基于分组的网络的攻击保护.pdf

本发明涉及一种用于保护基于分组的网络免受攻击的保护单元(15)，包括：特征分析器(5)，用于分析在基于分组的网络(1)的安全边界节点(2a)中接收的分组流(6)，并通过比较分组流(6)的特征和先前识别的攻击的特征组来检测攻击；异常检测器，尤其是统计分析器(7)，用于检测分组流(6)中的异常；以及特征干涉单元(9)，用于在检测到分组流(6)中的异常时更新特征组，所更新的特征组(12)接着被用于执行特征分析。分配单元(13)将更新的特征组(12)中的至少一个特征分配至所述基于分组的网络(1)中至少一个另外的安全边界节点，优选分配至每个其它的安全边界节点。本发明还涉及包括这种保护单元的安全边界节点、包括至少两个这种保护单元的网络以及相应的保护方法。

1.  一种用于保护基于分组的网络(1)免受攻击的方法，包括：
通过比较分组流(6)的特征与先前识别的攻击的特征组对在网络(1)的安全边界节点(2a)中接收到的分组流(6)执行特征分析以检测攻击，
对至少部分分组流(6)执行异常检测，特别是统计分析，以检测分组流(6)中的异常，
当检测到分组流中的异常时更新所述特征组，更新的特征组(12)接着被用于执行特征分析，
将该更新的特征组(12)中的至少一个特征分配至网络(1)中的至少一个其它安全边界节点(2b-2f)，优选分配至每一个其它安全边界节点(2b-2f)，
其特征在于
对应用层控制消息，特别是分组流(6)的会话初始协议SIP消息执行异常检测，特征组的更新考虑所述异常检测的结果。

2.  如权利要求1所述的方法，还包括：
使用安全阈值(17a)来控制特征分析和/或异常检测的灵敏度，用于检测攻击和/或异常，该安全阈值(17a)优选依据攻击的至少一个特征，特别是攻击的数量，进行调整。

3.  如权利要求2所述的方法，其中所述异常检测被执行为并行多序列字节分析，该字节序列分析的权重依据所述安全阈值(17a)来控制。

4.  一种用于保护基于分组的网络(1)免受攻击的保护单元(15)，包括：
特征分析器(5)，用于分析在网络(1)的安全边界节点(2a)中接收的分组流(6)，并通过比较分组流(6)的特征和先前识别的攻击的特征组来检测攻击；
异常检测器，尤其是统计分析器(7)，用于检测分组流(6)中的异常；
特征干涉单元(9)，用于在检测到分组流(6)中的异常时更新特征组，所更新的特征组(12)接着被所述特征分析器(5)用于执行特征分析；
分配单元(13)，用于将所述更新的特征组(12)中的至少一个特征分配至所述基于分组的网络(1)中至少一个其它安全边界节点(2b-2f)，优选分配至每个其它的安全边界节点(2b-2f)，
其特征在于
信令栈，优选为SIP栈(16)，用于对包含于分组流(6)中的应用层控制消息，特别是SIP消息执行异常检测，在特征干涉单元(9)中对所述特征组的更新考虑所述异常检测的结果。

5.  如权利要求4所述的保护单元，还包括：控制单元(17)，使用安全阈值(17a)来控制特征分析器(5)和/或异常检测器的灵敏度，用于检测攻击和/或异常，该安全阈值(17a)优选依据攻击的至少一个特征，特别是攻击的数量进行调整。

6.  如权利要求5所述的保护单元，其中所述异常检测器是并行多序列字节分析器(7)，该字节序列分析的权重依据所述安全阈值(17a)来控制。

7.  如权利要求5所述的保护单元，还包括：
安全信令栈，特别是安全SIP栈(18)，用于处理包含于数据流(6)中的应用层控制消息，关于必须在该安全信令栈中处理的消息的决定优选是依据所述安全阈值(17a)来做出。

8.  如权利要求4所述的保护单元，还包括：
决定单元(21)，用于做出关于数据流(6)中所包含的、必须进行异常检测的消息，特别是SIP消息的决定，以及
会话排队单元(20)，用于把执行异常检测的消息进行排队，排队的消息优选依据所述异常检测的结果来丢弃或处理。

9.  如权利要求4所述的保护单元，还包括针孔(25)，用于从数据流(6)中丢弃消息，该针孔(25)在反馈环路中受异常检测器(7)和/或特征分析器(5)的控制。

10.  一种基于分组的网络(1)的安全边界节点(2a)，包括如权利要求4所述的保护单元(15)。

11.  一种基于分组的网络(1)，包括至少两个如权利要求4所述的保护单元(15)，该保护单元(15)具有公共的特征干涉单元(9)，该特征干涉单元(9)优选布置在该网络(1)的中央网络安全实例(14)中。

基于分组的网络的攻击保护
技术领域
本发明涉及一种用于保护基于分组的网络免受攻击的方法和保护单元、包括这种保护单元的基于分组的网络的安全边界节点，以及包括至少两个这种保护单元的基于分组的网络。
本发明涉及保护基于分组的网络免受任何种类的攻击，所述网络例如为通信/计算机网络，特别是核心网络。核心网络可以分别利用TISPAN(电信及互联网融合业务及高级网络协议)和具有IMS(IP多媒体子系统)的下一代网络(NGN)架构实现，该NGN使用诸如会话初始协议(SIP)的应用层控制(信令)协议，用于与一个或多个参与者进行会话的建立、修改和中止。在这种核心网络中，攻击可能产生在不同的层(IP层、传输层乃至应用层)，且攻击形式多样。特别在核心网络的边界节点中，应用协议栈是高度危险的，因此需要一种保护机制来获得整个系统所需的高可用性，特别是对于运转良好(well behaving)的用户/设备。应当明白，本发明并不限于具有SIP信令的NGN/IMS/TISPAN网络，而是适于使用诸如SOAP(简单对象访问协议)等其它类型的信令协议的所有类型的IP网络。
图1中显示了上述类型的一种核心网络1。该核心网络1具有多个(安全)边界节点2a至2f，用于将该核心网络1连接至接入网络3，接入网络3自身连接至终端用户设备4。边界节点2a至2f中的一些也可被用来将核心网络1连接至其它核心网络(未示出)。在边界节点2a至2f中，需要应用安全策略来从潜在的危险通信业务中立即识别出正当的通信业务。被识别为欺诈的通信业务需要被阻断(通过提供一个数据识别序列或其它识别特征样式来实现)，下文中也被称为特征。
目前的安全方案是基于特征检测或/和使用基于分类的检测算法，基于特征检测速度快，但是对新的攻击形式不适应，使用基于分类的检测算法具有适应性，但是会造成高处理负荷。此外，目前的安全策略分别致力于单个、独立的会话边界控制器(SBC)或安全边界节点。
发明目的
本发明的目的是提供：用于保护基于分组的网络免受攻击的方法和保护单元、包括这种保护单元的安全边界节点，以及包括至少两个这种保护单元的网络，它们都能有效地保护基于分组的网络免受攻击。
发明内容
本发明的目的是通过上述方法来实现的，包括：通过比较分组流的特征与先前识别的攻击的特征组对在网络的安全边界节点中接收到的分组流执行特征分析以检测攻击，对至少部分分组流执行异常检测，特别是统计分析，以检测分组流中的异常，当检测到分组流中的异常时更新特征组，更新的特征组接着被用于执行特征分析，并且该更新的特征组中的每一个特征被分配至网络中的至少一个其它安全边界节点，优选是每一个其它安全边界节点。
本发明提出扩展防火墙和利用异常检测的基于特征的保护逻辑，它可以实现为基于分类的统计分析，通常执行数据流(数字信号)的块分析，或另一类型的粒度分析，例如基于机器学习算法。通常，为了检测异常，一个字节或多个字节的分析器可以被用来执行统计分析。接着，检测到的异常被报告至特征干涉引擎，特征干涉引擎通过将统计分析的分类结果转换为一个新的特征组，以此获得特征或检测逻辑的更新。这样，用于检测新攻击的处理负荷就被转移到了防火墙和特征检测，而处理负荷得以减少。
在一个或多个新的特征和检测逻辑通过了一些认证测试之后，产生的配置文件可以被推送到其它的安全边界节点，并将应用于其它安全边界节点的安全功能中，由此在基于分组的网络的各个安全边界节点之间自动分配新获得的攻击阻断策略。
在一个极优选的变化实施例中，所述方法还包括：对应用层控制消息执行异常检测，特别是对分组流的会话初始协议SIP消息执行异常检测，特征组的更新将考虑异常检测的结果。对于那些只能在应用层被检测的攻击来说，应用层控制栈，特别是SIP栈，也可以拥有接口来报告任何异常。这些异常还在特征干涉引擎中被检查以确定一个合适的特征，这使得这些消息可以在保护逻辑的首要的且极迅速的平台(“FW”、“特征”)上进行检测。
优选的是，所述方法还包括：使用一个安全阈值来控制特征分析和/或异常检测的灵敏度，用于检测攻击和/或异常，该安全阈值优选为依据攻击的至少一个特征进行调整，特别是根据每单位时间内检测到的攻击的数量。特别的，用于产生攻击指示的阈值水平可以由适当的控制软件来设定，该阈值水平可以基于计算机网络的历史和/或当前状况而受到控制。
在该变化实施例的优选改进方案中，所执行的统计分析是一种并行多序列字节分析，该字节序列分析的权重依据安全阈值并基于当前攻击状态而受安全实例(security instance)的控制。使用在每个分析周期内仅移动一个字节的滑动窗口对所谓的n-grams，即，给定序列(通常为一字符串)的n项(通常为字节)的序列，执行字节分析形式的统计分析。在并行多序列字节分析的过程中，使用多个并行分析器，该分析器执行不同尺寸的n-grams的分析，例如unigrams(尺寸1)、bigrams(尺寸2)等。并行分析器的分析结果被提供给一个决定器，其依据安全阈值来对结果进行加权。
上述方法可优选地以计算机程序产品来实现，所述计算机程序产品具有用于执行上述步骤的代码装置。特别的，所述方法可以以软件或合适的硬件组件(ASIC等)实现。
本发明的第二方面在用于保护基于分组的网络免受攻击的保护单元中实现，所述保护单元包括：特征分析器，用于分析在网络的安全边界节点中接收的分组流，并通过比较分组流的特征和先前识别的攻击的特征组来检测攻击；异常检测器，尤其是统计分析器，用于检测分组流中的异常；特征干涉单元，用于在检测到分组流中的异常时更新特征组，所更新的特征组接着被所述特征分析器用于执行特征分析；以及分配单元，用于将更新的特征组中的至少一个特征分配至网络中至少一个其它安全边界节点，最好分配至网络中每个其它的安全边界节点。
专用特征可以具有一个生存时间(time to live)指示，其允许限制特征文件的大小。特征干涉单元可以存储来自字节分析的攻击报告的信息元组以及相应的特征，以便能够立即更新保护逻辑。这样，在基于分组的网络的一个或有限数量的网络端口处检测的用于保护网络免受攻击的特征可以迅速地被分配至所有网络端口，由此提高跨多节点保护的质量和性能。特别的，也可以在诸如因特网的全球网络中安装一个用于检测到的特征的数据库，大量网络提供者可对该数据库进行访问，使得新的特征还被分配至其它提供者正操控的网络安全边界节点。应当理解，对具有相近时间关联度且其内容也相关的两个或更多个异常所进行的检测可以使特征组的更新更可靠。
在一个极优选的实施例中，保护单元还包括：信令栈，优选为SIP栈，用于对分组流中包含的应用层控制消息，特别是SIP消息，执行异常检测，在特征干涉单元中对特征组的更新将考虑异常检测的结果。由此，对于特征组的更新而言，只能在应用层被检测的那些攻击也能被考虑到了。
在另一个极优选的实施例中，保护单元还包括：控制单元，使用安全阈值来控制特征分析器和/或异常检测器的灵敏度，从而检测攻击和/或异常，该安全阈值优选为依据攻击的至少一个特征进行调整，特别是依据预定时间间隔内检测到的攻击的数量。以此方式，安全灵敏度可以基于攻击历史和/或与攻击相关的当前状况而受到控制。攻击的另一个特征可以是特别类型的攻击可能对网络产生的破坏，当检测到一个或多个特别危险的攻击时就提高安全级别。
在另一个优选实施例中，统计分析器是一种并行多序列字节分析器，该字节序列分析的权重依据安全阈值来控制。通常，相比于具有较小尺寸的n-grams的分析结果，给具有较大尺寸的n-grams的分析结果提供较高的权重，从而减少错误警报。
在另一极优选的实施例中，保护单元进一步包括：安全信令栈，特别是安全SIP栈，用于处理包含于数据流中的应用层控制消息，优选的是，依据安全阈值来做出与安全信令栈中必须处理的消息有关的决定。在检测到异常的情况下，为了防止服务失败，安全边界节点可以将异常消息，一般是SIP消息，派送到一个低优先级的SIP栈，该SIP栈在一个被称为“沙箱”的环境中受到保护。在安全SIP栈中的处理通常不以线速度执行，以便如果SIP消息包含有任何可识别的攻击，则可以提供充足的时间来进行彻底检查。
在另一个有利的实施例中，保护单元进一步包括：决定单元，用于做出与必须执行异常检测的数据流中所包含的消息相关的，特别是与SIP消息相关的决定；以及会话排队单元，用于把执行异常检测的消息进行排队，优选的是，依据异常检测的结果来丢弃(drop)或处理排队的消息。决定单元决定所述消息是否须由异常检测器进行额外的分析或者是否依赖于特征检测就足够了。决定单元的输入可以是消息的类型(请求/响应)、SIP方法、产生消息的网络的网络ID、类似Call ID的SIP头、来自SIP栈的关于一个或多个先前SIP消息或方法的反馈、或者事务ID。
在另一个实施例中，保护单元进一步包括针孔，用于从数据流中丢弃消息，该针孔在反馈环路中受统计分析器和/或特征分析器的控制。针孔能够过滤出专用5元组(5-tuple)识别出的消息/分组，过滤的通信量取决于统计分析器和/或特征分析器所应用的安全阈值。
本发明的第三方面在用于基于分组的网络的安全边界节点中实现，所述节点包括上述类型的保护单元。为了提高整体检测精度，在多个分布式安全/边界节点中执行的检测算法可以分配机器学习信息或流程导向图形，由此实现安全信息的跨节点关联。实现这种跨节点关联的一种方式是安全边界节点之间的对等信息交换，这在每个安全边界节点都具有其自己的保护单元的时候是可行的。
本发明的第四方面在一种基于分组的网络中实现，该基于分组的网络包括至少两个如上所述类型的保护单元，该保护单元具有一个公共的特征干涉单元，该特征干涉单元最好布置在计算机网络的中央网络安全实例中。由此，所提供的防火墙架构可以通过引入跨运营商域安全实体(网络安全实例)而得到加强。这种主控实体允许收集、处理、再分配多个站点的安全相关信息。再者，可以执行机器学习算法以将所有可用信息关联。
以下参考附图在对典型实施例的描述中阐明了其他特征和优点，并且在权利要求中也定义了这些特征和优点，附图显示了重要的细节。各个特征可以由其自己来单独实现，或者其中的某些特征可以以任意想要的组合方式来实现。
附图简要说明
简略图中显示了典型实施例，并在下面的说明书中进行解释。所示如下：
附图1：根据本发明具有若干安全边界节点的基于分组的网络的实施例的示意图；
附图2：根据本发明的安全边界节点的实施例，其作用为保护单元，该保护单元具有自适应分布式安全环路架构；
附图3：具有中央特征干涉单元和安全边界节点的保护单元的实施例，他们共同实现自适应分布式安全环路架构；
附图4：附图2所示类型的安全边界节点的实施例，其具有一个额外的应用层安全环路；
附图5：附图3所示类型的保护单元的实施例，其具有一个额外的应用层安全环路；
附图6：具有可调安全阈值的字节分析器，用于决定包含于分组流中的哪些消息须在安全SIP栈中处理；
附图7：具有可调安全阈值的特征分析器，用于决定包含于分组流中的哪些消息须在安全SIP栈中处理；
附图8a、8b：在数据路径中(a)或在数据路径外的所选消息上(b)执行的字节序列分析；
附图9：具有可调字节序列分析权重的并行多字节序列分析器；
附图10：字节分析器、特征分析器和针孔之间的反馈链路；
