亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

對不完整會話攻擊進行檢測的方法和裝置的制作方法

文檔序號:7699512閱讀:213來源:國知局
專利名稱:對不完整會話攻擊進行檢測的方法和裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種對基于SIP(會話起始協(xié)議,Session Initiatjon Protocol)協(xié)議的不完整會話攻擊進行檢測的方法和裝置。
背景技術(shù)
以SIP協(xié)議為基礎(chǔ)的IMS (IP Multimedia Subsystem, IP多媒體子系統(tǒng))/ NGN (Next Generation Network,下一代網(wǎng)絡(luò))解決方案,面對著很多傳統(tǒng)電信網(wǎng)絡(luò)所沒有 經(jīng)歷的安全威脅。IMS/NGN解決方案的業(yè)務(wù)邏輯相對復雜,用戶和用戶、用戶和網(wǎng)絡(luò)之間特定的業(yè)務(wù) 實現(xiàn)需要在用戶和網(wǎng)絡(luò)側(cè)建立狀態(tài),并在狀態(tài)轉(zhuǎn)移的過程中進行資源分配。在SIP信令層 面上,攻擊者發(fā)起SIP請求,要求通信對端(網(wǎng)絡(luò)側(cè)或另一用戶)分配資源并建立狀態(tài),但 攻擊者并不對通信對端的響應(yīng)消息進行處理,也不進行真正的資源分配,通信對端的狀態(tài) 和資源分配將一直保留到本次會話超時。攻擊者通過發(fā)起大量不能完成的會話,造成通信 對端的信令處理能力的大量消耗,形成資源耗盡型DoS (Denial of service,拒絕服務(wù))攻 擊,且無法為網(wǎng)絡(luò)側(cè)成功計費,這種攻擊方法稱之為基于SIP的不完整會話攻擊。上述不完整會話攻擊中的SIP請求主要包括REGISTER(注冊)請求和INVITE (邀 請)請求,其中REGISTER請求對攻擊者的要求為已注冊合法用戶身份、未注冊合法用戶或 未注冊非法用戶,INVITE請求對攻擊者的要求為已注冊合法用戶身份?,F(xiàn)有技術(shù)中的一種對上述基于SIP的解決方案中的不完整會話攻擊進行防護的 方法為由于上述不完整會話攻擊實質(zhì)上是一種flooding(流量式)型的攻擊,該方案通 過防火墻設(shè)備來檢測和防護基于flooding的DoS攻擊以及上述不完整會話攻擊,通過配置 防火墻設(shè)備的ACL (Access Control List,訪問控制列表)流量規(guī)則,對于超過流量閥制的 數(shù)據(jù)流實施過濾。對于基于flooding的DoS攻擊能夠提供有效的防護。在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題由于基于SIP的不完整會話攻擊的資源消耗能力基于會話超時前大量處于“會話 建立中”狀態(tài)的SIP請求的累積,上述不完整會話攻擊可以在不明顯違背防火墻設(shè)備的ACL 流量規(guī)則的前提下,通過相對慢速的SIP請求來消耗資源。因此,該方案中的防火墻設(shè)備并 不能有效地檢測出基于SIP的不完整會話攻擊,也不能對基于SIP的不完整會話攻擊進行 有效地防護。

發(fā)明內(nèi)容
本發(fā)明的實施例提供了一種對不完整會話攻擊進行檢測的方法和裝置,以有效地 檢測出基于SIP的不完整會話攻擊。一種對不完整會話攻擊進行檢測的方法,包括獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量;根據(jù)所述用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,以及 預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。一種對不完整會話攻擊進行檢測的方法,包括確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述處于會話建立中的會話類型包 括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立失敗而退出的會話;判斷所述處于會話建立中的會話總數(shù)是否大于預先設(shè)定的第三閥值,如果是,則 確定所述用戶發(fā)起了不完整會話攻擊。一種網(wǎng)絡(luò)裝置,包括獲取模塊,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起的會話初始 請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量;判斷處理模塊,用于根據(jù)所述用戶發(fā)起的會話初始請求數(shù)量和所述用戶收到的成 功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。一種網(wǎng)絡(luò)裝置,包括會話總數(shù)確定模塊,用于確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述會話 建立中的會話類型包括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建 立失敗而退出的會話;會話處理模塊,用于判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè)定 的第三閥值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。