欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和裝置與流程

文檔序號:12486443閱讀:726來源:國知局
移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和裝置與流程

本發(fā)明涉及移動通信技術(shù)領(lǐng)域,尤其涉及一種移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和裝置。



背景技術(shù):

不同國家或地區(qū)的運營商之間為解決用戶漫游問題允許信令網(wǎng)彼此互通,其他國家或地區(qū)的運營商網(wǎng)絡(luò)節(jié)點可以從國際側(cè)信令網(wǎng)接入到本運營商信令網(wǎng)訪問網(wǎng)內(nèi)業(yè)務(wù)節(jié)點。當(dāng)UE處于漫游狀態(tài)或者從漫游地回到歸屬地后,UE均需要向當(dāng)前所在地的MSC(Mobile Switching Center,移動交換中心)發(fā)起位置更新請求,以更新自身的位置信息。

如圖1所示,為某用戶設(shè)備(UE,User Equipment)進(jìn)行位置更新的流程示意圖。其中,當(dāng)UE處于漫游狀態(tài)時,圖1中的MSC-A為該UE當(dāng)前所在漫游網(wǎng)絡(luò)中的登記的MSC,MSC-B為用戶歸屬網(wǎng)絡(luò)中的MSC;當(dāng)用戶由漫游地回到歸屬地時,圖1中的MSC-A為該UE歸屬網(wǎng)絡(luò)中的MSC,MSC-B為該UE在漫游網(wǎng)絡(luò)中登記的MSC。

如圖1所示,UE進(jìn)行位置更新的流程可以包括以下步驟:

S11、MSC-A接收UE發(fā)送的位置更新請求。

S12、MSC-A向該UE歸屬網(wǎng)絡(luò)中的HLR(Home Location Register)發(fā)送UPDATE LOCATION(位置更新)信令。

在UPDATE LOCATION消息中攜帶有該UE的IMSI(International Mobile SubscriberIdentification Number,國際移動用戶識別碼)。

S13、HLR向MSC-A發(fā)送ISD(Insert Subscribe Data)信令。

在Insert Subscribe Data信令中攜帶有該UE的MSISDN(Mobile Subscriber International ISDN Number,移動用戶號碼)和用戶參數(shù)等。

S14、MSC-A向HLR發(fā)送Insert Subscribe Data信令應(yīng)答消息。

S15、HLR向MSC-A發(fā)送Update Location信令應(yīng)答。

S16、HLR向MSC-B發(fā)送Cancel Location(刪除位置信息)信令。

在Cancel Location信令中攜帶有UE的ISMI。

S17、MSC-B向HLR發(fā)送Cancel Location信令應(yīng)答消息。

至此,UE完成了位置更新。

由上述流程可知,移動網(wǎng)絡(luò)國際漫游方案允許用戶拜訪網(wǎng)絡(luò)中登記的MSC/VLR、SGSN(Serving GPRS Support Node,服務(wù)GPRS支持節(jié)點)與用戶歸屬網(wǎng)絡(luò)中歸屬HLR之間進(jìn)行互相訪問,黑客利用這一特點可以偽裝用戶歸屬HLR對用戶拜訪網(wǎng)絡(luò)中登記的MSC/VLR、SGSN進(jìn)行拒絕服務(wù)攻擊,通過向用戶拜訪網(wǎng)絡(luò)中登記的MSC/VLR、SGSN發(fā)送拒絕服務(wù)攻擊信令,注銷用戶登記或者刪除用戶數(shù)據(jù),導(dǎo)致用戶無法正常進(jìn)行業(yè)務(wù)訪問,如:

黑客偽裝HLR從國際側(cè)信令網(wǎng)向本運營商信令網(wǎng)內(nèi)的MSC發(fā)Cancel LA信令消息注銷指定用戶登記,或發(fā)ISD信令消息刪除指定用戶數(shù)據(jù),導(dǎo)致該用戶無法使用通話業(yè)務(wù)和短信業(yè)務(wù);或者

黑客偽裝HLR從國際側(cè)信令網(wǎng)向本運營商信令網(wǎng)內(nèi)的SGSN發(fā)Cancel LA信令消息注銷指定用戶登記,導(dǎo)致該用戶無法訪問移動數(shù)據(jù)業(yè)務(wù);或者

黑客偽裝HLR從國際側(cè)信令網(wǎng)向本運營商信令網(wǎng)內(nèi)的MSC/VLR、SGSN大量發(fā)送Cancel LA信令消息或發(fā)ISD信令消息,導(dǎo)致MSC/VLR和SGSN處理資源被嚴(yán)重消耗,處理能力下降。

國際標(biāo)準(zhǔn)組織雖然已經(jīng)確認(rèn)此類攻擊,但是目前尚未給出解決上述問題的技術(shù)方案。



技術(shù)實現(xiàn)要素:

本發(fā)明實施例提供一種移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和 裝置,用以識別和監(jiān)控國際漫游場景下的拒絕服務(wù)攻擊信令,保證用戶正常使用業(yè)務(wù)的同時,節(jié)約相關(guān)網(wǎng)絡(luò)設(shè)備的處理資源,提高相關(guān)網(wǎng)絡(luò)設(shè)備的處理能力。

本發(fā)明實施例提供一種拒絕服務(wù)攻擊信令的處理方法,包括:

接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的的移動漫游信令;

提取所述移動漫游信令的特征信息;判斷提取的特征信息是否與預(yù)設(shè)的信令過濾規(guī)則匹配;如果是,攔截所述移動漫游信令;如果否,向所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)所述移動漫游信令;同時

統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量;并判斷符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù)設(shè)的移動漫游信令數(shù)量閾值,如果是,記錄所述移動漫游信令發(fā)送方的地址信息進(jìn)行攔截;如果否,向所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)所述移動漫游信令。

本發(fā)明實施例提供一種拒絕服務(wù)攻擊信令的處理裝置,包括:

接收單元,用于接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)送第二網(wǎng)絡(luò)的移動漫游信令;

提取單元,用于提取所述移動漫游信令的特征信息;

統(tǒng)計單元,用于統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量;

第一判斷單元,用于判斷所述提取單元提取的特征信息是否與預(yù)設(shè)的信令過濾規(guī)則匹配;

第二判斷單元,用于判斷符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù)設(shè)的移動漫游信令數(shù)量閾值;

處理單元,用于在所述第一判斷單元的判斷結(jié)果為是時,攔截所述移動漫游信令;在所述第二判斷單元的判斷結(jié)果為是時,記錄所述移動漫游信令發(fā)送方的地址信息進(jìn)行攔截;以及在所述第一判斷單元或者所述第二判斷單元的判斷結(jié)果為否時,向所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)所述移動漫游信令。

本發(fā)明實施提供的移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和裝置,對于第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)送給第二網(wǎng)絡(luò)的移動漫游信令進(jìn)行分析,如 果該移動漫游信令的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配,則攔截該信令,否則向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令;同時統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量,如果超過預(yù)設(shè)閾值,則記錄發(fā)送方的地址信息進(jìn)行攔截,否則向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令。通過上述過程,能夠識別和監(jiān)控黑客向第二網(wǎng)絡(luò)發(fā)送的拒絕服務(wù)攻擊信令并進(jìn)行攔截,保證用戶能夠在第二網(wǎng)絡(luò)中進(jìn)行正常使用業(yè)務(wù),同時能夠節(jié)約第二網(wǎng)絡(luò)中相關(guān)網(wǎng)絡(luò)設(shè)備的處理資源,提高其處理能力。

本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本發(fā)明的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:

圖1為現(xiàn)有技術(shù)中,位置更新流程示意圖;

圖2為本發(fā)明實施例中,拒絕服務(wù)攻擊信令的處理裝置的部署位置示意圖;

圖3a-圖3b為本發(fā)明實施例中,拒絕服務(wù)攻擊信令的處理方法實施流程示意圖;

圖4a-圖4e為本發(fā)明實施例中,不同的拒絕用戶服務(wù)攻擊信令的實施流程示意圖;

圖5為本發(fā)明實施例中,拒絕服務(wù)攻擊信令的處理裝置結(jié)構(gòu)示意圖。

具體實施方式

為了識別黑客從國際網(wǎng)信令側(cè)發(fā)送的拒絕服務(wù)攻擊信令,保證用戶能夠正常使用業(yè)務(wù),并節(jié)約相關(guān)網(wǎng)絡(luò)設(shè)備的處理資源,提高其處理能力,本發(fā)明實施例提供了一種移動通信網(wǎng)絡(luò)中拒絕服務(wù)攻擊信令的處理方法和裝置。

需要說明的是,本發(fā)明實施例中涉及的移動通信網(wǎng)絡(luò)可以為遵循SS7通信協(xié)議的2/3G移動通信網(wǎng)絡(luò),相應(yīng)的,在2/3G移動通信網(wǎng)絡(luò)中涉及的網(wǎng)絡(luò)設(shè)備可以包括HLR設(shè)備和SGSN、MSC設(shè)備,所述移動漫游信令可以為國際網(wǎng)側(cè)的HLR設(shè)備發(fā)往國內(nèi)網(wǎng)側(cè)的SGSN、MSC設(shè)備的通信信令;具體實施時,移動通信網(wǎng)絡(luò)還可以是遵循Diameter通信協(xié)議的4G移動通信網(wǎng)絡(luò),相應(yīng)的,在4G移動通信網(wǎng)絡(luò)中涉及的網(wǎng)絡(luò)設(shè)備可以包括HSS設(shè)備和MME設(shè)備,所述移動漫游信令可以為國際網(wǎng)側(cè)的HSS設(shè)備發(fā)往國內(nèi)網(wǎng)側(cè)的MME設(shè)備的通信信令。特別的,在SS7信令網(wǎng)(即2/3G移動通信網(wǎng)絡(luò)中)中,該通信信令可以為MAP(Mobile Application Part,移動應(yīng)用部分)信令。

以下結(jié)合說明書附圖對本發(fā)明的優(yōu)選實施例進(jìn)行說明,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明,并且在不沖突的情況下,本發(fā)明中的實施例及實施例中的特征可以相互組合。

通常情況下,黑客偽裝國際側(cè)信令網(wǎng)中的源網(wǎng)絡(luò)設(shè)備,如2/3G網(wǎng)絡(luò)中的HLR設(shè)備或者4G網(wǎng)絡(luò)中的HSS(Home Subscriber Server,歸屬簽約用戶服務(wù)器)設(shè)備)針對國際側(cè)IMSI(漫游來訪用戶)發(fā)送的移動漫游信令符合一定的規(guī)律,第二網(wǎng)絡(luò)遵循信令系統(tǒng)#7(SS7)的通信協(xié)議,則發(fā)送移動漫游信令的源設(shè)備標(biāo)識為HLR標(biāo)識,目標(biāo)設(shè)備標(biāo)識為MSC或SGSN標(biāo)識;如果第二網(wǎng)絡(luò)遵循Diameter協(xié)議,則發(fā)送移動漫游信令其源設(shè)備標(biāo)識為HSS標(biāo)識,目標(biāo)設(shè)備標(biāo)識MME(Mobility Management Entity,移動性管理實體)標(biāo)識,且其中攜帶的IMSI標(biāo)識中的國家代碼為第二網(wǎng)絡(luò)所在國家的國家代碼,而且,黑客通常是批量向第二網(wǎng)絡(luò)中的相關(guān)網(wǎng)絡(luò)設(shè)備發(fā)送拒絕服務(wù)攻擊信令,這樣將導(dǎo)致源網(wǎng)絡(luò)設(shè)備發(fā)送的移動漫游信令流量大大超過正常源網(wǎng)絡(luò)設(shè)備發(fā)送的移動漫游信令流量,基于此,本發(fā)明實施例中,可以通過在位于國際網(wǎng)絡(luò)側(cè)的第一網(wǎng)絡(luò)與位于國內(nèi)網(wǎng)絡(luò)側(cè)第二網(wǎng)絡(luò)之間部署拒絕服務(wù)攻擊信令的處理裝置,分析由第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令是否滿足上述的條件,如果滿足,則進(jìn)行攔截,并按照預(yù)設(shè)的處理策略進(jìn)行處理,例如可以向源 網(wǎng)絡(luò)設(shè)備返回特定錯誤響應(yīng)消息或者直接丟棄該移動漫游信令,如果不滿足,則向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令。

