本發(fā)明涉及網(wǎng)絡(luò)流量異常檢測領(lǐng)域，特別是涉及一種volte中sip洪水攻擊檢測與預(yù)防方法。

背景技術(shù)：

隨著volte的持續(xù)火熱，全球各個國家都在部署該項(xiàng)新一代的高質(zhì)量語音通話技術(shù)。雖然以多媒體支持、更短呼叫時間、更低掉線率等特色而聞名，volte依然存在著眾多安全問題，尤其是針對信令通道的sip洪水攻擊。該攻擊不僅會嚴(yán)重影響volte的網(wǎng)絡(luò)性能，同時會影響到正常用戶的通信安全。

雖然漏洞已經(jīng)爆出，但目前對于volte中sip洪水攻擊的有效監(jiān)測方法還并未提出。在voip領(lǐng)域，對于sip洪水攻擊的檢測方法比較多。除了基于流量大小的異常檢測這種比較直觀的檢測方法外，主要還有以下兩種：

1.利用幾種sip消息信號(如invite、ack、bye)之間的比例關(guān)聯(lián)。sengar等人提出了一種基于統(tǒng)計(jì)學(xué)的方法，叫做vfds。其主要設(shè)想是攻擊者往往只會發(fā)送某一種sip信號，因此該論文中的判斷依據(jù)是當(dāng)發(fā)生攻擊時幾種正常sip信號間的相應(yīng)比例關(guān)系將會被打破。

2.基于sip消息信號的流量趨勢，tang等人提出了一種基于三維sketch的方法來檢測異常流量趨勢的方法，其核心思想是利用訓(xùn)練數(shù)據(jù)與現(xiàn)測數(shù)據(jù)進(jìn)行對比，以發(fā)現(xiàn)異常。

在此領(lǐng)域中依然存在許多挑戰(zhàn)。比如第一類方法中，攻擊者可以發(fā)送一定比例關(guān)系的sip消息信號來繞過相關(guān)的檢測系統(tǒng)，而不是機(jī)械地發(fā)送一種sip消息信號。第二類方法中，同樣存在著幾點(diǎn)不足：1.需要特殊的訓(xùn)練階段來訓(xùn)練樣本，而在sip洪水攻擊任何時候都有可能發(fā)生的情況下，很難保證訓(xùn)練樣本不受惡意流量的污染；2.不能防御sip洪水攻擊中的一種著名攻擊——stealthy攻擊，只要攻擊者足夠耐心，一點(diǎn)一點(diǎn)地長時間增加惡意流量，那么這種基于流量趨勢的檢測方法將失效。需要對于檢測方法而言，另一難點(diǎn)在于sip流量對于一般的網(wǎng)絡(luò)流量比較特殊，只在用戶撥打電話和掛斷電話時產(chǎn)生，由于用戶撥打電話和掛斷電話的時機(jī)隨機(jī)性，sip流量的波動性非常大，因此很難捕捉該流量的變化趨勢，這也正是第三類基于流量大小的主要缺點(diǎn)。特別地，在基于流量大小的檢測方法中，low-rate洪水攻擊也是一大檢測難點(diǎn)。此外，在眾多檢測方法中，很多都只能檢測出攻擊，但無法找出攻擊者，這樣也只能做到治標(biāo)的作用，不能從根本上維護(hù)系統(tǒng)的安全。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種volte中sip洪水攻擊檢測與預(yù)防方法，包括：

將第一時間段內(nèi)的sip流量以每個sip消息信號為基本元素存儲至第一層pfilter中；

檢測所述第一時間段內(nèi)的sip流量；

根據(jù)第一閾值將所述第一時間段內(nèi)的sip流量進(jìn)行過濾找出可疑用戶；

存儲所述可疑用戶至第二層pfilter中；

根據(jù)第二閾值分析所述可疑用戶是否為攻擊用戶。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，所述sip消息信號為invite。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，所述第一閾值采用指數(shù)加權(quán)移動平均方法獲得。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，所述指數(shù)加權(quán)移動平均方法為：

其中，kp為哈希函數(shù)的個數(shù)，ui為用戶總數(shù)，mp為數(shù)組的長度，αi為每個用戶的平均傳輸個數(shù)，ri為預(yù)測的用戶平均傳輸個數(shù)，βi為預(yù)測的αi與ri之間的差距，為在i內(nèi)正常用戶重傳sip消息信號的最多次數(shù)。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，所述步驟根據(jù)第一閾值將所述第一時間段內(nèi)的sip流量進(jìn)行過濾具體為：

