CN114513343B - 信令防火墙分级拦截方法、装置、计算机设备及存储介质 - Google Patents
信令防火墙分级拦截方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114513343B CN114513343B CN202210091772.5A CN202210091772A CN114513343B CN 114513343 B CN114513343 B CN 114513343B CN 202210091772 A CN202210091772 A CN 202210091772A CN 114513343 B CN114513343 B CN 114513343B
- Authority
- CN
- China
- Prior art keywords
- signaling
- message
- node
- abnormal
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/33—Flow control; Congestion control using forward notification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q3/00—Selecting arrangements
- H04Q3/0016—Arrangements providing connection between exchanges
- H04Q3/0025—Provisions for signalling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及信令防火墙分级拦截方法、装置、系统、设备及存储介质,防火墙分级拦截方法包括步骤创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;将反制消息发送回信令始发节点。本申请具有高SS7网络中消息传输的时效性、优化信令防火墙的拦截、反制效果,从而提高SS7网络的安全性的效果。
Description
技术领域
本申请涉及信令网络的技术领域,尤其是涉及一种信令防火墙分级拦截方法、装置、系统、设备及存储介质。
背景技术
七号信令系统(即SS7网络)是一种被广泛应用在公共交换电话网、蜂窝通信网络等现代通信网络的共路信令系统。SS7网络是国际电信联盟推荐首选的标准信令系统。为了实现电信业务的互联互通,不同通信运营商之间,特别是不同国家的运营商之间都会采用七号信令系统控制运营商之间业务交换的过程。
随着电信市场的自由化和管制松弛化,SS7网络也越来越容易受到欺诈性的攻击,为了提高SS7网络的安全性,电信运营商普遍通过在SS7网络中搭建信令防火墙,通过逻辑判断以拦截和反制带有欺诈、攻击性的异常消息,达到主动阻止恶意参与者非法访问和破坏SS7网络行为的目的。
通常,信令始发节点发出的消息通过信令转发节点转发至对应的信令接收节点,而信令防火墙串入在信令始发节点和信令转发节点之间,异常消息在到达信令转发节点之前,均由信令防火墙集中分析处理。因此信令防火墙不宜设置过于复杂的逻辑判断,否则将会导致信息传输的延迟,但判断逻辑过于简单则会使信令拦截、反制的效果变差,降低了SS7网络的安全性,因此有待改进。
发明内容
为了提高SS7网络中消息传输的时效性、优化信令防火墙的拦截、反制效果,从而提高SS7网络的安全性,本申请提供了一种信令防火墙分级拦截方法、装置、系统、设备及存储介质。
本申请的上述发明目的一是通过以下技术方案得以实现的:
一种信令防火墙分级拦截方法,包括步骤:
创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;
将反制消息发送回信令始发节点。
通过采用上述技术方案,当信令防火墙识别到异常消息时,由于特殊信令节点预设有判断规则,同样能够用于判断异常消息并生成反制消息,因此通过分发机制将部分或全部异常消息转发至特殊信令节点进行处理,减少了信令防火墙的工作负荷,进而信令防火墙和特殊信令节点均可以设置较为复杂的逻辑判断,优化信令防火墙的拦截、反制效果,同时特殊信令节点的协助,能够同时处理更多的异常消息,反制消息的传输更为及时,提高SS7网络中消息传输的时效性,从而提高SS7网络的安全性。
本申请在一较佳示例中可以进一步配置为:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点的步骤,包括步骤:
当信令防火墙识别到来自信令始发节点的异常消息时,控制信令转发节点将异常消息发送至对应的特殊信令节点。
通过采用上述技术方案,当信令防火墙识别到异常消息时,直接将异常消息发送至特殊信令节点,由特殊信令节点单独负责异常消息的反制处理,这大大减少了信令防火墙反制的工作负荷,进而能够强化信令防火墙其他方面、例如识别、拦截等功能,应用更为灵活。
本申请在一较佳示例中可以进一步配置为:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点的步骤,还包括步骤:
当信令防火墙识别到来自信令始发节点的异常消息时,获取异常消息的异常类型;
基于异常类型,判断异常消息是否属于一级预设异常类型,生成判断结果;
基于判断结果,若异常消息属于一级预设异常类型,则根据第一分发规则,控制信令转发节点将异常消息转发至对应的特殊信令节点。
通过采用上述技术方案,信令防火墙识别到异常消息时,能够根据异常消息的类型进行判断,决定是否将该异常消息转发至特殊信令节点进行处理,若无需转发至特殊信令节点,则由信令防火墙独自处理,若需转发,则根据分发的规则发送至对应的特殊信令节点进行处理,使得异常消息的处理规范化,能够在一定程度上提高异常消息处理的效率。
本申请在一较佳示例中可以进一步配置为:特殊信令节点包括占用信令网资源的前置信令处理节点和若干个不占用信令网资源的本地信令处理节点,所述步骤当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息,还包括步骤:
当前置信令处理节点接收到异常消息时,将异常消息按照第二分发规则分发至对应的本地信令处理节点;
当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
将反制消息发送回前置信令处理节点。
通过采用上述技术方案,由于SS7信令网的资源有限,前置信令处理节点占用信令网资源,例如占用源点码PC和GT等资源,而在一个前置信令处理节点的基础上通讯连接多个不占用资源的本地信令处理节点,并将异常消息的判断、反制消息的生成均设置在本地信令处理节点,则能够减少对SS7网络资源的占用,同时也减少占用资源的成本付出。
本申请在一较佳示例中可以进一步配置为:当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息的步骤,还包括步骤:
当前置信令处理节点接收到异常消息时,获取异常消息的异常类型;
若异常类型属于二级预设异常类型,则根据第二分发规则,将异常消息转发至对应的本地信令处理节点;
当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
将反制消息发送回前置信令处理节点。
通过采用上述技术方案,通过第二级预设异常类型以及第二分发规则,能够对异常消息再次进一步划分,判断是由前置信令处理节点或由本地信令处理节点进行处理,实现分级反制,用户能够根据自身需求进行分发规则的设置,从而使得设置更为灵活。
本申请在一较佳示例中可以进一步配置为:创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点的步骤之后,还包括步骤:
当信令防火墙识别到信令消息时,将信令消息发送至大数据分析平台;
基于大数据分析平台,获取所述信令消息的内容数据和频次数据;
基于内容数据和频次数据,判断信令消息是否构成异常消息,若构成异常消息,则将该信令消息标记为异常消息并更新至所述历史异常消息集。
通过采用上述技术方案,利用大数据平台进行异常消息的实时更新,能够更为及时、有效地识别和拦截新类型的异常信息,做到动态数据更新;当新类型的异常消息首次被信令防火墙识别时,将信令消息发送至大数据平台,提取信令消息的内容数据以及发送频次数据,即识别到敏感内容或该信息频繁发送后,将会对该信令消息标记为异常消息,并将其纳入历史异常消息集中。
本申请的上述发明目的二是通过以下技术方案得以实现的:
一种信令防火墙分级拦截装置,包括:
创建转接模块,用于创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
消息分发模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
反制生成模块,用于当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;
反制发送模块,用于将反制消息发送回信令始发节点。
通过采用上述技术方案,当信令防火墙识别到异常消息时,由于特殊信令节点预设有判断规则,同样能够用于判断异常消息并生成反制消息,因此通过分发机制将部分异常消息转发至特殊信令节点进行处理,减少了信令防火墙的工作负荷,进而信令防火墙和特殊信令节点均可以设置较为复杂的逻辑判断,优化信令防火墙的拦截、反制效果,同时特殊信令节点的协助,能够同时处理更多的异常消息,反制消息的回传更为及时,提高SS7网络中消息传输的时效性,从而提高SS7网络的安全性。
申请的上述发明目的三是通过以下技术方案得以实现的:
一种信令防火墙分级拦截系统,包括防火墙端和特殊信令端;防火墙端用于与信令始发节点、信令转发节点通信连接,信令转发节点与特殊信令端通信连接,防火墙端设置用于识别、拦截并反制由信令始发节点发出的信令消息,防火墙端设置有判断规则、一级预设异常类型以及第一分发规则;特殊信令节点设置有判断规则、二级预设异常类型以及第二分发规则;
当未识别到异常消息时,防火墙端用于控制信令转发节点将信令消息发送至信令接收节点,当识别到异常消息时,防火墙端用于将异常消息拦截并根据分发机制判断是否将异常消息发送至特殊信令端,若无需转发至特殊信令端,则生成反制消息发送至信令始发节点,若需转发至特殊信令端,防火墙端用于控制信令转发节点将异常消息发送至信特殊信令端,特殊信令端用于在接收到异常信息时生成反制消息,并通过信令转发节点将反制消息发送至信令始发节点。
通过采用上述技术方案,在SS7网络中,信令始发节点发出信令消息,都经过防火墙端的识别,若识别为正常的信令消息,则将信令消息通过信令转发节点转发至待接收此信息的信令接收节点。
若防火墙识别为异常消息,则先判断是否将异常消息发送至特殊信令端,若无需转发,则防火墙自身经过逻辑判断生成反制消息发送至发出该异常消息的信令始发节点,若需要转发至其他特殊信令端,则根据分发机制将异常消息发送至对应的特殊信令端,特殊信令端通过判断规则生成反制消息发送回信令转发节点,最终信令转发节点将反制消息发送回信令始发节点,多个特殊信令端和防火墙端均能够同时处理不同类型的异常信息,使得信令防火墙的拦截、反制效果以及消息传输的时效性都得到提升,从而提高SS7网络的安全性。
本申请的上述目的四是通过以下技术方案得以实现的:
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述信令防火墙分级拦截方法的步骤。
本申请的上述目的五是通过以下技术方案得以实现的:
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述信令防火墙分级拦截方法的步骤。
综上所述,本申请包括以下至少一种有益技术效果:
1.信令防火墙和特殊信令节点均可以设置较为复杂的逻辑判断,优化信令防火墙的拦截、反制效果,同时特殊信令节点的协助,能够同时处理更多的异常消息,反制消息的传输更为及时,提高SS7网络中消息传输的时效性,从而提高SS7网络的安全性;
2.由特殊信令节点单独负责异常消息的反制处理,这大大减少了信令防火墙反制的工作负荷,进而能够强化信令防火墙其他方面、例如识别、拦截等功能,应用更为灵活;
3.在一个前置信令处理节点的基础上通讯连接多个不占用资源的本地信令处理节点,并将异常消息的判断、反制消息的生成均设置在本地信令处理节点,则能够减少对SS7网络资源的占用,同时也减少占用资源的成本付出。
4.信令消息发送至大数据平台,提取信令消息的内容数据以及发送频次数据,即识别到敏感内容或该信息频繁发送后,将会对该信令消息标记为异常消息,并将其纳入历史异常消息集中。
附图说明
图1是本申请一实施例的一实现流程图;
图2是本申请另一实施例的一实现流程图;
图3是本申请另一实施例的一实现流程图;
图4是本申请另一实施例的一实现流程图;
图5是本申请另一实施例的一实现流程图;
图6是本申请另一实施例的一实现流程图;
图7是本申请一种信令防火墙分级拦截系统的一原理框图;
图8是本申请一种信令防火墙分级拦截系统的交互图;
图9是本申请一种计算机设备的原理框图。
具体实施方式
以下结合附图1-9对本申请作进一步详细说明。
在以实施例中,如图1所示,本申请公开了一种信令防火墙分级拦截方法,具体包括如下步骤:
S1:创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点。
在本实施例中,特殊信令节点可以为一个也可以为两个或两个以上,反制消息包括Reject消息,Abort消息,Error消息或者包含了假数据的信令消息几种类型;特殊信令节点是指SS7网络中的相互独立网元,这些网元均能够设置用于判断并生成反制消息的规则,也能够赋予其转发信令消息的功能;SS7网络中不同的网元、信令防火墙之间通过SCTP链路的M3UA传输适配层进行数据流的交互,即进行信令消息的传递。
具体的,创建若干个独立于信令防火墙的网元,并赋予网元具有判断并生成反制消息的功能。
进一步的,网元也可赋予其只附带转发信令消息的功能。
S2:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点。
在本实施例中,异常消息是指带有欺诈、攻击、病毒性质的骚扰网络信息;信令始发节点是指发出异常消息的网元;分发机制是指工作人员预设的将异常消息发送至信令转接节点的规则。
具体的,在SS7网络中,当信令防火墙识别到有异常的网络信息时,根据预先制定的分发异常消息的规则,修改转发路径并控制信令转发节点将异常消息根据规则发送至特殊信令节点。
S3:当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息。
在本实施例中,预设的判断规则是指该网元设置的用于分析、判断该异常消息内容、属性数据的逻辑判断规则,是决定反制消息的生成类型的重要前提,每个特殊信令节点预设的判断规则可以相同,也可以互不相同,规则的复杂程度根据需求进行设定。
具体的,当特殊信令节点接收到异常消息时,特殊信令节点根据自身预设的逻辑判断规则,对异常消息的数据流进行分析、判断,并生成对应类型的反制消息。
S4:将反制消息发送回信令始发节点。
具体的,反制消息生成后,将该反制消息发送回发出异常消息的网元,发出异常消息的网元的恶意操作员接收到Reject消息,Abort消息,Error消息后,能够减少其非法访问、破坏SS7网络的行为,恶意操作员接收到假数据的信令消息后,易被假数据消息误导而阻止或减少其对SS7网络的持续攻击。
进一步的,若信令防火墙未识别到异常消息,则控制信令转发节点将信令消息转发至用于接收该正常消息的信令接收节点。
在另一实施例中,步骤S2,包括步骤:
S21:当信令防火墙识别到来自信令始发节点的异常消息时,控制信令转发节点将异常消息发送至对应的特殊信令节点。
具体的,当信令防火墙识别到异常消息时,直接控制信令转发节点将全部的异常消息发送至特殊信令节点,由特殊信令节点单独负责异常消息的反制处理,这大大减少了信令防火墙反制的工作负荷,进而能够强化信令防火墙其他方面、例如识别、拦截等功能,应用更为灵活。
在另一实施例中,步骤S2,参照图2,还包括步骤:
S22:当信令防火墙识别到来自信令始发节点的异常消息时,获取异常消息的异常类型;
S23:基于异常类型,判断异常消息是否属于一级预设异常类型,生成判断结果;
S24:基于判断结果,若异常消息属于一级预设异常类型,则根据第一分发规则,控制信令转发节点将异常消息转发至对应的特殊信令节点。
在本实施例中,异常类型,是指对多个异常消息,根据其共同拥有的内容、属性、来源进行分类而得到分类结果,本实施例共同拥有的性质为来源地址相同,在其他实施例中,共同性质还可以是均带有相同的用户号码、操作码、IMEI、IMSI、诈骗字符、页面链接等,或者均具有广告骚扰性质的信息。
第一分发规则是指按照异常消息的共有内容、属性、来源等性质进行分类进行分发的信息分发规则,分发机制包括判断分发的对象,若根据异常消息类型确定由信令防火墙处理该异常消息,则无需转发该异常消息。
第一预设异常类型是指需特殊信令节点处理的异常消息类型。
具体的,当信令防火墙识别到异常消息后,根据异常消息的分发规则,先判断该异常消息由信令防火墙进行处理或是由是否将异常消息发送至特殊信令节点进行处理。
进一步的,若需要转发,则将异常消息发送至用于处理该类型异常消息的特殊信令节点。
进一步的,若判断该异常消息由信令防火墙进行处理并生成反制消息,则无需将该异常消息进行转发。
在另一实施例中,参照图3,步骤S3之后,还包括步骤:
S31:当前置信令处理节点接收到异常消息时,将异常消息按照第二分发规则分发至对应的本地信令处理节点;
S32:当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
S33:将反制消息发送回前置信令处理节点。
在本实施例中,前置信令处理节点则为占用SS7网络中PC码、GT码资源的节点,本地信令处理节点是指不占用SS7网络资源的本地节点;第二分发规则是用于根据异常类型将异常消息分发至对应的本地处理节点的转发规则。
具体的,当前置信令处理节点接收到异常消息时,根据异常消息的异常类型,将异常消息转发至对应处理该类型的本地信令处理节点,本地信令处理节点生成反制消息,并将反制消息发送回前置信令处理节点。
在另一实施例中,前置信令处理节点设置有若干个,当前置信令处理节点接收到异常消息时,由多干个前置信令处理节点进行处理并生产反制消息,生成反制消息后将反制消息转发至信令转发节点,信令转发节点再将反制消息转发至信令始发节点。
在另一实施例中,参照图4,步骤S3,还包括步骤:
S34:当前置信令处理节点接收到异常消息时,获取异常消息的异常类型;
S35:若异常类型属于二级预设异常类型,则根据第二分发规则,将异常消息转发至对应的本地信令处理节点;
S36:当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
S37:将反制消息发送回前置信令处理节点。
在本实施例中,二级预设异常类型,是指用户号码相同,在其他实施例中,二级预设异常类型还可以为操作码、IMEI、IMSI、诈骗字符、页面链接等,第二分发规则是指根据用户号码判断由前置信令处理节点或本地信令处理节点处理该异常消息,并根据操作码、IMEI、IMSI、诈骗字符、页面链接等性质选择需要转发的本地信令处理节点。
具体的,当前置信令处理节点接收到异常消息时,分析异常类型属不属于二级预设异常类型,若属于二级异常类型,则根据第二分发规则,将异常消息分发至对应的能够处理该类型的本地信令处理节点,本地信令处理节点根据自身的判断规则生成反制消息发送至前置信令处理节点。
在另一实施例中,参照图5,在步骤S1之前,还包括步骤:
S01:获取历史异常消息集,基于分类规则生成若干不同的所述异常消息类型;
S02:基于不同的所述异常类型,生成相对应的若干所述判断规则;
S03:将若干判断规则一一对应地匹配至若干特殊信令节点。
在本实施例中,历史异常消息是指通过历史接收到的异常消息集合,通过互联网或调查可进行收集。
具体的,调查收集历史出现过的异常消息,并将异常消息进行分类,得到不同的异常类型,并基于异常类型,生成对应判断该类型异常消息的判断规则,例如来自美国的异常消息,则生成用于处理美国异常消息的判断规则,以生成用于反制美国异常消息的反制消息。
进一步的,将判断规则一一对应匹配到若干特殊信令节点,则每个特殊信令节点能够处理不同类型的异常信息,或每个特殊信令节点均处理同种类的异常信息。
进一步的,特殊信令节点设置多个,则能根据异常消息的种类设置多种逻辑判断规则,多个特殊信令节点分类处理不同的异常消息,针对性地生成反制消息,处理的时效性提高,则逻辑判断的复杂程度也能够相应复杂化,使得信令防火墙的反制效果更好,SS7网络更为安全。
在另一实施例中,参照图6,在步骤S14之后,还包括步骤:
S15:当信令防火墙识别到信令消息时,将信令消息发送至大数据分析平台;
S16:基于大数据分析平台,获取所述信令消息的内容数据和频次数据;
S17:基于内容数据和频次数据,判断信令消息是否构成异常消息,若构成异常消息,则将该信令消息标记为异常消息并更新至所述历史异常消息集。
在本实施例中,大数据分析平台用于接收信令防火墙识别的信令消息,并实时对该信令消息进行分析。内容数据是指信令消息的内容,频次消息是指大数据平台接收到该信令消息的频率和次数。
具体的,当信令防火墙识别到信令消息时,将信令消息实时发送至大数据分析平台,大数据分析平台实时获取所接收到的信令消息的内容数据以及该信息发送的频率和次数;
进一步的,通过分析该信令消息的内容以及其发送的频次,分析判断该信令消息是否构成异常消息,例如该信令消息每天发送的次数过于频繁,且发送的内容中带有欺诈性、诱导性的字符,则判定该信令消息为异常消息;当信令消息被判定为异常消息时,则将该信令消息进行标记并更新至历史异常消息集。
进一步的,当信令消息频繁发送后,该信令消息则被识别已存储在异常消息集内,进而被拦截。
在一实施例中,在SS7网络中,当信令始发节点发出信令消息时,信令防火墙识别该信令消息,若该信令消息不构成异常消息,则信令防火墙放通该信令消息,该信令消息则通过信令中转节点转发至信令接收节点。
若信令防火墙识别并拦截到异常信息时,获取该异常消息的信令始发节点的IP地址数据,判断该异常消息由信令防火墙或其他特殊信令节点进行处理,若由信令防火墙进行处理,则由信令防火墙生成反制消息并发送至信令始发节点;
若判断由其他特殊信令节点进行处理,则将异常消息分发至用于处理该IP地址数据所在区域的异常消息的前置信令节点,前置信令节点接收到异常消息后,根据二级预设异常类型判断由前置信令处理节点或本地信令处理节点处理该异常消息,若判定由本地信令处理节点进行处理,则通过第二分发规则将异常消息转发至本地信令处理节点,根据该本地信令处理节点预设的判断规则生成反制消息后,将反制消息发送回前置信令处理节点,前置信令处理节点再将反制消息发送至信令转发节点,信令转发节点再将反制消息发送回信令始发节点。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种信令防火墙分级拦截装置,该信令防火墙分级拦截装置与上述实施例中信令防火墙分级拦截方法一一对应。该信令防火墙分级拦截装置包括:
创建转接模块,用于创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
消息分发模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
反制生成模块,用于当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;
反制发送模块,用于将反制消息发送回信令始发节点。
可选的,消息分发模块包括:
防火墙发送子模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,控制信令转发节点将异常消息发送至对应的特殊信令节点;
可选的,消息分发模块还包括:
第一类型判断子模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,获取异常消息的异常类型;
第一异常判断子模块,用于基于异常类型,判断异常消息是否属于一级预设异常类型,生成判断结果;
第一分发子模块,用于基于判断结果,若异常消息属于一级预设异常类型,则根据第一分发规则,控制信令转发节点将异常消息转发至对应的特殊信令节点。
可选的,特殊信令节点包括占用信令网资源的前置信令处理节点和若干个不占用信令网资源的本地信令处理节点,反制生成模块包括:
第二分发子模块,用于当前置信令处理节点接收到异常消息时,将异常消息按照第二分发规则分发至对应的本地信令处理节点;
第一本地反制子模块,用于当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
第一本地发送子模块,用于将反制消息发送回前置信令处理节点。
可选的,反制生成模块还包括:
第二类型获取子模块,当前置信令处理节点接收到异常消息时,获取异常消息的异常类型;
判断分发子模块,用于若异常类型属于二级预设异常类型,则根据第二分发规则,将异常消息转发至对应的本地信令处理节点;
第二本地反制子模块,用于当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
第二本地发送子模块,用于将反制消息发送回前置信令处理节点。
可选的,信令防火墙分级拦截装置还包括:
历史消息模块,用于获取历史异常消息集,基于分类规则生成若干不同的所述异常消息类型;
规则生成模块,用于基于不同的所述异常消息类型,生成相对应的若干所述判断规则;
规则匹配模块,用于将若干判断规则一一对应地匹配至若干特殊信令节点。
可选的,信令防火墙分级拦截装置还包括:
大数据分析模块,用于当信令防火墙识别到信令消息时,将信令消息发送至大数据分析平台;
内容频次获取模块,用于基于大数据分析平台,获取所述信令消息的内容数据和频次数据;
异常标记模块,用于基于内容数据和频次数据,判断信令消息是否构成异常消息,若构成异常消息,则将该信令消息标记为异常消息并更新至所述历史异常消息集。
关于信令防火墙分级拦截装置的具体限定可以参见上文中对于信令防火墙分级拦截方法的限定,在此不再赘述。上述信令防火墙分级拦截装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一实施例中,提供了一种信令防火墙分级拦截系统,如图7以及图8所示,该信令防火墙分级拦截系统包括:防火墙端和特殊信令端;防火墙端用于与信令始发节点、信令转发节点通信连接,信令转发节点与特殊信令端通信连接;防火墙端设置有判断规则、一级预设异常类型以及第一分发规则;特殊信令节点设置有判断规则、二级预设异常类型以及第二分发规则。
防火墙端为识别到信令始发节点发送的异常消息时,防火墙端用于控制信令转发节点将信令消息发送至信令接收节点,信令始发节点包括源点码为(0-0-1)的信令节点SP1(A网元),信令接收节点包括源点码为(0-1-1)的信令节点SP2(B网元)。
防火墙端,当识别到异常消息时,将异常消息拦截并根据分发机制判断是否将异常消息发送至特殊信令端,若无需转发至特殊信令端,则生成反制消息发送至信令始发端,若需转发至特殊信令端,则控制信令转发节点将异常消息发送至特殊信令端;防火墙端设置有识别异常消息的规则策略、转发、解析以及收发数据接的主程序以及用于控制和管理的WEB程序,主程序通过TCP/IP方式与WEB程序进行通信。信令中转端包括源点码为(0-1-0)的信令转发节点STP。
特殊信令端包括前置信令处理节点和本地信令处理节点,前置信令处理节点和本地信令处理节点均设置有判断规则,前置信令处理节点接收到异常消息时,基于二级预设异常类型和第二分发规则选择由前置信令处理节点或本地信令处理节点处理该异常消息,生成反制消息发送至信令转发节点STP。特殊信令端包括源点码为(0-1-2)的信令节点SP3(C网元),在其他实施例中,还可以设置两个或两个以上的特殊信令端。
防火墙端、SP1、SP2、SP3以及STP均通过SCTP链路进行两两互连的,在SCTP链路的M3UA传输适配层可以进行数据流的交互。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储异常消息、异常类型、反制消息等数据、判断规则以及分发机制等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现信令防火墙分级拦截方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
S1:创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
S2:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
S3:当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;
S4:将反制消息发送回信令始发节点。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
S1:创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
S2:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
S3:当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息;
S4:将反制消息发送回信令始发节点。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (7)
1.一种信令防火墙分级拦截方法,其特征在于:包括步骤:
创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息,反制消息包括Reject消息、Abort消息或Error消息;
将反制消息发送回信令始发节点;
当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点的步骤,包括步骤:
当信令防火墙识别到来自信令始发节点的异常消息时,获取异常消息的异常类型;
基于异常类型,判断异常消息是否属于一级预设异常类型,生成判断结果;
基于判断结果,若异常消息属于一级预设异常类型,则根据第一分发规则,控制信令转发节点将异常消息转发至对应的特殊信令节点;
特殊信令节点包括占用信令网资源的前置信令处理节点和若干个不占用信令网资源的本地信令处理节点,所述步骤当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息,还包括步骤:
当前置信令处理节点接收到异常消息时,将异常消息按照第二分发规则分发至对应的本地信令处理节点;
当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
将反制消息发送回前置信令处理节点。
2.根据权利要求1所述的一种信令防火墙分级拦截方法,其特征在于:当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点的步骤,包括步骤:
当信令防火墙识别到来自信令始发节点的异常消息时,控制信令转发节点将异常消息发送至对应的特殊信令节点。
3.根据权利要求1所述的一种信令防火墙分级拦截方法,其特征在于:当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息的步骤,还包括步骤:
当前置信令处理节点接收到异常消息时,获取异常消息的异常类型;
若异常类型属于二级预设异常类型,则根据第二分发规则,将异常消息转发至对应的本地信令处理节点;
当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
将反制消息发送回前置信令处理节点。
4.根据权利要求1所述的一种信令防火墙分级拦截方法,其特征在于:创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点的步骤之后,还包括步骤:
当信令防火墙识别到信令消息时,将信令消息发送至大数据分析平台;
基于大数据分析平台,获取所述信令消息的内容数据和频次数据;
基于内容数据和频次数据,判断信令消息是否构成异常消息,若构成异常消息,则将该信令消息标记为异常消息并更新至历史异常消息集。
5.一种信令防火墙分级拦截装置,其特征在于:包括:
创建转接模块,用于创建若干个独立于信令防火墙的用于生成反制消息的特殊信令节点;
消息分发模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,根据预设的分发机制,控制信令转发节点将异常消息转发至对应的特殊信令节点;
反制生成模块,用于当所述特殊信令节点接收到异常消息时,基于所述特殊信令节点预设的判断规则,生成反制消息,反制消息包括Reject消息、Abort消息或Error消息;
反制发送模块,用于将反制消息发送回信令始发节点;
消息分发模块还包括:
第一类型判断子模块,用于当信令防火墙识别到来自信令始发节点的异常消息时,获取异常消息的异常类型;
第一异常判断子模块,用于基于异常类型,判断异常消息是否属于一级预设异常类型,生成判断结果;
第一分发子模块,用于基于判断结果,若异常消息属于一级预设异常类型,则根据第一分发规则,控制信令转发节点将异常消息转发至对应的特殊信令节点;
特殊信令节点包括占用信令网资源的前置信令处理节点和若干个不占用信令网资源的本地信令处理节点,反制生成模块包括:
第二分发子模块,用于当前置信令处理节点接收到异常消息时,将异常消息按照第二分发规则分发至对应的本地信令处理节点;
第一本地反制子模块,用于当所述本地信令处理节点接收到异常消息时,基于自身预设的判断规则,生成反制消息;
第一本地发送子模块,用于将反制消息发送回前置信令处理节点。
6.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述信令防火墙分级拦截方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述信令防火墙分级拦截方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210091772.5A CN114513343B (zh) | 2022-01-26 | 2022-01-26 | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210091772.5A CN114513343B (zh) | 2022-01-26 | 2022-01-26 | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114513343A CN114513343A (zh) | 2022-05-17 |
| CN114513343B true CN114513343B (zh) | 2022-10-04 |
Family
ID=81549096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210091772.5A Active CN114513343B (zh) | 2022-01-26 | 2022-01-26 | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513343B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5949871A (en) * | 1996-02-20 | 1999-09-07 | Hewlett-Packard Company | Method and apparatus for providing a service in a switched telecommunications system wherein a control message is altered by a receiving party |
| CN102932316A (zh) * | 2011-08-08 | 2013-02-13 | 上海粱江通信技术有限公司 | 信令防火墙系统及实现方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| CN105763515A (zh) * | 2014-12-19 | 2016-07-13 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的方法 |
| CN105873063A (zh) * | 2015-12-28 | 2016-08-17 | 中国人民解放军信息工程大学 | 一种移动通信网间信令防护方法和装置 |
| CN107360182A (zh) * | 2017-08-04 | 2017-11-17 | 南京翼辉信息技术有限公司 | 一种用于嵌入式的主动网络防御系统及其防御方法 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN110392023A (zh) * | 2018-04-20 | 2019-10-29 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法及装置 |
| CN112910921A (zh) * | 2021-03-02 | 2021-06-04 | 中核武汉核电运行技术股份有限公司 | 一种工控边界网络安全防护方法 |
| CN113543138A (zh) * | 2021-07-15 | 2021-10-22 | 恒安嘉新(北京)科技股份公司 | 异常电话拦截系统、方法及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130152156A1 (en) * | 2011-12-12 | 2013-06-13 | Mcafee, Inc. | Vpn support in a large firewall cluster |
-
2022
- 2022-01-26 CN CN202210091772.5A patent/CN114513343B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5949871A (en) * | 1996-02-20 | 1999-09-07 | Hewlett-Packard Company | Method and apparatus for providing a service in a switched telecommunications system wherein a control message is altered by a receiving party |
| CN102932316A (zh) * | 2011-08-08 | 2013-02-13 | 上海粱江通信技术有限公司 | 信令防火墙系统及实现方法 |
| CN105763515A (zh) * | 2014-12-19 | 2016-07-13 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| CN105873063A (zh) * | 2015-12-28 | 2016-08-17 | 中国人民解放军信息工程大学 | 一种移动通信网间信令防护方法和装置 |
| CN107360182A (zh) * | 2017-08-04 | 2017-11-17 | 南京翼辉信息技术有限公司 | 一种用于嵌入式的主动网络防御系统及其防御方法 |
| CN110392023A (zh) * | 2018-04-20 | 2019-10-29 | 中移(杭州)信息技术有限公司 | 基于7号信令网络的网络入侵检测方法及装置 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN112910921A (zh) * | 2021-03-02 | 2021-06-04 | 中核武汉核电运行技术股份有限公司 | 一种工控边界网络安全防护方法 |
| CN113543138A (zh) * | 2021-07-15 | 2021-10-22 | 恒安嘉新(北京)科技股份公司 | 异常电话拦截系统、方法及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114513343A (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112367321B (zh) | 快速构建服务调用的方法及中台api网关 | |
| EP3437313B1 (en) | Method and system for detection of interconnect bypass using test calls to real subscribers | |
| US11956382B2 (en) | Validating telephone calls by verifying entity identities using blockchains | |
| CN115174269B (zh) | Linux主机网络通信安全防护方法和装置 | |
| US6856982B1 (en) | System, intelligent network service engine and method for detecting a fraudulent call using real time fraud management tools | |
| CN109936560A (zh) | 恶意软件防护方法及装置 | |
| CN113132308B (zh) | 一种网络安全防护方法及防护设备 | |
| KR102156891B1 (ko) | 인공지능 머신러닝 행위 기반 웹 프로토콜 분석을 통한 웹 공격 탐지 및 차단 시스템 및 방법 | |
| CN114513343B (zh) | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 | |
| CN100586124C (zh) | 根据send机制来保证用于处理数据分组的通信设备的安全 | |
| CN114285626A (zh) | 一种蜜罐攻击链构建方法及蜜罐系统 | |
| US11039316B2 (en) | Contextual signaling system 7 (SS7) firewall and associated method of use | |
| EP3018876B1 (en) | Monitoring of signalling traffic | |
| CN113795002B (zh) | 垃圾短信的拦截方法、装置和计算机可读存储介质 | |
| US20060206593A1 (en) | Use of discovery scanning and method of IP only communication to identify owners and administrators of network attached devices | |
| CN111698683B (zh) | 网络安全控制方法、装置、存储介质及计算机设备 | |
| CN110661922B (zh) | 一种通话控制方法、网络设备及系统 | |
| CN114710337B (zh) | 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 | |
| US20150223065A1 (en) | Network Signalling Message Verification | |
| RU2517438C2 (ru) | Способ и система для распределения отчетов о доставке | |
| CN111585972A (zh) | 面向网闸的安全防护方法、装置及网络系统 | |
| CN114301635B (zh) | 访问控制方法、装置和服务器 | |
| US20230319547A1 (en) | Device identification for newly connecting devices using mac randomization on a network | |
| CN111327604B (zh) | 数据处理系统及其方法 | |
| CN108632090B (zh) | 网络管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Signaling firewall hierarchical interception method, device, computer equipment, and storage medium Effective date of registration: 20230506 Granted publication date: 20221004 Pledgee: Bank of China Limited Guangzhou Yuexiu Branch Pledgor: GUANGZHOU MORISE COMM Co.,Ltd. Registration number: Y2023980039848 |