CN113114692A - 一种5g独立组网的移动网络蜜罐系统 - Google Patents
一种5g独立组网的移动网络蜜罐系统 Download PDFInfo
- Publication number
- CN113114692A CN113114692A CN202110410866.XA CN202110410866A CN113114692A CN 113114692 A CN113114692 A CN 113114692A CN 202110410866 A CN202110410866 A CN 202110410866A CN 113114692 A CN113114692 A CN 113114692A
- Authority
- CN
- China
- Prior art keywords
- signaling message
- network element
- security event
- module
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006855 networking Effects 0.000 title claims abstract description 27
- 230000011664 signaling Effects 0.000 claims abstract description 118
- 238000004088 simulation Methods 0.000 claims abstract description 71
- 238000012545 processing Methods 0.000 claims abstract description 54
- 238000004458 analytical method Methods 0.000 claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 23
- 238000007726 management method Methods 0.000 claims description 55
- 230000004044 response Effects 0.000 claims description 31
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 239000000284 extract Substances 0.000 claims description 7
- 238000013523 data management Methods 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 20
- 208000037550 Primary familial polycythemia Diseases 0.000 description 13
- 208000017693 primary familial polycythemia due to EPO receptor mutation Diseases 0.000 description 13
- 238000000034 method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 5
- 206010003671 Atrioventricular Block Diseases 0.000 description 2
- 208000010271 Heart Block Diseases 0.000 description 2
- 101100240462 Homo sapiens RASAL2 gene Proteins 0.000 description 2
- 102100035410 Ras GTPase-activating protein nGAP Human genes 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种5G独立组网的移动网络蜜罐系统,包括:5G独立组网仿真模块,用于提供不同类型的仿真网元;端口监控模块,用于对每个仿真网元的端口进行监控获取攻击客户端所发送的信令消息,并将信令消息传输给服务处理模块;服务处理模块,用于根据信令消息生成对应的安全事件,并将安全事件传输给安全事件通信管理模块;安全事件通信管理模块,用于将安全事件在安全分析平台进行发布。通过5G独立组网的移动网络蜜罐系统伪装成正常运行的网元诱骗攻击者进行入侵,获取攻击者的网络信息,根据攻击者的信令消息生成安全事件发布到安全分析平台,以对攻击者的特性进行分析,便于用户根据分析结果采取相应的安全防御措施。
Description
技术领域
本发明实施例涉及5G通信领域,尤其涉及一种5G独立组网的移动网络蜜罐系统。
背景技术
随着5G独立组网,即5G SA核心网的建设商用,5G SA核心网网元虚拟化以及可以直面用户直接连接访问,导致5G SA核心网面临新的安全风险,包括:信令安全、用户访问安全及5G部署的云安全等问题。
5G核心网的安全主要涉及在移动网络面向边缘应用连接而导致的信令攻击等问题,同时5G SA核心网网元的虚拟化,作为IT设备,是可被访问的,很容易造成渗透攻击和利用攻击,因此网络面临着各类安全攻击风险。
发明内容
本发明实施例提供了一种5G独立组网的移动网络蜜罐系统,以伪装成正常运行的网元诱骗攻击者进行入侵,根据攻击者的特性采取相应的安全防御措施。
本发明实施例提供了一种5G独立组网的移动网络蜜罐系统,包括:服务处理模块、与服务处理模块分别连接的5G独立组网仿真模块、端口监控模块和安全事件通信管理模块;
5G独立组网仿真模块,用于提供不同类型的仿真网元;
端口监控模块,用于对每个仿真网元的端口进行监控获取攻击客户端所发送的信令消息,并将信令消息传输给服务处理模块;
服务处理模块,用于根据信令消息生成对应的安全事件,并将安全事件传输给安全事件通信管理模块;
安全事件通信管理模块,用于将安全事件在安全分析平台进行发布。
本发明实施例的技术方案,通过5G独立组网的移动网络蜜罐系统伪装成正常运行的网元,诱骗攻击者进行入侵,进而获取攻击者的网络信息,并根据所截取的攻击者的信令消息生成安全事件发布到安全分析平台,从而对攻击者的特性进行分析,便于用户根据分析结果采取相应的安全防御措施,以降低网络安全攻击风险。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施例一提供5G独立组网的移动网络蜜罐系统的结构示意图;
图2是本发明实施一提供的安全事件通信管理模块的工作原理示意图;
图3是本发明实施例一提供的SCTP协议承载的信令消息进行安全事件发布的工作原理示意图;
图4是本发明实施例一提供的UDP协议承载的信令消息进行安全事件发布的工作原理示意图;
图5是本发明实施例一提供的会话管理模块对SCTP/TCP协议承载的信令消息获取会话ID的工作原理示意图;
图6是本发明实施一提供的会话管理模块对SCTP/TCP协议承载的信令消息获取会话ID进行删除的工作原理示意图;
图7是本发明实施例一提供的会话管理模块对UDP协议承载的信令消息获取会话ID的工作原理示意图;
图8是本发明实施例一提供的会话管理模块对UDP协议承载的信令消息获取会话ID进行删除的工作原理示意图;
图9是本发明实施例二提供的基于5G独立组网仿真模块中的仿真网元生成与信令消息所对应的响应消息的时序图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、软件实现、硬件实现等等。
实施例一
图1是本发明实施例一提供的5G独立组网的移动网络蜜罐系统的结构示意图,该系统具体包括:服务处理模块14、与服务处理模块14分别连接的5G独立组网仿真模块12、端口监控模块11和安全事件通信管理模块15。
其中,5G独立组网仿真模块12,用于提供不同类型的仿真网元;端口监控模块11,用于对每个仿真网元的端口进行监控获取攻击客户端所发送的信令消息,并将信令消息传输给服务处理模块;服务处理模块14,用于根据信令消息生成对应的安全事件,并将安全事件传输给安全事件通信管理模块;安全事件通信管理模块15,用于将安全事件在安全分析平台进行发布。
可选的,系统还包括与端口监控模块11和服务处理模块14分别连接的协议解析模块13,以及与服务处理模块连接的会话管理模块16。协议解析模块13,用于对端口监控模块11所获取的信令消息进行解析获取解析结果,并将解析结果发送给服务处理模块14。服务处理模块14,用于通过调用会话管理模块16获取信令消息会话标识,并根据解析结果和信令消息会话标识生成安全事件。
其中,5G独立组网仿真模块12中所提供的仿真网元包括:仿真接入及移动性管理功能(Access and Mobility Management Function,AMF)网元、仿真会话管理功能(Session Management Function,SMF)网元、仿真用户平面功能(User Plane Function,UPF)网元,统一数据管理(Unified Data Management,UDM)网元、仿真鉴权服务功能(Authentication Server Function,AUSF)网元、仿真网络切片选择功能(Network SliceSelection Function,NSSF)网元、仿真策略控制功能(Policy Control function,PCF)网元、仿真统一数据仓库功能(Unified Data Repository,UDR)网元和仿真网元数据仓库功能(Repository Function,NRF)网元。当然,本实施方式中仅是举例说明,而并不对5G独立组网仿真模块12中所提供的仿真网元的具体类型进行限定。
需要说明的是,本实施方式中端口监控模块在对每个仿真网元的接口进行监控时,通过每个仿真网元的端口所获取的信令消息所对应的承载协议是存在区别的,例如,通过仿真AMF网元的端口获取的信令消息所对应的承载协议包括SCTP协议;通过仿真UPF网元的端口获取的信令消息所对应的承载协议包括UDP协议;通过仿真SMF网元、仿真AUSF网元、仿真NSSF网元、仿真PCF网元、仿真UDM网元、仿真UDR网元或仿真NRF网元的端口获取的信令消息所对应的承载协议包括TCP协议。
其中,攻击者客户端所发送的信令消息包括连接信令消息、断开信令消息或业务信令信息。例如,针对AMF网元所获取的信令消息包括SCTP协议承载的连接消息、SCTP协议承载的断开信令消息或SCTP协议承载的业务信令消息。
具体的说,协议解析模块13对端口监控模块11所获取的信令消息进行解析获取解析结果,而解析结果中可以包括信令消息所对应承载协议的关键字段,例如,协议版本、协议长度和操作码等,并将解析结果发送给服务处理模块14,本实施方式中并不对解析结果中所包含的关键字段的具体内容进行限定。
可选的,服务处理模块,用于根据关键字段确定信令消息包括连接信令消息,则提取连接信令消息的IP五元组,并根据IP五元组和信令消息会话标识生成连接安全事件,其中,IP五元组包括:源IP、源端口、目的IP和目的端口。
服务处理模块,用于根据关键字段确定信令消息包括断开信令消息,则提取断开信令消息的IP五元组,并根据IP五元组和信令消息会话标识生成断开安全事件。
服务处理模块,用于根据关键字段确定信令消息包括非法的业务信令消息,则提取非法的信令消息的IP五元组、错误码和错误字段,并根据IP五元组、错误码、错误字段和信令消息会话标识生成异常业务安全事件。
服务处理模块,用于根据关键字段确定信令消息包括合法的业务信令消息,则提取合法的信令消息的IP五元组、消息操作码和消息原始码流,并根据IP五元组、消息操作码、消息原始码流和信令消息会话标识生成正常业务安全事件。
可选的,安全事件通信管理模块15还用于,与所述安全分析平台建立通信连接,并采用预先设置的连接安全事件接口将连接安全事件传输到安全分析平台进行发布;采用预先设置的断开安全事件接口将断开安全事件传输到安全分析平台进行发布;采用预先设置的异常信令安全事件接口将异常业务安全事件传输到安全分析平台进行发布;采用预先设置的正常信令安全事件接口将正常业务安全事件传输到安全分析平台进行发布。
在一个具体实现中,如图2所示为安全事件通信管理模块的工作原理示意图,如图2所示,安全事件通信管理模块在进行安全事件的发布时主要包括如下步骤:
步骤S101,安全事件通信管理模块读取配置文件,初始化蜜罐服务标识。
其中,安全事件通信管理模块在进行安全事件发布之前进行初始化,具体是通过读取预先设置的配置文件,初始化蜜罐服务标识,而每个服务标识分别对应一个仿真网元,例如,在安全事件通信模块中针对仿真AMF网元所对应的标识为001、仿真SMF网元所对应的标识为002,并且在每个服务标识下又对应多个服务类型,在服务标识001下所对应的服务类型包括断开服务、连接服务、正常业务服务和异常业务服务等。
步骤S102,通过MQTT协议与安全分析平台建立通信连接。
其中,具体可以通过消息队列遥测传输(Message Queuing TelemetryTransport,MQTT)协议与安全分析平台建立通信连接。
步骤S103,提供安全事件接口。
其中,安全事件通信管理模块会为不同类型的安全事件建立接口函数,以提供安全事件接口,例如连接/断开安全事件接口、异常业务安全事件接口和正常业务安全事件接口。
步骤S1041,获取服务处理模块针对连接/断开信令通过提取安全事件时间、事件类型、获取会话ID,所生成的连接/断开安全事件。
安全事件通信管理模块在初始化完成,以及接口设置完成的情况下,会通过连接/断开事件接口获取服务处理模块所生成的连接/断开安全事件。
步骤S1042,获取服务处理模块针对异常业务信令通过提取安全事件时间、事件类型、错误码、错误字段、获取会话ID,所生成的异常业务安全事件。
安全事件通信管理模块在初始化完成,以及接口设置完成的情况下,会通过异常业务安全事件接口获取服务处理模块所生成的异常业务安全事件。
步骤S1043,获取服务处理模块针对正常业务信令通过提取安全事件时间、事件类型、消息操作码、消息原始码流、获取会话ID,所生成的正常业务安全事件。
安全事件通信管理模块在初始化完成,以及接口设置完成的情况下,会通过正常业务安全事件接口获取服务处理模块所生成的正常业务安全事件。
步骤S105,通过MQTT协议分布到进行订阅的安全分析平台。
其中,安全事件通信管理模块会将通过不同接口所获取的不同类型的安全事件通过MQTT协议分布到进行订阅的安全分析平台,以使管理平台的用户可以及时获取到攻击者所发送的信令特性,并根据攻击者所发送的信令特性采取相应的安全防御措施,以增加5G独立组网的安全性。
在一个具体实现中,如图3所示为SCTP协议承载的信令消息进行安全事件发布的工作原理示意图,如图3所示主要包括步骤S201至步骤S2038。
其中,本实施方式主要是针对仿真AMF网元端口所获取的信令消息,在确定信令消息为SCTP连接时执行第一个分支即步骤S2021至步骤S2023:
步骤S2021,提取IP五元组。
具体的说,端口检测模块在检测到SCTP连接时,会记录连接标识socketid,并且会通过协议解析模块对SCTP连接进行解析获得包含协议版本、协议长度和操作码的解析结果,而服务处理模块户根据解析结果进行IP五元组的提取,其中IP五元组包括:源IP、源端口、目的IP和目的端口。
步骤S2022,创建会话ID。
其中,服务处理模块会根据所提取的IP五元组通过调用会话管理模块创建会话ID,另外还会获取事件产生的时间等。
步骤S2023,产生SCTP连接安全事件。
其中,服务处理模块会根据所提取的IP五元组、所创建的会话ID产生移动蜜罐服务的SCTP连接安全事件,并将所获取的连接安全事件通过安全事件通信管理模块在安全分析平台进行发布。
在确定信令消息为业务消息时,执行第二个分支即步骤S2031至步骤S2038:
步骤S2031,提取IP五元组。
步骤S2032,根据IP五元组获取会话ID。
步骤S2033,提取操作码。
具体的说,SCTP协议承载的通过仿真AMF网元的N2接口所获取的业务消息中所包含的具体可以是NGAP协议消息,服务处理模块会从协议解析模块所传输的解析结果中提取操作码。
其中,仿真AMF网元蜜罐服务所对应的操作码可以包括:NGSetup request、Registration Request、Authentication Request、Authentication Response、Securitymode command、security mode complete、InitialUEMessage、InitialContextSetupRequest、DownlinkNASTransport、UplinkNASTransport、Registration accept、session establishment Request、PathSwitchRequest、UEContextReleaseRequest、HandoverRequest或Handover cancel等,本实施方式中并不对AMF网元蜜罐服务所对应的操作码的具体类型进行限定。
步骤S2034,判断操作码是否合法,若是,则执行步骤S2035,否则执行步骤S2037。
其中,在提取到操作码后,会对所提起的操作码的合法性进行判断,如果所提取的操作码属于仿真AMF网元蜜罐服务所对应的操作码,则确定所提取的操作码合法,否则确定所提取的操作码不合法。
步骤S2035,提取消息原始码流。
其中,在确定操作码合法的情况下,会提取消息原始码流,即操作码中所包含的具体信息。
步骤S2036,产生正常业务安全事件。
其中,服务处理模块会根据所提取的IP五元组、所创建的会话ID以及原始码流产生移动蜜罐服务的SCTP正常业务安全事件,并将所获取的正常业务安全事件通过安全事件通信管理模块在安全分析平台进行发布。
步骤S2037,提取错误码、错误字段。
步骤S2038,产生异常业务安全事件。
其中,服务处理模块会根据所提取的IP五元组、所创建的会话ID、错误码以及错误字段产生移动蜜罐服务的SCTP异常业务安全事件,并将所获取的异常业务安全事件通过安全事件通信管理模块在安全分析平台进行发布。
在确定信令消息为SCTP断开时执行第三个分支即步骤S2041至步骤S2043:
步骤S2041,提取IP五元组。
步骤S2042,根据IP五元组获取会话ID。
步骤S2043,产生SCTP断开事件。
其中,服务处理模块会根据所提取的IP五元组、所创建的会话ID产生移动蜜罐服务的SCTP断开安全事件,并将所获取的断开安全事件通过安全事件通信管理模块在安全分析平台进行发布。
需要说明的是,服务处理模块在确定为SCTP断开安全事件时,还会调用会话管理模块将会话ID进行释放。另外,TCP协议承载的信令消息进行安全事件发布的工作原理示意图与图3的流程大致相同,因此本实施方式中不再进行赘述。
在一个具体实现中,如图4所示为UDP协议承载的信令消息进行安全事件发布的工作原理示意图,如图4所示主要包括步骤S301至步骤S309:
其中,本实施方式中主要针对仿真UPF网元端口所获取的信令消息,并且针对UPF网元端口所获取的信令消息中仅包含业务消息,不包含连接消息和断开消息。
步骤S301,端口监控。
步骤S302,业务消息。
步骤S303,提取IP五元组。
具体的说,其中,端口检测模块在检测到业务消息时,会记录连接标识socketid,并且会通过协议解析模块对业务消息进行解析获得包含协议版本、协议长度和操作码的解析结果,而服务处理模块户根据解析结果进行IP五元组的提取,其中IP五元组包括:源IP、源端口、目的IP和目的端口。
步骤S304,根据IP五元组获取会话ID。
其中,服务处理模块会根据所提取的IP五元组通过调用会话管理模块获取会话ID,另外还会获取事件产生的时间等。
步骤S305,判断协议版本是否合法,若是,则执行步骤S306,否则执行步骤S310。
其中,由于针对仿真UPF网元有对应的协议版本,当确定协议版本不适用于仿真UPF网元,则确定不合法,此时会设置原因为PFCP协议非法,否则确定合法。
步骤S306,判断协议长度是否合法,若是,则执行步骤S307,否则执行步骤S310。
其中,在协议版本合法的情况,即确定协议版本适用于仿真UPF网元时,协议长度会有指定的范围,如果超出指定的范围则确定协议长度非法,此时会设置原因为PFCP协议长度非法,否则确定合法。
步骤S307,判断操作码是否合法,若是,则执行步骤S308,否则执行步骤S310。
其中,仿真UPF网元蜜罐服务所对应的操作码可以包括:PFCP HeartbeatRequest、PFCP Heartbeat Response、PFCP Association Setup Request、PFCPAssociation Setup Response、PFCP Association Update Request、PFCP AssociationUpdate Response、PFCP Association Release Request、PFCP Association ReleaseResponse、PFCP Version Not Supported Response、PFCP Node Report Response、PFCPSession Establishment Request、PFCP Session Establishment Response、PFCPSession Modification Request、PFCP Session Modification Response、PFCP SessionDeletion Request或PFCP Session Deletion Response等,本实施方式中并不对UPF网元蜜罐服务所对应的操作码的具体类型进行限定。
其中,在提取到操作码后,会对所提起的操作码的合法性进行判断,如果所提取的操作码属于仿真UPF网元蜜罐服务所对应的操作码,则确定所提取的操作码合法,否则确定所提取的操作码不合法。
步骤S308,提取消息原始码流。
其中,在确定操作码合法的情况下,会从操作码中提取消息原始码流,即操作码中所包含的具体信息。
步骤S309,产生正常业务安全事件。
其中,服务处理模块会根据所提取的IP五元组、所获取的会话ID以及原始码流产生移动蜜罐服务的UDP正常业务安全事件,并将所获取的UDP正常业务安全事件通过安全事件通信管理模块在安全分析平台进行发布。
步骤S310,提取错误码、错误字段。
步骤S311,产生异常业务安全事件。
其中,服务处理模块会根据所提取的IP五元组、所获取的会话ID以及原始码流产生移动蜜罐服务的UDP异常业务安全事件,并将所获取的UDP异常业务安全事件通过安全事件通信管理模块在安全分析平台进行发布。
在一个具体实现中,如图5所示为会话管理模块对SCTP/TCP协议承载的信令消息获取会话ID的工作原理示意图,前述的图2至图4仅介绍服务处理模块通过调用会话管理模块获取会话ID,而该实施例则对具体获取过程进行具体说明。如图5所示主要包括步骤S401至步骤S404:
步骤S401,初始化会话列表。
其中,会话管理模块会执行初始化会话列表,在会话列表中会包含连接标识socketid、协议类型prototype、源IP SrcIP、源端口SrcPort、目的IP DstIP和目的端口DstPort等关键字段。
步骤S402,提取SCTP/TCP协议承载的连接信令消息中的IP五元组。
其中,服务处理模块在获取到SCTP/TCP协议承载的连接信令消息时,会提取消息中所包含的IP五元组的具体数值,并将IP五元组的具体数值传输给会话管理模块。
步骤S403,根据IP五元组生成会话ID。
其中,会话管理模块在获取到服务处理模块所提取的IP五元组后会通过计算生成一个会话ID,本实施方式中并不限定计算的具体方式,只要能够获取到与IP五元组所对应的会话ID都是在本申请的保护范围内,本实施方式并不对其进行限定。
步骤S404,查找会话列表空闲节点,并将会话ID在空闲节点进行记录
其中,会话管理模块会查找会话列表中的空闲节点,并将IP五元组的具体数值,以及所对应的会话ID在所查找到的空间节点中进行记录,从而保证同一个IP五元组会话所对应的会话ID是相同的。
在一个具体实现中,如图6所示为SCTP/TCP协议承载的信令消息获取会话ID进行删除的工作原理示意图,如图6所示主要包括步骤S501至步骤S503:
步骤S501,提取SCTP/TCP协议承载的断开信令消息中的IP五元组。
步骤S502,根据IP五元组查找会话列表中会话节点。
其中,由于在获取到SCTP/TCP协议承载的断开信令消息之前,必定先接收到了SCTP/TCP协议承载的连接信令消息,并已通过初始化话创建了会话列表,则此时会根据IP五元组查找会话列表中的会话节点,在该会话节点中包含所提取的IP五元组,以及所对应的会话ID。
步骤S503,删除所查找的会话节点中的会话ID。
其中,会话管理模块会删除会话列表中的节点数据,以完成对所查找的会话节点中会话ID的删除操作。
在一个具体实现中,如图7所示为会话管理模块对UDP协议承载的信令消息获取会话ID的工作原理示意图,如图7所示主要包括步骤S601至步骤S605。
步骤S601,初始化会话列表。
步骤S602,提取UDP协议承载的业务信令消息中的IP五元组。
步骤S603,IP五元组是否存在会话列表中,若是,则执行步骤S605,否则执行步骤S604。
步骤S604,根据IP五元组生成会话ID。
其中,在根据IP五元组生成会话ID的同时,还会将创建的时间,即开始时间保存在会话列表中。
步骤S605,从会话列表中直接获取IP五元组所对应的会话ID。
在一个具体实现中,如图8所示为会话管理模块对UDP协议承载的信令消息获取会话ID进行删除的工作原理示意图,如图8所示主要包括步骤S701至步骤S709。
步骤S701,定时器开始。
步骤S702,扫描会话列表。
步骤S703,判断连接标识是否为0,若是,则执行步骤S704,否则执行步骤S705。
其中连接标识sockid为0则标识当前的节点是空闲节点,因此在确定当前节点为空闲节点时会执行步骤S704。
步骤S704,扫描下一个会话。
步骤S705,判断当前时间-开始时间是否超过了60秒,若是,则执行步骤S706,否则执行步骤S707。
其中,在确定当前节点不是空闲节点时,则确定当前时间是否达到了超时时长,本实施方式中以当前时间-开始时间的差值大于60秒,则确定为达到了超时时长。
步骤S706,释放会话ID。
在确定当前时间达到了超时时长时,则会释放会话ID,并设置该节点为空闲节点。
步骤S707,判断当前时间-结束时间是否超过了300秒,若是,则执行步骤S708,否则执行步骤S709。
其中,在确定当前时间未达到了超时时长时,则进一步判断当前时间是否达到了最大保持时长,本实施方式中以当前时间-结束时间的差值大于300秒,则确定为达到了最大保持时长。
步骤S708,释放会话ID。
在确定当前时间达到了最大保持时长时,则会释放会话ID,并设置该节点为空闲节点。
步骤S709,定时器结束。
本发明实施例的技术方案,通过5G独立组网的移动网络蜜罐系统伪装成正常运行的网元诱骗攻击者进行入侵,获取攻击者的网络信息,根据攻击者的信令消息生成安全事件发布到安全分析平台,以对攻击者的特性进行分析,便于用户根据分析结果采取相应的安全防御措施。
实施例二
图3是本发明实施例二提供的基于5G独立组网仿真模块中的仿真网元生成与信令消息所对应的响应消息的时序图,本实施例具体对5G独立组网仿真模块的工作原理进行具体说明。
可选的,服务处理模块,还用于将信令消息传输给5G独立组网仿真模块;5G独立组网仿真模块,用于基于仿真网元生成与信令消息所对应的响应消息,并将响应消息反馈给攻击客户端。
可选的,应消息包括注册响应消息、鉴权认证响应消息、加密安全通道建立响应消息或会话建立响应消息。
需要说明的是,本实施方式中5G独立组网的移动网络蜜罐系统不仅可以伪装成正常运行的网元诱骗攻击者进行入侵,获取攻击者的网络信息,根据攻击者的信令消息生成安全事件发布到安全分析平台,而且还可以基于仿真网元生成与信令消息所对应的响应消息,并将所述响应消息反馈给所述攻击客户端,以诱骗攻击者所攻击的是真实的网元。如图9所示主要是在获取到攻击者所发送的注册请求,并通过5G独立组网仿真模块向攻击者进行注册响应的时序图,包括:
1.1用户注册请求
攻击者NG-RAN终端发起的用户注册请求具体可以是标准的INIT UE MESSAGE消息,经过NGAP解码后发送给仿真AMF网元。
1.2判断用户是否存在
仿真AMF网元在接收到用户注册请求后会向仿真AUSF网元发送鉴权请求消息,以判断用户是否存在。
1.3获取用户信息
仿真AUSF网元会通过仿真UDM网元向仿真UDR网元所要用户信息。
1.4a用户不存在
在确定用户不存在的情况下,仿真AUSF网元会向仿真AMF网元发送用户不存在的消息。
1.5a注册失败
仿真AMF网元会向攻击者发送注册失败响应消息,具体可以是REGISTRATIONREJECT消息,注册结束。
1.4b用户存在(获取鉴权参数)
在确定用户存在的情况下,仿真AUSF网元会向仿真AMF网元发送携带鉴权参数的用户存在消息。其中,鉴权参数具体可以是用户身份标识,如国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、用户终端标识,如国际移动设备识别码(International Mobile Equipment Identity,IMEI)等,本实施方式中并不限定鉴权参数的具体类型。
1.5b携带鉴权参数的用户信息
仿真AMF网元会将携带鉴权参数的用户存在消息发送给攻击者终端。
1.6鉴权响应(包含反馈的鉴权码)
攻击者终端会根据鉴权参数计算出反馈的鉴权码,并将反馈的鉴权码作为鉴权响应发送给仿真AMF网元。其中,根据鉴权参数计算出反馈的鉴权码的具体算法本实施方式中并不进行限定。
1.7用户鉴权确认
仿真AMF网元会根据反馈的鉴权码向仿真AUSF网元发送用户鉴权去人消息。仿真AUSF网元会根据鉴权参数计算出计算的鉴权码,并将自身所获得的计算的鉴权码与所接收到的反馈的鉴权码进行对比,如果相同则确定用户鉴权成功,如果不相同则确定用户鉴权失败。
1.8记录用户鉴权结果
仿真AUSF网元会将所获取的鉴权结果发送给仿真UDR网元进行保存。
1.9用户鉴权成功
在鉴权结果为用户鉴权成功时,仿真AUSF网元会将用户鉴权成功消息发送给仿真AMF网元。
2.0建立安全模式命令消息
仿真AMF网元根据鉴权成功消息会触发向攻击者终端发送建立安全模式命令消息。
2.1安全模式建立响应
仿真AMF网元会接收攻击者客户端发送的安全模式建立响应,已完成加密安全通道的建立。
2.2获取用户签约信息
仿真AMF网元会向仿真UDM网元索要用户签约信息。
2.3获取用户策略信息
仿真AMF网元还会向仿真PCF网元索要用户策略信息。
2.4用户注册接收
仿真AMF网元根据所获取的用户签约信息和用户策略信息通知攻击者客户端注册接收。
2.5用户注册完成
接收攻击者客户端返回的用户注册完成消息。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种5G独立组网的移动网络蜜罐系统,其特征在于,包括:服务处理模块、与所述服务处理模块分别连接的5G独立组网仿真模块、端口监控模块和安全事件通信管理模块;
所述5G独立组网仿真模块,用于提供不同类型的仿真网元;
所述端口监控模块,用于对每个所述仿真网元的端口进行监控获取攻击客户端所发送的信令消息,并将所述信令消息传输给所述服务处理模块;
所述服务处理模块,用于根据所述信令消息生成对应的安全事件,并将所述安全事件传输给所述安全事件通信管理模块;
所述安全事件通信管理模块,用于将所述安全事件在安全分析平台进行发布。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括与所述端口监控模块和所述服务处理模块分别连接的协议解析模块,以及与所述服务处理模块连接的会话管理模块;
所述协议解析模块,用于对所述端口监控模块所获取的信令消息进行解析获取解析结果,并将所述解析结果发送给所述服务处理模块;
所述服务处理模块,用于通过调用所述会话管理模块获取信令消息会话标识,并根据所述解析结果和所述信令消息会话标识生成所述安全事件。
3.根据权利要求1所述的系统,其特征在于,所述服务处理模块,还用于将所述信令消息传输给所述5G独立组网仿真模块;
所述5G独立组网仿真模块,用于基于所述仿真网元生成与所述信令消息所对应的响应消息,并将所述响应消息反馈给所述攻击客户端。
4.根据权利要求3所述的系统,其特征在于,所述响应消息包括注册响应消息、鉴权认证响应消息、加密安全通道建立响应消息或会话建立响应消息。
5.根据权利要求1所述的系统,其特征在于,所述仿真网元包括:仿真接入及移动性管理功能AMF网元、仿真会话管理功能SMF网元、仿真用户平面功能UPF网元、仿真鉴权服务功能AUSF网元、仿真网络切片选择功能NSSF网元、仿真策略控制功能PCF网元、仿真统一数据管理UDM网元、仿真统一数据仓库功能UDR网元和仿真网元数据仓库功能NRF网元。
6.根据权利要求5所述的系统,其特征在于,所述端口监控模块通过所述仿真AMF网元的端口获取的信令消息所对应的承载协议包括SCTP协议;
所述端口监控模块通过所述仿真UPF网元的端口获取的信令消息所对应的承载协议包括UDP协议;
所述端口监控模块通过所述仿真SMF网元、所述仿真AUSF网元、所述仿真NSSF网元、所述仿真PCF网元、所述仿真UDM网元、所述仿真UDR网元或所述仿真NRF网元的端口获取的信令消息所对应的承载协议包括TCP协议。
7.根据权利要求2所述的系统,其特征在于,所述信令消息包括连接信令消息、断开信令消息或业务信令信息。
8.根据权利要求7所述的系统,其特征在于,所述解析结果包括所述信令消息所对应承载协议的关键字段,其中,所述关键字段包括协议版本、协议长度和操作码。
9.根据权利要求8所述的系统,其特征在于,所述服务处理模块,用于根据所述关键字段确定所述信令消息包括连接信令消息,则提取所述连接信令消息的IP五元组,并根据所述IP五元组和所述信令消息会话标识生成连接安全事件,其中,所述IP五元组包括:源IP、源端口、目的IP和目的端口;
所述服务处理模块,用于根据所述关键字段确定所述信令消息包括断开信令消息,则提取所述断开信令消息的IP五元组,并根据所述IP五元组和所述信令消息会话标识生成断开安全事件;
所述服务处理模块,用于根据所述关键字段确定所述信令消息包括非法的业务信令消息,则提取所述非法的信令消息的IP五元组、错误码和错误字段,并根据所述IP五元组、错误码、所述错误字段和所述信令消息会话标识生成异常业务安全事件;
所述服务处理模块,用于根据所述关键字段确定所述信令消息包括合法的业务信令消息,则提取所述合法的信令消息的IP五元组、消息操作码和消息原始码流,并根据所述IP五元组、所述消息操作码、所述消息原始码流和所述信令消息会话标识生成正常业务安全事件。
10.根据权利要求9所述的系统,其特征在于,所述安全事件通信管理模块还用于,与所述安全分析平台建立通信连接,并采用预先设置的连接安全事件接口将所述连接安全事件传输到所述安全分析平台进行发布;
采用预先设置的断开安全事件接口将所述断开安全事件传输到所述安全分析平台进行发布;
采用预先设置的异常信令安全事件接口将所述异常业务安全事件传输到所述安全分析平台进行发布;
采用预先设置的正常信令安全事件接口将所述正常业务安全事件传输到所述安全分析平台进行发布。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110410866.XA CN113114692A (zh) | 2021-04-16 | 2021-04-16 | 一种5g独立组网的移动网络蜜罐系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110410866.XA CN113114692A (zh) | 2021-04-16 | 2021-04-16 | 一种5g独立组网的移动网络蜜罐系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113114692A true CN113114692A (zh) | 2021-07-13 |
Family
ID=76717986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110410866.XA Pending CN113114692A (zh) | 2021-04-16 | 2021-04-16 | 一种5g独立组网的移动网络蜜罐系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113114692A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023098341A1 (zh) * | 2021-11-30 | 2023-06-08 | 中兴通讯股份有限公司 | 异常信令的管控方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128543A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| US20190380037A1 (en) * | 2017-06-27 | 2019-12-12 | Allot Communications Ltd. | System, Device, and Method of Detecting, Mitigating and Isolating a Signaling Storm |
| CN111641951A (zh) * | 2020-04-30 | 2020-09-08 | 中国移动通信集团有限公司 | 一种基于sa架构的5g网络apt攻击溯源方法及系统 |
| CN112333203A (zh) * | 2020-11-26 | 2021-02-05 | 哈尔滨工程大学 | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 |
| CN112543198A (zh) * | 2020-12-03 | 2021-03-23 | 恒安嘉新(北京)科技股份公司 | 一种蜜罐监测方法、蜜罐核心网元、设备及存储介质 |
-
2021
- 2021-04-16 CN CN202110410866.XA patent/CN113114692A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128543A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| US20190380037A1 (en) * | 2017-06-27 | 2019-12-12 | Allot Communications Ltd. | System, Device, and Method of Detecting, Mitigating and Isolating a Signaling Storm |
| CN111641951A (zh) * | 2020-04-30 | 2020-09-08 | 中国移动通信集团有限公司 | 一种基于sa架构的5g网络apt攻击溯源方法及系统 |
| CN112333203A (zh) * | 2020-11-26 | 2021-02-05 | 哈尔滨工程大学 | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 |
| CN112543198A (zh) * | 2020-12-03 | 2021-03-23 | 恒安嘉新(北京)科技股份公司 | 一种蜜罐监测方法、蜜罐核心网元、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 张宝全等: "基于蜜罐技术的DDoS攻击防御研究", 《软件》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023098341A1 (zh) * | 2021-11-30 | 2023-06-08 | 中兴通讯股份有限公司 | 异常信令的管控方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103747535B (zh) | 一种capwap控制通道的恢复方法、装置及系统 | |
| CN112543198B (zh) | 一种蜜罐监测方法、蜜罐核心网元、设备及存储介质 | |
| CN105828413A (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| CN102685147B (zh) | 一种移动通信蜜罐捕获系统及其实现方法 | |
| CN105072132A (zh) | 验证方法、验证系统和通信设备 | |
| CN105611533B (zh) | 完整性校验码mic检查方法及装置 | |
| CN113114692A (zh) | 一种5g独立组网的移动网络蜜罐系统 | |
| CN112118600B (zh) | 一种5g独立组网sa架构下的流量牵引系统 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN113396600B (zh) | 信息验证方法、装置、设备及存储介质 | |
| WO2012000361A1 (zh) | 一种跟踪用户设备国际移动设备身份的方法及其无线网络控制器 | |
| CN102685746A (zh) | 一种对移动设备验证的方法、装置及系统 | |
| CN111669750B (zh) | 一种pdu会话二次验证的方法及装置 | |
| CN101699905A (zh) | 无线智能终端、网管平台及其对无线智能终端的管理方法 | |
| CN114762372A (zh) | 通信方法、装置及系统 | |
| CN112838933B (zh) | 一种网络流量分析中的信息同步方法、设备及存储介质 | |
| CN106571937A (zh) | 路由器、移动终端及告警信息发送和接收的方法 | |
| CN110545253A (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
| CN108990052B (zh) | Wpa2协议脆弱性的检测方法 | |
| CN101123538B (zh) | 无线局域网通信接口的远程加密监管方法 | |
| CN110839231B (zh) | 一种获取终端标识的方法和设备 | |
| CN113141328B (zh) | 终端的业务注册方法和系统 | |
| CN113596147A (zh) | 消息推送方法、装置、设备与存储介质 | |
| WO2023213133A1 (zh) | 一种通信方法和装置 | |
| CN110912871A (zh) | 一种低功耗物联网防止入网攻击的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210713 |