WO2009115034A1

WO2009115034A1 - 一种协议报文的检测方法、系统及设备

Info

Publication number: WO2009115034A1
Application number: PCT/CN2009/070837
Authority: WO
Inventors: 吴平; 张喆
Original assignee: 华为技术有限公司
Priority date: 2008-03-21
Filing date: 2009-03-17
Publication date: 2009-09-24
Also published as: CN101247281A

Description

一种协议报文的检测方法、系统及设备本申请要求于 2008年 3月 21日提交中国专利局、申请号为 200810026934.7、发明名称为 "一种协议报文的检测方法、系统及设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信领域，尤其涉及一种协议报文的检测方法、系统及设备。背景技术

承载在 IP上的语音业务（ Voice Over IP, VOIP )技术提供了一种低成本语音业务，将信令定制功能提供给终端，为新业务的开展提供了便利。但是恶意用户^艮容易利用该开放机制，定制恶意的信令，这些恶意的信令会对通信系统造成威胁。

这些恶意的信令包括以下几种，如增加未经授权的标题头，企图引起系统处理异常或夹带未经系统允许的信息或使系统将用户的信令误判为系统信令；或删除必要的标题头；或将某些标题头多次重复；或将非本消息所需要的标题头增加进来。

目前对付这类畸形保温攻击的方法一般是在协议栈中加入判断逻辑，通过设置标题头最大长度不得大于某个数值，并存储了所有的合法标题头的集合。在收到报文之后，判断报文中是否包含了未在合法标题头集合中出现的标题头，如果存在则判断该报文是畸形报文，不是合法报文；不同类别的标题头设置最大的重复次数，如 VIA头域最多最允许出现 Ν次，如果判断 VIA头域超过 N 次时，则判断该报文是畸形报文，不是合法报文。

在实施本发明的过程中，发明人发现现有技术中至少存在以下缺点：需要对终端发来数据的不同标题头进行逐一逻辑分析，导致非法数据处理过滤效率低。发明内容

本发明实施例提供了一种协议报文的检测方法、系统及设备。通过对合法协议报文建立指纹特征库，在网络中收集协议报文进行指纹特征对比，从而提高了判断该协议报文是否为非法报文的效率。

本发明实施例提出了一种协议报文的检测方法，该方法包括：

收集待检测的协议报文；

获取所述待检测协议报文的标题头指纹特征；

将所述待检测协议报文的标题头指纹特征与存储的指纹特征库中的协议报文的标题头指纹特征进行对比检测。

相应的，本发明实施例还提出了一种通信设备，所述通信设备包括：存储模块，用于存储为合法或非法的协议报文的标题头指纹特征建立的指纹特征库；

采集模块，用于收集待检测的协议报文；

处理模块，用于获取采集模块收集的待检测协议报文的标题头指纹特征；检测模块，用于将处理模块获取的待检测协议报文的标题头指纹特征与存储模块中的标题头指纹特征库进行对比检测。

相应的，本发明实施例还提出了一种网络系统，包括至少一个或以上的网络传输端口以及与所述网络传输端口相连的网络设备，所述网络传输端口用于传输数据报文；

网络设备用于对所述网络传输端口上的数据报文进行报文检测，收集所述网络传输端口上待检测的协议报文，获取所述待检测协议报文的标题头指纹特征，将所述待检测协议报文的标题头指纹特征与存储的指纹特征库中的协议报文的标题头指纹特征进行对比检测。

实施本发明实施例，对协议报文的标题头指纹特征建立指纹特征库，在收集到待检测的协议报文之后，获取协议报文中的标题头指纹特征进行对比检测，从而提高了判断该协议报文是否为非法报文的效率。附图说明例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图 1是本发明实施例中的通信设备；

图 2是本发明实施例中的建立指纹特征数据库流程图；

图 3是本发明实施例中的报文协议检测方法的流程图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种协议报文的检测方法、系统及设备。通过对协议报文建立指纹特征库，在网络中收集协议报文进行指纹特征对比，从而提高了判断该协议报文是否为非法报文的效率。

下面结合附图详细说明本发明的优选实施例。

标题头指纹特征可以是指终端在和系统进行信令交互过程中，标题头中相对稳定信息，比如标题头的内容，次序关系，重复次数，携带参数，参数特征等，这些信息可以用来暗示终端的合法性，作为终端合法性的部分判断依据。实际应用中，可以根据实施方案的准确度和复杂度之间的均衡需要，选取部分特征作为标题头指纹特征。

指纹特征库可以是指系统通过收集分析合法终端的标题头指纹特征，将标题头指纹特征以压缩的形式进行保存，用于系统运行中，对终端合法性进行判断的支撑数据库。指纹特征库包含特征库索引，指纹特征，指纹特征取值等部分。特征库索引是指不同终端厂家，不同方法中，指纹特征是不同的。通过分析终端厂家，方法等信息，确定对应的指纹信息。指纹特征是指标题头的内容，次序关系，重复次数，携带参数，参数特征等可以用来暗示终端合法性的相关信息特征。指纹特征取值是指指纹特征经提取和压缩后的信息。实际应用中，可以根据实施方案的准确度和复杂度之间的均衡需要，采用筒化的特征库（如不进行终端厂家区分），和选取部分指纹特征（如只包含标题头的内容，次序关系，重复次数等指纹特征）进行全匹配（100 %要求指纹特征取值相同 )或部分匹配（如匹配度在 80 % 以上即可，匹配度定义可以取决于具体实现的需要）。

首先请参阅图 1 , 图 1示出了本发明实施中的报文检测通信设备，该通信设备包括采集模块 11、检测模块 14、处理模块 13和存储模块 12, 其中：采集模块 11用于收集待检测的协议报文；处理模块 13用于获取采集模块 11收集的待检测协议报文的标题头指纹特征；存储模块 12用于存储为协议报文的标题头指纹特征建立的指纹特征库，该指纹特征库为非法的协议报文标题头指纹特征建立的指纹特征库，或合法的协议报文标题头指纹特征建立的指纹特征库；检测模块 14用于将处理模块获取的待检测协议报文的标题头指纹特征与存储模块中的协议报文的标题头指纹特征进行对比检测。相应的，在检测模块 14检测出非法协议报文之后，可以对协议进行相应的过滤处理，该通信设备中还包括有过滤模块 15, 所述过滤模块 15用于在检测单元 14对比检测时，在所述存储模块 12 中找不到与待检测协议报文的标题头指纹特征相匹配的合法协议报文的标题头指纹特征或在所述指纹特征库中找到与待检测协议报文标题头指纹特征相匹配的非法协议报文的标题头指纹特征，对所述协议报文进行过滤处理。所述处理模块 13还包括规整处理单元 131、第一获取单元 132、第二获取单元 133、等价处理单元 134和哈希处理单元 135, 其中：规整处理单元 131用于对采集模块 11收集的待检测协议报文的码流按字节形式规整；第一获取单元 132用于在规整单元 131 规整后的协议报文中获取待检测协议报文内容；第二获取单元 133 用于在第一获取单元 132获取的协议报文内容中获取协议报文标题头；等价处理单元 134用于对第一获取单元 133获得的协议报文标题头进行等价处理；哈希处理单元 135用于对等价处理单元 134等价处理后的协议报文标题头进行哈希处理。需要说明的是，这里的存储模块 12也可以通过独立于通信设备之外的设备来实现，专门用于收集和管理协议报文标题头指纹特征，为通信设备的协议4艮文检测过程实现对比检测。

所述协议报文检测方法的通信设备可以位于 VOIP网络系统中，通过网络系统的多个传输端口连接网络系统中的多个终端设备或通信网关等，所述通信设备对所述网络传输端口上的数据报文进行检测，如对 SIP协议或媒体网关控制协议 H.248等文本协议进行检测，下面结合图 1详细说明本发明实施例中协议报文检测方法的实现过程，图 2示出了本发明实施例中对合法协议报文的标题头建立指纹特征数据库的流程图，这里以 SIP协议为例进行说明，具体步骤如下：

步骤 S201: 收集合法协议报文；接收合法的二进制 SIP报文码流，在 SIP报文发生分片的情况下，可以采用两种策略进行收集，一种是宽松策略，只收集第一个分片的 SIP报文，只获取第一个分片的标题头指纹特征，另外一种是严格策略，需要对分片报文先緩存起来，等到报文收集齐了在获取标题头指纹特征。

步骤 S202: 对收集的合法协议报文的码流按字节形式规整；

在收集完合法协议报文后，将需要分析的二进字 SIP报文码流按字节（联系 8比特）形式规整。

如下，以 RFC4475 提供的合法 SIP报文为例来说明整个处理过程。经过 S201 和 S202之后，可以得到以下报文：

INVITE sip :j oe@example.com SIP/2.0

t: sip:joe@example.com

From: sip:caller@example.net;tag=141334

Max-Forwards: 8

Call-ID: dblreq.0ha0isnda977644900765@ 192.0.2.15

CSeq: 8 INVITE

Via: SIP/2.0/UDP 192.0.2.15； branch=z9hG4bKkdjuw380234

Content-Type: application/sdp

Content-Length: 150 v=0

o=mhandley 29739 7272939 IN IP4 192.0.2.15

s=- c=IN IP4 192.0.2.15

t=0 0

m=audio 49217 RTP/AVP 0 12

m =video 3227 RTP/AVP 31

a=rtpmap:31 LPC

步骤 S203: 在规整后的协议报文中获取合法协议报文内容；

寻找字符串 "0D 0A 0D 0A" ,后续的字符串直接丢弃不处理。字符串 "0D 0A 0D OA" 是 SIP报文的结束标记，后面接有绘画描述协议（Session Description Protocol , SDP )等其他协议报文。

经过 S203 , SDP协议部分被丢弃，得到的报文如下：

INVITE sip:joe@example.com SIP/2.0

t: sip:joe@example.com

From: sip:caller@example.net;tag=141334

Max-Forwards: 8

Call-ID: dblreq.0ha0isnda977644900765@ 192.0.2.15

CSeq: 8 INVITE

Via: SIP/2.0/UDP 192.0.2.15； branch=z9hG4bKkdjuw380234 Content-Type: application/sdp

Content-Length: 150 步骤 S204: 在合法协议报文内容中获取协议报文标题头；

寻找第一个字符 "20" , SIP协议规定从报文头到字符 "20"之间的内容是用于描述该 SIP报文的方法，字符 "20" 实际是 SIP报文中的空格，在合法协议报文内容中将报文头到字符 "20" 之间的字符串取出来。

经过该步骤，可以得到 INVITE字符串。

A1 : 在取出的字符串中，将第一个字符串 "0D 0A"标记为 Header[pointer] , 其中 pointer为变量，记变量 pointer^ 1；

A2 : 在取出的字符串中寻找下一个字符串 " 0D 0A " , 标记为 Header [pointer+ 1 ] , 寻找 Header [pointer]和 Header [pointer+ 1 ]之间的第一个字符 "3A" , 取出 Header[pointer]和字符 "3A"之间的字符串，其中 "3A"是标题头后的冒号；

A3: 在获取 Header[pointer]和字符 "3A" 之间的字符串后，查找下个字符串 "0D 0A" , 标记为 Header[pointer+l+l]进行 A2和 A3的内容，直到查找不到字符串 "0D 0A" 为止；

经过 A2, A3的循环处理，依次得到标题头： t, From, Max-Forwards, Call-ID, CSeq, Via, Content-Type, Content- Length。

A4: 将上述取出的字符串进行步骤 S205。

步骤 S205: 对获取的协议报文标题头进行等价处理；在上述获取标题头的过程中，得到的标题头在以下情况都是等价的，如大小写不同或采用缩写方式， "VIA" , "V" , "via" 这几种情况都是等价的，实际应用过程中需要将这些等价的标题头头域映射为其中一种情况进行处理，如将 "VIA" , "V" , "via" 这些不同的标题头都映射为 "VIA"。

经过 S205后，得到以下字符串

"INVITETOFROMMAX-FORWARDSCALL-IDCSEQVIACONTENT-TYPECON

TENTLENGTH"。

步骤 S206: 对等价处理后的协议报文标题头进行哈希处理；

进行哈希处理是为了减少特征库规模，提高特征比对的效率。

采用特定的哈希算法，可以将以上字符串映射为一个 L比特流（假定为 32 比特）。可以看出，进行哈希运算后，得到的特征数据量大概只有不进行哈希处理的 6%。

步骤 S207: 根据哈希处理后的协议标题报文建立指纹特征库。

在建立指纹特征库的过程中，需要收集所有的合法 SIP报文，获取 SIP报文中的指纹特征，并将这些指纹特征保存在指纹特征库中，指纹特征库为系统静态配置合法报文的指纹特征，也可以根据一定的方法动态生成指纹特征。

