IMS网络SIP洪泛攻击的检测装置及方法制造方法及图纸

本发明专利技术属于移动通信安全技术领域，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，该装置包含：参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消、相同会话ID消息、相同用户消息计数器，并对该多个计数器进行初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。本发明专利技术通过对SIP信令流进行综合解析处理，根据解析处理情况进行预警和拦截，达到检测防范IMS网络洪泛攻击目的，简单、有效，提高IMS网络的安全性，对移动通信网络安全发展具有重要的意义。

【技术实现步骤摘要】
IMS网络SIP洪泛攻击的检测装置及方法
本专利技术属于移动通信安全
，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，可适用于移动通信网络中的IMS网络攻击检测。
技术介绍
IMS(IPMultimediaSubsystem)是一个IP网络，该网络能够提供语音和多媒体业务，作为下一代网络的关键技术，IMS拥有众多优异特性，诸如：支持接入无关性、归属地控制、强大的业务提供能力等。IMS使用SIP(SessionInitiationProtocol，会话初始协议)的会话控制能力来支持多媒体服务，SIP是一种客户端—服务器、基于文本的信令协议，用于创建和控制有两人或多人参与的多媒体会话。由于SIP协议采用和TCP相似的三次握手连接机制，所以针对IMS网络的SIP洪泛攻击是最常见的攻击方式。攻击者通过伪装身份向CSCF(CallSessionControlFunction，呼叫会话控制功能实体)发送大量SIP消息导致有限的网络资源被挤占，使得被攻击服务器疲于应对这些消息，从而导致网络瘫痪，及早地探测、甄别洪泛攻击对IMS网络的正常运行至关重要。常见的SIP的洪泛攻击按照某些字段是否匹配可以分为三类：所有字段均相同的SIP消息、消息中的“Call-ID”字段相同的SIP消息以及具有相同“用户标识字段”值的的SIP消息。
技术实现思路
为此，本专利技术提供一种IMS网络SIP洪泛攻击的检测装置及方法，通过对SIP信令流进行综合解析处理，建立状态机并做统计分析，然后根据情况发出预警和拦截，以达到检测防范IMS网络洪泛攻击的目的，简单、有效，有利于提高IMS网络的安全性。按照本专利技术所提供的设计方案，一种IMS网络SIP洪泛攻击的检测装置，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。上述的，所述的预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，会话ID分析子模块，用于将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则触发匹配消息类型参数分析子模块，否则，触发用户名参数分析子模块；消息类型参数分析子模块，用于将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果；用户名参数分析子模块，用于将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果；否则，触发状态机创建子模块；状态机创建子模块，用于创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。上述的，所述的检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，告警拦截子模块，用于依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则触发状态机超时处理子模块；状态机超时处理子模块用于对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。优选的，所述的状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，状态机删除单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，触发返回处理单元，；计数器清零单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零，触发返回处理单元，否则，直接触发返回处理单元；返回处理单元，用于返回并触发参数提取模块，进行下一条SIP消息处理。一种IMS网络SIP洪泛攻击的检测方法，包含如下内容：A)提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；B)将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；C)根据预警分析结果发出洪泛攻击告警。上述的方法，B)中，预警分析，具体包含如下内容：B1)将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则执行步骤B2)，否则，执行步骤B3)；B2)将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；B3)将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果，执行告警步骤；否则，执行步骤B4)；B4)创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。上述的方法，C)中，依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则进行状态机超时处理。上述的方法中，状态机超时处理中，对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。上述的方法中，状态机超时处理中，首先，依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，返回，进行下一条SIP消息处理；然后，依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零后，再返回，进行下一条SIP消息处理。上述的方法中，预设删除处理时间段阈值及预设清零处理时间段阈值根据历史数据进行设置。本专利技术的有益效果：本专利技术中，通过将检测装置部署于CSCF实体前，实时提取信令流中的关键参数，建立状态机，对相同SIP消息、Call-ID相同的SIP消息和相同用户的SIP消息进行分析和统计，进而对超出阀值的信令流进行检测告警；通过对SIP信令流进行综合解析处理，根据解析处理结果发出预警和拦截，达到检测防范IMS网络洪泛攻击的目的，简单、有效，有利于提高IMS网络的安全性，对移动通信网络的安全具有重要的指导意本文档来自技高网...

【技术保护点】
1.一种IMS网络SIP洪泛攻击的检测装置，其特征在于，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。

【技术特征摘要】
1.一种IMS网络SIP洪泛攻击的检测装置，其特征在于，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。2.根据权利要求1所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，会话ID分析子模块，用于将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则触发匹配消息类型参数分析子模块，否则，触发用户名参数分析子模块；消息类型参数分析子模块，用于将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果；用户名参数分析子模块，用于将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果；否则，触发状态机创建子模块；状态机创建子模块，用于创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。3.根据权利要求1所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，告警拦截子模块，用于依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则触发状态机超时处理子模块；状态机超时处理子模块用于对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。4.根据权利要求3所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，状态机删除单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，触发返回处理单元，；计数器清零单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处...

【专利技术属性】
技术研发人员：刘树新，柏溢，胡鑫鑫，刘彩霞，朱宇航，何赞园，李海涛，张建国，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南,41