【技術實現步驟摘要】
本專利技術涉及數字信息傳輸,具體涉及一種基于sip的網絡攻擊多級檢測及溯源方法、系統、設備、介質。
技術介紹
0、技術背景
1、在當下網絡環境中,基于sip的voip應用正變得越來越普及,其低成本和豐富的功能為通信用戶帶來了便利。然而,隨著voip網絡的業務擴展,它也面臨著日益嚴峻的安全挑戰,尤其是dos(denial?ofservice,拒絕服務)攻擊。dos攻擊通過耗盡網絡資源,使得合法用戶無法使用服務,對voip網絡的穩定性和可靠性構成了嚴重威脅。
2、sip(session?initiation?protocol,會話發起協議)是基于文本的協議,側重于易用性和靈活性,然而其安全性并未得到充分考慮。這導致sip網絡容易受到多種攻擊,包括信令鏈路攻擊、畸形消息攻擊和dos攻擊等網絡常見攻擊。
3、而在voip面臨各種攻擊時,溯源攻擊者發出的攻擊呼叫也是十分重要的,以便采取相應的防護措施和建立防御規則。通過分析和識別通信流量中的特征和模式,將相關的通信會話進行關聯,提供對攻擊呼叫的全面的溯源能力,將為voip的安全防護提供更加高效的解決方案。
4、為了應對這些挑戰,現有的安全機制主要依賴于認證和加密技術。認證技術如http摘要認證主要用于驗證sip網絡節點的合法性和有效性,而加密技術如ipsec、tls和s/mime等則致力于確保sip消息在網絡上的安全傳輸。盡管這些機制在防御網絡篡改和注冊劫持等方面發揮了作用,但對于dos攻擊的防御能力卻顯得力不從心,因此,深入研究sip安全機
5、在sip?dos攻擊檢測的研究領域,已有多種方法被提出。例如,基于信息熵的檢測算法通過分析流量中ip、端口、消息數目等變量的分布規律變化來發現異常,而基于相對熵的檢測算法則通過測量兩個隨機序列之間的相似程度來檢測dos攻擊。此外,還有研究者提出了基于組消息平衡的檢測算法和基于排隊論的防御方法,以及利用深度學習的分層網絡攻擊識別與未知攻擊檢測方法。
6、傳統的攻擊溯源方法通常依賴于日志記錄、包標記技術以及主動感知數據。基于日志記錄的溯源方法通過分析網絡設備如路由器、防火墻等來追蹤攻擊源,但存儲開銷較大,且在高速網絡中可能因為日志覆蓋問題而導致信息丟失,同時日志的分析和處理也比較復雜和耗時。基于包標記技術的溯源通過在數據包上標記路徑信息來追蹤攻擊,但這些信息可能會收到攻擊者篡改標記的影響,且在海量網絡流量環境下,標記可能會被覆蓋。基于主動感知數據的溯源方法通過主動部署的傳感器和蜜罐等設備手機網絡中的異常行為數據,
7、然而,盡管已有研究取得了一定的進展,但現有技術在檢測準確率、實時性、自動化程度以及現實應用性方面仍有待提高。
技術實現思路
1、本專利技術設計一個在voip應用環境下,基于sip的網絡攻擊多級檢測及溯源方法系統、設備、介質。具體技術方案如下:
2、第一方面,一種基于sip的網絡攻擊多級檢測及溯源方法,包括如下過程:
3、s100:流量采集與過濾;具體包括:
4、s110:在語音網絡交換機附近流經節點部署服務器,通過設置捕獲接口、鏡像端口、網絡抓包的方式采集語音網絡交換機鏡像流量,進行多尺度流量捕獲;
5、s120:通過配置流量捕獲過濾器,完成對捕獲流量的預處理過程,以及對原始呼叫流量數據進行清洗、轉換和篩選,以便為后續的流量分析和處理提供更準確、高效的數據;
6、s200:利用網絡流量分析工具,對捕獲的流量進行多維度廣域分析,提取關鍵通話特征;通過設定特定協議,過濾并分析呼叫相關數據;進一步計算通話質量指標,并統計通話類型和數據傳輸量,為網絡流量和通話質量分析提供全面框架;
7、s300:建立redis數據庫,使用redis對上一步獲取的特征數據進行保存和關聯,將不同維度的流量緩存和分析數據分別轉發至redis的不同stream結構中進行高效緩存;
8、s400:會話關聯與溯源;將redis的stream中特征數據進行歸類、整理,形成流量信息關聯表,表中包括如用戶call-id、主叫/被叫手機號、會話開始/結束時間等與會話發起與中間過程相關的具體信息;
9、s500:面向信令鏈路攻擊和畸形消息攻擊檢測;具體包括:
10、通過一組基于規則的檢測及過濾規則,對異常sip流量進行面向信令鏈路攻擊和畸形消息的攻擊過濾和阻斷,快速識別和組織一些基于文本篡改的常見網絡攻擊;
11、s600:面向sip的dos攻擊檢測;具體包括:根據流量信息關聯表中地區等會話特征字段在sip網絡內的數據,方法構建面向sip的dos攻擊融合檢測規則。
12、第二方面,一種基于sip的網絡攻擊多級檢測及溯源系統,所述系統包括:
13、流量采集與過濾模塊,用于進行多尺度流量捕獲,并對原始呼叫流量數據進行清洗、轉換和篩選;
14、報文處理與檢查模塊,用于對預處理后的流量報文進行分析和特征提取;
15、redis數據庫模塊,用于對實時流量中提取到的特征數據進行保存和關聯,也作為實時威脅數據向數據庫持久化保存之間的動態緩沖;
16、會話關聯與溯源模塊,用于從redis數據庫模塊的stream中讀取流量特征,將特征數據進行歸類、整理,形成流量信息關聯表;
17、面向信令鏈路攻擊和畸形消息攻擊檢測模塊,用于對異常sip流量進行面向信令鏈路攻擊和畸形消息的攻擊過濾和阻斷,快速識別和組織一些基于文本篡改的常見網絡攻擊;
18、面向sip的dos攻擊檢測模塊,用于面向sip的dos攻擊檢測。
19、第三方面,一種電子設備,包括:
20、存儲器,用于存儲計算機程序指令;處理器,用于執行所述計算機程序指令從而完成上述的一種基于sip的網絡攻擊多級檢測及溯源方法。
21、第四方面,一種計算機可讀存儲介質,用于存儲計算機可讀取的計算機程序指令,所述計算機程序指令被配置為運行時執行上述的一種基于sip的網絡攻擊多級檢測及溯源方法。
22、本專利技術具有以下優點:
23、本專利技術提供一種基于sip的網絡攻擊多級檢測及溯源方法,通過在終端軟交換語音網絡中部署一個綜合的檢測框架,能夠在接收sip流量時,有效地進行信令鏈路攻擊和畸形消息攻擊的字段檢查,并通過多級檢測機制,提高對dos攻擊的檢測準確率和響應速度。
24、此外,本方法引入了基于兩級哈希的會話關聯技術,以實現對攻擊會話的端到端溯源。
25、綜上所述,本專利技術可以實現對終端軟交換語音網絡中的基于sip的網絡攻擊異常流量的識別、溯源與流量告警,滿足voip通信網絡中異常流量檢測與溯源的時效性與準確性,為網絡運營商和安全專家提供一種有效的工具,提升voip網絡的安全性。
本文檔來自技高網...【技術保護點】
1.一種基于SIP的網絡攻擊多級檢測及溯源方法,其特征在于,包括如下過程:
2.一種基于SIP的網絡攻擊多級檢測及溯源方法,其特征在于,所述S200具體包括如下過程:
3.一種基于SIP的網絡攻擊多級檢測及溯源方法,其特征在于,所述S300具體包括如下過程:
4.一種基于SIP的網絡攻擊多級檢測及溯源方法,其特征在于,所述S400具體包括如下過程:
5.根據權利要求1所述一種基于SIP的網絡攻擊多級檢測及溯源方法,所述S600具體包括:
6.實現權利要求1所述網絡攻擊多級檢測及溯源方法的一種基于SIP的網絡攻擊多級檢測及溯源系統,其特征在于,所述系統包括:
7.一種電子設備,其特征在于,包括:
8.一種計算機可讀存儲介質,用于存儲計算機可讀取的計算機程序指令,其特征在于,所述計算機程序指令被配置為運行時執行如權利要求1-5任何一項所述的一種基于SIP的網絡攻擊多級檢測及溯源方法。
【技術特征摘要】
1.一種基于sip的網絡攻擊多級檢測及溯源方法,其特征在于,包括如下過程:
2.一種基于sip的網絡攻擊多級檢測及溯源方法,其特征在于,所述s200具體包括如下過程:
3.一種基于sip的網絡攻擊多級檢測及溯源方法,其特征在于,所述s300具體包括如下過程:
4.一種基于sip的網絡攻擊多級檢測及溯源方法,其特征在于,所述s400具體包括如下過程:
5.根據權利要求1所述一種基于sip的...
【專利技術屬性】
技術研發人員:王殊,徐李陽,王晨飛,徐胤,陳龍,李慧芹,
申請(專利權)人:國家電網有限公司客戶服務中心,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。