專利名稱:檢測wap惡意訂購的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及應(yīng)用無線應(yīng)用協(xié)議(WAP���,Wireless Application Protocol)的訂購技術(shù)��,特別涉及檢測WAP惡意訂購的系統(tǒng)和方法。
背景技術(shù):
在移動通信網(wǎng)絡(luò)中��,服務(wù)提供商(SP�,Service Provider)通過運(yùn)營商的網(wǎng)絡(luò)為移動用戶提供了許多基于WAP/WEB的增值業(yè)務(wù)。移動用戶可以通過WAP訂購這些增值業(yè)務(wù)���。 然后���,運(yùn)營商根據(jù)來自移動信息服務(wù)中心(MISC�����,Mobile Information Service Center)或可信任SP的增值業(yè)務(wù)訂購信息以及移動用戶使用增值業(yè)務(wù)的記錄對移動用戶進(jìn)行計費(fèi)��。 其中����,MISC主要用于進(jìn)行SP管理��、服務(wù)管理��、用戶管理�����、訂購管理��、計費(fèi)管理�����、統(tǒng)計分析等�����, 是運(yùn)營商在新的網(wǎng)絡(luò)環(huán)境下為客戶提供數(shù)據(jù)業(yè)務(wù)服務(wù)的核心管理平臺。具體而言�,當(dāng)移動終端接入通用分組無線服務(wù)技術(shù)(GPRS,General Packet Radio Service)分組網(wǎng)絡(luò)后�����,將通過網(wǎng)關(guān)GPRS支持節(jié)點(GGSN�,Gateway GPRS Support Node)上的遠(yuǎn)禾呈用戶撥號認(rèn)證系統(tǒng)(Radius,Remote Authentication Dial In User Service)客戶端向WAP網(wǎng)關(guān)上的Radius服務(wù)器發(fā)送計費(fèi)請求/開始(accounting-request/start)消息, 在這種情況下���,WAP網(wǎng)關(guān)將存儲該移動終端的移動臺國際ISDN(MSISDN)號碼及其因特網(wǎng)協(xié)議(IPJnternet Protocol)地址���。然后,當(dāng)用戶通過該移動終端接入某個增值業(yè)務(wù)時�����,WAP 網(wǎng)關(guān)將來自該移動終端的訂購/訪問請求消息(order/access request)轉(zhuǎn)發(fā)至MISC或可信任SP����。MISC或可信任SP將根據(jù)所接收的訂購/訪問請求消息的IP地址對該訂購/訪問請求消息進(jìn)行驗證��,如果所接收的訂購/訪問請求消息是來自WAP網(wǎng)關(guān)的,則該訂購/訪問請求消息將會被MISC或可信任SP接受�����。MISC或可信任SP在收到WAP網(wǎng)關(guān)發(fā)來的訂購請求后���,生成訂購關(guān)系以及代計費(fèi)信息����。但是����,上述增值業(yè)務(wù)的訂購和使用過程可能會受到某些惡意的SP或攻擊者的攻擊。例如�����,某些惡意SP或攻擊者將在短時間內(nèi)通過WAP網(wǎng)關(guān)向MISC或可信任SP發(fā)送很多假冒的增值業(yè)務(wù)訂購請求���。例如���,某些惡意的SP或攻擊者可以模擬其他移動用戶,假冒這些移動用戶訂購增值業(yè)務(wù)或通過篡改增值業(yè)務(wù)訂購請求中的MSISDN號碼來制造增值業(yè)務(wù)的使用記錄��。總之���,目前可能出現(xiàn)的WAP惡意訂購可能包括如下幾種情形1)攻擊者偽造訂購請求消息���,使得合法用戶被過計費(fèi)(Over Billing)。2)攻擊者以增加某SP的收入為目的��,篡改訂購請求消息中的SP標(biāo)識�����。3)攻擊者訂購了業(yè)務(wù)���,但是刪除或破壞計費(fèi)消息�,導(dǎo)致攻擊者接受了服務(wù)卻沒有被計費(fèi)��。為了描述方便���,將這種惡意訂購稱為繞過計費(fèi)的訂購��。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的實施例提供了檢測WAP惡意訂購的系統(tǒng)和方法�,以有效地檢測WAP惡意訂購。本發(fā)明實施例提供的檢測WAP惡意訂購的系統(tǒng)包括
訂購消息監(jiān)測模塊101�����,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息���,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識���;用戶流量監(jiān)測模塊102,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息���,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識��;惡意訂購分析和報警模塊103�����,用于檢查訂購消息監(jiān)測模塊101獲取的移動用戶的標(biāo)識與用戶流量監(jiān)測模塊102獲取的移動用戶的標(biāo)識是否一致�����,如果不一致���,則判定與不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求�。本發(fā)明另一實施例提供的檢測無線應(yīng)用協(xié)議WAP惡意訂購的系統(tǒng)包括訂購監(jiān)測單元301���,用于監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求���;計費(fèi)信息監(jiān)測模塊302,用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息��;惡意訂購分析和報警模塊303����,501,用于判斷訂購監(jiān)測單元301監(jiān)測到的請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息���,如果沒有�����,則判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改����,也即屬于繞過計費(fèi)的WAP惡意訂購���。本發(fā)明實施例提供的檢測WAP惡意訂購的方法包括監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�,并獲取第一移動用戶標(biāo)識,所述第一移動用戶標(biāo)識為與該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識����;監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�����,并獲取第二移動用戶標(biāo)識�����,所述第二移動用戶標(biāo)識為與該由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識��;以及檢查所述第一移動用戶標(biāo)識是否和所述第二移動用戶標(biāo)識一致�,如果不一致,則判定與該不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求消息����。本發(fā)明另一實施例提供的檢測WAP惡意訂購的方法包括監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息;收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息����;以及判斷監(jiān)測到的請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息,如果沒有��,則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改,屬于繞過計費(fèi)的WAP惡意訂購���。由此可以看出���,本發(fā)明實施例所述的檢測WAP惡意訂購的系統(tǒng)和方法可以有效的檢測并且防止WAP惡意訂購行為,從而保護(hù)移動用戶的合法權(quán)益��。
圖1為本發(fā)明實施例1所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖�;圖2為本發(fā)明實施例1所述的檢測WAP惡意訂購方法流程圖;圖3為本發(fā)明實施例2所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖�;圖4為本發(fā)明實施例2所述的檢測WAP惡意訂購方法流程圖;圖5為本發(fā)明實施例3和4所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖��;圖6為本發(fā)明實施例3所述的檢測WAP惡意訂購方法流程圖7為本發(fā)明實施例4所述的檢測WAP惡意訂購方法流程圖�;圖8為本發(fā)明實施例4所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖。
具體實施例方式為了解決WAP惡意訂購的問題�,本發(fā)明的實施例提供了檢測WAP惡意訂購的系統(tǒng)和方法,可以對與增值業(yè)務(wù)訂購信息和/或計費(fèi)相關(guān)信息進(jìn)行監(jiān)測和分析��,從而完成對WAP 惡意訂購的檢測����,有效地防止WAP惡意訂購行為。下面將結(jié)合具體的實施例以及附圖對本發(fā)明的具體實施方式
進(jìn)行詳細(xì)說明。實施例1為了檢測攻擊者偽造訂購請求消息的WAP惡意訂購行為���,本實施例公開了一種檢測WAP惡意訂購的系統(tǒng)��。本實施例所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)如圖1所示���, 主要包括訂購消息監(jiān)測模塊101,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息���,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識;其中���,移動用戶的標(biāo)識例如為如前所述移動終端的移動臺國際ISDN號碼(MSISDN)或國際移動用戶標(biāo)識(IMSI���, International Mobile Subscriber Identity)等;用戶流量監(jiān)測模塊102��,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的的移動用戶的標(biāo)識;惡意訂購分析和報警模塊103���,用于檢查訂購消息監(jiān)測模塊101獲取的移動用戶的標(biāo)識是否和用戶流量監(jiān)測模塊102獲取的移動用戶的標(biāo)識一致�,如果不一致,則判定與不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求���。在本實施例中��,惡意訂購分析和報警模塊103檢查訂購消息監(jiān)測模塊101獲取的移動用戶的標(biāo)識是否和用戶流量監(jiān)測模塊102獲取的移動用戶的標(biāo)識一致的具體實現(xiàn)方式有多種��。例如訂購消息監(jiān)測模塊101和用戶流量監(jiān)測模塊102可以按預(yù)先設(shè)定的時間段分段進(jìn)行監(jiān)測�����。具體的�,訂購消息監(jiān)測模塊101在預(yù)先設(shè)定的時間段內(nèi)監(jiān)測由WAP網(wǎng)關(guān)向 MISC提交的增值業(yè)務(wù)訂購請求消息���,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識���,并將在該時間段內(nèi)獲取的移動用戶的標(biāo)識上報給惡意訂購分析和報警模塊103。用戶流量監(jiān)測模塊102在該時間段內(nèi)監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息���,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識���,并將在該時間段內(nèi)獲取的移動用戶的標(biāo)識上報給惡意訂購分析和報警模塊103。惡意訂購分析和報警模塊103將訂購消息監(jiān)測模塊101上報的移動用戶的標(biāo)識與用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識進(jìn)行對比����,如果發(fā)現(xiàn)特殊移動用戶的標(biāo)識�,則認(rèn)為與該特殊移動用戶的標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求��。優(yōu)選的����,該特殊移動用戶的標(biāo)識屬于由訂購消息監(jiān)測模塊101上報的移動用戶的標(biāo)識且不屬于由用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識。因為攻擊者偽造的增值業(yè)務(wù)訂購請求出現(xiàn)在WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息中的可能性更大�。或者�����,該特殊移動用戶的標(biāo)識屬于由用戶流量監(jiān)測模塊102 上報的移動用戶的標(biāo)識且不屬于由訂購消息監(jiān)測模塊101上報的移動用戶的標(biāo)識�。通過對比移動用戶的標(biāo)識���,可以判斷是否有攻擊者偽造的增值業(yè)務(wù)訂購請求���,從而避免了對于用戶的過計費(fèi),保證了網(wǎng)絡(luò)安全�,提高了用戶的使用感受。并且將移動用戶的標(biāo)識發(fā)送給惡意訂購分析和報警模塊103�����,減少了信息的傳遞量,若該信息通過網(wǎng)絡(luò)傳遞則可以減輕網(wǎng)絡(luò)的負(fù)載�����,若該信息為內(nèi)部傳遞信息���,可以減少整個裝置的工作負(fù)荷���。例如,訂購消息監(jiān)測模塊101用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識��,并按序?qū)⑺霁@取的移動用戶的標(biāo)識發(fā)送給惡意訂購分析和報警模塊103�����。用戶流量監(jiān)測模塊102�����,用于監(jiān)測由 GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息����,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識���,并按序?qū)⑺霁@取的移動用戶的標(biāo)識發(fā)送給惡意訂購分析和報警模塊103。 惡意訂購分析和報警模塊103用于將訂購消息監(jiān)測模塊101發(fā)送的移動用戶的標(biāo)識序列和用戶流量監(jiān)測模塊102發(fā)送的移動用戶的標(biāo)識序列進(jìn)行對比����,如果發(fā)現(xiàn)錯序移動用戶的標(biāo)識,則認(rèn)為與該錯序移動用戶的標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求�。例如,訂購消息監(jiān)測模塊101用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�����,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識����,并將所述獲取的移動用戶的標(biāo)識和獲取時間發(fā)送給惡意訂購分析和報警模塊103�。用戶流量監(jiān)測模塊102,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識,并將所述獲取的移動用戶的標(biāo)識和獲取時間發(fā)送給惡意訂購分析和報警模塊103�����。惡意訂購分析和報警模塊103用于將訂購消息監(jiān)測模塊101發(fā)送的移動用戶的標(biāo)識和用戶流量監(jiān)測模塊102發(fā)送的移動用戶的標(biāo)識按照對應(yīng)的時間進(jìn)行比較,如果發(fā)現(xiàn)由訂購消息監(jiān)測模塊101發(fā)送的移動用戶的標(biāo)識不同于用戶流量監(jiān)測模塊102發(fā)送的移動用戶的標(biāo)識的時刻���,則認(rèn)為與該時刻對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求�����。結(jié)合上述示例�,本發(fā)明實施例提供的檢測WAP惡意訂購的系統(tǒng)中惡意訂購分析和報警模塊103還可以進(jìn)一步對比增值業(yè)務(wù)訂購請求消息中的SP標(biāo)識�。此時,訂購消息監(jiān)測模塊101用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識和SP標(biāo)識����,并將獲取的移動用戶的標(biāo)識和SP標(biāo)識上報給惡意訂購分析和報警模塊103 ;用戶流量監(jiān)測模塊102用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�����,獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識和SP 標(biāo)識��,并將獲取的移動用戶的標(biāo)識以及SP標(biāo)識上報給惡意訂購分析和報警模塊103�����。惡意訂購分析和報警模塊103將訂購消息監(jiān)測模塊101上報的移動用戶的標(biāo)識與用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識進(jìn)行對比,若由訂購消息監(jiān)測模塊101上報的一移動用戶的標(biāo)識不在由用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識中�,則認(rèn)為與該移動用戶的標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求;若由訂購消息監(jiān)測模塊101上報的一移動用戶的標(biāo)識在由用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識中�, 則進(jìn)一步判斷由訂購消息監(jiān)測模塊101上報的該移動用戶的標(biāo)識對應(yīng)的SP標(biāo)識和由用戶流量監(jiān)測模塊102上報的該移動用戶的標(biāo)識對應(yīng)的SP標(biāo)識是否一致,如果不一致���,則認(rèn)為與該移動用戶的標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求�����。由此�,可以進(jìn)一步的提高網(wǎng)絡(luò)的安全性能��,監(jiān)測出由攻擊者偽造的更換SP的增值業(yè)務(wù)訂購請求��,更好的避免用戶被過計費(fèi)����。
進(jìn)一步的,還可以對比增值業(yè)務(wù)訂購請求消息的其他內(nèi)容����,此時�����,訂購消息監(jiān)測模塊101和用戶流量監(jiān)測模塊102監(jiān)測增值業(yè)務(wù)訂購請求消息時,除了獲取請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識����、SP標(biāo)識之外,還將進(jìn)一步獲取該增值業(yè)務(wù)訂購請求中的其他內(nèi)容���,并上報給惡意訂購分析和報警模塊103���。惡意訂購分析和報警模塊103首先將訂購消息監(jiān)測模塊101上報的移動用戶的標(biāo)識與用戶流量監(jiān)測模塊102上報的移動用戶的標(biāo)識進(jìn)行對比,排除部分攻擊者偽造的增值業(yè)務(wù)訂購請求��;然后�����,再將相同移動用戶標(biāo)識對應(yīng)的SP標(biāo)識進(jìn)行對比��,再排除一部分攻擊者偽造的增值業(yè)務(wù)訂購請求��;最后�,再將對應(yīng)相同移動用戶標(biāo)識以及SP標(biāo)識的增值業(yè)務(wù)訂購請求的內(nèi)容進(jìn)行對比,如果內(nèi)容不一致����,則認(rèn)為與該移動用戶的標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求����。也就是說���, 只有移動用戶的標(biāo)識�、SP標(biāo)識以及增值業(yè)務(wù)訂購請求的內(nèi)容完全相同的訂購消息才是合法的訂購消息��。為了監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��,可以直接將訂購消息監(jiān)測模塊101部署在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間以直接檢測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�,或者在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間部署一個用于采集由WAP網(wǎng)關(guān)向MISC 提交的增值業(yè)務(wù)訂購請求消息的信息采集點,此時���,上述訂購消息監(jiān)測模塊101可以部署在一個獨立的服務(wù)器上�����。類似地�����,為了監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�����,可以直接將用戶流量監(jiān)測模塊102部署在GPRS系統(tǒng)和WAP網(wǎng)關(guān)之間以直接監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息����,或者在GPRS系統(tǒng)和WAP網(wǎng)關(guān)之間部署一個用于采集由GGSN 發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息的信息采集點����,此時,上述用戶流量監(jiān)測模塊102 可以部署在一個獨立的服務(wù)器上�。惡意訂購分析和報警模塊103可以直接部署在一個獨立的服務(wù)器上。需要說明的是����,在本實施例中,訂購消息監(jiān)測模塊101�����、用戶流量監(jiān)測模塊102以及惡意訂購分析和報警模塊103可以部署在相同或者不同的硬件設(shè)備上��。對應(yīng)上述檢測WAP惡意訂購的系統(tǒng)�����,本實施例還提供了一種檢測WAP惡意訂購的方法,如圖2所示主要包括以下步驟步驟201���,監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�����,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識�,也即請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識��;步驟202�,監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識�����,也即請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識����;需要說明的是,上述步驟201和202并無執(zhí)行順序上的限制����,也即既可以先執(zhí)行步驟201����,也可以先執(zhí)行步驟202�����,又或者同時執(zhí)行上述步驟201和202 ���;步驟203,檢查步驟201和步驟202獲取的標(biāo)識是否一致�����,也即檢查與由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識是否和與由GGSN發(fā)送給WAP 網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息對應(yīng)的的移動用戶的標(biāo)識一致���,如果不一致��,則判定與不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求�。此時�,可以進(jìn)一步產(chǎn)生告警信息提醒運(yùn)營商注意此WAP惡意訂購行為。相反地�����,在上述步驟203,如果一致��,則可以初步判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求不是攻擊者偽造的增值業(yè)務(wù)訂購請求���。
由此可以看出����,上述檢測WAP惡意訂購的系統(tǒng)和方法通過監(jiān)測與由WAP網(wǎng)關(guān)向 MISC提交的增值業(yè)務(wù)訂購請求消息�,同時監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息來判斷由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶是否真的提交了增值業(yè)務(wù)請求,從而可以有效地檢測出攻擊者偽造訂購請求消息的WAP惡意訂購行為���,從而保護(hù)移動用戶的合法權(quán)益����。本實施例中�,步驟203的具體實現(xiàn)可以參照如圖1所示的監(jiān)測WAP惡意訂購的系統(tǒng)中惡意訂購分析和報警模塊103工作方法的描述。相應(yīng)的����,步驟201、202也可以參照圖 1所示實施例中的描述��。從上述實施例1可以看出����,上述兩種技術(shù)方案均是通過監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�,然后檢測該業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶是否提交了增值業(yè)務(wù)訂購請求來檢測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購消息的�。實施例2為了檢測繞過計費(fèi)的WAP惡意訂購行為,本發(fā)明的實施例提供了又一種檢測WAP 惡意訂購的系統(tǒng)�。圖3顯示了本實施例所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖, 如圖3所示�����,該系統(tǒng)主要包括訂購監(jiān)測單元301���,用于監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求;計費(fèi)信息監(jiān)測模塊302�,用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息;惡意訂購分析和報警模塊303���,用于判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息�����,如果沒有����,則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改,也即屬于繞過計費(fèi)的WAP惡意訂購����。具體而言,在本實施例中�,訂購監(jiān)測單元301在監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求時需要進(jìn)一步獲取所監(jiān)測增值業(yè)務(wù)訂購請求對應(yīng)的移動用戶的標(biāo)識,這樣惡意訂購分析和報警模塊303將根據(jù)訂購監(jiān)測單元301獲取的移動用戶的標(biāo)識檢查在計費(fèi)信息監(jiān)測模塊302收集的代計費(fèi)信息中是否該移動用戶的標(biāo)識所對應(yīng)的代計費(fèi)信息�。其中,代計費(fèi)信息至少包括移動用戶的標(biāo)識(例如MSISDN號或IMSI號)��,還可以包括SP標(biāo)識�、服務(wù)標(biāo)識、訂購服務(wù)的時間段����、計費(fèi)類型(例如包月、按條數(shù)等)等的一種或者多種�����。參照圖1所示實施例�����,本實施例中惡意訂購分析和報警模塊303也可以有多種實現(xiàn)方式��,例如比較一段時間內(nèi)的移動用戶的標(biāo)識,或者比較移動用戶的標(biāo)識的序列��,或者比較移動用戶的標(biāo)識以及獲取的時間���。進(jìn)一步的�,除了比較移動用戶的標(biāo)識����,還可以進(jìn)一步的比較,SP標(biāo)記和/或增值業(yè)務(wù)訂購請求中的其他內(nèi)容��,例如具體的服務(wù)內(nèi)容等�。由此��,可以更準(zhǔn)確的判斷代計費(fèi)信息是否被刪除或者修改����。在惡意訂購分析和報警模塊303判定屬于繞過計費(fèi)的WAP惡意訂購時,該惡意訂購分析和報警模塊303可以產(chǎn)生告警信息提醒運(yùn)營商注意此WAP惡意訂購行為�����,并可以進(jìn)一步請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購�����。在本實施例中,訂購監(jiān)測單元301可以包括訂購消息監(jiān)測模塊101用以監(jiān)測由 WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息的方式監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求���,此時��,可以直接將訂購消息監(jiān)測模塊101部署在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間以直接檢測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請�,或者在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間部署一個用于采集由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求的信息采集點�,此時,訂購消息監(jiān)測模塊101可以部署在一個獨立的服務(wù)器上�。或者��,在本實施例中��,訂購監(jiān)測單元301可以包括用戶流量監(jiān)測模塊102用以監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息的方式監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求����,此時,可以直接將用戶流量監(jiān)測模塊102部署在GPRS系統(tǒng)和WAP網(wǎng)關(guān)之間以直接監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息��,或者在GPRS系統(tǒng)和WAP網(wǎng)關(guān)之間部署一個用于采集由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息的信息采集點����,此時�,用戶流量監(jiān)測模塊102可以部署在一個獨立的服務(wù)器上����。另外,為了收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息����,可以直接將計費(fèi)信息監(jiān)測模塊302部署在MISC中以直接收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息,或者在MISC中部署一個用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息的信息采集點�����,此時�,計費(fèi)信息監(jiān)測模塊302可以部署在一個獨立的服務(wù)器上。惡意訂購分析和報警模塊303可以直接部署在一個獨立的服務(wù)器上����。需要說明的是,在本實施例中����,訂購監(jiān)測單元301��、計費(fèi)信息監(jiān)測模塊302以及惡意訂購分析和報警模塊303可以部署在相同或者不同的服務(wù)器上���。對應(yīng)上述檢測WAP惡意訂購的系統(tǒng)�����,本實施例還提供了一種檢測WAP惡意訂購的方法���,如圖4所示主要包括以下步驟步驟401�����,監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息�;如前所述�����,在本步驟中�����,可以通過監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息的方式監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息�,還可以通過監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息的方式監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息;步驟402�����,收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息;步驟403���,判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息���,如果沒有,則判定請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�,也即屬于繞過計費(fèi)的WAP惡意訂購。在這種情況下�����,上述方法還可以進(jìn)一步包括產(chǎn)生告警信息提醒運(yùn)營商注意此WAP惡意訂購行為�����,還可以進(jìn)一步請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購的步驟�。步驟403的具體實現(xiàn)可以參照圖3和圖1所示的檢測WAP惡意訂購的系統(tǒng)。由此可以看出��,上述檢測WAP惡意訂購的系統(tǒng)和方法通過監(jiān)測與由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息����,收集代計費(fèi)信息,以及判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息來判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改��,從而可以有效地檢測出繞過計費(fèi)的WAP惡意訂購行為�,保護(hù)移動用戶的合法權(quán)益。實施例3為了同時檢測攻擊者偽造訂購請求消息以及繞過計費(fèi)的WAP惡意訂購行為���,本實施例公開了一種檢測WAP惡意訂購的系統(tǒng)將上述實施例1和實施例2相結(jié)合�,也即同時檢測增值業(yè)務(wù)訂購請求是否為攻擊者偽造的增值業(yè)務(wù)訂購請求以及增值業(yè)務(wù)訂購請求是否為繞過計費(fèi)的WAP惡意訂購行為��。本實施例所述的檢測WAP惡意訂購系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖也如圖5所示����,主要包括訂購消息監(jiān)測模塊101,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求��,并獲取與該增值業(yè)務(wù)訂購請求對應(yīng)的移動用戶的標(biāo)識�����;其中��,移動用戶的標(biāo)識例如為移動終端的MSISDN或IMSI等��;用戶流量監(jiān)測模塊102���,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息���,并獲取與該增值業(yè)務(wù)訂購請求對應(yīng)的移動用戶的標(biāo)識�;計費(fèi)信息監(jiān)測模塊302����,用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息; 其中���,代計費(fèi)信息中至少包括移動用戶的標(biāo)識��;惡意訂購分析和報警模塊501����,用于檢查訂購消息監(jiān)測模塊101獲取的移動用戶的標(biāo)識是否和用戶流量監(jiān)測模塊102獲取的移動用戶的標(biāo)識一致��,如果不一致�,則判定不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求;如果一致����,則進(jìn)一步判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息,如果沒有�, 則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�����,也即屬于繞過計費(fèi)的WAP惡意訂購。具體而言����,在本實施例中,惡意訂購分析和報警模塊501將根據(jù)訂購消息監(jiān)測模塊101或用戶流量監(jiān)測模塊102獲取的移動用戶的標(biāo)識檢查在計費(fèi)信息監(jiān)測模塊302收集的代計費(fèi)信息中是否該移動用戶的標(biāo)識所對應(yīng)的代計費(fèi)信息��。此外�,如實施例1所述,在本實施例中����,訂購消息監(jiān)測模塊101和用戶流量監(jiān)測模塊102可以按預(yù)先設(shè)定的時間段分段進(jìn)行監(jiān)測,并且除了獲取增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶標(biāo)識之外還可以進(jìn)一步獲取SP標(biāo)識和/或增值業(yè)務(wù)訂購請求的其他內(nèi)容���。惡意訂購分析和報警模塊501可以按預(yù)先設(shè)定的時間段分段進(jìn)行判斷���,并且在對比訂購消息監(jiān)測模塊101和用戶流量監(jiān)測模塊102上報的信息時,除了對比移動用戶的標(biāo)識之外����,還可以進(jìn)一步SP標(biāo)識和/或增值業(yè)務(wù)訂購請求的其他內(nèi)容�。需要說明的是�,惡意訂購分析和報警模塊501先判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求,后判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購只是一個示例�。在實際應(yīng)用中,并不限制這兩個過程的執(zhí)行順序�,也即惡意訂購分析和報警模塊501可以先執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購,而后判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求����;或者還可以并行執(zhí)行上述兩個過程。在檢測到WAP惡意訂購行為后�����,惡意訂購分析和報警模塊可以發(fā)出告警信號提醒運(yùn)營商注意��,特別地��,在發(fā)現(xiàn)繞過計費(fèi)的WAP惡意訂購行為后�����,還可以進(jìn)一步請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)的訂購��。如實施例1和2中所述�����,可以直接將訂購消息監(jiān)測模塊101部署在WAP網(wǎng)關(guān)和MISC 系統(tǒng)之間,或者在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間部署一個用于采集由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求的信息采集點��,此時�,訂購消息監(jiān)測模塊101可以部署在一個獨立的服務(wù)器上?����?梢灾苯訉⒂脩袅髁勘O(jiān)測模塊102部署在GPRS系統(tǒng)和WAP網(wǎng)關(guān)之間���,或者在GPRS 系統(tǒng)和WAP網(wǎng)關(guān)之間部署一個用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息的信息采集點,此時�����,用戶流量監(jiān)測模塊102可以部署在一個獨立的服務(wù)器上��。
另外��,還可以直接將計費(fèi)信息監(jiān)測模塊302部署在MISC中�,或者在MISC中部署一個用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息的信息采集點,此時�,計費(fèi)信息監(jiān)測模塊302可以部署在一個獨立的服務(wù)器上�。惡意訂購分析和報警模塊501則可以直接部署在一個獨立的服務(wù)器上����。需要說明的是,在本實施例中����,訂購消息監(jiān)測模塊101、用戶流量監(jiān)測模塊102�����、計費(fèi)信息監(jiān)測模塊302以及惡意訂購分析和報警模塊501可以部署在相同或者不同的服務(wù)器上���。對應(yīng)上述檢測WAP惡意訂購的系統(tǒng)��,本實施例還提供了一種檢測WAP惡意訂購的方法�,如圖6所示主要包括以下步驟步驟601���,監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息����,并獲取該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識,也即獲取訂購增值業(yè)務(wù)的移動用戶的標(biāo)識���;步驟602���,監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息,并獲取該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識����,也即獲取請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識;需要說明的是����,上述步驟601和602并無執(zhí)行順序上的限制���,也即既可以先執(zhí)行步驟801����,也可以先執(zhí)行步驟602���,還可以同時執(zhí)行步驟601和602 ����;步驟603��,檢查步驟601和步驟602獲取的標(biāo)識是否一致,也即檢查與由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識是否和與由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息對應(yīng)的的移動用戶的標(biāo)識一致�,如果不一致,則執(zhí)行步驟604 �;如果一致,則執(zhí)行步驟605 �;步驟604,判定不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求����;此時,可以進(jìn)一步產(chǎn)生告警信息提醒運(yùn)營商注意此WAP惡意訂購行為��;步驟605��,收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息����;步驟606,判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息��,如果沒有��,則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�,也即屬于繞過計費(fèi)的WAP惡意訂購。在這種情況下,上述方法還可以進(jìn)一步包括請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購的步驟�����。需要說明的是�����,上述方法中����,先判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求的過程(步驟601至步驟604),后執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購的過程(步驟605至步驟606)只是一個示例�。在實際應(yīng)用中,并不限制這兩個過程的執(zhí)行順序����,也即可以先執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購的過程(步驟605至步驟606)����,而后執(zhí)行判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求的過程(步驟601至步驟604);或者并行執(zhí)行上述兩個過程��。上述步驟具體的實現(xiàn)可以參照實施例1中的描述����。由此可以看出����,上述檢測WAP惡意訂購的系統(tǒng)和方法可以有效地檢測出攻擊者偽造訂購請求消息的WAP惡意訂購行為以及繞過計費(fèi)的WAP惡意訂購行為����,從而保障移動用戶的合法權(quán)益。
上述實施例3是首先通過監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�����, 檢測該業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶是否提交了增值業(yè)務(wù)訂購請求來檢測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購消息��。然后���,再通過判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息���,來判斷屬于繞過計費(fèi)的 WAP惡意訂購。作為上述實施例3的替代方案����,本發(fā)明的實施例還提供了一種可以同時檢測攻擊者偽造訂購請求消息的WAP惡意訂購行為以及繞過計費(fèi)的WAP惡意訂購行為的系統(tǒng)和方法。實施例4為了同時檢測攻擊者偽造訂購請求消息以及繞過計費(fèi)的WAP惡意訂購行為��,本實施例公開了一種檢測WAP惡意訂購的系統(tǒng),同時檢測增值業(yè)務(wù)訂購請求是否為攻擊者偽造的增值業(yè)務(wù)訂購請求以及增值業(yè)務(wù)訂購請求是否為繞過計費(fèi)的WAP惡意訂購行為����。本實施例所提出的檢測WAP惡意訂購的系統(tǒng)的內(nèi)部結(jié)構(gòu)也如圖8所示,主要包括訂購消息監(jiān)測模塊101�����,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��,并獲取請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識�;其中,移動終端的MSISDN或IMSI等��;用戶狀態(tài)監(jiān)測模塊801��,用于根據(jù)訂購增值業(yè)務(wù)的移動用戶的標(biāo)識監(jiān)測該移動用戶的在線或離線狀態(tài)�����;具體地��,用戶流量監(jiān)測模塊可以通過Radius消息中包含的移動用戶上下線信息判斷該移動用戶是處于在線狀態(tài)還是處于離線狀態(tài)��;計費(fèi)信息監(jiān)測模塊302���,用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息��;���;惡意訂購分析和報警模塊802,用于在訂購消息監(jiān)測模塊101監(jiān)測到有由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息時�,根據(jù)用戶狀態(tài)監(jiān)測模塊801的監(jiān)測結(jié)果判斷訂購增值業(yè)務(wù)的移動用戶是否處于離線狀態(tài),如果訂購增值業(yè)務(wù)的用戶處于離線狀態(tài)�,則判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求為攻擊者偽造的增值業(yè)務(wù)訂購請求,如果訂購增值業(yè)務(wù)的移動用戶處于在線狀態(tài)����,則進(jìn)一步判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息,如果沒有����,則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改,也即屬于繞過計費(fèi)的WAP惡意訂購���。具體而言����,在本實施例中��,惡意訂購分析和報警模塊802將根據(jù)訂購消息監(jiān)測模塊101檢查在計費(fèi)信息監(jiān)測模塊302收集的代計費(fèi)信息中是否有該移動用戶的標(biāo)識所對應(yīng)的代計費(fèi)信息。在檢測到WAP惡意訂購行為后����,惡意訂購分析和報警模塊802可以發(fā)出告警信號提醒運(yùn)營商注意,特別地���,在發(fā)現(xiàn)繞過計費(fèi)的WAP惡意訂購行為后�����,還可以進(jìn)一步請求MISC 生成代計費(fèi)信息或取消增值業(yè)務(wù)的訂購�����。需要說明的是��,惡意訂購分析和報警模塊802先判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求���,后判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購只是一個示例。在實際應(yīng)用中��,并不限制這兩個過程的執(zhí)行順序����,也即惡意訂購分析和報警模塊802可以先執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購,而后判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求����;或者還可以并行執(zhí)行上述兩個過程。
在本實施例中�����,可以直接將訂購消息監(jiān)測模塊101部署在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間����,或者在WAP網(wǎng)關(guān)和MISC系統(tǒng)之間部署一個用于采集由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求的信息采集點,此時����,訂購消息監(jiān)測模塊101可以部署在一個獨立的服務(wù)器上。另外�,還可以直接將計費(fèi)信息監(jiān)測模塊302部署在MISC中,或者在MISC中部署一個用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息的信息采集點����,此時,計費(fèi)信息監(jiān)測模塊302可以部署在一個獨立的服務(wù)器上�。惡意訂購分析和報警模塊802則可以直接部署在一個獨立的服務(wù)器上。具體實現(xiàn)時����,惡意訂購分析和報警模塊802可以實施為兩個子模塊��,即第一惡意訂購分析和報警模塊以及第二惡意訂購分析和報警模塊��。第一惡意訂購分析和報警模塊負(fù)責(zé)對過計費(fèi)進(jìn)行判斷�����,第二惡意訂購分析和報警模塊負(fù)責(zé)對繞過計費(fèi)進(jìn)行判斷�����。當(dāng)兩個判斷同時進(jìn)行時��,上述兩個惡意訂購分析和報警模塊分別獨立工作�,當(dāng)其中一個判斷基于另一個的判斷結(jié)果時���,上述兩個惡意訂購分析和報警模塊可以在進(jìn)行判斷后通知另一個惡意訂購分析和報警模塊�。需要說明的是����,在本實施例中,訂購消息監(jiān)測模塊101、用戶狀態(tài)監(jiān)測模塊801����、計費(fèi)信息監(jiān)測模塊302以及惡意訂購分析和報警模塊802可以部署在相同或者不同的硬件設(shè)備上。對應(yīng)上述檢測WAP惡意訂購的系統(tǒng)�,本實施例還提供了一種檢測WAP惡意訂購的方法���,如圖7所示主要包括以下步驟步驟701��,監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息����,并獲取請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識���;步驟702���,根據(jù)訂購增值業(yè)務(wù)的移動用戶的標(biāo)識監(jiān)測該移動用戶是否處于離線狀態(tài),如果該移動用戶處于離線狀態(tài)����,則執(zhí)行步驟703 ;如果該移動用戶處于在線狀態(tài)�����,則判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求不是攻擊者偽造的增值業(yè)務(wù)訂購請求,然后執(zhí)行步驟704 �����;在本步驟中�����,可以通過Radius消息中包含的移動用戶上下線信息判斷該移動用戶是處于在線狀態(tài)還是處于離線狀態(tài)��;步驟703�,判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求為攻擊者偽造的增值業(yè)務(wù)訂購請求;此時����,可以進(jìn)一步產(chǎn)生告警信息提醒運(yùn)營商注意此WAP惡意訂購行為;步驟704����,收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息;步驟705�����,判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息,如果沒有��,則判斷請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�,屬于繞過計費(fèi)的WAP惡意訂購。在這種情況下��,上述方法還可以進(jìn)一步包括請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購的步驟����。需要說明的是��,上述方法中����,先判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求的過程(步驟701至步驟703),后執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購的過程(步驟704至步驟70 只是一個示例����。在實際應(yīng)用中,并不限制這兩個過程的執(zhí)行順序���,也即可以先執(zhí)行判斷增值業(yè)務(wù)訂購是否為屬于繞過計費(fèi)的WAP惡意訂購的過程(步驟704至步驟70 �,而后執(zhí)行判斷增值業(yè)務(wù)訂購請求消息是否為攻擊者偽造的增值業(yè)務(wù)訂購請求的過程(步驟701至步驟70 ���;或者并行執(zhí)行上述兩個過程�。由此可以看出,上述檢測WAP惡意訂購的系統(tǒng)和方法可以有效地檢測出攻擊者偽造訂購請求消息的WAP惡意訂購行為以及繞過計費(fèi)的WAP惡意訂購行為��,從而保障移動用戶的合法權(quán)益���。通過上述實施例1至4可以看出�,本發(fā)明實施例提供的檢測WAP惡意訂購的系統(tǒng)和方法可以有效檢測出并防止WAP惡意訂購行為�,保障移動用戶的合法權(quán)益。此外�����,本發(fā)明所提出檢測WAP惡意訂購的系統(tǒng)以及方法是基于網(wǎng)絡(luò)的解決方案���, 并不需要在WAP網(wǎng)關(guān)或MISC等硬件設(shè)備上安裝新的軟件�����,并且該系統(tǒng)和方法可以通過監(jiān)控 WAP網(wǎng)關(guān)的業(yè)務(wù)流量簡單實現(xiàn)���,而不必連接到WAP網(wǎng)關(guān)的通信線路上,因此不會影響WAP服務(wù)的性能����。
權(quán)利要求
1.一種檢測WAP惡意訂購的系統(tǒng)����,所述系統(tǒng)包括訂購消息監(jiān)測模塊(101)�����,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��, 并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識��;用戶流量監(jiān)測模塊(102)�,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�, 并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識;惡意訂購分析和報警模塊(103��,303)�,用于檢查所述訂購消息監(jiān)測模塊(101)獲取的移動用戶的標(biāo)識與所述用戶流量監(jiān)測模塊(10 獲取的移動用戶的標(biāo)識是否一致,如果不一致���,則判定與不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于�,所述系統(tǒng)進(jìn)一步包括計費(fèi)信息監(jiān)測模塊(302),用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息����; 所述惡意訂購分析和報警模塊(103,30 進(jìn)一步用于判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息��,如果沒有��,則判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�。
3.一種檢測WAP惡意訂購的系統(tǒng),所述系統(tǒng)包括訂購監(jiān)測單元(301)��,用于監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求�; 計費(fèi)信息監(jiān)測模塊(302),用于收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息����; 第一惡意訂購分析和報警模塊(303,501)�����,用于判斷所述訂購監(jiān)測單元(301)監(jiān)測到的請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息����,如果沒有�����,則判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�。
4.根據(jù)權(quán)利要求3所述的系統(tǒng)���,其特征在于�,所述訂購監(jiān)測單元(301)包括以下之一或其任意組合訂購消息監(jiān)測模塊(101)��,用于監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�����, 并獲取請求訂購該增值業(yè)務(wù)的移動用戶的標(biāo)識����;用戶流量監(jiān)測模塊(102)����,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息, 并獲取請求訂購該增值業(yè)務(wù)的移動用戶的標(biāo)識���;用戶狀態(tài)監(jiān)測模塊(801)����,用于根據(jù)訂購增值業(yè)務(wù)的移動用戶的標(biāo)識監(jiān)測所述移動用戶的在線或離線狀態(tài)。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)��,其特征在于���,所述訂購監(jiān)測單元(301)至少包括所述訂購消息監(jiān)測模塊(101)和所述用戶狀態(tài)檢測模塊(801)����;且所述系統(tǒng)進(jìn)一步包括第二惡意訂購分析和報警模塊�,用于在所述訂購消息監(jiān)測模塊(101)監(jiān)測到有由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息時,根據(jù)所述用戶狀態(tài)監(jiān)測模塊(801)的監(jiān)測結(jié)果判斷訂購該增值業(yè)務(wù)的移動用戶是否處于離線狀態(tài)���,如果所述訂購增值業(yè)務(wù)的用戶處于離線狀態(tài)��,則判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求為攻擊者偽造的增值業(yè)務(wù)訂購請求�。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)��,其特征在于�����,所述第二惡意訂購分析和報警模塊進(jìn)一步用于,如果所述訂購增值業(yè)務(wù)的用戶處于在線狀態(tài)�,則通知所述第一惡意訂購分析和報警模塊判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息是否被刪除或修改。
7.一種檢測WAP惡意訂購的方法��,所述方法包括監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息��,并獲取第一移動用戶標(biāo)識��,所述第一移動用戶標(biāo)識為與該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識�����;監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�����,并獲取第二移動用戶標(biāo)識�,所述第二移動用戶標(biāo)識為與該由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識;以及檢查所述第一移動用戶標(biāo)識是否和所述第二移動用戶標(biāo)識一致�����,如果不一致��,則判定與該不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求消息���。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于����,所述方法進(jìn)一步包括收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息;以及根據(jù)所述第一移動用戶標(biāo)識和/或所述第二移動用戶標(biāo)識判斷請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息����,如果沒有,則判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改�����。
9.根據(jù)權(quán)利要求8所述的方法�����,其特征在于�����,所述方法進(jìn)一步包括在判斷為該請求訂購增值業(yè)務(wù)的移動用戶的待計費(fèi)信息已經(jīng)被刪除或修改時,請求 MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購�����。
10.一種檢測WAP惡意訂購的方法���,所述方法包括監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息�;收集請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息���;以及判斷監(jiān)測到的請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息�,如果沒有���,則判斷該請求訂購增值業(yè)務(wù)的移動用戶的代計費(fèi)信息已經(jīng)被刪除或修改���。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于�,所述監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購請求消息,包括監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息或監(jiān)測由GGSN 發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息�����。
12.根據(jù)權(quán)利要求10所述的方法���,其特征在于���,所述方法進(jìn)一步包括在判斷為該請求訂購增值業(yè)務(wù)的移動用戶的待計費(fèi)信息已經(jīng)被刪除或修改時,請求MISC生成代計費(fèi)信息或取消增值業(yè)務(wù)訂購�。
13.根據(jù)權(quán)利要求10所述的方法,其特征在于����,所述監(jiān)測由移動用戶提交的增值業(yè)務(wù)訂購消息,包括監(jiān)測由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息�,并獲取請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識;所述方法進(jìn)一步包括根據(jù)所述請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識監(jiān)測該移動用戶是否處于離線狀態(tài)����,如果該移動用戶處于離線狀態(tài),則判定該由WAP網(wǎng)關(guān)向MISC提交的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求消息���。
14.根據(jù)權(quán)利要求13所述的方法����,其特征在于��,所述方法進(jìn)一步包括在所述根據(jù)所述請求訂購增值業(yè)務(wù)的移動用戶的標(biāo)識監(jiān)測該移動用戶是否處于離線狀態(tài)后��,如果該移動用戶處于在線狀態(tài),則執(zhí)行所述判斷監(jiān)測到的請求訂購增值業(yè)務(wù)的移動用戶是否有相應(yīng)的代計費(fèi)信息的步驟�����。
全文摘要
本發(fā)明公開了檢測無線應(yīng)用協(xié)議(WAP)惡意訂購的系統(tǒng)和方法����。其中,檢測WAP惡意訂購的系統(tǒng)包括訂購消息監(jiān)測模塊(101)���,用于監(jiān)測由WAP網(wǎng)關(guān)向移動信息服務(wù)中心(MISC)提交的增值業(yè)務(wù)訂購請求消息�����,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識�;用戶流量監(jiān)測模塊(102)�,用于監(jiān)測由GGSN發(fā)送給WAP網(wǎng)關(guān)的增值業(yè)務(wù)訂購請求消息,并獲取與該增值業(yè)務(wù)訂購請求消息對應(yīng)的移動用戶的標(biāo)識��;惡意訂購分析和報警模塊(103)��,用于檢查訂購消息監(jiān)測模塊(101)獲取的移動用戶的標(biāo)識與用戶流量監(jiān)測模塊(102)獲取的移動用戶的標(biāo)識是否一致��,如果不一致��,則判定與不一致的移動用戶標(biāo)識對應(yīng)的增值業(yè)務(wù)訂購請求消息為攻擊者偽造的增值業(yè)務(wù)訂購請求。
文檔編號H04W12/12GK102595410SQ20111000840
公開日2012年7月18日 申請日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者郭代飛, 隋愛芬 申請人:西門子公司