ASIC)。
[0013]本发明还可以用上述类型的安全边界节点实现,所述安全边界节点进一步包括消息上下文供应单元,用于将至少一个会话控制消息连同与所述会话控制消息归属于的客户端和/或会话有关的消息上下文信息一起提供给异常检测单元。
[0014]单独的接口可以被部署在消息上下文供应单元中,用于将上下文信息连同会话控制消息一起提供给异常检测单元。
[0015]优选地,所述消息上下文供应单元适于将所述消息上下文信息包括到所述会话控制消息中。以此方式,不需要从消息上下文供应单元到异常检测单元的附加接口。消息上下文典型地在异常检测之前被附加到每个进入的会话控制消息,以及在异常检测已完成之后从会话控制消息中移除。以此方式,异常检测获得了附加的(之前不可见的)信息,并且可以识别出在附加信息中或者该信息与会话控制消息内容的组合中隐藏的攻击。
[0016]在优选实施例中,所述安全边界节点进一步包括数据库,用于存储和检索所述消息上下文信息,所述消息上下文供应单元使用在所述会话控制消息中包含的信息对所述数据库进行寻址,所述信息特别地是客户端ID、会话ID、源IP地址和/或消息类型。适当的上下文信息可以组成强制性的和自适应的记录。强制性的记录例如可以包括客户端和服务器地址(构成去往/来自同一客户端的之前的消息)、请求或消息类型历史(INVITE、OPT1NS、2000K、ACK、BYE等等)、以及属于相同的会话或请求的时间戳。所述消息上下文供应单元通过在所述会话控制消息中包含的信息对所述数据库进行寻址,以及检索与所述会话控制消息所属的会话和/或客户端有关的上下文信息。如果无法被分配给数据库条目的消息到达,则其要么被上下文信息供应单元自身丢弃,要么将(丢弃)指示条目添加到该消息。而且,消息率或会话建立率可以被观察到,并且相应的值可以被插入到消息中,从而异常检测可以同样根据该值来执行其决策。
[0017]优选地,数据库适于存储从包括以下的组中选择的消息上下文信息:会话历史或会话状态信息,特别地,与消息序列和/或允许的下一个消息类型有关;消息到达间隔时间;以及客户端历史信息。如上所述,所有这些类型的上下文信息对于检测仅通过考虑到会话和/或客户端历史才可以被检测到的攻击是有用的。然而,可以理解,上下文信息不限于以上给出的示例,因为出于此目的提供其它类型的信息也可以是有用的,如将在下文中进一步描述的那样。
[0018]在高度优选的实施例中,所述消息上下文供应单元适于将所述会话控制消息的时间戳提供给所述数据库。时间戳可以用于确定消息到达间隔时间,由此允许计算特定客户端的消息率以及基于在每个时间单元中增加的消息数量识别出攻击(例如INVITE洪流)。
[0019]在另一优选实施例中,所述安全边界节点包括决策单元,用于基于异常检测的结果来决定会话控制消息是必须被丢弃还是被转发,所述决策单元优选地将与所述决策的结果有关的上下文信息提供给数据库和/或从所述会话控制消息中移除所述消息上下文信息。所述决策单元适于执行异常检测单元的决策,即,要么丢弃从异常检测单元接收的会话控制消息,要么将其转发到会话控制消息栈,典型地为SIP栈。在后一情况下,当上下文信息已被添加到会话控制消息的文本时,决策单元首先从会话控制消息中移除上下文信息。而且,与决策的结果有关的上下文信息也可以是多状态信息,即,不一定是二进制信息,由此表示针对会话和/或客户端以及任一方向的多个信任级。以此方式,对于若干之前的消息执行的异常检测的决策已经接近于异常,对于这些决策的积累可以最终导致“丢弃”决策。
[0020]在另一优选实施例中,所述安全边界节点进一步包括会话控制消息栈,特别是SIP栈,用于处理所述会话控制消息,优选地,其适于将与所述处理的结果有关的信息作为消息上下文信息提供给数据库。以此方式,来自对消息的处理的反馈(特别是,与在处理期间的异常或者允许的下一个消息类型有关)可以被提供给数据库。
[0021]在高度优选的开发中,所述安全边界节点进一步包括消息处理单元,用于:取决于与所述决策的结果有关的消息上下文信息和/或与对于归属于相同的客户端和/或会话的之前的会话控制消息的所述处理的结果有关的信息,以不同的方式处理会话控制消息。所述消息处理单元可以丢弃属于已被识别为攻击会话或攻击客户端的会话或客户端的消息。而且,如果由于客户端历史指示出该客户端具有良好行为(即,从未产生任意攻击),所以认为不存在来自消息的攻击,则所述消息处理单元可以在无需执行异常检测(即,跳过异常检测)的情况下将该消息直接转发到决策单元或者SIP栈,从而不需要浪费异常检测的工作。然而,将会理解,来自SIP栈的负面反馈可能导致所述消息处理单元不再跳过对于来自特定客户端的消息的异常检测。可替换地或者附加地,特别是通过将较低优先级归属于可疑消息和/或将可疑消息归属于(低)优先级队列,所述消息处理单元可以延迟对于某些消息执行异常检测。所述消息处理单元还可以使得消息上下文供应单元将头部添加到可疑消息,所述头部指示出这些消息必须被馈送到附加的安全实例。
[0022]本发明的另一方面用一种基于分组的网络实现,所述网络包括至少一个上述的安全边界节点。通过使基于分组的网络配备这样的安全边界节点,高效保护该基于分组的网络不会受到之前未识别的攻击是可能的。
[0023]通过参考示出了大量细节的附图的图形,另外的特征和优点在以下对示例性实施例的描述中被阐述,并由权利要求所限定。独立的特征可以由其自身独立地实现,或者若干特征可以用任意期望的组合来实现。
【附图说明】
[0024]示例性的实施例在图形状附图中被示出,以及在以下描述中被解释。示出如下:
[0025]图1示出了根据本发明的、具有若干安全边界节点的基于分组的网络的实施例的示意图;
[0026]图2示出了根据本发明的、用于在考虑到消息上下文信息的情况下对于会话控制消息执行异常检测的安全边界节点的实施例;以及
[0027]图3示出了在图2的安全边界节点中安置的数据库的操作。
【具体实施方式】
[0028]图2示出了图1的核心网络I的安全边界节点2a,出于简明的目的,并未示出它的所有组件。来自接入网络3的分组流5被提供到安全边界节点2a的处理路径6。分组流5首先被馈送到防火墙7,其以本领域已知的方式处理层3 (网络层)/层4(传输层)的攻击,并且因此在此不需要进行更详细的描述。在防火墙7之后的ABNF(扩充巴科斯-瑙尔范式)检验器8被用于对于在分组流5中包含的会话控制(SIP)消息执行语法检查。防火墙7和ABNF检验器8适于当分组/消息被识别为攻击的情况下丢弃所述分组/消息。在处理路径6中在ABNF检验器8之后的特征检验器9将分组流5的分组的特征与之前已识别的攻击的特征集合进行比较,并且当在分组流5中找到之前已识别的攻击的特征的情况下丢弃分组/消息。在特征检验器9之后的是异常检测单元10,也被称为异常检测模块(ADM),用于对于在分组流5中包含的会话控制消息11执行统计分析(η元语法分析),所述会话控制消息11在本示例中以SIP消息的形式进行部署。异常检测单元10不知道与会话或SIP消息/请求有关的任何信息,并且因此不存储与会话的当前状态有关的任何信息,从而它无法识别由SIP消息序列组成的攻击。
[0029]为了检测这样的攻击,SIP消息11与消息上下文信息12 —起被馈送到异常检测单元10,所述消息上下文信息12与当前被检查的会话控制消息有关,消息上下文信息12与该会话控制消息11所属的客户端和/或会话有关。出于使用消息上下文信息12的目的,在异常检测单元10周围布置了三个附加的单元:消息上下文供应单元13,用于将会话控制消息11与消息上下文信息12 —起提供给异常检测单元10 ;数据库14,用于存储和检索消息上下文信息;以及决策单元15,用于基于异常检测的结果来决定会话控制消息是必须被丢弃还是被转发到SIP栈16,决策单元15还将与决策结果有关的上下文信息17提供给数据库14。在下文中,将更详细地描述所述三个单元13、14、15。
[0030]安全边界节点2a的消息上下文供应单元13适于将从数据库14检索的消息上下文信息12包括到随后将由异常检测单元1