公开(公告)号：CN109040126B

公开(公告)日：2020-10-30

申请号：CN201811086825.4

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘树新 ,  柏溢 ,  胡鑫鑫 ,  刘彩霞 ,  朱宇航 ,  何赞园 ,  李海涛 ,  张建国

IPC: H04L29/06

Abstract: 本发明属于移动通信安全技术领域，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，该装置包含：参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消息计数器、相同会话ID消息计数器和相同用户消息计数器，对计数器初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。本发明通过对SIP信令流进行综合解析处理，根据解析处理情况进行预警和拦截，达到检测防范IMS网络洪泛攻击目的，简单、有效，提高IMS网络的安全性，对移动通信网络安全发展具有重要的意义。

公开(公告)号：CN109067782B

公开(公告)日：2021-09-03

申请号：CN201811085657.7

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 柏溢 ,  刘彩霞 ,  刘树新 ,  胡鑫鑫 ,  葛东东 ,  李英乐 ,  何赞园

IPC: H04L29/06

Abstract: 本发明属于通信网络安全技术领域，特别涉及一种IMS网络会话异常中断攻击检测装置及方法，该装置包含：参数提取模块和预警分析模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数至少包含消息类型、对话ID、Tag字段、请求序列号和主被叫地址；预警分析模块，用于将消息参数依次与状态机进行匹配，根据匹配结果进行检测告警。本发明可以直接根据IMS的SIP信令消息判断异常中断攻击，从SIP信令流中提取关键参数，建立状态机并自动判断，达到检测IMS网络会话异常中断攻击的目的，提高IMS网络的安全性，简单、有效，有利于提高IMS网络的安全性，适用于通信IMS网络会话异常中断攻击的安全检测和预警，对移动通信网络的安全具有重要的指导意义。

公开(公告)号：CN109257351B

公开(公告)日：2021-04-02

申请号：CN201811086791.9

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘树新 ,  刘彩霞 ,  李森有 ,  王凯 ,  柏溢 ,  何赞园 ,  陈云杰

IPC: H04L29/06

Abstract: 本发明属于通信安全技术领域，特别涉及一种基于马尔科夫的IMS网络逻辑异常检测装置及方法，该装置包含：参数提取模块、和异常检测模块，其中，参数提取模块，用于提取SIP消息中的消息参数，该消息参数包含消息类型、会话ID、用户名和流程类型；异常检测模块，用于根据马尔科夫状态转化链分析消息类型转换关系，根据分析结果对IMS网络进行逻辑异常判断。本发明基于马尔科夫链建立业务流程中消息类型转换关系，然后针对SIP消息流进行业务流程逻辑检测，发现其中与正常业务流程中消息类型转换不一致的信令消息，从而检测IMS网络中是否存在逻辑异常情况，实现对IMS网络的安全保护，提高IMS网络的安全性和可靠性，对通信网络的安全具有重要的指导意义。

公开(公告)号：CN109040127A

公开(公告)日：2018-12-18

申请号：CN201811086841.3

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘彩霞 ,  王凯 ,  刘树新 ,  吉立新 ,  李星 ,  冯莉 ,  葛东东 ,  陈云杰

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

CPC classification number: H04L63/1416 ,  H04L41/0631 ,  H04L43/16 ,  H04L65/1016

Abstract: 本发明属于通信安全技术领域，特别涉及一种Diameter洪泛攻击的检测装置及方法，该装置包含：参数提取模块，用于提取流经信令中的信令消息参数，并根据参数进行状态机匹配，信令消息参数包含会话标识参数、源主机参数和用户名参数，设置每个信令消息参数计数器并初始化；信令流分析模块，用于依据状态机匹配情况并利用计数器计数数值对信令中信令消息参数进行预警分析；检测告警模块，用于依据信令消息参数预警分析结果进行洪泛攻击告警。本发明适用于移动通信网络中IMS网络，实现对Diameter洪泛攻击的安全检测和预警，根据IMS信令流自动识别并检测Diameter协议洪泛攻击，从信令流中检测并预警Diameter洪泛攻击流，提高IMS网络安全性，对通信网络的安全具有重要的指导意义。

公开(公告)号：CN109040126A

公开(公告)日：2018-12-18

申请号：CN201811086825.4

申请日：2018-09-18

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 刘树新 ,  柏溢 ,  胡鑫鑫 ,  刘彩霞 ,  朱宇航 ,  何赞园 ,  李海涛 ,  张建国

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1458 ,  H04L65/1006 ,  H04L65/1016

Abstract: 本发明属于移动通信安全技术领域，特别涉及一种IMS网络SIP洪泛攻击的检测装置及方法，该装置包含：参数提取模块，用于提取SIP消息中的字段参数，字段参数至少包含消息类型参数、用户名参数和会话ID，设置相同消、相同会话ID消息、相同用户消息计数器，并对该多个计数器进行初始化；预警分析模块，用于将字段参数与状态机进行匹配，根据匹配结果触发相应计数器计数，根据计数器数值与设定阈值进行预警分析；检测告警模块，用于根据预警分析结果发出洪泛攻击告警。本发明通过对SIP信令流进行综合解析处理，根据解析处理情况进行预警和拦截，达到检测防范IMS网络洪泛攻击目的，简单、有效，提高IMS网络的安全性，对移动通信网络安全发展具有重要的意义。