CN110661773A - 用于管理基于sip的通信系统中的传输资源的方法和系统 - Google Patents

用于管理基于sip的通信系统中的传输资源的方法和系统 Download PDF

Info

Publication number
CN110661773A
CN110661773A CN201910574559.8A CN201910574559A CN110661773A CN 110661773 A CN110661773 A CN 110661773A CN 201910574559 A CN201910574559 A CN 201910574559A CN 110661773 A CN110661773 A CN 110661773A
Authority
CN
China
Prior art keywords
client
predetermined
registration requests
time period
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910574559.8A
Other languages
English (en)
Inventor
Z.察齐卡斯
A.帕戈尼斯
N.拉扎洛波洛斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unify Patente GmbH and Co KG
Original Assignee
Unify Patente GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unify Patente GmbH and Co KG filed Critical Unify Patente GmbH and Co KG
Publication of CN110661773A publication Critical patent/CN110661773A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4535Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/826Involving periods of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/76Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
    • H04L47/765Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions triggered by the end-points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1045Proxies, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及用于管理基于SIP的通信系统中的传输资源的方法和系统,该管理由SIP注册服务器进行。SIP注册服务器被适配成经由通信网络从多个客户端接收注册请求和准许来自每个客户端的针对预定的第一时间段的预定数目的注册请求。方法包括:‑从第一客户端接收第一数目的注册请求,每个注册请求与预定的第一时间段中的一个时隙对应;‑从第二客户端接收第二数目的注册请求,每个注册请求与预定的第一时间段中的一个时隙对应,第二数目的注册请求超过第二客户端的注册请求的可接受的预定数目;‑将在预定的第一时间段内的未被第一客户端使用的多个时隙分配给第二客户端,用于发送超过第二客户端的注册请求的可接受的预定数目的注册请求。

Description

用于管理基于SIP的通信系统中的传输资源的方法和系统
技术领域
本发明涉及一种用于管理基于SIP的通信系统中的传输资源的方法并且涉及一种对应的系统。
背景技术
SIP生态系统中的一个常见现象是闪现事件(flash event)。例如,当在SIP注册服务器处接收一阵合法的注册请求时,可能发生这样的闪现事件,其是由于连接的客户端设备奇怪地动作而产生的。
在现有技术中,入侵检测系统(IDS)是已知的,其用于关于恶意活动或策略违反而监视网络或系统。然而,典型的IDS通常被配置成以便利用严格的阈值进行工作,使得由于例如如以上所提及的闪现事件而突然到达注册服务器的注册请求将被丢弃或阻止,尽管它们是合法的,因为它们将被分类为是IDS的拒绝服务(DoS)攻击的一部分。
然而,期望不丢弃或阻止这样的合法请求,并且仅阻止或丢弃源于展现真正的异常行为的设备的那些请求。
因此,本发明基于提供一种用于以更可靠的方式处理闪现事件的方法和对应系统的目标。
发明内容
根据本发明通过具有根据权利要求1所述的特征的用于管理基于SIP的通信系统中的传输资源的方法以及具有根据权利要求8所述的特征的系统来解决该目标。在相应的从属权利要求中指定了本发明的优选实施例。
根据本发明,提供一种用于由SIP注册服务器管理基于SIP的通信系统中的传输资源的方法,其中所述SIP注册服务器被适配成经由通信网络从多个客户端接收注册请求,并且被适配成准许来自所述多个客户端中的每个客户端的针对预定的第一时间段的预定数目的注册请求,所述方法包括如下步骤:
-从来自所述多个客户端中的第一客户端接收第一数目的注册请求,每个注册请求与所述预定的第一时间段中的一个时隙(slot)对应;
-从所述多个客户端中的第二客户端接收第二数目的注册请求,每个注册请求与所述预定的第一时间段中的一个时隙对应,其中第二数目的注册请求超过第二客户端的注册请求的可接受的预定数目;
-将在所述预定的第一时间段内的未被第一客户端使用的多个时隙分配给第二客户端,用于发送超过第二客户端的注册请求的所述可接受的预定数目的所述注册请求。
通过该发明方法,可以以有利的方式处理闪现事件,由于发送比允许的更多的注册请求的客户端将能够暂时那么做而不被敲诈(blackmail)并且不降低所述系统的总体性能。
根据优选实施例,分配给第二客户端的在所述预定的第一时间段内的未被第一客户端使用的所述多个时隙与超过注册请求的所述可接受的预定数目的多个注册请求对应。
此外,根据另一个优选实施例,所述方法进一步包括如下步骤:在预定时间帧内关于被用于在n个时间段中发送注册请求的时隙来监视第二客户端,所述预定时间帧至少包括所述预定的第一时间段和预定数目的n个时间段,以及如果第二客户端具有未使用的时隙,则将所述未使用的时隙重新分配到池以便可用于第一客户端,或者重新分配给来自所述多个客户端的超过注册请求的所述可接受的预定数目的另一个客户端。
优选地,注册请求的所述可接受的预定数目是可调整的阈值。
此外,如果所述可调整的阈值减小,则在第一客户端或来自所述多个客户端中的另一个客户端在所述预定时间帧内没有超过注册请求的所述可接受的预定数目的情况下,它是有利的。
根据又一个优选实施例,所述方法进一步包括如下步骤:如果在监视的步骤期间,第二客户端被识别成不具有未使用的时隙,则将第二客户端列入黑名单。
根据另一个优选实施例,所述方法进一步包括为所述客户端计算统计数据的步骤。
此外,根据本发明,提供一种用于根据以上概述的方法来管理传输资源的系统,所述系统包括SIP注册服务器,所述SIP注册服务器被适配成从经由通信网络连接到所述SIP注册服务器的多个客户端接收注册请求,其中在预定的第一时间段内,所述注册服务器被适配成从所述多个客户端中的每个客户端接受预定数目的注册请求,其中所述系统进一步包括:
-用于从来自所述多个客户端中的第一客户端接收第一数目的注册请求的部件,每个注册请求与所述预定的第一时间段中的一个时隙对应;
-用于从所述多个客户端中的第二客户端接收第二数目的注册请求的部件,每个注册请求与所述预定的第一时间段中的一个时隙对应,其中第二数目的注册请求超过第二客户端的注册请求的可接受的预定数目;以及
-用于在所述SIP注册服务器处将在所述预定的第一时间段内的未被第一客户端使用的多个时隙分配给第二客户端以用于发送超过第二客户端的注册请求的所述可接受的预定数目的所述注册请求的部件。
附图说明
下面将结合附图进一步详细描述本发明及其实施例。
图1示意性地示出了根据本发明的实施例的用于管理传输资源的方法的基本原理的方案;
图2示出了根据本发明的实施例的用于管理传输资源的方法的流程图;
图3A至图3C示意性地图示了闪现事件在Advanced Telephony Connector(ATC)与OpenScape Voice(OSV)服务器之间的创建;以及
图4示意性地示出了OSV服务器上的闪现事件或分布式拒绝服务(DDoS)攻击;
图5示意性地示出了导致异常行为的随机软件或硬件问题;以及
图6示意性地示出了用于预定时间段t1+x+n的方法的实施例的概要。
具体实施方式
图1示意性地示出了根据本发明的实施例的用于管理传输资源的方法的基本原理的方案。
首先,简要概述SIP注册过程。典型的SIP注册过程由用户代理(到用户的接口;然而,在下文中一般称为客户端)将SIP REGISTER发送到SIP注册服务器而开始,该请求包括用户的联系人列表。在接收时,SIP注册服务器发送回挑战(challenge),并且在接收回正确的响应(如有效的用户ID和密码)时,SIP注册服务器验证用户的凭证并将用户注册在其联系人数据库中。然后,SIP注册服务器发送200 OK响应,该200 OK响应包括用户在联系人头部中的当前联系人列表。
这里,涉及三个客户端设备,即第一客户端1、第二客户端2和第三客户端3,它们经由通信网络(未示出)连接到SIP注册服务器(未示出),并且它们分别向SIP注册服务器发送注册请求(REGISTER)。SIP注册服务器在预定的第一时间段4内接受来自每个客户端1、2、3的预定数目的注册请求,该预定的第一时间段4在该实施例中是10秒。
这里,允许每个客户端1、2、3在第一时间段4内将10个注册请求发送到SIP注册服务器。在预定时隙内发送每个注册请求,使得基本上对于每个客户端1、2、3在第一时间段4内存在10个可用时隙。
此外,如在图1的方案中可以看到的,第一客户端1已经使用5个时隙发送了5个注册请求,使得仍然存在第一客户端1在预定的第一时间段或时间槽4中没有使用的5个可用时隙。
而且,第三客户端3已经发送了三个注册请求,并且因而仍然具有第三客户端3在预定的第一时间段4中没有使用的7个可用时隙。
然而,第二客户端发送12个注册请求,超过它的时隙“预算”2个时隙。
因而,在针对三个客户端1、2、3的该场景中,由SIP注册服务器在第一预定时间段4中从每个客户端1、2、3接受的注册请求的预定数目与阈值或者10个注册的当前阈值对应,并且在SIP注册服务器处,在时隙池中的第一时间段4内可用时隙的最大值是30个时隙。
由于第一客户端1和第三客户端3在第一时间段4中没有使用它们的所有可用时隙,因此在时隙池中,将存在来自第一客户端1的5个未使用的时隙和来自第三客户端3的另外7个未使用的时隙,总计12个未使用的时隙,它们在第一时间段4中仍然可用。由于第二客户端2通过在第一时间段4中发送12个注册请求而超过了10个注册的当前阈值,因此从未使用的时隙池向第二客户端2分配2个时隙。因而,第二客户端2能够从该池“借用”两个时隙以用于发送超过当前阈值的2个注册请求。
因此,可以维持系统的适当操作而不影响其性能,并且第二客户端2将不因恶意而列入黑名单,因为在使用具有严格阈值的IDS时本来否则是该情况。
图2示出了根据本发明的实施例的用于管理传输资源的方法的流程图。在第一步骤S1中,预定数目的客户端或客户端设备中的每一客户端设备扼要介绍(profile)注册请求或注册。然后,在第二步骤S2中,向已经产生了溢出的客户端(如图1中所示的第二客户端2)借在第一时间段内在池中收集的未使用的空闲时隙。随后,在第三步骤S3中,为合法客户端(如图1中的第一客户端1和第三客户端3)和溢出的客户端(如图1中的第二客户端2)计算统计数据。在另一个后续步骤S4中,基于关于合法客户端的统计数据来适配阈值,即关于图1所提及的当前阈值。在步骤S5中,然后,该方法包括为已经被确定合法的客户端创建虚假需求的步骤,并且最后,在步骤S6中,借方,即如关于图1所描述的已经从池“借用”了时隙的客户端被迫将借用的时隙返回到池。
通过该过程,可以为系统的所有实体实现公平的平衡方法。即,如果例如第二客户端2在预定的第一时间段中或在第一时间段之后的任何后续时间段中借用空闲或未使用且可用的时隙,则其它客户端,如图1的第一客户端1和第三客户端3,应当能够覆盖(cover)它们对时隙的可能的未来要求,以防它们在该预定时间段内溢出并因此超过当前阈值。然后,这些客户端也应当能够“借用”时隙,如在图1的示例中针对第二客户端2已经描述的。
因而,使用以上所描述的过程,近乎恶意的客户端始终必须减小注册或注册请求的步速,因为每个借用的时隙应当被返回到系统的池以便支持其它客户端,如以上所概述的那样,以防它们面临相同的问题。因此,在任何情况下都将检测真正恶意的客户端设备,由于它将永远不将借用的时隙返回到池。不能够将借用的时隙返回到池的这样的客户端然后将被列入黑名单。然而,在该情况下列入黑名单不基于时间,而是基于时隙。因而,例如,如果第三客户端3将在图1的场景中借用40个时隙,并且假设其它客户端对来自池的未使用的时隙没有增加的需求,则第三客户端3将被在4个预定时间段之后排除在黑名单之外,每个时间段包括10秒(即10*4)。使用该过程,恶意用户必须始终减小注册请求的步速。否则,它将依然被列入黑名单。
假设一个场景,其中没有一个客户端在如上所描述的这样的情况下具有对附加时隙的未来需求。然后,具有高速率的客户端,如以上提及的第三客户端3,将继续发送冗余的注册请求,并且系统将继续向第三客户端3借出时隙。根据实施例,在这样的情况下,系统可以逐渐减少每一预定时间段的可用时隙。也就是说,如果例如合法注册(即,每一预定时间段没有超过当前阈值的来自客户端的注册请求)的平均值是6,则在关于例如图1中描绘的场景时系统可能将预定时间段减小到稍微高于6但低于10的值。当然,其它值也可以根据系统要求或其它参数来实现。
通过用以上概述的方式适配当前阈值,即通过减小它以便接近合法注册的平均值,对应的合法客户端中的一些也将超过该较低阈值,并且需要从池“借用”附加时隙。因此,产生所谓的“虚假需求”,因为阈值已经减小并且一些(根据它们的历史)合法客户端需要借用附加时隙。在该情况下,另外需要的时隙取自“借方”,在以上所描述的情况下,这将是在先前预定时间段中借用时隙的第三客户端3。然而,如果“借方”或这里的第三客户端3继续以高速率发送注册请求,则它将被列入黑名单,因为合法客户端既无法应对严格的(减小的)的阈值——因为它们也需要“借用”附加时隙——借方也将不能够借用任何更多的时隙。
阈值可以逐渐减小,使得系统逐渐将借用的时隙返回到池,以便可用于其它合法客户端。
通过以上所描述的用于管理传输资源的方法的实施例,可以简单地通过迫使可疑客户端设备同样地有助于系统来在网络中检测恶意动作。
总结以上内容,通过经由在包括多个后续时间段的预定时间帧的先前时间段中从已经被检测为“异常”或恶意的客户端借用所谓的“虚假时隙”而向合法客户端借出所谓的“虚假时隙”,由恶意客户端借用的时隙可以被返回到池。假设“异常”设备由于网络故障(比如随机故障)而恶意地动作,并且不是连续的异常动作,则它们应当在预定时间帧内的一个或多个后续时间段之后开始正常地动作。因此,它们应当具有未被它们使用的可用时隙,并且这些时隙然后将用于覆盖合法客户端的所谓虚假需求。此时,恶意客户端或设备将被迫正常地动作。
如以上所提及的,“异常”设备的列入黑名单基于时隙而非基于实际时间。使用这样的机制防止恶意设备或客户端进入系统,因为它永远不会同样地向公共时隙池贡献时隙。因而,可以相当快速地检测恶意动作。而且,不存在绕过该机制的方式,因为如果客户端或设备从池借用时隙,则它将被列入黑名单,直到时隙被返回到池。将时隙返回到池的过程基于异常客户端或设备由于故障而恶意地动作的假设。这需要在纠正错误之后,设备或客户端应当再次正常地动作,并且时隙将被返回到系统池。
图3A至图3C示意性地图示了闪现事件在Advanced Telephony Connector(ATC)5与Open Scape Voice(OSV)服务器6之间的创建。在图3A中,假设多个注册请求通过ATC 5到达OSV或OSV服务器6。在ATC 5与OSV 6之间的链路故障7之后,如图3B中所示,到达ATC 5的注册请求被缓冲在ATC注册缓冲器8中。在链路恢复之后,注册请求作为突发9到达OSV服务器6,如图3C中所描绘的。
假设第一突发9由26个注册组成。此外,假设系统每一预定时间段(在该示例中为10秒)接受来自每个客户端的10个注册请求。这些注册请求是从四个不同的用户或客户端发送的,即user1、user2、user3、user4。也就是说,user1发送r1=4个注册,user2发送r2=9个注册,user3发送r3=13个注册,并且user4发送r4=1个注册。所有这些注册请求都被缓冲在ATC 5中,即在其ATC注册缓冲器8中,并且随着通信恢复,ATC 5将注册作为突发9发送。
根据以上概述的方法,将如下处理突发。
以下词汇表给出所使用的术语的综述:
timeSlot (tX): 允许每个设备发送注册的时间窗口
currentThreshold (cTh): 设备可以在时间槽(timeslot)上发送的注册的上限
maxAvailableSlots (mAS): 来自所有设备的特定时间槽tX中的可用时隙的最大数目
actualAvailableSlots (aAS): 特定时间槽tX中的空闲时隙的可用数目
#slotsNeedsAllUsers (#sNAU): 针对特定时间槽tX的时隙需求的最大数目
#slotsOwedByUserX (nuX): 用户欠系统的时隙总数
rX: 用户X在特定时间槽tX上发送的请求。
在预定(第一)时间段t1中的可用时隙的最大数目是40,即
maxAvailableSlots=10*4=40。
系统在t1中接收27个注册并接受user4。可以如下计算特定预定(第一)时间段t1的空闲时隙的可用数目:
actualAvailableSlots=40–1=39
该机制将服务于可以被注册而不借用时隙的下一个用户或客户端(即user1),然后可用时隙是:
actualAvailableSlots=39–4=35
接下来,该机制将服务于user2,即
actualAvailableSlots=35–9=26。
系统现在必须将可用时隙的数目减小10。数目10涉及每个客户端或用户的最大限制。在该情况下,user3超过该限制。
系统将借给user3,因为:
actualAvailableSlots>#slotsNeedsAllUsers=26>3。
也就是说,user3现在欠系统或其时隙池:
#slotsOwedByUser3=3个时隙。
新注册在预定(第一)时间段t1之后的(第二)时间段t2中或在预定时间帧中包括的任何后续时间段t1+x中到达系统。系统接收以下数目:r1=2,r2=5,r3=12,r4=2。
记住t1+x,actualAvailableSlots=40–(2+5+10+2)=40–19=21,然后系统再向user3借出2个时隙,并且现在user3欠#slotsOwedByUser3=#slotsOwedByUser3+3+2=5个时隙。
User3在预定时间段t1+x+1中发送新注册,并且系统接收以下数目:r1=4,r2=6,r3=9,r4=4,并且user3所欠的时隙的数目是#slotsOwedByUser3=5–1=4。User3在时间槽t1+x+2中发送新注册,并且系统接收以下数目:r2=3,r3=2。现在,user3将所有时隙都返回到系统池,并且因而将被允许再次借用时隙。
然而,如果user3呈现了中性或者甚至增加数目的注册,则系统将调用弹性变换的阈值,以便从user3重新获得时隙。
user3在时间槽t1+x+1中发送新注册。
图4示意性地示出了OSV服务器6上的闪现事件或分布式拒绝服务(DDoS)攻击。在该场景中,每个客户端或设备1、2、3、10、11、12随机或不随机地同时发送多个注册。首先,将描述随机情况;它指的是公知的闪现事件。在该情况下,合法客户端或用户尝试同时联系(reach)服务。该服务不在立刻处理所有请求的适当位置,并且最有可能将崩溃。在第二个非随机情况下,假设一大群僵尸寄生在网络中。另外,僵尸主控机控制僵尸并通过网络传送命令。也就是说,在该情况下,注册是(D)DoS攻击的一部分。在图4中,描绘了以上所描述的场景的抽象概观。仍然注意的是:可能使用低速率的业务来启动DDoS攻击。
在该情况下,接收以下数目的注册请求:r1=9,r2=10,r3=5,r4=15。
在预定(第一)时间段t1中的可用时隙的最大数目是:
maxAvailableSlots=10*4=40。
该机制在t1中接收40个注册,并接受user1、user2和user3。
特定(第一)时间段t1中的空闲时隙的可用数目是:
actualAvailableSlots=40–(9+10+5+10)=6。
因而,系统具有6个空闲时隙,并且user4将借5个时隙。在借时隙之后,user4所欠的时隙数是:
#slotsOwedByUser4=5。
系统在预定(第二)时间段t1+x中接收以下注册:r1=3,r2=4,r3=5和r4=13。
现在,可用时隙是18个,被如下计算:
actualAvailableSlots=40–(3+4+5+10)=40–22=18。
系统将时隙借给user4,因为它在该预定(第二)时间段t1+x中减少了注册的数目,并且还因为:
actualAvailableSlots>#slotsNeedsAllUsers=18>3。
在借出时隙之后,如下计算user4所欠的时隙的数目:
#slotsOwedByUser4=5+3=8。
假设user4在以下预定时间段(t1+x、t1+x+1、t1+x+2......等)中继续发送相等或更大数目的注册,则所有时隙一被返回到系统池,系统就被强迫将user4列入黑名单。在该情况下,系统将通过将阈值适配成以下值来创建虚假需求:
currentThreshold=(3+4+5)/3=12/3=4。
使用该弹性变换的阈值,为user3创建虚假需求。如果借方(user4)未覆盖该需求,则user4将被列入黑名单。
图5示意性地示出了导致异常行为的随机软件或硬件问题。在该实施例中,假设由于软件或硬件错误而出现临界数目的设备或客户端出故障。
考虑到以上所描述的情况,假设在预定(第一)时间段t1中,从不同用户接收以下数目的注册:r1=13,r2=3,r3=1,r4=11。还假设每个预定时间段t1到tx等于10秒,并且每个用户或客户端可以每一时间段发送多达10个注册。
万一出现突发,则发生以下过程。根据maxAvailableSlots=10*4=40,t1中的可用时隙的最大数目是40。
User2和User3符合系统规则,并且因而,针对预定(第一)时间段t1被列入白名单。因而,系统将需要决定针对user1和user4将发生什么。
考虑到:
actualAvailableSlots=40–(10+3+1+10)=16个时隙,并且
#slotsNeedsAllUsers=3+1=4,并且
actualAvailableSlots>#slotsNeedsAllUsers=16>4,
然后系统将决定向更接近ActualAvailableSlots的用户或客户端借出时隙,并且适合该数目。也就是说,user1和user4两者都将进入系统,并且同时,user1和user4所欠的时隙数是:
#slotsOwedByUser1=3,以及
#slotsOwedByUser4=1。
根据以下内容,实际可用时隙是12个:
actualAvailableSlots=16–(3+1)=12个时隙。
在预定时间段t1+x中,系统接收以下数目的注册:r1=12,r2=4,r3=2,r4=3。
系统接受user2、user3和user4。实际上,似乎user4已经返回了已经在预定(第一)时间段t1中借用的1个时隙。也就是说,
actualAvailableSlots=40–(10+4+2+3)=40–19=21个时隙
#slotsNeedsAllUsers=2
actualAvailableSlots=21–2=19
#slotsOwedByUser1=2。
在后续预定时间段t1+x+1中,系统接收以下数目的注册:r1=12,r2=1,r3=2,r4=5。
在t1+x+1时,user1已经发送了相同数目的注册。现在,应用弹性变换的阈值机制。即,创建虚假需求,以便强迫user1将时隙返回到系统。也就是说,创建虚假阈值,该虚假阈值将取接近合法用户或客户端或客户端设备的平均值的值。在该情况下,将如下计算该阈值:
currentThreshold=(r2+r3+r4)=(1+2+3)/3=2。
基于该新阈值,user1将依然在系统之外,因为池中不存在更多可用的空闲的未使用时隙。事实上,另一个客户端或用户(user4)现在也将需要第一次借用。基于user4想要进行第一次借用的事实,系统请求user1将其借用的时隙返回到池(user1从(第二)时间段t1+x开始已经是借方)。
因而,在预定时间段t1+x+2中,如果user1发送相同或增加数目的注册,则系统将会将其列入黑名单,直到时隙被返回到池(即,user1在下一个预定时间段中应当呈现较少数目的注册)。或者,如果user1在下一个预定时间段中发送少数注册并且返回借用的时隙,则如果需要,它将被允许再次从池中借用时隙。
注意关于停止借时隙的时间点的以下内容。后者取决于每个客户端(即,在时间帧的先前预定时间段中实际上发生了什么)。一般地,该方法包括一些基本规则。即,
a.如果在当前预定时间段中在池中存在空闲时隙,则系统将借出这些时隙。
b.没有从池中借过的用户或客户端在借出过程中具有优先权。
c.如果坏的或异常的用户或客户端在t1+x中呈现相同的行为并且保持发送相同或更高数目的注册,则系统应用弹性变换的阈值方法,以便从该用户或客户端取回时隙。
d.如果坏的或异常的用户或客户端减少注册的数目,则这意味着它返回正常到状况。
e.坏的或异常的用户或客户端只有在它将借用的所有时隙返回到池时才将能够借用。
总结以上内容,并且参照图6,系统将遵循用于所有客户端或用户的公平策略。如果用户或客户端在时间帧内的先前预定时间段中已经借用了时隙,则只有在所述时隙已经被返回到池时,用户或客户端才将能够再次借用。在第一次借用之后,借方应当在每个下一个后续时间段中至少将注册的数目减少一,直到所有时隙都被返回到池。如果借方在t1+x+n中呈现中性或增加的行为,则所有时隙一被返回到系统,借方就将被列入黑名单。借方(user1)在预定时间段t1+x+1中呈现增加数目的注册,并且系统将该用户或客户端添加到黑名单。这发生是因为user1在t1+x中借用了2个时隙并且还在t1+x+1中呈现了增加数目的注册。因而,基于以上所描述的过程,为合法用户或客户端创建虚假需求,其超过新的虚假阈值。基于新阈值,user4呈现虚假需求,该虚假需求需要由user1覆盖。这意味着user4依然被列入白名单,并且系统向该用户或客户端提供服务。然而,只有在user1帮助user4时,user1才将能够被从黑名单中移除。
通过以上所描述的方法,提供了一种简化的方法,用于使用弹性变换的阈值以便处理SIP生态系统中的闪现事件,一方面摆脱用于创建特定规则集的先决条件,并且另一方面调整基于策略的过滤。通过基于合法行为来检测异常而使用用于协议异常检测的不同机制,以便弹性地变换阈值或过滤器以用于阻止SIP生态系统中的异常行为。另外,通过引入灵活性,在以上所描述的技术或机制中增强逻辑。一方面通过使用借用/返回机制并且另一方面通过消除规则集的连续适配来实现这一点。
参考数字
1 第一客户端或第一用户
2 第二客户端或第二用户
3 第三客户端或第三用户
4 预定时间段或时间槽
5 ATC
6 OSV
7 链路故障
8 ATC注册缓冲器
9 注册请求的突发
10,11,12 另外的客户端或用户

Claims (8)

1.用于由SIP注册服务器管理基于SIP的通信系统中的传输资源的方法,其中所述SIP注册服务器被适配成经由通信网络从多个客户端接收注册请求,并且被适配成准许来自所述多个客户端(1、2、3、10、11、12)中的每个客户端的针对预定的第一时间段(4)的预定数目的注册请求,所述方法包括如下步骤:
-从来自所述多个客户端(1、2、3、10、11、12)中的第一客户端(1)接收第一数目的注册请求,每个注册请求与所述预定的第一时间段(4)中的一个时隙对应;
-从所述多个客户端(1、2、3、10、11、12)中的第二客户端(2)接收第二数目的注册请求,每个注册请求与所述预定的第一时间段(4)中的一个时隙对应,其中第二数目的注册请求超过第二客户端(2)的注册请求的可接受的预定数目;
-将在所述预定的第一时间段(4)内的未被第一客户端(1)使用的多个时隙分配给第二客户端(2),用于发送超过第二客户端(2)的注册请求的所述可接受的预定数目的所述注册请求。
2.根据权利要求1所述的方法,其中分配给第二客户端(2)的在所述预定的第一时间段(4)内的未被第一客户端(1)使用的所述多个时隙与超过注册请求的所述可接受的预定数目的多个注册请求对应。
3.根据权利要求1或权利要求2所述的方法,其中所述方法进一步包括如下步骤:在预定时间帧内关于被用于在n个时间段中发送注册请求的时隙来监视第二客户端(2),所述预定时间帧至少包括所述预定的第一时间段(4)和预定数目的后续另外时间段,以及如果第二客户端(2)具有未使用的时隙,则将所述未使用的时隙重新分配到池以便可用于第一客户端(1),或者重新分配给来自所述多个客户端(1、2、3、10、11、12)的另一个客户端,所述另一个客户端超过来自所述多个客户端(1、2、3、10、11、12)的注册请求的所述可接受的预定数目。
4.根据权利要求1至3中任一项所述的方法,其中注册请求的所述可接受的预定数目是可调整的阈值。
5.根据权利要求4所述的方法,其中如果第一客户端(1)或来自所述多个客户端(1、2、3、10、11、12)的另一个客户端在所述预定时间帧内没有超过注册请求的所述可接受的预定数目,则减小所述可调整的阈值。
6.根据权利要求3至6中任一项所述的方法,其中如果在监视的步骤期间,第二客户端(2)被识别成不具有未使用的时隙,则所述方法进一步包括将第二客户端(2)列入黑名单的步骤。
7.根据权利要求1至6中任一项所述的方法,其中所述方法进一步包括为所述客户端(1、2、3、10、11、12)计算统计值的步骤。
8.用于根据权利要求1至6所述的方法管理传输资源的系统,所述系统包括SIP注册服务器,所述SIP注册服务器被适配成从经由通信网络连接到所述SIP注册服务器的多个客户端(1、2、3、10、11、12)接收注册请求,其中在预定的第一时间段(4)内,所述注册服务器被适配成接受来自所述多个客户端(1、2、3、10、11、12)中的每个客户端的预定数目的注册请求,其中所述系统进一步包括:
-用于从来自所述多个客户端(1、2、3、10、11、12)的第一客户端(1)接收第一数目的注册请求的部件,每个注册请求与所述预定的第一时间段(4)中的一个时隙对应;
-用于从所述多个客户端(1、2、3、10、11、12)中的第二客户端(2)接收第二数目的注册请求的部件,每个注册请求与所述预定的第一时间段(4)中的一个时隙对应,其中第二数目的注册请求超过第二客户端(2)的注册请求的可接受的预定数目;以及
-用于在所述SIP注册服务器处将在所述预定的第一时间段内的未被第一客户端(1)使用的多个时隙分配给第二客户端(2)以用于发送超过第二客户端(2)的注册请求的所述可接受的预定数目的所述注册请求的部件。
CN201910574559.8A 2018-06-28 2019-06-28 用于管理基于sip的通信系统中的传输资源的方法和系统 Pending CN110661773A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18180307.3A EP3588893B1 (en) 2018-06-28 2018-06-28 Method and system for managing transmission resources in a sip-based communication system
EP18180307.3 2018-06-28

Publications (1)

Publication Number Publication Date
CN110661773A true CN110661773A (zh) 2020-01-07

Family

ID=62837599

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201910574559.8A Pending CN110661773A (zh) 2018-06-28 2019-06-28 用于管理基于sip的通信系统中的传输资源的方法和系统
CN201910575573.XA Pending CN110661900A (zh) 2018-06-28 2019-06-28 用于管理基于sip的通信系统中的传输资源的方法和sip注册服务器

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201910575573.XA Pending CN110661900A (zh) 2018-06-28 2019-06-28 用于管理基于sip的通信系统中的传输资源的方法和sip注册服务器

Country Status (3)

Country Link
US (3) US10931598B2 (zh)
EP (2) EP3588893B1 (zh)
CN (2) CN110661773A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490974A (zh) * 2020-03-20 2020-08-04 支付宝(杭州)信息技术有限公司 一种跨端注册方法、客户端及注册服务器

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3588893B1 (en) 2018-06-28 2023-03-08 Unify Patente GmbH & Co. KG Method and system for managing transmission resources in a sip-based communication system
US11337108B2 (en) 2020-02-19 2022-05-17 Verizon Patent And Licensing Inc. Uplink congestion control based on SIP messaging
US11663353B1 (en) * 2020-06-29 2023-05-30 United Services Automobile Association (Usaa) Systems and methods for monitoring email template usage
CN114301881B (zh) * 2021-12-10 2023-09-15 迈普通信技术股份有限公司 注册方法、装置、电子设备和计算机可读存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7881310B2 (en) * 2003-11-26 2011-02-01 Lenovo (Singapore) Pte Ltd. Method and apparatus for providing quality of service to VoIP over 802.11 wireless LANs
DE602004015839D1 (de) * 2003-12-08 2008-09-25 Research In Motion Ltd Verfahren und vorrichtungen zur bereitstellung von schlitzreservierungen für schlitz-nachrichten in drahtlosen kommunikationsnetzen
CN101094171B (zh) * 2006-06-22 2011-02-16 华为技术有限公司 实现媒体流交互方法和系统及媒体网关控制器和媒体网关
US8339956B2 (en) * 2008-01-15 2012-12-25 At&T Intellectual Property I, L.P. Method and apparatus for providing a centralized subscriber load distribution
US8363641B2 (en) * 2008-03-07 2013-01-29 At&T Intellectual Property I, Lp Methods and apparatus to control a flash crowd event in a voice over Internet protocol (VoIP) network
US10264029B2 (en) * 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US8675678B2 (en) * 2010-09-10 2014-03-18 The Johns Hopkins University Adaptive medium access control
US20130272253A1 (en) * 2010-11-30 2013-10-17 Koninklijke Kpn N.V. Dynamic Assignment of a Serving Network Node
US9736118B2 (en) * 2013-07-17 2017-08-15 Cisco Technology, Inc. Session initiation protocol denial of service attack throttling
US9241044B2 (en) * 2013-08-28 2016-01-19 Hola Networks, Ltd. System and method for improving internet communication by using intermediate nodes
US9588830B2 (en) * 2014-03-20 2017-03-07 Genesys Telecommunications Laboratories, Inc. Local survivability in a distributed contact center environment
US20160095016A1 (en) * 2014-09-26 2016-03-31 Mohamed El-Refaey Requesting extra spectrum
US9740532B2 (en) * 2015-04-20 2017-08-22 International Business Machines Corporation Multi-dimension scheduling among multiple consumers
EP3588893B1 (en) 2018-06-28 2023-03-08 Unify Patente GmbH & Co. KG Method and system for managing transmission resources in a sip-based communication system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490974A (zh) * 2020-03-20 2020-08-04 支付宝(杭州)信息技术有限公司 一种跨端注册方法、客户端及注册服务器
CN111490974B (zh) * 2020-03-20 2022-03-29 支付宝(杭州)信息技术有限公司 一种跨端注册方法、客户端及注册服务器

Also Published As

Publication number Publication date
US10862824B2 (en) 2020-12-08
EP3588902A1 (en) 2020-01-01
US20200007596A1 (en) 2020-01-02
US11233751B2 (en) 2022-01-25
US10931598B2 (en) 2021-02-23
US20200007466A1 (en) 2020-01-02
US20210058340A1 (en) 2021-02-25
EP3588902B1 (en) 2022-09-14
CN110661900A (zh) 2020-01-07
EP3588893B1 (en) 2023-03-08
EP3588893A1 (en) 2020-01-01

Similar Documents

Publication Publication Date Title
CN110661773A (zh) 用于管理基于sip的通信系统中的传输资源的方法和系统
CN115699840B (zh) 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质
US9374313B2 (en) System and method to prevent endpoint device recovery flood in NGN
US7925732B2 (en) Automatic hardware failure detection and recovery for distributed max sessions server
US7933985B2 (en) System and method for detecting and preventing denial of service attacks in a communications system
US9288218B2 (en) Securing an accessible computer system
JP5512832B2 (ja) Sipセッションを確立する要求を選別するための方法および装置
WO2009134265A1 (en) Message restriction for diameter servers
US20190190934A1 (en) Mitigating against malicious login attempts
KR101051623B1 (ko) 우선 서비스 호출들의 동적 스로틀링
US7464410B1 (en) Protection against flooding of a server
JP3928866B2 (ja) DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
WO2018017151A1 (en) System and method for voice security in a telecommunications network
US8006285B1 (en) Dynamic defense of network attacks
JP4602158B2 (ja) サーバ装置保護システム
RU2576488C1 (ru) СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК
EP3544254B1 (en) Ims application server overload protection
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法
EP2109279A1 (en) Method and system for mitigation of distributed denial of service attacks using geographical source and time information
Wang et al. Design and validation of patricia for the mitigation of network flooding attacks
WO2008122186A1 (fr) Procédé et dispositif permettant d'empêcher une attaque d'un petit paquet de données

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200107

WD01 Invention patent application deemed withdrawn after publication