專利名稱:一種檢測偽造gtp數(shù)據(jù)的方法和信令監(jiān)測系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域,尤其涉及一種檢測偽造GTP(GPRS Timellingprotocol,通用分組無線業(yè)務(wù)隧道協(xié)議)數(shù)據(jù)的方法和信令監(jiān)測系統(tǒng)。
背景技術(shù):
GPRS (General Packet Radio Service,通用分組無線業(yè)務(wù))網(wǎng)絡(luò)是基于現(xiàn)有的 GSM(Global System for Mobile Communications,全球移動通信系統(tǒng))網(wǎng)絡(luò)實現(xiàn)的,需增 加兩類節(jié)點SGSN(Serving GPRS Support Node,GPRS 服務(wù)支持節(jié)點)和 GGSN(Gateway GPRS Support Node,GPRS網(wǎng)關(guān)支持節(jié)點)。SGSN記錄移動臺的當前位置信息,并在移動臺 和GGSN之間完成移動分組數(shù)據(jù)的發(fā)送和接收。SGSN連接著HLR(Home Location Register, 歸屬位置寄存器),RNC (Radio Network Controller,無線網(wǎng)絡(luò)控制器),BSC (Base StationController,基站控制器)和 GGSN。SGSN 與 BSC 之間的接 口為 Gb 接口,SGSN 與 RNC 之間的接口為IuPs接口,SGSN與HLR之間的接口為Gr接口,SGSN與GGSN之間的接口為 Gn接口,GGSN之間的接口為Gp接口。為了提供GPRS漫游業(yè)務(wù),營運商各省公司的Gp接口 均配置為互聯(lián)網(wǎng)IP。雖然有防火墻的保護,但無法防護基于業(yè)務(wù)層面的黑客攻擊,例如針對 GGSN的惡意創(chuàng)建用戶連接攻擊和步進式踢用戶下線攻擊,現(xiàn)網(wǎng)還不具備此防御功能。
發(fā)明內(nèi)容
本發(fā)明的要解決的技術(shù)問題提供一種檢測偽造GTP數(shù)據(jù)的方法和信令監(jiān)測系統(tǒng), 識別惡意攻擊,增加網(wǎng)絡(luò)防御功能。為了解決上述問題,本發(fā)明提供了一種檢測偽造通用分組無線業(yè)務(wù)隧道協(xié)議數(shù)據(jù) 的方法,包括信令監(jiān)測系統(tǒng)采集IuPs、Gb、Gr, Gn和Gp接口的信令消息數(shù)據(jù),對所述信令消息 數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè)務(wù)隧道協(xié) 議(GTP)數(shù)據(jù)。其中,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 是用戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù) 據(jù)。其中,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建分組數(shù) 據(jù)協(xié)議(PDP)上下文過程的數(shù)據(jù)時,則如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的通用分組 無線業(yè)務(wù)服務(wù)支持節(jié)點(SGSN)發(fā)起,查找是否有所述Gb或IuPs接口的激活PDP上下文過 程,如果沒有,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù)。
其中,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建PDP上 下文過程的數(shù)據(jù)時,且所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的 SGSN發(fā)起,則如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù);如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,且,所述Gr接口不存在對應(yīng)的位置更新過程,和/或,該位置更 新過程的SGSN與該創(chuàng)建PDP上下文過程的SGSN不一致,則所述信令消息數(shù)據(jù)是偽造GTP 數(shù)據(jù)。其中,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是刪除PDP上 下文過程的數(shù)據(jù),則如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起, 則查找是否有所述Gb或IuPs接口的去激活PDP上下文過程,如果沒有,則判斷所述信令消 息數(shù)據(jù)是偽造GTP數(shù)據(jù)。其中,所述方法還包括所述信令監(jiān)測系統(tǒng)判斷所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送偽造GTP行為 信息給GGSN。本發(fā)明還提供一種信令監(jiān)測系統(tǒng),包括所述信令監(jiān)測系統(tǒng)用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù),對所述 信令消息數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè) 務(wù)隧道協(xié)議(GTP)數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 是用戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù) 據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建分組數(shù) 據(jù)協(xié)議(PDP)上下文過程的數(shù)據(jù)時,則如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起, 查找是否有所述Gb或IuPs接口的激活PDP上下文過程,如果沒有,則所述信令消息數(shù)據(jù)是 偽造GTP數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建PDP上下文過程的數(shù)據(jù)時,且所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的 SGSN發(fā)起,則如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù);如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,且,所述Gr接口不存在對應(yīng)的位置更新過程,和/或,該位置更 新過程的SGSN與該創(chuàng)建PDP上下文過程的SGSN不一致,則所述信令消息數(shù)據(jù)是偽造GTP 數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是刪除PDP上 下文過程的數(shù)據(jù)時,則如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起, 則查找是否有所述Gb或IuPs接口的去激活PDP上下文過程,如果沒有,則判斷所述信令消 息數(shù)據(jù)是偽造GTP數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)還用于判斷所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送 偽造GTP行為信息給GGSN。本發(fā)明通過IuPs,Gb,Gr,Gn和Gp接口監(jiān)測,識別本運營區(qū)域網(wǎng)絡(luò)里偽造的GTP數(shù) 據(jù),發(fā)現(xiàn)惡意攻擊的行為,為GRPS安全領(lǐng)域的檢測提供了可靠的手段,填補了該領(lǐng)域的空白。
圖1是GPRS網(wǎng)絡(luò)框架圖;圖2是本發(fā)明檢測偽造GTP數(shù)據(jù)示意圖;圖3是信令消息數(shù)據(jù)示意圖。
具體實施例方式以下結(jié)合附圖,對本發(fā)明的具體實施進行較為詳細的說明。為了檢測出基于業(yè)務(wù)層面的惡意攻擊,本發(fā)明采用信令采集的方式從IuPs,Gb, Gr, Gn和Gp接口的信令鏈路上采集信令消息數(shù)據(jù),并對信令消息數(shù)據(jù)進行整理、分析和統(tǒng) 計,通過分析結(jié)果可以識別偽造的GTP數(shù)據(jù),從而發(fā)現(xiàn)存在惡意攻擊行為,并為阻斷這些行 為提供依據(jù)。本發(fā)明具體步驟如下一 .信令監(jiān)測系統(tǒng)采集IuPs、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù);二 .對所述信令消息數(shù)據(jù)進行分析;三.根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè)務(wù)隧道協(xié) 議(GTP)數(shù)據(jù),判斷所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送偽造GTP行為信息給GGSN, 由GGSN來決定是否阻斷。本發(fā)明所涉及的協(xié)議包括RANAP(Radio Access Network ApplicationPart,無線接入網(wǎng)應(yīng)用部分),NS OVER IP(NS OVER IP, IP上的網(wǎng)絡(luò)業(yè)務(wù)),GTP(GPRS Tunneling Protocol, GPRS 隧道協(xié)議),GPRS MAP(GPRSMobile Application Part, GPRS 移動應(yīng)用部 分)。本發(fā)明設(shè)計的方法的應(yīng)用環(huán)境如圖1所示,總體流程如圖2所示,流程的實施步驟包 括步驟201,監(jiān)測IuPs,Gb, Gr, Gn和Gp接口的鏈路,采集信令消息數(shù)據(jù)。接口類型 有 E1,GE,F(xiàn)E 等。步驟202,分析在Gn和Gp接口采集的信令消息數(shù)據(jù),GTP的信令消息數(shù)據(jù)里會包 含兩層IP地址和端口,第一層是SGSN與GGSN的地址和端口號,第二層是用戶和訪問網(wǎng)站 的地址和端口。分析信令消息數(shù)據(jù)里第二層協(xié)議和端口號,看第二層協(xié)議是不是用戶數(shù)據(jù) 報協(xié)議(User Datagram Protocol,UDP)并且對應(yīng)的端口號是不是為預(yù)設(shè)的端口號,此處預(yù) 設(shè)端口號指3386或2152,如果預(yù)設(shè)端口號變更,仍可應(yīng)用本發(fā)明A、判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié) 議是用戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù) 據(jù)。該情況是GTP in GTP的情況,如圖3所示。該情況下,是由于黑客通過某個APN(接 入點名稱)上網(wǎng)后,把偽裝報文封裝到第二層數(shù)據(jù)里,那么這個數(shù)據(jù)從無線網(wǎng)到核心網(wǎng),再 從Gn接口到了 GGSN以后,GGSN把第二層IP地址和端口解析出來后是要從Gi接口轉(zhuǎn)發(fā)出 去的。但是發(fā)現(xiàn)第二層是GTP的數(shù)據(jù),結(jié)果又轉(zhuǎn)到其他的GGSN去,這樣黑客偽造報文就成 功了。B.如果不是,即第二層協(xié)議不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口 號,對不同過程進行相應(yīng)的分析Bi. Create PDP Context (創(chuàng)建分組數(shù)據(jù)協(xié)議上下文)的過程,即所述信令消息數(shù) 據(jù)是創(chuàng)建PDP上下文過程的數(shù)據(jù)時a)如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā) 起,運營區(qū)域以省劃分時,指所述創(chuàng)建PDP上下文過程由本省的SGSN的發(fā)起,查找是否有Gb 或IuPs接口的Activate PDP context (激活PDP上下文)過程,如果沒有這個過程,那么 就判斷是虛假的Create PDP Context過程,所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù)。b)如果所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN 發(fā)起,運營區(qū)域以省劃分時,指所述創(chuàng)建PDP上下文過程由外省的SGSN的發(fā)起,那么判斷 該 Create PDP Context 過程里用戶終端的 MSISDN(Mobile Subscriber International ISDN/PSTN number,移動臺國際ISDN號碼)號碼bl)如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān) 測系統(tǒng)所屬運營區(qū)域的號碼(運營區(qū)域以省劃分時,指外省的號碼),那么就判斷是虛假的 Create PDP context過程,該信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)。因為外省的用戶不可能直接 訪問本省的GGSN。b2)如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān) 測系統(tǒng)所屬運營區(qū)域的號碼(運營區(qū)域以省劃分時,指本省的號碼),則查找Gr接口是否 有對應(yīng)的位置更新過程,并且要判斷該位置更新過程的SGSN與Create PDP context過程 里SGSN是否一致,如果不存在對應(yīng)的位置更新過程,或者位置更新過程的SGSN與該CreatePDP context過程里的SGSN不一致,則判斷是虛假的Create PDP context過程,該信令消 息數(shù)據(jù)為偽造GTP數(shù)據(jù)。B2. Delete PDP context (刪除 PDP 上下文)過程如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā) 起(運營區(qū)域以省劃分時,指由本省的SGSN發(fā)起),則查找是否有Gb或IuPs接口的 Deactivate PDP context (去激活PDP上下文)過程,如果沒有,那么就判斷是虛假的 Delete PDP context過程,該信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)。步驟203,發(fā)送疑似偽造GTP行為的記錄給GGSN,由GGSN決定是否阻斷,如果GGSN 認為需要阻斷,那么根據(jù)就可以直接對這個偽造的GTP過程發(fā)起Delete PDP context的操 作。上述實施例中,運營區(qū)域也可以根據(jù)需要按其他方式劃分,不影響本發(fā)明的實施。本發(fā)明通過IuPs,Gb, Gr, Gn和Gp接口監(jiān)測,識別本省網(wǎng)絡(luò)里偽造的GTP數(shù)據(jù),發(fā) 現(xiàn)惡意攻擊的行為,為GRPS安全領(lǐng)域的檢測提供了可靠的手段,填補了該領(lǐng)域的空白。本發(fā)明還提供一種信令監(jiān)測系統(tǒng),包括所述信令監(jiān)測系統(tǒng)用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù),對所述 信令消息數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè) 務(wù)隧道協(xié)議(GTP)數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 是用戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù) 據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建分組數(shù) 據(jù)協(xié)議(PDP)上下文過程的數(shù)據(jù)時,則如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起, 查找是否有所述Gb或IuPs接口的激活PDP上下文過程,如果沒有,則所述信令消息數(shù)據(jù)是 偽造GTP數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建PDP上 下文過程的數(shù)據(jù)時,且所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的 SGSN發(fā)起,則如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù);如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān)測 系統(tǒng)所屬運營區(qū)域的號碼,且,所述Gr接口不存在對應(yīng)的位置更新過程,和/或,該位置更 新過程的SGSN與該創(chuàng)建PDP上下文過程的SGSN不一致,則所述信令消息數(shù)據(jù)是偽造GTP 數(shù)據(jù)。
其中,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議 不是用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是刪除PDP上 下文過程的數(shù)據(jù)時,則如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起, 則查找是否有所述Gb或IuPs接口的去激活PDP上下文過程,如果沒有,則判斷所述信令消 息數(shù)據(jù)是偽造GTP數(shù)據(jù)。其中,所述信令監(jiān)測系統(tǒng)還用于判斷所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送 偽造GTP行為信息給GGSN。應(yīng)當理解的是,盡管上面結(jié)合附圖對本發(fā)明實施方法進行了詳細描述,但是本方 法并不局限于上述的具體實施方式
,也不局限于IuPs,Gb, Gr, Gn和Gp接口的業(yè)務(wù)種類,上 述的具體實施方式
僅僅是示意性的,而不是限制性的,本領(lǐng)域的技術(shù)人員在本發(fā)明方法的 啟示下,在不脫離本發(fā)明方法宗旨和權(quán)利要求所保護的范圍情況下,還可以作出很多變形, 這些變形均應(yīng)屬于本發(fā)明方法的專利保護范圍之內(nèi)。
權(quán)利要求
一種檢測偽造通用分組無線業(yè)務(wù)隧道協(xié)議數(shù)據(jù)的方法,其特征在于,包括信令監(jiān)測系統(tǒng)采集IuPs、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù),對所述信令消息數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè)務(wù)隧道協(xié)議(GTP)數(shù)據(jù)。
2.如權(quán)利要求1所述的方法,其特征在于,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議是用 戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)。
3.如權(quán)利要求1所述的方法,其特征在于,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建分組數(shù)據(jù)協(xié) 議(PDP)上下文過程的數(shù)據(jù)時,則如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的通用分組無線 業(yè)務(wù)服務(wù)支持節(jié)點(SGSN)發(fā)起,查找是否有所述Gb或IuPs接口的激活PDP上下文過程, 如果沒有,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù)。
4.如權(quán)利要求1所述的方法,其特征在于,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建PDP上下文 過程的數(shù)據(jù)時,且所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN 發(fā)起,則如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān)測系統(tǒng) 所屬運營區(qū)域的號碼,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù);如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān)測系統(tǒng) 所屬運營區(qū)域的號碼,且,所述Gr接口不存在對應(yīng)的位置更新過程,和/或,該位置更新過 程的SGSN與該創(chuàng)建PDP上下文過程的SGSN不一致,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù)。
5.如權(quán)利要求1所述的方法,其特征在于,對所述信令消息數(shù)據(jù)進行分析包括判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是刪除PDP上下文 過程的數(shù)據(jù),則如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起,則查 找是否有所述Gb或IuPs接口的去激活PDP上下文過程,如果沒有,則判斷所述信令消息數(shù) 據(jù)是偽造GTP數(shù)據(jù)。
6.如權(quán)利要求1至5任一所述的方法,其特征在于,所述方法還包括所述信令監(jiān)測系統(tǒng)判斷所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送偽造GTP行為信息 給 GGSN。
7.一種信令監(jiān)測系統(tǒng),其特征在于,包括所述信令監(jiān)測系統(tǒng)用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù),對所述信令消息數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè)務(wù)隧 道協(xié)議(GTP)數(shù)據(jù)。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議是用 戶數(shù)據(jù)報協(xié)議且對應(yīng)的端口號為預(yù)設(shè)的端口號,則所述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建分組數(shù)據(jù)協(xié) 議(PDP)上下文過程的數(shù)據(jù)時,則如果所述創(chuàng)建PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起,查找 是否有所述Gb或IuPs接口的激活PDP上下文過程,如果沒有,則所述信令消息數(shù)據(jù)是偽造 GTP數(shù)據(jù)。
10.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是創(chuàng)建PDP上下文 過程的數(shù)據(jù)時,且所述創(chuàng)建PDP上下文過程由非所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN 發(fā)起,則如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼非所述信令監(jiān)測系統(tǒng) 所屬運營區(qū)域的號碼,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù);如果該創(chuàng)建PDP上下文過程的用戶終端的移動臺國際ISDN號碼為所述信令監(jiān)測系統(tǒng) 所屬運營區(qū)域的號碼,且,所述Gr接口不存在對應(yīng)的位置更新過程,和/或,該位置更新過 程的SGSN與該創(chuàng)建PDP上下文過程的SGSN不一致,則所述信令消息數(shù)據(jù)是偽造GTP數(shù)據(jù)。
11.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述信令監(jiān)測系統(tǒng)是用于判斷所述Gn和Gp接口的信令消息數(shù)據(jù)的第二層協(xié)議和端口號,如果第二層協(xié)議不是 用戶數(shù)據(jù)報協(xié)議或?qū)?yīng)的端口號非預(yù)設(shè)的端口號,且所述信令消息數(shù)據(jù)是刪除PDP上下文 過程的數(shù)據(jù)時,則如果所述刪除PDP上下文過程由所述信令監(jiān)測系統(tǒng)所屬運營區(qū)域內(nèi)的SGSN發(fā)起,則查 找是否有所述Gb或IuPs接口的去激活PDP上下文過程,如果沒有,則判斷所述信令消息數(shù) 據(jù)是偽造GTP數(shù)據(jù)。
12.如權(quán)利要求7至11任一所述的系統(tǒng),其特征在于,所述信令監(jiān)測系統(tǒng)還用于判斷所 述信令消息數(shù)據(jù)為偽造GTP數(shù)據(jù)時,發(fā)送偽造GTP行為信息給GGSN。
全文摘要
本發(fā)明提供了一種檢測偽造通用分組無線業(yè)務(wù)隧道協(xié)議數(shù)據(jù)的方法,包括信令監(jiān)測系統(tǒng)采集IuPs、Gb、Gr、Gn和Gp接口的信令消息數(shù)據(jù),對所述信令消息數(shù)據(jù)進行分析,根據(jù)分析結(jié)果判斷所述信令消息數(shù)據(jù)是否為偽造通用分組無線業(yè)務(wù)隧道協(xié)議(GTP)數(shù)據(jù)。本發(fā)明還提供一種信令監(jiān)測系統(tǒng)。本發(fā)明通過IuPs,Gb,Gr,Gn和Gp接口監(jiān)測,識別本運營區(qū)域網(wǎng)絡(luò)里偽造的GTP數(shù)據(jù),發(fā)現(xiàn)惡意攻擊的行為,為GRPS安全領(lǐng)域的檢測提供了可靠的手段,填補了該領(lǐng)域的空白。
文檔編號H04W12/12GK101888635SQ201010222768
公開日2010年11月17日 申請日期2010年6月30日 優(yōu)先權(quán)日2010年6月30日
發(fā)明者占治國 申請人:中興通訊股份有限公司