基于泊松分布的SIP洪泛攻擊自適應檢測技術研究與實現

【摘要】IMS在3G系統中的運用解決了目前軟交換技術還無法解決的問題使得全IP網絡的實現成為可能，然而它的一如也使得傳統的SIP洪泛檢測方法難以在網絡狀況下進行自適應監測。本文將針對這一問題，提出SIP基于泊松分布的自適應監測。

【關鍵詞】擴展狀態機SIP洪泛攻擊自適應檢測

當前通信運營商為了應對通信環境從傳統的單一電話電報通信向數字、圖片、音頻等多元化的轉變，采取了多網融合的手段應對，即一個業務對應一個業務網絡如電信網與互聯網的融合、移動網與固網的融合等。網絡融合使得用戶可以同時獲得多種網絡服務，但是也使得傳統網絡封閉組網的特性被打破，組網開放式下，IMS的引入使得電信領域在互聯網中面臨艱巨的安全威脅，而針對這一領域的研究尤其是SIP洪泛攻擊下如何實現自適應檢測業界幾乎是一片空白，中國通信的先鋒———中國移動、華為等都在加強這方面的探索但效果并不明顯。中國通信要想獲得長足發展，該問題亟待解決。

一、SIP洪泛攻擊

和TCP的連接方式相似，SIP也是建立在三次握手上，所以在建立在IMS上的SIP洪泛攻擊是最常見的攻擊方式。主要做法是攻擊者通過終端或偽裝成實體，向CSCF（呼叫會話控制功能實體）發送無用SIP信息使得有限的網絡資源被擠占，被攻擊的服務器忙于處理這些消息，從而導致網絡疲軟或癱瘓。最常見的的攻擊形式有兩種，基于INVITE消息的洪泛攻擊和基于REGISTER消息的洪范攻擊，兩者的攻擊原理相似。

二、SIP洪泛攻擊檢測方法

目前針對SIP洪范攻擊的研究對策有很多，但總的來說不外乎三種：靜態閾值機制、狀態機模型、特征統計和模式分類技術，但是存在或需要復雜的專業知識或不能應對特殊的網絡環境等問題，本文結合實際中用戶流量變化的特點，提出了一種有效的應對SIP洪泛攻擊的自適應監測方法。

所以我們可以得出結論：這種基于泊松分布的檢測方法是可以作為自適應監測的依據，且可以適應不同的時間段，由此是能夠給幫助人們應付復雜的網絡攻擊的。需要注意的是，α的大小要根據漏報率和誤報率權衡，對洪泛攻擊的承受能力越小可選的α值越大。

三、總結

本文側重于對SIP洪泛攻擊中存在的問題及檢測方法進行研究，對于當前IMS中存在的安全漏洞有一定幫助，但是電信運營商網絡科技日新月異，未來我國電信領域要想獲得長足進步，就必須越過SIP洪泛攻擊這個關鍵技術障礙。

參考文獻

[1] Awais A， Farooq M， Javed M Y. Attack Analysis Bio-inspired Security Framework for IP Multimedia Subsystem[C]//Proc. Of GECCO’08.[S. l.]： ACM Press， 2008.

[2] Farooqi A H， Munir A. Intrusion Detection System for IP Multimedia Subsystem Using K-nearest Neighbor Classifier[C]//Proc. of INMIC’08. [S. l.]： IEEE Press， 2008.

[3] Tang Jin， Cheng Yu. Quick Detection of Stealthy SIP Flooding Attacks in VoIP Networks[C]//Proc. of ICC’11. Kyoto， Japan：[S. l.]， 2011.