CN102546524A - 一种针对sip单源洪泛攻击的检测方法和sip入侵检测*** - Google Patents

Abstract

本发明涉及一种针对SIP单源洪泛攻击的检测方法，包括以下步骤：构建SIP入侵检测***；提取用于检测SIP洪泛攻击的特征数据；根据SIP会话建立过程得到SIP消息分布稳定性；对SIP消息分布稳定性进行度量，建立卡方流量监控器；如果流量发生突变，激活多Agent检测器；对***中的每个agent根据网络情况对可信度系数进行动态调整，得到每个agent的可信度；对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，若有攻击发生则给出SIP单源洪泛攻击源，并写入SIP攻击规则库。本发明快速、准确的对SIP单源洪泛攻击进行报警和检测，检测过程只需维护不同IP地址的SIP消息数目，对***资源要求很低。

Description

一种针对SIP单源洪泛攻击的检测方法和SIP入侵检测***

技术领域

本发明涉及VoIP网络安全和IP通信领域，具体地说是一种针对SIP单源洪泛攻击的检测方法和SIP入侵检测***。

背景技术

随着IP通信技术的发展和人们对通信需求的多样化，IP通信的范畴已经大大扩展，开始从简单的VoIP***(Voice Over IP)向统一通信演进。SIP(Session Initiation Protocol，应用层的信令控制协议)作为VoIP、IMS、IPTV的核心协议，已成为IP多媒体子***(IP Multimedia Subsystem，IMS)的重要组成部分，而ETSI及ITU-T定义的NGN架构中也都采用了SIP。SIP与HTTP有相似的特性，因此SIP的安全问题一直是学术界最受关注的问题。随着3G牌照在中国发放，3G建设和运营在国内取得显著进展，同时，对于SIP网络安全提出更高的要求。IMS实验网的大规模部署，加快了3G业务的发展，三网融合实施步骤出台，要求全IP网络能够安全可靠地为用户服务。美国标准与技术研究院NIST将DOS攻击作为VoIP网络架构中一种严重安全威胁。在融合网络的安全威胁分析中，DOS攻击已成为融合网络考虑的首要安全问题。美国电信运营商Sprint声称通用的DOS攻击检测技术并不能解决基于SIP的VoIP攻击，他们建议采用SBC作为DOS检测与防御的第一道防线。德国固网运营商Arcor正在大规模部署基于SIP的NGN网络，他们声称DOS攻击的检测与防御已成为服务提供商的一个紧迫需求。

Flooding(洪泛)攻击作为DOS攻击的一种常见的方式，SIP协议工作在应用层，SIP实体可能要受到两种类型的flooding攻击：来自传输层和应用层的攻击，本发明只考虑应用层的flooding攻击。SIP flooding攻击可以通过直接发起大量的SIP请求或者利用协议本身的缺陷来耗尽目标***的资源。对于flooding攻击而言，攻击者可以通过耗尽目标机器的资源来达到攻击的目的，比如发送大量INVITE消息使得正常用户的请求消息不能得到及时处理，也可以通过不发送ACK的方式使得有状态的服务器耗尽内存资源。然而对于flooding攻击，他们并不能建立SIP会话。

对于SIP flooding攻击的研究还处于起步阶段，现有的SIP flooding入侵检测***大致分为四大类：简单的阈值设定、基于统计信息、基于状态机模型、机器学习入侵检测***。通过设定阈值的方式存在阈值选择、对网络环境变化的适应性问题。在基于统计信息的方式中，基于海林格距离的方式进行检测只能做到对入侵进行检测，并不能提供对于攻击者的具体信息用于防御.对于通过SIP协议状态机模型进行flooding检测的方式，能够对flooding攻击进行准确的定位，但是状态机需要维持SIP消息的状态，相当于一个有状态的SIP server，***本身容易遭到攻击。机器学习入侵检测***而言，数据集的好坏对检测结果有着直接的影响，同时需要训练，分类等过程消耗大量***资源，处理速度比较慢。

发明内容

针对现有SIP单源洪泛攻击的入侵检测***存在的缺陷，本发明要解决的技术问题是提供一种能够实现检测的高效性、网络的自适应性和***的可扩展性的针对SIP单源洪泛攻击的检测方法和SIP入侵检测***。

为解决上述技术问题，本发明采用的技术方案是：

本发明针对SIP单源洪泛攻击的检测方法包括以下步骤：

构建包含SIP特征数据库、卡方流量监控器、多agent检测器以及SIP攻击规则库在内的SIP入侵检测***；

根据现有SIP洪泛攻击特点提取用于检测SIP洪泛攻击的特征数据；

根据SIP会话建立过程得到SIP消息分布稳定性；

利用SIP消息分布稳定性，通过卡方统计量对SIP消息分布稳定性进行度量，建立卡方流量监控器；

通过待检测的SIP消息的卡方统计量判定是否发生流量突变，如果流量发生突变，激活多Agent检测器；

通过可信度评价算法，对***中的每个agent根据网络情况对可信度系数进行动态调整，得到每个agent的可信度；

利用SIP洪泛攻击的特征数据通过多Agent检测器对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，判断是否有攻击发生，若有则给出SIP单源洪泛攻击源，并将SIP单源洪泛攻击源特征写入SIP攻击规则库。

所述的建立检测SIP洪泛攻击的特征数据过程如下：

通过分析洪泛攻击的行为特点，得知SIP单源洪泛攻击不能建立正常的会话，SIP消息分布的稳定性被打破；

在SIP消息流量中提取INVITE、ACK、200OK三类消息和这三类消息的滑动时间窗口内的消息数；

根据滑动时间窗口内的消息数抽取得到SIP特征数据并存入SIP特征数据库中。

所述建立卡方流量监控器步骤如下：

根据SIP特征数据库获得SIP消息特征；

采用卡方统计量χ²对基于滑动时间窗口序列的SIP消息分布稳定性进行度量；

当卡方流量监控器根据流量的突变发出报警后将激活多agent检测器，对发生攻击的时间窗口内的SIP消息进行进一步处理。

所述利用SIP洪泛攻击的特征数据通过多Agent检测器对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，确定SIP单源洪泛攻击源步骤如下：

每个SIP INVITE消息的源IP地址作为agent的标识；

建立多agent检测器模型，利用agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例三种决策方案对洪泛攻击者进行投票确认，对每个agent是否是攻击源进行判断，确定SIP单源洪泛攻击源。

可信度的评价算法步骤如下：

假设当前时间窗口内agent的数目为N，攻击者的数目为M，满足条件(M＜＜N，M＞＝0)；

初始化每个agent的可信度为1/N；

计算每个agent的可信度；

判断是否存在agent的可信度降到很低满足小于特定阈值或者迭代次数达到设定值，若满足条件则算法终止，给出每个agent的可信度，否则转入计算每个agent的可信度步骤。

所述多agent检测器利用agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例三种决策方案对洪泛攻击者进行投票确认，并采取一票否决方式，只有三种决策方案都认为是攻击的情况下才能确认攻击者。

所述卡方流量监控器利用卡方统计量对SIP流量进行监控，并对异常流量进行报警。

本发明具有以下有益效果及优点：

1)快速准确性，利用SIP消息卡方统计量计算和多agent检测器投票决策就可以快速、准确的对SIP的单源洪泛攻击进行判定。

2)自适应性，每个agent检测器可以根据网络情况进行动态调整，能够适应网络流量的变化。

3)资源友好性，检测过程只需维护不同IP地址的SIP消息数目，对***资源要求很低。

4)良好的并发性，采用了多agent检测技术，具有天生的并发处理能力。

附图说明

图1为本发明方法流程图；

图2为本发明SIP入侵检测***结构图；

图3为本发明多agent检测器模型图；

图4为agent之间可信度评价结果的示意图；

图5为SIP消息分布及卡方统计量图；

图6为agent检测器的agent数目与检测时间的关系图；

图7为***检测率对比表。

具体实施方式

下面结合附图举例对本发明做更详细地描述。

1)工作流程

如图1所示，本发明针对SIP单源洪泛攻击的检测方法包括以下步骤：

构建包含SIP特征数据库、卡方流量监控器、多agent检测器以及SIP攻击规则库在内的SIP入侵检测***；

根据现有SIP洪泛攻击特点提取用于建立检测SIP洪泛攻击的特征数据；

根据SIP会话建立过程得到SIP消息分布稳定性；

利用SIP消息分布稳定性，通过卡方统计量对SIP消息分布稳定性进行度量，建立卡方流量监控器；

通过待检测的SIP消息的卡方统计量判定是否发生流量突变，如果流量发生突变，激活多Agent检测器；

通过可信度评价算法，对***中的每个agent根据网络情况对可信度系数进行动态调整，得到每个agent的可信度；

利用SIP洪泛攻击的特征数据通过多Agent检测器对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，确定SIP单源洪泛攻击源，并将SIP单源洪泛攻击源特征写入SIP攻击规则库。

2)SIP入侵检测***的结构组成

SIP入侵检测***包括从SIP单源洪泛攻击的以及多agent***的特点出发，图2给出了SIP单源洪泛攻击入侵检测***结构组成。SIP入侵检测***中，与本发明相关的逻辑实体包括SIP特征数据库、卡方流量监控器、多agent检测器和SIP攻击规则库等部分，其中具体的逻辑关系描述如下：

SIP入侵检测***采用旁路检测技术，从网络中采集SIP信令流量存入SIP特征数中，卡方流量监控器根据SIP特征库提取需要统计的数据，利用卡方统计量对SIP流量进行判定。如果发现流量出现异常，则向多gent检测器报警，多agent检测器对当前的SIP流量数据进行检测，并判断异常流量数据是否是由于flooding攻击产生，若是则给出攻击者的源IP地址及SIP特征描述，并根据SIP攻击规则库格式将源IP地址和SIP特征描述写入SIP攻击规则库；否则丢弃该数据。

建立检测SIP洪泛攻击的特征数据过程如下：

(1)详细分析SIP洪泛攻击的行为特征，根据SIP会话建立的过程，在正常的SIP流量中，SIP数据分布处在一个稳定的状态；对于SIP flooding攻击而言，它们的目的是DOS，并不能建立正常的会话，导致SIP消息分布的稳定性被打破。

(2)提取INVITE、ACK、200OK三类消息和这三类消息在滑动时间窗口内的消息数。

(3)将抽取的SIP特征数据按照攻击类型分类存入SIP特征数据库中。

卡方流量监控器，对SIP会话建立的过程进行分析可知，在正常情况下SIP消息数目的分布呈现出一种稳定分布。这些消息包括INVITE、ACK、200OK。在SIP单源flooding攻击情况下，攻击者并不能完成会话建立的过程，导致SIP消息分布的异常。因此，本发明通过SIP消息分布的变化对flooding攻击进行检测。我们采用卡方统计量对基于滑动时间窗口序列的SIP消息分布相似性进行度量，卡方统计量的计算方法如公式1。其中k＝3，n_i表示在当前时间窗口内消息msg_i所占的比例，n_i’表示在前一个时间窗口内msg_i所占的比例。

${\mathrm{\χ}}^2=\underset{i=1}{\overset{k}{\mathrm{\Σ}}}\frac{{(n_i-n_i^{\′})}^2}{n_i^{\′}}---\left(1\right)$

当SIP消息分布出现异常时，卡方统计量会发生突变，因此可用于对SIP流量进行监控，该方法只需对相邻时间窗口内的SIP消息分布的卡方统计量进行计算，对***资源具有很好的友好性。但是该判定模型只能对异常流量进行报警，并不能提供关于导致异常的信息，并且在SIP消息突发流量过大造成服务器超载的情况下也会出现误报。据此，我们在发出报警后将SIP数据交由多agent检测器做进一步处理。

所述的卡方流量监控器利用卡方统计量对流量数据进行判断步骤如下：

(1)根据SIP特征数据库中的统计类型采集网络中的SIP流量；

(2)采用卡方统计量χ²对基于滑动时间窗口序列的SIP消息分布稳定性进行度量；

(3)当流量监控器根据流量的突变发出报警后将激活多agent检测器，对发生攻击的时间窗口内的SIP消息进行进一步处理。

多agent检测器，当卡方流量监控器发出报警后将激活agent检测器，对发生攻击的时间窗口内的SIP消息进行检测，检测步骤如下：

(1)生成agent，每个源IP地址将作为agent的标识，agent的属性包括SIP消息数目，可信度系数。

(2)多agent检测器对每个agent是否是攻击源进行投票判断，如图3所示。基于flooding攻击者并不能建立会话的事实，我们利用每个agent的可信度、及其对SIP消息分布稳定性的影响度和请求消息所占比例三种决策方案对flooding攻击者进行投票确认，并采取一票否决方式，只有三种决策方案都认为是攻击的情况下才能确认攻击者。

(3)如果步骤2中确定有攻击产生，则将攻击者的特征写入攻击特征库中。

多agent检测器中所述的三种决策方案的描述如下：

(1)对消息分布稳定性的影响度：每个agent计算在该时间窗口内除去自己的SIP消息后与前一个时间窗口SIP消息分布的相似性作为agent对消息分布的影响度，同样的，我们采用公式(1)对这种变化进行度量，值越大表示该agent对消息异常分布的贡献越大。

(2)请求消息所占比例：对于单源flooding而言，需要通过发起一定数量的SIP请求消息才能达到攻击的目的。因此agent的请求消息比例也可以作为检测的一种方案。

(3)可信度系数：在多agent检测***中，每个agent可以通过其他agent对自己的评价来获知自己的可信度系数。

在决策方案3中的动态的可信度评价算法如下：

假设当前时间窗口内agent的数目为N，攻击者的数目为M，满足条件(M＜＜N，M＞＝0)；

(1)初始化每个agent的可信度为1/N

(2)计算每个agent的可信度：

$r_j=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{r}_i*e_{\mathrm{ij}}---\left(2\right)$

$e_{\mathrm{ij}}=\left\{\begin{array}{c}0,Z_{\mathrm{ij}}\&GreaterEqual;Z_0\\ 1,Z_{\mathrm{ij}}<Z_0\end{array}\right.---\left(3\right)$

$Z_{\mathrm{ij}}=\exp \left\{{-\mathrm{\&chi;}}_{\mathrm{ij}}^2\right\}---\left(4\right)$

${\mathrm{\&chi;}}_{\mathrm{ij}}^2=\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}\frac{{(n_j-n_i)}^2}{n_j}---\left(5\right)$

公式2中给出可信度r_j的计算，可信度为其他agent的对自己的评价的加权和，e_ij为agenti对agent_i的评价，agent_j的评价，Z_ij是用来计算agent_i和agent_j之间相似性的量化值，agent之间的相似性仍采用卡方统计量进行计算，当两者之间的差别大于某个阈值Z₀时，则互相给对方评价为攻击者。

(3)判断是否存在agent的可信度降到很低满足小于特定阈值或者迭代次数达到设定值，若满足条件则算法终止，给出每个agent的可信度，否则转入步骤2。

在单源洪泛攻击情况下，可信度计算过程收敛性很好，迭代结果的示意图如图4所示，证明如下：

在第k次迭代后，非攻击agent的可信度为公式6，攻击源agent的可信度为公式7。由于M＜＜N所以攻击者的可信度指数量级收敛。

$r_i=\frac{{(N-M)}^{k-1}}{{(N-M)}^k+M^k}---\left(6\right)$

$r_i=\frac{M^k}{{(N-M)}^k+M^k}---\left(7\right)$

3)实验及分析

SIP服务器采用Openser服务器，背景流量通过SIPp工具产生，发起的flooding攻击及突发流量都是通过SIPp的场景控制文件产生。

实验将SIP消息的背景流量设为每秒100invite消息，图5给出了实验设置中的SIP消息的分布图，实验中一共发起了4次攻击。其中，第一、二次攻击采用已注册用户不发送ACK消息的方式，其攻击速率为100invite/s、1000invite/s。第三、四次攻击的时候采用的未注册的用户发送invite消息，攻击速率为100invite/s，1000invite/s。图5中，其它invite消息突发增大的时间段内，都是通过实验中突发流量产生的，除了最后一个突发流量为1000invite/s外，其它的都是100invite/s。在图5的下半部分给出卡方统计量图，其中卡方统计量值计算的时间区间选取为2秒。从图5中可以看出在突发流量过大的情况下会导致SIP消息分布异常，卡方统计量的值也会突然增加，导致***误报，基于海林格距离计算的也会出现这个问题。但是，在基于多agent的检测***中，***将通过多agent检测器利用多agent检测器模型作进一步处理，判断是否有攻击发生。若有攻击发生，则给出攻击者的IP地址及SIP消息的详细信息。实验中通过发起多次攻击对这种检测方法的检测效率进行了测试，并与基于海林格距离计算的检测方法进行了比较结果如图7所示。当检测阈值足够低的情况***的准确率能够达到100％，但是太低的阈值可能一直激活多agent检测器，对***造成一定的延时。图6给出实验中激活多agent检测器时的agent数目与检测时间的关系，在卡方统计量监控器未报警情况下并不激活多agent检测器，此时的检测时间可以忽略。从图6可以看出该***可以及时的对攻击者进行定位，为防御工作提供足够的信息。

综上，实验数据进一步证明了基于多agent的SIP洪泛攻击的检测方法具有检测的高效性、网络的自适应性和***的可扩展性。

Claims (7)

1.一种针对SIP单源洪泛攻击的检测方法，其特征在于包括以下步骤：

构建包含SIP特征数据库、卡方流量监控器、多agent检测器以及SIP攻击规则库在内的SIP入侵检测***；

根据现有SIP洪泛攻击特点提取用于检测SIP洪泛攻击的特征数据；

根据SIP会话建立过程得到SIP消息分布稳定性；

利用SIP消息分布稳定性，通过卡方统计量对SIP消息分布稳定性进行度量，建立卡方流量监控器；

通过待检测的SIP消息的卡方统计量判定是否发生流量突变，如果流量发生突变，激活多Agent检测器；

通过可信度评价算法，对***中的每个agent根据网络情况对可信度系数进行动态调整，得到每个agent的可信度；

利用SIP洪泛攻击的特征数据通过多Agent检测器对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，判断是否有攻击发生，若有则给出SIP单源洪泛攻击源，并将SIP单源洪泛攻击源特征写入SIP攻击规则库。

2.根据权利要求1所述的一种SIP单源洪泛攻击的检测方法，其特征在于所述的建立检测SIP洪泛攻击的特征数据过程如下：

通过分析洪泛攻击的行为特点，得知SIP单源洪泛攻击不能建立正常的会话，SIP消息分布的稳定性被打破；

在SIP消息流量中提取INVITE、ACK、200OK三类消息和这三类消息的滑动时间窗口内的消息数；

根据滑动时间窗口内的消息数抽取得到SIP特征数据并存入SIP特征数据库中。

3.根据权利要求1所述的一种SIP单源洪泛攻击的检测方法，其特征在于所述建立卡方流量监控器步骤如下：

根据SIP特征数据库获得SIP消息特征；

采用卡方统计量x2对基于滑动时间窗口序列的SIP消息分布稳定性进行度量；

当卡方流量监控器根据流量的突变发出报警后将激活多agent检测器，对发生攻击的时间窗口内的SIP消息进行进一步处理。

4.根据权利要求1所述的一种SIP单源洪泛攻击的检测方法，其特征在于：所述利用SIP洪泛攻击的特征数据通过多Agent检测器对每个agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例进行投票决策，确定SIP单源洪泛攻击源步骤如下：

每个SIP INVITE消息的源IP地址作为agent的标识；

建立多agent检测器模型，利用agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例三种决策方案对洪泛攻击者进行投票确认，对每个agent是否是攻击源进行判断，确定SIP单源洪泛攻击源。

5.根据权利要求4所述的一种SIP单源洪泛攻击的检测方法，其特征在于：可信度的评价算法步骤如下：

假设当前时间窗口内agent的数目为N，攻击者的数目为M，满足条件(M＜＜N，M＞＝0)；

初始化每个agent的可信度为1/N；

计算每个agent的可信度；

判断是否存在agent的可信度降到很低满足小于特定阈值或者迭代次数达到设定值，若满足条件则算法终止，给出每个agent的可信度，否则转入计算每个agent的可信度步骤。

6.根据权利要求1所述的一种SIP单源洪泛攻击的检测方法，其特征在于：

所述多agent检测器利用agent的可信度、SIP消息分布稳定性的影响度和请求消息所占比例三种决策方案对洪泛攻击者进行投票确认，并采取一票否决方式，只有三种决策方案都认为是攻击的情况下才能确认攻击者。

7.根据权利要求1所述的一种SIP单源洪泛攻击的检测方法，其特征在于：所述卡方流量监控器利用卡方统计量对SIP流量进行监控，并对异常流量进行报警。

Images