CN111698683B - 网络安全控制方法、装置、存储介质及计算机设备 - Google Patents
网络安全控制方法、装置、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN111698683B CN111698683B CN202010382588.7A CN202010382588A CN111698683B CN 111698683 B CN111698683 B CN 111698683B CN 202010382588 A CN202010382588 A CN 202010382588A CN 111698683 B CN111698683 B CN 111698683B
- Authority
- CN
- China
- Prior art keywords
- access
- network
- signaling
- terminal
- access network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000011664 signaling Effects 0.000 claims abstract description 312
- 238000004590 computer program Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 3
- 238000004458 analytical method Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及一种网络安全控制方法、装置、存储介质及计算机设备,应用于移动边缘计算设备,该方法包括:获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入网络。通过本申请实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网络的检测,对频繁尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络安全控制方法、装置、存储介质及计算机设备。
背景技术
随着5G的发展,移动边缘计算MEC成为5G业务发展的关键技术,基于MEC技术的核心网设备一方面用于作为直接面对用户终端的数据处理设备,另一方面核心网设备对除运营商外的第三方开放,这样导致核心网设备易被攻击或被利用成为攻击网络的工具。
核心网设备的安全涉及很多方面,如设备自身硬件、操作系统、平台软件、组网架构、对网络攻击的防御等。如何提升核心网设备的安全,是当前重要的课题。现有技术只涉及到了关于核心网设备及核心网设备安装的APP的安全问题,而没有涉及用户终端对核心网设备和网络的安全问题。
特别是一些行业应用定制终端,是5G行业应用时利用模组搭建的、小批量的无线终端。行业应用定制终端的生产厂家较多,且生产厂家的软件或硬件水平参差不齐,另外,大多数的行业应用定制终端几乎不会走国家规定的终端入网测试手续,没有入网许可证书。行业应用定制终端对全网而言占比不一定有很高,但是随着5G发展,行业应用终端的比例会越来越高。移动终端尤其是行业应用定制终端的合规性(含软件和硬件)对5G网络及系统安全的潜在威胁需要引起重视。
发明内容
为了解决上述终端可能对基于边缘计算MEC的系统中的核心网设备、网络带来安全问题,本申请实施例提供了一种网络安全控制方法、装置、存储介质及计算机设备。
第一方面,本申请实施例提供了一种网络安全控制方法,应用于移动边缘计算设备,该方法包括:
获取终端接入网络的接入网络信令记录;
根据接入网络信令记录控制终端接入网络。
可选地,获取终端接入网络的接入网络信令记录,包括:
获取终端接入网络时经过移动边缘计算设备所管辖的不同基站后解析出的终端接入网络的接入网络信令记录。
可选地,接入网络信令记录包括至少一条接入网络信令信息;
根据接入网络信令记录控制终端接入网络,包括:
判断接入网络信令信息是否合规;
若预设时间内不合规的接入网络信令信息的数量大于等于次数阈值,则禁止终端接入网络。
可选地,判断接入网络信令信息是否合规,包括:
比对预存的网络准入信令流程与接入网络信令信息;
若接入网络信令信息符合网络准入信令流程,则判定接入网络信令信息合规;
若接入网络信令信息不符合网络准入信令流程,则判定接入网络信令信息不合规。
可选地,接入网络信令信息包括:基站信息、终端信息、接入信令关键字段信息、时间戳;
网络准入信令流程包括:网络准入信令流程中信令的先后顺序、关键字段数据规范。
可选地,在根据接入网络信令记录控制终端接入网络之后,当终端成功接入网络后,方法还包括:
获取终端访问业务的业务访问信令记录;
比对预存的业务访问信令流程与业务访问信令记录中的业务访问信令信息,以判断业务访问信令信息是否合规;
根据不合规的业务访问信令信息的数量,控制终端访问业务。
第二方面,本申请实施例提供了一种网络安全控制装置,装置应用于移动边缘计算设备,该装置包括:存储器,用于存储计算机可执行程序代码;收发器,以及处理器,与存储器和收发器耦合;
其中,收发器,用于获取终端接入网络的接入网络信令记录;
处理器,用于根据接入网络信令记录控制终端接入网络。
可选地,收发器,还用于获取终端访问业务的终端业务信令记录;
处理器,还用于比对预存的业务访问信令流程与终端业务信令记录中的终端业务信令信息,以判断终端业务信令信息合规,
处理器,还用于根据不合规的终端业务信令信息的数量,控制终端访问业务。
第三方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如前面所述任一项的方法的步骤。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行如前面所述任一项的方法的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
通过本申请,获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网络的检测,对频繁尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。此外,通过本申请,获取终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。实现对终端访问业务的监控,保障了数据安全,维护了网络使用环境。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例提供的网络安全控制方法的应用场景图;
图2为一个实施例提供的一种网络安全控制方法的流程示意图;
图3为一个实施例提供的一种网络安全控制装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为一个实施例提供的网络安全控制方法的应用场景图。参考图1,该网络安全控制方法应用于网络安全控制系统。该网络安全控制系统包括:移动边缘计算设备、基站、网络信令分析系统、以及终端。终端包括通过无线网络通信的用户终端,例如移动终端。
终端包括通过无线网络通信的用户终端,例如多种移动终端:手机、平板等。该终端可以分为普通公众使用的取得入网许可的标准移动终端,也可以是行业应用定制终端。普通公众使用的标准移动终端通常经过国家相关部门进行终端合规性测试,测试合规后才会颁发终端入网许可证。行业应用定制终端,是5G行业应用时利用模组搭建的、小批量的无线终端。例如一些物流企业或规模较大的企业,为管理方便会根据需求定制终端,该终端可以通过接入网络进行对应的业务操作,例如访问数据库、实施业务操作等。行业应用定制终端的生产厂家较多,且生产厂家的软件或硬件水平参差不齐,另外,大多数的行业应用定制终端几乎不会走国家规定的终端入网测试手续,没有入网许可证书。不合规的终端的硬件或软件等缺陷都可能导致该终端接入网络失败,如果频繁接入网络失败,则会对整个网络环境造成不良影响。
移动边缘计算设备(以下简称MEC设备)为基于边缘计算MEC(Mobile EdgeComputing)的核心网络设备。移动边缘计算设备获取基站发送的终端接入网络的接入网络信令记录。该接入网络信令记录可以包括同一个终端多次接入同一个网络的多个接入网络信令信息。当然,本申请的网络安全控制方法适用于所有不同终端接入网络的分析,本申请仅仅是以一个终端接入同一个网络来说明本申请的网络安全控制方法的原理。
基站是移动设备接入互联网的接口设备,也是无线电台站的一种形式,是指在一定的无线电覆盖区中,通过移动通信交换中心,与移动电话终端之间进行信息传递的无线电收发信电台。
网络信令分析系统是为了网络维护工作而建立的,采用专门技术采集网络中各种控制面信令。例如:可以通过基站回传各种控制面信令给到网络信令分析系统,也可以是网络信令分析系统采集网络通信链路上的数据后解析得到控制面信令。该控制面信令包括终端接入网络的接入网络信令。
网络信令分析系统与多个MEC设备通信,也与每个MEC设备管辖下的基站通信,用于接收每个MEC设备管辖下的基站发送的终端接入网络的接入网络信令信息得到接入网络信令记录,或,采集网络通信链路上的数据解析得到终端接入网络的接入网络信令信息得到接入网络信令记录。网络信令分析系统与MEC设备通信,用于获取MEC设备发送的接入网络信令记录获取请求,将通过该MEC设备管辖下的基站后解析出的接入网络信息记录发送至该请求的MEC设备。
每个移动边缘计算设备(MEC设备)对应一个或多个基站,网络信令分析系统可以与每个移动边缘计算设备管辖下的基站通信,终端可以通过同一个网络(接入网)接入不同基站,每个基站会将终端接入网络的接入网络信令信息发送至网络信令分析系统,或者是网络信令分析系统对经过基站的数据进行解析得到接入网络信令信息。网络信令分析系统获取经过多个基站后的接入网络信令信息,由此得到接入网络信令信息集合;每个接入网络信令信息包括但不限于:对应的终端信息、接入网的网络信息、基站信息、时间信息。
移动边缘计算设备通过向网络信令分析系统请求获取经过其管辖的基站后解析出的终端接入网络的接入网络信令信息得到接入网络信令记录;接入网络信令是控制面信令,接入网络信令记录是一个历史记录,可能包括经过不同基站后解析出的终端接入同一网络的接入网络信令信息,也可以包括经过不同基站后解析出的终端接入不同网络的接入网络信令信息。其中,移动边缘计算设备通过北向接口与网络信令分析系统通信。
图2为一个实施例提供的一种网络安全控制方法的流程示意图;参考图2,该方法包括以下步骤;
S100:获取终端接入网络的接入网络信令记录。
S200:根据接入网络信令记录控制终端接入网络。
具体地,电信网是一个庞大的公共网,一个设备出现问题有可能影响其他设备的运行,从而影响到整个网络的运行。因此长期以来对于加入到公共电信网的电信设备一直采用入网许可证制度,这些设备需要通过检测,达到有关的技术要求才能入网。
这意味了所有入网的电信设备都要经过检测。入网许可证标志是加贴在已获得进网许可的国内电信设备上(除香港,台湾外)的质量标志。
通过信令跟踪分析,可以发现不合规的移动终端尤其是行业应用定制终端会频繁发起网络接入连接,对网络性能和网络安全构成一定的威胁。
一个移动边缘计算设备管辖一个或多个基站,因此,一个移动边缘计算设备可以通过网络信令分析系统获取经过其管辖下的基站后解析出的同一个终端接入同一个网络的接入网络信令信息。多个接入网络信令信息组成了接入网络信令记录。其中,接入网络信令记录表征了相同终端接入相同网络的次数以及频繁程度。因此,通过同一个终端接入同一个网络的接入网络信令记录可以判断该终端接入该网络是否合规,从而决定允许该终端继续尝试接入该网络,还是禁止该终端尝试接入该网络。
当然,本申请不限于对移动终端接入网络的控制,在各种无线接入、有线接入技术中同样适用。
在一个实施例中,步骤S100具体包括:获取终端接入网络时经过移动边缘计算设备所管辖的不同基站后解析出的终端接入网络的接入网络信令记录。
具体地,移动边缘计算设备可以通过基站代码向网络信令分析系统请求获取其管辖的基站发送的接入网络信令信息。具体地,每个接入网络信令信息包含基站信息,基站信息包括基站代码,通过匹配,网络信令分析系统可以将发起获取请求的移动边缘计算设备其管辖下的基站所对应的接入网络信令信息发送至该移动边缘计算设备。
在一个实施例中,接入网络信令记录包括至少一条接入网络信令信息。即,接入网络信令记录包括终端接入网络时经过移动边缘计算设备管辖下的不同基站后解析出的同一个终端接入同一个网络的接入网络信令信息。
步骤S200具体包括:通过判断接入网络信令信息是否合规以控制终端接入所述网络。
具体地,每个接入网络信令信息还包含终端信息,移动边缘计算设备通过接入网络信令信息可以确定该接入网络信令信息对应的终端接入该网络是否合规,从而统计该终端接入该网络的不合规次数以及频繁程度等信息。
在一个实施例中,判断接入网络信令信息是否合规,包括:
比对预存的网络准入信令流程与接入网络信令信息;
若接入网络信令信息符合网络准入信令流程,则判定接入网络信令信息合规;
若接入网络信令信息不符合网络准入信令流程,则判定接入网络信令信息不合规。
具体地,预存的网络准入信令流程包括多个准许网络对应的网络准入信令流程;如果接入网络信令信息与预存的多个准许网络的网络准入信令流程中的至少一个匹配,则判定该接入网络信令信息合规;如果接入网络信令信息与预存的多个准许网络的网络准入信令流程没有一个匹配。则判定该接入网络信令信息不合规。
在一个实施例中,控制所述终端接入所述网络,包括:
若预设时间内不合规的接入网络信令信息的次数大于等于次数阈值,则禁止终端接入网络。
具体地,可以统计预设时间内连续出现的不合规的接入网络信令信息的次数,如果次数大于等于次数阈值,则判定该终端接入该网络异常,且预设时间内连续接入异常的次数超过次数阈值就会被认定是非法接入。即可禁止该终端接入该网络。禁止该终端接入该网络可以是禁止该终端尝试接入该网络,即,不仅不允许该终端成功接入该网络,而且拒绝该终端申请接入该网络。
当发现移动边缘计算设备下的移动终端发起的接入网络不合乎期望的终端接入规程时,可以认为终端接入网络异常。如果终端接入网络异常,且频繁接入网络,会导致占用网络资源,从而导致其他正常用户使用困难。
由于无线环境复杂及终端移动特性,如果1-2次接入异常,就认为该终端的接入是构成网络威胁的不太合理,设置一个阈值,如单位时间内终端接入N次异常(如N>10),才判定该终端的接入异常构成网络威胁,避免误判。
在一个实施例中,可以是移动边缘计算设备来禁止非法终端接入网络。也可以是移动边缘计算设备将次数是否大于等于次数阈值的结果发送至功能控制系统,由功能控制系统禁止非法终端接入对应网络。
该功能控制系统可以是运营商营帐系统,但不局限于此。
当发现终端接入网络异常对网络构成威胁时,可以利用移动边缘计算设备的北向接口将次数是否大于等于次数阈值的结果发送至运营商营帐系统,通过运营商营帐系统禁止该用户的网络使用权。
这样,就完成了对来自终端接入方式的网络威胁检测和处理,较好地维护了正常网络使用环境。
当然,当发现接入异常对网络构成威胁时,也可以将异常情况提交到APP研发厂家或硬件研发厂家改进软件或硬件。
在一个实施例中,接入网络信令信息包括:基站信息、终端信息、接入信令关键字段信息、时间戳;
网络准入信令流程包括:网络准入信令流程中信令的先后顺序、关键字段数据规范。
具体地,终端接入网络时,需要与网络进行信令交互,例如:终端会告知网络终端自身的能力,例如可以使用2G/3G/4G/5G中的哪种网络,速率为多少,编码为多少等信息;网络接收到这些信息后会根据网络自身的情况选择并将选择的结果告知终端。终端与网络进行这些信令交互有严格的规范要求,例如:先发什么信令、收到对方应答后,中间发什么信令,最后发什么信令。这些信令是相关国际组织制定的技术规范,如果不遵循,就认定不合规。
接入信令关键字段包含每条接入信令中的关键参数,如指令attch(A1、A2、A3),有3个参数A1、A2、A3,都必须填写,则可以认为A1、A2、A3是信令关键字段信息。
信令的先后顺序,可以是时间戳,也可以是信令自身带有的信令编号。这个主要是对采集到的信令进行排序,判断信令是否按照期望的顺序进行交互。
在网络准入信令流程中,规定了网络准入信令流程中的信令执行的先后顺序。通过信令编号或每个信令的时间戳可以判断这些信令是否按照预设的先后顺序执行,如果没有按照先后顺序执行,则判定为不合规,否则,合规。
关键字段数据规范具体包括关键参数的取值是否在期望的范围内,例如,上述的参数A1-A3各自的取值是否在期望的范围。如A1的期望值可以是1、2、3中的任意一个,如果不是这三个值中的任意一个就可以认为不合规,信令不正常。
具体地,首先是获取接入信令关键字段,如attch,再获取attch的参数A1、A2、A3,与预存的关键字段数据规范中的attch的A1、A2、A3的规范值各自进行比较,如果符合预存的关键字段数据规范的要求,则认为该接入信令合规,否则就是不合规。
本申请关键字段不仅仅包括attch的参数,还包括其他终端接入网络过程中产生的关键字段。
在一个实施例中,在步骤S100之后,当终端成功接入网络后,该方法还包括:获取终端访问业务的业务访问信令记录;比对预存的业务访问信令流程与业务访问信令记录中的业务访问信令信息,以判断业务访问信令信息是否合规;根据不合规的业务访问信令信息的数量,控制终端访问业务。
具体地,终端通过网络访问业务时,移动边缘计算设备可以通过其管辖的基站获取终端访问业务的业务访问信令记录,这个业务访问信令记录包括同一个终端多次访问同一个业务的业务访问信令信息,每次访问对应一个业务访问信令信息,预存的业务访问信令流程包括多个准许访问的业务对应的业务访问信令流程;如果业务访问信令信息与预存的多个准许访问的业务对应的业务访问信令流程中的至少一个匹配,则判定该业务访问信令信息合规;如果业务访问信令信息与预存的多个准许访问的业务对应的业务访问信令流程没有一个匹配,则判定该业务访问信令信息不合规。当预设时间内不合规的业务访问信令信息的次数大于等于第二次数阈值,则判定该终端接入该业务异常,从而禁止该终端接入该业务。
其中,获取终端访问业务的业务访问信令记录,具体包括:移动边缘计算设备通过基站获取多个目标数据报文,其中,目标数据报文为由终端与基站通信产生且由本地移动边缘计算设备处理的数据报文;移动边缘计算设备对每个目标数据报文进行深度数据分析得到对应的业务访问信令信息;多个目标数据报文对应的多个业务访问信令信息组成了业务访问信令记录。
其中,业务包括:应用程序数据、IP数据,IP数据包括HTTP、ICMP、FTP等。
深度数据分析具体可以为DPI技术,即DPI(Deep Packet Inspection)深度包检测技术。
在移动边缘计算设备中可以布置报文深度解析DPI,对无线接入侧来的目标数据报文进行深度解析,按照用户名、APP名称、业务/业务种类、业务信令、时间戳等维度保存在数据库中。
获取多个目标数据报文包括:接收由终端与基站通信产生并通过基站传输过来的多个数据报文;分别根据分流规则对每个数据报文进行分流得到多个目标数据报文。
判断业务访问信令信息是否合规,包括:比对预存的业务访问信令流程与业务访问信令信息;若业务访问信令信息符合业务访问信令流程,则判定业务访问信令信息合规;若业务访问信令信息不符合业务访问信令流程,则判定业务访问信令信息不合规。
预存的业务访问信令流程包括多个准许访问的业务对应的业务访问信令流程;如果业务访问信令信息与预存的多个准许访问的业务对应的业务访问信令流程中的至少一个匹配,则判定该业务访问信令信息合规;如果业务访问信令信息与预存的多个准许访问的业务对应的业务访问信令流程没有一个匹配,则判定该业务访问信令信息不合规。
根据不合规的业务访问信令信息的数量,控制终端访问业务,具体包括:统计预设时间内连续出现的不合规的业务访问信令信息的次数,如果次数大于等于次数阈值,则判定该终端访问该业务异常,且预设时间内连续访问异常的次数超过次数阈值就会被认定是非法访问。即可禁止该终端访问该业务。禁止该终端访问该业务可以是禁止该终端尝试访问该业务,即,不仅不允许该终端成功访问该业务,而且拒绝该终端申请访问该业务。
当发现移动边缘计算设备下的移动终端发起的访问业务不合乎期望的终端访问业务规程时,可以认为终端访问业务异常。如果终端访问业务异常,且频繁访问业务,可能会导致敏感数据的泄密,且占用网络资源,从而导致其他正常用户使用困难。
由于终端访问业务过程复杂,因此在预设时间内对终端访问业务异常情况进行统计,达到次数阈值才对终端进行禁止,可以避免误判。
在一个实施例中,可以是移动边缘计算设备来禁止非法终端访问业务。也可以是移动边缘计算设备将次数是否大于等于次数阈值的结果发送至功能控制系统,由功能控制系统禁止非法终端访问对应业务。
该功能控制系统可以是运营商营帐系统,但不局限于此。
当发现终端访问业务异常对敏感数据构成威胁时,可以利用移动边缘计算设备的北向接口将次数是否大于等于次数阈值的结果发送至运营商营帐系统,通过运营商营帐系统禁止该用户的业务访问权限。
这样,就完成了对来自终端访问业务的威胁检测和处理,较好地保证了数据安全同时维护了正常网络使用环境。
在一个实施例中,业务访问信令信息包括:基站信息、终端信息、业务信令关键字段信息、时间戳;
业务访问信令流程包括:关注的业务对应的业务访问信令流程中信令的先后顺序、关键字段数据规范。
具体地,终端访问业务时,在信息交互过程中会产生信令,信令交互有着严格的顺序,例如:先发什么信令,等待对方回应并根据回应的信息,再进行下一步操作。显然,如果不按照预定的流程操作,就是违规,不合规。
业务访问信令信息携带有业务信令关键字段,业务信令关键字段包含了每条业务信令中的关键参数或关键参数与参考参数,如get这个指令有5个参数(a1,a2,a3,a4,a5),且各自对应有具体含义,其中a1-a3是必须的,a4-a5是可选参数;我们就可以认为a1-a3是关键参数,a4-a5是参考参数。
信令的先后顺序,可以是时间戳,也可以是信令自身带有的信令编号。这个主要是对采集到的信令进行排序,判断信令是否按照期望的顺序进行交互。
在业务访问信令流程中,规定了业务访问信令流程中的信令执行的先后顺序。通过信令编号或每个信令的时间戳可以判断这些信令是否按照预设的先后顺序执行,如果没有按照先后顺序执行,则判定为不合规,否则,合规。
关键字段数据规范具体包括参数的取值是否在期望的范围内,例如,上述的参数a1-a5各自的取值是否在期望的范围。如a1的期望值可以是1、2、3中的任意一个,如果不是这三个值中的任意一个,即可认为该业务信令不合规。
具体地,首先获取信令关键字,如get,再获取get的参数a1-a5,与预存的关键字段数据中的get信令对a1-a5各自取值的要求规范进行比较,如果符合预存的关键字段数据库的要求,则认为该接入信令合规,否则就是不合规。
本申请关键字段不仅仅包括get的参数,还包括其他终端接入网络过程中产生的关键字段。
图3为一个实施例提供的一种网络安全控制装置的结构示意图,参考图3,该装置应用于移动边缘计算设备,该装置包括:存储器120,用于存储计算机可执行程序代码;收发器130,以及处理器110,与存储器120和收发器130耦合;总线150,至少一个通信接口140;存储器120、处理器110、收发器130和所述至少一个通信接口140之间通过总线150互相连接。
其中,收发器130,用于获取终端接入网络的接入网络信令记录;
处理器110,用于根据接入网络信令记录控制终端接入网络。
在一个实施例中,收发器130具体用于:获取通过移动边缘计算设备所管辖的不同的基站发送的终端接入网络的接入网络信令记录。
在一个实施例中,接入网络信令记录包括至少一条接入网络信令信息;
处理器110具体用于:通过判断接入网络信令信息是否合规以控制终端接入网络。
在一个实施例中,处理器110具体用于:比对预存的网络准入信令流程与接入网络信令信息;
若接入网络信令信息符合网络准入信令流程,则判定接入网络信令信息合规;
若接入网络信令信息不符合网络准入信令流程,则判定接入网络信令信息不合规。
在一个实施例中,处理器110还具体用于:若预设时间内不合规的接入网络信令信息的数量大于等于次数阈值,则禁止终端接入网络。
在一个实施例中,接入网络信令信息包括:基站信息、终端信息、接入信令关键字段信息、时间戳;
网络准入信令流程包括:网络准入信令流程中信令的先后顺序、关键字段数据规范。
在一个实施例中,收发器130,还用于获取终端访问业务的业务访问信令记录;
处理器110还用于:比对预存的业务访问信令流程与业务访问信令记录中的业务访问信令信息,以判断业务访问信令信息是否合规;
处理器110还用于:根据不合规的业务访问信令信息的数量,控制终端访问业务。
其中,存储器120可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器120可以是独立存在,通过总线150与处理器110连接。存储器120也可以和处理器110集成在一起。
收发器130可以是发射器、接收器或其组合,从其他网络节点接收数据包或向其他网络节点发送数据包。
处理器110可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-special integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
总线150可包括一通路,在上述组件之间传送信息。
通信接口140使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网、无线接入网(RAN)、无线局域网(Wireless Local Area Networks,WLAN)等。
其中,存储器120用于存储执行本申请方案的应用程序代码,并由处理器110来控制执行。存储器120还用于存储预存的网络准入信令流程和预存的业务访问信令流程。
处理器110可以包括一个或多个CPU。
本申请提供的网络安全控制装置应用于移动边缘计算设备,该移动边缘计算设备能够获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网络的检测,对频繁尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。此外,该移动边缘计算设备还能够获取终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。实现对终端访问业务的监控,保障了数据安全,维护了网络使用环境。
在一个实施例中,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时,使得处理器执行以下操作:获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入网络。
在一个实施例中,该处理器还执行以下操作:获取所述终端访问业务的业务访问信令记录;比对预存的业务访问信令流程与所述业务访问信令记录中的业务访问信令信息,以判断所述业务访问信令信息是否合规;根据不合规的业务访问信令信息的数量,控制所述终端访问所述业务。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (6)
1.一种网络安全控制方法,应用于移动边缘计算设备,其特征在于,所述方法包括:
获取终端接入网络的接入网络信令记录;
根据所述接入网络信令记录控制所述终端接入所述网络;
所述获取终端接入网络的接入网络信令记录,包括:
获取终端接入网络时经过所述移动边缘计算设备所管辖的不同基站后解析出的终端接入网络的接入网络信令记录;
所述接入网络信令记录包括至少一条接入网络信令信息,
所述根据所述接入网络信令记录控制所述终端接入所述网络,包括:
判断所述接入网络信令信息是否合规,
若预设时间内不合规的接入网络信令信息的数量大于等于次数阈值,则禁止所述终端接入所述网络;
所述判断所述接入网络信令信息是否合规,包括:
比对预存的网络准入信令流程与所述接入网络信令信息,
若所述接入网络信令信息符合所述网络准入信令流程,则判定所述接入网络信令信息合规,
若所述接入网络信令信息不符合所述网络准入信令流程,则判定所述接入网络信令信息不合规。
2.根据权利要求1所述的方法,其特征在于,
所述接入网络信令信息包括:基站信息、终端信息、接入信令关键字段信息和时间戳;
所述网络准入信令流程包括:网络准入信令流程中信令的先后顺序,以及关键字段数据规范。
3.根据权利要求1所述的方法,其特征在于,在根据所述接入网络信令记录控制所述终端接入所述网络之后,当所述终端成功接入所述网络后,所述方法还包括:
获取所述终端访问业务的业务访问信令记录;
比对预存的业务访问信令流程与所述业务访问信令记录中的业务访问信令信息,以判断所述业务访问信令信息是否合规;
根据不合规的业务访问信令信息的数量,控制所述终端访问所述业务。
4.一种网络安全控制装置,所述装置应用于移动边缘计算设备,其特征在于,所述装置包括:存储器,用于存储计算机可执行程序代码;收发器,以及处理器,与所述存储器和所述收发器耦合;
其中,所述收发器,用于获取终端接入网络的接入网络信令记录;
所述处理器,用于根据所述接入网络信令记录控制所述终端接入所述网络;
所述收发器,还用于:
所述获取终端接入网络的接入网络信令记录,包括:
获取终端接入网络时经过所述移动边缘计算设备所管辖的不同基站后解析出的终端接入网络的接入网络信令记录;
所述接入网络信令记录包括至少一条接入网络信令信息,
所述处理器还用于:
判断所述接入网络信令信息是否合规,
若预设时间内不合规的接入网络信令信息的数量大于等于次数阈值,则禁止所述终端接入所述网络;
所述处理器还用于:
比对预存的网络准入信令流程与所述接入网络信令信息,
若所述接入网络信令信息符合所述网络准入信令流程,则判定所述接入网络信令信息合规,
若所述接入网络信令信息不符合所述网络准入信令流程,则判定所述接入网络信令信息不合规。
5.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1-3任一项所述的方法的步骤。
6.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-3任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010382588.7A CN111698683B (zh) | 2020-05-08 | 2020-05-08 | 网络安全控制方法、装置、存储介质及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010382588.7A CN111698683B (zh) | 2020-05-08 | 2020-05-08 | 网络安全控制方法、装置、存储介质及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111698683A CN111698683A (zh) | 2020-09-22 |
CN111698683B true CN111698683B (zh) | 2021-06-18 |
Family
ID=72477333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010382588.7A Active CN111698683B (zh) | 2020-05-08 | 2020-05-08 | 网络安全控制方法、装置、存储介质及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111698683B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115278685B (zh) * | 2022-07-26 | 2023-10-31 | 上海欣诺通信技术股份有限公司 | 一种基于dpi技术的5g异常行为终端检测方法及电子设备 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100370865C (zh) * | 2004-10-22 | 2008-02-20 | 华为技术有限公司 | 一种信令跟踪方法 |
CN100499699C (zh) * | 2005-11-28 | 2009-06-10 | 华为技术有限公司 | 一种通信系统中信令信息的收集系统和方法 |
CN101877709A (zh) * | 2010-06-30 | 2010-11-03 | 北京世纪互联宽带数据中心有限公司 | 多媒体安全信令系统 |
EP3257303A1 (en) * | 2015-02-12 | 2017-12-20 | Nokia Solutions and Networks Oy | Access control to services in a network |
JP6593527B2 (ja) * | 2016-03-31 | 2019-10-23 | 日本電気株式会社 | 無線アクセスネットワークノード、外部ノード、及びこれらの方法 |
CN107302762B (zh) * | 2016-04-14 | 2019-11-19 | 大唐移动通信设备有限公司 | 一种业务访问及其控制方法、装置 |
CN107172716B (zh) * | 2017-05-11 | 2020-09-11 | 深圳市万普拉斯科技有限公司 | Lte随机接入控制方法、装置、存储介质和计算机设备 |
CN110324274B (zh) * | 2018-03-28 | 2022-05-31 | 华为技术有限公司 | 控制终端接入网络的方法及网元 |
CN110392023B (zh) * | 2018-04-20 | 2021-12-24 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法、装置、电子设备及存储介质 |
-
2020
- 2020-05-08 CN CN202010382588.7A patent/CN111698683B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111698683A (zh) | 2020-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11665592B2 (en) | Security, fraud detection, and fraud mitigation in device-assisted services systems | |
US9326173B2 (en) | Methods and apparatus for machine-to-machine based communication service classes | |
EP3267709B1 (en) | Security, fraud detection, and fraud mitigation in device-assisted services systems | |
US11968537B2 (en) | Methods and apparatuses for managing compromised communication devices in a communication network | |
MX2012013659A (es) | Servicios asistidos por dispositivo para proteger la capacidad de una red. | |
EP2939458B1 (en) | A system and method for responding to aggressive behavior associated with wireless devices | |
EP2929670B1 (en) | System to protect a mobile network | |
Sou et al. | Random packet inspection scheme for network intrusion prevention in LTE core networks | |
CN111698683B (zh) | 网络安全控制方法、装置、存储介质及计算机设备 | |
US10200866B1 (en) | Method and system for detecting and minimizing harmful network device and application behavior on cellular networks | |
WO2019202034A1 (en) | A method and apparatus for monitoring the behaviour of at least one communication device | |
CN113795002A (zh) | 垃圾短信的拦截方法、装置和计算机可读存储介质 | |
CN111698684B (zh) | 业务安全控制方法、装置及存储介质 | |
US7367055B2 (en) | Communication systems automated security detection based on protocol cause codes | |
EP3366017B1 (en) | Detection method against charging fraud | |
Michelson et al. | Interference detection and reporting in ieee 802.11 p connected vehicle networks | |
CN107086978B (zh) | 一种识别木马病毒的方法及装置 | |
US11108914B2 (en) | Method and system for revenue maximization in a communication network | |
CN111294311B (zh) | 一种防止流量欺诈的流量计费方法及系统 | |
Saputhanthri et al. | Policy framework and recommendations to minimize the usage of stolen and counterfeit or substandard mobile communication devices | |
CN106899543B (zh) | 一种内容访问控制方法及相关设备 | |
CN111294856A (zh) | 一种共享流量终端识别方法、装置、设备及可读存储介质 | |
CN114884692B (zh) | 网络访问控制方法及装置 | |
KR102366051B1 (ko) | 베이스 스테이션 및 데이터 업링크 전송 이상 검출 방법 | |
RU2747368C1 (ru) | Способ мониторинга и управления информационной безопасностью подвижной сети связи |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |