[发明专利]IMS网络SIP洪泛攻击的检测装置及方法

权利要求书

1.一种IMS网络SIP洪泛攻击的检测装置，其特征在于，该检测装置部署于网络架构网元实体前，用于实时提取并检测SIP消息中的洪泛攻击；该检测装置包含：参数提取模块、预警分析模块和检测告警模块，其中，

参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，并对该多个计数器进行初始化；

预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；

检测告警模块，用于根据预警分析结果发出洪泛攻击告警；

所述的预警分析模块包含会话ID分析子模块、消息类型参数分析子模块、用户名参数分析子模块和状态机创建子模块，其中，

会话ID分析子模块，用于将提取到的会话ID与所有用户状态机进行匹配，匹配成功，则触发匹配消息类型参数分析子模块，否则，触发用户名参数分析子模块；

消息类型参数分析子模块，用于将提取到的消息类型参数与所有用户状态机进行匹配，若匹配成功，则判定存在相同SIP消息，相同消息计数器计数，并通过该计数器数值与预设相同消息阈值进行比对，根据比对情况获取预警分析结果；否则，相同会话ID消息计数器计数，并通过该计数器数值与预设相同会话ID消息阈值进行比对，根据比对情况获取预警分析结果；

用户名参数分析子模块，用于将提取到的用户名参数与所有用户状态机进行匹配，若匹配成功，相同用户消息计数器计数，并根据该计数器数值与相同用户消息阈值进行比对，根据比对情况获取预警分析结果；否则，触发状态机创建子模块；

状态机创建子模块，用于创建新的状态机，并将提取到的字段参数写入该新创建的状态机中，且计数器均进行清零处理。

2.根据权利要求1所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的检测告警模块包含告警拦截子模块和状态机超时处理子模块，其中，

告警拦截子模块，用于依据预警分析结果，对超过设定阈值的情形进行告警并拦截消息；对未超过设定阈值的情形，则触发状态机超时处理子模块；

状态机超时处理子模块用于对所有状态机进行扫描，并依据状态机创建时间、当前时间点及预设时间段来判定状态机超时状态，依据判定结果对状态机进行超时处理操作。

3.根据权利要求2所述的IMS网络SIP洪泛攻击的检测装置，其特征在于，所述的状态机超时处理子模块包含状态机删除单元、计数器清零单元和返回处理单元，其中，

状态机删除单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设删除处理时间段阈值进行比对，若大于该阈值，则对该状态机进行删除处理，否则，触发返回处理单元；

计数器清零单元，用于依据状态机创建时间及当前时间点两者之间的时间长度与预设清零处理时间段阈值进行比对，若大于该阈值，则对所有计数器进行清零，触发返回处理单元，否则，直接触发返回处理单元；

返回处理单元，用于返回并触发参数提取模块，进行下一条SIP消息处理。