16也可以将与SIP消息11的处理中的异常有关的信息作为消息上下文信息24提供给数据库14,参见图2。
[0066]如果无法被分配给数据库条目的SIP消息11,例如无法归属于客户端记录并且不属于REGISTER类型的SIP消息,到达消息上下文供应单元13中,则其要么被消息上下文供应单元13自身丢弃,要么将(丢弃)指示条目添加到SIP消息11中。所述条目应用于下述SIP消息,其可以归属于客户端记录22和会话记录23 二者,但是消息类型不符合会话23的SIP消息的已允许序列Ilb至llf,例如,当INVITE消息在ACK消息之后被接收时,或者当相同消息类型的不止一个SIP消息在消息上下文供应单元13中被重复接收时。以此方式,消息上下文供应单元可以仅将属于允许的消息类型即,被期望用于序列Ilb至Ilf中的特定会话状态的消息类型的那些SIP消息11提供给异常检测单元10。
[0067]本领域技术人员将理解,被提供用于异常检测的上下文信息不限于上述类型,并且对于适当的上下文信息的选择确定了异常检测单元10在不同层可以检测到哪些(附加的)异常。特别地,与客户端在过去的行为有关的统计数据可以被用于调节包括在该客户端的SIP消息11中的补充信息的量。而且,从消息上下文供应单元13、决策单元15和/或SIP栈16提供给数据库14的上下文信息可以在数据库14中被进一步处理,以构成已修改的上下文信息,例如,通过从消息历史中确定会话的随后消息的允许的消息类型,仅将此信息提供给消息上下文供应单元13。可替换地,消息上下文供应单元13可以适于处理由数据库14提供的上下文信息,以及将已修改的上下文信息提供给异常检测单元10。
[0068]尽管已经参照SIP消息作为会话控制消息的示例而给出了上述描述,但是本领域技术人员将理解,以上解决方案也可以应用于其它协议类型的消息,例如H.323协议类型。总之,以上述方式,针对这些消息的异常检测算法的“零天”攻击检测能力向着信令状态感知的方向扩展,其允许更高效地防护网络不会受到隐藏在并置消息或互连会话之内的攻击。
[0069]已经通过示例给出了对优选实施例的上述描述。从给出的公开中,本领域技术人员将不仅理解本发明及其附带优点,而且还将发现对于所公开的结构和方法的明显的多种改变和修改。因此,申请者试图覆盖所有这些改变和修改,使其落入由所附权利要求及其等价物所限定的本发明的精神和范围内。
【主权项】
1.一种用于保护基于分组的网络(I)不受攻击的方法,包括: 对于在所述网络(I)的安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(11、Ila至Ilf)执行异常检测, 其特征在于: 对于至少一个会话控制消息(ll、lla至Ilf)连同与所述会话控制消息(ll、lla至Hf)有关的消息上下文信息(12、17、22a、23a、24)执行所述异常检测,其中,所述消息上下文信息(12、17、22a、23a、24)与所述会话控制消息(11、Ila至Ilf)归属于的会话(23)有关,所述消息上下文信息(12、17、22a、23a、24)包括会话历史信息;以及 将所述消息上下文信息(12、17、22a、23a、24)包括到所述会话控制消息(ll、lla至Hf)中。
2.根据权利要求1所述的方法,进一步包括:使用在所述会话控制消息(ll、lla至Hf)中包含的信息(18)对数据库(14)进行寻址,所述数据库(14)用于存储和检索所述消息上下文信息(12、17、22a、23a、24),所述信息(18)特别地是客户端ID、会话ID、源IP地址和/或消息类型。
3.根据权利要求1所述的方法,其中从包括以下的组中选择另外的消息上下文信息(12、22a、23a):会话状态信息、消息到达间隔时间、以及客户端历史信息,所述会话状态信息特别地与消息序列和/或允许的下一个消息类型有关。
4.一种用于保护基于分组的网络(I)不受攻击的安全边界节点(2a),包括: 异常检测单元(10),用于对于在所述安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(ll、lla至Ilf)执行异常检测, 其特征在于: 消息上下文供应单元(13),用于将至少一个会话控制消息(ll、lla至Ilf)连同与所述会话控制消息(ll、lla至Ilf)归属于的会话(23)有关的消息上下文信息(12、17、22a、23a,24) 一起提供给所述异常检测单元(10),所述消息上下文信息(12、17、22a、23a、24)包括会话历史信息; 其中所述消息上下文供应单元(13)适于将所述消息上下文信息(12、17、22a、23a、24)包括到所述会话控制消息(ll、lla至Ilf)中。
5.根据权利要求4所述的安全边界节点,进一步包括数据库(14),用于存储和检索所述消息上下文信息(12、17、22a、23a、24),所述消息上下文供应单元(13)使用在所述会话控制消息(ll、lla至Ilf)中包含的信息(18)对所述数据库(14)进行寻址,所述信息(18)特别地是客户端ID、会话ID、源IP地址和/或消息类型。
6.根据权利要求5所述的安全边界节点,其中所述数据库(14)适于存储从包括以下的组中选择的消息上下文信息(22a、23a):会话历史或会话状态信息、消息到达间隔时间、以及客户端历史信息,所述会话状态信息特别地与消息序列和/或允许的下一个消息类型有关。
7.根据权利要求5所述的安全边界节点,其中所述消息上下文供应单元(13)适于将所述会话控制消息(ll、lla至Ilf)的时间戳提供给所述数据库(14)。
8.根据权利要求4所述的安全边界节点,进一步包括决策单元(15),用于基于所述异常检测的结果来决定会话控制消息(ll、lla至Ilf)是必须被丢弃还是被转发,所述决策单元(15)优选地将与所述决策的结果有关的上下文信息(17)提供给数据库(14)和/或从所述会话控制消息(ll、lla至Ilf)中移除所述消息上下文信息(12、17、22a、23a、24)。
9.根据权利要求5所述的安全边界节点,进一步包括会话控制消息栈,特别是会话启动协议栈(16),用于处理所述会话控制消息(Il、lla至llf),优选地,其适于将与所述处理的结果有关的信息作为消息上下文信息(24)提供给所述数据库(14)。
10.根据权利要求8或9的任一项所述的安全边界节点,进一步包括消息处理单元(13a),用于:取决于与所述决策的结果有关的消息上下文信息(17)和/或与对于归属于相同的客户端(22)和/或会话(23)的之前的会话控制消息(ll、lla至Ilf)的所述处理的结果有关的信息,以不同的方式处理会话控制消息(ll、lla至Ilf)。
11.一种基于分组的网络(I),包括根据权利要求4所述的至少一个安全边界节点(2a) ο
12.—种计算机程序产品,包括适于执行根据权利要求1所述的方法的所有步骤的代码工具。
【专利摘要】本发明涉及一种保护基于分组的网络不受攻击的方法以及安全边界节点(2a)。所述安全边界节点包括:异常检测单元(10),用于对于在所述安全边界节点(2a)中接收的分组流(5)中包含的会话控制消息(11),特别是SIP消息,执行异常检测,特别是统计分析。所述安全边界节点进一步包括消息上下文供应单元(13),用于将至少一个会话控制消息(11)连同与所述会话控制消息(11、11a至11f)归属于的客户端(22)和/或会话(23)有关的消息上下文信息(12、17、24)一起提供给所述异常检测单元(10)。本发明还涉及一种计算机程序产品以及一种基于分组的网络。
【IPC分类】H04L29-06
【公开号】CN104767755
【申请号】CN201510173974
【发明人】S·瓦尔
【申请人】阿尔卡特朗讯公司
【公开日】2015年7月8日
【申请日】2009年6月12日
【公告号】CN101605072A, EP2134057A1, EP2134057B1, US8365284, US20090313698, WO2009150049A1