(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210951845.3 (22)申请日 2022.08.09 (71)申请人 慧之安信息技 术股份有限公司 地址 100000 北京市海淀区昆明湖南路51 号A座二层217号 (72)发明人 余丹　刘一凡　兰雨晴　王丹星　 (74)专利代理 机构 北京广技专利代理事务所 (特殊普通 合伙) 11842 专利代理师 张国香 (51)Int.Cl. H04L 9/40(2022.01) H04L 65/10(2022.01) (54)发明名称 一种基于DOS防御安全模型的SIP安全会话 系统和方法 (57)摘要 本发明提供了一种基于DOS防御安全模 型的 SIP安全会话系统， 包括： 用户会话模块， 用于对 用户的SIP在线会话进行特征词监听， 生成监听 的数据包； 检测判定模块， 用于将所述监听结果 传输至预设的DOS防御安全模型进行检测， 判定 所述监听的数据包是否发生洪泛攻击； 保护模 块， 用于当所述监听的数据包出现洪泛攻击时， 启动DOS防御安全模型对所述SIP在线会话进行 保护。 权利要求书2页 说明书7页 附图1页 CN 115514518 A 2022.12.23 CN 115514518 A 1.一种基于DOS防御安全 模型的SIP安全 会话系统， 其特 征在于， 包括： 用户会话模块， 用于对用户的SIP在线会话进行 特征词监听， 生成监听的数据包； 检测判定模块， 用于将所述监听结果传输至预设的DOS防御安全模型进行检测， 判定所 述监听的数据包是否发生洪泛攻击； 保护模块， 用于当所述监听的数据包出现洪泛攻击时， 启动DOS防御安全模型对所述 SIP在线会话进行保护。 2.根据权利 要求1所述的一种基于DOS防御安全模型的SIP安全会话系统， 其特征在于， 所述用户会话模块， 包括： 数据包单元， 用于通过调用预设的系统函数和SIP协议， 抓取用户在线会话中的数据 包； 特征分布单 元， 用于对所述数据包进行 预处理， 确定数据包的特 征分布； 存储处理单元， 用于通过所述特征分布， 对用户的SIP在线会话进行特征词监听， 生成 监听的数据包， 并对所述 监听的数据包 存储处理。 3.根据权利 要求1所述的一种基于DOS防御安全模型的SIP安全会话系统， 其特征在于， 所述检测判定模块， 包括： 地址信息单元， 用于通过所述监听结果， 捕捉终端接口的监听函数， 通过所述监听函 数， 获取SIP在线会话的地址信息； 判决结果单元， 用于通过所述地址信息， 通过DOS防御安全模型中预设的判断门限阈 值， 对接收到的SIP在线会话和所述判断门预支进行比较， 确定判决结果； 洪泛攻击单元， 用于当所述判决结果显示异常时， 利用INVITE洪泛攻击函数， 对所述判 决结果进行判断， 判定所述 监听的数据包是否发生洪泛攻击 。 4.根据权利 要求1所述的一种基于DOS防御安全模型的SIP安全会话系统， 其特征在于， 所述保护模块， 包括： 监听信息单元， 用于当所述监听的数据包出现洪泛攻击时， 启动DOS防御安全模型， 对 所述监听的数据包进行持续 监听， 获取监听信息； 动态特征单元， 用于分析 所述监听信息的动态特 征； 保护单元， 用于基于所述动态特征， 对所述监 听信息启动DOS防御安全模型中预存的防 御方案进行防御， 同时， 对所述SIP在线会话进行保护。 5.一种基于DOS防御安全 模型的SIP安全 会话方法， 其特 征在于， 包括： 对用户的SIP在线会话进行 特征词监听， 生成监听的数据包； 将所述监听结果传输至预设的DOS防御安全模型进行检测， 判定所述监听的数据包是 否发生洪泛攻击； 当所述监听的数据包出现洪泛攻击时， 启动DOS防御 安全模型对所述SIP在线会话进行 保护。 6.根据权利 要求5所述的一种基于DOS防御安全模型的SIP安全会话方法， 其特征在于， 所述对用户的SIP在线会话进行 特征词监听， 生成监听的数据包， 包括： 通过调用预设的系统函数和SIP协议， 抓取用户在线会话中的数据包； 对所述数据包进行 预处理， 确定数据包的特 征分布； 通过所述特征分布， 对用户的SIP在线会话进行特征词监听， 生成监听的数据包， 并对权　利　要　求　书 1/2 页 2 CN 115514518 A 2所述监听的数据包 存储处理。 7.根据权利 要求5所述的一种基于DOS防御安全模型的SIP安全会话方法， 其特征在于， 所述将所述监听结果传输至预设的DOS防御安全模型进行检测， 判定所述监听的数据包是 否发生洪泛攻击， 包括： 通过所述监听结果， 捕捉终端接口的监听函数， 通过所述监听函数， 获取SIP在线会话 的地址信息； 通过所述地址信息， 通过DOS防御安全模型中预设的判断门限阈值， 对接收到的SIP在 线会话和所述判断门预支进行比较， 确定判决结果； 当所述判决结果显示异常时， 利用INVITE洪泛攻击函数， 对所述判决结果进行判断， 判 定所述监听的数据包是否发生洪泛攻击 。 8.根据权利 要求5所述的一种基于DOS防御安全模型的SIP安全会话方法， 其特征在于， 所述当所述监听的数据包 出现洪泛攻击时， 启动DOS防御安全模型对所述SIP在 线会话进 行 保护， 包括： 当所述监听的数据包出现洪泛攻击时， 启动DOS防御安全模型， 对所述监听的数据包进 行持续监听， 获取监听信息； 分析所述监听信息的动态特 征； 基于所述动态特征， 对所述监听信息启动DOS防御安全模型中预存的防御方案进行防 御， 同时， 对所述SIP在线会话进行保护。权　利　要　求　书 2/2 页 3 CN 115514518 A 3