CN110943985A - 基于5g移动通信网络的安全审计系统及方法 - Google Patents

Abstract

本发明实施例提供一种基于5G移动通信网络的安全审计系统及方法，系统包括数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；其中，数据接入平台将核心网的相关接口的数据接入到安全审计系统中；数据采集中心将核心网相关接口的数据进行处理和关联打标，并分发到数据分流中心；数据分流中心通过数据流规则库对数据流进行规则匹配，从而对原始数据分流或丢弃；数据还原中心对数据分流中心处理后的数据，进行深度还原；数据审计中心对还原的数据进行安全审计。本发明实施例实现5G移动网络的安全审计，且时效性和准确性高。

Description

基于5G移动通信网络的安全审计系统及方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于5G移动通信网络的安全审计系统及方法。

背景技术

随着移动互联网、物联网及行业应用的爆发式增长，未来移动通信将面临千倍数据流量的增长和千亿设备联网需求。现有4G移动通信系统面临巨大挑战，迫切需要研发第五代移动通信(Fifth-generation，5G)以满足各种移动互联网场景的多样化业务需求。

5G作为新一代移动通信技术发展的方向，将在提升移动互联网用户业务体验的基础上，进一步满足未来物联网应用的海量需求，与工业、医疗、交通等行业深度融合。5G以全新的移动通信系统架构，提供至少十倍于4G的峰值速率、毫秒级的传输时延和千亿级的连接能力，实现网络性能新的跃升。5G全新的网络架构，千倍数据流量增长，更丰富的业务应用场景，极大增加了运营商组网的灵活性，并降低了成本。同时也增加5G核心网监管与审计的难度。

由于5G的网络架构与4G的网络架构不同，数据流量更大，运营商组网更加灵活，现有的安全审计方法无法适用于5G网络。因此，亟需提供一种基于5G移动通信网络的安全审计方法。

发明内容

为克服上述现有的安全审计方法无法适用于5G网络的问题或者至少部分地解决上述问题，本发明实施例提供一种基于5G移动通信网络的安全审计系统及方法。

根据本发明实施例的第一方面，提供一种5G移动通信网络的安全审计系统，包括：

数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；

其中，所述数据接入平台用于将5G移动通信网络中核心网的预设接口的数据接入到安全审计系统中；

所述数据采集中心用于将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心；

所述数据分流中心用于将所述信令数据透传到所述数据还原中心，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心；

所述数据还原中心用于接收所述数据分流中心发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心；

所述数据审计中心用于对所述信令数据和业务数据的解析结果进行审计。

具体地，所述5G移动通信网络包括无线接入网和核心网；

所述无线接入网包括基站；

所述核心网包括接入和移动管理网元、会话管理网元，以及用户面网元；

所述预设接口包括N2接口、N3接口和N4接口；

其中，所述N2接口为所述基站与所述接入和移动管理网元之间的接口，使用SCTP协议作为传输层协议，使用NGAP作为应用层协议；

所述N3接口为所述基站与所述用户面网元之间的接口，使用GTP协议封装；

所述N4接口为所述会话管理网元与所述用户面网元之间的接口，使用PFCP作为应用层协议。

具体地，所述N2接口的数据包括用户位置信息，所述N3接口的数据包括用户上网信息，所述N4接口的数据包括用户身份信息和终端信息。

具体地，所述数据采集中心包括数据接入模块、信令分析模块、业务分析模块、数据打标模块和数据发送模块；

其中，所述数据接入模块用于在分析所述预设接口的数据有效时，根据所述预设接口所采用的协议，确定所述预设接口的数据为信令数据或业务数据；将所述信令数据分发到所述信令分析模块，将所述业务数据分发到所述业务分析模块；

所述信令分析模块用于对所述信令数据进行分析，提取所述信令数据中的关键字段，并将所述信令数据发送到所述数据发送模块；

所述业务分析模块用于对所述业务数据进行分析，提取所述业务数据中的关键字段，并将所述信令数据中的关键字段和所述业务数据中的关键字段进行关联，并将所述业务数据发送到所述数据打标模块；

