專利名稱:基于分組的網(wǎng)絡(luò)的攻擊保護的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于保護基于分組的網(wǎng)絡(luò)免受攻擊的方法和保護單 元、包括這種保護單元的基于分組的網(wǎng)絡(luò)的安全邊界節(jié)點,以及包括至少 兩個這種保護單元的基于分組的網(wǎng)絡(luò)。
本發(fā)明涉及保護基于分組的網(wǎng)絡(luò)免受任何種類的攻擊,所述網(wǎng)絡(luò)例如
為通信/計算機網(wǎng)絡(luò),特別是核心網(wǎng)絡(luò)。核心網(wǎng)絡(luò)可以分別利用TISPAN(電 信及互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò)協(xié)議)和具有IMS (IP多媒體子系統(tǒng))的 下一代網(wǎng)絡(luò)(NGN )架構(gòu)實現(xiàn),該NGN 4吏用諸如會話初始協(xié)議(SIP )的 應(yīng)用層控制(信令)協(xié)議,用于與一個或多個參與者進行會話的建立、修 改和中止。在這種核心網(wǎng)絡(luò)中,攻擊可能產(chǎn)生在不同的層(IP層、傳輸層 乃至應(yīng)用層),且攻擊形式多樣。特別在核心網(wǎng)絡(luò)的邊界節(jié)點中,應(yīng)用協(xié) 議棧是高度危險的,因此需要一種保護機制來獲得整個系統(tǒng)所需的高可用 性,特別是對于運轉(zhuǎn)良好(well behaving)的用戶/設(shè)備。應(yīng)當明白,本發(fā)明 并不限于具有SIP信令的NGN/IMS/TISPAN網(wǎng)絡(luò),而是適于使用諸如 SOAP(簡單對象訪問協(xié)議)等其它類型的信令協(xié)議的所有類型的IP網(wǎng)絡(luò)。
圖1中顯示了上述類型的一種核心網(wǎng)絡(luò)l。該核心網(wǎng)絡(luò)l具有多個(安 全)邊界節(jié)點2a至2f,用于將該核心網(wǎng)絡(luò)1連接至接入網(wǎng)絡(luò)3,接入網(wǎng)絡(luò) 3自身連接至終端用戶設(shè)備4。邊界節(jié)點2a至2f中的一些也可被用來將核 心網(wǎng)絡(luò)l連接至其它核心網(wǎng)絡(luò)(未示出)。在邊界節(jié)點2a至2f中,需要 應(yīng)用安全策略來從潛在的危險通信業(yè)務(wù)中立即識別出正當?shù)耐ㄐ艠I(yè)務(wù)。被 識別為欺詐的通信業(yè)務(wù)需要被阻斷(通過提供一個數(shù)據(jù)識別序列或其它識 別特征樣式來實現(xiàn)),下文中也被稱為特征。目前的安全方案是基于特征檢測或/和使用基于分類的檢測算法,基于 特征檢測速度快,但是對新的攻擊形式不適應(yīng),使用基于分類的檢測算法 具有適應(yīng)性,但是會造成高處理負荷。此外,目前的安全策略分別致力于
單個、獨立的^^舌邊界控制器(SBC)或安全邊界節(jié)點。 發(fā)明目的
本發(fā)明的目的是提供用于保護基于分組的網(wǎng)絡(luò)免受攻擊的方法和保 護單元、包括這種保護單元的安全邊界節(jié)點,以及包括至少兩個這種保護 單元的網(wǎng)絡(luò),它們都能有效地保護基于分組的網(wǎng)絡(luò)免受攻擊。
發(fā)明內(nèi)容
本發(fā)明的目的是通過上述方法來實現(xiàn)的,包括通過比較分組流的特 征與先前識別的攻擊的特征組對在網(wǎng)絡(luò)的安全邊界節(jié)點中接收到的分組流 執(zhí)行特征分析以檢測攻擊,對至少部分分組流執(zhí)行異常檢測,特別是統(tǒng)計 分析,以檢測分組流中的異常,當檢測到分組流中的異常時更新特征組, 更新的特征組接著被用于執(zhí)行特征分析,并且該更新的特征組中的每一個 特征被分配至網(wǎng)絡(luò)中的至少一個其它安全邊界節(jié)點,優(yōu)選是每一個其它安 全邊界節(jié)點。
本發(fā)明提出擴展防火墻和利用異常檢測的基于特征的保護邏輯,它可 以實現(xiàn)為基于分類的統(tǒng)計分析,通常執(zhí)行數(shù)據(jù)流(數(shù)字信號)的塊分析, 或另一類型的粒度分析,例如基于機器學習算法。通常,為了檢測異常, 一個字節(jié)或多個字節(jié)的分析器可以被用來執(zhí)行統(tǒng)計分析。接著,檢測到的 異常被才艮告至特征千涉引擎,特征干涉引擎通過將統(tǒng)計分析的分類結(jié)果轉(zhuǎn) 換為一個新的特征組,以此獲得特征或檢測邏輯的更新。這樣,用于檢測 新攻擊的處理負荷就#_轉(zhuǎn)移到了防火墻和特征檢測,而處理負荷得以減少。
在一個或多個新的特征和檢測邏輯通過了一些認證測試之后,產(chǎn)生的 配置文件可以被推送到其它的安全邊界節(jié)點,并將應(yīng)用于其它安全邊界節(jié) 點的安全功能中,由此在基于分組的網(wǎng)絡(luò)的各個安全邊界節(jié)點之間自動分配新獲得的攻擊阻斷策略。
在一個極優(yōu)選的變化實施例中,所述方法還包括對應(yīng)用層控制消息 執(zhí)行異常檢測,特別是對分組流的會話初始協(xié)議SIP消息執(zhí)行異常檢測, 特征組的更新將考慮異常檢測的結(jié)果。對于那些只能在應(yīng)用層被檢測的攻 擊來說,應(yīng)用層控制棧,特別是SIP棧,也可以擁有接口來報告任何異常。 這些異常還在特征千涉引擎中被檢查以確定一個合適的特征,這使得這些 消息可以在保護邏輯的首要的且極迅速的平臺("FW"、"特征,,)上進行 檢測。
優(yōu)選的是,所述方法還包括使用一個安全閾值來控制特征分析和/ 或異常檢測的靈敏度,用于檢測攻擊和/或異常,該安全閾值優(yōu)選為依據(jù)攻 擊的至少一個特征進行調(diào)整,特別是根據(jù)每單位時間內(nèi)檢測到的攻擊的數(shù) 量。特別的,用于產(chǎn)生攻擊指示的閱值水平可以由適當?shù)目刂栖浖碓O(shè)定, 該閾值水平可以基于計算機網(wǎng)絡(luò)的歷史和/或當前狀況而受到控制。
在該變化實施例的優(yōu)選改進方案中,所執(zhí)行的統(tǒng)計分析是一種并行多 序列字節(jié)分析,該字節(jié)序列分析的權(quán)重依據(jù)安全閾值并基于當前攻擊狀態(tài) 而受安全實例(security instance )的控制。使用在每個分才斤周期內(nèi)僅移動 一個字節(jié)的滑動窗口對所謂的n-grams,即,給定序列(通常為一字符串) 的n項(通常為字節(jié))的序列,執(zhí)行字節(jié)分析形式的統(tǒng)計分析。在并行多 序列字節(jié)分析的過程中,使用多個并行分析器,該分析器執(zhí)行不同尺寸的 n-grams的分析,例如unigrams (尺寸1 ) 、 bigrams (尺寸2 )等。并行 分析器的分析結(jié)果被提供給一個決定器,其依據(jù)安全閾值來對結(jié)果進行加 權(quán)。
上述方法可優(yōu)選地以計算機程序產(chǎn)品來實現(xiàn),所述計算機程序產(chǎn)品具 有用于執(zhí)行上述步驟的代碼裝置。特別的,所述方法可以以軟件或合適的 硬件組件(ASIC等)實現(xiàn)。
本發(fā)明的第二方面在用于保護基于分組的網(wǎng)絡(luò)免受攻擊的保護單元中 實現(xiàn),所述保護單元包括特征分析器,用于分析在網(wǎng)絡(luò)的安全邊界節(jié)點 中才妾收的分組流,并通過比較分組流的特征和先前識別的攻擊的特征組來檢測攻擊;異常檢測器,尤其是統(tǒng)計分析器,用于檢測分組流中的異常; 特征干涉單元,用于在檢測到分組流中的異常時更新特征組,所更新的特 征組接著被所述特征分析器用于執(zhí)行特征分析;以及分配單元,用于將更 新的特征組中的至少 一個特征分配至網(wǎng)絡(luò)中至少 一個其它安全邊界節(jié)點, 最好分配至網(wǎng)絡(luò)中每個其它的安全邊界節(jié)點。
專用特征可以具有一個生存時間(time to live)指示,其允許限制特 征文件的大小。特征干涉單元可以存儲來自字節(jié)分析的攻擊報告的信息元 組以及相應(yīng)的特征,以便能夠立即更新保護邏輯。這樣,在基于分組的網(wǎng) 絡(luò)的一個或有限數(shù)量的網(wǎng)絡(luò)端口處檢測的用于保護網(wǎng)絡(luò)免受攻擊的特征可 以迅速地被分配至所有網(wǎng)絡(luò)端口 ,由此提高跨多節(jié)點保護的質(zhì)量和性能。 特別的,也可以在諸如因特網(wǎng)的全球網(wǎng)絡(luò)中安裝一個用于檢測到的特征的 數(shù)據(jù)庫,大量網(wǎng)絡(luò)提供者可對該數(shù)據(jù)庫進行訪問,使得新的特征還被分配 至其它提供者正操控的網(wǎng)絡(luò)安全邊界節(jié)點。應(yīng)當理解,對具有相近時間關(guān)
