CN114339767A

CN114339767A - 一种信令检测方法、装置、电子设备及存储介质

Info

Publication number: CN114339767A
Application number: CN202111653484.6A
Authority: CN
Inventors: 马洪彬; 袁林; 傅强; 阿曼太; 窦晶; 邸学锋; 智斌; 姜双双; 贾立军; 米胜山; 范晓波; 张赫男; 刘道林; 梁彧; 周忠义; 蔡琳; 杨满智; 王杰; 田野; 金红
Original assignee: Eversec Beijing Technology Co Ltd
Current assignee: Eversec Beijing Technology Co Ltd
Priority date: 2021-12-30
Filing date: 2021-12-30
Publication date: 2022-04-12
Anticipated expiration: 2041-12-30
Also published as: CN114339767B

Abstract

本发明实施例公开了一种信令检测方法、装置、电子设备及存储介质。所述信令检测方法，包括：获取待处理信令数据；确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。本发明实施例的技术方案能够提升异常信令的识别率，进而提高通信的安全性。

Description

一种信令检测方法、装置、电子设备及存储介质

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种信令检测方法、装置、电子设备及存储介质。

背景技术

随着通信技术的发展，移动通信网络的功能也越来越丰富，为大家的日常生活提供了很大便利，但充斥于移动通信网络中的信令攻击事件会造成用户信息泄露以及无法正常通信等隐患，使作为移动通信网络研究的重要组成部分的信令安全检测成为了研究热点。

由于移动网络构架的复杂度的提升，构成移动通信网络的网元的数量也在不断增加。当多个网元属于不同运营商时，攻击者可能对网元协议层的信令内容进行修改，造成安全通信隐患，而该类安全通信隐患又存在不易识别的问题。

发明内容

本发明实施例提供一种信令检测方法、装置、电子设备及存储介质，能够提升异常信令的识别率，进而提高通信的安全性。

第一方面，本发明实施例提供了一种信令检测方法，包括：

获取待处理信令数据；

确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；

根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

第二方面，本发明实施例还提供了一种信令检测装置，包括：

待处理信令数据获取模块，用于获取待处理信令数据；

目标数据确定模块，用于确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；

异常信令检测模块，用于根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

第三方面，本发明实施例还提供了一种电子设备，所述电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明任意实施例所提供的信令检测方法。

第四方面，本发明实施例还提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明任意实施例所提供的信令检测方法。

本实施例的技术方案，通过获取待处理信令数据，进一步确定包括目标网元数据库以及网元信息关系表的目标网元关联数据以及归属网元路由数据，进而根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。由于目标网元数据库、网元信息关系表以及归属网元路由数据均为与正常网元关联的数据，因此根据包括目标网元数据库和网元信息关系表的目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测，可以有效识别攻击者通过修改网元信令进行网络攻击的行为，解决了现有技术中攻击者通过网元协议层的信令修改进行网络攻击而导致的安全通信隐患不易识别的问题，能够提升异常信令的识别率，进而提高通信的安全性。

附图说明

图1是本发明实施例一提供的一种信令检测方法的流程图；

图2是本发明实施例二提供的一种信令检测方法的流程图；

图3是本发明实施例三提供一种4G信令检测系统的示意图；

图4是本发明实施例三提供的一种信令检测系的部署位置的示意图；

图5是本发明实施例三提供的一种4G信令检测组网逻辑示意图；

图6是本发明实施例三提供的一种信令检测系统的检测简易逻辑的流程图；

图7是本发明实施例三提供的一种信令检测系统的检测逻辑的流程图；

图8是本发明实施例三提供的一种异常信令的预警与检测的流程示意图；

图9是本发明实施例三提供的一种安全态势分析模块的功能结构示意图；

图10是本发明实施例四提供的一种信令检测装置的示意图；

图11为本发明实施例五提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。

另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1是本发明实施例一提供的一种信令检测方法的流程图，本实施例可适用于准确识别异常信令的情况，该方法可以由信令检测装置来执行，该装置可以由软件和/或硬件的方式来实现，并一般可集成在电子设备中。该电子设备可以是终端设备，也可以是服务器设备等。本发明实施例并不对执行信令检测方法的电子设备的类型进行限定。相应的，如图1所示，该方法包括如下操作：

S110、获取待处理信令数据。

其中，待处理信令数据可以是有检测需求的信令数据。

在本发明实施例中，可以首先获取待处理信令数据，以进一步对待处理信令数据进行数据处理。

S120、确定目标网元关联数据以及归属网元路由数据。

其中，目标网元关联数据可以是与网元资源关联的正样本数据，用于确定异常信令数据。目标网元关联数据可以包括目标网元数据库以及网元信息关系表。目标网元数据库可以是可信网元的数据库，也即目标网元数据库为正样本网元的数据库。网元信息关系表可以是表征移动用户标识与正样本网元关系的数据表。归属网元路由数据可以是正常信令的归属网元的路由数据。示例性的，归属网元路由数据可以通过路由表的形式进行存储或展示。

在本发明实施例中，可以通过已掌握的可信网元的相关数据以及大数据分析等手段确定目标网元关联数据以及归属网元路由数据。

S130、根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

其中，异常信令检测可以用于对待处理信令数据进行检测，以确定待处理信令数据中的异常信令数据。

在本发明实施例中，可以基于目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测，以确定待处理信令数据中的异常信令数据，从而对检测出的异常信令数据进行追踪、预警以及深度挖掘等处理。

实施例二

图2是本发明实施例二提供的一种信令检测方法的流程图，本实施例以上述实施例为基础进行具体化，在本实施例中，给出了获取待处理信令数据的具体的可选的实施方式，相应的，如图2所示，该方法包括如下操作：

S210、获取待处理信令数据。

在本发明的一个可选实施例中，S210具体可以包括：

S211、获取原始流量数据。

其中，原始流量数据可以是用于确定待处理信令数据的流量数据。示例性的，原始流量数据可以包括通信网络中的实时流量数据和/或第三方提供的离线流量数据等。本发明实施例对原始流量数据的具体数据内容不作限定。通信网络可以包括但不限于3G网络(3rd Generation mobile communication technology，第三代移动通信技术)、4G网络(the 4th Generation mobile communication technology，第四代移动通信技术)以及5G(the 5th Generation mobile communication technology，第五代移动通信技术)网络等。

在本发明实施例中，可以将分光装置或者镜像采集旁路器部署于需要检测的通信网络中，从而基于分光或镜像采集的方式获取需要检测的通信网络中网元节点的实时流量数据，以根据实时流量数据确定原始流量数据，和/或根据第三方提供的离线流量数据确定原始流量数据。

S212、确定原始流量数据的目标检测数据。

其中，目标检测数据可以是预先设置的表征检测规则的数据，用于筛选原始流量数据以确定待处理信令数据。目标检测数据可以包括协议规范数据、主机域规则数据、主机地址黑名单数据、关注主机地址数据以及目标命令码数据中的至少一项。协议规范数据可以是表征协议接口合法性的数据。主机域规则数据可以是3GPP(3rd GenerationPartnership Project，第三代合作伙伴计划)协议规范的相关数据。主机地址黑名单数据可以表征已知的非法主机地址的数据。关注主机地址数据可以是表征伪造的主机地址的数据。目标命令码数据可以是表征信令数据中有效命令码的数据。命令码可以是标识用户实际业务的数据，与主叫业务命令码以及被叫业务命令码等。

在本发明实施例中，可以根据对原始流量数据的检测需求，预设包括协议规范数据、主机域规则数据、主机地址黑名单数据、关注主机地址数据以及目标命令码数据中至少一项的目标检测数据。

S213、根据目标检测数据筛选原始流量数据，得到待处理信令数据。

在本发明实施例中，可以根据目标检测数据包括的检测数据，对原始流量数据进行筛选处理，得到待处理信令数据。

可选的，在对原始流量数据进行筛选处理之前，还可以根据预设的匹配规则对原始流量数据进行匹配过滤，剔除无效流量数据，以降低筛选原始流量数据的数据量。

在本发明的一个可选实施例中，根据目标检测数据筛选原始流量数据，得到待处理信令数据，可以包括：根据原始流量数据、原始流量数据的协议接口以及协议规范数据，确定协议筛选信令数据；根据协议筛选信令数据、协议筛选信令数据的源主机地址数据、协议筛选信令数据的目的主机地址数据以及主机域规则数据，确定主机域筛选信令数据；根据主机域筛选信令数据、主机域筛选信令数据的源主机地址数据以及主机地址黑名单数据，确定黑名单筛选信令数据；根据黑名单筛选信令数据、黑名单筛选信令数据的源主机地址数据以及关注主机地址数据，确定关注主机地址筛选信令数据；根据关注主机地址筛选信令数据、关注主机地址筛选信令数据的待处理命令码数据以及目标命令码数据，确定待处理信令数据。

其中，协议筛选信令数据可以是与协议规范数据匹配的原始流量数据中的信令数据。示例性的，原始流量数据的协议接口可以包括但不限于Diameter协议下的s6a接口、s6d接口以及0接口等。s6a接口为MME与HSS之间的接口，s6d为SGSN(Serving GPRS SupportNode，GPRS服务支持节点)与HSS之间的接口。0接口为传输Diameter通用消息的接口。源主机地址数据可以是表征信令的发送方的主机地址的数据。目的主机地址数据可以是表征信令接收方的主机地址的数据。主机域筛选信令数据可以是与主机域规则数据成功匹配的协议筛选信令数据。黑名单筛选信令数据可以是不包括主机地址黑名单数据的主机域筛选信令数据。关注主机地址筛选信令数据可以是不包括关注主机地址数据的黑名单筛选信令数据。待处理命令码数据可以是与关注主机地址筛选信令数据关联的命令码的数据。

在本发明实施例中，可以对原始流量数据进行解析得到原始流量数据的协议接口，进而将原始流量数据的协议接口与协议规范数据进行匹配处理，如果协议规范数据中包括原始流量数据的协议接口，则可以确定原始流量数据与协议规范数据成功匹配，进而将与协议规范数据成功匹配的原始流量数据中的信令数据作为协议筛选信令数据。在得到协议筛选信令数据之后，可以对协议筛选信令数据进行解析确定协议筛选信令数据的源主机地址数据以及目的主机地址数据，进而将协议筛选信令数据的源主机地址数据以及目的主机地址数据与主机域规则数据进行匹配处理，如果主机域规则数据包括协议筛选信令数据的源主机地址数据以及目的主机地址数据，则可以确定协议筛选信令数据与主机域规则数据成功匹配，进而将与主机域规则数据成功匹配的协议筛选信令数据作为主机域筛选信令数据。

在得到主机域筛选信令数据之后，可以将主机域筛选信令数据的源主机地址数据与主机地址黑名单数据进行匹配处理，如果主机域筛选信令数据不包括主机地址黑名单数据，则将不包括主机地址黑名单数据的主机域筛选信令数据作为黑名单筛选信令数据。在得到黑名单筛选信令数据之后，可以将黑名单筛选信令数据与关注主机地址数据进行匹配处理，如果黑名单筛选信令数据不包括关注主机地址数据，则将不包括关注主机地址数据的黑名单筛选信令数据作为关注主机地址筛选信令数据，进而对关注主机地址筛选信令数据进行解析确定待处理命令码数据，从而将待处理命令码数据与目标命令码数据进行匹配处理，如果目标命令码数据包括待处理命令码数据，则可以确定关注主机地址筛选信令数据与目标命令码数据成功匹配，进而将与目标命令码数据成功匹配的关注主机地址筛选信令数据作为待处理信令数据。

S220、确定目标网元关联数据以及归属网元路由数据。

在本发明的一个可选实施例中，归属网元路由数据可以包括HSS(HomeSubscriber Server，归属签约用户服务器)网元路由数据以及MME(Mobility ManagementEntity，移动管理实体)网元路由数据，目标网元数据库可以包括HSS网元数据库以及MME网元数据库，网元信息关系表可以包括HSS信息关系表。确定目标网元关联数据以及归属网元路由数据，可以包括：根据用户鉴权标识以及位置更新数据生成HSS网元数据库以及HSS信息关系表；根据MME的业务数据确定MME网元数据库；根据HSS网元数据库、HSS信息关系表以及MME网元数据库确定目标网元关联数据；根据HSS的业务数据确定HSS网元路由数据，并根据MME的业务数据确定MME网元路由数据。

其中，HSS网元路由数据可以是HSS网元执行正常业务时的路由数据。MME网元路由数据可以是MME网元执行正常业务时的路由数据。HSS网元数据库可以是可信HSS网元的数据库，也即HSS网元数据库为正样本HSS网元的数据库。MME网元数据库可以是可信MME网元的数据库，也即MME网元数据库为正样本MME网元的数据库。用户鉴权标识可以是表征用户使用数据的合法性和有效性的标识。位置更新数据可以是表征移动设备通信位置更新的数据。

在本发明实施例中，可以基于原始流量数据确定用户鉴权标识以及位置更新数据，进而对用户鉴权标识以及位置更新数据进行关联分析，得到HSS网元数据库，还可以根据用户鉴权标识以及位置更新数据提取移动用户标识，从而生成移动用户标识与归属的HSS网元的HSS信息关系表。根据MME网元的通信业务的业务数据对MME网元发起的业务种类以及数量等进行分析，得到MME网元数据库，从而可以根据HSS网元数据库、HSS信息关系表以及MME网元数据库作为目标网元关联数据。在得到目标网元关联数据之后，可以从HSS网元数据库中HSS网元的业务数据中提取路由信息，生成HSS网元路由数据，还可以从MME网元数据库中MME网元的业务数据中提取路由信息，生成MME网元路由数据。