一種網(wǎng)絡(luò)系統(tǒng),包括所述的網(wǎng)絡(luò)裝置和用戶設(shè)備,所述用戶設(shè)備,用于使用戶通過該用戶設(shè)備發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶通過所述用 戶設(shè)備發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,根據(jù)所述用戶發(fā)起的 會話初始請求數(shù)量和所述用戶收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所 述用戶是否發(fā)起了不完整會話攻擊。一種網(wǎng)絡(luò)系統(tǒng),包括所述的網(wǎng)絡(luò)裝置和用戶設(shè)備,所述用戶設(shè)備,用于使用戶通過該用戶設(shè)備發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置,用于確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述會話建立 中的會話類型包括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立失 敗而退出的會話;判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè)定的第三閥 值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。由上述本發(fā)明的實施例提供的技術(shù)方案可以看出,本發(fā)明實施例通過統(tǒng)計已注冊 的用戶或特定的用戶接入網(wǎng)段中的未注冊用戶發(fā)起的會話初始請求數(shù)量和收到的成功建 立會話的響應(yīng)數(shù)量,可以判斷出該已注冊的用戶或特定的用戶接入網(wǎng)段中的未注冊用戶是 否發(fā)起了不完整會話攻擊,從而有效地對已注冊的用戶或特定的用戶接入網(wǎng)段中的未注冊 用戶發(fā)起的基于SIP的不完整會話攻擊進行檢測。


為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本 領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。圖1為本發(fā)明實施例一提出的對基于SIP的不完整會話攻擊進行檢測的方法的處 理流程圖;圖2為本發(fā)明實施例三提出的對基于SIP的不完整會話攻擊進行檢測的方法的處 理流程圖;圖3為本發(fā)明實施例提供的一種網(wǎng)絡(luò)裝置的具體實現(xiàn)結(jié)構(gòu)圖;圖4為本發(fā)明實施例提供的另一種網(wǎng)絡(luò)裝置的具體實現(xiàn)結(jié)構(gòu)圖;圖5為本發(fā)明實施例提供的一種網(wǎng)絡(luò)系統(tǒng)的具體結(jié)構(gòu)圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā) 明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施 例,都屬于本發(fā)明保護的范圍。本發(fā)明實施例可以應(yīng)用于基于SIP的網(wǎng)絡(luò),具體可以是IMS網(wǎng)絡(luò),也可以是其他協(xié) 議類型的網(wǎng)絡(luò)。本發(fā)明實施例中,獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起(可以是 主動發(fā)起,也可以是被要求發(fā)起,以下不再贅述)的會話初始請求數(shù)量和收到的成功建立 會話的響應(yīng)數(shù)量。然后,根據(jù)所述用戶主動發(fā)起的會話初始請求數(shù)量和收到的成功建立會 話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。進一步地,獲取在一個不完整會話攻擊的檢測周期內(nèi),一個已注冊用戶發(fā)起的會 話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量;或者,特定的用戶接入網(wǎng)段中的未注 冊用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量。進一步地,所述的不完整會話攻擊的檢測周期大于一個會話的超時時長。進一步地,計算所述用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng) 數(shù)量之間的差值,判斷所述差值是否大于預定的第一閥值,如果是,則判斷所述用戶發(fā)起了 不完整會話攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊。進一步地,在判斷所述用戶發(fā)起了不完整會話攻擊后,對所述用戶發(fā)起的會話進 行取消或拒絕處理;或者,在安全日志中記錄所述用戶的攻擊行為,并上報不完整會話攻擊
生敬口目。為便于對本發(fā)明實施例的理解,下面將結(jié)合附圖以幾個具體實施例為例做進一步 的解釋說明,且各個實施例并不構(gòu)成對本發(fā)明實施例的限定。實施例一該實施例針對已注冊用戶,該實施例提供的一種對基于SIP的不完整會話攻擊進 行檢測的方法的處理流程如圖1所示,包括如下處理步驟步驟11、設(shè)置不完整會話攻擊的檢測周期,獲取已注冊的當前用戶在一個檢測周 期內(nèi)發(fā)起(可以是主動發(fā)起,也可以是被要求發(fā)起,以下不再贅述)的會話初始請求數(shù)量和
