[发明专利]一种IMS网络监测方法、设备及系统

说明书

技术领域

本发明涉及一种IMS网络，尤其涉及一种IMS网络监测方法、设备及系统。

背景技术

Gm接口是IP多媒体子系统(IP Multimedia Subsystem，以下简称IMS)网络中用于用户终端(User Equipment，简称UE)和IMS之间的通信的接口。该接口采用SIP协议，其主要功能包括：(1)IMS用户注册和鉴权；(2)IMS用户的会话控制；(3)IMS用户的处理过程。

在注册过程中，UE使用Gm参考点发送注册请求给IMS网络的外部接口，该注册请求包含UE支持的安全机制的指示。在注册过程中，UE为其自身的鉴权与网络的鉴权需要交换必要的参数，获得固有的已注册的用户身份，协商与代理呼叫会话控制功能(Proxy Call Session Control Function，简称P-CSCF)的安全关联的必要参数，还可能启动SIP压缩。另外，如果网络侧发起注册剥离或者网络发起的重新鉴权时，需要Gm参考点通知UE。

现有对IMS网络的威胁主要有：

(1)来自成功注册用户的SIP消息轰炸

一些恶意用户用一些设备不停的向IMS网络发送INVITE、Register、100trying、180ringing或者200OK等消息，它们并不针对任何的SIP请求，所以把它们发送到IMS网络是没有意义的，只会增加接口设备P-CSCF的CPU处理负担，甚至降低P-CSCF的服务能力。

当前的设备主要针对非可信用户的SIP消息轰炸，保证其他用户的正常通信，但是成功注册的用户也可以运用类似群呼器的机制，对网络造成SIP轰炸威胁。如图1所示，一个IMS用户群呼其它IMS用户，发送INVITE消息。该消息对IMS网络接口设备造成较大的CPU负载，影响接口设备的正常工作，进而对IMS网络或者其他用户的正常通信造成威胁；

(2)振铃立即挂断

如图2所示，一个IMS用户拨打其它IMS用户，发送INVITE消息；被叫侧振铃，发送180ringing消息；主叫在用户摘机之前挂机，发送cancel消息，结束本次会话。这种情形有可能会被恶意用户所利用，或许会采用循环的方式，不停的拨打其他用户，当其他用户回拨的时候，恶意用户可以通过设置或其他的一些方式，让来电转接到他的服务设备上，以此来收取较高的话费；

(3)畸形包的轰炸

畸形包是有可能造成安全威胁的一个重要的因素之一。一些恶意用户不停的向网络发送畸形SIP消息。国际上的一些组织很早就对各种各样的畸形包做了研究，其中一个业界普遍认可的测试SIP协议安全性的方法是由Oulu大学电子和信息工程系所发布的、免费可用的PROTOS测试套件：c07-sip。在这个测试套件中，定义了很多的畸形INVITE消息。该消息对IMS网络接口设备造成较大的CPU负载，影响接口设备的正常工作，进而对IMS网络或者其他用户的正常通信造成威胁。

UE和P-CSCF之间建立安全联盟(SA)虽然能对用户的注册和身份认证提供一定程度的保护，对非信任用户起到了一定的隔离作用，但是不论是通过鉴权的用户还是未通过鉴权的用户，都有可能向网络或者其他用户发起类似的威胁，Gm接口为了处理这些消息，就很有可能占用P-CSCF较多的CPU负担，甚至造成IMS网络服务能力的下降。目前的网络设备只能最大限度的保证运行不至于崩溃，但对正常注册用户发起的威胁还没有一个有效的检测机制。

发明内容

本发明的第一目的在于，提供一种IMS网络监测方法，可以对正常注册用户发起的威胁进行监测，保障IMS网络的安全。

本发明的第二目的在于，提供一种IMS网络监测设备，可以对正常注册用户发起的威胁进行监测，保障IMS网络的安全。

本发明的第三目的在于，提供一种IMS网络控制系统，可以对正常注册用户发起的威胁进行监测，保障IMS网络的安全。

根据本发明的第一目的，提供一种IMS网络监测方法，采集同一终端在一段时间内发送和/或接收的SIP消息；对所述终端发送和/或接收的SIP消息的数量进行统计；根据统计结果确定所述终端是否为恶意终端，当确定所述终端为恶意终端时，屏蔽所述终端发送的SIP消息。

根据本发明的第二目的，提供一种IMS网络监测设备，采集模块，用于采集同一终端在一段时间内发送和/或接收的SIP消息；统计模块，用于统计所述SIP消息的数量；分析模块，用于根据所述SIP消息的数量确定所述终端是否为恶意终端；处理模块，用于当取定所述终端为恶意终端时，屏蔽所述终端发送的SIP消息。