如圖2所示,為本發(fā)明實施例中拒絕服務(wù)攻擊信令的處理裝置的部署位置示意圖,需要說明的是,具體實施時,拒絕服務(wù)攻擊信令的處理裝置可以獨立設(shè)置,也可以部署于位于第一網(wǎng)絡(luò)出口位置的網(wǎng)絡(luò)設(shè)備中,如拒絕服務(wù)攻擊信令的處理裝置可以部署于ISTP(International Signaling Transfer Point國際信令轉(zhuǎn)接點)設(shè)備和IDRA(International Diameter Routing Agent國際Diameter路由代理)設(shè)備中。

基于上述原理,如圖3a所示,本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的第一種處理方法,可以包括以下步驟:

S311、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

具體實施時,第一網(wǎng)絡(luò)可以為其他國家或地區(qū)部署的信令網(wǎng),第二網(wǎng)絡(luò)可以為國內(nèi)運營商部署的信令網(wǎng),該根據(jù)其遵循的通信協(xié)議的不同,第二網(wǎng)絡(luò)可以為SS7信令網(wǎng)或者Diameter信令網(wǎng)。

第一網(wǎng)絡(luò)發(fā)送的移動漫游信令可以為SS7MAP信令或者Diameter S6a接口信令。

S312、提取接收到的移動漫游信令的特征信息。

根據(jù)第二網(wǎng)絡(luò)的網(wǎng)絡(luò)類型,步驟S312可以有以下幾種實施方式:

實施方式一、

如果第二網(wǎng)絡(luò)為SS7信令網(wǎng),則可以提取接收到的移動漫游信令中的源SCCP(信令連接控制協(xié)議)地址信息和移動漫游信令中攜帶的IMSI。

實施方式二、

如果第二網(wǎng)絡(luò)為Diameter信令網(wǎng),則可以提取接收到的移動漫游信令中的目的主機(jī)信息和移動漫游信令中攜帶的IMSI;或者提取接收到的移動漫游信令的命令碼和移動漫游信令中攜帶的IMSI。

S313、判斷提取的特征信息是否與預(yù)設(shè)的信令過濾規(guī)則匹配,如果是,執(zhí) 行步驟S314,否則,執(zhí)行步驟S315。

S314、攔截接收到的移動漫游信令并按照預(yù)設(shè)的處理策略進(jìn)行處理,流程結(jié)束。

S315、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)接收到的移動漫游信令。

其中,步驟S313中,根據(jù)步驟S312中提取的不同特征信息,可以按照以下幾種方式判斷提取的特征信息是否與預(yù)設(shè)的信令過濾規(guī)則匹配:

第一種實施方式、

如果步驟S312中提取的特征信息為移動漫游信令中的源SCCP地址信息和移動漫游信令中攜帶的IMSI,則步驟S313中可以判斷源SCCP地址信息中的SSN(子系統(tǒng)代碼)字段是否為預(yù)設(shè)值,且提取的IMSI中國家代碼部分是否為預(yù)設(shè)國家代碼,如果是,則確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配;否則確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則不匹配。

較佳的,具體實施時,上述的預(yù)設(shè)值可以為HLR標(biāo)識,而根據(jù)第二網(wǎng)絡(luò)所在國家的不同,上述的預(yù)設(shè)國家代碼也可以不同,例如,上述第二網(wǎng)絡(luò)部署于中國時,上述的預(yù)設(shè)國家代碼可以為“460”。

第二種實施方式、

如果步驟S312中提取的信息為接收到的移動漫游信令的目的主機(jī)信息和該移動漫游信令中攜帶的IMSI,則步驟S313中可以判斷提取到的目標(biāo)主機(jī)信息是否為指定目的主機(jī)標(biāo)識且IMSI中的國家代碼部分為預(yù)設(shè)國家代碼,如果是,確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配;否則,確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則不匹配。

較佳的,具體實施時,上述的預(yù)設(shè)目的主機(jī)信息可以為MME標(biāo)識,而根據(jù)第二網(wǎng)絡(luò)所在國家的不同,上述的預(yù)設(shè)國家代碼也可以不同,例如,上述第二網(wǎng)絡(luò)部署于中國時,上述的預(yù)設(shè)國家代碼可以為“460”。

第三種實施方式、

如果步驟S312中提取的信息為接收到的移動漫游信令的命令碼和該移動 漫游信令中攜帶的IMSI,則步驟S313中可以判斷提取到的命令碼是否為指定命令碼且IMSI中的國家代碼部分為預(yù)設(shè)國家代碼,如果是,確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配。

較佳的,具體實施時,上述的指令命令碼可以但不限于包括317(Cancel Location Request)或者319(Insert Subscribe Data Request),而根據(jù)第二網(wǎng)絡(luò)所在國家的不同,上述的預(yù)設(shè)國家代碼也可以不同,例如,上述第二網(wǎng)絡(luò)部署于中國時,上述的預(yù)設(shè)國家代碼可以為“460”。

通過上述第一種實施方式,可以限制針對第二網(wǎng)絡(luò)中的MSC設(shè)備或SGSN設(shè)備發(fā)送的拒絕服務(wù)攻擊信令帶來的異常信令流量進(jìn)入第二網(wǎng)絡(luò)中的SS7信令網(wǎng),通過上述的第二種實施方式,可以限制針對第二網(wǎng)絡(luò)中的MME設(shè)備發(fā)送的拒絕服務(wù)攻擊信令帶來的異常信令流量進(jìn)入第二網(wǎng)絡(luò)中的Diameter信令網(wǎng)。

如圖3b所示,為本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理方法的第二種實施流程示意圖,可以包括以下步驟:

S321、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的的移動漫游信令。

S322、統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。

較佳的,具體實施時,在執(zhí)行步驟S322之前,還可以首先判斷發(fā)送方的發(fā)送方地址信息是否在已記錄的發(fā)送方地址信息中,如果在,則直接攔截該移動通信信令,如果不在,則執(zhí)行步驟S322。

其中根據(jù)第一網(wǎng)絡(luò)發(fā)送的移動漫游信令可以為SS7移動漫游信令或者Diameter移動漫游信令。如果移動漫游信令為SS7移動漫游信令,則步驟S322中涉及的監(jiān)測條件為第一網(wǎng)絡(luò)中的HLR發(fā)往第二網(wǎng)絡(luò)中的SGSN或MSC的信令(移動交換中心)消息;如果移動漫游信令為Diameter移動漫游信令,則步驟S322中涉及的監(jiān)測條件為第一網(wǎng)絡(luò)HSS(歸屬簽約用戶服務(wù)器)發(fā)往第二網(wǎng)絡(luò)MME的信令消息。

較佳的,具體實施時,步驟S322中,可以針對移動漫游信令發(fā)送方的地 址信息和接收方的地址信息統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。

S323、判斷符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù)設(shè)的移動漫游信令數(shù)量閾值,如果是,執(zhí)行步驟S324,否則,執(zhí)行步驟S325。

其中,移動漫游信令數(shù)量閾值可以但不限于根據(jù)預(yù)先設(shè)置的國際漫游用戶信令模型確定,其中國際漫游用戶信令模型可以但不限于包括:移動漫游用戶來訪比例,位置更新次數(shù)或者修改簽約數(shù)據(jù)次數(shù)等。具體實施時,對于2/3G移動通信網(wǎng)絡(luò),則根據(jù)2/3G移動通信網(wǎng)絡(luò)國際漫游用戶信令模型確定其對應(yīng)的移動漫游信令數(shù)量閾值;對于4G移動通信網(wǎng)絡(luò),則根據(jù)4G移動通信網(wǎng)絡(luò)國際漫游用戶信令模型確定其對應(yīng)的移動漫游信令數(shù)量閾值。

S324、記錄該移動漫游信令發(fā)送方的地址信息進(jìn)行攔截,流程結(jié)束。

具體實施時,在攔截接收到的移動漫游信令后,可以根據(jù)預(yù)設(shè)的處理策略處理該移動漫游信令,例如,可以向發(fā)送方設(shè)備返回特定錯誤響應(yīng)消息或者直接丟棄該移動漫游信令。

較佳的,在判斷出發(fā)送方發(fā)送的符合監(jiān)測條件的移動漫游信令數(shù)量超過預(yù)設(shè)的移動漫游信令數(shù)量閾值后,還可以記錄方法的發(fā)送方地址信息,后續(xù)在接收到移動漫游信令后,根據(jù)記錄的發(fā)送方地址信息進(jìn)行攔截即可。其中,發(fā)送方地址信息可以為HLR的GT(全局碼)。

S325、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)接收到的移動漫游信令。

如圖4a-圖4e所示,其分別為不同的拒絕服務(wù)攻擊信令的處理流程示意圖。

如圖4a所示,其為針對SS7信令網(wǎng)發(fā)送的拒絕服務(wù)攻擊信令的處理流程示意圖,可以包括以下步驟:

S411、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

S412、提取接收到的移動漫游信令的源SCCP地址信息和該移動漫游信令中攜帶的IMSI。

S413、判斷源SCCP地址信息中的SSN字段是否為HLR標(biāo)識,如果是,執(zhí)行步驟S414,否則執(zhí)行步驟S416。

S414、判斷提取的IMSI中國家代碼部分是否為預(yù)設(shè)國家代碼,如果是,執(zhí)行步驟S415,否則,執(zhí)行步驟S416。

S415、攔截該移動漫游信令,并按照預(yù)設(shè)的處理策略處理接收到的移動漫游信令,流程結(jié)束。

S416、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令。

如圖4b所示,其為針對Diameter信令網(wǎng)發(fā)送的拒絕服務(wù)攻擊信令的第一種處理流程示意圖,可以包括以下步驟:

S421、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

S422、提取接收到的移動漫游信令的目的主機(jī)信息和該移動漫游信令中攜帶的IMSI。

S423、判斷目的主機(jī)信息是否為MME標(biāo)識,如果是,執(zhí)行步驟S424,否則執(zhí)行步驟S426。

S424、判斷提取的IMSI中國家代碼部分是否為預(yù)設(shè)國家代碼,如果是,執(zhí)行步驟S425,否則,執(zhí)行步驟S426。

S425、攔截該移動漫游信令,并按照預(yù)設(shè)的處理策略處理接收到的移動漫游信令,流程結(jié)束。

S426、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令。

如圖4c所示,其為針對Diameter信令網(wǎng)發(fā)送的拒絕服務(wù)攻擊信令的第二種處理流程示意圖,可以包括以下步驟:

S431、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

S432、提取接收到的移動漫游信令的命令碼和該移動漫游信令中攜帶的IMSI。

S433、判斷提取的命令碼是否為指定命令碼,如果是,執(zhí)行步驟S434,否則執(zhí)行步驟S436。

S434、判斷提取的IMSI中國家代碼部分是否為預(yù)設(shè)國家代碼,如果是,執(zhí)行步驟S435,否則,執(zhí)行步驟S436。

S435、攔截該移動漫游信令,并按照預(yù)設(shè)的處理策略處理接收到的移動漫游信令。

S436、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令。

如圖4d所示,為其為針對SS7信令網(wǎng)發(fā)送的拒絕服務(wù)攻擊信令的第二種處理流程示意圖,可以包括以下步驟:

S441、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

S442、判斷該移動漫游信令發(fā)送方的發(fā)送方地址信息是否存在于已記錄的發(fā)送方地址信息中,如果是,執(zhí)行步驟S443、否則,執(zhí)行步驟S444。

S443、攔截該移動漫游信令,流程結(jié)束。

S444、根據(jù)移動漫游信令的發(fā)送方和接收方統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。

具體實施時,可以根據(jù)移動漫游信令的發(fā)送方和接收方統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。具體的,可以統(tǒng)計源SCCP地址中的源SSN=HLR且目的SSN=MSC的移動漫游信令數(shù)量。

S445、判斷符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù)設(shè)的移動漫游信令數(shù)量閾值,如果是,執(zhí)行步驟S447,否則,執(zhí)行步驟S446。

S446、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令,流程結(jié)束。

S447、記錄發(fā)送方的地址信息進(jìn)行攔截。

如圖4e所示,其為針對Diameter信令網(wǎng)發(fā)送的拒絕服務(wù)攻擊信令的第三種處理流程示意圖,可以包括以下步驟:

S451、接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)往第二網(wǎng)絡(luò)的移動漫游信令。

S452、判斷該移動漫游信令發(fā)送方的發(fā)送方地址信息是否存在于已記錄的發(fā)送方地址信息中,如果是,執(zhí)行步驟S453、否則,執(zhí)行步驟S454。

S453、攔截該移動漫游信令,流程結(jié)束。

S454、根據(jù)移動漫游信令的發(fā)送方和接收方統(tǒng)計該移動漫游信令發(fā)送方發(fā)送的符合監(jiān)測條件的移動漫游信令數(shù)量。

具體實施時,可以根據(jù)移動漫游信令的發(fā)送方和接收方統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。具體的,可以統(tǒng)計源主機(jī)名為HSS地址且目的主機(jī)名為MME地址的移動漫游信令數(shù)量。

S455、判斷發(fā)送方發(fā)送的符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù)設(shè)的移動漫游信令數(shù)量閾值,如果是,執(zhí)行步驟S457,否則,執(zhí)行步驟S456。

S456、向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)該移動漫游信令,流程結(jié)束。

S457、攔截發(fā)送方的地址信息進(jìn)行攔截。

本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理方法,在第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間設(shè)置拒絕服務(wù)攻擊信令的處理裝置,針對黑客發(fā)送的拒絕服務(wù)攻擊信令的特點,分析接收到的移動漫游信令是否滿足黑客發(fā)送的拒絕服務(wù)攻擊信令的特征,如果滿足,則進(jìn)行攔截,從而避免了拒絕服務(wù)攻擊信令進(jìn)入第二網(wǎng)絡(luò)中,通過實施本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理方法,能夠保證在第二網(wǎng)絡(luò)中登記的漫游用戶正常進(jìn)行業(yè)務(wù)訪問,節(jié)約第二網(wǎng)絡(luò)中的相關(guān)網(wǎng)絡(luò)設(shè)備的處理資源,提高其處理能力。

基于同一發(fā)明構(gòu)思,本發(fā)明實施例中還提供了一種拒絕服務(wù)攻擊信令的處理裝置,由于上述裝置解決問題的原理與種拒絕服務(wù)攻擊信令的處理方法相似,因此上述裝置及設(shè)備的實施可以參見方法的實施,重復(fù)之處不再贅述。

如圖5所示,為本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理裝置的結(jié)構(gòu)示意圖,可以包括:

接收單元51,用于接收第一網(wǎng)絡(luò)通過國際側(cè)信令網(wǎng)發(fā)送第二網(wǎng)絡(luò)的移動漫游信令;

提取單元52,用于提取所述移動漫游信令的特征信息;

統(tǒng)計單元53,用于統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量;

第一判斷單元54,用于判斷所述提取單元提取的特征信息是否與預(yù)設(shè)的信令過濾規(guī)則匹配。

第二判斷單元55,用于判斷符合監(jiān)測條件的移動漫游信令數(shù)量是否超過預(yù) 設(shè)的移動漫游信令數(shù)量閾值。

處理單元56,用于在第一判斷單元54的判斷結(jié)果為是時,攔截該移動漫游信令;在第二判斷單元55的判斷結(jié)果為是時,記錄該移動漫游信令發(fā)送方的地址信息進(jìn)行攔截;以及在第一判斷單元54或者第二判斷單元55的判斷結(jié)果為否時,向第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)所述移動漫游信令。

具體實施時,接收單元51接收到的移動漫游信令可以為SS7移動漫游信令;以及

所述提取單元52,可以用于具體用于提取所述移動漫游信令的源信令連接控制協(xié)議SCCP地址信息和所述移動漫游信令中攜帶的國際移動用戶識別碼IMSI;

所述第一判斷單元54具體用于判斷所述源SCCP地址信息中的子系統(tǒng)號碼SSN字段是否為歸屬位置寄存器HLR標(biāo)識且提取到IMSI中國家代碼是否為預(yù)設(shè)國家代碼;如果是,則確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配;如果否,確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則不匹配。

具體實施時,接收單元51接收到的移動漫游信令可以為Diameter移動漫游信令;以及

所述提取單元52,可以用于提取所述移動漫游信令的目的主機(jī)信息和所述移動漫游信令中攜帶的IMSI;或者提取所述移動漫游信令的命令碼和所述移動漫游信令中攜帶的IMSI;

所述第一判斷單元54,具體用于判斷提取的目的主機(jī)信息是否為移動性管理實體MME標(biāo)識且提取的IMSI中國家代碼是否為預(yù)設(shè)國家代碼;或者判斷所述命令碼是否為指定命令碼且提取的IMSI中國家代碼是否為預(yù)設(shè)國家代碼;如果是,則確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則匹配;如果否,確定提取的特征信息與預(yù)設(shè)的信令過濾規(guī)則不匹配。

具體實施時,本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理裝置,還可以包括第三判斷單元和第一確定單元,其中:

所述第三判斷單元,還用于在所述統(tǒng)計單元統(tǒng)計所述移動漫游信令發(fā)送方發(fā)送的符合監(jiān)測條件的移動漫游信令數(shù)量之前,判斷所述發(fā)送方的發(fā)送地址信息是否在已記錄的發(fā)送方地址信息中;

所述第一確定單元,用于根據(jù)所述第三判斷單元的判斷結(jié)果確定所述發(fā)送方的發(fā)送地址信息不存在于已記錄的發(fā)送方地址信息中;

所述處理單元,還用于在所述第三判斷單元判斷出發(fā)送方的發(fā)送地址信息存在于已記錄的發(fā)送方地址信息中時,直接攔截該移動漫游信令。

所述移動漫游信令包括SS7移動漫游信令或者Diameter移動漫游信令;如果所述移動漫游信令為SS7移動漫游信令,則所述監(jiān)測條件為第一網(wǎng)絡(luò)中的HLR發(fā)往第二網(wǎng)絡(luò)中的服務(wù)通用分組無線服務(wù)技術(shù)GPRS支持節(jié)點SGSN或移動交換中心MSC的信令消息;如果所述移動漫游信令為Diameter移動漫游信令,則所述監(jiān)測條件為第一網(wǎng)絡(luò)歸屬簽約用戶服務(wù)器HSS發(fā)往第二網(wǎng)絡(luò)MME的信令消息;以及

所述統(tǒng)計單元,具體用于針對所述移動漫游信令發(fā)送方的地址信息和接收方的地址信息統(tǒng)計符合監(jiān)測條件的移動漫游信令數(shù)量。

具體實施時,本發(fā)明實施例提供的拒絕服務(wù)攻擊信令的處理裝置,還可以包括第二確定單元,用于根據(jù)預(yù)設(shè)的國際漫游用戶信令模型確定所述移動漫游信令數(shù)量閾值,其中所述國際漫游用戶信令模型包括:移動漫游用戶來訪比例,位置更新次數(shù)或者修改簽約數(shù)據(jù)次數(shù)。

為了描述的方便,以上各部分按照功能劃分為各模塊(或單元)分別描述。當(dāng)然,在實施本發(fā)明時可以把各模塊(或單元)的功能在同一個或多個軟件或硬件中實現(xiàn)。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機(jī)程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、 CD-ROM、光學(xué)存儲器等)上實施的計算機(jī)程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器,使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可讀存儲器中,使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機(jī)實現(xiàn)的處理,從而在計算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例做出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
安阳县| 玛纳斯县| 中西区| 双辽市| 新平| 通化县| 宣汉县| 鸡泽县| 呼和浩特市| 莒南县| 鹤岗市| 肥城市| 策勒县| 确山县| 京山县| 泸定县| 隆子县| 绥中县| 霸州市| 修文县| 图们市| 抚顺县| 武汉市| 弥渡县| 保定市| 集安市| 彭水| 天门市| 永嘉县| 和静县| 临沧市| 红原县| 枣阳市| 河南省| 和林格尔县| 昔阳县| 沛县| 文水县| 马鞍山市| 盐亭县| 盐城市|