专利名称:一种ims网络监测方法、设备及系统的制作方法
技术领域:
本发明涉及一种IMS网络,尤其涉及一种IMS网络监测方法、设备及系统。
背景技术:
Gm接口是IP多媒体子系统(IP Multimedia Subsystem,以下简称IMS)网络中用 于用户终端(User Equipment,简称UE)和IMS之间的通信的接口。该接口采用SIP协议, 其主要功能包括(1) IMS用户注册和鉴权;(2) IMS用户的会话控制;(3) IMS用户的处理过程。在注册过程中,UE使用Gm参考点发送注册请求给IMS网络的外部接口,该注册请 求包含UE支持的安全机制的指示。在注册过程中,UE为其自身的鉴权与网络的鉴权需要交 换必要的参数,获得固有的已注册的用户身份,协商与代理呼叫会话控制功能(Proxy Call Session Control Function,简称P-CSCF)的安全关联的必要参数,还可能启动SIP压缩。 另外,如果网络侧发起注册剥离或者网络发起的重新鉴权时,需要Gm参考点通知UE。现有对IMS网络的威胁主要有(1)来自成功注册用户的SIP消息轰炸一些恶意用户用一些设备不停的向IMS网络发送INVITE、Register、lOOtrying、 ISOringing或者2000K等消息,它们并不针对任何的SIP请求,所以把它们发送到IMS网络 是没有意义的,只会增加接口设备P-CSCF的CPU处理负担,甚至降低P-CSCF的服务能力。当前的设备主要针对非可信用户的SIP消息轰炸,保证其他用户的正常通信,但 是成功注册的用户也可以运用类似群呼器的机制,对网络造成SIP轰炸威胁。如图1所示, 一个IMS用户群呼其它IMS用户,发送INVITE消息。该消息对MS网络接口设备造成较大 的CPU负载,影响接口设备的正常工作,进而对IMS网络或者其他用户的正常通信造成威 胁;(2)振铃立即挂断如图2所示,一个IMS用户拨打其它IMS用户,发送INVITE消息;被叫侧振铃,发 送ISOringing消息;主叫在用户摘机之前挂机,发送cancel消息,结束本次会话。这种情 形有可能会被恶意用户所利用,或许会采用循环的方式,不停的拨打其他用户,当其他用户 回拨的时候,恶意用户可以通过设置或其他的一些方式,让来电转接到他的服务设备上,以 此来收取较高的话费;(3)畸形包的轰炸畸形包是有可能造成安全威胁的一个重要的因素之一。一些恶意用户不停的向网 络发送畸形SIP消息。国际上的一些组织很早就对各种各样的畸形包做了研究,其中一个 业界普遍认可的测试SIP协议安全性的方法是由Oulu大学电子和信息工程系所发布的、免 费可用的PR0T0S测试套件c07-sip。在这个测试套件中,定义了很多的畸形INVITE消息。 该消息对IMS网络接口设备造成较大的CPU负载,影响接口设备的正常工作,进而对IMS网 络或者其他用户的正常通信造成威胁。
UE和P-CSCF之间建立安全联盟(SA)虽然能对用户的注册和身份认证提供一定程 度的保护,对非信任用户起到了一定的隔离作用,但是不论是通过鉴权的用户还是未通过 鉴权的用户,都有可能向网络或者其他用户发起类似的威胁,Gm接口为了处理这些消息,就 很有可能占用P-CSCF较多的CPU负担,甚至造成IMS网络服务能力的下降。目前的网络设 备只能最大限度的保证运行不至于崩溃,但对正常注册用户发起的威胁还没有一个有效的 检测机制。
发明内容
本发明的第一目的在于,提供一种IMS网络监测方法,可以对正常注册用户发起 的威胁进行监测,保障IMS网络的安全。本发明的第二目的在于,提供一种IMS网络监测设备,可以对正常注册用户发起 的威胁进行监测,保障IMS网络的安全。本发明的第三目的在于,提供一种IMS网络控制系统,可以对正常注册用户发起 的威胁进行监测,保障IMS网络的安全。根据本发明的第一目的,提供一种IMS网络监测方法,采集同一终端在一段时间 内发送和/或接收的SIP消息;对所述终端发送和/或接收的SIP消息的数量进行统计;根 据统计结果确定所述终端是否为恶意终端,当确定所述终端为恶意终端时,屏蔽所述终端 发送的SIP消息。根据本发明的第二目的,提供一种IMS网络监测设备,采集模块,用于采集同一终 端在一段时间内发送和/或接收的SIP消息;统计模块,用于统计所述SIP消息的数量;分 析模块,用于根据所述SIP消息的数量确定所述终端是否为恶意终端;处理模块,用于当取 定所述终端为恶意终端时,屏蔽所述终端发送的SIP消息。根据本发明的第三目的,提供一种MS网络控制系统,IMS网络监测设备,用于根据 采集到的所述终端发送和/或接收的SIP消息确定所述终端是否为恶意终端,当所述终端 为非恶意终端时,将所述终端发送的SIP消息转发至P-CSCF,当所述终端为恶意终端时,屏 蔽所述终端发送的SIP消息;P-CSCF,用于接收所述IMS网络监测设备转发的所述终端的 SIP消息。本发明的IMS网络监测方法、设备及系统,通过在IMS网络侧对终端的SIP消息进 行量化分析,可以对正常注册的用户可能发起的威胁进行监测,以保障IMS网络的安全。并 且在对IMS网络进行监测的同时,对于正常的呼叫行为不会产生影响。
图1是现有技术中IMS网络受到威胁的一种情况示意图;图2是现有技术中IMS网络受到威胁的另一种情况示意图;图3是本发明IMS网络监测方法实施例一的流程图;图4是本发明IMS网络监测方法实施例二的流程图;图5是本发明IMS网络监测方法实施例三的流程图;图6是本发明IMS网络监测设备的实施例结构图;图7是本发明IMS网络监测设备中分析模块的实施例结构图8是本发明IMS网络控制系统实施例结构图。
具体实施例方式以下结合附图对本发明进行详细说明。方法实施例一图3是本发明IMS网络监测方法实施例一的流程图。如图3所示,IMS网络监测 方法实施例一包括如下步骤步骤302,采集同一终端在一段时间内发送和/或接收的SIP消息,SIP消包可以 包括=INVITE消息、Cancel消息、180ringing消息和2000K消息中至少一个消息;采集消息 的时间可以由一个定时器控制,如果设置一个终端从发送INVITE消息到接收到2000K消息 的时间为t,则一般可设置采集消息的时间为1. 5t ;步骤304,对终端发送和/或接收的SIP消息的数量进行统计;步骤306,根据统计结果确定终端是否为恶意终端,将终端的INVITE消息、 Register消息、IOOtrying消息、Cancel消息、180ringing消息和/或2000K消息中至少 一个消息的数量与预设的阈值进行比较;当该消息的数量大于预设的阈值时,确定所述终 端为恶意终端;如果所述终端为恶意终端时,执行步骤308,如果不是恶意终端,执行步骤 310 ;步骤308,在接下来的一段时间内屏蔽该终端发送的SIP消息,即可以接受该终端 发送的消息,但不把这些消息向IMS网络侧发送,从而使网络避免恶意流量的冲击;步骤310,允许该终端正常会话。方法实施例一通过对用户终端的SIP消息进行量化分析,可以在较短的时间内检 测出正常注册用户终端可能发起的恶意攻击,保障IMS网络的安全。并且在监测的同时,不 会对正常的会话造成影响。步骤308中对恶意终端SIP消息的屏蔽方式主要有(1)把该用户以及其行为在旁路监听设备所维护的黑名单数据库中做上标记,以 便以后网络管理员方便查阅;(2)部分时间屏蔽在接下来的一个时间段内,例如在5分钟内,屏蔽该用户后续 发出的请求,即可以接受该用户的请求消息,但不把这些消息向网络侧发送,从而使网络避 免恶意流量的冲击;(3)永久时间屏蔽永久屏蔽该用户发出的请求消息,系统管理员可根据黑名单 中的记录采取人工处理,如可以联系该恶意用户;(4)选择性屏蔽针对监测出的恶意流量,如每秒收到100条恶意消息,可以选择 运营商和网络可以接受的比例,如5%、10%或其它比例的消息发到网络侧,其它的消息则 都屏蔽掉,直接丢弃而不向网络侧发送。方法实施例二对于上述IMS网络受到的两种威胁情况,可以对终端的INVITE消息进行量化分析 来确定该终端是否为恶意终端。图4是本发明IMS网络监测方法实施例二的流程图。如图 4所示,IMS网络监测方法实施例二包括如下步骤步骤402,采集同一用户终端在一段时间内发送的INVITE消息;
步骤404,统计采集到的INVITE消息的数量;步骤406,将该INVITE消息的数量与预设的阈值进行比较,判断该INVITE消息的 数量是否大于预设的阈值,如果是,执行步骤408 ;如果否,执行步骤410 ;通常情况下,该预 设的阈值为80条或者100条或者根据运营商的要求和IMS网络的承受能力具体配置。步骤408,在接下来的一段时间内屏蔽该终端发送的SIP消息;步骤410,该终端为非恶意终端,允许该终端正常会话。本实施例通过对INVITE消息的量化分析来监测正常注册用户终端的恶意攻击, 避免了恶意终端发送大量INVITE消息造成的对IMS网络接口设备造成较大的CPU负载,影 响接口设备的正常工作,进而对IMS网络或者其他用户的正常通信造成威胁,保障IMS网络 的安全性。本发明的IMS网络监测方法还可以对Cancel消息、180ringing消息或2000K消息 等至少一个消息进行量化分析来确定该终端是否为恶意终端。方法实施例三对于“振铃立即挂断”这种威胁情况,终端发送ISOringing消息的数量远大于接 收到2000K消息的数量,因此,可以通过ISOringing消息和2000K消息之间的关系来确定 该终端是否为恶意终端。图5是本发明IMS网络监测方法实施例三的流程图。如图5所示,IMS网络监测 方法实施例三包括如下步骤步骤502,采集同一用户终端在一段时间内发送的ISOringing消息和2000K消 息;步骤504,统计采集到的ISOringing消息和2000K消息的数量;步骤506,将该ISOringing消息和2000K消息数量的差值与预设的阈值进行比较, 判断该差值是否大于预设的阈值,如果是,执行步骤508 ;如果否,执行步骤510 ;通常情况 下,设置当ISOringing消息的数量是2000K消息数量的5倍或10倍时,即ISOringing消 息与2000K消息数量的差值为2000K消息数量的4倍或9倍时,该终端为恶意终端,或者根 据运营商的要求和IMS网络的承受能力具体设置该阈值;步骤508,在接下来的一段时间内屏蔽该终端发送的SIP消息,即可以接受该终端 发送的消息,但不把这些消息向IMS网络侧发送,从而使网络避免恶意流量的冲击;步骤510,该终端为非恶意终端,允许该终端正常会话。本实施例通过对ISOringing消息和2000K消息的差值进行分析来监测正常注册 用户终端的恶意攻击,并对恶意终端进行屏蔽,保障IMS网络的安全。本发明的IMS网络监测方法还可以通过对Cancel消息和2000K消息的差值进行 分析来监测正常注册用户终端的恶意攻击,即Cancel消息的数量是2000K消息的某个倍 数,或是否已经超出了运营商或者IMS网络所能容忍的范围之外,以此判断是不是恶意用 户,与本实施例的方法相同,在此不再赘述。设备实施例图6是本发明IMS网络监测设备的实施例结构图。如图6所示,IMS网络监测设 备实施例包括采集模块602,采集同一终端在一段时间内发送和/或接收的SIP消息,SIP消息可以包括=INVITE消息、Cancel消息、180ringing消息和2000K消息中至少一个消息;本实 施例中可以通过定时器610来控制采集消息的起止时间;统计模块604,对终端发送和/或接收的SIP消息的数量进行统计;分析模块606,根据统计结果确定终端是否为恶意终端,将终端的INVITE消息、 Cancel消息、ISOringing消息和/或2000K消息中至少一个消息的数量与预设的阈值进行 比较;当该消息的数量大于预设的阈值时,确定所述终端为恶意终端;处理模块608,在得到该终端为恶意终端后,处理模块608屏蔽该终端发送的SIP 消息。图7是本发明IMS网络监测设备中分析模块的实施例结构图。如图7所示,分析 模块606包括规则数据库6062,第一比较器6064、第二比较器6064和第三比较器6066中 的至少一个。其中,规则数据库6062,用于存储比较所用的预设的阈值;第一比较器6064,用于将终端的INVITE消息、Cancel消息、180ringing消息和/ 或2000K消息中至少一个消息的数量与所述预设的阈值进行比较,当所述消息的数量大于 预设的阈值时,确定所述终端为恶意终端;第二比较器6064,用于将ISOringing消息与2000K消息的差值与预设的阈值进行 比较,当差值大于预设的阈值时,确定所述终端为恶意终端;第三比较器6066,用于将Cancel消息与2000K消息的差值与预设的阈值进行比 较,当差值大于预设的阈值时,确定所述终端为恶意终端。本实施例的IMS网络监测设备,通过对用户终端的SIP消息进行量化分析,可以在 较短的时间内检测出正常注册用户终端可能发起的恶意攻击,避免了恶意终端发送SIP消 息造成的对IMS网络接口设备造成较大的CPU负载,影响接口设备的正常工作,进而对IMS 网络或者其他用户的正常通信造成威胁,保障IMS网络的安全性。并且在监测的同时,不会 对正常的会话造成影响。系统实施例图8是本发明IMS网络控制系统实施例结构图。如图8所示,IMS网络控制系统 实施例包括IMS网络监测设备60,用于根据采集到的终端70发送和/或接收的SIP消息确定 终端70是否为恶意终端,屏蔽该终端发送的SIP消息;当终端为非恶意终端时,将所述终端 发送的SIP消息转发至P-CSCF80 ;P-CSCF80,用于接收所述IMS网络监测设备60转发的终端70的SIP消息, P-CSCF80将其中的SIP注册消息和会话建立消息转发到它所归属的IMS网络中。本实施例中,IMS网络监测设备60位与网络侧,对终端的SIP消息进行监测,确定 该终端是否为恶意终端,避免了恶意终端发送SIP消息造成的对IMS网络接口设备造成较 大的CPU负载,影响接口设备的正常工作,进而对IMS网络或者其他用户的正常通信造成威 胁,保障IMS网络的安全性。并且在监测的同时,不会对正常的会话造成影响。应说明的是以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述 举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利 要求范围中。
权利要求
一种IMS网络监测方法,其特征在于,包括采集同一终端在一段时间内发送和/或接收的SIP消息;对所述终端发送和/或接收的SIP消息的数量进行统计;根据统计结果确定所述终端是否为恶意终端,当确定所述终端为恶意终端时,屏蔽所述终端发送的SIP消息。
2.根据权利要求1所述的IMS网络监测方法,其特征在于,所述SIP消息包括=INVITE 消息、Cancel 消息、Register 消息、IOOtrying 消息、180ringing 消息和 / 或 2000K 消息。
3.根据权利要求2所述的IMS网络监测方法,其特征在于,所述对所述终端发送和/或 接收的SIP消息的数量进行统计的操作包括统计所述终端的INVITE消息、Cancel消息、、Register消息、IOOtrying消息、 ISOringing消息和2000K消息中至少一个消息的数量。
4.根据权利要求3所述的IMS网络监测方法,其特征在于,所述根据统计结果确定所述 终端是否为恶意终端的操作包括将所述终端的 INVITE 消息、Cancel 消息、Register 消息、IOOtrying 消息、180ringing 消息和2000K消息中至少一个消息的数量与预设的阈值进行比较;当所述消息的数量大于 预设的阈值时,确定所述终端为恶意终端;或将所述ISOringing消息与2000K消息的差值与预设的阈值进行比较,当差值大于预 设的阈值时,确定所述终端为恶意终端;或将所述Cancel消息与2000K消息的差值与预设的阈值进行比较,当差值大于预设的 阈值时,确定所述终端为恶意终端。
5.一种IMS网络监测设备,其特征在于,包括采集模块,用于采集同一终端在一段时间内发送和/或接收的SIP消息; 统计模块,用于统计所述SIP消息的数量;分析模块,用于根据所述SIP消息的数量确定所述终端是否为恶意终端; 处理模块,用于当取定所述终端为恶意终端时,屏蔽所述终端发送的SIP消息。
6.根据权利要求5所述的IMS网络监测设备,其特征在于,所述SIP消息包括=INVITE 消息、Cancel 消息、Register 消息、IOOtrying 消息、180ringing 消息和 / 或 2000K 消息。
7.根据权利要求6所述的IMS网络监测设备,其特征在于,所述分析模块包括 第一比较器,用于将所述终端的INVITE消息、Cancel消息、ISOringing消息和/或2000K消息中至少一个消息的数量与所述预设的阈值进行比较,当所述消息的数量大于预 设的阈值时,确定所述终端为恶意终端;或第二比较器,用于将所述ISOringing消息与2000K消息的差值与预设的阈值进行比 较,当差值大于预设的阈值时,确定所述终端为恶意终端;或第三比较器,用于将所述Cancel消息与2000K消息的差值与预设的阈值进行比较, 当差值大于预设的阈值时,确定所述终端为恶意终端。
8.根据权利要求5至7中任意一项所述的IMS网络监测设备,其特征在于,所述分析模 块包括规则数据库,用于存储所述用于比较的阈值。
9.根据权利要求5所述的IMS网络监测设备,其特征在于,还包括定时器,用于控制所 述采集模块采集SIP消息的起始和终止时间。
10. 一种IMS网络控制系统,其特征在于,包括IMS网络监测设备,用于根据采集到的所述终端发送和/或接收的SIP消息确定所 述终端是否为恶意终端,当所述终端为非恶意终端时,将所述终端发送的SIP消息转发至 P-CSCF,当所述终端为恶意终端时,屏蔽所述终端发送的SIP消息;P-CSCF,用于接收所述IMS网络监测设备转发的所述终端的SIP消息。
全文摘要
本发明公开了一种IMS网络监测方法、设备及系统。其中IMS网络监测方法包括采集同一终端在一段时间内发送和/或接收的SIP消息;对所述终端发送和/或接收的SIP消息的数量进行统计;根据统计结果确定所述终端是否为恶意终端,当确定所述终端为恶意终端时,屏蔽所述终端发送的SIP消息。本发明的IMS网络监测方法、设备及系统,通过在IMS网络侧对终端的SIP消息进行量化分析,对正常注册的用户可能发起的威胁进行监测,以保障IMS网络的安全。并且在对IMS网络进行监测的同时,对于正常的呼叫行为不会产生影响。
文档编号H04L12/26GK101997821SQ20091009086
公开日2011年3月30日 申请日期2009年8月12日 优先权日2009年8月12日
发明者方桂彬, 李洋 申请人:中国移动通信集团公司