基于SIP协议的防DOS攻击方法、装置及存储介质与流程

基于sip协议的防dos攻击方法、装置及存储介质
技术领域
1.本发明属于通信技术领域，具体涉及一种基于sip协议的防dos攻击方法、装置及存储介质。


背景技术：

2.会话初始协议(session initialization protocol，sip)是由因特网工程任务组(internet engineering task force，ietf)制定的多媒体通信协议。在sip协议中，拒绝服务(denial of service，dos)攻击是较常见的一种攻击手段。
3.sip协议中常被用于dos攻击主要是注册(register)消息和invite消息，利用register消息进行dos攻击主要是通过在短时间内发送大量register消息，此时代理服务器不得不通过不断查询数据库来判断用户合法性，通过数据库查询操作消耗服务器的cpu和内存资源。利用invite消息进行dos攻击则主要是通过不断发送invite消息，在收到invite消息后服务器会维持一个会话控制session来记录请求者的相关信息，若被请求用户存在并返回一响应码200ok，而请求方在收到响应码后不返回确认字符ack，那么代理服务器就得在内存中一直维持这个session并一直等待，直到经过多次默认重传时间后还未收到ack才决定丢掉这个session，由此占用大量的消耗代理服务器的cpu和内存资源从而达到dos攻击的目的。dos攻击可使代理服务器长时间无法响应合法用户的请求，形成拒绝服务的效果，给用户的使用带来了极大的不便。
4.因此，如何提供一种有效的方案，以避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题，以成为现有技术中一亟待解决的问题。


技术实现要素：

5.本发明的目的是提供一种基于sip协议的防dos攻击方法、装置及存储介质，用以解决现有技术中存在的上述问题。
6.为了实现上述目的，本发明采用以下技术方案：
7.第一方面，本发明提供了一种基于sip协议的防dos攻击方法，包括：
8.基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息，其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存；
9.如果所述所有sip请求消息所对应的消息数量大于第一预设阈值，则对所述所有sip请求消息进行行为分析，以分析所述所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；
10.如果所述所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将所述目标sip请求信息的响应优先级设置为最低等级。
11.基于上述公开的内容，本发明首先统计缓存在上一时间周期内存入的所有sip请求消息，如果上一时间周期内存入的所有sip请求消息所对应的消息数量大于第一预设阈
值，则说明可能存在dos攻击，此时则对上一时间周期内存入的所有sip请求消息进行行为分析，以分析上一时间周期内存入的所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息，从而可分析出是否存在dos攻击，最后如果上一时间周期内存入的所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将该目标sip请求信息的响应优先级设置为最低等级，如此即可使符合dos攻击规律的目标sip请求信息被最后响应，其他合法用户的sip请求消息会被优先响应。
12.通过上述的设计，本发明可在代理服务器响应主叫方发送的大量sip请求消息时，会最后响应符合dos攻击规律的目标sip请求信息，使得合法用户的sip请求消息会被优先响应，从而避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题，提升合法用户的使用体验，便于实际应用和推广。
13.在一个可能的设计中，所述对所述所有sip请求消息进行行为分析，包括：
14.分析所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量是否大于第二预设阈值；
15.如果所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量大于第二预设阈值，则将所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息判定为符合dos攻击规律的目标sip请求信息。
16.在一个可能的设计中，所述对所述所有sip请求消息进行行为分析，包括：
17.分析所述所有sip请求消息中是否具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息；
18.如果是，则将所述多个sip请求消息判定为符合dos攻击规律的目标sip请求信息。
19.在一个可能的设计中，在将所述目标sip请求信息的响应优先级设置为最低等级后，所述方法还包括：
20.基于缓存中存储的sip请求消息的数量，预测所述缓存中存储的所有sip请求消息所耗的资源量；
21.如果所述缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则丢弃所述缓存中符合dos攻击规律的目标sip请求信息。
22.在一个可能的设计中，所述方法还包括：
23.如果所述缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则基于符合dos攻击规律的目标sip请求信息的行为模式生成拦截规则，并基于所述拦截规则在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。
24.在一个可能的设计中，通过基于sip协议的分布式防火墙在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。
25.在一个可能的设计中，所述方法还包括：
26.实时将最新接收到的sip请求消息设置为暂不可响应状态。
27.第二方面，本发明提供了一种基于sip协议的防dos攻击装置，包括：
28.统计单元，用于基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息，其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存；
29.判断单元，用于判断所述所有sip请求消息所对应的消息数量是否大于第一预设
阈值；
30.行为分析单元，用于如果所述所有sip请求消息所对应的消息数量大于第一预设阈值，则对所述所有sip请求消息进行行为分析，以分析所述所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；
31.设置单元，用于如果所述所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将所述目标sip请求信息的响应优先级设置为最低等级。
32.第三方面，本发明提供了另一种基于sip协议的防dos攻击装置，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如上述第一方面所述的基于sip协议的防dos攻击方法。
33.第四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行第一方面所述的基于sip协议的防dos攻击方法。
34.第五方面，本发明提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如第一方面所述的基于sip协议的防dos攻击方法。
35.有益效果：
36.本技术实施例提供的基于sip协议的防dos攻击方法，通过统计缓存在上一时间周期内存入的所有sip请求消息，如果上一时间周期内存入的所有sip请求消息所对应的消息数量大于第一预设阈值，则对上一时间周期内存入的所有sip请求消息进行行为分析，以分析上一时间周期内存入的所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；如果上一时间周期内存入的所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将该目标sip请求信息的响应优先级设置为最低等级。如此，在代理服务器响应主叫方发送的大量sip请求消息时，会最后响应符合dos攻击规律的目标sip请求信息，使得合法用户的sip请求消息会被优先响应，从而避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题，提升合法用户的使用体验，便于实际应用和推广。
附图说明
37.图1为本技术实施例提供的基于sip协议的防dos攻击方法的流程图；
38.图2为本技术实施例提供的基于sip协议的防dos攻击装置的结构示意图；
39.图3为本技术实施例提供的另一基于sip协议的防dos攻击装置的结构示意图。
具体实施方式
40.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将结合附图和实施例或现有技术的描述对本发明作简单地介绍，显而易见地，下面关于附图结构的描述仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。
41.应当理解，尽管本文可能使用术语第一、第二等等来描述各种单元，但是这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第
一单元称作第二单元,并且类似地可以将第二单元称作第一单元，同时不脱离本发明的示例实施例的范围。
42.应当理解，对于本文中可能出现的术语“和/或”，其仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，单独存在b，同时存在a和b三种情况；对于本文中可能出现的术语“/和”，其是描述另一种关联对象关系，表示可以存在两种关系，例如，a/和b，可以表示：单独存在a，单独存在a和b两种情况；另外，对于本文中可能出现的字符“/”，一般表示前后关联对象是一种“或”关系。
43.为了确保合法用户的请求会被及时响应，本技术实施例提供了一种基于sip协议的防dos攻击方法、装置及存储介质，该基于sip协议的防dos攻击方法、装置及存储介质可使合法用户的请求会被优先响应，避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题。
44.本技术实施例提供的基于sip协议的防dos攻击方法可以应用于代理服务器，可以理解，所述执行主体并不构成对本技术实施例的限定。
45.下面将对本技术实施例提供的基于sip协议的防dos攻击方法进行详细说明。
46.如图1所示，是本技术实施例第一方面提供的基于sip协议的防dos攻击方的流程图，该基于sip协议的防dos攻击方可以但不限于包括如下步骤s101-s103。
47.步骤s101.基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息。
48.其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存。
49.本技术实施例中，可以在代理服务器设置一用于存储主叫方所发送的sip请求消息(invite消息和/或register消息)的缓存，代理服务器在接收到主叫方所发送的sip请求消息后并不会立即响应所收到的sip请求消息，而是实时将最新收到的sip请求消息先暂存入缓存中。
50.代理服务器接收到主叫方所发送的sip请求消息时，会生成消息日志以记录所收到的sip请求消息及收到sip请求消息的时间等信息。并可以每隔一定的时间间隔统计缓存在上一时间周期内存入的所有sip请求信息，所述时间周期不宜过长，以确保代理服务器能够及时响应合法用户的sip请求信息，举例所述时间周期可以是1s。
51.步骤s102.如果所有sip请求消息所对应的消息数量大于第一预设阈值，则对所有sip请求消息进行行为分析，以分析所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息。
52.dos攻击的常见攻击方式是通过短时间内向代理服务器发送大量的sip请求信息，从而占用代理服务器大量的cpu和内存资源，使得代理服务器无法及时响应合法用户的sip请求信息。基于此，可以预先设置一表征可能存在dos攻击的第一预设阈值，若统计缓存在上一时间周期内存入的所有sip请求消息(即上一时间周期内收到的所有sip请求消息)所对应的消息数量大于第一预设阈值，则说明可能出现dos攻击，此时代理服务器可对上一时间周期内收到的所有sip请求消息进行行为分析，以分析缓存在上一时间周期内存入的所有sip请求消息是否存在符合dos攻击规律的目标sip请求信息。
53.在一个或多个实施例中，分析缓存在上一时间周期内存入的所有sip请求消息是否存在符合dos攻击规律的目标sip请求信息可以但不限于包括如下步骤s1021-s1022。
54.步骤s1021.分析缓存在上一时间周期内存入的所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量是否大于第二预设阈值。
55.步骤s1022.如果所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量大于第二预设阈值，则将所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息判定为符合dos攻击规律的目标sip请求信息。
56.dos攻击一般通过同一用户终端发起，因此其发送的sip请求消息中可能具有相同的ip地址或对应同一sip账户，因此通过分析缓存在上一时间周期内存入的(即上一时间周期内收到的)所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量是否大于第二预设阈值，可以识别出通过同一ip地址或同一sip账户发起的dos攻击。其中，所述第二预设阈值小于等于第一预设阈值，具体可根据实际情况设定。
57.在一个或多个实施例中，分析缓存在上一时间周期内存入的所有sip请求消息是否存在符合dos攻击规律的目标sip请求信息还可以但不限于包括如下步骤s1023-s1024。
58.步骤s1023.分析缓存在上一时间周期内存入的所有sip请求消息中是否具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息。
59.步骤s1024.如果所有sip请求消息中具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息，则将多个sip请求消息判定为符合dos攻击规律的目标sip请求信息。
60.dos攻击发起方在发起dos攻击时，一般会设置sip请求消息发送频率，即所发送的大量sip请求信息是以心跳(固定时间间隔)的方式发送的，因此可通过sip请求消息中所记录的时间戳分析缓存在上一时间周期内存入的所有sip请求消息中是否具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息。如果如果所有sip请求消息中具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息，则将多个sip请求消息判定为符合dos攻击规律的目标sip请求信息。其中，所述第三预设阈值小于等于第一预设阈值，具体可根据实际情况设定。
61.举例第三预设阈值为3，则如果缓存在上一时间周期内存入的所有sip请求消息中具有3个以上且发送时间间隔相等的sip请求消息，则判定该3个以上且发送时间间隔相等的sip请求消息为符合dos攻击规律的目标sip请求信息。
62.可以理解的，上述分析缓存在上一时间周期内存入的所有sip请求消息是否存在符合dos攻击规律的目标sip请求信息仅仅是举例说明，在其他的一些实施例中，也可以有其他的分析方式。
63.步骤s103.如果缓存在上一时间周期内存入的所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将目标sip请求信息的响应优先级设置为最低等级。
64.如果缓存在上一时间周期内存入的所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则代理服务器可将目标sip请求信息的响应优先级设置为最低等级。服务器在响应sip请求信息时，会先响应其他优先级不是最低等级的所有sip请求信息，最后再响应优先级为最低等级的sip请求信息。如此，符合dos攻击规律的目标sip请求信息会被最后响应，而合法用户的sip请求信息则会被优先响应，从而避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题，提升合法用户的使用体验，便于实际应用和推广。
65.本技术实施例中，为避免大量符合dos攻击规律的sip请求信息在刚发送至代理服
务器时就被代理服务器响应，从而导致代理服务器的cpu和内存资源被大量占用而影响合法用户的sip请求，因此代理服务器还可实时将最新接收到的sip请求消息设置为暂不可响应状态，不可响应状态的设置时长可以是代理服务器统计存入缓存的sip请求信息的时间周期，或略大于该时间周期。
66.在一个或多个实施例中，代理服务器在将目标sip请求信息的响应优先级设置为最低等级后，还可以基于缓存中存储的sip请求消息的数量，预测缓存中存储的所有sip请求消息所耗的资源量。如果缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则丢弃缓存中符合dos攻击规律的目标sip请求信息。其中，存中存储的所有sip请求消息所耗的资源量可以是但不限于是占用带宽、cpu使用率和/或内存资源使用率。可以理解的，如果缓存中存储的sip请求消息较少，由于响应这些sip请求消息消化较少的cpu和内存资源，因此即使符合dos攻击规律的sip请求信息也可以被响应。
67.在一个或多个实施例中，如果缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，还可以基于符合dos攻击规律的目标sip请求信息的行为模式生成拦截规则，并基于生成的拦截规则在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。具体可通过基于sip协议的分布式防火墙在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。如此，在代理服务器受到dos攻击时，可生成相应的拦截规则对dos攻击进行主动拦截，进一步确保合法用户的请求能够被及时响应，保障代理服务器的安全稳定运行。其中，所述指定时长可根据实际情形设定，本技术实施例中不做具体限定。
68.举例，符合dos攻击规律的目标sip请求信息的发送间隔时间为每间隔0.1s发送一sip请求信息，则在生成拦截规则时，可以设置为将距离上一sip请求信息间隔刚好为0.1s的sip请求信息拦截。
69.综上，本技术实施例提供的基于sip协议的防dos攻击方法，通过统计缓存在上一时间周期内存入的所有sip请求消息，如果上一时间周期内存入的所有sip请求消息所对应的消息数量大于第一预设阈值，则对上一时间周期内存入的所有sip请求消息进行行为分析，以分析上一时间周期内存入的所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；如果上一时间周期内存入的所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将该目标sip请求信息的响应优先级设置为最低等级。如此，在代理服务器响应主叫方发送的大量sip请求消息时，会最后响应符合dos攻击规律的目标sip请求信息，使得合法用户的sip请求消息会被优先响应，从而避免由于dos攻击导致代理服务器长时间无法响应合法用户的请求的问题，提升合法用户的使用体验，便于实际应用和推广。进一步的，代理服务器在将目标sip请求信息的响应优先级设置为最低等级后，还可以基于缓存中存储的sip请求消息的数量，预测缓存中存储的所有sip请求消息所耗的资源量，如果缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则丢弃缓存中符合dos攻击规律的目标sip请求信息，如此当受到dos攻击时能自动将符合dos攻击规律的sip请求信息丢弃，从而避免dos攻击的sip请求占用代理服务器的cpu和内存资源，避免dos攻击。另外，如果缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，还可以基于符合dos攻击规律的目标sip请求信息的行为模式生成拦截规则，并基于生成的拦截规则在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截，从而实现dos攻击的主
动拦截。
70.请参阅图2，本技术实施例第二方面提供了一种基于sip协议的防dos攻击装置，该基于sip协议的防dos攻击装置包括：
71.统计单元，用于基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息，其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存；
72.判断单元，用于判断所述所有sip请求消息所对应的消息数量是否大于第一预设阈值；
73.行为分析单元，用于如果所述所有sip请求消息所对应的消息数量大于第一预设阈值，则对所述所有sip请求消息进行行为分析，以分析所述所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；
74.设置单元，用于如果所述所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将所述目标sip请求信息的响应优先级设置为最低等级。
75.本实施例第二方面提供的装置的工作过程、工作细节和技术效果，可以参见实施例第一方面，于此不再赘述。
76.如图3所示，本技术实施例第三方面提供了另一种基于sip协议的防dos攻击装置，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如实施例第一方面所述的基于sip协议的防dos攻击方法。
77.具体举例的，所述存储器可以但不限于包括随机存取存储器(ram)、只读存储器(rom)、闪存(flash memory)、先进先出存储器(fifo)和/或先进后出存储器(filo)等等；所述处理器可以不限于采用型号为stm32f105系列的微处理器、arm(advanced risc machines)、x86等架构处理器或集成npu(neural-network processing units)的处理器；所述收发器可以但不限于为wifi(无线保真)无线收发器、蓝牙无线收发器、通用分组无线服务技术(general packet radio service，gprs)无线收发器、紫蜂协议(基于ieee802.15.4标准的低功耗局域网协议，zigbee)无线收发器、3g收发器、4g收发器和/或5g收发器等。
78.本实施例第四方面提供了一种存储包含有实施例第一方面所述的基于sip协议的防dos攻击方法的指令的计算机可读存储介质，即所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如第一方面所述的基于sip协议的防dos攻击方法。其中，所述计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒(memory stick)等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。
79.本实施例第五方面提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如实施例第一方面所述的基于sip协议的防dos攻击方法，其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。
80.应当理解，在下面的描述中提供了特定的细节,以便于对示例实施例的完全理解。然而，本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统，以避免用不必要的细节来使得示例不清楚。在其他实例中，可
以不以不必要的细节来示出众所周知的过程、结构和技术，以避免使得示例实施例不清。
81.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种基于sip协议的防dos攻击方法，其特征在于，包括：基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息，其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存；如果所述所有sip请求消息所对应的消息数量大于第一预设阈值，则对所述所有sip请求消息进行行为分析，以分析所述所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；如果所述所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将所述目标sip请求信息的响应优先级设置为最低等级。2.根据权利要求1所述的基于sip协议的防dos攻击方法，其特征在于，所述对所述所有sip请求消息进行行为分析，包括：分析所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量是否大于第二预设阈值；如果所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息的数量大于第二预设阈值，则将所述所有sip请求消息中具有相同ip地址或对应同一sip账户的sip请求信息判定为符合dos攻击规律的目标sip请求信息。3.根据权利要求1所述的基于sip协议的防dos攻击方法，其特征在于，所述对所述所有sip请求消息进行行为分析，包括：分析所述所有sip请求消息中是否具有数量大于第三预设阈值且符合心跳规律的多个sip请求消息；如果是，则将所述多个sip请求消息判定为符合dos攻击规律的目标sip请求信息。4.根据权利要求1所述的基于sip协议的防dos攻击方法，其特征在于，在将所述目标sip请求信息的响应优先级设置为最低等级后，所述方法还包括：基于缓存中存储的sip请求消息的数量，预测所述缓存中存储的所有sip请求消息所耗的资源量；如果所述缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则丢弃所述缓存中符合dos攻击规律的目标sip请求信息。5.根据权利要求4所述的基于sip协议的防dos攻击方法，其特征在于，所述方法还包括：如果所述缓存中存储的所有sip请求消息所耗的资源量高于预设资源量，则基于符合dos攻击规律的目标sip请求信息的行为模式生成拦截规则，并基于所述拦截规则在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。6.根据权利要求5所述的基于sip协议的防dos攻击方法，其特征在于，通过基于sip协议的分布式防火墙在当前时间点之后的指定时长内对符合dos攻击规律的sip请求信息进行拦截。7.根据权利要求1所述的基于sip协议的防dos攻击方法，其特征在于，所述方法还包括：实时将最新接收到的sip请求消息设置为暂不可响应状态。8.一种基于sip协议的防dos攻击装置，其特征在于，包括：
统计单元，用于基于消息日志，统计缓存在上一时间周期内存入的所有sip请求消息，其中，sip请求消息包括invite消息和/或register消息，所述缓存用于在响应收到的sip请求消息之前将收到的sip请求消息暂存；判断单元，用于判断所述所有sip请求消息所对应的消息数量是否大于第一预设阈值；行为分析单元，用于如果所述所有sip请求消息所对应的消息数量大于第一预设阈值，则对所述所有sip请求消息进行行为分析，以分析所述所有sip请求消息中是否存在符合dos攻击规律的目标sip请求信息；设置单元，用于如果所述所有sip请求消息中存在符合dos攻击规律的目标sip请求信息，则将所述目标sip请求信息的响应优先级设置为最低等级。9.一种基于sip协议的防dos攻击装置，其特征在于，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如权利要求1～7任意一项所述的基于sip协议的防dos攻击方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如权利要求1～7任意一项所述的基于sip协议的防dos攻击方法。

技术总结
本发明公开一种基于SIP协议的防DOS攻击方法、装置及存储介质，涉及通信技术领域。包括：基于消息日志，统计缓存在上一时间周期内存入的所有SIP请求消息，SIP请求消息包括INVITE消息和/或Register消息；如果所有SIP请求消息所对应的消息数量大于第一预设阈值，则对所有SIP请求消息进行行为分析，以分析所有SIP请求消息中是否存在符合DOS攻击规律的目标SIP请求信息；如果所有SIP请求消息中存在符合DOS攻击规律的目标SIP请求信息，则将目标SIP请求信息的响应优先级设置为最低等级。本发明公开的方法、装置及存储介可避免由于DoS攻击导致代理服务器长时间无法响应合法用户的请求的问题。的请求的问题。的请求的问题。


技术研发人员：韩伟 易传颂
受保护的技术使用者：深圳市欧博科技有限公司
技术研发日：2023.04.21
技术公布日：2023/10/8