基于呼叫的业务环境中防止攻击网络服务器的方法和设备

摘要

本发明涉及一种在基于呼叫的业务环境下，优选地，在VoIP环境下，防止攻击网络服务器的方法。该环境包括网络、连接到该网络的呼叫服务器、多个连接到该网络的用户代理以及用于限制从网络访问网络服务器的装置。呼叫服务器包括攻击检测设备，用于检测和识别通过网络对网络服务器的攻击。为了快速、可靠防止网络服务器被攻击，建议：将识别的攻击的特征参数输入黑名单；通过反馈通路，将黑名单的内容传送到防攻击设备，用于控制访问限制装置；防攻击设备检验并分析从网络传送到网络服务器的业务，并根据黑名单的内容和根据所分析的业务的特征参数，控制访问限制装置，以及，访问限制装置根据从防攻击设备接收的控制命令限制从网络到该网络服务器的访问。

说明书

技术领域

本发明涉及一种防止攻击网络服务器的方法。该服务器连接到网络。在网络服务器与网络之间通过用于限制访问该网络服务器的装置(a传输数据。网络服务器包括攻击检测设备，用于检测和识别通过网络对网络服务器的攻击。

此外，本发明还涉及防攻击设备，用于防止从网络攻击通过用于限制访问该网络服务器的装置连接到该网络的网络服务器。防攻击设备适于控制访问限制装置。

例如，该方法和防攻击设备可以用于在基于呼叫的业务环境下防止攻击呼叫服务器。在这种情况下，网络服务器是所谓呼叫服务器。基于呼叫的业务环境还被称为基于会话的业务环境。基于呼叫的业务环境的例子有通过网际协议传送语音(VoIP)的业务或者多媒体业务。基于呼叫或者基于会话是指利用呼叫发起通过网络的数据传输。

背景技术

呼叫服务器适于对要在至少一个第一用户代理与至少一个第二用户代理之间建立的数据传输连接(即，通信链路或者媒体通路)的建立、维护以及拆除进行控制。信令消息用于控制通信链路。当然，其中实现了本发明的网络环境可以包括一个以上的网络服务器，所有网络服务器均连接到网络上。呼叫服务器包括用于通过网络建立呼叫的装置。用户代理可以是IP电话，或者是装备了适当音频/视频和联网硬件以及适当信令软件的任何类型的计算机。访问限制装置通常被称为防火墙。可以单独控制防火墙，以便让一定的消息通过，从网络传送到呼叫服务器，并且过滤、阻挡和/或者节流其它消息。

用于发送通过IP的语音(VoIP)连接信号的协议例如是会话发起协议(SIP)、H.323。

从现有技术已知，安装具有SIP呼叫服务器(所谓的SIP代理服务器)与网络之间的静态分组过滤规则和带宽限制(例如，对SIP信令缺省端口5060的限制)的设备，以防止SIP代理服务器过载。然而，这种设备不能检测和消除攻击SIP代理服务器的恶意SIP消息。

此外，在本技术领域已知动态边界门技术(例如，位于4201Lexington Avenue North，Suite 1105，Arden Hills，MN 55126，USA的以前的Aravox Technologies Inc.所推出的Aravox防火墙，最近该公司已被Alcatel接管)，它提供第三层和第四层防火墙保护、基于流的穿孔(pinholing)以及带宽限制。作为动态防火墙保护概念，MIDCOM风格的接口可以控制它。编辑防火墙规则，并将它插入访问限制装置(防火墙逻辑)。通常，当前仅考虑到了媒体通路，而未考虑到信令通路。

为了检测攻击，呼叫服务器本身能够在内部对接收的所有消息进行分类，然后，在输入端进行了直接检验之后，清除恶意消息。尽管这样可以让呼叫服务器不会将许多未完成的呼叫状态保持在存储器中，但是它不能防止在呼叫服务器输入端的过载情况，因为消息必须到达其中对每个消息进行分类并且如果是恶意的则清除该消息的呼叫服务器。这意味着，在本技术领域内，事实上必须对消息进行处理，而最终会删除它，如果运气好的话，不会对呼叫服务器产生任何损害。

由于位于呼叫服务器本身之前的防火墙不了解应用程序，特别是，它不能区分正确消息和攻击，所以所有消息都必须到达该呼叫服务器，以供检验。这意味着，呼叫服务器输入端的有效消息与恶意消息之比是不变的，而且对于有效的呼叫用户，呼叫服务器的可用性不能令人满意。因此，只要不全部检验所有应用程序信息(消息)，静态分组过滤规则和带宽限制则仅会为呼叫服务器提供非常基本的安全保护。

在VoIP环境下，用于防止攻击呼叫服务器的已知方法通常具有为呼叫服务器分配的甚至是包括在该呼叫服务器内的攻击检测设备。攻击检测设备包括用于对该呼叫服务器接收的业务进行分析并用于检测可能的攻击的算法和规则。例如，呼叫服务器可以观测呼叫接通率(CCR)。如果CCR低于某种程度，则这可能是对呼叫服务器的信号进行拒绝服务式(DoS)攻击或者分布式DoS(DDoS)攻击的迹象。在这种情况下，进行攻击的用户代理使大量信令消息(例如，SIP内“邀请”消息)发送到请求与其它用户代理建立VoIP通信链路的呼叫服务器。该攻击可能由一个用户代理(DoS攻击)或者多个分布式的用户代理(DDoS攻击)引起。对呼叫服务器的攻击另一个迹象是过大的每秒呼叫次数(CAPS)。例如，过大的10,000CAPS/sec取代了约为100至200CAPS/sec的正常值，就表示是对呼叫服务器的攻击。

在现有技术中，呼叫服务器直接控制访问限制装置。这意味着，即使之后在防火墙保护期间，该消息被看作恶意消息并因此而被清除，则呼叫服务器仍必须对每个进入的消息进行控制和处理。处理和操作每个消息对呼叫服务器产生了过大的工作负荷。

发明内容

本发明的一个目的是提供一种在VoIP环境下，防止攻击呼叫服务器的方法，该方法一方面确保安全、可靠过滤发往呼叫服务器的恶意消息，并且另一方面降低用于操作、处理以及过滤进入的消息的呼叫服务器的工作负荷。

利用上述类型的方法可以实现该目的，该方法的特征在于以下的步骤：

-将识别的攻击的特征参数输入黑名单，

-将黑名单的内容传送到防攻击设备，用于控制访问限制装置，

-防攻击设备检验并分析从网络传送到网络服务器的业务，并根据黑名单的内容和根据所分析的业务的特征参数，控制访问限制装置，以及

-根据从防攻击设备接收的控制命令，访问限制装置限制从网络访问网络服务器。

根据本发明，利用攻击检测设备与运行专用黑名单的防攻击设备的快速、高度响应的组合，提供了一种先进的方法。攻击检测设备的类型和实现不是本发明的内容。在可能的实施例中，为了对新的具体攻击类型和情况迅速作出反应，检测设备应该易于编程。攻击检测设备可以与网络服务器分开设置。作为一种选择，它可以部分或者全部包括在网络服务器内。

需要获得显著的消息或者恶意消息的区别信息，例如，这些消息的特征属性和参数。将该区别信息输入黑名单，而且防攻击设备利用该区别信息将恶意消息(构成攻击的一部分)与正常消息(构成信令过程或者媒体流的一部分)区别开。

防攻击设备可以执行全面的数据分组检验和模式匹配运算，以过滤、阻挡和/或者节流其区别信息与包含在黑名单内的区别信息相匹配的消息。最有效模式匹配方法可以容易地实现为哈希表的查找。尽管防攻击设备可以执行检验和分析操作，也就是说，它可以识别所检验消息的内容，但是它不理解该消息的内容，也不对该内容做任何处理。防攻击设备可以扫描特定内容的任何类型的数据，而与数据传输协议和/或者信令协议无关。

黑名单的内容是本发明的重要问题。黑名单保存防攻击设备所需的全部信息，以便对分别寻址到网络服务器的每个消息或者每个数据分组进行操作。根据用于定义该消息或者数据分组的一定定义参数，攻击检测设备产生黑名单的内容。

防攻击设备具有有限智能。其功能可与网守(gate-keeper)的作用相比，该网守必须控制对限制区域(相当于网络服务器)进行的访问。网守检验希望访问限制区域的人，而且必须根据特定算法、规则或者列表等(包含在黑名单内的)，判定是否允许该人访问。根据网守的判定输出，网守打开该网关(相当于访问限制装置)，然后，使该人通过，或者使该门保持关闭，由此拒绝该人进入。网守不获取该人为什么想进入该限制区域，或者该人携带了什么的信息。网守仅校验是否满足一定显而易见的条件(例如，如果该人携带了武器，或者如果该人携带正确的ID卡)，并且由此使该人通过，或者拒绝该人进入。

