一種面向sbc的畸形sip消息檢測(cè)的方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種面向SBC的畸形SIP消息檢測(cè)的方法與系統(tǒng),屬于核心網(wǎng)安全檢測(cè)領(lǐng)域。所述面向SBC的畸形SIP消息檢測(cè)的方法包括:101,為SBC增加一個(gè)畸形SIP消息檢測(cè)模塊,建立畸形SIP消息數(shù)據(jù)庫(kù);102,SBC把接收到的SIP消息轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊,畸形SIP消息檢測(cè)模塊對(duì)所述SIP消息進(jìn)行檢測(cè);103,畸形SIP消息檢測(cè)模塊根據(jù)檢測(cè)的結(jié)果給SBC回復(fù)消息;104,SBC根據(jù)畸形SIP消息檢測(cè)模塊返回的消息與IMS核心網(wǎng)進(jìn)行通信。
【專利說明】-種面向SBC的畸形SIP消息檢測(cè)的方法與系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于核心網(wǎng)安全檢測(cè)領(lǐng)域,具體涉及一種面向SBC的畸形SIP消息檢測(cè)的 方法與系統(tǒng)。
【背景技術(shù)】
[0002] IP多媒體子系統(tǒng)(MS,IP Multimedia Subsystem)是第三代移動(dòng)通信伙伴組織 (3GPP,3rd Generation Partnership Project)在 Release5 版本標(biāo)準(zhǔn)中提出的支持 IP 多 媒體業(yè)務(wù)的子系統(tǒng)。各種類型的客戶端通過頂S都可以建立起端到端的IP通信,并可獲得 所需要的服務(wù)質(zhì)量。MS是IP多媒體系統(tǒng),是一種全新的多媒體業(yè)務(wù)形式,它能夠滿足現(xiàn)在 的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。目前,頂S被認(rèn)為是下一代網(wǎng)絡(luò)的核心技 術(shù),也是解決移動(dòng)與固網(wǎng)融合,引入語(yǔ)音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方式。但 是,目前全球頂S網(wǎng)絡(luò)多數(shù)處于初級(jí)階段,應(yīng)用方式也處于業(yè)界探討當(dāng)中。
[0003] MS是對(duì)IP多媒體業(yè)務(wù)進(jìn)行控制的網(wǎng)絡(luò)核心層邏輯功能實(shí)體的總稱。頂S體系由 于終端與核心側(cè)采用基于IP承載的會(huì)話初始協(xié)議(SIP, Session Initiation Protocol), IP技術(shù)與承載媒體無關(guān)的特性使得IMS體系可以支持各類接入方式,從而使得IMS的應(yīng)用 范圍從最初始的移動(dòng)網(wǎng)逐步擴(kuò)大到固定領(lǐng)域。此外,由于MS體系架構(gòu)可以支持移動(dòng)性管 理并且具有一定的服務(wù)質(zhì)量(QoS, Quality of Service)保障機(jī)制,因此IMS技術(shù)的優(yōu)勢(shì)還 體現(xiàn)在寬帶用戶的漫游管理和QoS保障方面。
[0004] MS是一個(gè)在分組域(PS,Packet Switch)上的多媒體控制/呼叫控制平臺(tái),頂S 使得PS具有電路域(CS, Circuit Switch)的部分功能,支持會(huì)話類和非會(huì)話類的多媒體業(yè) 務(wù)。MS為未來的多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)平臺(tái),典型的業(yè)務(wù)如呈現(xiàn)、消息、會(huì)議、 一鍵通等等。
[0005] MS的應(yīng)用主要集中在以下幾 個(gè)方面。首先是在移動(dòng)網(wǎng)絡(luò)的應(yīng)用,這類應(yīng)用是移 動(dòng)運(yùn)營(yíng)商為了豐富移動(dòng)網(wǎng)絡(luò)的業(yè)務(wù)而開展的,主要是在移動(dòng)網(wǎng)絡(luò)的基礎(chǔ)上用MS來提供 PoC(Push to talk over Cellular)、即時(shí)消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點(diǎn)集 中在給企業(yè)客戶提供IPCENTREX和公眾客戶的VoIP第二線業(yè)務(wù)。
[0006] 其次是固定運(yùn)營(yíng)商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要,通過MS為企業(yè)用戶提供融合的 企業(yè)的應(yīng)用(IPCENTREX業(yè)務(wù)),以及向固定寬帶用戶(例如ADSL用戶)提供VoIP應(yīng)用。
[0007] 第三種典型的應(yīng)用是融合的應(yīng)用,主要體現(xiàn)在WLAN和3G的融合,以實(shí)現(xiàn)語(yǔ)音業(yè)務(wù) 的連續(xù)性。在這種方式下,用戶擁有一個(gè)WLAN/WCDMA的雙模終端,在WLAN的覆蓋區(qū)內(nèi),一般 優(yōu)先使用WLAN接入,因?yàn)檫@種方式用戶使用業(yè)務(wù)的資費(fèi)更低,數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng) 離開WLAN的覆蓋區(qū)后,終端自動(dòng)切換到WCDM網(wǎng)絡(luò),從而實(shí)現(xiàn)語(yǔ)音在WLAN和WCDM之間的 連續(xù)性。目前,這種方案的商用較少,但是許多運(yùn)營(yíng)商都在進(jìn)行測(cè)試。
[0008] 在MS中全部采用SIP協(xié)議,雖然SIP也可以實(shí)現(xiàn)最基本的VoIP,但是這種協(xié)議在 多媒體應(yīng)用中所展現(xiàn)出來的優(yōu)勢(shì)表明,它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非 常靈活,所以MS還存在許多潛在的業(yè)務(wù)。
[0009] 當(dāng)前,MS正被各運(yùn)營(yíng)商進(jìn)行部署。IMS尚處于初級(jí)應(yīng)用階段,仍需對(duì)MS網(wǎng)絡(luò)進(jìn) 行大量的安全測(cè)試,其目的是發(fā)現(xiàn)網(wǎng)絡(luò)存在的漏洞,對(duì)于彌補(bǔ)漏洞,提高網(wǎng)絡(luò)的安全性非常 重要。目前,關(guān)于頂S網(wǎng)絡(luò)的安全測(cè)試還剛剛處于研究階段,業(yè)界還缺乏一種測(cè)試MS核心 網(wǎng)的安全測(cè)試方法。
[0010] SBC(Session Border Controller,會(huì)話邊界控制器)作為IMS網(wǎng)絡(luò)中一個(gè)十分 重要的邊界控制設(shè)備,通常被部署在施加控制的信令和語(yǔ)音互聯(lián)網(wǎng)協(xié)議(V0IP,Voice over Internet Protocol)網(wǎng)絡(luò)的設(shè)備,通常也參與設(shè)立,進(jìn)行,拆除電話或其他互動(dòng)媒體通信 流,實(shí)現(xiàn)NAT穿越、接入控制以及信令和承載安全等功能。
【發(fā)明內(nèi)容】
[0011] 本發(fā)明的目的在于解決上述現(xiàn)有技術(shù)中存在的難題,提供一種面向SBC的畸形 SIP消息檢測(cè)的方法與系統(tǒng),實(shí)現(xiàn)SBC對(duì)MS核心網(wǎng)SIP消息的防護(hù)。
[0012] 本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的:
[0013] -種面向SBC的畸形SIP消息檢測(cè)的方法,包括:
[0014] 101,為SBC增加一個(gè)畸形SIP消息檢測(cè)模塊,建立畸形SIP消息數(shù)據(jù)庫(kù);
[0015] 102, SBC把接收到的SIP消息轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊,畸形SIP消息檢測(cè) 模塊對(duì)所述SIP消息進(jìn)行檢測(cè);
[0016] 103,畸形SIP消息檢測(cè)模塊根據(jù)檢測(cè)的結(jié)果給SBC回復(fù)消息;
[0017] 104, SBC根據(jù)畸形SIP消息檢測(cè)模塊返回的消息與MS核心網(wǎng)進(jìn)行通信。
[0018] 為SBC增加一個(gè)畸形SIP消息檢測(cè)模塊是這樣實(shí)現(xiàn)的:
[0019] 在SBC端增加一個(gè)socket通信模塊,將其接收到的SIP消息轉(zhuǎn)發(fā)給畸形SIP消息 檢測(cè)模塊。
[0020] 所述畸形SIP消息檢測(cè)模塊的部署模式包括:監(jiān)聽模式和檢測(cè)模式;
[0021] 當(dāng)畸形SIP消息檢測(cè)模塊的部署模式為監(jiān)聽模式時(shí),其連接至SBC的前置路由器, 并通過端口映射的方式監(jiān)聽所有往來SBC的SIP消息,對(duì)于接收到的SIP消息進(jìn)行直接轉(zhuǎn) 發(fā);
[0022] 當(dāng)畸形SIP消息檢測(cè)模塊的部署模式為檢測(cè)模式時(shí),SBC在接收到新消息時(shí),直接 轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊,并啟動(dòng)定時(shí)器T ;然后畸形SIP消息檢測(cè)模塊接收來自SBC 的消息,開始檢測(cè);在T超時(shí)前,如果畸形SIP消息檢測(cè)模塊完成檢測(cè)且發(fā)現(xiàn)異常,則向SBC 發(fā)送響應(yīng)消息指出異常,如果檢測(cè)模塊完成檢測(cè)但并未發(fā)現(xiàn)異常,則向SBC發(fā)送響應(yīng)消息 指出未發(fā)現(xiàn)異常;若T超時(shí),則畸形SIP消息檢測(cè)模塊不響應(yīng),SBC繼續(xù)后繼的處理。
[0023] 所述步驟101中,是根據(jù)RFC3261中采用的BNF范式定義的SIP消息格式建立畸 形SIP消息數(shù)據(jù)庫(kù)。
[0024] 所述步驟102中的畸形SIP消息檢測(cè)模塊對(duì)所述SIP消息進(jìn)行檢測(cè)是這樣實(shí)現(xiàn) 的:
[0025] 判斷所述SIP消息是否為RFC3261中采用的BNF范式定義的SIP消息,如果是,則 檢測(cè)結(jié)果為正常的SIP消息;如果否,則檢測(cè)結(jié)果為畸形消息,然后直接過濾掉該SIP消息。
[0026] 所述判斷所述SIP消息是否為RFC3261中采用的BNF范式定義的SIP消息是采用 詞法分析技術(shù)與語(yǔ)法分析技術(shù)對(duì)SIP消息進(jìn)行檢測(cè)分析來實(shí)現(xiàn)的。
[0027] 所述步驟103是這樣實(shí)現(xiàn)的:
[0028] 如果檢測(cè)結(jié)果是正常的SIP消息,則畸形SIP消息檢測(cè)模塊給SBC返回一個(gè)正常 的信號(hào),并且把所述SIP消息一起返回給SBC ;
[0029] 如果檢測(cè)結(jié)果是畸形消息,則畸形檢測(cè)模塊給SBC返回一個(gè)SIP消息是畸形的消 肩、。
[0030] 所述步驟104是這樣實(shí)現(xiàn)的:
[0031] 如果SBC收到的是正常的信號(hào)和所述SIP消息,則將所述SIP消息轉(zhuǎn)發(fā)給MS核 心網(wǎng);如果SBC收到的是SIP消息是畸形的消息,則不轉(zhuǎn)發(fā)給MS核心網(wǎng)。
[0032] 一種實(shí)現(xiàn)所述方法的系統(tǒng),包括:
[0033] SBC通信模塊、畸形SIP消息檢測(cè)模塊、異常呼叫檢測(cè)模塊、異常消息洪泛檢測(cè)模 塊以及管理員模塊;
[0034] 所述SBC通信模塊用于畸形SIP消息檢測(cè)模塊與SBC之間的通信;
[0035] 所述畸形SIP消息檢測(cè)模塊用于對(duì)SIP消息進(jìn)行檢測(cè),檢測(cè)出所有不滿足RFC3261 中規(guī)定的BNF范式定義的SIP消息;
[0036] 所述異常呼叫檢測(cè)模塊用于檢測(cè)所有的異常撥打;
[0037] 所述異常消息洪泛檢測(cè)模塊用于實(shí)現(xiàn)SBC設(shè)備對(duì)傳統(tǒng)DDoS洪泛攻擊的防范;
[0038] 所述管理員模塊用于監(jiān)控和管理畸形SIP消息檢測(cè)模塊,維護(hù)中心SIP安全規(guī)則 庫(kù),通知畸形SIP消息檢測(cè)模塊更新本地SIP安全規(guī)則庫(kù),進(jìn)行歷史安全事件的統(tǒng)計(jì)分析, 提供基于Web的管理員界面。
[0039] 所述畸形SIP消息檢測(cè)模塊包括消息分發(fā)器、檢測(cè)分發(fā)器和檢測(cè)插件;
[0040] 所述消息分發(fā)器用于將接收到的SIP消息分散到各個(gè)節(jié)點(diǎn),各個(gè)節(jié)點(diǎn)同時(shí)處理 SIP消息;
[0041] 每個(gè)節(jié)點(diǎn)上均設(shè)有檢測(cè)分發(fā)器和一組檢測(cè)插件;
[0042] 每個(gè)節(jié)點(diǎn)上的所述檢測(cè)分發(fā)器用于將SIP消息分散到各個(gè)檢測(cè)插件,每個(gè)檢測(cè)插 件對(duì)應(yīng)SIP消息的一種畸形類型,每一條SIP消息要經(jīng)過所有檢測(cè)插件的檢測(cè);
[0043] 所有檢測(cè)插件能夠同時(shí)讀取一條SIP消息,并進(jìn)行檢測(cè)。
[0044] 所述系統(tǒng)進(jìn)一步包括:
[0045] 安全事件代理:用于將SIP畸形攻擊事件記錄在數(shù)據(jù)庫(kù)中;
[0046] 安全規(guī)則更新代理:用于在出現(xiàn)新的SIP畸形時(shí),制定出對(duì)應(yīng)的檢測(cè)規(guī)則來更新 規(guī)則庫(kù);
[0047] 節(jié)點(diǎn)管理代理:在Mapreduce時(shí)對(duì)各個(gè)節(jié)點(diǎn)進(jìn)行管理。
[0048] 與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:本發(fā)明通過在SBC中增加一個(gè)具有畸形 SIP消息檢測(cè)功能的模塊。該模塊利用正則表達(dá)式和Python語(yǔ)言實(shí)現(xiàn)了基于該規(guī)則的畸 形SIP消息檢測(cè)插件,該插件能夠支持多種畸形SIP消息的檢測(cè),旨在檢測(cè)出所有不滿足 RFC3261中采用BNF范式定義的SIP消息,并盡可能小的降低檢測(cè)時(shí)延,從而提升SBC設(shè)備 的安全防護(hù)能力,保護(hù)MS網(wǎng)絡(luò)中的核心實(shí)體免受畸形SIP消息的攻擊,實(shí)現(xiàn)簡(jiǎn)單且實(shí)用。
【專利附圖】
【附圖說明】
[0049] 圖1為本發(fā)明增加了畸形SIP消息檢測(cè)模塊的SBC轉(zhuǎn)發(fā)SIP消息的流程圖;
[0050] 圖2為本發(fā)明包含畸形SIP消息檢測(cè)模塊系統(tǒng)總體架構(gòu)圖;
[0051] 圖3為本發(fā)明畸形SIP信令檢測(cè)模塊的設(shè)計(jì)圖。
[0052] 圖4為本發(fā)明方法的步驟框圖。
【具體實(shí)施方式】
[0053] 下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述:
[0054] -種面向SBC的畸形SIP消息檢測(cè)的方法與系統(tǒng),在SBC中增加一個(gè)具有畸形SIP 消息檢測(cè)功能的模塊。該模塊旨在檢測(cè)出所有不滿足RFC3261中采用BNF范式定義的SIP 消息,并盡可能小的降低檢測(cè)時(shí)延,如圖4所示,該方法包括:
[0055] A. SBC把接收到的SIP消息轉(zhuǎn)發(fā)給畸形檢測(cè)模塊;
[0056] B.畸形檢測(cè)模塊根據(jù)寫好的檢測(cè)規(guī)則對(duì)SIP消息進(jìn)行檢測(cè);
[0057] C.畸形檢測(cè)模塊根據(jù)檢測(cè)的結(jié)果做出下一步的動(dòng)作,如果檢測(cè)出來是正常的SIP 消息,畸形檢測(cè)模塊給SBC返回一個(gè)正常的信號(hào)并且把SIP消息也返回,如果檢測(cè)結(jié)果是畸 形消息,畸形檢測(cè)模塊則直接過濾掉SIP消息并且給SBC返回一個(gè)SIP消息是畸形的消息;
[0058] D. SBC根據(jù)畸形檢測(cè)模塊檢測(cè)結(jié)果采取不同的策略與MS核心網(wǎng)絡(luò)通信,如果 SIP消息是畸形的,SBC就直接過濾掉,不轉(zhuǎn)發(fā)給MS核心網(wǎng)絡(luò),如果SIP消息是正常的就 轉(zhuǎn)發(fā)給MS核心網(wǎng)。所述步驟D確定了 SBC和MS核心網(wǎng)的互聯(lián)互通過程,具體是通過修 改SBC的opensipstack協(xié)議棧與源碼的方法實(shí)現(xiàn)了 OpenSBC與OpenIMSCore的互聯(lián)互通 (OpenSBC與OpenMSCore原本是不能通信的,而要檢測(cè)是否過濾掉畸形SIP消息的話是需 要OpenMSCore參與的,如果是正常的SIP消息,OpenMSCore是能夠收到的。)。
[0059] 通過分析RFC3261、RFC4475以及現(xiàn)有畸形SIP消息,得到畸形SIP消息的構(gòu)成方 式;
[0060] 所述SIP協(xié)議是應(yīng)用層上的一個(gè)具有分層結(jié)構(gòu)的信令控制協(xié)議。SIP的最底層是 語(yǔ)法層和編碼層,編碼采用了增強(qiáng)的巴克斯范式(ABNF),ABNF是基于BNF的,但是ABNF由 它自己的語(yǔ)法和推導(dǎo)規(guī)則構(gòu)成;第二層是傳輸層,所有的SIP元素都包含傳輸層,它定義了 網(wǎng)絡(luò)上一個(gè)客戶機(jī)如何發(fā)送請(qǐng)求和接收響應(yīng)以及一個(gè)服務(wù)器如何接收請(qǐng)求和發(fā)送響應(yīng);第 三層是事物層,事務(wù)是SIP的基本元素,一個(gè)事務(wù)是由客戶機(jī)事務(wù)發(fā)送給服務(wù)器事務(wù)的請(qǐng) 求(使用傳輸層),以及對(duì)應(yīng)該請(qǐng)求的從服務(wù)器事務(wù)發(fā)送回客戶機(jī)的所有響應(yīng)組成。事務(wù)層 之上的層稱為事務(wù)用戶(TU)。每個(gè)SIP實(shí)體,都是事務(wù)用戶。
[0061] 所述SIP消息可以分為兩大類,分別是:由客戶端發(fā)給服務(wù)器的請(qǐng)求消息 (Request Messages)和由服務(wù)器發(fā)給客戶端的應(yīng)答消息(Response Messages)。
[0062] 所述正常的SIP消息由三部分組成[2],即首行(start line),消息頭(header) 和正文(body)。首行的內(nèi)容是有所區(qū)別的,區(qū)別的根據(jù)是該SIP消息是請(qǐng)求還是響應(yīng),若首 行的內(nèi)容是請(qǐng)求,則稱為請(qǐng)求行;若首行的內(nèi)容是響應(yīng),則稱為狀態(tài)行。如下所示:
[0063] 首行包括請(qǐng)求行/狀態(tài)行,其中請(qǐng)求的類別信息是在請(qǐng)求行中規(guī)定的,而請(qǐng)求的 狀態(tài)信息則是在狀態(tài)行中指定的,例如有成功和失敗兩種狀態(tài)。如果狀態(tài)為失敗,則還要給 出失敗的類型或原因。
[0064] 頭字段的消息首部給出了更多的信息,該信息主要是關(guān)于請(qǐng)求或應(yīng)答的,一般主 要包括消息的來源、規(guī)定的消息接收方,以及一些其他方面的重要信息。
[0065] 所述的畸形SIP消息可以簡(jiǎn)單的理解為非正常SIP消息,既包括請(qǐng)求消息也包括 應(yīng)答消息。但是經(jīng)過嚴(yán)格的推敲并精心構(gòu)造出來的畸形SIP消息的檢測(cè)能力遠(yuǎn)大于隨機(jī)產(chǎn) 生的畸形SIP消息。本發(fā)明所述的畸形SIP消息主要是指經(jīng)過嚴(yán)格推敲并精心構(gòu)造的畸形 SIP消息。
[0066] 按照原SIP消息的類型不同,可以將畸形SIP消息分為請(qǐng)求畸形SIP消息和響應(yīng) 畸形SIP消息兩大類。在請(qǐng)求畸形SIP消息中又可以分為INVITE畸形SIP消息、REGISTER 畸形SIP消息、BYE畸形SIP消息、CANCEL畸形SIP消息、OPTIONS畸形SIP消息以及ACK INVITE畸形SIP消息。
[0067] 按照畸形SIP消息類型,可以將畸形SIP消息分成三大類:第一類為使SIP協(xié)議棧 產(chǎn)生正常響應(yīng)的畸形SIP消息;第二類為使SIP協(xié)議棧產(chǎn)生異常響應(yīng)的畸形SIP消息;第三 類為被SIP協(xié)議棧拋棄的畸形SIP消息。
[0068] 按照對(duì)SIP協(xié)議不同層次的影響分類,則分為四類,第一類為對(duì)語(yǔ)法和編碼層施 加壓力的畸形SIP消息;第二類為對(duì)傳輸層施加壓力的畸形SIP消息;第三類為對(duì)事務(wù)層 施加壓力的畸形SIP消息;第四類為對(duì)事務(wù)用戶層施加壓力的畸形SIP消息。
[0069] 最后,按照對(duì)SIP協(xié)議威脅效果程度,則又分為四大類,第一類為威脅MS整個(gè)網(wǎng) 絡(luò)的畸形SIP消息;第二類為嚴(yán)重威脅MS網(wǎng)絡(luò)中單個(gè)功能實(shí)體的SIP協(xié)議棧的畸形SIP 消息;第三類為威脅頂S網(wǎng)絡(luò)中單個(gè)功能實(shí)體的SIP協(xié)議棧的畸形SIP消息;第四類為輕微 威脅IMS網(wǎng)絡(luò)中單個(gè)功能實(shí)體的SIP協(xié)議棧的畸形SIP消息。
[0070] IETF在設(shè)計(jì)SIP協(xié)議時(shí),將設(shè)計(jì)的重點(diǎn)放在了協(xié)議的靈活性和易用性上,對(duì)于安 全性則考慮的不多,這使得SIP協(xié)議很容易在網(wǎng)絡(luò)上截取SIP消息的內(nèi)容,從而造成了 MS 網(wǎng)絡(luò)加密不完善。同時(shí),若威脅者發(fā)送大量的畸形SIP消息給IMS,MS在解析這些數(shù)據(jù)包 時(shí),將會(huì)大量占用系統(tǒng)資源,延遲或者阻礙合法的用戶使用系統(tǒng)提供的服務(wù),對(duì)關(guān)鍵性和實(shí) 時(shí)性服務(wù)造成影響,嚴(yán)重時(shí)甚至引起死機(jī)、重新啟動(dòng)以及拒絕服務(wù)等,這就造成了 IMS具有 畸形消息處理缺陷這一脆弱性。
[0071] 本發(fā)明所述主要采用詞法分析技術(shù)與語(yǔ)法分析技術(shù)對(duì)畸形SIP消息進(jìn)行檢測(cè)分 析。
[0072] 所述畸形SIP消息的詞法分析(lexical analysis),是將字符序列轉(zhuǎn)換為單 詞(Token)序列。這個(gè)過程是從輸入的字符流當(dāng)中生成單詞的過程,并且在這個(gè)過程中 詞法分析器會(huì)對(duì)單詞進(jìn)行分類。這里又涉及到詞法分析器的概念,詞法分析器(Lexical analyzer,簡(jiǎn)稱Lexer),也叫掃描器(Scanner),是進(jìn)行詞法分析的一段程序或一個(gè)函數(shù), 通常基于有限狀態(tài)自動(dòng)機(jī)。在詞法分析的過程中,詞法分析器并不關(guān)心單詞之間的關(guān)系,t匕 如詞法分析器會(huì)將括號(hào)識(shí)別為單詞但卻并不保證括號(hào)是否是匹配的。從定義上而言,單詞 的定義通常會(huì)采用正則表達(dá)式,因此詞法分析器的生成器一般都支持正則表達(dá)式。編譯過 程的第一個(gè)階段也是基礎(chǔ)階段就是詞法分析階段。這個(gè)階段的主要任務(wù)是掃描源程序的字 符流,掃描過程是從左到右一個(gè)字符一個(gè)字符進(jìn)行的,然后根據(jù)構(gòu)詞規(guī)則識(shí)別單詞。
[0073] 所述畸形SIP消息的語(yǔ)法分析是在詞法分析的下一個(gè)階段,根據(jù)某種給定的形式 文法,對(duì)輸入文本進(jìn)行分析并確定其語(yǔ)法結(jié)構(gòu),而文本通常是由單詞序列構(gòu)成的。語(yǔ)法分析 的輸入是一個(gè)個(gè)的單詞,它的主要作用是進(jìn)行語(yǔ)法檢查并構(gòu)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu)(一般是層 次化的數(shù)據(jù)結(jié)構(gòu),如語(yǔ)法分析樹、抽象語(yǔ)法樹等)。與詞法分析器不同的是,語(yǔ)法分析要考慮 單詞之間的關(guān)系。是否可以以及如何從語(yǔ)法的起始符號(hào)推導(dǎo)出輸入符號(hào)串(輸入文本)是 語(yǔ)法分析器的主要任務(wù),主要可以通過自頂向下分析與自底向上分析兩種方式來完成。
[0074] 根據(jù)對(duì)畸形SIP消息的檢測(cè)原理的分析,所述畸形SIP消息包括兩種檢測(cè)規(guī)則:串 行規(guī)則和并行規(guī)則。
[0075] 串行規(guī)則主要涉及三個(gè)方面的檢查,分別對(duì)消息長(zhǎng)度檢查,NULL空字符檢查以及 請(qǐng)求行/狀態(tài)行格式檢查。其中,在對(duì)消息長(zhǎng)度進(jìn)行檢查時(shí),要限定SIP消息的總長(zhǎng)度,若 總長(zhǎng)度超過規(guī)定門限,則不需要進(jìn)一步的畸形判斷,認(rèn)定該消息為畸形SIP消息。而NULL 空字符在SIP協(xié)議當(dāng)中是非法的字符,沒有該字符所適用的地方,而且可能會(huì)影響字符串 切割等操作。最后,對(duì)請(qǐng)求行/狀態(tài)行格式的檢查則只針對(duì)第一行進(jìn)行檢測(cè),包括兩個(gè)方面 的檢查。第一個(gè)方面首先檢查第一行是否包含三部分;(無論是請(qǐng)求行還是狀態(tài)行都是三 部分,而且必須以SP分割)。第二個(gè)方面為第一行是請(qǐng)求行還是狀態(tài)行的檢查,通過匹配第 一部分是否為"SIP/2.0"來判斷(不區(qū)分大小寫)。對(duì)于狀態(tài)行,檢查狀態(tài)碼是否合法; 對(duì)于請(qǐng)求行,檢查請(qǐng)求方法是否是規(guī)定的(注意,已有請(qǐng)求方法必須是大寫形式),以及檢 查第二部分和第三部分是否合法。
[0076] 并行規(guī)則檢測(cè)方法可以按照任意的方式進(jìn)行組合,以下的每個(gè)部分是相互獨(dú)立 的,但是每個(gè)部分內(nèi)部的順序可能存在先后關(guān)系。并行規(guī)則主要涉及以下幾個(gè)方面的檢查: SIP通用字段檢查、SIP特殊字段處理、SDP處理、通用畸形檢測(cè)、一致性檢查。
[0077] 所述畸形消息檢測(cè)模塊的核心是檢測(cè)規(guī)則的設(shè)計(jì),除此之外,還包括:異常呼叫檢 測(cè);檢測(cè)系統(tǒng)管理;事件統(tǒng)計(jì)分析。
[0078] 所述步驟B中測(cè)試畸形消息構(gòu)造規(guī)則包括:對(duì)語(yǔ)法層施加壓力的畸形SIP消息設(shè) 計(jì);對(duì)事務(wù)層語(yǔ)義施加壓力的畸形SIP消息設(shè)計(jì);對(duì)事務(wù)用戶層施加壓力的畸形SIP消息 設(shè)計(jì)。
[0079] 對(duì)語(yǔ)法層施加壓力的畸形SIP消息設(shè)計(jì)方法包括:針對(duì)行折疊規(guī)則的畸形SIP消 息;針對(duì)SIP URI設(shè)計(jì)的畸形SIP消息;針對(duì)From字段規(guī)則的畸形SIP消息;針對(duì)Via字 段規(guī)則的畸形SIP消息;針對(duì)LWS規(guī)則的畸形SIP消息;針對(duì)頭字段形式的畸形SIP消息; 針對(duì)頭字段排序的畸形SIP消息。
[0080] 對(duì)事務(wù)層語(yǔ)義施加壓力的畸形SIP消息設(shè)計(jì)方法包括:IP地址改為廣播地址;單 值頭子段擴(kuò)展為多個(gè);
[0081] 所述異常呼叫檢測(cè)功能檢測(cè)范圍覆蓋國(guó)際長(zhǎng)途異常撥打,來電IP地址異常波動(dòng), 呼叫頻率異常波動(dòng),呼叫時(shí)段異常波動(dòng),被叫號(hào)碼異常波動(dòng),響一下就斷異常,會(huì)話不完整 (總是進(jìn)行會(huì)話前幾步,但是缺后幾步,如總發(fā)Invite,但不發(fā)ACK)等異常;
[0082] 所述檢測(cè)系統(tǒng)管理功能對(duì)檢測(cè)器的運(yùn)行狀態(tài)進(jìn)行遠(yuǎn)程監(jiān)控,能夠遠(yuǎn)程修改檢測(cè)參 數(shù)(例如檢測(cè)策略:default ;fast ;full),更新檢測(cè)算法,更新檢測(cè)規(guī)則庫(kù),開啟或關(guān)閉全 部或部分檢測(cè)功能;
[0083] 所述事件統(tǒng)計(jì)分析功能能夠?qū)IP信令的歷史數(shù)據(jù)進(jìn)行統(tǒng)計(jì),包括每個(gè)賬號(hào)的常 用IP、呼叫事件段、呼叫頻率、被叫號(hào)碼,從而為異常呼叫檢測(cè)提供基準(zhǔn)數(shù)據(jù);能夠?qū)韧?畸形信令進(jìn)行統(tǒng)計(jì),從而為加快后續(xù)畸形信令檢測(cè)提供決策支持;能夠按指定的時(shí)間段生 成安全事件報(bào)告,從而展示SIP攻擊的狀況和變化趨勢(shì)。
[0084] 所述畸形SIP消息檢測(cè)模塊有兩種部署方式(通過Manager模塊可以控制,兩種 不同的實(shí)現(xiàn)方式通過按鈕轉(zhuǎn)換。),分別為監(jiān)聽模式和檢測(cè)模式(監(jiān)聽模式對(duì)于接收到的 SIP消息不做處理,直接轉(zhuǎn)發(fā);檢測(cè)模式在收到SIP消息之后,會(huì)轉(zhuǎn)給檢測(cè)模塊進(jìn)行檢測(cè)。)。 當(dāng)畸形SIP消息檢測(cè)模塊的部署方式為監(jiān)聽模式時(shí),將連接至SBC的前置路由器,并通過 "端口映射(即鏡像)"的方式監(jiān)聽所有往來SBC的SIP消息(監(jiān)聽要開啟網(wǎng)卡的混雜模 式。)。當(dāng)畸形SIP消息檢測(cè)模塊以檢測(cè)模式部署時(shí),SBC在接收到新消息時(shí),不做任何處 理,直接轉(zhuǎn)發(fā)給檢測(cè)模塊(指圖2中包含很多檢測(cè)插件的整體。),并啟動(dòng)定時(shí)器T ;然后檢 測(cè)模塊接收到來自SBC的消息,開始檢測(cè);在T超時(shí)前,又會(huì)分為兩種情況,第一種情況是, 若檢測(cè)模塊完成檢測(cè)且發(fā)現(xiàn)異常,則檢測(cè)模塊向SBC發(fā)送響應(yīng)消息指出異常;第二種情況 是檢測(cè)模塊完成檢測(cè)但并未發(fā)現(xiàn)異常,則檢測(cè)模塊向SBC發(fā)送響應(yīng)消息指出未發(fā)現(xiàn)異常。 若T超時(shí),則檢測(cè)模塊不響應(yīng),SBC繼續(xù)后繼的處理。
[0085] 所述SBC和畸形檢測(cè)模塊的互聯(lián)互通的方法是通過在SBC通信模塊,該模塊增加 了 socket通信機(jī)制,提供畸形SIP消息檢測(cè)模塊與第三方軟件進(jìn)行通信的接口,即在SBC 端增加一個(gè)通信接口,將其接收到的SIP消息轉(zhuǎn)發(fā)給畸形檢測(cè)模塊。SBC上實(shí)現(xiàn)與畸形檢測(cè) 模塊的通信,是通過在底層協(xié)議棧OpenSipStack中的SIPTransportManager. cxx的函數(shù)實(shí) 現(xiàn)中增加 socket通信機(jī)制來實(shí)現(xiàn)的。
[0086] 圖1為本發(fā)明增加了畸形SIP消息檢測(cè)模塊的SBC轉(zhuǎn)發(fā)SIP消息的流程圖,如圖 1所示,SIP信令在整個(gè)MS網(wǎng)絡(luò)中被處理的流程包括以下步驟:
[0087] SBC接收到來自客戶端的SIP消息后,若是請(qǐng)求消息,則OpenSBC (開源的邊緣會(huì)話 控制器。)通過其通信接口將其轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊進(jìn)行檢測(cè),檢測(cè)插件的調(diào)用采 用MapReduce架構(gòu)實(shí)現(xiàn)了并行調(diào)用。
[0088] 本步驟中,即需要實(shí)現(xiàn)SBC和畸形SIP消息檢測(cè)模塊的通信接口,把接收到的SIP 消息轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊。具體的,主要是在SBC端增加了 socket通信模塊。
[0089] 若檢測(cè)結(jié)果為正常消息,即畸形SIP消息檢測(cè)模塊會(huì)返回RESULT :1,則SBC重定 向到IMS網(wǎng)絡(luò)真正的P-CSCF,從而將正常消息進(jìn)行轉(zhuǎn)發(fā);
[0090] 本步驟中需要調(diào)用畸形SIP消息檢測(cè)模塊,畸形SIP消息檢測(cè)模塊的處理過程在 圖2中詳細(xì)介紹。
[0091] 若檢測(cè)結(jié)果為畸形消息,則畸形SIP消息檢測(cè)模塊會(huì)返回RESULT :0和相應(yīng)的畸形 信息,OpenSBC直接將畸形SIP消息丟棄。
[0092] 圖2為本發(fā)明包含畸形SIP消息檢測(cè)模塊系統(tǒng)總體架構(gòu)圖(相當(dāng)于在傳統(tǒng)的 SBC的基礎(chǔ)上加上畸形SIP消息檢測(cè)模塊。),如圖2所示,完整的系統(tǒng)架構(gòu)主要包括五個(gè) 模塊:SBC通信模塊、畸形信令檢測(cè)模塊、異常呼叫檢測(cè)模塊、異常消息洪泛檢測(cè)模塊以及 Manager模塊(即管理員模塊)。
[0093] 所述SBC通信模塊為該畸形SIP消息檢測(cè)模塊與第三方軟件的通信途徑,充當(dāng) P-CSCF,接收來自SBC的SIP信令,如果SIP信令合法,則通過重定向(302)(-個(gè)回復(fù)碼, 通過這個(gè)數(shù)字我們可以知道SBC的處理結(jié)果,本質(zhì)是內(nèi)容和數(shù)字做了一個(gè)映射。)將SIP信 令轉(zhuǎn)給真實(shí)P-CSCF ;如果SIP信令非法,則通過401 ( -個(gè)回復(fù)碼,通過這個(gè)數(shù)字可以知道 SBC的處理結(jié)果,本質(zhì)是內(nèi)容和數(shù)字做了一個(gè)映射。)響應(yīng)通知SBC。該接口不僅能夠?qū)?形SIP消息及時(shí)報(bào)警,還能對(duì)其進(jìn)行攔截。主要方法有兩種,偽P方式和接口方式(是SBC 在整個(gè)IMS核心網(wǎng)拓?fù)浣Y(jié)構(gòu)中的位置,偽P方式是指充當(dāng)P-CSCF,它是核心網(wǎng)的一個(gè)組成部 分,接口方式指SBC做它自己。)。
[0094] 所述畸形信令檢測(cè)模塊主要根據(jù)字符串匹配規(guī)則以及使用MapReduce并行架構(gòu) (一個(gè)插件對(duì)應(yīng)一種畸形類型,每一條SIP消息都要經(jīng)過所有插件的檢測(cè),并行性體現(xiàn)在多 個(gè)插件可以同時(shí)讀取一條消息,并進(jìn)行檢測(cè)。),旨在檢測(cè)出所有不滿足RFC3261中規(guī)定的 BNF范式定義的SIP消息,返回結(jié)果同樣為消息類型,此處定義為響應(yīng)消息,響應(yīng)消息包含 檢測(cè)結(jié)果信息和詳細(xì)的說明信息。檢測(cè)范圍覆蓋全部SIP Method,全部SIP必選可選字段 及其參數(shù),全部SDP字段及其參數(shù),全部已知的畸形類別。
[0095] 所述異常呼叫檢測(cè)模塊主要檢測(cè)所有的異常撥打,比如來電IP地址異常波動(dòng), 呼叫頻率異常波動(dòng),呼叫時(shí)段異常波動(dòng),被叫號(hào)碼異常波動(dòng),響一下就斷異常,會(huì)話不完整 (總是進(jìn)行會(huì)話前幾步,但是缺后幾步,如總發(fā)Invite,但不發(fā)ACK)等異常。
[0096] 所述SIP洪泛檢測(cè)模塊主要體現(xiàn)在SBC設(shè)備對(duì)傳統(tǒng)的DDoS洪泛攻擊的防范,主要 體現(xiàn)在對(duì)同一 IP地址的網(wǎng)絡(luò)流量的限制,對(duì)于洪泛攻擊檢測(cè)而言,實(shí)時(shí)性是其中一個(gè)重要 的方面。
[0097] 所述Manager模塊的主要功能為監(jiān)控和管理各個(gè)插件的運(yùn)行狀態(tài),維護(hù)中心SIP 安全規(guī)則庫(kù),通知畸形信令監(jiān)測(cè)模塊更新本地SIP安全規(guī)則庫(kù),歷史安全事件的統(tǒng)計(jì)分析, 提供基于Web的管理員界面。其能夠?qū)z測(cè)器的運(yùn)行狀態(tài)進(jìn)行遠(yuǎn)程監(jiān)控,能夠遠(yuǎn)程修改檢 測(cè)參數(shù)(例如檢測(cè)策略:default ;fast ;full),更新檢測(cè)算法,更新檢測(cè)規(guī)則庫(kù),開啟或關(guān) 閉全部或部分檢測(cè)功能。
[0098] 圖2中的安全事件代理是指將SIP畸形攻擊事件記錄在數(shù)據(jù)庫(kù)中,安全規(guī)則更新 代理是指出現(xiàn)新的SIP畸形時(shí),制定出對(duì)應(yīng)的檢測(cè)規(guī)則來更新規(guī)則庫(kù),節(jié)點(diǎn)管理代理是在 Mapreduce時(shí)對(duì)各個(gè)處理節(jié)點(diǎn)進(jìn)行管理。
[0099] 所述畸形SIP消息檢測(cè)模塊數(shù)據(jù)庫(kù)的統(tǒng)計(jì)部分,為了保存畸形消息的詳情以及查 看畸形消息的歷史記錄,畸形SIP消息檢測(cè)模塊在數(shù)據(jù)庫(kù)設(shè)計(jì)的部分提供了一個(gè)基礎(chǔ)表, 記錄所有的畸形消息?;诨A(chǔ)表,可做后續(xù)基本大多數(shù)的統(tǒng)計(jì);但隨著數(shù)據(jù)量的增多,統(tǒng) 計(jì)效率會(huì)下降,所以不能只單純依靠基礎(chǔ)表做所有的統(tǒng)計(jì)查詢。因此,在該數(shù)據(jù)庫(kù)設(shè)計(jì)部分 設(shè)計(jì)了更細(xì)化的統(tǒng)計(jì)分析腳本,以便對(duì)歷史日志信息進(jìn)行離線分析,并將統(tǒng)計(jì)結(jié)果直接儲(chǔ) 存進(jìn)歷史統(tǒng)計(jì)表。對(duì)于過去的數(shù)據(jù)統(tǒng)計(jì),便直接查詢歷史統(tǒng)計(jì)表,而不經(jīng)過基礎(chǔ)表。而更實(shí) 時(shí)的數(shù)據(jù),則在基礎(chǔ)表較歷史統(tǒng)計(jì)表更實(shí)時(shí)的情況下直接基于基礎(chǔ)表進(jìn)行查詢。
[0100] 基礎(chǔ)表abnormal_message的表結(jié)構(gòu)如表4-1所示:
【權(quán)利要求】
1. 一種面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述方法包括: 101,為SBC增加一個(gè)畸形SIP消息檢測(cè)模塊,建立畸形SIP消息數(shù)據(jù)庫(kù); 102, SBC把接收到的SIP消息轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè)模塊,畸形SIP消息檢測(cè)模塊 對(duì)所述SIP消息進(jìn)行檢測(cè); 103, 畸形SIP消息檢測(cè)模塊根據(jù)檢測(cè)的結(jié)果給SBC回復(fù)消息; 104, SBC根據(jù)畸形SIP消息檢測(cè)模塊返回的消息與MS核心網(wǎng)進(jìn)行通信。
2. 根據(jù)權(quán)利要求1所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:為SBC增 加一個(gè)畸形SIP消息檢測(cè)模塊是這樣實(shí)現(xiàn)的: 在SBC端增加一個(gè)socket通信模塊,將其接收到的SIP消息轉(zhuǎn)發(fā)給畸形SIP消息檢測(cè) 模塊。
3. 根據(jù)權(quán)利要求2所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述畸 形SIP消息檢測(cè)模塊的部署模式包括:監(jiān)聽模式和檢測(cè)模式; 當(dāng)畸形SIP消息檢測(cè)模塊的部署模式為監(jiān)聽模式時(shí),其連接至SBC的前置路由器,并通 過端口映射的方式監(jiān)聽所有往來SBC的SIP消息,對(duì)于接收到的SIP消息進(jìn)行直接轉(zhuǎn)發(fā); 當(dāng)畸形SIP消息檢測(cè)模塊的部署模式為檢測(cè)模式時(shí),SBC在接收到新消息時(shí),直接轉(zhuǎn)發(fā) 給畸形SIP消息檢測(cè)模塊,并啟動(dòng)定時(shí)器T;然后畸形SIP消息檢測(cè)模塊接收來自SBC的消 息,開始檢測(cè);在T超時(shí)前,如果畸形SIP消息檢測(cè)模塊完成檢測(cè)且發(fā)現(xiàn)異常,則向SBC發(fā)送 響應(yīng)消息指出異常,如果檢測(cè)模塊完成檢測(cè)但并未發(fā)現(xiàn)異常,則向SBC發(fā)送響應(yīng)消息指出 未發(fā)現(xiàn)異常;若T超時(shí),則畸形SIP消息檢測(cè)模塊不響應(yīng),SBC繼續(xù)后繼的處理。
4. 根據(jù)權(quán)利要求3所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述步 驟101中,是根據(jù)RFC3261中采用的BNF范式定義的SIP消息格式建立畸形SIP消息數(shù)據(jù) 庫(kù)。
5. 根據(jù)權(quán)利要求4所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述步 驟102中的畸形SIP消息檢測(cè)模塊對(duì)所述SIP消息進(jìn)行檢測(cè)是這樣實(shí)現(xiàn)的: 判斷所述SIP消息是否為RFC3261中采用的BNF范式定義的SIP消息,如果是,則檢測(cè) 結(jié)果為正常的SIP消息;如果否,則檢測(cè)結(jié)果為畸形消息,然后直接過濾掉該SIP消息; 所述判斷所述SIP消息是否為RFC3261中采用的BNF范式定義的SIP消息是采用詞法 分析技術(shù)與語(yǔ)法分析技術(shù)對(duì)SIP消息進(jìn)行檢測(cè)分析來實(shí)現(xiàn)的。
6. 根據(jù)權(quán)利要求1所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述步 驟103是這樣實(shí)現(xiàn)的: 如果檢測(cè)結(jié)果是正常的SIP消息,則畸形SIP消息檢測(cè)模塊給SBC返回一個(gè)正常的信 號(hào),并且把所述SIP消息一起返回給SBC; 如果檢測(cè)結(jié)果是畸形消息,則畸形檢測(cè)模塊給SBC返回一個(gè)SIP消息是畸形的消息。
7. 根據(jù)權(quán)利要求6所述的面向SBC的畸形SIP消息檢測(cè)的方法,其特征在于:所述步 驟104是這樣實(shí)現(xiàn)的: 如果SBC收到的是正常的信號(hào)和所述SIP消息,則將所述SIP消息轉(zhuǎn)發(fā)給MS核心網(wǎng); 如果SBC收到的是SIP消息是畸形的消息,則不轉(zhuǎn)發(fā)給MS核心網(wǎng)。
8. -種實(shí)現(xiàn)權(quán)利要求1至7任一所述方法的系統(tǒng),其特征在于:所述系統(tǒng)包括:SBC通 信模塊、畸形SIP消息檢測(cè)模塊、異常呼叫檢測(cè)模塊、異常消息洪泛檢測(cè)模塊以及管理員模 塊; 所述SBC通信模塊用于畸形SIP消息檢測(cè)模塊與SBC之間的通信; 所述畸形SIP消息檢測(cè)模塊用于對(duì)SIP消息進(jìn)行檢測(cè),檢測(cè)出所有不滿足RFC3261中 規(guī)定的BNF范式定義的SIP消息; 所述異常呼叫檢測(cè)模塊用于檢測(cè)所有的異常撥打; 所述異常消息洪泛檢測(cè)模塊用于實(shí)現(xiàn)SBC設(shè)備對(duì)傳統(tǒng)DDoS洪泛攻擊的防范; 所述管理員模塊用于監(jiān)控和管理畸形SIP消息檢測(cè)模塊,維護(hù)中心SIP安全規(guī)則庫(kù),通 知畸形SIP消息檢測(cè)模塊更新本地SIP安全規(guī)則庫(kù),進(jìn)行歷史安全事件的統(tǒng)計(jì)分析,提供基 于Web的管理員界面。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于:所述畸形SIP消息檢測(cè)模塊包括消息分 發(fā)器、檢測(cè)分發(fā)器和檢測(cè)插件; 所述消息分發(fā)器用于將接收到的SIP消息分散到各個(gè)節(jié)點(diǎn),各個(gè)節(jié)點(diǎn)同時(shí)處理SIP消 息; 每個(gè)節(jié)點(diǎn)上均設(shè)有檢測(cè)分發(fā)器和一組檢測(cè)插件; 每個(gè)節(jié)點(diǎn)上的所述檢測(cè)分發(fā)器用于將SIP消息分散到該節(jié)點(diǎn)中的各個(gè)檢測(cè)插件,每個(gè) 檢測(cè)插件對(duì)應(yīng)SIP消息的一種畸形類型,每一條SIP消息要經(jīng)過所有檢測(cè)插件的檢測(cè); 所有檢測(cè)插件能夠同時(shí)讀取一條SIP消息,并進(jìn)行檢測(cè)。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于:所述系統(tǒng)進(jìn)一步包括: 安全事件代理:用于將SIP畸形攻擊事件記錄在數(shù)據(jù)庫(kù)中; 安全規(guī)則更新代理:用于在出現(xiàn)新的SIP畸形時(shí),制定出對(duì)應(yīng)的檢測(cè)規(guī)則來更新規(guī)則 庫(kù); 節(jié)點(diǎn)管理代理:在Mapreduce時(shí)對(duì)各個(gè)節(jié)點(diǎn)進(jìn)行管理。
【文檔編號(hào)】H04L29/06GK104378373SQ201410648495
【公開日】2015年2月25日 申請(qǐng)日期:2014年11月14日 優(yōu)先權(quán)日:2014年11月14日
【發(fā)明者】王玉龍, 張文竹, 李輝, 蘇森, 雙鍇, 徐鵬 申請(qǐng)人:北京郵電大學(xué)