通过上述方法的实现即可建立合法协议报文的指纹特征库，并存储在需要进行协议报文检测的通信设备中，这些合法协议报文的指纹特征库也可以存储在相应的服务设备中，通过远端存储，不存在报文检测的通信设备中，以便于专门收集合法协议报文的指纹特征，并为进行协议报文检测的通信设备提供对比检测的过程，下面结合图 3 来详细说明协议报文检测方法的流程图，这里以 SIP协议为例进行说明，具体步骤如下：

步骤 S301：收集待检测的协议报文；

接收待检测的二进制 SIP报文码流，在 SIP报文发生分片的情况下，可以采用两种策略进行收集，一种是宽松策略，只收集第一个分片的 SIP报文，只获取第一个分片的标题头指纹特征，另外一种是严格策略，需要对分片报文先緩存起来，等到报文收集齐了在获取标题头指纹特征。

步骤 S302: 对收集的待检测协议报文的码流按字节形式规整；

在收集完待检测协议报文后，将需要分析的二进字 SIP报文码流按字节（联步骤 S303: 在规整后的协议报文中获取待检测协议报文内容；

寻找字符串 "OD OA OD OA" ,后续的字符串直接丢弃不处理。字符串 "OD OA OD OA" 是 SIP报文的结束标记，后面可以协议 SDP等其他协议报文。

步骤 S304: 在待检测协议报文内容中获取协议报文标题头；

B1: 在取出的字符串中，将第一个字符串 "0D 0A"标记为 Header[pointer] , 其中 pointer为变量，记变量 pointer^ 1；

B2 : 在取出的字符串中寻找下一个字符串 " 0D 0A " , 标记为 Header [pointer+ 1 ] , 寻找 Header [pointer]和 Header [pointer+ 1 ]之间的第一个字符 "3A" , 取出 Header[pointer]和字符 "3A" 之间的字符串；

B3: 在获取 Header[pointer]和字符 "3A" 之间的字符串后，查找下个字符串 "0D 0A" , 标记为 Header[pointer+l+l]进行 B2和 B3的内容，直到查找不到字符串 "0D 0A" 为止；

B4: 将上述取出的字符串进行步骤 S205。

步骤 S305: 对获取的协议报文标题头进行等价处理；

在上述获取标题头的过程中，得到的标题头在以下情况都是等价的，如大小写不同或采用缩写方式， "VIA" , "V" , "via" 这几种情况都是等价的，实际应用过程中需要将这些等价的标题头头域映射为其中一种情况进行处理，如将 "VIA" , "V" , "via" 这些不同的标题头都映射为 "VIA"。

步骤 S306: 对等价处理后的协议报文标题头进行哈希处理；

步骤 S307: 将所述待检测协议报文的标题头指纹特征与指纹特征库中的合法协议的标题头指纹特征进行对比检测；

步骤 S308: 检测所述待检测的协议报文是否是非法协议报文，如果是则进行步骤 S309, 否则转步骤 S310, 进行正常程序的处理过程；

步骤 S309: 当检测到所述待检测的协议报文为非法协议报文时，对所述协议报文进行过滤处理；

步骤 S310: 结束。在步骤 S307和步骤 S308的对比检测过程，如果能查找到相匹配的合法协议的标题头指纹特征时，则所述待检测协议报文为合法的协议报文，进行正常程序的处理过程；如果查找不到相匹配的合法协议的标题头指纹特征，则所述待检测协议报文为非法的协议报文，则需要系统进行相应的过滤处理。

通过流程图 3 可以通过哈希算法得到的待检测协议报文的指纹特征与指纹特征库中的合法协议报文中的指纹特征进行对比，如果存在相同的指纹特征，则所述协议可以通过，否则，系统会认为该待检测的协议报文为非法协议报文，则会进行过滤处理丢弃该协议报文，并进行相关的告警、日志记录或启动动态防护措施等。

需要说明的是，这里也可以通过收集非法的协议报文的标题头指纹特征，并建立对比检测的指纹特征库，当在对比检测过程中找到相匹配的协议报文的标题头指纹特征时，说明所述待检测的协议报文为非法的协议报文，需要进行相关处理操作，这里的实现过程与上述流程大致相同，这里不再——赘述。这里对协议报文标题头的检测过程也不限于 SIP协议报文的标题头，具有跟 SIP 协议报文标题头格式的协议报文都可以采用所述方法实现协议报文的检测过程，这里不再——进行描述。

综上所述，实施本发明实施例，可以先对合法或非法的协议报文建立相应的指纹特征库，在收集到待检测的协议报文之后，获取协议报文中的标题头指纹特征即可实现与指纹特征库中的指纹特征进行快速的对比检测，从而防止针对标题头进行篡改的非法协议报文对 VOIP系统攻击和欺骗，实现对非法协议报文的过滤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存储记忆体（Random Access Memory, RAM )等。

以上揭露的仅为本发明的较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

权利要求

1、一种协议报文的检测方法，其特征在于，该方法包括：

收集待检测的协议报文；

获取所述待检测协议报文的标题头指纹特征；

2、如权利要求 1所述的协议报文的检测方法，其特征在于，该方法还包括：为合法或非法的协议报文的标题头指纹特征建立指纹特征库，存储所述建立的指纹特征库。

3、如权利要求 2所述的协议报文的检测方法，其特征在于，所述为合法或非法的协议报文的标题头指纹特征建立指纹特征库包括：

收集合法或非法的协议报文；

获取所述合法或非法的协议报文的标题头指纹特征；

将所述获取的标题头指纹特征存储在指纹特征库。

4、如权利要求 3所述的协议报文的检测方法，其特征在于，所述收集合法或非法的协议报文或收集待检测的协议报文包括：

在协议报文发生分片情况时，通过宽松策略或严格策略收集协议报文。

5、如权利要求 3所述的协议报文的检测方法，其特征在于，所述获取所述合法或非法的协议报文的标题头指纹特征包括：

对所述获取的合法或非法的协议报文的码流按字节形式规整；

在规整后的协议报文中获取合法或非法的协议报文内容；

获取合法或非法的协议报文内容中的协议报文标题头；

对获取的协议报文标题头进行等价处理；

对等价处理后的协议报文标题头进行哈希处理。

6、如权利要求 1所述的获取所述待检测协议报文的标题头指纹特征包括: 对所述待检测协议报文码流按字节形式规整；

在规整后的协议报文中获取待检测协议报文内容；

获取待检测协议报文内容中的协议报文标题头；

对获取的协议报文标题头进行等价处理；

对等价处理后的协议报文标题头进行哈希处理。

7、如权利要求 5或者 6所述的协议报文的检测方法，其特征在于，所述对获取的协议报文标题头进行等价处理包括：

对协议报文标题头的大小写字符或缩写字符视为同一协议报文标题头。

8、如权利要求 1至 6任一项所述的协议报文的检测方法，其特征在于，所述方法还包括：

若对比检测时，在所述指纹特征库中找不到与待检测协议报文的标题头指纹特征相匹配的合法协议报文的标题头指纹特征或在所述指纹特征库中找到与待检测协议报文标题头指纹特征相匹配的非法协议报文的标题头指纹特征，则对所述待检测的协议报文进行过滤处理。

9、一种通信设备，其特征在于，所述通信设备包括：

存储模块，用于存储为合法或非法的协议报文的标题头指纹特征建立的指纹特征库；

采集模块，用于收集待检测的协议报文；

10、如权利要求 9所述的通信设备，其特征在于，所述处理模块包括：规整处理单元，用于对采集模块收集的待检测协议报文的码流按字节形式规整；

第一获取单元，用于在规整单元规整后的协议报文中获取待检测协议报文内容；

第二获取单元，用于在第一获取单元获取的协议报文内容中获取协议报文标题头；

等价处理单元，用于对第一获取单元获得的协议报文标题头进行等价处理；哈希处理单元，用于对等价处理单元等价处理后的协议报文标题头进行哈希处理生成标题头指纹特征。

11、如权利要求 10或 11所述的通信设备，其特征在于，所述通信设备还包括过滤模块，用于在检测单元对比检测时，在所述存储模块中找不到与待检测协议报文的标题头指纹特征相匹配的合法协议报文的标题头指纹特征或在所述指纹特征库中找到与待检测协议报文标题头指纹特征相匹配的非法协议报文的标题头指纹特征，则对所述待检测的协议报文进行过滤处理。

12、一种网络系统，其特征在于，包括至少一个网络传输端口以及与所述网络传输端口相连的网络设备，其中：

所述网络传输端口用于传输数据报文；

13、如权利要求 12所述的网络系统，其特征在于，所述网络传输端口与通信终端或通信网关进行连接，对通信终端或通信网关上的数据报文进行传输。