專(zhuān)利名稱(chēng):對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域����,尤其涉及一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)和方法。
背景技術(shù):
IMS是3GPP(Third Generation Partnership Projects����,第三代移動(dòng)通信伙伴組織)在R5版本標(biāo)準(zhǔn)中提出的一種支持IP多媒體業(yè)務(wù)的核心網(wǎng)子系統(tǒng)。IMS建立在包括SIP在內(nèi)的一整套協(xié)議的基礎(chǔ)上�����,融合了數(shù)據(jù)、語(yǔ)音和多媒體等多種業(yè)務(wù)�����。它以IP技術(shù)為基礎(chǔ)����,通過(guò)對(duì)接入技術(shù)的廣泛適應(yīng),使得各種類(lèi)型的客戶端都可以通過(guò)IMS建立起端到端的IP通信��,并可獲得所需要的服務(wù)質(zhì)量�。
IMS不但支持2G、3G移動(dòng)接入方式���,還支持固定網(wǎng)的接入方式����,并且以后將可能發(fā)展成支持和Internet等現(xiàn)有公共網(wǎng)絡(luò)接入的融合性核心網(wǎng)���。IMS體系符合NGN(Next Generation Network����,下一代網(wǎng)絡(luò))的理念�����,是具有實(shí)際運(yùn)營(yíng)網(wǎng)絡(luò)所需要的身份認(rèn)證�����、安全和計(jì)費(fèi)等機(jī)制的完整的移動(dòng)通信IP多媒體體系�����,可以作為各種業(yè)務(wù)融合的基礎(chǔ)��。
根據(jù)IDS(Intrusion Detection System����,入侵檢測(cè)系統(tǒng))的現(xiàn)狀和發(fā)展趨勢(shì),適用于通用網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)技術(shù)已經(jīng)比較成熟���,并且已經(jīng)獲得了廣泛使用��,但在電信運(yùn)營(yíng)商網(wǎng)絡(luò)的信令層面����,目前還沒(méi)有入侵檢測(cè)方面的成熟技術(shù)���。傳統(tǒng)電信網(wǎng)絡(luò)因設(shè)備�、協(xié)議專(zhuān)用程度較高,對(duì)其進(jìn)行信令層面的攻擊很難開(kāi)展����,但隨著電信網(wǎng)絡(luò)逐漸向IP化發(fā)展,對(duì)電信網(wǎng)絡(luò)進(jìn)行信令層面的攻擊的成本極大降低����。因此,電信設(shè)備供應(yīng)商有必要在其解決方案中有效地實(shí)現(xiàn)信令層面的入侵檢測(cè)防御系統(tǒng)���。
SIP協(xié)議代理實(shí)體實(shí)現(xiàn)了將SIP請(qǐng)求路由到UAS(UACUser AgentClient���,用戶代理客戶端)并將響應(yīng)消息路由到相應(yīng)的UAC(User AgentServer,用戶代理服務(wù)器)的功能����,SIP協(xié)議代理實(shí)體在將SIP消息交付下一跳之前,需要根據(jù)實(shí)際情況進(jìn)行路由信息選擇和對(duì)消息進(jìn)行一定修改����。SIP協(xié)議代理實(shí)體在收到SIP消息時(shí),首先對(duì)SIP消息執(zhí)行語(yǔ)法檢查、URI格式檢查����、最大前轉(zhuǎn)頭域檢查�����、環(huán)路檢測(cè)等步驟���。其中�����,在語(yǔ)法檢查步驟中���,RFC3261要求對(duì)SIP消息請(qǐng)求進(jìn)行合法性檢查,并對(duì)與請(qǐng)求消息驗(yàn)證和請(qǐng)求前轉(zhuǎn)部分相關(guān)的頭域進(jìn)行語(yǔ)法檢查���,但對(duì)于SIP消息的其余部分�����,不論是否合法�����,信令代理實(shí)體并不處理��,這些部分在轉(zhuǎn)發(fā)過(guò)程中保持不變�。
RFC3261對(duì)信令代理語(yǔ)法檢查的定義確保SIP協(xié)議實(shí)現(xiàn)可以比較方便的進(jìn)行擴(kuò)充,但與路由無(wú)關(guān)頭域的透?jìng)鳈C(jī)制也為基于SIP的應(yīng)用帶來(lái)了一定安全威脅����,具體表現(xiàn)在以下兩個(gè)方面1、終端任意定制擴(kuò)展頭域的透?jìng)骺梢詫?shí)現(xiàn)利用IMS網(wǎng)絡(luò)端到端傳輸?shù)暮艚姓?qǐng)求等消息實(shí)現(xiàn)有效逃避計(jì)費(fèi)的短消息���、聊天等業(yè)務(wù)���。
2、終端將惡意攻擊數(shù)據(jù)內(nèi)嵌在非法擴(kuò)展頭域中����,包此類(lèi)非法擴(kuò)展頭域的呼叫請(qǐng)求消息能夠有效穿越IMS網(wǎng)絡(luò)并可能對(duì)包括通信對(duì)端在內(nèi)消息路徑上的所有節(jié)點(diǎn)造成殺傷。
在一種現(xiàn)有技術(shù)的移動(dòng)網(wǎng)絡(luò)安全架構(gòu)中�,提出了在核心網(wǎng)DMZ(Demilitarized Zone,隔離區(qū))區(qū)域配置和實(shí)現(xiàn)在線/離線的狀態(tài)檢測(cè)���、NIDS sniffer和入侵防御的機(jī)制�����,該安全架構(gòu)具有較強(qiáng)的通用性和異構(gòu)性�����,可以適應(yīng)不同的平臺(tái)和協(xié)議���。
上述現(xiàn)有技術(shù)的移動(dòng)安全架構(gòu)的缺點(diǎn)為該架構(gòu)比較難實(shí)現(xiàn)集中式的入侵特征分析。該架構(gòu)要求各節(jié)點(diǎn)根據(jù)本地信息進(jìn)行決策�,要求各節(jié)點(diǎn)提供較多資源用于對(duì)數(shù)據(jù)進(jìn)行分析,然后��,根據(jù)各單一節(jié)點(diǎn)的數(shù)據(jù)分析對(duì)整網(wǎng)環(huán)境是否出現(xiàn)攻擊數(shù)據(jù)流進(jìn)行判定�����。由于現(xiàn)代通信技術(shù)的網(wǎng)絡(luò)化分布式特性�,使得該架構(gòu)中的上述判定方案不準(zhǔn)確。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)和方法��,以可擴(kuò)展的方式實(shí)現(xiàn)了集中管理的針對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方案����。
本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng),包括決策服務(wù)器和策略執(zhí)行組件,其中����,決策服務(wù)器用于配置合法和非法頭域列表,根據(jù)所述合法和非法頭域列表生成對(duì)非法頭域的過(guò)濾策略��,并將該濾策略下發(fā)到策略執(zhí)行組件����;策略執(zhí)行組件用于執(zhí)行決策服務(wù)器下發(fā)的過(guò)濾策略,根據(jù)所述過(guò)濾策略����,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理。
一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方法�����,包括步驟A�、配置合法和非法頭域列表,根據(jù)所述合法和非法頭域列表生成對(duì)非法頭域的過(guò)濾策略���;B���、根據(jù)所述過(guò)濾策略���,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理。
