專利名稱:一種ip多媒體子系統(tǒng)漏洞檢測的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及系統(tǒng)安全檢測技術(shù),尤其涉及一種IP多媒體子系統(tǒng)漏洞檢測的方法 及系統(tǒng)���。
背景技術(shù):
IP多媒體子系統(tǒng)(IP Multimedia Subsystem, IMS)是由第三代移動通信伙伴 組織(3rd Generation Partnership Project,3GPP)在 Release5 版本標(biāo)準(zhǔn)中提出的支 持IP多媒體業(yè)務(wù)的子系統(tǒng)�。IMS的核心特點是基于IP分組網(wǎng)絡(luò),支持開放的應(yīng)用程序接 口 (Application Programming Interface, API),米用會話起始協(xié)議(Session Initial Protocol, SIP)作為會話控制協(xié)議����,會話描述協(xié)議(SessionDescription Protocol, SDP) 作為多媒體會話描述協(xié)議��,實現(xiàn)業(yè)務(wù)、呼叫控制和承載的相互分離����,并可屏蔽接入手段的差 異。IMS是解決移動網(wǎng)和固網(wǎng)融合����,引入語音���、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方 式�����。IMS的體系結(jié)構(gòu)采用分層設(shè)計的方式���,包括承載層、信令控制層和應(yīng)用層���,其中����,信令控 制層是IMS網(wǎng)絡(luò)中的中間層����,主要由網(wǎng)絡(luò)控制服務(wù)器組成,負(fù)責(zé)管理呼叫以及會話的設(shè)置��、 修改和釋放�����,所有IP多媒體業(yè)務(wù)的信令控制都在這一層完成�����。SIP 協(xié)議是互聯(lián)網(wǎng)工程任務(wù)組(The Internet Engineering Force�,IETF)提出 的�、在IP網(wǎng)絡(luò)上進行多媒體通信的應(yīng)用層控制協(xié)議�,同時也是IMS網(wǎng)絡(luò)中重要的信令控制 協(xié)議。SIP協(xié)議是基于因特網(wǎng)兩個成功的服務(wù)Web和E-mail進行設(shè)計的���。SIP協(xié)議借鑒了 Internet的標(biāo)準(zhǔn)和協(xié)議設(shè)計思想,堅持簡潔����、開放和可擴展、可重用性的原則�����,為組建多媒 體通信網(wǎng)絡(luò)�����、提供多媒體業(yè)務(wù)提供了一種可以將簡單的應(yīng)用結(jié)合到復(fù)雜的服務(wù)中的方法�。 SIP協(xié)議通過便捷的方式來建立和控制各種類型的點到點媒體會話�����,與Internet協(xié)議類 似���,它采用的是一種模塊化結(jié)構(gòu)��、請求/應(yīng)答模式�����、基于文本方式,因此使用非常簡單靈活�, 升級擴展也很方便��。鑒于IMS的重要性和SIP協(xié)議在IMS中的重要地位���,SIP協(xié)議的安全問題目前成為 學(xué)術(shù)界和工業(yè)界共同關(guān)注的焦點之一��。雖然SIP協(xié)議具有易用性�����、靈活性和擴展性強等特 點,但由于SIP協(xié)議一般使用文本方式在IP網(wǎng)絡(luò)上傳輸��,且SIP協(xié)議的傳輸使用了代理服 務(wù)器����、重定向服務(wù)器等中間設(shè)備�����,使其信令的完整性�����、保密性、可用性和真實性存在安全隱 患����。另外�,在將SIP協(xié)議轉(zhuǎn)化為產(chǎn)品的過程中,由于開發(fā)人員素質(zhì)的參差不齊��、以及SIP標(biāo) 準(zhǔn)開發(fā)的產(chǎn)品長時間不進行維護���,也會無形中增加一些安全漏洞。然而�,SIP協(xié)議與公共交 換的電話網(wǎng)絡(luò)密切相關(guān),因此�,如何避免網(wǎng)絡(luò)中的病毒與惡意威脅�,避免被網(wǎng)絡(luò)竊聽等已經(jīng) 成為采用SIP協(xié)議產(chǎn)品的重要考慮因素�����。目前��,SIP協(xié)議的安全問題已經(jīng)得到了廣泛重視,為了減輕畸形SIP信令對IMS網(wǎng) 絡(luò)的威脅����,關(guān)鍵是找到SIP產(chǎn)品的漏洞以對其進行修復(fù)���。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的主要目的在于提供一種IP多媒體子系統(tǒng)漏洞檢測的方法及
5系統(tǒng)����,實現(xiàn)IMS的漏洞檢測�����。為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種IP多媒體子系統(tǒng)漏洞檢測的方法����,所述方法包括下述步驟根據(jù)SIP信令規(guī)范及特點,構(gòu)造IP多媒體子系統(tǒng)IMS的畸形SIP信令�����,并設(shè)置所 述畸形SIP信令的威脅維度����;根據(jù)用戶的需求及所述畸形SIP信令的威脅維度,設(shè)置IMS的檢測策略�;根據(jù)用戶選擇的檢測策略�����、測試方案�,選取畸形SIP信令發(fā)送至IMS ;檢測IMS的網(wǎng)絡(luò)狀態(tài)�����,生成檢測報告�。其中�,所述根據(jù)SIP信令規(guī)范及特點構(gòu)造IMS的畸形SIP信令為將SIP信令劃分 成不同的字段��;根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法��,定位SIP信令的字段���;根據(jù)定位得到的 SIP信令的字段����,獲取所述字段對應(yīng)的異常元素類型��;根據(jù)所述異常元素類型����,構(gòu)造IMS的 畸形SIP信令�。其中,所述將SIP信令劃分成不同的字段為在SIP信令塊層面上���,將SIP信令劃 分為請求行或者狀態(tài)行、SIP信令頭以及SIP信令體����;或者,在SIP信令行層面上�,利用換行符號將SIP信令劃分為行集合;或者�,在SIP信令字符串層面上,利用分界符將SIP信令劃分為字符串集合���;或者,在SIP信令單詞層面上�,將SIP信令劃分成單詞集合。具體地����,所述畸形規(guī)則構(gòu)造方法包括字段重復(fù)、字段刪除����、字段插入及字段亂序的 一種或多種;所述定位SIP信令的字段為根據(jù)畸形規(guī)則構(gòu)造方法指向的字段以及所述字段的 關(guān)鍵字�����,定位SIP信令的字段����。其中,所述異常元素類型包括溢出異常����、整數(shù)異常�、資源標(biāo)志符URI異常、格式控 制符異常��、ANSI碼轉(zhuǎn)義異常�、通用轉(zhuǎn)換格式UTF-8異常及IP地址異常的一種或多種��;所述根據(jù)定位得到的SIP信令的字段���,獲取所述字段對應(yīng)的異常元素類型為根 據(jù)預(yù)先存儲的SIP信令的字段與異常元素類型的對應(yīng)關(guān)系�����,以及定位得到的SIP信令的字 段���,獲取所述定位得到的SIP信令的字段對應(yīng)的異常元素類型��。進一步地�,所述威脅維度包括威脅維度內(nèi)容和威脅維度等級;其中,所述威脅維度 內(nèi)容包括影響資產(chǎn)�����、影響安全目標(biāo)以及造成的威脅的一種或多種�;所述威脅維度等級包括 低級威脅、中級威脅以及高級威脅一種或多種�;所述測試方案包括測試資產(chǎn)��、測試安全目標(biāo) 以及測試的威脅的一種或多種���;所述根據(jù)用戶選擇的檢測策略����、測試方案以及所述畸形SIP信令的威脅維度����,選 取畸形SIP信令發(fā)送到IMS為當(dāng)檢測策略為快速檢測策略時,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案�����, 選取高級威脅等級的畸形SIP信令發(fā)送至IMS ��;當(dāng)檢測策略為有效檢測策略時��,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案���, 選取高級威脅等級的畸形SIP信令�、以及中級威脅等級的畸形SIP信令發(fā)送至IMS �����;當(dāng)檢測策略為全面檢測策略時,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案����, 選取高級威脅等級的畸形SIP信令、中級威脅等級的畸形SIP信令��、以及低級威脅等級的畸 形SIP信令發(fā)送至IMS����。
6
—種IP多媒體子系統(tǒng)漏洞檢測的系統(tǒng)���,所述系統(tǒng)包括畸形SIP信令生成單元����、檢 測策略制定單元、發(fā)送單元以及檢測單元����;其中�����,所述畸形SIP信令生成單元�����,用于根據(jù)SIP信令規(guī)范及特點��,構(gòu)造IMS的畸形SIP 信令����,并設(shè)置所述畸形SIP信令的威脅維度�����;檢測策略制定單元���,用于根據(jù)用戶的需求及所述畸形SIP信令生成單元設(shè)置的畸 形SIP信令的威脅維度,設(shè)置IMS的檢測策略�;發(fā)送單元,用于根據(jù)用戶選擇的檢測策略�、測試方案����,從所述畸形SIP信令生成單 元中選取畸形SIP信令發(fā)送至IMS�����,并發(fā)送觸發(fā)信息給檢測單元�;檢測單元�,用于根據(jù)所述發(fā)送單元發(fā)送的觸發(fā)信息�,檢測IMS的網(wǎng)絡(luò)狀態(tài)�����,并生成 檢測報告�����。其中,所述畸形SIP信令生成單元進一步包括劃分模塊��、定位模塊�、異常元素類 型獲取模塊�����、構(gòu)造模塊以及威脅維度設(shè)置模塊����;其中�,劃分模塊,用于將SIP信令劃分成不同的字段���;定位模塊���,用于根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法�,定位所述劃分模塊劃分得到 的SIP信令的字段;異常元素類型獲取模塊�,用于根據(jù)所述定位模塊定位得到的SIP信令的字段����,獲 取所述字段對應(yīng)的異常元素類型����;構(gòu)造模塊�����,用于根據(jù)異常元素類型獲取模塊獲取的異常元素類型及預(yù)先存儲的異 常元素值�,構(gòu)造IMS的畸形SIP信令;威脅維度設(shè)置模塊�����,用于設(shè)置所述構(gòu)造模塊構(gòu)造得到的畸形SIP信令的威脅維度。其中��,所述劃分模塊具體用于在SIP信令塊層面上��,將SIP信令劃分為請求行或者 狀態(tài)行�����、SIP信令頭以及SIP信令體�;或者在SIP信令行層面上,利用換行符號將SIP信令 劃分為行集合�����;或者在SIP信令字符串層面上�,利用分界符將SIP信令劃分為字符串集合�; 或者在SIP信令單詞層面上,將SIP信令劃分成單詞集合���;所述定位模塊具體用于根據(jù)畸形規(guī)則構(gòu)造方法指向的字段以及所述字段的關(guān)鍵 字��,定位所述劃分模塊劃分得到的SIP信令的字段,其中所述畸形規(guī)則構(gòu)造方法包括字段 重復(fù)�、字段刪除、字段插入及字段亂序的一種或多種���;所述異常元素類型獲取模塊具體用于根據(jù)預(yù)先存儲的SIP信令的字段與異常元 素類型的對應(yīng)關(guān)系�����,以及所述定位模塊定位得到的SIP信令的字段���,獲取所述定位得到的 SIP信令的字段對應(yīng)的異常元素類型。進一步地�����,所述畸形SIP信令的威脅維度包括威脅維度內(nèi)容和威脅維度等級�;其 中��,所述威脅維度內(nèi)容包括影響資產(chǎn)��、影響安全目標(biāo)以及造成的威脅的一種或多種����;所述威 脅維度等級包括低級威脅、中級威脅以及高級威脅一種或多種�;所述測試方案包括測試資 產(chǎn)����、測試安全目標(biāo)以及測試的威脅的一種或多種����;所述發(fā)送單元具體用于當(dāng)檢測策略為快速檢測策略時���,根據(jù)畸形SIP信令的威脅 維度內(nèi)容及測試方案��,從畸形SIP信令生成單元生成的畸形SIP信令中選取高級威脅等級 的畸形SIP信令發(fā)送至IMS �����;當(dāng)檢測策略為有效檢測策略時�����,根據(jù)畸形SIP信令的威脅維度 內(nèi)容及測試方案�����,從畸形SIP信令生成單元生成的畸形SIP信令中選取高級威脅等級的畸形SIP信令以及中級威脅等級的畸形SIP信令發(fā)送至IMS ��;當(dāng)檢測策略為全面檢測策略時���, 根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案,從畸形SIP信令生成單元生成的畸形SIP 信令中選取高級威脅等級的畸形SIP信令����、中級威脅等級的畸形SIP信令以及低級威脅等 級的畸形SIP信令發(fā)送至IMS。本發(fā)明通過構(gòu)造畸形SIP信令�,并設(shè)置畸形SIP信令的威脅維度,制定檢測策略����, 根據(jù)用戶選擇的檢測策略及測試方案��,選取需要發(fā)送的畸形SIP信令發(fā)送至IMS���,通過檢測 IMS接收到畸形SIP信令后的網(wǎng)絡(luò)狀態(tài)�,實現(xiàn)IMS的漏洞檢測����,進而實現(xiàn)IMS安全性的提高����。
圖1為本發(fā)明IP多媒體子系統(tǒng)漏洞檢測方法的實現(xiàn)流程示意圖;圖2為本發(fā)明IP多媒體子系統(tǒng)漏洞檢測的具體實施例的實現(xiàn)流程示意圖���;圖3為本發(fā)明IP多媒體子系統(tǒng)漏洞檢測的系統(tǒng)結(jié)構(gòu)示意圖��。
具體實施例方式本發(fā)明的基本思想為根據(jù)SIP信令規(guī)范及特點構(gòu)造IMS的畸形SIP信令����,并設(shè)置 畸形SIP信令的威脅維度和檢測策略�,根據(jù)用戶選擇的檢測策略及畸形SIP信令的威脅維 度選取畸形SIP信令發(fā)送至IMS����,發(fā)送完畢后,檢測IMS的網(wǎng)絡(luò)狀態(tài)�,并生成檢測報告����,實現(xiàn) IMS的漏洞檢測。為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚明白,以下舉實施例并參照附圖�,對 本發(fā)明進一步詳細(xì)說明���。圖1示出了本發(fā)明IMS漏洞檢測方法的實現(xiàn)流程�,如圖1所示,本發(fā)明實現(xiàn)IMS漏 洞檢測的方法包括下述步驟步驟SlOl����,根據(jù)SIP信令規(guī)范及特點����,構(gòu)造IMS的畸形SIP信令,并設(shè)置所述畸形 SIP信令的威脅維度��。本步驟中����,具體構(gòu)造畸形SIP信令的方法為將SIP信令劃分成不同的字段;根據(jù) 預(yù)先定義的畸形規(guī)則構(gòu)造方法�����,定位SIP信令的字段�;根據(jù)定位得到的SIP信令的字段�����,獲 取所述字段對應(yīng)的異常元素類型��;根據(jù)所述異常元素類型��,構(gòu)造IMS的畸形SIP信令����。并且����,根據(jù)畸形SIP信令特點及其影響實體,設(shè)置畸形SIP信令的威脅維度具體根 據(jù)畸形SIP信令中出現(xiàn)異常的字段及其對應(yīng)的異常元素類型所會影響到的資產(chǎn)內(nèi)容�、影響 程度的大小等因素�����,設(shè)置畸形SIP信令的威脅維度����,即對每條畸形SIP信令根據(jù)威脅維度所 包括的類別設(shè)置畸形SIP信令的屬性,其中威脅維度包括威脅維度內(nèi)容和威脅維度等級����, 其中威脅維度內(nèi)容包括影響資產(chǎn)���、影響安全目標(biāo)以及可能造成的相關(guān)的威脅等���;威脅維度 等級包括低級威脅����、中級威脅以及高級威脅等��。例如��,一個畸形SIP信令的畸形情況如下To字段的IP地址被修改為廣播地址�����, 如255. 255. 255. 255����,則該畸形SIP信令的威脅維度內(nèi)容為IMS網(wǎng)絡(luò)中所有包含SIP協(xié)議器 的功能實體���,又因為其威脅到IMS網(wǎng)絡(luò)中所有包含SIP協(xié)議器的功能實體,故其威脅維度等 級為高級威脅��。這里���,所述影響安全目標(biāo)包括機密性���、完整性��、可用性、可計費性����、可控制性和抗抵 賴性的一種或多種�;威脅維度等級中低級威脅為對IMS造成輕微威脅的等級,中級威脅為對IMS造成中等威脅的等級����,高級威脅為對IMS造成嚴(yán)重威脅的等級�����。步驟S102�����,根據(jù)用戶的需求及畸形SIP信令的威脅維度�,設(shè)置檢測策略�����;本步驟中,檢測策略包括快速檢測策略���、有效檢測策略以及全面檢測策略�。步驟S103�,根據(jù)用戶選擇的檢測策略、測試方案�����,選取畸形SIP信令發(fā)送至IMS�。具體地���,當(dāng)檢測策略為快速檢測策略時���,根據(jù)測試方案中用戶需要測試的資產(chǎn)等 以及畸形SIP信令的威脅維度內(nèi)容�,如影響資產(chǎn)、影響安全目標(biāo)等�,選取高級威脅等級的畸 形SIP信令發(fā)送至IMS ���;當(dāng)檢測策略為有效檢測策略時,根據(jù)測試方案中用戶需要測試的資產(chǎn)等以及畸形 SIP信令的威脅維度內(nèi)容��,如影響資產(chǎn)����、影響安全目標(biāo)等����,選取高級威脅等級的畸形SIP信 令、以及中級威脅等級的畸形SIP信令發(fā)送至IMS ����;當(dāng)檢測策略為全面檢測策略時�,根據(jù)測試方案中用戶需要測試的資產(chǎn)等以及畸形 SIP信令的威脅維度內(nèi)容����,如影響資產(chǎn)、影響安全目標(biāo)等�����,選取高級威脅等級的畸形SIP信 令、中級威脅等級的畸形SIP信令��、以及低級威脅等級的畸形SIP信令發(fā)送至IMS�����。步驟S104��,檢測IMS的網(wǎng)絡(luò)狀態(tài)���,生成檢測報告��。圖2示出了本發(fā)明IP多媒體子系統(tǒng)漏洞檢測的具體實施例的實現(xiàn)流程��,如圖2所 示����,本實施例中實現(xiàn)IMS漏洞檢測的方法包括下述步驟步驟S201,啟動IMS�,部署IMS漏洞檢測的系統(tǒng)��。本步驟中,啟動IMS����,確定要進行測試的IMS核心網(wǎng)工作正常,部署IMS漏洞檢測系 統(tǒng)�,制定測試方案�,具體為根據(jù)用戶的測試目的確定需要測試資產(chǎn)、需要測試安全目標(biāo)以及 需要測試的相關(guān)威脅等�。通常,部署IMS漏洞檢測系統(tǒng)具體包括確定目標(biāo)IMS允許正常用戶使用服務(wù)的接 入點���,如P-CSCF或者SBC的IP地址、接收SIP信令的端口號�、以及一個合法用戶的身份等, 用來保證IMS漏洞檢測系統(tǒng)生成的畸形SIP信令能夠與目標(biāo)IMS進行交互����,其中信令交互 流程包括注冊����、解注冊�、發(fā)起呼叫以及結(jié)束呼叫等。步驟S202��,根據(jù)SIP信令規(guī)范及其特點,構(gòu)造畸形SIP信令���,并設(shè)置畸形SIP信令 的威脅維度��。本步驟中����,首先�,根據(jù)SIP信令規(guī)范及特點,將SIP信令進行字段劃分���。具體地,可 以在如下四個層面上分別進行劃分在SIP信令塊層面上����,將SIP信令劃分為三個部分請 求行或者狀態(tài)行、SIP信令頭以及SIP信令體�;在SIP信令行層面上,利用換行符號將SIP 信令劃分為行集合�,其中所述換行符號可以為回車符��;在SIP信令字符串層面上,利用分界 符將SIP信令劃分為字符串集合��,其中所述分界符可以為空格��;在SIP信令單詞層面上���,將 SIP信令劃分成最小的有意義的單詞集合。然后��,根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法�����,對劃分得到的SIP信令的字段進行定 位�����,得到需要處理的SIP信令的字段����。具體地��,預(yù)先定義的畸形規(guī)則構(gòu)造方法包括字段重 復(fù)��、字段刪除��、字段插入及字段亂序的一種或多種�,根據(jù)各自畸形規(guī)則構(gòu)造方法指向的字 段����、以及字段本身具有的關(guān)鍵字信息,找到需要處理的SIP信令的字段���。獲取上述需要處理的SIP信令的字段所對應(yīng)的異常元素類型�����,具體地����,根據(jù)預(yù)先 存儲的SIP信令的字段與異常元素類型的對應(yīng)關(guān)系����,獲取定位得到的需要處理的SIP信 令的字段對應(yīng)的異常元素類型����,其中����,異常元素類型包括溢出異常���、整數(shù)異常、資源標(biāo)志符(Universal Resource Identifier, URI)異常��、格式控制符異常�、ANSI碼轉(zhuǎn)義異常、通用轉(zhuǎn) 換格式(Universal Transformation Format) UTF-8異常及IP地址異常的一種或多種���。最后�,根據(jù)異常元素類型��,得到異常元素值���,生成IMS的畸形SIP信令,其中異常元 素值可以根據(jù)異常元素類型隨機生成��,或者從預(yù)先存儲的數(shù)據(jù)庫中獲得等等����。本步驟中,畸形SIP信令的威脅維度包括威脅維度內(nèi)容和威脅維度等級�����,其中威 脅維度內(nèi)容包括影響資產(chǎn)���、影響安全目標(biāo)以及可能造成的相關(guān)威脅等;威脅維度等級包括 低級威脅�、中級威脅以及高級威脅等。這里��,所述影響資產(chǎn)包括物理資產(chǎn)和邏輯資產(chǎn)���,其中物理資產(chǎn)包括用戶設(shè)備(User Equipment,UE)�,呼叫會話控制功能實體(Call Session Control Function, CSCF)以及 歸屬用戶服務(wù)器(Home Subscriber Server, HSS)的一種或多種;CSCF具體還包含代理呼 叫會話控制功能(Proxy CSCF����,P-CSCF)�、問訊呼叫會話控制功能(Interrogation CSCF, I-CSCF)和服務(wù)呼叫會話控制功能(SendngCSCF��,S-CSCF);邏輯資產(chǎn)包括UE的IP地址����、 UE的IP多媒體公共標(biāo)識(IPMultimedia Public Identity, IMPU)�����、私有身份標(biāo)識(IMS Private Identity, IMPI)�����、認(rèn)證方式中的一種或多種����。所述影響安全目標(biāo)包括機密性、完整性�����、可用性���、可計費性、可控制性和抗抵賴性 的一種或多種;威脅維度等級中低級威脅為對IMS造成輕微威脅的等級���,中級威脅為對IMS 造成中等威脅的等級�����,高級威脅為對IMS造成嚴(yán)重威脅的等級。步驟S203�����,根據(jù)用戶的需求及畸形SIP信令的威脅維度���,設(shè)置檢測策略���。本步驟中,檢測策略包括快速檢測策略、有效檢測策略以及全面檢測策略。步驟S204����,根據(jù)用戶的選擇���,確定檢測策略����。步驟S205��,根據(jù)檢測策略���,測試方案�����,選取畸形SIP信令發(fā)送至IMS����。具體地�����,當(dāng)檢測策略為快速檢測策略時,根據(jù)測試方案中確定的需要測試資產(chǎn)�、需 要測試安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容��,如影響資產(chǎn)����、影響安全目標(biāo)等�����,選取 適合上述測試方案的高級威脅等級的畸形SIP信令發(fā)送至IMS ��;當(dāng)檢測策略為有效檢測策略時���,根據(jù)測試方案中確定的需要測試資產(chǎn)���、需要測試 的安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容,如影響資產(chǎn)、影響安全目標(biāo)等��,選取適合 上述測試方案的高級威脅等級的畸形SIP信令、以及中級威脅等級的畸形SIP信令發(fā)送至 IMS ��;當(dāng)檢測策略為全面檢測策略時���,根據(jù)測試方案中確定的需要測試資產(chǎn)�、需要測試 安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容��,如影響資產(chǎn)����、影響安全目標(biāo)等�����,選取適合上 述測試方案的高級威脅等級的畸形SIP信令���、中級威脅等級的畸形SIP信令���、以及低級威脅 等級的畸形SIP信令發(fā)送至IMS���。另外����,發(fā)送給IMS的畸形SIP信令首先都會經(jīng)過P-CSCF處理���,若畸形SIP信令被 P-CSCF過濾掉����,則不會再進一步影響IMS后續(xù)處理的功能實體�����,因此為了保證漏洞檢測的 準(zhǔn)確性�����,在執(zhí)行上述檢測策略時,還可以如下進行當(dāng)檢測策略為快速檢測策略時,根據(jù)測試方案中確定的需要測試資產(chǎn)�����、需要測試 安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容,如影響資產(chǎn)�����、影響安全目標(biāo)等�����,選取適合 上述測試方案��,并分別將對P-CSCF造成嚴(yán)重威脅的高級威脅等級畸形SIP信令發(fā)送至 P-CSCF,并對IMS中除P-CSCF外的其他資產(chǎn)造成嚴(yán)重威脅的高級威脅等級畸形SIP信令發(fā)
10送至IMS中除P-CSCF外的其他資產(chǎn)�����;當(dāng)檢測策略為有效檢測策略時��,根據(jù)測試方案中確定的需要測試資產(chǎn)、需要測試 的安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容�,如影響資產(chǎn)�、影響安全目標(biāo)等����,選取適合 上述測試方案,并分別將對P-CSCF造成嚴(yán)重威脅�、中級威脅的高級��、中級威脅等級的畸形 SIP信令發(fā)送至P-CSCFd^i IMS中除P-CSCF外的其他資產(chǎn)造成嚴(yán)重威脅�、中級威脅的高 級���、中級威脅等級的畸形SIP信令發(fā)送至IMS中除P-CSCF外的其他資產(chǎn)����;當(dāng)檢測策略為全面檢測策略時,根據(jù)測試方案中確定的需要測試資產(chǎn)、需要測試 安全目標(biāo)等以及畸形SIP信令的威脅維度內(nèi)容����,如影響資產(chǎn)��、影響安全目標(biāo)等�����,選取適合上 述測試方案并分別將對P-CSCF造成嚴(yán)重威脅��、中級威脅���、輕微威脅的高級、中級���、低級威脅 等級的畸形SIP信令發(fā)送至P-CSCFj^i IMS中除P-CSCF外的其他資產(chǎn)造成嚴(yán)重威脅��、中 級威脅、輕微威脅的高級���、中級����、低級威脅等級的畸形SIP信令發(fā)送至IMS中除P-CSCF外的 其他資產(chǎn)�。步驟S206����,檢測IMS的網(wǎng)絡(luò)狀態(tài),生成檢測報告,并通過檢測報告確定IMS的漏洞��。本步驟中,通過發(fā)送合法的SIP消息給IMS��,根據(jù)接收到的IMS回復(fù)的響應(yīng),檢測 IMS當(dāng)前的網(wǎng)絡(luò)狀態(tài)��,并將IMS回復(fù)的響應(yīng)記錄到檢測報告中。圖3示出了本發(fā)明IP多媒體子系統(tǒng)漏洞檢測的系統(tǒng)結(jié)構(gòu)�,所述系統(tǒng)包括畸形SIP 信令生成單元10���、檢測策略制定單元20、發(fā)送單元30以及檢測單元40 �;其中����,畸形SIP信 令生成單元10���,用于根據(jù)SIP信令規(guī)范及特點����,構(gòu)造IMS的畸形SIP信令�����,并設(shè)置所述畸形 SIP信令的威脅維度;檢測策略制定單元20���,用于根據(jù)用戶的需求及所述畸形SIP信令生成 單元10設(shè)置的畸形SIP信令的威脅維度����,設(shè)置IMS的檢測策略;發(fā)送單元30��,用于根據(jù)用 戶選擇的檢測策略、測試方案�����,從所述畸形SIP信令生成單元10中選取畸形SIP信令發(fā)送 至IMS�����,并發(fā)送觸發(fā)信息給檢測單元40 �����;檢測單元40��,用于根據(jù)所述發(fā)送單元30發(fā)送的觸 發(fā)信息,檢測IMS的網(wǎng)絡(luò)狀態(tài)�����,并生成檢測報告����。進一步地����,所述畸形SIP信令生成單元10還包括劃分模塊11��、定位模塊12��、異常 元素類型獲取模塊13��、構(gòu)造模塊14以及威脅維度設(shè)置模塊15 �����;其中��,劃分模塊11�,用于將 SIP信令劃分成不同的字段;定位模塊12�����,用于根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法�,定位劃 分模塊11劃分得到的SIP信令的字段�����;異常元素類型獲取模塊13�,用于根據(jù)所述定位模塊 12定位得到的SIP信令的字段���,獲取所述字段對應(yīng)的異常元素類型����;構(gòu)造模塊14�,用于根據(jù) 異常元素類型獲取模塊13獲取的異常元素類型,構(gòu)造IMS的畸形SIP信令��;威脅維度設(shè)置 模塊15�����,用于設(shè)置所述構(gòu)造模塊14構(gòu)造得到的畸形SIP信令的威脅維度�����。具體地,劃分模塊11具體用于在SIP信令塊層面上�,將SIP信令劃分為請求行或 者狀態(tài)行���、SIP信令頭以及SIP信令體���;或者在SIP信令行層面上���,利用換行符號將SIP信 令劃分為行集合,其中所述換行符號可以為回車符;或者在SIP信令字符串層面上��,利用分 界符將SIP信令劃分為字符串集合,其中所述分界符可以為空格����;或者在SIP信令單詞層面 上��,將SIP信令劃分成最小的有意義的單詞集合。定位模塊12具體用于根據(jù)畸形規(guī)則構(gòu)造方法指向的字段����、以及所述字段的關(guān)鍵 字��,定位所述劃分模塊11劃分得到的SIP信令的字段����,其中所述畸形規(guī)則構(gòu)造方法包括字 段重復(fù)、字段刪除�����、字段插入及字段亂序的一種或多種�����。異常元素類型獲取模塊13具體用于根據(jù)預(yù)先存儲的SIP信令的字段與異常元素
11類型的對應(yīng)關(guān)系���,以及所述定位模塊12定位得到的SIP信令的字段�����,獲取所述定位得到的 SIP信令的字段對應(yīng)的異常元素類型�,其中��,異常元素類型包括溢出異常、整數(shù)異常��、資源標(biāo) 志符URI異常�、格式控制符異常��、ANSI碼轉(zhuǎn)義異常、通用轉(zhuǎn)換格式UTF-8異常及IP地址異 常的一種或多種�����。進一步地���,所述畸形SIP信令的威脅維度包括威脅維度內(nèi)容和威脅維度等級��;其 中,所述威脅維度內(nèi)容包括影響資產(chǎn)�����、影響安全目標(biāo)以及造成的威脅一種或多種;所述威脅 維度等級包括低級威脅��、中級威脅以及高級威脅一種或多種;所述檢測策略包括快速檢測 策略�、有效檢測策略以及全面檢測策略的一種或多種��。發(fā)送單元30具體用于當(dāng)檢測策略為快速檢測策略時,根據(jù)畸形SIP信令的威脅維 度內(nèi)容及測試方案��,從畸形SIP信令生成單元10生成的畸形SIP信令中選取高級威脅等級 的畸形SIP信令發(fā)送至IMS ;當(dāng)檢測策略為有效檢測策略時��,根據(jù)畸形SIP信令的威脅維度 內(nèi)容及測試方案���,從畸形SIP信令生成單元10生成的畸形SIP信令中選取高級威脅等級的 畸形SIP信令���、以及中級威脅等級的畸形SIP信令發(fā)送至IMS ��;當(dāng)檢測策略為全面檢測策略 時,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案�,從畸形SIP信令生成單元10生成的畸 形SIP信令中選取高級威脅等級的畸形SIP信令�����、中級威脅等級的畸形SIP信令����、以及低級 威脅等級的畸形SIP信令發(fā)送至IMS。以上所述,僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的保護范圍����。
權(quán)利要求
1.一種IP多媒體子系統(tǒng)漏洞檢測的方法����,其特征在于,所述方法包括下述步驟 根據(jù)SIP信令規(guī)范及特點��,構(gòu)造IP多媒體子系統(tǒng)IMS的畸形SIP信令����,并設(shè)置所述畸形SIP信令的威脅維度��;根據(jù)用戶的需求及所述畸形SIP信令的威脅維度����,設(shè)置IMS的檢測策略�����; 根據(jù)用戶選擇的檢測策略��、測試方案�,選取畸形SIP信令發(fā)送至IMS ����; 檢測IMS的網(wǎng)絡(luò)狀態(tài)�����,生成檢測報告�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述根據(jù)SIP信令規(guī)范及特點構(gòu)造IMS的 畸形SIP信令為將SIP信令劃分成不同的字段����;根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法��,定位SIP信令的字段����; 根據(jù)定位得到的SIP信令的字段���,獲取所述字段對應(yīng)的異常元素類型����; 根據(jù)所述異常元素類型����,構(gòu)造IMS的畸形SIP信令����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述將SIP信令劃分成不同的字段為 在SIP信令塊層面上,將SIP信令劃分為請求行或者狀態(tài)行����、SIP信令頭以及SIP信令體;或者��,在SIP信令行層面上,利用換行符號將SIP信令劃分為行集合��;或者, 在SIP信令字符串層面上�����,利用分界符將SIP信令劃分為字符串集合���;或者����, 在SIP信令單詞層面上����,將SIP信令劃分成單詞集合。
4.根據(jù)權(quán)利要求2所述的方法����,其特征在于���,所述畸形規(guī)則構(gòu)造方法包括字段重復(fù)����、字 段刪除���、字段插入及字段亂序的一種或多種��;所述定位SIP信令的字段為根據(jù)畸形規(guī)則構(gòu)造方法指向的字段以及所述字段的關(guān)鍵 字����,定位SIP信令的字段���。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于���,所述異常元素類型包括溢出異常、整數(shù)異 常、資源標(biāo)志符URI異常�����、格式控制符異常���、ANSI碼轉(zhuǎn)義異常、通用轉(zhuǎn)換格式UTF-8異常及 IP地址異常的一種或多種���;所述根據(jù)定位得到的SIP信令的字段,獲取所述字段對應(yīng)的異常元素類型為 根據(jù)預(yù)先存儲的SIP信令的字段與異常元素類型的對應(yīng)關(guān)系�,以及定位得到的SIP信 令的字段�,獲取所述定位得到的SIP信令的字段對應(yīng)的異常元素類型����。
6.根據(jù)權(quán)利要求1至5任一項所述的方法,其特征在于��,所述威脅維度包括威脅維度內(nèi) 容和威脅維度等級����;其中���,所述威脅維度內(nèi)容包括影響資產(chǎn)�、影響安全目標(biāo)以及造成的威脅 的一種或多種�;所述威脅維度等級包括低級威脅�����、中級威脅以及高級威脅一種或多種;所 述測試方案包括測試資產(chǎn)���、測試安全目標(biāo)以及測試的威脅的一種或多種���;所述根據(jù)用戶選擇的檢測策略、測試方案以及所述畸形SIP信令的威脅維度����,選取畸 形SIP信令發(fā)送到IMS為當(dāng)檢測策略為快速檢測策略時�����,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案�����,選取 高級威脅等級的畸形SIP信令發(fā)送至IMS ����;當(dāng)檢測策略為有效檢測策略時���,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案,選取 高級威脅等級的畸形SIP信令�����、以及中級威脅等級的畸形SIP信令發(fā)送至IMS ;當(dāng)檢測策略為全面檢測策略時�����,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案,選取高級威脅等級的畸形SIP信令�、中級威脅等級的畸形SIP信令����、以及低級威脅等級的畸形 SIP信令發(fā)送至IMS�����。
7.—種IP多媒體子系統(tǒng)漏洞檢測的系統(tǒng)����,其特征在于�����,所述系統(tǒng)包括畸形SIP信令生 成單元�����、檢測策略制定單元、發(fā)送單元以及檢測單元���;其中���,所述畸形SIP信令生成單元�,用于根據(jù)SIP信令規(guī)范及特點�����,構(gòu)造IMS的畸形SIP信令, 并設(shè)置所述畸形SIP信令的威脅維度��;檢測策略制定單元,用于根據(jù)用戶的需求及所述畸形SIP信令生成單元設(shè)置的畸形 SIP信令的威脅維度����,設(shè)置IMS的檢測策略���;發(fā)送單元�����,用于根據(jù)用戶選擇的檢測策略�、測試方案�,從所述畸形SIP信令生成單元中 選取畸形SIP信令發(fā)送至IMS���,并發(fā)送觸發(fā)信息給檢測單元�;檢測單元,用于根據(jù)所述發(fā)送單元發(fā)送的觸發(fā)信息��,檢測IMS的網(wǎng)絡(luò)狀態(tài)�����,并生成檢測 報告。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于����,所述畸形SIP信令生成單元進一步包括 劃分模塊���、定位模塊���、異常元素類型獲取模塊����、構(gòu)造模塊以及威脅維度設(shè)置模塊���;其中,劃分模塊�,用于將SIP信令劃分成不同的字段�����;定位模塊���,用于根據(jù)預(yù)先定義的畸形規(guī)則構(gòu)造方法��,定位所述劃分模塊劃分得到的SIP 信令的字段���;異常元素類型獲取模塊���,用于根據(jù)所述定位模塊定位得到的SIP信令的字段�����,獲取所 述字段對應(yīng)的異常元素類型����;構(gòu)造模塊����,用于根據(jù)異常元素類型獲取模塊獲取的異常元素類型及預(yù)先存儲的異常元 素值,構(gòu)造IMS的畸形SIP信令�;威脅維度設(shè)置模塊,用于設(shè)置所述構(gòu)造模塊構(gòu)造得到的畸形SIP信令的威脅維度�����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于����,所述劃分模塊具體用于在SIP信令塊層 面上,將SIP信令劃分為請求行或者狀態(tài)行�、SIP信令頭以及SIP信令體�����;或者在SIP信令 行層面上����,利用換行符號將SIP信令劃分為行集合��;或者在SIP信令字符串層面上�,利用分 界符將SIP信令劃分為字符串集合���;或者在SIP信令單詞層面上,將SIP信令劃分成單詞集 合��;所述定位模塊具體用于根據(jù)畸形規(guī)則構(gòu)造方法指向的字段以及所述字段的關(guān)鍵字,定 位所述劃分模塊劃分得到的SIP信令的字段�,其中所述畸形規(guī)則構(gòu)造方法包括字段重復(fù)、 字段刪除、字段插入及字段亂序的一種或多種���;所述異常元素類型獲取模塊具體用于根據(jù)預(yù)先存儲的SIP信令的字段與異常元素類 型的對應(yīng)關(guān)系��,以及所述定位模塊定位得到的SIP信令的字段�����,獲取所述定位得到的SIP信 令的字段對應(yīng)的異常元素類型�����。
10.根據(jù)權(quán)利要求7至9任一項所述的系統(tǒng)���,其特征在于,所述畸形SIP信令的威脅 維度包括威脅維度內(nèi)容和威脅維度等級�����;其中�����,所述威脅維度內(nèi)容包括影響資產(chǎn)��、影響安全 目標(biāo)以及造成的威脅的一種或多種���;所述威脅維度等級包括低級威脅�����、中級威脅以及高級 威脅一種或多種�����;所述測試方案包括測試資產(chǎn)�����、測試安全目標(biāo)以及測試的威脅的一種或多 種�;所述發(fā)送單元具體用于當(dāng)檢測策略為快速檢測策略時,根據(jù)畸形SIP信令的威脅維度內(nèi)容及測試方案�,從畸形SIP信令生成單元生成的畸形SIP信令中選取高級威脅等級的畸 形SIP信令發(fā)送至IMS;當(dāng)檢測策略為有效檢測策略時����,根據(jù)畸形SIP信令的威脅維度內(nèi)容 及測試方案���,從畸形SIP信令生成單元生成的畸形SIP信令中選取高級威脅等級的畸形SIP 信令以及中級威脅等級的畸形SIP信令發(fā)送至IMS ;當(dāng)檢測策略為全面檢測策略時�,根據(jù)畸 形SIP信令的威脅維度內(nèi)容及測試方案,從畸形SIP信令生成單元生成的畸形SIP信令中 選取高級威脅等級的畸形SIP信令��、中級威脅等級的畸形SIP信令以及低級威脅等級的畸 形SIP信令發(fā)送至IMS。
全文摘要
本發(fā)明提供了一種IP多媒體子系統(tǒng)漏洞檢測的方法及系統(tǒng)��,所述方法包括根據(jù)SIP信令規(guī)范及特點,構(gòu)造IP多媒體子系統(tǒng)IMS的畸形SIP信令�,并設(shè)置所述畸形SIP信令的威脅維度;根據(jù)用戶的需求及畸形SIP信令的威脅維度����,設(shè)置IMS的檢測策略�;根據(jù)用戶選擇的檢測策略�、測試方案,選取畸形SIP信令發(fā)送至IMS;檢測IMS的網(wǎng)絡(luò)狀態(tài)���,生成檢測報告�����。本發(fā)明通過構(gòu)造畸形SIP信令并設(shè)置畸形SIP信令的威脅維度��,根據(jù)用戶需求制定檢測策略,根據(jù)用戶選擇的檢測策略及測試方案選取適宜的畸形SIP信令發(fā)送至IMS�����,檢測IMS接收到畸形SIP信令后的網(wǎng)絡(luò)狀態(tài),實現(xiàn)了IMS的漏洞檢測����,有助于實現(xiàn)IMS安全性的提高���。
文檔編號H04L29/06GK101997879SQ20101055772
公開日2011年3月30日 申請日期2010年11月22日 優(yōu)先權(quán)日2010年11月22日
發(fā)明者于曉燕, 雙鍇, 徐鵬, 楊放春, 王玉龍, 蘇森, 陳莉瑩 申請人:北京郵電大學(xué)