论文部分内容阅读
【摘要】IMS在3G系统中的运用解决了目前软交换技术还无法解决的问题使得全IP网络的实现成为可能,然而它的一如也使得传统的SIP洪泛检测方法难以在网络状况下进行自适应监测。本文将针对这一问题,提出SIP基于泊松分布的自适应监测。
【关键词】扩展状态机SIP洪泛攻击自适应检测
当前通信运营商为了应对通信环境从传统的单一电话电报通信向数字、图片、音频等多元化的转变,采取了多网融合的手段应对,即一个业务对应一个业务网络如电信网与互联网的融合、移动网与固网的融合等。网络融合使得用户可以同时获得多种网络服务,但是也使得传统网络封闭组网的特性被打破,组网开放式下,IMS的引入使得电信领域在互联网中面临艰巨的安全威胁,而针对这一领域的研究尤其是SIP洪泛攻击下如何实现自适应检测业界几乎是一片空白,中国通信的先锋———中国移动、华为等都在加强这方面的探索但效果并不明显。中国通信要想获得长足发展,该问题亟待解决。
一、SIP洪泛攻击
和TCP的连接方式相似,SIP也是建立在三次握手上,所以在建立在IMS上的SIP洪泛攻击是最常见的攻击方式。主要做法是攻击者通过终端或伪装成实体,向CSCF(呼叫会话控制功能实体)发送无用SIP信息使得有限的网络资源被挤占,被攻击的服务器忙于处理这些消息,从而导致网络疲软或瘫痪。最常见的的攻击形式有两种,基于INVITE消息的洪泛攻击和基于REGISTER消息的洪范攻击,两者的攻击原理相似。
二、SIP洪泛攻击检测方法
目前针对SIP洪范攻击的研究对策有很多,但总的来说不外乎三种:静态阈值机制、状态机模型、特征统计和模式分类技术,但是存在或需要复杂的专业知识或不能应对特殊的网络环境等问题,本文结合实际中用户流量变化的特点,提出了一种有效的应对SIP洪泛攻击的自适应监测方法。
所以我们可以得出结论:这种基于泊松分布的检测方法是可以作为自适应监测的依据,且可以适应不同的时间段,由此是能够给帮助人们应付复杂的网络攻击的。需要注意的是,α的大小要根据漏报率和误报率权衡,对洪泛攻击的承受能力越小可选的α值越大。
三、总结
本文侧重于对SIP洪泛攻击中存在的问题及检测方法进行研究,对于当前IMS中存在的安全漏洞有一定帮助,但是电信运营商网络科技日新月异,未来我国电信领域要想获得长足进步,就必须越过SIP洪泛攻击这个关键技术障碍。
参考文献
[1] Awais A, Farooq M, Javed M Y. Attack Analysis Bio-inspired Security Framework for IP Multimedia Subsystem[C]//Proc. Of GECCO’08.[S. l.]: ACM Press, 2008.
[2] Farooqi A H, Munir A. Intrusion Detection System for IP Multimedia Subsystem Using K-nearest Neighbor Classifier[C]//Proc. of INMIC’08. [S. l.]: IEEE Press, 2008.
[3] Tang Jin, Cheng Yu. Quick Detection of Stealthy SIP Flooding Attacks in VoIP Networks[C]//Proc. of ICC’11. Kyoto, Japan:[S. l.], 2011.
【关键词】扩展状态机SIP洪泛攻击自适应检测
当前通信运营商为了应对通信环境从传统的单一电话电报通信向数字、图片、音频等多元化的转变,采取了多网融合的手段应对,即一个业务对应一个业务网络如电信网与互联网的融合、移动网与固网的融合等。网络融合使得用户可以同时获得多种网络服务,但是也使得传统网络封闭组网的特性被打破,组网开放式下,IMS的引入使得电信领域在互联网中面临艰巨的安全威胁,而针对这一领域的研究尤其是SIP洪泛攻击下如何实现自适应检测业界几乎是一片空白,中国通信的先锋———中国移动、华为等都在加强这方面的探索但效果并不明显。中国通信要想获得长足发展,该问题亟待解决。
一、SIP洪泛攻击
和TCP的连接方式相似,SIP也是建立在三次握手上,所以在建立在IMS上的SIP洪泛攻击是最常见的攻击方式。主要做法是攻击者通过终端或伪装成实体,向CSCF(呼叫会话控制功能实体)发送无用SIP信息使得有限的网络资源被挤占,被攻击的服务器忙于处理这些消息,从而导致网络疲软或瘫痪。最常见的的攻击形式有两种,基于INVITE消息的洪泛攻击和基于REGISTER消息的洪范攻击,两者的攻击原理相似。
二、SIP洪泛攻击检测方法
目前针对SIP洪范攻击的研究对策有很多,但总的来说不外乎三种:静态阈值机制、状态机模型、特征统计和模式分类技术,但是存在或需要复杂的专业知识或不能应对特殊的网络环境等问题,本文结合实际中用户流量变化的特点,提出了一种有效的应对SIP洪泛攻击的自适应监测方法。
所以我们可以得出结论:这种基于泊松分布的检测方法是可以作为自适应监测的依据,且可以适应不同的时间段,由此是能够给帮助人们应付复杂的网络攻击的。需要注意的是,α的大小要根据漏报率和误报率权衡,对洪泛攻击的承受能力越小可选的α值越大。
三、总结
本文侧重于对SIP洪泛攻击中存在的问题及检测方法进行研究,对于当前IMS中存在的安全漏洞有一定帮助,但是电信运营商网络科技日新月异,未来我国电信领域要想获得长足进步,就必须越过SIP洪泛攻击这个关键技术障碍。
参考文献
[1] Awais A, Farooq M, Javed M Y. Attack Analysis Bio-inspired Security Framework for IP Multimedia Subsystem[C]//Proc. Of GECCO’08.[S. l.]: ACM Press, 2008.
[2] Farooqi A H, Munir A. Intrusion Detection System for IP Multimedia Subsystem Using K-nearest Neighbor Classifier[C]//Proc. of INMIC’08. [S. l.]: IEEE Press, 2008.
[3] Tang Jin, Cheng Yu. Quick Detection of Stealthy SIP Flooding Attacks in VoIP Networks[C]//Proc. of ICC’11. Kyoto, Japan:[S. l.], 2011.