S230、根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

在本发明的一个可选实施例中，根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测，可以包括：在确定待处理信令数据的源主机为HSS的情况下，根据HSS网元数据库、HSS信息关系表以及HSS网元路由数据对待处理信令数据进行异常信令检测；在确定待处理信令数据的源主机为MME的情况下，根据MME网元数据库以及MME网元路由数据对待处理信令数据进行异常信令检测。

在本发明实施例中，可以对待处理信令数据进行解析确定待处理信令数据的源主机，如果待处理信令数据的源主机为HSS的情况下，则可以根据HSS网元数据库、HSS信息关系表以及HSS网元路由数据对待处理信令数据进行异常信令检测。如果待处理信令数据的源主机为MME的情况下，则可以根据MME网元数据库以及MME网元路由数据对待处理信令数据进行异常信令检测。在检测出异常信令数据的情况下，产生告警信息以通知运维人员进行对异常信令数据进行重点关注。

在本发明的一个可选实施例中，根据HSS网元数据库、HSS信息关系表以及HSS网元路由数据对待处理信令数据进行异常信令检测，可以包括：获取待处理信令数据的源主机数据、目标IMSI数据以及目标路由数据；在确定HSS网元数据库包括待处理信令数据的源主机数据、HSS信息关系表包括目标IMSI数据，并且HSS网元路由数据包括目标路由数据的情况下，确定待处理信令数据为正常信令数据。

其中，源主机数据可以是标识源主机的数据。示例性的，源主机为HSS(1)时，源主机数据为HSS(1)。目标IMSI数据可以是与待处理信令数据关联的IMSI(InternationalMobile Subscriber Identity，国际移动用户识别码)。目标路由数据可以是待处理信令数据在传输时的路由数据。示例性的，目标路由数据可以通过路由表的形式进行存储或展示。

在本发明实施例中，可以对待处理信令数据进行解析以及关联分析确定待处理信令数据的源主机数据、目标IMSI数据以及目标路由数据，进而将源主机数据与HSS网元数据库进行匹配处理，如果HSS网元数据库包括源主机数据，则将目标IMSI数据与HSS信息关系表进行匹配处理，如果HSS信息关系表包括目标IMSI数据，则将目标路由数据与HSS网元路由数据进行匹配处理，如果HSS网元路由数据包括目标路由数据，则可以确定待处理信令数据为正常信令数据。当出现HSS网元数据库不包括待处理信令数据的源主机数据、HSS网元数据库不包括源主机数据，或者HSS网元路由数据不包括目标路由数据的任意一种情况时，则可以确定待处理信令数据为异常信令数据。

在本发明的一个可选实施例中，根据MME网元数据库以及MME网元路由数据对待处理信令数据进行异常信令检测，可以包括：获取待处理信令数据的源主机数据以及目标路由数据；在确定MME网元数据库包括待处理信令数据的源主机数据，且MME网元路由数据包括目标路由数据的情况下，确定待处理信令数据为正常信令数据。

相应的，当待处理信令数据的源主机为MME时，可以对待处理信令数据进行解析以及关联分析确定待处理信令数据的源主机数据以及目标路由数据，进而将待处理信令数据的源主机数据与MME网元数据库进行匹配，如果MME网元数据库包括待处理信令数据的源主机数据，则进一步将目标路由数据与MME网元路由数据进行匹配，如果MME网元数据库包括待处理信令数据的源主机数据，且MME网元路由数据包括目标路由数据，则可以确定待处理信令数据为正常信令数据。如果MME网元数据库不包括待处理信令数据的源主机数据，和/或MME网元路由数据不包括目标路由数据，则可以确定待处理信令数据为异常信令数据。

本实施例的技术方案，通过获取原始流量数据，进而确定原始流量数据的目标检测数据，从而根据目标检测数据筛选原始流量数据，得到待处理信令数据，并进一步确定目标网元关联数据以及归属网元路由数据，进而根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。通过对原始流量数据进行筛选得到待处理信令数据，可以实现对原始流量数据的初筛，从而降低需要进行异常信令检测的数据量，提升异常数据检测的检测效率。由于目标网元数据库、网元信息关系表以及归属网元路由数据均为与正常网元关联的数据，因此根据包括目标网元数据库和网元信息关系表的目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测，可以有效识别攻击者通过修改网元信令进行网络攻击的行为，解决了现有技术中攻击者通过网元协议层的信令修改进行网络攻击而导致的安全通信隐患不易识别的问题，能够提升异常信令的识别率，进而提高通信的安全性。

需要说明的是，以上各实施例中各技术特征之间的任意排列组合也属于本发明的保护范围。

实施例三

本发明实施例三提供一种信令检测系统的可选实施例，其具体实施方式可参见下述实施例。其中，与上述实施例相同或者相应的技术术语在此不再赘述。

随着全球移动通信覆盖范围的扩大以及用户数量的增加，使得移动通信网信令系统的安全问题备受关注。用户数据安全不仅涉及用户的个人隐私安全，某种层面还涉及战略安全。由于4G移动网络全部IP化，黑客更容易通过远程电脑侵入4G IP网络，利用协议的漏洞，获取用户信息。这就使得攻击者可以远程窃听用户信息。通过劫持用户的短信和通话，攻击者也就能够获取其他服务通过短信发送的双因子身份验证登录码，已经获取用户名和密码的攻击者即能在用户收到验证码之前拦截登录账户，黑客还可伪装合理网元，根据用户号码等获取用户的IMSI和服务网元等关键信息，利用已掌握的关键用户信息，获取重点用户的实时位置等，或者利用协议漏洞，对重点用户进行扰乱(如主叫用户无权呼叫、被叫用户关机、被叫用户不在服务区，中断用户通话等)，甚至可仿冒合法网元对真实的网元进行攻击，达到真实网元减少或不能为正常用户提供服务的情况。4G网络通信安全防护已迫在眉睫，而通过本实施例提供的信令检测系统能够实现4G网络中异常信令的识别和拦截。

图3是本发明实施例三提供一种4G信令检测系统的示意图，如图3所示，信令检测系统包括4G信令采集模块、4G信令检测预警模块、协议数据存储与共享模块、安全态势分析模块、一体化管理和呈现模块。4G信令采集模块分别与4G信令检测预警模块以及协议数据存储与共享模块通信连接。4G信令检测预警模块分别和协议数据存储与共享模块，以及安全态势分析模块通信连接。安全态势分析模块分别与一体化管理和呈现模块，以及协议数据存储与共享模块通信连接。其中，4G信令采集模块可以为通用的数据采集设备。

如图3所示，4G信令采集模块用于通过镜像采集旁路部署方式接入到多个4G通信网络，基于多个4G通信网络采集实时流量数据和/或第三方提供的离线流量数据，如将4G通信网络中经过的实时流量数据和/或第三方提供的离线流量数据基于镜像采集的方式采集，进而对采集的实时流量数据和/或第三方提供的离线流量数据进行协议解析，从而根据预设的匹配规则剔除无效流量数据，得到初筛流量数据，进而将初筛流量数据发送至4G信令检测预警模块，并将采集的实时流量数据和/或第三方提供的离线流量数据发送至协议数据存储与共享模块。

4G信令检测预警模块用于接收初筛流量数据，并对初筛流量数据进行第二次筛选处理，得到待处理信令数据，进而对待处理信令数据进行异常信令检测以及预警处理，得到异常信令检测结果以及告警数据，并将异常信令检测结果发送至安全态势分析模块，将异常信令检测结果以及告警数据发送至协议数据存储与共享模块。第二次筛选处理可以包括协议规范检测、黑名单检测以及网元仿冒检测。异常信令检测可以包括第一异常信令检测以及第二异常信令检测。具体的，通过协议规范数据对初筛流量数据进行协议规范检测，根据主机地址黑名单数据对初筛流量数据进行黑名单检测，根据关注主机地址数据对初筛流量数据进行网元仿冒检测。通过目标网元关联数据以及归属网元路由数据对待处理信令数据进行第一异常信令检测，得到第一异常信令检测结果，进而根据业务场景以及异常信令样本库等数据对第一异常信令检测结果进行第二异常信令检测，得到第二异常信令检测结果。其中，第一异常信令检测可以是根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行的第一次检测。第一异常信令检测结果可以是第一异常信令检测的检测结果。第二异常信令检测可以是对对待处理信令数据进行第一异常信令检测之后，的第二次信令检测。第二异常信令检测结果可以是第二异常信令检测的检测结果。

安全态势分析模块用于接收异常信令检测结果，进而对异常信令检测结果进行事件时间分析、事件频次分析、事件来源分析以及事件类型分析等进行分析，并将分析结果发送至一体化管理和呈现模块以及协议数据存储与共享模块，还可以根据分析结果形成可信的资源库，以及异常信令样本库。

协议数据存储与共享模块用于存储4G信令采集模块采集的实时流量数据和/或第三方提供的离线流量数据、4G信令检测预警模块发送的异常信令检测结果和告警数据、安全态势分析模块发送的异常信令检测结果的分析结果、4G话单、资源库等，还用于将告警数据发送至一体化管理和呈现模块，支持通过多种接入方式获取信令协议数据，可从第三方平台获取也可向第三方平台提供数据共享接口。

一体化管理和呈现模块用于接收安全态势分析模块发送的异常信令检测结果的分析结果，以及协议数据存储与共享模块发送的告警数据，并根据异常信令检测结果的分析结果以及告警数据进行任务管理、业务呈现、系统管理以及策略管理。其中，系统管理包括日志管理、物理拓扑管理、用户权限管理以及系统维护管理等。任务管理包括任务规划、任务模板、任务执行以及任务跟踪等。业务呈现包括系统运行状态、监测告警数据以及安全态势分析等。策略管理可以包括4G待处理信令数据采集的自定义策略、4G信令监测的策略、主机地址黑名单数据、网内网元等各类特征、规则和策略的配置，异常信令样本库等的管理。任务管理具体可以包括制定任务规划、提供任务模板、下达任务执行命令，并对任务执行过程进行跟踪等。

由于4G信令主要涉及到的网元是MME网元和HSS网元，因此可以重点判断MME网元和HSS网元的真实性，基于大数据分析利用机器学习和深度学习等手段，对用户鉴权标识以及位置更新数据进行关联，形成可信HSS网元数据库，通过用户鉴权标识以及位置更新数据提取用户的IMSI以及归属HSS等关键信息，形成IMSI号码段与归属的HSS信息关系表，进而通过对MME网元发起的业务种类以及业务数量等进行分析，形成可信的MME网元数据库。通过可信的网元发起的业务信息，提取路由信息，形成归属网元的路由信息表(归属网元路由数据)，从而将HSS网元数据库、归属网元的路由信息表、MME网元数据库存储于协议数据存储与共享模块的资源库中。

4G信令检测预警模块可以具体用于根据协议规范数据对初筛流量数据进行协议规范检测，当检测出不符合协议规范数据的初筛流量数据时，产生协议不规范告警数据。对符合协议规范数据的初筛流量数据进一步分析，判断是否在主机地址黑名单数据中，以及是否在关注主机地址数据中，如果符合协议规范数据的初筛流量数据在主机地址黑名单数据或关注主机地址数据中，则产生相应告警数据。如果符合协议规范数据的初筛流量数据既不在主机地址黑名单数据，也不在关注主机地址数据中，则将符合协议规范数据、不在主机地址黑名单数据，也不在关注主机地址数据的初筛流量数据作为待处理信令数据，进而对待处理信令数据进行数据提取处理，得到源主机数据、目标IMSI数据以及目标路由数据，进而判断源主机数据是否在可信HSS网元数据库中，或者在可信MME网元数据库中，如果不在可信HSS网元数据库或者可信MME网元数据库中，则可以确定待处理信令数据为可疑信令数据，进而根据不同的业务场景、业务流量、用户漫游异动等监测模型，并结合异常信令样本库，分析出异常信令数据，并产生信令异常数据的告警数据。

4G信令检测预警模块可以具体用于根据协议规范数据对初筛流量数据进行检测，对不符合协议规范数据的初筛流量数据进行警告，进而根据黑名单筛选信令数据对符合协议规范数据的初筛流量数据的源主机地址数据进行检查，判断符合协议规范数据的初筛流量数据的源主机地址数据是否在黑名单筛选信令数据中，如果在黑名单筛选信令数据中，则产生告警数据，如果不在黑名单筛选信令数据中，则根据关注主机地址数据对不在黑名单筛选信令数据中且符合协议规范数据的初筛流量数据的源主机地址数据进行检查，也即判断是否仿冒网内主机地址，如果源主机地址数据在关注主机地址数据中，则产生告警数据。如果初筛流量数据符合协议规范数据，且对应的源主机地址数据不在黑名单筛选信令数据也不在关注主机地址数据中，则根据协议接口的不同，判断协议接口下的该初筛流量数据的命令码是否有效，如果该初筛流量数据的命令码无效，则产生警告数据。如果该初筛流量数据的命令码有效，则判断该初筛流量数据的命令码是否开放，如果该初筛流量数据的命令码未开放，则产生告警数据。如果该初筛流量数据的命令码为开放，则可以将该初始流量数据中的信令数据作为待处理信令数据，进而提取待处理信令数据中相关的协议参数，如IMSI等，进而判断IMSI是否合法(判断IMSI的长度以及IMSI所属的国家是否匹配等)，如果待处理信令数据的IMSI有效，则根据命令码来判断源主机数据是否是HSS。当待处理信令数据的源主机数据是HSS的情况下，根据HSS网元数据库判断待处理信令数据的源主机数据是否可信(待处理信令数据的源主机数据是否存在于HSS网元数据库)，如果不可信(待处理信令数据的源主机数据不在HSS网元数据库中)，则待处理信令数据为可疑信令数据。如果可信(待处理信令数据的源主机数据在HSS网元数据库中)，则判断待处理信令数据的IMSI是否在所属HSS的IMSI号码段内，如果待处理信令数据的IMSI在所属HSS的IMSI号码段内，则判断待处理信令数据的目标路由数据是否存在于HSS网元路由数据中，如果目标路由数据不存在于HSS网元路由数据，则待处理信令数据为可疑信令数据，如果待处理信令数据的IMSI在所属HSS的IMSI号码段内，且待处理信令数据的目标路由数据在HSS网元路由数据中，则待处理信令数据为正常信令数据。

同理，根据待处理信令数据的命令码来判断源主机数据是否是MME，当待处理信令数据的源主机数据是MME的情况下，根据MME网元数据库判断待处理信令数据的源主机数据是否可信，(待处理信令数据的源主机数据是否存在于MME网元数据库)，如果不可信(待处理信令数据的源主机数据不在MME网元数据库中)，则待处理信令数据为可疑信令数据。如果可信(待处理信令数据的源主机数据在MME网元数据库中)，则判断待处理信令数据的目标路由数据是否存在于MME网元路由数据中，如果目标路由数据不存在于MME网元路由数据中，则待处理信令数据为可疑信令数据，如果待处理信令数据的目标路由数据在MME网元路由数据中，则待处理信令数据为正常信令数据。

4G信令检测预警模块可以具体用于在检测出对待处理信令数据为可疑信令数据的情况下，可以进一步根据业务场景、业务流程以及漫游异常等，并根据异常样本库对可疑信令数据进一步分析，确定异常信令结果、信令源地址、操作方式、操作目标以及操作时间等。也即，本方案的4G信令检测预警模块可以基于4G信令的行为和内容分析，参考异常信令样本库完成基于协议和业务流程的检查、匹配和对比，从中发现异常信令或正常信令，生成异常信令检测结果，对异常信令数据进行安全预警，还能够监测和预警电信网信令系统典型的攻击行为，如定位跟踪、话音劫持以及拒绝服务攻击等。

示例性的，以业务流程异常为例进行分析，对该用户的业务流程进行关联，对比异常信令样本库样本，判断流程是否正常。如没有进行登记，就发送了用户关机以及业务流程异常的信息，则进行异常信令告警处理。根据异常信令样本库中的数据分析漫出的用户。如果用户的活跃时间与国内的时区时间或工作时间一致，则进行异常信令告警处理。

电信网认为网络内部的信令都是可信的，但是随着用户的漫游、网络的异构以及电信网设备的IP(Internet Protocol Address，互联网协议地址)化等因素的变化，结合已知的一些黑客攻击的手段或场景，可以确定黑客主要利用电信网的脆弱性和通信协议之间的漏洞进行攻击。目前黑客的攻击一般都在外网，利用网络互通，仿冒一些网元或用户进行有目的的一系列攻击。因此，可以将4G信令检测系统部署在内网与外网的边界处，例如国际口的境内的国际信令转接局与境外的国际信令转接局之间，省内的信令转接局与省外的信令转接局之间，通过对进入内网的信令进行采集、监测、分析、预警达到对4G网络安全进行保护和攻击防御的目的。图4是本发明实施例三提供的一种信令检测系的部署位置的示意图，如图4所示，4G信令检测系统可以部署在外网DRA(Diameter Routing Agen，路由代理节点)以及内网DRA之间，当外网DRA与内网DRA进行数据交互时，可以通过4G信令检测系统对进入内网DRA的信令进行监测与分析，从而保护内网DRA的信令安全。

图5是本发明实施例三提供的一种4G信令检测组网逻辑示意图，如图5所示，4G信令检测系统中的4G信令采集模块可以采用分光/镜像的方式并接到通信网络(该通信网络由两个A地4G路由、一个A地汇总DRA、一个B地DRA以及电信网络组成，两个A地4G路由与一个A地汇总DRA连接，A地汇总DRA与电信网络连接，传输Diameter的B地DRA与电信网络连接)中，将通信网络中经过网元节点的全部流量(实时流量数据和/或第三方提供的离线流量数据)基于镜像采集的方式进行映射采集，对采集的实时流量数据和/或第三方提供的离线流量数据进行协议解析，从而根据预设的匹配规则剔除无效流量数据，得到初筛流量数据，进而将初筛流量数据发送至4G信令检测预警模块，并将采集的实时流量数据和/或第三方提供的离线流量数据发送至协议数据存储与共享模块。4G信令检测预警模块对初筛流量数据进行信令分析，将监测到的可疑信令数据、异常信令数据，以及产生的告警数据等发送到协议数据存储与共享模块，将可疑信令数据以及异常信令数据发送至安全态势分析模块。协议数据存储与共享模块可以将接收的实时流量数据和/或第三方提供的离线流量数据保存到原始数据库中，将接收到的可疑信令数据、异常信令数据，以及产生的告警数据分别存储至相应的数据库中，并把告警数据发送给一体化管理和呈现模块，以进行平台告警，还可以与第三方平台进行数据交互。安全态势分析模块基于不同安全事件不同的角度对可疑信令数据以及异常信令数据进行分析，得到可信的资源库，以及异常信令样本库。一体化管理和呈现模块能够对被监测网络进行一体化管理，包括拓扑、性能、故障和安全管理等，同时能够对所监测预警的业务管理和界面呈现，包括各类特征、规则和策略的配置、攻击事件的预警以及安全态势的呈现等。

图6是本发明实施例三提供的一种信令检测系统的检测简易逻辑的流程图，如图6所示，信令检测系统可以获取原始流量数据，进而判断原始流量数据是否符合协议规范数据，当检测出不符合协议规范数据的原始流量数据时，产生协议不规范告警数据。对符合协议规范数据的原始流量数据进一步分析，确定原始流量数据的源主机地址数据，判断源主机地址数据是否在主机地址黑名单数据中，如果原始流量数据的源主机地址数据在主机地址黑名单数据中，则产生源主机在黑名单告警数据。如果符合协议规范数据的原始流量数据的源主机地址数据不在主机地址黑名单数据中，则进一步判断源主机地址数据是否在关注主机地址数据中，如果该原始流量数据的源主机地址数据在关注主机地址数据中，则产生源主机被假冒告警数据，如果该原始流量数据的源主机地址数据不在关注主机地址数据中，则将原始流量数据的信令数据作为待处理信令数据，进而提取待处理信令数据的主要参数(目标IMSI数据、源主机数据以及目标路由数据)，进而根据提取的主要参数与资源数据(可信HSS网元数据库以及HSS网元路由数据)进行比对，判断是否为可疑信令数据。具体的，判断源主机数据是否在可信HSS网元数据库中，目标IMSI数据是否在所属HSS的IMSI号码段内、目标路由数据是否存在于HSS网元路由数据中，如果待处理信令数据符合三个判断条件，则待处理信令数据为正常信令数据。如果待处理信令数据不符合任意一个判断条件，则待处理信令数据为可疑信令数据，并产生可疑信令告警数据，进而根据异常信令样本库判断可疑信令数据是否为异常信令数据。具体的，采用大数据的手段，基于业务场景、业务流量、漫游异常等分析场景，对可疑信令数据进行进一步的分析，如果可疑信令数据为异常信令数据，则保存到异常信令样本库中，并生成异常信令告警数据，如果可疑信令数据不是异常信令数据，则可以确定可疑信令数据为正常信令数据。

图7是本发明实施例三提供的一种信令检测系统的检测逻辑的流程图，如图7所示，可以对原始流量数据进行解析得到原始流量数据的协议接口，进而判断协议接口是否有效、开放。有效协议接口为0接口、s6a接口以及s6d接口，如果原始流量数据的协议接口不在有效协议接口范围，则产生协议不规范警告数据，如果设置了接口开放配置，判断接口是否开放，如果没有开放，则生成协议接口未开放告警，进而将与协议规范数据成功匹配的原始流量数据中的信令数据作为协议筛选信令数据，对协议筛选信令数据进行解析确定协议筛选信令数据的源主机地址数据以及目的主机地址数据，进而判断源、目的主机域是否有效，也即判断协议筛选信令数据的源主机地址数据以及目的主机地址数据是否符合3GPP协议规范(主机域规则数据，具体可以包括MNC、MCC、3gppnetwork、org，其中的3gppnetwork和org为固定域值，MNCXXX为运营商代号、MCCXXX为国家码)，如果协议筛选信令数据的源、目的主机域的四个域中任意一个域的值不符合规范，则产生主机域规则错误警告数据，如果协议筛选信令数据的四个域中任意一个域的值均符合规范，则将协议筛选信令数据作为主机域筛选信令数据。

在完成源、目的主机域是否有效的判断之后，进一步判断源主机地址数据是否在主机地址黑名单数据，如果主机域筛选信令数据的源主机地址数据在主机地址黑名单数据，则产生源主机在黑名单告警数据，如果主机域筛选信令数据的源主机地址数据不在主机地址黑名单数据中，则判断源主机地址数据是否在关注主机地址数据中，如果主机域筛选信令数据的源主机地址数据在关注主机地址数据中，则产生源主机被假冒告警数据。如果主机域筛选信令数据的源主机地址数据不在主机地址黑名单数据中，也不在关注主机地址数据中，则将主机域筛选信令数据作为关注主机地址筛选信令数据。在得到关注主机地址筛选信令数据之后，对关注主机地址筛选信令数据进行解析，确定协议接口值(待处理命令码数据)，在协议接口为0的情况下，判断Daimeter通用消息命令码是否有效，将协议接口值与274(ASR)、271(ACR)、257(CER)、280(DWR)、282(DPR)、258(RAR)、275(STR)比对，如果协议接口值不包括上述命令码，则协议接口值为无效的命令码，产生命令码无效告警数据，进而判断命令码是否开放，也即确定数据配置中对以上有效的命令码通过开放标识配置其是否开放，开放标识为0表示未开放，开放标识为其他值标识命令码为开放状态，如果协议接口值为开放，则产生命令码未开放告警数据，还可以判断其他业务数据是否有效。

在得到协议接口值之后，可以判断S6a/s6d命令码是否有效，有效的S6a命令码包括：316(ULR)、317(CLR)、318(AIR)、319(IDR)、320(DSR)、321(PUR)、322(RSR)、323(NOR)，其他的为无效的命令码，在协议接口为S6a/s6d接口的情况下，如果协议接口值不包括有效的S6a命令码则为无效的命令码，则产生命令码无效告警数据，进一步判断命名码是否开放，进而根据协议接口值确定IMSI，并判断IMSI是否有效，具体的，通过判断IMSI的长度是否为15位，IMSI的前5位为MCC+MNC，判断是否符合国家运营商规划数据，如果IMSI的长度不是15位，或者IMSI的前5位不是MCC+MNC，则确定IMSI无效。如果协议接口值的IMSI有效则进一步判断其他业务参数是否有效(主叫用户EMS，无法拦截等)，进而根据协议接口值判断源主机是HSS或MME，如果协议接口值的归属网元为HSS，则判断与协议接口值对应的源主机数据是否在HSS网元数据库，如果与协议接口值对应的信令数据不在HSS网元数据库，则确定与协议接口值对应的信令数据为可疑信令数据，并产生可疑信令告警数据，如果与协议接口值对应的源主机数据在HSS网元数据库，则判断与协议接口值对应的信令数据的IMSI是否在归属的HSS资源库(HSS的IMSI号码段中)，如果不在，则确定该信令数据为可疑信令数据，并产生可疑信令告警数据。如果与协议接口值对应的信令数据的IMSI在归属的HSS的IMSI号码段中，则判断该信令的目标路由数据是否在HSS网元路由数据中，如果该信令的目标路由数据在HSS网元路由数据中，则确定该信令数据为正常信令数据，否则确定该信令数据为可疑信令数据，并产生可疑信令告警数据。如果协议接口值的归属网元为MME，则判断与协议接口值对应的源主机数据是否在MME网元数据库，如果与协议接口值对应的信令数据不在MME网元数据库，则确定与协议接口值对应的信令数据为可疑信令数据，并产生可疑信令告警数据，如果协议接口值对应的信令数据在MME网元数据库，则判断目标路由数据是否在MME网元路由数据中，如果该信令的目标路由数据在MME网元路由数据中，则确定该信令数据为正常信令数据，否则确定该信令数据为可疑信令数据，并产生可疑信令告警数据。

图8是本发明实施例三提供的一种异常信令的预警与检测的流程示意图，如图8所示，可以先进行信令采集(如Diameter信令消息的采集)，进而对采集的信令进行信令提取以及协议解析，以进一步进行可疑信令检测与分析，得到可疑信令数据，进而可疑信令数据综合分析，即针对可疑信令数据根据业务流程关联、异常信令样本库中的样本(异常信令1、异常信令2、异常信令3…)进行对比，识别异常信令数据，得到异常信令数据的信令源地址、操作方式、操作目标、操作时间等，并对异常信令数据进行异常信令预警。示例性的，以业务流程异常为例进行分析，对该用户的业务流程进行关联，对比异常信令样本库样本，判断流程是否正常。如没有进行登记，就发送了用户关机以及业务流程异常的信息，则进行异常信令告警处理。根据异常信令样本库中的数据分析漫出的用户。如果用户的活跃时间与国内的时区时间或工作时间一致，则进行异常信令告警处理。

图9是本发明实施例三提供的一种安全态势分析模块的功能结构示意图，如图9所示，针对异常信令数据的安全事件，安全态势分析模块可以对安全事件基于多个维度进行安全态势分析，主要包括基于事件频次分析、基于事件来源分析、基于事件时间分析以及基于事件地域分析等。基于事件频次分析，安全态势分析模块针对发现的安全事件，进行小时、天、周、月的攻击事件频次分析，形成态势展示的数据输出。基于事件来源态势分析，安全态势分析模块针对事件来源进行分析，进行国内外分析、攻击源所在地区分析，如来源为美、日、韩、印等地区，来源运营商等进行分析，形成态势展示的数据输出。基于事件时间态势分析，安全态势分析模块针对安全事件以时间为维度进行深入分析，得出某一安全事件的发展态势，形成态势展示的数据输出。基于事件地域分析，基于事件地域态势分析，针对发现的安全事件，进行地域分析，形成地域态势展示的数据输出针对发现的安全事件，进行地域分析，形成地域态势展示的数据输出。

本实施例提供的4G信令检测系统能够进行信令采集、异常信令分析以及安全态势分析，还能够通过可视化的方式对各模块进行管理、攻击事件预警以及安全态势呈现，实现对实时或离线数据流中针对4G信令网的网络威胁行为的识别、对异常信令数据进行监测以及在线分析，并基于自定义规则、机器学习和深度学习的攻击行为模式进行挖掘，以结合业务流程的关联分析对移动4G信令面安全威胁行为进行监测，能够基于搭建的4G信令检测系统面对快速发展的黑客攻击，还可以对4G信令的安全事件开展威胁评估，实现统一规划以及统一部署，为构建强大的4G网络安全体系提供统筹指导。

实施例四

图10是本发明实施例四提供的一种信令检测装置的示意图，如图10所示，所述装置包括：待处理信令数据获取模块310、目标数据确定模块320以及异常信令检测模块330，其中：

待处理信令数据获取模块310，用于获取待处理信令数据；

目标数据确定模块320，用于确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；

异常信令检测模块330，用于根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

可选的，待处理信令数据获取模块310，具体用于获取原始流量数据；确定所述原始流量数据的目标检测数据；其中，所述目标检测数据包括协议规范数据、主机域规则数据、主机地址黑名单数据、关注主机地址数据以及目标命令码数据中的至少一项；根据所述目标检测数据筛选所述原始流量数据，得到所述待处理信令数据。

可选的，待处理信令数据获取模块310，具体用于，具体用于根据所述原始流量数据、所述原始流量数据的协议接口以及所述协议规范数据，确定协议筛选信令数据；根据所述协议筛选信令数据、所述协议筛选信令数据的源主机地址数据、所述协议筛选信令数据的目的主机地址数据以及所述主机域规则数据，确定主机域筛选信令数据；根据所述主机域筛选信令数据、所述主机域筛选信令数据的源主机地址数据以及所述主机地址黑名单数据，确定黑名单筛选信令数据；根据所述黑名单筛选信令数据、所述黑名单筛选信令数据的源主机地址数据以及所述关注主机地址数据，确定关注主机地址筛选信令数据；根据所述关注主机地址筛选信令数据、所述关注主机地址筛选信令数据的待处理命令码数据以及所述目标命令码数据，确定所述待处理信令数据。

可选的，所述归属网元路由数据包括归属签约用户服务器HSS网元路由数据以及移动管理实体MME网元路由数据，所述目标网元数据库包括HSS网元数据库以及MME网元数据库，所述网元信息关系表包括HSS信息关系表，目标数据确定模块320，具体用于根据用户鉴权标识以及位置更新数据生成所述HSS网元数据库以及所述HSS信息关系表；根据MME的业务数据确定所述MME网元数据库；根据所述HSS网元数据库、所述HSS信息关系表以及所述MME网元数据库确定所述目标网元关联数据；根据HSS的业务数据确定所述HSS网元路由数据，并根据所述MME的业务数据确定所述MME网元路由数据。

可选的，异常信令检测模块330，具体用于在确定所述待处理信令数据的源主机为HSS的情况下，根据所述HSS网元数据库、所述HSS信息关系表以及所述HSS网元路由数据对所述待处理信令数据进行异常信令检测；在确定所述待处理信令数据的源主机为MME的情况下，根据所述MME网元数据库以及所述MME网元路由数据对所述待处理信令数据进行异常信令检测。

可选的，异常信令检测模块330，具体用于获取所述待处理信令数据的源主机数据、目标国际移动用户识别码IMSI数据以及目标路由数据；在确定所述HSS网元数据库包括待处理信令数据的源主机数据、所述HSS信息关系表包括目标IMSI数据，并且所述HSS网元路由数据包括所述目标路由数据的情况下，确定所述待处理信令数据为正常信令数据。

可选的，异常信令检测模块330，具体用于获取所述待处理信令数据的源主机数据以及目标路由数据；在确定所述MME网元数据库包括所述待处理信令数据的源主机数据，且所述MME网元路由数据包括所述目标路由数据的情况下，确定所述待处理信令数据为正常信令数据。

上述信令检测装置可执行本发明任意实施例所提供的信令检测方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的信令检测方法。

由于上述所介绍的信令检测装置为可以执行本发明实施例中的信令检测方法的装置，故而基于本发明实施例中所介绍的信令检测方法，本领域所属技术人员能够了解本实施例的信令检测装置的具体实施方式以及其各种变化形式，所以在此对于该信令检测装置如何实现本发明实施例中的信令检测方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中信令检测方法所采用的装置，都属于本申请所欲保护的范围。

实施例五

图11为本发明实施例五提供的一种电子设备的结构示意图。图11示出了适于用来实现本发明实施方式的电子设备412的框图。图11显示的电子设备412仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图11所示，电子设备412以通用计算设备的形式表现。电子设备412的组件可以包括但不限于：一个或者多个处理器416，存储装置428，连接不同系统组件(包括存储装置428和处理器416)的总线418。

总线418表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture，ISA)总线，微通道体系结构(Micro Channel Architecture，MCA)总线，增强型ISA总线、视频电子标准协会(Video Electronics Standards Association，VESA)局域总线以及外围组件互连(Peripheral Component Interconnect，PCI)总线。

电子设备412典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备412访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储装置428可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(Random Access Memory，RAM)430和/或高速缓存存储器432。电子设备412可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统434可以用于读写不可移动的、非易失性磁介质(图11未显示，通常称为“硬盘驱动器”)。尽管图11中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如只读光盘(Compact Disc-Read Only Memory，CD-ROM)、数字视盘(Digital Video Disc-Read Only Memory，DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线418相连。存储装置428可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块426的程序436，可以存储在例如存储装置428中，这样的程序模块426包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块426通常执行本发明所描述的实施例中的功能和/或方法。

电子设备412也可以与一个或多个外部设备414(例如键盘、指向设备、摄像头、显示器424等)通信，还可与一个或者多个使得用户能与该电子设备412交互的设备通信，和/或与使得该电子设备412能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(Input/Output，I/O)接口422进行。并且，电子设备412还可以通过网络适配器420与一个或者多个网络(例如局域网(Local AreaNetwork，LAN)，广域网Wide Area Network，WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器420通过总线418与电子设备412的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备412使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of IndependentDisks，RAID)系统、磁带驱动器以及数据备份存储系统等。

处理器416通过运行存储在存储装置428中的程序，从而执行各种功能应用以及数据处理，例如实现本发明上述实施例所提供的信令检测方法，包括：获取待处理信令数据；确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

实施例六

本发明实施例六还提供一种存储计算机程序的计算机存储介质，所述计算机程序在由计算机处理器执行时用于执行本发明上述实施例任一所述的信令检测方法，包括：获取待处理信令数据；确定目标网元关联数据以及归属网元路由数据；其中，目标网元关联数据包括目标网元数据库以及网元信息关系表；根据目标网元关联数据以及归属网元路由数据对待处理信令数据进行异常信令检测。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ReadOnly Memory，ROM)、可擦式可编程只读存储器((Erasable Programmable Read OnlyMemory，EPROM)或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、射频(Radio Frequency，RF)等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims

1.一种信令检测方法，其特征在于，包括：

获取待处理信令数据；

确定目标网元关联数据以及归属网元路由数据；其中，所述目标网元关联数据包括目标网元数据库以及网元信息关系表；

根据所述目标网元关联数据以及所述归属网元路由数据对所述待处理信令数据进行异常信令检测。

2.根据权利要求1所述的方法，其特征在于，所述获取待处理信令数据，包括：

获取原始流量数据；

确定所述原始流量数据的目标检测数据；其中，所述目标检测数据包括协议规范数据、主机域规则数据、主机地址黑名单数据、关注主机地址数据以及目标命令码数据中的至少一项；

根据所述目标检测数据筛选所述原始流量数据，得到所述待处理信令数据。

3.根据权利要求2所述的方法，其特征在于，所述根据所述目标检测数据筛选所述原始流量数据，得到所述待处理信令数据，包括：

根据所述原始流量数据、所述原始流量数据的协议接口以及所述协议规范数据，确定协议筛选信令数据；

根据所述协议筛选信令数据、所述协议筛选信令数据的源主机地址数据、所述协议筛选信令数据的目的主机地址数据以及所述主机域规则数据，确定主机域筛选信令数据；

根据所述主机域筛选信令数据、所述主机域筛选信令数据的源主机地址数据以及所述主机地址黑名单数据，确定黑名单筛选信令数据；

根据所述黑名单筛选信令数据、所述黑名单筛选信令数据的源主机地址数据以及所述关注主机地址数据，确定关注主机地址筛选信令数据；

根据所述关注主机地址筛选信令数据、所述关注主机地址筛选信令数据的待处理命令码数据以及所述目标命令码数据，确定所述待处理信令数据。

4.根据权利要求1所述的方法，其特征在于，所述归属网元路由数据包括归属签约用户服务器HSS网元路由数据以及移动管理实体MME网元路由数据，所述目标网元数据库包括HSS网元数据库以及MME网元数据库，所述网元信息关系表包括HSS信息关系表，所述确定目标网元关联数据以及归属网元路由数据，包括：

根据用户鉴权标识以及位置更新数据生成所述HSS网元数据库以及所述HSS信息关系表；

根据MME的业务数据确定所述MME网元数据库；

根据所述HSS网元数据库、所述HSS信息关系表以及所述MME网元数据库确定所述目标网元关联数据；

根据HSS的业务数据确定所述HSS网元路由数据，并根据所述MME的业务数据确定所述MME网元路由数据。

5.根据权利要求4所述的方法，其特征在于，所述根据所述目标网元关联数据以及所述归属网元路由数据对所述待处理信令数据进行异常信令检测，包括：

在确定所述待处理信令数据的源主机为HSS的情况下，根据所述HSS网元数据库、所述HSS信息关系表以及所述HSS网元路由数据对所述待处理信令数据进行异常信令检测；

在确定所述待处理信令数据的源主机为MME的情况下，根据所述MME网元数据库以及所述MME网元路由数据对所述待处理信令数据进行异常信令检测。

6.根据权利要求5所述的方法，其特征在于，所述根据所述HSS网元数据库、所述HSS信息关系表以及所述HSS网元路由数据对所述待处理信令数据进行异常信令检测，包括：

获取所述待处理信令数据的源主机数据、目标国际移动用户识别码IMSI数据以及目标路由数据；

在确定所述HSS网元数据库包括待处理信令数据的源主机数据、所述HSS信息关系表包括目标IMSI数据，并且所述HSS网元路由数据包括所述目标路由数据的情况下，确定所述待处理信令数据为正常信令数据。

7.根据权利要求5所述的方法，其特征在于，所述根据所述MME网元数据库以及所述MME网元路由数据对所述待处理信令数据进行异常信令检测，包括：

获取所述待处理信令数据的源主机数据以及目标路由数据；

在确定所述MME网元数据库包括所述待处理信令数据的源主机数据，且所述MME网元路由数据包括所述目标路由数据的情况下，确定所述待处理信令数据为正常信令数据。

8.一种信令检测装置，其特征在于，包括：

待处理信令数据获取模块，用于获取待处理信令数据；

目标数据确定模块，用于确定目标网元关联数据以及归属网元路由数据；其中，所述目标网元关联数据包括目标网元数据库以及网元信息关系表；

异常信令检测模块，用于根据所述目标网元关联数据以及所述归属网元路由数据对所述待处理信令数据进行异常信令检测。

9.一种电子设备，其特征在于，所述电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一所述的信令检测方法。

10.一种计算机存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一所述的信令检测方法。