专利名称:一种防止网络攻击的方法、系统及装置的制作方法
技术领域:
本发明涉及通信技术领域,特別是涉及一种防止网络攻击的方法、系统 及装置。
背景技术:
伴随着电信网络IP (Internet Protocol,网际协议)化的趋势发展,电 信网络安全问题日趋严重,各种存在于传统因特网上的攻击逐渐出现在 VOIP (Voice Over IP, IP语音技术),并根据IP化电信网络的特点进行适 应,出现了最新的发展。参照TCP ( Transmission Control Protocol,传输控 制协议)/IP网络分层,在IP化的电信网络中攻击数据流按TCP/IP网络层 结构从上到下依次是业务层攻击数据流、应用层攻击数据流、传输层攻 击数据流、网络层攻击数据流、以及链路层攻击数据流。
针对链路层/网络层/传输层的攻击数据流,传统防火墙能够提供较好 的防护能力,但针对业务层和应用层的攻击数据流,现有的防火墙技术是 无法感知的。
现有技术提供的 一种遏制攻击数据流的方法为与本发明相关的现有技 术一信令核心网前置信令代理设备,对数据流进行预处理,过滤信令层 面畸形报文、信令flooding (洪水)报文和网络/传输层攻击等。
但是上述遏制攻击数据流的方法存在以下缺点增加了 VOIP解决方 案的网络复杂度,要求前置的信令代理设备提供对信令报文的应用层解析, 要求该信令代理设备除4是供强大的NP (Network Processor,网络处理器) 处理能力外,还要求使用CPU ( Central Processing Unit,中央处理单元) 处理能力对信令数据进行解析和重组,导致该信令代理设备成为潜在瓶颈 资源,并增大了网络延迟;而且该前置信令代理设备亦存在因信令畸形报 文造成崩溃的风险,对业务层面攻击不能有效提供防护。并且也不符合VOIP组网发展趋势,根据TISPAN (Telecommunication and Internet converged Services and Protocols for Advanced Networking,电信和互联网的 融合服务和议定书)相关标准定义,核心网信令处理节点前面不应存在其 他信令代理设备。
现有技术提供的另 一种遏制攻击数据流的方法为核心网信令处理设 备和SBC (Session Border Controller,会话边界控制器)设备集成实现, 该上述方案法有利于P-CSCF ( Proxy-Call Session Control Function,代理呼 叫会话控制功能)的边缘化部署,且能够对攻击数据流绕过SBC攻击 P-CSCF的情况进行有效遏制。
但是,上述方法存在以下缺点在IMS (IPMultimedia Subsystem, IP 多媒体子系统)商用初期,P-CSCF边缘化的组网方式对电信运营商的吸 引力不是很大,且该实现方法要求P-CSCF设备和其他网元例如I-CSCF (Interrogating- Call Session Control Function,查询呼叫会话控制功能)、 S隱CSCF ( Serving- Call Session Control Function,服务呼叫会话控制功能) 使用不同的实现方案,加大了 IMS解决方案的开发成本。
现有技术提供的再一种遏制攻击数据流的方法为利用前置SBC信令 NAT (Network Address Translation,网络地址转换)i殳备或者防火墙设备 提供防护。
发明人在实现本发明的过程中发现,现有技术至少存在以下缺陷工作 于网络/传输层的防火墙或SBC不能感知应用层和业务层的数据,对于SIP (Session Initiation Protocol,会话初始化协议)畸形报文攻击和利用业务 逻辑的攻击不能提供有效防护。
不同业务逻辑有着不同的SIP流量特征,防火墙或SBC在不能感知业 务的情况下通过阀值的防护可能造成比较严重的误报,导致解决方案性能 和QoS的降低,并可能造成一定程度的漏报,导致攻击数据流对被测系统 造成杀伤
发明内容
本发明实施例才是供一种防止网络攻击的方法、系统及装置,以实现在应 用层面/业务层面对攻击数据流进行检测,并对分布式攻击进行反向遏制。
为达到上述目的,本发明实施例一方面提出一种防止网络攻击的方法, 包括以下步骤
接收集成策略控制设备发送的反向遏制策略,所述反向遏制策略由所述 集成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息
生成;
根据所述反向遏制策略对发送到核心网信令处理设备的数据流执行过滤 处理,进行反向遏制。
本发明实施例 一方面还提出 一种网络系统,包括核心网信令处理设备、
集成策略控制设备、攻击防护设备;其中,
所述集成策略控制设备,用于获取攻击数据流的特征信息,根据所述特 征信息生成反向遏制策略,将所述反向遏制策略发送给所述攻击防护设备;
所述攻击防护设备,用于接收来自所述集成策略控制设备的反向遏制策 略,根据所述反向遏制策略对发送给所述核心网信令处理设备的数据流执行 过滤处理,进行反向遏制;
核心网信令处理设备,用于接收来自所述攻击防护设备的经过过滤处理 的数据。
本发明实施例一方面还提出一种网络设备,包括获取模块、策略生成模 块、发送模块;其中,
所述获耳又;溪块,用于获取攻击数据流的特征信息;
所述策略生成才莫块,用于根据所述获取模块获取的特征信息生成特定的 反向遏制策略;
所述发送模块,用于将所述策略生成模块生成的反向遏制策略发送到攻 击防护设备。
本发明实施例一方面还提出一种网络设备,包括 接收模块,用于接收来自集成策略控制设备的反向遏制策略,所述反向 遏制策略由所述集成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生成;
反向遏制模块,用于根据所述接收模块接收的反向遏制策略对发送给核 心网信令处理设备的数据流执行过滤处理,进行反向遏制。
与现有技术相比,本发明实施例具有以下优点通过本发明实施例,集 成策略控制设备根据获取的攻击数据流的特征信息,生成反向遏制策略,攻 击防护设备根据集成策略控制设备生成的反向遏制策略对发送到核心网信令 处理设备的数据流执行过滤处理,进行反向遏制,从而实现了对信令核心网 的有效防护。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作筒单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 .图1为本发明实施例防止网络攻击的系统结构示意图; 图2为本发明实施例防止网络攻击的方法流程示意图; 图3为本发明实施例VOIP信令核心网应用层/业务层攻击检测和防护 系统架构示意图4为本发明实施例VOIP信令核心网前置SBC设备提供防护的组网 示意图5为本发明实施例DEC/RPT通信方法示意图; 图6为本发明实施例VOIP信令核心网前置防火墙提供防护的组网示 意图7为本发明实施例提出的 一种网络设备的结构图; 图8为本发明实施例提出的另一种网络设备的结构图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创 造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述
本发明实施例的攻击数据流包括SIP畸形报文数据流、SIP-flooding攻 击凝:据流、UDP (User Datagram Protocol,用户数据报协议)-flooding攻击 数据流、业务逻辑层面攻击数据流等。
本发明实施例提供一种网络系统,如图1所示,包括攻击防护设备102、 集成策略控制设备104和核心网信令处理设备106,
其中,
所述攻击防护设备102,用于根据所述反向遏制策略对发送到所述核心网 信令处理设备106的数据流执行过滤处理,进行反向遏制。所述攻击防护设 备102的类型包括防火墙和会话边界控制器SBC等。
所述集成策略控制设备104,用于获取攻击数据流的特征信息,根据所述 特征信息生成特定的反向遏制策略,并将所述反向遏制策略发送到特定的攻 击防护设备102。该攻击数据流的特征信息可以包括攻击数据流的源地址和 攻击类型等。其中,该攻击类型可以为畸形报文攻击或flooding攻击等。
核心网信令处理设备106,用于接收来自攻击防护设备102的经过过滤处 理的数据,其类型可以是交换机或IMS中的CSCF (Call Session Control Function,呼叫会话控制功能)实体等。
所述核心网信令处理设备106与所述集成策略控制设备104以及所述攻 击防护设备102可以进行串行或并行连接,当通过串行的方式进行连接时, 所述集成策略控制设备104可以置于所述核心网信令处理设备106的前端, 且所述攻击防护设备102置于所述集成策略控制设备104的前端。
该系统还可以进一步包括存储单元108,用于记录所述攻击数据流的攻击 行为。该存储单元108具体可以是安全日志设备等。
上述网络系统,集成策略控制设备104根据获取的攻击数据流的特征信 息,生成特定的反向遏制策略,并将该反向遏制策略发送到特定的攻击防护设备102,由攻击防护"i殳备102根据该反向遏制策略对发送到核心网信令处理 设备106的数据流执行过滤处理,进行反向遏制,从而实现了对信令核心网
的有效防护。
本发明实施例还才是供一种防止网络攻击的方法,如图2所示,包括以下 步骤
步骤S201,集成策略控制设备104获取攻击数据流的特征信息。所述攻 击数据流包括会议初始化协议SIP畸形报文数据流、SIP-flooding攻击数据 流、UDP- flooding攻击数据流、业务逻辑层面攻击数据流等。该攻击数据流 的特征信息包括攻击数据流的源地址和攻击类型等。其中,该攻击类型可 以为畸形报文攻击或flooding攻击等。
步骤S202,集成策略控制设备104根据所述特征信息生成特定的反向遏 制策略,并将反向遏制策略发送到特定的攻击防护设备102。所述攻击防护设 备102的类型可以包括防火墙和会话边界控制器SBC等。
在该步骤中,所述根据特征信息生成特定的反向遏制策略具体可以为
根据所述攻击数据流携带的源地址判断所述攻击数据流的接入网段,当 该接入网段与核心网之间存在SBC信令NAT设备时,根据所述攻击数据流的 特征信息生成特定的反向遏制策略,将所述反向遏制策略发送到所述特定的 SBC,所述特定的反向遏制策略可以包括攻击数据流的源网际协议IP地址、 目的IP地址、以及传输层协议类型等信息;当所述接入网段与核心网之间存 在防火墙设备时,根据所述攻击数据流的特征信息生成特定的反向遏制策略, 将所述反向遏制策略发送到所述防火墙,所述特定的反向遏制策略可以是包 括网络地址转换NAT映射表编号信息等。
而且所述将所述反向遏制策略发送到攻击防护设备102之前,还可以包 括集成策略控制设备104通过预先设置的特定类型的攻击数据流的接口接 收所述攻击数据流的特征信息,并根据所述攻击数据流的特征信息生成所述 反向遏制策略。
网信令处理设备106的数据流执行过滤处理,进行反向遏制。
10步骤S204,攻击防护设备102将过滤后的数据流发送给核心网信令处理 设备106。
在本实施例中,集成策略控制设备104还将所述攻击防护设备102反々赍 的所述攻击数据流的攻击信息存储到存储单元108 (例如安全日志设备等), 以记录所述攻击凄t据流的攻击行为。
上述防止网络攻击的方法,集成策略控制设备104才艮据获取的攻击数据 流的特征信息,生成特定的反向遏制策略,攻击防护设备102根据集成策略 控制设备104生成的反向遏制策略对发送到核心网信令处理设备106的数据 流执行过滤处理,进行反向遏制,从而实现了对信令核心网的有效防护。
本发明实施例提供一种防止网络攻击的方法和系统,以VOIP ( Voice over IP, IP电话)网络为例进行说明,其中具体的系统实现示意图如图3 所示,图3中的器件可以是一个独立的器件,或者以模块或单元的形式集 成到另一个器件中。下面结合具体的应用场景进行描述(其中的部分器件 可以是一个独立的器件,也可以 一个器件以模块或单元的形式集成到另一 个器件中),VOIP电信核心网可以是以SIP为信令处理协议;本实施例提 出信令核心网前置防火墙和前置SBC信令NAT设备两种攻击防护机制, 其中攻击数据流包括SIP畸形报文数据流、SIP-flooding攻击数据流、UDP-flooding攻击数据流、业务逻辑层面攻击数据流等。
图3所示的系统包括
攻击检测设备302,用于检测接收的SIP消息中的攻击数据流。该攻 击检测设备302包括
SIP消息解析才莫块3020,用于对接收的SIP消息进行解析;
SIP畸形报文检测模块3022,用于在SI—P消息解析模块3020对接收的 SIP消息进行解析之后,检测SIP消息中的SIP畸形报文;
SIP-flooding检测模块3024,用于在SIP消息解析模块3020对接收的 SIP消息进行解析之后,检测SIP消息中的SIP-flooding报文;
UDP-flooding 4全测模块3026,用于在SIP消息解析冲莫块3020对接收 的SIP消息进行解析之后,检测SIP消息中的UDP-flooding报文;业务逻辑攻击检测模块3028,用于在SIP消息解析模块3020对接收 的SIP消息进行解析之后,检测SIP消息中的业务逻辑攻击报文。 图3所示的系统还包括
集成策略控制设备104,用于获取攻击检测设备302检测到的攻击数据 流的特征信息,根据该特征信息生成反向遏制策略,并将反向遏制策略发送 到攻击防护设备102,图3中,攻击防护设备102为防火墙312和SBC 314。 本实施例中,集成策略控制设备104通过防火墙接口 306将生成的反向遏 制策略发送到防火墙312,通过SBC接口 30S将生成的反向遏制策略发送 到SBC 314。
集成策略控制设备104还用于将防火墙312或SBC 314反馈的攻击数据 流的攻击信息,通过安全日志接口 304存储到安全日志设备310,以记录攻击 数据流的攻击行为。
图3所示的系统还包括
核心网信令处理设备106,用于接收来自防火墙312或SBC314的经过 过滤处理的数据,其类型可以是交换机或IMS中的CSCF实体等。
本发明实施例中的集成策略控制设备104和防火墙312或SBC 314之 间的接口充分支持不同VOIP信令核心网组网对SIP畸形报文数据流、 SIP-flooding攻击数据流、UDP-flooding攻击数据流、业务逻辑层面攻击数据 流的攻击防护需求,根据防火墙312或SBC 314在组网中的主要功能—— 包括传统网络或传输层防火墙功能和SBC信令NAT功能,分别设计接口 如下
1、 SBC信令NAT攻击数据流反向遏制接口
如图4所示,信令核心网402包括P-CSCF 4020、 S-CSCF 4022和 I-CSCF 4024, P-CSCF 4020、 S-CSCF 4022和I-CSCF 4024之间使用SIP 信令进行通信。信令核心网402前置SBC设备404,提供信令NAT或媒 体代理或防火墙等功能。用户通过用户接入网络406连接到LSW (Local Tel印hony Switch,本地电话交换机)408,通过LSW 408接入SBC "i殳备 404。SBC设备404内置NAT映射表项,将满足预定义规则、源自私网终 端的SIP消息中的网络层或传输层地址映射为公网地址,并将SIP消息中 的私网端口映射为公网端口 ,然后将映射后的公网地址和公网端口存储在 NAT映射表项中,之后将该SIP消息发往P-CSCF 4020处理,P-CSCF 4020 发往该用户的SIP消息也可以通过该NAT映射表项进行转换。
信令核心网402和SBC设备404之间通过COPS( Common Open Policy Service,通用开》文策略服务)链路进行通信,实现信令NAT映射表项的保 活功能。在用户发起初始注册到注册成功前,SBC设备404为该用户的 NAT映射表项实现了较小的保活时长,在用户成功注册后,信令核心网402 参考用户注册时长设置该用户NAT映射表项的保活时长,通过COPS链路 下发DEC ( Decision, COPS决策)消息给SBC设备404, SBC设备404 收到DEC消息后i奮改该NAT映射表项的保活时长,并以RPT (Report, 状态报告)消息进行响应,如图5所示。
根据图4的组网结构,SBC设备404提供信令NAT功能和基本的防 火墙功能,能够提供基本的安全防护能力。定义信令核心网402和SBC设 备404之间的通信机制,利用NAT映射ID唯一标识SBC-NAT表项,使 能NAT映射表项的动态开放和关闭,定义基于决策/l艮告(DEC/RPT)的 通m几制
定义DEC消息数据结构如下
Struct sbc—DEC{
VOS—UINT32 nat—mapping—id; 〃定义特定NAT映射表项ID,在SBC 上唯一标识特定NAT表项
VOS—UINT32 alive—time; 〃定义当前映射表项的存活时长 VOS—UINT32 block_type=0; 〃定义攻击类型,目前仅支持下列4种/* 若block—type-0, SBC不执行黑名单处理。
若block—type置1,标明VOIP接入服务器判定UE正在进行SIP畸形才艮文攻击;
若block—type置2,标明VOIP接入服务器判定UE正在进行SIP flood 攻击;
若block—type置3 ,标明VOIP接入服务器判定UE正在进行UDP flood 攻击;
若block—type置4,标明VOIP接入服务器判定UE正在进行业务逻辑 攻击; */
定义RPT消息数据结构如下 Struct sbc一RPT(
VOS—UINT32 nat—mapping—id; 〃RPT消息该字,爻和对应的DEC消息 保持一致
tIPTuple UE—src—IP; 〃 UE在SBC信令NAT映射前的真实IP
VOS—UINT16 UE—src—PORT; 〃 UE在SBC信令NAT映射前的真
实端口,若无意义则置O
char* access—interface; 〃设置为攻击数据流进入SBC的接口
2、定义防火墙攻击数据流反向遏制接口
如图6所示,信令核心网602包括P-CSCF 6020、 S-CSCF 6022和 I-CSCF 6024, P-CSCF 6020、 S-CSCF 6022和I-CSCF 6024之间使用SIP 信令进行通信。信令核心网602前置独立防火墙604提供防护,实现信令 和媒体的有效分离。终端通过用户接入网络606连接到LSW 608,通过LSW 608接入SBC设备604。
信令核心网602前置防火墙604,通过ACL ( Access Control Lists,存取控制列表)五元组定义过滤规则,根据过滤规则提供防护,ACL规则主
要包括
<src—IP, src—PORT, dst—IP, dst—PORT, transport_type> /*定制特定源地 址/源端口到VOIP核心网接入服务器的目的地址/目的端口特定传输层协 议类型的合法数据流*/;
<src—net work—segment, src一PORT, dst—IP, dst—PORT, transport一type〉 /* 定义特定源地址范围特定端口到VOIP核心网接入服务器目的地址/目的端 口特定传输层协议类型的合法数据流*/;
<dst—IP, dst—PORT, transportJype〉严定义到VOIP核心网接入服务器目 的地址/目的端口特定传输层协议类型的合法数据流*/。
通过ACL规则在不同粒度上的定义,防火墙604在网络/传输层上提 供了对VOIP核心网接入服务器的数据流安全防护机制。
此外,在定义防火墙604攻击数据流反向遏制接口时々£定防火墙604 支持动态ACL规则加载和黑名单两种防攻击策略。
并设定防火墙604攻击防护的检测顺序为源地址伪造纟企测->flooding攻击防护- >应用层攻击防护。
在攻击防护方面,防火墙604主要采用ACL过滤规则、流量控制规则 和黑名单机制提供安全防护,对于SIP畸形报文数据流、SIP-flooding攻击 数据流、UDP-flooding攻击数据流、业务逻辑层面攻击数据流等四大类应用 层/业务层攻击,防火墙604自身不能提供充分防护,需要核心网信令处理 设备106根据对攻击的感知通知防火墙604将特定的攻击数据流列入黑名 单。
Struct firewall_DEC {
tIPTuple UE_src_IP;〃攻击数据流的源IP
VOS—UINT16 UE—src—PORT; 〃攻击数据流的源端口 ,在无意义的情 况下置0处理
tIPTuple UE—dst_IP;〃攻击数据流目的IP
VOS—UINT16 UE—dst—PORT; 〃攻击数据流目的端口 ,在无意义的情况下置O处理
VOS—UINT8 transport—type ; 〃传输层协议类型根据IP头protocol 字段取值
VOS一UINT32 block」ype=0; 〃定义攻击类型,目前仅支持下列4种/* 若block—type = 0, SB C不执行黑名单处理。
若block—type置1,标明VOIP接入服务器判定UE正在进行SIP畸形 报文攻击;
若block—type置2,标明VOIP接入服务器判定UE正在进行SIP flood 攻击;
若block—type置3,标明VOIP接入服务器判定UE正在进行UDP flood 攻击;
若block—type置4,标明VOIP接入服务器判定UE正在进行业务逻辑 攻击;
Struct firewall-RPT {
tIPTuple UE—src—IP;〃定义同前
VOSJJINT16 UE—src—PORT; 〃定义同前
tIPTuple UE—dst—IP;〃定义同前
VOS—UINT16 UE—dst—PORT; 〃定义同前
VOS—UINT8 transport—type ; 〃定义同前
char* access—interface; 〃设置为攻击数据流进入防火墙的接口
本发明实施例中有关于集成策略控制设备的攻击检测策略的生成和下 发设计如下
在不同的攻击检测模块发现攻击并上报给集成策略控制设备104后,
16集成策略控制设备104分析并获取攻击数据流来源,并确定其攻击防护设
备102的类型(防火墙/SBC),根据不同类型的攻击防护设备102,调用不 同的接口下发攻击数据流反向遏制策略。根据不同的攻击特征分别讨论攻 击检测策略的生成和下发的伪代码设计如下四种情形
1 )、 SIP畸形报文纟企测策略生成和下发
Struct firewall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC—core.block一type = 0;
Struct sbc一DEC sbc一DEC一core;
-刀始叶匕sbc—DEC—core;
fw—DEC_core.block—type = 0;
if (VOIP接入服务器SIP协议栈在进行SIP消息解码时发现大量SIP 畸形报文)(
根据畸形报文数据流源地址确定接入网段;
if (该接入网段与核心网之间存在SBC信令NAT设备){
确定该畸形报文数据流对应的NAT映射表项编号;
将该NAT映射表项编号赋值给sbc—DEC—core.sbc—DEC—core;
sbc—DEC一core. alive—time=65 53 5;
sbc—DEC—core.block—type=l;
生成DEC消息并下发给SBC;
}
else
if(该接入网段和核心网之间存在防火墙设备){ fw—DEC—core.UE—src—IP-攻击数据流源IP; fw一DEC一core.UE—src—PORT=0; fw—DEC—core.UE—dst—IP-攻击数据流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw—DEC—core.transport—type-攻击数据流传输层协议类型;fw一DEC—core.block—type=l; 生成DEC消息并下发给防火墙;
2)、 SIP-flooding检测策略生成和下发 Struct firewall—DEC fw一DEC一core; 初始化fw—DEC—core; fw_DEC_core .block—type = 0; Struct sbc一DEC sbc—DEC—core; 初始4b sbc—DEC—core; fw—DEC—core.block—type = 0;
if (VOIP接入月l务器SIP协议栈在进行SIP消息解码时发现SIP flooding攻击)(
根据SIP flooding攻击数据流源地址确定接入网4更;
if (该接入网段与核心网之间存在SBC信令NAT设备){
确定该SIP flooding数据流对应的NAT映射表项编号;
将该NAT映射表项编号赋值给sbc—DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=6553 5;
sbc—DEC—core.block—type=2;
生成DEC消息并下发给SBC;
}
else
if(该接入网段和核心网之间存在防火墙设备){ fw—DEC—core.UE—srcJP-攻击数据流源IP; fw_DEC_core.UE—src—PORT=0; fw—DEC_core.UE_dst—IP-攻击数据流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw—DEC_core.transport—type-攻击数据流传输层协议类型;fw—DEC—core.block—type=2; 生成DEC消息并下发给防火墙;
3 )、应用层无有效SIP数据的UDP-flooding检测策略生成和下发
Struct fire wall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC—core, block—type = 0;
Struct sbc一DEC sbc—DEC—core;
初始化sbc—DEC—core;
fw—DEC—core.block一type = 0;
if (VOIP接入服务器SIP协议栈在进行SIP消息解码时发现应用层无 有效SIP数据的UDP flooding) {
根据攻击数据流源地址确定接入网段;
if (该接入网段与核心网之间存在SBC信令NAT设备){
确定攻击数据流对应的NAT映射表项编号;
将该NAT映射表项编号赋值给sbc—DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=65535;
sbc—DEC—core.block—type=3;
生成DEC消息并下发给SBC;
}
else
if(该接入网段和核心网之间存在防火墙设备){ fw_DEC—core.UE—src—IP-攻击数据流源IP; fw一DEC,co,re ,—src—PORT=0; fw—DEC—core.UE_dst—IP-攻击数据流目的IP; fw_DEC_core.UE—dst—PORT=0;
fw一DEC—core.transportJype-攻击数据流传输层协议类型;fw一DEC—core.block—type=3; 生成DEC消息并下发给防火墙;
4)、业务逻辑层面攻击检测策略生成和下发
Struct firewall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC_core.block—type = 0;
Struct sbc—DEC sbc_DEC—core;
初始4匕sbc—DEC—core;
fw_DEC—core .block—type = 0;
if (VOIP接入服务器发现基于SIP的业务逻辑攻击){
根据攻击数据流源地址确定接入网段;
if (该接入网段与核心网之间存在SBC信令NAT设备){
确定攻击数据流对应的NAT映射表项编号;
将该NAT映射表项编号赋值给sbc_DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=6553 5;
sbc—DEC—core.block_type=4;
生成DEC消息并下发给SBC;
}
else
if(该接入网段和核心网之间存在防火墙设备)( fw—DEC—core.UE—src—IP-攻击数据流源IP; fw_DEC—core.UE—src—PORT=0; fw—DEC_core.UE—dst—IP-攻击数据流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw_DEC—core .transport一type-攻击数据流传#T层协议类型; fw—DEC—core.block—type=4;生成DEC消息并下发给防火墙;
在上述1 )至4)中,集成策略控制设备104需要获取系统配置信息, 对收到的SIP消息网络层源地址和预配置的源地址范围进行匹配,依次判 断出与核心网信令处理设备连接的接入网是防火墙还是SBC。
其中的发送给防火墙DEC消息至少包含(攻击数据流的源IP、目的 IP、以及传输层协议类型),发送给SBC的DEC包括NAT映射表编号, 集成策略控制设备能从SIP解析模块和检测模块得到对防火墙的信息,但 对SBC的信息需要进一步和信令处理模块交互。
本发明实施例中的防火墙/SBC的攻击遏制方法如下
根据核心网信令处理设备106下发的攻击检测策略,防火墙/SBC对攻 击数据进行扼流操作。
1)、防火墙对攻击数据的遏流
Struct firewall—DEC fw—DEC—1;
初始化fw一DEC一l;
If (fw—DEC一l .block—type !=0) {
If (fw—DEC—l.UE—src—PORT!=0 && fw—DEC—l.UE—dst—PORT!=0){ 根据五元组<fw—DEC—l.UE—src—IP, fw—DEC—l.UE—src—PORT,
fw—DEC—1 .UE—dst_IP, fw_DEC_l .UE—dst—PORT, fw_DEC—1 .transport—type
>将攻击数据流置入黑名单;
Else if (fw—DEC—1. UE—dst一PORT!,
根据四元组< fw_DEC—l.UE—src—IP, fw—DEC—1 .UE—dst_IP, fw—DEC—1 .UE_dst_PORT, fw_DEC—1 .transport—type〉将攻击数据流置入黑 名单;
Else {根据三元组< fw—DEC—l.UE—src—IP, fw—DEC—l.UE—dst—IP, fw—DEC_1 .transport—type〉将攻击数据流置入黑名单;
生成RPT消息并上才艮; }
2)、 SBC对攻击数据流的扼流 Struct sbc一DEC sbc—DEC—1; 初始化sbc—DEC—1; If (sbc—DEC—1.alive—time==65535) { If (sbc—DEC—l.block—type !=0){
在NAT映射表中查找表项编号为sbc DEC l.nat —mapping—id的表项并 获取其NAT映射前的 <源IP ,源port>; 将该源IP列入黑名单; 生成RPT消息并上净艮;
根据该DEC消息<源IP地址,源端口>二元组对对应NAT映射表项进 行老化处理;
在本发明实施例中,集成策略控制设备104根据获取的攻击数据流的特 征信息,生成反向遏制策略,攻击防护设备102根据集成策略控制设备104 生成的反向遏制策略对发送到核心网信令处理设备106的数据流执行过滤处 理,进行反向遏制,从而实现了对信令核心网的有效防护。
如图7所示,为本发明实施例提出的一种网络设备的结构图,网络设备7 包括
获取模块71,用于获取攻击数据流的特征信息。参考图3,攻击检测设 备302的SIP消息解析模块3020对接收的SIP消息进行解析,然后,攻击检 测设备302的各检测模块检测该SIP消息中的攻击数据流。进而,获取模块 71可以获取攻击检测设备302检测到的攻击数据流的特征信息。策略生成模块72,用于才艮据获取模块71获取的特征信息生成反向遏制策
略。该攻击数据流的特征信息可以包括攻击数据流的源地址和攻击类型等。 其中,该攻击类型可以为畸形报文攻击或flooding攻击等。具体可以为
根据所述攻击数据流携带的源地址判断所述攻击数据流的接入网段,当 该接入网段与核心网之间存在SBC信令NAT设备时,根据所述攻击数据流的 特征信息生成特定的反向遏制策略,所述特定的反向遏制策略可以包括攻击 数据流的源网际协议IP地址、目的IP地址、以及传输层协议类型等信息;当 所述接入网段与核心网之间存在防火墙设备时,根据所述攻击数据流的特征 信息生成特定的反向遏制策略,所述特定的反向遏制策略可以是包括网络地 址转换NAT映射表编号信息等。
发送模块73,用于将策略生成模块22生成的反向遏制策略发送到攻击防 护设备102。
进一步地,该网络设备7还可以包括
输出模块74,用于将攻击防护设备102反馈的攻击数据流的攻击信息输 出到存储单元108。
该网络设备的类型可以是集成策略控制设备104等。 上述网络设备,策略生成模块72根据获取模块71获取的特征信息生成 反向遏制策略,发送模块73将策略生成模块22生成的反向遏制策略发送到 攻击防护设备,以供攻击防护设备102根据该反向遏制策略对发送到核心网 信令处理设备106的数据流执行过滤处理,进行反向遏制,实现了对信令核 心网的有承1防护。
如图8所示,为本发明实施例提出的另一种网络设备的结构图,该网络 设备具体可以是攻击防护设备,包括
接收模块81,用于接收来自集成策略控制设备104的反向遏制策略,该 反向遏制策略由集成策略控制设备104根据该集成策略控制设备104获取的 攻击数据流的特征信息生成;
反向遏制模块82,用于根据接收模块81接收的反向遏制策略对发送到核 心网信令处理设备106的数据流执行过滤处理,进行反向遏制。进一步地,该攻击防护设备还可以包括
反馈模块83,用于向集成策略控制设备反馈攻击数据流的攻击信息。 本发明实施例的攻击防护设备的类型包括防火墙设备或SBC等。 上述网络设备,反向遏制模块82根据接收模块81接收的反向遏制策略 对发送到核心网信令处理设备106的数据流执行过滤处理,进行反向遏制, 有效遏制了攻击数据流,实现了对信令核心网的有效防护。
本发明实施例提供一种防止网络攻击的方法、系统及装置,集成策略控 制设备根据获取的攻击数据流的特征信息,生成反向遏制策略,攻击防护设 备根据集成策略控制设备生成的反向遏制策略对发送到核心网信令处理设备 的数据流执行过滤处理,进行反向遏制,从而实现了对信令核心网的有效防 护。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实 现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该 软件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动 硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的 模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述 进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一 个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆 分成多个子模块。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种防止网络攻击的方法,其特征在于,包括接收来自集成策略控制设备的反向遏制策略,所述反向遏制策略由所述集成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生成;根据所述反向遏制策略对发送给核心网信令处理设备的数据流执行过滤处理,进行反向遏制。
2、 如权利要求1所述的方法,其特征在于,所述攻击数据流的类型包括 会议初始化协议SIP畸形报文数据流、或攻击数据流SIP-flooding、或用户数据报文协议UDP- flooding攻击数据流、或业务逻辑层面攻击数据流。
3、 如权利要求1所述的方法,其特征在于,所述反向遏制策略由所述集 成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生 成包括所述集成策略控制设备根据所述攻击数椐流携带的源地址识别所述攻击 数据流的接入网段;当所述接入网段与核心网之间存在^:舌边界控制器SBC信令网络地址转 换NAT设备时,所述反向遏制策略由所述集成策略控制设备根据所述攻击数 据流的特征信息生成。
4、 如权利要求1至3任意一项所述的方法,其特征在于,所述反向遏制 策略包括攻击数据流的源网际协议IP地址、或目的IP地址、或传输层协议 类型信息。
5、 如权利要求l所述的方法,其特征在于,所述反向遏制策略由所述集 成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生 成包括所述集成策略控制设备根据所述攻击数据流携带的源地址判断所述攻击 数据流的接入网^:;当所述接入网段与核心网之间存在防火墙设备时,所述反向遏制策略由 所述集成策略控制设备根据所述攻击数据流的特征信息生成。
6、 如权利要求5所述的方法,其特征在于,所述反向遏制策略包括网 络地址转换NAT映射表编号信息。
7、 如权利要求l所述的方法,其特征在于,所述接收来自集成策略控制 设备的反向遏制策略之前还包括所述集成策略控制设备通过预置特定类型的攻击数据流的特定接口 ,接 收所述攻击数据流的特征信息,根据所述攻击数据流的特征信息生成反向遏 制策略。
8、 如权利要求l所述的方法,其特征在于,还包括所述集成策略控制 设备将攻击防护设备反馈的所述攻击数据流的攻击信息存储到安全日志设 备,以记录所述攻击数据流的攻击行为。
9、 一种网络系统,其特征在于,包括核心网信令处理设备、集成策略控 制设备、攻击防护设备;其中,所述集成策略控制设备,用于获取攻击数据流的特征信息,根据所述特 征信息生成反向遏制策略,将所述反向遏制策略发送给所述攻击防护设备;所述攻击防护设备,用于接收来自所述集成策略控制设备的反向遏制策 略,根据所述反向遏制策略对发送给所述核心网信令处理设备的数据流执行 过滤处理,进行反向遏制;核心网信令处理设备,用于接收来自所述攻击防护设备的经过过滤处理 的数据。
10、 如权利要求9所述的系统,其特征在于,还包括存储单元,用于存 储所述攻击数据流的攻击行为信息。
11、 一种网络设备,其特征在于,包括获取模块、策略生成模块、发送模块;其中,所述获取模块,用于获取攻击数据流的特征信息; 所述策略生成模块,用于根据所述获取模块获取的特征信息生成特定的 反向遏制策略;所述发送模块,用于将所述策略生成模块生成的反向遏制策略发送到攻 击防护设备。
12、 如权利要求11所述网络设备,其特征在于,还包括输出模块,用于将所述攻击防护设备反馈的攻击数据流的攻击信息输出 到安全日志设备。
13、 一种网络设备,其特征在于,包括接收模块,用于接收来自集成策略控制设备的反向遏制策略,所述反向 遏制策略由所述集成策略控制设备根据所述集成策略控制设备获取的攻击数 据流的特征信息生成;反向遏制模块,用于根据所述接收模块接收的反向遏制策略对发送给核 心网信令处理设备的数据流执行过滤处理,进行反向遏制。
14、 如权利要求13所述网络设备,其特征在于,还包括 反馈模块,用于向所述集成策略控制设备反馈攻击数据流的攻击信息。.
15、 如权利要求13所述网络设备,其特征在于,所述网络设备的类型包 括防火墙设备或会话边界控制器SBC。
全文摘要
本发明实施例公开一种防止网络攻击的方法、系统及设备,所述防止网络攻击的方法包括接收来自集成策略控制设备的反向遏制策略,所述反向遏制策略由所述集成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生成;根据所述反向遏制策略对发送给核心网信令处理设备的数据流执行过滤处理,进行反向遏制。本发明实施例提供的防止网络攻击的方法、系统及装置,有效地遏制了攻击数据流持续进入到核心网信令处理设备,实现了对信令核心网的有效防护。
文档编号H04L29/08GK101321173SQ20081013224
公开日2008年12月10日 申请日期2008年7月21日 优先权日2008年7月21日
发明者平 吴, 喆 张, 朱玉辉, 王胤宗, 武 赵, 斌 陈 申请人:华为技术有限公司