由上述本發(fā)明提供的技術(shù)方案可以看出����,本發(fā)明設(shè)置一個(gè)集中實(shí)現(xiàn)的決策服務(wù)器(Policy Server)和多個(gè)分布式的策略執(zhí)行組件(PEP),決策服務(wù)器根據(jù)靜態(tài)+動(dòng)態(tài)的黑/白名單生成對(duì)非法頭域的過(guò)濾策略�����,并下發(fā)到策略執(zhí)行組件���,策略執(zhí)行組件根據(jù)該過(guò)濾策略對(duì)IMS解決方案的SIP消息非法頭域等非法頭域進(jìn)行檢測(cè)和過(guò)濾。從而以可擴(kuò)展的方式實(shí)現(xiàn)了分布式的集中管理的針對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方案�����。和現(xiàn)有技術(shù)相比���,具有如下優(yōu)點(diǎn)
1����、針對(duì)RFC3261協(xié)議代理機(jī)制對(duì)惡意頭域透?jìng)魑茨芴峁┯行Х雷o(hù)的現(xiàn)實(shí)情況����,提出了分布式的IMS解決方案SIP消息非法頭域透?jìng)鞯臋z測(cè)控制機(jī)制的方案和實(shí)現(xiàn)方法�,該方案能有效地防止由于惡意非法頭域透?jìng)髟斐傻亩喾N業(yè)務(wù)盜用和針對(duì)終端和其他網(wǎng)元的攻擊數(shù)據(jù)的透?jìng)鞯裙粜问?����,有利于進(jìn)一步加強(qiáng)IMS解決方案核心網(wǎng)和終端的安全��。
2��、對(duì)非標(biāo)準(zhǔn)SIP頭域的檢測(cè)控制機(jī)制實(shí)現(xiàn)了一個(gè)信令層面入侵防御系統(tǒng)原型����,靜態(tài)+動(dòng)態(tài)的黑/白名單機(jī)制實(shí)現(xiàn)了基于特征的入侵檢測(cè)方法,確保對(duì)已知信令頭域攻擊方法的有效檢測(cè)�����。本發(fā)明可以實(shí)現(xiàn)基于異常的入侵檢測(cè)技術(shù)����,可以實(shí)現(xiàn)對(duì)系統(tǒng)未知的信令頭域攻擊進(jìn)行學(xué)習(xí)并動(dòng)態(tài)更新黑/白名單,確保系統(tǒng)能及時(shí)有效的對(duì)新型信令頭域攻擊作出響應(yīng)���。
3����、在本發(fā)明所述方案中,通過(guò)單一決策服務(wù)器對(duì)多個(gè)策略執(zhí)行組件提供統(tǒng)一的管理功能�,便于實(shí)現(xiàn)非法頭域的過(guò)濾策略在全系統(tǒng)的統(tǒng)一更新。多個(gè)策略執(zhí)行組件分布式地上報(bào)異常信息�����,有利于及時(shí)有效地發(fā)現(xiàn)新型異常頭域信息和非法頭域的過(guò)濾策略的動(dòng)態(tài)更新����。
圖1為本發(fā)明所述移動(dòng)網(wǎng)絡(luò)安全架構(gòu)的實(shí)施例的結(jié)構(gòu)示意圖;圖2為本發(fā)明所述決策服務(wù)器的實(shí)施例的結(jié)構(gòu)示意圖��;圖3為本發(fā)明所述對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方法的實(shí)施例的處理流程圖�����;圖4為本發(fā)明所述保護(hù)IMS core防御接入層面信令攻擊的配置方案實(shí)現(xiàn)原理圖����;圖5為本發(fā)明所述保護(hù)IMS core防御局間接口信令攻擊的配置方案實(shí)現(xiàn)原理圖�����;圖6為本發(fā)明所述保護(hù)應(yīng)用服務(wù)器的配置方案實(shí)現(xiàn)原理圖。
具體實(shí)施例方式
本發(fā)明提供了一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)和方法�����,本發(fā)明的主要技術(shù)特點(diǎn)為設(shè)置一個(gè)集中實(shí)現(xiàn)的決策服務(wù)器和多個(gè)分布式的策略執(zhí)行組件�,決策服務(wù)器對(duì)非法頭域定義靜態(tài)+動(dòng)態(tài)的黑/白名單,根據(jù)靜態(tài)+動(dòng)態(tài)的黑/白名單生成對(duì)非法頭域的過(guò)濾策略��,并下發(fā)到策略執(zhí)行組件��,策略執(zhí)行組件根據(jù)該過(guò)濾策略對(duì)SIP消息非法頭域等非法頭域進(jìn)行檢測(cè)和過(guò)濾��。并將采樣獲得的消息數(shù)據(jù)包上報(bào)到?jīng)Q策服務(wù)器��。
下面以對(duì)SIP消息的數(shù)據(jù)包進(jìn)行檢測(cè)和過(guò)濾為例�����,結(jié)合附圖來(lái)詳細(xì)描述本發(fā)明所述系統(tǒng)和方法����。
本發(fā)明所述移動(dòng)網(wǎng)絡(luò)安全架構(gòu)的實(shí)施例的結(jié)構(gòu)示意圖如圖1所示,包括決策服務(wù)器��、策略執(zhí)行組件和日志服務(wù)器����。
1����、決策服務(wù)器的實(shí)施例的結(jié)構(gòu)示意圖如圖2所示���,主要負(fù)責(zé)對(duì)SIP非法頭域定義靜態(tài)+動(dòng)態(tài)的黑/白名單�����,根據(jù)該靜態(tài)+動(dòng)態(tài)黑/白名單模塊生成對(duì)非法頭域信息的過(guò)濾策略����,并將生成的過(guò)濾策略下發(fā)到策略執(zhí)行組件��。
決策服務(wù)器包括靜態(tài)黑/白名單模塊���、動(dòng)態(tài)黑/白名單模塊、策略下發(fā)模塊�、策略生成模塊、非法頭域檢測(cè)模塊和上報(bào)信息緩沖模塊�。其中,靜態(tài)和動(dòng)態(tài)黑/白名單模塊����、策略下發(fā)模塊和上報(bào)信息緩沖模塊是必選模塊����,其余模塊可根據(jù)系統(tǒng)預(yù)期的安全級(jí)別和具體實(shí)現(xiàn)情況進(jìn)行選擇實(shí)施���。下面分別介紹決策服務(wù)器中各模塊的工作原理�。
(1)靜態(tài)黑/白名單模塊包括靜態(tài)白名單����、靜態(tài)黑名單。在系統(tǒng)初始化時(shí)一次性生成�,靜態(tài)白名單對(duì)RFC3261定義的SIP頭域、當(dāng)前IMS系統(tǒng)支持和未來(lái)預(yù)期擴(kuò)展的SIP頭域進(jìn)行定義��,IMS非標(biāo)準(zhǔn)頭域透?jìng)鞯臋z測(cè)控制機(jī)制對(duì)靜態(tài)白名單執(zhí)行默認(rèn)允許通過(guò)的策略����。靜態(tài)黑名單根據(jù)系統(tǒng)初始化前網(wǎng)上已知的惡意頭域進(jìn)行定義。上述靜態(tài)黑名單的頭域和靜態(tài)/動(dòng)態(tài)白名單所包含的頭域的交集為空集�����。在系統(tǒng)實(shí)際運(yùn)行中,系統(tǒng)安全管理人員可根據(jù)實(shí)際需要將特定頭域列入靜態(tài)黑/白名單�����。
(2)動(dòng)態(tài)黑/白名單模塊包括動(dòng)態(tài)白名單����、動(dòng)態(tài)黑名單。在系統(tǒng)初始化時(shí)�,動(dòng)態(tài)黑/白名單是空集。在系統(tǒng)運(yùn)行中通過(guò)非法頭域檢測(cè)模塊對(duì)策略執(zhí)行組件上報(bào)的靜態(tài)黑/白名單沒(méi)有覆蓋的頭域進(jìn)行識(shí)別和判定����,將識(shí)別出的合法特定頭域加入動(dòng)態(tài)白名單,將識(shí)別出的非法特定頭域加入動(dòng)態(tài)黑名單����。同時(shí),對(duì)列在動(dòng)態(tài)黑/白名單中的每個(gè)特定頭域統(tǒng)一定義權(quán)值���,根據(jù)權(quán)值的高低確定該特定頭域的表現(xiàn)符合正常行為模型的程度���,權(quán)值越小,特定頭域符合正常行為模型的程度越高�����。
