CN115633359A - Pfcp会话安全检测方法、装置、电子设备和存储介质 - Google Patents
Pfcp会话安全检测方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115633359A CN115633359A CN202211240036.8A CN202211240036A CN115633359A CN 115633359 A CN115633359 A CN 115633359A CN 202211240036 A CN202211240036 A CN 202211240036A CN 115633359 A CN115633359 A CN 115633359A
- Authority
- CN
- China
- Prior art keywords
- suspicious
- class
- session
- information
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种PFCP会话安全检测方法、装置、电子设备和存储介质,其中,该方法包括:获取PFCP会话的流量信息;将流量信息中的地址信息与白名单比较,判断流量信息是否为一类可疑报文;根据网络存储库功能确定一类可疑报文是否为一类攻击报文;若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;将出现频率的统计分布和合理阈值区间比较,判断对应的流量信息是否为二类可疑报文;根据策略控制功能确定二类可疑报文是否为二类攻击报文。通过本发明,解决了相关技术中存在的缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
Description
技术领域
本发明涉及5G安全检测领域,尤其涉及一种PFCP会话安全检测方法、装置、电子设备和存储介质。
背景技术
5G(5th Generation Mobile Communication Technology)是新一代信息通信技术演进升级的重要方向,对于5G通信安全的检测越发重要。针对5G面临的安全问题,在不断引进新的安全机制和技术,这些安全机制和技术是确保5G网络得以安全稳定运性的基础。然而,安全检测方法和技术也是非常重要的内容。在5G网络中,核心网采用服务化接口实现网元之间的交互,3GPP(3rd Generation Partnership Project)标准定义了服务化接口之间采用HTTPS(Hypertext Transfer Protocol Secure)和Oauth2.0(OpenAuthorization2.0)的机制来确保接口的认证鉴权和传输加密,保障服务化接口之间的安全。然而,对于控制面与用户面之间的N4接口通信的安全防护以边界保护为主,边界部署安全防护设备进行安全攻击检测和处理。若攻击者绕过边界防护设备,通过构造N4接口消息发起内部攻击,将对用户的会话造成拒绝服务等安全风险。
现有对5G安全的检测技术主要关注整体的安全测试架构和流程,虽然关注的安全测试内容较多,但是针对性的对于5G接口、协议的安全风险问题,并没有细粒度的安全检测方法。尤其是针对控制面与用户面的N4接口,在基于PFCP(Packet Forwarding ControlProtocol,报文转发控制协议)交互时,其安全问题会影响到整体用户的流量安全,包括恶意用户篡改N4会话消息导致用户流量丢弃或者重定向至指定恶意地址、或者发起N4会话拒绝服务攻击导致正常的N4消息无法发送至UPF(User Plane Function,用户面功能),造成用户面流量中断。因此,现有技术中存在缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
发明内容
本发明提供了一种PFCP会话安全检测方法、装置、电子设备和存储介质,以至少解决相关技术中存在缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
根据本发明实施例的第一方面,提供了一种PFCP会话安全检测方法,该方法包括:获取PFCP会话的流量信息;将所述流量信息中的地址信息与白名单比较,若所述地址信息不在所述白名单内,则判断所述流量信息为一类可疑报文,其中,所述白名单包括合法的会话管理功能和用户面功能的互联网协议地址;根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文,结束检测;若所述一类可疑报文合法或所述地址信息在所述白名单内,统计所述流量信息中会话信息的出现频率,得到所述出现频率的统计分布;将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文;根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文,结束检测。
可选地,所述方法还包括:根据预设周期获取PFCP会话的流量信息;按照顺序在每个预设周期内根据获取的PFCP会话的流量信息执行与白名单比较,根据网络存储库功能判断一类可疑报文是否合法,统计会话信息出现频率,与合理阈值区间比较以及根据策略控制功能判断二类可疑报文是否合法的步骤。
可选地,所述根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文包括:确定核心网网元中的网络存储库功能中是否记录所述一类可疑报文中的地址信息;若所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中存在记录,则判断所述一类可疑报文合法,将所述一类可疑报文中的地址信息加入所述白名单;若所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中不存在记录,则判断所述一类可疑报文不合法,是一类攻击报文,生成一类攻击告警。
可选地,所述根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文包括:根据流量信息中的会话端点标识符判断会话信息是否与核心网网元中的策略控制功能响应参数相符;若所述会话信息与所述核心网网元中的策略控制功能响应参数相符,则判断所述二类可疑报文合法,更新所述会话信息出现频率的统计分布;若所述会话信息与所述核心网网元中的策略控制功能响应参数不相符,则判断所述二类可疑报文不合法,是二类攻击报文,生成二类攻击告警。
可选地,所述将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文包括:对任一预设周期内会话信息的出现频率进行均值和方差计算,得到所述出现频率的统计分布;将所述出现频率的统计分布与由均值加减方差确定的合理阈值区间比较;若所述出现频率小于均值减方差或大于均值加方差,则判断所述出现频率对应的流量信息为二类可疑报文。
可选地,在所述根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法之后,所述方法还包括:若所述二类可疑报文合法,根据当前预设周期下的统计分布更新合理阈值区间。
可选地,所述获取PFCP会话的流量信息包括:在用户面功能和会话管理功能间的N4接口通过旁路监听的方式获取PFCP会话的流量信息,其中,所述旁路监听的方式包括网络流量镜像或者分光的方式。
根据本发明实施例的第二方面,还提供了一种PFCP会话安全检测装置,该装置包括:第一获取模块,用于获取PFCP会话的流量信息;第一比较模块,用于将所述流量信息中的地址信息与白名单比较,若所述地址信息不在所述白名单内,则判断所述流量信息为一类可疑报文,其中,所述白名单包括合法的会话管理功能和用户面功能的互联网协议地址;第一确定模块,用于根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文,结束检测;统计模块,用于当所述一类可疑报文合法或所述地址信息在所述白名单内,统计所述流量信息中会话信息的出现频率,得到所述出现频率的统计分布;第二比较模块,用于将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文;第二确定模块,用于根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文,结束检测。
可选地,所述装置还包括:第二获取模块,用于根据预设周期获取PFCP会话的流量信息;执行模块,用于按照顺序在每个预设周期内根据获取的PFCP会话的流量信息执行与白名单比较,根据网络存储库功能判断一类可疑报文是否合法,统计会话信息出现频率,与合理阈值区间比较以及根据策略控制功能判断二类可疑报文是否合法的步骤。
可选地,第一确定模块包括:确定单元,用于确定核心网网元中的网络存储库功能中是否记录所述一类可疑报文中的地址信息;第一判断单元,用于当所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中存在记录,则判断所述一类可疑报文合法,将所述一类可疑报文中的地址信息加入所述白名单;第二判断单元,用于当所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中不存在记录,则判断所述一类可疑报文不合法,是一类攻击报文,生成一类攻击告警。
可选地,第二确定模块包括:第一判断单元,用于根据流量信息中的会话端点标识符判断会话信息是否与核心网网元中的策略控制功能响应参数相符;第二判断单元,用于当所述会话信息与所述核心网网元中的策略控制功能响应参数相符,则判断所述二类可疑报文合法,更新所述会话信息出现频率的统计分布;第三判断单元,用于当所述会话信息与所述核心网网元中的策略控制功能响应参数不相符,则判断所述二类可疑报文不合法,是二类攻击报文,生成二类攻击告警。
可选地,第二比较模块包括:计算单元,用于对任一预设周期内会话信息的出现频率进行均值和方差计算,得到所述出现频率的统计分布;比较单元,用于将所述出现频率的统计分布与由均值加减方差确定的合理阈值区间比较;判断单元,用于当所述出现频率小于均值减方差或大于均值加方差,则判断所述出现频率对应的流量信息为二类可疑报文。
可选地,所述装置还包括:更新模块,用于当所述二类可疑报文合法,根据当前预设周期下的统计分布更新合理阈值区间。
可选地,获取模块包括:获取单元,用于在用户面功能和会话管理功能间的N4接口通过旁路监听的方式获取PFCP会话的流量信息,其中,所述旁路监听的方式包括网络流量镜像或者分光的方式。
根据本发明实施例的第三方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;其中,存储器,用于存储计算机程序;处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行上述任一实施例中的方法步骤。
根据本发明实施例的第四方面,还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一实施例中的方法步骤。
在本发明实施例中,通过获取PFCP会话的流量信息;将流量信息中的地址信息与白名单比较,判断流量信息是否为一类可疑报文;根据网络存储库功能确定一类可疑报文是否为一类攻击报文;若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;将出现频率的统计分布和合理阈值区间比较,判断对应的流量信息是否为二类可疑报文;根据策略控制功能确定二类可疑报文是否为二类攻击报文。由于一方面根据地址与白名单的比较对报文来源的可信性进行了判断,实现了对来自网络层的攻击进行防范的目的;另一方面,通过对会话信息检测,统计会话信息出现频率与合理阈值区间进行比较,实现了对5G协议的安全攻击进行检测防范的目的,通过与核心网网元交互进一步对可疑报文确认,达到了有效、可靠检测N4接口攻击行为的效果。通过本发明,解决了相关技术中存在的缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
在本发明实施例中,通过与核心网网元中的网络存储库功能交互,当一类可疑报文中的地址信息在网络存储库功能中存在记录时,将一类可疑报文中的地址信息加入白名单,达到了在检测过程中对白名单的实时更新,提高了检测的效率。
在本发明实施例中,通过生成一类攻击告警或二类攻击告警,达到了对用户及时提醒的效果,并且根据告警类型能够判断是来自网络层的攻击还是协议层的安全攻击,提高了检测结果的具体性和可用性。
在本发明实施例中,通过与核心网网元中的策略控制功能交互,当会话信息与策略控制功能响应参数相符时,更新会话信息出现频率的统计分布,达到了实时更新检测信息的效果,提高了检测的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种可选的PFCP会话安全检测方法的硬件环境的示意图;
图2是根据本发明实施例的一种可选的PFCP会话安全检测方法的流程示意图;
图3是根据本发明实施例的一种可选的PFCP会话安全检测方法的整体流程示意图;
图4是根据本发明实施例的一种可选的PFCP会话安全检测架构图;
图5是根据本发明实施例的一种可选的PFCP会话安全检测装置的结构框图;
图6是根据本发明实施例的一种可选的电子设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的第一方面,提供了一种PFCP会话安全检测方法。可选地,在本实施例中,上述PFCP会话安全检测方法可以应用于如图1所示的硬件环境中。如图1所示,终端102中可以包含有存储器104、处理器106和显示器108(可选部件)。终端102可以通过网络110与服务器112进行通信连接,该服务器112可用于为终端或终端上安装的客户端提供服务(如应用服务等),可在服务器112上或独立于服务器112设置数据库114,用于为服务器112提供数据存储服务。此外,服务器112中可以运行有处理引擎116,该处理引擎116可以用于执行由服务器112所执行的步骤。
可选地,终端102可以但不限于为可以计算数据的终端,如移动终端(例如手机、平板电脑)、笔记本电脑、PC(Personal Computer,个人计算机)机等终端上,上述网络可以包括但不限于无线网络或有线网络。其中,该无线网络包括:蓝牙、WIFI(Wireless Fidelity,无线保真)及其他实现无线通信的网络。上述有线网络可以包括但不限于:广域网、城域网、局域网。上述服务器112可以包括但不限于任何可以进行计算的硬件设备。
此外,在本实施例中,上述PFCP会话安全检测方法还可以但不限于应用于处理能力较强大的独立的处理设备中,而无需进行数据交互。例如,该处理设备可以但不限于为处理能力较强大的终端设备,即,上述PFCP会话安全检测方法中的各个操作可以集成在一个独立的处理设备中。上述仅是一种示例,本实施例中对此不作任何限定。
可选地,在本实施例中,上述PFCP会话安全检测方法可以由服务器112来执行,也可以由终端102来执行,还可以是由服务器112和终端102共同执行。其中,终端102执行本发明实施例的PFCP会话安全检测方法也可以是由安装在其上的客户端来执行。
以PFCP会话安全检测方法应用于中央处理单元为例,图2是根据本发明实施例的一种可选的PFCP会话安全检测方法的流程示意图,如图2所示,该方法的流程可以包括以下步骤:
步骤S201,获取PFCP会话的流量信息。可选地,本发明的方法面向用户的PDU(Protocol Data Unit)会话,实时监测核心网对用户面流量的控制情况。需要说明的是,在用户建立PDU会话的流程中,会同步建立N4会话,N4会话又称为PFCP会话。对PFCP会话安全进行检测,首先要获取PFCP会话的流量信息,然后对用户会话建立过程中的N4会话进行数据分析。其中,监测的信息可以包括PFCP会话建立请求/响应(PFCP SessionEstablishment Request/Response)、PFCP会话修改请求/响应(PFCP SessionModification Request/Response)、PFCP会话删除请求/响应(PFCP Session DeletionRequest/Response)、PDR(Packet Detection Rule,包检测规则)以及FAR(ForwardingAction Rule,包转发规则)中的参数信息,也可以是其他会话数据,通过分析会话信息是否合法对会话安全进行检测。
步骤S202,将流量信息中的地址信息与白名单比较,若地址信息不在白名单内,则判断流量信息为一类可疑报文,其中,白名单包括合法的会话管理功能和用户面功能的互联网协议地址。可选地,将PFCP会话的流量信息中的地址信息与白名单比较,判断该地址信息是否合法。具体地,若地址信息不在白名单内,则认为该流量信息的来源不一定可信,判断该流量信息是一类可疑报文。
步骤S203,根据核心网网元中的网络存储库功能确定一类可疑报文是否合法,若不合法,则判断一类可疑报文是一类攻击报文,结束检测。可选地,通过与核心网网元中的网络存储库功能NRF交互,确认一类可疑报文是否合法,如果不合法则判断该一类可疑报文是一类攻击报文,结束检测。
步骤S204,若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布。可选地,如果步骤S202中地址信息在白名单内或步骤S203中一类可疑报文合法,则进一步对该会话流量信息中的会话参数检测。具体地,统计流量信息中会话信息的出现频率,得到出现频率的统计分布。需要说明的是,会话信息可以是报文转发控制协议PFCP中的包检测规则PDR参数和包转发规则FAR参数。如PDR ID/FARID、PDI(Packet Detection Information,包检测信息)、FAR IE(Forwarding Action RuleInformation Element,包转发规则信息元素)等,其中PDR ID/FAR ID决定检测到的报文如何检测和转发,PDI定义了包检测的详细规则,每个PDR必须包含一个PDI,PDI中包括包的上下行、包来自用户的IP地址、IPv4/IPv6等信息,FAR IE主要是对检测到包的转发规则,例如是转发至某个IP地址、丢弃等。会话信息可以是以上提到的信息也可以是其他有用的会话中包含的信息,通过统计流量信息中会话信息的出现频率,得到出现频率的统计分布。
步骤S205,将出现频率的统计分布和合理阈值区间比较,若出现频率的统计分布超过合理阈值区间,则判断出现频率的统计分布对应的流量信息为二类可疑报文。可选地,将出现频率的统计分布和合理阈值区间比较,如果超过合理阈值区间则认为是二类可疑报文。合理阈值区间可以在进行比较前预先确定,也可以根据预设周期内的统计情况得到,默认这一段时间窗口即预设周期内的行为都是正常合法的。
步骤S206,根据核心网网元中的策略控制功能确定二类可疑报文是否合法,若不合法,则判断二类可疑报文是二类攻击报文,结束检测。可选地,与核心网网元中的策略控制功能PCF交互,确定二类可疑报文是否合法,如果不合法,则判断二类可疑报文是二类攻击报文。
在本发明实施例中,通过获取PFCP会话的流量信息;将流量信息中的地址信息与白名单比较,判断流量信息是否为一类可疑报文;根据网络存储库功能确定一类可疑报文是否为一类攻击报文;若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;将出现频率的统计分布和合理阈值区间比较,判断对应的流量信息是否为二类可疑报文;根据策略控制功能确定二类可疑报文是否为二类攻击报文。由于一方面根据地址与白名单的比较对报文来源的可信性进行了判断,实现了对来自网络层的攻击进行防范的目的;另一方面,通过对会话信息检测,统计会话信息出现频率与合理阈值区间进行比较,实现了对5G协议的安全攻击进行检测防范的目的,通过与核心网网元交互进一步对可疑报文确认,达到了有效、可靠检测N4接口攻击行为的效果。通过本发明,解决了相关技术中存在的缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
作为一种可选的实施例,方法还包括:根据预设周期获取PFCP会话的流量信息;按照顺序在每个预设周期内根据获取的PFCP会话的流量信息执行与白名单比较,根据网络存储库功能判断一类可疑报文是否合法,统计会话信息出现频率,与合理阈值区间比较以及根据策略控制功能判断二类可疑报文是否合法的步骤。
可选地,在会话过程中根据预设周期对会话安全进行检测,如预设周期为10秒,那么在会话进行的过程中,每隔10秒执行一次安全检测。具体地,需要执行的步骤包括:获取10秒内PFCP会话的流量信息,然后根据流量信息中的地址信息与白名单比较,如果地址信息不在白名单中,认为该会话流量信息的来源不一定可信,判断是一类可疑报文。与网络存储库功能NRF交互,根据地址信息在网络存储库功能NRF中是否存在记录判断一类可疑报文是否合法,如果不合法,则认为该一类可疑报文是一类攻击报文。如果合法或者地址信息在白名单内,则进一步统计10秒内流量信息会话信息出现频率,并与合理阈值区间比较,如果超过合理阈值区间,判断是二类可疑报文,然后与核心网网元中的策略控制功能PCF交互判断二类可疑报文是否合法。在本发明实施例中,通过设置预设周期,实现了在会话过程中根据预设周期对会话持续监控的目的。
作为一种可选的实施例,根据核心网网元中的网络存储库功能确定一类可疑报文是否合法,若不合法,则判断一类可疑报文是一类攻击报文包括:确定核心网网元中的网络存储库功能中是否记录一类可疑报文中的地址信息;若一类可疑报文中的地址信息在核心网网元中的网络存储库功能中存在记录,则判断一类可疑报文合法,将一类可疑报文中的地址信息加入白名单;若一类可疑报文中的地址信息在核心网网元中的网络存储库功能中不存在记录,则判断一类可疑报文不合法,是一类攻击报文,生成一类攻击告警。可选地,如图3所示,在确定PFCP会话源/目的地址不在白名单后,认为是一类可疑报文,需要与NRF交互确认IP地址是否记录,如果存在记录,认为一类可疑报文合法,将该IP地址更新到白名单中,并且进一步判断PFCP会话PDR和FAR参数统计是否超过阈值区间;如果不存在记录,认为一类可疑报文不合法是一类攻击报文,生成一类攻击告警。
在本发明实施例中,通过与核心网网元中的网络存储库功能NRF交互,当一类可疑报文中的地址信息在网络存储库功能中存在记录时,将一类可疑报文中的地址信息加入白名单,达到了在检测过程中对白名单的实时更新,提高了检测的效率。通过生成一类攻击告警,达到了对用户及时提醒的效果,并且根据告警类型能够判断是来自网络层的攻击还是协议层的安全攻击,提高了检测结果的具体性和可用性。
作为一种可选的实施例,根据核心网网元中的策略控制功能确定二类可疑报文是否合法,若不合法,则判断二类可疑报文是二类攻击报文包括:根据流量信息中的会话端点标识符判断会话信息是否与核心网网元中的策略控制功能响应参数相符;若会话信息与核心网网元中的策略控制功能响应参数相符,则判断二类可疑报文合法,更新会话信息出现频率的统计分布;若会话信息与核心网网元中的策略控制功能响应参数不相符,则判断二类可疑报文不合法,是二类攻击报文,生成二类攻击告警。可选地,如图3所示,根据核心网网元中的策略控制功能确定二类可疑报文是否合法即与PCF交互确认参数是否正确,具体地,根据会话端点标识符(Session Endpoint Identifier,SEID)向PCF查询PDR和FDR参数,其中,会话端点标识符是会话信息的唯一标识符,可以作为PFCP会话的ID,如果PCF响应参数与二类可疑报文的统计参数相符,则认为二类可疑报文合法,更新统计值,即会话信息PDR和FDR参数的统计值,其中,统计值可以是均值和方差,也可以是多个特征参数的加权平均等,本实施例不做具体限定。如果与PCF交互确认参数不相符,则认为二类可疑报文是二类攻击报文,生成二类攻击告警,供网络其他安全管理系统或人员进一步处置。
在本发明实施例中,通过与核心网网元中的策略控制功能PCF交互,当会话信息与策略控制功能响应参数相符时,更新会话信息出现频率的统计分布,达到了实时更新检测信息的效果,提高了检测的效率。通过生成二类攻击告警,达到了对用户及时提醒的效果,并且根据告警类型能够判断是来自网络层的攻击还是协议层的安全攻击,提高了检测结果的具体性和可用性。
作为一种可选的实施例,将出现频率的统计分布和合理阈值区间比较,若出现频率的统计分布超过合理阈值区间,则判断出现频率的统计分布对应的流量信息为二类可疑报文包括:对任一预设周期内会话信息的出现频率进行均值和方差计算,得到出现频率的统计分布;将出现频率的统计分布与由均值加减方差确定的合理阈值区间比较;若出现频率小于均值减方差或大于均值加方差,则判断出现频率对应的流量信息为二类可疑报文。可选地,在会话进行的过程中,在一个预设周期内,将均值和方差作为该周期内会话信息的统计分布。将该统计分布与由均值减方差和均值加方差确定的合理阈值区间比较,如果会话信息出现频率小于均值减方差或大于均值加方差,则判断该会话流量信息为二类可疑报文。在本发明实施例中,通过会话信息出现频率和合理阈值区间的比较,确定了会话流量信息是否为二类可疑报文。
作为一种可选的实施例,在根据核心网网元中的策略控制功能确定二类可疑报文是否合法之后,方法还包括:若二类可疑报文合法,根据当前预设周期下的统计分布更新合理阈值区间。可选地,如图3所示,在根据核心网网元中的策略控制功能确定二类可疑报文是否合法即与PCF交互确认参数是否正确之后,如果二类可疑报文合法即参数正确,则更新统计值。在本发明实施例中,通过与核心网网元中的策略控制功能PCF交互,当会话信息与策略控制功能响应参数相符时,更新会话信息出现频率的统计分布,达到了实时更新检测信息的效果,提高了检测的效率。
作为一种可选的实施例,获取PFCP会话的流量信息包括:在用户面功能和会话管理功能间的N4接口通过旁路监听的方式获取PFCP会话的流量信息,其中,旁路监听的方式包括网络流量镜像或者分光的方式。可选地,如图4所示,在5G核心网会话功能管理SMF网元与用户面功能UPF网元之间的N4接口上,通过旁路监听的方式获取PFCP会话的流量信息,其中,旁路监听可以采取网络流量镜像或者分光的方式,也可以采用其他的方式。在获取到PFCP会话的流量信息之后,解析过程可依据3GPP TS.29244标准中定义的PFCP会话消息类型和信元参数进行解析,实时监测接口上的会话消息,避免由于攻击者篡改N4接口消息或发起N4 DoS攻击导致会话流量从合法DN(Data Network,数据网络)转向非法DN(DataNetwork,数据网络)。
作为一种可选的实施例,如图3所示,首先梳理5G网络信息,即进行会话安全检测的准备工作,具体包括:建立与UPF对接的SMF IP地址白名单库;在UPF的N4接口进行旁路监听,采集PFCP会话流量;监测分析N4 PFCP会话消息,记录PDR、FAR参数字典,其中,PDR、FAR参数字典可以包括PDR/FAR ID,PDI、FAR IE等参数;对PDR、FAR参数进行周期性频率统计,获得属性值的均值和方差,其中,均值和方差用于确定合理阈值区间;会话建立后,持续监控用户会话消息。需要说明的是,对PDR、FAR参数进行周期性频率统计即根据预设周期,对会话按照预设周期进行监测。
在上述会话安全检测准备工作完成之后,即完成了对预设周期内会话流量信息数据的预处理,得到了一系列用于监测会话是否合法的数据,从而将这些数据与合法数据进行比较判断会话的安全性。具体地,首先判断PFCP会话源/目的地址是否在白名单,若不在白名单,则与NRF交互确认IP地址是否记录,若不存在记录,认为该会话信息不合法,生成一类攻击告警;若存在记录,认为该会话信息合法,根据其IP地址更新白名单,同步预处理过程中建立的白名单库。若PFCP会话源/目的地址在白名单或与NRF交互确认IP地址存在记录,则进一步判断PFCP会话PDR和FAR参数统计是否超过阈值即合理阈值区间,若没有超过阈值,则根据该PFCP会话PDR和FAR参数统计更新统计值,即数据预处理中的均值和方差。若PFCP会话PDR和FAR参数统计超过阈值,则需要与PCF交互确认参数是否正确,若参数正确,则根据该PFCP会话PDR和FAR参数统计更新统计值;若参数不正确,认为该会话信息不合法,生成二类攻击告警。在会话的过程中持续监控重复执行上述将会话数据与合法数据进行比较判断会话的安全性的步骤。
根据本发明实施例的第二方面,还提供了一种用于实施上述PFCP会话安全检测方法的PFCP会话安全检测装置。图5是根据本发明实施例的一种可选的PFCP会话安全检测装置的结构框图,如图5所示,该装置可以包括:第一获取模块501,用于获取PFCP会话的流量信息;第一比较模块502,用于将流量信息中的地址信息与白名单比较,若地址信息不在白名单内,则判断流量信息为一类可疑报文,其中,白名单包括合法的会话管理功能和用户面功能的互联网协议地址;第一确定模块503,用于根据核心网网元中的网络存储库功能确定一类可疑报文是否合法,若不合法,则判断一类可疑报文是一类攻击报文,结束检测;统计模块504,用于当一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;第二比较模块505,用于将出现频率的统计分布和合理阈值区间比较,若出现频率的统计分布超过合理阈值区间,则判断出现频率的统计分布对应的流量信息为二类可疑报文;第二确定模块506,用于根据核心网网元中的策略控制功能确定二类可疑报文是否合法,若不合法,则判断二类可疑报文是二类攻击报文,结束检测。
需要说明的是,该实施例中的第一获取模块501可以用于执行上述步骤S201,该实施例中的第一比较模块502可以用于执行上述步骤S202,该实施例中的第一确定模块503可以用于执行上述步骤S203,该实施例中的统计模块504可以用于执行上述步骤S204,该实施例中的第二比较模块505可以用于执行上述步骤S205以及该实施例中的第二确定模块506可以用于执行上述步骤S206。
通过上述模块一方面根据地址与白名单的比较对报文来源的可信性进行了判断,实现了对来自网络层的攻击进行防范的目的;另一方面,通过对会话信息检测,统计会话信息出现频率与合理阈值区间进行比较,实现了对5G协议的安全攻击进行检测防范的目的,通过与核心网网元交互进一步对可疑报文确认,达到了有效、可靠检测N4接口攻击行为的效果。通过本发明,解决了相关技术中存在的缺少针对5G控制面与用户面之间的接口安全进行检测的问题。
作为一种可选的实施例,装置还包括:第二获取模块,用于根据预设周期获取PFCP会话的流量信息;执行模块,用于按照顺序在每个预设周期内根据获取的PFCP会话的流量信息执行与白名单比较,根据网络存储库功能判断一类可疑报文是否合法,统计会话信息出现频率,与合理阈值区间比较以及根据策略控制功能判断二类可疑报文是否合法的步骤。
作为一种可选的实施例,第一确定模块包括:确定单元,用于确定核心网网元中的网络存储库功能中是否记录一类可疑报文中的地址信息;第一判断单元,用于当一类可疑报文中的地址信息在核心网网元中的网络存储库功能中存在记录,则判断一类可疑报文合法,将一类可疑报文中的地址信息加入白名单;第二判断单元,用于当一类可疑报文中的地址信息在核心网网元中的网络存储库功能中不存在记录,则判断一类可疑报文不合法,是一类攻击报文,生成一类攻击告警。
作为一种可选的实施例,第二确定模块包括:第一判断单元,用于根据流量信息中的会话端点标识符判断会话信息是否与核心网网元中的策略控制功能响应参数相符;第二判断单元,用于当会话信息与核心网网元中的策略控制功能响应参数相符,则判断二类可疑报文合法,更新会话信息出现频率的统计分布;第三判断单元,用于当会话信息与核心网网元中的策略控制功能响应参数不相符,则判断二类可疑报文不合法,是二类攻击报文,生成二类攻击告警。
作为一种可选的实施例,第二比较模块包括:计算单元,用于对任一预设周期内会话信息的出现频率进行均值和方差计算,得到出现频率的统计分布;比较单元,用于将出现频率的统计分布与由均值加减方差确定的合理阈值区间比较;判断单元,用于当出现频率小于均值减方差或大于均值加方差,则判断出现频率对应的流量信息为二类可疑报文。
作为一种可选的实施例,装置还包括:更新模块,用于当二类可疑报文合法,根据当前预设周期下的统计分布更新合理阈值区间。
作为一种可选的实施例,获取模块包括:获取单元,用于在用户面功能和会话管理功能间的N4接口通过旁路监听的方式获取PFCP会话的流量信息,其中,旁路监听的方式包括网络流量镜像或者分光的方式。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本发明实施例的第三方面,还提供了一种用于实施上述PFCP会话安全检测方法的电子设备,该电子设备可以是服务器、终端、或者其组合。
图6是根据本发明实施例的一种可选的电子设备的结构框图,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601、通信接口602和存储器603通过通信总线604完成相互间的通信,其中,存储器603,用于存储计算机程序;处理器601,用于执行存储器603上所存放的计算机程序时,实现如下步骤:
获取PFCP会话的流量信息;将流量信息中的地址信息与白名单比较,若地址信息不在白名单内,则判断流量信息为一类可疑报文,其中,白名单包括合法的会话管理功能和用户面功能的互联网协议地址;根据核心网网元中的网络存储库功能确定一类可疑报文是否合法,若不合法,则判断一类可疑报文是一类攻击报文,结束检测;若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;将出现频率的统计分布和合理阈值区间比较,若出现频率的统计分布超过合理阈值区间,则判断出现频率的统计分布对应的流量信息为二类可疑报文;根据核心网网元中的策略控制功能确定二类可疑报文是否合法,若不合法,则判断二类可疑报文是二类攻击报文,结束检测。
可选地,在本实施例中,上述的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线、或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM,也可以包括非易失性存储器(non-volatile memory),例如,至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
作为一种示例,如图6所示,上述存储器603中可以但不限于包括上述PFCP会话安全检测装置中的第一获取模块501、第一比较模块502、第一确定模块503、统计模块504、第二比较模块505以及第二确定模块506。此外,还可以包括但不限于上述PFCP会话安全检测装置中的其他模块单元,本示例中不再赘述。
上述处理器可以是通用处理器,可以包含但不限于:CPU(Central ProcessingUnit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(DigitalSignal Processing,数字信号处理器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
此外,上述电子设备还包括:显示器,用于显示PFCP会话安全检测结果。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图6所示的结构仅为示意,实施上述PFCP会话安全检测方法的设备可以是终端设备,该终端设备可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图6并不对上述电子设备的结构造成限定。例如,终端设备还可包括比图6中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图6所示的不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、ROM、RAM、磁盘或光盘等。
根据本发明实施例的第四方面,还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行PFCP会话安全检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
获取PFCP会话的流量信息;将流量信息中的地址信息与白名单比较,若地址信息不在白名单内,则判断流量信息为一类可疑报文,其中,白名单包括合法的会话管理功能和用户面功能的互联网协议地址;根据核心网网元中的网络存储库功能确定一类可疑报文是否合法,若不合法,则判断一类可疑报文是一类攻击报文,结束检测;若一类可疑报文合法或地址信息在白名单内,统计流量信息中会话信息的出现频率,得到出现频率的统计分布;将出现频率的统计分布和合理阈值区间比较,若出现频率的统计分布超过合理阈值区间,则判断出现频率的统计分布对应的流量信息为二类可疑报文;根据核心网网元中的策略控制功能确定二类可疑报文是否合法,若不合法,则判断二类可疑报文是二类攻击报文,结束检测。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例中对此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
根据本发明实施例的又一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中;计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一个实施例中的PFCP会话安全检测方法步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例PFCP会话安全检测方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本发明所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例中所提供的方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种PFCP会话安全检测方法,其特征在于,所述方法包括:
获取PFCP会话的流量信息;
将所述流量信息中的地址信息与白名单比较,若所述地址信息不在所述白名单内,则判断所述流量信息为一类可疑报文,其中,所述白名单包括合法的会话管理功能和用户面功能的互联网协议地址;
根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文,结束检测;
若所述一类可疑报文合法或所述地址信息在所述白名单内,统计所述流量信息中会话信息的出现频率,得到所述出现频率的统计分布;
将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文;
根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文,结束检测。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据预设周期获取PFCP会话的流量信息;
按照顺序在每个预设周期内根据获取的PFCP会话的流量信息执行与白名单比较,根据网络存储库功能判断一类可疑报文是否合法,统计会话信息出现频率,与合理阈值区间比较以及根据策略控制功能判断二类可疑报文是否合法的步骤。
3.根据权利要求1所述的方法,其特征在于,所述根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文包括:
确定核心网网元中的网络存储库功能中是否记录所述一类可疑报文中的地址信息;
若所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中存在记录,则判断所述一类可疑报文合法,将所述一类可疑报文中的地址信息加入所述白名单;
若所述一类可疑报文中的地址信息在所述核心网网元中的网络存储库功能中不存在记录,则判断所述一类可疑报文不合法,是一类攻击报文,生成一类攻击告警。
4.根据权利要求1所述的方法,其特征在于,所述根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文包括:
根据流量信息中的会话端点标识符判断会话信息是否与核心网网元中的策略控制功能响应参数相符;
若所述会话信息与所述核心网网元中的策略控制功能响应参数相符,则判断所述二类可疑报文合法,更新所述会话信息出现频率的统计分布;
若所述会话信息与所述核心网网元中的策略控制功能响应参数不相符,则判断所述二类可疑报文不合法,是二类攻击报文,生成二类攻击告警。
5.根据权利要求2所述的方法,其特征在于,所述将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文包括:
对任一预设周期内会话信息的出现频率进行均值和方差计算,得到所述出现频率的统计分布;
将所述出现频率的统计分布与由均值加减方差确定的合理阈值区间比较;
若所述出现频率小于均值减方差或大于均值加方差,则判断所述出现频率对应的流量信息为二类可疑报文。
6.根据权利要求2所述的方法,其特征在于,在所述根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法之后,所述方法还包括:
若所述二类可疑报文合法,根据当前预设周期下的统计分布更新合理阈值区间。
7.根据权利要求1所述的方法,其特征在于,所述获取PFCP会话的流量信息包括:
在用户面功能和会话管理功能间的N4接口通过旁路监听的方式获取PFCP会话的流量信息,其中,所述旁路监听的方式包括网络流量镜像或者分光的方式。
8.一种PFCP会话安全检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取PFCP会话的流量信息;
第一比较模块,用于将所述流量信息中的地址信息与白名单比较,若所述地址信息不在所述白名单内,则判断所述流量信息为一类可疑报文,其中,所述白名单包括合法的会话管理功能和用户面功能的互联网协议地址;
第一确定模块,用于根据核心网网元中的网络存储库功能确定所述一类可疑报文是否合法,若不合法,则判断所述一类可疑报文是一类攻击报文,结束检测;
统计模块,用于当所述一类可疑报文合法或所述地址信息在所述白名单内,统计所述流量信息中会话信息的出现频率,得到所述出现频率的统计分布;
第二比较模块,用于将所述出现频率的统计分布和合理阈值区间比较,若所述出现频率的统计分布超过所述合理阈值区间,则判断所述出现频率的统计分布对应的流量信息为二类可疑报文;
第二确定模块,用于根据核心网网元中的策略控制功能确定所述二类可疑报文是否合法,若不合法,则判断所述二类可疑报文是二类攻击报文,结束检测。
9.一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信,其特征在于,
所述存储器,用于存储计算机程序;
所述处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行权利要求1至7中任一项所述的方法步骤。
10.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现权利要求1至7中任一项中所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211240036.8A CN115633359A (zh) | 2022-10-11 | 2022-10-11 | Pfcp会话安全检测方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211240036.8A CN115633359A (zh) | 2022-10-11 | 2022-10-11 | Pfcp会话安全检测方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115633359A true CN115633359A (zh) | 2023-01-20 |
Family
ID=84905079
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211240036.8A Pending CN115633359A (zh) | 2022-10-11 | 2022-10-11 | Pfcp会话安全检测方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115633359A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117729544A (zh) * | 2024-02-04 | 2024-03-19 | 中国电子科技集团公司第三十研究所 | 移动通信n4接口安全防护装置和方法 |
-
2022
- 2022-10-11 CN CN202211240036.8A patent/CN115633359A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117729544A (zh) * | 2024-02-04 | 2024-03-19 | 中国电子科技集团公司第三十研究所 | 移动通信n4接口安全防护装置和方法 |
CN117729544B (zh) * | 2024-02-04 | 2024-04-30 | 中国电子科技集团公司第三十研究所 | 移动通信n4接口安全防护装置和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11509685B2 (en) | Cyberattack prevention system | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
CN107347047B (zh) | 攻击防护方法和装置 | |
CN110417717B (zh) | 登录行为的识别方法及装置 | |
US11838330B2 (en) | Selective information extraction from network traffic traces both encrypted and non-encrypted | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
JP2019175478A (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
CN111800412B (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN111314381A (zh) | 安全隔离网关 | |
CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
CN113271299A (zh) | 一种登录方法和服务器 | |
CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
CN115426654A (zh) | 一种构建面向5g通信系统的网元异常检测模型的方法 | |
CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
CN106919836B (zh) | 应用的端口检测方法及装置 | |
Hoffstadt et al. | Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System | |
JP2017195432A (ja) | 試験装置、試験方法および試験プログラム | |
US10454965B1 (en) | Detecting network packet injection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |