專利名稱:基于呼叫的業(yè)務環(huán)境中防止攻擊網絡服務器的方法和設備的制作方法
技術領域:
本發(fā)明涉及一種防止攻擊網絡服務器的方法���。該服務器連接到網絡�����。在網絡服務器與網絡之間通過用于限制訪問該網絡服務器的裝置(a傳輸數(shù)據(jù)����。網絡服務器包括攻擊檢測設備�,用于檢測和識別通過網絡對網絡服務器的攻擊。
此外���,本發(fā)明還涉及防攻擊設備�����,用于防止從網絡攻擊通過用于限制訪問該網絡服務器的裝置連接到該網絡的網絡服務器�。防攻擊設備適于控制訪問限制裝置�。
例如����,該方法和防攻擊設備可以用于在基于呼叫的業(yè)務環(huán)境下防止攻擊呼叫服務器�。在這種情況下,網絡服務器是所謂呼叫服務器���?���;诤艚械臉I(yè)務環(huán)境還被稱為基于會話的業(yè)務環(huán)境����。基于呼叫的業(yè)務環(huán)境的例子有通過網際協(xié)議傳送語音(VoIP)的業(yè)務或者多媒體業(yè)務����。基于呼叫或者基于會話是指利用呼叫發(fā)起通過網絡的數(shù)據(jù)傳輸�����。
背景技術:
呼叫服務器適于對要在至少一個第一用戶代理與至少一個第二用戶代理之間建立的數(shù)據(jù)傳輸連接(即����,通信鏈路或者媒體通路)的建立、維護以及拆除進行控制�。信令消息用于控制通信鏈路。當然��,其中實現(xiàn)了本發(fā)明的網絡環(huán)境可以包括一個以上的網絡服務器�����,所有網絡服務器均連接到網絡上��。呼叫服務器包括用于通過網絡建立呼叫的裝置��。用戶代理可以是IP電話��,或者是裝備了適當音頻/視頻和聯(lián)網硬件以及適當信令軟件的任何類型的計算機��。訪問限制裝置通常被稱為防火墻�。可以單獨控制防火墻����,以便讓一定的消息通過,從網絡傳送到呼叫服務器�����,并且過濾、阻擋和/或者節(jié)流其它消息���。
用于發(fā)送通過IP的語音(VoIP)連接信號的協(xié)議例如是會話發(fā)起協(xié)議(SIP)�、H.323��。
從現(xiàn)有技術已知����,安裝具有SIP呼叫服務器(所謂的SIP代理服務器)與網絡之間的靜態(tài)分組過濾規(guī)則和帶寬限制(例如,對SIP信令缺省端口5060的限制)的設備�,以防止SIP代理服務器過載。然而�����,這種設備不能檢測和消除攻擊SIP代理服務器的惡意SIP消息�。
此外,在本技術領域已知動態(tài)邊界門技術(例如�����,位于4201Lexington Avenue North�,Suite 1105,Arden Hills�����,MN 55126����,USA的以前的Aravox Technologies Inc.所推出的Aravox防火墻,最近該公司已被Alcatel接管)���,它提供第三層和第四層防火墻保護�����、基于流的穿孔(pinholing)以及帶寬限制���。作為動態(tài)防火墻保護概念,MIDCOM風格的接口可以控制它����。編輯防火墻規(guī)則,并將它插入訪問限制裝置(防火墻邏輯)��。通常��,當前僅考慮到了媒體通路�,而未考慮到信令通路�����。
為了檢測攻擊���,呼叫服務器本身能夠在內部對接收的所有消息進行分類,然后�����,在輸入端進行了直接檢驗之后����,清除惡意消息。盡管這樣可以讓呼叫服務器不會將許多未完成的呼叫狀態(tài)保持在存儲器中��,但是它不能防止在呼叫服務器輸入端的過載情況�,因為消息必須到達其中對每個消息進行分類并且如果是惡意的則清除該消息的呼叫服務器。這意味著�,在本技術領域內,事實上必須對消息進行處理�,而最終會刪除它,如果運氣好的話�����,不會對呼叫服務器產生任何損害。
由于位于呼叫服務器本身之前的防火墻不了解應用程序�,特別是,它不能區(qū)分正確消息和攻擊���,所以所有消息都必須到達該呼叫服務器,以供檢驗�。這意味著,呼叫服務器輸入端的有效消息與惡意消息之比是不變的��,而且對于有效的呼叫用戶���,呼叫服務器的可用性不能令人滿意��。因此�,只要不全部檢驗所有應用程序信息(消息)�����,靜態(tài)分組過濾規(guī)則和帶寬限制則僅會為呼叫服務器提供非?����;镜陌踩Wo。
在VoIP環(huán)境下����,用于防止攻擊呼叫服務器的已知方法通常具有為呼叫服務器分配的甚至是包括在該呼叫服務器內的攻擊檢測設備。攻擊檢測設備包括用于對該呼叫服務器接收的業(yè)務進行分析并用于檢測可能的攻擊的算法和規(guī)則�����。例如����,呼叫服務器可以觀測呼叫接通率(CCR)。如果CCR低于某種程度����,則這可能是對呼叫服務器的信號進行拒絕服務式(DoS)攻擊或者分布式DoS(DDoS)攻擊的跡象。在這種情況下�,進行攻擊的用戶代理使大量信令消息(例如,SIP內“邀請”消息)發(fā)送到請求與其它用戶代理建立VoIP通信鏈路的呼叫服務器�。該攻擊可能由一個用戶代理(DoS攻擊)或者多個分布式的用戶代理(DDoS攻擊)引起。對呼叫服務器的攻擊另一個跡象是過大的每秒呼叫次數(shù)(CAPS)���。例如�,過大的10,000CAPS/sec取代了約為100至200CAPS/sec的正常值�,就表示是對呼叫服務器的攻擊���。
在現(xiàn)有技術中,呼叫服務器直接控制訪問限制裝置���。這意味著��,即使之后在防火墻保護期間�,該消息被看作惡意消息并因此而被清除�����,則呼叫服務器仍必須對每個進入的消息進行控制和處理����。處理和操作每個消息對呼叫服務器產生了過大的工作負荷��。
發(fā)明內容
本發(fā)明的一個目的是提供一種在VoIP環(huán)境下�����,防止攻擊呼叫服務器的方法���,該方法一方面確保安全�����、可靠過濾發(fā)往呼叫服務器的惡意消息����,并且另一方面降低用于操作、處理以及過濾進入的消息的呼叫服務器的工作負荷��。
利用上述類型的方法可以實現(xiàn)該目的����,該方法的特征在于以下的步驟-將識別的攻擊的特征參數(shù)輸入黑名單,-將黑名單的內容傳送到防攻擊設備��,用于控制訪問限制裝置�,-防攻擊設備檢驗并分析從網絡傳送到網絡服務器的業(yè)務,并根據(jù)黑名單的內容和根據(jù)所分析的業(yè)務的特征參數(shù)���,控制訪問限制裝置�,以及-根據(jù)從防攻擊設備接收的控制命令�����,訪問限制裝置限制從網絡訪問網絡服務器��。
根據(jù)本發(fā)明,利用攻擊檢測設備與運行專用黑名單的防攻擊設備的快速�、高度響應的組合,提供了一種先進的方法��。攻擊檢測設備的類型和實現(xiàn)不是本發(fā)明的內容�����。在可能的實施例中�,為了對新的具體攻擊類型和情況迅速作出反應,檢測設備應該易于編程�。攻擊檢測設備可以與網絡服務器分開設置。作為一種選擇����,它可以部分或者全部包括在網絡服務器內�����。
需要獲得顯著的消息或者惡意消息的區(qū)別信息�,例如,這些消息的特征屬性和參數(shù)���。將該區(qū)別信息輸入黑名單����,而且防攻擊設備利用該區(qū)別信息將惡意消息(構成攻擊的一部分)與正常消息(構成信令過程或者媒體流的一部分)區(qū)別開。
防攻擊設備可以執(zhí)行全面的數(shù)據(jù)分組檢驗和模式匹配運算����,以過濾、阻擋和/或者節(jié)流其區(qū)別信息與包含在黑名單內的區(qū)別信息相匹配的消息����。最有效模式匹配方法可以容易地實現(xiàn)為哈希表的查找。盡管防攻擊設備可以執(zhí)行檢驗和分析操作���,也就是說��,它可以識別所檢驗消息的內容�,但是它不理解該消息的內容��,也不對該內容做任何處理����。防攻擊設備可以掃描特定內容的任何類型的數(shù)據(jù),而與數(shù)據(jù)傳輸協(xié)議和/或者信令協(xié)議無關���。
黑名單的內容是本發(fā)明的重要問題����。黑名單保存防攻擊設備所需的全部信息,以便對分別尋址到網絡服務器的每個消息或者每個數(shù)據(jù)分組進行操作���。根據(jù)用于定義該消息或者數(shù)據(jù)分組的一定定義參數(shù)�,攻擊檢測設備產生黑名單的內容��。
防攻擊設備具有有限智能����。其功能可與網守(gate-keeper)的作用相比,該網守必須控制對限制區(qū)域(相當于網絡服務器)進行的訪問�。網守檢驗希望訪問限制區(qū)域的人,而且必須根據(jù)特定算法����、規(guī)則或者列表等(包含在黑名單內的)����,判定是否允許該人訪問。根據(jù)網守的判定輸出��,網守打開該網關(相當于訪問限制裝置)�����,然后,使該人通過���,或者使該門保持關閉����,由此拒絕該人進入���。網守不獲取該人為什么想進入該限制區(qū)域�,或者該人攜帶了什么的信息����。網守僅校驗是否滿足一定顯而易見的條件(例如,如果該人攜帶了武器�����,或者如果該人攜帶正確的ID卡)���,并且由此使該人通過���,或者拒絕該人進入�。
根據(jù)黑名單的內容���,防攻擊設備阻擋或者限制發(fā)往網絡服務器的業(yè)務�。例如��,黑名單含有描述惡意業(yè)務或者顯著業(yè)務的模式或者屬性���。在通過網際協(xié)議傳送語音(VoIP)的環(huán)境下����,例如���,在SIP中可能的屬性或者模式可以是“到”-字段���、“從”-字段、“通過”-字段���、IP地址、TCP(傳輸控制協(xié)議)/UDP(用戶數(shù)據(jù)報協(xié)議)-端口等����,以及它們的組合�。模式和屬性是由攻擊檢測設備產生的�����,它們被輸入到黑名單中��,并且將它們傳送到防攻擊設備�����。在攻擊檢測設備的領域內����,可以將模式和屬性輸入黑名單,然后以黑名單的形式�,將它們傳送到防攻擊設備。在這種情況下���,攻擊檢測設備產生黑名單�����,并且將該黑名單作為整體傳送到防攻擊設備��。
作為一種選擇����,在防攻擊設備的領域內,將被識別為顯著的或者惡意的消息的模式和屬性可以被傳送到防攻擊設備����。這樣做的優(yōu)點在于,在每次更新黑名單時�,僅將模式和屬性的改變傳送到防攻擊設備,而不必傳送整個黑名單�����。
根據(jù)本發(fā)明的優(yōu)選實施例�,建議網絡服務器是構成基于呼叫的業(yè)務環(huán)境的一部分的呼叫服務器。該環(huán)境包括網絡�、連接到該網絡的呼叫服務器以及至少一個連接到該網絡的用戶代理。利用信令消息��,該呼叫服務器適于在該至少一個用戶代理與至少另一個用戶代理之間建立數(shù)據(jù)傳輸連接�����。通過網絡而且通過訪問限制裝置��,在呼叫服務器與用戶代理之間傳送該信令消息。防攻擊設備檢驗并分析從網絡傳送到呼叫服務器的業(yè)務的信令消息�。優(yōu)選地���,基于呼叫的業(yè)務環(huán)境是通過互連網發(fā)送語音(VoIP)的環(huán)境�。
建議在黑名單上輸入用于定義從網絡傳送到網絡服務器的顯著的業(yè)務或者惡意業(yè)務的模式和/或者屬性����,作為特征參數(shù)。優(yōu)選地�,攻擊檢測設備將定義傳送到網絡服務器的業(yè)務的模式和/或者屬性識別為顯著的或者惡意的。出于該原因���,必須在正確執(zhí)行根據(jù)本發(fā)明的方法之前�,獲得并定義惡意業(yè)務消息和顯著的業(yè)務消息的屬性和特征�。在SIP中,例如�,屬性的組合取決于SIP提供商的情況和事前信息。例如�,如果禁止對其網絡訪問客戶進行地址電子欺騙(adressspoofing),則過濾可能衡量SIP“從”-字段與IP源地址之間的關系���,以便可以阻擋其自身領域內的DoS攻擊���。如果DDoS攻擊者在常規(guī)的報頭字段之間的任何SIP報頭字段或者具體元信息內使用一種具體模式���,則可以以網速對其進行檢測及阻擋。
根據(jù)本發(fā)明的優(yōu)選實施例�,在網絡服務器運行期間,不斷地且動態(tài)地更新黑名單的內容�。
