专利名称:一种sip消息洪泛攻击的检测装置和检测方法
技术领域:
本发明涉及一种保证网络信息安全传输的装置和方法,确切地说,涉及一 种SIP消息(包括INVITE消息和REGISTER消息)洪泛攻击的检测装置和检 测方法,属于网络信息安全的技术领域。
背景技术:
下一代网络NGN (Next Generation Network)是使用会话发起协议SIP (Session Initiation Protocol)通过会话控制机制来创建、管理和终结各种类型 消息的多媒体业务。NGN是电信史上的一个里程碑,标志着新一代电信网络时 代的来临。随着计算机网络的迅速普及和电信网络各种新业务的不断兴起,网 络安全问题已经逐渐渗透到社会生活的各个领域,并且变得越来越严峻。由于 NGN具有网络IP化和组网开放式的特性,使得电信网将面对原有互联网上各 种安全威胁的挑战。
在众多安全问题中,基于SIP协议的SIP消息的洪泛攻击,将严重威胁NGN 网络的安全;其中,邀请(INVITE)消息攻击和注册(REGISTER)消息攻击 最为普遍。INVITE消息和INVITE消息的攻击原理相似,都是由攻击者向攻击 目标发送大量的相关消息,使得被攻击的服务器忙于处理此类巨量消息而耗尽 服务器资源,从而对正常、合法的消息无法进行处理,导致整个电信网络的瘫 痪,这两种INVITE消息和REGISTER消息的攻击看似简单,但是,真正防御 它们还是相当困难的 一方面,这种SIP协议的SIP消息攻击使用的数据包都 是正常数据包,网络服务器在正常运行时不会拒绝和禁止该类数据包;另一方 面,攻击者不需要得到目标主机的返回信息,就可以伪造数据包的源IP地址, 从而使得攻击主机无从追查其来源,因此这些消息的检测和阻断都十分困难, 从而使网络安全的攻击者、破坏分子或恐怖分子有了可乘之机。所以,网络安全问题不但影响电信网的正常运行,而且可能造成国家安全和国民经济的巨大
损失,它的损失和影响甚至不亚于一场恐怖袭击。例如,2003年发生的洪泛攻 击造成北美、欧洲和亚洲的互联网发生大面积的堵塞,据估计至少有2.2万台 网络服务器和25万台计算机遭到攻击,受灾最重的韩国全国网络瘫痪了整整 24个小时,造成了难以挽回的巨大损失。因此,迫切需要一种有效的检测手段 及时发现破坏网络安全的攻击行为,以便能够及时采取相应措施遏制相关攻击 的蔓延和发展。
从2002年至今,国外的美国密歇根大学的H.Wang、澳大利亚墨尔本大学 的Tao Peng、希腊塞萨利大学的Moustakides等人先后提出运用非参数CUSUM 算法检测互联网中SYN洪泛攻击。德国开放通讯系统研究所的Yacine Rebahi 等人运用上述算法检测IMS网络中的SIP洪泛攻击。国内也从2005年开始, 解放军信息工程大学的林白、南京邮电大学的陈伟、南京大学的严芬、大连理 工大学的于明等人先后运用上述算法针对互联网中的SYN洪泛攻击开展研究。 然而,截止到目前,国内运用非参数累积和CUSUM (cumulativesum)算法, 即简称为CUSUM方法检测洪泛攻击还仅仅停留在针对TCP消息阶段,而针对 SIP消息的洪泛攻击的检测和防御手段的研究几乎是一片空白。其主要原因是 运营商目前还没有4巴NGN推向市场。
另外,如果将现有的检测SYN洪泛攻击方法用于SIP洪泛攻击的检测,存 在以下缺点(1);险测时间过长,也就是^r测到攻击发生的时刻与实际攻击 发生的时刻二者之间的时间差过长。(2)检测装置复原的时间过长,即当网络 攻击停止后,检测装置恢复到正常工作状态的时间过长。(3)检测成功率低。
目前,各电信运营商和管理部门都在急切希望运用NGN网络提供通信业 务。但是,未来隐存的各种网络安全问题明显地减缓了这一趋势。
因此,如何尽快研制一种能够有效阻止SIP消息洪泛攻击的检测装置和方 法,以遏制此类攻击的蔓延和发展,为NGN网络的通信业务提供很好的安全 传输和服务质量的保证,就成为业内科技人员急需解决和义不容辞的任务。
发明内容
有鉴于此,本发明的目的是提供一种SIP消息洪泛攻击的检测装置和检测 方法,本发明的检测装置和方法都是基于DW-CUSUM模块构建的,部署在下 一代电信网中,能够有效地检测出NGN网络中的针对SIP消息的洪泛攻击, 为NGN通信业务提供安全保证,进而为国家的通信产业做出贡献。
为了达到上述目的,本发明提供了一种SIP消息洪泛攻击的检测装置,其 特征在于所述装置是由采集层、数据层、检测层和响应层四层架构的相关功 能模块所组成,其中
采集层,设有通过调用UNIX/LINUX系统函数和使用SIP协议栈抓取在网 络中传输的SIP数据包的抓包模块,以完成采集网络中的SIP数据包的功能;
数据层,负责对来自采集层的SIP数据包进行预处理,并对得到的INVITE 消息和REGISTER消息的数值分别进行存储处理;设有对SIP数据包中的 INVITE消息和REGISTER消息分别累加统计其数量的数据预处理模块,以及 分别存储INVITE消息和REGISTER消息的统计数值、以供^f企测层调用的 INVITE数值存储模块和REGISTER数值存储模块;
检测层,设有分别对INVITE消息数值和REGISTER消息数值进行处理的 基于双窗口非参凄t累积和DW-CUSUM ( double windows non-parametric cumulative sum)算法的功能模块,负责调用数据层中存储的INVITE消息数值 和REGISTER消息数值,并采用DW-CUSUM算法对上述消息数值进行检测处 理,得到^f企测结果;
响应层,设有接收检测层输出的检测结果数据进行决策是否告警的报警模 块,当检测结果数据超过响应层设定的阈值时,该模块认为遭到SIP洪泛攻击, 就发出告警信号;否则,表示网络运行正常,未发生SIP洪泛攻击。
所述进行数量累加统计的INVITE消息包括两种在设定的时间段w内分 别抓取的INVITE消息总数U")和包括该INVITE消息与其相应的应答消息 的交互过程完整的INVITE消息总数S,^(w);所述进行数量累加统计的REGISTER消息包括两种在设定的时间段"内分别抓取的REGESTER消息总
数7;-,(")和包括该REGESTER消息与其相应的应答消息的交互过程完整的 REGESTER消息总数^一,(M)。
所述装置安装在一台服务器上,并与本地NGN网络或使用SIP协议的网络 与互联网Intemet、移动网PLMN、其他的NGN网络或4吏用SIP协议的网络之 间的三层交换机相连接,或者连接本地NGN中的呼叫代理-会话控制功能 P-CSCF节点。
为了达到上述目的,本发明还提供了一种SIP消息洪泛攻击的检测方法, 其特征在于包括下列操作步骤
(1 )采集层的抓包模块通过调用其中设有能在UNIX/LINUX系统里提供 独立的用户级别网络数据包捕获接口的捕包函数,获取本地模块信息而采集SIP 数据包;
(2) 数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块, 分别统计该数据包中的INVITE消息和REGISTER消息的数量,并将统计结果 分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储;
(3) 检测层的DW-CUSUM模块分别调用数据层中INVITE数值存储模块 和REGISTER数值存储模块中的相关数据进行检测,判断是否发生SIP消息洪 泛攻击;
(4) 响应层中的报警模块接收检测层的DW-CUSUM模块的检测结果,如 果判断遭到SIP洪泛攻击时,该报警模块发出报警;
(5 )返回步骤(1 ),继续执行检测SIP消息的相关操作。 所述步骤(1)进一步包括下列操作内容
(11) 抓包模块通过捕包函数寻找系统中可用的网络接口模块,开始监听
会话;
(12) 通过编辑过滤字符串来设置过滤器的过滤条件,并制定要捕获的SIP 协议的属性设置为INVITE或REGISTER的消息,以便能够有效地捕获该模块指定类型的数据包;
(13 )执行捕获循环每捕获一个数据包后就调用用户的回调函数对数据 包进4于处理。
所述步骤(3)在检测处理INVITE消息时,进一步包括下列操作内容
(31) 初始化设置取样间隔时间后,DW-CUSUM模块调用数据层中第"个 取样间隔时间段内的INVITE消息总数j;vte (w)和包括该INVITE消息与其相应的 应答消息的传输交互过程完整的INVITE消息总数《w("),再将两者相减得到 其差值A:,式中,自然数n是取样间隔时间的序号;
(32) DW-CUSUM模块对上述每个差值1 进行归一化变换处理 i^X/f("),式中,巧w)是传输交互过程完整的INVITE消息总数&她(")的均 值,它是由实时估计而周期更新的,该的递归估计值为 P(")J("-1) + (l-;i)D) , 式中,X为指数加权移动平均EWMA 系数,取值范围是[O, l];这样得到一个差值序列{之};
(33 )DW-CUSUM才莫块再对差值序列{《}中的每个差值X"进行转换处理 令2 =疋-",式中,"是在网络无攻击情况下的{之}序列的最大值,该"参数 是根据网络情况设置的,从而组成z 的数值序列;
(34 )为提高检测效率和缩短检测时间,该DW-CUSUM模块使用第一个 滑动窗口 K顺序地对数值序列^进行截取而重新赋值,该滑动窗口长度为《, 即该滑动窗口内^数列有i:个;并将该滑动窗口内的I个Z"值分别与阀值进行 比较,如果其中每个A值都大于阀值,则选取其中的最大值来替代该滑动窗口 内的第一个数值后,继续向前顺序滑动该窗口;否则,对该窗口内的每个Z"值 不作任何改变而继续向前顺序滑动该窗口;经由上述顺序滑动窗口的操作后, 得到新的数值序列Z"';
(35)为了缩短攻击检测结束后,该装置恢复到正常状态的时间, DW-CUSUM模块使用第二个滑动窗口 X'顺序地对数值序列Zj进行截取而重新赋值,第二个滑动窗口长度为〖,,即该滑动窗口内z:数列有a:'个;然后,利
用公式j^O^+zo、f^'+z"',凡-|+2"'>0 对该第二个滑动窗口内的f个
U"-1' 兀卜i + z"o
z"值一起进行累积和计算后,得到一个乂,数值;该公式的涵义是当4的数值
大于零时,i的值是凡—,与z:之和;当z:的数值小于或等于零时,i的值就是
jv,,即不作加法运算;如果得到的大于或等于设置的阀值w与大于i的阀 值系数z的乘积z x iv,则将该凡的数值重新赋值为阀值;v与新的阀值系数z'的
乘积丄'7V,即;;jL'xiV,其中,1<Z4L,两个阀值系数i和〃的数值都是根据
网络具体情况设定的;否则,凡保持不变,以使少。能在较短时间内恢复到正常 工作状态;然后,该第二个窗口继续向前顺序滑动,再对下一个窗口内的iT个 z"'值进行计算后,得到第二个凡数值;如此依次顺序滑动窗口的操作和计算, 得到的凡的数值序列作为检测结果数据输出。
所述步骤(3)在检测处理REGISTER消息的操作步骤中,只是在所述步 骤(31)初始化设置取样间隔时间后,DW-CUSUM模块是调用数据层中设定 时间间隔内存储的REGISTER消息总数7^旨(《)和包括该REGISTER消息与其
相应的应答消息的完整交互序列总数&—, ,其它相应的操作内容都与检测处
理INVITE消息的操作步骤相同。
所述步骤(4)中的报警模块的操作步骤如下先设定检测攻击的判断门限 阈值N,并将接收到的来自检测层的检测结果信息凡与该阈值N进行比较,即
INVITE洪泛攻击的判决函数为《OU = 10<Ar;式中,^GO为在时刻w
L ,凡
的判决结杲若力大于等于N,则报警信息值为"1",表示发生了洪泛攻击, 报警模块发出报警,且^越大表明攻击越强;否则,报警信息值为"0",表示 无攻击发生,网络正常运作。
本发明的技术创新的关键是研制一种DW-CUSUM检测模块,用其作为针 对SIP消息洪泛攻击的检测装置的核心,并为此研制成功一种能够在NGN网络中有效;险测出针对SIP消息的洪泛攻击的方法,为NGN通信业务的安全传 输和服务质量提供可靠保证。
该DW-CUSUM检测模块的创新特点是为了使该模块接收的INVITE或 REGISTER消息数量与网络环境无关,先运用指数加权移动均值(EWMA)进 行归一化处理,输出归一化数值序列。再将上述序列减去该序列的上界,使得 该序列在正常情况下的抽样时刻数值通常都小于零;只有遭到洪泛攻击时,该 序列抽样时刻的数才会大于零,有利于正确判决。另外,为提高检测效率和缩 短检测时间,还对上述数值序列转换后,再进行累积和计算该数值序列中的 某个数值如果大于零,则要将该数值加到检测结果上;如果小于或等于零,则 不把该数值加到检测结果上。然后,对经过累积和计算后的值再与该模块设置 的一个阀值比较,如果大于或等于该阀值,则对其重新赋值,否则,不进行任 何改变。最后,才将上述累积和的数值与设置的报警阀值进行比较,如果大于 或等于报警阀值,就输出报警;否则,继续执行检测任务。
本发明的优点如下(1)本发明装置和方法的检测性能优秀,其检测成功 率接近100% ,误报率接近0 ,而且检测时间和检测结束后的复原时间都较短。 (2)本发明装置的架构筒单,只有四层,且每层的功能模块也非常简单、紧凑, 从而使得该装置具有结构简单、小巧,制造容易、灵活,易于部署和实用性强 的特点。(3)本发明如果设置在远离攻击源的网络中,能够有效地检测出针对 本网络的洪泛攻击;如果直接部署在发生攻击的源端网络中,则能在最短时间 内迅速检测到攻击并发现攻击源。因此,本发明的检测性能强、实用性好,具 有很好的推广应用前景。
图1是本发明SIP消息洪泛攻击的^f企测装置结构组成示意图。 图2是本发明装置设置在网络上的位置示意图。 图3是本发明SIP消息洪泛攻击的检测方法操作步骤流程图。 图4是本发明检测方法中的数据预处理模块操作流程示意图。图5是本发明检测方法中的DW-CUSUM模块工作流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作 进一步的详细描述。
参见图1,介绍本发明SIP消息洪泛攻击的检测装置结构组成。 本发明检测装置是由采集层、数据层、检测层和响应层四层架构的相关功 能模块所组成,其中在采集层中设有抓包模块,该抓包模块负责通过调用 UNIX/LINUX系统函数和使用SIP协议栈抓取在网络中传输的SIP数据包,完 成采集网络中的SIP数据包的功能。在数据层设有对SIP数据包中的INVITE 消息和REGISTER消息分别累加统计其数量的数据预处理模块,以及INVITE 数值存储模块和REGISTER数值存储模块,这两个模块分别负责存储所采集到 的、供检测层调用的INVITE消息和REGISTER消息的统计数值;该数据层负 责对来自采集层的SIP数据包进行预处理,并对得到的INVIT消息和REGISTER 消息的数值分别进行存储处理。在检测层中,设有两个DW-CUSUM模块。分 别负责调用数据层中存储的INVITE消息数值和REGISTER消息数值,并采用 DW-CUSUM算法对上述消息数值进行检测处理,得到检测结果后,再传送到 报警模块。在响应层中设有报警模块,用于接收检测层输出的检测结果数据, 并进行决策判断是否告警当检测结果数据超过响应层设定的阈值时,该报警 模块认为遭到SIP洪泛攻击,就发出告警信号;否则,表示网络运行正常,未 发生SIP洪泛攻击。
本发明装置中的数据预处理模块进行数量累加统计的INVITE消息有两 种在设定时间段w内分别抓取的INVITE消息总数Uw)和包括该INVITE消 息与其相应的应答消息的交互过程完整的INVITE消息总数U");累加统计 数量的REGISTER消息也是两种在设定的时间段/z内分别抓取的REGESTER 消息总数 ;w(M)和包括该REGESTER消息与其相应的应答消息的交互过程完
整的REGESTER消息总数S一fe 的安装位置本发明装置安装在一台服务器上,该服务器分别与本地NGN网络或使用SIP协议的网络与Internet (互联网)、PLMN (移动网)、其他的NGN网络或使用SIP协议的网络之间的三层交换机相连接,或者该装置连接本地NGN中的呼叫代理-会话控制功能P-CSCF节点。
本发明装置部署后,将能在发生攻击的第一时间内;f企测到外来或本地的洪泛攻击,从而提高了网络抵御洪范攻击的灵敏度,使早期检测和预防成为现实;并且,能够为后续采取相应的防御措施提供保障和节省时间,成为NGN抵御洪泛攻击的重要屏障。
参见图3,具体说明本发明检测方法的具体操作步骤
步骤1 、采集层的抓包模块通过调用其中设有能在UNIX/LINUX系统里提供独立的用户级别网络数据包捕获接口的Libpcap捕包函数,获取本地模块信息而采集SIP数据包。该步骤进一步包括下列操作内容
(11) 抓包模块通过Libpcap捕包函数寻找系统中可用的网络接口模块,返回一个表示网络适配器的字符串;然后,打开模块通过函数pcap—open一liveO开始建立监听会话。
(12) 通过编辑过滤字符串来设置过滤器的过滤条件,并制定要捕获的SIP协议的属性设置为INVITE或REGISTER的消息(method=,,INVITE",method=,,REGISTER"),以便能够有效地捕获该模块指定类型的数据包;
(13 )执行捕获循环每捕获一个数据包后就调用用户的回调函数对数据包进行处理。
步骤2、数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块,分别统计该数据包中的INVITE消息和REGISTER消息的数量,并将统计结果分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储。
参见图4,说明数据层中数据预处理模块的操作流程当它收到抓包模块送来的数据包后,先判断是否为SIP数据包,如果不是,则丢弃。如杲是,则继续查看SIP数据包中的method属性项,如果该属性项的值是INVITE,则向INVITE数值存储模块传输一个标记值,表明在该设定时间内发现一个INVITE消息;如果该属性项的值是REGISTER,则给REGISTER数值存储模块传输一个标记值,表明在该设定时间内发现一个REGISTER消息;如果不是上述两个属性项,则丢弃该数据包。
步骤3 、检测层的两个DW-CUSUM模块分别调用数据层中INVITE数值存储模块和REGISTER数值存储模块中的相关数据进行检测,判断是否发生SIP消息洪泛攻击。
下面以检测INVITE攻击为例,说明该步骤3在检测INVITE消息时的具体操作内容
(31 )初始化设置取样间隔时间(例如60秒)后,DW-CUSUM模块调用数据层中第"个取样间隔时间段内的INVITE消息总数7;由(")和包括该INVITE消息与其相应的应答消息(INVITE, RES, ACK)的传输交互过程完整的INVITE消息总数《. *("),再将两者相减得到其差值足a=t;v,>)-u"),式中,自然数n是取样间隔时间的序号。DW-CUSUM模块的功能就是通过监控义 的数值变化来判断网络是否正在接收异常的INVITE连接。
通常在攻击出现时,u力值会大于S,^(")值,且两者之间的差值会激增。而在SIP网络正常运行时,终端与网络实体之间发送的INVITE消息总数与包括该INVITE消息与其相应的应答消息(INVITE, RES, ACK)的传输交互过程完整的INVITE消息总数之间呈现很强的正相关性,两者数量差很小,即X"趋近于O;也就是两者之间严格的——对应是SIP网络的正常行为。而在INVITE消息洪泛攻击场景下,攻击者向SIP网络实体发送大量的INVITE消息,但其不会对来自SIP网络实体的2XX/4XX/5XX/6XX RES响应作相应的ACK回复,从而使得两种消息序列之间的统计特性发生较大改变,即7;,,,te (与(w)的差值迅速增大,即a远远大于O,将发生突变。
(32)经过第w个抽样时间的测量后,得到一组反应u")与《牆(")差值变化情况的随机数组序歹'j(a," = 1,2,3...}。众所周知,数组序列{1 }的均值通常是与SIP网络的规模和取样的时间区间有密切关系。为减少上述因素的影响,使本发明4全测方法能适用于各种SIP网络而具有通用性和普遍性,DW-CUSUM模块要对上述数组序列中的每个差值X"进行归一化变换处理戈,=1/7( ),
式中,巧^是传输交互过程完整的INVITE消息总数U")的均值,它是采用实时估计而周期更新的,该&")的递归估计值为P(") = ;L^("-1) + (1-/1)&咖("),p(0) = S,.wte(l),式中,人为指数加权移动平均EWMA系数,取值范围是[O, l];这样得到一个差值序列{^}。进行归一化后,之代表偏移量相对于合法业务流
量所占的比例,随机序列{^"," = 1,2,3-}不再与网络规模和抽样时刻有关,而是
一个平稳的独立随机过程。在SIP网络工作正常时,(之)的均值^(之^c《1,即正常状况下偏移量所占的比例i^小, <接近于0。 一旦发生了 INVITE洪泛攻击,D)与D)的差值迅速增大,{^}的均值将发生突变。
(33) DW-CUSUM算法的一个假设条件是在正常情况下随机数组序列的均值为负值,而当出现异常状况后,其变为正值。为此,DW-CUSUM模块再对差值序列gj中的每个差值J^进行转换处理令4=足-/ ,式中,参数p是在网络无攻击情况下的序列{&}的最大值,该/7是根据网络情况设置的,从而组成4的数值序列;这样,在没有丟失任何统计特性的情况下,{之}就被转换成另一个均值为负的随机数值序列。在正常情况下,z"的均值为负;而当攻击发生时,Z。会突然变得很大并且为正,即^>0。
(34 )为提高检测效率和缩短检测时间,该DW-CUSUM模块使用第一个滑动窗口顺序地对随机数值序列Z"进行截取而重新赋值,第一个滑动窗口长度为I,即该滑动窗口内Z"数列有i:个;并将该滑动窗口内的兀个z"值分别与阔值进行比较,如果其中每个Z"值都大于阀值,则选取其中最大值来替代该滑动窗口内的第一个数值后,继续向前顺序滑动该窗口;否则,对该窗口内的每个A值不作任何改变而继续向前顺序滑动该窗口;经由上述顺序滑动窗口的梯:作后,得到新的随机数值序列z:。例如,设定第一个滑动窗口大小为3,如果z,>A,,且4+1>&和Z,+2〉A,贝ij Z「max(Zi,Z,+,,Z,+2),其中A, & , ^为是阀值(可调参数)。如此经过第一个滑动窗口进行重新赋值后,得到新的随机数值序列Z:。
(35)为了使得攻击检测结束后,该检测装置复原到正常工作状态的时间 能够缩短,DW-CUSUM冲莫块又使用第二个滑动窗口顺序地对随机数值序列Z ' 进行截取而执行累积和计算,第二个滑动窗口长度为iT,即该滑动窗口内Z:数
列有兀'个;然后,利用公式3^0^ + ")、^"—'+z"', l'+2"'>()对第二个滑动
;这样得到一个差值序列{^};(33 ) DW-CUSUM模块再对差值序列{《}中的每个差值《,进行转换处理令Zh^之-",式中,/ 是在网络无攻击情况下的{之}序列的最大值,该p参数是根据网络情况设置的,从而组成2 的数值序列;(34) 为提高检测效率和缩短检测时间,该DW-CUSUM模块使用第一个滑动窗口〖顺序地对数值序列Z"进行截取而重新赋值,该滑动窗口长度为〖,即该滑动窗口内Z"数列有〖个;并将该滑动窗口内的〖个Z"值分别与阀值进行比较,如果其中每个zj直都大于阀值,则选取其中的最大值来替代该滑动窗口内的第一个数值后,继续向前顺序滑动该窗口;否则,对该窗口内的每个z"值不作任何改变而继续向前顺序滑动该窗口 ;经由上述顺序滑动窗口的操作后,得到新的数值序列Z二(35) 为了缩短攻击检测结束后,该装置恢复到正常状态的时间,DW-CUSUM模块使用第二个滑动窗口 Z,顺序地对数值序列Z '进行累积和计算,第二个滑动窗口长度为iT,即该滑动窗口内Zj数列有K,个;然后,利用公式凡=(凡1+^')+=^"—1 + Z"', UZ"'>0对该第二个滑动窗口内的《,个z:值一起进行计算后,得到一个^数值;该公式的涵义是当z"'的数值大于零时,L的值是3V,与ZJ之和;当Z:的数值小于或等于零时,凡的值就是;v,,即不作加法运算;如果得到的^大于或等于设置的阀值7V与大于1的阀值系数丄的乘积丄xiV,则将该凡的数值重新赋值为阀值7V与新的阀值系数z'的乘积i:w,即A=/ x—/V,其中,1<£'2丄,阀值系数乙和丄'的数值都是根据网络具体情况设定的;否则,凡保持不变,以使^能够在较短时间内恢复到正常工作状态;然后,该第二个窗口继续向前顺序滑动,再对下一个窗口内的i:,个z"'值进行计算后,得到第二个y"数值;如此依次顺序滑动窗口的操作和计算,得到的凡的数值序列作为检测结果数据输出。
7、 根据权利要求4或6所述的检测方法,其特征在于所述步骤(3)在检测处理REGISTER消息的操作步骤中,只是在所述步骤(31 )初始化设置取样间隔时间后,DW-CUSUM模块是调用数据层中设定时间间隔内存储的REGISTER消息总数i;一,.(")和包括该REGISTER消息与其相应的应答消息的完整交互序列总数&一,("),其它相应的操作内容都与检测处理INVITE消息的操作步骤相同。
8、 根据权利要求4所述的检测方法,其特征在于所述步骤(4)中的报警模块的操作步骤如下先设定检测攻击的判断门限阈值N,并将接收到的来自检测层的检测结果信息j;。与该阈值N进行比较,即INVITE洪泛攻击的判决函数为《00 =O,少式中,400为在时刻"的判决结果若凡大于等于N,则报警信息值为'T,,表示发生了洪泛攻击,报警模块发出报警,且凡越大表明攻击越强;否则,报警信息值为"0",表示无攻击发生,网络正常运作。
全文摘要
一种SIP消息洪泛攻击的检测装置和检测方法,该检测装置由采集层、数据层、检测层和响应层四层架构的相关功能模块所组成。其中采集层设有采集网络中SIP数据包的抓包模块。数据层对来自采集层的SIP数据包作预处理,并分别存储抓到的INVITE消息和REGISTER消息的总数目。检测层负责调用该存储的INVITE消息数值和REGISTER消息数值,并采用DW-CUSUM算法对该数值进行检测和输出检测结果。响应层的报警模块对该检测结果进行判断决策是否告警若检测结果超过设定阈值时,认为遭到SIP消息洪泛攻击,发出告警信号;否则,表示网络运行正常。本发明能有效检测出NGN网络中的针对SIP消息的洪泛攻击,且检测性能优秀,为NGN通信业务提供安全保证。
文档编号H04L29/06GK101459677SQ20091007631
公开日2009年6月17日 申请日期2009年1月9日 优先权日2009年1月9日
发明者孙其博, 李静林, 杨放春, 王尚广, 闫丹凤 申请人:北京邮电大学