CN101459677B - 一种sip消息洪泛攻击的检测方法 - Google Patents

Abstract

一种SIP消息洪泛攻击的检测装置和检测方法，该检测装置由采集层、数据层、检测层和响应层四层架构的相关功能模块所组成。其中采集层设有采集网络中SIP数据包的抓包模块。数据层对来自采集层的SIP数据包作预处理，并分别存储抓到的INVITE消息和REGISTER消息的总数目。检测层负责调用该存储的INVITE消息数值和REGISTER消息数值，并采用DW-CUSUM算法对该数值进行检测和输出检测结果。响应层的报警模块对该检测结果进行判断决策是否告警：若检测结果超过设定阈值时，认为遭到SIP消息洪泛攻击，发出告警信号；否则，表示网络运行正常。本发明能有效检测出NGN网络中的针对SIP消息的洪泛攻击，且检测性能优秀，为NGN通信业务提供安全保证。

Description

一种SIP消息洪泛攻击的检测方法

技术领域

本发明涉及一种保证网络信息安全传输的方法，确切地说，涉及一种SIP消息(包括INVITE消息和REGISTER消息)洪泛攻击的检测方法，属于网络信息安全的技术领域。

背景技术

下一代网络NGN(Next Generation Network)是使用会话发起协议SIP(Session Initiation Protocol)通过会话控制机制来创建、管理和终结各种类型消息的多媒体业务。NGN是电信史上的一个里程碑，标志着新一代电信网络时代的来临。随着计算机网络的迅速普及和电信网络各种新业务的不断兴起，网络安全问题已经逐渐渗透到社会生活的各个领域，并且变得越来越严峻。由于NGN具有网络IP化和组网开放式的特性，使得电信网将面对原有互联网上各种安全威胁的挑战。

在众多安全问题中，基于SIP协议的SIP消息的洪泛攻击，将严重威胁NGN网络的安全；其中，邀请(INVITE)消息攻击和注册(REGISTER)消息攻击最为普遍。INVITE消息和INVITE消息的攻击原理相似，都是由攻击者向攻击目标发送大量的相关消息，使得被攻击的服务器忙于处理此类巨量消息而耗尽服务器资源，从而对正常、合法的消息无法进行处理，导致整个电信网络的瘫痪，这两种INVITE消息和REGISTER消息的攻击看似简单，但是，真正防御它们还是相当困难的：一方面，这种SIP协议的SIP消息攻击使用的数据包都是正常数据包，网络服务器在正常运行时不会拒绝和禁止该类数据包；另一方面，攻击者不需要得到目标主机的返回信息，就可以伪造数据包的源IP地址，从而使得攻击主机无从追查其来源，因此这些消息的检测和阻断都十分困难，从而使网络安全的攻击者、破坏分子或***有了可乘之机。所以，网络安全问题不但影响电信网的正常运行，而且可能造成国家安全和国民经济的巨大损失，它的损失和影响甚至不亚于一场恐怖袭击。例如，2003年发生的洪泛攻击造成北美、欧洲和亚洲的互联网发生大面积的堵塞，据估计至少有2.2万台网络服务器和25万台计算机遭到攻击，受灾最重的韩国全国网络瘫痪了整整24个小时，造成了难以挽回的巨大损失。因此，迫切需要一种有效的检测手段及时发现破坏网络安全的攻击行为，以便能够及时采取相应措施遏制相关攻击的蔓延和发展。

从2002年至今，国外的美国密歇根大学的H.Wang、澳大利亚墨尔本大学的Tao Peng、希腊塞萨利大学的Moustakides等人先后提出运用非参数CUSUM算法检测互联网中SYN洪泛攻击。德国开放通讯***研究所的Yacine Rebahi等人运用上述算法检测IMS网络中的SIP洪泛攻击。国内也从2005年开始，解放军信息工程大学的林白、南京邮电大学的陈伟、南京大学的严芬、大连理工大学的于明等人先后运用上述算法针对互联网中的SYN洪泛攻击开展研究。然而，截止到目前，国内运用非参数累积和CUSUM(cumulative sum)算法，即简称为CUSUM方法检测洪泛攻击还仅仅停留在针对TCP消息阶段，而针对SIP消息的洪泛攻击的检测和防御手段的研究几乎是一片空白。其主要原因是运营商目前还没有把NGN推向市场。

另外，如果将现有的检测SYN洪泛攻击方法用于SIP洪泛攻击的检测，存在以下缺点：(1)检测时间过长，也就是检测到攻击发生的时刻与实际攻击发生的时刻二者之间的时间差过长。(2)检测装置复原的时间过长，即当网络攻击停止后，检测装置恢复到正常工作状态的时间过长。(3)检测成功率低。

目前，各电信运营商和管理部门都在急切希望运用NGN网络提供通信业务。但是，未来隐存的各种网络安全问题明显地减缓了这一趋势。

因此，如何尽快研制一种能够有效阻止SIP消息洪泛攻击的检测装置和方法，以遏制此类攻击的蔓延和发展，为NGN网络的通信业务提供很好的安全传输和服务质量的保证，就成为业内科技人员急需解决和义不容辞的任务。

发明内容

有鉴于此，本发明的目的是提供一种SIP消息洪泛攻击的检测方法，本发明的检测方法是基于DW-CUSUM模块构建的，部署在下一代电信网中，能够有效地检测出NGN网络中的针对SIP消息的洪泛攻击，为NGN通信业务提供安全保证，进而为国家的通信产业做出贡献。

为了达到上述目的，本发明提供了一种SIP消息洪泛攻击的检测方法，其特征在于：包括下列操作步骤：

(1)采集层的抓包模块通过调用其中设有能在UNIX/LINUX***里提供独立的用户级别网络数据包捕获接口的捕包函数，获取本地模块信息而采集SIP数据包；

(2)数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块，分别统计该数据包中的INVITE消息和REGISTER消息的数量，并将统计结果分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储；

(3)检测层的DW-CUSUM模块分别调用数据层中INVITE数值存储模块和REGISTER数值存储模块中的相关数据进行检测，并将检测结果数据输出到报警模块判断是否发生SIP消息洪泛攻击；该步骤在检测处理INVITE消息时，进一步包括下列操作内容：

(31)初始化设置取样间隔时间后，DW-CUSUM模块调用数据层中第n个取样间隔时间段内的INVITE消息总数T_invite(n)和包括该INVITE消息与其相应的应答消息的传输交互过程完整的INVITE消息总数S_invite(n)，再将两者相减得到其差值X_n＝T_invite(n)-S_invite(n)，式中，自然数n是取样间隔时间的序号；

(32)DW-CUSUM模块对上述每个差值X_n进行归一化变换处理：

式中，

是传输交互过程完整的INVITE消息总数S_invite(n)的均值，它是由实时估计而周期更新的，该

的递归估计值为： $\stackrel{\‾}{F}\left(n\right)=\mathrm{\λ}\stackrel{\‾}{F}(n-1)+(1-\mathrm{\λ})S_{\mathrm{invite}}\left(n\right),$

式中，λ为指数加权移动平均EWMA系数，取值范围是[0，1]；这样得到一个差值序列

(33)DW-CUSUM模块再对差值序列

中的每个差值进行转换处理：令

式中，β是在网络无攻击情况下的序列的最大值，该β参数是根据网络情况设置的，从而组成Z_n的数值序列；

(34)为提高检测效率和缩短检测时间，该DW-CUSUM模块使用第一个滑动窗口K顺序地对数值序列Z_n进行截取而重新赋值，该滑动窗口长度为K，即该滑动窗口内Z_n数列有K个；并将该滑动窗口内的K个Z_n值分别与阀值进行比较，如果其中每个Z_n值都大于阀值，则选取其中的最大值来替代该滑动窗口内的第一个数值后，继续向前顺序滑动该窗口；否则，对该窗口内的每个Z_n值不作任何改变而继续向前顺序滑动该窗口；经由上述顺序滑动窗口的操作后，得到新的数值序列Z_n′；

(35)为了在攻击检测结束后，缩短该装置恢复到正常状态的时间，DW-CUSUM模块使用第二个滑动窗口K’顺序地对数值序列Z_n′进行截取而重新赋值，第二个滑动窗口长度为K’，即该滑动窗口内Z_n′数列有K’个；然后，利用公式 $y_n={(y_{n-1}+{Z_n}^{\′})}^{+}=\left\{\begin{array}{cc}{y}_{n-1}+{Z_n}^{\′},& y_{n-1}+{Z_n}^{\′}>0\\ y_{n-1},& y_{n-1}+{Z_n}^{\′}\≤0\end{array}\right.$ 对该第二个滑动窗口内的K’个Z_n′值一起进行累积和计算后，得到一个Y_n数值；该公式的涵义是：当y_n-1+Z_n′的数值大于零时，y_n的值是y_n-1与Z_n′之和；当y_n-1+Z_n′的数值小于或等于零时，y_n的值就是y_n-1，即不作加法运算；如果得到的y_n大于或等于设置的阀值N与大于1的阀值系数L的乘积L×N，则将该y_n的数值重新赋值为阀值N与新的阀值系数L′的乘积L′N，即y_n＝L′×N，其中，1＜L′≤L，两个阀值系数L和L′的数值都是根据网络具体情况设定的；否则，y_n保持不变，以使y_n能在较短时间内恢复到正常工作状态；然后，该第二个窗口继续向前顺序滑动，再对下一个窗口内的K’个Z_n′值进行计算后，得到第二个y_n数值；如此依次顺序滑动窗口的操作和计算，得到的y_n的数值序列作为检测结果数据输出；

(4)响应层中的报警模块接收检测层的DW-CUSUM模块的检测结果，如果判断遭到SIP洪泛攻击时，该报警模块发出报警；该步骤中的报警模块的操作步骤如下：先设定检测攻击的判断门限阈值N，并将接收到的来自检测层的检测结果信息y_n与该阈值N进行比较，即INVITE洪泛攻击的判决函数为： $d_N\left(y_n\right)=\left\{\begin{array}{c}1,y_n\&GreaterEqual;N\\ 0,y_n<N\end{array}\right.;$ 式中，d_N(y_n)为在时刻n的判决结果：若y_n大于等于N，则报警信息值为“1”，表示发生了洪泛攻击，报警模块发出报警，且y_n越大表明攻击越强；否则，报警信息值为“0”，表示无攻击发生，网络正常运作；

(5)返回步骤(1)，继续执行检测SIP消息的相关操作。

所述步骤(1)进一步包括下列操作内容：

(11)抓包模块通过捕包函数寻找***中可用的网络接口模块，开始监听会话；

(12)通过编辑过滤字符串来设置过滤器的过滤条件，并制定要捕获的SIP协议的属性设置为INVITE或REGISTER的消息，以便能够有效地捕获该模块指定类型的数据包；

(13)执行捕获循环：每捕获一个数据包后就调用用户的回调函数对数据包进行处理。

所述步骤(3)在检测处理REGISTER消息的操作步骤中，只是在所述步骤(31)初始化设置取样间隔时间后，DW-CUSUM模块是调用数据层中设定时间间隔内存储的REGISTER消息总数T_register(n)和包括该REGISTER消息与其相应的应答消息的完整交互序列总数S_register(n)，其它相应的操作内容都与检测处理INVITE消息的操作步骤相同。

本发明的技术创新的关键是研制一种DW-CUSUM检测模块，用其作为针对SIP消息洪泛攻击的检测装置的核心，并为此研制成功一种能够在NGN网络中有效检测出针对SIP消息的洪泛攻击的方法，为NGN通信业务的安全传输和服务质量提供可靠保证。

该DW-CUSUM检测模块的创新特点是：为了使该模块接收的INVITE或REGISTER消息数量与网络环境无关，先运用指数加权移动均值(EWMA)进行归一化处理，输出归一化数值序列。再将上述序列减去该序列的上界，使得该序列在正常情况下的抽样时刻数值通常都小于零；只有遭到洪泛攻击时，该序列抽样时刻的数才会大于零，有利于正确判决。另外，为提高检测效率和缩短检测时间，还对上述数值序列转换后，再进行累积和计算：该数值序列中的某个数值如果大于零，则要将该数值加到检测结果上；如果小于或等于零，则不把该数值加到检测结果上。然后，对经过累积和计算后的值再与该模块设置的一个阀值比较，如果大于或等于该阀值，则对其重新赋值，否则，不进行任何改变。最后，才将上述累积和的数值与设置的报警阀值进行比较，如果大于或等于报警阀值，就输出报警；否则，继续执行检测任务。

本发明的优点如下：(1)本发明装置和方法的检测性能优秀，其检测成功率接近100％，误报率接近0，而且检测时间和检测结束后的复原时间都较短。(2)本发明装置的架构简单，只有四层，且每层的功能模块也非常简单、紧凑，从而使得该装置具有结构简单、小巧，制造容易、灵活，易于部署和实用性强的特点。(3)本发明如果设置在远离攻击源的网络中，能够有效地检测出针对本网络的洪泛攻击；如果直接部署在发生攻击的源端网络中，则能在最短时间内迅速检测到攻击并发现攻击源。因此，本发明的检测性能强、实用性好，具有很好的推广应用前景。

附图说明

图1是本发明SIP消息洪泛攻击的检测装置结构组成示意图。

图2是本发明装置设置在网络上的位置示意图。

图3是本发明SIP消息洪泛攻击的检测方法操作步骤流程图。

图4是本发明检测方法中的数据预处理模块操作流程示意图。

图5是本发明检测方法中的DW-CUSUM模块工作流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

参见图1，介绍本发明SIP消息洪泛攻击的检测装置结构组成。

本发明检测装置是由采集层、数据层、检测层和响应层四层架构的相关功能模块所组成，其中在采集层中设有抓包模块，该抓包模块负责通过调用UNIX/LINUX***函数和使用SIP协议栈抓取在网络中传输的SIP数据包，完成采集网络中的SIP数据包的功能。在数据层设有对SIP数据包中的INVITE消息和REGISTER消息分别累加统计其数量的数据预处理模块，以及INVITE数值存储模块和REGISTER数值存储模块，这两个模块分别负责存储所采集到的、供检测层调用的INVITE消息和REGISTER消息的统计数值；该数据层负责对来自采集层的SIP数据包进行预处理，并对得到的INVIT消息和REGISTER消息的数值分别进行存储处理。在检测层中，设有两个DW-CUSUM模块。分别负责调用数据层中存储的INVITE消息数值和REGISTER消息数值，并采用DW-CUSUM算法对上述消息数值进行检测处理，得到检测结果后，再传送到报警模块。在响应层中设有报警模块，用于接收检测层输出的检测结果数据，并进行决策判断是否告警：当检测结果数据超过响应层设定的阈值时，该报警模块认为遭到SIP洪泛攻击，就发出告警信号；否则，表示网络运行正常，未发生SIP洪泛攻击。

本发明装置中的数据预处理模块进行数量累加统计的INVITE消息有两种：在设定时间段n内分别抓取的INVITE消息总数T_invite(n)和包括该INVITE消息与其相应的应答消息的交互过程完整的INVITE消息总数S_invite(n)；累加统计数量的REGISTER消息也是两种：在设定的时间段n内分别抓取的REGESTER消息总数T_register(n)和包括该REGESTER消息与其相应的应答消息的交互过程完整的REGESTER消息总数S_register(n)

参见图2，介绍本发明装置的安装位置：本发明装置安装在一台服务器上，该服务器分别与本地NGN网络或使用SIP协议的网络与Internet(互联网)、PLMN(移动网)、其他的NGN网络或使用SIP协议的网络之间的三层交换机相连接，或者该装置连接本地NGN中的呼叫代理-会话控制功能P-CSCF节点。

本发明装置部署后，将能在发生攻击的第一时间内检测到外来或本地的洪泛攻击，从而提高了网络抵御洪范攻击的灵敏度，使早期检测和预防成为现实；并且，能够为后续采取相应的防御措施提供保障和节省时间，成为NGN抵御洪泛攻击的重要屏障。

参见图3，具体说明本发明检测方法的具体操作步骤：

步骤1、采集层的抓包模块通过调用其中设有能在UNIX/LINUX***里提供独立的用户级别网络数据包捕获接口的Libpcap捕包函数，获取本地模块信息而采集SIP数据包。该步骤进一步包括下列操作内容：

(11)抓包模块通过Libpcap捕包函数寻找***中可用的网络接口模块，返回一个表示网络适配器的字符串；然后，打开模块通过函数pcap_open_live()开始建立监听会话。

(12)通过编辑过滤字符串来设置过滤器的过滤条件，并制定要捕获的SIP协议的属性设置为INVITE或REGISTER的消息(method＝”INVITE”，method＝”REGISTER”)，以便能够有效地捕获该模块指定类型的数据包；

(13)执行捕获循环：每捕获一个数据包后就调用用户的回调函数对数据包进行处理。

步骤2、数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块，分别统计该数据包中的INVITE消息和REGISTER消息的数量，并将统计结果分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储。

参见图4，说明数据层中数据预处理模块的操作流程：当它收到抓包模块送来的数据包后，先判断是否为SIP数据包，如果不是，则丢弃。如果是，则继续查看SIP数据包中的method属性项，如果该属性项的值是INVITE，则向INVITE数值存储模块传输一个标记值，表明在该设定时间内发现一个INVITE消息；如果该属性项的值是REGISTER，则给REGISTER数值存储模块传输一个标记值，表明在该设定时间内发现一个REGISTER消息；如果不是上述两个属性项，则丢弃该数据包。

步骤3、检测层的两个DW-CUSUM模块分别调用数据层中INVITE数值存储模块和REGISTER数值存储模块中的相关数据进行检测，判断是否发生SIP消息洪泛攻击。

下面以检测INVITE攻击为例，说明该步骤3在检测INVITE消息时的具体操作内容：

(31)初始化设置取样间隔时间(例如60秒)后，DW-CUSUM模块调用数据层中第n个取样间隔时间段内的INVITE消息总数T_invite(n)和包括该INVITE消息与其相应的应答消息(INVITE，RES，ACK)的传输交互过程完整的INVITE消息总数S_invite(n)，再将两者相减得到其差值X_n：X_n＝T_invite(n)-S_invite(n)，式中，自然数n是取样间隔时间的序号。DW-CUSUM模块的功能就是通过监控X_n的数值变化来判断网络是否正在接收异常的INVITE连接。

通常在攻击出现时，T_invite(n)值会大于S_invite(n)值，且两者之间的差值会激增。而在SIP网络正常运行时，终端与网络实体之间发送的INVITE消息总数与包括该INVITE消息与其相应的应答消息(INVITE，RES，ACK)的传输交互过程完整的INVITE消息总数之间呈现很强的正相关性，两者数量差很小，即X_n趋近于0；也就是两者之间严格的一一对应是SIP网络的正常行为。而在INVITE消息洪泛攻击场景下，攻击者向SIP网络实体发送大量的INVITE消息，但其不会对来自SIP网络实体的2XX/4XX/5XX/6XX RES响应作相应的ACK回复，从而使得两种消息序列之间的统计特性发生较大改变，即T_invite(n)与S_invite(n)的差值迅速增大，即X_n远远大于0，将发生突变。

(32)经过第n个抽样时间的测量后，得到一组反应T_invite(n)与S_invite(n)差值变化情况的随机数组序列{X_n，n＝1，2，3...}。众所周知，数组序列{X_n}的均值通常是与SIP网络的规模和取样的时间区间有密切关系。为减少上述因素的影响，使本发明检测方法能适用于各种SIP网络而具有通用性和普遍性，DW-CUSUM模块要对上述数组序列中的每个差值X_n进行归一化变换处理：

式中，

是传输交互过程完整的INVITE消息总数S_invite(n)的均值，它是采用实时估计而周期更新的，该

的递归估计值为： $\stackrel{\&OverBar;}{F}\left(n\right)=\mathrm{\&lambda;}\stackrel{\&OverBar;}{F}(n-1)+(1-\mathrm{\&lambda;})S_{\mathrm{invite}}\left(n\right),$

式中，λ为指数加权移动平均EWMA系数，取值范围是[0，1]；这样得到一个差值序列

进行归一化后，

代表偏移量相对于合法业务流量所占的比例，随机序列

不再与网络规模和抽样时刻有关，而是一个平稳的独立随机过程。在SIP网络工作正常时，

的均值

即正常状况下偏移量所占的比例极小，接近于0。一旦发生了INVITE洪泛攻击，T_invite(n)与S_invite(n)的差值迅速增大，

的均值将发生突变。

(33)DW-CUSUM算法的一个假设条件是：在正常情况下随机数组序列的均值为负值，而当出现异常状况后，其变为正值。为此，DW-CUSUM模块再对差值序列

中的每个差值进行转换处理：令式中，参数β是在网络无攻击情况下的序列

的最大值，该β是根据网络情况设置的，从而组成Z_n的数值序列；这样，在没有丢失任何统计特性的情况下，

就被转换成另一个均值为负的随机数值序列。在正常情况下，Z_n的均值为负；而当攻击发生时，Z_n会突然变得很大并且为正，即Z_n＞0。

(34)为提高检测效率和缩短检测时间，该DW-CUSUM模块使用第一个滑动窗口顺序地对随机数值序列Z_n进行截取而重新赋值，第一个滑动窗口长度为K，即该滑动窗口内Z_n数列有K个；并将该滑动窗口内的K个Z_n值分别与阀值进行比较，如果其中每个Z_n值都大于阀值，则选取其中最大值来替代该滑动窗口内的第一个数值后，继续向前顺序滑动该窗口；否则，对该窗口内的每个Z_n值不作任何改变而继续向前顺序滑动该窗口；经由上述顺序滑动窗口的操作后，得到新的随机数值序列Z_n′。例如，设定第一个滑动窗口大小为3，如果Z_i＞h₁，且Z_i+1＞h₂和Z_i+2＞h₃，则Z_i＝max(Z_i，Z_i+1，Z_i+2)，其中h₁，h₂，h₃为是阀值(可调参数)。如此经过第一个滑动窗口进行重新赋值后，得到新的随机数值序列Z_n′。

(35)为了使得攻击检测结束后，该检测装置复原到正常工作状态的时间能够缩短，DW-CUSUM模块又使用第二个滑动窗口顺序地对随机数值序列Z_n′进行截取而执行累积和计算，第二个滑动窗口长度为K’，即该滑动窗口内Z_n′数列有K’个；然后，利用公式 $y_n={(y_{n-1}+{Z_n}^{\&prime;})}^{+}=\left\{\begin{array}{cc}{y}_{n-1}+{Z_n}^{\&prime;},& y_{n-1}+{Z_n}^{\&prime;}>0\\ y_{n-1},& y_{n-1}+{Z_n}^{\&prime;}\&le;0\end{array}\right.$ 对第二个滑动窗口内的K’个Z_n′值一起计算后，得到y_n数值；该公式的涵义是：当Z_n′的数值大于零时，y_n的值是y_n-1与Z_n′之和；当Z_n′的数值小于或等于零时，y_n的值就是y_n-1，即不再进行加法运算。如果得到的y_n大于或等于设置的阀值N与大于1的阀值系数L的乘积L×N，则将该y_n的数值重新赋值为阀值N与新的阀值系数L′的乘积L′N，即y_n＝L′×N，其中，1＜L′≤L，两个阀值系数L和L′的数值都是根据网络具体情况设定的；否则，y_n保持不变，以使y_n能够在较短时间内恢复到正常工作状态；然后，第二个窗口继续向前顺序滑动，再对下一个窗口内的K’个Z_n′值一起计算后，得到第二个y_n数值；如此顺序进行滑动窗口的操作和计算，得到的y_n的数值序列作为检测结果数据输出。上述该第二个滑动窗口的窗口长度可以设置为不同的数值。

需要说明的是：该步骤3在检测REGISTER消息攻击时，只是在步骤(31)初始化设置取样间隔时间后，DW-CUSUM模块是调用数据层中设定时间间隔内存储的REGISTER消息总数T_register(n)和包括该REGISTER消息与其相应的应答消息的完整交互序列总数S_register(n)，其它相应的操作内容都与上述检测处理INVITE消息的操作步骤相同。

步骤4、响应层中的报警模块接收检测层的两个DW-CUSUM模块的检测结果，如果判断遭到SIP消息洪泛攻击时，该报警模块发出报警。

该步骤中的报警模块的操作步骤如下：先设定检测攻击的判断门限阈值N，并将接收到的来自检测层的检测结果信息y_n与该阈值N进行比较，即SIP消息洪泛攻击的判决函数为： $d_N\left(y_n\right)=\left\{\begin{array}{c}1,y_n\&GreaterEqual;N\\ 0,y_n<N\end{array}\right.;$ 式中，d_N(y_n)为第n个内取样间隔时间段的判决结果：若y_n大于或等于N，则报警信息值为“1”，表示发生了洪泛攻击，报警模块发出报警，且y_n越大表明攻击越强；否则，报警信息值为“0”，表示无洪泛攻击发生，网络正常运作。

步骤5、返回步骤(1)，继续执行检测SIP消息的相关操作。

Claims (3)

1.一种SIP消息洪泛攻击的检测方法，其特征在于：包括下列操作步骤：

(1)采集层的抓包模块通过调用其中设有能在UNIX/LINUX***里提供独立的用户级别网络数据包捕获接口的捕包函数，获取本地模块信息而采集SIP数据包；

(2)数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块，分别统计该数据包中的INVITE消息和REGISTER消息的数量，并将统计结果分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储；

(3)检测层的DW-CUSUM模块分别调用数据层中INVITE数值存储模块和REGISTER数值存储模块中的相关数据进行检测，并将检测结果数据输出到报警模块；该步骤在检测处理INVITE消息时，进一步包括下列操作内容：

(31)初始化设置取样间隔时间后，DW-CUSUM模块调用数据层中第n个取样间隔时间段内的INVITE消息总数T_invite(n)和包括该INVITE消息与其相应的应答消息的传输交互过程完整的INVITE消息总数S_invite(n)，再将两者相减得到其差值X_n＝T_invite(n)-S_invite(n)，式中，自然数n是取样间隔时间的序号；

(32)DW-CUSUM模块对上述每个差值X_n进行归一化变换处理：

式中，

是传输交互过程完整的INVITE消息总数S_invite(n)的均值，它是由实时估计而周期更新的，该

的递归估计值为： $\stackrel{\&OverBar;}{F}\left(n\right)=\mathrm{\&lambda;}\stackrel{\&OverBar;}{F}(n-1)+(1-\mathrm{\&lambda;})S_{\mathrm{invite}}\left(n\right),$

式中，λ为指数加权移动平均EWMA系数，取值范围是[0，1]；这样得到一个差值序列

(33)DW-CUSUM模块再对差值序列

中的每个差值

进行转换处理：令

式中，β是在网络无攻击情况下的序列的最大值，该β参数是根据网络情况设置的，从而组成Z_n的数值序列；

(34)为提高检测效率和缩短检测时间，该DW-CUSUM模块使用第一个滑动窗口K顺序地对数值序列Z_n进行截取而重新赋值，该滑动窗口长度为K，即该滑动窗口内Z_n数列有K个；并将该滑动窗口内的K个Z_n值分别与阀值进行比较，如果其中每个Z_n值都大于阀值，则选取其中的最大值来替代该滑动窗口内的第一个数值后，继续向前顺序滑动该窗口；否则，对该窗口内的每个Z_n值不作任何改变而继续向前顺序滑动该窗口；经由上述顺序滑动窗口的操作后，得到新的数值序列Z_n′；

(35)为了在攻击检测结束后，缩短该装置恢复到正常状态的时间，DW-CUSUM模块使用第二个滑动窗口K’顺序地对数值序列Z_n′进行累积和计算，第二个滑动窗口长度为K’，即该滑动窗口内Z_n′数列有K’个；然后，利用公式 $y_n={(y_{n-1}+{Z_n}^{\&prime;})}^{+}=\left\{\begin{array}{cc}{y}_{n-1}+{Z_n}^{\&prime;},& y_{n-1}+{Z_n}^{\&prime;}>0\\ y_{n-1},& y_{n-1}+{Z_n}^{\&prime;}\&le;0\end{array}\right.$ 对该第二个滑动窗口内的K’个Z_n′值一起进行计算后，得到一个y_n数值；该公式的涵义是：当y_n-1+Z_n′的数值大于零时，y_n的值是y_n-1与Z_n′之和；当y_n-1+Z_n′的数值小于或等于零时，y_n的值就是y_n-1，即不作加法运算；如果得到的y_n大于或等于设置的阀值N与大于1的阀值系数L的乘积L×N，则将该y_n的数值重新赋值为阀值N与新的阀值系数L′的乘积L′N，即y_n＝L′×N，其中，1＜L′≤L，阀值系数L和L′的数值都是根据网络具体情况设定的；否则，y_n保持不变，以使y_n能够在较短时间内恢复到正常工作状态；然后，该第二个窗口继续向前顺序滑动，再对下一个窗口内的K’个Z_n′值进行计算后，得到第二个y_n数值；如此依次顺序滑动窗口的操作和计算，得到的y_n的数值序列作为检测结果数据输出；

(4)响应层中的报警模块接收检测层的DW-CUSUM模块的检测结果，如果判断遭到SIP消息洪泛攻击时，该报警模块发出报警；该步骤中的报警模块的操作步骤如下：先设定检测攻击的判断门限阈值N，并将接收到的来自检测层的检测结果信息y_n与该阈值N进行比较，即INVITE洪泛攻击的判决函数为： $d_N\left(y_n\right)=\left\{\begin{array}{c}1,y_n\&GreaterEqual;N\\ 0,y_n<N\end{array}\right.;$ 式中，d_N(y_n)为在时刻n的判决结果：若y_n大于等于N，则报警信息值为“1”，表示发生了洪泛攻击，报警模块发出报警，且y_n越大表明攻击越强；否则，报警信息值为“0”，表示无攻击发生，网络正常运作；

(5)返回步骤(1)，继续执行检测SIP消息的相关操作。

2.根据权利要求1所述的检测方法，其特征在于：所述步骤(1)进一步包括下列操作内容：

(11)抓包模块通过捕包函数寻找***中可用的网络接口模块，开始监听会话；

(12)通过编辑过滤字符串来设置过滤器的过滤条件，并制定要捕获的SIP协议的属性设置为INVITE或REGISTER的消息，以便能够有效地捕获该模块指定类型的数据包；

(13)执行捕获循环：每捕获一个数据包后就调用用户的回调函数对数据包进行处理。

3.根据权利要求1所述的检测方法，其特征在于：所述步骤(3)在检测处理REGISTER消息的操作步骤中，只是在所述步骤(31)初始化设置取样间隔时间后，DW-CUSUM模块是调用数据层中设定时间间隔内存储的REGISTER消息总数T_register(n)和包括该REGISTER消息与其相应的应答消息的完整交互序列总数S_register(n)，其它相应的操作内容都与检测处理INVITE消息的操作步骤相同。

Images