CN111277552A - 一种对直径信令安全威胁识别的方法、装置及存储介质 - Google Patents

一种对直径信令安全威胁识别的方法、装置及存储介质 Download PDF

Info

Publication number
CN111277552A
CN111277552A CN201811479865.5A CN201811479865A CN111277552A CN 111277552 A CN111277552 A CN 111277552A CN 201811479865 A CN201811479865 A CN 201811479865A CN 111277552 A CN111277552 A CN 111277552A
Authority
CN
China
Prior art keywords
signaling
diameter signaling
diameter
security
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811479865.5A
Other languages
English (en)
Other versions
CN111277552B (zh
Inventor
肖娟
黄政师
何林海
谭彬
莫晓斌
黄涛
覃素瑛
黄晓宙
梁业裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangxi Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangxi Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangxi Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811479865.5A priority Critical patent/CN111277552B/zh
Publication of CN111277552A publication Critical patent/CN111277552A/zh
Application granted granted Critical
Publication of CN111277552B publication Critical patent/CN111277552B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Abstract

本发明涉及通信技术领域,公开了一种对直径信令安全威胁识别的方法、装置及存储介质,用于对Diameter信令的进行安全威胁识别,提高Diameter信令网络的安全性,所述方法包括:获取待识别的Diameter信令;从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。

Description

一种对直径信令安全威胁识别的方法、装置及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种对Diameter信令安全威胁识别的方法、装置及存储介质。
背景技术
Diameter(直径)信令是信令系统#7(Signaling System#7,简称为SS7)(移动应用部分(Mobile Application Part,简称为MAP)协议)信令的换代技术,广泛应用于第四代移动通信技术(4G)相关的网络中。目前Diameter信令网络的安全主要是通过在DRA上实施黑白名单来实现但从研究的过程中发现,由于攻击点难以预知且不可穷尽,若黑白名单维护不及时,容易产生防御漏洞。另外,当攻击者将消息伪装成白名单时,白名单的防御措施也会失效。因此,如何准确识别存在安全威胁的Diameter信令,以提升Diameter信令网络的安全是一个需要解决的技术问题。
发明内容
本发明实施例提供了一种对Diameter信令安全威胁识别的方法、装置及存储介质,用于对Diameter信令的进行安全威胁识别,提高Diameter信令网络的安全性。
一方面,本发明实施例提供了一种对Diameter信令安全威胁识别的方法,包括:
获取待识别的Diameter信令;
从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;
基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
可选的,所述从所述Diameter信令中提取用户标识信息,并获取与所述用户标识信息对应的信令安全画像之前,所述方法还包括:
根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对所述Diameter信令进行初步安全威胁识别;
当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码,且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时,从所述Diameter信令中提取用户标识信息;
并获取与所述用户标识信息对应的信令安全画像。
可选的,若所述Diameter信令包括黑名单中的元素,或包含有不被允许的应用标识,或指令码,则直接确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识。
可选的,所述信令安全画像包括网元信令安全画像,所述网元信令安全画像包括所述网元特征集合,所述网元特征集合包括传输所述历史Diameter信令的历史网元基本信息,以及历史网元的信令统计信息;
所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别具体为:
若确定传输所述Diameter信令的网元基本信息与所述历史网元基本信息不匹配;或者