(3)策略下發(fā)模塊用于從靜態(tài)黑/白名單模塊和動(dòng)態(tài)黑/白名單模塊中獲得非法頭域和合法頭域列表����,對(duì)獲得頭域列表進(jìn)行格式化,生成非法頭域的過(guò)濾策略并將該過(guò)濾策略下發(fā)給部分或全部的策略執(zhí)行組件��。
(4)頭域信息處理模塊當(dāng)非法頭域檢測(cè)模塊輸出的特定頭域在動(dòng)態(tài)黑/白名單模塊中有記錄時(shí)��,則根據(jù)非法頭域檢測(cè)模塊輸出的該特定頭域是否表現(xiàn)出惡意特征等參數(shù)�����,以及動(dòng)態(tài)黑/白名單模塊中記錄的該特定頭域的權(quán)值動(dòng)態(tài)計(jì)算�、調(diào)整該特定頭域的權(quán)值。并根據(jù)該特定頭域的權(quán)值和預(yù)定義閾值的關(guān)系分析判定是否在動(dòng)態(tài)黑/白名單中對(duì)該特定頭域進(jìn)行遷移�����,如果是����,則進(jìn)行相應(yīng)的遷移。
當(dāng)非法頭域檢測(cè)模塊輸出的特定頭域不在靜態(tài)黑/白名單模塊和動(dòng)態(tài)黑/白名單模塊中記錄時(shí)�,則對(duì)該特定頭域生成初始權(quán)值,并根據(jù)該特定頭域的權(quán)值和預(yù)定義閾值的關(guān)系將該特定頭域加入相應(yīng)的動(dòng)態(tài)黑/白名單。
當(dāng)非法頭域檢測(cè)模塊輸出的特定頭域在動(dòng)態(tài)黑/白名單中存在��,但在網(wǎng)絡(luò)上長(zhǎng)時(shí)間沒(méi)有出現(xiàn)時(shí)�����,則對(duì)該特定頭域信息進(jìn)行老化處理�。
(5)非法頭域檢測(cè)模塊用于檢測(cè)策略執(zhí)行組件上報(bào)并緩存在緩沖區(qū)的SIP消息中攜帶的各個(gè)特定頭域,判定該各個(gè)特定頭域是否包含惡意信息��,對(duì)該各個(gè)當(dāng)前頭域生成權(quán)值的增量(或負(fù)增量)�����,并將該權(quán)值增量(或負(fù)增量)以及該各個(gè)特定頭域是否包含惡意特征等參數(shù)信息上報(bào)給頭域信息處理模塊����。
2、策略執(zhí)行組件在本發(fā)明所述移動(dòng)網(wǎng)絡(luò)安全架構(gòu)中���,一個(gè)決策服務(wù)器可以管理一個(gè)或多個(gè)策略執(zhí)行組件��。策略執(zhí)行組件包括過(guò)濾處理模塊和上報(bào)處理模塊��。
其中���,過(guò)濾處理模塊用于定期從決策服務(wù)器的策略下發(fā)模塊下載并執(zhí)行過(guò)濾策略����。即根據(jù)獲得的過(guò)濾策略�����,控制SIP協(xié)議代理實(shí)體的協(xié)議棧對(duì)攜帶靜態(tài)黑名單和動(dòng)態(tài)黑名單中列出的非法頭域的SIP數(shù)據(jù)包進(jìn)行過(guò)濾���。該過(guò)濾策略包括但不限于刪除該非法頭域信息和刪除整個(gè)SIP數(shù)據(jù)包等。
其中��,上報(bào)處理模塊用于根據(jù)SIP協(xié)議代理實(shí)體的性能和當(dāng)前系統(tǒng)負(fù)載情況對(duì)協(xié)議棧中的SIP消息進(jìn)行采樣����,并將采樣獲得的SIP消息上報(bào)到?jīng)Q策服務(wù)器的緩沖區(qū)保存。
3��、日志服務(wù)器(Log Server)主要負(fù)責(zé)對(duì)決策服務(wù)器檢測(cè)到的出現(xiàn)頻率較高的惡意SIP消息頭域進(jìn)行統(tǒng)計(jì)記錄并上報(bào)系統(tǒng)管理人員���,系統(tǒng)管理人員可以根據(jù)該統(tǒng)計(jì)信息將動(dòng)態(tài)黑名單中記錄的高頻出現(xiàn)的惡意頭域收入到靜態(tài)黑名單列表�����,并對(duì)上級(jí)匯報(bào)新型惡意頭域的出現(xiàn)�����。
上述決策服務(wù)器�、策略執(zhí)行組件根據(jù)實(shí)際情況可選分布式的配置或者集成在同一節(jié)點(diǎn)實(shí)現(xiàn),分布式的配置方式實(shí)現(xiàn)了單一決策服務(wù)器對(duì)多個(gè)策略執(zhí)行組件的管理����;決策模塊和PEP執(zhí)行模塊在單一節(jié)點(diǎn)的集成配置策略確保該技術(shù)方案可有效適應(yīng)于小規(guī)模的系統(tǒng)實(shí)現(xiàn)。
本發(fā)明提供的一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方法的實(shí)施例的處理流程如圖3所示�,包括如下步驟步驟3-1策略執(zhí)行組件將采樣獲得的SIP消息頭域上報(bào)給策略服務(wù)器。
在本發(fā)明中��,策略執(zhí)行組件需要根據(jù)SIP協(xié)議代理實(shí)體的性能和當(dāng)前系統(tǒng)負(fù)載情況對(duì)協(xié)議棧中的SIP消息進(jìn)行采樣����。
因SIP協(xié)議代理實(shí)體的協(xié)議棧處理的SIP消息是海量的,將海量的SIP消息上報(bào)到?jīng)Q策服務(wù)器將對(duì)系統(tǒng)處理����、存儲(chǔ)能力和網(wǎng)絡(luò)造成較重的負(fù)擔(dān)。因此�,上報(bào)處理模塊在一個(gè)采樣周期內(nèi),根據(jù)設(shè)定的算法對(duì)協(xié)議棧中的SIP消息進(jìn)行采樣�。
又因?yàn)樵陂g隔相同時(shí)間段內(nèi)進(jìn)行采樣處理的算法存在被攻擊者利用并有效逃避檢測(cè)的潛在威脅�����,因此��,策略執(zhí)行組件通常使用在一個(gè)采樣周期內(nèi)隨機(jī)采樣的采樣算法�����,該采樣算法包括但不限于如下的具體實(shí)現(xiàn)方案設(shè)采樣周期是Tp,在每個(gè)采樣周期進(jìn)行s次樣本收集Time-count=0���;for(i=0����;i<s�����;i++){/*在一個(gè)采樣周期內(nèi)進(jìn)行i次采樣*/t=rand(0�,Tp/s)Time-count=Time-count+t;sleep(t)��;/*等待時(shí)長(zhǎng)t后進(jìn)行采樣*/SIP_message-pickup-and-CACHE��;/*采樣*/}Sleep(Tp-Time-count);/*等待采樣周期結(jié)束*/SIP_messagecached-report�;/*上報(bào)采樣數(shù)據(jù)*/然后,策略執(zhí)行組件將采樣獲得的SIP消息上報(bào)到?jīng)Q策服務(wù)器的緩沖區(qū)保存����。
步驟3-2非法頭域檢測(cè)模塊對(duì)緩沖區(qū)中保存的SIP消息進(jìn)行檢測(cè),將檢測(cè)獲得的SIP消息以及SIP消息的頭域的特性參數(shù)信息上報(bào)給頭域信息處理模塊����。
非法頭域檢測(cè)模塊對(duì)策略執(zhí)行組件上報(bào)的緩沖區(qū)中保存的SIP消息進(jìn)行檢測(cè),確定各個(gè)SIP消息以及SIP消息的頭域是否異常��,并獲得相應(yīng)的特性參數(shù)�,將獲得的SIP消息以及SIP消息的頭域的特性參數(shù)信息上報(bào)給頭域信息處理模塊。
因?yàn)槭褂脝我凰惴赡軣o(wú)法精確地判定各個(gè)SIP消息以及其頭域是否異常�,因此,為降低誤報(bào)和漏報(bào)率�,非法頭域檢測(cè)模塊可以結(jié)合使用若干種算法進(jìn)行檢測(cè),各部分算法獨(dú)立實(shí)現(xiàn)�,可獨(dú)立或組合使用。
上述非法頭域檢測(cè)模塊可以采用但不限定于如下的三種算法��。
1�、算法1。
算法1可以檢測(cè)出上述緩沖區(qū)中保存的SIP消息的頭域中包含的非標(biāo)準(zhǔn)頭域����。
針對(duì)特定頭域的檢測(cè)算法(特定非標(biāo)準(zhǔn)頭域短時(shí)間內(nèi)大量出現(xiàn)斜率算法)非標(biāo)準(zhǔn)頭域=當(dāng)前系統(tǒng)不支持的頭域U(﹁RFC3261中定義的標(biāo)準(zhǔn)頭域)定義結(jié)構(gòu)體Nonstandard_fieldStruct Nonstandard_field{String field_name����;Integer field_count��;}nf[n]��;定義本系統(tǒng)在正常情況下Nonstandard_field.field_count的ThresholdT1����;在每個(gè)采樣周期結(jié)束時(shí)���,進(jìn)行如下檢測(cè)For(int i=0��;i<n����;i++){If(nf(i).field_count>T1){/*若特定非標(biāo)準(zhǔn)頭域的出現(xiàn)次數(shù)超過(guò)所定義的threshold*/
Nf(i)is determined as attack field�����;/*則判定該頭域消息可能包含攻擊信息*/Report nf(i).field_name��;Reset nf[i];}}2�����、算法2���。
該算法可以根據(jù)SIP消息的行為檢測(cè)出上述緩沖區(qū)中保存的SIP消息中包含的異常SIP消息���。
本算法的基本工作原理為SIP消息的工作基于信令層面的請(qǐng)求/響應(yīng)機(jī)制,網(wǎng)絡(luò)不含攻擊的情況下�,該請(qǐng)求和合法響應(yīng)有著一定的比例關(guān)系,而在網(wǎng)絡(luò)含攻擊情況下����,異常的消息將導(dǎo)致該比例關(guān)系的平衡倍破壞,從而導(dǎo)致y[n]增大����,通過(guò)對(duì)y[n]的觀測(cè)可以有效的判定是否發(fā)生攻擊。CUSUM算法被廣泛用于網(wǎng)絡(luò)/傳輸層DoS攻擊檢測(cè)�,本文將其引入IMS解決方案的應(yīng)用層,實(shí)現(xiàn)基于異常的檢測(cè)技術(shù)�����。本算法的具體實(shí)現(xiàn)過(guò)程如下。
首先對(duì)用戶正常消息行為和異常行為進(jìn)行定義用戶正常消息行為包括但不限于正常注冊(cè)�����、會(huì)話流程中UAC(用戶代理客戶端)模塊對(duì)UAS(用戶代理服務(wù)器)模塊的請(qǐng)求消息和UAS模塊對(duì)UAC模塊的響應(yīng)消息���。
用戶異常消息行為定義為注冊(cè)���、會(huì)話流程中與用戶正常消息行為不符的行為,包括但不限于注冊(cè)流程中的非正常消息行為����、不能建立會(huì)話或者不是合法會(huì)話一部分的消息行為,沒(méi)有合法的后續(xù)響應(yīng)或后續(xù)響應(yīng)消息異常的消息等��。
本算法對(duì)系統(tǒng)的正常行為建模���,根據(jù)網(wǎng)絡(luò)運(yùn)行中實(shí)際系統(tǒng)行為和建立的正常行為模型的偏差,檢測(cè)出上述緩沖區(qū)中保存的具有異常行為的異常SIP消息���。
本發(fā)明建立的正常行為模型為SIP協(xié)議的工作方式以UAC對(duì)UAS發(fā)起請(qǐng)求���、UAS對(duì)UAC的請(qǐng)求進(jìn)行響應(yīng)為基礎(chǔ)�����。在網(wǎng)絡(luò)正常情況下�,對(duì)合法用戶的請(qǐng)求進(jìn)行服務(wù)并根據(jù)實(shí)際情況進(jìn)行響應(yīng)�����,該請(qǐng)求和響應(yīng)以一定比例而存在����,在網(wǎng)絡(luò)含攻擊情況和攻擊者未能實(shí)現(xiàn)并充分適應(yīng)該正常行為模型的情況下,可以通過(guò)該比例關(guān)系對(duì)正常行為模型進(jìn)行定義��,基于正常行為模型對(duì)網(wǎng)絡(luò)異常行為進(jìn)行檢測(cè)���。正常行為模型要求對(duì)系統(tǒng)試運(yùn)行一段時(shí)間����,在確保系統(tǒng)無(wú)攻擊情況下進(jìn)行獲取��。
基于CUSUM(cumulative sum����,累積和算法)算法的本算法的具體處理過(guò)程如下1���、參數(shù)定義定義SIP_request_sent_to為一個(gè)檢測(cè)周期內(nèi)由特定UAC到特定UAS包括注冊(cè)和會(huì)話流程的請(qǐng)求消息總數(shù)。
定義SIP_request_response_from為一個(gè)檢測(cè)周期內(nèi)由特定UAS到UAC的包括注冊(cè)和會(huì)話流程的合法響應(yīng)消息總數(shù)���,要求該計(jì)數(shù)器有效統(tǒng)計(jì)用戶正常消息行為并剔除用戶異常消息行為�����。
設(shè){delta[n]��,n=0���,1,2...}是一個(gè)觀測(cè)周期內(nèi)SIP_request_sent_to與SIP_response_received_from的差值(1)�����,上述delta[n]和網(wǎng)絡(luò)規(guī)模相關(guān)���。受到網(wǎng)絡(luò)中主機(jī)數(shù)量和觀測(cè)周期長(zhǎng)短的影響。為使得該算法更加具有通用性并盡可能的減少各種依賴(lài)因素的影響�,對(duì)上述式(1)進(jìn)行如下變化delta[n]=SIP_request_sent_to[n]-SIP_response_received_from[n];//(n=0,1...)(1)smoothed_fn
=0�����;smoothed_fn[n]=α*smoothed_fn[n-1]+(1-α)*SIP_response_received_from[n]//(n=1��,2...)���;X[n]=delta[n]/smoothed_fn[n]���;//(2) (2)從上述式2中可以看到{smoothed_fn[i],l=0���,1����,2...}可以由SIP_response_received_from遞歸計(jì)算得到�,這就是說(shuō)對(duì)smoothed_fn[i]可以實(shí)時(shí)地進(jìn)行計(jì)算和更新。式(1)和(2)中的n代表了觀測(cè)時(shí)間序列號(hào)�����,常量α∈
是事先定義好的�,經(jīng)過(guò)式(2)的轉(zhuǎn)換����,X[n]只與當(dāng)前網(wǎng)絡(luò)流量相關(guān)��,而不依賴(lài)于網(wǎng)絡(luò)環(huán)境和觀測(cè)時(shí)間的長(zhǎng)短����。因此{(lán)X[n],n=0����,1,2..}可以視為一個(gè)靜態(tài)隨機(jī)過(guò)程���。
max_avg_X是在網(wǎng)絡(luò)無(wú)攻擊情況下X[n]期望的最大值�����,通過(guò)式(3)��,我們得到X2[n]�。
X2[n]=X[n]-max_avg_X //(3)在網(wǎng)絡(luò)無(wú)攻擊情況下����,{X2[n],n=0��,1...}和X2[n]的平均值小于0�����;y[n]=(y[n-1]+X2[n])+//(4)y
=0在上述式(4)中�,當(dāng)x>0時(shí)x+=x,當(dāng)x<=0時(shí)x+=0����。y[n]代表了該時(shí)刻是否出現(xiàn)了信令層面DDoS攻擊的時(shí)間序列。根據(jù)網(wǎng)絡(luò)環(huán)境和預(yù)先定義的安全級(jí)別我們定義閾值Threshold��,若y[n]>Threshold則可以判定發(fā)生了信令DoS攻擊�。
if(y[n]>Threshold){......
this is attack_flow;y[n]=β*Threshold�����;//(0<β<1) (5)}當(dāng)網(wǎng)絡(luò)中出現(xiàn)信令DoS攻擊并為該算法所檢測(cè)時(shí)�����,y[n]在較短時(shí)間內(nèi)將快速上升����,根據(jù)改進(jìn)后的CUSUM算法��,對(duì)攻擊進(jìn)行中的y[n]進(jìn)行削減�,通過(guò)逆反饋實(shí)時(shí)對(duì)y[n]進(jìn)行削減���,確保不會(huì)因y[n]的長(zhǎng)時(shí)間累加導(dǎo)致攻擊結(jié)束后y[n]不能有效降到Threshold之下���,即發(fā)生誤報(bào)的情況,經(jīng)改進(jìn)的CUSUM算法能有效確定基于請(qǐng)求/響應(yīng)機(jī)制的DoS攻擊結(jié)束時(shí)間�。
3、算法3��。
該算法根據(jù)正常情況下不同類(lèi)SIP消息的消息長(zhǎng)度特征和緩沖區(qū)中保存的SIP消息的實(shí)際長(zhǎng)度特征�,檢測(cè)出緩沖區(qū)中保存的SIP消息中包含的異常SIP消息。
在網(wǎng)絡(luò)和所支持的終端比較穩(wěn)定的情況下��,各種不同的消息都具有一定的長(zhǎng)度特征����,比如INVITE消息的長(zhǎng)度一般都分布在1380~1542byte之間,而100trying消息的長(zhǎng)度一般分布在287~799byte之間��。因此�,對(duì)緩沖區(qū)中保存的不同類(lèi)型的SIP消息的實(shí)際長(zhǎng)度和在正常情況下同種類(lèi)型的SIP消息的長(zhǎng)度進(jìn)行比較��,若SIP消息的實(shí)際長(zhǎng)度和正常情況下的SIP消息的長(zhǎng)度范圍偏差超過(guò)設(shè)定的合法范圍�,則確定該SIP消息為異常消息��,該SIP消息的頭域?yàn)榉欠^域���。
本算法的檢測(cè)精度很大程度上依賴(lài)于當(dāng)前網(wǎng)絡(luò)中是否引入了可能導(dǎo)致正常情況下SIP消息長(zhǎng)度范圍發(fā)生變化的新業(yè)務(wù)和新的終端、網(wǎng)絡(luò)側(cè)設(shè)備��,如果引入了上述新業(yè)務(wù)和新的終端��、網(wǎng)絡(luò)側(cè)設(shè)備����,則應(yīng)禁用該算法的告警上報(bào)。并對(duì)各類(lèi)SIP消息在網(wǎng)絡(luò)無(wú)攻擊情況下再次計(jì)算和更新正常情況下的消息長(zhǎng)度范圍���。
非法頭域檢測(cè)模塊在檢測(cè)獲得了上述緩沖區(qū)中保存的SIP消息中包含的異常SIP消息�,或上述緩沖區(qū)中保存的SIP消息中包含的異常頭域后����,可以進(jìn)一步確定該異常SIP消息或異常頭域是否包含惡意信息等特性參數(shù)信息,對(duì)上述異常SIP消息的頭域或異常頭域生成權(quán)值的增量(或負(fù)增量)���,并將該權(quán)值增量(或負(fù)增量)以及各個(gè)異常SIP消息或異常頭域是否包含惡意信息等特性參數(shù)信息上報(bào)給頭域信息處理模塊����。
步驟3-3頭域信息處理模塊根據(jù)非法頭域檢測(cè)模塊上報(bào)的異常SIP消息或異常頭域的特性參數(shù)信息,對(duì)動(dòng)態(tài)黑/白名單模塊中記錄的特性頭域的權(quán)值進(jìn)行動(dòng)態(tài)調(diào)整��。
頭域信息處理模塊接收到非法頭域檢測(cè)模塊上報(bào)的異常SIP消息的頭域或異常頭域權(quán)值的增量(或負(fù)增量)����,以及各個(gè)異常SIP消息或異常頭域是否包含惡意信息等特性參數(shù)信息后,檢查動(dòng)態(tài)黑/白名單模塊中是否記錄該異常SIP消息的頭域或異常頭域����。
當(dāng)上述異常SIP消息的頭域或異常頭域不在靜態(tài)黑/白名單模塊和動(dòng)態(tài)黑/白名單模塊中記錄時(shí),則頭域信息處理模塊對(duì)該特定頭域生成初始權(quán)值��,并根據(jù)該初始權(quán)值和預(yù)定義閾值的關(guān)系將該特定頭域加入相應(yīng)的動(dòng)態(tài)黑/白名單�。
當(dāng)上述異常SIP消息的頭域或異常頭域在動(dòng)態(tài)黑/白名單中記錄,并且在網(wǎng)絡(luò)中經(jīng)常出現(xiàn)時(shí)�����,則頭域信息處理模塊根據(jù)接收到的信息和動(dòng)態(tài)黑/白名單中記錄的上述異常SIP消息的頭域或異常頭域的權(quán)值信息���,對(duì)上述異常SIP消息的頭域或異常頭域進(jìn)行動(dòng)態(tài)調(diào)整�����,并根據(jù)該特定頭域的權(quán)值和預(yù)定義閾值的關(guān)系分析判定是否在動(dòng)態(tài)黑/白名單中對(duì)該特定頭域進(jìn)行遷移�,如果是,則進(jìn)行相應(yīng)的遷移���。
比如,被列入動(dòng)態(tài)黑名單的特定頭域若在特定時(shí)間段內(nèi)沒(méi)有繼續(xù)增加其惡意表現(xiàn)�,則降低該特定頭域的權(quán)值,直至其權(quán)值低于一定閥值A(chǔ)1���,并被遷移到動(dòng)態(tài)白名單�����。
被列入動(dòng)態(tài)白名單中的特定頭域若在特定時(shí)間段內(nèi)表現(xiàn)出惡意特征��,則加大該特定頭域的權(quán)值�,直至其權(quán)值高于一定閥值A(chǔ)2���,將該特定頭域列入臨時(shí)黑名單��。
上述對(duì)特定頭域的權(quán)值進(jìn)行動(dòng)態(tài)調(diào)整的過(guò)程可以用如下的程序語(yǔ)言來(lái)表示設(shè)對(duì)特定頭域非法頭域檢測(cè)模塊上報(bào)的權(quán)值增量(或減量)為Power_incr��,當(dāng)前觀測(cè)頭域field[i]的動(dòng)態(tài)黑白名單算法如下if(field[i].property==positive)/*若非法頭域檢測(cè)模塊對(duì)檢測(cè)周期內(nèi)特定異常頭域判定呈陽(yáng)性����,則對(duì)該頭域的權(quán)值做增量處理*/
field[i].power+=Power_incr;if field[i].power>A2/*若權(quán)值超過(guò)合法頭域上限A2�,則判定為攻擊信息,將其列入黑名單*/field[i]is set to dynamic-blacklist}elseif(field[i].property==negative){/*若非法頭域檢測(cè)模塊對(duì)檢測(cè)周期內(nèi)特定異常頭域判定呈陰性����,則對(duì)該頭域的權(quán)值做負(fù)增量處理*/field[i].power-=Power_incr;if(field[i].power<A1)/*若權(quán)值低于非法頭域下限A1�,則判定該頭域不再具備攻擊特征,將其列入白名單*/field[i]is set to dynamic-whitelist}在上述程序語(yǔ)言中�,可選配置A1==A2,該情況有利于被誤判列入動(dòng)態(tài)黑名單的頭域的快速恢復(fù)�����,但存在特定攻擊頭域間歇性的攻擊導(dǎo)致該頭域頻繁在動(dòng)態(tài)黑/白名單中跳轉(zhuǎn)并發(fā)生顛簸情況��,對(duì)系統(tǒng)處理資源和網(wǎng)絡(luò)穩(wěn)定性存在一定威脅���。