7收到的成功建立會話的響應(yīng)數(shù)量?;赟IP的不完整會話攻擊具有攻擊流量相對不大,每個獨立的會話都不能成功 建立;會話的通信對端設(shè)備的狀態(tài)和資源將一直保持,直至會話因為超時、取消或拒絕等原 因結(jié)束后,會話的通信對端設(shè)備的狀態(tài)和資源才能被釋放,消耗資源的時間比較長等特點。本發(fā)明實施例首先設(shè)置一個不完整會話攻擊的檢測周期。由于基于SIP的不完整 會話在超時之前沒有得到響應(yīng)在協(xié)議上是合法的,因此上述檢測周期要大于一個會話的超 時時長,這樣才能有效地檢測不完整會話攻擊。在實際應(yīng)用中,需要根據(jù)網(wǎng)絡(luò)實際運營情況 適當調(diào)整檢測周期。在IMS/NGN網(wǎng)中,可以通過“源IP+源端口”來標識一個已注冊用戶,用戶嘗試修 改本地的IP和端口將導致網(wǎng)絡(luò)側(cè)認為用戶身份非法,因此已注冊用戶的行為特征是可以 統(tǒng)計的。該實施例在一個檢測周期,比如第n個檢測周期內(nèi),針對一個已注冊的當前用戶 進行如下兩個數(shù)值的統(tǒng)計session_setup_initial_request[n]第n個檢測周期內(nèi)該用戶主動發(fā)起的會話 初始請求數(shù)量;session_setup_final_response[n]第n個檢測周期內(nèi)該用戶收到的成功建立 會話的響應(yīng)數(shù)量。步驟12、獲取上述當前用戶在一個檢測周期內(nèi)發(fā)起的會話初始請求數(shù)量和收到的 成功建立會話的響應(yīng)數(shù)量之間的差值,根據(jù)該差值和預定義的閾值,判斷當前用戶是否發(fā) 起了不完整會話攻擊。計算所述 session_setup_initial_request[n]禾口 session_setup_final_ response [n]的差值 A [n]A [n] = session_setup_initial_request [n]-session_setup_final_ response[n](n = 0,l,2…)在實際應(yīng)用中,可以直接判斷上述A [n]是否超過預定的第一閥值,如果是,則判 斷上述當前用戶發(fā)起了不完整會話攻擊;否則,則判斷上述當前用戶沒有發(fā)起不完整會話 攻擊。在通常情況下,上述A [n]的大小和用戶特征、取樣時間等因素有著密切的關(guān)系, 缺乏統(tǒng)計學特征,因此,該實施例采用CUSUM(累積和算法)算法對上述A [n]進行變換處 理,根據(jù)變換后的A [n]來判斷上述當前用戶是否發(fā)起了不完整會話攻擊。上述CUSUM算 法的具體處理過程如下為得到更有統(tǒng)計學特征的數(shù)據(jù)來描述未建立的會話情況,我們得要找到一個平滑 處理參量,抵消實際取樣中出現(xiàn)的用戶正常行為或檢測周期導致的統(tǒng)計波動。網(wǎng)絡(luò)實際狀 態(tài)的波動會在統(tǒng)計周期內(nèi)成功建立的會話數(shù)量上體現(xiàn),所以我們以統(tǒng)計周期內(nèi)成功建立的 會話來構(gòu)造平滑處理參量。首先我們設(shè)置a G
,此為預定義比例常量,決定于平滑處理參量受網(wǎng)絡(luò)波 動情況影響的大小。我們設(shè)定第0個周期內(nèi)的平滑處理參量為0,第一個周期內(nèi)的平滑處理 參量為第0個周期內(nèi)的平滑處理參量的a比例加上第一個周期內(nèi)的成功會話數(shù)的(1-a)
8比例,第二個周期內(nèi)的平滑處理參量為第一個周期內(nèi)的平滑處理參量的a比例加上第二 個周期內(nèi)的成功會話數(shù)的(1-a)比例,以此類推,第n個周期內(nèi)的平滑處理參量為第(n-1) 個周期內(nèi)的平滑處理參量的a比例加上第n個周期內(nèi)的成功會話數(shù)的(1-a)比例。這樣, 每個統(tǒng)計周期內(nèi)都會有相應(yīng)的平滑處理參量smoothecLfnfc],將每個周期內(nèi)的未成功建立 的會話數(shù)A[n]除以相應(yīng)的平滑處理參量smoothecLfnfc],就可以抵消實際取樣中的用戶 正常行為或檢測周期導致的統(tǒng)計波動,得到統(tǒng)計學特征的穩(wěn)態(tài)結(jié)果X[n]。上述X [n]的具體計算過程如下smoothed_fn
= 0 ;smoothed_fn[n] = a*smoothed_fn[n_l] + (1_a)*session_setup_final_ response[n](n = 1,2, ... n)X[n] = A [n]/smoothed_fn [n]上述a G [() 1],為預定義常量。由于通過變換得到的X[n]不再依賴于接入用戶的行為特征和檢測周期,因此可 以將X[n]視為靜態(tài)隨機過程,但根據(jù)實際統(tǒng)計,一段時間內(nèi)的X[n]變量存在較大顛簸,不 具備統(tǒng)計特征,需要進一步處理,使其更平滑且更能明確標識出攻擊情況。首先使用X2 [n] = X [n] -max_avg_X,將X [n]轉(zhuǎn)化為在不含攻擊情況下不大于0的 X2[n]。maX_aVg_X為網(wǎng)絡(luò)不含攻擊情況下的X[n]期望的最大值。其次我們定義一種算法(a)+,其中a是變量,0+為我們定義的算法。這種算法定 義下面這種結(jié)果當a大于0時,(a) +等于a ;當a小于等于0時,(a)+等于0。利用上述算 法(a)+,我們定義Y[n] = (Y[n-1]+X2[n])+, Y
