專利名稱:一種媒體流檢測(cè)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種媒體流檢測(cè)的方法和裝置����。
技術(shù)背景隨著通信技術(shù)的發(fā)展���,NGN (Next Generation Network,下一代網(wǎng)絡(luò))和 IMS (IP Multimedia Sub-system, IP多媒體子系統(tǒng))技術(shù)已經(jīng)逐漸成熟并得到 了廣泛的應(yīng)用����,語音��、圖像、視頻���、數(shù)據(jù)都通過IP來承載�,全網(wǎng)IP化已經(jīng)成 為必然的方向和趨勢(shì)�。為了支持基于IP網(wǎng)絡(luò)的多媒體應(yīng)用�,目前已經(jīng)制定了 H.323、 H.248����、 SIP和MGCP等信令協(xié)議�����。主被叫終端建立呼叫前,由信令 協(xié)商各自用于接收和發(fā)送媒體報(bào)文的IP地址和端口 �。信令協(xié)商完成后�����,主被 叫終端開始向?qū)Χ税l(fā)送媒體報(bào)文����。但是IP網(wǎng)絡(luò)存在固有安全性問題,例如如 何保護(hù)已經(jīng)正常建立起來的通話不受到惡意媒體報(bào)文的攻擊����,已越來越受到 關(guān)注。在NGN和IMS網(wǎng)絡(luò)中��,主被叫終端的媒體報(bào)文目前主要通過防火墻或 者加密技術(shù)進(jìn)行保護(hù)�。其中傳統(tǒng)的防火墻一般通過靜態(tài)匹配和動(dòng)態(tài)統(tǒng)計(jì)的方 法對(duì)IP報(bào)文進(jìn)行攻擊檢測(cè),主要識(shí)別報(bào)文的三層IP信息,如報(bào)文的源IP地 址���、源端口���、目的IP地址���、目的端口和IP頭中的一些信息。加密算法對(duì)整個(gè) RTP ( Real-time Transport Protocol,實(shí)時(shí)傳輸協(xié)議)報(bào)文進(jìn)行加密����,由接收終 端根據(jù)固定的算法進(jìn)行解密���。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 傳統(tǒng)防火墻無法識(shí)別特定呼叫的媒體流����,只能將所有呼叫的媒體流采用 相同的規(guī)則進(jìn)行攻擊檢測(cè),而且一般無法解析媒體流的應(yīng)用層信息�����,對(duì)貌似 合法的異?!┠丑w流或惡意攻擊媒體流無法有效防范?���,F(xiàn)有的加密技術(shù)不能兼 容所有的終端��,需要終端也支持相應(yīng)的加密、解密功能�。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種媒體流檢測(cè)的方法和裝置���,以有效的針對(duì)每一個(gè) 呼叫進(jìn)行媒體流的合法性檢測(cè),保證終端不受到貌似合法的惡意和異?!┠丑w 流攻擊�。為解決上述問題����,本發(fā)明的實(shí)施例提供一種媒體流檢測(cè)的方法��,包括以下步驟獲取接收到的媒體流的特征信息����;根據(jù)預(yù)先記錄的合法的媒體流的特征信息����,檢測(cè)所述接收到的媒體流的 特征信息�;所述檢測(cè)通過時(shí)�����,轉(zhuǎn)發(fā)所述媒體流�。為達(dá)上述目的�,本發(fā)明實(shí)施例提供一種媒體流檢測(cè)的裝置�,包括 特征信息獲取模塊����,用于獲取接收到的媒體流的特征信息����; 檢測(cè)模塊����,用于根據(jù)所述特征信息獲取模塊預(yù)先記錄的合法媒體流的特 征信息��,檢測(cè)所述接收到的媒體流的特征信息�;轉(zhuǎn)發(fā)模塊��,用于轉(zhuǎn)發(fā)所述檢測(cè)模塊檢測(cè)通過的媒體流���。 與現(xiàn)有技術(shù)相比��,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過預(yù)先記錄的合法媒體流特征信息檢測(cè)獲取的當(dāng)前媒體流特征信息��, 有效的防止了惡意媒體流的攻擊�。
圖1是本發(fā)明實(shí)施例中々某體流檢測(cè)的流程圖����; 圖2是本發(fā)明又一實(shí)施例中媒體流檢測(cè)的流程圖��; 圖3是本發(fā)明實(shí)施例中媒體流檢測(cè)的裝置圖示意圖。
具體實(shí)施方式
本發(fā)明實(shí)施例提供一種々某體流檢測(cè)的方法和裝置�����,以有效的針對(duì)每一個(gè) 呼叫進(jìn)行媒體流的合法性檢測(cè),保證終端不受到貌似合法的惡意和異常媒體 流攻擊����。下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明提供的媒體流檢測(cè)的方法和裝置進(jìn) 行詳細(xì)說明。本發(fā)明的實(shí)施例提供一種媒體流檢測(cè)的方法�����,如圖1所示�,包括以下步驟步驟S101、獲取接收到的媒體流的特征信息���。具體的,特征信息包括以下內(nèi)容中的一種或多種IP地址、端口、協(xié)議 類型����、編碼類型�����、報(bào)文長度���,SSID號(hào)(Synchronization Source Identifier )。步驟S102�����、根據(jù)預(yù)先記錄的合法的媒體流的特征信息��,檢測(cè)所述接收到 的媒體流的特征信息。在獲取接收到的媒體流的特征信息后��,根據(jù)預(yù)先設(shè)置的檢測(cè)項(xiàng)對(duì)所述接 收到的媒體流的特征信息進(jìn)行檢測(cè),所述檢測(cè)通過時(shí)則繼續(xù)以下步驟�����。所述檢測(cè)項(xiàng)為以下內(nèi)容的一種或幾種媒體流報(bào)文的長度、媒體流報(bào)文 的類型����,媒體流報(bào)文的編解碼類型�����、媒體流報(bào)文的版本號(hào)���、媒體流報(bào)文的序 列號(hào)��、媒體流報(bào)文的時(shí)間戳和媒體流報(bào)文的SSID等相關(guān)信息�����。具體的�����,獲取合法媒體流的特征信息并存儲(chǔ)。將所述預(yù)先記錄的合法的 媒體流的特征信息與接收到的媒體流的特征信息進(jìn)行匹配��,所述匹配結(jié)果為 一致時(shí)��,判斷為檢測(cè)通過����。步驟S103、所述4會(huì)測(cè)通過時(shí),轉(zhuǎn)發(fā)所述纟某體流����。對(duì)所述檢測(cè)通過的々某體流直接進(jìn)行轉(zhuǎn)發(fā)或進(jìn)行流量整型后轉(zhuǎn)發(fā)�����。以下通過本發(fā)明又一實(shí)施例對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行具體的描述 本發(fā)明實(shí)施例將本發(fā)明的方法用于具有協(xié)議代理功能的邊界網(wǎng)關(guān)控制器 上��。對(duì)RTP報(bào)文的合法性檢查��,放棄傳統(tǒng)的靜態(tài)ACL (Access Control List, 訪問控制列表)規(guī)則過濾方式���,采用動(dòng)態(tài)記錄每次呼叫的媒體流特征信息, 如主叫終端々某體流地址和端口 �,凈皮叫終端i某體流的IP (Internet Protocol,互連 網(wǎng)協(xié)議)地址和端口����,編解碼類型(Payloadtype)����,報(bào)文長度����,媒體流報(bào)文的 源同步識(shí)別標(biāo)識(shí)符(Synchronization Source identifier)等��。當(dāng)RTP凈艮文符合這些記錄的典型特征時(shí),則判斷為正常�����,然后進(jìn)一步根據(jù)媒體報(bào)文序列號(hào)(Sequence number)識(shí)別��。進(jìn)行必要的流量整型之后再傳給主叫和被叫終端。 這樣可以有效避免異?��;蛘邜阂夤舻腞TP媒體報(bào)文被轉(zhuǎn)發(fā)給終端�����。 圖2為本發(fā)明實(shí)施例的流程圖,如圖2所示�,具體包4舌以下步-驟5201、 在網(wǎng)管站或控制臺(tái)設(shè)定檢測(cè)項(xiàng)��,過濾不符合4僉測(cè)項(xiàng)設(shè)定的特4正的 媒體流�����?��?梢栽诰W(wǎng)管站或者控制臺(tái)手動(dòng)設(shè)定用于強(qiáng)制過濾的檢測(cè)項(xiàng)��,如采用特定 編碼方式的RTP報(bào)文��,如不允許基于G.711編碼方式的RTP報(bào)文通過��;也可 以強(qiáng)制設(shè)定RTP和RTCP報(bào)文的長度范圍�����,只允許符合規(guī)定長度的報(bào)文通過��。5202�、 接收媒體流呼叫時(shí)����,獲取呼叫媒體流的特征信息。 每次接收到媒體流呼叫時(shí)�����,自動(dòng)分析呼叫信令,獲取呼叫媒體流的特征信息���。所述i某體特征信息包括IP地址��、端口、協(xié)議類型���、編碼類型����、報(bào)文長 度,SSID號(hào)(Synchronization Source Identifier)等�����。 S203 、對(duì)當(dāng)前呼叫的媒體流進(jìn)行合法性檢測(cè)����。將在網(wǎng)管站或控制臺(tái)強(qiáng)制設(shè)定的檢測(cè)項(xiàng)和自動(dòng)分析得到的媒體流特征信 息采用并集的方式記錄下來�����。根據(jù)檢測(cè)項(xiàng)和媒體流特征信息對(duì)當(dāng)前呼叫的媒體流進(jìn)行合法性檢測(cè)��。其 中�,在網(wǎng)管站或控制臺(tái)設(shè)定的用于強(qiáng)制過濾的檢測(cè)項(xiàng)優(yōu)先級(jí)最高�,呼叫的媒 體流不滿足檢測(cè)項(xiàng)的任何一項(xiàng)�����,就直接丟棄處理,不再進(jìn)行后續(xù)根據(jù)記錄的 媒體流特征信息進(jìn)行的檢測(cè)���。滿足在網(wǎng)管站或控制臺(tái)強(qiáng)行設(shè)定的檢測(cè)項(xiàng)的呼叫媒體流根據(jù)記錄的媒體 特征信息繼續(xù)進(jìn)行檢測(cè)��。首先檢查源IP地址��、端口、協(xié)議類型和報(bào)文長度是否與記錄的々某體流特 征信息匹配�����。若匹配,解析應(yīng)用層協(xié)議RTP內(nèi)攜帶的々某體編解碼類型����、SSID 號(hào)����,如果編解碼類型或者SSID號(hào)不匹配����,則直接做丟棄處理��。如果在網(wǎng)管站或控制臺(tái)沒有強(qiáng)制設(shè)定檢測(cè)項(xiàng)��,采用自動(dòng)分析獲取的々某體 流特征信息作為檢測(cè)條件對(duì)呼叫的媒體流進(jìn)行合法性檢查�。7S204、對(duì)經(jīng)過合法性檢測(cè)的纟某體流進(jìn)行整型并轉(zhuǎn)發(fā)�。 動(dòng)態(tài)統(tǒng)計(jì)和檢測(cè)RTP媒體流的序列���,調(diào)整由于網(wǎng)絡(luò)導(dǎo)致的RTP才艮文亂序��, 丟棄序列號(hào)異常的報(bào)文。并且當(dāng)流量波動(dòng)大時(shí)對(duì)報(bào)文進(jìn)行流量整型后轉(zhuǎn)發(fā)����。同時(shí)�,本發(fā)明實(shí)施例還提供了一種媒體流檢測(cè)的裝置,本裝置可以為邊 緣接入設(shè)備,用于實(shí)現(xiàn)本發(fā)明提供的方法����,如圖3所示,具體包括特征信息獲取模塊10,用于獲取接收到的媒體流的特征信息����;檢測(cè)模塊20,用于根據(jù)所述特征信息獲取模塊預(yù)先記錄的合法媒體流的 特征信息,檢測(cè)所述接收到的媒體流的特征信息���;轉(zhuǎn)發(fā)模塊30����,用于轉(zhuǎn)發(fā)所述檢測(cè)模塊檢測(cè)通過的媒體流���。所述媒體流檢測(cè)的裝置還包括強(qiáng)制檢測(cè)模塊40,用于根據(jù)預(yù)先設(shè)置的檢測(cè)項(xiàng)��,對(duì)所述接收到的媒體流 的特征信息進(jìn)行檢測(cè)。媒體特征記錄模塊50�,用于獲取合法媒體流的特征信息并提供給所述檢 測(cè)模塊���。流量整型模塊60,用于對(duì)所述轉(zhuǎn)發(fā)模塊需要轉(zhuǎn)發(fā)的媒體流進(jìn)行流量整型 后�����,再由所述轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)�����。通過本發(fā)明實(shí)施例提供的媒體流檢測(cè)的方法和裝置�����,可以針對(duì)每一個(gè)特 定的呼叫進(jìn)行媒體流的合法性檢測(cè)��,且配合流量整型功能來保證終端不受到 貌似合法的惡意和異常RTP報(bào)文攻擊,有效實(shí)現(xiàn)高質(zhì)量和高安全性�����。同時(shí)可 以彌補(bǔ)現(xiàn)有技術(shù)中加密技術(shù)不能兼容所有的終端的問題�����。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可^f昔助軟件加必需的通用石更件平臺(tái)的方式來實(shí)現(xiàn)���,當(dāng)然也可以通過硬zf牛����, 但很多情況下前者是更佳的實(shí)施方式��?��;谶@樣的理解���,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該獲取機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中����,包括若干指令用以使得一臺(tái)網(wǎng)絡(luò)設(shè)備執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。以上^Hf的僅為本發(fā)明的幾個(gè)具體實(shí)施例��,但是,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1���、一種媒體流檢測(cè)的方法,其特征在于���,包括以下步驟獲取接收到的媒體流的特征信息;根據(jù)預(yù)先記錄的合法的媒體流的特征信息�����,檢測(cè)所述接收到的媒體流的特征信息���;所述檢測(cè)通過時(shí)�,轉(zhuǎn)發(fā)所述媒體流�。
2���、 如權(quán)利要求1所述媒體流檢測(cè)的方法,其特征在于�,所述獲取接收到 的媒體流的特征信息后����,還包括步驟根據(jù)預(yù)先設(shè)置的檢測(cè)項(xiàng)���,對(duì)所述接收到的媒體流的特征信息進(jìn)行檢測(cè)����; 所述4企測(cè)通過時(shí)則繼續(xù)��。
3���、 如權(quán)利要求1所述媒體流檢測(cè)的方法�����,其特征在于����,所述預(yù)先記錄的 合法特征信息的步驟具體為獲取合法媒體流的特征信息并存儲(chǔ)。
4、 如權(quán)利要求1所述媒體流檢測(cè)的方法����,其特征在于����,所述檢測(cè)接收到 的^ 某體流的特征信息的步驟具體為將所述預(yù)先記錄的合法的媒體流的特征信息與接收到的媒體流的特征信 息進(jìn)4亍匹配,所述匹配結(jié)果為一致時(shí)�����,判斷為才企測(cè)通過�。
5����、 如權(quán)利要求1所述媒體流檢測(cè)的方法���,其特征在于�,所述轉(zhuǎn)發(fā)所述i某 體流的步驟具體為對(duì)所述檢測(cè)通過的媒體流直接進(jìn)行轉(zhuǎn)發(fā)��;或 對(duì)所述檢測(cè)通過的媒體流進(jìn)行流量整型后轉(zhuǎn)發(fā)��。
6��、 如權(quán)利要求1至4中任一項(xiàng)所述媒體流檢測(cè)的方法����,其特征在于,所 述特征信息包括以下內(nèi)容中的一種或多種IP地址、端口�����、協(xié)議類型�����、編碼 類型��、報(bào)文長度��,SSID號(hào)�。
7�、 如權(quán)利要求2所述媒體流檢測(cè)的方法���,其特征在于����,所述預(yù)先設(shè)置的 檢測(cè)項(xiàng)為以下內(nèi)容的一種或幾種媒體流報(bào)文的長度����、媒體流報(bào)文的類型����, 媒體流報(bào)文的編解碼類型�����、媒體流報(bào)文的版本號(hào)�、媒體流報(bào)文的序列號(hào)�����、媒 體流報(bào)文的時(shí)間戳和媒體流報(bào)文的SSID�����。
8�����、 一種媒體流檢測(cè)的裝置����,其特征在于����,包括特征信息獲取模塊���,用于獲取接收到的媒體流的特征信息��; 檢測(cè)模塊,用于根據(jù)所述特征信息獲取模塊預(yù)先記錄的合法媒體流的特 征信息����,檢測(cè)所述接收到的媒體流的特征信息�����;轉(zhuǎn)發(fā)模塊����,用于轉(zhuǎn)發(fā)所述檢測(cè)模塊檢測(cè)通過的媒體流�。
9���、 如權(quán)利要求8所述纟某體流^r測(cè)的裝置�����,其特征在于����,還包括 強(qiáng)制檢測(cè)模塊���,用于根據(jù)預(yù)先設(shè)置的檢測(cè)項(xiàng)����,對(duì)所述接收到的媒體流的特征信息進(jìn)行;險(xiǎn)測(cè)����。
10�、 如權(quán)利要求8所述媒體流檢測(cè)的裝置���,其特征在于,還包括 媒體特征記錄模塊��,用于獲取合法媒體流的特征信息并提供給所述檢測(cè)模塊。
11��、 如權(quán)利要求8所述媒體流檢測(cè)的裝置�����,其特征在于,還包括 流量整型模塊�����,用于對(duì)所述轉(zhuǎn)發(fā)模塊需要轉(zhuǎn)發(fā)的媒體流進(jìn)行流量整型后�����,對(duì),再由所述轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)�����。
全文摘要
本發(fā)明的實(shí)施例公開了一種媒體流檢測(cè)的方法和裝置��,該方法包括以下步驟獲取接收到的媒體流的特征信息��;根據(jù)預(yù)先記錄的合法的媒體流的特征信息,檢測(cè)所述接收到的媒體流的特征信息��;所述檢測(cè)通過時(shí)����,轉(zhuǎn)發(fā)所述媒體流�����。同時(shí)本發(fā)明的實(shí)施例還提供了一種媒體流檢測(cè)的裝置����,包括特征信息獲取模塊����,用于獲取接收到的媒體流的特征信息����;檢測(cè)模塊����,用于根據(jù)所述特征信息獲取模塊預(yù)先記錄的合法媒體流的特征信息���,檢測(cè)所述接收到的媒體流的特征信息�����;轉(zhuǎn)發(fā)模塊����,用于轉(zhuǎn)發(fā)所述檢測(cè)模塊檢測(cè)通過的媒體流。本發(fā)明實(shí)施例與現(xiàn)有技術(shù)相比具有有效的針對(duì)每一個(gè)呼叫進(jìn)行媒體流的合法性檢查���,保證終端不受到貌似合法的惡意和異常媒體流攻擊等優(yōu)點(diǎn)。
文檔編號(hào)H04L29/06GK101247404SQ20081008579
公開日2008年8月20日 申請(qǐng)日期2008年3月24日 優(yōu)先權(quán)日2008年3月24日
發(fā)明者李恒友, 磊 王 申請(qǐng)人:華為技術(shù)有限公司