根据黑名单的内容，防攻击设备阻挡或者限制发往网络服务器的业务。例如，黑名单含有描述恶意业务或者显著业务的模式或者属性。在通过网际协议传送语音(VoIP)的环境下，例如，在SIP中可能的属性或者模式可以是：“到”-字段、“从”-字段、“通过”-字段、IP地址、TCP(传输控制协议)/UDP(用户数据报协议)-端口等，以及它们的组合。模式和属性是由攻击检测设备产生的，它们被输入到黑名单中，并且将它们传送到防攻击设备。在攻击检测设备的领域内，可以将模式和属性输入黑名单，然后以黑名单的形式，将它们传送到防攻击设备。在这种情况下，攻击检测设备产生黑名单，并且将该黑名单作为整体传送到防攻击设备。

作为一种选择，在防攻击设备的领域内，将被识别为显著的或者恶意的消息的模式和属性可以被传送到防攻击设备。这样做的优点在于，在每次更新黑名单时，仅将模式和属性的改变传送到防攻击设备，而不必传送整个黑名单。

根据本发明的优选实施例，建议网络服务器是构成基于呼叫的业务环境的一部分的呼叫服务器。该环境包括网络、连接到该网络的呼叫服务器以及至少一个连接到该网络的用户代理。利用信令消息，该呼叫服务器适于在该至少一个用户代理与至少另一个用户代理之间建立数据传输连接。通过网络而且通过访问限制装置，在呼叫服务器与用户代理之间传送该信令消息。防攻击设备检验并分析从网络传送到呼叫服务器的业务的信令消息。优选地，基于呼叫的业务环境是通过互连网发送语音(VoIP)的环境。

建议在黑名单上输入用于定义从网络传送到网络服务器的显著的业务或者恶意业务的模式和/或者属性，作为特征参数。优选地，攻击检测设备将定义传送到网络服务器的业务的模式和/或者属性识别为显著的或者恶意的。出于该原因，必须在正确执行根据本发明的方法之前，获得并定义恶意业务消息和显著的业务消息的属性和特征。在SIP中，例如，属性的组合取决于SIP提供商的情况和事前信息。例如，如果禁止对其网络访问客户进行地址电子欺骗(adressspoofing)，则过滤可能衡量SIP“从”-字段与IP源地址之间的关系，以便可以阻挡其自身领域内的DoS攻击。如果DDoS攻击者在常规的报头字段之间的任何SIP报头字段或者具体元信息内使用一种具体模式，则可以以网速对其进行检测及阻挡。

根据本发明的优选实施例，在网络服务器运行期间，不断地且动态地更新黑名单的内容。

根据本发明的另一个优选实施例，建议通过反馈通路，将黑名单的内容传送到防攻击设备。根据该实施例，在攻击检测设备与防攻击设备之间设置数据传输通路。优选地，该通路允许网速的数据传输。

根据本发明的又一个优选实施例，以网速执行以下步骤：

-检测并识别通过网络对网络服务器的攻击，

-将所识别的攻击的特征参数输入黑名单，

-将黑名单的内容传送到防攻击设备，

-分析从网络传送到网络服务器的业务，并且根据黑名单的内容和根据所分析的业务的特征参数，控制访问限制装置，以及

-根据从防攻击设备接收的控制命令，限制通过网络对网络服务器的访问。

以网速进行处理还被称为实时处理或者无阻塞处理。在攻击检测设备和防攻击设备中进行网速处理意味着，总体处理速率必须至少与在VoIP环境下的任何运行条件下用于通过网络将消息传送到网络服务器所要求的最大带宽相对应。为了确保即使在最糟糕情况下仍可以执行网速处理，优选地，该处理速率高于通过网络传送消息的最大带宽。

建议防攻击设备对从网络传送到网络服务器的业务进行检验和分析，以确定传送到网络服务器的消息是否对应于或者包括包含在黑名单内的模式和/或者属性。特别是，对业务的分析包括将输入黑名单的特征参数进行比较，并且定义被识别的业务是显著的或者是恶意的。

优选地，防攻击设备执行过滤、阻挡和/或者节流其特征参数与输入黑名单的特征参数相匹配的所检验的业务，并且定义被识别的业务是显著的或者是恶意的。为了执行过滤、阻挡和/或者节流被检验的业务消息，防攻击设备将适当的控制信号送到访问限制装置。当然，防攻击设备和访问限制装置可以包含在一个公共设备中，该公共设备可以被称为会话激活防火墙(session enabled firewall)。

防止利用显著的信令消息或者恶意信令消息攻击网络服务器是特别重要的。因此，建议防攻击设备对从网络传送到网络服务器的业务的信令消息进行检验和分析。优选地，防攻击设备根据SIP(会话发起协议)标准，对信令消息进行检验和分析。作为一种选择，防攻击设备根据H.323标准，对信令消息进行检验和分析。

此外，上述目的可以由利用上述类型的防攻击设备实现，该防攻击设备包括：

-输入装置，用于接收黑名单，该黑名单包括通过网络向网络服务器进行的攻击的特征参数，构成网络服务器的一部分的攻击检测设备检测并识别该攻击，

-用于检验和分析从网络传送到网络服务器的业务并用于确定该业务的特征参数的装置，

-用于根据黑名单的内容和根据所分析的业务的特征参数，产生对访问限制装置控制信号的装置，以及

-输出装置，用于将该控制信号传送到访问限制装置。

根据本发明的优选实施例，建议用于执行检验和分析从网络传送到网络服务器的业务的装置检验和分析该业务的信令消息。特别是，建议网络服务器是构成基于呼叫的业务环境的一部分的呼叫服务器。该环境包括网络、连接到该网络的呼叫服务器以及至少一个连接到该网络的用户代理。该呼叫服务器适于利用信令消息在该至少一个用户代理与至少另一个用户代理之间建立数据传输连接。通过网络而且通过访问限制装置，在呼叫服务器与用户代理之间传输该信令消息。用于执行检验和分析业务的装置检验并分析从网络传送到呼叫服务器的业务。

优选地，用于执行检验和分析从网络传送到呼叫服务器的业务的装置根据SIP(会话发起协议)标准对信令消息进行检验和分析。

根据本发明的另一个优选实施例，建议黑名单含有描述恶意业务和/或显著业务的模式和/或者属性，而且建议用于执行检验和分析从网络传送到呼叫服务器的业务的装置执行模式和/或者属性的匹配运算，以确定所检验和分析的业务是否包括对网络服务器的攻击。

附图说明

下面将参考附图更详细地说明本发明的其它特征和优点。附图示出：

图1是其中可以实现根据本发明的方法的通过网际协议传送语音(VoIP)的环境的总体示意图。

具体实施方式

现在，以示例的方式并且参考图1，对于通过网际协议传送语音(VoIP)的环境，特别是包括会话发起协议(SIP)信令的环境，更详细地说明本发明。然而，本发明并不局限于SIP信令。也可以使用其它信令协议，例如，H.323协议。此外，本发明也不局限于VoIP环境。相反，本发明可以用于要在网络服务器与该网络的任何部分(例如，连接到该网络上的其它服务器或者用户代理)之间建立的或者已经建立的任何一种对等(peer-to-peer)的通信链路。最后，本发明不局限于对信令消息进行检验和分析，而且还可以对净荷消息(例如，媒体信息)进行检验和分析。

在图1中示出VoIP环境，在该VoIP环境下，可以执行根据本发明的方法。VoIP环境使用SIP信令消息。在图1中，利用参考编号1表示互联网协议(IP)网络。当然，也可以使用任何其它类型的网络协议。利用参考编号2表示所有的的多个用户代理UA1、UA2、UA3、...、UAn-1、UAn连接到IP网络1。此外，呼叫服务器3，即，SIP代理服务器连接到该IP网络1。访问限制装置4，即，防火墙设置在SIP代理服务器3与IP网络1之间。防火墙4防止一定的SIP消息从IP网络1到达SIP代理服务器3。因此，可以认为位于防火墙4之上的这部分IP网络1是网络1的安全部分或者安全侧1’。防火墙4不对传送到呼叫服务器3的业务进行任何分析。它仅是一个门，本身没有智能，并且被一个或者多个其它实体所控制，以便将其打开或者关闭，而使一定的数据通过并拒绝其它数据。

防攻击设备5，即，SIP门控制防火墙4。SIP门5通知防火墙4何时打开以使一定SIP消息通过以及何时关闭以防止一定SIP消息进入网络1的安全侧1’，并防止它到达SIP代理服务器3。SIP门5具有有限智能，可以使它在该消息的一定特征参数存在时，检验和分析进入的消息。SIP门5不理解所扫描的消息的内容，也不处理该内容以得其执行由于该内容所导致的特定动作。这样使得SIP门5独立于该环境中使用的信令协议(例如，SIP)工作。

通过反馈通路7，SIP门5从SIP代理服务器3接收所谓的黑名单6。黑名单6包括关于要阻挡的或者至少要限制其数量的这些SIP消息的信息。黑名单6不含有关于要阻挡的或者要限制的每个SIP消息的特定独立信息。相反，黑名单6包括用于定义要阻挡或者要限制的这种SIP消息的特征参数，例如，一定模式或者属性。SIP门5检验并分析传送到SIP代理服务器3的SIP消息，以确定所检验和分析的SIP消息是否包括对SIP代理服务器3的攻击。检验和分析SIP消息的过程包括：将检验的SIP消息的特征参数与包含在黑名单6内的相应特征参数进行比较，并定义显著的SIP消息或者恶性SIP消息。特别地，SIP门5检验和分析SIP消息的过程包括：模式和/或属性匹配运算。防火墙4和SIP门5一起构成所谓的会话激活防火墙(sessionenabled firewall)。

在位于SIP代理服务器3中或者接近SIP代理服务器3的攻击检测设备8上建立黑名单6的内容。在黑名单6上输入用于定义显著的恶意SIP消息的规则、属性和/或者模式，然后通过反馈通路7，将它们传送到SIP门5。作为一种选择，将定义显著的恶意SIP消息的规则、属性和/或者模式传送到SIP门5，并且将它输入黑名单6。攻击检测设备8可以执行静态攻击检测算法，以便以本技术领域已知的方式检测进行攻击的SIP消息。攻击检测设备8可以执行本技术领域内还不知道的新算法，以尽可能迅速、可靠地检测进行攻击的SIP消息。然而，攻击检测设备8使用的算法不是本发明的主题。

本发明的主要问题是，智能设备，即攻击检测设备8执行对进行攻击的SIP消息的实际检测，并产生用于定义这些SIP消息的规则、模式和/或属性，该SIP消息对SIP代理服务器3构成攻击。将这些SIP消息的规则、模式和/或属性输入黑名单6。此外，具有有限智能的设备，即防攻击设备或者SIP门5根据黑名单6的内容对防火墙4进行控制。本发明的优点在于，显著的SIP消息或者恶意SIP消息在到达SIP代理服务器3之前，而非到达SIP代理服务器3之后，被阻挡或者限制。为了检验和分析进入的SIP消息，SIP门5仅检验SIP消息的内容，例如，仅检验包含在报头中的信息，或者仅检验净荷中信息，而不必理解该内容。SIP门5必须执行简单的模式和/或者属性匹配运算。降低SIP门5的智能使S1P门5具有非常高的处理速度。此外，降低SIP门5的智能使得攻击者很难实际上对SIP门5进行攻击，来由此操作防火墙4，而且打开了后续攻击SIP代理服务器3的通道。

为了对检测到的对SIP代理服务器3的攻击作出快速反应，优选地以网速执行以下步骤：

-从IP网络1上检测并识别对SIP代理服务器3的攻击，

-将用于定义进行攻击的消息的特征参数输入黑名单6，

-通过反馈通路7，将黑名单6的内容传送到SIP门5，

-扫描、检验和/或者分析从IP网络1传送到SIP代理服务器3的业务，然后，根据黑名单6的内容和所分析的业务的特征参数，控制防火墙4，以及

-根据从SIP门5接收的控制命令，限制从IP网络1到SIP代理服务器3的访问。

在SIP代理服务器3运行期间，不断地、动态地更新黑名单6的内容。然而，如上所述，黑名单6的内容仅用于控制防火墙4。在SIP代理服务器3的攻击检测设备8内独立于黑名单6，检测恶意和可疑消息。因此，改变黑名单6的内容会改变了防火墙4的行为，而对检测的恶意和可疑消息没有影响。

本发明的原理是从SIP代理服务器3到SIP门5进行低级数据分组分析。通过这样做，在到达SIP代理服务器3并消耗其资源之前，防火墙4就可以检测到并消除恶意的和显著的数据分组。但是，只有低级分析占用SIP门5，以确保在会话激活的防火墙4，5内进行快速处理。优选地，会话激活的防火墙4，5以网速或者实时工作。