=0。在網(wǎng)絡(luò)不含攻擊情況下,X2[n]小于0,Y[n-l] =0,所以¥[11]等于0。當會話請求 增加但成功會話未相應(yīng)增加時,X[n]會出現(xiàn)增長,當X[n]超過maX_aVg_X時,從而使X2[n] 大于0。這時Y[n]就出現(xiàn)大于0的情況,當Y[n]大于預定義的第二閥值T,這樣就可以判 斷上述當前用戶發(fā)起了不完整會話攻擊。為了使在判斷當前用戶發(fā)起了不完整會話攻擊之后,上述y[n]的數(shù)值能夠相應(yīng) 地減少,能夠用于下一次的不完整會話攻擊檢測,能夠檢測到攻擊的結(jié)束時間,對上述數(shù)列 Y[n]的算法進行如下的改進f (Y[n] > T) {判定當前用戶發(fā)起不完整會話攻擊;Y[n] = 3*T;}其中,^ G
,保證Y[n]在下個檢測周期前恢復到上述預定義的第二閥值T 以下。如果下個周期仍有攻擊,Y[n+1]會重新長到T以上。如果下周期沒有攻擊,Y[n+1] 會在T以下并在后續(xù)檢測周期中下降到0。步驟13、采取一定的防護機制,對當前用戶發(fā)起的不完整會話攻擊進行防護。在判斷上述當前用戶發(fā)起了不完整會話攻擊后,需要采取一定的防護機制,該防 護機制包括但不限于以下幾種
9
1、從主叫側(cè)SIP接入服務(wù)器上對上述當前用戶發(fā)起的處于等待主叫側(cè)處理的會 話采用CANCEL(取消)處理,對該會話進行拆線,釋放該會話所占用的資源;2、從主叫側(cè)SIP接入服務(wù)器上對上述當前用戶發(fā)起的處于等待主叫側(cè)處理的會 話采用403forbidden (禁止)處理,對該會話直接拒絕;3、對上述當前用戶發(fā)起的攻擊數(shù)據(jù)流實施反向遏制;4、記錄上述當前用戶的攻擊行為到安全日志,并上報不完整會話攻擊告警。該實施例可以根據(jù)已注冊的當前用戶在一個檢測周期內(nèi)主動發(fā)起的會話初始請 求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,采用CUSUM算法來判斷該當前用戶是否發(fā)起了 不完整會話攻擊。從而有效地對已注冊的當前用戶發(fā)起的不完整會話攻擊進行防護。實施例二由于在用戶未注冊的情況下,無法參考“源IP+源端口”的方式來識別單個用戶發(fā) 起(可以是主動發(fā)起,也可以是被要求發(fā)起,以下不再贅述)的請求,也不能根據(jù)用戶的IMS 業(yè)務(wù)鑒約數(shù)據(jù)對用戶進行識別。根據(jù)上述分析,只能在SIP接入服務(wù)器,比如PCSCF (Proxy Call Server Control Function,代理會話控制功能)上,對一個特定的用戶接入網(wǎng)段中的 SIP注冊請求進行統(tǒng)計。設(shè)置一個不完整會話攻擊的檢測周期,針對一個特定的用戶接入網(wǎng)段,進行如下 兩個數(shù)值的統(tǒng)計session_setup_initial_request[n]第n個檢測周期內(nèi)特定的用戶接入網(wǎng)段中 主動發(fā)起的會話初始請求數(shù)量;session_setup_final_response[n]第n個檢測周期內(nèi)特定的用戶接入網(wǎng)段中 收到的成功建立會話的響應(yīng)數(shù)量。然后,根據(jù)上述 session_setup_initial—request[n]禾口 session_setup_final_ response [n],按照上述實施例一提供的處理流程,判斷上述特定的用戶接入網(wǎng)段中是否發(fā) 起了不完整會話攻擊。當檢測到上述特定的用戶接入網(wǎng)段中發(fā)起了不完整會話攻擊后,由于不能精確到 特定攻擊用戶,只能采取上報不完整會話攻擊告警和記錄安全日志的防護措施。該實施例可以根據(jù)在一個檢測周期內(nèi)特定的用戶接入網(wǎng)段中發(fā)起的會話初始請 求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,采用CUSUM算法來判斷該特定的用戶接入網(wǎng)段 中的未注冊用戶是否發(fā)起了不完整會話攻擊。從而有效地對特定的用戶接入網(wǎng)段中的未注 冊用戶發(fā)起的不完整會話攻擊進行防護。實施例三該實施例提出的對基于SIP的不完整會話攻擊進行檢測的方法的處理流程如圖2 所示,包括如下處理步驟步驟21、統(tǒng)計注冊用戶發(fā)起的處于“會話建立中狀態(tài)”的會話總數(shù)。對某個已注冊的用戶發(fā)起(可以是主動發(fā)起,也可以是被要求發(fā)起,以下不再贅 述)的每個會話進行動態(tài)統(tǒng)計,確定每個會話的狀態(tài)。按照預定的統(tǒng)計周期,定時統(tǒng)計其中 處于“會話建立中狀態(tài)”的會話總數(shù)。上述會話建立中狀態(tài)的會話包括已經(jīng)被用戶發(fā)起的,未被成功建立的、未因為超 時、被取消、被拒絕等原因建立失敗而退出的會話;
步驟22、判斷處于“會話建立中狀態(tài)”的會話總數(shù)是否大于預先設(shè)定的第三閥值, 如果是,則拒絕上述用戶發(fā)起的新的會話請求,直到處于“會話建立中狀態(tài)”的會話總數(shù)低 于預先設(shè)定的第三閥值。在統(tǒng)計了上述處于“會話建立中狀態(tài)”的會話總數(shù)后,判斷該處于“會話建立中狀 態(tài)”的會話總數(shù)是否大于預先設(shè)定的第三閥值,如果是,則確定上述用戶發(fā)起了不完整會話 攻擊,拒絕上述用戶發(fā)起的新的會話請求。并且,繼續(xù)按照預定的統(tǒng)計周期,定時統(tǒng)計上述用戶發(fā)起的處于“會話建立中狀 態(tài)”的會話總數(shù)。繼續(xù)判斷該處于“會話建立中狀態(tài)”的會話總數(shù)是否大于預先設(shè)定的第三 閥值,如果是,則繼續(xù)拒絕上述用戶發(fā)起的新的會話請求。直到上述用戶發(fā)起的處于“會話建立中狀態(tài)”的會話總數(shù)低于預先設(shè)定的閥值,則 確定上述用戶沒有發(fā)起不完整會話攻擊,不再拒絕上述用戶發(fā)起的新的會話請求,繼續(xù)按 照正常的會話處理機制處理上述用戶發(fā)起的新的會話請求。在實際應(yīng)用中,上述實施例一和二提出的處理流程可以結(jié)合使用,也可以分別獨 立實施。該實施例可以根據(jù)注冊用戶發(fā)起的處于“會話建立中狀態(tài)”的會話總數(shù),來判斷該 注冊用戶是否發(fā)起了不完整會話攻擊。上述實施例一和實施例二中的第一閥值、第二閥值和第三閥值的取值互不相同。本發(fā)明實施例還提供了一種網(wǎng)絡(luò)裝置,其具體實現(xiàn)結(jié)構(gòu)如圖3所示,具體可以包 括獲取模塊31,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起(可以是 主動發(fā)起,也可以是被要求發(fā)起,以下不再贅述)的會話初始請求數(shù)量和收到的成功建立 會話的響應(yīng)數(shù)量;判斷處理模塊32,用于根據(jù)所述用戶發(fā)起的會話初始請求數(shù)量和所述用戶收到的 成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。所述裝置還可以包括防護處理模塊33,用于在判斷所述用戶發(fā)起了不完整會話攻擊后,對所述用戶發(fā) 起的會話進行取消或拒絕處理;或者用于在安全日志中記錄所述用戶的攻擊行為,并上報 不完整會話攻擊告警。所述獲取模塊31包括第一獲取模塊311和第二獲取模塊312中的至少一項,其 中,第一獲取模塊311,用于獲取一個已注冊用戶主動發(fā)起的會話初始請求數(shù)量和收 到的成功建立會話的響應(yīng)數(shù)量;第二獲取模塊312,用于獲取特定的用戶接入網(wǎng)段中的未注冊用戶發(fā)起的會話初 始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量。所述判斷處理模塊32,具體包括第一判斷處理模塊321和第二判斷處理模塊322 中的至少一項,其中,第一判斷處理模塊321 ;用于計算所述用戶主動發(fā)起的會話初始請求數(shù)量和收 到的成功建立會話的響應(yīng)數(shù)量之間的差值,判斷所述差值是否大于預定的第一閥值,如果 是,則判斷所述用戶發(fā)起了不完整會話攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊;第二判斷處理模塊322;用于計算所述用戶主動發(fā)起的會話初始請求數(shù)量 session_setup_initial_request [n]禾口收至丨J的成功建立會話的口向應(yīng)數(shù)量 session_setup_ final_response[n]之間的差值A(chǔ) [n],所述A [n]的計算方法如下A [n] = session_setup_initial_request [n]-session_setup_final_ response[n]
(n = 0,1,2…)對所述A [n]進行平滑處理得到X [n],所述X [n]的計算方法如下smoothed_fn
= 0 ;smoothed_fn [n] = a *smoothed_fn[n-1] + (1-a)*session_setup_f inal_ response[n](n = 1,2, ... n)X[n] = A [n]/smoothed_fn[n]所述a G
,為預定義常量;計算X2 [n] = X[n] -maX_aVg_X,其中maX_aVg_X為網(wǎng)絡(luò)不含攻擊情況下的X[n]期 望的最大值,設(shè)置判定序列Y[n],所述Y[n]的計算方法如下Y
= 0,當 Y[n-1]+X2[n] >0 時,則 Y[n] = (Y[n_l]+X2[n]);當 Y[n_l]+X2[n] <=0 時,則 Y[n] = 0 ;判斷所述Y[n]是否大于預定的第二閥值,如果是,則判斷所述用戶發(fā)起了不完整 會話攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊。本發(fā)明實施例還提供了另一種網(wǎng)絡(luò)裝置,其具體實現(xiàn)結(jié)構(gòu)如圖4所示,具體可以 包括會話總數(shù)確定模塊41,用于確定用戶發(fā)起(可以是主動發(fā)起,也可以是被要求發(fā) 起,以下不再贅述)的處于會話建立中的會話總數(shù),所述會話建立中的會話類型包括已經(jīng) 被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立失敗而退出的會話;會話處理模塊42,用于判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè) 定的第三閥值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。所述網(wǎng)絡(luò)裝置還包括會話拒絕模塊43,用于在確定所述用戶發(fā)起了不完整會話攻擊后,拒絕所述用戶 發(fā)起的新的會話請求。本發(fā)明實施例的網(wǎng)絡(luò)裝置具體可以是路由器、交換機、基站控制器等。本發(fā)明實施例還提供了一種網(wǎng)絡(luò)系統(tǒng),其具體結(jié)構(gòu)如圖5所示,包括網(wǎng)絡(luò)裝置51 和用戶設(shè)備52,其中,所述用戶設(shè)備51,用于使用戶通過該用戶設(shè)備發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置52,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶通過所述 用戶設(shè)備發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,根據(jù)所述用戶發(fā)起 的會話初始請求數(shù)量和所述用戶收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測 所述用戶是否發(fā)起了不完整會話攻擊。上述網(wǎng)絡(luò)裝置52包括獲取模塊、判斷處理模塊和 防護處理模塊,其中各個模塊的作用與圖3所示的網(wǎng)絡(luò)裝置實施例類似,此處不再重復描述?;蛘?,所述用戶設(shè)備51,用于使用戶通過該用戶設(shè)備發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置52,用于確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述會話建 立中的會話類型包括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立 失敗而退出的會話;判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè)定的第三閥 值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。上述網(wǎng)絡(luò)裝置52包括會話總數(shù)確定 模塊、會話處理模塊和會話拒絕模塊,其中各個模塊的作用與圖4所示的網(wǎng)絡(luò)裝置實施例 類似,此處不再重復描述。上述網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)裝置具體可以是路由器、交換機、基站控制器等,上述網(wǎng)絡(luò)裝 置中的各個模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。上述網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)裝置和用戶設(shè)備可以集成于一個裝置,也可以分布于多個
直o綜上所述,本發(fā)明實施例可以根據(jù)已注冊的當前用戶在一個檢測周期內(nèi)主動發(fā)起 的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,采用CUSUM算法來判斷該當前用 戶是否發(fā)起了不完整會話攻擊。從而有效地對已注冊的當前用戶發(fā)起的不完整會話攻擊進 行防護。本發(fā)明實施例還可以根據(jù)注冊用戶發(fā)起的處于“會話建立中”的狀態(tài)的會話總數(shù), 來判斷該注冊用戶是否發(fā)起了不完整會話攻擊。本發(fā)明實施例可以根據(jù)在一個檢測周期內(nèi)特定的用戶接入網(wǎng)段中主動發(fā)起的會 話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,采用CUSUM算法來判斷該特定的用戶 接入網(wǎng)段中的未注冊用戶是否發(fā)起了不完整會話攻擊。從而有效地對特定的用戶接入網(wǎng)段 中的未注冊用戶發(fā)起的不完整會話攻擊進行防護。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以 通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì) 中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁 碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍 為準。
權(quán)利要求
一種對不完整會話攻擊進行檢測的方法,其特征在于,包括獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量;根據(jù)所述用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的用戶發(fā)起的會話初始請求數(shù)量和 收到的成功建立會話的響應(yīng)數(shù)量包括已注冊用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量; 或者,特定的用戶接入網(wǎng)段中的未注冊用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會 話的響應(yīng)數(shù)量。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的不完整會話攻擊的檢測周期大于 一個會話的超時時長。
4.根據(jù)權(quán)利要求1至3任一項所述的方法,其特征在于,所述的根據(jù)所述用戶發(fā)起的會 話初始請求數(shù)量和所述用戶收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述 用戶是否發(fā)起了不完整會話攻擊包括確定所述用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量之間的差 值,判斷所述差值是否大于預定的第一閥值,如果是,則確定所述用戶發(fā)起了不完整會話攻 擊ο
5.根據(jù)權(quán)利要求1至3任一項所述的方法,其特征在于,所述的根據(jù)所述用戶發(fā)起的會 話初始請求數(shù)量和所述用戶收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述 用戶是否發(fā)起了不完整會話攻擊包括計算所述用戶發(fā)起的會話初始請求數(shù)量sessiorusetupjnitialrequestfc]和收到 的成功建立會話的響應(yīng)數(shù)量session_setup_final_response[n]之間的差值Δ [η],所述 Δ [η]的計算方法如下Δ [η] = session_setup_initial_request[η]-session_setup_final_response[η] (η = 0,1,2...)對所述△ [η]進行平滑處理得到X [η],所述X [η]的計算方法如下 smoothed_fn
= 0 ;smoothed_fn[η] = α*smoothed_fn [η_1] + (1-α)*session_setup_final_ response[η](η = 1, 2, ... η) X[η] = Δ [n]/smoothed_fn[n] 所述α e
,為預定義常量;計算X2 [η] = X[η] -maX_aVg_X,其中maX_aVg_X為網(wǎng)絡(luò)不含攻擊情況下的X[η]期望的 最大值,設(shè)置判定序列Y [η],所述Y [η]的計算方法如下Υ
= 0,當 Υ[η-1]+Χ2[η] > 0 時,Y[η] = Υ[η_1]+Χ2[η];當 Υ[η_1]+Χ2[η] < = 0 時,則 Υ[η] = 0 ;判斷所述Υ[η]是否大于預定的第二閥值,如果是,則判斷所述用戶發(fā)起了不完整會話攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的方法還包括當所述Y[n]大于預定的第二閥值,并判斷所述用戶發(fā)起了不完整會話攻擊后,對所述 Y[η]進行減少處理,使所述Y[η]在下個檢測周期到來前,低于所述預定的第二閥值。
7.根據(jù)權(quán)利要求1至3任一項所述的方法,其特征在于,所述的方法還包括在判斷所述用戶發(fā)起了不完整會話攻擊后,對所述用戶發(fā)起的會話進行取消或拒絕處 理;或者,在安全日志中記錄所述用戶的攻擊行為,上報不完整會話攻擊告警。
8.一種對不完整會話攻擊進行檢測的方法,其特征在于,包括確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述處于會話建立中的會話類型包括 已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立失敗而退出的會話;判斷所述處于會話建立中的會話總數(shù)是否大于預先設(shè)定的第三閥值,如果是,則確定 所述用戶發(fā)起了不完整會話攻擊。
9.根據(jù)權(quán)利要求8所述的對不完整會話攻擊進行檢測的方法,其特征在于,所述方法 還包括在確定所述用戶發(fā)起了不完整會話攻擊后,拒絕所述用戶發(fā)起的新的會話請求。
10.一種網(wǎng)絡(luò)裝置,其特征在于,包括獲取模塊,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶發(fā)起的會話初始請求 數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量;判斷處理模塊,用于根據(jù)所述用戶發(fā)起的會話初始請求數(shù)量和所述用戶收到的成功建 立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。
11.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)裝置,其特征在于,所述網(wǎng)絡(luò)裝置還包括防護處理模塊,用于在判斷所述用戶發(fā)起了不完整會話攻擊后,對所述用戶發(fā)起的會 話進行取消或拒絕處理;或者用于在安全日志中記錄所述用戶的攻擊行為,上報不完整會 話攻擊告警。
12.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)裝置,其特征在于,所述獲取模塊包括第一獲取模塊 和第二獲取模塊中的至少一個,其中第一獲取模塊,用于獲取已注冊用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會話 的響應(yīng)數(shù)量;或者,第二獲取模塊,用于獲取特定的用戶接入網(wǎng)段中的未注冊用戶發(fā)起的會話初始請求數(shù) 量和收到的成功建立會話的響應(yīng)數(shù)量。
13.根據(jù)權(quán)利要求10至12任一項所述的網(wǎng)絡(luò)裝置,其特征在于,所述判斷處理模塊,包 括第一判斷處理模塊和第二判斷處理模塊中的至少一項,其中,第一判斷處理模塊;用于計算所述用戶發(fā)起的會話初始請求數(shù)量和收到的成功建立會 話的響應(yīng)數(shù)量之間的差值,判斷所述差值是否大于預定的第一閥值,如果是,則判斷所述用 戶發(fā)起了不完整會話攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊;第二判斷處理模塊;用于計算所述用戶發(fā)起的會話初始請求數(shù)量SeSSi0n_SetUp_ initial_request[n]禾Π收到的成功建立會話的響應(yīng)數(shù)量session_setup_final_ response [η]之間的差值Δ [η],所述Δ [η]的計算方法如下Δ [η] = session_setup_initial_request[η]-session_setup_final_response[η] (η = 0,1,2...)對所述△ [η]進行平滑處理得到X [η],所述X [η]的計算方法如下 smoothed_fn
= 0 ;smoothed_fn[η] = α*smoothed_fn [η_1] + (1-α)*session_setup_final_ response[η](η = 1, 2, ... η) X[η] = Δ [n]/smoothed_fn[n] 所述α e
,為預定義常量; 計算X2 [η] = X[η] -maX_aVg_X,其中maX_aVg_X為網(wǎng)絡(luò)不含攻擊情況下的X[η]期望的 最大值,設(shè)置判定序列Y [η],所述Y [η]的計算方法如下Y
=0,iY[n-l]+X2[n] >0 時,貝丨J Y[η] = (Υ[η-1]+Χ2 [η]);當 Υ[η_1]+Χ2[η] < = 0 時,則 Υ[η] = 0 ;判斷所述Υ[η]是否大于預定的第二閥值,如果是,則判斷所述用戶發(fā)起了不完整會話 攻擊;否則,則判斷所述用戶沒有發(fā)起不完整會話攻擊。
14.一種網(wǎng)絡(luò)裝置,其特征在于,包括會話總數(shù)確定模塊,用于確定用戶發(fā)起的處于會話建立中的會話總數(shù),所述會話建立 中的會話類型包括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建立失 敗而退出的會話;會話處理模塊,用于判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè)定的第 三閥值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。
15.根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)裝置,其特征在于,所述網(wǎng)絡(luò)裝置還包括會話拒絕模塊,用于在確定所述用戶發(fā)起了不完整會話攻擊后,拒絕所述用戶發(fā)起的 新的會話請求。
16.一種網(wǎng)絡(luò)系統(tǒng),其特征在于,包括網(wǎng)絡(luò)裝置和用戶設(shè)備,其中 所述用戶設(shè)備,用于發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置,用于獲取在一個不完整會話攻擊的檢測周期內(nèi),所述用戶設(shè)備發(fā)起的 會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,根據(jù)所述用戶發(fā)起的會話初始請求 數(shù)量和所述用戶收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā) 起了不完整會話攻擊。
17.—種網(wǎng)絡(luò)系統(tǒng),其特征在于,包括網(wǎng)絡(luò)裝置和用戶設(shè)備,其中 所述用戶設(shè)備,用于發(fā)起會話初始請求;所述網(wǎng)絡(luò)裝置,用于確定所述用戶設(shè)備發(fā)起的處于會話建立中的會話總數(shù),所述會話 建立中的會話類型包括已經(jīng)被用戶發(fā)起的會話、或者未被成功建立的會話、或者未因為建 立失敗而退出的會話;判斷所述處于會話建立中狀態(tài)的會話總數(shù)是否大于預先設(shè)定的第三 閥值,如果是,則確定所述用戶發(fā)起了不完整會話攻擊。
全文摘要
本發(fā)明實施例提供了一種對不完整會話攻擊進行檢測的方法、裝置和系統(tǒng)。該方法包括獲取在一個不完整會話攻擊的檢測周期內(nèi),用戶主動發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,根據(jù)所述用戶主動發(fā)起的會話初始請求數(shù)量和收到的成功建立會話的響應(yīng)數(shù)量,以及預定的閾值,檢測所述用戶是否發(fā)起了不完整會話攻擊。通過本發(fā)明實施例,可以判斷出該已注冊的用戶或特定的用戶接入網(wǎng)段中的未注冊用戶是否發(fā)起了不完整會話攻擊,從而有效地對已注冊的用戶或特定的用戶接入網(wǎng)段中的未注冊用戶發(fā)起的不完整會話攻擊進行防護。
文檔編號H04L9/36GK101854333SQ20091008121
公開日2010年10月6日 申請日期2009年3月30日 優(yōu)先權(quán)日2009年3月30日
發(fā)明者吳平, 張喆, 陳斌 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1