DE102006004202A1 - Verfahren zum Schutz von SIP basierten Anwendungen - Google Patents

Verfahren zum Schutz von SIP basierten Anwendungen Download PDF

Info

Publication number
DE102006004202A1
DE102006004202A1 DE102006004202A DE102006004202A DE102006004202A1 DE 102006004202 A1 DE102006004202 A1 DE 102006004202A1 DE 102006004202 A DE102006004202 A DE 102006004202A DE 102006004202 A DE102006004202 A DE 102006004202A DE 102006004202 A1 DE102006004202 A1 DE 102006004202A1
Authority
DE
Germany
Prior art keywords
sip
identities
message
identity
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102006004202A
Other languages
English (en)
Other versions
DE102006004202B4 (de
Inventor
Saverio Dr. Niccolini
Sandra Dr. Tartarelli
Roman Schlegel
Marcus Brunner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Priority to DE102006004202A priority Critical patent/DE102006004202B4/de
Priority to JP2007012235A priority patent/JP4692776B2/ja
Priority to CN2007100072048A priority patent/CN101009706B/zh
Priority to US11/698,048 priority patent/US8085763B2/en
Publication of DE102006004202A1 publication Critical patent/DE102006004202A1/de
Application granted granted Critical
Publication of DE102006004202B4 publication Critical patent/DE102006004202B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/436Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Ein Verfahren zum Schutz von SIP (Session Initiation Protocol) basierten Anwendungen, wobei die SIP Nachrichten analysiert werden und böswillige SIP Nachrichten, die möglicherweise ein Sicherheitsrisiko für die SIP basierte Anwendung darstellen, identifiziert werden, ist im Hinblick auf eine Realisierung einer besonders hohen Sicherheit mit einfach zu implementierenden Mitteln dadurch gekennzeichnet, dass aus den SIP Nachrichten jeweils eine vorgebbare Anzahl N von vorgebbaren Parametern - Identitäten - extrahiert wird und dass für jede SIP Nachricht ein Vergleich der Identitäten mit aus vorherigen SIP Nachrichten extrahierten Identitäten durchgeführt wird, auf dessen Basis für jede SIP Nachricht ein Grad an Böswilligkeit ML bestimmt wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Schutz von SIP (Session Initiation Protocol) basierten Anwendungen, wobei die SIP Nachrichten analysiert werden und böswillige SIP Nachrichten, die möglicherweise ein Sicherheitsrisiko für die SIP basierte Anwendung darstellen, identifiziert werden.
  • Das Session Initiation Protocol (SIP) ist ein standardisiertes Netzwerkprotokoll zum Aufbau einer Kommunikationsverbindung zwischen zwei oder mehreren Teilnehmern. SIP wird von Geräten vieler Hersteller unterstützt und hat sich in den letzten Jahren zu einem weit verbreiteten Protokoll für Voice over IP (VoIP) entwickelt. Der Einsatz von SIP ist allerdings nicht auf die Internet-Telefonie beschränkt, sondern es können Kommunikationssitzungen für eine Vielzahl unterschiedlicher Datenströme aufgebaut werden. Dabei dient SIP lediglich zum Aufbau einer Kommunikationssitzung, wohingegen der Austausch der eigentlichen Kommunikationsdaten über andere Protokolle – Session Description Protocol (SDP), Realtime Transport Protocol (RTP) – erfolgt.
  • Während die Stärken von SIP in einer leichten Implementierbarkeit, Skalierbarkeit, Erweiterbarkeit und Flexibilität liegen, ergeben sich Schwachpunkte insbesondere im Hinblick auf die Sicherheit der Anwendungen und das Identitätsmanagement. Dabei besteht die Sicherheitsgefährdung darin, dass böswillige Nutzer ungesicherte Informationen abfangen können, um sodann Sicherheitsangriffe auf das SIP basierte System zu starten. Zwar gibt es momentan Bemühungen seitens der IETF, einen kompletten Satz von Sicherheitsprotokollen und -anwendungen zu standardisieren, um SIP basierten Anwendungen sicherheitsrelevante Merkmale hinzuzufügen. Aber selbst wenn diese Bemühungen Erfolg haben sollten, werden die Standards keine hundertprozentige Sicherheit ergeben, die nicht – bei entsprechenden Kenntnissen eines böswilligen Nutzers – durchbrochen werden könnte.
  • Im Hinblick auf ein sicheres Identitätsmanagement wird es auch in Zukunft, selbst wenn Standards zur Verfügung stehen, sicherlich immer einige SIP Service Provider geben, die bereit sind, SIP Identitäten preiszugeben. Bei einem solchen unzulänglichen Identitätsmanagement besteht die Sicherheitsgefährdung darin, dass böswillige Nutzer eine Vielzahl von SIP Identitäten abfangen können, um auf dieser Basis Sicherheitsangriffe gegen SIP basierte Systeme zu starten.
  • Im Folgenden werden zwei unterschiedliche Arten von Sicherheitsangriffen näher betrachtet, denen eine wesentliche Bedeutung zukommt. Zum einen handelt es sich dabei um Angriffe, die auf eine Störung bzw. Unterbrechung von Diensten ausgelegt sind und als DoS (Denial of Service) Angriffe bekannt sind. Zum anderen handelt es sich um soziale Angriffe, die im Rahmen der Internet-Telefonie als SPIT (SPam over Internet Telephony) bekannt sind. Die SPIT-Bedrohung ist vergleichbar mit der Bedrohung wie sie als Spam vom E-Mail-Verkehr bekannt ist, mit dem einzigen Unterschied, dass die unerwünschten Nachrichten in Form von Telefonanrufen verbreitet werden. In der Praxis kann dies bedeuten, dass eine Person hunderte von Anrufen ausschließlich mit Werbenachrichten erhält, oder dass das Telefon ohne Unterbrechung läutet. Vor dem Hintergrund der rasanten Entwicklung und Verbreitung der Internet-Telefonie steht zu befürchten, dass DoS-Attacken und SPIT in der Welt des Telefonierens ebenfalls stark zunehmen werden.
  • Heutzutage verfügbare Technologien zur Verhinderung von DoS-Attacken beruhen im Wesentlichen auf einer strikten Syntaxanalyse (Parsing) der SIP Protokolle von Dialogen und Transaktionen, um Unkorrektheiten in den Protokollen aufzudecken, welche eine Unterbrechung von Diensten zur Folge haben könnten. Diejenigen Nachrichten, bei denen eine Abweichung von der SIP-Syntax festgestellt wird, werden verworfen.
  • Andere Verfahren zum Schutz von SIP basierten Anwendungen vor DoS Angriffen nutzen den Zusammenhang, dass eine Systemüberlastung in einer Unterbrechung von Diensten resultieren kann, und beschäftigen sich demzufolge mit einer Limitierung des SIP Verkehrs auf eine maximal zulässige Rate von SIP Nachrichten, um so eine Überlastung des SIP Systems zu verhindern.
  • Heutzutage verfügbare Technologien zur Verhinderung von SPIT-Angriffen basieren im Wesentlichen auf einem White and Black Listing und auf einer Filterung von Inhalten. Die Filterung von Inhalten einer Sprachverbindung wird dabei mittels einer Art Turing-Test durchgeführt, mit dem versucht wird herauszufinden, ob es sich bei dem Anrufer um einen Menschen oder um eine Maschine handelt. Andere in jüngster Zeit vorgeschlagene Verfahren berücksichtigen auch soziale Netzwerke zwischen Nutzern sowie freundschaftliche Beziehungen, die Buddy-Listen verwenden.
  • Im Hinblick auf das eingangs bereits angesprochene Identitätsmanagement weisen die bekannten Verfahren ebenfalls Nachteile auf. So versuchen beispielsweise E-Mail-Systeme, Absender anhand der originalen IP-Adresse des Absenders im Header der E-Mail-Nachricht zu identifizieren. Auf der Grundlage dieser Informationen führen die E-Mail-Systeme DNS-Checks durch. Problematisch ist insoweit, dass böswillige Absender nicht ihre wirkliche IP-Adresse oder Domainnamen einfügen, so dass die bekannten Systeme keine korrekte Zuordnung treffen. Ohnehin sind derartige Untersuchungen im Falle von Echtzeit-Kommunikationen, wie sie hier angesprochen sind, nicht anwendbar, da sie auf unterschiedlichen Zeitskalen ablaufen. So sind beispielsweise E-Mail-Anwendungen keine Echtzeit-Anwendungen, während VoIP – als Echtzeit-Anwendung – nicht warten kann, bis ein DNS-Name überprüft worden ist. Zudem liegen vollkommen unterschiedliche Verkehrs-(Traffic-)Charakteristika vor, da zum Beispiel das gleichzeitige Senden einer Vielzahl von E-Mail-Nachrichten keineswegs per se als bösartige Aktion eingestuft werden kann, sondern vielmehr eine normale Nutzung darstellt. Demgegenüber würde diese Traffic-Charakteristik im Falle einer SIP basierten Anwendung mit hoher Wahrscheinlichkeit als böswillig einzustufen sein. Folglich lassen sich die aus der E-Mail-Welt bekannten Sicherheit und Identitätsmanagement betreffenden Verfahren keineswegs auf SIP basierte Anwendungen übertragen.
    •
  • Der vorliegenden Erfindung liegt nunmehr die Aufgabe zugrunde, ein Verfahren zum Schutz von SIP basierten Anwendungen der eingangs genannten Art anzugeben, wonach mit einfach zu implementierenden Mitteln eine besonders hohe Sicherheit realisiert ist.
  • Die voranstehende Aufgabe ist durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Danach ist das Verfahren derart ausgestaltet und weitergebildet, dass aus den SIP Nachrichten jeweils eine vorgebbare Anzahl N von vorgebbaren Parametern – Identitäten – extrahiert wird und dass für jede SIP Nachricht ein Vergleich der Identitäten mit aus vorherigen SIP Nachrichten extrahierten Identitäten durchgeführt wird, auf dessen Basis für jede SIP Nachricht ein Grad an Böswilligkeit ML bestimmt wird.
  • In erfindungsgemäßer Weise ist erkannt worden, dass eine besonders hohe Sicherheit für SIP basierte Anwendungen erreicht werden kann, indem die Möglichkeit einer breit angelegten Analyse geschaffen wird. In erfindungsgemäßer Weise wird dazu zunächst aus jeder SIP Nachricht eine vorgebbare Anzahl N von vorgebbaren Parametern, die im Folgenden ganz allgemein als Identitäten bezeichnet werden, extrahiert. In weiter erfindungsgemäßer Weise wird sodann für jede SIP Nachricht ein Grad an Böswilligkeit – Maliciousness Level ML – bestimmt, indem für jede SIP Nachricht ein Vergleich der Identitäten mit aus vorherigen SIP Nachrichten extrahierten Identitäten durchgeführt wird. Mit dem erfindungsgemäßen Verfahren kann somit eine Vielzahl von sicherheitsrelevanten Aspekten der SIP Transaktionen berücksichtigt werden, was im Vergleich zu bekannten Verfahren, bei denen nur Einzelaspekte, wie beispielsweise die Syntax der SIP Nachrichten, berücksichtigt wird, eine deutlich verbesserte Sicherheit mit sich bringt. Entscheidend ist mit anderen Worten, dass nicht nur ein einziger Parameter überprüft wird, sondern dass (N – 1) weitere Parameter in die Prüfung einbezogen werden. Das erfindungsgemäße Verfahren löst somit auch die eingangs im Zusammenhang mit bestimmten Traffic-Charakteristika angesprochenen Probleme, da die Traffic-Charakteristik allenfalls noch als Teilaspekt in die erfindungsgemäß auf breiter Basis angelegte Untersuchung einfließt.
  • Das erfindungsgemäße Verfahren ist zudem einfach zu implementieren, da im Wesentlichen nur Vergleichsoperationen durchgeführt werden müssen, welche kaum gerätetechnische Besonderheiten erfordern. Darüber hinaus lässt sich das erfindungsgemäße Verfahren äußerst einfach und flexibel an unterschiedliche zu untersuchende Umgebungen anpassen. Handelt es sich beispielsweise um SIP Transaktionen mit sensiblen Daten, bei denen der Sicherheit aller höchste Priorität eingeräumt werden muss, so kann N groß gewählt werden, d.h. die Identifizierung von böswilligen SIP Anwendungen wird auf Basis einer Vielzahl unterschiedlicher Aspekte durchgeführt. Demgegenüber kann N klein gewählt werden, wenn Sicherheitsaspekten beispielsweise keine überragende Bedeutung zukommt und/oder wenn die für einen Sicherheitscheck zur Verfügung stehenden Ressourcen stark limitiert sind.
  • Im Konkreten kann die Analyse und die Identifizierung beispielsweise mittels eines Session Border Controllers (SBC), einer Application Layer Firewall, eines Proxy-Servers, eines Back-to-Back User Agents, oder auch mittels eines Clients, oder dergleichen durchgeführt werden.
  • Im Hinblick auf die extrahierten Identitäten kann vorgesehen sein, dass es sich dabei um nutzerspezifische Parameter einerseits und/oder gerätespezifische Parameter andererseits handelt. So wird in besonders vorteilhafter Weise beispielsweise die SIP URI (Uniform Resource Identifier) der die Nachricht sendenden Partei als eine Identität extrahiert. Die SIP URI liegt im Allgemeinen in der Form „user@domain" vor, und sie ist die aussagekräftigste Identität, so dass es sich als vorteilhaft herausgestellt hat, diese stets in den extrahierten Satz von Identitäten einzubeziehen. Zusätzlich (oder alternativ) können die MAC Adresse, die Host Identity Protocol (HIP) Identifizierer, der SIP Via Header Field Wert, der SIP Contact Header Field Wert und/oder die SDP Protokoll Header Field Werte einschließlich der IP Adresse und/oder der Ports der sendenden Partei extrahiert werden. Die Aufzählung ist keineswegs abschließend und selbstverständlich können weitere Parameter extrahiert werden.
  • Im Hinblick auf eine einfache und übersichtliche Speicherung der Werte der extrahierten Parameter kann vorgesehen sein, dass als Identität jeweils das Ergebnis einer auf die extrahierten Werte angewendeten Transformation verwendet wird. In besonders vorteilhafter Weise kann es sich bei der Transformation um die Anwendung einer Hash-Funktion handeln.
  • Im Rahmen einer besonders bevorzugten Ausführungsform ist die Generierung eines N-dimensionalen Hyperraums vorgesehen, wobei die N-Dimensionen des Raumes durch die vorgegebenen Identitäten aufgespannt werden. In besonders übersichtlicher und leicht zu handhabender Weise kann dann jede SIP Nachricht jeweils als ein Punkt in dem Hyperraum dargestellt werden, indem die extrahierten Identitäten auf die Achsen im Hyperraum eingetragen werden. Unter einem Punkt ist dabei ein N-dimensionales Tupel zu verstehen, welches die für die jeweilige SIP Nachricht extrahierten Werte der vorgegebenen N-Identitäten umfasst.
  • Im Hinblick auf eine möglichst umfassende und effektive Nutzung der zur Verfügung stehenden Informationen kann der Grad an Böswilligkeit ML einer n-ten Nachricht als eine Funktion f von im Hyperraum eingetragenen Punkten von vorherigen Nachrichten bestimmt werden. n ist dabei ein Platzhalter, der für die Reihenfolge des zeitlichen Eintreffens der Nachrichten steht. Mit anderen Worten können für die Bestimmung des Grades an Böswilligkeit ML einer n-ten Nachricht die bereits zuvor gewonnenen Informationen, die aus der ersten, zweiten, ..., (n – 1)-ten Nachricht extrahiert worden sind, verwendet werden.
  • Um die Untersuchung über einen längeren Zeitraum für eine Vielzahl von eintreffenden Nachrichten selbständig, d.h. ohne das Eingreifen eines Operateurs, durchführen zu können, bietet es sich im Hinblick auf eine Begrenzung des benötigten Speicherbedarfs an, dass Punkte entsprechend der Reihenfolge ihres Eintrags nach einer vorgebbaren Zeit wieder aus dem Hyperraum gelöscht werden. Für die Bestimmung des Grades an Böswilligkeit ML einer n-ten Nachricht stehen dann demzufolge nicht mehr die Nachrichten 1, 2 ..., n – 1, sondern nur noch die Nachrichten i, i + 1, ..., n – 1 zur Verfügung, wobei 1 ≤ i < n. Die Zeitdauer, die Punkte im Hyperraum gespeichert bleiben, ist ein konfigurierbarer Parameter und kann im Vorfeld fest vorgegeben werden oder während der Untersuchung dynamisch an die jeweilige konkrete Situation angepasst werden, vorzugsweise unter Berücksichtigung der Datenverkehrsrate.
  • Im Hinblick auf die Funktion f kann vorgesehen sein, dass diese so gewählt wird, dass der Grad an Böswilligkeit ML für eine n-te Nachricht ungleich Null ist, wenn der Vergleich ergibt, dass mindestens eine Identität des n-ten Punktes, d.h. des Punktes der n-ten Nachricht, mit einer Identität mindestens eines der eingetragenen Punkte übereinstimmt. Darüber hinaus kann die Funktion f die Eigenschaft haben, dass der Grad an Böswilligkeit ML für eine n-te Nachricht umso größer ist, je größer die Anzahl der eingetragenen Punkte ist, bei denen mindestens eine Identität mit der entsprechenden Identität des Punktes der n-ten Nachricht übereinstimmt. Des Weiteren kann die Funktion f die Eigenschaft haben, dass der Grad an Böswilligkeit ML für eine n-te Nachricht umso größer ist, je größer die Anzahl der übereinstimmenden Identitäten zwischen einem der eingetragenen Punkte und dem Punkt der n-ten Nachricht ist.
  • Im Falle bestimmter Identitäten kann es von Relevanz sein, nicht nur zu wissen, ob zwei Werte übereinstimmen oder sich voneinander unterscheiden, sondern darüber hinaus auch Kenntnis der exakten Werte der Identitäten zu haben. Dies ist zum Beispiel bei den SIP Identitäten der Fall. Betrachtet man beispielsweise die Identitäten SIP ID_1 = user1@domain1, SIP ID_2 = user2@domain1 und SIP ID_3 = user3@domain2, so sind diese zwar alle voneinander verschieden, allerdings macht es aus sicherheitstechnischen Gesichtspunkten einen Unterschied, ob eine Nachricht vom selben User von unterschiedlichen Domains oder von unterschiedlichen Usern von derselben Domain stammt. Um diese Unterschiede bei der Bestimmung des Grades an Böswilligkeit ML berücksichtigen zu können, bietet sich in vorteilhafter Weise die Einführung des Konzeptes von Distanzen an. Der Grad an Böswilligkeit ML kann dann als Summe von zwischen den Punkten im N-dimensionalen Hyperraum vorgebbaren Distanzen ermittelt werden. In dem genannten Beispiel kann dabei der Distanz zwischen SIP ID_1 und SIP ID_2 – dist(ID_1; ID_2) – ein anderer Wert zugeordnet werden als der Distanz zwischen SIP ID_1 und ID_3 – dist(ID_1; ID_3). Die konkreten Werte der einzelnen Distanzen können dabei im Vorfeld einer Untersuchung fest vorgegeben werden. Alternativ können die konkreten Werte der einzelnen Distanzen dynamisch an bestimmte Situationen angepasst werden.
  • Im Hinblick auf eine effiziente Speicherung der N-dimensionalen Identitäten kann eine Implementierung unter Nutzung von Hash-Tabellen vorgesehen sein. Hash-Tabellen erlauben zum einen ein schnelles Auffinden passender Einträge und halten zum anderen die Speicherkomplexität in Grenzen. Im Konkreten kann beispielsweise für jede Identität eine Hash-Tabelle verwendet werden. Dabei könnte in den Schlüsselspalten der Hash-Tabellen jeweils der Hash-Werte der entsprechenden Identität und als Einträge jeweils der Satz von Identitäten (N-Tuple) gespeichert werden.
  • Im Hinblick auf eine weitere Optimierung der Speicherkomplexität können in den Hash-Tabellen gemeinsame Einträge, sog. shared entrys, vorgesehen werden, wobei in den Schlüsselspalten der Hash-Tabellen wiederum jeweils der Hash-Wert der entsprechenden Identität gespeichert wird, als Einträge allerdings Zeiger auf gemeinsame Sätze von Identitäten (N-Tuple) gespeichert werden. Auf diese Weise kann die Speicherkomplexität nochmals deutlich reduziert werden.
  • Im Hinblick auf eine weitere Steigerung der Effektivität ist es von besonderem Vorteil, nur syntaktisch korrekte SIP Nachrichten zu untersuchen. Dazu kann eine vorgeschaltete Syntax-Analyse (Parsing), wie sie für sich gesehen aus dem Stand der Technik bekannt ist, vorgesehen sein und nur diejenigen SIP Nachrichten analysiert werden, welche die Syntaxanalyse ohne Auffälligkeiten passiert haben.
  • Für den Grad der Böswilligkeit ML können Grenzwerte vorgegeben werden, bei deren Überschreitung eine SIP Nachricht als böswillig eingestuft wird. In vorteilhafter Weise lassen sich die Grenzwerte im Hinblick auf ein Höchstmaß an Flexibilität dynamisch aktualisieren. Im Konkreten könnten die Grenzwerte dynamisch auf einer Zeitbasis aktualisiert werden, da auf diese Weise die Tatsache berücksichtigt werden könnte, dass sich Datenverkehrsstrukturen zu Peak-Zeiten deutlich von Datenstrukturen unterscheiden, die beispielsweise während der Nacht beobachtet werden. Eine dynamische Aktualisierung könnte ebenso auf der Basis von Erfahrungswerten hinsichtlich der Effektivität der bis dahin bereits durchgeführten Untersuchung vorgenommen werden. So ist es beispielsweise denkbar, dass ein Grenzwert, der auf den Wert z festgesetzt worden ist, erniedrigt wird, wenn ein bestimmter Angriff einen Crash des Systems verursacht, um nämlich das System vor einem solchen Angriff besser zu schützen.
  • Zum Schutz des Systems kann zudem vorgesehen sein, dass eine als böswillig identifizierte SIP Nachricht einen Alarm auslöst und/oder geblockt wird. Die Generierung eines Alarms könnte zudem als Trigger zur Nachverfolgung von böswilligen Nachrichten und ihrer Herkunft verwendet werden. Hierzu könnte ein Post-Processing Algorithmus eingesetzt werden, der böswillige Verhaltensweisen, die sich über die Zeit entwickeln, identifiziert. Eine einfache Implementierung eines solchen Schemas kann darin bestehen, einen böswilligen Absender entweder anhand seiner SIP URI, anhand seiner IP-Adresse oder auf ähnliche Weise zu identifizieren. Nach erfolgter Identifizierung könnte dem böswilligen Nutzer der Zugang zu dem geschützten System (zeitweise) verwehrt werden, indem der gesamte von ihm stammende Verkehr geblockt wird.
  • Im Rahmen einer vorteilhaften Ausgestaltung können auch zwei oder mehrere Grenzwerte vorgegeben werden, wobei an das Überschreiten jedes der Grenzwerte jeweils unterschiedliche Folgen geknüpft werden können. So kann beispielsweise das Überschreiten eines ersten niedrigen Grenzwertes bewirken, dass der Absender zusätzliche Tests bestehen muss, bevor ihm der Zugang zu dem geschützten System gestattet wird. Erst das Überschreiten einer zweiten höheren Schwelle könnte eine Zugangssperre auslösen, wobei sowohl zeitlich beschränkte als auch endgültige Zugangssperren denkbar sind.
    •
  • Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die nachgeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung bevorzugter Ausführungsbeispiele des erfindungsgemäßen Verfahrens zum Schutz von SIP Anwendungen zu verweisen. In Verbindung mit der Erläuterung der bevorzugten Ausführungsbeispiele anhand der Zeichnung werden auch im Allgemeinen bevorzugte Ausgestaltungen und Weiterbildungen der Lehre erläutert. In der Zeichnung zeigen
  • 1 in einer schematischen Darstellung ein Ausführungsbeispiel eines erfindungsgemäßen Verfahrens zum Schutz von SIP basierten Anwendungen,
  • 2 in einer schematischen Darstellung die Speicherung der Identitäten in Hash-Tabellen mit verdoppelten Einträgen,
  • 3 in einer schematischen Darstellung die Speicherung der Identitäten in Hash-Tabellen mit gemeinsamen Einträgen,
  • 4 in einer schematischen Darstellung das Extrahieren unterschiedlicher Identitäten aus einer SIP Nachricht,
  • 5 in einem Diagramm ein Ausführungsbeispiel eines Hyperraumes der Dimension N = 2 und
  • 6 in einem Diagramm den Hyperraum aus 5, wobei zusätzlich Distances dargestellt sind.
  • 1 zeigt in einer schematischen Darstellung die grundlegende Funktionsweise des erfindungsgemäßen Verfahrens. Dargestellt sind drei SIP Clients 1 die über ein als Wolke angedeutetes Netzwerk mittels SIP Transaktionen miteinander kommunizieren. Zum Schutz der SIP basierten Anwendungen vor Angriffen eines böswilligen Nutzers 2 werden aus den SIP Nachrichten, die die SIP Clients 1 unter einander oder mit dem Rest der Welt austauschen, jeweils eine vorgebare Anzahl N vorgebbarer Parameter, sogenannte Identitäten, extrahiert. Für jede SIP Nachricht wird ein Vergleich der Identitäten mit aus zuvor ausgetauschten SIP Nachrichten extrahierten Identitäten durchgeführt. Sodann wird für jede SIP Nachricht auf der Basis des durchgeführten Vergleichs ein Grad an Böswilligkeit ML bestimmt. Die Analyse der SIP Nachrichten sowie ihre Identifizierung als böswillig kann von einer Vielzahl unterschiedlicher Geräte durchgeführt werden. In 1 sind lediglich beispielhaft drei mögliche Geräte dargestellt. Im Konkreten handelt es sich um eine Firewall 3, einen Back-to-Back User Agent 4 und einen Proxy-Server 5.
  • In 2 ist in Form einer Tabelle ein konkreter Speichermodus zur Speicherung der N-dimensionalen Identitäten dargestellt. Es handelt sich um eine Implementierung, die Hash-Tabellen zur Datenspeicherung verwendet. Die in 2 dargestellte Tabelle arbeitet mit duplizierten Einträgen. Mit anderen Worten verwendet die Implementierung eine Hash-Tabelle für jede Identität. Die Schlüsselspalte jeder Hash-Tabelle ist der Hash-Wert der entsprechenden Identität, während die Einträge den Satz von Identitäten umfassen. Das bedeutet, dass im Falle von N Identitäten jeder Identitätssatz (oder Transaktion) N mal verdoppelt wird. Dies führt zu einer Speicherkomplexität, die sich berechnet als N·n·N·a, wobei n die Anzahl der Einträge (bzw. die Anzahl der untersuchten Nachrichten) bezeichnet, a die Größe eines Identitätselements bezeichnet und N die Anzahl der Identitäten bezeichnet. Folglich hängt die Komplexität quadratisch von der Anzahl der Identitäten ab. Das bedeutet, dass eine Verdopplung der Anzahl von Identitäten die Speicherkomplexität vervierfacht. Die Komplexität im Hinblick auf die Anzahl von Transaktionen n ist hingegen linear.
  • 3 zeigt eine Implementierung der Speicherung, die im Hinblick auf die Speicherkomplexität im Vergleich zur Implementierung gemäß 2 optimiert ist. Die Optimierung wird durch Verwendung von gemeinsamen Einträgen erreicht. Während weiterhin für jede Identität eine Hash-Tabelle verwendet wird, umfassen die Einträge in der Hash-Tabelle nicht einen vollständigen Eintrag, sondern lediglich einen Zeiger auf gemeinsame Sätze von Identitäten. Diese Art der Speicherung resultiert in einer Speicherkomplexität, die sich als N·n + N·n·a berechnet, wobei die Bezeichnungen identisch sind mit den Bezeichnungen, wie sie in Zusammenhang mit 2 erläutert worden sind. Somit ist die Speicherkomplexität sowohl im Hinblick auf die Anzahl der Identitäten N als auch hinsichtlich der Anzahl von Transaktionen n linear. Ausgehend von einer nicht signifikanten Anzahl von Kollisionen in den Hash-Tabellen, was durch eine ausreichend große Dimensionierung der Hash-Tabellen erreicht werden kann, liegt auch zwischen der Rechenkomplexität und der Anzahl von Einträgen/Transaktionen ein linearer Zusammenhang vor. Die Suche ist darüber hinaus linear zu der Anzahl von Identitäten.
  • 4 zeigt in einer schematischen Darstellung ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens. Eine SIP Nachricht passiert zum Zwecke der Analyse ein Gerät, das im konkret dargestellten Beispiel als Proxy-Server 5 ausgeführt ist. Der Proxy-Server 5 extrahiert zwei Identitäten aus der SIP Nachricht, nämlich zum einen die SIP Identität und zum anderen die IP Adresse des Absenders der SIP Nachricht. Folglich ist N = 2. Für den Fall, dass die IP Adresse, von der die SIP Nachricht empfangen wurde, nicht als Parameter zur Verfügung steht, da die Anwendung keinen Zugang zu Informationen der IP Schicht hat, könnte die Anwendung die IP Adressparameter aus dem SIP Nachrichtenkörper extrahieren, wobei die IP Adresse beispielsweise im VIA Header stehen könnte.
  • In 5 ist ein zweidimensionaler Hyperraum, d.h. eine Ebene, dargestellt, die von der SIP Identität als erstem extrahierten Parameter (abgetragen auf der Abszisse) und von der IP Adresse als zweitem extrahierten Parameter (abgetragen auf der Ordinate) aufgespannt wird. Die insgesamt fünf dargestellten Punkte entsprechen fünf analysierten SIP Nachrichten, wobei im Folgenden von folgender Reihenfolge des Eintreffens ausgegangen wird:
    • 1. (SIP ID1 = user1@domain1; IP ADDR1);
    • 2. (SIP ID2 = user2@domain1; IP ADDR3);
    • 3. (SIP ID2 = user2@domain1; IP ADDR1);
    • 4. (SIP ID3 = user3@domain2; IP ADDR1);
    • 5. (SIP ID4 = user4@domain1; IP ADDR2).
  • Wenn die n-te Nachricht ankommt, werden folgende Schritte durchgeführt:
    • 1. Der n-te Punkt
      Figure 00110001
      wird in den Hyperraum eingefügt, bei dem es sich, wie bereits ausgeführt, in dem konkret dargestellten Beispiel um eine Ebene handelt.
    • 2. Punkte, die bereits in die Ebene eingefügt sind, d.h. mit bereits zuvor analysierten Nachrichten korrespondieren, und die entweder dieselbe SIP Identität oder dieselbe SIP Adresse mit
      Figure 00120001
      teilen, werden identifiziert.
    • 3. Der Grad an Böswilligkeit – Maliciousness level ML – wird berechnet als:
      Figure 00120002
      k variiert dabei über alle in Schritt 2 identifizierten Punkte.
  • Für die Berechnung von ML ist das Konzept der Distanzen eingeführt worden, wodurch es möglich ist, bei der Berechnung von ML nicht nur den Vergleich identisch/nicht identisch zu berücksichtigen, sondern auch die exakten Werte der Identitäten einfließen zu lassen. Die Werte, die von den Distanzen angenommen werden können, bilden konfigurierbare Systemparameter.
  • Für das in 5 dargestellte Beispiel sind die festgesetzten Distanzen in 6 gezeigt. Ansonsten sind die beiden Figuren identisch. Für das spezifische dargestellte Beispiel stecken die folgenden Überlegungen hinter der Festlegung der Distanzen:
    Grundsätzlich ist eine Vielzahl von Transaktionen, die von derselben SIP Identität stammen und unterschiedliche IP Adressen verwenden, als möglicherweise böswillig anzusehen. Die Wahrscheinlichkeit, dass es sich um böswillige Nachrichten handelt, ist umso höher, je größer die Anzahl unterschiedlicher IP Adressen ist, von denen die Transaktionen stammen. Allerdings können derartige Transaktionen auch legitim sein und lediglich aus einer Mobilität des sendenden Nutzers resultieren. Jedoch wird sich die Zeitskala, auf der Nutzer in Mobilitätsszenarien SIP Transaktionen ausführen, im Allgemeinen von der Zeitskala unterscheiden, auf der SIP Transaktionen analysiert werden. Das vorgeschlagene Verfahren arbeitet normalerweise derart, dass insbesondere Anomalien auf einer kürzeren Zeitskala aufgedeckt werden.
  • Im Allgemeinen wird auch eine Vielzahl von Transaktionen, die von derselben IP Adresse stammen, aber unterschiedliche SIP Identitäten verwenden, als möglicher weise böswillig einzustufen sein. Auch hier gilt, dass die Wahrscheinlichkeit, dass es sich um böswillige Transaktionen handelt, umso größer ist, je größer die Anzahl von SIP Identitäten ist, die sich dieselbe IP Adresse teilen. Allerdings verliert diese Aussage ihre Gültigkeit im Fall einer Vielzahl von Nutzern, die sich hinter einem NAT (Network Adress Translator) befinden und SIP Transaktionen aussenden. Jedoch ist die Wahrscheinlichkeit, dass eine Vielzahl von Nutzern hinter demselben NAT Transaktionen zur selben Zieladresse sendet, niedrig genug, um von der generellen Annahme ausgehen zu können. Falls diese Wahrscheinlichkeit nicht niedrig genug ist, könnten zusätzliche Identitäten, zum Beispiel die Portnummern der Schicht 4, verwendet werden, um berechtigte Nutzer hinter einem NAT von böswilligen Nutzern korrekt unterscheiden zu können.
  • Bei der Festlegung der in 6 dargestellten Werte ist diese Möglichkeit jedenfalls berücksichtigt, indem zwischen SIP Identitäten mit unterschiedlichen Domains eine größere Distance definiert worden ist als zwischen SIP Identitäten mit derselben Domain. Durch diese Festlegung wird berücksichtigt, dass Nutzer hinter demselben NAT mit einer hohen Wahrscheinlichkeit in ihrer SIP URI dieselbe Domain aufweisen. Für das in 6 dargestellte Beispiel berechnen sich die Werte für ML demnach wie folgt:
    Wenn die erste Nachricht eintrifft ist ML = 0, da nur ein einziger Punkt in der Ebene vorhanden ist. Wenn Nachricht 2 eintrifft, wird festgestellt, dass sich beide extrahierten Identitäten von Nachricht 1 unterscheiden, so dass weiterhin gilt ML = 0. Wenn Nachricht 3 eintrifft, wird festgestellt, dass sie dieselbe IP Adresse wie Nachricht 1 und dieselbe SIP ID wie Nachricht 2 aufweist, so dass ML = 1 + 3 = 4. Wenn Nachricht 4 ankommt, wird die Übereinstimmung der IP Adresse mit der der Nachrichten 1 und 3 festgestellt, so dass für ML gilt: ML = 5 + 5 = 10. Wenn Nachricht 5 eintrifft, werden keine Übereinstimmungen mit zuvor analysierten Nachrichten festgestellt, so dass gilt ML = 0.
  • Hinsichtlich weiterer vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens wird zu Vermeidung von Wiederholungen auf den allgemeinen Teil der Beschreibung sowie auf die beigefügten Patentansprüche verwiesen.
  • Schließlich sei ausdrücklich darauf hingewiesen, dass die voranstehend beschriebenen Ausführungsbeispiele lediglich zur Erörterung der beanspruchten Lehre dienen, diese jedoch nicht auf die Ausführungsbeispiele einschränken.

Claims (24)

  1. Verfahren zum Schutz von SIP (Session Initiation Protocol) basierten Anwendungen, wobei die SIP Nachrichten analysiert werden und böswillige SIP Nachrichten, die möglicherweise ein Sicherheitsrisiko für die SIP basierte Anwendung darstellen, identifiziert werden, dadurch gekennzeichnet, dass aus den SIP Nachrichten jeweils eine vorgebbare Anzahl N von vorgebbaren Parametern – Identitäten – extrahiert wird und dass für jede SIP Nachricht ein Vergleich der Identitäten mit aus vorherigen SIP Nachrichten extrahierten Identitäten durchgeführt wird, auf dessen Basis für jede SIP Nachricht ein Grad an Böswilligkeit ML bestimmt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Analyse und Identifizierung mittels eines Session Border Controllers (SBC), einer Application Layer Firewall (3), eines Proxy-Servers (5), eines Back-to-Back User Agents (4), eines Clients (1) oder dergleichen durchgeführt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass es sich bei den extrahierten Identitäten um nutzerspezifische und/oder gerätespezifische Parameter handelt.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass es sich bei den extrahierten Identitäten um die SIP URI der die Nachricht sendenden Partei, die MAC Adresse, die Host Identity Protocol (HIP) Identifizierer, den SIP Via Header Field Wert, SIP Contact Header Field Wert, die SDP Protokoll Header Field Werte einschließlich der IP Adresse sowie der Ports der sendenden Partei oder dergleichen handelt.
  5. Verfahren Anspruch 4, dadurch gekennzeichnet, dass als Identität jeweils das Ergebnis einer auf die Werte angewendeten Transformation, vorzugsweise einer Hash-Funktion, verwendet wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass ein N-dimensionaler Hyperraum gebildet wird, welcher durch die vorgegebenen Identitäten aufgespannt wird, und dass zu jeder SIP Nachricht ein Punkt in dem Hyperraum eingetragen wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass der Grad an Böswilligkeit ML für eine n-te Nachricht eine Funktion f von im Hyperraum eingetragenen Punkten von vorherigen Nachrichten ist.
  8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass Punkte entsprechend der Reihenfolge ihres Eintrags nach einer vorgebbaren Zeit wieder aus dem Hyperraum gelöscht werden.
  9. Verfahren nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, dass der Grad an Böswilligkeit ML für eine n-te Nachricht ungleich Null ist, wenn der Vergleich ergibt, dass mindestens eine Identität des Punktes der n-ten Nachricht mit einer Identität mindestens eines der eingetragenen Punkte übereinstimmt.
  10. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass der Grad an Böswilligkeit ML für eine n-te Nachricht umso größer ist, je größer die Anzahl der eingetragenen Punkte ist, bei denen mindestens eine Identität mit der entsprechenden Identität des Punktes der n-ten Nachricht übereinstimmt.
  11. Verfahren nach einem der Ansprüche 6 bis 10, dadurch gekennzeichnet, dass der Grad an Böswilligkeit ML für eine n-te Nachricht umso größer ist, je größer die Anzahl der übereinstimmenden Identitäten zwischen einem der eingetragenen Punkte und dem Punkt der n-ten Nachricht ist.
  12. Verfahren nach einem der Ansprüche 6 bis 11, dadurch gekennzeichnet, dass der Grad an Böswilligkeit ML als Summe von zwischen den Punkten im N-dimensionalen Hyperraum vorgebbaren Distanzen ermittelt wird.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Werte der einzelnen Distanzen fest vorgegeben werden.
  14. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Werte der einzelnen Distanzen dynamisch angepasst werden.
  15. Verfahren nach einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass zur Speicherung der N-dimensionalen Identitäten Hash-Tabellen verwendet werden.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass für jede Identität eine Hash-Tabelle verwendet wird.
  17. Verfahren nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass in den Schlüsselspalten der Hash-Tabellen jeweils der Hash-Wert der entsprechenden Identität und als Einträge jeweils der Satz von Identitäten gespeichert werden.
  18. Verfahren nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass gemeinsame Einträge verwendet werden, derart, dass als Einträge Zeiger auf gemeinsame Sätze von Identitäten gespeichert werden.
  19. Verfahren nach einem der Ansprüche 1 bis 18, dadurch gekennzeichnet, dass nur diejenigen SIP-Nachrichten analysiert werden, die eine vorgeschaltete Syntax-Analyse ohne Auffälligkeiten passiert haben.
  20. Verfahren nach einem der Ansprüche 1 bis 19, dadurch gekennzeichnet, dass für den Grad der Böswilligkeit ML ein Grenzwert vorgegeben wird, bei dessen Überschreitung eine SIP Nachricht als böswillig eingestuft wird.
  21. Verfahren nach einem der Ansprüche 1 bis 20, dadurch gekennzeichnet, dass eine als böswillig identifizierte SIP Nachricht einen Alarm auslöst und/oder geblockt wird.
  22. Verfahren nach Anspruch 20 oder 21, dadurch gekennzeichnet, dass zwei oder mehrere Grenzwerte vorgegeben werden und an das Überschreiten jedes der Grenzwerte jeweils unterschiedliche Folgen geknüpft werden.
  23. Verfahren nach einem der Ansprüche 20 bis 22, dadurch gekennzeichnet, dass die Grenzwerte dynamisch aktualisiert werden.
  24. Verfahren nach einem der Ansprüche 1 bis 23, dadurch gekennzeichnet, dass als böswillig identifizierte SIP Nachrichten einer weitergehenden Untersuchung unterzogen werden.
DE102006004202A 2006-01-27 2006-01-27 Verfahren zum Schutz von SIP basierten Anwendungen Expired - Fee Related DE102006004202B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102006004202A DE102006004202B4 (de) 2006-01-27 2006-01-27 Verfahren zum Schutz von SIP basierten Anwendungen
JP2007012235A JP4692776B2 (ja) 2006-01-27 2007-01-23 Sipベースのアプリケーションを保護する方法
CN2007100072048A CN101009706B (zh) 2006-01-27 2007-01-25 保护基于sip的应用的方法
US11/698,048 US8085763B2 (en) 2006-01-27 2007-01-26 Method for protecting SIP-based applications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006004202A DE102006004202B4 (de) 2006-01-27 2006-01-27 Verfahren zum Schutz von SIP basierten Anwendungen

Publications (2)

Publication Number Publication Date
DE102006004202A1 true DE102006004202A1 (de) 2007-08-09
DE102006004202B4 DE102006004202B4 (de) 2008-02-14

Family

ID=38281990

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006004202A Expired - Fee Related DE102006004202B4 (de) 2006-01-27 2006-01-27 Verfahren zum Schutz von SIP basierten Anwendungen

Country Status (4)

Country Link
US (1) US8085763B2 (de)
JP (1) JP4692776B2 (de)
CN (1) CN101009706B (de)
DE (1) DE102006004202B4 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2134057B1 (de) * 2008-06-12 2013-05-01 Alcatel Lucent Verfahren zum Schützen eines paketbasierten Netzwerks vor Attacken und Sicherheitsgrenzknoten
KR101453600B1 (ko) * 2009-04-30 2014-10-22 닛본 덴끼 가부시끼가이샤 부정호 검출 장치, 부정호 검출 방법, 및 부정호 검출용 프로그램을 저장한 컴퓨터 판독 가능한 기록 매체
US8170182B2 (en) * 2009-08-19 2012-05-01 Avaya Inc. Enhanced call tracing
EP2369529A1 (de) * 2010-03-24 2011-09-28 Alcatel Lucent Verfahren zur Detektion von Unregelmäßigkeiten beim Nachrichtenaustausch, zugehöriges Computerprogrammprodukt und Datenspeicherungsvorrichtung dafür
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
US8689328B2 (en) * 2011-02-11 2014-04-01 Verizon Patent And Licensing Inc. Maliciouis user agent detection and denial of service (DOS) detection and prevention using fingerprinting
US20140259145A1 (en) * 2013-03-08 2014-09-11 Barracuda Networks, Inc. Light Weight Profiling Apparatus Distinguishes Layer 7 (HTTP) Distributed Denial of Service Attackers From Genuine Clients
CN104102879B (zh) * 2013-04-15 2016-08-17 腾讯科技(深圳)有限公司 一种消息格式的提取方法和装置
CN104378373A (zh) * 2014-11-14 2015-02-25 北京邮电大学 一种面向sbc的畸形sip消息检测的方法与系统
US10787300B2 (en) 2018-10-12 2020-09-29 Smurfit Kappa North America Llc Liquid carrier and dispenser

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1605661A1 (de) * 2004-06-07 2005-12-14 Alcatel Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5210820A (en) * 1990-05-02 1993-05-11 Broadcast Data Systems Limited Partnership Signal recognition system and method
US7283969B1 (en) * 2000-11-22 2007-10-16 Tekelec Methods and systems for automatically registering complaints against calling parties
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
JP3974554B2 (ja) * 2003-05-19 2007-09-12 日本電信電話株式会社 ゲートウェイ
JP2005175714A (ja) * 2003-12-09 2005-06-30 Kenji Ishida ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
US7535905B2 (en) * 2004-03-31 2009-05-19 Microsoft Corporation Signing and validating session initiation protocol routing headers
CN100362802C (zh) * 2004-06-29 2008-01-16 华为技术有限公司 一种抵御拒绝服务攻击的方法
JP4322179B2 (ja) * 2004-07-07 2009-08-26 日本電信電話株式会社 サービス拒絶攻撃防御方法およびシステム
US8582567B2 (en) * 2005-08-09 2013-11-12 Avaya Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
JP2006100873A (ja) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> Sipパケットフィルタリング装置およびネットワーク間接続装置およびsipサーバ
EP1817888B1 (de) * 2004-11-29 2018-03-07 Telecom Italia S.p.A. Verfahren und system zur verwaltung von denial-of-service-situationen
US7568224B1 (en) * 2004-12-06 2009-07-28 Cisco Technology, Inc. Authentication of SIP and RTP traffic

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1605661A1 (de) * 2004-06-07 2005-12-14 Alcatel Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server

Also Published As

Publication number Publication date
DE102006004202B4 (de) 2008-02-14
US20070177607A1 (en) 2007-08-02
JP2007200323A (ja) 2007-08-09
JP4692776B2 (ja) 2011-06-01
US8085763B2 (en) 2011-12-27
CN101009706B (zh) 2011-09-14
CN101009706A (zh) 2007-08-01

Similar Documents

Publication Publication Date Title
DE102006004202B4 (de) Verfahren zum Schutz von SIP basierten Anwendungen
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
EP0440914B1 (de) Verfahren zum Zuordnen von Nutzdaten zu einem bestimmten Absender
DE102006023924A1 (de) Verfahren zur Identifizierung von unerwünschten Telefonanrufen
DE112012002054T5 (de) Spoofing-Angriff-Abwehrverfahren unter Verwendung eines Blockierungsservers
DE60304100T2 (de) Erzwingung eines Zeitpunktes zur Trennung einer Kommmunikationsverbindung mit schnurlosen Endgeräten mit transienten Netzwerkadressen
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE102007001690B4 (de) Verfahren und Server zum Aufbau einer Notrufverbindung
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
DE102005004612A1 (de) Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk
EP1430693B1 (de) Verfahren und vorrichtung zur realisierung einer firewallanwendung für kommunikationsdaten
EP3170295B1 (de) Erhöhen der sicherheit beim port-knocking durch externe computersysteme
DE102006036165B3 (de) Verfahren zur Etablierung eines geheimen Schlüssels zwischen zwei Knoten in einem Kommunikationsnetzwerk
EP3059926B1 (de) Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk
EP2186285B1 (de) Verfahren und einrichtung zur authentisierung übertragener nutzdaten
DE102012208290A1 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102006024008A1 (de) Verfahren zum Erstellen einer teilnehmerspezifischen Senderausschlussliste und Verfahren zum Weiterleiten von Nachrichten in einem dezentralen Kommunikationssystem
EP2323334B1 (de) Freigabe einer Verbindung durch eine Firewall eines Netzzugriffsgerät
DE10152010B4 (de) Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz
DE102006012658A1 (de) Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk
DE10247874B4 (de) Verfahren zum Austausch von Daten zwischen einem Client und einem Server eines Internets
EP2198580B1 (de) Verfahren und anordnung zum bereitstellen von voip-kommunikation
DE102006060042A1 (de) Verfahren und Server zum Bereitstellen eines zweckgebundenen Schlüssels
DE102018123692A1 (de) System und Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: NEC CORPORATION, TOKIO/TOKYO, JP

8328 Change in the person/name/address of the agent

Representative=s name: ULLRICH & NAUMANN, 69115 HEIDELBERG

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee