專利名稱:一種防止網(wǎng)絡(luò)攻擊的方法���、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,特別是涉及一種防止網(wǎng)絡(luò)攻擊的方法��、系統(tǒng) 及裝置��。
背景技術(shù):
伴隨著電信網(wǎng)絡(luò)IP (Internet Protocol,網(wǎng)際協(xié)議)化的趨勢發(fā)展����,電 信網(wǎng)絡(luò)安全問題日趨嚴(yán)重,各種存在于傳統(tǒng)因特網(wǎng)上的攻擊逐漸出現(xiàn)在 VOIP (Voice Over IP, IP語音技術(shù))����,并根據(jù)IP化電信網(wǎng)絡(luò)的特點(diǎn)進(jìn)行適 應(yīng),出現(xiàn)了最新的發(fā)展�����。參照TCP ( Transmission Control Protocol,傳輸控 制協(xié)議)/IP網(wǎng)絡(luò)分層��,在IP化的電信網(wǎng)絡(luò)中攻擊數(shù)據(jù)流按TCP/IP網(wǎng)絡(luò)層 結(jié)構(gòu)從上到下依次是業(yè)務(wù)層攻擊數(shù)據(jù)流��、應(yīng)用層攻擊數(shù)據(jù)流��、傳輸層攻 擊數(shù)據(jù)流���、網(wǎng)絡(luò)層攻擊數(shù)據(jù)流���、以及鏈路層攻擊數(shù)據(jù)流�。
針對鏈路層/網(wǎng)絡(luò)層/傳輸層的攻擊數(shù)據(jù)流,傳統(tǒng)防火墻能夠提供較好 的防護(hù)能力�,但針對業(yè)務(wù)層和應(yīng)用層的攻擊數(shù)據(jù)流,現(xiàn)有的防火墻技術(shù)是 無法感知的。
現(xiàn)有技術(shù)提供的 一種遏制攻擊數(shù)據(jù)流的方法為與本發(fā)明相關(guān)的現(xiàn)有技 術(shù)一信令核心網(wǎng)前置信令代理設(shè)備����,對數(shù)據(jù)流進(jìn)行預(yù)處理,過濾信令層 面畸形報(bào)文�、信令flooding (洪水)報(bào)文和網(wǎng)絡(luò)/傳輸層攻擊等。
但是上述遏制攻擊數(shù)據(jù)流的方法存在以下缺點(diǎn)增加了 VOIP解決方 案的網(wǎng)絡(luò)復(fù)雜度��,要求前置的信令代理設(shè)備提供對信令報(bào)文的應(yīng)用層解析���, 要求該信令代理設(shè)備除4是供強(qiáng)大的NP (Network Processor,網(wǎng)絡(luò)處理器) 處理能力外��,還要求使用CPU ( Central Processing Unit,中央處理單元) 處理能力對信令數(shù)據(jù)進(jìn)行解析和重組���,導(dǎo)致該信令代理設(shè)備成為潛在瓶頸 資源,并增大了網(wǎng)絡(luò)延遲����;而且該前置信令代理設(shè)備亦存在因信令畸形報(bào) 文造成崩潰的風(fēng)險(xiǎn),對業(yè)務(wù)層面攻擊不能有效提供防護(hù)�。并且也不符合VOIP組網(wǎng)發(fā)展趨勢,根據(jù)TISPAN (Telecommunication and Internet converged Services and Protocols for Advanced Networking,電信和互聯(lián)網(wǎng)的 融合服務(wù)和議定書)相關(guān)標(biāo)準(zhǔn)定義���,核心網(wǎng)信令處理節(jié)點(diǎn)前面不應(yīng)存在其 他信令代理設(shè)備��。
現(xiàn)有技術(shù)提供的另 一種遏制攻擊數(shù)據(jù)流的方法為核心網(wǎng)信令處理設(shè) 備和SBC (Session Border Controller,會(huì)話邊界控制器)設(shè)備集成實(shí)現(xiàn)�, 該上述方案法有利于P-CSCF ( Proxy-Call Session Control Function,代理呼 叫會(huì)話控制功能)的邊緣化部署,且能夠?qū)魯?shù)據(jù)流繞過SBC攻擊 P-CSCF的情況進(jìn)行有效遏制���。
但是����,上述方法存在以下缺點(diǎn)在IMS (IPMultimedia Subsystem, IP 多媒體子系統(tǒng))商用初期����,P-CSCF邊緣化的組網(wǎng)方式對電信運(yùn)營商的吸 引力不是很大,且該實(shí)現(xiàn)方法要求P-CSCF設(shè)備和其他網(wǎng)元例如I-CSCF (Interrogating- Call Session Control Function,查詢呼叫會(huì)話控制功能)��、 S隱CSCF ( Serving- Call Session Control Function,服務(wù)呼叫會(huì)話控制功能) 使用不同的實(shí)現(xiàn)方案��,加大了 IMS解決方案的開發(fā)成本����。
現(xiàn)有技術(shù)提供的再一種遏制攻擊數(shù)據(jù)流的方法為利用前置SBC信令 NAT (Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)i殳備或者防火墻設(shè)備 提供防護(hù)。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)����,現(xiàn)有技術(shù)至少存在以下缺陷工作 于網(wǎng)絡(luò)/傳輸層的防火墻或SBC不能感知應(yīng)用層和業(yè)務(wù)層的數(shù)據(jù),對于SIP (Session Initiation Protocol,會(huì)話初始化協(xié)議)畸形報(bào)文攻擊和利用業(yè)務(wù) 邏輯的攻擊不能提供有效防護(hù)����。
不同業(yè)務(wù)邏輯有著不同的SIP流量特征,防火墻或SBC在不能感知業(yè) 務(wù)的情況下通過閥值的防護(hù)可能造成比較嚴(yán)重的誤報(bào)�����,導(dǎo)致解決方案性能 和QoS的降低��,并可能造成一定程度的漏報(bào)�,導(dǎo)致攻擊數(shù)據(jù)流對被測系統(tǒng) 造成殺傷
發(fā)明內(nèi)容
本發(fā)明實(shí)施例才是供一種防止網(wǎng)絡(luò)攻擊的方法、系統(tǒng)及裝置����,以實(shí)現(xiàn)在應(yīng) 用層面/業(yè)務(wù)層面對攻擊數(shù)據(jù)流進(jìn)行檢測,并對分布式攻擊進(jìn)行反向遏制�。
為達(dá)到上述目的,本發(fā)明實(shí)施例一方面提出一種防止網(wǎng)絡(luò)攻擊的方法��, 包括以下步驟
接收集成策略控制設(shè)備發(fā)送的反向遏制策略���,所述反向遏制策略由所述 集成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息
生成��;
根據(jù)所述反向遏制策略對發(fā)送到核心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾 處理��,進(jìn)行反向遏制���。
本發(fā)明實(shí)施例 一方面還提出 一種網(wǎng)絡(luò)系統(tǒng)��,包括核心網(wǎng)信令處理設(shè)備���、
集成策略控制設(shè)備、攻擊防護(hù)設(shè)備���;其中��,
所述集成策略控制設(shè)備���,用于獲取攻擊數(shù)據(jù)流的特征信息,根據(jù)所述特 征信息生成反向遏制策略�����,將所述反向遏制策略發(fā)送給所述攻擊防護(hù)設(shè)備�����;
所述攻擊防護(hù)設(shè)備�����,用于接收來自所述集成策略控制設(shè)備的反向遏制策 略,根據(jù)所述反向遏制策略對發(fā)送給所述核心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行 過濾處理����,進(jìn)行反向遏制�;
核心網(wǎng)信令處理設(shè)備,用于接收來自所述攻擊防護(hù)設(shè)備的經(jīng)過過濾處理 的數(shù)據(jù)�。
本發(fā)明實(shí)施例一方面還提出一種網(wǎng)絡(luò)設(shè)備,包括獲取模塊��、策略生成模 塊����、發(fā)送模塊;其中����,
所述獲耳又;溪塊,用于獲取攻擊數(shù)據(jù)流的特征信息����;
所述策略生成才莫塊,用于根據(jù)所述獲取模塊獲取的特征信息生成特定的 反向遏制策略����;
所述發(fā)送模塊����,用于將所述策略生成模塊生成的反向遏制策略發(fā)送到攻 擊防護(hù)設(shè)備�����。
本發(fā)明實(shí)施例一方面還提出一種網(wǎng)絡(luò)設(shè)備����,包括 接收模塊,用于接收來自集成策略控制設(shè)備的反向遏制策略���,所述反向 遏制策略由所述集成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息生成�;
反向遏制模塊�,用于根據(jù)所述接收模塊接收的反向遏制策略對發(fā)送給核 心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾處理,進(jìn)行反向遏制��。
與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過本發(fā)明實(shí)施例��,集 成策略控制設(shè)備根據(jù)獲取的攻擊數(shù)據(jù)流的特征信息���,生成反向遏制策略�,攻 擊防護(hù)設(shè)備根據(jù)集成策略控制設(shè)備生成的反向遏制策略對發(fā)送到核心網(wǎng)信令 處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾處理�,進(jìn)行反向遏制,從而實(shí)現(xiàn)了對信令核心網(wǎng) 的有效防護(hù)�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作筒單地介紹���,顯而易見地,下面 描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對于本領(lǐng)域普通技術(shù)人員來講�, 在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。 .圖1為本發(fā)明實(shí)施例防止網(wǎng)絡(luò)攻擊的系統(tǒng)結(jié)構(gòu)示意圖�����; 圖2為本發(fā)明實(shí)施例防止網(wǎng)絡(luò)攻擊的方法流程示意圖�; 圖3為本發(fā)明實(shí)施例VOIP信令核心網(wǎng)應(yīng)用層/業(yè)務(wù)層攻擊檢測和防護(hù) 系統(tǒng)架構(gòu)示意圖4為本發(fā)明實(shí)施例VOIP信令核心網(wǎng)前置SBC設(shè)備提供防護(hù)的組網(wǎng) 示意圖5為本發(fā)明實(shí)施例DEC/RPT通信方法示意圖; 圖6為本發(fā)明實(shí)施例VOIP信令核心網(wǎng)前置防火墻提供防護(hù)的組網(wǎng)示 意圖7為本發(fā)明實(shí)施例提出的 一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖���; 圖8為本發(fā)明實(shí)施例提出的另一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�����,顯然�����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例��,而不是 全部的實(shí)施例���?;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng) 造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
下面結(jié)合附圖和實(shí)施例,對本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述
本發(fā)明實(shí)施例的攻擊數(shù)據(jù)流包括SIP畸形報(bào)文數(shù)據(jù)流、SIP-flooding攻 擊凝:據(jù)流���、UDP (User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)-flooding攻擊 數(shù)據(jù)流�����、業(yè)務(wù)邏輯層面攻擊數(shù)據(jù)流等�。
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)系統(tǒng)�,如圖1所示,包括攻擊防護(hù)設(shè)備102�����、 集成策略控制設(shè)備104和核心網(wǎng)信令處理設(shè)備106�����,
其中�,
所述攻擊防護(hù)設(shè)備102,用于根據(jù)所述反向遏制策略對發(fā)送到所述核心網(wǎng) 信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理�����,進(jìn)行反向遏制�����。所述攻擊防護(hù)設(shè) 備102的類型包括防火墻和會(huì)話邊界控制器SBC等。
所述集成策略控制設(shè)備104,用于獲取攻擊數(shù)據(jù)流的特征信息����,根據(jù)所述 特征信息生成特定的反向遏制策略,并將所述反向遏制策略發(fā)送到特定的攻 擊防護(hù)設(shè)備102��。該攻擊數(shù)據(jù)流的特征信息可以包括攻擊數(shù)據(jù)流的源地址和 攻擊類型等�����。其中����,該攻擊類型可以為畸形報(bào)文攻擊或flooding攻擊等。
核心網(wǎng)信令處理設(shè)備106,用于接收來自攻擊防護(hù)設(shè)備102的經(jīng)過過濾處 理的數(shù)據(jù)���,其類型可以是交換機(jī)或IMS中的CSCF (Call Session Control Function,呼叫會(huì)話控制功能)實(shí)體等��。
所述核心網(wǎng)信令處理設(shè)備106與所述集成策略控制設(shè)備104以及所述攻 擊防護(hù)設(shè)備102可以進(jìn)行串行或并行連接����,當(dāng)通過串行的方式進(jìn)行連接時(shí)��, 所述集成策略控制設(shè)備104可以置于所述核心網(wǎng)信令處理設(shè)備106的前端, 且所述攻擊防護(hù)設(shè)備102置于所述集成策略控制設(shè)備104的前端���。
該系統(tǒng)還可以進(jìn)一步包括存儲(chǔ)單元108,用于記錄所述攻擊數(shù)據(jù)流的攻擊 行為���。該存儲(chǔ)單元108具體可以是安全日志設(shè)備等。
上述網(wǎng)絡(luò)系統(tǒng)��,集成策略控制設(shè)備104根據(jù)獲取的攻擊數(shù)據(jù)流的特征信 息��,生成特定的反向遏制策略��,并將該反向遏制策略發(fā)送到特定的攻擊防護(hù)設(shè)備102,由攻擊防護(hù)"i殳備102根據(jù)該反向遏制策略對發(fā)送到核心網(wǎng)信令處理 設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理�,進(jìn)行反向遏制,從而實(shí)現(xiàn)了對信令核心網(wǎng)
的有效防護(hù)�����。
本發(fā)明實(shí)施例還才是供一種防止網(wǎng)絡(luò)攻擊的方法����,如圖2所示��,包括以下 步驟
步驟S201,集成策略控制設(shè)備104獲取攻擊數(shù)據(jù)流的特征信息�。所述攻 擊數(shù)據(jù)流包括會(huì)議初始化協(xié)議SIP畸形報(bào)文數(shù)據(jù)流���、SIP-flooding攻擊數(shù)據(jù) 流�、UDP- flooding攻擊數(shù)據(jù)流�����、業(yè)務(wù)邏輯層面攻擊數(shù)據(jù)流等����。該攻擊數(shù)據(jù)流 的特征信息包括攻擊數(shù)據(jù)流的源地址和攻擊類型等�。其中�,該攻擊類型可 以為畸形報(bào)文攻擊或flooding攻擊等����。
步驟S202,集成策略控制設(shè)備104根據(jù)所述特征信息生成特定的反向遏 制策略��,并將反向遏制策略發(fā)送到特定的攻擊防護(hù)設(shè)備102���。所述攻擊防護(hù)設(shè) 備102的類型可以包括防火墻和會(huì)話邊界控制器SBC等�。
在該步驟中�,所述根據(jù)特征信息生成特定的反向遏制策略具體可以為
根據(jù)所述攻擊數(shù)據(jù)流攜帶的源地址判斷所述攻擊數(shù)據(jù)流的接入網(wǎng)段,當(dāng) 該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備時(shí)��,根據(jù)所述攻擊數(shù)據(jù)流的 特征信息生成特定的反向遏制策略���,將所述反向遏制策略發(fā)送到所述特定的 SBC�,所述特定的反向遏制策略可以包括攻擊數(shù)據(jù)流的源網(wǎng)際協(xié)議IP地址、 目的IP地址�、以及傳輸層協(xié)議類型等信息��;當(dāng)所述接入網(wǎng)段與核心網(wǎng)之間存 在防火墻設(shè)備時(shí)�,根據(jù)所述攻擊數(shù)據(jù)流的特征信息生成特定的反向遏制策略, 將所述反向遏制策略發(fā)送到所述防火墻,所述特定的反向遏制策略可以是包 括網(wǎng)絡(luò)地址轉(zhuǎn)換NAT映射表編號信息等�。
而且所述將所述反向遏制策略發(fā)送到攻擊防護(hù)設(shè)備102之前��,還可以包 括集成策略控制設(shè)備104通過預(yù)先設(shè)置的特定類型的攻擊數(shù)據(jù)流的接口接 收所述攻擊數(shù)據(jù)流的特征信息��,并根據(jù)所述攻擊數(shù)據(jù)流的特征信息生成所述 反向遏制策略。
網(wǎng)信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理����,進(jìn)行反向遏制。
10步驟S204,攻擊防護(hù)設(shè)備102將過濾后的數(shù)據(jù)流發(fā)送給核心網(wǎng)信令處理 設(shè)備106。
在本實(shí)施例中��,集成策略控制設(shè)備104還將所述攻擊防護(hù)設(shè)備102反々赍 的所述攻擊數(shù)據(jù)流的攻擊信息存儲(chǔ)到存儲(chǔ)單元108 (例如安全日志設(shè)備等)���, 以記錄所述攻擊凄t據(jù)流的攻擊行為�。
上述防止網(wǎng)絡(luò)攻擊的方法,集成策略控制設(shè)備104才艮據(jù)獲取的攻擊數(shù)據(jù) 流的特征信息�����,生成特定的反向遏制策略��,攻擊防護(hù)設(shè)備102根據(jù)集成策略 控制設(shè)備104生成的反向遏制策略對發(fā)送到核心網(wǎng)信令處理設(shè)備106的數(shù)據(jù) 流執(zhí)行過濾處理�,進(jìn)行反向遏制�����,從而實(shí)現(xiàn)了對信令核心網(wǎng)的有效防護(hù)��。
本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊的方法和系統(tǒng),以VOIP ( Voice over IP, IP電話)網(wǎng)絡(luò)為例進(jìn)行說明��,其中具體的系統(tǒng)實(shí)現(xiàn)示意圖如圖3 所示�����,圖3中的器件可以是一個(gè)獨(dú)立的器件�����,或者以模塊或單元的形式集 成到另一個(gè)器件中���。下面結(jié)合具體的應(yīng)用場景進(jìn)行描述(其中的部分器件 可以是一個(gè)獨(dú)立的器件��,也可以 一個(gè)器件以模塊或單元的形式集成到另一 個(gè)器件中)���,VOIP電信核心網(wǎng)可以是以SIP為信令處理協(xié)議;本實(shí)施例提 出信令核心網(wǎng)前置防火墻和前置SBC信令NAT設(shè)備兩種攻擊防護(hù)機(jī)制�, 其中攻擊數(shù)據(jù)流包括SIP畸形報(bào)文數(shù)據(jù)流、SIP-flooding攻擊數(shù)據(jù)流�����、UDP-flooding攻擊數(shù)據(jù)流�、業(yè)務(wù)邏輯層面攻擊數(shù)據(jù)流等����。
圖3所示的系統(tǒng)包括
攻擊檢測設(shè)備302,用于檢測接收的SIP消息中的攻擊數(shù)據(jù)流���。該攻 擊檢測設(shè)備302包括
SIP消息解析才莫塊3020,用于對接收的SIP消息進(jìn)行解析�����;
SIP畸形報(bào)文檢測模塊3022,用于在SI—P消息解析模塊3020對接收的 SIP消息進(jìn)行解析之后��,檢測SIP消息中的SIP畸形報(bào)文����;
SIP-flooding檢測模塊3024,用于在SIP消息解析模塊3020對接收的 SIP消息進(jìn)行解析之后�����,檢測SIP消息中的SIP-flooding報(bào)文��;
UDP-flooding 4全測模塊3026�,用于在SIP消息解析沖莫塊3020對接收 的SIP消息進(jìn)行解析之后��,檢測SIP消息中的UDP-flooding報(bào)文�����;業(yè)務(wù)邏輯攻擊檢測模塊3028,用于在SIP消息解析模塊3020對接收 的SIP消息進(jìn)行解析之后���,檢測SIP消息中的業(yè)務(wù)邏輯攻擊報(bào)文�����。 圖3所示的系統(tǒng)還包括
集成策略控制設(shè)備104���,用于獲取攻擊檢測設(shè)備302檢測到的攻擊數(shù)據(jù) 流的特征信息,根據(jù)該特征信息生成反向遏制策略�����,并將反向遏制策略發(fā)送 到攻擊防護(hù)設(shè)備102,圖3中�����,攻擊防護(hù)設(shè)備102為防火墻312和SBC 314�����。 本實(shí)施例中,集成策略控制設(shè)備104通過防火墻接口 306將生成的反向遏 制策略發(fā)送到防火墻312,通過SBC接口 30S將生成的反向遏制策略發(fā)送 到SBC 314���。
集成策略控制設(shè)備104還用于將防火墻312或SBC 314反饋的攻擊數(shù)據(jù) 流的攻擊信息���,通過安全日志接口 304存儲(chǔ)到安全日志設(shè)備310,以記錄攻擊 數(shù)據(jù)流的攻擊行為。
圖3所示的系統(tǒng)還包括
核心網(wǎng)信令處理設(shè)備106,用于接收來自防火墻312或SBC314的經(jīng)過 過濾處理的數(shù)據(jù)����,其類型可以是交換機(jī)或IMS中的CSCF實(shí)體等。
本發(fā)明實(shí)施例中的集成策略控制設(shè)備104和防火墻312或SBC 314之 間的接口充分支持不同VOIP信令核心網(wǎng)組網(wǎng)對SIP畸形報(bào)文數(shù)據(jù)流���、 SIP-flooding攻擊數(shù)據(jù)流�、UDP-flooding攻擊數(shù)據(jù)流���、業(yè)務(wù)邏輯層面攻擊數(shù)據(jù) 流的攻擊防護(hù)需求����,根據(jù)防火墻312或SBC 314在組網(wǎng)中的主要功能—— 包括傳統(tǒng)網(wǎng)絡(luò)或傳輸層防火墻功能和SBC信令NAT功能��,分別設(shè)計(jì)接口 如下
1���、 SBC信令NAT攻擊數(shù)據(jù)流反向遏制接口
如圖4所示,信令核心網(wǎng)402包括P-CSCF 4020��、 S-CSCF 4022和 I-CSCF 4024, P-CSCF 4020�����、 S-CSCF 4022和I-CSCF 4024之間使用SIP 信令進(jìn)行通信�����。信令核心網(wǎng)402前置SBC設(shè)備404,提供信令NAT或媒 體代理或防火墻等功能���。用戶通過用戶接入網(wǎng)絡(luò)406連接到LSW (Local Tel印hony Switch,本地電話交換機(jī))408,通過LSW 408接入SBC "i殳備 404���。SBC設(shè)備404內(nèi)置NAT映射表項(xiàng),將滿足預(yù)定義規(guī)則�����、源自私網(wǎng)終 端的SIP消息中的網(wǎng)絡(luò)層或傳輸層地址映射為公網(wǎng)地址�,并將SIP消息中 的私網(wǎng)端口映射為公網(wǎng)端口 ,然后將映射后的公網(wǎng)地址和公網(wǎng)端口存儲(chǔ)在 NAT映射表項(xiàng)中����,之后將該SIP消息發(fā)往P-CSCF 4020處理,P-CSCF 4020 發(fā)往該用戶的SIP消息也可以通過該NAT映射表項(xiàng)進(jìn)行轉(zhuǎn)換。
信令核心網(wǎng)402和SBC設(shè)備404之間通過COPS( Common Open Policy Service,通用開》文策略服務(wù))鏈路進(jìn)行通信��,實(shí)現(xiàn)信令NAT映射表項(xiàng)的保 活功能����。在用戶發(fā)起初始注冊到注冊成功前,SBC設(shè)備404為該用戶的 NAT映射表項(xiàng)實(shí)現(xiàn)了較小的?�;顣r(shí)長�����,在用戶成功注冊后���,信令核心網(wǎng)402 參考用戶注冊時(shí)長設(shè)置該用戶NAT映射表項(xiàng)的?��;顣r(shí)長,通過COPS鏈路 下發(fā)DEC ( Decision, COPS決策)消息給SBC設(shè)備404, SBC設(shè)備404 收到DEC消息后i奮改該NAT映射表項(xiàng)的?��;顣r(shí)長�,并以RPT (Report, 狀態(tài)報(bào)告)消息進(jìn)行響應(yīng)�,如圖5所示����。
根據(jù)圖4的組網(wǎng)結(jié)構(gòu)���,SBC設(shè)備404提供信令NAT功能和基本的防 火墻功能,能夠提供基本的安全防護(hù)能力�����。定義信令核心網(wǎng)402和SBC設(shè) 備404之間的通信機(jī)制�����,利用NAT映射ID唯一標(biāo)識SBC-NAT表項(xiàng)�,使 能NAT映射表項(xiàng)的動(dòng)態(tài)開放和關(guān)閉,定義基于決策/l艮告(DEC/RPT)的 通m幾制
定義DEC消息數(shù)據(jù)結(jié)構(gòu)如下
Struct sbc—DEC{
VOS—UINT32 nat—mapping—id; 〃定義特定NAT映射表項(xiàng)ID,在SBC 上唯一標(biāo)識特定NAT表項(xiàng)
VOS—UINT32 alive—time; 〃定義當(dāng)前映射表項(xiàng)的存活時(shí)長 VOS—UINT32 block_type=0; 〃定義攻擊類型�����,目前僅支持下列4種/* 若block—type-0, SBC不執(zhí)行黑名單處理���。
若block—type置1,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行SIP畸形才艮文攻擊�;
若block—type置2,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行SIP flood 攻擊��;
若block—type置3 ��,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行UDP flood 攻擊;
若block—type置4,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行業(yè)務(wù)邏輯 攻擊�; */
定義RPT消息數(shù)據(jù)結(jié)構(gòu)如下 Struct sbc一RPT(
VOS—UINT32 nat—mapping—id; 〃RPT消息該字,爻和對應(yīng)的DEC消息 保持一致
tIPTuple UE—src—IP; 〃 UE在SBC信令NAT映射前的真實(shí)IP
VOS—UINT16 UE—src—PORT; 〃 UE在SBC信令NAT映射前的真
實(shí)端口,若無意義則置O
char* access—interface; 〃設(shè)置為攻擊數(shù)據(jù)流進(jìn)入SBC的接口
2�����、定義防火墻攻擊數(shù)據(jù)流反向遏制接口
如圖6所示�����,信令核心網(wǎng)602包括P-CSCF 6020����、 S-CSCF 6022和 I-CSCF 6024, P-CSCF 6020、 S-CSCF 6022和I-CSCF 6024之間使用SIP 信令進(jìn)行通信����。信令核心網(wǎng)602前置獨(dú)立防火墻604提供防護(hù),實(shí)現(xiàn)信令 和媒體的有效分離����。終端通過用戶接入網(wǎng)絡(luò)606連接到LSW 608,通過LSW 608接入SBC設(shè)備604。
信令核心網(wǎng)602前置防火墻604,通過ACL ( Access Control Lists,存取控制列表)五元組定義過濾規(guī)則�����,根據(jù)過濾規(guī)則提供防護(hù),ACL規(guī)則主
要包括
<src—IP, src—PORT, dst—IP, dst—PORT, transport_type> /*定制特定源地 址/源端口到VOIP核心網(wǎng)接入服務(wù)器的目的地址/目的端口特定傳輸層協(xié) 議類型的合法數(shù)據(jù)流*/;
<src—net work—segment, src一PORT, dst—IP, dst—PORT, transport一type〉 /* 定義特定源地址范圍特定端口到VOIP核心網(wǎng)接入服務(wù)器目的地址/目的端 口特定傳輸層協(xié)議類型的合法數(shù)據(jù)流*/;
<dst—IP���, dst—PORT, transportJype〉嚴(yán)定義到VOIP核心網(wǎng)接入服務(wù)器目 的地址/目的端口特定傳輸層協(xié)議類型的合法數(shù)據(jù)流*/。
通過ACL規(guī)則在不同粒度上的定義�����,防火墻604在網(wǎng)絡(luò)/傳輸層上提 供了對VOIP核心網(wǎng)接入服務(wù)器的數(shù)據(jù)流安全防護(hù)機(jī)制�。
此外,在定義防火墻604攻擊數(shù)據(jù)流反向遏制接口時(shí)々£定防火墻604 支持動(dòng)態(tài)ACL規(guī)則加載和黑名單兩種防攻擊策略����。
并設(shè)定防火墻604攻擊防護(hù)的檢測順序?yàn)樵吹刂穫卧戽鬁y->flooding攻擊防護(hù)- >應(yīng)用層攻擊防護(hù)。
在攻擊防護(hù)方面���,防火墻604主要采用ACL過濾規(guī)則�����、流量控制規(guī)則 和黑名單機(jī)制提供安全防護(hù)��,對于SIP畸形報(bào)文數(shù)據(jù)流�、SIP-flooding攻擊 數(shù)據(jù)流�、UDP-flooding攻擊數(shù)據(jù)流�、業(yè)務(wù)邏輯層面攻擊數(shù)據(jù)流等四大類應(yīng)用 層/業(yè)務(wù)層攻擊���,防火墻604自身不能提供充分防護(hù)�����,需要核心網(wǎng)信令處理 設(shè)備106根據(jù)對攻擊的感知通知防火墻604將特定的攻擊數(shù)據(jù)流列入黑名 單��。
Struct firewall_DEC {
tIPTuple UE_src_IP;〃攻擊數(shù)據(jù)流的源IP
VOS—UINT16 UE—src—PORT; 〃攻擊數(shù)據(jù)流的源端口 ����,在無意義的情 況下置0處理
tIPTuple UE—dst_IP;〃攻擊數(shù)據(jù)流目的IP
VOS—UINT16 UE—dst—PORT; 〃攻擊數(shù)據(jù)流目的端口 �����,在無意義的情況下置O處理
VOS—UINT8 transport—type ; 〃傳輸層協(xié)議類型根據(jù)IP頭protocol 字段取值
VOS一UINT32 block」ype=0; 〃定義攻擊類型��,目前僅支持下列4種/* 若block—type = 0, SB C不執(zhí)行黑名單處理���。
若block—type置1,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行SIP畸形 報(bào)文攻擊�;
若block—type置2,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行SIP flood 攻擊���;
若block—type置3�����,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行UDP flood 攻擊��;
若block—type置4,標(biāo)明VOIP接入服務(wù)器判定UE正在進(jìn)行業(yè)務(wù)邏輯 攻擊����;
Struct firewall-RPT {
tIPTuple UE—src—IP;〃定義同前
VOSJJINT16 UE—src—PORT; 〃定義同前
tIPTuple UE—dst—IP;〃定義同前
VOS—UINT16 UE—dst—PORT; 〃定義同前
VOS—UINT8 transport—type ; 〃定義同前
char* access—interface; 〃設(shè)置為攻擊數(shù)據(jù)流進(jìn)入防火墻的接口
本發(fā)明實(shí)施例中有關(guān)于集成策略控制設(shè)備的攻擊檢測策略的生成和下 發(fā)設(shè)計(jì)如下
在不同的攻擊檢測模塊發(fā)現(xiàn)攻擊并上報(bào)給集成策略控制設(shè)備104后�,
16集成策略控制設(shè)備104分析并獲取攻擊數(shù)據(jù)流來源,并確定其攻擊防護(hù)設(shè)
備102的類型(防火墻/SBC),根據(jù)不同類型的攻擊防護(hù)設(shè)備102,調(diào)用不 同的接口下發(fā)攻擊數(shù)據(jù)流反向遏制策略��。根據(jù)不同的攻擊特征分別討論攻 擊檢測策略的生成和下發(fā)的偽代碼設(shè)計(jì)如下四種情形
1 )����、 SIP畸形報(bào)文纟企測策略生成和下發(fā)
Struct firewall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC—core.block一type = 0;
Struct sbc一DEC sbc一DEC一core;
-刀始葉匕sbc—DEC—core;
fw—DEC_core.block—type = 0;
if (VOIP接入服務(wù)器SIP協(xié)議棧在進(jìn)行SIP消息解碼時(shí)發(fā)現(xiàn)大量SIP 畸形報(bào)文)(
根據(jù)畸形報(bào)文數(shù)據(jù)流源地址確定接入網(wǎng)段;
if (該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備){
確定該畸形報(bào)文數(shù)據(jù)流對應(yīng)的NAT映射表項(xiàng)編號�����;
將該NAT映射表項(xiàng)編號賦值給sbc—DEC—core.sbc—DEC—core;
sbc—DEC一core. alive—time=65 53 5;
sbc—DEC—core.block—type=l;
生成DEC消息并下發(fā)給SBC;
}
else
if(該接入網(wǎng)段和核心網(wǎng)之間存在防火墻設(shè)備){ fw—DEC—core.UE—src—IP-攻擊數(shù)據(jù)流源IP; fw一DEC一core.UE—src—PORT=0; fw—DEC—core.UE—dst—IP-攻擊數(shù)據(jù)流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw—DEC—core.transport—type-攻擊數(shù)據(jù)流傳輸層協(xié)議類型��;fw一DEC—core.block—type=l; 生成DEC消息并下發(fā)給防火墻���;
2)�����、 SIP-flooding檢測策略生成和下發(fā) Struct firewall—DEC fw一DEC一core; 初始化fw—DEC—core; fw_DEC_core .block—type = 0; Struct sbc一DEC sbc—DEC—core; 初始4b sbc—DEC—core; fw—DEC—core.block—type = 0;
if (VOIP接入月l務(wù)器SIP協(xié)議棧在進(jìn)行SIP消息解碼時(shí)發(fā)現(xiàn)SIP flooding攻擊)(
根據(jù)SIP flooding攻擊數(shù)據(jù)流源地址確定接入網(wǎng)4更����;
if (該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備){
確定該SIP flooding數(shù)據(jù)流對應(yīng)的NAT映射表項(xiàng)編號;
將該NAT映射表項(xiàng)編號賦值給sbc—DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=6553 5;
sbc—DEC—core.block—type=2;
生成DEC消息并下發(fā)給SBC;
}
else
if(該接入網(wǎng)段和核心網(wǎng)之間存在防火墻設(shè)備){ fw—DEC—core.UE—srcJP-攻擊數(shù)據(jù)流源IP; fw_DEC_core.UE—src—PORT=0; fw—DEC_core.UE_dst—IP-攻擊數(shù)據(jù)流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw—DEC_core.transport—type-攻擊數(shù)據(jù)流傳輸層協(xié)議類型�����;fw—DEC—core.block—type=2; 生成DEC消息并下發(fā)給防火墻�;
3 )、應(yīng)用層無有效SIP數(shù)據(jù)的UDP-flooding檢測策略生成和下發(fā)
Struct fire wall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC—core, block—type = 0;
Struct sbc一DEC sbc—DEC—core;
初始化sbc—DEC—core;
fw—DEC—core.block一type = 0;
if (VOIP接入服務(wù)器SIP協(xié)議棧在進(jìn)行SIP消息解碼時(shí)發(fā)現(xiàn)應(yīng)用層無 有效SIP數(shù)據(jù)的UDP flooding) {
根據(jù)攻擊數(shù)據(jù)流源地址確定接入網(wǎng)段��;
if (該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備){
確定攻擊數(shù)據(jù)流對應(yīng)的NAT映射表項(xiàng)編號�����;
將該NAT映射表項(xiàng)編號賦值給sbc—DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=65535;
sbc—DEC—core.block—type=3;
生成DEC消息并下發(fā)給SBC;
}
else
if(該接入網(wǎng)段和核心網(wǎng)之間存在防火墻設(shè)備){ fw_DEC—core.UE—src—IP-攻擊數(shù)據(jù)流源IP; fw一DEC,co,re ��,—src—PORT=0; fw—DEC—core.UE_dst—IP-攻擊數(shù)據(jù)流目的IP; fw_DEC_core.UE—dst—PORT=0;
fw一DEC—core.transportJype-攻擊數(shù)據(jù)流傳輸層協(xié)議類型�;fw一DEC—core.block—type=3; 生成DEC消息并下發(fā)給防火墻;
4)��、業(yè)務(wù)邏輯層面攻擊檢測策略生成和下發(fā)
Struct firewall—DEC fw—DEC—core;
初始化fw—DEC—core;
fw—DEC_core.block—type = 0;
Struct sbc—DEC sbc_DEC—core;
初始4匕sbc—DEC—core;
fw_DEC—core .block—type = 0;
if (VOIP接入服務(wù)器發(fā)現(xiàn)基于SIP的業(yè)務(wù)邏輯攻擊){
根據(jù)攻擊數(shù)據(jù)流源地址確定接入網(wǎng)段;
if (該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備){
確定攻擊數(shù)據(jù)流對應(yīng)的NAT映射表項(xiàng)編號��;
將該NAT映射表項(xiàng)編號賦值給sbc_DEC—core.sbc—DEC—core;
sbc—DEC—core.alive—time=6553 5;
sbc—DEC—core.block_type=4;
生成DEC消息并下發(fā)給SBC;
}
else
if(該接入網(wǎng)段和核心網(wǎng)之間存在防火墻設(shè)備)( fw—DEC—core.UE—src—IP-攻擊數(shù)據(jù)流源IP; fw_DEC—core.UE—src—PORT=0; fw—DEC_core.UE—dst—IP-攻擊數(shù)據(jù)流目的IP; fw—DEC—core.UE—dst—PORT=0;
fw_DEC—core .transport一type-攻擊數(shù)據(jù)流傳#T層協(xié)議類型�����; fw—DEC—core.block—type=4;生成DEC消息并下發(fā)給防火墻�����;
在上述1 )至4)中�,集成策略控制設(shè)備104需要獲取系統(tǒng)配置信息��, 對收到的SIP消息網(wǎng)絡(luò)層源地址和預(yù)配置的源地址范圍進(jìn)行匹配�����,依次判 斷出與核心網(wǎng)信令處理設(shè)備連接的接入網(wǎng)是防火墻還是SBC�。
其中的發(fā)送給防火墻DEC消息至少包含(攻擊數(shù)據(jù)流的源IP、目的 IP�����、以及傳輸層協(xié)議類型)���,發(fā)送給SBC的DEC包括NAT映射表編號�����, 集成策略控制設(shè)備能從SIP解析模塊和檢測模塊得到對防火墻的信息�,但 對SBC的信息需要進(jìn)一步和信令處理模塊交互。
本發(fā)明實(shí)施例中的防火墻/SBC的攻擊遏制方法如下
根據(jù)核心網(wǎng)信令處理設(shè)備106下發(fā)的攻擊檢測策略�,防火墻/SBC對攻 擊數(shù)據(jù)進(jìn)行扼流操作。
1)�、防火墻對攻擊數(shù)據(jù)的遏流
Struct firewall—DEC fw—DEC—1;
初始化fw一DEC一l;
If (fw—DEC一l .block—type !=0) {
If (fw—DEC—l.UE—src—PORT!=0 && fw—DEC—l.UE—dst—PORT!=0){ 根據(jù)五元組<fw—DEC—l.UE—src—IP, fw—DEC—l.UE—src—PORT,
fw—DEC—1 .UE—dst_IP���, fw_DEC_l .UE—dst—PORT, fw_DEC—1 .transport—type
>將攻擊數(shù)據(jù)流置入黑名單�����;
Else if (fw—DEC—1. UE—dst一PORT!,
根據(jù)四元組< fw_DEC—l.UE—src—IP, fw—DEC—1 .UE—dst_IP��, fw—DEC—1 .UE_dst_PORT, fw_DEC—1 .transport—type〉將攻擊數(shù)據(jù)流置入黑 名單����;
Else {根據(jù)三元組< fw—DEC—l.UE—src—IP, fw—DEC—l.UE—dst—IP��, fw—DEC_1 .transport—type〉將攻擊數(shù)據(jù)流置入黑名單�;
生成RPT消息并上才艮; }
2)、 SBC對攻擊數(shù)據(jù)流的扼流 Struct sbc一DEC sbc—DEC—1; 初始化sbc—DEC—1; If (sbc—DEC—1.alive—time==65535) { If (sbc—DEC—l.block—type !=0){
在NAT映射表中查找表項(xiàng)編號為sbc DEC l.nat —mapping—id的表項(xiàng)并 獲取其NAT映射前的 <源IP �,源port>; 將該源IP列入黑名單; 生成RPT消息并上凈艮�;
根據(jù)該DEC消息<源IP地址,源端口>二元組對對應(yīng)NAT映射表項(xiàng)進(jìn) 行老化處理���;
在本發(fā)明實(shí)施例中��,集成策略控制設(shè)備104根據(jù)獲取的攻擊數(shù)據(jù)流的特 征信息�����,生成反向遏制策略����,攻擊防護(hù)設(shè)備102根據(jù)集成策略控制設(shè)備104 生成的反向遏制策略對發(fā)送到核心網(wǎng)信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處 理�,進(jìn)行反向遏制���,從而實(shí)現(xiàn)了對信令核心網(wǎng)的有效防護(hù)���。
如圖7所示,為本發(fā)明實(shí)施例提出的一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖�,網(wǎng)絡(luò)設(shè)備7 包括
獲取模塊71,用于獲取攻擊數(shù)據(jù)流的特征信息。參考圖3,攻擊檢測設(shè) 備302的SIP消息解析模塊3020對接收的SIP消息進(jìn)行解析,然后�����,攻擊檢 測設(shè)備302的各檢測模塊檢測該SIP消息中的攻擊數(shù)據(jù)流���。進(jìn)而��,獲取模塊 71可以獲取攻擊檢測設(shè)備302檢測到的攻擊數(shù)據(jù)流的特征信息��。策略生成模塊72��,用于才艮據(jù)獲取模塊71獲取的特征信息生成反向遏制策
略���。該攻擊數(shù)據(jù)流的特征信息可以包括攻擊數(shù)據(jù)流的源地址和攻擊類型等。 其中�����,該攻擊類型可以為畸形報(bào)文攻擊或flooding攻擊等��。具體可以為
根據(jù)所述攻擊數(shù)據(jù)流攜帶的源地址判斷所述攻擊數(shù)據(jù)流的接入網(wǎng)段�,當(dāng) 該接入網(wǎng)段與核心網(wǎng)之間存在SBC信令NAT設(shè)備時(shí),根據(jù)所述攻擊數(shù)據(jù)流的 特征信息生成特定的反向遏制策略�����,所述特定的反向遏制策略可以包括攻擊 數(shù)據(jù)流的源網(wǎng)際協(xié)議IP地址、目的IP地址�、以及傳輸層協(xié)議類型等信息;當(dāng) 所述接入網(wǎng)段與核心網(wǎng)之間存在防火墻設(shè)備時(shí)��,根據(jù)所述攻擊數(shù)據(jù)流的特征 信息生成特定的反向遏制策略����,所述特定的反向遏制策略可以是包括網(wǎng)絡(luò)地 址轉(zhuǎn)換NAT映射表編號信息等。
發(fā)送模塊73�����,用于將策略生成模塊22生成的反向遏制策略發(fā)送到攻擊防 護(hù)設(shè)備102�����。
進(jìn)一步地�����,該網(wǎng)絡(luò)設(shè)備7還可以包括
輸出模塊74��,用于將攻擊防護(hù)設(shè)備102反饋的攻擊數(shù)據(jù)流的攻擊信息輸 出到存儲(chǔ)單元108�。
該網(wǎng)絡(luò)設(shè)備的類型可以是集成策略控制設(shè)備104等。 上述網(wǎng)絡(luò)設(shè)備�����,策略生成模塊72根據(jù)獲取模塊71獲取的特征信息生成 反向遏制策略���,發(fā)送模塊73將策略生成模塊22生成的反向遏制策略發(fā)送到 攻擊防護(hù)設(shè)備���,以供攻擊防護(hù)設(shè)備102根據(jù)該反向遏制策略對發(fā)送到核心網(wǎng) 信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理,進(jìn)行反向遏制����,實(shí)現(xiàn)了對信令核 心網(wǎng)的有承1防護(hù)。
如圖8所示���,為本發(fā)明實(shí)施例提出的另一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖�,該網(wǎng)絡(luò) 設(shè)備具體可以是攻擊防護(hù)設(shè)備�,包括
接收模塊81,用于接收來自集成策略控制設(shè)備104的反向遏制策略,該 反向遏制策略由集成策略控制設(shè)備104根據(jù)該集成策略控制設(shè)備104獲取的 攻擊數(shù)據(jù)流的特征信息生成����;
反向遏制模塊82,用于根據(jù)接收模塊81接收的反向遏制策略對發(fā)送到核 心網(wǎng)信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理,進(jìn)行反向遏制����。進(jìn)一步地�����,該攻擊防護(hù)設(shè)備還可以包括
反饋模塊83,用于向集成策略控制設(shè)備反饋攻擊數(shù)據(jù)流的攻擊信息�����。 本發(fā)明實(shí)施例的攻擊防護(hù)設(shè)備的類型包括防火墻設(shè)備或SBC等��。 上述網(wǎng)絡(luò)設(shè)備��,反向遏制模塊82根據(jù)接收模塊81接收的反向遏制策略 對發(fā)送到核心網(wǎng)信令處理設(shè)備106的數(shù)據(jù)流執(zhí)行過濾處理��,進(jìn)行反向遏制����, 有效遏制了攻擊數(shù)據(jù)流����,實(shí)現(xiàn)了對信令核心網(wǎng)的有效防護(hù)。
本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊的方法�����、系統(tǒng)及裝置�,集成策略控 制設(shè)備根據(jù)獲取的攻擊數(shù)據(jù)流的特征信息,生成反向遏制策略���,攻擊防護(hù)設(shè) 備根據(jù)集成策略控制設(shè)備生成的反向遏制策略對發(fā)送到核心網(wǎng)信令處理設(shè)備 的數(shù)據(jù)流執(zhí)行過濾處理����,進(jìn)行反向遏制�,從而實(shí)現(xiàn)了對信令核心網(wǎng)的有效防 護(hù)。
通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過硬件實(shí)現(xiàn),也可以可借助軟件加必要的通用硬件平臺的方式來實(shí) 現(xiàn)基于這樣的理解���,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該 軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM, U盤,移動(dòng) 硬盤等)中���,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�����, 服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖����,附圖中的 模塊或流程并不一定是實(shí)施本發(fā)明所必須的。
本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述 進(jìn)行分布于實(shí)施例的裝置中�����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一 個(gè)或多個(gè)裝置中���。上述實(shí)施例的模塊可以合并為一個(gè)模塊����,也可以進(jìn)一步拆 分成多個(gè)子模塊�。
以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是�����,本發(fā)明并非局限于此�����, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1�、一種防止網(wǎng)絡(luò)攻擊的方法,其特征在于�,包括接收來自集成策略控制設(shè)備的反向遏制策略,所述反向遏制策略由所述集成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息生成��;根據(jù)所述反向遏制策略對發(fā)送給核心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾處理���,進(jìn)行反向遏制。
2�����、 如權(quán)利要求1所述的方法�,其特征在于,所述攻擊數(shù)據(jù)流的類型包括 會(huì)議初始化協(xié)議SIP畸形報(bào)文數(shù)據(jù)流�、或攻擊數(shù)據(jù)流SIP-flooding、或用戶數(shù)據(jù)報(bào)文協(xié)議UDP- flooding攻擊數(shù)據(jù)流�����、或業(yè)務(wù)邏輯層面攻擊數(shù)據(jù)流�。
3、 如權(quán)利要求1所述的方法�,其特征在于,所述反向遏制策略由所述集 成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息生 成包括所述集成策略控制設(shè)備根據(jù)所述攻擊數(shù)椐流攜帶的源地址識別所述攻擊 數(shù)據(jù)流的接入網(wǎng)段;當(dāng)所述接入網(wǎng)段與核心網(wǎng)之間存在^:舌邊界控制器SBC信令網(wǎng)絡(luò)地址轉(zhuǎn) 換NAT設(shè)備時(shí)�����,所述反向遏制策略由所述集成策略控制設(shè)備根據(jù)所述攻擊數(shù) 據(jù)流的特征信息生成�����。
4���、 如權(quán)利要求1至3任意一項(xiàng)所述的方法���,其特征在于,所述反向遏制 策略包括攻擊數(shù)據(jù)流的源網(wǎng)際協(xié)議IP地址��、或目的IP地址�����、或傳輸層協(xié)議 類型信息���。
5����、 如權(quán)利要求l所述的方法,其特征在于�����,所述反向遏制策略由所述集 成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息生 成包括所述集成策略控制設(shè)備根據(jù)所述攻擊數(shù)據(jù)流攜帶的源地址判斷所述攻擊 數(shù)據(jù)流的接入網(wǎng)^:;當(dāng)所述接入網(wǎng)段與核心網(wǎng)之間存在防火墻設(shè)備時(shí)��,所述反向遏制策略由 所述集成策略控制設(shè)備根據(jù)所述攻擊數(shù)據(jù)流的特征信息生成�。
6、 如權(quán)利要求5所述的方法�,其特征在于�,所述反向遏制策略包括網(wǎng) 絡(luò)地址轉(zhuǎn)換NAT映射表編號信息。
7�����、 如權(quán)利要求l所述的方法�����,其特征在于�,所述接收來自集成策略控制 設(shè)備的反向遏制策略之前還包括所述集成策略控制設(shè)備通過預(yù)置特定類型的攻擊數(shù)據(jù)流的特定接口 ,接 收所述攻擊數(shù)據(jù)流的特征信息����,根據(jù)所述攻擊數(shù)據(jù)流的特征信息生成反向遏 制策略。
8、 如權(quán)利要求l所述的方法�����,其特征在于�,還包括所述集成策略控制 設(shè)備將攻擊防護(hù)設(shè)備反饋的所述攻擊數(shù)據(jù)流的攻擊信息存儲(chǔ)到安全日志設(shè) 備,以記錄所述攻擊數(shù)據(jù)流的攻擊行為����。
9、 一種網(wǎng)絡(luò)系統(tǒng)�,其特征在于,包括核心網(wǎng)信令處理設(shè)備�����、集成策略控 制設(shè)備��、攻擊防護(hù)設(shè)備�;其中,所述集成策略控制設(shè)備����,用于獲取攻擊數(shù)據(jù)流的特征信息,根據(jù)所述特 征信息生成反向遏制策略����,將所述反向遏制策略發(fā)送給所述攻擊防護(hù)設(shè)備�;所述攻擊防護(hù)設(shè)備�,用于接收來自所述集成策略控制設(shè)備的反向遏制策 略,根據(jù)所述反向遏制策略對發(fā)送給所述核心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行 過濾處理����,進(jìn)行反向遏制;核心網(wǎng)信令處理設(shè)備�����,用于接收來自所述攻擊防護(hù)設(shè)備的經(jīng)過過濾處理 的數(shù)據(jù)���。
10、 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,還包括存儲(chǔ)單元�����,用于存 儲(chǔ)所述攻擊數(shù)據(jù)流的攻擊行為信息��。
11、 一種網(wǎng)絡(luò)設(shè)備��,其特征在于�����,包括獲取模塊�、策略生成模塊、發(fā)送模塊�����;其中�,所述獲取模塊,用于獲取攻擊數(shù)據(jù)流的特征信息���; 所述策略生成模塊����,用于根據(jù)所述獲取模塊獲取的特征信息生成特定的 反向遏制策略�����;所述發(fā)送模塊�����,用于將所述策略生成模塊生成的反向遏制策略發(fā)送到攻 擊防護(hù)設(shè)備。
12���、 如權(quán)利要求11所述網(wǎng)絡(luò)設(shè)備�����,其特征在于�����,還包括輸出模塊����,用于將所述攻擊防護(hù)設(shè)備反饋的攻擊數(shù)據(jù)流的攻擊信息輸出 到安全日志設(shè)備���。
13、 一種網(wǎng)絡(luò)設(shè)備�,其特征在于,包括接收模塊���,用于接收來自集成策略控制設(shè)備的反向遏制策略����,所述反向 遏制策略由所述集成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù) 據(jù)流的特征信息生成;反向遏制模塊�����,用于根據(jù)所述接收模塊接收的反向遏制策略對發(fā)送給核 心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾處理�����,進(jìn)行反向遏制����。
14、 如權(quán)利要求13所述網(wǎng)絡(luò)設(shè)備���,其特征在于���,還包括 反饋模塊,用于向所述集成策略控制設(shè)備反饋攻擊數(shù)據(jù)流的攻擊信息�����。.
15�����、 如權(quán)利要求13所述網(wǎng)絡(luò)設(shè)備,其特征在于�����,所述網(wǎng)絡(luò)設(shè)備的類型包 括防火墻設(shè)備或會(huì)話邊界控制器SBC��。
全文摘要
本發(fā)明實(shí)施例公開一種防止網(wǎng)絡(luò)攻擊的方法���、系統(tǒng)及設(shè)備��,所述防止網(wǎng)絡(luò)攻擊的方法包括接收來自集成策略控制設(shè)備的反向遏制策略���,所述反向遏制策略由所述集成策略控制設(shè)備根據(jù)所述集成策略控制設(shè)備獲取的攻擊數(shù)據(jù)流的特征信息生成;根據(jù)所述反向遏制策略對發(fā)送給核心網(wǎng)信令處理設(shè)備的數(shù)據(jù)流執(zhí)行過濾處理����,進(jìn)行反向遏制。本發(fā)明實(shí)施例提供的防止網(wǎng)絡(luò)攻擊的方法���、系統(tǒng)及裝置,有效地遏制了攻擊數(shù)據(jù)流持續(xù)進(jìn)入到核心網(wǎng)信令處理設(shè)備����,實(shí)現(xiàn)了對信令核心網(wǎng)的有效防護(hù)��。
文檔編號H04L29/08GK101321173SQ20081013224
公開日2008年12月10日 申請日期2008年7月21日 優(yōu)先權(quán)日2008年7月21日
發(fā)明者平 吳, 喆 張, 朱玉輝, 王胤宗, 武 趙, 斌 陳 申請人:華為技術(shù)有限公司