同时,通过获取VoLTE设备(例如手机或其他应用VoLTE服务的设备)的操作系统内核层的系统秘钥,来对提取到的加密过的SIP报文(SIP消息)进行解密。
规则生成器模块:规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP协议的消息规范(SIP消息实例)进行描述。当规则生成器模块收到来自监测模块所发送规则请求时,便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块。
监测模块:通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备(例如手机或其他应用VoLTE服务的设备)是否正在遭受攻击。如果遭受攻击,边警报提醒用户。
进一步地,所述监测模块采用的监测方法为:首先,监测模块使用本体描述语言描述的SIP消息实例提供的结构和格式化(特征)规则(即监测规则)监测VoLTE设备收到的SIP报文(SIP消息)是否符合SIP的结构和格式化(特征)规则。如果并不符合,则说明该SIP报文被篡改过,是一条伪造的SIP报文,因此监测模块便发出警报提醒用户。如果符合结构和格式化规则,便计算该SIP报文的大小,并将计算结果缓存等待下一个SIP报文的累加。利用定时器每隔一分钟,统计一次在这一分钟内所接收到的SIP报文的总大小。若该统计值超过了设定的阈值,则判定VoLTE设备(例如手机)当前正在遭受数据DoS攻击,并发出警报提醒用户。如果没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。
Claims (1)
1.一种针对VoLTE设备的SIP协议的自动监测框架系统,其特征在于,包括SIP工厂模块、规则生成器模块和监测模块;其中:
SIP工厂模块:用于与VoLTE设备的VoLTE接口通信,从VoLTE接口中提取VoLTE设备收到的SIP消息,并将该SIP消息解密后发送给监测模块;
规则生成器模块:用于存储用本体描述语言来描述的SIP消息实例,并将这些描述SIP消息实例的结构和特征的规则作为监测规则发送给监测模块;
监测模块:用于根据监测方法和接收到的规则生成器模块发送来的监测规则,对VoLTE设备收到的SIP消息进行监测,判断VoLTE设备此时是否遭受攻击;
所述SIP工厂模块利用VpnService来和VoLTE设备的VoLTE接口通信,以此来抓取所有在VoLTE的控制通道中传输的SIP消息;同时,通过获取VoLTE设备操作系统内核层的系统秘钥,来对提取到的加密过的SIP消息进行解密;
所述规则生成器模块使用DAML+OIL作为本体描述语言,来对SIP消息实例进行描述;当规则生成器模块收到来自监测模块所发送规则请求时,规则生成器模块便生成SIP消息实例对应的结构化实例,并作为监测规则返回给监测模块;
所述监测模块通过相应的监测方法,以监测规则和SIP消息为输入,监测当前VoLTE设备是否正在遭受攻击;
所述监测模块采用的监测方法为:
使用监测规则监测VoLTE设备收到的SIP消息是否符合SIP消息的结构和特征:
如果并不符合,则说明该SIP消息被篡改过,是一条伪造的SIP消息;
如果符合,便计算该SIP消息的大小,并将计算结果缓存,等待下一个SIP消息的累加;
每隔一分钟,统计一次在这一分钟内所接收到的SIP消息的总大小:
若该统计值超过了设定的阈值,则判定VoLTE设备当前正在遭受数据DoS攻击;
若该统计值没有超过设定的阈值,则将总大小清零,等待下一次计数统计。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710105514.7A CN106792712B (zh) | 2017-02-26 | 2017-02-26 | 针对VoLTE设备的SIP协议的自动监测框架系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710105514.7A CN106792712B (zh) | 2017-02-26 | 2017-02-26 | 针对VoLTE设备的SIP协议的自动监测框架系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106792712A CN106792712A (zh) | 2017-05-31 |
CN106792712B true CN106792712B (zh) | 2020-04-03 |
Family
ID=58959399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710105514.7A Active CN106792712B (zh) | 2017-02-26 | 2017-02-26 | 针对VoLTE设备的SIP协议的自动监测框架系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106792712B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120572A (zh) * | 2017-06-22 | 2019-01-01 | 中兴通讯股份有限公司 | Sip信令解密方法、装置、系统及计算机可读存储介质 |
CN107483287B (zh) * | 2017-08-17 | 2021-07-20 | 郑州云海信息技术有限公司 | 一种自动监测网口数据包收发故障系统及方法 |
CN110198308A (zh) * | 2019-05-10 | 2019-09-03 | 南京邮电大学 | 一种基于pjsip协议栈服务于特定接口的参数组合的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
CN101459561A (zh) * | 2009-01-09 | 2009-06-17 | 北京邮电大学 | 基于cusum算法检测sip消息洪泛攻击的装置和方法 |
CN102685736A (zh) * | 2012-05-22 | 2012-09-19 | 上海交通大学 | 无线网络自适应攻击检测方法 |
CN104852894A (zh) * | 2014-12-10 | 2015-08-19 | 北京奇虎科技有限公司 | 一种无线报文侦听检测方法、系统及中控服务器 |
CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101574193B1 (ko) * | 2010-12-13 | 2015-12-11 | 한국전자통신연구원 | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 |
US9295028B2 (en) * | 2013-10-21 | 2016-03-22 | At&T Intellectual Property I, Lp | Detection and mitigation of denial-of-service attacks in wireless communication networks |
-
2017
- 2017-02-26 CN CN201710105514.7A patent/CN106792712B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
CN101459561A (zh) * | 2009-01-09 | 2009-06-17 | 北京邮电大学 | 基于cusum算法检测sip消息洪泛攻击的装置和方法 |
CN102685736A (zh) * | 2012-05-22 | 2012-09-19 | 上海交通大学 | 无线网络自适应攻击检测方法 |
CN104852894A (zh) * | 2014-12-10 | 2015-08-19 | 北京奇虎科技有限公司 | 一种无线报文侦听检测方法、系统及中控服务器 |
CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106792712A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
WO2015018303A1 (en) | Method and device for detecting distributed denial of service attack | |
US9781137B2 (en) | Fake base station detection with core network support | |
Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
CN106792712B (zh) | 针对VoLTE设备的SIP协议的自动监测框架系统 | |
CN108270600A (zh) | 一种对恶意攻击流量的处理方法及相关服务器 | |
CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
CN115396200A (zh) | 一种跨平台数据安全管理应用方法、装置及系统 | |
CN106572103B (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
CN115484047A (zh) | 云平台中的泛洪攻击的识别方法、装置、设备及存储介质 | |
CN107864159A (zh) | 基于证书及信任链的通信方法和装置 | |
CN105812338B (zh) | 一种数据访问管控方法及网络管理设备 | |
CN102780691B (zh) | 一种移动终端检测、回避网络攻击的方法 | |
CN105991509A (zh) | 会话处理方法及装置 | |
CN105162794B (zh) | 一种使用约定方式的ipsec密钥更新方法及设备 | |
CN112311763A (zh) | 一种基于sip协议抓包和操作系统防火墙的sip服务保护方法、装置及服务系统 | |
CN106385384B (zh) | 一种报文发送方法及网络设备 | |
CN115835211B (zh) | 一种5g信令攻击检测系统 | |
CN103150243A (zh) | 一种移动终端的应用程序的监控方法 | |
JPWO2006035928A1 (ja) | Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム | |
CN115426654A (zh) | 一种构建面向5g通信系统的网元异常检测模型的方法 | |
CN104869116A (zh) | 电信网信令安全主动防护方法 | |
CN104683360B (zh) | Ip语音通信系统 | |
US20130104233A1 (en) | Network data control device and network data control method for controling network data that generates malicious code in mobile equipment | |
KR101379779B1 (ko) | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |