一種IMS 網(wǎng)絡(luò)的網(wǎng)絡(luò)安全監(jiān)控和防范處理方法

劉國強(qiáng)

摘要： 隨著IMS網(wǎng)絡(luò)的快速發(fā)展，IMS邊緣匯聚層的網(wǎng)絡(luò)安全變得越來越重要，該文針對IMS邊緣匯聚層設(shè)備所面臨的各種安全威脅，提出一種IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)安全監(jiān)控和防范處理的方法，有效了保證了IMS網(wǎng)絡(luò)的安全。

關(guān)鍵詞： IMS； 安全； 監(jiān)控

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）26-0023-02

The Method for Network Security Monitoring and Resolving about the IMS Network

LIU Guo-qiang

（Zhuhai Branch of China Telecom Co.， Ltd.， Zhuhai 519000， China）

Abstract： With the rapid development of IMS network， the network security about the IMS edge convergence layer become more and more important .This article in view of the IMS edge convergence layer of the security threat and put forward a method for network security monitoring and resolving about the IMS network， effectively guarantee the safty of the IMS network.

Key words： IMS； security； monitor

1 引言

IMS是3GPP[1]在R5階段標(biāo)準(zhǔn)化的，是在分組域中完成多媒體通信的子系統(tǒng)。IMS采用SIP（Session InitiationProtocol）協(xié)議作為其會話控制協(xié)議，利用SIP簡單、靈活、易擴(kuò)展、媒體協(xié)商便捷等特點(diǎn)來提高網(wǎng)絡(luò)的未來適應(yīng)能力?；贗P技術(shù)實現(xiàn)的IMS網(wǎng)絡(luò)為固定網(wǎng)絡(luò)與移動網(wǎng)絡(luò)融合提供了有效支撐，但也繼承了來自IP網(wǎng)絡(luò)的眾多安全威脅，智能化的IMS終端不但具有的實現(xiàn)更多通信業(yè)務(wù)的能力，同時也具備了更大的對通信網(wǎng)絡(luò)進(jìn)行攻擊的能力，安全成為一個在業(yè)務(wù)部署時必須要考慮的問題。

在實際網(wǎng)絡(luò)中，部分用戶終端和設(shè)備處在接入網(wǎng)中，這部分網(wǎng)絡(luò)在公眾IP網(wǎng)絡(luò)中，而公眾IP網(wǎng)絡(luò)由于其開放性，存在很多安全問題，這樣會給邊緣匯聚層設(shè)備會帶來各種網(wǎng)絡(luò)安全問題。

2 IMS網(wǎng)絡(luò)面臨的安全威脅

傳統(tǒng)的電信網(wǎng)絡(luò)采用獨(dú)立的信令網(wǎng)來完成呼叫的建立、路由和控制等過程， 信令網(wǎng)的安全能夠保證網(wǎng)絡(luò)的安全。而且傳輸采用時分復(fù)用（ TDM） 的專線， 用戶之間采用面向連接的通道進(jìn)行通信，避免了來自其他終端用戶的各種竊聽和攻擊。

而IMS 的網(wǎng)絡(luò)使用IP 技術(shù)作為主要的傳輸方式，基于IP 協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù)， 通過采用多種不同的接入方式來共享業(yè)務(wù)平臺， 增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性。由于IMS 是建立在IP 基礎(chǔ)上，使得IMS 的安全性要求比傳統(tǒng)運(yùn)營商在獨(dú)立網(wǎng)絡(luò)上運(yùn)營要高的多，不管是由移動接入還是固定接入， IMS 的安全問題都不容忽視[2，3]。

IMS網(wǎng)絡(luò)面臨的安全威脅除了來自開放性IP網(wǎng)絡(luò)帶來的安全威脅外，同時還有來自終端本身的威脅，主要?dú)w納有以下幾類：

1） 終端自身行為：由于終端本身的問題，如硬件故障、軟件BUG等，導(dǎo)致終端不停向注冊網(wǎng)關(guān)發(fā)起注冊消息，當(dāng)多個終端同時進(jìn)行大量注冊時，可能導(dǎo)致注冊網(wǎng)關(guān)設(shè)備負(fù)荷過高而導(dǎo)致網(wǎng)絡(luò)癱瘓。

2） 攻擊者盜用用戶終端的信息：用戶終端的信息被惡意獲取，并利用終端信息非法注冊或者向注冊網(wǎng)關(guān)發(fā)送大量注冊或者其他信息，導(dǎo)致注冊網(wǎng)關(guān)設(shè)備負(fù)荷過高而導(dǎo)致網(wǎng)絡(luò)癱瘓。

3） 網(wǎng)絡(luò)攻擊者非法訪問接入層設(shè)備：網(wǎng)絡(luò)攻擊者不斷嘗試接入層設(shè)備的訪問口令，以便獲取到真正的口令后訪問甚至修改或者刪除設(shè)備數(shù)據(jù)配置，導(dǎo)致網(wǎng)絡(luò)異常，或者來自共網(wǎng)載網(wǎng)絡(luò)（如：Internet接入網(wǎng)）的攻擊者發(fā)送惡意的路由報文，干擾路由協(xié)議的正常交互，造成路由器不能正常轉(zhuǎn)發(fā)報文使得全網(wǎng)陷入癱瘓狀態(tài)，從而破壞IMS的網(wǎng)絡(luò)。

3 一種IMS網(wǎng)絡(luò)安全監(jiān)控處理方法

針對IMS網(wǎng)絡(luò)面臨的各種安全威脅，本文提出一種IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)安全監(jiān)控方法，該方法通過端口鏡像的方式將數(shù)據(jù)包送到獨(dú)立的服務(wù)器，服務(wù)器對各種網(wǎng)絡(luò)行為進(jìn)行分析，并對各種異常行為進(jìn)行報警，提醒網(wǎng)絡(luò)維護(hù)人員進(jìn)行響應(yīng)處理，提高網(wǎng)絡(luò)的安全性。IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)如下：

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

3.1 端口鏡像

端口鏡像是將指定端口（源端口）、VLAN（源VLAN）或CPU（源CPU）的報文復(fù)制一份到其它端口（目的端口），目的端口會與數(shù)據(jù)監(jiān)測設(shè)備相連，用戶利用這些數(shù)據(jù)監(jiān)測設(shè)備來分析復(fù)制到目的端口的報文，進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。

本文通過端口鏡像，將邊緣匯聚層的交換機(jī)、路由器的匯聚端口的上下行流量數(shù)據(jù)送到數(shù)據(jù)監(jiān)控服務(wù)器中，一般的交換機(jī)或者路由器存在跨板鏡像時只能鏡像一個端口的限制，因此在選取需要鏡像的端口時，盡量考慮鏡像端口和被鏡像端口處在同一塊板件上。

3.2 鏡像數(shù)據(jù)獲取和存儲

考慮到系統(tǒng)的整體性和連接性，抓取數(shù)據(jù)程序和數(shù)據(jù)分析程序都采用JAVA編程，在獲取鏡像數(shù)據(jù)時JAVA程序調(diào)用JPCAP這個中間件，因為JPCAP調(diào)用WINPCAP/LIBPCAP，而WINPCAP可以直接從服務(wù)器網(wǎng)卡獲取鏡像過來的數(shù)據(jù)，從而實現(xiàn)了平臺無關(guān)性。

3.3 系統(tǒng)設(shè)計

整個系統(tǒng)采用JAVA底層語音，分為數(shù)據(jù)獲取模塊，數(shù)據(jù)存儲模塊，數(shù)據(jù)分析模塊，告警信息展示模塊等，數(shù)據(jù)的流向為：數(shù)據(jù)獲取模塊從鏡像的數(shù)據(jù)服務(wù)器的網(wǎng)卡獲取鏡像數(shù)據(jù)，數(shù)據(jù)存儲模塊按照一定的格式將關(guān)鍵數(shù)據(jù)如源IP、目的IP、協(xié)議類型、IP包大小、端口、MAC地址等存儲到數(shù)據(jù)庫，然后數(shù)據(jù)分析模塊按照規(guī)則分析數(shù)據(jù)，并生成分析數(shù)據(jù)和告警信息，最后由告警信息展示模塊將相關(guān)信息展示給系統(tǒng)分析人員進(jìn)行處理。系統(tǒng)模塊和處理流程如下：

圖2 系統(tǒng)模塊和處理流程

該系統(tǒng)可以迅速發(fā)現(xiàn)IMS網(wǎng)絡(luò)遇到的各種網(wǎng)絡(luò)安全威脅，并及時提示網(wǎng)絡(luò)維護(hù)人員進(jìn)行處理，起到很好的監(jiān)控和預(yù)防作用。

4 IMS網(wǎng)絡(luò)安全的防范處理方法

對于系統(tǒng)提示的告警信息等，我們可以采用以下方法進(jìn)行處理，將網(wǎng)絡(luò)威脅阻止在初始階段，保證網(wǎng)絡(luò)安全，保障業(yè)務(wù)的正常運(yùn)行。

1）邊緣匯聚交換機(jī)和接入層網(wǎng)絡(luò)交換機(jī)之間只開啟靜態(tài)路由：因為OSPF或者BGP等路由協(xié)議會將邊緣匯聚層設(shè)備內(nèi)部的路由泄露到接入層網(wǎng)絡(luò)，如果接入層設(shè)備被侵入，那么邊緣匯聚層設(shè)備內(nèi)部路由會被侵入者獲知，一些內(nèi)部組網(wǎng)和數(shù)據(jù)等會被侵入者獲得，甚至一些漏洞會被利用來進(jìn)行網(wǎng)絡(luò)攻擊。

2）在邊緣匯聚交換機(jī)啟動TELNET訪問控制列表：只開放授權(quán)的IP登錄交換機(jī)，對于異常IP地址和異常時間登錄邊緣匯聚交換機(jī)和SBC交換機(jī)的行為，通過IP地址和MAC地址等信息進(jìn)行追蹤處理，同時設(shè)置訪問密碼的復(fù)雜程度并定期修改，在交換機(jī)對密碼進(jìn)行加密，防止密碼泄露。

3）對系統(tǒng)及時提示的IP地址頻繁向匯聚交換機(jī)發(fā)起的注冊或其他數(shù)據(jù)包：由于匯聚設(shè)備的處理能力有限，如果同一時間有大量的注冊消息或者其他消息上到匯聚設(shè)備，匯聚設(shè)備會消耗大量的資源處理這些消息，從而沒有剩余的資源處理正常的消息，導(dǎo)致正常呼叫無法接續(xù)、正常用戶無法注冊，更嚴(yán)重時會導(dǎo)致系統(tǒng)DOWN機(jī)而引起話務(wù)全阻。對于這類情況，可及時分析是終端異常造成還是異常入侵行為，根據(jù)情況可在交換機(jī)上對源IP地址進(jìn)行限制，防止大量異常行為導(dǎo)致注冊網(wǎng)關(guān)設(shè)備負(fù)荷過高而引起網(wǎng)絡(luò)癱瘓。

4）檢測IP報大小：在IMS網(wǎng)絡(luò)中，主要是注冊流程消息、心跳消息、語音信令和媒體消息等，這些消息的大小都比較固定，如果發(fā)現(xiàn)網(wǎng)絡(luò)中有較大的IP包，可以判斷這個包為異常包，可以對源IP地址等進(jìn)行分析和攔截。

5 結(jié)束語

本文分析了IMS網(wǎng)絡(luò)的一些典型的網(wǎng)絡(luò)安全問題，提出并分析一種網(wǎng)絡(luò)監(jiān)控預(yù)防的方法，并針對相關(guān)的網(wǎng)絡(luò)安全問題提出解決的方法。通過以上方法，能夠有效的保證IMS網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 3GPP TS 33.210v7.2.0.3G Security；Network Domain Security；IP Network Layer Security（Release 7），Dec 2006.

[2] 程寶平，梁守青. IMS 原理與應(yīng)用[M]. 北京：機(jī)械工業(yè)出版社，2007.

[3] 左伯茹. IMS 網(wǎng)絡(luò)接入安全方案研究[D]. 北京郵電大學(xué)， 2006.