[发明专利]一种SIP消息洪泛攻击的检测装置和检测方法

说明书

技术领域

本发明涉及一种保证网络信息安全传输的方法，确切地说，涉及一种SIP 消息(包括INVITE消息和REGISTER消息)洪泛攻击的检测方法，属于网络 信息安全的技术领域。

背景技术

下一代网络NGN(Next Generation Network)是使用会话发起协议SIP (Session Initiation Protocol)通过会话控制机制来创建、管理和终结各种类型 消息的多媒体业务。NGN是电信史上的一个里程碑，标志着新一代电信网络时 代的来临。随着计算机网络的迅速普及和电信网络各种新业务的不断兴起，网 络安全问题已经逐渐渗透到社会生活的各个领域，并且变得越来越严峻。由于 NGN具有网络IP化和组网开放式的特性，使得电信网将面对原有互联网上各 种安全威胁的挑战。

在众多安全问题中，基于SIP协议的SIP消息的洪泛攻击，将严重威胁NGN 网络的安全；其中，邀请(INVITE)消息攻击和注册(REGISTER)消息攻击 最为普遍。INVITE消息和INVITE消息的攻击原理相似，都是由攻击者向攻击 目标发送大量的相关消息，使得被攻击的服务器忙于处理此类巨量消息而耗尽 服务器资源，从而对正常、合法的消息无法进行处理，导致整个电信网络的瘫 痪，这两种INVITE消息和REGISTER消息的攻击看似简单，但是，真正防御 它们还是相当困难的：一方面，这种SIP协议的SIP消息攻击使用的数据包都 是正常数据包，网络服务器在正常运行时不会拒绝和禁止该类数据包；另一方 面，攻击者不需要得到目标主机的返回信息，就可以伪造数据包的源IP地址， 从而使得攻击主机无从追查其来源，因此这些消息的检测和阻断都十分困难， 从而使网络安全的攻击者、破坏分子或恐怖分子有了可乘之机。所以，网络安 全问题不但影响电信网的正常运行，而且可能造成国家安全和国民经济的巨大 损失，它的损失和影响甚至不亚于一场恐怖袭击。例如，2003年发生的洪泛攻 击造成北美、欧洲和亚洲的互联网发生大面积的堵塞，据估计至少有2.2万台 网络服务器和25万台计算机遭到攻击，受灾最重的韩国全国网络瘫痪了整整 24个小时，造成了难以挽回的巨大损失。因此，迫切需要一种有效的检测手段 及时发现破坏网络安全的攻击行为，以便能够及时采取相应措施遏制相关攻击 的蔓延和发展。

从2002年至今，国外的美国密歇根大学的H.Wang、澳大利亚墨尔本大学 的Tao Peng、希腊塞萨利大学的Moustakides等人先后提出运用非参数CUSUM 算法检测互联网中SYN洪泛攻击。德国开放通讯系统研究所的Yacine Rebahi 等人运用上述算法检测IMS网络中的SIP洪泛攻击。国内也从2005年开始， 解放军信息工程大学的林白、南京邮电大学的陈伟、南京大学的严芬、大连理 工大学的于明等人先后运用上述算法针对互联网中的SYN洪泛攻击开展研究。 然而，截止到目前，国内运用非参数累积和CUSUM(cumulative sum)算法， 即简称为CUSUM方法检测洪泛攻击还仅仅停留在针对TCP消息阶段，而针对 SIP消息的洪泛攻击的检测和防御手段的研究几乎是一片空白。其主要原因是 运营商目前还没有把NGN推向市场。

另外，如果将现有的检测SYN洪泛攻击方法用于SIP洪泛攻击的检测，存 在以下缺点：(1)检测时间过长，也就是检测到攻击发生的时刻与实际攻击发 生的时刻二者之间的时间差过长。(2)检测装置复原的时间过长，即当网络攻 击停止后，检测装置恢复到正常工作状态的时间过长。(3)检测成功率低。

目前，各电信运营商和管理部门都在急切希望运用NGN网络提供通信业 务。但是，未来隐存的各种网络安全问题明显地减缓了这一趋势。

因此，如何尽快研制一种能够有效阻止SIP消息洪泛攻击的检测装置和方 法，以遏制此类攻击的蔓延和发展，为NGN网络的通信业务提供很好的安全 传输和服务质量的保证，就成为业内科技人员急需解决和义不容辞的任务。

发明内容

有鉴于此，本发明的目的是提供一种SIP消息洪泛攻击的检测方法，本发 明的检测方法是基于DW-CUSUM模块构建的，部署在下一代电信网中，能够 有效地检测出NGN网络中的针对SIP消息的洪泛攻击，为NGN通信业务提供 安全保证，进而为国家的通信产业做出贡献。

为了达到上述目的，本发明提供了一种SIP消息洪泛攻击的检测方法，其 特征在于：包括下列操作步骤：