[发明专利]不用解析来确定SIP消息的有效性

说明书

技术领域

本发明一般涉及消息处理技术，并且更具体地涉及用于确定SIP消息的有效性的技术。

背景技术

互联网已经成为主要的通信网络。所有方式的互联网会话，诸如语音会话、即时消息会话以及游戏会话，在互联网上每一天会发生数以亿计次。会话初始协议（SIP[24]）是一种重要的信令协议，其允许建立多样化的会话。参见，例如J.Rosenberg等人，“SIP:Session Initiation Protocol”，RFC3261（建议标准）（2002），其通过引用包含于此。还可参见，更新的SIP RFC3265，3853，4320，4916，5393，5621，5626，5630，5922，5954和6026，每一个RFC通过引用包含于此。由于SIP在互联网上变得普遍，因此使SIP安全变得最为重要。SIP生态系统尤其易于受到拒绝服务（DoS）或分布式拒绝服务（DDoS）的攻击。针对SIP层或SIP需要操作的支撑基础结构的此类攻击的威胁是众所周知的。

SIP是由上下文相关语法所定义的基于文本的协议。为该协议构建解析生成器是困难的，这是因为该语法不是LL（1）。一般来说，LL（1）解析器只查看下一个标记（token）以做出解析决定。此外，该语法是宽容的并且允许各种组合，以用于表示有效的SIP消息。该语法允许：（i）SIP消息中的头部的多个合法表示（例如，短形式的头部名和长形式的头部名）；（ii）出现在块中或由其它头部隔开的多个相同名字的头部（例如，Via，Route）；以及（iii）由逗号或回车换行二和字符隔开的一些头部。由于SIP解析的变幻莫测，大多数解析器是手工制造的或手工制造和LL（*）解析之间的混合体。

在另一方面，对于其它传输层协议，诸如传输控制协议（TCP）和用户数据包协议（UDP）、或者甚至如实时传输协议（RTP）的应用层协议，协议数据单元（PDU）也被解析，但是在表示上，这些协议的语法不允许太灵活。这些协议的头部是固定长度的，并且字节序列也被明确定义，使得偏离于固定格式则立即使PDU无效。对SIP来说事实并非如此，这是因为有许多有效方式来表示给定的SIP消息。因为消息中的较小扰动能使其不可用，因此在做出该消息是无效的结论前，强迫接收者花费资源来解析整个消息是令人担忧的。

此外，SIP语法并入了来自定义建立会话的其它构造的规则，诸如，电子邮件、统一资源定位符（URI）、互联网主机名以及各种多用途互联网邮件扩展类型。由此而来的复合语法是复杂的，并且易于由实现者个体解释。因此，SIP解析被认为是用于植入攻击的容易的载体，这是因为它强迫接收者花费资源来解析消息，以确定其有效性。已经估计过SIP服务器在解析中利用了25-40%的处理时间。SIP服务器将花费资源试图解析所接收到的消息，并且如果数以千计的此类畸形消息同时到达，则可能实际上植入了DoS攻击。

已经提出或建议了用于检测无效的SIP消息的若干技术。例如，已经使用了欧式距离分类器，其中SIP消息被再造成一连串的n元语法。例如，如果n等于4，则SIP消息被分解成一连串的4字节字。每个此类字出现的计数被表示为：表示SIP消息特点的特征向量，其可由统计分类器来处理。在运行时，当新的SIP消息到达时，可通过计数出现的n元语法（其来源于包括该新SIP消息的头部和有效负荷），将该SIP消息转换成类似的特征向量。使用欧式距离作为测度，将进入的特征向量与训练集进行比较，并且如果其到正常训练向量的距离落入阈值内，则该消息被认为是正常的，否则为异常。因此，欧式距离分类器基于其先前的训练数据来确定哪个进入的SIP消息是异常的。然而，欧式距离分类器要求正常的SIP消息和异常的SIP消息之间有实质的差异（在字节数目上）。

因此，存在对改进用于检测无效SIP消息的技术的需求。

发明内容

概括地，提供了用于不用解析SIP消息，诸如自相似性消息，来确定该SIP消息的有效性的方法和装置。根据本发明的一个方面，通过创建SIP消息的特征向量矩阵来处理所述SIP消息；使用多个分类器来处理所述特征向量矩阵；组合由所述多个分类器所生成的结果，以获得组合后的结果；以及基于所述组合后的结果来处理所述SIP消息。可以在训练数据集上训练所述多个分类器。所述SIP消息例如可以可选地基于所述组合后的结果被分类成正常消息或异常消息。另外，可以可选地基于所述组合后的结果处理或拒绝所述SIP消息。