根據(jù)本發(fā)明的另一個優(yōu)選實施例,建議通過反饋通路���,將黑名單的內容傳送到防攻擊設備����。根據(jù)該實施例�,在攻擊檢測設備與防攻擊設備之間設置數(shù)據(jù)傳輸通路。優(yōu)選地��,該通路允許網速的數(shù)據(jù)傳輸����。
根據(jù)本發(fā)明的又一個優(yōu)選實施例,以網速執(zhí)行以下步驟-檢測并識別通過網絡對網絡服務器的攻擊��,-將所識別的攻擊的特征參數(shù)輸入黑名單����,-將黑名單的內容傳送到防攻擊設備����,-分析從網絡傳送到網絡服務器的業(yè)務�����,并且根據(jù)黑名單的內容和根據(jù)所分析的業(yè)務的特征參數(shù)���,控制訪問限制裝置,以及-根據(jù)從防攻擊設備接收的控制命令����,限制通過網絡對網絡服務器的訪問。
以網速進行處理還被稱為實時處理或者無阻塞處理�����。在攻擊檢測設備和防攻擊設備中進行網速處理意味著�,總體處理速率必須至少與在VoIP環(huán)境下的任何運行條件下用于通過網絡將消息傳送到網絡服務器所要求的最大帶寬相對應。為了確保即使在最糟糕情況下仍可以執(zhí)行網速處理�����,優(yōu)選地,該處理速率高于通過網絡傳送消息的最大帶寬���。
建議防攻擊設備對從網絡傳送到網絡服務器的業(yè)務進行檢驗和分析����,以確定傳送到網絡服務器的消息是否對應于或者包括包含在黑名單內的模式和/或者屬性�����。特別是�����,對業(yè)務的分析包括將輸入黑名單的特征參數(shù)進行比較�����,并且定義被識別的業(yè)務是顯著的或者是惡意的����。
優(yōu)選地,防攻擊設備執(zhí)行過濾�、阻擋和/或者節(jié)流其特征參數(shù)與輸入黑名單的特征參數(shù)相匹配的所檢驗的業(yè)務,并且定義被識別的業(yè)務是顯著的或者是惡意的�����。為了執(zhí)行過濾、阻擋和/或者節(jié)流被檢驗的業(yè)務消息����,防攻擊設備將適當?shù)目刂菩盘査偷皆L問限制裝置。當然�,防攻擊設備和訪問限制裝置可以包含在一個公共設備中,該公共設備可以被稱為會話激活防火墻(session enabled firewall)�����。
防止利用顯著的信令消息或者惡意信令消息攻擊網絡服務器是特別重要的�����。因此�����,建議防攻擊設備對從網絡傳送到網絡服務器的業(yè)務的信令消息進行檢驗和分析��。優(yōu)選地�����,防攻擊設備根據(jù)SIP(會話發(fā)起協(xié)議)標準�,對信令消息進行檢驗和分析。作為一種選擇���,防攻擊設備根據(jù)H.323標準����,對信令消息進行檢驗和分析��。
此外�����,上述目的可以由利用上述類型的防攻擊設備實現(xiàn)����,該防攻擊設備包括-輸入裝置,用于接收黑名單���,該黑名單包括通過網絡向網絡服務器進行的攻擊的特征參數(shù)��,構成網絡服務器的一部分的攻擊檢測設備檢測并識別該攻擊�,-用于檢驗和分析從網絡傳送到網絡服務器的業(yè)務并用于確定該業(yè)務的特征參數(shù)的裝置,-用于根據(jù)黑名單的內容和根據(jù)所分析的業(yè)務的特征參數(shù)���,產生對訪問限制裝置控制信號的裝置�����,以及-輸出裝置����,用于將該控制信號傳送到訪問限制裝置����。
根據(jù)本發(fā)明的優(yōu)選實施例,建議用于執(zhí)行檢驗和分析從網絡傳送到網絡服務器的業(yè)務的裝置檢驗和分析該業(yè)務的信令消息���。特別是,建議網絡服務器是構成基于呼叫的業(yè)務環(huán)境的一部分的呼叫服務器��。該環(huán)境包括網絡���、連接到該網絡的呼叫服務器以及至少一個連接到該網絡的用戶代理��。該呼叫服務器適于利用信令消息在該至少一個用戶代理與至少另一個用戶代理之間建立數(shù)據(jù)傳輸連接���。通過網絡而且通過訪問限制裝置���,在呼叫服務器與用戶代理之間傳輸該信令消息。用于執(zhí)行檢驗和分析業(yè)務的裝置檢驗并分析從網絡傳送到呼叫服務器的業(yè)務����。
優(yōu)選地,用于執(zhí)行檢驗和分析從網絡傳送到呼叫服務器的業(yè)務的裝置根據(jù)SIP(會話發(fā)起協(xié)議)標準對信令消息進行檢驗和分析����。
根據(jù)本發(fā)明的另一個優(yōu)選實施例,建議黑名單含有描述惡意業(yè)務和/或顯著業(yè)務的模式和/或者屬性���,而且建議用于執(zhí)行檢驗和分析從網絡傳送到呼叫服務器的業(yè)務的裝置執(zhí)行模式和/或者屬性的匹配運算�����,以確定所檢驗和分析的業(yè)務是否包括對網絡服務器的攻擊��。
下面將參考附圖更詳細地說明本發(fā)明的其它特征和優(yōu)點����。附圖示出圖1是其中可以實現(xiàn)根據(jù)本發(fā)明的方法的通過網際協(xié)議傳送語音(VoIP)的環(huán)境的總體示意圖�。
具體實施例方式
現(xiàn)在,以示例的方式并且參考圖1,對于通過網際協(xié)議傳送語音(VoIP)的環(huán)境�,特別是包括會話發(fā)起協(xié)議(SIP)信令的環(huán)境,更詳細地說明本發(fā)明���。然而����,本發(fā)明并不局限于SIP信令��。也可以使用其它信令協(xié)議�����,例如����,H.323協(xié)議。此外�����,本發(fā)明也不局限于VoIP環(huán)境�。相反��,本發(fā)明可以用于要在網絡服務器與該網絡的任何部分(例如,連接到該網絡上的其它服務器或者用戶代理)之間建立的或者已經建立的任何一種對等(peer-to-peer)的通信鏈路���。最后�,本發(fā)明不局限于對信令消息進行檢驗和分析�����,而且還可以對凈荷消息(例如��,媒體信息)進行檢驗和分析��。
在圖1中示出VoIP環(huán)境�,在該VoIP環(huán)境下,可以執(zhí)行根據(jù)本發(fā)明的方法���。VoIP環(huán)境使用SIP信令消息��。在圖1中��,利用參考編號1表示互聯(lián)網協(xié)議(IP)網絡��。當然����,也可以使用任何其它類型的網絡協(xié)議。利用參考編號2表示所有的的多個用戶代理UA1�����、UA2�、UA3、...��、UAn-1����、UAn連接到IP網絡1。此外��,呼叫服務器3���,即���,SIP代理服務器連接到該IP網絡1。訪問限制裝置4���,即����,防火墻設置在SIP代理服務器3與IP網絡1之間���。防火墻4防止一定的SIP消息從IP網絡1到達SIP代理服務器3��。因此�����,可以認為位于防火墻4之上的這部分IP網絡1是網絡1的安全部分或者安全側1’����。防火墻4不對傳送到呼叫服務器3的業(yè)務進行任何分析��。它僅是一個門�����,本身沒有智能�,并且被一個或者多個其它實體所控制,以便將其打開或者關閉�,而使一定的數(shù)據(jù)通過并拒絕其它數(shù)據(jù)。
防攻擊設備5����,即�,SIP門控制防火墻4����。SIP門5通知防火墻4何時打開以使一定SIP消息通過以及何時關閉以防止一定SIP消息進入網絡1的安全側1’,并防止它到達SIP代理服務器3��。SIP門5具有有限智能���,可以使它在該消息的一定特征參數(shù)存在時���,檢驗和分析進入的消息。SIP門5不理解所掃描的消息的內容����,也不處理該內容以得其執(zhí)行由于該內容所導致的特定動作。這樣使得SIP門5獨立于該環(huán)境中使用的信令協(xié)議(例如��,SIP)工作�����。
通過反饋通路7�,SIP門5從SIP代理服務器3接收所謂的黑名單6。黑名單6包括關于要阻擋的或者至少要限制其數(shù)量的這些SIP消息的信息�����。黑名單6不含有關于要阻擋的或者要限制的每個SIP消息的特定獨立信息����。相反,黑名單6包括用于定義要阻擋或者要限制的這種SIP消息的特征參數(shù)���,例如��,一定模式或者屬性�。SIP門5檢驗并分析傳送到SIP代理服務器3的SIP消息����,以確定所檢驗和分析的SIP消息是否包括對SIP代理服務器3的攻擊。檢驗和分析SIP消息的過程包括將檢驗的SIP消息的特征參數(shù)與包含在黑名單6內的相應特征參數(shù)進行比較����,并定義顯著的SIP消息或者惡性SIP消息。特別地�����,SIP門5檢驗和分析SIP消息的過程包括模式和/或屬性匹配運算�。防火墻4和SIP門5一起構成所謂的會話激活防火墻(sessionenabled firewall)��。
在位于SIP代理服務器3中或者接近SIP代理服務器3的攻擊檢測設備8上建立黑名單6的內容�。在黑名單6上輸入用于定義顯著的惡意SIP消息的規(guī)則��、屬性和/或者模式�,然后通過反饋通路7,將它們傳送到SIP門5����。作為一種選擇,將定義顯著的惡意SIP消息的規(guī)則����、屬性和/或者模式傳送到SIP門5,并且將它輸入黑名單6����。攻擊檢測設備8可以執(zhí)行靜態(tài)攻擊檢測算法,以便以本技術領域已知的方式檢測進行攻擊的SIP消息���。攻擊檢測設備8可以執(zhí)行本技術領域內還不知道的新算法�,以盡可能迅速�����、可靠地檢測進行攻擊的SIP消息。然而����,攻擊檢測設備8使用的算法不是本發(fā)明的主題。
本發(fā)明的主要問題是��,智能設備����,即攻擊檢測設備8執(zhí)行對進行攻擊的SIP消息的實際檢測����,并產生用于定義這些SIP消息的規(guī)則、模式和/或屬性����,該SIP消息對SIP代理服務器3構成攻擊。將這些SIP消息的規(guī)則����、模式和/或屬性輸入黑名單6。此外��,具有有限智能的設備,即防攻擊設備或者SIP門5根據(jù)黑名單6的內容對防火墻4進行控制��。本發(fā)明的優(yōu)點在于�����,顯著的SIP消息或者惡意SIP消息在到達SIP代理服務器3之前��,而非到達SIP代理服務器3之后�,被阻擋或者限制。為了檢驗和分析進入的SIP消息����,SIP門5僅檢驗SIP消息的內容,例如��,僅檢驗包含在報頭中的信息�����,或者僅檢驗凈荷中信息����,而不必理解該內容。SIP門5必須執(zhí)行簡單的模式和/或者屬性匹配運算�����。降低SIP門5的智能使S1P門5具有非常高的處理速度。此外����,降低SIP門5的智能使得攻擊者很難實際上對SIP門5進行攻擊,來由此操作防火墻4���,而且打開了后續(xù)攻擊SIP代理服務器3的通道�����。
為了對檢測到的對SIP代理服務器3的攻擊作出快速反應,優(yōu)選地以網速執(zhí)行以下步驟-從IP網絡1上檢測并識別對SIP代理服務器3的攻擊����,-將用于定義進行攻擊的消息的特征參數(shù)輸入黑名單6,-通過反饋通路7��,將黑名單6的內容傳送到SIP門5��,-掃描�、檢驗和/或者分析從IP網絡1傳送到SIP代理服務器3的業(yè)務,然后�,根據(jù)黑名單6的內容和所分析的業(yè)務的特征參數(shù),控制防火墻4,以及
-根據(jù)從SIP門5接收的控制命令�,限制從IP網絡1到SIP代理服務器3的訪問。
在SIP代理服務器3運行期間�,不斷地、動態(tài)地更新黑名單6的內容����。然而,如上所述���,黑名單6的內容僅用于控制防火墻4����。在SIP代理服務器3的攻擊檢測設備8內獨立于黑名單6�,檢測惡意和可疑消息。因此�����,改變黑名單6的內容會改變了防火墻4的行為��,而對檢測的惡意和可疑消息沒有影響�。
本發(fā)明的原理是從SIP代理服務器3到SIP門5進行低級數(shù)據(jù)分組分析。通過這樣做��,在到達SIP代理服務器3并消耗其資源之前,防火墻4就可以檢測到并消除惡意的和顯著的數(shù)據(jù)分組���。但是����,只有低級分析占用SIP門5����,以確保在會話激活的防火墻4,5內進行快速處理����。優(yōu)選地,會話激活的防火墻4��,5以網速或者實時工作����。
權利要求
1.一種防止攻擊與網絡(1)相連的網絡服務器(3)的方法���,其中通過用于限制訪問該網絡服務器(3)的裝置(4)�,在網絡(1)與網絡服務器(3)之間傳輸數(shù)據(jù)����,而且其中該網絡服務器(3)包括攻擊檢測設備(8)�����,用于檢測和識別通過網絡(1)對網絡服務器(3)的攻擊��,其特征在于-將識別的攻擊的特征參數(shù)輸入黑名單(6)��,-將黑名單(6)的內容傳送到防攻擊設備(5)�,用于控制該訪問限制裝置(4)�����,-防攻擊設備(5)檢驗并分析通過網絡(1)傳送到網絡服務器(3)的業(yè)務����,并根據(jù)黑名單(6)的內容和所分析的該業(yè)務的特征參數(shù),控制該訪問限制裝置(4)��,以及-根據(jù)從防攻擊設備(5)接收的控制命令��,該訪問限制裝置(4)限制從網絡(1)到網絡服務器(3)的訪問���。
2.根據(jù)權利要求1所述的方法�����,其特征在于該網絡服務器(3)是構成基于呼叫的業(yè)務環(huán)境的一部分的呼叫服務器����,該環(huán)境包括網絡(1)、連接到該網絡(1)的呼叫服務器(3)以及至少一個連接到該網絡(1)的用戶代理(2)��,該呼叫服務器(3)適于利用信令消息在該至少一個用戶代理(2)與至少另一個用戶代理(2)之間建立數(shù)據(jù)傳輸連接�����,其中通過該網絡(1)而且通過訪問限制裝置(4)����,在該呼叫服務器(3)與用戶代理(2)之間傳輸該信令消息,并且其中該防攻擊設備(5)檢驗并分析從網絡(1)傳送到呼叫服務器(3)的業(yè)務的信令消息����。
3.根據(jù)權利要求2所述的方法,其特征在于該方法用于在通過網際協(xié)議傳送語音(VoIP)的環(huán)境下���,防止對呼叫服務器(3)的攻擊。
4.根據(jù)上述權利要求之任一所述的方法��,其特征在于在黑名單(6)上輸入定義從網絡(1)傳送到網絡服務器(3)的顯著的業(yè)務或者惡意業(yè)務的模式和/或者屬性,作為特征參數(shù)�。
5.根據(jù)上述權利要求之任一所述的方法,其特征在于在網絡服務器(3)運行期間����,不斷地并且動態(tài)地更新黑名單(6)的內容。
6.根據(jù)上述權利要求之任一所述的方法��,其特征在于攻擊檢測設備(8)對攻擊進行識別�,并將特征參數(shù)輸入黑名單(6)。
7.根據(jù)上述權利要求之任一所述的方法���,其特征在于通過反饋通路(7)�,將黑名單(6)的內容傳送到防攻擊設備(5)���。
8.根據(jù)上述權利要求之任一所述的方法��,其特征在于以網速執(zhí)行以下步驟-檢測并識別通過網絡(1)對網絡服務器(3)的攻擊�����,-將所識別的攻擊的特征參數(shù)輸入黑名單(6)���,-將黑名單(6)的內容傳送到防攻擊設備(5)���,-分析從網絡(1)傳送到網絡服務器(3)的業(yè)務,并且根據(jù)黑名單(6)的內容和根據(jù)所分析的業(yè)務的特征參數(shù)�����,控制訪問限制裝置(4)��,以及-根據(jù)從防攻擊設備(5)接收的控制命令����,限制從網絡(1)對網絡服務器(3)的訪問。
9.根據(jù)上述權利要求之任一所述的方法����,其特征在于對從網絡(1)傳送到網絡服務器(3)的業(yè)務進行分析包括將所檢驗的業(yè)務的特征參數(shù)與輸入黑名單(6)的特征參數(shù)進行比較,并且將所識別的業(yè)務定義為顯著的或者惡意的����。
10.根據(jù)權利要求9所述的方法,其特征在于防攻擊設備(5)過濾��、阻擋和/或者節(jié)流其特征參數(shù)與輸入黑名單(6)的特征參數(shù)匹配的被檢驗的業(yè)務�,并且將所識別的業(yè)務定義為顯著的或者是惡意的。
11.根據(jù)權利要求2至10之一所述的方法����,其特征在于防攻擊設備(5)根據(jù)SIP(會話發(fā)起協(xié)議)標準對信令消息進行檢驗和分析。
12.根據(jù)權利要求2至10之一所述的方法�,其特征在于防攻擊設備(5)根據(jù)H.323標準對信令消息進行檢驗和分析。
13.一種用于防止攻擊網絡服務器(3)的防攻擊設備(5)����,該網絡服務器通過用于限制從網絡(1)訪問該網絡服務器(3)的裝置(4)連接到該網絡(1),其中該防攻擊設備(5)適于控制訪問限制裝置(4)����,其特征在于,該防攻擊設備(5)包括-輸入裝置����,用于接收黑名單(6),該黑名單(6)包括關于通過網絡(1)向網絡服務器(3)進行的攻擊的特征參數(shù)�����,構成網絡服務器(3)的一部分的攻擊檢測設備(8)檢測并識別該攻擊���,-用于檢驗和分析從網絡(1)傳送到網絡服務器(3)的業(yè)務并用于確定該業(yè)務的特征參數(shù)的裝置�,-用于根據(jù)黑名單(6)的內容和根據(jù)所分析的業(yè)務的特征參數(shù),產生對于訪問限制裝置(4)的控制信號的裝置����,以及-輸出裝置,用于將該控制信號傳送到訪問限制裝置(4)��。
14.根據(jù)權利要求13所述的防攻擊設備(5)��,其特征在于該網絡服務器(3)是構成基于呼叫的業(yè)務環(huán)境的呼叫服務器�����,該環(huán)境包括網絡(1)��、連接到該網絡(1)的呼叫服務器(3)以及至少一個連接到該網絡(1)的用戶代理(2)�����,該呼叫服務器(3)適于利用信令消息在該至少一個用戶代理(2)與至少另一個用戶代理(2)之間建立數(shù)據(jù)傳輸連接�����,其中通過該網絡(1)和通過該訪問限制裝置(4)�,在用戶代理(2)與呼叫服務器(3)之間傳輸該信令消息,并且其中用于執(zhí)行檢驗和分析業(yè)務的裝置檢驗并分析從網絡(1)傳送到呼叫服務器(3)的業(yè)務的信令消息����。
15.根據(jù)權利要求14所述的防攻擊設備(5)���,其特征在于用于執(zhí)行檢驗和分析從網絡(1)傳送到呼叫服務器(3)的業(yè)務的裝置根據(jù)SIP(對話起動協(xié)議)標準對信令消息進行檢驗和分析。
16.根據(jù)上述權利要求之任一所述的防攻擊設備(5)����,其特征在于黑名單(6)含有描述惡意業(yè)務和/或者顯著業(yè)務的模式和/或者屬性�,而且用于執(zhí)行檢驗和分析從網絡(1)傳送到呼叫服務器(3)的業(yè)務的裝置執(zhí)行模式和/或者屬性的匹配運算,以確定檢驗和分析的業(yè)務是否包括對網絡服務器(3)的攻擊�。
全文摘要
本發(fā)明涉及一種在基于呼叫的業(yè)務環(huán)境下,優(yōu)選地�,在VoIP環(huán)境下,防止攻擊網絡服務器的方法�。該環(huán)境包括網絡、連接到該網絡的呼叫服務器�����、多個連接到該網絡的用戶代理以及用于限制從網絡訪問網絡服務器的裝置����。呼叫服務器包括攻擊檢測設備,用于檢測和識別通過網絡對網絡服務器的攻擊����。為了快速�����、可靠防止網絡服務器被攻擊��,建議將識別的攻擊的特征參數(shù)輸入黑名單���;通過反饋通路,將黑名單的內容傳送到防攻擊設備��,用于控制訪問限制裝置�;防攻擊設備檢驗并分析從網絡傳送到網絡服務器的業(yè)務,并根據(jù)黑名單的內容和根據(jù)所分析的業(yè)務的特征參數(shù)����,控制訪問限制裝置,以及����,訪問限制裝置根據(jù)從防攻擊設備接收的控制命令限制從網絡到該網絡服務器的訪問。
文檔編號H04L29/06GK1708012SQ20051007495
公開日2005年12月14日 申請日期2005年6月6日 優(yōu)先權日2004年6月7日
發(fā)明者卡斯滕·奧伯勒, 馬科·托姆蘇, 彼得·多姆斯希茨, 于爾根·奧特巴希 申請人:阿爾卡特公司