新更可靠。
在一個極優(yōu)選的實施例中,保護單元還包括信令棧,優(yōu)選為SIP棧, 用于對分組流中包含的應(yīng)用層控制消息,特別是SIP消息,執(zhí)行異常檢測, 在特征干涉單元中對特征組的更新將考慮異常檢測的結(jié)果。由此,對于特
征組的更新而言,只能在應(yīng)用層被檢測的那些攻擊也能被考慮到了 。
在另一個極優(yōu)選的實施例中,保護單元還包括控制單元,使用安全 閾值來控制特征分析器和/或異常檢測器的靈敏度,從而檢測攻擊和/或異 常,該安全閾值優(yōu)選為依據(jù)攻擊的至少一個特征進行調(diào)整,特別是依據(jù)預(yù) 定時間間隔內(nèi)檢測到的攻擊的數(shù)量。以此方式,安全靈敏度可以基于攻擊 歷史和/或與攻擊相關(guān)的當前狀況而受到控制。攻擊的另 一個特征可以是特 別類型的攻擊可能對網(wǎng)絡(luò)產(chǎn)生的破壞,當檢測到一個或多個特別危險的攻 擊時就提高安全級別。
在另 一個優(yōu)選實施例中,統(tǒng)計分析器是一種并行多序列字節(jié)分析器, 該字節(jié)序列分析的權(quán)重依據(jù)安全閾值來控制。通常,相比于具有較小尺寸的n-grams的分析結(jié)果,給具有較大尺寸的n-grams的分析結(jié)果提供較高 的權(quán)重,從而減少錯誤警報。
在另一極優(yōu)選的實施例中,保護單元進一步包括安全信令棧,特別 是安全SIP棧,用于處理包含于數(shù)據(jù)流中的應(yīng)用層控制消息,優(yōu)選的是, 依據(jù)安全閾值來做出與安全信令棧中必須處理的消息有關(guān)的決定。在檢測 到異常的情況下,為了防止服務(wù)失敗,安全邊界節(jié)點可以將異常消息,一 般是SIP消息,派送到一個低優(yōu)先級的SIP棧,該SIP棧在一個被稱為"沙 箱,,的環(huán)境中受到保護。在安全SIP棧中的處理通常不以線速度執(zhí)行,以便 如果SIP消息包含有任何可識別的攻擊,則可以提供充足的時間來進行徹 底檢查。
在另一個有利的實施例中,保護單元進一步包括決定單元,用于做 出與必須執(zhí)行異常檢測的數(shù)據(jù)流中所包含的消息相關(guān)的,特別是與SIP消 息相關(guān)的決定;以及會話排隊單元,用于把執(zhí)行異常檢測的消息進行排隊, 優(yōu)選的是,依據(jù)異常檢測的結(jié)果來丟棄(drop)或處理排隊的消息。決定 單元決定所述消息是否須由異常檢測器進行額外的分析或者是否依賴于特 征檢測就足夠了。決定單元的輸入可以是消息的類型(請求/響應(yīng))、SIP 方法、產(chǎn)生消息的網(wǎng)絡(luò)的網(wǎng)絡(luò)ID、類似CallID的SIP頭、來自SIP棧的 關(guān)于一個或多個先前SIP消息或方法的反饋、或者事務(wù)ID。
在另一個實施例中,保護單元進一步包括針孔,用于從數(shù)據(jù)流中丟棄 消息,該針孔在反饋環(huán)路中受統(tǒng)計分析器和/或特征分析器的控制。針孔能 夠過濾出專用5元組(5-tuple)識別出的消息/分組,過濾的通信量取決于 統(tǒng)計分析器和/或特征分析器所應(yīng)用的安全闊值。
本發(fā)明的第三方面在用于基于分組的網(wǎng)絡(luò)的安全邊界節(jié)點中實現(xiàn),所 述節(jié)點包括上述類型的保護單元。為了提高整體檢測精度,在多個分布式 安全/邊界節(jié)點中執(zhí)行的檢測算法可以分配機器學習信息或流程導(dǎo)向圖形, 由此實現(xiàn)安全信息的跨節(jié)點關(guān)聯(lián)。實現(xiàn)這種跨節(jié)點關(guān)聯(lián)的 一種方式是安全 邊界節(jié)點之間的對等信息交換,這在每個安全邊界節(jié)點都具有其自己的保 護單元的時候是可行的。本發(fā)明的第四方面在一種基于分組的網(wǎng)絡(luò)中實現(xiàn),該基于分組的網(wǎng)絡(luò) 包括至少兩個如上所述類型的保護單元,該保護單元具有一個公共的特征 干涉單元,該特征干涉單元最好布置在計算機網(wǎng)絡(luò)的中央網(wǎng)絡(luò)安全實例中。 由此,所提供的防火墻架構(gòu)可以通過引入跨運營商域安全實體(網(wǎng)絡(luò)安全 實例)而得到加強。這種主控實體允許收集、處理、再分配多個站點的安 全相關(guān)信息。再者,可以執(zhí)行機器學習算法以將所有可用信息關(guān)聯(lián)。
以下參考附圖在對典型實施例的描述中闡明了其他特征和優(yōu)點,并且 在權(quán)利要求中也定義了這些特征和優(yōu)點,附圖顯示了重要的細節(jié)。各個特 征可以由其自己來單獨實現(xiàn),或者其中的某些特征可以以任意想要的組合 方式來實現(xiàn)。
附圖簡要說明
簡略圖中顯示了典型實施例,并在下面的說明書中進行解釋。所示如
下
附圖1:根據(jù)本發(fā)明具有若干安全邊界節(jié)點的基于分組的網(wǎng)絡(luò)的實施 例的示意附圖2:根據(jù)本發(fā)明的安全邊界節(jié)點的實施例,其作用為保護單元, 該保護單元具有自適應(yīng)分布式安全環(huán)路架構(gòu);
附圖3:具有中央特征干涉單元和安全邊界節(jié)點的保護單元的實施例, 他們共同實現(xiàn)自適應(yīng)分布式安全環(huán)路架構(gòu);
附圖4:附圖2所示類型的安全邊界節(jié)點的實施例,其具有一個額外 的應(yīng)用層安全環(huán)路;
附圖5:附圖3所示類型的保護單元的實施例,其具有一個額外的應(yīng) 用層安全環(huán)路;
附圖6:具有可調(diào)安全閾值的字節(jié)分析器,用于決定包含于分組流中 的哪些消息須在安全SIP棧中處理;
附圖7:具有可調(diào)安全閾值的特征分析器,用于決定包含于分組流中 的哪些消息須在安全SIP棧中處理;附圖8a、 8b:在數(shù)據(jù)路徑中(a)或在數(shù)據(jù)路徑外的所選消息上(b)執(zhí)行
的字節(jié)序列分析;
附圖9:具有可調(diào)字節(jié)序列分析權(quán)重的并行多字節(jié)序列分析器;
附圖10:字節(jié)分析器、特征分析器和針孔之間的反饋鏈路;
附圖ll:實現(xiàn)多策略安全架構(gòu)的保護單元的實施例,在信號路徑中執(zhí)
行字節(jié)分析;以及
附圖12:實現(xiàn)多策略安全架構(gòu)的保護單元的另一個實施例,在信號路
徑外執(zhí)行字節(jié)分析。
優(yōu)選實施例的詳細描述
附圖2是附圖1的基于分組的網(wǎng)絡(luò)1的安全邊界節(jié)點2a的更詳細視圖。 該安全邊界節(jié)點2a包括特征分析器5,用于分析在安全邊界節(jié)點2a的輸 入處接收的分組流6。特征分析器5通過將分組流6的特征和先前識別的 攻擊的特征組進行比較而檢測攻擊。在分組流6的信號路徑8中,特征分 析器5之后是統(tǒng)計分析器形式的異常檢測器,該統(tǒng)計分析器實現(xiàn)為字節(jié)分 析器7。為了檢測分組流6中的異常,該字節(jié)分析器7對分組流6執(zhí)行可 變長度字節(jié)序列(n字節(jié)分析)的統(tǒng)計分析。
任何異常均才艮告給特征干涉單元9,該特征干涉單元9將所檢測到的 異??紤]在內(nèi)計算出新的特征組。安全邊界節(jié)點2a進一步包括自動認證單 元10,該自動認證單元10將修改過的特征組與存儲在測試單元11中的正 確特征組和攻擊測試圖形(未示出)進行對比測試。在成功認證之后,更 新的特征組12,皮提供到特征分析器5,之后,該特征分析器5基于該更新 的特征組12執(zhí)行特征分析。通過上述方式,在安全邊界節(jié)點2a中實現(xiàn)保 護單元15。
更新的特征組12同樣被提供到安全邊界節(jié)點2a的分配單元13,分配 單元13將該更新的特征組12分配到核心網(wǎng)絡(luò)1的其它安全邊界節(jié)點2b 至2f。由于安全邊界節(jié)點2a的分配單元13也可以從其它安全邊界節(jié)點2b 至2f接收更新的特征組,因此特征分析器5能夠識別任何類型的攻擊,不管是先前在安全邊界節(jié)點2a自身中識別的,還是在任何一個其它安全邊界 節(jié)點2b-2f中先前識別的。以此方式,所有的安全邊界節(jié)點2a至2f都M 于對等信息交換的分布式自適應(yīng)安全環(huán)路的一部分。
由于特征分析器5和字節(jié)分析器7均布置于信號路徑8中,因此基于 特征的攻擊分析能夠以線速^/實時地執(zhí)行。由此,上述方法自動地在每個 安全邊界節(jié)點2a至2f和每個輸入端口處分析攻擊,更新特征組,并由此 加強所有其它安全邊界節(jié)點2a至2f對攻擊的防衛(wèi)。
附圖3中示出了圖2的架構(gòu)的一種變體,其中的特征干涉單元9、認 證單元10、測試單元11和分配單元13都布置在中央網(wǎng)絡(luò)安全實例14中。 這樣,用于保護圖1的核心網(wǎng)絡(luò)1的分布式保護單元15由該網(wǎng)絡(luò)安全實例 14、安全邊界節(jié)點2a的特征分析器5和字節(jié)分析器7形成。應(yīng)當理解的是 不但安全邊界節(jié)點2a、而且其它安全邊界節(jié)點2b至2f都向中央特征干涉 單元9^^告其字節(jié)分析的結(jié)果。通過在網(wǎng)絡(luò)l的單個位置執(zhí)行特征更新, 可以更方便地保證特征的一致性,且所需的資源也更少。
上述策略還可以擴展到跨邊界節(jié)點域之間。這意味著所有應(yīng)用的邊界 節(jié)點(全球范圍的)可以將他們的才艮告發(fā)送到一個更高的層級上,使得全 球范圍內(nèi)、跨產(chǎn)品以及可能跨供應(yīng)商的特征干涉單元可以產(chǎn)生新的特征組, 接著該新的特征組將被下載到所有的安全邊界節(jié)點或者應(yīng)用了特征分析的 特定公司的產(chǎn)品中。 一種變化的實現(xiàn)方式可以在每個域或產(chǎn)品中應(yīng)用特征 干涉單元,如果獲得新的特征,則將該特征分配到全球。
附圖4和5中分別顯示了在安全邊界節(jié)點2a的保護單元14和分布式 保護單元14中的另一種反饋環(huán)路的實施方式。第二反饋環(huán)路基于包含于數(shù) 據(jù)流6中的SIP消息的應(yīng)用層分析,該分析在SIP棧16中執(zhí)行。該第二 環(huán)路是專為那些不能被字節(jié)分析器7識別的、而僅通過應(yīng)用層處理的首次 出現(xiàn)的攻擊而設(shè)計的。SIP棧16將SIP消息的特征(非語義的)內(nèi)容報告 給特征干涉單元9,然后特征干涉單元9以上文描述的方式產(chǎn)生新的特征 組。這意味著SIP棧16是否識別了一個語義上不正確的SIP消息,它的 不正確之處只能在多個頭字段之間的內(nèi)容中顯現(xiàn)。在SIP棧16發(fā)現(xiàn)了這些不一致之后,它產(chǎn)生一個包含相關(guān)頭內(nèi)容的報告,并將該才艮告發(fā)送到特征
干涉單元9。
附圖4和5顯示了具有該額外反饋環(huán)路的保護單元15的兩種架構(gòu)變 體。第一種中,在安全邊界節(jié)點2a中實現(xiàn)保護單元15,第二種中,保護 單元15是分布式的,其具有中央網(wǎng)絡(luò)安全實例14(同樣相比于附圖2和3 )。 在這兩個變體中,用于識別應(yīng)用層層面上的攻擊的步驟如下特征分析器 5或字節(jié)分析器7分別不會識別出首次出現(xiàn)的攻擊。SIP棧16中的SIP應(yīng) 用層級上的語義處理隨后識別該攻擊,從該SIP消息中提取一部分并將該 序列(以及可能的其它層3/層4的信息)報告給特征干涉單元9。這樣, 在更新了特征組之后,特征分析單元5將會檢測到第二個類似的消息攻擊。 在附圖2至5所示的示例中,特征分析器5和字節(jié)分析器7都可以具 有可調(diào)安全閾值17a,該可調(diào)安全闊值17a由控制單元17 (參見附圖6和 7)設(shè)置,用于控制字節(jié)分析和/或特征分析的靈敏度。該控制單元17可以 實現(xiàn)為一種控制軟件,其依據(jù)攻擊的數(shù)量和/或攻擊的特征,例如攻擊的類 型,來控制該可調(diào)閾值。為此,控制單元17分別收集包含于特征分析器5、 字節(jié)分析器7和SIP棧16的報告中的信息。控制單元17可以在安全邊界 節(jié)點2a中實現(xiàn),并且僅僅依據(jù)由安全邊界節(jié)點2a接收到的數(shù)據(jù)流6來控 制安全級別,或者控制單元17可以是中央網(wǎng)絡(luò)安全實例14的一部分,由 此將來自不同的安全邊界節(jié)點2a至2f的用于安全閾值調(diào)整的報告考慮在 內(nèi)。無論哪種情況,用于產(chǎn)生攻擊指示的閾值水平可以基于歷史的和當前 的攻擊情況而控制。
此外,如附圖6和7所示,分別對于字節(jié)分析器7和特征分析器5來 說,如果超過了閾值,則SIP消息不會像通常那樣處理,而是會轉(zhuǎn)送到一 個安全SIP棧18中,該安全SIP棧18在一種具有低處理優(yōu)先級的"沙箱,, (sandbox)環(huán)境中運行。如果該SIP消息不包含任何可識別的攻擊,則 安全SIP棧18如任何其它表現(xiàn)良好的消息那樣處理該消息。接著將安全 SIP棧18的處理反饋(肯定/否定)報告給例如控制單元17,控制單元17 于是可以決定修改安全靈敏度決定級別以適應(yīng)安全閾值。在附圖8a和8b中顯示了執(zhí)行字節(jié)分析的兩種可替代方式。在圖8a 中顯示的第一可替代方式中,字節(jié)分析器7作為數(shù)據(jù)路徑8中的一個插入 式元件而提供,數(shù)據(jù)路徑8還額外包括一個令牌化器(tokenizer) 19和一 個會話排隊單元20。在這種情況下,由于字節(jié)分析不減少輸入輸出量,因 此對處理負荷和處理性能的要求很高。因此,特征分析器5、字節(jié)分析器7 和令牌化器19組成的鏈條必須能夠以所期望的最大消息速率運行。字節(jié)分 析器7可以指出"陌生的,,消息并指示務(wù)活排隊單元20將這些消息發(fā)送到在 沙箱中運行的安全SIP棧18。如果安全SIP棧18識別了攻擊,或者甚至 是崩潰,則濾除該會話消息并關(guān)閉會話隊列。可選地,可觸發(fā)另一個SIP 棧(未示出)以將消息發(fā)送到寄存器或S-CSCF (Serving Call Session Control Function服務(wù)呼叫會活控制功能),以此通過正常方式關(guān)閉M 或客戶端。
在附圖8b所示的示例中,字節(jié)分析器7配置在消息路徑8之夕卜,且字 節(jié)分析只在另一決定單元21給出肯定的結(jié)果時才進行,由此,依據(jù)決定單 元21的結(jié)果,字節(jié)分析器7將只分析特定的SIP消息。這些S1P消息卑皮 標注,使得會話排隊單元20知道必須對這些消息排隊,直到執(zhí)行完進一步 的調(diào)查。字節(jié)分析器7還可決定對安全SIP棧18中的消息執(zhí)行進一步分析。 在任何情況下,測試結(jié)果都被提供i^話排隊單元20,該測試結(jié)果指示丟 棄或者處理由字節(jié)分析器7處理的消息。在字節(jié)分析器7指示該消息應(yīng)當 被處理的情況下,像對任何其它非關(guān)鍵消息一樣執(zhí)行處理。這種方案的優(yōu) 點是減少了總處理負荷并增加了輸入輸出量,但是這種方案的成功取決于 特征分析的質(zhì)量和可調(diào)的安全閾值,因為在決定單元21是特征分析器5 的一部分的情況下,安全閾值就要被考慮在內(nèi)從而進行決定。對決定單元 21的輸入還可包括消息的類型(請求/響應(yīng))、SIP方法、發(fā)送該消息的網(wǎng) 絡(luò)的網(wǎng)絡(luò)ID、類似CallID的SIP頭、來自SIP棧的關(guān)于一個或多個先前 SIP消息或方法的反饋、或者事務(wù)ID。
附圖9顯示了在字節(jié)分析器7中如何有利地使用安全閾值17a,其中 該字節(jié)分析器7實施為一種并行多字節(jié)序列分析器,并具有派送/復(fù)制單元22、多個用于分析不同長度字符串的字符串分析單元,其中三個字符串分 析單元23a至23c示于附圖9中,以及權(quán)重決定器24,其依據(jù)控制單元17 提供給字節(jié)分析器17的安全閾值17a來加權(quán)字符串分析單元23a至23c的 結(jié)果,由此在當前攻擊狀況的基礎(chǔ)上適應(yīng)字節(jié)分;f斤。
在附圖2至8中顯示的任一個示例中,可以執(zhí)行字節(jié)分析器7、特征 分析器5和針孔25之間的反饋,例如以附圖IO所示的方式特征分析器 5控制針孔塊25以濾除從專用5元組接收的消息,僅當超過了特征分析的 特定安全閾值(未示出)時,特征分析器5才執(zhí)行該專用阻斷。在特征分 析器5和字節(jié)序列分析器7都指示出永久失常的消息的情況下,可以控制 針孔模塊25來關(guān)閉針孔( 一給定的時間)。
從字節(jié)分析器7到之前的功能模快也存在類似的反饋。向特征分析器 5的反饋是一種來自特征分析器5的"檢查消息"請求的篡改或認證。這允 許提高或降低專用會話的閣值,且在這種情況下特征分析器5可被用作決 定單元。舉例來說,如果針對同一M向字節(jié)分析器7提出的若干消息檢 查請求總是產(chǎn)生"沒有識別出攻擊,,的結(jié)果,則特征分析器5可以提高閾值 來對該會話執(zhí)行額外檢查。
最后,在附圖11和12中,附圖2至附圖10描述的組裝模塊被組合形 成保護單元14的兩個有利示例,該保護單元14實現(xiàn)跨層和多策略的安全 架構(gòu)。
在附圖11顯示的示例中,以參照附圖8a所描述的方式在數(shù)據(jù)路徑8 中執(zhí)行字節(jié)分析,會話排隊單元20包括一個優(yōu)先級調(diào)度器20a,該調(diào)度器 給核定為"陌生"并M送到安全SIP棧18進行處理的SIP消息分配^f氐優(yōu) 先級。被字節(jié)分析器7核定為"陌生"的SIP消息祐發(fā)送到未保護的SIP棧 16中并以高優(yōu)先級進行處理。
在附圖12的示例性實施例中,字節(jié)分析器7配置在數(shù)據(jù)路徑8之外, 并且特征分析器5包括一個決定單元(未示出),用于決定包含于數(shù)據(jù)流 6中的哪些SIP消息需要通過字節(jié)分析器7檢查。在這種情況下,正如參 照附圖8b進行的更詳細的討論那樣,會活排隊單元20將執(zhí)行字節(jié)分析的SIP消息進行排隊,并依據(jù)字節(jié)分析的結(jié)果丟棄或處理排好隊的消息。
在這兩種情況下,特征分析器5和字節(jié)分析器7的安全閾值都可以由 控制單元來控制,為了簡4更起見,該控制單元在附圖11和12中均未顯示。
本領(lǐng)域的技術(shù)人員應(yīng)當理解,附圖11和12中的功能模塊不必局限地 位于附圖11和12中顯示的安全邊界節(jié)點2a處,因為將完全線速度(full line speed )處理模塊放置在安全邊界節(jié)點的輸入端口也可能是有利的。特別的, 令牌化器19、會話排隊單元20,優(yōu)先級調(diào)度器20a以及尤其是SIP棧16 和安全SIP棧18可以被放置地更中央(在安全邊界節(jié)點中),甚至在諸如 中央網(wǎng)絡(luò)安全實例14的中央網(wǎng)絡(luò)元件中。而且,應(yīng)當理解,正如參照附圖 2和4所描述的,除了使用附圖11和12中顯示的分布式架構(gòu)的保護單元 15,也可以將整個保護單元15集成在安全邊界節(jié)點2a中。
綜上所迷,通過提供上述類型的保護單元,可以有效地保護計算機網(wǎng) 絡(luò)免于在一個或有限數(shù)量的核心網(wǎng)絡(luò)端口處檢測到的網(wǎng)絡(luò)攻擊,并向其它 網(wǎng)絡(luò)端口快速分配特征。應(yīng)當理解,保護單元并不一定在網(wǎng)絡(luò)的安全邊界 節(jié)點中實現(xiàn),在某些情況下,保護單元的實現(xiàn)位于網(wǎng)絡(luò)內(nèi)部的某些節(jié)點處 也是有利的。最后,本領(lǐng)域技術(shù)人員應(yīng)當理解,盡管在上述示例中已經(jīng)描 述了 SIP消息的處理,但是上述構(gòu)思也可以應(yīng)用到用于應(yīng)用層信令的其它 類型的應(yīng)用層控制消息。而且,雖然上文中參照字節(jié)分析描述了異常檢測, 但是應(yīng)當理解,還存在執(zhí)行異常檢測的其它方式,可以基于其它類型的統(tǒng) 計分析,也可以基于其它異常檢測方法,例如機器學習等。
通過示例的方式,給出了上述優(yōu)選實施例的描述。從所揭示的內(nèi)容中, 本領(lǐng)域的技術(shù)人員將不僅理解本發(fā)明及其伴隨的優(yōu)點,而且還將發(fā)現(xiàn)對所 才皮露的結(jié)構(gòu)和方法的各種顯而易見的變化和修改。因此,本申請人試圖將 落入本發(fā)明的精神和主旨的所有這些變化和^^改進行覆蓋,正如所附的4又 利要求及其對等物所定義的那樣.
權(quán)利要求
1.一種用于保護基于分組的網(wǎng)絡(luò)(1)免受攻擊的方法,包括通過比較分組流(6)的特征與先前識別的攻擊的特征組對在網(wǎng)絡(luò)(1)的安全邊界節(jié)點(2a)中接收到的分組流(6)執(zhí)行特征分析以檢測攻擊,對至少部分分組流(6)執(zhí)行異常檢測,特別是統(tǒng)計分析,以檢測分組流(6)中的異常,當檢測到分組流中的異常時更新所述特征組,更新的特征組(12)接著被用于執(zhí)行特征分析,將該更新的特征組(12)中的至少一個特征分配至網(wǎng)絡(luò)(1)中的至少一個其它安全邊界節(jié)點(2b-2f),優(yōu)選分配至每一個其它安全邊界節(jié)點(2b-2f),其特征在于對應(yīng)用層控制消息,特別是分組流(6)的會話初始協(xié)議SIP消息執(zhí)行異常檢測,特征組的更新考慮所述異常檢測的結(jié)果。
2. 如權(quán)利要求l所述的方法,還包括使用安全閾值(17a )來控制特征分析和/或異常檢測的靈敏度, 用于檢測攻擊和/或異常,該安全閾值(17a)優(yōu)選依據(jù)攻擊的至少 一個特征,特別是攻擊的數(shù)量,進行調(diào)整。
3. 如權(quán)利要求2所述的方法,其中所述異常檢測被執(zhí)行為并 行多序列字節(jié)分析,該字節(jié)序列分析的權(quán)重依據(jù)所述安全閾值(17a)來控制。
4. 一種用于保護基于分組的網(wǎng)絡(luò)(1)免受攻擊的保護單元 (15),包括特征分析器(5),用于分析在網(wǎng)絡(luò)(1)的安全邊界節(jié)點(2a) 中接收的分組流(6),并通過比較分組流(6)的特征和先前識 別的攻擊的特征組來檢測攻擊;異常檢測器,尤其是統(tǒng)計分析器(7),用于檢測分組流(6)中的異常;特征干涉單元(9),用于在檢測到分組流(6)中的異常時 更新特征組,所更新的特征組(12)接著被所述特征分析器(5) 用于執(zhí)行特征分析;分配單元(13),用于將所迷更新的特征組(12)中的至少 一個特征分配至所述基于分組的網(wǎng)絡(luò)(1)中至少一個其它安全邊 界節(jié)點(2b-2f),優(yōu)選分配至每個其它的安全邊界節(jié)點(2b-2f),其特征在于信令棧,優(yōu)選為SIP棧(16),用于對包含于分組流(6)中 的應(yīng)用層控制消息,特別是SIP消息執(zhí)行異常檢測,在特征干涉 單元(9)中對所述特征組的更新考慮所述異常檢測的結(jié)果。
5. 如權(quán)利要求4所述的保護單元,還包括控制單元(17), 使用安全閾值(17a)來控制特征分析器(5)和/或異常檢測器的 靈敏度,用于檢測攻擊和/或異常,該安全閣值(17a)優(yōu)選依據(jù)攻 擊的至少一個特征,特別是攻擊的數(shù)量進行調(diào)整。
6. 如權(quán)利要求5所述的保護單元,其中所述異常檢測器是并 行多序列字節(jié)分析器(7),該字節(jié)序列分析的權(quán)重依據(jù)所述安全 閾值(17a)來控制。
7. 如權(quán)利要求5所迷的保護單元,還包括 安全信令棧,特別是安全SIP棧(18),用于處理包含于數(shù)據(jù)流(6)中的應(yīng)用層控制消息,關(guān)于必須在該安全信令棧中處理 的消息的決定優(yōu)選是依據(jù)所述安全閾值(17a)來做出。
8. 如權(quán)利要求4所述的保護單元,還包括決定單元(21),用于做出關(guān)于數(shù)據(jù)流(6)中所包含的、必 須進行異常檢測的消息,特別是SIP消息的決定,以及會話排隊單元(20),用于把執(zhí)行異常檢測的消息進行排隊, 排隊的消息優(yōu)選依據(jù)所述異常檢測的結(jié)果來丟棄或處理
9. 如權(quán)利要求4所述的保護單元,還包括針孔(25),用于 從數(shù)據(jù)流(6)中丟棄消息,該針孔(25)在反饋環(huán)路中受異常檢 測器(7)和/或特征分析器(5)的控制。
10. —種基于分組的網(wǎng)絡(luò)(1 )的安全邊界節(jié)點(2a),包括 如權(quán)利要求4所述的保護單元(15)
11. 一種基于分組的網(wǎng)絡(luò)(1),包括至少兩個如權(quán)利要求4 所述的保護單元(15),該保護單元(15)具有公共的特征干涉 單元(9),該特征干涉單元(9)優(yōu)選布置在該網(wǎng)絡(luò)(1)的中央 網(wǎng)絡(luò)安全實例(14)中。
全文摘要
本發(fā)明涉及一種用于保護基于分組的網(wǎng)絡(luò)免受攻擊的保護單元(15),包括特征分析器(5),用于分析在基于分組的網(wǎng)絡(luò)(1)的安全邊界節(jié)點(2a)中接收的分組流(6),并通過比較分組流(6)的特征和先前識別的攻擊的特征組來檢測攻擊;異常檢測器,尤其是統(tǒng)計分析器(7),用于檢測分組流(6)中的異常;以及特征干涉單元(9),用于在檢測到分組流(6)中的異常時更新特征組,所更新的特征組(12)接著被用于執(zhí)行特征分析。分配單元(13)將更新的特征組(12)中的至少一個特征分配至所述基于分組的網(wǎng)絡(luò)(1)中至少一個另外的安全邊界節(jié)點,優(yōu)選分配至每個其它的安全邊界節(jié)點。本發(fā)明還涉及包括這種保護單元的安全邊界節(jié)點、包括至少兩個這種保護單元的網(wǎng)絡(luò)以及相應(yīng)的保護方法。
文檔編號H04L29/06GK101582905SQ200910149718
公開日2009年11月18日 申請日期2009年4月22日 優(yōu)先權(quán)日2008年4月22日
發(fā)明者B·諾埃, J·謝內(nèi)爾, P·多姆什茨, S·瓦爾 申請人:阿爾卡特朗訊公司