所述数据打标模块用于将与所述业务数据关联的信令数据中的关键字段打标在所述业务数据的尾部，将打标后的所述业务数据分发到所述数据发送模块；

所述数据发送模块用于将所述信令数据和打标后的所述业务数据发送到所述数据分流中心。

具体地，所述数据接入模块具体用于：

获取所述预设接口的数据所在的数据包的长度值；

若所述长度值有效且所述长度值在预设范围内，则获知所述预设接口的数据有效。

具体地，所述业务分析模块具体用于：

获取所述信令数据中的用户IP和所述业务数据中的用户IP；

获取具有同一用户IP的所述信令数据和业务数据；

将具有同一用户IP的所述信令数据中的关键字段和所述业务数据中的关键字段进行关联。

具体地，所述预设数据流规则包括动态规则和静态规则；

其中，所述动态规则包括五元组规则、认证账号规则、域名规则、特征码规则和音视频规则；

所述静态规则包括协议识别规则和基础元素提取规则。

具体地，所述数据还原中心具体用于：

根据所述数据分流中心发送的业务数据和信令数据的目的端口，对所述业务数据和信令数据进行区分；

从所述信令数据中解析出用户的关键信息，将解析出的所述用户的关键信息发送到所述数据审计中心；

通过配置的方式、净荷特征匹配方法、交互式业务识别方法或自动化协议分析方法从所述业务数据中识别出协议数据，将识别出的所述协议数据发送到所述数据审计中心。

具体地，对所述信令数据和业务数据的解析结果进行审计的步骤包括：

对所述信令数据和业务数据的解析结果对用户的身份进行审计，对用户的位置进行审计和对用户上网的各类应用进行审计，并根据审计结果进行预警或告警。

根据本发明实施例第二方面，提供一种基于5G移动通信网络的安全审计方法，包括：

通过数据接入平台将5G移动通信网络中核心网的预设接口的数据接入到安全审计系统中；其中，所述安全审计系统包括数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；

通过所述数据采集中心将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心；

通过所述数据分流中心将所述信令数据透传到所述数据还原中心，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心；

通过所述数据还原中心接收所述数据分流中心发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心；

通过所述数据审计中心对所述信令数据和业务数据的解析结果进行审计。

本发明实施例提供一种基于5G移动通信网络的安全审计系统及方法，该系统中数据采集中心将核心网相关接口的数据进行处理和关联打标，并分发到数据分流中心；数据分流中心通过数据流规则库对数据流进行规则匹配，从而对原始数据分流或丢弃；数据还原中心对数据分流中心处理后的数据，进行深度还原；数据审计中心对还原的数据进行安全审计，本实施例实现了5G移动网络的安全审计，且时效性和准确性高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于5G移动通信网络的安全审计系统结构示意图；

图2为本发明实施例提供的基于5G移动通信网络的安全审计系统中数据采集中心的结构示意图；

图3为本发明实施例提供的基于5G移动通信网络的安全审计系统中数据采集中心的工作流程示意图；

图4为本发明实施例提供的基于5G移动通信网络的安全审计方法流程示意图。

具体实施方式

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

在本发明的一个实施例中提供一种基于5G移动通信网络的安全审计系统，图1为本发明实施例提供的基于5G移动通信网络的安全审计系统结构示意图，该系统包括：数据接入平台200、数据采集中心300、数据分流中心400、数据还原中心500和数据审计中心600；

交互关系为按核心网110、数据接入平台200、数据采集中心300、数据分流中心400、数据还原中心500和数据审计中心600的排列顺序，相邻两个平台进行交互。

其中，所述数据接入平台200用于将5G移动通信网络100中核心网110的预设接口的数据接入到安全审计系统中；

核心网110为5G用户提供互联网接入服务和相应的管理功能等。数据接入平台200在不影响运营商业务的前提下，将核心网110相关接口的数据接入到安全审计系统中。

所述数据采集中心300用于将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心400；

数据采集中心300将核心网110相关接口的数据进行处理和关联打标，并按照用户均衡策略将数据流量均分到数据分流中心400的负载均衡设备。数据采集中心300由多台负载均衡设备组成，单台设备可以实现大流量的接入处理，且可以配置过滤规则。

所述数据分流中心400用于将所述信令数据透传到所述数据还原中心500，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心500；

数据分流中心400通过建立数据流规则库，对数据流进行规则匹配，从而对原始数据分流或丢弃，也可以建立协议识别规则库，对数据流进行简单协议识别。

所述数据还原中心500用于接收所述数据分流中心400发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心600；

数据还原中心500为一种服务器，用于接收来自数据分流中心400处理后的数据，进行深度还原，还原出用户终端标识信息和位置信息，还原出用户上网数据的上网行为、上网内容等。

所述数据审计中心600用于对所述信令数据和业务数据的解析结果进行审计。

数据审计中心600是一种对核心网数据进行安全审计的服务器集群设备，用于对上网数据进行审计，如身份审计、位置审计、应用审计和预警审计等。

本实施例通过采集用户身份信息和用户上网数据，并进行关联分析，能够第一时间发现网络不良事件，且能快速完成位置落地；依据移动通信网络的结构特性，在用户数据流量发生时，可以具体确定用户的位置和终端等信息，且能准确识别出用户的上网行为和上网内容，从而实现对5G移动通信网络进行快速、准确审的安全审计。

在上述实施例的基础上，本实施例中所述5G移动通信网络100包括无线接入网120和核心网110；所述无线接入网120主要由gNB121(5G基站)组成；所述核心网110包括AMF111(Access and Mobility Management Function，接入和移动管理网元)、SMF 112(Session Management Function，会话管理网元)和UPF 113(User Plane Function，用户面网元)；

数据接入平台200主要接入核心网的N2、N3和N4接口；

其中，所述N2接口为gNB与AMF之间的接口，使用SCTP协议作为传输层协议，使用NGAP作为应用层协议，可以获取用户位置信息；所述N3接口为gNB与UPF之间的接口，使用GTP协议封装，可以获取用户上网信息；所述N4接口为SMF与UPF之间的接口，使用PFCP作为应用层协议，可以获取用户身份信息、终端信息等。

NGAP(NG Application Protocol，下一代应用协议)承载在SCTP协议之上的应用层协议，NGAP由基本过程EP组成。基本过程是NG-RAN(5G无线接入网)和AMF之间相互作用的集合。一个EP包含一个初始消息以及可能还包括一个响应消息。

本实施例中使用的GTP协议为GTP-U协议，它是GTP(GPRS Tunnelling Protocol，GPRS隧道协议)的一种独立协议，用于5G核心网内无线接入网与核心网之间传送用户数据，用户数据包可以以IPV4或IPV6的格式传输。

PFCP(Packet Forwarding Control Protocol，数据包转发控制协议)是用在控制面和用户面之间的接口上的协议，请求消息目的端口为8805。

在上述实施例的基础上，如图2所示，本实施例中所述数据采集中心300包括数据接入模块301、信令分析模块302、业务分析模块303、数据打标模块304和数据发送模块305；

其中，所述数据接入模块301用于在分析所述预设接口的数据有效时，根据所述预设接口所采用的协议，确定所述预设接口的数据为信令数据或业务数据；将所述信令数据分发到所述信令分析模块，将所述业务数据分发到所述业务分析模块；

数据采集中心300首先启动数据接入模块301，分析数据是否有效，判断数据类型为信令数据还是业务数据，并根据数据类型将数据分发到信令分析模块302和业务分析模块303。

所述信令分析模块302用于对所述信令数据进行分析，提取所述信令数据中的关键字段，并将所述信令数据发送到所述数据发送模块；

在信令分析模块302中对信令数据进行分析与关联，创建用户会话上下文，提取关键字段，并将信令数据发送到数据发送模块305；

所述业务分析模块303用于对所述业务数据进行分析，提取所述业务数据中的关键字段，并将所述信令数据中的关键字段和所述业务数据中的关键字段进行关联，并将所述业务数据发送到所述数据打标模块；

在业务分析模块303中对业务数据进行分析与关联，提取关键字段，并将业务数据发送到数据打标模块304。数据打标模块304主要对业务数据进行打标，按照一定的标准格式，将关键字段内容填充在数据包尾，并发送到数据发送模块305。

所述数据打标模块用于将与所述业务数据关联的信令数据中的关键字段打标在所述业务数据的尾部，将打标后的所述业务数据分发到所述数据发送模块；

所述数据发送模块305用于将所述信令数据和打标后的所述业务数据发送到所述数据分流中心400。

最终由数据发送模块305将业务数据和信令数据采用不同的发送策略发送到数据分流中心400。

在上述实施例的基础上，本实施例中所述数据接入模块301具体用于：获取所述预设接口的数据所在的数据包的长度值；若所述长度值有效且所述长度值在预设范围内，则获知所述预设接口的数据有效。

具体地，如图3所示，数据采集中心300的工作流程包括下列步骤：

(1)针对接入的N2、N3和N4接口的网络数据包进行长度判断，长度值无效或超过预设范围则直接丢弃，否则执行步骤(2)；

(2)判断数据类型，如果是PFCP协议，表示是从N4接口接入的信令数据，那么进入步骤步骤(3)；如果是NGAP协议，表示是从N2接口接入的信令数据，那么进入步骤(4)；如果是GTP-U协议，表示是从N3接口接入的业务数据，进入步骤(5)；如果都不是，则直接丢弃；

(3)PFCP信令分析，首先找出会话创建消息，提取关键用户身份信息，即IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)、MSISDN(Mobile Subscriber International Isdn Number，移动台国际用户识别码)、终端用户IP和隧道标识等，并根据IMSI建立会话储存；其次根据更新消息来更新关键移动特征的会话缓存；最后将带有关键移动特征字段的信令消息发往数据发送模块，由数据发送模块根据特定的MAC来标识信令，然后集中发到数据分流中心400；以上所涉及到的具体信令消息类型有PFCP Session Establishment Request、PFCP Session EstablishmentResponse、PFCP Session Modification Request、PFCP Session ModificationResponse、PFCP Session Deletion Request和PFCP Session Deletion Response；

(4)NGAP信令分析，首先根据初始化上下文创建消息，获取IMSI,并查找会话是否存在，若不存在，则建立会话储存；其次根据多条与位置相关的消息，获取位置信息，并更新到会话中；最后将带有关键移动特征字段的信令消息发往数据发送模块，由数据发送模块根据特定的MAC来标识信令，然后集中发到数据分流中心400；以上所涉及到的具体信令消息类型有Initial UE Message、Initial Context Setup Request、Initial ContextSetup Response、Handover Required、Handover Command、Handover Request、HandoverRequest Acknowledge、Path Switch Request、Path Switch Request Acknowledge、UEContext Release Complete、UE Context Release Command；

(5)业务数据分析，分析GTP-U数据头部内容，提取移动网关IP和用户IP；采用HASH算法，对业务数据和信令进行会话关联，即将用户身份信息、位置信息和用户上网数据进行关联，形成一个完整的用户上下文；在实现关联后，将信令面的关键移动特征，例如用户身份标识，位置信息，运营商网络类别，报文内容类别，隧道标识等打标在业务数据报文尾部，最后将打标后的完整业务数据包发送到数据发送模块，由数据发送模块根据用户均衡策略进行分发，即将同一用户的所有上网数据发到同一个后续分流设备；

在上述实施例的基础上，本实施例中所述业务分析模块具体用于：获取所述信令数据中的用户IP和所述业务数据中的用户IP；获取具有同一用户IP的所述信令数据和业务数据；将具有同一用户IP的所述信令数据中的关键字段和所述业务数据中的关键字段进行关联。

具体地，每一个移动终端用户在开启蜂窝移动数据时都会分配一个唯一的用户IP，在用户持续上网过程中，不会改变，也不会与其他用户冲突，而用户信令包和数据包中均存在用户IP关键字段，通过这个关键字段，就可以实现信令数据和业务数据的关联。

在上述各实施例的基础上，本实施例中所述预设数据流规则包括动态规则和静态规则；其中，所述动态规则包括五元组规则、认证账号规则、域名规则、特征码规则和音视频规则；所述静态规则包括协议识别规则和基础元素提取规则。

具体地，数据分流中心400对收到的信令数据透传到数据还原中心500，对收到的打标的业务数据通过扫描规则库进行命中分流，规则库分为动态规则和静态规则库，其中动态规则又分为五元组规则、认证账号规则、域名规则和特征码规则等，对命中动态规则的数据流，发往数据转发模块，由数据转发模块发给数据还原中心500进行深度还原；静态规则库分为协议识别规则和轻量提取规则，若命中规则发往协议识别模块进行解析和提取。

其中，五元组规则包含IP、端口和协议，如IP为183.60.15.154，目的端口为14000的TCP(Transmission Control Protocol，传输控制协议)的五元组规则；认证账号规则包含固网的宽带账号和无线的手机账号，手机账号包括手机号和IMSI等，如明确手机号为13277947457的认证账号规则；域名规则包含精确和模糊域名的数据规则，如精确域名规则search.sina.com.cn，模糊域名规则*.sina.com.cn；特征码规则指全文规则的命中，如指定一串字节流0x00,0x00,0x00,0x00,0x00,0x03,0x02,0x00,0x00,0x00为特征码规则；音视频规则包含音视频协议类型，如RTSP、MMS等，音视频文件格式，如mp4、avi、wav等。一旦打标的业务数据中存在以上任何规则的数据流都需发往数据转发模块，从而由数据转发模块发给数据还原中心500进行深度还原。

在扫描本地静态规则时，将协议应用识别规则下发给协议应用识别模块，如SIP协议、RTP协议、SMTP协议、APP协议等识别规则，使用hyperscan正则表达式引擎对数据流进行多模跨包匹配，若命中则对数据包进行规则标记；将轻量提取规则下发给数据解析模块，数据解析模块主要完成数据的轻量提取，如提取出HOST、URL(Uniform Resource Locator，统一资源定位符)等基础元素。

在上述实施例的基础上，本实施例中所述数据还原中心500具体用于：根据所述数据分流中心400发送的业务数据和信令数据的目的端口，对所述业务数据和信令数据进行区分；从所述信令数据中解析出用户的关键信息，将解析出的所述用户的关键信息发送到所述数据审计中心600；通过配置的方式、净荷特征匹配方法、交互式业务识别方法或自动化协议分析方法从所述业务数据中识别出协议数据，将识别出的所述协议数据发送到所述数据审计中心600。

具体地，数据还原中心500利用深度报文开发包DPDK多核编程技术，满足海量数据包高速处理需求，接收业务数据包和信令包，根据数据包目的端口的不同分别发送到信令解析模块和数据解析模块。信令解析模块主要提取用户身份信息、位置信息，并把有效信息数据发送到数据审计中心600；数据解析模块利用净荷特征匹配技术、交互式业务识别技术以及自动化协议分析技术来识别海量协议数据，并把成功识别的协议数据发送到数据审计中心600，识别失败的则丢弃。

数据还原中心500的工作流程如下：

(1)端口区分，从数据分流中心400发送过来的数据包目的端口为36413或8805的表示信令数据包，进入步骤(2)进行信令消息解析；目的端口为2152的表示为业务数据包，进入步骤(3)进行业务数据深度还原解析；

(2)信令解析，进一步提取用户关键信息即用户位置信息、终端设备信息、用户IP，并将这些解析后的有效数据发送到数据审计中心600；

(3)业务数据解析，大多数互联网协议数据，都是可以通过智能化的可配置式的方法来识别，如HTTP(Hyper Text Transfer Protocol，超文本传输协议)可以通过配置GET、POST、PUT等关键字来识别，传统邮件SMTP、POP3和IMAP可以通过配置EHLO、+OK、*OK等关键字来识别，即时通信如QQ可以通过配置0x00，0x00，0x00，0x0a，0x01，0x00，0x00，0x00一串连续特征字节来识别；除了可配置化的识别外，还有少许协议需要通过净荷特征匹配技术、交互式业务识别技术以及自动化协议分析技术来识别，成功识别出来的协议数据将会发送到数据审计中心进行审计，识别失败的则直接丢弃。

在上述各实施例的基础上，本实施例中对所述信令数据和业务数据的解析结果进行审计的步骤包括：对所述信令数据和业务数据的解析结果对用户的身份进行审计，对用户的位置进行审计和对用户上网的各类应用进行审计，并根据审计结果进行预警或告警。

具体地，数据审计中心600对数据还原中心500发送过来的用户身份位置信息和上网数据进行审计，在身份审计模块中，主要审计虚拟身份标识，将用户IMSI和虚拟ID进行关联分析，以及虚拟ID和虚拟ID之间的关联分析；在位置审计模块中，对用户位置进行分析，跟踪实时位置，掌握历史轨迹，支持对轨迹进行碰撞；在应用审计模块，对移动互联网各类上网应用进行审计，如HTTP、即时通信、邮件等；在预警审计模块中，通过短信、邮件和工作流方式通知相关用户，并对符合特定行为特征条件的用户数据进行系统预警与告警。

数据审计中心600的作流程包括下列步骤：

(1)网络浏览通过HTTP协议传输，是常见的网络行为之一，安全审计系统需要详细地记录用户网页浏览信息，包括网页浏览时间、访问网址、网页标题、网页内容和网页浏览时长；同时需要对HTTP中的URL进行过滤，即对网络流量中的URL进行匹配，若匹配上特定的分类，进行相关的过滤处理；

(2)详细记录传统邮件以及主流的web邮件的相关信息，主要包括发送Email收件人、发件人、邮件主体和邮件正文及附件；同时需要对邮件内容及附件进行相关的内容审计，包括邮件收发邮箱过滤，匹配整个邮箱域名，收发邮箱帐号过滤；邮件主题过滤，根据邮件主体中的关键字词进行过滤；邮件附件过滤，根据邮件附件的名称、附件大小和文件类型进行过滤；

(3)分析用户使用即时通讯的帐号、登陆退出时间和所处状态，同时对即时通讯的语音与视频聊天也能做到状态审计；记录并过滤即时通讯中记录的敏感内容和违规内容。

在本发明的另一个实施例中提供一种基于5G移动通信网络的安全审计方法，该方法用于基于前述各实施例中的系统实现。因此，在前述基于5G移动通信网络的安全审计系统的各实施例中的描述和定义，可以用于本发明实施例中各个执行步骤的理解。图4为本发明实施例提供的基于5G移动通信网络的安全审计方法流程示意图，该方法包括：S401，通过数据接入平台将5G移动通信网络中核心网的预设接口的数据接入到安全审计系统中；其中，所述安全审计系统包括数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；

交互关系为按核心网、数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心的排列顺序，相邻两个平台进行交互。核心网为5G用户提供互联网接入服务和相应的管理功能等。数据接入平台在不影响运营商业务的前提下，将核心网相关接口的数据接入到安全审计系统中。

S402，通过所述数据采集中心将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心；

数据采集中心将核心网相关接口的数据进行处理和关联打标，并将数据流量均分到数据分流中心。数据采集中心由多台负载均衡设备组成，单台设备可以实现大流量的接入处理，且可以配置过滤规则。

S403，通过所述数据分流中心将所述信令数据透传到所述数据还原中心，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心；

数据分流中心通过建立数据流规则库，对数据流进行规则匹配，从而对原始数据分流或丢弃，也可以建立协议识别规则库，对数据流进行简单协议识别。

S404，通过所述数据还原中心接收所述数据分流中心发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心；

数据还原中心为一种服务器，用于接收来自数据分流中心处理后的数据，进行深度还原，还原出用户终端标识信息和位置信息，还原出用户上网数据的上网行为、上网内容等。

S405，通过所述数据审计中心对所述信令数据和业务数据的解析结果进行审计。

数据审计中心是一种对核心网数据进行安全审计的服务器集群设备，用于对上网数据进行审计，如身份审计、位置审计、应用审计和预警审计等。

本实施例通过采集用户身份信息和用户上网数据，并进行关联分析，能够第一时间发现网络不良事件，且能快速完成位置落地；依据移动通信网络的结构特性，在用户数据流量发生时，可以具体确定用户的位置和终端等信息，且能准确识别出用户的上网行为和上网内容，从而实现对5G移动通信网络进行快速、准确审的安全审计。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于5G移动通信网络的安全审计系统，其特征在于，包括数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；

其中，所述数据接入平台用于将5G移动通信网络中核心网的预设接口的数据接入到安全审计系统中；

所述数据采集中心用于将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心；

所述数据分流中心用于将所述信令数据透传到所述数据还原中心，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心；

所述数据还原中心用于接收所述数据分流中心发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心；

所述数据审计中心用于对所述信令数据和业务数据的解析结果进行审计。

2.根据权利要求1所述的基于5G移动通信网络的安全审计系统，其特征在于，所述5G移动通信网络包括无线接入网和核心网；

所述无线接入网包括基站；

所述核心网包括接入和移动管理网元、会话管理网元，以及用户面网元；

所述预设接口包括N2接口、N3接口和N4接口；

其中，所述N2接口为所述基站与所述接入和移动管理网元之间的接口，使用SCTP协议作为传输层协议，使用NGAP作为应用层协议；

所述N3接口为所述基站与所述用户面网元之间的接口，使用GTP协议封装；

所述N4接口为所述会话管理网元与所述用户面网元之间的接口，使用PFCP作为应用层协议。

3.根据权利要求2所述的基于5G移动通信网络的安全审计系统，其特征在于，所述N2接口的数据包括用户位置信息，所述N3接口的数据包括用户上网信息，所述N4接口的数据包括用户身份信息和终端信息。

4.根据权利要求1所述的基于5G移动通信网络的安全审计系统，其特征在于，所述数据采集中心包括数据接入模块、信令分析模块、业务分析模块、数据打标模块和数据发送模块；

其中，所述数据接入模块用于在分析所述预设接口的数据有效时，根据所述预设接口所采用的协议，确定所述预设接口的数据为信令数据或业务数据；将所述信令数据分发到所述信令分析模块，将所述业务数据分发到所述业务分析模块；

所述信令分析模块用于对所述信令数据进行分析，提取所述信令数据中的关键字段，并将所述信令数据发送到所述数据发送模块；

所述业务分析模块用于对所述业务数据进行分析，提取所述业务数据中的关键字段，并将所述信令数据中的关键字段和所述业务数据中的关键字段进行关联，并将所述业务数据发送到所述数据打标模块；

所述数据打标模块用于将与所述业务数据关联的信令数据中的关键字段打标在所述业务数据的尾部，将打标后的所述业务数据分发到所述数据发送模块；

所述数据发送模块用于将所述信令数据和打标后的所述业务数据发送到所述数据分流中心。

5.根据权利要求4所述的基于5G移动通信网络的安全审计系统，其特征在于，所述数据接入模块具体用于：

获取所述预设接口的数据所在的数据包的长度值；

若所述长度值有效且所述长度值在预设范围内，则获知所述预设接口的数据有效。

6.根据权利要求4所述的基于5G移动通信网络的安全审计系统，其特征在于，所述业务分析模块具体用于：

获取所述信令数据中的用户IP和所述业务数据中的用户IP；

获取具有同一用户IP的所述信令数据和业务数据；

将具有同一用户IP的所述信令数据中的关键字段和所述业务数据中的关键字段进行关联。

7.根据权利要求1-6任一所述的基于5G移动通信网络的安全审计系统，其特征在于，所述预设数据流规则包括动态规则和静态规则；

其中，所述动态规则包括五元组规则、认证账号规则、域名规则、特征码规则和音视频规则；

所述静态规则包括协议识别规则和基础元素提取规则。

8.根据权利要求1-6任一所述的基于5G移动通信网络的安全审计系统，其特征在于，所述数据还原中心具体用于：

根据所述数据分流中心发送的业务数据和信令数据的目的端口，对所述业务数据和信令数据进行区分；

从所述信令数据中解析出用户的关键信息，将解析出的所述用户的关键信息发送到所述数据审计中心；

通过配置的方式、净荷特征匹配方法、交互式业务识别方法或自动化协议分析方法从所述业务数据中识别出协议数据，将识别出的所述协议数据发送到所述数据审计中心。

9.根据权利要求1-6任一所述的基于5G移动通信网络的安全审计系统，其特征在于，对所述信令数据和业务数据的解析结果进行审计的步骤包括：

对所述信令数据和业务数据的解析结果对用户的身份进行审计，对用户的位置进行审计和对用户上网的各类应用进行审计，并根据审计结果进行预警或告警。

10.一种基于5G移动通信网络的安全审计方法，其特征在于，包括：

通过数据接入平台将5G移动通信网络中核心网的预设接口的数据接入到安全审计系统中；其中，所述安全审计系统包括数据接入平台、数据采集中心、数据分流中心、数据还原中心和数据审计中心；

通过所述数据采集中心将所述预设接口的数据中的信令数据和业务数据进行关联，根据关联结果对所述业务数据进行打标，并将所述信令数据和打标后的所述业务数据发送到所述数据分流中心；

通过所述数据分流中心将所述信令数据透传到所述数据还原中心，将所述打标后的所述业务数据与一个或多个预设数据流规则进行匹配，将至少与一个所述预设数据流规则匹配成功的所述业务数据转发给所述数据还原中心；

通过所述数据还原中心接收所述数据分流中心发送的业务数据和信令数据，对所述信令数据进行解析，并对所述业务数据进行深度还原解析，并将所述信令数据和业务数据的解析结果发送到所述数据审计中心；

通过所述数据审计中心对所述信令数据和业务数据的解析结果进行审计。

Images