CN109040126B

CN109040126B - Ims网络sip洪泛攻击的检测装置及方法

Info

Publication number: CN109040126B
Application number: CN201811086825.4A
Authority: CN
Inventors: 刘树新; 柏溢; 胡鑫鑫; 刘彩霞; 朱宇航; 何赞园; 李海涛; 张建国
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2018-09-18
Filing date: 2018-09-18
Publication date: 2020-10-30
Anticipated expiration: 2038-09-18
Also published as: CN109040126A

Abstract

本发明属于移动通信安全技术领域，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，该装置包含：参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，对计数器初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。本发明通过对SIP信令流进行综合解析处理，根据解析处理情况进行预警和拦截，达到检测防范IMS网络洪泛攻击目的，简单、有效，提高IMS网络的安全性，对移动通信网络安全发展具有重要的意义。

Description

IMS网络SIP洪泛攻击的检测装置及方法

技术领域

本发明属于移动通信安全技术领域，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，可适用于移动通信网络中的IMS网络攻击检测。

背景技术

IMS(IP Multimedia Subsystem)是一个IP网络，该网络能够提供语音和多媒体业务，作为下一代网络的关键技术，IMS拥有众多优异特性，诸如：支持接入无关性、归属地控制、强大的业务提供能力等。IMS使用SIP(Session Initiation Protocol，会话初始协议)的会话控制能力来支持多媒体服务，SIP是一种客户端—服务器、基于文本的信令协议，用于创建和控制有两人或多人参与的多媒体会话。由于SIP协议采用和TCP相似的三次握手连接机制，所以针对IMS网络的SIP洪泛攻击是最常见的攻击方式。攻击者通过伪装身份向CSCF(Call Session Control Function，呼叫会话控制功能实体)发送大量SIP消息导致有限的网络资源被挤占，使得被攻击服务器疲于应对这些消息，从而导致网络瘫痪，及早地探测、甄别洪泛攻击对IMS网络的正常运行至关重要。常见的SIP的洪泛攻击按照某些字段是否匹配可以分为三类：所有字段均相同的SIP消息、消息中的“Call-ID”字段相同的SIP消息以及具有相同“用户标识字段”值的的SIP消息。

发明内容

为此，本发明提供一种IMS网络SIP洪泛攻击的检测装置及方法，通过对SIP信令流进行综合解析处理，建立状态机并做统计分析，然后根据情况发出预警和拦截，以达到检测防范IMS网络洪泛攻击的目的，简单、有效，有利于提高IMS网络的安全性。

按照本发明所提供的设计方案，一种IMS网络SIP洪泛攻击的检测装置，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，

参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；

预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；

检测告警模块，用于根据预警分析结果发出洪泛攻击告警。

上述的，所述的预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，

会话ID分析子模块，用于将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则触发匹配消息类型参数分析子模块，否则，触发用户名参数分析子模块；

消息类型参数分析子模块，用于将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果；

用户名参数分析子模块，用于将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果；否则，触发状态机创建子模块；

状态机创建子模块，用于创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。

上述的，所述的检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，

告警拦截子模块，用于依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则触发状态机超时处理子模块；

状态机超时处理子模块用于对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。

优选的，所述的状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，

状态机删除单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，触发返回处理单元，；

计数器清零单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零，触发返回处理单元，否则，直接触发返回处理单元；

返回处理单元，用于返回并触发参数提取模块，进行下一条SIP消息处理。

一种IMS网络SIP洪泛攻击的检测方法，包含如下内容：

A)提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；

B)将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；

C)根据预警分析结果发出洪泛攻击告警。

上述的方法，B)中，预警分析，具体包含如下内容：

B1)将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则执行步骤B2)，否则，执行步骤B3)；

B2)将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；

B3)将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；否则，执行步骤B4)；

B4)创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。

上述的方法，C)中，依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则进行状态机超时处理。

上述的方法中，状态机超时处理中，对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。

上述的方法中，状态机超时处理中，首先，依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，返回，进行下一条SIP消息处理；然后，依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零后，再返回，进行下一条SIP消息处理。

上述的方法中，预设删除处理时间段阈值及预设清零处理时间段阈值根据历史数据进行设置。

本发明的有益效果：

本发明中，通过将检测装置部署于CSCF实体前，实时提取信令流中的关键参数，建立状态机，对相同SIP消息、Call-ID相同的SIP消息和相同用户的SIP消息进行分析和统计，进而对超出阀值的信令流进行检测告警；通过对SIP信令流进行综合解析处理，根据解析处理结果发出预警和拦截，达到检测防范IMS网络洪泛攻击的目的，简单、有效，有利于提高IMS网络的安全性，对移动通信网络的安全具有重要的指导意义。

附图说明：

图1为实施例中检测装置示意图；

图2为实施例中预警分析模块示意图；

图3为实施例中检测告警模块示意图；

图4为实施例中状态机超时处理子模块示意图；

图5为实施例中检测方法流程图一；

图6为实施例中SIP消息中提取字段参数示意图；

图7为实施例中用户状态机示意图；

图8为实施例中检测方法流程图二。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

SIP消息格式由三部分组成，即：起始行(start line)，消息头(header)和消息体(message body)。起始行是消息第一行，标识消息类型和SIP标识；消息头格式为<头字段的名字>:<字段值>，详见附图6所示。消息体在消息尾部，根据消息头中指定可以为空，也可以为SDP协议格式，如图6所示。由于SIP协议采用和TCP相似的三次握手连接机制，所以针对IMS网络的SIP洪泛攻击是最常见的攻击方式。常见的SIP的洪泛攻击按照某些字段是否匹配可以分为三类：所有字段均相同的SIP消息、消息中的“Call-ID”字段相同的SIP消息以及具有相同“用户标识字段”值的的SIP消息。为此，本发明实施例，参见图1所示，提供一种IMS网络SIP洪泛攻击的检测装置，包含：参数提取模块、预警分析模块和检测告警模块，其中，

检测告警模块，用于根据预警分析结果发出洪泛攻击告警。

本实施例中，检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击。

针对提取的字段参数，在与状态机进行匹配过程中，本发明的另一个实施例，参见图2所示，预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，

根据预警分析结果进行告警处理过程中，本发明的再一个实施例，参见图3所示，检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，

对状态机进行超时处理操作过程中，本发明的再一实施例中，参见图4所示，状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，

基于上述的检测装置，本发明实施例还提供一种IMS网络SIP洪泛攻击的检测方法，参见图5所示，包含如下内容：提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；根据预警分析结果发出洪泛攻击告警。

为对字段参数进行预警分析，根据计数器数值与设定阈值进行预警分析的过程可设计如下：

依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则进行状态机超时处理。状态机超时处理中，对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。状态机超时处理中，首先，依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，返回，进行下一条SIP消息处理；然后，依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零后，再返回，进行下一条SIP消息处理。预设删除处理时间段阈值及预设清零处理时间段阈值根据历史数据进行设置。

为进一步验证本发明的有效性，如图8所示，通过具体的SIP消息进行说明：

步骤(一)：依照信令流顺序，读入处理一条SIP消息；

步骤(二)：提取SIP消息中的消息类型Method、用户名User(From字段中提取User@Domain.com)、Call-ID等字段(提取字段内容如图6所示)；

步骤(三)：查询存储的所有用户状态机(每个状态机的结构如图7所示)，分别对Call-ID和用户名进行匹配；

步骤(四)：当Call-ID匹配成功时，若Method相同，则相同SIP消息数目加1，若此时SIP消息数目N1>Nm(相同SIP消息数目阈值，例如：20)，则告警并拦截该洪泛消息；若Method不同，则Call-ID相同的SIP消息数目加1，若此时SIP消息数目N2>Nc(Call-ID相同SIP消息数目阈值，例如：20)，则告警并拦截该洪泛消息；同时把状态机中当前Method转移到上一个消息Method，当前Method中存储提取的消息Method；

步骤(五)：当Call-ID匹配失败时，若用户名匹配成功，则相同用户消息数目加1，若此时SIP消息数目N3>Nu(相同用户SIP消息数目阈值，例如：20)，则告警并拦截该洪泛消息；若用户名匹配失败，则创建新的状态机，并填写提取相应的内容，数目计数均为0；

步骤(六)：对所有状态机进行扫描，进行状态机是否超时判断，并计算时间差ΔT(＝T当前时间-T创建时间)，若ΔT>T_max(T_max为阀值，可设置)，则删除该状态机；若ΔT>T₀，则该状态机中N1、N2、N3均置0(T₀为阀值，可设置)。

步骤(七)：返回步骤(一)，处理下一条SIP信令消息。

如今移动通信网安全形势日益严峻，针对IMS网络的SIP洪泛攻击严重损害运营商权益和合法用户正常通信。本发明中实施例，利用SIP消息的某些字段来判断收到的SIP消息是否为洪泛攻击，并做出相应处理，适用于IMS网络中的攻击检测领域；通过对SIP信令流进行综合解析处理，建立状态机并做统计分析，然后根据情况发出预警和拦截，以达到检测防范IMS网络洪泛攻击的目的，简单、有效，有利于提高IMS网络的安全性，对移动通信网络安全发展具有重要的意义。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种IMS网络SIP洪泛攻击的检测装置，其特征在于，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，

检测告警模块，用于根据预警分析结果发出洪泛攻击告警；

所述的预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，

2.根据权利要求1所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，

3.根据权利要求2所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，

状态机删除单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，触发返回处理单元；

4.一种IMS网络SIP洪泛攻击的检测方法，其特征在于，包含如下内容：

C)根据预警分析结果发出洪泛攻击告警；B)中，预警分析，具体包含如下内容：

5.根据权利要求4所述的IMS网络SIP洪泛攻击的检测方法，其特征在于，C)中，依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则进行状态机超时处理。

6.根据权利要求5所述的IMS网络SIP洪泛攻击的检测方法，其特征在于，状态机超时处理中，对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。

7.根据权利要求5所述的MS网络SIP洪泛攻击的检测方法，其特征在于，状态机超时处理中，首先，依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，返回，进行下一条SIP消息处理；然后，依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零后，再返回，进行下一条SIP消息处理。

8.根据权利要求7所述的IMS网络SIP洪泛攻击的检测方法，其特征在于，预设删除处理时间段阈值及预设清零处理时间段阈值根据历史数据进行设置。