若确定传输所述Diameter信令的网元,在包括传输Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
所述预设值为根据所述历史网元的信令统计信息确定出的信令峰值。
可选的,所述信令安全画像包括用户信令安全画像,所述用户信令安全画像包括所述用户特征集合;所述用户特征集合包括所述用户的基本信息、地理位置信息、以及信令发送时间信息;
所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别具体为:
若确定所述Diameter信令对应的用户基本信息与所述用户的基本信息不匹配;或者
若确定所述Diameter信令对应的用户当前的地理位置和所述地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离,与所述Diameter信令的发送时间间隔不匹配;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
所述Diameter信令的发送时间间隔是指所述Diameter信令的发送时间与所述最新一次发送的Diameter信令的发送时间之间的间隔。
可选的,所述将获取待识别的Diameter信令具体包括:
通过交换机端口镜像,从Diameter信令链路上获取所述Diameter信令;
通过分流交换机,对所述Diameter信令进行分流处理,并获取待识别的Diameter信令。
第二方面,本发明实施例提供了一种对Diameter信令安全威胁识别的装置,包括:
信令获取模块,用于获取待识别的Diameter信令;
信令安全画像获取模块,用于从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;
安全威胁识别模块,用于基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
可选的,所述装置还包括初步判断模块,具体用于:
根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对所述Diameter信令进行初步安全威胁识别;
当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码,且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时,从所述Diameter信令中提取用户标识信息;
并获取与所述用户标识信息对应的信令安全画像。
可选的,所述初步判断模块,还用于,若所述Diameter信令包括黑名单中的元素,或包含有不被允许的应用标识,或指令码,则直接确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识。
可选的,所述安全威胁识别模块,还用于:
若确定传输所述Diameter信令的网元基本信息与所述历史网元基本信息不匹配;或者
若确定传输所述Diameter信令的网元,在包括传输Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述预设值为根据所述历史网元的信令统计信息确定出的一特定时间内信令的峰值。
可选的,所述安全威胁识别模块,还用于:
若确定所述Diameter信令对应的用户基本信息与所述用户的基本信息不匹配;或者
若确定所述Diameter信令对应的用户当前的地理位置和所述地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离,与所述Diameter信令的发送时间间隔不匹配;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述Diameter信令的发送时间间隔是指所述Diameter信令的发送时间与所述最新一次发送的Diameter信令的发送时间之间的间隔。
可选的,所述信令获取模块,还用于:
通过交换机端口镜像,从Diameter信令链路上获取所述Diameter信令;
通过分流交换机,对所述Diameter信令进行分流处理,并获取待识别的Diameter信令。
第三方面,本发明实施例还提供一种对Diameter信令安全威胁识别的装置,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有程序,当所述程序被所述处理器执行时,使得所述处理器执行如第一方面所述方法的步骤。
第四方面本发明实施例还提供了一种存储介质,所述存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如第一方面所述的方法的步骤。
在本发明实施例中,在对Diameter信令进行安全威胁识别时,可以先获取待识别的Diameter信令,然后从待识别Diameter信令中获取该Diameter信令对应用户的用户标识信息,并根据该用户标识信息获取对应的信令安全画像,其中,信令安全画像包括对基于用户的历史Diameter信令获得的用户特征集合和用户的Diameter信令的传输网元特征集合,再基于信令安全画像对Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识,进而准确及时的发现存在安全威胁的Diameter信令,提高Diameter信令网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1为本发明实施例提供的一种应用场景示意图;
图2为本发明实施例提供的一种对Diameter信令安全威胁识别的方法流程图;
图3为本发明实施例提供的用户信令安全画像示意图;
图4为本发明实施例提供的网元信令安全画像示意图;
图5为本发明实施例提供一种对Diameter信令安全威胁识别的装置示意图;
图6为本发明实施例提供另一种对Diameter信令安全威胁识别的装置示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明技术方案保护的范围。
下面对本发明实施例中涉及的部分概念进行介绍。
1)Diameter(直径)是全IP信令时代典型的核心网网元间通信协议,Diameter协议是由IETF标准化组织制定的下一代AAA(Authentication、Authorization、Accounting,认证、授权、计费)协议,主要用于认证、授权和计费。Diameter在PCC/EPC/IMS架构中被广泛应用于网元之间通信,已成为应用最广泛的IP信令基础协议。
2)信令链路是信令网中的连接各信令点和信令转接点的最基本的部件,它完成信令消息的转移,信令链路位于四级功能结构的一、二级,提供消息差错检测和校正的第二级功能。
3)端口镜像(port Mirroring)功能是通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
4)路由(routing)是指路由器从一个借口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。路由工作在OSI参考模型第三层(网络层)的数据包转发设备。
5)网元:是由一个或多个机盘或机框组成,能够独立完成一定的传输功能的集合。
现有技术中对Diameter信令进行安全威胁识别,主要是依据黑白名单进行识别,若Diameter信令中的信息符合黑名单,则判断该Diameter信令存在安全威胁。然而,本发明的发明人发现,现有的Diameter信令网络中攻击的难点不但难以预知,还不可穷尽,若黑白名单维护不及时,容易产生防御漏洞,还存在黑名单伪装成白名单的情形,因此,仅通过黑白名单来识别Diameter信令是否存在安全威胁,并不能准确及时的发现Diameter信令存在安全威胁,进而影响Diameter信令网络的安全。为此,本发明的发明人为提高Diameter信令网络的安全,设计了通过获取与Diameter信令对应的信令安全画像来对Diameter信令进行安全威胁识别。
基于此,本发明实施例提供一种对Diameter信令安全威胁识别的方法,该方法可以先获得待识别的Diameter信令,然后可以从待识别的Diameter信令中提取待识别Diameter信令对应用户的用户标识信息,并获取与该用户标识对应的信令安全画像,即分析待识别Diameter信令对应用户的历史Diameter信令所得的用户特征集合和传输该用户对应的Diameter信令的网元的特征集合,再根据获取的待识别Diameter信令对应用户的用户特征集合和网元特征集合对待识别的Diameter信令进行安全威胁识别,并对识别出的存在安全威胁的Diameter信令进行安全威胁标识,进而准确及时的发现存在安全威胁的Diameter信令,提高Diameter信令网络的安全性。
本发明实施例中的对Diameter信令安全威胁识别的方法可以应用于如图1所示的应用场景,在该应用场景中,包括Diameter信令链路10、由服务器1至服务器N组成的服务器集群20和交换机30。
Diameter信令链路10中存在有Diameter信令,服务器集群20用于对存储Diameter信令以及与Diameter信令相关的数据,并对存储的相关数据进行大数据分析,还用于对Diameter信令进行安全威胁判断。交换机30可以是一台交换机,也可以是多台交换机组成的交换机组,用于从Diameter信令链路上采集Diameter信令,并将采集到的Diameter信令传送到服务器集群20进行安全威胁识别。
需要注意的是,上文提及的应用场景仅是为了便于理解本发明的精神和原理而示出,本发明实施例在此方面不受任何限制。相反,本发明实施例可以应用于适用的任何场景。
下面结合图1所示的应用场景图,对本发明实施例提供的对Diameter信令安全威胁识别的方法进行说明。请参考图2,为本发明实施例提供的一种对Diameter信令安全威胁识别的方法,包括:
步骤201:获取待识别的Diameter信令。
在本发明实施例中,可以通过交换机来获取待识别的Diameter信令,通过对交换机进行端口镜像,来获得信令链路上的Diameter信令。例如,利用CE(Customer Edge,用户网络边缘交换机)交换机,对汇聚到CE交换机的信令链路进行端口镜像,即复制信令链路上的Diameter信令。采用端口镜像的方式获取Diameter信令,获取的是信令链路上所有的Diameter信令,包括漫游的Diameter信令和非漫游的Diameter信令。当用户接入网络后,为其提供服务的移动管理实体(MME,Mobile Management Entity)或服务通用分组无线业务(GPRS,General Packet Radio Service)支持节点(SGSN,Serving GPRS Support Node)和该用户归属的归属用户服务器(HSS,Home Subscriber Server)属于同一个运营商时,S6a或S6d接口两边的网元都是运营商可控的,因此,一般认为MME或SGSN和HSS属于同一个运营商时的Diameter信令(即非漫游的Diameter信令)是没有安全风险的,不需要对其进行安全威胁识别,而MME或SGSN和HSS不属于同一运营商时的Diameter信令,即漫游Diameter信令,则需要对其进行安全威胁识别。
所以,本发明实施例中的在通过交换机端口镜像获取到信令链路上的所有Diameter信令后,可以通过分流交换机对获取的所有Diameter信令流量进行筛选,筛选出漫游的Diameter信令,筛选出的漫游Diameter信令则为获取的需要进行安全威胁识别的Diameter信令,并将筛选出的待识别Diameter信令发送给服务器集群进行处理,以使得对Diameter信令安全威胁更有针对性,准确性更高,也避免造成不必要的资源浪费。
具体的,可以根据判断Diameter信令对应的MME或SGSN和HSS是否一致,即判断Diameter信令对应的MME或SGSN和HSS是否属于同一运营商来进行筛选,将MME或SGSN和HSS不一致的Diameter信令,即漫游的Diameter信令,筛选出来作为待进行安全威胁识别的Diameter信令。还可以依据发送Diameter信令的终端注册的用户访问的公共陆地移动网络(VPLMN,Visited Public Land Mobile Network),对端口镜像获取到的所有Diameter信令进行筛选,筛选出非漫游的Diameter信令或者漫游的Diameter信令。若终端注册的VPLMN既不属于终端用户归属的公共陆地移动网络(HPLMN,Home Public Land Mobile Network)也不属于等效本地的公共陆地移动网络(EHPLM,Equivalent Home Public Land MobileNetwork)时的Diameter信令,则该Diameter信令为漫游Diameter信令,反之,则为非漫游Diameter游信令。
步骤202:根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对Diameter信令进行初步安全威胁识别。
在本发明实施例中,在获取到待识别的Diameter信令之后,可以依据黑名单、应用标示Application ID和指令码Command Code、属性值对(AVP,Attribute-Value-Pair)和协议层之间数据的一致性、用户以前的位置、速度和时间对待识别的Diameter信令进行初步安全威胁识别,对待识别Diameter信令进行初步筛选,减少需进一步安全识别的Diameter信令数量,合理利用识别资源,避免不必要的资源浪费。
具体的,可以根据黑名单(还可称为黑白名单),对待识别的Diameter信令进行安全威胁识别,若待识别的Diameter信令中包含有黑名单中记载的元素,则可以直接确定其为存在安全威胁的Diameter信令,并对其进行安全威胁标识。这种利用黑名单对Diameter信令进行安全威胁识别的方法对应全球移动通信系统协会(GSMA,Global System forMobile Communications assembly)工作组发布的针对Diameter信令互联安全的19号功能规范(FS.19,Function Specification19)中的规则0。
也可以通过判断待识别Diameter信令中是否包含不被允许的应用标识或指令码来进行安全威胁识别,若待识别的Diameter信令中包含有不被允许的应用标识或指令码,则直接确定其为存在安全威胁的Diameter信令,并对其进行安全威胁标识。这种通过判断待识别Diameter信令中是否包含不被允许的应用标识或指令码来进行安全威胁识别的方法,对应FS.19中的规则1。
还可以根据Diameter信令的AVP与协议层之间的数据是否一致来对待识别的Diameter信令进行安全威胁识别,若待识别的Diameter信令的AVP与协议层之间的数据不一致,不能直接确定该待识别Diameter信令存在安全威胁,而是将其标记为可疑的Diameter信令,需要做进一步的判断才能确定其是否存在安全威胁。这种通过判断Diameter信令的AVP与协议层之间的数据是否一致来进行安全威胁识别的方法,对应FS.19中的规则2。
步骤203:从Diameter信令中获取用户标识信息,并获取与用户标识信息对应的信令安全画像。
在本发明实施例中,可以通过从待识别的Diameter信令中获取与待识别Diameter信令对应的用户标识信息,即对用户信令的IMSI,进而根据该用户标识信息获取与待识别Diameter信令对应的信令安全画像。其中,信令安全画像包括对基于所述用户的历史Diameter信令获得的用户特征集合和用户Diameter信令的传输网元的特征集合。
具体的,如图3所示,用户特征集合也可称为用户信令安全画像,是通过对Diameter信令对应用户的IMSI(International Mobile Subscriber IdentificationNumber:国际移动用户识别码)、手机号等基本信息,与对IMSI对应的信令的地理位置信息,以及对用户信令的当前信令和以及用户信令的历史信令进行分析,得到的可以表征Diameter信令对应用户的各类属性或多个标签的集合。如图4所示,网元特征集合又可称为网元信令安全画像,是通过对传输Diameter信令的网元的基本信息,如网元的IP地址、网元类型,和对网元的地理位置信息,以及对网元接收或者发送的Diameter信令数量等数据进行分析,获得的可以表征该网元特征的集合。
步骤204:基于信令安全画像对Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
在本发明实施例中,为了提高对Diameter信令安全威胁识别的准确性,提高Diameter信令网络的安全性,可以通过信令安全画像对待识别的Diameter信令进行安全威胁识别,其中,信令安全画像包括网元信令安全画像和用户信令画像。具体的,可根据信令安全画像中的网元信令安全画像对待识别的Diameter信令进行安全威胁识别,也可以根据用户信令安全画像对待识别的Diameter信令进行安全威胁识别,还可以同时使用网元信令安全画像和用户信令安全画像对待识别的Diameter信令进行安全威胁识别。
一种可选的实施方式,在本发明实施例中,可以根据网元信令安全画像(即网元特征集合)对待识别Diameter信令进行安全威胁识别,具体的,可以根据网元特征集合中包括的,发送或者接收Diameter信令的历史网元的IP地址,网元的类型等网元基本信息,或者根据历史网元的信令统计信息,即对在固定时间内对该网元发送或者接收的信令进行统计得到的统计结果,或者根据网元的地理位置信息,如,网元所属的国家和运营商信息,来对待识别的Diameter信令进行安全威胁识别。
若确定传输待识别Diameter信令的网元基本信息与历史网元基本信息不匹配,则可以确定该待识别Diameter信令存在安全威胁,并对该待识别Diameter信令进行安全威胁标识。或者,若确定传输待识别Diameter信令的网元,在包括传输待识别Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值,则可以确定该待识别Diameter信令存在安全威胁,并对该待识别Diameter信令进行安全威胁标识。需要说明的是,这里的网元即可以用于发送Diameter信令,也可以用于接收Diameter信令,传输包括发送和接收的情形。
例如,假设网元信令安全画像中标记的A类型的网元是用来接收Diameter信令,而实际上A类型的网元却发送了Diameter信令,则可以直接确定A类型网元发送的Diameter信令为存在安全威胁的信令,并对其进行安全威胁标识。再如,根据网元信令安全画像中历史网元的信令统计信息得知,在1分钟的时间内,A网元传输的Diameter信令为100条,而检测到1分钟内A网元实际传输的Diameter信令为10000条,则可以确定该时间段内A网元发送的Diameter信令存在安全威胁,并对其进行安全威胁标识。
另一种可选的实施方式,在本发明实施例中,可以根据用户信令安全画像(即用户特征集合)对待识别的Diameter信令进行安全威胁识别。具体的,根据用户特征集合中包括的用户的基本信息,如用户的IMSI、IMEI、手机号码、手机型号,地理位置信息,如,开户地、当前漫游国家、经常漫游国家,以及信令发送时间信息来对待识别的Diameter信令进行安全威胁识别。
若确定出的待识别Diameter信令对应的用户基本信息,与待识别Diameter信令对应的用户信令安全画像中的用户基本信息不匹配,则确定待识别Diameter信令存在安全威胁,并对待识别Diameter信令进行安全威胁标识。或者若确定出待识别Diameter信令对应的用户当前的地理位置和其对应的用户信令安全画像的地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离,与正常情况下Diameter信令的发送时间间隔不匹配;则确定待识别Diameter信令存在安全威胁,并对待识别Diameter信令进行安全威胁标识。
例如,假设待识别Diameter信令对应的用户信令安全画像中用户的IMSI为460020912121001,而确定出的待识别Diameter信令的IMSI实际为460011418603055,则直接确定该Diameter信令存在安全威胁,并标识该Diameter信令为存在安全威胁的信令。再如,假设同一用户对应的上一个Diameter信令的当前漫游国家为美国,而确定出的该用户对应的紧挨上一个Diameter信令的待识别Diameter信令的漫游国家为荷兰,且两个Diameter信令的间隔时间为两分钟,因为两分钟用户不可能从美国到荷兰,所以直接确定该待识别Diameter信令存在安全威胁,并对该待识别Diameter信令进行安全威胁标识。
所以,在对Diameter信令进行安全威胁识别时,可以先对获取的所有信令进行筛选,以获取待识别的Diameter信令,使得对Diameter信令安全威胁更有针对性,准确性更高,也避免造成不必要的资源浪费;然后从待识别Diameter信令中获取该Diameter信令对应用户的用户标识信息,并根据该用户标识信息获取对应的信令安全画像,其中,信令安全画像包括对基于用户的历史Diameter信令获得的用户特征集合和用户的Diameter信令的传输网元特征集合,再基于信令安全画像对Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识,进而准确及时的发现存在安全威胁的Diameter信令,提高Diameter信令网络的安全性。
基于同一发明构思,本发明实施例中提供了一种对Diameter信令安全威胁识别的装置,该装置对Diameter信令安全威胁识别的方法的具体实施可参见上述方法实施例部分的描述,重复之处不再赘述,如图5所示,该装置包括:
信令获取模块50,用于获取待识别的Diameter信令;
信令安全画像获取模块51,用于从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;
安全威胁识别模块52,用于基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
可选的,所述装置还包括初步判断模块,具体用于:
根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对所述Diameter信令进行初步安全威胁识别;
当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码,且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时,从所述Diameter信令中提取用户标识信息;
并获取与所述用户标识信息对应的信令安全画像。
可选的,所述初步判断模块,还用于,若所述Diameter信令包括黑名单中的元素,或包含有不被允许的应用标识,或指令码,则直接确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识。
可选的,所述安全威胁识别模块52,还用于:
若确定传输所述Diameter信令的网元基本信息与所述历史网元基本信息不匹配;或者
若确定传输所述Diameter信令的网元,在包括传输Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述预设值为根据所述历史网元的信令统计信息确定出的一特定时间内信令的峰值。
可选的,所述安全威胁识别模块52,还用于:
若确定所述Diameter信令对应的用户基本信息与所述用户的基本信息不匹配;或者
若确定所述Diameter信令对应的用户当前的地理位置和所述地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离,与所述Diameter信令的发送时间间隔不匹配;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述Diameter信令的发送时间间隔是指所述Diameter信令的发送时间与所述最新一次发送的Diameter信令的发送时间之间的间隔。
可选的,所述信令获取模块50,还用于:
通过交换机端口镜像,从Diameter信令链路上获取所述Diameter信令;
通过分流交换机,对所述Diameter信令进行分流处理,并获取待识别的Diameter信令。
基于同一发明构思,本发明实施例中提供了一种对Diameter信令安全威胁识别的装置,如图6所示,包括至少一个处理器60、以及至少一个存储器61,其中,所述存储器61存储有程序,当所述程序被所述处理器60执行时,使得所述处理器60执行如上文叙述的对Diameter信令安全威胁识别的方法的步骤。
基于同一发明构思,本发明实施例中提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如上文叙述的对Diameter信令安全威胁识别的方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种对直径Diameter信令安全威胁识别的方法,其特征在于,包括:
获取待识别的Diameter信令;
从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;
基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
2.如权利要求1所述的方法,其特征在于,所述从所述Diameter信令中提取用户标识信息,并获取与所述用户标识信息对应的信令安全画像之前,所述方法还包括:
根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对所述Diameter信令进行初步安全威胁识别;
当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码,且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时,从所述Diameter信令中提取用户标识信息;
并获取与所述用户标识信息对应的信令安全画像。
3.如权利要求2所述的方法,其特征在于,若所述Diameter信令包括黑名单中的元素,或包含有不被允许的应用标识,或指令码,则直接确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述信令安全画像包括网元信令安全画像,所述网元信令安全画像包括所述网元特征集合,所述网元特征集合包括传输所述历史Diameter信令的历史网元基本信息,以及历史网元的信令统计信息;
所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别具体为:
若确定传输所述Diameter信令的网元基本信息与所述历史网元基本信息不匹配,或者
若确定传输所述Diameter信令的网元,在包括传输Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述预设值为根据所述历史网元的信令统计信息确定出的一特定时间内信令的峰值。
5.如权利要求1-3中任一项所述的方法,其特征在于,所述信令安全画像包括用户信令安全画像,所述用户信令安全画像包括所述用户特征集合;所述用户特征集合包括所述用户的基本信息、地理位置信息、以及信令发送时间信息;
所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别具体为:
若确定所述Diameter信令对应的用户基本信息与所述用户的基本信息不匹配;或者
若确定所述Diameter信令对应的用户当前的地理位置和所述地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离,与所述Diameter信令的发送时间间隔不匹配;
则确定所述Diameter信令存在安全威胁,并对所述Diameter信令进行安全威胁标识;
其中,所述Diameter信令的发送时间间隔是指所述Diameter信令的发送时间与所述最新一次发送的Diameter信令的发送时间之间的间隔。
6.如权利要求1所述的方法,其特征在于,所述将获取待识别的Diameter信令具体包括:
通过交换机端口镜像,从Diameter信令链路上获取所述Diameter信令;
通过分流交换机,对所述Diameter信令进行分流处理,并获取待识别的Diameter信令。
7.一种对Diameter信令安全威胁识别的装置,其特征在于,包括:
信令获取模块,用于获取待识别的Diameter信令;
信令安全画像获取模块,用于从所述Diameter信令中获取用户的标识信息,并获取与所述标识信息对应的信令安全画像,其中,所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合;
安全威胁识别模块,用于基于所述信令安全画像对所述Diameter信令进行安全威胁识别,并对存在安全威胁的Diameter信令进行安全威胁标识。
8.如权利要求7所述的装置,其特征在于,所述装置还包括初步判断模块,具体用于:
根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP对所述Diameter信令进行初步安全威胁识别;
当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码,且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时,从所述Diameter信令中提取用户标识信息;
并获取与所述用户标识信息对应的信令安全画像。
9.一种对Diameter信令安全威胁识别的装置,其特征在于,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1~6任一项所述方法的步骤。
10.一种存储介质,其特征在于,所述存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-6任一项所述方法的步骤。
CN201811479865.5A 2018-12-05 2018-12-05 一种对直径信令安全威胁识别的方法、装置及存储介质 Active CN111277552B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811479865.5A CN111277552B (zh) 2018-12-05 2018-12-05 一种对直径信令安全威胁识别的方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811479865.5A CN111277552B (zh) 2018-12-05 2018-12-05 一种对直径信令安全威胁识别的方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN111277552A true CN111277552A (zh) 2020-06-12
CN111277552B CN111277552B (zh) 2022-06-14

Family

ID=70998553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811479865.5A Active CN111277552B (zh) 2018-12-05 2018-12-05 一种对直径信令安全威胁识别的方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111277552B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111328073A (zh) * 2018-12-14 2020-06-23 中国移动通信集团广西有限公司 一种七号信令风险防御方法及装置
CN114339767A (zh) * 2021-12-30 2022-04-12 恒安嘉新(北京)科技股份公司 一种信令检测方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2373075A1 (en) * 2010-03-30 2011-10-05 British Telecommunications public limited company System and method for WLAN traffic monitoring
US20120191847A1 (en) * 2011-01-21 2012-07-26 Petrus Wilhelmus Adrianus Jacobus Maria Nas Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (dsr) having a distributed message processor architecture
CN103490849A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 分析信令流量的方法及装置
US20150123767A1 (en) * 2013-11-01 2015-05-07 James P. Tolle Wearable, non-visible identification device for friendly force identification and intruder detection
CN105050103A (zh) * 2015-07-20 2015-11-11 大唐移动通信设备有限公司 一种信令流程的识别方法及装置
CN105682097A (zh) * 2014-11-21 2016-06-15 中国移动通信集团河南有限公司 一种伪基站识别定位方法及装置
CN106921570A (zh) * 2015-12-24 2017-07-04 中兴通讯股份有限公司 Diameter信令发送方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2373075A1 (en) * 2010-03-30 2011-10-05 British Telecommunications public limited company System and method for WLAN traffic monitoring
US20120191847A1 (en) * 2011-01-21 2012-07-26 Petrus Wilhelmus Adrianus Jacobus Maria Nas Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (dsr) having a distributed message processor architecture
CN103490849A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 分析信令流量的方法及装置
