于娟娟，余謙，賀延敏，鄧巖

（中國移動通信集團(tuán)河南有限公司，鄭州 450008）

CM-IMS系統(tǒng)是移動公司業(yè)務(wù)開展至今最為開放的一套系統(tǒng)，隨著業(yè)務(wù)的發(fā)展，系統(tǒng)的開放性和方便靈活的業(yè)務(wù)承載，已經(jīng)成為黑客關(guān)注和攻擊的新目標(biāo)。已經(jīng)先后在多個省公司發(fā)生針對CM-IMS系統(tǒng)國內(nèi)、國際長途盜打，PBX業(yè)務(wù)濫用，賬號口令猜測引發(fā)的盜號，發(fā)送業(yè)務(wù)畸形分組攻擊核心網(wǎng)絡(luò)等安全問題。

本文從幾種常見的攻擊談起，分別分析每種攻擊產(chǎn)生的原因、如何檢測攻擊，最終實現(xiàn)攻擊抑制和防護(hù)。同時，本文介紹了一套在現(xiàn)網(wǎng)定制開發(fā)的IMS安全防護(hù)系統(tǒng)，可以有效解決IMS相關(guān)安全問題。

1 從SIP看IMS安全

IMS網(wǎng)絡(luò)的信令基礎(chǔ)是SIP，Session Initiation Protocol (RFC 3261)是IETF多媒體架構(gòu)的其中一部分，像HTTP又像E-mail的SMTP，就是不像ITU-T的H.232。

讓我們做一個近距離的比對，看看SIP和SMTP是如何相似。如圖1所示。

通過比對兩個協(xié)議的分組頭發(fā)現(xiàn)，SIP雖然是一個為語音設(shè)計的電信協(xié)議，但是它模仿了太多的傳統(tǒng)IP SMTP，SMTP由于出現(xiàn)的太早，所以很少涉及安全考慮和措施。想偽造別人的郵箱發(fā)送郵件只要在特定環(huán)境下更改“from”信令后面的信息即可，實現(xiàn)偽源電話也是同樣的道理。

圖1 SIP和SMTP的對比

SIP如此簡單，IMS攻擊也就變得如此容易，所以它所面臨的安全問題比SMTP還要多。

2 IMS安全問題分析

2.1 基于IMS的盜打、濫用、盜號

2.1.1 問題表象

業(yè)務(wù)盜用：指盜打國際長途，盜用IMS賬號進(jìn)行呼叫等未經(jīng)授權(quán)的行為，盜用可能伴隨盜號同時發(fā)生。業(yè)務(wù)濫用：指超出正常業(yè)務(wù)使用模式的垃圾呼叫，欺詐等使用行為，例如“響一聲”電話。

發(fā)生盜用、濫用的原因主要是以下4種可能，當(dāng)前以IP PBX問題居多，如圖2所示。

2.1.2 攻擊檢測

IMS系統(tǒng)里面的安全網(wǎng)元SBC對于此類攻擊幾乎沒有任何防護(hù)效果，主要原因是SBC無法判斷用戶是正常合法用戶，還是被盜用后上線的非法用戶。

可以從基于會話的用戶行為模型進(jìn)行分析。盜打、濫用一般都表現(xiàn)為大量的國際長途呼叫，呼叫的號碼不固定，呼叫的時間很隨機(jī)，與正?？蛻舻暮艚袝泻艽蟛顒e，其實很容易判斷。但是需要知道什么是正常的用戶呼叫，用戶正常的呼叫習(xí)慣是什么，而且是針對每一個客戶的行為習(xí)慣，這樣就很容易判斷什么是異常的呼叫了。

一旦為每個用戶建立了這樣的用戶呼叫行為習(xí)慣模型，就能輕松捕捉到黑客的盜用、濫用行為，當(dāng)用戶發(fā)起呼叫的時候，通過用戶呼叫行為習(xí)慣模型，就可以很容易地識別出正常和非正?？蛻袅?。

建模可以通過以下5元組建立，也可以引入更多的行為特點，如圖3所示。

圖2 CM-IMS業(yè)務(wù)盜用、濫用的原因分析

圖3 會話建模示意圖

例如用戶在凌晨3點登錄，不符合用戶以往的行為特點，視為一級告警；同時登錄的IP地址不在以往統(tǒng)計的所有IP地址范圍內(nèi)，告警升級為二級；如果用戶又撥打了國際長途，而且呼叫時長、頻次，及被叫號碼等都不符合用戶以往習(xí)慣特點，升級為三級告警，盜打的可能性已經(jīng)很大了，可以考慮采取一定的措施主動聯(lián)系客戶或者抑制客戶呼叫。

2.1.3 抑制和防護(hù)

如果已經(jīng)判斷和發(fā)現(xiàn)了盜打、濫用，可以通過實時和非實時方式處理。非實時方式可以通過特定系統(tǒng)告知后臺的BOSS，鎖定客戶賬號等方式；實時方式就需要有一個系統(tǒng)通過特定協(xié)議通知SBC/P-CSCF等網(wǎng)元，斷開用戶當(dāng)前及后續(xù)的呼叫。

當(dāng)然，也涉及到一個溯源的問題。這個問題與傳統(tǒng)的IP攻擊溯源沒有差別，也同樣面臨一些困難。在已經(jīng)發(fā)生的案例中，黑客的安全意識相對比較強(qiáng)，他們在盜用IMS系統(tǒng)呼叫的時候，往往通過國外的一個Proxy服務(wù)器或者國外的一個免費(fèi)的VPN網(wǎng)關(guān)連接到國內(nèi)運(yùn)營商的IMS系統(tǒng)，溯源的時候可能面臨很難追查下一跳的問題。

2.2 針對IMS核心網(wǎng)的SIP畸形分組攻擊

2.2.1 問題表象

SIP畸形攻擊類似于傳統(tǒng)的IP畸形分組攻擊，主要是利用軟件系統(tǒng)開發(fā)的bug或者系統(tǒng)處理異常發(fā)起攻擊。例如某廠商開發(fā)的IMS系統(tǒng)定義Call ID字長不超過20個字符，可能定義一個20個字長的堆棧，黑客可以發(fā)送一個100字長的Call ID，如果程序不對超長做專門的處理，可能會造成堆棧溢出，系統(tǒng)死機(jī)或者死循環(huán)等問題。

在實際的現(xiàn)網(wǎng)測試中也發(fā)現(xiàn)，幾個簡單的SIP畸形分組就可能造成核心網(wǎng)元宕機(jī)、過載或者引起特定分組在網(wǎng)內(nèi)頻繁轉(zhuǎn)發(fā)造成網(wǎng)絡(luò)風(fēng)暴。

SIP畸形協(xié)議分組大概有以下7種類型：格式畸形；溢出畸形；Utf-8編碼畸形；參數(shù)重復(fù)畸形；參數(shù)字段缺失畸形；IPv4畸形和IPv6畸形。

2.2.2 攻擊檢測

理論上SBC是會對這類畸形分組進(jìn)行檢測并抑制。問題在于SBC的處理能力和檢測能力的實時更新。要想對絕大多數(shù)的SIP畸形都能發(fā)現(xiàn)，需要引入魯棒檢測技術(shù)，窮舉可能發(fā)生的畸形特點，構(gòu)造對應(yīng)的攻擊特征庫，并且要像更新病毒特征碼一樣不斷更新?？墒?，當(dāng)前的SBC沒有部署這樣的能力。另外，如果有太多的在線檢測和處理過程，SBC也可能不堪重負(fù)。

為提高SIP畸形檢測能力，需要SBC之外的某個系統(tǒng)代替SBC進(jìn)行安全檢測，實時更新又不影響IMS系統(tǒng)的正常業(yè)務(wù)。后續(xù)談到的IMS安全防護(hù)系統(tǒng)就在旁路的位置部署了這樣一套SIP畸形檢測特征庫，包含1000多種SIP畸形特征碼，可以在不影響IMS系統(tǒng)效率的情況下處理SIP攻擊。

2.2.3 抑制和防護(hù)

對付這類攻擊無非就是2種解決方案，要么修補(bǔ)IMS核心網(wǎng)元bug，要么提供外圍防護(hù)系統(tǒng)。IMS核心網(wǎng)元bug不可能實時修復(fù)，必然存在一個發(fā)現(xiàn)到修補(bǔ)的周期，這個周期就是黑客利用的周期，當(dāng)然也可能存在有了補(bǔ)丁，但是沒有及時修補(bǔ)的情況，更給黑客留下了豐富的利用漏洞搞破壞的時間。

所以，此類問題的抑制和防護(hù)必然需要一個外圍的安全防護(hù)系統(tǒng)，通常應(yīng)該和SIP畸形檢測系統(tǒng)合體，檢測到問題在攻擊分組到達(dá)特定網(wǎng)元的時候就通知核心網(wǎng)終止這個分組。

2.3 針對IMS核心網(wǎng)的DoS/DDoS攻擊

2.3.1 問題表象

DoS/DDoS在IP網(wǎng)里面再常見不過了，大量數(shù)據(jù)分組擁塞網(wǎng)絡(luò)或者大量虛假連接耗盡服務(wù)器資源是很有效的破壞手段，基于IP網(wǎng)絡(luò)的IMS系統(tǒng)也不能幸免。

但是有一個測試結(jié)果讓我們更加悲觀。經(jīng)過測試發(fā)現(xiàn)，針對IMS業(yè)務(wù)的DoS/DDoS攻擊比針對底層IP網(wǎng)絡(luò)的DoS/DDoS攻擊更有效。例如黑客發(fā)送10000個SYN flood洪水攻擊分組才能打癱一臺服務(wù)器，而發(fā)送幾百個SIP register攻擊分組就可以讓IMS系統(tǒng)癱瘓。原因是register過程服務(wù)器會進(jìn)行加解密處理，增加了系統(tǒng)對資源的消耗。

2.3.2 攻擊檢測

國外的運(yùn)營商已經(jīng)發(fā)生了這樣的情況，運(yùn)營商部署了Anti-DDoS系統(tǒng)，但是依然沒有起到防護(hù)作用。

原因要從Anti-DDoS系統(tǒng)原理說起。Anti-DDoS系統(tǒng)基本分為2個部分：DoS/DDoS檢測系統(tǒng)和旁路的引流清洗系統(tǒng)。在上面的問題中，DoS/DDoS檢測系統(tǒng)由于是為傳統(tǒng)IP設(shè)計，不具備SIP協(xié)議DoS/DDoS檢測能力，所以沒能發(fā)現(xiàn)針對IMS業(yè)務(wù)的SIP的DoS/DDoS攻擊，造成沒能及時引流和清洗攻擊流量。所以要實現(xiàn)IMS系統(tǒng)的Anti-DDoS，不僅僅要能處理傳統(tǒng)IP，還要能處理SIP等業(yè)務(wù)協(xié)議。

2.3.3 抑制和防護(hù)

既然能夠識別SIP業(yè)務(wù)協(xié)議，借助傳統(tǒng)的Anti-DDoS產(chǎn)品實現(xiàn)DoS/DDoS攻擊防護(hù)就不難了。

可是問題又來了。傳統(tǒng)的Anti-DDoS系統(tǒng)對特定IP的攻擊流量全部引流、清洗，大大增加了處理時延，對于時間不敏感的數(shù)據(jù)業(yè)務(wù)沒有問題，但是對于IMS語音業(yè)務(wù)增加時延用戶就很難接受了。

對于此類問題，建議采用在線標(biāo)記路由方式處理。首先，還是要有DoS/DDoS發(fā)現(xiàn)系統(tǒng)，發(fā)現(xiàn)攻擊后，對SIP信令流量打標(biāo)簽，而不處理SIP語音部分，將打了標(biāo)簽的SIP信令流量在后面的路由交換設(shè)備上通過策略路由發(fā)送給清洗設(shè)備清洗。這樣只增加了信令時延，例如只是客戶電話接續(xù)的時候時間長了一點，但是一旦撥通后語音講話沒有任何延遲。

處理流程如圖4所示。

圖4 CM-IMS中Anti-DDoS處理流程圖

之所以能這樣做，是因為攻擊只可能發(fā)生在信令部分，到了語音部分系統(tǒng)除了轉(zhuǎn)發(fā)已經(jīng)不做其它解析處理了。

3 IMS安全防護(hù)系統(tǒng)

基于以上對IMS安全問題的討論，我們在IMS現(xiàn)網(wǎng)定制開發(fā)了一套IMS安全防護(hù)系統(tǒng)。該系統(tǒng)從協(xié)議入手，采用會話關(guān)聯(lián)和綜合分析，在自學(xué)習(xí)的基礎(chǔ)上建立用戶呼叫行為習(xí)慣模型，實時提供暴力破解、呼叫頻率異常、呼叫行為異常、盜號等檢測功能，及時發(fā)現(xiàn)業(yè)務(wù)盜打盜用；提供單位時間協(xié)議異常檢測、會話應(yīng)答異常檢測、業(yè)務(wù)量分析等功能，及時發(fā)現(xiàn)IMS關(guān)鍵網(wǎng)元（如SBC，P-CSCF）的異常狀態(tài)。

系統(tǒng)拓?fù)淙鐖D5所示。

（1）發(fā)現(xiàn)針對CM-IMS的業(yè)務(wù)賬號破解攻擊23次，業(yè)務(wù)盜打2次，疑似業(yè)務(wù)濫用1次，及SIP畸形分組攻擊3次以及33次疑似的大流量攻擊。

（2）每日發(fā)現(xiàn) 1500次呼叫異常和450萬個異常注冊數(shù)據(jù)分組。

（3）系統(tǒng)實施后，調(diào)整了終端和網(wǎng)絡(luò)配置，每天減少了10%的異常呼叫，每天減少異常注冊協(xié)議分組420萬個。

4 安全問題的延伸

當(dāng)然，隨著IMS業(yè)務(wù)發(fā)展，IMS還將面臨幾個新的問題：

（1）IMS將提供更多的基于Web的應(yīng)用。IMS應(yīng)用的一個顯著特點是大多基于Web系統(tǒng)，方便易用。但是，眾所周知，近幾年最火的安全話題就是Web安全，也是黑客利用最頻繁、攻擊收效最顯著的系統(tǒng)。隨著IMS基于Web應(yīng)用的不斷發(fā)展，基于Web實現(xiàn)對IMS業(yè)務(wù)攻擊現(xiàn)象將更加普遍。

（2）IMS業(yè)務(wù)從大客戶模式向普通個人用戶過渡。當(dāng)前，IMS業(yè)務(wù)基本只對大客戶開放，終端方式也以硬終端為主。隨著對個人用戶的業(yè)務(wù)放開，軟終端更多的被引入，網(wǎng)絡(luò)變得更加開放和更難管理，會產(chǎn)生更多的來自Internet的攻擊和終端問題。

（3）IMS終端安全問題。IMS終端發(fā)展的時候正值智能手機(jī)成熟期，IMS終端更多向Android和Windows Phone系統(tǒng)靠攏，更強(qiáng)大的系統(tǒng)功能和更短的開發(fā)周期的同時，也帶來了跟智能手機(jī)同樣的安全問題。簡單說，IMS終端和PC系統(tǒng)已經(jīng)差別不大了，在PC上出現(xiàn)的所有安全問題都可能在IMS終端上出現(xiàn)，例如病毒、木馬、僵尸網(wǎng)絡(luò)、竊聽等，而控制IMS終端后直接撥打國際長途產(chǎn)生的經(jīng)濟(jì)效益恐怕會讓黑客更加努力。

圖5 CM-IMS業(yè)務(wù)和協(xié)議安全監(jiān)控系統(tǒng)拓?fù)鋱D

（4）IMS偽源電話欺詐。通過篡改IMS系統(tǒng)SIP信令，可以實現(xiàn)偽源電話，用于電信欺詐案件中屢見不鮮。

（5）IMS作為LTE的核心承載對4G網(wǎng)絡(luò)的安全影響。LTE規(guī)劃中，IMS將最終成為LTE的核心承載網(wǎng)。在國內(nèi)4G網(wǎng)絡(luò)即將建設(shè)和放號的大背景下，我們也必須考慮LTE安全對IMS網(wǎng)絡(luò)的威脅，以及IMS安全對LTE網(wǎng)絡(luò)的威脅。由于IMS業(yè)務(wù)的豐富性，也造就了IMS系統(tǒng)與其它電信系統(tǒng)的互聯(lián)互通，例如短信/WAP/彩信等系統(tǒng)，這些系統(tǒng)由于開放性不高，黑客攻擊這些系統(tǒng)的難度比較大。但是，IMS的引入可能讓IMS成為攻擊跳板，在控制IMS核心網(wǎng)元后，發(fā)起對互聯(lián)互通的其它電信業(yè)務(wù)系統(tǒng)的攻擊。

其實，以上的問題還有很多，不能一一枚舉。這就需要我們在新業(yè)務(wù)、新技術(shù)發(fā)展的同時，不斷關(guān)注應(yīng)運(yùn)而生的安全問題，發(fā)現(xiàn)問題、解決問題，更好地保障運(yùn)營商業(yè)務(wù)和網(wǎng)絡(luò)的安全運(yùn)行。