對所述第一時間段內(nèi)的sip流量中的每一個用戶sip地址向第一層pfilter進(jìn)行查詢；

若該地址對應(yīng)的基本元素都大于或等于第一閾值，則該用戶將被判定為可疑用戶，其傳輸?shù)牧髁恳矊⒈慌卸榭梢闪髁浚?/p>

若該地址對應(yīng)的基本元素小于第一閾值，則該用戶將被判定為合法用戶。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，所述步驟根據(jù)第二閾值分析所述可疑用戶是否為攻擊用戶具體為：

對所述可疑用戶的sip地址向第二層pfilter進(jìn)行查詢；

若該地址對應(yīng)的基本元素?cái)?shù)量都大于或等于第二閾值，則該用戶將被判定為攻擊用戶，并將該流量保留在第二層pfilter中；

若該地址對應(yīng)的基本元素?cái)?shù)量小于第二閾值則該用戶將被判定為合法用戶，并將其對應(yīng)流量刪除。

進(jìn)一步的，在所述的volte中sip洪水攻擊檢測與預(yù)防方法中，當(dāng)所述第二層pfilter中無攻擊用戶時，該層pfilter將會被清空。

本發(fā)明提出一種volte中sip洪水攻擊檢測與預(yù)防方法，首先，根據(jù)countingbloomfilter提出了一種適合在volte中檢測sip洪水攻擊的數(shù)據(jù)結(jié)構(gòu)，取名為pfilter；其次，利用pfilter，設(shè)計(jì)了一種兩層檢測模型，這兩層模型能有效提高提出檢測出sip流量異常，并且，發(fā)現(xiàn)攻擊者，并將攻擊者列入黑名單，以防止其進(jìn)一步入侵；再者，本發(fā)明能夠有效檢測出low-rate洪水攻擊和stealthy洪水攻擊。

附圖說明

圖1是本發(fā)明volte中sip洪水攻擊檢測與預(yù)防方法的流程圖；

圖2是本發(fā)明實(shí)施例的volte中一次通話的基本流程示意圖；

圖3(a)是本發(fā)明實(shí)施例在固定mp，攻擊流量為10cps下，kp對于過濾率和檢測率的影響示意圖；

圖3(b)是本發(fā)明實(shí)施例在固定mp，攻擊流量為15cps下，kp對于過濾率和檢測率的影響示意圖；

圖3(c)是本發(fā)明實(shí)施例在固定mp，攻擊流量為35cps下，kp對于過濾率和檢測率的影響示意圖；

圖3(d)是本發(fā)明實(shí)施例在固定mp，攻擊流量為50cps下，kp對于過濾率和檢測率的影響示意圖；

圖3(e)是本發(fā)明實(shí)施例在固定mp，攻擊流量為75cps下，kp對于過濾率和檢測率的影響示意圖；

圖3(f)是本發(fā)明實(shí)施例在固定mp，攻擊流量為100cps下，kp對于過濾率和檢測率的影響示意圖；

圖4(a)是本發(fā)明實(shí)施例在固定kp、，攻擊流量為15cps下，mp對于過濾率和檢測率的影響示意圖；

圖4(b)是本發(fā)明實(shí)施例在固定kp、，攻擊流量為35cps下，mp對于過濾率和檢測率的影響示意圖；

圖4(c)是本發(fā)明實(shí)施例在固定kp、，攻擊流量為50cps下，mp對于過濾率和檢測率的影響示意圖。

具體實(shí)施方式

以下通過特定的具體實(shí)例并結(jié)合附圖說明本發(fā)明的實(shí)施方式，本領(lǐng)域技術(shù)人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點(diǎn)與功效。本發(fā)明亦可通過其它不同的具體實(shí)例加以施行或應(yīng)用，本說明書中的各項(xiàng)細(xì)節(jié)亦可基于不同觀點(diǎn)與應(yīng)用，在不背離本發(fā)明的精神下進(jìn)行各種修飾與變更。

pfilter的一數(shù)據(jù)結(jié)構(gòu)和countingbloomfilter類似，pfilter同樣采用k個hash函數(shù)和一個長度為mp數(shù)組來存儲一個集合中的所有元素。該數(shù)組上的每一個基本單位稱為counter，其中對應(yīng)的數(shù)字為count。對于每個元素xi，通過多個hash函數(shù)h1，h2，...，hk將其映射到數(shù)組中的h1(xi)，h2(xi)，...，hk(xi)(若超出mp，則對mp取余)位置的counter上。這樣，每加入一個元素，對應(yīng)k個counter上的count就會相應(yīng)加1；反之，若刪除一個元素，且這k個counter中的count均不為0，則相應(yīng)的k個counter中的count就會相應(yīng)地減1。與countingbloomfilter顯著不同的一點(diǎn)在于，pfilter不依靠含0的counter來判斷是否某一元素是否合法，而是根據(jù)閾值來進(jìn)行判斷，將更多元素堆疊在同一個counter中，因此，可以節(jié)約較多的存儲空間。

本發(fā)明使用兩層pfilter結(jié)構(gòu)來對volte中的sip流量進(jìn)行過濾，第一層pfilter主要負(fù)責(zé)過濾掉一部分正常流量，第二層負(fù)責(zé)過濾出攻擊者流量。

如圖1所示，檢測時，需要先第一時間段內(nèi)的sip流量以每個sip消息信號(例如invite)為基本元素映射到第一層pfilter中去，然后對這段流量進(jìn)行檢測。此時，僅僅映射是不夠的，還需要第一閾值來對這段流量進(jìn)行過濾。該閾值需要很好地反映出第一時間段內(nèi)正常volte用戶傳輸一種sip消息(例如invite)的平均數(shù)量。為了找到一個較好的閾值，本發(fā)明采用了ewma(指數(shù)加權(quán)移動平均)方法。假設(shè)，第一時間段內(nèi)傳輸?shù)脑摲Nsip消息invite消息總數(shù)為ni，用戶總數(shù)為ui，則每個用戶的平均傳輸個數(shù)為αi＝ni/ui。再假設(shè)ri是預(yù)測的用戶平均傳輸個數(shù)，βi為預(yù)測的αi與ri之間的差距。則根據(jù)ewma，每個用戶的平均傳輸次數(shù)為：

ri＝(1-λ1)ri-1+λ1αi；

平均傳輸差距為：

βi＝(1-λ2)βi-1+λ2|αi-ri|；

其中，λ1和λ2為權(quán)重，且0＜λ1≤1，0＜λ2≤1。當(dāng)λ1和λ2越接近1，表示對當(dāng)前所測數(shù)據(jù)的權(quán)重越大；反之，若λ1和λ2越接近于0，則表示對上一次所測數(shù)據(jù)的權(quán)重越大。特別地，當(dāng)λ1＝λ2＝1時，表示只關(guān)心當(dāng)前測得的數(shù)據(jù)。

那么，當(dāng)前pfilter中的用戶平均數(shù)量為：

thre1i便是第一層pfilter中的第一閾值，為在第一時間段內(nèi)正常用戶重傳這種sip消息的最多次數(shù)。該第一閾值隨著sip流量的波動而波動，能較好地反應(yīng)出volte的網(wǎng)絡(luò)情況。

該過濾的方法為：對sip流量中的每一個用戶sip地址向第一層pfilter進(jìn)行查詢，若該地址對應(yīng)的kp個counter中的count都大于或等于thre1i，則該用戶將被判定為可疑用戶，其傳輸?shù)牧髁恳矊⒈慌卸榭梢闪髁?，記為s，以便做進(jìn)一步分析；若對應(yīng)的kp個count有一個小于thre1i，該用戶將被判定為合法用戶。

緊接著，將所述可疑用戶存儲至第二層pfilter中，第二層pfilter負(fù)責(zé)進(jìn)一步分析可疑流量，并找出攻擊者。其過濾思路為：以同樣的方式將可疑流量存儲在第二層pfilter中去，然后使用靜態(tài)的第二閾值thre2來進(jìn)行判定，找出攻擊者。需要指出的是，雖然思路與第一層相似，但判定方法與第一層不同，當(dāng)某一可疑用戶被判定為正常用戶，即其sip地址對應(yīng)的kp個counter中的count有一個小于thre2時，該用戶將被判定為正常用戶，并將其對應(yīng)流量從pfilter流量中刪除，以減少對其他sip消息判定的干擾。這樣，當(dāng)無攻擊者時，該層pfilter將會被清空；若出現(xiàn)攻擊者，即其sip地址對應(yīng)的kp個counter中的count大于或等于thre2時，其流量將會被保留在第二層pfilter中，最終被判定為攻擊者發(fā)送的流量。

【實(shí)施例】

volte中一次通話的基本流程如圖2所示，本發(fā)明被部署到p-cscf(proxy-cscf)上。原因在于：1.p-cscf在ims核心網(wǎng)的邊緣，所有的sip流量都經(jīng)過該服務(wù)器；2.p-cscf負(fù)責(zé)與ue(userequipment)建立安全通道。

對pfilter而言，最重要的參數(shù)有兩個，一個是其長度mp，一個是哈希函數(shù)的個數(shù)kp，如何配置這兩個參數(shù)對于檢測效果影響重大。對于hash函數(shù)，選用了murmurhash3函數(shù)。這kp個hash函數(shù)使用獨(dú)立的種子，保證其相互獨(dú)立。對于權(quán)重因子λ1和λ2，均取作0.8。另外，取λ3＝2，rmax＝3。在本實(shí)施例中，為了較好地模擬正常用戶的通話行為，隨機(jī)地產(chǎn)生正常流量，產(chǎn)生的正常流量隨機(jī)范圍在700cps(callpersecond)～3200cps.而攻擊者的攻擊流量為10cps～100cps。

如圖3(a)-圖3(f)所示，其是攻擊者以不同攻擊速率攻擊時，在mp＝500的情況下，檢測方案對于不同kp的影響情況。在相同攻擊速率的情況下，kp越大，過濾率filterrate越高，而檢測率detectionrate越小。需要強(qiáng)調(diào)的是，過濾的目的是為了留下攻擊者流量，從而找到攻擊者；而檢測的目的在于發(fā)現(xiàn)是否存在攻擊。在理想情況下，希望在某一kp值下，過濾率能接近于100％(只留下攻擊流量)，檢測率能達(dá)到100％，這樣，便能僅僅使用一層pfilter來完成檢測工作和過濾工作。從圖3(a)-3(f)中，在low-rate攻擊時，例如攻擊速率在10cps和15cps時，很難達(dá)到這種雙100％的效果；而在攻擊速率達(dá)到75cps和100cps時，可以發(fā)現(xiàn)，兩條曲線的幾乎相交于100％。這說明，pfilter對于檢驗(yàn)高速流量攻擊是十分有效的，僅僅一層就能實(shí)現(xiàn)檢測和查找攻擊者的目的；但low-rate攻擊由于和正常用戶的流量發(fā)送行為較為相似，因此較難檢測出。在圖3(a)中，檢測率和過濾率相交于(3.21，78.6％)，因此，為了在low-rate攻擊時仍然能獲得較好地平衡檢測率和過濾率，較佳的，選擇kp＝3。

如圖4(a)-圖4(c)，在相同kp和固定攻擊速率的情況下，不同mp值對于過濾率幾乎沒有影響，而對于檢測率具有一定的影響。當(dāng)mp越大，檢測率越高。其原因是因?yàn)閙p越大，pfilter中的counter數(shù)量越多，由于hash函數(shù)沖突產(chǎn)生的負(fù)面影響更小(實(shí)際情況下，很難保證這kp個hash函數(shù)時完全獨(dú)立的)。在圖4(b)和圖4(c)中，檢測率幾乎不變的原因是75cps和100cps的攻擊率較大，即使在mp＝100時也已經(jīng)比較明顯。為了獲得更高的過濾率和檢測率，理論上，應(yīng)該盡量使用較大的mp值；但這樣占用的存儲也將變大，空間效率也將變低。因此，為了平衡檢測效果和存儲消耗，較佳的，取mp＝500。

本發(fā)明提出一種volte中sip洪水攻擊檢測與預(yù)防方法，首先，根據(jù)countingbloomfilter提出了一種適合在volte中檢測sip洪水攻擊的數(shù)據(jù)結(jié)構(gòu)，取名為pfilter；其次，利用pfilter，設(shè)計(jì)了一種兩層檢測模型，這兩層模型能有效提高提出檢測出sip流量異常，并且，發(fā)現(xiàn)攻擊者，并將攻擊者列入黑名單，以防止其進(jìn)一步入侵；再者，本發(fā)明能夠有效檢測出low-rate洪水攻擊和stealthy洪水攻擊。

雖然本發(fā)明已以實(shí)施方式揭露如上，然其并不用以限定本發(fā)明，任何熟習(xí)此技藝者，在不脫離本發(fā)明的精神和范圍內(nèi)，當(dāng)可作各種的更動與潤飾，因此本發(fā)明的保護(hù)范圍當(dāng)視后附的申請專利范圍所界定者為準(zhǔn)。