可選配置A1<A2����,該情況要求特定頭域被列入動(dòng)態(tài)黑名單后,一段時(shí)間內(nèi)即使其流量特征呈良性�����,仍必須在一段時(shí)間內(nèi)受限���,直到其表現(xiàn)足夠良好(即field[i].power<A1<A2)才將其列入動(dòng)態(tài)白名單�����,但仍然可能導(dǎo)致出現(xiàn)較高的誤報(bào)情況,因此需根據(jù)實(shí)際情況有效調(diào)整A1和A2的大小關(guān)系�����,確保在系統(tǒng)檢測(cè)精度和穩(wěn)定性等多個(gè)因素之間求得平衡���。
當(dāng)上述異常SIP消息的頭域或異常頭域在動(dòng)態(tài)黑/白名單中記錄��,但在網(wǎng)絡(luò)上長(zhǎng)時(shí)間沒(méi)有出現(xiàn)時(shí)��,則對(duì)該特定頭域信息進(jìn)行老化處理���。
上述老化處理的原理為若特定頭域在網(wǎng)絡(luò)中長(zhǎng)時(shí)間沒(méi)有出現(xiàn)���,則認(rèn)為該頭域情況已經(jīng)不存在,為節(jié)約網(wǎng)絡(luò)資源��,并防止黑客設(shè)計(jì)針對(duì)該防護(hù)系統(tǒng)的資源耗盡攻擊���,故將給該頭域分配的相關(guān)資源進(jìn)行回收����。
步驟3-4��、策略下發(fā)模塊生成過(guò)濾策略并下發(fā)給策略執(zhí)行組件����,策略執(zhí)行組件根據(jù)獲得的過(guò)濾策略,對(duì)攜帶非法頭域的SIP數(shù)據(jù)包進(jìn)行過(guò)濾。
策略服務(wù)器中的策略下發(fā)模塊從靜態(tài)黑/白名單模塊和動(dòng)態(tài)黑/白名單模塊中獲得全部非法頭域和合法頭域列表,以及全部非法頭域和合法頭域相應(yīng)的權(quán)值信息��,對(duì)獲得的非法頭域和合法頭域列表進(jìn)行格式化,生成相應(yīng)的過(guò)濾策略。
策略執(zhí)行組件定期從上述策略下發(fā)模塊中下載并執(zhí)行過(guò)濾策略,根據(jù)獲得的過(guò)濾策略����,控制SIP協(xié)議代理實(shí)體的協(xié)議棧對(duì)攜帶靜態(tài)黑名單和動(dòng)態(tài)黑名單中列出的非法頭域的SIP數(shù)據(jù)包進(jìn)行過(guò)濾處理。該過(guò)濾策略包括但不限于刪除特定頭域信息和刪除整個(gè)SIP數(shù)據(jù)包等�����??刂芐IP協(xié)議代理實(shí)體的協(xié)議棧對(duì)攜帶靜態(tài)白名單和動(dòng)態(tài)白名單中列出的合法頭域的SIP數(shù)據(jù)包不進(jìn)行過(guò)濾處理。
因基于異常的信令層面消息檢測(cè)在特定情況下可能造成一定程度的誤報(bào)��,在實(shí)際應(yīng)用中�,為確保不出現(xiàn)誤報(bào),可以禁用策略執(zhí)行組件中的上報(bào)處理模塊��、非法頭域檢測(cè)模塊��,并禁用動(dòng)態(tài)黑/白名單功能�。策略下發(fā)模塊僅根據(jù)靜態(tài)黑/白名單模塊生成過(guò)濾策略,策略執(zhí)行組件根據(jù)該過(guò)濾策略對(duì)SIP數(shù)據(jù)包進(jìn)行過(guò)濾處理��。該方案可在系統(tǒng)未充分實(shí)現(xiàn)動(dòng)態(tài)更新黑/白名單的初期階段提供可運(yùn)營(yíng)策略��,能有效地降低系統(tǒng)誤報(bào)率�����,但代價(jià)是系統(tǒng)將不具備檢測(cè)未知攻擊報(bào)文頭域的功能��。
IMS解決方案多網(wǎng)元的分布式計(jì)算架構(gòu)和本發(fā)明中提出的SIP消息非法頭域檢測(cè)控制的分布式檢測(cè)過(guò)濾和集中實(shí)現(xiàn)的管理模塊是一致的��。上述本發(fā)明所述移動(dòng)網(wǎng)絡(luò)安全架構(gòu)可以配置在IMS中�����,基于分層防御的思想�,SIP消息非法頭域檢測(cè)控制架構(gòu)在IMS中的可選配置方案如下集中實(shí)現(xiàn)的決策服務(wù)器可選和OMU(Operating and MaintanceSystem,操作維護(hù)系統(tǒng))在同一物理節(jié)點(diǎn)上實(shí)現(xiàn)�,或者,在本地域獨(dú)立地使用一臺(tái)服務(wù)器進(jìn)行管理�,決策服務(wù)器和PEP模塊基于網(wǎng)管接口進(jìn)行可信的通信。根據(jù)所保護(hù)網(wǎng)元特征����,PEP的部署方案包括如下幾種方案1、保護(hù)IMS core防御接入層面信令攻擊的配置方案(PCSCF(Proxy Call Session Control Function�,代理呼叫會(huì)話控制功能)在本地域?qū)崿F(xiàn))根據(jù)各IMS設(shè)備供應(yīng)商的具體實(shí)現(xiàn),接入側(cè)IMS的配置方式主要包括兩種一種為SBC和PCSCF集成在同一設(shè)備上的PCSCF邊緣化配置方式�����;另一種為SBC在接入側(cè)配置��,PCSCF作為核心網(wǎng)元配置����。根據(jù)SBC具體實(shí)現(xiàn)方式分為SBC支持信令NAT和信令代理等兩種方式�。
對(duì)于SBC(SBC Session Border Controller���,會(huì)話便捷控制器)和PCSCF合設(shè)的情況����,為在信令層面保護(hù)IMS core防御來(lái)自終端側(cè)的SIP信令攻擊����,在IMS core所有邊緣化的PCSCF上配置PEP。
對(duì)于SBC和PCSCF分設(shè)的情況���,為PCSCF配置PEP��。同時(shí)�����,基于縱深防御的思想盡可能地在IMS的前端對(duì)攻擊數(shù)據(jù)流進(jìn)行檢測(cè)和過(guò)濾,在SBC有效支持SBC信令代理并已實(shí)現(xiàn)SBC版本的PEP的情況下�,在SBC信令代理模塊上可選配置PEP執(zhí)行模塊。在SBC不支持信令代理的情況下因SBC無(wú)法對(duì)SIP消息進(jìn)行編解碼�����,故該情況下SBC無(wú)法實(shí)施PEP執(zhí)行模塊。
方案2�����、保護(hù)IMS core防御接入層面信令攻擊的配置方案(PCSCF在拜訪域?qū)崿F(xiàn))該方案的實(shí)現(xiàn)原理圖如圖4所示����。拜訪域PCSCF和本地IMS core可能歸屬于不同的運(yùn)營(yíng)商,其網(wǎng)管接口不能直接對(duì)接�,針對(duì)這種情況,不能實(shí)現(xiàn)拜訪域PCSCF上實(shí)施的PEP和本地決策服務(wù)器的通信�,故該情況下要求將決策服務(wù)器和PEP在拜訪域PCSCF上集成實(shí)現(xiàn),鑒于該情況下根據(jù)單一PEP節(jié)點(diǎn)上報(bào)的信息可能不足以進(jìn)行有效決策�,故該情況下建議禁用動(dòng)態(tài)黑/白名單機(jī)制,僅實(shí)現(xiàn)基于特征的靜態(tài)黑/白名單機(jī)制��。
方案3�����、保護(hù)IMS core防御局間接口信令攻擊的配置方案���。
該方案的實(shí)現(xiàn)原理圖如圖5所示����。局間接口一方面需要確保本局不受對(duì)端局點(diǎn)的攻擊數(shù)據(jù)流影響,同時(shí)需要保證本地局點(diǎn)不會(huì)將攻擊數(shù)據(jù)流發(fā)往對(duì)端局點(diǎn)���。按照3GPP相關(guān)協(xié)議定義����,ICSCF(Inquiry Call Session ControlFunction����,問(wèn)訊呼叫會(huì)話控制功能)負(fù)責(zé)本局IMS域和對(duì)端IMS局點(diǎn)的通信,BGCF負(fù)責(zé)本局IMS域和對(duì)端CS域的互通�。
對(duì)于ICSCF提供局間IMS域的互通情況,對(duì)于PEP策略執(zhí)行組件的采樣和上報(bào)模塊需要分為In-Bound和Out-Bound兩部分��,Out-Bound負(fù)責(zé)本局IMScore向?qū)Χ司贮c(diǎn)的攻擊數(shù)據(jù)流的采樣和上報(bào)�����,In-Bound PEP模塊負(fù)責(zé)對(duì)端局點(diǎn)對(duì)本地局點(diǎn)的攻擊數(shù)據(jù)流采樣和上報(bào)�����。PEP策略執(zhí)行組件策略執(zhí)行功能可選不區(qū)分In-Bound和Out-Bound,按照一致的方法執(zhí)行過(guò)濾策略�����。
對(duì)于BGCF(Border Gateway Control Function�����,出口網(wǎng)管控制功能)提供本局IMS域和對(duì)端CS域互通的情況��,鑒于CS(circuit switch��,電路交換域)域網(wǎng)絡(luò)封閉性較強(qiáng)�、CS域終端到核心網(wǎng)元之間的多次協(xié)議轉(zhuǎn)換和大量專(zhuān)用設(shè)備的使用等情況��,CS域?qū)MS域的攻擊較難進(jìn)行���,故BGCF僅需在IMS域到CS域的方向上進(jìn)行檢測(cè)和過(guò)濾����,在本局IMS域BGCF功能模塊上實(shí)現(xiàn)和本地決策服務(wù)器可信通信的PEP策略執(zhí)行組件提供本地IMS域到對(duì)端CS域的攻擊數(shù)據(jù)流檢測(cè)和過(guò)濾����。
方案4、保護(hù)應(yīng)用服務(wù)器(AS,Application Server)的配置方案該方案的實(shí)現(xiàn)原理圖如圖6所示����。應(yīng)用服務(wù)器和本地IMS core之間通過(guò)標(biāo)準(zhǔn)SIP協(xié)議接口進(jìn)行通信,特定AS和IMS core可以由不同的運(yùn)營(yíng)設(shè)備供應(yīng)商分別提供�����,這里假定無(wú)法硬性要求AS的SIP協(xié)議棧和應(yīng)用程序在信令層面的攻擊下和IMS core具有同等的安全級(jí)別����,同時(shí)本發(fā)明認(rèn)為特定AS可能被黑客利用做攻擊源,對(duì)IMS core或其他網(wǎng)元發(fā)起攻擊�。故對(duì)于直接和AS進(jìn)行通信的SCSCF(Service Call Session Control Function,服務(wù)呼叫會(huì)話控制功能)使用類(lèi)似于局間接口ICSCF的PEP配置方法���,利用同一策略執(zhí)行組件執(zhí)行過(guò)濾策略���,根據(jù)攻擊數(shù)據(jù)流是從IMS core到AS的還是源自AS并以IMScore為目的的分別實(shí)現(xiàn)攻擊數(shù)據(jù)流的采樣和上報(bào)。
以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
���,但本發(fā)明的保護(hù)范圍并不局限于此�,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
權(quán)利要求
1.一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)�,其特征在于,包括決策服務(wù)器和策略執(zhí)行組件���,其中�����,決策服務(wù)器用于配置合法和非法頭域列表���,根據(jù)所述合法和非法頭域列表生成對(duì)非法頭域的過(guò)濾策略,并將該濾策略下發(fā)到策略執(zhí)行組件�;策略執(zhí)行組件用于執(zhí)行決策服務(wù)器下發(fā)的過(guò)濾策略����,根據(jù)所述過(guò)濾策略����,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述系統(tǒng)還包括日志服務(wù)器用于對(duì)決策服務(wù)器檢測(cè)到的所述非法頭域列表中列出的非法頭域信息進(jìn)行統(tǒng)計(jì)記錄并上報(bào)給系統(tǒng)管理人員����。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于�,所述策略執(zhí)行組件具體包括過(guò)濾處理模塊用于定期從決策服務(wù)器下載并執(zhí)行過(guò)濾策略,根據(jù)所述過(guò)濾策略�����,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理����;上報(bào)處理模塊用于對(duì)需要進(jìn)行檢測(cè)和過(guò)濾處理的數(shù)據(jù)包進(jìn)行采樣,并上報(bào)給決策服務(wù)器�。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于�,所述決策服務(wù)器具體包括靜態(tài)黑/白名單模塊用于在系統(tǒng)初始化時(shí)配置靜態(tài)的合法和非法頭域列表�����;所述靜態(tài)的合法頭域列表和非法頭域列表所包含的頭域的交集為空集�����;動(dòng)態(tài)黑/白名單模塊用于在系統(tǒng)運(yùn)行過(guò)程中配置動(dòng)態(tài)的合法和非法頭域列表��;對(duì)所述動(dòng)態(tài)的合法和非法頭域列表中的每個(gè)特定頭域配置相應(yīng)的權(quán)值;策略下發(fā)模塊用于從靜態(tài)黑/白名單模塊和動(dòng)態(tài)黑/白名單模塊中獲得非法頭域和合法頭域列表�,生成非法頭域的過(guò)濾策略,將該過(guò)濾策略下發(fā)給策略執(zhí)行組件��。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)��,其特征在于����,所述決策服務(wù)器還包括頭域參數(shù)檢測(cè)模塊用于檢測(cè)策略執(zhí)行組件上報(bào)的數(shù)據(jù)包中攜帶的各個(gè)特定頭域,判斷各個(gè)特定頭域是否包含惡意特征��,獲得各個(gè)特定頭域的參數(shù)信息并傳遞給頭域信息處理模塊��;頭域信息處理模塊根據(jù)頭域參數(shù)檢測(cè)模塊傳遞過(guò)來(lái)的各個(gè)特定頭域的參數(shù)信息��,以及動(dòng)態(tài)黑/白名單模塊中記錄的對(duì)應(yīng)特定頭域的權(quán)值信息,確定所述各個(gè)特定頭域的權(quán)值���,將所述各個(gè)特定頭域設(shè)置在相應(yīng)的動(dòng)態(tài)的合法和非法頭域列表中���。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的系統(tǒng),其特征在于�,所述決策服務(wù)器和策略執(zhí)行組件集成在同一節(jié)點(diǎn)實(shí)現(xiàn),或者�,所述決策服務(wù)器和策略執(zhí)行組件分布式設(shè)置在不同節(jié)點(diǎn),一個(gè)決策服務(wù)器對(duì)應(yīng)一個(gè)或多個(gè)策略執(zhí)行組件��。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于�����,所述的系統(tǒng)設(shè)置在因特網(wǎng)多媒體子網(wǎng)IMS系統(tǒng)中���。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�,所述的數(shù)據(jù)包包括IP多媒體子系統(tǒng)IMS解決方案的會(huì)話初始化協(xié)議SIP消息數(shù)據(jù)包。
9.一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的方法����,其特征在于��,包括步驟A����、配置合法和非法頭域列表���,根據(jù)所述合法和非法頭域列表生成對(duì)非法頭域的過(guò)濾策略�;B����、根據(jù)所述過(guò)濾策略�����,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理����。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于��,所述步驟A具體包括A1��、在系統(tǒng)初始化時(shí)配置靜態(tài)的合法和非法頭域列表,所述靜態(tài)的合法頭域列表和非法頭域列表所包含的頭域的交集為空集����;A2、根據(jù)采樣并緩存的各個(gè)數(shù)據(jù)包的特定頭域的參數(shù)信息�����,在系統(tǒng)運(yùn)行過(guò)程中配置動(dòng)態(tài)的合法和非法頭域列表��;對(duì)所述動(dòng)態(tài)的合法和非法頭域列表中的每個(gè)特定頭域配置相應(yīng)的權(quán)值�;A3、從所述靜態(tài)和動(dòng)態(tài)的合法和非法頭域列表中獲得非法頭域和合法頭域列表�����,生成對(duì)非法頭域的過(guò)濾策略���。
11.根據(jù)權(quán)利要求10所述的方法�����,其特征在于����,所述步驟A2具體包括A21、在設(shè)定的采樣周期內(nèi)����,對(duì)需要進(jìn)行檢測(cè)和過(guò)濾處理的消息的數(shù)據(jù)包進(jìn)行采樣,將采樣獲得的數(shù)據(jù)包進(jìn)行緩存����;A22、對(duì)所述緩存的各個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)�����,確定各個(gè)數(shù)據(jù)包的特定頭域是否包含惡意特征�,獲得各個(gè)數(shù)據(jù)包的特定頭域的參數(shù)信息;A23�����、根據(jù)所述各個(gè)特定頭域的參數(shù)信息�����,以及動(dòng)態(tài)黑/白名單模塊中記錄的對(duì)應(yīng)特定頭域的權(quán)值信息���,確定所述各個(gè)特定頭域的權(quán)值��,將所述各個(gè)特定頭域設(shè)置在相應(yīng)的動(dòng)態(tài)的合法和非法頭域列表中���。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于�����,所述的步驟A23具體包括當(dāng)所述緩存的數(shù)據(jù)包的特定頭域不在所述靜態(tài)和動(dòng)態(tài)的合法和非法頭域列表中記錄時(shí)�,根據(jù)獲得的所述特定頭域的參數(shù)信息,對(duì)所述特定頭域生成初始權(quán)值��,并根據(jù)所述初始權(quán)值和預(yù)定義閾值的關(guān)系將所述特定頭域加入相應(yīng)的動(dòng)態(tài)的合法和非法頭域列表����;當(dāng)所述緩存的數(shù)據(jù)包的特定頭域在所述動(dòng)態(tài)的合法和非法頭域列表中記錄時(shí),根據(jù)獲得的所述特定頭域的參數(shù)信息����,對(duì)所述特定頭域的權(quán)值進(jìn)行動(dòng)態(tài)調(diào)整,根據(jù)調(diào)整后的所述特定頭域的權(quán)值和預(yù)定義閾值的關(guān)系將所述特定頭域在所述動(dòng)態(tài)的合法和非法頭域列表中進(jìn)行相應(yīng)的遷移���。
13.根據(jù)權(quán)利要求9�����、10����、11或12所述的方法,其特征在于���,所述步驟B具體包括根據(jù)所述過(guò)濾策略����,對(duì)攜帶所述靜態(tài)和動(dòng)態(tài)非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行刪除處理��;或者��,對(duì)所述數(shù)據(jù)包中的所述靜態(tài)和動(dòng)態(tài)非法頭域列表中列出的非法頭域進(jìn)行刪除處理����。
全文摘要
本發(fā)明提供了一種對(duì)非法頭域進(jìn)行檢測(cè)和過(guò)濾的系統(tǒng)和方法,該系統(tǒng)主要包括決策服務(wù)器和策略執(zhí)行組件��。該方法主要包括配置合法和非法頭域列表��,根據(jù)所述合法和非法頭域列表生成對(duì)非法頭域的過(guò)濾策略��;根據(jù)所述過(guò)濾策略�����,對(duì)攜帶所述非法頭域列表中列出的非法頭域的數(shù)據(jù)包進(jìn)行過(guò)濾處理���。利用本發(fā)明���,以可擴(kuò)展的方式實(shí)現(xiàn)了集中管理的針對(duì)IMS(IPMultimedia Subsystem,IP多媒體子系統(tǒng))解決方案的SIP(SessionInitiation Protocol�����,會(huì)話初始化協(xié)議)消息非法頭域等非法頭域進(jìn)行檢測(cè)和過(guò)濾的方案����。
文檔編號(hào)H04L12/56GK1968280SQ200610145660
公開(kāi)日2007年5月23日 申請(qǐng)日期2006年11月23日 優(yōu)先權(quán)日2006年11月23日
發(fā)明者張喆, 吳平, 王胤宗, 吳明, 孔濤, 紀(jì)濤 申請(qǐng)人:華為技術(shù)有限公司