CN109547442A

CN109547442A - 一种gtp协议防护方法及装置

Info

Publication number: CN109547442A
Application number: CN201811428249.7A
Authority: CN
Inventors: 许明艳; 赵宇; 秦小刚; 李海涛; 李森有; 柏溢; 陈云杰; 王领伟; 冯莉
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2018-11-27
Filing date: 2018-11-27
Publication date: 2019-03-29
Anticipated expiration: 2038-11-27
Also published as: CN109547442B

Abstract

本发明提供一种GTP协议防护方法及装置，该方法包括;步骤1、接收源设备发送的GTP消息，所述GTP消息包括GTP‑C消息和GTP‑U消息；步骤2、根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息；步骤3、将合法的正常GTP消息和所述修正过的GTP消息发送至目的设备。本发明通过将防护装置以串联无感方式部署于分组数据网关节点前端，检测和处理对运营商分组数据网的异常GTP信令及数据，能够在运营商无感、设备无感、用户无感及业务无感的情况下，对GTP网元节点进行无痕的安全防护。

Description

一种GTP协议防护方法及装置

技术领域

本发明涉及移动通信安全防护技术领域，特别涉及一种GTP协议防护方法及装置。

背景技术

在移动通信网的2G、3G和4G分组域核心网，GTP协议用来承载通用分组无线业务，通过建立、修改和删除隧道实现移动终端、GPRS服务节点和分组数据网络之间IP载荷的传输。GGSN(PGW)作为网关节点，连接GRX与分组数据网络，由于缺乏网元身份认证、消息认证等功能，尤为脆弱。攻击者可伪装成不同网元设备来建立连接，并发送GTP控制包，使用户及网络面临信息劫持、隐私泄露等安全威胁。基于全球移动通信网的互联互通，一旦攻击者利用某个脆弱节点接入某个运营商的网络，也就能轻易接入GRX网络以及其它运营商设备；同理，如果攻击者入侵了GRX网络，则与其连接的运营商网络也极易通过脆弱的GTP协议被攻击者接入。

GTP网元节点面临的安全威胁：

1.DOS攻击。攻击者通过发送参数配置合理的连接建立消息，耗尽设备的资源，导致设备瘫痪，网络无法提供正常服务；

2.假冒合法用户身份实现非法网络连接，使用户承受损失；

3.GTP层的ARP攻击。攻击者通过发送假冒设备地址的连接更新请求消息给业务服务节点，获取目标用户与数据网络间传送的GTP信令及数据，其中包括用户身份、位置等敏感信息；

4.数据流重定向攻击。攻击者通过篡改GTP消息中的DNS地址或网关地址，实现用户数据流的重定向，不仅可以监听用户数据，而且可进一步实现各类钓鱼攻击。

5.畸形及异常IP数据包攻击。攻击者通过建立的数据连接发送碎片、异常分段等各种畸形IP报文，或各类探测报文对网关设备进行服务拒绝攻击。

虽然业界已对GTP协议的安全威胁作了披露，但截止目前，仍然缺乏针对移动通信网GTP协议安全防护的技术及设备。

发明内容

针对GTP网元节点面临的安全威胁，本发明提供了一种GTP协议防护方法及装置，部署于移动通信网GGSN(PGW)前端，实现对运营商分组数据网络GTP协议与设备的保护。

一方面，本发明提供一种GTP协议防护方法，该方法包括：

步骤1、接收源设备发送的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；

步骤2、根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息；

步骤3、将合法的正常GTP消息和所述修正过的GTP消息发送至发送至目的设备。

进一步地，步骤2中的所述异常检测规则具体包括：

若GTP消息为GTP-U消息，则对所述GTP-U消息进行GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测中的至少一个检测步骤；

若GTP消息为GTP-C消息，则对所述GTP-C消息进行GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测中的至少一个检测步骤。

进一步地，步骤2的所述异常处理规则具体包括：

若GTP-U消息为出现频率小于预设频率阈值的异常包或探测包，则采用模板包替换所述GTP-U消息；

若GTP-U消息为DOS攻击，则向所述源设备与所述目的设备发送断开连接消息，所述断开连接消息包含GTP隧道的标识信息；

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

若GTP-C消息为GTP层ARP攻击或数据重定向攻击，则修正所述GTP-C消息中的异常参数为不可达的地址或合法地址，得到修正过的GTP-C消息；

若GTP-C消息为利用连接建立的资源耗尽攻击，则丢弃所述GTP-C消息。

进一步地，该方法还包括：

步骤5、对所述GTP消息进行异常检测时，根据在异常检测过程中提取到的异常特征信息实时更新异常检测规则。

另一方面，本发明提供一种GTP协议防护装置，该装置包括：前端实时防护子系统，所述前端实时防护子系统包括：

接入单元，用于接收源设备发送的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；以及将合法的正常GTP消息和修正过的GTP消息发送至发送至目的设备；

异常检测与处理单元，根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息。

进一步地，所述异常检测与处理单元具体用于：

若判定GTP消息为GTP-U消息，则对所述GTP-U消息进行GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测中的至少一个检测步骤；

若判定GTP消息为GTP-C消息，则对所述GTP-C消息进行GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测中的至少一个检测步骤。

进一步地，所述异常检测与处理单元具体还用于：

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

进一步地，该装置还包括：

后端分析支撑子系统；对应地，

所述前端实时防护子系统，还用于对所述GTP消息进行异常检测时，将异常检测过程中提取到的异常特征信息传输至后端分析支撑子系统；

所述后端分析支撑子系统，用于根据接收到的异常特征信息实时更新异常检测规则，并将更新后的异常检测规则发送至所述前端实时防护子系统。

本发明的有益效果：

本发明提供的一种GTP协议防护方法及装置，通过将该GTP协议防护装置以无感串接方式接入移动通信骨干网某个PGW(GGSN)设备前端，该装置具备移动骨干网的拓扑结构信息及网元配置信息，能够在不影响网络正常通信的基础上，对移动骨干网内的GTP消息(包括数据及信令)进行检测和处理，识别基于GTP协议的各类信息探测、DOS攻击、基于GTP协议的ARP欺骗等攻击行为；针对不同的异常检测结果，采用信令参数修正、丢弃、断开连接等方式进行处理，防御各类攻击访问行为，从而实现对GTP网元节点的安全防护。

本发明主要解决了移动通信网GTP协议漏洞的安全防护问题，该方法及装置能够在运营商无感、设备无感、用户无感及业务无感的情况下，对移动骨干网内的GTP数据及信令进行检测和处理，实现对GTP网元节点的实时安全防护，保证网络的可靠性。

附图说明

图1为本发明实施例提供的GTP协议防护装置在EPC网络中的架构部署示意图；

图2为本发明实施例提供的GTP协议防护方法的流程示意图；

图3为本发明实施例提供的GTP协议防护装置的结构示意图；

图4为本发明实施例提供的GTP协议防护装置的工作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

结合图1和图2所示，将GTP协议防护装置部署在移动通信骨干网某个PGW(GGSN)设备前端，以无感串接方式接入。该GTP协议防护装置进行GTP协议防护的方法包括以下步骤：

S101、接收源设备发送的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；

S102、根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息；

具体地，GTP防护装置在对GTP消息进行异常检测时，主要分为以下两部分：

(1)GTP-U消息异常检测，即GTP-U数据包畸形及异常IP包检测。通过对解析后的IP数据包进行网络流量智能识别，实现对畸形IP包及非法流量的线速识别，依据GTP协议端口及包头特征筛选过滤GTP-U消息，对异常GTP-U消息进行丢弃或模板包替换。针对GTP-U消息的异常检测规则包括：GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测。

(2)GTP-C消息异常检测，即GTP-C信令异常异常检测。针对GTP-C消息异常检测规则包括：GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测。

GTP防护装置根据异常检测结果对异常GTP消息进行处理时，主要分为以下两部分：

(1)针对异常GTP-U消息的处理。

若GTP-U消息为出现频率小于预设频率阈值的异常包或探测包，则采用模板包替换异常的所述GTP-U消息；所述模板包为无害数据包，保证GTP数据序号的连续性。

具体地，该预设频率阈值可根据具体情况进行设定。

若GTP-U消息为DOS攻击，则向所述源设备与所述目的设备发送断开连接消息，所述断开连接消息包含GTP隧道的标识信息；如此保证隧道两端同时断开此GTP隧道。

若发现DNS隐蔽隧道，告警并提示操作员干预。

(2)针对异常GTP-C消息的处理。

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息。

若GTP-C消息为GTP层ARP攻击或数据重定向攻击，则修正所述GTP-C消息中的异常参数为不可达的地址或合法地址，使得该异常GTP-C消息成为无害的安全信令，即得到修正过的GTP-C消息；所述异常参数为GSN地址或DNS地址。

S103、将合法的正常GTP消息和所述修正过的GTP消息发送至目的设备。

本发明实施例提供的GTP协议防护方法，通过将GTP协议防护装置部署于移动通信网PGW(GGSN)前端，实现对运营商分组数据网GTP协议与设备的保护。GTP协议防护装置采用无感串接方式，防护装置在防护过程中对异常消息采用可配置的灵活处理方式，根据安全需求和配置，实现对异常消息的告警、过滤、后台统计溯源分析，对于一些特定的异常消息，将参数进行调整，使其成为安全信令消息，保持协议及会话流程的完整性，达到无痕的防护效果。即使防护装置退出也不会出现闪断现象，保证移动通信业务的正常运行和高可靠性。

在上述实施例的基础上，该方法还包括：步骤S104、对所述GTP消息进行异常检测时，根据在异常检测过程中提取到的异常特征信息实时更新异常检测规则。

具体地，所述异常特征信息包括检测到的异常GTP信令及GTP数据包，以及疑似的异常GTP信令及GTP数据包，通过将异常特征信息进行分类统计(异常GTP-C消息、异常GTP-U消息、疑似的异常GTP-C消息和疑似的异常GTP-U消息)，提取异常数据流特征、异常GTP信令特征，结合移动通信骨干网拓扑结构、业务节点配置信息，更新可疑目标、可疑行为列表；对于疑似新的攻击方式，以告警方式在维护台呈现，提示管理员干预；更新防护策略和协议参数替换策略，并传送给前端实时防护子系统31。

由上述内容可知，利用检测到的异常特征信息，可进一步完善并实时更新GTP协议防护装置的防护策略，解决了现有移动通信网间GTP信令和数据传输中的安全威胁。

图3为本发明实施例提供的GTP协议防护装置的结构示意图。该装置接入PGW或GGSN前端，包括：前端实时防护子系统31和后端分析支撑子系统32；

其中，所述前端实时防护子系统31包括：接入单元和异常检测与处理单元。其中：接入单元用于接收源设备发送(需要说明的是，接入单元可以不是直接接收源设备发送的GTP信息，可以是线路上经由的GTP信息)的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；并将检测过的合法的正常GTP消息和修正过的GTP消息发送至目的设备；异常检测与处理单元根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息。

具体地，首先，前端实时防护子系统31中的接入单元串接在被保护网元设备(例如，数据网关节点(GGSN或PGW))前端，接入单元作为透明第三方，独立接入IP网络，所有经由节点进出移动网的GTP消息(包括GTP-C消息和GTP-U消息)均需通过前端实时防护子系统31，实现高速数据线路的光电转换和线路直通切换保护、数据解封装、数据包类型判别及数据检测。当前端实时防护子系统31出现宕机情况时，会直接退出两端(源设备端和目的设备端)连接，对现有网络没影响，实现物理上的直通。如果接入单元正常，接入的GTP消息由前端实时防护子系统31进行检测。

接着，接入单元将GTP消息转发到异常检测与处理单元，所述GTP消息包括GTP-C消息和GTP-U消息；

然后，前端实时防护子系统31中的异常检测与处理单元对接入单元接收到的GTP消息进行异常检测，对异常数据包和信令进行丢弃或修正操作，对非法连接和攻击则采取断开连接手段。并将这些异常数据信令特征传递给后端分析子系统进行深度分析与防护策略更新。

异常检测与处理单元主要对GTP-U消息进行GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测；主要对GTP-C消息进行GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测。

针对异常检测结果，异常处理主要包括如下流程：

若GTP-U消息为出现频率小于预设频率阈值的异常包或探测包，则采用模板包替换异常的所述GTP-U消息；

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

其次，前端实时防护子系统31在对GTP消息进行异常检测的同时会将异常检测过程中提取到的异常特征信息传输至后端分析支撑子系统32，由后端分析支撑子系统32进行统计分析及防护策略更新。

接着，后端分析支撑子系统32根据前端实时防护子系统31传送过来的异常特征信息进行分类(异常GTP-C消息、异常GTP-U消息、疑似的异常GTP-C消息和疑似的异常GTP-U消息)，提取异常数据流特征、异常GTP信令特征，结合移动通信骨干网拓扑结构、业务节点配置信息，更新可疑目标、可疑行为列表；对于疑似新的攻击方式，以告警方式在维护台呈现，提示管理员干预；更新防护策略和协议参数替换策略，并传送给前端实时防护子系统31。

需要说明的是，前端实时防护子系统31与后端分析支撑子系统32之间可采用自定义协议，后端分析支撑子系统32可根据异常信令及数据包统计分析更新防护策略自动实时更新，管理员也可以编辑防护策略并更新至前端防护子系统31。

最后，前端实时防护子系统31中的异常检测与处理单元将过滤修正过的GTP消息及正常的GTP消息返回给接入单元，该GTP消息包括GTP-U消息(即GTP数据流)和GTP-C消息(即GTP信令)。接入单元将正常信令和数据，以及修正过的安全信令和数据转发至目的设备。

图4为本发明实施例提供的GTP协议防护装置的工作流程图。如图4所示，其工作流程包括如下步骤：

步骤S401：GTP消息(信令和数据)首先进行GTP层包头解封装；

步骤S402：判断GTP类型，对于GTP-U消息，进入步骤S403；对于GTP-C消息，进入步骤S409；

步骤S403：对于接收到的GTP-U消息，检测GTP包头的合法性。对于不合法的GTP包头，将其发送到异常处理模块；

步骤S404：畸形IP报文检测。针对如碎片、异常分段等异常IP数据包，通过对解析后的IP数据包进行网络流量智能识别，实现对畸形IP包及非法流量的线速识别，依据异常处理规则进行丢弃或模板包替换。对出现频率小于预设频率阈值的异常包或探测包，采取模板包替换的方式，替换IP包为无害数据包，保证GTP数据序号的连续性。同时记录异常数据包特征信息，将这些信息传递给后端分析支撑子系统32。

步骤S405：信息探测检测。对ICMP、SNMP等各类探测报文进行检测和流量统计，依据异常处理规则，对于流量小的探测报文采用模板包替换方式，对于流量大的探测报文，数据链路已经成为其攻击的路径，则采用防DOS攻击策略，断开数据链接方式，并将异常信息特征传递给后端分析支撑子系统32。

步骤S406：DOS攻击检测。对于发现的DOS攻击，提取GTP隧道特征信息，分别以此GTP消息的目的设备(也称目的网元)和源设备(也称源网元)的身份向源网元与目的网元发送断开GTP连接消息，其中含有此GTP隧道特征信息(如GTP隧道标识等)，保证源网元与目的网元两端同时断开此GTP隧道，阻断DOS攻击数据包的发送路径。并将异常信息特征传递给后端分析支撑子系统32。

步骤S407：DNS隐蔽隧道检测。对通过前端实时防护子系统31的DNS数据包，利用DNS流量模型进行DNS流量检测，对可能隐藏的DNS隧道告警并提示操作员干预。

步骤S408：对于检测正常的GTP数据包以及在异常处理模块中修正过的GTP数据包，将其发送给接入单元，进入步骤S417；

步骤S409：对于接收到的GTP-C消息，检测GTP包头的合法性。对于不合法的GTP包头，将其发送到异常处理模块；

步骤S410：网元身份合法性检测。对源网元和目的网元设备地址合法性以及是否与GTP协议防护装置中的地址拓扑表匹配进行检测，对于利用连接建立的资源耗尽攻击和假冒身份的非法连接，前端实时防护子系统31根据防护策略(即异常检测规则和异常处理规则)，进行信令丢弃处理。

步骤S411：用户信息检测。对用户标识、GTP隧道标识、消息的源地址、消息的目的地址标识等进行联合匹配检测。对不匹配的消息，进行报警异常处理，在管理员的干预下进行下一步动作；并将异常信息特征传递给后端分析支撑子系统32。

步骤S412：用户会话行为检测。对用户PDP上下文状态进行验证，检验用户是否处理激活状态，对检测出的不正常消息，进行报警异常处理，在管理员的干预下进行下一步动作；并将异常信息特征传递给后端分析支撑子系统32。

步骤S413：数据路径检测。通过对GTP信令中GSN(GW)地址、DNS地址合法性验证来实现。对于GTP层ARP或数据重定向攻击，修正信令中异常参数(GSN地址或DNS地址)为不可达的地址或合法地址，使之成为安全信令。并将提取的异常信息特征传递给后端分析支撑子系统32。

步骤S414：资源耗尽攻击检测。通过GTP信令中APN名称合法性检测、GTP连接建立频次统计检测来实现，对于非法接入点和频繁建立连接的信令消息，采取丢弃或断开连接处理，并将异常信息特征传递给后端分析支撑子系统32。

步骤S415：对于检测正常的信令消息以及在异常处理模块中修正过的正常信令消息，将其发送给接入单元，进入步骤S417；

步骤S416：对于检测到的异常数据包，以及疑似的异常数据包，前端实时防护子系统31在告警的同时传输提取的异常特征信息给后端分析支撑子系统32，由后端分析支撑子系统32进行进一步统计分析及防护策略实时更新，并将防护策略实时反馈给前端实时防护子系统31。

步骤S417：接入单元对正常数据包及修正过的GTP数据包进行封装，根据原数据的目的地址，将消息转发给目的设备。

本发明提供的一种GTP协议防护方法及装置，装置接入PGW(GGSN)前端，由前端实时防护子系统和后端分析分析支撑子系统组成。前端实时防护子系统对网元身份合法性以及发送的GTP信令与数据进行检测，识别基于GTP协议的各类信息探测、DOS攻击、ARP欺骗等攻击行为，采用信令参数修正、丢弃异常IP数据包和异常GTP信令包以及断开连接等方式，对GTP网元节点进行安全防护。前端实时防护子系统将提取的异常数据包的特征信息传给后端分析分析支撑子系统，通过统计分析进一步完善并实时更新前端子系统的防护策略，解决了现有移动通信网间GTP信令和数据传输中的安全威胁。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种GTP协议防护方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，步骤2中的所述异常检测规则具体包括：

3.根据权利要求2所述的方法，其特征在于，步骤2的所述异常处理规则具体包括：

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

4.根据权利要求1所述的方法，其特征在于，还包括：

步骤4、对所述GTP消息进行异常检测时，根据在异常检测过程中提取到的异常特征信息实时更新异常检测规则。

5.一种GTP协议防护装置，其特征在于，所述装置接入PGW或GGSN前端，包括：前端实时防护子系统，所述前端实时防护子系统包括：

6.根据权利要求5所述的装置，其特征在于，所述异常检测与处理单元具体用于：

7.根据权利要求6所述的装置，其特征在于，所述异常检测与处理单元具体还用于：

若GTP-U消息为DOS攻击，则向所述源与所述目的设备发送断开连接消息，所述断开连接消息包含GTP隧道的标识信息；

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

8.根据权利要求5所述的装置，其特征在于，还包括：

后端分析支撑子系统；对应地，