IMS网络会话异常中断攻击检测装置及方法与流程

本发明属于通信网络安全技术领域，特别涉及一种ims网络会话异常中断攻击检测装置及方法，可适用于通信过程中ims网络会话异常中断攻击的安全检测和预警。

背景技术

ims(ipmultimediasubsystem)是基于ip网提供话音及多媒体业务的网络体系架构，是下一代网络的核心技术。多媒体会话(session)是由一组用户(发送者或接收者)以及他们彼此之间的媒体流交互动态组成的逻辑对象。用户间的媒体流交互包括音频、视频、数据、应用和控制等多种类型，可以由sdp协议来描述和协商。ims系统基于sip/sdp协议，可提供多媒体会话的建立、更改和释放等功能。ims会话遵循归属域控制原则，即所有涉及某用户的会话都将由其归属域的注册s-cscf为其提供服务。ims会话的归属域控制能够强化运营商对网络和用户的控制，尤其是强化计费、服务质量、用户的注册、漫游和业务提供等管理。倘若ims网络会话被攻击而导致中断，则会对ims网络造成极大伤害，严重干扰其正常运行，故对ims网络会话异常中断攻击的检测尤为重要。

技术实现要素：

为此，本发明提供一种ims网络会话异常中断攻击检测装置及方法，通过对ims网络业务过程分析，提取关键业务参数建立状态机，进而对异常的会话中止消息呼叫终止进行匹配和检测预警，简单、有效，有利于提高ims网络会话的安全性。

按照本发明所提供的设计方案，一种ims网络会话异常中断攻击检测装置，包含：参数提取模块和预警分析模块，其中，

参数提取模块，用于提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、tag字段、请求序列号和主被叫地址；

预警分析模块，用于将消息参数依次与状态机进行匹配，根据匹配结果进行检测告警。

上述的，预警分析模块包含状态机创建子模块、中断拦截子模块和状态机删除处理子模块，其中，

状态机创建子模块，用于根据消息参数中消息类型创建状态机并存储；

中断拦截子模块，用于根据消息参数中消息类型、对话id、tag字段及主被叫地址的匹配结果进行检测告警；

状态机删除处理子模块，用于根据消息参数中对话id与状态机的匹配及请求序列号数据匹配情况来执行删除状态机操作。

优选的，还包含状态机超时处理子模块，用于对所有状态机进行扫描，依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机执行超时处理。

一种ims网络会话异常中断攻击检测方法，包含如下内容：

a)提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、tag字段、请求序列号和主被叫地址；

b)将消息参数依次与状态机进行匹配，根据匹配结果进行检测告警。

上述的方法，b)中，检测告警，具体包含如下内容：

b1)根据消息参数中消息类型创建状态机并存储；

b2)根据消息参数中消息类型、对话id、tag字段及主被叫地址的匹配结果进行检测告警；

b3)根据对话id与状态机的匹配及请求序列号数据匹配情况执行删除状态机操作；

b4)对所有状态机进行扫描，依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机执行超时处理。

上述的方法，b1)中，若消息类型为呼叫发起时，创建状态机并存储，执行步骤b2)，否则，返回a)中，处理下一条sip消息。

上述的方法中，b2)中，继续判断消息类型是否为响应成功，若是，则执行步骤b3)，否则，接着判断消息类型是否为呼叫终止，若是，则接着判断当前对话id的状态机是否存在，否则，返回a)中，处理下一条sip消息；在判断当前对话id的状态机是否存在过程中，若存在，则接着进行主被叫地址匹配及主被叫tag字段匹配，否则，检测告警；在主被叫地址匹配及主被叫tag字段匹配过程中，若均匹配成功，则执行步骤b4)，否则，检测告警。

上述的方法中，b3)中，接着判断当前对话id的状态机是否存在，若存在，则接着判断请求序列号是否与呼叫发起相一致，否则，返回a)中，处理下一条sip消息；在判断请求序列号是否与呼叫发起相一致中，若两者一致，则提取本地和/或远端tag字段，并更新当前对话id的状态机，执行步骤4)，否则，返回步骤a)，处理下一条sip消息。

上述的方法中，b4)中，对所有状态机进行扫描，判断状态机创建时间和当前时间两者之间的时间长度是否大于预设时间段，若是，则删除状态机，并返回a)中，处理下一条sip消息，否则，直接返回a)中，进行下一条sip消息的处理。

上述的方法中，预设时间段为预先配置的时间长度阈值。

本发明的有益效果：

本发明中，直接根据ims的sip信令消息判断异常中断攻击，从sip信令流中提取关键参数，建立状态机并自动判断，达到检测ims网络会话异常中断攻击的目的，提高ims网络的安全性，简单、有效，有利于提高ims网络的安全性，对移动通信网络的安全具有重要的指导意义。

附图说明：

图1为实施例中检测装置示意图；

图2为实施例中预警分析模块示意图；

图3为实施例中检测方法流程图一；

图4为实施例中检测告警流程图；

图5为实施例中sip消息提取字段示意图；

图6为实施例中用户状态机示意图；

图7为实施例中检测方法流程图二。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

sip消息格式由三部分组成，即：起始行(startline)，消息头(header)和消息体(messagebody)。起始行是消息第一行，标识消息类型和sip标识；消息头格式为<头字段的名字>:<字段值>，详见附图5所示。消息体在消息尾部，根据消息头中指定可以为空，也可以为sdp协议格式，如图5所示。ims系统基于sip/sdp协议，可提供多媒体会话的建立、更改和释放等功能，ims网络会话被攻击而导致中断，则会对ims网络造成极大伤害，严重干扰其正常运行。为此，本发明实施例，参见图1所示，提供一种ims网络会话异常中断攻击检测装置，包含：参数提取模块和预警分析模块，其中，

参数提取模块，用于提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、tag字段、请求序列号和主被叫地址；

预警分析模块，用于将消息参数依次与状态机进行匹配，根据匹配结果进行检测告警。

通过对ims网络业务过程分析，提取关键业务参数建立状态机，进而对异常的会话中止消息bye进行匹配和检测预警；适用于移动通信网络中的ims网络，用于实现对ims网络中会话异常中断攻击的安全检测和预警。

将消息参数与状态机进行匹配并检测告警过程中，本发明另一个实施例，参见图2所示，预警分析模块包含状态机创建子模块、中断拦截子模块和状态机删除处理子模块，其中，

状态机创建子模块，用于根据消息参数中消息类型创建状态机并存储；

中断拦截子模块，用于根据消息参数中消息类型、对话id、tag字段及主被叫地址的匹配结果进行检测告警；

状态机删除处理子模块，用于根据消息参数中对话id与状态机的匹配及请求序列号数据匹配情况来执行删除状态机操作。

优选的，还包含状态机超时处理子模块，用于对所有状态机进行扫描，依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机执行超时处理。

基于上述的检测装置，本发明实施例还提供一种ims网络会话异常中断攻击检测方法，参见图3所示，包含如下内容：

a)提取sip消息中的消息参数，该消息参数至少包含消息类型、对话id、tag字段、请求序列号和主被叫地址；

b)将消息参数依次与状态机进行匹配，根据匹配结果进行检测告警。

在将消息参数依次与状态机进行匹配，本发明再一个实施例，参见图4所示，检测告警过程包含如下内容：

b1)根据消息参数中消息类型创建状态机并存储；

b2)根据消息参数中消息类型、对话id、tag字段及主被叫地址的匹配结果进行检测告警；

b3)根据对话id与状态机的匹配及请求序列号数据匹配情况执行删除状态机操作；

b4)对所有状态机进行扫描，依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机执行超时处理。

上述的方法，b1)中，若消息类型为呼叫发起时，创建状态机并存储，执行步骤b2)，否则，返回a)中，处理下一条sip消息。b2)中，继续判断消息类型是否为响应成功，若是，则执行步骤b3)，否则，接着判断消息类型是否为呼叫终止，若是，则接着判断当前对话id的状态机是否存在，否则，返回a)中，处理下一条sip消息；在判断当前对话id的状态机是否存在过程中，若存在，则接着进行主被叫地址匹配及主被叫tag字段匹配，否则，检测告警；在主被叫地址匹配及主被叫tag字段匹配过程中，若均匹配成功，则执行步骤b4)，否则，检测告警。b3)中，接着判断当前对话id的状态机是否存在，若存在，则接着判断请求序列号是否与呼叫发起相一致，否则，返回a)中，处理下一条sip消息；在判断请求序列号是否与呼叫发起相一致中，若两者一致，则提取本地和/或远端tag字段，并更新当前对话id的状态机，执行步骤4)，否则，返回步骤a)，处理下一条sip消息。b4)中，对所有状态机进行扫描，判断状态机创建时间和当前时间两者之间的时间长度是否大于预设时间段，若是，则删除状态机，并返回a)中，处理下一条sip消息，否则，直接返回a)中，进行下一条sip消息的处理。预设时间段为预先配置的时间长度阈值。

为进一步验证本发明的有效性，如图7所示，通过具体的sip消息进行说明：

步骤(一)：接收一条sip协议消息，从起始行、call-id、from/to和cseq消息参数字段中分别提取消息类型、call-id、主被叫sip-uri/tag和流程类型，并从消息包中提取源/目的ip，并标记为主被叫ip(sip消息中提取的字段位置如图5所示)，若消息类型为invite，则建立状态机并存储(每个状态机的结构如图6所示)；

步骤(二)：若消息类型为200ok，状态机中查询当前call-id，若存在此状态机且该消息的cseq为invite，则提取from/to中的tag字段，更新到该call-id的状态机中；否则，不做操作；

步骤(三)：若消息类型为bye，状态机中查询当前call-id，若不存在，则检测告警为异常中断并拦截该消息；若存在该状态机，则根据源目ip和主被叫ip进行匹配，同时，主被叫tag进行匹配，若任意一项匹配失败，则检测告警为异常中断并拦截该消息；若匹配成功，则删除该状态机；若消息类型为其他，则直接返回步骤(一)；

步骤(四)：对所有状态机进行扫描，并计算时间差δt(＝t当前时间-t创建时间)，若δt>tmax(tmax为阈值，可配置)，则删除该状态机；

步骤(五)：返回步骤(一)，处理下一条sip消息。

如今移动通信网安全形势日益严峻，ims网络会话被攻击而导致中断，会对ims网络造成极大伤害，严重干扰其正常运行，故对ims网络会话异常中断攻击的检测尤为重要。本发明实施例通过对ims网络业务过程分析，提取关键业务参数建立状态机，进而对异常的会话中止消息bye进行匹配和检测预警，简单、有效，有利于提高ims网络的安全性，对移动通信网络安全发展具有重要的意义。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。