US20150123767A1 (en) * 2013-11-01 2015-05-07 James P. Tolle Wearable, non-visible identification device for friendly force identification and intruder detection
CN105682097A (zh) * 2014-11-21 2016-06-15 中国移动通信集团河南有限公司 一种伪基站识别定位方法及装置
CN105050103A (zh) * 2015-07-20 2015-11-11 大唐移动通信设备有限公司 一种信令流程的识别方法及装置
CN106921570A (zh) * 2015-12-24 2017-07-04 中兴通讯股份有限公司 Diameter信令发送方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111328073A (zh) * 2018-12-14 2020-06-23 中国移动通信集团广西有限公司 一种七号信令风险防御方法及装置
CN111328073B (zh) * 2018-12-14 2023-08-15 中国移动通信集团广西有限公司 一种七号信令风险防御方法及装置
CN114339767A (zh) * 2021-12-30 2022-04-12 恒安嘉新(北京)科技股份公司 一种信令检测方法、装置、电子设备及存储介质
CN114339767B (zh) * 2021-12-30 2024-04-05 恒安嘉新(北京)科技股份公司 一种信令检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN111277552B (zh) 2022-06-14

Similar Documents

Publication Publication Date Title
AU2022263450B2 (en) Internet of things services architecture
US10834045B2 (en) Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US11751056B2 (en) Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US10334419B2 (en) Methods, systems, and computer readable media for optimizing machine type communication (MTC) device signaling
EP2304985B1 (en) Providing subscriber identity for cell traffic trace in e-utran
CN111800412A (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
CN111277552B (zh) 一种对直径信令安全威胁识别的方法、装置及存储介质
GB2501694A (en) A gateway location register (GLR) employed to assess the scale of inbound roaming usage and detect trends
US11438272B2 (en) System and method for mobility tracking
CN111565196B (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
US20170331678A1 (en) Telecommunications system and method
EP3289793B1 (en) Method, mobile switching centre, msc, and a computer program product for detecting interconnect bypass
WO2022156918A1 (en) Fraudulent traffic detection based on analytics
US20170026524A1 (en) Charging method and apparatus
US11184746B2 (en) Systems and methods for granular usage reporting in multi-RAN telecommunications systems
US20150229744A1 (en) Method and Device for Service Analysis
US9942767B2 (en) Reducing fraudulent activity associated with mobile networks
US10271270B2 (en) Reducing fraudulent activity associated with mobile networks
Kotte Analysis and Experimental Verification of Diameter Attacks in Long Term Evolution Networks
Sørseth Location disclosure in lte networks by using imsi catcher
EP4068824A1 (en) Security enforcement and assurance utilizing policy control framework and security enhancement of analytics function in communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant