CN106257950A - 移动通信网络中拒绝服务攻击信令的处理方法和装置 - Google Patents
移动通信网络中拒绝服务攻击信令的处理方法和装置 Download PDFInfo
- Publication number
- CN106257950A CN106257950A CN201510337392.5A CN201510337392A CN106257950A CN 106257950 A CN106257950 A CN 106257950A CN 201510337392 A CN201510337392 A CN 201510337392A CN 106257950 A CN106257950 A CN 106257950A
- Authority
- CN
- China
- Prior art keywords
- signaling
- mobile roaming
- network
- mobile
- roaming
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动通信网络中拒绝服务攻击信令的处理方法和装置,用以识别和监控国际漫游场景下的拒绝服务攻击信令,保证用户正常使用业务的同时,节约相关网络设备的处理资源,提高相关网络设备的处理能力。所述方法包括:接收第一网络通过国际侧信令网发往第二网络的移动漫游信令;提取移动漫游信令的特征信息;判断提取的特征信息是否与预设的信令过滤规则匹配;如果是,拦截移动漫游信令;如果否,向第二网络转发移动漫游信令;统计符合监测条件的移动漫游信令数量;判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,记录移动漫游信令发送方的地址信息进行拦截;如果否,向第二网络转发移动漫游信令。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种移动通信网络中拒绝服务攻击信令的处理方法和装置。
背景技术
不同国家或地区的运营商之间为解决用户漫游问题允许信令网彼此互通,其他国家或地区的运营商网络节点可以从国际侧信令网接入到本运营商信令网访问网内业务节点。当UE处于漫游状态或者从漫游地回到归属地后,UE均需要向当前所在地的MSC(Mobile Switching Center,移动交换中心)发起位置更新请求,以更新自身的位置信息。
如图1所示,为某用户设备(UE,User Equipment)进行位置更新的流程示意图。其中,当UE处于漫游状态时,图1中的MSC-A为该UE当前所在漫游网络中的登记的MSC,MSC-B为用户归属网络中的MSC;当用户由漫游地回到归属地时,图1中的MSC-A为该UE归属网络中的MSC,MSC-B为该UE在漫游网络中登记的MSC。
如图1所示,UE进行位置更新的流程可以包括以下步骤:
S11、MSC-A接收UE发送的位置更新请求。
S12、MSC-A向该UE归属网络中的HLR(Home Location Register)发送UPDATE LOCATION(位置更新)信令。
在UPDATE LOCATION消息中携带有该UE的IMSI(International MobileSubscriberIdentification Number,国际移动用户识别码)。
S13、HLR向MSC-A发送ISD(Insert Subscribe Data)信令。
在Insert Subscribe Data信令中携带有该UE的MSISDN(Mobile SubscriberInternational ISDN Number,移动用户号码)和用户参数等。
S14、MSC-A向HLR发送Insert Subscribe Data信令应答消息。
S15、HLR向MSC-A发送Update Location信令应答。
S16、HLR向MSC-B发送Cancel Location(删除位置信息)信令。
在Cancel Location信令中携带有UE的ISMI。
S17、MSC-B向HLR发送Cancel Location信令应答消息。
至此,UE完成了位置更新。
由上述流程可知,移动网络国际漫游方案允许用户拜访网络中登记的MSC/VLR、SGSN(Serving GPRS Support Node,服务GPRS支持节点)与用户归属网络中归属HLR之间进行互相访问,黑客利用这一特点可以伪装用户归属HLR对用户拜访网络中登记的MSC/VLR、SGSN进行拒绝服务攻击,通过向用户拜访网络中登记的MSC/VLR、SGSN发送拒绝服务攻击信令,注销用户登记或者删除用户数据,导致用户无法正常进行业务访问,如:
黑客伪装HLR从国际侧信令网向本运营商信令网内的MSC发Cancel LA信令消息注销指定用户登记,或发ISD信令消息删除指定用户数据,导致该用户无法使用通话业务和短信业务;或者
黑客伪装HLR从国际侧信令网向本运营商信令网内的SGSN发Cancel LA信令消息注销指定用户登记,导致该用户无法访问移动数据业务;或者
黑客伪装HLR从国际侧信令网向本运营商信令网内的MSC/VLR、SGSN大量发送Cancel LA信令消息或发ISD信令消息,导致MSC/VLR和SGSN处理资源被严重消耗,处理能力下降。
国际标准组织虽然已经确认此类攻击,但是目前尚未给出解决上述问题的技术方案。
发明内容
本发明实施例提供一种移动通信网络中拒绝服务攻击信令的处理方法和装置,用以识别和监控国际漫游场景下的拒绝服务攻击信令,保证用户正常使用业务的同时,节约相关网络设备的处理资源,提高相关网络设备的处理能力。
本发明实施例提供一种拒绝服务攻击信令的处理方法,包括:
接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令;
提取所述移动漫游信令的特征信息;判断提取的特征信息是否与预设的信令过滤规则匹配;如果是,拦截所述移动漫游信令;如果否,向所述第二网络转发所述移动漫游信令;同时
统计符合监测条件的移动漫游信令数量;并判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,记录所述移动漫游信令发送方的地址信息进行拦截;如果否,向所述第二网络转发所述移动漫游信令。
本发明实施例提供一种拒绝服务攻击信令的处理装置,包括:
接收单元,用于接收第一网络通过国际侧信令网发送第二网络的移动漫游信令;
提取单元,用于提取所述移动漫游信令的特征信息;
统计单元,用于统计符合监测条件的移动漫游信令数量;
第一判断单元,用于判断所述提取单元提取的特征信息是否与预设的信令过滤规则匹配;
第二判断单元,用于判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值;
处理单元,用于在所述第一判断单元的判断结果为是时,拦截所述移动漫游信令;在所述第二判断单元的判断结果为是时,记录所述移动漫游信令发送方的地址信息进行拦截;以及在所述第一判断单元或者所述第二判断单元的判断结果为否时,向所述第二网络转发所述移动漫游信令。
本发明实施提供的移动通信网络中拒绝服务攻击信令的处理方法和装置,对于第一网络通过国际侧信令网发送给第二网络的移动漫游信令进行分析,如果该移动漫游信令的特征信息与预设的信令过滤规则匹配,则拦截该信令,否则向第二网络转发该移动漫游信令;同时统计符合监测条件的移动漫游信令数量,如果超过预设阈值,则记录发送方的地址信息进行拦截,否则向第二网络转发该移动漫游信令。通过上述过程,能够识别和监控黑客向第二网络发送的拒绝服务攻击信令并进行拦截,保证用户能够在第二网络中进行正常使用业务,同时能够节约第二网络中相关网络设备的处理资源,提高其处理能力。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为现有技术中,位置更新流程示意图;
图2为本发明实施例中,拒绝服务攻击信令的处理装置的部署位置示意图;
图3a-图3b为本发明实施例中,拒绝服务攻击信令的处理方法实施流程示意图;
图4a-图4e为本发明实施例中,不同的拒绝用户服务攻击信令的实施流程示意图;
图5为本发明实施例中,拒绝服务攻击信令的处理装置结构示意图。
具体实施方式
为了识别黑客从国际网信令侧发送的拒绝服务攻击信令,保证用户能够正常使用业务,并节约相关网络设备的处理资源,提高其处理能力,本发明实施例提供了一种移动通信网络中拒绝服务攻击信令的处理方法和装置。
需要说明的是,本发明实施例中涉及的移动通信网络可以为遵循SS7通信协议的2/3G移动通信网络,相应的,在2/3G移动通信网络中涉及的网络设备可以包括HLR设备和SGSN、MSC设备,所述移动漫游信令可以为国际网侧的HLR设备发往国内网侧的SGSN、MSC设备的通信信令;具体实施时,移动通信网络还可以是遵循Diameter通信协议的4G移动通信网络,相应的,在4G移动通信网络中涉及的网络设备可以包括HSS设备和MME设备,所述移动漫游信令可以为国际网侧的HSS设备发往国内网侧的MME设备的通信信令。特别的,在SS7信令网(即2/3G移动通信网络中)中,该通信信令可以为MAP(Mobile Application Part,移动应用部分)信令。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
通常情况下,黑客伪装国际侧信令网中的源网络设备,如2/3G网络中的HLR设备或者4G网络中的HSS(Home Subscriber Server,归属签约用户服务器)设备)针对国际侧IMSI(漫游来访用户)发送的移动漫游信令符合一定的规律,第二网络遵循信令系统#7(SS7)的通信协议,则发送移动漫游信令的源设备标识为HLR标识,目标设备标识为MSC或SGSN标识;如果第二网络遵循Diameter协议,则发送移动漫游信令其源设备标识为HSS标识,目标设备标识MME(Mobility Management Entity,移动性管理实体)标识,且其中携带的IMSI标识中的国家代码为第二网络所在国家的国家代码,而且,黑客通常是批量向第二网络中的相关网络设备发送拒绝服务攻击信令,这样将导致源网络设备发送的移动漫游信令流量大大超过正常源网络设备发送的移动漫游信令流量,基于此,本发明实施例中,可以通过在位于国际网络侧的第一网络与位于国内网络侧第二网络之间部署拒绝服务攻击信令的处理装置,分析由第一网络通过国际侧信令网发往第二网络的移动漫游信令是否满足上述的条件,如果满足,则进行拦截,并按照预设的处理策略进行处理,例如可以向源网络设备返回特定错误响应消息或者直接丢弃该移动漫游信令,如果不满足,则向第二网络转发该移动漫游信令。
如图2所示,为本发明实施例中拒绝服务攻击信令的处理装置的部署位置示意图,需要说明的是,具体实施时,拒绝服务攻击信令的处理装置可以独立设置,也可以部署于位于第一网络出口位置的网络设备中,如拒绝服务攻击信令的处理装置可以部署于ISTP(International Signaling Transfer Point国际信令转接点)设备和IDRA(International Diameter Routing Agent国际Diameter路由代理)设备中。
基于上述原理,如图3a所示,本发明实施例提供的拒绝服务攻击信令的第一种处理方法,可以包括以下步骤:
S311、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
具体实施时,第一网络可以为其他国家或地区部署的信令网,第二网络可以为国内运营商部署的信令网,该根据其遵循的通信协议的不同,第二网络可以为SS7信令网或者Diameter信令网。
第一网络发送的移动漫游信令可以为SS7MAP信令或者Diameter S6a接口信令。
S312、提取接收到的移动漫游信令的特征信息。
根据第二网络的网络类型,步骤S312可以有以下几种实施方式:
实施方式一、
如果第二网络为SS7信令网,则可以提取接收到的移动漫游信令中的源SCCP(信令连接控制协议)地址信息和移动漫游信令中携带的IMSI。
实施方式二、
如果第二网络为Diameter信令网,则可以提取接收到的移动漫游信令中的目的主机信息和移动漫游信令中携带的IMSI;或者提取接收到的移动漫游信令的命令码和移动漫游信令中携带的IMSI。
S313、判断提取的特征信息是否与预设的信令过滤规则匹配,如果是,执行步骤S314,否则,执行步骤S315。
S314、拦截接收到的移动漫游信令并按照预设的处理策略进行处理,流程结束。
S315、向第二网络转发接收到的移动漫游信令。
其中,步骤S313中,根据步骤S312中提取的不同特征信息,可以按照以下几种方式判断提取的特征信息是否与预设的信令过滤规则匹配:
第一种实施方式、
如果步骤S312中提取的特征信息为移动漫游信令中的源SCCP地址信息和移动漫游信令中携带的IMSI,则步骤S313中可以判断源SCCP地址信息中的SSN(子系统代码)字段是否为预设值,且提取的IMSI中国家代码部分是否为预设国家代码,如果是,则确定提取的特征信息与预设的信令过滤规则匹配;否则确定提取的特征信息与预设的信令过滤规则不匹配。
较佳的,具体实施时,上述的预设值可以为HLR标识,而根据第二网络所在国家的不同,上述的预设国家代码也可以不同,例如,上述第二网络部署于中国时,上述的预设国家代码可以为“460”。
第二种实施方式、
如果步骤S312中提取的信息为接收到的移动漫游信令的目的主机信息和该移动漫游信令中携带的IMSI,则步骤S313中可以判断提取到的目标主机信息是否为指定目的主机标识且IMSI中的国家代码部分为预设国家代码,如果是,确定提取的特征信息与预设的信令过滤规则匹配;否则,确定提取的特征信息与预设的信令过滤规则不匹配。
较佳的,具体实施时,上述的预设目的主机信息可以为MME标识,而根据第二网络所在国家的不同,上述的预设国家代码也可以不同,例如,上述第二网络部署于中国时,上述的预设国家代码可以为“460”。
第三种实施方式、
如果步骤S312中提取的信息为接收到的移动漫游信令的命令码和该移动漫游信令中携带的IMSI,则步骤S313中可以判断提取到的命令码是否为指定命令码且IMSI中的国家代码部分为预设国家代码,如果是,确定提取的特征信息与预设的信令过滤规则匹配。
较佳的,具体实施时,上述的指令命令码可以但不限于包括317(CancelLocation Request)或者319(Insert Subscribe Data Request),而根据第二网络所在国家的不同,上述的预设国家代码也可以不同,例如,上述第二网络部署于中国时,上述的预设国家代码可以为“460”。
通过上述第一种实施方式,可以限制针对第二网络中的MSC设备或SGSN设备发送的拒绝服务攻击信令带来的异常信令流量进入第二网络中的SS7信令网,通过上述的第二种实施方式,可以限制针对第二网络中的MME设备发送的拒绝服务攻击信令带来的异常信令流量进入第二网络中的Diameter信令网。
如图3b所示,为本发明实施例提供的拒绝服务攻击信令的处理方法的第二种实施流程示意图,可以包括以下步骤:
S321、接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令。
S322、统计符合监测条件的移动漫游信令数量。
较佳的,具体实施时,在执行步骤S322之前,还可以首先判断发送方的发送方地址信息是否在已记录的发送方地址信息中,如果在,则直接拦截该移动通信信令,如果不在,则执行步骤S322。
其中根据第一网络发送的移动漫游信令可以为SS7移动漫游信令或者Diameter移动漫游信令。如果移动漫游信令为SS7移动漫游信令,则步骤S322中涉及的监测条件为第一网络中的HLR发往第二网络中的SGSN或MSC的信令(移动交换中心)消息;如果移动漫游信令为Diameter移动漫游信令,则步骤S322中涉及的监测条件为第一网络HSS(归属签约用户服务器)发往第二网络MME的信令消息。
较佳的,具体实施时,步骤S322中,可以针对移动漫游信令发送方的地址信息和接收方的地址信息统计符合监测条件的移动漫游信令数量。
S323、判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,执行步骤S324,否则,执行步骤S325。
其中,移动漫游信令数量阈值可以但不限于根据预先设置的国际漫游用户信令模型确定,其中国际漫游用户信令模型可以但不限于包括:移动漫游用户来访比例,位置更新次数或者修改签约数据次数等。具体实施时,对于2/3G移动通信网络,则根据2/3G移动通信网络国际漫游用户信令模型确定其对应的移动漫游信令数量阈值;对于4G移动通信网络,则根据4G移动通信网络国际漫游用户信令模型确定其对应的移动漫游信令数量阈值。
S324、记录该移动漫游信令发送方的地址信息进行拦截,流程结束。
具体实施时,在拦截接收到的移动漫游信令后,可以根据预设的处理策略处理该移动漫游信令,例如,可以向发送方设备返回特定错误响应消息或者直接丢弃该移动漫游信令。
较佳的,在判断出发送方发送的符合监测条件的移动漫游信令数量超过预设的移动漫游信令数量阈值后,还可以记录方法的发送方地址信息,后续在接收到移动漫游信令后,根据记录的发送方地址信息进行拦截即可。其中,发送方地址信息可以为HLR的GT(全局码)。
S325、向第二网络转发接收到的移动漫游信令。
如图4a-图4e所示,其分别为不同的拒绝服务攻击信令的处理流程示意图。
如图4a所示,其为针对SS7信令网发送的拒绝服务攻击信令的处理流程示意图,可以包括以下步骤:
S411、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
S412、提取接收到的移动漫游信令的源SCCP地址信息和该移动漫游信令中携带的IMSI。
S413、判断源SCCP地址信息中的SSN字段是否为HLR标识,如果是,执行步骤S414,否则执行步骤S416。
S414、判断提取的IMSI中国家代码部分是否为预设国家代码,如果是,执行步骤S415,否则,执行步骤S416。
S415、拦截该移动漫游信令,并按照预设的处理策略处理接收到的移动漫游信令,流程结束。
S416、向第二网络转发该移动漫游信令。
如图4b所示,其为针对Diameter信令网发送的拒绝服务攻击信令的第一种处理流程示意图,可以包括以下步骤:
S421、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
S422、提取接收到的移动漫游信令的目的主机信息和该移动漫游信令中携带的IMSI。
S423、判断目的主机信息是否为MME标识,如果是,执行步骤S424,否则执行步骤S426。
S424、判断提取的IMSI中国家代码部分是否为预设国家代码,如果是,执行步骤S425,否则,执行步骤S426。
S425、拦截该移动漫游信令,并按照预设的处理策略处理接收到的移动漫游信令,流程结束。
S426、向第二网络转发该移动漫游信令。
如图4c所示,其为针对Diameter信令网发送的拒绝服务攻击信令的第二种处理流程示意图,可以包括以下步骤:
S431、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
S432、提取接收到的移动漫游信令的命令码和该移动漫游信令中携带的IMSI。
S433、判断提取的命令码是否为指定命令码,如果是,执行步骤S434,否则执行步骤S436。
S434、判断提取的IMSI中国家代码部分是否为预设国家代码,如果是,执行步骤S435,否则,执行步骤S436。
S435、拦截该移动漫游信令,并按照预设的处理策略处理接收到的移动漫游信令。
S436、向第二网络转发该移动漫游信令。
如图4d所示,为其为针对SS7信令网发送的拒绝服务攻击信令的第二种处理流程示意图,可以包括以下步骤:
S441、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
S442、判断该移动漫游信令发送方的发送方地址信息是否存在于已记录的发送方地址信息中,如果是,执行步骤S443、否则,执行步骤S444。
S443、拦截该移动漫游信令,流程结束。
S444、根据移动漫游信令的发送方和接收方统计符合监测条件的移动漫游信令数量。
具体实施时,可以根据移动漫游信令的发送方和接收方统计符合监测条件的移动漫游信令数量。具体的,可以统计源SCCP地址中的源SSN=HLR且目的SSN=MSC的移动漫游信令数量。
S445、判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,执行步骤S447,否则,执行步骤S446。
S446、向第二网络转发该移动漫游信令,流程结束。
S447、记录发送方的地址信息进行拦截。
如图4e所示,其为针对Diameter信令网发送的拒绝服务攻击信令的第三种处理流程示意图,可以包括以下步骤:
S451、接收第一网络通过国际侧信令网发往第二网络的移动漫游信令。
S452、判断该移动漫游信令发送方的发送方地址信息是否存在于已记录的发送方地址信息中,如果是,执行步骤S453、否则,执行步骤S454。
S453、拦截该移动漫游信令,流程结束。
S454、根据移动漫游信令的发送方和接收方统计该移动漫游信令发送方发送的符合监测条件的移动漫游信令数量。
具体实施时,可以根据移动漫游信令的发送方和接收方统计符合监测条件的移动漫游信令数量。具体的,可以统计源主机名为HSS地址且目的主机名为MME地址的移动漫游信令数量。
S455、判断发送方发送的符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,执行步骤S457,否则,执行步骤S456。
S456、向第二网络转发该移动漫游信令,流程结束。
S457、拦截发送方的地址信息进行拦截。
本发明实施例提供的拒绝服务攻击信令的处理方法,在第一网络和第二网络之间设置拒绝服务攻击信令的处理装置,针对黑客发送的拒绝服务攻击信令的特点,分析接收到的移动漫游信令是否满足黑客发送的拒绝服务攻击信令的特征,如果满足,则进行拦截,从而避免了拒绝服务攻击信令进入第二网络中,通过实施本发明实施例提供的拒绝服务攻击信令的处理方法,能够保证在第二网络中登记的漫游用户正常进行业务访问,节约第二网络中的相关网络设备的处理资源,提高其处理能力。
基于同一发明构思,本发明实施例中还提供了一种拒绝服务攻击信令的处理装置,由于上述装置解决问题的原理与种拒绝服务攻击信令的处理方法相似,因此上述装置及设备的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,为本发明实施例提供的拒绝服务攻击信令的处理装置的结构示意图,可以包括:
接收单元51,用于接收第一网络通过国际侧信令网发送第二网络的移动漫游信令;
提取单元52,用于提取所述移动漫游信令的特征信息;
统计单元53,用于统计符合监测条件的移动漫游信令数量;
第一判断单元54,用于判断所述提取单元提取的特征信息是否与预设的信令过滤规则匹配。
第二判断单元55,用于判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值。
处理单元56,用于在第一判断单元54的判断结果为是时,拦截该移动漫游信令;在第二判断单元55的判断结果为是时,记录该移动漫游信令发送方的地址信息进行拦截;以及在第一判断单元54或者第二判断单元55的判断结果为否时,向第二网络转发所述移动漫游信令。
具体实施时,接收单元51接收到的移动漫游信令可以为SS7移动漫游信令;以及
所述提取单元52,可以用于具体用于提取所述移动漫游信令的源信令连接控制协议SCCP地址信息和所述移动漫游信令中携带的国际移动用户识别码IMSI;
所述第一判断单元54具体用于判断所述源SCCP地址信息中的子系统号码SSN字段是否为归属位置寄存器HLR标识且提取到IMSI中国家代码是否为预设国家代码;如果是,则确定提取的特征信息与预设的信令过滤规则匹配;如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
具体实施时,接收单元51接收到的移动漫游信令可以为Diameter移动漫游信令;以及
所述提取单元52,可以用于提取所述移动漫游信令的目的主机信息和所述移动漫游信令中携带的IMSI;或者提取所述移动漫游信令的命令码和所述移动漫游信令中携带的IMSI;
所述第一判断单元54,具体用于判断提取的目的主机信息是否为移动性管理实体MME标识且提取的IMSI中国家代码是否为预设国家代码;或者判断所述命令码是否为指定命令码且提取的IMSI中国家代码是否为预设国家代码;如果是,则确定提取的特征信息与预设的信令过滤规则匹配;如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
具体实施时,本发明实施例提供的拒绝服务攻击信令的处理装置,还可以包括第三判断单元和第一确定单元,其中:
所述第三判断单元,还用于在所述统计单元统计所述移动漫游信令发送方发送的符合监测条件的移动漫游信令数量之前,判断所述发送方的发送地址信息是否在已记录的发送方地址信息中;
所述第一确定单元,用于根据所述第三判断单元的判断结果确定所述发送方的发送地址信息不存在于已记录的发送方地址信息中;
所述处理单元,还用于在所述第三判断单元判断出发送方的发送地址信息存在于已记录的发送方地址信息中时,直接拦截该移动漫游信令。
所述移动漫游信令包括SS7移动漫游信令或者Diameter移动漫游信令;如果所述移动漫游信令为SS7移动漫游信令,则所述监测条件为第一网络中的HLR发往第二网络中的服务通用分组无线服务技术GPRS支持节点SGSN或移动交换中心MSC的信令消息;如果所述移动漫游信令为Diameter移动漫游信令,则所述监测条件为第一网络归属签约用户服务器HSS发往第二网络MME的信令消息;以及
所述统计单元,具体用于针对所述移动漫游信令发送方的地址信息和接收方的地址信息统计符合监测条件的移动漫游信令数量。
具体实施时,本发明实施例提供的拒绝服务攻击信令的处理装置,还可以包括第二确定单元,用于根据预设的国际漫游用户信令模型确定所述移动漫游信令数量阈值,其中所述国际漫游用户信令模型包括:移动漫游用户来访比例,位置更新次数或者修改签约数据次数。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种移动通信网络中拒绝服务攻击信令的处理方法,其特征在于,包括:
接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令;
提取所述移动漫游信令的特征信息;判断提取的特征信息是否与预设的信令过滤规则匹配;如果是,拦截所述移动漫游信令;如果否,向所述第二网络转发所述移动漫游信令;并
统计符合监测条件的移动漫游信令数量;并判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值,如果是,记录所述移动漫游信令发送方的地址信息进行拦截;如果否,向所述第二网络转发所述移动漫游信令。
2.如权利要求1所述的方法,其特征在于,所述移动漫游信令为SS7信令;以及
提取所述移动漫游信令的特征信息,具体包括:
提取所述移动漫游信令的源信令连接控制协议SCCP地址信息和所述移动漫游信令中携带的国际移动用户识别码IMSI;以及
判断提取的特征信息是否与预设的信令过滤规则匹配,具体包括:
判断所述源SCCP地址信息中的子系统号码SSN字段是否为归属位置寄存器HLR标识且提取到IMSI中国家代码是否为预设国家代码;
如果是,确定提取的特征信息与预设的信令过滤规则匹配;
如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
3.如权利要求1所述的方法,其特征在于,所述移动漫游信令为Diameter信令;以及
提取所述移动漫游信令的特征信息,具体包括:
提取所述移动漫游信令的目的主机信息和所述移动漫游信令中携带的IMSI;或者提取所述移动漫游信令的命令码和所述移动漫游信令中携带的IMSI;以及
判断提取的特征信息是否与预设的信令过滤规则匹配,具体包括:
判断提取的目的主机信息是否为移动性管理实体MME标识且提取的IMSI中国家代码是否为预设国家代码;或者判断所述命令码是否为指定命令码且提取的IMSI中国家代码是否为预设国家代码;
如果是,确定提取的特征信息与预设的信令过滤规则匹配;
如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
4.如权利要求1所述的方法,其特征在于,在统计符合监测条件的移动漫游信令数量之前,还包括:
判断所述发送方的发送地址信息是否在已记录的发送方地址信息中;并
根据判断结果确定所述发送方的发送地址信息不存在于已记录的发送方地址信息中;
如果发送方的发送地址信息存在于已记录的发送方地址信息中,则直接拦截所述移动漫游信令。
5.如权利要求1所述的方法,其特征在于,还包括:所述移动漫游信令包括SS7移动漫游信令或者Diameter移动漫游信令;如果所述移动漫游信令为SS7移动漫游信令,则所述监测条件为第一网络中的HLR发往第二网络中的服务通用分组无线服务技术GPRS支持节点SGSN或移动交换中心MSC的信令消息;如果所述移动漫游信令为Diameter移动漫游信令,则所述监测条件为第一网络归属签约用户服务器HSS发往第二网络MME的信令消息;以及
统计符合监测条件的移动漫游信令数量,具体包括:
针对所述移动漫游信令发送方的地址信息和接收方的地址信息统计符合监测条件的移动漫游信令数量。
6.如权利要求1~5任一权利要求所述的方法,其特征在于,根据预设的国际漫游用户信令模型确定所述移动漫游信令数量阈值,其中所述国际漫游用户信令模型包括:移动漫游用户来访比例,位置更新次数或者修改签约数据次数。
7.一种移动通信网络中拒绝服务攻击信令的处理装置,其特征在于,包括:
接收单元,用于接收第一网络通过国际侧信令网发送第二网络的移动漫游信令;
提取单元,用于提取所述移动漫游信令的特征信息;
统计单元,用于统计符合监测条件的移动漫游信令数量;
第一判断单元,用于判断所述提取单元提取的特征信息是否与预设的信令过滤规则匹配;
第二判断单元,用于判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值;
处理单元,用于在所述第一判断单元的判断结果为是时,拦截所述移动漫游信令;在所述第二判断单元的判断结果为是时,记录所述移动漫游信令发送方的地址信息进行拦截;以及在所述第一判断单元或者所述第二判断单元的判断结果为否时,向所述第二网络转发所述移动漫游信令。
8.如权利要求7所述的装置,其特征在于,所述移动漫游信令为SS7移动漫游信令;以及
所述提取单元,具体用于提取所述移动漫游信令的源信令连接控制协议SCCP地址信息和所述移动漫游信令中携带的国际移动用户识别码IMSI;
所述第一判断单元,具体用于判断所述源SCCP地址信息中的子系统号码SSN字段是否为归属位置寄存器HLR标识且提取到IMSI中国家代码是否为预设国家代码;如果是,则确定提取的特征信息与预设的信令过滤规则匹配;如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
9.如权利要求7所述的装置,其特征在于,所述移动漫游信令为Diameter移动漫游信令;以及
所述提取单元,具体用于提取所述移动漫游信令的目的主机信息和所述移动漫游信令中携带的IMSI;或者提取所述移动漫游信令的命令码和所述移动漫游信令中携带的IMSI;
所述第一判断单元,具体用于判断提取的目的主机信息是否为移动性管理实体MME标识且提取的IMSI中国家代码是否为预设国家代码;或者判断所述命令码是否为指定命令码且提取的IMSI中国家代码是否为预设国家代码;如果是,则确定提取的特征信息与预设的信令过滤规则匹配;如果否,确定提取的特征信息与预设的信令过滤规则不匹配。
10.如权利要求7所述的装置,其特征在于,还包括第三判断单元和第一确定单元,其中:
所述第三判断单元,还用于在所述统计单元统计符合监测条件的移动漫游信令数量之前,判断所述发送方的发送地址信息是否在已记录的发送方地址信息中;
所述第一确定单元,用于根据所述第三判断单元的判断结果确定所述发送方的发送地址信息不存在于已记录的发送方地址信息中;
所述处理单元,还用于在所述第三判断单元判断出发送方的发送地址信息存在于已记录的发送方地址信息中时,直接拦截所述移动漫游信令。
11.如权利要求7所述的装置,其特征在于,所述移动漫游信令包括SS7移动漫游信令或者Diameter移动漫游信令;如果所述移动漫游信令为SS7移动漫游信令,则所述监测条件为第一网络中的HLR发往第二网络中的服务通用分组无线服务技术GPRS支持节点SGSN或移动交换中心MSC的信令消息;如果所述移动漫游信令为Diameter移动漫游信令,则所述监测条件为第一网络归属签约用户服务器HSS发往第二网络MME的信令消息;以及
所述统计单元,具体用于针对所述移动漫游信令发送方的地址信息和接收方的地址信息统计符合监测条件的移动漫游信令数量。
12.如权利要求7~11任一权利要求所述的装置,其特征在于,还包括:
第二确定单元,用于根据预设的国际漫游用户信令模型确定所述移动漫游信令数量阈值,其中所述国际漫游用户信令模型包括:移动漫游用户来访比例,位置更新次数或者修改签约数据次数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510337392.5A CN106257950B (zh) | 2015-06-17 | 2015-06-17 | 移动通信网络中拒绝服务攻击信令的处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510337392.5A CN106257950B (zh) | 2015-06-17 | 2015-06-17 | 移动通信网络中拒绝服务攻击信令的处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106257950A true CN106257950A (zh) | 2016-12-28 |
| CN106257950B CN106257950B (zh) | 2019-08-16 |
Family
ID=57714076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510337392.5A Active CN106257950B (zh) | 2015-06-17 | 2015-06-17 | 移动通信网络中拒绝服务攻击信令的处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106257950B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110234105A (zh) * | 2018-03-06 | 2019-09-13 | 中国移动通信有限公司研究院 | 检测vlr是否验证拒绝服务指令的方法及装置 |
| CN110392023A (zh) * | 2018-04-20 | 2019-10-29 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法及装置 |
| CN111901818A (zh) * | 2020-06-15 | 2020-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于map信令的核心网网元异常行为的判断方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1565113A (zh) * | 2002-01-07 | 2005-01-12 | 摩托罗拉公司 | 使用ip进行通信的网络 |
| CN101361376A (zh) * | 2005-05-09 | 2009-02-04 | 罗姆韦尔有限公司 | 入境漫游用户的csi的动态生成 |
| CN101558666A (zh) * | 2005-03-02 | 2009-10-14 | 罗姆韦尔有限公司 | 对于出境漫游用户的csi的动态生成 |
| US20110014939A1 (en) * | 2009-06-25 | 2011-01-20 | Venkataramaiah Ravishankar | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
-
2015
- 2015-06-17 CN CN201510337392.5A patent/CN106257950B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1565113A (zh) * | 2002-01-07 | 2005-01-12 | 摩托罗拉公司 | 使用ip进行通信的网络 |
| CN101558666A (zh) * | 2005-03-02 | 2009-10-14 | 罗姆韦尔有限公司 | 对于出境漫游用户的csi的动态生成 |
| CN101361376A (zh) * | 2005-05-09 | 2009-02-04 | 罗姆韦尔有限公司 | 入境漫游用户的csi的动态生成 |
| US20110014939A1 (en) * | 2009-06-25 | 2011-01-20 | Venkataramaiah Ravishankar | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110234105A (zh) * | 2018-03-06 | 2019-09-13 | 中国移动通信有限公司研究院 | 检测vlr是否验证拒绝服务指令的方法及装置 |
| CN110234105B (zh) * | 2018-03-06 | 2022-04-01 | 中国移动通信有限公司研究院 | 检测vlr是否验证拒绝服务指令的方法及装置 |
| CN110392023A (zh) * | 2018-04-20 | 2019-10-29 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法及装置 |
| CN110392023B (zh) * | 2018-04-20 | 2021-12-24 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 |
| CN111901818A (zh) * | 2020-06-15 | 2020-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于map信令的核心网网元异常行为的判断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106257950B (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20130021970A1 (en) | Group based mobility optimization method and device in machine-type communication | |
| US8606264B2 (en) | Method and device for processing information given idle-mode signaling reduction | |
| WO2003005747A1 (en) | Apparatus and method for obtaining location information of mobile stations in a wireless communications network | |
| WO2006094024A2 (en) | Inbound roamer call control system | |
| CN101771998B (zh) | 一种漫游通信方法、装置及系统 | |
| EP2731365A1 (en) | Method and system for implementing packet switch domain short message service, and user equipment | |
| CN101448217B (zh) | 短信业务实现系统及发送和接收方法 | |
| EP2183231B1 (en) | Testing of roaming transactions | |
| CN106257950A (zh) | 移动通信网络中拒绝服务攻击信令的处理方法和装置 | |
| EP1982539B1 (en) | Method and system for providing mobile communication corresponding to multiple msisdns associated with a single imsi | |
| CN107105399A (zh) | 一种数据处理方法及服务器、网元 | |
| CN101047971B (zh) | 当智能用户漫游时在归属地触发智能业务的方法 | |
| US9510377B2 (en) | Method and apparatus for managing session based on general packet radio service tunneling protocol network | |
| CN101790157A (zh) | 实现一卡多号业务的方法及设备 | |
| JPWO2021138072A5 (zh) | ||
| CN102665185B (zh) | 一种开通呼叫前转业务的方法、装置及系统 | |
| CN103686882B (zh) | 电路交换回落系统中非呼叫业务处理方法、装置和系统 | |
| CN101185352A (zh) | 阻止通信重定向的系统 | |
| CN102870489A (zh) | 用于接收移动性管理实体名称的方法和设备 | |
| CN102547653B (zh) | 减少终端回落到电路交换网次数的方法和系统 | |
| WO2011083096A1 (en) | Method, network entity, telecommunications network and computer program product for handling subscription data in a telecommunications network | |
| CN101516080A (zh) | 基于一卡多号业务的呼出方法及一卡多号服务器 | |
| CN103416092A (zh) | 一种呼叫接续的方法、装置及系统 | |
| CN101204102A (zh) | 入境通信重定向系统 | |
| WO2016201937A1 (zh) | 一种实现hlr用户分批割接的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |