CN110392023B - 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 - Google Patents
基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110392023B CN110392023B CN201810358723.7A CN201810358723A CN110392023B CN 110392023 B CN110392023 B CN 110392023B CN 201810358723 A CN201810358723 A CN 201810358723A CN 110392023 B CN110392023 B CN 110392023B
- Authority
- CN
- China
- Prior art keywords
- signaling message
- signaling
- terminal
- message
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例中公开了一种基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质。该方案在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该方案通过日志分析和实时监控实现对信令消息的合法性检测,保护网络安全,提升用户体验。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质。
背景技术
7号信令系统(Signaling System 7,SS7)是由ITU-T定义的一组电信协议,主要用于基本呼叫的建立、管理及拆除、无线业务(例如个人通讯服务PCS),无线漫游,移动用户身份鉴定;本地可移植号码(local number portability,LNP);免费业务(800/888)及长途有线业务(900);增强呼叫功能,例如呼叫转移、主叫号码显示及三方通话等。
SS7网络上的信息主要是通过发送SS7的移动应用部分(Mobile ApplicationPart,MAP)信令消息完成的,MAP信令消息是用来实现位置相关的管理任务的SS7应用协议。
SS7对于信令网内的信令点均认为是安全可靠的,且认为MAP信令消息中请求消息的源地址是合法的,也就是说,SS7信令系统不具备网络入侵的检测能力,容易造成SS7信令系统中用户的通话被窃听、短信和位置信息被获取等,危害用户上网安全。
发明内容
本申请实施例提供一种基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质,实现了对信令消息的合法性检测,更好的保护网络安全,提升用户体验。
第一方面,提供了一种基于7号信令网络的网络入侵检测方法,该方法可以包括:
截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;
当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;
阻止异常信令消息到达所述被叫终端。
可见,该方法通过实时监控信令消息中的发送地址和目的地址,实现对信令消息的合法性检测,保护网络安全,提升了用户体验。
在一个可选的实现中,信令消息还包括信令消息的消息类型和主叫终端标识;
阻止异常信令消息到达所述被叫终端之前,该方法还包括:
当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。
在第一方面的基础上,为了提高精确性,通过实时监控信令消息中的消息类型和主叫终端标识,实现对信令消息的合法性检测。
在一个可选的实现中,截获主叫终端向被叫终端发送的信令消息之后,该方法还包括:
统计主叫终端发送的信令消息的流量值;
当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以阻止异常信令消息到达被叫终端。
上述方式为另一种检测方式,以实现对信令消息合法性的实时检测。
在一个可选的实现中,确定信令消息为异常信令消息之后,该方法还包括:
向管理服务器发出告警指示信息,以指示主叫终端发送的信令消息为异常信令消息。该方式可以在确定信令消息为异常信令消息之后,及时通知管理服务器,以进行相应处理。
在一个可选的实现中,截获主叫用户向被叫终端发送的信令消息之后,还包括:
生成信令日志;
分析信令日志,得到信令消息的流量值。
该方式通过信令消息、告警信息、涉及的网元等方面生成信令日志,实现对异常信令消息(具备攻击特征的主叫用户地址、消息类型等)的检测,从而发现并追踪恶意流量信息,并进行安全预警及风险提示。
第二方面,提供了一种检测装置,该装置可以包括:获取单元、确定单元和阻止单元;
获取单元,用于截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;
确定单元,用于当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;
阻止单元,用于阻止异常信令消息到达被叫终端。
在一个可选的实现中,信令消息还包括信令消息的消息类型和主叫终端标识;
确定单元,还用于当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。
在一个可选的实现中,该装置还包括统计单元;
统计单元,用于统计主叫终端发送的信令消息的流量值;
当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以对异常信令消息进行拦截。
在一个可选的实现中,该装置还包括发送单元;
发送单元,用于在确定信令消息为异常信令消息之后,向管理服务器发出告警指示信息,以指示主叫终端发送的信令消息为异常信令消息。
在一个可选的实现中,该装置还包括分析单元,用于:
生成信令日志;
分析信令日志,得到信令消息的流量值。
第三方面,提供了一种电子设备,该电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。
该方案在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该方案通过日志分析和实时监控实现对信令消息的合法性进行检测,保护网络安全,提升用户体验。
附图说明
图1为本发明实施例提供的一种SS7信令系统的系统架构示意图;
图2为本发明实施例提供的一种基于7号信令网络的网络入侵检测方法流程示意图;
图3为本发明实施例提供的另一种基于7号信令网络的网络入侵检测方法流程示意图;
图4为本发明实施例提供的一种检测装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供的网络入侵的检测方法可以应用在服务器上,下面称为检测服务器。该检测服务器适用于图1所示的SS7信令系统(或称SS7信令网)中,该信令系统可以包括主叫终端(或称主叫用户)、信令转接点(Signalling Transfer Point,STP)服务器、被叫终端(或称被叫用户)以及STP前的检测服务器。
其中,STP服务器是具有转接功能的信令网节点,其用于将信令消息从一个信令点转发到另一个信令点。主叫终端为运行在蜂窝数据网络(如3G、4G)下的终端,被叫终端为运行在核心网络下的终端。检测服务器设在STP服务器,用于对SS7信令系统中的信令消息进行发送地址和/或目的地址的合法性检查,即检测服务器可以是一判断信令消息是否具有攻击性的防火墙。
可以理解的是,检测服务器也可以嵌入在STP服务器中。
为了提高检测的精确性,检测服务器需要具有较强计算能力;上述终端可以是用户设备(User Equipment,UE)、具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)、移动终端((Mobile Terminal)等。该终端具备经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信的能力,例如,终端可以是移动电话(或称为“蜂窝”电话)。
本申请的网络入侵检测方案可以对主叫终端与被叫终端间的信令链路上的信令消息进行实时监控,判定该主叫终端发送的信令消息的合法性,还可以全日志纪录流经的信令消息,并对这些日志消息进行分析得出相关的流量特征,对存在信令流量突变行为的主叫终端发出的信令消息进行拦截,并及时向管理服务器警告。
其中,判定该主叫终端发送的信令消息的合法性可以从信令消息的消息类型、发送地址、目的地址和信令消息中的主叫终端标识等信息进行合法性检查,以判断接收的信令消息是否为异常信令消息,对异常信令消息进行拦截,以阻断异常信令消息到达被叫终端,保护信令网安全。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2为本发明实施例提供的一种基于7号信令网络的网络入侵检测方法流程示意图。如图2所示,该方法的执行主体为检测服务器,该方法可以包括:
步骤210、截获主叫终端向被叫终端发送的信令消息,该信令消息包括发送地址和目的地址。
结合图1所示的系统,检测服务器接收主叫终端向被叫终端发送的移动应用部分(Mobile Application Part,MAP)信令消息。
MAP信令消息是在TCAP、SCCP、MTP各协议层提供服务的基础上传输的。在信令链路上传输的一条MAP信令消息,也同时包含TCAP、SCCP、MTP协议层的协议数据,该信令消息采用用户定义数据类型(User Defined Data Type,UDT),UDT类型特点为只能整体传送。基于完整的MAP信令消息格式可知,MAP信令消息是事务处理能力应用部分(TransactionCapabilities Application Part,TCAP)信令消息的成份部分,TCAP信令消息是信令连接控制协议(Skinny Call Control Protocol,SCCP)信令消息的数据部分。
检测服务器对接收到的信令消息进行解析,获取该信令消息的发送地址和目的地址。
可选地,该信令消息还可以包括信令消息的消息类型和主叫终端标识。
在SS7信令系统中,消息类型可以包括随时询问请求(Any Time Interrogation,ATI)、取用户IMSI(send IMSI)取路由短消息(Send Routing Information for ShortMessage,SRI-SM)、提供主叫终端信息(Provide Subscriber Information,PSI)、取路由信息(Send Routing Information,SRI)等。
其中,取用户IMSI用于获取用户的IMSI;取路由信息SRI用于用户作被叫时网关移动交换中心(Gateway Mobile Switching Center,GMSC)向归属位置寄存器(HomeLocation Register,HLR)获取用户位置信息,包括漫游号码和前转号码。HLR保存的是用户的基本信息,如SIM的卡号、手机号码、签约信息等,和动态信息,如当前的位置、是否已经关机等;
在SS7信令系统中,目的地址的寻址方式可以包括目的信令点(DestinationPoint Code,DPC)与子系统号(Sub-System Number,SSN)的寻址方式和SCCP层的地址码(Global Title,GT)寻址方式;发送地址的寻址方式可以包括源信令点(OriginatatePoint Code,OPC)与SSN的寻址方式和GT寻址方式。
步骤220、判断发送地址和目的地址是否满足预设合法通信条件。
预设合法通信条件用于识别接收到的信令消息的合法性。
可选地,还可以判断信令消息的消息类型和主叫终端标识是否满足预设合法通信条件。
在执行步骤220之前,检测服务器需要预先存储多个业务平台,以及相应平台的合理授权的消息类型,设置信令消息的请求发送地与发送终端所在区域的关系,以及创建入网登记库,该入网登记库用于存储已登记终端的终端标识,已登记终端为预设的合法终端。
检测服务器在接收到主叫终端发送的信令消息,且解析出该信令消息的消息类型、以及携带的发送地址、目的地址和主叫终端标识后,执行下面的判断过程:
(1)判断该信令消息的消息类型是否是携带的发送地址授权的消息类型;
例如,接收到的信令消息的消息类型为上行调度请求指示(Schduling RequestIndication,SRI)请求,发送地址为归属位置寄存器(Home Location Register,HLR),此时需要判断SRI消息的请求类型是否是HLR授权的消息类型。
(2)判断发送地址是否与主叫终端的所在地址一致;
例如,接收到的发送地址显示主叫终端所在地址为地区A,之后通过GPRS等定位方式获取该主叫终端的真实位置,此时需要判断通过GPRS获取的主叫终端的真实位置是否是地区A。
(3)判断目的地址是否与被叫终端的所在地址一致;
例如,接收到的目的地址显示被叫终端所在地址为地区B,之后通过GPRS等定位方式获取该被叫终端的真实位置,此时需要判断通过GPRS获取的被叫终端的真实位置是否是地区B。
(4)判断主叫终端标识是否是已登记终端。
例如,接收到的主叫终端标识为MSISDN1或IMSI1,将MSISDN1或IMSI1与入网登记库存储的终端标识进行匹配。
其中,预设合法通信条件包括信令消息的消息类型是发送地址授权的消息类型、发送地址与主叫终端的所在地址一致、目的地址与被叫终端的所在地址一致、主叫终端标识是已登记终端的终端标识。
若信令消息的消息类型、发送地址、目的地址和主叫终端标识均满足预设合法通信条件,则确定接收的信令消息为正常信令消息。
若信令消息的消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件,则确定接收的信令消息为异常信令消息。
步骤230、阻止异常信令消息到达被叫终端。
若确定接收的信令消息为正常信令消息,则允许该信令消息发送至被叫终端。
若确定接收的信令消息为异常信令消息,则对该信令消息进行拦截,阻止该信令消息发送至被叫终端。例如,SRI请求的消息类型不是HLR授权的消息类型,故检测服务器将该信令消息进行拦截。
进一步的,在确定该信令消息为异常信令消息时,检测服务器同步的向管理服务器发出告警指示信息,以指示该主叫终端发送的信令消息为异常信令消息。其中,告警方式包括但不限于:以提示框的方式进行屏幕实时提示、向管理服务器发送邮件进行邮件告警和/或系统记录(Syslog)监测告警。其中,Syslog监测主要用于对路由器、交换机和防火墙等网络设备的监测,是指用户自定义网络设备监测指标的安全级别,当设备出现故障,系统自动将Syslog采集到的异常数据与用户自定义的安全级别进行匹配,并产生相应故障信息发送到相应管理平台,生成告警。
可选地,上述的检测方法适用于对一条信令消息的合法性检测,对于大量的信令消息,步骤210的截获主叫终端向被叫终端发送的信令消息之后,包括:
生成信令日志;
分析信令日志,得到信令消息的流量值。该流量值为检测服务器统计每个主叫终端发送的信令消息的流量值。
进一步的,当统计出的流量值大于预设流量阈值时,确定相应主叫终端发出的信令消息均为异常信令消息,并对异常信令消息进行拦截。
例如,一种定位攻击的实施过程为:主叫终端A在短时间内不断向被叫终端发送ATI消息,以获取被叫终端的坐标位置,此时检测服务器接收到的信令消息的流量值异常增长,当该流量值大于预设流量阈值时,确定相应主叫终端A发出的信令消息均为异常信令消息,此时对该主叫终端A发出的信令消息进行拦截,并向管理服务器进行告警。
需要说明的是,分析信令日志,还可以得到信令消息的类型信息、发送地址、目的地址、主叫终端标识,以用于对一条信令消息的合法性检测。
检测服务器对流经的信令消息进行信令日志采集(包括对流经时间、消息类型、主叫用户地址和被叫用户地址、信令链路选择码、子系统号等信息的采集),从信令消息、告警信息、涉及的网元等方面生成信令日志,实现对异常信令消息(具备攻击特征的主叫用户地址、消息类型等)的检测,从而发现并追踪恶意流量信息,并进行安全预警及风险提示。
该检测方法在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该方法通过日志分析和实时监控实现、对信令消息的合法性进行检测,保护网络安全,提升用户体验。
在一个例子中,如图3所示的另一种基于7号信令网络的网络入侵检测方法,该方法可以包括:
(1)针对一条或少量信令消息的检测过程如下:
步骤301、截获终端A向终端B发送的信令消息。
步骤302、获取该信令消息的消息类型、发送地址、目的地址和终端A的终端标识。
步骤303、判断消息类型是否是发送地址授权的消息类型;
若是,则执行步骤309;
若否,则执行步骤307。
步骤304、判断发送地址是否与终端A的所在地址一致;
若是,则执行步骤309;
若否,则执行步骤307。
步骤305、判断目的地址是否与终端B的所在地址一致;
若是,则执行步骤309;
若否,则执行步骤307。
步骤306、判断终端A的终端标识是否是已登记终端;
若是,则执行步骤309;
若否,则执行步骤307。
步骤307、确定该信令消息为异常信令消息,执行步骤308。
步骤308、阻止异常信令消息到达被叫终端,并向管理服务器发送告警指示信息。
步骤309、确定信令消息为合法信令消息。
(2)对于大量信令消息的检测如下:
步骤301、截获终端A向终端B发送的信令消息,之后执行步骤310。
步骤310、生成信令日志。
步骤311、获取信令消息的流量值。
步骤312、判断流量值是否大于预设流量阈值;
若是,则执行步骤307;
若否,则执行步骤309。
本发明上述实施例提供的检测方法可以参考图1中的各步骤的具体实施过程来实现,因此,本发明实施例提供的检测方法各步骤的具体实施过程和有益效果,在此不复赘述。
与上述方法对应的,本发明实施例还提供一种检测装置,如图4所示,该检测装置可以包括:获取单元410、确定单元420和阻止单元430;
获取单元410,用于截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;
确定单元420,用于当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;
阻止单元430,用于阻止异常信令消息到达被叫终端。
可选地,,信令消息还包括信令消息的消息类型和主叫终端标识;
确定单元420,还用于当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。
可选地,该装置还可以包括统计单元440;
统计单元440,用于统计主叫终端发送的信令消息的流量值;
当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以对异常信令消息进行拦截。
可选地,该装置还可以包括发送单元450;
发送单元450,用于在确定信令消息为异常信令消息之后,向管理服务器发出告警指示信息,以指示主叫终端发送的信令消息为异常信令消息。
可选地,该装置还可以包括分析单元460用于:生成信令日志;分析信令日志,得到信令消息的流量值。
本发明上述实施例提供的检测装置的各功能单元的功能,可以通过上述各方法步骤来实现,因此,本发明实施例提供的检测装置中的各个单元的具体工作过程和有益效果,在此不复赘述。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器510、通信接口520、存储器530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。
存储器530,用于存放计算机程序;
处理器510,用于执行存储器530上所存放的程序时,实现如下步骤:
截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;
当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;
阻止异常信令消息到达所述被叫终端。
可选地,信令消息还包括信令消息的消息类型和主叫终端标识;
阻止异常信令消息到达所述被叫终端之前,该方法还包括:
当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。
可选地,获取主叫终端向被叫终端发送的信令消息之后,该方法还包括:
统计主叫终端发送的信令消息的流量值;
当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以对异常信令消息进行拦截。
可选地,确定信令消息为异常信令消息之后,该方法还包括:
向管理服务器发出告警指示信息,以阻止异常信令消息到达被叫终端。
可选地,截获主叫用户向被叫终端发送的信令消息之后,还包括:
生成信令日志;
分析信令日志,得到信令消息的流量值。
该电子设备中的服务器在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该电子设备的服务器通过日志分析和实时监控实现、对信令消息的合法性进行检测,保护网络安全,提升用户体验。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图2所示的实施例中的各步骤来实现,因此,本发明实施例提供的电子设备的具体工作过程和有益效果,在此不复赘述。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的检测方法。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。
Claims (10)
1.一种基于7号信令网络的网络入侵检测方法,其特征在于,所述方法包括:
截获主叫终端向被叫终端发送的信令消息,所述信令消息包括所述信令消息的发送地址和目的地址;
当所述发送地址与所述主叫终端的所在地址不一致,和/或所述目的地址与所述被叫终端的所在地址不一致时,确定所述信令消息为异常信令消息;
阻止所述异常信令消息到达所述被叫终端;
其中,所述信令消息还包括所述信令消息的消息类型和主叫终端标识;
阻止所述异常信令消息到达所述被叫终端之前,所述方法还包括:
当所述消息类型不是所述发送地址授权的消息类型,和/或所述主叫终端标识不是已登记终端时,确定所述信令消息为异常信令消息,所述已登记终端为预设的合法终端。
2.如权利要求1所述的方法,其特征在于,截获主叫终端向被叫终端发送的信令消息之后,所述方法还包括:
统计所述主叫终端发送的信令消息的流量值;
当所述流量值大于预设流量阈值时,确定所述信令消息为异常信令消息,以阻止所述异常信令消息到达所述被叫终端。
3.如权利要求1或2所述的方法,其特征在于,确定所述信令消息为异常信令消息之后,所述方法还包括:
向管理服务器发出告警指示信息,以指示所述主叫终端发送的所述信令消息为异常信令消息。
4.如权利要求1所述的方法,其特征在于,截获主叫用户向被叫终端发送的信令消息之后,所述方法还包括:
生成信令日志;
分析所述信令日志,得到所述信令消息的流量值。
5.一种检测装置,其特征在于,所述装置包括:获取单元、确定单元和阻止单元;
获取单元,用于截获主叫终端向被叫终端发送的信令消息,所述信令消息包括所述信令消息的发送地址和目的地址;
确定单元,用于当所述发送地址与所述主叫终端的所在地址不一致,和/或所述目的地址与所述被叫终端的所在地址不一致时,确定所述信令消息为异常信令消息;
阻止单元,用于阻止所述异常信令消息到达所述被叫终端;
其中,所述信令消息还包括所述信令消息的消息类型和主叫终端标识;
所述确定单元,还用于当所述消息类型不是所述发送地址授权的消息类型,和/或所述主叫终端标识不是已登记终端时,确定所述信令消息为异常信令消息,所述已登记终端为预设的合法终端。
6.如权利要求5所述的装置,其特征在于,所述装置还包括统计单元;
所述统计单元,用于统计所述主叫终端发送的信令消息的流量值;
当所述流量值大于预设流量阈值时,确定所述信令消息为异常信令消息,以阻止所述异常信令消息到达所述被叫终端。
7.如权利要求5或6所述的装置,其特征在于,所述装置还包括发送单元;
所述发送单元,用于在确定所述信令消息为异常信令消息之后,向管理服务器发出告警指示信息,以指示所述主叫终端发送的所述信令消息为异常信令消息。
8.如权利要求5所述的装置,其特征在于,所述装置还包括分析单元;
所述分析单元,用于:
生成信令日志;
分析所述信令日志,得到所述信令消息的流量值。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810358723.7A CN110392023B (zh) | 2018-04-20 | 2018-04-20 | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810358723.7A CN110392023B (zh) | 2018-04-20 | 2018-04-20 | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110392023A CN110392023A (zh) | 2019-10-29 |
CN110392023B true CN110392023B (zh) | 2021-12-24 |
Family
ID=68283650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810358723.7A Active CN110392023B (zh) | 2018-04-20 | 2018-04-20 | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110392023B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111698683B (zh) * | 2020-05-08 | 2021-06-18 | 珠海格力电器股份有限公司 | 网络安全控制方法、装置、存储介质及计算机设备 |
CN111698684B (zh) * | 2020-05-08 | 2021-06-18 | 珠海格力电器股份有限公司 | 业务安全控制方法、装置及存储介质 |
CN111901818A (zh) * | 2020-06-15 | 2020-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于map信令的核心网网元异常行为的判断方法 |
CN111782522B (zh) * | 2020-06-29 | 2023-10-24 | 哲库科技(北京)有限公司 | 追踪消息的输出方法、电子设备及存储介质 |
CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN114513343B (zh) * | 2022-01-26 | 2022-10-04 | 广州晨扬通信技术有限公司 | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101742445A (zh) * | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
CN104093153A (zh) * | 2014-06-25 | 2014-10-08 | 东方通信股份有限公司 | 一种基于信令路由分析实现伪号码呼叫甄别和拦截的方法及其系统 |
CN106257950A (zh) * | 2015-06-17 | 2016-12-28 | 中国移动通信集团公司 | 移动通信网络中拒绝服务攻击信令的处理方法和装置 |
CN107734461A (zh) * | 2017-09-26 | 2018-02-23 | 上海欣方智能系统有限公司 | 一种基于位置判定的新型电话诈骗检测与防范方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8239932B2 (en) * | 2009-08-12 | 2012-08-07 | At&T Mobility Ii, Llc. | Signal transfer point front end processor |
CN102143456B (zh) * | 2010-10-12 | 2013-12-04 | 华为软件技术有限公司 | 信令处理方法和装置 |
-
2018
- 2018-04-20 CN CN201810358723.7A patent/CN110392023B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101742445A (zh) * | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
CN104093153A (zh) * | 2014-06-25 | 2014-10-08 | 东方通信股份有限公司 | 一种基于信令路由分析实现伪号码呼叫甄别和拦截的方法及其系统 |
CN106257950A (zh) * | 2015-06-17 | 2016-12-28 | 中国移动通信集团公司 | 移动通信网络中拒绝服务攻击信令的处理方法和装置 |
CN107734461A (zh) * | 2017-09-26 | 2018-02-23 | 上海欣方智能系统有限公司 | 一种基于位置判定的新型电话诈骗检测与防范方法 |
Non-Patent Citations (1)
Title |
---|
对非法获取移动用户位置信息信令拦截方案分析;牛晓丹;《http://www.doc88.com/p-8082755050026.html》;20140929;1-5 * |
Also Published As
Publication number | Publication date |
---|---|
CN110392023A (zh) | 2019-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110392023B (zh) | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 | |
CN110800322B (zh) | 验证用户设备(ue)位置的方法、系统和计算机可读介质 | |
US9294923B2 (en) | Detection of potentially fraudulent activity by users of mobile communications networks | |
US9781137B2 (en) | Fake base station detection with core network support | |
CN101454758B (zh) | 用于检测和减轻欺诈性消息服务消息业务的方法和系统 | |
CN111800412B (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
EP1754390A1 (en) | Method and radio communication network for detecting the presence of fraudulent subscriber identity modules | |
EP3993471A1 (en) | Sim swap scam protection via passive monitoring | |
WO2021023678A1 (en) | Classifier-based message routing in a telecommunications network | |
US9769670B2 (en) | Monitoring of signalling traffic | |
CN110366184A (zh) | 一种识别伪基站短信的方法及智能终端 | |
CN111277552A (zh) | 一种对直径信令安全威胁识别的方法、装置及存储介质 | |
CN106470408B (zh) | 一种国际漫游短信保护方法、装置和系统 | |
CN112956225A (zh) | 用于检测与非合法设备的通信的方法、用户设备和网络节点 | |
CN114205820A (zh) | 携带伪基站的可疑用户检测方法、装置、计算机设备 | |
EP2871875A1 (en) | Security method for the verification of an information retrieval request | |
WO2006066942A1 (en) | Method and system for analysing network connections | |
EP3700236A1 (en) | Identification of malicious activity based on analysis of a travel path of a mobile device | |
EP2862341B1 (en) | Methods, computer program products and apparatuses enabling to conceal lawful interception from network operators | |
US20220058654A1 (en) | Identification Of Malicious Activity Based On Analysis Of Travel Path Of A Mobile Device | |
KR100871618B1 (ko) | 이동통신 시스템에서 맵 통계 방법 및 장치 | |
US20220295259A1 (en) | Conditional message routing in a telecommunications network | |
EP2884787A1 (en) | Method and device for managing a subscriber device | |
CN114867028A (zh) | 一种仿冒攻击的防护方法、装置及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |