保护基于分组的网络不受攻击的方法以及安全边界节点的制作方法
【专利说明】保护基于分组的网络不受攻击的方法以及安全边界节点
[0001]本申请是2009年6月12日申请的申请号为200910146093.8、发明名称为“保护基于分组的网络不受攻击的方法以及安全边界节点”的专利申请的分案申请。
技术领域
[0002]本发明涉及一种保护基于分组的网络不受攻击的方法,该方法包括:对于会话控制消息,特别是对于在网络的安全边界节点中接收的分组流中包含的会话启动协议(SIP)消息,执行异常检测,特别是统计分析。还涉及一种适于执行所述方法的计算机程序产品。本发明进一步涉及一种用于保护基于分组的网络不受攻击的安全边界节点,该安全边界节点包括:异常检测单元,用于对于会话控制消息,特别是对于在安全边界节点中接收的分组流中包含的SIP消息,执行异常检测,特别是统计分析。本发明还涉及一种包括至少一个这样的安全边界节点的基于分组的网络。
【背景技术】
[0003]本发明涉及保护基于分组的网络(诸如通信/计算机网络),特别是核心网络不受任意种类的攻击。可以使用ETSI/TISPAN(电信和因特网融合服务及高级网络协议)来实现核心网络,所述ETSI/TISPAN也即使用会话/应用层控制(信令)协议的具有3GPP/IMS(IP多媒体子系统)的下一代网络(NGN)体系结构,所述会话/应用层控制(信令)协议诸如会话启动协议(SIP),用于创建、修改和终止具有一个或多个参与者的会话。在这样的核心网络中,攻击可能在不同层上(IP层、传输层直到应用层)发生,并且攻击策略可能不同。特别地,在核心网络的边界节点中的应用/会话协议栈是高度危害性的,并且因此需要保护机制来实现对于整个系统的所请求的高度可用性,尤其是针对具有良好表现的用户/设备而言。可以理解,本发明不限于具有SIP信令的NGN/IMS/TISPAN网络,而是与使用其它类型的信令协议(例如,SOAP (简单对象访问协议)、Η.323等等)的所有类型的IP网络有关。
[0004]上述类型的核心网络I在图1中示出。核心网络I具有多个(安全)边界节点2a至2f,用于连接核心网络I以便访问网络3,网络3自身连接于终端用户装置4。边界节点2a至2f中的某些还可以被用于将核心网络I连接于其它核心网络(未示出)。在边界节点2a至2f中,安全策略需要被应用,其立即从潜在有危险的流量中识别出合法的流量,并且被识别为欺诈的流量需要被阻止。出于此目的,在(OSI模型的)层3/层4上运行的防火墙和特征分析功能被应用以保护网络。这些解决方案需要预先知道攻击策略。然而,即将到来的、应用了新策略的攻击可以通过这些保护方法。因此,“零天”(即首次出现)攻击无法被识别,并且可能导致严重的干扰。
[0005]因此,在SIP应用/会话控制层,还存在用于处理不同类型攻击的不同类型的保护技术:通过诸如ABNF (扩充巴科斯-瑙尔范式)检验器的技术,SIP消息语法攻击可以被揭露和处理。相反地,SIP消息攻击示出了正确的语法,并且已知可以将它们识别为恶意的特征不存在。为了识别这些类型的攻击,异常检测策略正在调查字节流的二进制和可变长度(η元语法)序列,以检测新类型的攻击方案。(例如参见K.Rieck, P.Laskov的“LanguageModels for Detect1n of Unknown Attacks in Network Traffic,,;Fraunhofer FIRST ;http://www.springer I ink.com)。这些机制可以检测字节流的“零天”攻击。然而,这些机制不具有用于检测下述攻击的(序列)记忆,所述攻击仅通过将第η个序列与第(n+m)个序列相关联才成为可见的。因此,由特定关联(例如序列号、时间相关性、源/目的地相关性以及它们的任意组合)构成的所有这些SIP消息攻击无法被当今技术所识别。
[0006]本发明的目的是提供:一种方法、一种计算机程序产品、一种安全边界节点、以及一种基于分组的网络,它们全部允许识别出无法通过以上述方式执行异常检测而揭露的攻击。
【发明内容】
[0007]此目的由上述方法实现,进一步包括:对于至少一个会话控制消息以及与所述会话控制消息归属于的客户端和/或会话有关的消息上下文信息执行异常检测。每个SIP (请求)消息关联于客户端(用户代理),SIP消息例如被用于注册用户代理(REGISTER)。每个SIP消息典型地还与会话有关(例如,用于启动会话(INVITE)、终止会话(BYE)等等)。分别与该客户端和会话有关的上下文信息连同SIP消息一起被提供给异常检测,以便检查SIP消息连同上下文信息的内容。出于此目的,通过向异常检测单元提供多个样本消息连同上下文信息,并且通过执行反馈来调节异常检测算法以便产生期望的异常检测的输出,异常检测单元可以被训练,以便在SIP消息和上下文信息的组合中检测攻击。
[0008]以此方式,消息上下文(客户端和/或会话信息)可以被考虑进来,并且本发明扩展了针对基于SIP的应用的(现有技术)异常检测系统(ADS)的能力,从而更多复杂的攻击可以被检测到,仅当消息历史和/或客户端行为是相关联的(例如,INVITE洪流)之时所述攻击可以被揭露。新的能力如下:对会话和消息协议异常的检测(即,仅当检查若干SIP消息时攻击变为可见)、垃圾网络电话(SPIT)检测、以及对从不同源生成的消息率异常的检测。
[0009]在优选的变体中,所述方法进一步包括以下步骤:将所述消息上下文信息包括到所述会话控制消息中。通过将所述消息上下文信息包括(即添加或附加)到被提供用于异常检测的SIP消息的消息文本中,可以确保上下文信息和SIP消息总是被异常检测单元并发地检查。以此方式,不需要附加的接口用于并发地提供上下文信息和SIP消息,并且不需要重新设计用于执行异常检测所需的组件。将会理解,在异常检测之后以及在处理SIP栈中的SIP消息之前,上下文信息应该被移除。
[0010]在优选的变体中,所述方法进一步包括:使用在所述会话控制消息中包含的信息对数据库进行寻址,所述数据库用于存储和检索所述消息上下文信息,所述信息特别地是客户端ID、会话ID、源IP地址和/或消息类型。典型地,对于将提供给异常检测的每个SIP消息,客户端ID(客户端地址)和会话ID(如果其已经存在的话)被用于对数据库进行寻址。诸如消息类型(INVITE、OPT1N、BYE等等)、源IP地址等等的另外的信息可以被提供以用于对数据库进行寻址和/或被作为上下文信息存储在数据库中。出于此目的,数据库可以适于动态地插入和提取客户端和会话记录。客户端记录构建了树的根,树的叶子是客户端保有的会话。在通过SIP消息中包含的信息对数据库进行寻址之后,数据库提供了与该消息所属的会话/客户端记录有关的补充(上下文)信息。对于适当的补充信息的选择确定了异常检测在不同层可以检测到哪些(附加的)异常。
[0011]在优选的变体中,消息上下文信息从包括以下的组中选择:会话历史或会话状态信息(特别地,与消息序列和/或允许的下一个消息类型有关)、消息到达间隔时间、以及客户端历史信息。会话历史信息可以包括消息序列,从而可以使得与当前会话状态有关的信息可用于异常检测。由于对每个会话状态,仅存在有限数量的允许的下一个消息类型,则或者与会话状态/消息序列有关的信息、或者与允许的下一个消息类型有关的信息可以作为上下文信息被提供给异常检测。对于被检查的SIP消息归属于的会话/客户端的消息的消息到达间隔时间的提供可以允许检测在会话之内或跨(客户端)会话的协议异常中隐藏的攻击,例如,即便特定客户端的会话建立/更新属于不同会话,当所述建立/更新已经被取消或者尚未完成若干次的时候。此外,当向异常检测馈送通过消息到达间隔时间信息扩展的会话控制消息时,异常检测可以暗中执行消息率攻击检测。客户端历史信息(即与客户端在过去的行为有关的统计数据)可以被用于调节被附加在SIP消息的补充信息的量。
[0012]上述方法可以用计算机程序产品实现,所述计算机程序产品包括适于执行上述所有步骤的代码工具。所述计算机程序产品可以用适当的软件或硬件实现,特别是现场可编程门阵列(FPGA)或专用集成电路(