【技术实现步骤摘要】
本专利技术涉及sip服务系统的保护,具体涉及一种基于sip协议抓包和操作系统防火墙的sip服务保护系统。
技术介绍
1、sip服务保护系统是指通过采取一系列技术和措施,以确保sip(会话初始化协议)服务的安全性、可用性和稳定性的系统。它旨在防止恶意攻击、滥用和故障,保护sip服务不受未经授权的访问、拒绝服务攻击、数据泄露等威胁。sip服务保护系统设置防火墙规则和网络安全策略,限制来自外部网络的sip流量,阻止恶意请求和攻击,确保安全的数据传输和通信。通过抓包和分析sip流量,实时监控系统中的通信和事件,快速发现和应对异常行为,避免潜在的风险和故障。采用合适的身份验证和授权机制,确保只有合法用户能够访问和使用sip服务,并以适当的权限进行操作。sip服务保护系统是一个综合的安全和稳定性管理系统,通过多个层面的技术和步骤,保护sip服务免受各种威胁,并提供可靠的通信服务。
2、现有的sip服务保护系统难以有效的存储和记录sip协议的请求和响应消息的同时,增加对sip服务数据缓冲区的保护,使得数据缓冲区的溢出极易受到攻击导致内存泄漏。
技术实现思路
1、本专利技术的目的在于提供一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,解决以下技术问题:
2、现有的sip服务保护系统难以在保证有效的存储和记录sip协议的请求和响应消息的同时,增加对sip服务数据缓冲区的保护,使得数据缓冲区的溢出极易受到攻击导致内存泄漏。
3、本专利技术的目的可以通过以
4、一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,包括:
5、sip协议分析模块:用于抓包和分析sip通信流量,提取访问请求类型、源地址、目的地址和传输协议的数据信息,并为日志和监控模块提供访问接口;
6、sip认证和授权模块:用于用户身份验证和授权;
7、访问控制模块:用于配置和管理sip服务的访问控制列表,定义允许或阻止特定ip地址或ip地址范围的访问;
8、防火墙模块:用于配置和管理sip服务系统防火墙,通过设置限定规则过滤和限制sip服务的网络流量;
9、sip服务数据缓冲区:用于存储sip协议的请求和响应消息的内存区域;
10、缓冲区管理模块:用于管理sip服务数据缓冲区的缓冲区溢出和内存泄漏。
11、作为本专利技术进一步的方案:还包括:
12、安全策略和规则模块:用于制定sip服务系统的保护的安全策略;
13、日志和监控模块:用于记录sip服务活动日志,记录的sip服务活动日志包括:呼叫请求类型、源地址、目的地址、登录和注册信息。
14、作为本专利技术进一步的方案:所述安全策略和规则模块制定的安全策略包括:限制同时注册的sip服务系统的用户数量、限制呼叫频率和限制呼叫方数。
15、作为本专利技术进一步的方案:所述缓冲区管理模块管理sip服务数据缓冲区的缓冲区溢出和内存泄漏,包括以下步骤:
16、对待写入的输入数据进行严格验证和过滤,通过正则表达式进行数据格式验证和过滤特殊字符。
17、通过栈保护手段,防御对函数调用栈的sip服务数据缓冲区溢出的攻击。
18、作为本专利技术进一步的方案:所述栈保护手段,包括:
19、sip服务程序启动时,通过aslr随机地址空间布局技术随机的选择栈帧的位置;
20、通过canary栈保护器向栈帧中嵌入若干个特殊数值;
21、在程序终止时,对栈帧中的字符进行逐个检测,并筛选特殊数值;
22、检查筛选出的特殊数值的数量或数值是否被更改,若特殊数值的数量或数值被改变,则发生了栈溢出,触发安全检测机制。
23、作为本专利技术进一步的方案:特殊数值被改变时,触发的安全检测机制,包括:
24、获取日志和监控模块的sip服务活动日志,筛选sip服务活动日志的内存错误和访问违规记录访问数据的内存区域,并作为可能异常内存区域;
25、检查发生改变的特殊数值所占用的内存区域;
26、对比可能异常内存区域与特殊数值所占用的内存区域,若相同则对sip服务活动日志的可能异常内存区域进行异常报警。
27、作为本专利技术进一步的方案:所述栈保护手段,包括:
28、sip服务程序运行时,缓冲区管理模块会随机地将dll动态链接库的内存块安排在不同的位置。
29、通过rand随机函数,随机选择内存块中每个线程的栈帧的起始地址。
30、作为本专利技术进一步的方案:通过rand随机函数,随机选择内存块中每个线程的栈帧的起始地址,包括以下步骤:
31、dll动态链接库的内存块中随机选取一个内存块,用于存储多个线程的栈帧。选取的内存块的大小应足够容纳所有线程的栈帧。
32、将内存块分割成相等的小内存块,每个小内存块对应一个线程的栈帧。
33、通过rand随机函数生成一个随机数,范围为最小栈帧的大小到内存块总大小之间;
34、将随机数与每个栈帧的大小相乘,得到对应栈帧的起始地址在内存块中的偏移量。
35、将偏移量加上内存块的起始地址,即可得到随机选择的栈帧起始地址。
36、作为本专利技术进一步的方案:所述sip认证和授权模块进行用户身份验证和授权包括:使用用户名和密码、数字证书或令牌的方式进行认证。
37、作为本专利技术进一步的方案:所述防火墙模块通过设置限定规则过滤和限制sip服务的网络流量;所述限定规则包括:
38、禁止来自特定ip地址范围的流量或特定端口的流量;
39、仅允许sip协议的流量、http流量和https流量,同时阻止其他非常用协议的流量。
40、本专利技术的有益效果:
41、本专利技术通过设置的sip服务数据缓冲区存储sip协议的请求和响应消息的内存区域,可以有效地处理大量的sip消息并进行相应的操作,有效的存储和记录sip协议的请求和响应消息,便于对sip服务数据进行记录;并通过缓冲区管理模块管理sip服务数据缓冲区的缓冲区溢出和内存泄漏,便于提供合适大小的缓冲区给sip服务使用,以避免缓冲区溢出受到攻击或存在内存泄漏问题。
42、本专利技术通过sip协议分析模块抓包和分析sip协议的通信流量,可以实时监控sip流量,并快速发现异常行为;提高系统的安全性,并防止sip协议被攻击;同时防火墙模块配置和管理sip服务系统防火墙,通过设置限定规则过滤和限制sip服务的网络流量,配合sip协议分析模块抓包和分析sip协议的通信流量,保证了sip协议的通信流量访问的安全性。
本文档来自技高网...【技术保护点】
1.一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,包括:
2.根据权利要求1所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,还包括:
3.根据权利要求2所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,所述安全策略和规则模块制定的安全策略包括:限制同时注册的SIP服务系统的用户数量、限制呼叫频率和限制呼叫方数。
4.根据权利要求1所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,所述缓冲区管理模块管理SIP服务数据缓冲区的缓冲区溢出和内存泄漏,包括以下步骤:
5.根据权利要求4所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,所述栈保护手段,包括:
6.根据权利要求5所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,特殊数值被改变时,触发的安全检测机制,包括:
7.根据权利要求4所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,
8.根据权利要求7所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,通过rand随机函数,随机选择内存块中每个线程的栈帧的起始地址,包括以下步骤:
9.根据权利要求1所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,所述SIP认证和授权模块进行用户身份验证和授权包括:使用用户名和密码、数字证书或令牌的方式进行认证。
10.根据权利要求1所述的一种基于SIP协议抓包和操作系统防火墙的SIP服务保护系统,其特征在于,所述防火墙模块通过设置限定规则过滤和限制SIP服务的网络流量;所述限定规则包括:
...【技术特征摘要】
1.一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,其特征在于,包括:
2.根据权利要求1所述的一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,其特征在于,还包括:
3.根据权利要求2所述的一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,其特征在于,所述安全策略和规则模块制定的安全策略包括:限制同时注册的sip服务系统的用户数量、限制呼叫频率和限制呼叫方数。
4.根据权利要求1所述的一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,其特征在于,所述缓冲区管理模块管理sip服务数据缓冲区的缓冲区溢出和内存泄漏,包括以下步骤:
5.根据权利要求4所述的一种基于sip协议抓包和操作系统防火墙的sip服务保护系统,其特征在于,所述栈保护手段,包括:
6.根据权利要求5所述的一种基于sip协议抓包和操作系...
【专利技术属性】
技术研发人员:韩国仕,
申请(专利权)人:安徽云影智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。