[发明专利]对不完整会话攻击进行检测的方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种对基于SIP(会话起始协议，Session Initiatjon Protocol)协议的不完整会话攻击进行检测的方法和装置。

背景技术

以SIP协议为基础的IMS(IP Multimedia Subsystem，IP多媒体子系统)/NGN(Next Generation Network，下一代网络)解决方案，面对着很多传统电信网络所没有经历的安全威胁。

IMS/NGN解决方案的业务逻辑相对复杂，用户和用户、用户和网络之间特定的业务实现需要在用户和网络侧建立状态，并在状态转移的过程中进行资源分配。在SIP信令层面上，攻击者发起SIP请求，要求通信对端(网络侧或另一用户)分配资源并建立状态，但攻击者并不对通信对端的响应消息进行处理，也不进行真正的资源分配，通信对端的状态和资源分配将一直保留到本次会话超时。攻击者通过发起大量不能完成的会话，造成通信对端的信令处理能力的大量消耗，形成资源耗尽型DoS(Denial of service，拒绝服务)攻击，且无法为网络侧成功计费，这种攻击方法称之为基于SIP的不完整会话攻击。

上述不完整会话攻击中的SIP请求主要包括：REGISTER(注册)请求和INVITE(邀请)请求，其中REGISTER请求对攻击者的要求为已注册合法用户身份、未注册合法用户或未注册非法用户，INVITE请求对攻击者的要求为已注册合法用户身份。

现有技术中的一种对上述基于SIP的解决方案中的不完整会话攻击进行防护的方法为：

由于上述不完整会话攻击实质上是一种flooding(流量式)型的攻击，该方案通过防火墙设备来检测和防护基于flooding的DoS攻击以及上述不完整会话攻击，通过配置防火墙设备的ACL(Access Control List，访问控制列表)流量规则，对于超过流量阀制的数据流实施过滤。对于基于flooding的DoS攻击能够提供有效的防护。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

由于基于SIP的不完整会话攻击的资源消耗能力基于会话超时前大量处于“会话建立中”状态的SIP请求的累积，上述不完整会话攻击可以在不明显违背防火墙设备的ACL流量规则的前提下，通过相对慢速的SIP请求来消耗资源。因此，该方案中的防火墙设备并不能有效地检测出基于SIP的不完整会话攻击，也不能对基于SIP的不完整会话攻击进行有效地防护。

发明内容

本发明的实施例提供了一种对不完整会话攻击进行检测的方法和装置，以有效地检测出基于SIP的不完整会话攻击。

一种对不完整会话攻击进行检测的方法，包括：

获取在一个不完整会话攻击的检测周期内，用户发起的会话初始请求数量和收到的成功建立会话的响应数量；

根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击。

一种对不完整会话攻击进行检测的方法，包括：

确定用户发起的处于会话建立中的会话总数，所述处于会话建立中的会话类型包括：已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话；

判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值，如果是，则确定所述用户发起了不完整会话攻击。

一种网络装置，包括：

获取模块，用于获取在一个不完整会话攻击的检测周期内，用户发起的会话初始请求数量和收到的成功建立会话的响应数量；

判断处理模块，用于根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击。

一种网络装置，包括：

会话总数确定模块，用于确定用户发起的处于会话建立中的会话总数，所述会话建立中的会话类型包括：已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话；

会话处理模块，用于判断所述处于会话建立中状态的会话总数是否大于预先设定的第三阀值，如果是，则确定所述用户发起了不完整会话攻击。

一种网络系统，包括：所述的网络装置和用户设备，

所述用户设备，用于使用户通过该用户设备发起会话初始请求；