WO2012000433A1

WO2012000433A1 - 一种检测伪造gtp数据的方法和信令监测系统

Info

Publication number: WO2012000433A1
Application number: PCT/CN2011/076542
Authority: WO
Inventors: 占治国
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-06-30
Filing date: 2011-06-29
Publication date: 2012-01-05
Also published as: CN101888635A; CN101888635B

Abstract

本发明提供了一种检测伪造通用分组无线业务隧道协议数据的方法，包括：信令监测系统采集IuPs、Gb、Gr、Gn和Gp接口的信令消息数据，对所述信令消息数据进行分析，根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协议（GTP）数据。本发明还提供一种信令监测系统。本发明通过对IuPs,Gb,Gr,Gn和Gp接口的监测，能够识别本运营区域网络里伪造的GTP数据，发现恶意攻击的行为，为GRPS安全领域的检测提供了可靠的手段，填补了该领域的空白。

Description

一种检测伪造 GTP数据的方法和信令监测系统

技术领域

本发明涉及移动通信领域，尤其涉及一种检测伪造 GTP ( GPRS Tunelling Protocol, 通用分组无线业务隧道协议）数据的方法和信令监测系统。

背景技术

GPRS(General Packet Radio Service, 通用分组无线业务)网络是基于现有的 GSM ( Global System for Mobile Communications, 全球移动通信系统）网络实现的，需增加两类节点： SGSN ( Serving GPRS Support Node, GPRS月良务支持节点）和 GGSN( Gateway GPRS Support Node, GPRS 网关支持节点）。 SGSN记录移动台的当前位置信息，并在移动台和 GGSN之间完成移动分组数据的发送和接收。 SGSN连接着 HLR(Home Location Register, 归属位置寄存器）， RNC ( Radio Network Controller, 无线网络控制器）， BSC(Base Station Controller,基站控制器)和 GGSN。 SGSN与 BSC之间的接口为 Gb接口， SGSN 与 RNC之间的接口为 IuPs接口， SGSN与 HLR之间的接口为 Gr接口， SGSN 与 GGSN之间的接口为 Gn接口， GGSN之间的接口为 Gp接口。为了提供 GPRS漫游业务，营运商各省公司的 Gp接口均配置为互联网 IP。虽然有防火墙的保护，但无法防护基于业务层面的黑客攻击，例如针对 GGSN的恶意创建用户连接攻击和步进式踢用户下线攻击，现网还不具备此防御功能。

发明内容

本发明的目的是提供一种检测伪造 GTP数据的方法和信令监测系统，识别恶意攻击，增加网络防御功能。

为了解决上述问题，本发明提供了一种检测伪造通用分组无线业务隧道协议数据的方法，包括：

信令监测系统釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据，对所釆集的信令消息数据进行分析，根据分析结果判断所述釆集的信令消息数据是否为伪造通用分组无线业务隧道协议（GTP )数据。

其中，对所釆集的信令消息数据进行分析的步骤包括：

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议是用户数据报协议且对应的端口号为预设的端口号，则判断所述釆集的信令消息数据为伪造 GTP数据。

其中，对所釆集的信令消息数据进行分析的步骤包括：

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或者该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是创建分组数据协议 ( PDP )上下文过程的数据，则：

如果所述创建 PDP上下文过程由所述信令监测系统所属运营区域内的通用分组无线业务服务支持节点（ SGSN )发起，查找是否有所述 Gb或 IuPs接口的激活 PDP上下文过程，如果没有，则判断所述釆集的信令消息数据是伪造 GTP数据。

其中，对所釆集的信令消息数据进行分析的步骤包括：

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是创建 PDP上下文过程的数据，且所述创建 PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起，则：

如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码非所述信令监测系统所属运营区域的号码，则判断所述釆集的信令消息数据是伪造 GTP数据；

如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码为所述信令监测系统所属运营区域的号码，且，所述 Gr接口不存在对应的位置更新过程，或者所述 Gr接口存在对应的位置更新过程但该位置更新过程的 SGSN 与该创建 PDP上下文过程的 SGSN不一致，则判断所述釆集的信令消息数据是伪造 GTP数据。其中，对所釆集的信令消息数据进行分析的步骤包括：

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是删除 PDP上下文过程的数据，则：

如果所述删除 PDP上下文过程由所述信令监测系统所属运营区域内的 SGSN发起，则查找是否有所述 Gb或 IuPs接口的去激活 PDP上下文过程，如果没有，则判断所述釆集的信令消息数据是伪造 GTP数据。

其中，所述方法还包括：

所述信令监测系统判断所述釆集的信令消息数据为伪造 GTP数据时，发送伪造 GTP行为信息给 GGSN。

本发明还提供一种信令监测系统，

所述信令监测系统设置成：釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据，对所釆集的信令消息数据进行分析，根据分析结果判断所述釆集的信令消息数据是否为伪造通用分组无线业务隧道协议（ GTP )数据。

其中，所述信令监测系统是设置成通过如下方式对所釆集的信令消息数据进行分析：

如果所述创建 PDP上下文过程由所述信令监测系统所属运营区域内的 SGSN发起，查找是否有所述 Gb或 IuPs接口的激活 PDP上下文过程，如果没有，则判断所述釆集的信令消息数据是伪造 GTP数据。

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或者该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是创建 PDP上下文过程的数据，且所述创建 PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起，则：

如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码为所述信令监测系统所属运营区域的号码，且，所述 Gr接口不存在对应的位置更新过程 ,或者 ,所述 Gr接口存在对应的位置更新过程但该位置更新过程的 SGSN 与该创建 PDP上下文过程的 SGSN不一致，则判断所述釆集的信令消息数据是伪造 GTP数据。

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或者该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是删除 PDP上下文过程的数据，则：

其中，所述信令监测系统还设置成在判断所述釆集的信令消息数据为伪造 GTP数据时，发送伪造 GTP行为信息给 GGSN。

本发明通过 IuPs,Gb,Gr,Gn和 Gp接口监测，识别本运营区域网络里伪造的 GTP数据，发现恶意攻击的行为，为 GRPS安全领域的检测提供了可靠的手段，填补了该领域的空白。附图概述

图 1是 GPRS网络框架图；

图 2是本发明检测伪造 GTP数据示意图；

图 3是信令消息数据示意图。

本发明的较佳实施方式

以下结合附图，对本发明的具体实施进行较为详细的说明。

为了检测出基于业务层面的恶意攻击，本发明釆用信令釆集的方式从

IuPs,Gb,Gr,Gn和 Gp接口的信令链路上釆集信令消息数据，并对信令消息数据进行整理、分析和统计，通过分析结果可以识别伪造的 GTP数据，从而发现存在恶意的攻击行为，并为阻断这些行为提供依据。

本发明具体步骤如下：

一. 信令监测系统釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据；二. 对所述信令消息数据进行分析；

三. 根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协议（GTP )数据，判断所述信令消息数据为伪造 GTP数据时，发送伪造 GTP行为信息给 GGSN, 由 GGSN来决定是否阻断。

本发明所涉及的协议包括： RANAP ( Radio Access Network Application Part,无线接入网应用部分）， NS OVER IP ( NS OVER IP, IP上的网络业务）， GTP ( GPRS Tunneling Protocol, GPRS隧道协议）和 GPRS MAP(GPRS Mobile Application Part , GPRS移动应用部分)。本发明设计的方法的应用环境如图 1 所示，总体流程如图 2所示，流程的实施步骤包括：

步骤 201 , 监测 IuPs,Gb,Gr,Gn和 Gp接口的链路，釆集信令消息数据。接口类型有 El , GE和 FE等。

步骤 202, 分析在 Gn和 Gp接口釆集的信令消息数据， GTP的信令消息数据里会包含两层 IP地址和端口，第一层是 SGSN与 GGSN的地址和端口号，第二层是用户和访问网站的地址和端口。分析信令消息数据里第二层协议和并且对应的端口号是不是为预设的端口号，此处预设端口号指 3386或 2152, 如果预设端口号变更，仍可应用本发明：

A、判断所述 Gn和 Gp接口的信令消息数据的第二层协议和端口号，如果第二层协议是用户数据报协议且对应的端口号为预设的端口号，则所述信令消息数据为伪造 GTP数据。

该情况是 GTP in GTP的情况，如图 3所示。该情况下，是由于黑客通过某个 APN (接入点名称）上网后，把伪装报文封装到第二层数据里，那么这个数据从无线网到核心网，再从 Gn接口到了 GGSN以后， GGSN把第二层 IP地址和端口解析出来后是要从 Gi接口转发出去的。但是发现第二层是 GTP 的数据，结果又转到其他的 GGSN去，这样黑客伪造报文就成功了。

B. 如果不是，即第二层协议不是用户数据报协议或对应的端口号非预设的端口号，对不同过程进行相应的分析：

B 1. Create PDP Context (创建分组数据协议上下文）的过程，即所述信令消息数据是创建 PDP上下文过程的数据时：

a) 如果所述创建 PDP上下文过程由所述信令监测系统所属运营区域内的 SGSN发起，运营区域以省划分时，指所述创建 PDP上下文过程由本省的 SGSN的发起，查找是否有 Gb或 IuPs接口的 Activate PDP context (激活 PDP 上下文）过程，如果没有这个过程，那么就判断该创建 PDP上下文过程是虚假的 Create PDP Context过程，所述信令消息数据是伪造 GTP数据。

b) 如果所述创建 PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起，运营区域以省划分时，指所述创建 PDP上下文过程由外省的 SGSN的发起，那么判断该 Create PDP Context过程里用户终端的 MSISDN ( Mobile Subscriber International ISDN/PSTN number, 移动台国际 ISDN号码）

bl) 如果该创建 PDP 上下文过程的用户终端的移动台国际 ISDN ( Integrated Services Digital Network, 综合业务数字网）号码非所述信令监测系统所属运营区域的号码（运营区域以省划分时，指外省的号码），那么就判断该创建 PDP上下文过程是虚假的 Create PDP context过程，该信令消息数据为伪造 GTP数据。因为外省的用户不可能直接访问本省的 GGSN。

b2)如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码为所述信令监测系统所属运营区域的号码（运营区域以省划分时，指本省的号码），则查找 Gr接口是否有对应的位置更新过程，如果有，还要判断该位置更新过程的 SGSN与 Create PDP context过程里 SGSN是否一致，如果不存在对应的位置更新过程，或者位置更新过程的 SGSN与该 Create PDP context过程里的 SGSN不一致，则判断该创建 PDP上下文过程是虚假的 Create PDP context过程，该信令消息数据为伪造 GTP数据。

Β2. Delete PDP context (删除 PDP上下文）过程

如果所述删除 PDP上下文过程由所述信令监测系统所属运营区域内的 SGSN发起（运营区域以省划分时，指由本省的 SGSN发起），则查找是否有 Gb或 IuPs接口的 Deactivate PDP context (去激活 PDP上下文）过程，如果没有，那么就判断该创建 PDP上下文过程是虚假的 Delete PDP context过程，该信令消息数据为伪造 GTP数据。

步骤 203 , 发送疑似伪造 GTP行为的记录给 GGSN, 由 GGSN决定是否阻断，如果 GGSN认为需要阻断，那么就可以直接对这个伪造的 GTP过程发起 Delete PDP context的操作。

上述实施例中，运营区域也可以根据需要按其他方式划分，不影响本发明的实施。

本发明通过 IuPs,Gb,Gr,Gn和 Gp接口监测，识别本省网络里伪造的 GTP 数据，发现恶意攻击的行为，为 GRPS安全领域的检测提供了可靠的手段，填补了该领域的空白。本发明还提供一种信令监测系统，该信令监测系统设置成：釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据，对所述信令消息数据进行分析，根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协议 ( GTP )数据。

其中，所述信令监测系统是设置成通过如下方式对信令消息数据进行分判断所述 Gn和 Gp接口的信令消息数据的第二层协议和端口号，如果第二层协议是用户数据报协议且对应的端口号为预设的端口号，则所述信令消息数据为伪造 GTP数据。

其中，所述信令监测系统是设置成通过如下方式对信令消息数据进行分判断所述 Gn和 Gp接口的信令消息数据的第二层协议和端口号，如果第二层协议不是用户数据报协议或对应的端口号非预设的端口号，且所述信令消息数据是创建分组数据协议（PDP )上下文过程的数据，则：

如果所述创建 PDP上下文过程由所述信令监测系统所属运营区域内的

SGSN发起，查找是否有所述 Gb或 IuPs接口的激活 PDP上下文过程，如果没有，则所述信令消息数据是伪造 GTP数据。

其中，所述信令监测系统是设置成通过如下方式对信令消息数据进行分判断所述 Gn和 Gp接口的信令消息数据的第二层协议和端口号，如果第二层协议不是用户数据报协议或对应的端口号非预设的端口号，且所述信令消息数据是创建 PDP上下文过程的数据，且所述创建 PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起，则：

如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码非所述信令监测系统所属运营区域的号码，则所述信令消息数据是伪造 GTP数据；如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码为所述信令监测系统所属运营区域的号码，且，所述 Gr接口不存在对应的位置更新过程，或者，所述 Gr接口存在对应的位置更新过程但该位置更新过程的 SGSN 与该创建 PDP上下文过程的 SGSN不一致，则所述信令消息数据是伪造 GTP 数据。

其中，所述信令监测系统是设置成通过如下方式对信令消息数据进行分判断所述 Gn和 Gp接口的信令消息数据的第二层协议和端口号，如果第二层协议不是用户数据报协议或对应的端口号非预设的端口号，且所述信令消息数据是删除 PDP上下文过程的数据，则：

如果所述删除 PDP上下文过程由所述信令监测系统所属运营区域内的 SGSN发起，则查找是否有所述 Gb或 IuPs接口的去激活 PDP上下文过程，如果没有，则判断所述信令消息数据是伪造 GTP数据。

其中，所述信令监测系统还设置成在判断所述信令消息数据为伪造 GTP 数据时，发送伪造 GTP行为信息给 GGSN。

应当理解的是，尽管上面结合附图对本发明实施方法进行了详细描述，但是本方法并不局限于上述的具体实施方式，也不局限于 IuPs,Gb,Gr,Gn和 Gp接口的业务种类，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的技术人员在本发明方法的启示下，在不脱离本发明方法宗旨和权利要求所保护的范围情况下，还可以作出很多变形，这些变形均应属于本发明方法的专利保护范围之内。

工业实用性

与现有技术相比，本发明通过对 IuPs,Gb,Gr,Gn和 Gp接口的监测，能够识别本运营区域网络里伪造的 GTP数据，发现恶意攻击的行为，为 GRPS安全领域的检测提供了可靠的手段，填补了该领域的空白。

Claims

权利要求书

1、一种检测伪造通用分组无线业务隧道协议数据的方法，包括：信令监测系统釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据，对所釆集的信令消息数据进行分析，根据分析结果判断所述釆集的信令消息数据是否为伪造通用分组无线业务隧道协议（ GTP )数据。

2、如权利要求 1所述的方法，其中，对所釆集的信令消息数据进行分析的步骤包括：

3、如权利要求 1所述的方法，其中，

对所釆集的信令消息数据进行分析的步骤包括：

4、如权利要求 1所述的方法，其中，

对所釆集的信令消息数据进行分析的步骤包括：

判断所述 Gn和 Gp接口的信令消息数据的第二层协议和该第二层协议对应的端口号，如果该第二层协议不是用户数据报协议或该第二层协议对应的端口号非预设的端口号，且所述釆集的信令消息数据是创建 PDP上下文过程的数据，且所述创建 PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起，则：如果该创建 PDP上下文过程的用户终端的移动台国际综合业务数字网 ( ISDN )号码非所述信令监测系统所属运营区域的号码，则判断所述釆集的信令消息数据是伪造 GTP数据；

如果该创建 PDP上下文过程的用户终端的移动台国际 ISDN号码为所述信令监测系统所属运营区域的号码，且，所述 Gr接口不存在对应的位置更新过程 ,或者 ,所述 Gr接口存在对应的位置更新过程但该位置更新过程的 SGSN 与所述创建 PDP上下文过程的 SGSN不一致，则判断所述釆集的信令消息数据是伪造 GTP数据。

5、如权利要求 1所述的方法，其中，

对所釆集的信令消息数据进行分析的步骤包括：

如果所述删除 PDP上下文过程由所述信令监测系统所属运营区域内的

SGSN发起，则查找是否有所述 Gb或 IuPs接口的去激活 PDP上下文过程，如果没有，则判断所述釆集的信令消息数据是伪造 GTP数据。

6、如权利要求 1至 5任一所述的方法，还包括：

所述信令监测系统判断所述釆集的信令消息数据为伪造 GTP数据时，发送伪造 GTP行为信息给通用分组无线业务网关支持节点（GGSN ) 。

7、一种信令监测系统，

所述信令监测系统设置成：釆集 IuPs、 Gb、 Gr、 Gn和 Gp接口的信令消息数据，对所釆集的信令消息数据进行分析，根据分析结果判断所述釆集的信令消息数据是否为伪造通用分组无线业务隧道协议（GTP )数据。

8、如权利要求 7所述的系统，其中，所述信令监测系统是设置成通过如下方式对所釆集的信令消息数据进行分析：

9、如权利要求 7所述的系统，其中，

所述信令监测系统是设置成通过如下方式对所釆集的信令消息数据进行分析：

10、如权利要求 7所述的系统，其中，

如果该创建 PDP上下文过程的用户终端的移动台国际综合业务数字网 ( ISDN )号码非所述信令监测系统所属运营区域的号码，则判断所述釆集的信令消息数据是伪造 GTP数据；

11、如权利要求 7所述的系统，其中，

12、如权利要求 7至 11任一所述的系统，所述信令监测系统还设置成在判断所述釆集的信令消息数据为伪造 GTP数据时，发送伪造 GTP行为信息给通用分组无线业务网关支持节点（GGSN ) 。