專(zhuān)利名稱(chēng):檢測(cè)偽裝攻擊的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域,特別是一種檢測(cè)偽裝攻擊的系統(tǒng)及方法�。
背景技術(shù):
在移動(dòng)通信網(wǎng)絡(luò)中,移動(dòng)設(shè)備通過(guò)無(wú)線應(yīng)用協(xié)議(Wireless ApplicationProtocol, WAP)網(wǎng)關(guān)(Gateway, GW)使用移動(dòng)增值服務(wù)���、或者發(fā)送和接收彩信(MultimediaMessaging Service,MMS)���。服務(wù)供應(yīng)商(Service Provider, SP)的服務(wù)器或彩信中心(MMSCenter,麗SC)根據(jù)WAPGW的IP地址驗(yàn)證移動(dòng)用戶(hù)的消息的有效性,所以WAPGW需要根據(jù)來(lái)自網(wǎng)關(guān)GPRS (通用分組無(wú)線業(yè)務(wù))支持節(jié)點(diǎn)(Gateway GPRS Support Node, GGSN)的遠(yuǎn)程撥入用戶(hù)認(rèn)證服務(wù)(Remote Authentication Dial In User Service,RADIUS)協(xié)議數(shù)據(jù)報(bào)核實(shí)移動(dòng)用戶(hù)的身份��。
運(yùn)營(yíng)商根據(jù)移動(dòng)信息服務(wù)中心(MobileInformation Service Center, MISC)�、可信的SP和麗SC提供的服務(wù)使用記錄向移動(dòng)用戶(hù)收費(fèi)。圖I示出一種移動(dòng)通信網(wǎng)絡(luò)的示意結(jié)構(gòu)圖���,圖2示出在圖I所示的移動(dòng)通信網(wǎng)絡(luò)中服務(wù)使用和計(jì)費(fèi)的流程圖���。當(dāng)用戶(hù)使用手機(jī)訪問(wèn)GPRS分組網(wǎng)絡(luò)時(shí),GGSN向WAPGW的RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求消息�,WAPGW存儲(chǔ)手機(jī)的IP地址和移動(dòng)臺(tái)國(guó)際ISDN(綜合業(yè)務(wù)數(shù)字網(wǎng))號(hào)碼(Mobile StationInternational ISDN Number, MSISDN),并向GGSN發(fā)送計(jì)費(fèi)開(kāi)始響應(yīng)消息,然后當(dāng)用戶(hù)通過(guò)手機(jī)使用增值服務(wù)時(shí)��,WAPGff將來(lái)自上線用戶(hù)的服務(wù)請(qǐng)求消息轉(zhuǎn)發(fā)給MISC或可信的SP����,MISC或可信的SP根據(jù)該服務(wù)請(qǐng)求消息的IP地址認(rèn)證該服務(wù)請(qǐng)求消息,如果該服務(wù)請(qǐng)求消息來(lái)自WAPGW����,則MISC或可信的SP接受該服務(wù)請(qǐng)求消息而通過(guò)WAPGW向用戶(hù)發(fā)送服務(wù)響應(yīng)消息,并根據(jù)手機(jī)的MSISDN來(lái)計(jì)費(fèi)�����。RADIUS協(xié)議基于用戶(hù)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol, UDP)。一些惡意攻擊者可以偽裝成GGSN向WAPGW發(fā)送偽造的RADIUS協(xié)議數(shù)據(jù)報(bào)�,以迫使其他用戶(hù)或偽裝成其他用戶(hù)在WAPGW中上線,然后攻擊者可以迫使其他用戶(hù)或偽裝成其他用戶(hù)使用服務(wù)并造成這些用戶(hù)的巨大損失��。由于偽造的UDP數(shù)據(jù)包與真實(shí)的UDP數(shù)據(jù)包相同��,所以很難檢測(cè)這種偽裝攻擊����。此外,在移動(dòng)通信網(wǎng)絡(luò)中�����,當(dāng)用戶(hù)通過(guò)手機(jī)使用增值服務(wù)時(shí)�����,WAPGW將用戶(hù)的服務(wù)請(qǐng)求消息轉(zhuǎn)發(fā)給MISC或可信的SP��,MISC或可信的SP只核實(shí)該服務(wù)請(qǐng)求消息的IP地址是否為WAPGW的IP地址����。許多攻擊者可以發(fā)現(xiàn)WAPGW的弱點(diǎn)而偽裝成WAPGW發(fā)送偽造的服務(wù)請(qǐng)求消息,使得MISC或可信的SP為用戶(hù)增加許多不存在的服務(wù)關(guān)系����,這會(huì)導(dǎo)致用戶(hù)為這些不存在的服務(wù)使用付費(fèi)���。終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)增強(qiáng)(Terminal Access ControllerAccess-Control System Plus, TACACS+)協(xié)議通過(guò)一個(gè)或多個(gè)中央服務(wù)器為路由器����、網(wǎng)絡(luò)訪問(wèn)服務(wù)器以及其他組網(wǎng)計(jì)算設(shè)備提供訪問(wèn)控制。TACACS+協(xié)議提供單獨(dú)的認(rèn)證���、授權(quán)和計(jì)費(fèi)(Authentication, Authorization, Accounting, AAA)月艮務(wù)�。在移動(dòng)通信網(wǎng)絡(luò)中����,RADIUS協(xié)議用于WAP網(wǎng)關(guān)WAPGW和GGSN之間作為AAA協(xié)議。TACACS+使用傳輸控制協(xié)議(Transmission Control Protocol���,TCP)���,而 RADIUS 使用 UDP。UDP 易于受到攻擊�����,而 TCP相對(duì)安全,但是在現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)的基礎(chǔ)上����,如果將RADIUS轉(zhuǎn)換成TACACS+,則需要更換整個(gè)網(wǎng)絡(luò)范圍內(nèi)的設(shè)備����,網(wǎng)絡(luò)部署成本相當(dāng)高,因此難以將RADIUS轉(zhuǎn)換成TACACS+�。因此,TACACS+不能用于防止移動(dòng)通信網(wǎng)絡(luò)中的偽裝攻擊�。當(dāng)用戶(hù)通過(guò)手機(jī)訪問(wèn)GPRS分組網(wǎng)絡(luò)時(shí),WAPGW根據(jù)GGSN向RADIUS服務(wù)器發(fā)送的計(jì)費(fèi)開(kāi)始請(qǐng)求消息獲取并存儲(chǔ)手機(jī)的IP地址和MSISDN�。為了避免攻擊者篡改發(fā)送給WAPGW的服務(wù)請(qǐng)求消息中的MSISDN,WAPGff在接收到來(lái)自手機(jī)的服務(wù)請(qǐng)求消息時(shí)用所獲取并存儲(chǔ)的MSISDN替換該服務(wù)請(qǐng)求消息中的MSISDN��。但是���,這不能防止通過(guò)偽裝成GGSN來(lái)發(fā)送RADIUS協(xié)議數(shù)據(jù)報(bào)產(chǎn)生的攻擊���。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提出了一種檢測(cè)偽裝攻擊的系統(tǒng)及方法���,用以有效檢測(cè)攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊�����。
因此�����,本發(fā)明實(shí)施例提供了一種檢測(cè)防止偽裝攻擊的系統(tǒng)�����,包括用戶(hù)追蹤裝置����,連接到GGSN的輸入端側(cè)或者服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)(Serving GPRS SupportNode, SGSN)的輸入端側(cè),用于獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息,其中,第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第一移動(dòng)設(shè)備�;以及攻擊檢測(cè)裝置,連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到WAPGW中的請(qǐng)求消息和/或從WAPGW輸出的請(qǐng)求消息;根據(jù)所述請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息�,其中,第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第二移動(dòng)設(shè)備�;對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息;根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備���;以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí),根據(jù)所述對(duì)比結(jié)果確定請(qǐng)求消息的有效性���。從上述方案中可以看出,由于本發(fā)明實(shí)施例的檢測(cè)偽裝攻擊系統(tǒng)追蹤第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���,在捕獲到請(qǐng)求消息時(shí)�,對(duì)比根據(jù)請(qǐng)求消息獲得的第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息與追蹤到的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���,從而確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�,當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�����,進(jìn)而確定所述請(qǐng)求消息的有效性�����,因此能夠有效地檢測(cè)出攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊���。優(yōu)選地,當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí)�,第一標(biāo)識(shí)信息包括第一互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)地址和第一 MSISDN ;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí),第一標(biāo)識(shí)信息包括第一 MSISDN ;第二標(biāo)識(shí)信息包括第二 IP地址和第二 MSISDN。由于移動(dòng)設(shè)備處于在線狀態(tài)時(shí),IP地址和MSISDN可以唯一地標(biāo)識(shí)移動(dòng)設(shè)備��,而移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�����,MSISDN可以唯一地標(biāo)識(shí)移動(dòng)設(shè)備��,因此移動(dòng)設(shè)備在線時(shí)���,采用IP地址和MSISDN作為移動(dòng)設(shè)備的標(biāo)識(shí)信息可以唯一地確定移動(dòng)設(shè)備����,而移動(dòng)設(shè)備離線時(shí)�����,采用MSISDN作為移動(dòng)設(shè)備的標(biāo)識(shí)信息可以唯一地確定移動(dòng)設(shè)備����。優(yōu)選地,用戶(hù)追蹤裝置具體用于以下之一監(jiān)控通過(guò)SGSN和GGSN之間的Gn接口的通用分組無(wú)線業(yè)務(wù)隧道協(xié)議控制(GPRS Tunnelling Protocol-Control, GTP-C)數(shù)據(jù)包����,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息����;監(jiān)控基站控制器(BaseStation Controller, BSC)和 SGSN 之間的七號(hào)信令(Signaling System Number 7, SS7)���,并根據(jù)所述七號(hào)信令獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息��;當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�����,通過(guò)與歸屬位置寄存器(Home Location Register,HLR)的連接獲取所述HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���;當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí),通過(guò)與HLR的連接獲取HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的第一 MSISDN�,并通過(guò)SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 IP地址;當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)��,通過(guò)與HLR的連接獲取HLR中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一 MSISDN���,并通過(guò)BSC與SGSN之間的七號(hào)信令獲得第一移動(dòng)設(shè)備的第一 IP地址。由于GTP-C數(shù)據(jù)包不易被偽造���,因此通過(guò)監(jiān)控GTP-C數(shù)據(jù)包可以較準(zhǔn)確地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息��;另外����,由于七號(hào)信令也不易被偽造,因此通過(guò)監(jiān)控七號(hào)信令也可以準(zhǔn)確地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息��;此外�,由于HLR中始終存儲(chǔ)著移動(dòng)設(shè)備的相關(guān)信息,如移動(dòng)設(shè)備的MSISDN和狀態(tài)信息���,因此通過(guò)訪問(wèn)HLR可以準(zhǔn)確地獲得移動(dòng)設(shè)備的MSISDN和狀態(tài)信息�,當(dāng)移動(dòng)設(shè)備處于在線狀態(tài)時(shí)����,可以進(jìn)一步根據(jù)GTP-C數(shù)據(jù)包或者七號(hào)信令獲得移動(dòng)設(shè)備的IP地址,即可完整地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信肩�����、O優(yōu)選地�����,所述輸入到WAPGW中的請(qǐng)求消息包括計(jì)費(fèi)開(kāi)始請(qǐng)求消息或服務(wù)請(qǐng)求消 息�����;所述從WAPGW輸出的請(qǐng)求消息包括服務(wù)請(qǐng)求消息。因此�,本發(fā)明實(shí)施例提供的檢測(cè)偽裝攻擊系統(tǒng)可以適用于多種請(qǐng)求消息,從而可以全面檢測(cè)攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊�。優(yōu)選地,所述攻擊檢測(cè)裝置包括檢測(cè)模塊���,所述檢測(cè)模塊具體用于以下之一當(dāng)所述對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同�,且第一 MSISDN與第二 MSISDN相同時(shí)�����,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備��,并確定所述請(qǐng)求消息有效���;當(dāng)所述對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同���,且第一 MSISDN與第二 MSISDN不同時(shí)����,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備��,并確定所述請(qǐng)求消息無(wú)效��;當(dāng)所述對(duì)比結(jié)果為第一IP地址與第二 IP地址不同��,且第一 MSISDN與第二 MSISDN相同時(shí)���,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備,并確定所述請(qǐng)求消息無(wú)效���;當(dāng)所述對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備��,并確定所述請(qǐng)求消息無(wú)效��;當(dāng)所述對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN不同時(shí)�,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備;當(dāng)所述對(duì)比結(jié)果為第一MSISDN與第二MSISDN不同,且第一標(biāo)識(shí)信息不包括第一IP地址時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備。從而在確定出第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備的基礎(chǔ)上,進(jìn)一步根據(jù)得出的不同的對(duì)比結(jié)果確定請(qǐng)求消息的有效性���,進(jìn)而有效地檢測(cè)出攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊����。優(yōu)選地����,所述攻擊檢測(cè)裝置包括防御模塊,所述防御模塊用于在所述請(qǐng)求消息被確定為無(wú)效時(shí)����,按照以下防御策略之一或任意組合進(jìn)行防御發(fā)出警告;向WAPGW發(fā)送離線請(qǐng)求消息�;發(fā)送重置命令以斷開(kāi)傳輸控制協(xié)議(Transmission Control Protocol, TCP)連接���;攔截所述請(qǐng)求消息。從而在確定所述請(qǐng)求消息無(wú)效時(shí)�,即檢測(cè)到偽裝攻擊時(shí)��,選擇適當(dāng)?shù)姆烙呗赃M(jìn)行防御��,避免用戶(hù)受到偽裝攻擊���。優(yōu)選地�,所述攻擊檢測(cè)裝置包括存儲(chǔ)模塊,所述存儲(chǔ)模塊用于存儲(chǔ)所述攻擊檢測(cè)裝置確定出的請(qǐng)求消息的有效性和/或所述防御模塊的防御結(jié)果����,從而可以供網(wǎng)絡(luò)管理員等查看檢測(cè)結(jié)果和防御結(jié)果��,以進(jìn)一步對(duì)偽裝攻擊進(jìn)行統(tǒng)計(jì)分析。
優(yōu)選地�,所述用戶(hù)追蹤裝置進(jìn)一步用于將所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息發(fā)送給所述攻擊檢測(cè)裝置;或者所述攻擊檢測(cè)裝置進(jìn)一步用于收集所述用戶(hù)追蹤裝置獲得的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息。即用戶(hù)追蹤裝置可以主動(dòng)將獲得的信息提供給所述攻擊檢測(cè)裝置,以在進(jìn)行對(duì)比時(shí)使用這些信息;或者攻擊檢測(cè)裝置也可以主動(dòng)收集用戶(hù)追蹤裝置獲得的信息�,以在進(jìn)行對(duì)比時(shí)使用這些信息��。優(yōu)選地,所述用戶(hù)追蹤裝置進(jìn)一步用于當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí),刪除之前獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���;所述攻擊檢測(cè)裝置具體用于當(dāng)所述對(duì)比結(jié)果為不存在與所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí),確定所述請(qǐng)求消息無(wú)效。也就是說(shuō)���,用戶(hù)追蹤裝置也可以?xún)H存儲(chǔ)處于在線狀態(tài)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����,當(dāng)該第一移動(dòng)設(shè)備離線時(shí),用戶(hù)追蹤裝置刪除之前存儲(chǔ)的該第一移動(dòng)設(shè)備處于在線狀態(tài)的第一標(biāo)識(shí)信息,從而可以節(jié)約存儲(chǔ)空間�����,并且在這種情況下����,當(dāng)?shù)贸龅膶?duì)比結(jié)果為不存在與第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)��,則可以直接確定所述請(qǐng)求消息無(wú)效����,因此也可以有效地檢測(cè)到攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊����。
本發(fā)明實(shí)施例還提供了一種檢測(cè)偽裝攻擊的方法,包括獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���,其中����,第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第一移動(dòng)設(shè)備�;捕獲輸入到WAPGW中的請(qǐng)求消息或從WAPGW輸出的請(qǐng)求消息;根據(jù)所述請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息,其中��,第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第二移動(dòng)設(shè)備;對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息;根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備,以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí),根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性����。從上述方案中可以看出����,由于本發(fā)明實(shí)施例的檢測(cè)偽裝攻擊方法追蹤第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�,在捕獲到請(qǐng)求消息時(shí)��,對(duì)比根據(jù)請(qǐng)求消息獲得的第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息與追蹤到的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息��,從而確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�����,當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�����,進(jìn)而確定所述請(qǐng)求消息的有效性,因此能夠有效地檢測(cè)出攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊���。優(yōu)選地,當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí)����,第一標(biāo)識(shí)信息包括第一 IP地址和第一MSISDN ;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí),第一標(biāo)識(shí)信息包括第一 MSISDN ;第二標(biāo)識(shí)信息包括第二 IP地址和第二 MSISDN。由于移動(dòng)設(shè)備處于在線狀態(tài)時(shí)�����,IP地址和MSISDN可以唯一地標(biāo)識(shí)移動(dòng)設(shè)備���,而移動(dòng)設(shè)備處于離線狀態(tài)時(shí),MSISDN可以唯一地標(biāo)識(shí)移動(dòng)設(shè)備��,因此移動(dòng)設(shè)備在線時(shí)���,采用IP地址和MSISDN作為移動(dòng)設(shè)備的標(biāo)識(shí)信息可以唯一地確定移動(dòng)設(shè)備���,而移動(dòng)設(shè)備離線時(shí),采用MSISDN作為移動(dòng)設(shè)備的標(biāo)識(shí)信息可以唯一地確定移動(dòng)設(shè)備�。優(yōu)選地,所述根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備,以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí),根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性包括以下之一當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同��,且第一MSISDN與第二 MSISDN相同時(shí)�����,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備����,并確定所述請(qǐng)求消息有效��;當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同�����,且第一 MSISDN與第二MSISDN不同時(shí)����,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�����,并確定所述請(qǐng)求消息無(wú)效�����;當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同�����,且第一 MSISDN與第二 MSISDN相同時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�,并確定所述請(qǐng)求消息無(wú)效���;當(dāng)對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí)��,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備,并確定所述請(qǐng)求消息無(wú)效;當(dāng)對(duì)比結(jié)果為第一IP地址與第二 IP地址不同���,且第一 MSISDN與第二 MSISDN不同時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備��;當(dāng)對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN不同���,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備�����。從而在確定出第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備的基礎(chǔ)上�,進(jìn)一步根據(jù)得出的不同的對(duì)比結(jié)果確定請(qǐng)求消息的有效性,進(jìn)而有效地檢測(cè)出攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊�。優(yōu)選地�����,所述獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息包括以下之一監(jiān)控SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包�,并根據(jù)該數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���;監(jiān)控BSC和SGSN之間的七號(hào)信令�����,并根據(jù)所述七號(hào)信令獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息����;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí),通過(guò)與HLR的連接獲取所述HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的 第一標(biāo)識(shí)信息�����;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí)�����,通過(guò)與HLR的連接獲取所述HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的第一 MSISDN���,并通過(guò)SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 IP地址�����;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí)����,通過(guò)與HLR的連接獲取所述HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的第一 MSISDN����,并通過(guò)BSC和SGSN之間的七號(hào)信令獲得第一移動(dòng)設(shè)備的第一 IP地址�����。由于GTP-C數(shù)據(jù)包不易被偽造,因此通過(guò)監(jiān)控GTP-C數(shù)據(jù)包可以較準(zhǔn)確地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息���;另外��,由于七號(hào)信令也不易被偽造���,因此通過(guò)監(jiān)控七號(hào)信令也可以較準(zhǔn)確地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息;此外����,由于HLR中始終存儲(chǔ)著移動(dòng)設(shè)備的相關(guān)信息,如移動(dòng)設(shè)備的MSISDN和狀態(tài)信息�����,因此通過(guò)訪問(wèn)HLR可以準(zhǔn)確地獲得移動(dòng)設(shè)備的MSISDN和狀態(tài)信息����,當(dāng)移動(dòng)設(shè)備處于在線狀態(tài)時(shí),可以進(jìn)一步根據(jù)GTP-C數(shù)據(jù)包或者七號(hào)信令獲得移動(dòng)設(shè)備的IP地址���,即可完整地獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息����。優(yōu)選地,所述檢測(cè)偽裝攻擊的方法還包括當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)����,刪除之前獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息;則當(dāng)對(duì)比結(jié)果為不存在與所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)��,確定所述請(qǐng)求消息無(wú)效��。也就是說(shuō)���,也可以?xún)H存儲(chǔ)處于在線狀態(tài)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����,當(dāng)該第一移動(dòng)設(shè)備離線時(shí)��,刪除之前存儲(chǔ)的該第一移動(dòng)設(shè)備處于在線狀態(tài)的第一標(biāo)識(shí)信息�,從而可以節(jié)約存儲(chǔ)空間�,并且在這種情況下,當(dāng)對(duì)比結(jié)果為不存在與第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)�,則可以直接確定所述請(qǐng)求消息無(wú)效,因此也可以有效地檢測(cè)到攻擊者通過(guò)偽裝來(lái)發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊��。
下面將通過(guò)參照附圖詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施例���,使本領(lǐng)域的普通技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點(diǎn)���,附圖中圖I為現(xiàn)有技術(shù)中一種移動(dòng)通信網(wǎng)絡(luò)的示意結(jié)構(gòu)圖;圖2為在圖I所示的移動(dòng)通信網(wǎng)絡(luò)中服務(wù)使用和計(jì)費(fèi)的流程圖����;圖3為根據(jù)本發(fā)明實(shí)施例的一種檢測(cè)偽裝攻擊的系統(tǒng)連接到圖I所示的移動(dòng)通信網(wǎng)絡(luò)中的示意結(jié)構(gòu)圖;圖4為圖3中所示的攻擊檢測(cè)裝置的示意結(jié)構(gòu)圖����;圖5為根據(jù)本發(fā)明實(shí)施例的一種檢測(cè)偽裝攻擊的方法的流程圖。
具體實(shí)施例方式為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,以下舉實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明���。圖3示出根據(jù)本發(fā)明實(shí)施例的一種檢測(cè)偽裝攻擊的系統(tǒng)連接到圖I所示的移動(dòng)通信網(wǎng)絡(luò)中的示意結(jié)構(gòu)圖�。如圖3所示����,該檢測(cè)偽裝攻擊的系統(tǒng)包括用戶(hù)追蹤裝置310�、以及攻擊檢測(cè)裝置320�。 用戶(hù)追蹤裝置310連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè),用于獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�,其中,第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第一移動(dòng)設(shè)備�。攻擊檢測(cè)裝置320連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到WAPGW中的請(qǐng)求消息和/或從WAPGW輸出的請(qǐng)求消息�,根據(jù)所述請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息,其中��,第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第二移動(dòng)設(shè)備�����;對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息�����;根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�;以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí),根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性��。所述移動(dòng)設(shè)備可以包括手機(jī)等任何可以通過(guò)WAP上網(wǎng)的終端����。根據(jù)本發(fā)明的一個(gè)實(shí)施例��,當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí)��,第一標(biāo)識(shí)信息包括第一 IP地址和第一 MSISDN ;當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí)��,由于第一移動(dòng)設(shè)備未被分配IP地址�����,因此第一標(biāo)識(shí)信息包括第一 MSISDN����,而不包括第一 IP地址;此外���,由于能夠捕獲到第二移動(dòng)設(shè)備的請(qǐng)求消息����,所以該第二移動(dòng)設(shè)備處于在線狀態(tài)�,因此第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息包括第二 IP地址和第二 MSISDN。根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,用戶(hù)追蹤裝置310連接到SGSN和GGSN之間的Gn接口,監(jiān)控通過(guò)Gn接口的GTP-C數(shù)據(jù)包�����,并根據(jù)GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�。由于GTP相比UDP要安全得多,攻擊者不易偽造GTP-C數(shù)據(jù)包���,因此可以較準(zhǔn)確地獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息����。根據(jù)GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息的方式與現(xiàn)有技術(shù)中相同��,可參閱協(xié)議標(biāo)準(zhǔn)3GPP TS 29. 060 V8. O. O (2007-06)���,此處不再贅述�����。根據(jù)本發(fā)明的另一個(gè)實(shí)施例����,用戶(hù)追蹤裝置310連接到BSC和SGSN之間,監(jiān)控BSC和SGSN之間的七號(hào)信令,并根據(jù)七號(hào)信令獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����。由于攻擊者不容易接入BSC和SGSN之間來(lái)偽造七號(hào)信令�����,因此通過(guò)監(jiān)控七號(hào)信令可以準(zhǔn)確地獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����。根據(jù)本發(fā)明的又一個(gè)實(shí)施例����,用戶(hù)追蹤裝置310還連接到HLR�����,HLR中始終存儲(chǔ)著第一移動(dòng)設(shè)備的相關(guān)信息�����,如第一移動(dòng)設(shè)備的第一 MSISDN和狀態(tài)信息��,當(dāng)HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的狀態(tài)信息表明第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí),根據(jù)HLR中存儲(chǔ)的信息即可獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����;當(dāng)HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的狀態(tài)信息表明第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)�����,由于HLR中未存儲(chǔ)第一移動(dòng)設(shè)備的第一 IP地址�,所以可以根據(jù)HLR中存儲(chǔ)的信息以及通過(guò)Gn接口的GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息,一種實(shí)施方式中�����,可以根據(jù)HLR中存儲(chǔ)的信息獲得第一移動(dòng)設(shè)備的第一MSISDN���,以及根據(jù)GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 IP地址����;此外�,當(dāng)HLR中存儲(chǔ)的第一移動(dòng)設(shè)備的狀態(tài)信息表明第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí),也可以根據(jù)HLR中存儲(chǔ)的信息以及七號(hào)信令獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���,一種實(shí)施方式中����,可以根據(jù)HLR中存儲(chǔ)的信息獲得第一移動(dòng)設(shè)備的第一 MSISDN,以及根據(jù)七號(hào)信令獲得第一移動(dòng)設(shè)備的第一 IP地址��。由于HLR中始終存儲(chǔ)著移動(dòng)設(shè)備的相關(guān)信息�����,并且不易被篡改��,因此通過(guò)訪問(wèn)HLR可以準(zhǔn)確地獲得移動(dòng)設(shè)備的MSISDN和狀態(tài)信息����。上述檢測(cè)偽裝攻擊的系統(tǒng)監(jiān)控通過(guò)Gn接口的GTP-C數(shù)據(jù)包��、BSC和SGSN之間的七號(hào)信令、訪問(wèn)HLR、以及捕獲輸入到WAPGW中的或從WAPGW輸出的請(qǐng)求消息����,而并不介入到WAPGff的通信鏈路中,因此很容易部署該檢測(cè)偽裝攻擊的系統(tǒng)��。根據(jù)本發(fā)明的一個(gè)實(shí)施例��,攻擊檢測(cè)裝置320的示意結(jié)構(gòu)圖如圖4所示�����,攻擊檢測(cè)裝置320包括捕獲模塊321�、獲取模塊322、對(duì)比模塊323和檢測(cè)模塊324����。捕獲模塊321用于捕獲所述請(qǐng)求消息,并將所述請(qǐng)求消息轉(zhuǎn)發(fā)給獲取模塊322 ;獲取模塊322用于從所述請(qǐng)·求消息中獲取第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息��,并將所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息發(fā)送給對(duì)比模塊323 ;對(duì)比模塊323用于對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息���,并將得出的對(duì)比結(jié)果發(fā)送給檢測(cè)模塊324 ;檢測(cè)模塊324用于根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�,以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)����,根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性。 根據(jù)本發(fā)明的一個(gè)實(shí)施例���,輸入到WAPGW中的請(qǐng)求消息包括GGSN發(fā)送給WAPGW的計(jì)費(fèi)開(kāi)始請(qǐng)求消息或移動(dòng)設(shè)備發(fā)送給WAPGW的服務(wù)請(qǐng)求消息�,從WAPGW輸出的請(qǐng)求消息包括WAPGW轉(zhuǎn)發(fā)給MISC�、可信的SP或麗SC的服務(wù)請(qǐng)求消息。因此���,本發(fā)明實(shí)施例適用于檢測(cè)偽裝成GGSN發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求消息����、偽裝成WAPGW轉(zhuǎn)發(fā)服務(wù)請(qǐng)求消息以及篡改發(fā)送給WAPGff的服務(wù)請(qǐng)求消息中的MSISDN而產(chǎn)生的攻擊。無(wú)論是上述請(qǐng)求消息中的哪一種類(lèi)型的請(qǐng)求消息���,都表明相應(yīng)的移動(dòng)設(shè)備處于在線狀態(tài)���,因此,第二移動(dòng)設(shè)備處于在線狀態(tài)��。根據(jù)本發(fā)明的一個(gè)實(shí)施例��,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 IP地址與第二IP地址相同�����,且第一 MSISDN與第二 MSISDN相同時(shí)����,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同·一移動(dòng)設(shè)備�,且處于在線狀態(tài),則所述請(qǐng)求消息對(duì)應(yīng)于該移動(dòng)設(shè)備����,應(yīng)該對(duì)該移動(dòng)設(shè)備進(jìn)行計(jì)費(fèi)�,因此�����,檢測(cè)模塊324確定該請(qǐng)求消息有效�����。根據(jù)本發(fā)明的另一個(gè)實(shí)施例�����,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同�����,且第一 MSISDN與第二 MSISDN不同時(shí)���,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備���,且處于在線狀態(tài),但所述請(qǐng)求消息中的MSISDN被篡改����,企圖攻擊其他移動(dòng)設(shè)備��,因此����,檢測(cè)模塊324確定該請(qǐng)求消息無(wú)效�����。根據(jù)本發(fā)明的又一個(gè)實(shí)施例�,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN和第二 MSISDN相同時(shí)�����,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�����,且處于在線狀態(tài)�����,但這時(shí)是具有第二 IP地址的第二移動(dòng)設(shè)備企圖偽裝成具有第一 IP地址的第一移動(dòng)設(shè)備而發(fā)出請(qǐng)求消息�,因此,檢測(cè)模塊324確定該請(qǐng)求消息無(wú)效���。根據(jù)本發(fā)明的再一個(gè)實(shí)施例�,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN相同��,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí),表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�,但該移動(dòng)設(shè)備實(shí)際上處于離線狀態(tài),卻有請(qǐng)求消息與該移動(dòng)設(shè)備對(duì)應(yīng)�����,即該請(qǐng)求消息為偽裝攻擊�,因此,檢測(cè)模塊324確定該請(qǐng)求消息無(wú)效���。根據(jù)本發(fā)明的又一個(gè)實(shí)施例��,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同�,且第一 MSISDN與第二 MSISDN不同時(shí)���,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備��。根據(jù)本發(fā)明的再一個(gè)實(shí)施例����,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN不同,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí),表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備���。根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,如圖4所示���,攻擊檢測(cè)裝置320還可以包括防御模塊325,用于在檢測(cè)模塊324確定請(qǐng)求消息無(wú)效時(shí)��,按照以下防御策略之一或任意組合進(jìn)行防御向網(wǎng)絡(luò)管理員發(fā)出警告�����;向WAPGW發(fā)送離線請(qǐng)求消息�����;發(fā)送重置命令以斷開(kāi)TCP連接��;通過(guò)防火墻或部署在移動(dòng)通信網(wǎng)絡(luò)中的特定控制裝置攔截所述請(qǐng)求消息。從而有效地防止 偽裝攻擊��。根據(jù)本發(fā)明的一個(gè)實(shí)施例�,如圖4所示���,攻擊檢測(cè)裝置320還可以包括存儲(chǔ)模塊326����,用于存儲(chǔ)檢測(cè)模塊324確定出的檢測(cè)結(jié)果和/或防御模塊325的防御結(jié)果�����,例如檢測(cè)模塊324確定出某一請(qǐng)求消息是無(wú)效的���,存儲(chǔ)模塊326可以存儲(chǔ)該請(qǐng)求消息的相關(guān)信息���,如果防御模塊325針對(duì)該請(qǐng)求消息采取了某一或某些防御策略進(jìn)行了防御,則存儲(chǔ)模塊326還可以存儲(chǔ)防御模塊325采取的防御策略以及防御是否成功的結(jié)果���。網(wǎng)絡(luò)管理員等可以查看這些監(jiān)測(cè)結(jié)果和防御結(jié)果�����,從而進(jìn)一步對(duì)偽裝攻擊進(jìn)行統(tǒng)計(jì)分析�����。根據(jù)本發(fā)明的一個(gè)實(shí)施例���,用戶(hù)追蹤裝置310還可以主動(dòng)將第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息發(fā)送給對(duì)比模塊323���,以供對(duì)比模塊323在進(jìn)行對(duì)比時(shí)使用這些信息。根據(jù)本發(fā)明的另一個(gè)實(shí)施例����,對(duì)比模塊323還可以主動(dòng)收集用戶(hù)追蹤裝置310獲得的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息,以在進(jìn)行對(duì)比時(shí)使用這些信息����。根據(jù)本發(fā)明的一個(gè)實(shí)施例,用戶(hù)追蹤裝置310還可以用于當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí)����,刪除之前獲得的該第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息;則當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為不存在與第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)�,檢測(cè)模塊324可以確定該請(qǐng)求消息無(wú)效。也就是說(shuō)���,用戶(hù)追蹤裝置310在更新第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息的過(guò)程中���,可以既存儲(chǔ)處于在線狀態(tài)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����,又存儲(chǔ)處于離線狀態(tài)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息,也可以只存儲(chǔ)處于在線狀態(tài)的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息����,即在第一移動(dòng)設(shè)備離線時(shí),用戶(hù)追蹤裝置310刪除之前存儲(chǔ)的該第一移動(dòng)設(shè)備處于在線狀態(tài)的第一標(biāo)識(shí)信息���,從而可以節(jié)約存儲(chǔ)空間�����,而在這種情況下����,當(dāng)對(duì)比模塊323得出的對(duì)比結(jié)果為不存在與第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)����,表明該第二移動(dòng)設(shè)備處于離線狀態(tài)�,則不可能存在與該第二移動(dòng)設(shè)備對(duì)應(yīng)的請(qǐng)求消息�,因此,檢測(cè)模塊324可以直接確定該請(qǐng)求消息無(wú)效�����。圖5示出根據(jù)本發(fā)明實(shí)施例的一種檢測(cè)偽裝攻擊的方法的流程圖����。如圖5所示,該檢測(cè)偽裝攻擊的方法包括以下步驟步驟501�����、獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息,其中�,第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第一移動(dòng)設(shè)備;
步驟502�、捕獲輸入到WAPGW中的請(qǐng)求消息和/或從WAPGW輸出的請(qǐng)求消息;步驟503�����、根據(jù)請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息�,其中,第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)第二移動(dòng)設(shè)備��;步驟504、對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息��;步驟505���、根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備����,以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�,根據(jù)所述對(duì)比結(jié)果確定請(qǐng)求消息的有效性����。在步驟501中,獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息的方式即為前述用戶(hù)追蹤裝置310獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息的方式�����,此處不再贅述�。在具體實(shí)施中,步驟501和步驟502之間可以同時(shí)執(zhí)行�����,也可以先后執(zhí)行��,沒(méi)有特定的執(zhí)行順序。當(dāng)?shù)谝灰苿?dòng)設(shè)備處于在線狀態(tài)時(shí),第一標(biāo)識(shí)信息包括第一 IP地址和第一 MSISDN ����; 當(dāng)?shù)谝灰苿?dòng)設(shè)備處于離線狀態(tài)時(shí),第一標(biāo)識(shí)信息包括第一 MSISDN ;第二標(biāo)識(shí)信息包括第二IP地址和第二 MSISDN����。在步驟505中,根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�����,以及當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�,根據(jù)所述對(duì)比結(jié)果確定請(qǐng)消息的有效性包括以下之一當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同,且第一MSISDN與第二 MSISDN相同時(shí)���,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備���,并確定所述請(qǐng)求消息有效;當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同�,且第一 MSISDN與第二MSISDN不同時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�����,并確定所述請(qǐng)求消息無(wú)效;當(dāng)對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同�����,且第一 MSISDN與第二 MSISDN相同時(shí)���,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備����,并確定所述請(qǐng)求消息無(wú)效�����;當(dāng)對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN相同����,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí)��,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�,并確定所述請(qǐng)求消息無(wú)效;當(dāng)對(duì)比結(jié)果為第一IP地址與第二 IP地址不同�����,且第一 MSISDN與第二 MSISDN不同時(shí),確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備�����;當(dāng)對(duì)比結(jié)果為第一MSISDN與第二MSISDN不同��,且第一標(biāo)識(shí)信息不包括第一 IP地址時(shí)����,確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備。根據(jù)本發(fā)明的一個(gè)實(shí)施例���,上述檢測(cè)偽裝攻擊的方法還可以包括當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�����,刪除之前獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�����;則當(dāng)對(duì)比結(jié)果為不存在與所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)�����,確定所述請(qǐng)求消息無(wú)效�。上述檢測(cè)偽裝攻擊的方法的實(shí)現(xiàn)原理與前述檢測(cè)偽裝攻擊的系統(tǒng)的實(shí)現(xiàn)原理相同,重復(fù)之處不再贅述�。下面以請(qǐng)求消息為GGSN發(fā)送給WAPGW的計(jì)費(fèi)開(kāi)始請(qǐng)求消息、通過(guò)監(jiān)控GTP-C數(shù)據(jù)包獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息為例�,說(shuō)明上述檢測(cè)偽裝攻擊的方法的具體實(shí)現(xiàn)過(guò)程,可以包括以下步驟���。步驟I��、監(jiān)控通過(guò)SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包����,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 MSISDN,在本不例中假設(shè)第一移動(dòng)設(shè)備處于離線狀態(tài)���。步驟2�、捕獲GGSN發(fā)送給WAPGW的計(jì)費(fèi)開(kāi)始請(qǐng)求消息����,根據(jù)該計(jì)費(fèi)開(kāi)始請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二 IP地址�、第二 MSISDN,GGSN向WAPGW發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求消息����,則表明第二移動(dòng)設(shè)備處于在線狀態(tài)��。步驟3�����、對(duì)比第一移動(dòng)設(shè)備的第一 MSISDN與第二移動(dòng)設(shè)備的第二 MSISDN�,得出的對(duì)比結(jié)果為第一 MSISDN與第二 MSISDN相同��,且由于第一移動(dòng)設(shè)備處于離線狀態(tài)而不存在第一移動(dòng)設(shè)備的第一 IP地址���,因此在確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備的基礎(chǔ)上��,確定該計(jì)費(fèi)開(kāi)始請(qǐng)求消息無(wú)效��,即該計(jì)費(fèi)開(kāi)始請(qǐng)求消息為攻擊者通過(guò)偽裝成GGSN而發(fā)送的�����。下面以請(qǐng)求消息為移動(dòng)設(shè)備發(fā)送給WAPGW的服務(wù)請(qǐng)求消息����、通過(guò)監(jiān)控GTP-C數(shù)據(jù)包獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息為例��,說(shuō)明上述檢測(cè)偽裝攻擊的方法的具體實(shí)現(xiàn)過(guò)程,可以包括以下步驟���。步驟I�����、監(jiān)控通過(guò)SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包���,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 IP地址和第一 MSISDN,在本不例中假設(shè)第一移動(dòng)設(shè)備處于在線狀態(tài)。 步驟2�、捕獲第二移動(dòng)設(shè)備發(fā)送給WAPGW的服務(wù)請(qǐng)求消息,根據(jù)該服務(wù)請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二 IP地址和第二MSISDN�����,由于第二移動(dòng)設(shè)備向WAPGW發(fā)送服務(wù)請(qǐng)求消息�,因此表明第二移動(dòng)設(shè)備處于在線狀態(tài)。步驟3���、對(duì)比第一 IP地址與第二 IP地址并對(duì)比第一 MSISDN與第二 MSISDN�,得出的對(duì)比結(jié)果為第一 IP地址與第二 IP地址相同�����、且第一 MSISDN與第二 MSISDN不同�����,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�����,且該移動(dòng)設(shè)備發(fā)送給WAPGW的服務(wù)請(qǐng)求消息中的MSISDN被篡改��,因此確定該服務(wù)請(qǐng)求消息無(wú)效�����,即該服務(wù)請(qǐng)求消息為攻擊者通過(guò)偽裝成其他移動(dòng)設(shè)備而發(fā)送的���。下面以請(qǐng)求消息為WAPGW向MISC����、可信的SP或MMSC轉(zhuǎn)發(fā)的服務(wù)請(qǐng)求消息�����、通過(guò)監(jiān)控GTP-C數(shù)據(jù)包獲得移動(dòng)設(shè)備的標(biāo)識(shí)信息為例�,說(shuō)明上述檢測(cè)偽裝攻擊的方法的具體實(shí)現(xiàn)過(guò)程�����,可以包括以下步驟��。步驟I�����、監(jiān)控通過(guò)SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包�����,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動(dòng)設(shè)備的第一 IP地址和第一 MSISDN,在本不例中假設(shè)第一移動(dòng)設(shè)備處于在線狀態(tài)�����。步驟2�、捕獲WAPGW轉(zhuǎn)發(fā)給MISC���、可信的SP或麗SC的服務(wù)請(qǐng)求消息��,根據(jù)該服務(wù)請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二 IP地址和第二MSISDN���,由于WAPGW轉(zhuǎn)發(fā)的服務(wù)請(qǐng)求消息為第二移動(dòng)設(shè)備發(fā)送來(lái)的服務(wù)請(qǐng)求消息�����,因此表明第二移動(dòng)設(shè)備處于在線狀態(tài)。步驟3���、對(duì)比第一 IP地址與第二 IP地址�����、并對(duì)比第一 MSISDN與第二 MSISDN����,得出的對(duì)比結(jié)果為第一 IP地址與第二 IP地址不同��、且第一 MSISDN與第二 MSISDN相同��,表明第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備��,但這時(shí)是具有第二 IP地址的第二移動(dòng)設(shè)備企圖偽裝成具有第一 IP地址的第一移動(dòng)設(shè)備而發(fā)出服務(wù)請(qǐng)求消息��,因此確定該服務(wù)請(qǐng)求消息無(wú)效���。以上僅為用于說(shuō)明上述檢測(cè)偽裝攻擊的方法的具體實(shí)現(xiàn)過(guò)程的示例��,并非用于限制本發(fā)明�。本發(fā)明公開(kāi)了一種檢測(cè)偽裝攻擊的系統(tǒng),包括用戶(hù)追蹤裝置��,連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè)����,用于獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息;以及攻擊檢測(cè)裝置�,連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到該WAPGW中的請(qǐng)求消息和/或從該WAPGW輸出的請(qǐng)求消息�����,根據(jù)該請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息�,對(duì)比所述第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息,根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�����,當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�,根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性。本發(fā)明還公開(kāi)了一種檢測(cè)偽裝攻擊的方法���。通過(guò)上述技術(shù)方案��,可以有效檢測(cè)攻擊者通過(guò)偽裝發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊���。以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明,凡在 本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換���、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種檢測(cè)偽裝攻擊的系統(tǒng)���,所述系統(tǒng)包括 用戶(hù)追蹤裝置(310)�����,連接到網(wǎng)關(guān)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)GGSN的輸入端側(cè)或者服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN的輸入端側(cè)��,用于獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���,其中��,所述第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)所述第一移動(dòng)設(shè)備�����; 攻擊檢測(cè)裝置(320)����,連接到無(wú)線應(yīng)用協(xié)議網(wǎng)關(guān)WAPGW的輸入端和/或輸出端����,用于捕獲輸入到所述WAPGW中的請(qǐng)求消息和/或從所述WAPGW輸出的請(qǐng)求消息;根據(jù)所述請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息��,其中����,所述第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)所述第二移動(dòng)設(shè)備;對(duì)比所述第一標(biāo)識(shí)信息與所述第二標(biāo)識(shí)信息��;根據(jù)對(duì)比結(jié)果確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備;以及當(dāng)所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)�����,根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性����。
2.如權(quán)利要求I所述的系統(tǒng),其中�,當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí),所述第一標(biāo)識(shí)信息包括第一互聯(lián)網(wǎng)協(xié)議地址和第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼��;當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)���,所述第一標(biāo)識(shí)信息包括第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼; 所述第二標(biāo)識(shí)信息包括第二互聯(lián)網(wǎng)協(xié)議地址和第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼�����。
3.如權(quán)利要求2所述的系統(tǒng)����,其中,所述用戶(hù)追蹤裝置(310)具體用于以下之一 監(jiān)控通過(guò)SGSN和GGSN之間的Gn接口的通用分組無(wú)線業(yè)務(wù)隧道協(xié)議控制數(shù)據(jù)包����,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息��; 監(jiān)控基站控制器和SGSN之間的七號(hào)信令�����,并根據(jù)所述七號(hào)信令獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息����; 當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�,通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息; 當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)����,通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼,并通過(guò)SGSN和GGSN之間的Gn接口的通用分組無(wú)線業(yè)務(wù)隧道協(xié)議控制數(shù)據(jù)包獲得所述第一移動(dòng)設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址�; 當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí),通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼��,并通過(guò)基站控制器與SGSN之間的七號(hào)信令獲得所述第一移動(dòng)設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址���。
4.如權(quán)利要求I所述的系統(tǒng),其中,所述輸入到WAPGW中的請(qǐng)求消息包括計(jì)費(fèi)開(kāi)始請(qǐng)求消息或服務(wù)請(qǐng)求消息����;所述從WAPGW輸出的請(qǐng)求消息包括服務(wù)請(qǐng)求消息。
5.如權(quán)利要求2所述的系統(tǒng)��,其中�,所述攻擊檢測(cè)裝置包括檢測(cè)模塊(324),所述檢測(cè)模塊具體用于以下之一 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同�����,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同時(shí)�,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備,并確定所述請(qǐng)求消息有效��; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同�����,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同時(shí)�����,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備����,并確定所述請(qǐng)求消息無(wú)效�; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同時(shí),確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�����,并確定所述請(qǐng)求消息無(wú)效����; 當(dāng)所述對(duì)比結(jié)果為第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同,且所述第一標(biāo)識(shí)信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時(shí)���,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�,并確定所述請(qǐng)求消息無(wú)效���; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同�����,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同時(shí)�����,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備�����; 當(dāng)所述對(duì)比結(jié)果為第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同�,且所述第一標(biāo)識(shí)信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時(shí),確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備���。
6.如權(quán)利要求I所述的系統(tǒng)����,其中���,所述攻擊檢測(cè)裝置(320)包括防御模塊(325)�,所述防御模塊(325)用于在所述請(qǐng)求消息被確定為無(wú)效時(shí)�,按照以下防御策略之一或任意組合進(jìn)行防御 發(fā)出警告; 向所述WAPGW發(fā)送離線請(qǐng)求消息��; 發(fā)送重置命令以斷開(kāi)傳輸控制協(xié)議連接���; 攔截所述請(qǐng)求消息��。
7.如權(quán)利要求6所述的系統(tǒng),其中�����,所述攻擊檢測(cè)裝置(320)包括存儲(chǔ)模塊(326),所述存儲(chǔ)模塊(326)用于存儲(chǔ)所述攻擊檢測(cè)裝置(320)確定出的請(qǐng)求消息的有效性和/或所述防御模塊(325)的防御結(jié)果�。
8.如權(quán)利要求I所述的系統(tǒng),其中�����, 所述用戶(hù)追蹤裝置(310)進(jìn)一步用于將所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息發(fā)送給所述攻擊檢測(cè)裝置(320);或者 所述攻擊檢測(cè)裝置(320)進(jìn)一步用于收集所述用戶(hù)追蹤裝置(310)獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�。
9.如權(quán)利要求I所述的系統(tǒng),其中���, 所述用戶(hù)追蹤裝置(310)進(jìn)一步用于當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)����,刪除之前獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���; 所述攻擊檢測(cè)裝置(320)具體用于當(dāng)所述對(duì)比結(jié)果為不存在與所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)�����,確定所述請(qǐng)求消息無(wú)效��。
10.一種檢測(cè)偽裝攻擊的方法����,所述方法包括 獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息(501),其中,所述第一標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)所述第一移動(dòng)設(shè)備; 捕獲輸入到無(wú)線應(yīng)用協(xié)議網(wǎng)關(guān)WAPGW中的請(qǐng)求消息和/或從所述WAPGW輸出的請(qǐng)求消息(502)����; 根據(jù)所述請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息(503),其中����,所述第二標(biāo)識(shí)信息用于唯一地標(biāo)識(shí)所述第二移動(dòng)設(shè)備; 對(duì)比所述第一標(biāo)識(shí)信息與所述第二標(biāo)識(shí)信息(504)��;根據(jù)對(duì)比結(jié)果確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備��,以及當(dāng)所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)����,根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性(505)。
11.如權(quán)利要求10所述的方法�,其中,當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)����,所述第一標(biāo)識(shí)信息包括第一互聯(lián)網(wǎng)協(xié)議地址和第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼;當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)����,所述第一標(biāo)識(shí)信息包括第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼; 所述第二標(biāo)識(shí)信息包括第二互聯(lián)網(wǎng)協(xié)議地址和第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼�����。
12.如權(quán)利要求11所述的方法�,其中,所述根據(jù)對(duì)比結(jié)果確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備�,以及當(dāng)所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí),根據(jù)所述對(duì)比結(jié)果確定所述請(qǐng)求消息的有效性(505)包括以下之一 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同���,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同時(shí)����,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備�,并確定所述請(qǐng)求消息有效; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同����,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同時(shí),確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備���,并確定所述請(qǐng)求消息無(wú)效�; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同���,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同時(shí)���,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備����,并確定所述請(qǐng)求消息無(wú)效��; 當(dāng)所述對(duì)比結(jié)果為第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼相同����,且所述第一標(biāo)識(shí)信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時(shí),確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備���,并確定所述請(qǐng)求消息無(wú)效���; 當(dāng)所述對(duì)比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同時(shí)���,確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備���; 當(dāng)所述對(duì)比結(jié)果為第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼與第二移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼不同,且所述第一標(biāo)識(shí)信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時(shí),確定所述第一移動(dòng)設(shè)備和所述第二移動(dòng)設(shè)備不是同一移動(dòng)設(shè)備��。
13.如權(quán)利要求11所述的方法�����,其中����,所述獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息包括以下之一 監(jiān)控通過(guò)服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN和網(wǎng)關(guān)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)GGSN之間的Gn接口的通用分組無(wú)線業(yè)務(wù)隧道協(xié)議控制數(shù)據(jù)包���,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息���; 監(jiān)控基站控制器和SGSN之間的七號(hào)信令,并根據(jù)所述七號(hào)信令獲得所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息��; 當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�,通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息; 當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)���,通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼����,并通過(guò)SGSN和GGSN之間的Gn接口的通用分組無(wú)線業(yè)務(wù)隧道協(xié)議控制數(shù)據(jù)包獲得所述第一移動(dòng)設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址; 當(dāng)所述第一移動(dòng)設(shè)備處于在線狀態(tài)時(shí)�,通過(guò)與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲(chǔ)的所述第一移動(dòng)設(shè)備的第一移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼,并通過(guò)基站控制器與SGSN之間的七號(hào)信令獲得所述第一移動(dòng)設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址��。
14.如權(quán)利要求10所述的方法��,還包括當(dāng)所述第一移動(dòng)設(shè)備處于離線狀態(tài)時(shí)�����,刪除之前獲得的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息��; 則當(dāng)所述對(duì)比結(jié)果為不存在與所述第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息相同的所述第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息時(shí)��,確定所述請(qǐng)求消息無(wú)效��。
全文摘要
本發(fā)明公開(kāi)一種檢測(cè)偽裝攻擊的系統(tǒng)���,包括用戶(hù)追蹤裝置��,連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè)�����,用于獲得第一移動(dòng)設(shè)備的第一標(biāo)識(shí)信息�,第一標(biāo)識(shí)信息唯一標(biāo)識(shí)第一移動(dòng)設(shè)備;以及攻擊檢測(cè)裝置���,連接到WAPGW的輸入端和/或輸出端����,用于捕獲輸入到WAPGW中的請(qǐng)求消息和/或從WAPGW輸出的請(qǐng)求消息���,根據(jù)該請(qǐng)求消息獲得第二移動(dòng)設(shè)備的第二標(biāo)識(shí)信息;對(duì)比第一標(biāo)識(shí)信息與第二標(biāo)識(shí)信息����;根據(jù)對(duì)比結(jié)果確定第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備是否為同一移動(dòng)設(shè)備,當(dāng)?shù)谝灰苿?dòng)設(shè)備和第二移動(dòng)設(shè)備為同一移動(dòng)設(shè)備時(shí)���,根據(jù)對(duì)比結(jié)果確定請(qǐng)求消息的有效性���。本發(fā)明還公開(kāi)一種檢測(cè)偽裝攻擊的方法。通過(guò)上述技術(shù)方案���,可以有效檢測(cè)攻擊者通過(guò)偽裝發(fā)送請(qǐng)求消息而產(chǎn)生的攻擊����。
文檔編號(hào)H04W12/00GK102932780SQ20111022986
公開(kāi)日2013年2月13日 申請(qǐng)日期2011年8月11日 優(yōu)先權(quán)日2011年8月11日
發(fā)明者郭代飛, 隋愛(ài)芬 申請(qǐng)人:西門(mén)子公司