专利名称:对不完整会话攻击进行检测的方法和装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种对基于SIP(会话起始协议,Session Initiatjon Protocol)协议的不完整会话攻击进行检测的方法和装置。
背景技术:
以SIP协议为基础的IMS (IP Multimedia Subsystem, IP多媒体子系统)/ NGN (Next Generation Network,下一代网络)解决方案,面对着很多传统电信网络所没有 经历的安全威胁。IMS/NGN解决方案的业务逻辑相对复杂,用户和用户、用户和网络之间特定的业务 实现需要在用户和网络侧建立状态,并在状态转移的过程中进行资源分配。在SIP信令层 面上,攻击者发起SIP请求,要求通信对端(网络侧或另一用户)分配资源并建立状态,但 攻击者并不对通信对端的响应消息进行处理,也不进行真正的资源分配,通信对端的状态 和资源分配将一直保留到本次会话超时。攻击者通过发起大量不能完成的会话,造成通信 对端的信令处理能力的大量消耗,形成资源耗尽型DoS (Denial of service,拒绝服务)攻 击,且无法为网络侧成功计费,这种攻击方法称之为基于SIP的不完整会话攻击。上述不完整会话攻击中的SIP请求主要包括REGISTER(注册)请求和INVITE (邀 请)请求,其中REGISTER请求对攻击者的要求为已注册合法用户身份、未注册合法用户或 未注册非法用户,INVITE请求对攻击者的要求为已注册合法用户身份。现有技术中的一种对上述基于SIP的解决方案中的不完整会话攻击进行防护的 方法为由于上述不完整会话攻击实质上是一种flooding(流量式)型的攻击,该方案通 过防火墙设备来检测和防护基于flooding的DoS攻击以及上述不完整会话攻击,通过配置 防火墙设备的ACL (Access Control List,访问控制列表)流量规则,对于超过流量阀制的 数据流实施过滤。对于基于flooding的DoS攻击能够提供有效的防护。在实现本发明过程中,发明人发现现有技术中至少存在如下问题由于基于SIP的不完整会话攻击的资源消耗能力基于会话超时前大量处于“会话 建立中”状态的SIP请求的累积,上述不完整会话攻击可以在不明显违背防火墙设备的ACL 流量规则的前提下,通过相对慢速的SIP请求来消耗资源。因此,该方案中的防火墙设备并 不能有效地检测出基于SIP的不完整会话攻击,也不能对基于SIP的不完整会话攻击进行 有效地防护。
发明内容
本发明的实施例提供了一种对不完整会话攻击进行检测的方法和装置,以有效地 检测出基于SIP的不完整会话攻击。一种对不完整会话攻击进行检测的方法,包括获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量,以及 预定的阈值,检测所述用户是否发起了不完整会话攻击。一种对不完整会话攻击进行检测的方法,包括确定用户发起的处于会话建立中的会话总数,所述处于会话建立中的会话类型包 括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值,如果是,则 确定所述用户发起了不完整会话攻击。一种网络装置,包括获取模块,用于获取在一个不完整会话攻击的检测周期内,用户发起的会话初始 请求数量和收到的成功建立会话的响应数量;判断处理模块,用于根据所述用户发起的会话初始请求数量和所述用户收到的成 功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。一种网络装置,包括会话总数确定模块,用于确定用户发起的处于会话建立中的会话总数,所述会话 建立中的会话类型包括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建 立失败而退出的会话;会话处理模块,用于判断所述处于会话建立中状态的会话总数是否大于预先设定 的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。一种网络系统,包括所述的网络装置和用户设备,所述用户设备,用于使用户通过该用户设备发起会话初始请求;所述网络装置,用于获取在一个不完整会话攻击的检测周期内,用户通过所述用 户设备发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起的 会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所 述用户是否发起了不完整会话攻击。一种网络系统,包括所述的网络装置和用户设备,所述用户设备,用于使用户通过该用户设备发起会话初始请求;所述网络装置,用于确定用户发起的处于会话建立中的会话总数,所述会话建立 中的会话类型包括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失 败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀 值,如果是,则确定所述用户发起了不完整会话攻击。由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过统计已注册 的用户或特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建 立会话的响应数量,可以判断出该已注册的用户或特定的用户接入网段中的未注册用户是 否发起了不完整会话攻击,从而有效地对已注册的用户或特定的用户接入网段中的未注册 用户发起的基于SIP的不完整会话攻击进行检测。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他 的附图。图1为本发明实施例一提出的对基于SIP的不完整会话攻击进行检测的方法的处 理流程图;图2为本发明实施例三提出的对基于SIP的不完整会话攻击进行检测的方法的处 理流程图;图3为本发明实施例提供的一种网络装置的具体实现结构图;图4为本发明实施例提供的另一种网络装置的具体实现结构图;图5为本发明实施例提供的一种网络系统的具体结构图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。本发明实施例可以应用于基于SIP的网络,具体可以是IMS网络,也可以是其他协 议类型的网络。本发明实施例中,获取在一个不完整会话攻击的检测周期内,用户发起(可以是 主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和收到的成功建立 会话的响应数量。然后,根据所述用户主动发起的会话初始请求数量和收到的成功建立会 话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。进一步地,获取在一个不完整会话攻击的检测周期内,一个已注册用户发起的会 话初始请求数量和收到的成功建立会话的响应数量;或者,特定的用户接入网段中的未注 册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。进一步地,所述的不完整会话攻击的检测周期大于一个会话的超时时长。进一步地,计算所述用户发起的会话初始请求数量和收到的成功建立会话的响应 数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则判断所述用户发起了 不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。进一步地,在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进 行取消或拒绝处理;或者,在安全日志中记录所述用户的攻击行为,并上报不完整会话攻击
生敬口目。为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步 的解释说明,且各个实施例并不构成对本发明实施例的限定。实施例一该实施例针对已注册用户,该实施例提供的一种对基于SIP的不完整会话攻击进 行检测的方法的处理流程如图1所示,包括如下处理步骤步骤11、设置不完整会话攻击的检测周期,获取已注册的当前用户在一个检测周 期内发起(可以是主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和
7收到的成功建立会话的响应数量。基于SIP的不完整会话攻击具有攻击流量相对不大,每个独立的会话都不能成功 建立;会话的通信对端设备的状态和资源将一直保持,直至会话因为超时、取消或拒绝等原 因结束后,会话的通信对端设备的状态和资源才能被释放,消耗资源的时间比较长等特点。本发明实施例首先设置一个不完整会话攻击的检测周期。由于基于SIP的不完整 会话在超时之前没有得到响应在协议上是合法的,因此上述检测周期要大于一个会话的超 时时长,这样才能有效地检测不完整会话攻击。在实际应用中,需要根据网络实际运营情况 适当调整检测周期。在IMS/NGN网中,可以通过“源IP+源端口”来标识一个已注册用户,用户尝试修 改本地的IP和端口将导致网络侧认为用户身份非法,因此已注册用户的行为特征是可以 统计的。该实施例在一个检测周期,比如第n个检测周期内,针对一个已注册的当前用户 进行如下两个数值的统计session_setup_initial_request[n]第n个检测周期内该用户主动发起的会话 初始请求数量;session_setup_final_response[n]第n个检测周期内该用户收到的成功建立 会话的响应数量。步骤12、获取上述当前用户在一个检测周期内发起的会话初始请求数量和收到的 成功建立会话的响应数量之间的差值,根据该差值和预定义的阈值,判断当前用户是否发 起了不完整会话攻击。计算所述 session_setup_initial_request[n]禾口 session_setup_final_ response [n]的差值 A [n]A [n] = session_setup_initial_request [n]-session_setup_final_ response[n](n = 0,l,2…)在实际应用中,可以直接判断上述A [n]是否超过预定的第一阀值,如果是,则判 断上述当前用户发起了不完整会话攻击;否则,则判断上述当前用户没有发起不完整会话 攻击。在通常情况下,上述A [n]的大小和用户特征、取样时间等因素有着密切的关系, 缺乏统计学特征,因此,该实施例采用CUSUM(累积和算法)算法对上述A [n]进行变换处 理,根据变换后的A [n]来判断上述当前用户是否发起了不完整会话攻击。上述CUSUM算 法的具体处理过程如下为得到更有统计学特征的数据来描述未建立的会话情况,我们得要找到一个平滑 处理参量,抵消实际取样中出现的用户正常行为或检测周期导致的统计波动。网络实际状 态的波动会在统计周期内成功建立的会话数量上体现,所以我们以统计周期内成功建立的 会话来构造平滑处理参量。首先我们设置a G
,此为预定义比例常量,决定于平滑处理参量受网络波 动情况影响的大小。我们设定第0个周期内的平滑处理参量为0,第一个周期内的平滑处理 参量为第0个周期内的平滑处理参量的a比例加上第一个周期内的成功会话数的(1-a)
8比例,第二个周期内的平滑处理参量为第一个周期内的平滑处理参量的a比例加上第二 个周期内的成功会话数的(1-a)比例,以此类推,第n个周期内的平滑处理参量为第(n-1) 个周期内的平滑处理参量的a比例加上第n个周期内的成功会话数的(1-a)比例。这样, 每个统计周期内都会有相应的平滑处理参量smoothecLfnfc],将每个周期内的未成功建立 的会话数A[n]除以相应的平滑处理参量smoothecLfnfc],就可以抵消实际取样中的用户 正常行为或检测周期导致的统计波动,得到统计学特征的稳态结果X[n]。上述X [n]的具体计算过程如下smoothed_fn
= 0 ;smoothed_fn[n] = a*smoothed_fn[n_l] + (1_a)*session_setup_final_ response[n](n = 1,2, ... n)X[n] = A [n]/smoothed_fn [n]上述a G [() 1],为预定义常量。由于通过变换得到的X[n]不再依赖于接入用户的行为特征和检测周期,因此可 以将X[n]视为静态随机过程,但根据实际统计,一段时间内的X[n]变量存在较大颠簸,不 具备统计特征,需要进一步处理,使其更平滑且更能明确标识出攻击情况。首先使用X2 [n] = X [n] -max_avg_X,将X [n]转化为在不含攻击情况下不大于0的 X2[n]。maX_aVg_X为网络不含攻击情况下的X[n]期望的最大值。其次我们定义一种算法(a)+,其中a是变量,0+为我们定义的算法。这种算法定 义下面这种结果当a大于0时,(a) +等于a ;当a小于等于0时,(a)+等于0。利用上述算 法(a)+,我们定义Y[n] = (Y[n-1]+X2[n])+, Y
=0。在网络不含攻击情况下,X2[n]小于0,Y[n-l] =0,所以¥[11]等于0。当会话请求 增加但成功会话未相应增加时,X[n]会出现增长,当X[n]超过maX_aVg_X时,从而使X2[n] 大于0。这时Y[n]就出现大于0的情况,当Y[n]大于预定义的第二阀值T,这样就可以判 断上述当前用户发起了不完整会话攻击。为了使在判断当前用户发起了不完整会话攻击之后,上述y[n]的数值能够相应 地减少,能够用于下一次的不完整会话攻击检测,能够检测到攻击的结束时间,对上述数列 Y[n]的算法进行如下的改进f (Y[n] > T) {判定当前用户发起不完整会话攻击;Y[n] = 3*T;}其中,^ G
,保证Y[n]在下个检测周期前恢复到上述预定义的第二阀值T 以下。如果下个周期仍有攻击,Y[n+1]会重新长到T以上。如果下周期没有攻击,Y[n+1] 会在T以下并在后续检测周期中下降到0。步骤13、采取一定的防护机制,对当前用户发起的不完整会话攻击进行防护。在判断上述当前用户发起了不完整会话攻击后,需要采取一定的防护机制,该防 护机制包括但不限于以下几种
9
1、从主叫侧SIP接入服务器上对上述当前用户发起的处于等待主叫侧处理的会 话采用CANCEL(取消)处理,对该会话进行拆线,释放该会话所占用的资源;2、从主叫侧SIP接入服务器上对上述当前用户发起的处于等待主叫侧处理的会 话采用403forbidden (禁止)处理,对该会话直接拒绝;3、对上述当前用户发起的攻击数据流实施反向遏制;4、记录上述当前用户的攻击行为到安全日志,并上报不完整会话攻击告警。该实施例可以根据已注册的当前用户在一个检测周期内主动发起的会话初始请 求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该当前用户是否发起了 不完整会话攻击。从而有效地对已注册的当前用户发起的不完整会话攻击进行防护。实施例二由于在用户未注册的情况下,无法参考“源IP+源端口”的方式来识别单个用户发 起(可以是主动发起,也可以是被要求发起,以下不再赘述)的请求,也不能根据用户的IMS 业务鉴约数据对用户进行识别。根据上述分析,只能在SIP接入服务器,比如PCSCF (Proxy Call Server Control Function,代理会话控制功能)上,对一个特定的用户接入网段中的 SIP注册请求进行统计。设置一个不完整会话攻击的检测周期,针对一个特定的用户接入网段,进行如下 两个数值的统计session_setup_initial_request[n]第n个检测周期内特定的用户接入网段中 主动发起的会话初始请求数量;session_setup_final_response[n]第n个检测周期内特定的用户接入网段中 收到的成功建立会话的响应数量。然后,根据上述 session_setup_initial—request[n]禾口 session_setup_final_ response [n],按照上述实施例一提供的处理流程,判断上述特定的用户接入网段中是否发 起了不完整会话攻击。当检测到上述特定的用户接入网段中发起了不完整会话攻击后,由于不能精确到 特定攻击用户,只能采取上报不完整会话攻击告警和记录安全日志的防护措施。该实施例可以根据在一个检测周期内特定的用户接入网段中发起的会话初始请 求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该特定的用户接入网段 中的未注册用户是否发起了不完整会话攻击。从而有效地对特定的用户接入网段中的未注 册用户发起的不完整会话攻击进行防护。实施例三该实施例提出的对基于SIP的不完整会话攻击进行检测的方法的处理流程如图2 所示,包括如下处理步骤步骤21、统计注册用户发起的处于“会话建立中状态”的会话总数。对某个已注册的用户发起(可以是主动发起,也可以是被要求发起,以下不再赘 述)的每个会话进行动态统计,确定每个会话的状态。按照预定的统计周期,定时统计其中 处于“会话建立中状态”的会话总数。上述会话建立中状态的会话包括已经被用户发起的,未被成功建立的、未因为超 时、被取消、被拒绝等原因建立失败而退出的会话;
步骤22、判断处于“会话建立中状态”的会话总数是否大于预先设定的第三阀值, 如果是,则拒绝上述用户发起的新的会话请求,直到处于“会话建立中状态”的会话总数低 于预先设定的第三阀值。在统计了上述处于“会话建立中状态”的会话总数后,判断该处于“会话建立中状 态”的会话总数是否大于预先设定的第三阀值,如果是,则确定上述用户发起了不完整会话 攻击,拒绝上述用户发起的新的会话请求。并且,继续按照预定的统计周期,定时统计上述用户发起的处于“会话建立中状 态”的会话总数。继续判断该处于“会话建立中状态”的会话总数是否大于预先设定的第三 阀值,如果是,则继续拒绝上述用户发起的新的会话请求。直到上述用户发起的处于“会话建立中状态”的会话总数低于预先设定的阀值,则 确定上述用户没有发起不完整会话攻击,不再拒绝上述用户发起的新的会话请求,继续按 照正常的会话处理机制处理上述用户发起的新的会话请求。在实际应用中,上述实施例一和二提出的处理流程可以结合使用,也可以分别独 立实施。该实施例可以根据注册用户发起的处于“会话建立中状态”的会话总数,来判断该 注册用户是否发起了不完整会话攻击。上述实施例一和实施例二中的第一阀值、第二阀值和第三阀值的取值互不相同。本发明实施例还提供了一种网络装置,其具体实现结构如图3所示,具体可以包 括获取模块31,用于获取在一个不完整会话攻击的检测周期内,用户发起(可以是 主动发起,也可以是被要求发起,以下不再赘述)的会话初始请求数量和收到的成功建立 会话的响应数量;判断处理模块32,用于根据所述用户发起的会话初始请求数量和所述用户收到的 成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。所述装置还可以包括防护处理模块33,用于在判断所述用户发起了不完整会话攻击后,对所述用户发 起的会话进行取消或拒绝处理;或者用于在安全日志中记录所述用户的攻击行为,并上报 不完整会话攻击告警。所述获取模块31包括第一获取模块311和第二获取模块312中的至少一项,其 中,第一获取模块311,用于获取一个已注册用户主动发起的会话初始请求数量和收 到的成功建立会话的响应数量;第二获取模块312,用于获取特定的用户接入网段中的未注册用户发起的会话初 始请求数量和收到的成功建立会话的响应数量。所述判断处理模块32,具体包括第一判断处理模块321和第二判断处理模块322 中的至少一项,其中,第一判断处理模块321 ;用于计算所述用户主动发起的会话初始请求数量和收 到的成功建立会话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果 是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击;第二判断处理模块322;用于计算所述用户主动发起的会话初始请求数量 session_setup_initial_request [n]禾口收至丨J的成功建立会话的口向应数量 session_setup_ final_response[n]之间的差值A [n],所述A [n]的计算方法如下A [n] = session_setup_initial_request [n]-session_setup_final_ response[n]
(n = 0,1,2…)对所述A [n]进行平滑处理得到X [n],所述X [n]的计算方法如下smoothed_fn
= 0 ;smoothed_fn [n] = a *smoothed_fn[n-1] + (1-a)*session_setup_f inal_ response[n](n = 1,2, ... n)X[n] = A [n]/smoothed_fn[n]所述a G
,为预定义常量;计算X2 [n] = X[n] -maX_aVg_X,其中maX_aVg_X为网络不含攻击情况下的X[n]期 望的最大值,设置判定序列Y[n],所述Y[n]的计算方法如下Y
= 0,当 Y[n-1]+X2[n] >0 时,则 Y[n] = (Y[n_l]+X2[n]);当 Y[n_l]+X2[n] <=0 时,则 Y[n] = 0 ;判断所述Y[n]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整 会话攻击;否则,则判断所述用户没有发起不完整会话攻击。本发明实施例还提供了另一种网络装置,其具体实现结构如图4所示,具体可以 包括会话总数确定模块41,用于确定用户发起(可以是主动发起,也可以是被要求发 起,以下不再赘述)的处于会话建立中的会话总数,所述会话建立中的会话类型包括已经 被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;会话处理模块42,用于判断所述处于会话建立中状态的会话总数是否大于预先设 定的第三阀值,如果是,则确定所述用户发起了不完整会话攻击。所述网络装置还包括会话拒绝模块43,用于在确定所述用户发起了不完整会话攻击后,拒绝所述用户 发起的新的会话请求。本发明实施例的网络装置具体可以是路由器、交换机、基站控制器等。本发明实施例还提供了一种网络系统,其具体结构如图5所示,包括网络装置51 和用户设备52,其中,所述用户设备51,用于使用户通过该用户设备发起会话初始请求;所述网络装置52,用于获取在一个不完整会话攻击的检测周期内,用户通过所述 用户设备发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起 的会话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测 所述用户是否发起了不完整会话攻击。上述网络装置52包括获取模块、判断处理模块和 防护处理模块,其中各个模块的作用与图3所示的网络装置实施例类似,此处不再重复描述。或者,所述用户设备51,用于使用户通过该用户设备发起会话初始请求;所述网络装置52,用于确定用户发起的处于会话建立中的会话总数,所述会话建 立中的会话类型包括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立 失败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀 值,如果是,则确定所述用户发起了不完整会话攻击。上述网络装置52包括会话总数确定 模块、会话处理模块和会话拒绝模块,其中各个模块的作用与图4所示的网络装置实施例 类似,此处不再重复描述。上述网络系统中网络装置具体可以是路由器、交换机、基站控制器等,上述网络装 置中的各个模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述网络系统中的网络装置和用户设备可以集成于一个装置,也可以分布于多个
直o综上所述,本发明实施例可以根据已注册的当前用户在一个检测周期内主动发起 的会话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该当前用 户是否发起了不完整会话攻击。从而有效地对已注册的当前用户发起的不完整会话攻击进 行防护。本发明实施例还可以根据注册用户发起的处于“会话建立中”的状态的会话总数, 来判断该注册用户是否发起了不完整会话攻击。本发明实施例可以根据在一个检测周期内特定的用户接入网段中主动发起的会 话初始请求数量和收到的成功建立会话的响应数量,采用CUSUM算法来判断该特定的用户 接入网段中的未注册用户是否发起了不完整会话攻击。从而有效地对特定的用户接入网段 中的未注册用户发起的不完整会话攻击进行防护。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围 为准。
权利要求
一种对不完整会话攻击进行检测的方法,其特征在于,包括获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求数量和收到的成功建立会话的响应数量;根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
2.根据权利要求1所述的方法,其特征在于,所述的用户发起的会话初始请求数量和 收到的成功建立会话的响应数量包括已注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量; 或者,特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会 话的响应数量。
3.根据权利要求1所述的方法,其特征在于,所述的不完整会话攻击的检测周期大于 一个会话的超时时长。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述的根据所述用户发起的会 话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述 用户是否发起了不完整会话攻击包括确定所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差 值,判断所述差值是否大于预定的第一阀值,如果是,则确定所述用户发起了不完整会话攻 击ο
5.根据权利要求1至3任一项所述的方法,其特征在于,所述的根据所述用户发起的会 话初始请求数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述 用户是否发起了不完整会话攻击包括计算所述用户发起的会话初始请求数量sessiorusetupjnitialrequestfc]和收到 的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ [η],所述 Δ [η]的计算方法如下Δ [η] = session_setup_initial_request[η]-session_setup_final_response[η] (η = 0,1,2...)对所述△ [η]进行平滑处理得到X [η],所述X [η]的计算方法如下 smoothed_fn
= 0 ;smoothed_fn[η] = α*smoothed_fn [η_1] + (1-α)*session_setup_final_ response[η](η = 1, 2, ... η) X[η] = Δ [n]/smoothed_fn[n] 所述α e
,为预定义常量;计算X2 [η] = X[η] -maX_aVg_X,其中maX_aVg_X为网络不含攻击情况下的X[η]期望的 最大值,设置判定序列Y [η],所述Y [η]的计算方法如下Υ
= 0,当 Υ[η-1]+Χ2[η] > 0 时,Y[η] = Υ[η_1]+Χ2[η];当 Υ[η_1]+Χ2[η] < = 0 时,则 Υ[η] = 0 ;判断所述Υ[η]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击。
6.根据权利要求5所述的方法,其特征在于,所述的方法还包括当所述Y[n]大于预定的第二阀值,并判断所述用户发起了不完整会话攻击后,对所述 Y[η]进行减少处理,使所述Y[η]在下个检测周期到来前,低于所述预定的第二阀值。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述的方法还包括在判断所述用户发起了不完整会话攻击后,对所述用户发起的会话进行取消或拒绝处 理;或者,在安全日志中记录所述用户的攻击行为,上报不完整会话攻击告警。
8.一种对不完整会话攻击进行检测的方法,其特征在于,包括确定用户发起的处于会话建立中的会话总数,所述处于会话建立中的会话类型包括 已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话;判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值,如果是,则确定 所述用户发起了不完整会话攻击。
9.根据权利要求8所述的对不完整会话攻击进行检测的方法,其特征在于,所述方法 还包括在确定所述用户发起了不完整会话攻击后,拒绝所述用户发起的新的会话请求。
10.一种网络装置,其特征在于,包括获取模块,用于获取在一个不完整会话攻击的检测周期内,用户发起的会话初始请求 数量和收到的成功建立会话的响应数量;判断处理模块,用于根据所述用户发起的会话初始请求数量和所述用户收到的成功建 立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。
11.根据权利要求10所述的网络装置,其特征在于,所述网络装置还包括防护处理模块,用于在判断所述用户发起了不完整会话攻击后,对所述用户发起的会 话进行取消或拒绝处理;或者用于在安全日志中记录所述用户的攻击行为,上报不完整会 话攻击告警。
12.根据权利要求10所述的网络装置,其特征在于,所述获取模块包括第一获取模块 和第二获取模块中的至少一个,其中第一获取模块,用于获取已注册用户发起的会话初始请求数量和收到的成功建立会话 的响应数量;或者,第二获取模块,用于获取特定的用户接入网段中的未注册用户发起的会话初始请求数 量和收到的成功建立会话的响应数量。
13.根据权利要求10至12任一项所述的网络装置,其特征在于,所述判断处理模块,包 括第一判断处理模块和第二判断处理模块中的至少一项,其中,第一判断处理模块;用于计算所述用户发起的会话初始请求数量和收到的成功建立会 话的响应数量之间的差值,判断所述差值是否大于预定的第一阀值,如果是,则判断所述用 户发起了不完整会话攻击;否则,则判断所述用户没有发起不完整会话攻击;第二判断处理模块;用于计算所述用户发起的会话初始请求数量SeSSi0n_SetUp_ initial_request[n]禾Π收到的成功建立会话的响应数量session_setup_final_ response [η]之间的差值Δ [η],所述Δ [η]的计算方法如下Δ [η] = session_setup_initial_request[η]-session_setup_final_response[η] (η = 0,1,2...)对所述△ [η]进行平滑处理得到X [η],所述X [η]的计算方法如下 smoothed_fn
= 0 ;smoothed_fn[η] = α*smoothed_fn [η_1] + (1-α)*session_setup_final_ response[η](η = 1, 2, ... η) X[η] = Δ [n]/smoothed_fn[n] 所述α e
,为预定义常量; 计算X2 [η] = X[η] -maX_aVg_X,其中maX_aVg_X为网络不含攻击情况下的X[η]期望的 最大值,设置判定序列Y [η],所述Y [η]的计算方法如下Y
=0,iY[n-l]+X2[n] >0 时,贝丨J Y[η] = (Υ[η-1]+Χ2 [η]);当 Υ[η_1]+Χ2[η] < = 0 时,则 Υ[η] = 0 ;判断所述Υ[η]是否大于预定的第二阀值,如果是,则判断所述用户发起了不完整会话 攻击;否则,则判断所述用户没有发起不完整会话攻击。
14.一种网络装置,其特征在于,包括会话总数确定模块,用于确定用户发起的处于会话建立中的会话总数,所述会话建立 中的会话类型包括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失 败而退出的会话;会话处理模块,用于判断所述处于会话建立中状态的会话总数是否大于预先设定的第 三阀值,如果是,则确定所述用户发起了不完整会话攻击。
15.根据权利要求14所述的网络装置,其特征在于,所述网络装置还包括会话拒绝模块,用于在确定所述用户发起了不完整会话攻击后,拒绝所述用户发起的 新的会话请求。
16.一种网络系统,其特征在于,包括网络装置和用户设备,其中 所述用户设备,用于发起会话初始请求;所述网络装置,用于获取在一个不完整会话攻击的检测周期内,所述用户设备发起的 会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户发起的会话初始请求 数量和所述用户收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发 起了不完整会话攻击。
17.—种网络系统,其特征在于,包括网络装置和用户设备,其中 所述用户设备,用于发起会话初始请求;所述网络装置,用于确定所述用户设备发起的处于会话建立中的会话总数,所述会话 建立中的会话类型包括已经被用户发起的会话、或者未被成功建立的会话、或者未因为建 立失败而退出的会话;判断所述处于会话建立中状态的会话总数是否大于预先设定的第三 阀值,如果是,则确定所述用户发起了不完整会话攻击。
全文摘要
本发明实施例提供了一种对不完整会话攻击进行检测的方法、装置和系统。该方法包括获取在一个不完整会话攻击的检测周期内,用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量,根据所述用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量,以及预定的阈值,检测所述用户是否发起了不完整会话攻击。通过本发明实施例,可以判断出该已注册的用户或特定的用户接入网段中的未注册用户是否发起了不完整会话攻击,从而有效地对已注册的用户或特定的用户接入网段中的未注册用户发起的不完整会话攻击进行防护。
文档编号H04L9/36GK101854333SQ20091008121
公开日2010年10月6日 申请日期2009年3月30日 优先权日2009年3月30日
发明者吴平, 张喆, 陈斌 申请人:华为技术有限公司