附图11：实现多策略安全架构的保护单元的实施例，在信号路径中执行字节分析；以及
附图12：实现多策略安全架构的保护单元的另一个实施例，在信号路径外执行字节分析。
优选实施例的详细描述
附图2是附图1的基于分组的网络1的安全边界节点2a的更详细视图。该安全边界节点2a包括特征分析器5，用于分析在安全边界节点2a的输入处接收的分组流6。特征分析器5通过将分组流6的特征和先前识别的攻击的特征组进行比较而检测攻击。在分组流6的信号路径8中，特征分析器5之后是统计分析器形式的异常检测器，该统计分析器实现为字节分析器7。为了检测分组流6中的异常，该字节分析器7对分组流6执行可变长度字节序列(n字节分析)的统计分析。
任何异常均报告给特征干涉单元9，该特征干涉单元9将所检测到的异常考虑在内计算出新的特征组。安全边界节点2a进一步包括自动认证单元10，该自动认证单元10将修改过的特征组与存储在测试单元11中的正确特征组和攻击测试图形(未示出)进行对比测试。在成功认证之后，更新的特征组12被提供到特征分析器5，之后，该特征分析器5基于该更新的特征组12执行特征分析。通过上述方式，在安全边界节点2a中实现保护单元15。
更新的特征组12同样被提供到安全边界节点2a的分配单元13，分配单元13将该更新的特征组12分配到核心网络1的其它安全边界节点2b至2f。由于安全边界节点2a的分配单元13也可以从其它安全边界节点2b至2f接收更新的特征组，因此特征分析器5能够识别任何类型的攻击，不管是先前在安全边界节点2a自身中识别的，还是在任何一个其它安全边界节点2b-2f中先前识别的。以此方式，所有的安全边界节点2a至2f都是基于对等信息交换的分布式自适应安全环路的一部分。
由于特征分析器5和字节分析器7均布置于信号路径8中，因此基于特征的攻击分析能够以线速度/实时地执行。由此，上述方法自动地在每个安全边界节点2a至2f和每个输入端口处分析攻击，更新特征组，并由此加强所有其它安全边界节点2a至2f对攻击的防卫。
附图3中示出了图2的架构的一种变体，其中的特征干涉单元9、认证单元10、测试单元11和分配单元13都布置在中央网络安全实例14中。这样，用于保护图1的核心网络1的分布式保护单元15由该网络安全实例14、安全边界节点2a的特征分析器5和字节分析器7形成。应当理解的是不但安全边界节点2a、而且其它安全边界节点2b至2f都向中央特征干涉单元9报告其字节分析的结果。通过在网络1的单个位置执行特征更新，可以更方便地保证特征的一致性，且所需的资源也更少。
上述策略还可以扩展到跨边界节点域之间。这意味着所有应用的边界节点(全球范围的)可以将他们的报告发送到一个更高的层级上，使得全球范围内、跨产品以及可能跨供应商的特征干涉单元可以产生新的特征组，接着该新的特征组将被下载到所有的安全边界节点或者应用了特征分析的特定公司的产品中。一种变化的实现方式可以在每个域或产品中应用特征干涉单元，如果获得新的特征，则将该特征分配到全球。
附图4和5中分别显示了在安全边界节点2a的保护单元14和分布式保护单元14中的另一种反馈环路的实施方式。第二反馈环路基于包含于数据流6中的SIP消息的应用层分析，该分析在SIP栈16中执行。该第二环路是专为那些不能被字节分析器7识别的、而仅通过应用层处理的首次出现的攻击而设计的。SIP栈16将SIP消息的特征(非语义的)内容报告给特征干涉单元9，然后特征干涉单元9以上文描述的方式产生新的特征组。这意味着SIP栈16是否识别了一个语义上不正确的SIP消息，它的不正确之处只能在多个头字段之间的内容中显现。在SIP栈16发现了这些不一致之后，它产生一个包含相关头内容的报告，并将该报告发送到特征干涉单元9。
附图4和5显示了具有该额外反馈环路的保护单元15的两种架构变体。第一种中，在安全边界节点2a中实现保护单元15，第二种中，保护单元15是分布式的，其具有中央网络安全实例14(同样相比于附图2和3)。在这两个变体中，用于识别应用层层面上的攻击的步骤如下：特征分析器5或字节分析器7分别不会识别出首次出现的攻击。SIP栈16中的SIP应用层级上的语义处理随后识别该攻击，从该SIP消息中提取一部分并将该序列(以及可能的其它层3/层4的信息)报告给特征干涉单元9。这样，在更新了特征组之后，特征分析单元5将会检测到第二个类似的消息攻击。
在附图2至5所示的示例中，特征分析器5和字节分析器7都可以具有可调安全阈值17a，该可调安全阈值17a由控制单元17(参见附图6和7)设置，用于控制字节分析和/或特征分析的灵敏度。该控制单元17可以实现为一种控制软件，其依据攻击的数量和/或攻击的特征，例如攻击的类型，来控制该可调阈值。为此，控制单元17分别收集包含于特征分析器5、字节分析器7和SIP栈16的报告中的信息。控制单元17可以在安全边界节点2a中实现，并且仅仅依据由安全边界节点2a接收到的数据流6来控制安全级别，或者控制单元17可以是中央网络安全实例14的一部分，由此将来自不同的安全边界节点2a至2f的用于安全阈值调整的报告考虑在内。无论哪种情况，用于产生攻击指示的阈值水平可以基于历史的和当前的攻击情况而控制。
此外，如附图6和7所示，分别对于字节分析器7和特征分析器5来说，如果超过了阈值，则SIP消息不会像通常那样处理，而是会转送到一个安全SIP栈18中，该安全SIP栈18在一种具有低处理优先级的“沙箱”(sandbox)环境中运行。如果该SIP消息不包含任何可识别的攻击，则安全SIP栈18如任何其它表现良好的消息那样处理该消息。接着将安全SIP栈18的处理反馈(肯定/否定)报告给例如控制单元17，控制单元17于是可以决定修改安全灵敏度决定级别以适应安全阈值。
在附图8a和8b中显示了执行字节分析的两种可替代方式。在图8a中显示的第一可替代方式中，字节分析器7作为数据路径8中的一个插入式元件而提供，数据路径8还额外包括一个令牌化器(tokenizer)19和一个会话排队单元20。在这种情况下，由于字节分析不减少输入输出量，因此对处理负荷和处理性能的要求很高。因此，特征分析器5、字节分析器7和令牌化器19组成的链条必须能够以所期望的最大消息速率运行。字节分析器7可以指出“陌生的”消息并指示会话排队单元20将这些消息发送到在沙箱中运行的安全SIP栈18。如果安全SIP栈18识别了攻击，或者甚至是崩溃，则滤除该会话消息并关闭会话队列。可选地，可触发另一个SIP栈(未示出)以将消息发送到寄存器或S-CSCF(Serving Call SessionControl Function服务呼叫会话控制功能)，以此通过正常方式关闭会话或客户端。
在附图8b所示的示例中，字节分析器7配置在消息路径8之外，且字节分析只在另一决定单元21给出肯定的结果时才进行，由此，依据决定单元21的结果，字节分析器7将只分析特定的SIP消息。这些SIP消息被标注，使得会话排队单元20知道必须对这些消息排队，直到执行完进一步的调查。字节分析器7还可决定对安全SIP栈18中的消息执行进一步分析。在任何情况下，测试结果都被提供给会话排队单元20，该测试结果指示丢弃或者处理由字节分析器7处理的消息。在字节分析器7指示该消息应当被处理的情况下，像对任何其它非关键消息一样执行处理。这种方案的优点是减少了总处理负荷并增加了输入输出量，但是这种方案的成功取决于特征分析的质量和可调的安全阈值，因为在决定单元21是特征分析器5的一部分的情况下，安全阈值就要被考虑在内从而进行决定。对决定单元21的输入还可包括消息的类型(请求/响应)、SIP方法、发送该消息的网络的网络ID、类似Call ID的SIP头、来自SIP栈的关于一个或多个先前SIP消息或方法的反馈、或者事务ID。
附图9显示了在字节分析器7中如何有利地使用安全阈值17a，其中该字节分析器7实施为一种并行多字节序列分析器，并具有派送/复制单元22、多个用于分析不同长度字符串的字符串分析单元，其中三个字符串分析单元23a至23c示于附图9中，以及权重决定器24，其依据控制单元17提供给字节分析器17的安全阈值17a来加权字符串分析单元23a至23c的结果，由此在当前攻击状况的基础上适应字节分析。
在附图2至8中显示的任一个示例中，可以执行字节分析器7、特征分析器5和针孔25之间的反馈，例如以附图10所示的方式：特征分析器5控制针孔块25以滤除从专用5元组接收的消息，仅当超过了特征分析的特定安全阈值(未示出)时，特征分析器5才执行该专用阻断。在特征分析器5和字节序列分析器7都指示出永久失常的消息的情况下，可以控制针孔模块25来关闭针孔(一给定的时间)。
从字节分析器7到之前的功能模快也存在类似的反馈。向特征分析器5的反馈是一种来自特征分析器5的“检查消息”请求的篡改或认证。这允许提高或降低专用会话的阈值，且在这种情况下特征分析器5可被用作决定单元。举例来说，如果针对同一会话向字节分析器7提出的若干消息检查请求总是产生“没有识别出攻击”的结果，则特征分析器5可以提高阈值来对该会话执行额外检查。
最后，在附图11和12中，附图2至附图10描述的组装模块被组合形成保护单元14的两个有利示例，该保护单元14实现跨层和多策略的安全架构。
在附图11显示的示例中，以参照附图8a所描述的方式在数据路径8中执行字节分析，会话排队单元20包括一个优先级调度器20a，该调度器给核定为“陌生”并被发送到安全SIP栈18进行处理的SIP消息分配低优先级。被字节分析器7核定为“陌生”的SIP消息被发送到未保护的SIP栈16中并以高优先级进行处理。
在附图12的示例性实施例中，字节分析器7配置在数据路径8之外，并且特征分析器5包括一个决定单元(未示出)，用于决定包含于数据流6中的哪些SIP消息需要通过字节分析器7检查。在这种情况下，正如参照附图8b进行的更详细的讨论那样，会话排队单元20将执行字节分析的SIP消息进行排队，并依据字节分析的结果丢弃或处理排好队的消息。
在这两种情况下，特征分析器5和字节分析器7的安全阈值都可以由控制单元来控制，为了简便起见，该控制单元在附图11和12中均未显示。
本领域的技术人员应当理解，附图11和12中的功能模块不必局限地位于附图11和12中显示的安全边界节点2a处，因为将完全线速度(full linespeed)处理模块放置在安全边界节点的输入端口也可能是有利的。特别的，令牌化器19、会话排队单元20，优先级调度器20a以及尤其是SIP栈16和安全SIP栈18可以被放置地更中央(在安全边界节点中)，甚至在诸如中央网络安全实例14的中央网络元件中。而且，应当理解，正如参照附图2和4所描述的，除了使用附图11和12中显示的分布式架构的保护单元15，也可以将整个保护单元15集成在安全边界节点2a中。
综上所述，通过提供上述类型的保护单元，可以有效地保护计算机网络免于在一个或有限数量的核心网络端口处检测到的网络攻击，并向其它网络端口快速分配特征。应当理解，保护单元并不一定在网络的安全边界节点中实现，在某些情况下，保护单元的实现位于网络内部的某些节点处也是有利的。最后，本领域技术人员应当理解，尽管在上述示例中已经描述了SIP消息的处理，但是上述构思也可以应用到用于应用层信令的其它类型的应用层控制消息。而且，虽然上文中参照字节分析描述了异常检测，但是应当理解，还存在执行异常检测的其它方式，可以基于其它类型的统计分析，也可以基于其它异常检测方法，例如机器学习等。
通过示例的方式，给出了上述优选实施例的描述。从所揭示的内容中，本领域的技术人员将不仅理解本发明及其伴随的优点，而且还将发现对所披露的结构和方法的各种显而易见的变化和修改。因此，本申请人试图将落入本发明的精神和主旨的所有这些变化和修改进行覆盖，正如所附的权利要求及其对等物所定义的那样。