[发明专利]一种SIP消息洪泛攻击的检测装置和检测方法

权利要求书

1.一种SIP消息洪泛攻击的检测方法，其特征在于：包括下列操作步骤：

(1)采集层的抓包模块通过调用其中设有能在UNIX/LINUX系统里提供 独立的用户级别网络数据包捕获接口的捕包函数，获取本地模块信息而采集SIP 数据包；

(2)数据层把接收到的来自采集层的SIP数据包传输到数据预处理模块， 分别统计该数据包中的INVITE消息和REGISTER消息的数量，并将统计结果 分别传送到INVITE数值存储模块和REGISTER数值存储模块进行存储；

(3)检测层的DW-CUSUM模块分别调用数据层中INVITE数值存储模块 和REGISTER数值存储模块中的相关数据进行检测，并将检测结果数据输出到 报警模块；该步骤在检测处理INVITE消息时，进一步包括下列操作内容：

(31)初始化设置取样间隔时间后，DW-CUSUM模块调用数据层中第n个 取样间隔时间段内的INVITE消息总数T_invite(n)和包括该INVITE消息与其相应的 应答消息的传输交互过程完整的INVITE消息总数S_invite(n)，再将两者相减得到 其差值X_n＝T_invite(n)-S_invite(n)，式中，自然数n是取样间隔时间的序号；

(32)DW-CUSUM模块对上述每个差值X_n进行归一化变换处理： 式中，是传输交互过程完整的INVITE消息总数S_invite(n)的均 值，它是由实时估计而周期更新的，该的递归估计值为： F‾(n)=λF‾(n-1)+(1-λ)Sinvite(n),]]>式中，λ为指数加权移动平均EWMA 系数，取值范围是[0，1]；这样得到一个差值序列

(33)DW-CUSUM模块再对差值序列中的每个差值进行转换处理： 令式中，β是在网络无攻击情况下的序列的最大值，该β参数 是根据网络情况设置的，从而组成Z_n的数值序列；

(34)为提高检测效率和缩短检测时间，该DW-CUSUM模块使用第一个 滑动窗口K顺序地对数值序列Z_n进行截取而重新赋值，该滑动窗口长度为K， 即该滑动窗口内Z_n数列有K个；并将该滑动窗口内的K个Z_n值分别与阀值进行 比较，如果其中每个Z_n值都大于阀值，则选取其中的最大值来替代该滑动窗口 内的第一个数值后，继续向前顺序滑动该窗口；否则，对该窗口内的每个Z_n值 不作任何改变而继续向前顺序滑动该窗口；经由上述顺序滑动窗口的操作后， 得到新的数值序列Z_n′；

(35)为了在攻击检测结束后，缩短该装置恢复到正常状态的时间， DW-CUSUM模块使用第二个滑动窗口K’顺序地对数值序列Z_n′进行累积和计 算，第二个滑动窗口长度为K’，即该滑动窗口内Z_n′数列有K’个；然后，利用 公式yn=(yn-1+Zn′)+=yn-1+Zn′,yn-1+Zn′>0yn-1,yn-1+Zn′≤0]]>对该第二个滑动窗口内的K’个Z_n′值 一起进行计算后，得到一个y_n数值；该公式的涵义是：当y_n-1+Z_n′的数值大于零 时，y_n的值是y_n-1与Z_n′之和；当y_n-1+Z_n′的数值小于或等于零时，y_n的值就是y_n-1， 即不作加法运算；如果得到的y_n大于或等于设置的阀值N与大于1的阀值系数 L的乘积L×N，则将该y_n的数值重新赋值为阀值N与新的阀值系数L′的乘积 L′N，即y_n＝L′×N，其中，1＜L′≤L，阀值系数L和L′的数值都是根据网络具体 情况设定的；否则，y_n保持不变，以使y_n能够在较短时间内恢复到正常工作状 态；然后，该第二个窗口继续向前顺序滑动，再对下一个窗口内的K’个Z_n′值进 行计算后，得到第二个y_n数值；如此依次顺序滑动窗口的操作和计算，得到的y_n的数值序列作为检测结果数据输出；

(4)响应层中的报警模块接收检测层的DW-CUSUM模块的检测结果，如 果判断遭到SIP消息洪泛攻击时，该报警模块发出报警；该步骤中的报警模块 的操作步骤如下：先设定检测攻击的判断门限阈值N，并将接收到的来自检测 层的检测结果信息y_n与该阈值N进行比较，即INVITE洪泛攻击的判决函数为： dN(yn)=1,yn≥N0,yn<N;]]>式中，d_N(y_n)为在时刻n的判决结果：若y_n大于等于N，则 报警信息值为“1”，表示发生了洪泛攻击，报警模块发出报警，且y_n越大表明 攻击越强；否则，报警信息值为“0”，表示无攻击发生，网络正常运作；

(5)返回步骤(1)，继续执行检测SIP消息的相关操作。