移动通信网络中拒绝服务攻击信令的处理方法和装置制造方法及图纸

本发明专利技术公开了一种移动通信网络中拒绝服务攻击信令的处理方法和装置，用以识别和监控国际漫游场景下的拒绝服务攻击信令，保证用户正常使用业务的同时，节约相关网络设备的处理资源，提高相关网络设备的处理能力。所述方法包括：接收第一网络通过国际侧信令网发往第二网络的移动漫游信令；提取移动漫游信令的特征信息；判断提取的特征信息是否与预设的信令过滤规则匹配；如果是，拦截移动漫游信令；如果否，向第二网络转发移动漫游信令；统计符合监测条件的移动漫游信令数量；判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值，如果是，记录移动漫游信令发送方的地址信息进行拦截；如果否，向第二网络转发移动漫游信令。

【技术实现步骤摘要】

本专利技术涉及移动通信
，尤其涉及一种移动通信网络中拒绝服务攻击信令的处理方法和装置。
技术介绍
不同国家或地区的运营商之间为解决用户漫游问题允许信令网彼此互通，其他国家或地区的运营商网络节点可以从国际侧信令网接入到本运营商信令网访问网内业务节点。当UE处于漫游状态或者从漫游地回到归属地后，UE均需要向当前所在地的MSC(Mobile Switching Center，移动交换中心)发起位置更新请求，以更新自身的位置信息。如图1所示，为某用户设备(UE，User Equipment)进行位置更新的流程示意图。其中，当UE处于漫游状态时，图1中的MSC-A为该UE当前所在漫游网络中的登记的MSC，MSC-B为用户归属网络中的MSC；当用户由漫游地回到归属地时，图1中的MSC-A为该UE归属网络中的MSC，MSC-B为该UE在漫游网络中登记的MSC。如图1所示，UE进行位置更新的流程可以包括以下步骤：S11、MSC-A接收UE发送的位置更新请求。S12、MSC-A向该UE归属网络中的HLR(Home Location Register)发送UPDATE LOCATION(位置更新)信令。在UPDATE LOCATION消息中携带有该UE的IMSI(International Mobile SubscriberIdentification Number，国际移动用户识别码)。S13、HLR向MSC-A发送ISD(Insert Subscribe Data)信令。在Insert Subscribe Data信令中携带有该UE的MSISDN(Mobile Subscriber International ISDN Number，移动用户号码)和用户参数等。S14、MSC-A向HLR发送Insert Subscribe Data信令应答消息。S15、HLR向MSC-A发送Update Location信令应答。S16、HLR向MSC-B发送Cancel Location(删除位置信息)信令。在Cancel Location信令中携带有UE的ISMI。S17、MSC-B向HLR发送Cancel Location信令应答消息。至此，UE完成了位置更新。由上述流程可知，移动网络国际漫游方案允许用户拜访网络中登记的MSC/VLR、SGSN(Serving GPRS Support Node，服务GPRS支持节点)与用户归属网络中归属HLR之间进行互相访问，黑客利用这一特点可以伪装用户归属HLR对用户拜访网络中登记的MSC/VLR、SGSN进行拒绝服务攻击，通过向用户拜访网络中登记的MSC/VLR、SGSN发送拒绝服务攻击信令，注销用户登记或者删除用户数据，导致用户无法正常进行业务访问，如：黑客伪装HLR从国际侧信令网向本运营商信令网内的MSC发Cancel LA信令消息注销指定用户登记，或发ISD信令消息删除指定用户数据，导致该用户无法使用通话业务和短信业务；或者黑客伪装HLR从国际侧信令网向本运营商信令网内的SGSN发Cancel LA信令消息注销指定用户登记，导致该用户无法访问移动数据业务；或者黑客伪装HLR从国际侧信令网向本运营商信令网内的MSC/VLR、SGSN大量发送Cancel LA信令消息或发ISD信令消息，导致MSC/VLR和SGSN处理资源被严重消耗，处理能力下降。国际标准组织虽然已经确认此类攻击，但是目前尚未给出解决上述问题的技术方案。
技术实现思路
本专利技术实施例提供一种移动通信网络中拒绝服务攻击信令的处理方法和装置，用以识别和监控国际漫游场景下的拒绝服务攻击信令，保证用户正常使用业务的同时，节约相关网络设备的处理资源，提高相关网络设备的处理能力。本专利技术实施例提供一种拒绝服务攻击信令的处理方法，包括：接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令；提取所述移动漫游信令的特征信息；判断提取的特征信息是否与预设的信令过滤规则匹配；如果是，拦截所述移动漫游信令；如果否，向所述第二网络转发所述移动漫游信令；同时统计符合监测条件的移动漫游信令数量；并判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值，如果是，记录所述移动漫游信令发送方的地址信息进行拦截；如果否，向所述第二网络转发所述移动漫游信令。本专利技术实施例提供一种拒绝服务攻击信令的处理装置，包括：接收单元，用于接收第一网络通过国际侧信令网发送第二网络的移动漫游信令；提取单元，用于提取所述移动漫游信令的特征信息；统计单元，用于统计符合监测条件的移动漫游信令数量；第一判断单元，用于判断所述提取单元提取的特征信息是否与预设的信令过滤规则匹配；第二判断单元，用于判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值；处理单元，用于在所述第一判断单元的判断结果为是时，拦截所述移动漫游信令；在所述第二判断单元的判断结果为是时，记录所述移动漫游信令发送方的地址信息进行拦截；以及在所述第一判断单元或者所述第二判断单元的判断结果为否时，向所述第二网络转发所述移动漫游信令。本专利技术实施提供的移动通信网络中拒绝服务攻击信令的处理方法和装置，对于第一网络通过国际侧信令网发送给第二网络的移动漫游信令进行分析，如果该移动漫游信令的特征信息与预设的信令过滤规则匹配，则拦截该信令，否则向第二网络转发该移动漫游信令；同时统计符合监测条件的移动漫游信令数量，如果超过预设阈值，则记录发送方的地址信息进行拦截，否则向第二网络转发该移动漫游信令。通过上述过程，能够识别和监控黑客向第二网络发送的拒绝服务攻击信令并进行拦截，保证用户能够在第二网络中进行正常使用业务，同时能够节约第二网络中相关网络设备的处理资源，提高其处理能力。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为现有技术中，位置更新流程示意图；图2为本专利技术实施例中，拒绝服务攻击信令的处理装置的部署位置示意图；图3a-图3b为本专利技术实施例中，拒绝服务攻击信令的处理方法实施流程示意图；图4a-图4e为本专利技术实施例中，不同的拒绝用户服务攻击信令的实施流程示意图；图5为本专利技术实施例中，拒绝服务攻击信令的处理装置结构示意图。具体实施方式为了识别黑客从国际网信令侧发送的拒绝服务攻击信令，保证用户能够正常使用业务，并节约相关网络设备的处理资源，提高其处理能力，本专利技术实施例提供了一种移动通信网络中拒绝服务攻击信令的处理方法和装置。需要说明的是，本专利技术实施例中涉及的移动通信网络可以为遵循SS7通信协议的2/3G移动通信网络，相应的，在2/3G移动通信网络中涉及的网络设备可以包括HLR设备和SGSN、MSC设备，所述移动漫游信令可以为国际网侧的HLR设备发往国内网侧的SGSN、MSC设备的通信信令；具体实施时，移动通信网络还可以是遵循D本文档来自技高网...

【技术保护点】
一种移动通信网络中拒绝服务攻击信令的处理方法，其特征在于，包括：接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令；提取所述移动漫游信令的特征信息；判断提取的特征信息是否与预设的信令过滤规则匹配；如果是，拦截所述移动漫游信令；如果否，向所述第二网络转发所述移动漫游信令；并统计符合监测条件的移动漫游信令数量；并判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值，如果是，记录所述移动漫游信令发送方的地址信息进行拦截；如果否，向所述第二网络转发所述移动漫游信令。

【技术特征摘要】
1.一种移动通信网络中拒绝服务攻击信令的处理方法，其特征在于，包括：接收第一网络通过国际侧信令网发往第二网络的的移动漫游信令；提取所述移动漫游信令的特征信息；判断提取的特征信息是否与预设的信令过滤规则匹配；如果是，拦截所述移动漫游信令；如果否，向所述第二网络转发所述移动漫游信令；并统计符合监测条件的移动漫游信令数量；并判断符合监测条件的移动漫游信令数量是否超过预设的移动漫游信令数量阈值，如果是，记录所述移动漫游信令发送方的地址信息进行拦截；如果否，向所述第二网络转发所述移动漫游信令。2.如权利要求1所述的方法，其特征在于，所述移动漫游信令为SS7信令；以及提取所述移动漫游信令的特征信息，具体包括：提取所述移动漫游信令的源信令连接控制协议SCCP地址信息和所述移动漫游信令中携带的国际移动用户识别码IMSI；以及判断提取的特征信息是否与预设的信令过滤规则匹配，具体包括：判断所述源SCCP地址信息中的子系统号码SSN字段是否为归属位置寄存器HLR标识且提取到IMSI中国家代码是否为预设国家代码；如果是，确定提取的特征信息与预设的信令过滤规则匹配；如果否，确定提取的特征信息与预设的信令过滤规则不匹配。3.如权利要求1所述的方法，其特征在于，所述移动漫游信令为Diameter信令；以及提取所述移动漫游信令的特征信息，具体包括：提取所述移动漫游信令的目的主机信息和所述移动漫游信令中携带的IMSI；或者提取所述移动漫游信令的命令码和所述移动漫游信令中携带的
\tIMSI；以及判断提取的特征信息是否与预设的信令过滤规则匹配，具体包括：判断提取的目的主机信息是否为移动性管理实体MME标识且提取的IMSI中国家代码是否为预设国家代码；或者判断所述命令码是否为指定命令码且提取的IMSI中国家代码是否为预设国家代码；如果是，确定提取的特征信息与预设的信令过滤规则匹配；如果否，确定提取的特征信息与预设的信令过滤规则不匹配。4.如权利要求1所述的方法，其特征在于，在统计符合监测条件的移动漫游信令数量之前，还包括：判断所述发送方的发送地址信息是否在已记录的发送方地址信息中；并根据判断结果确定所述发送方的发送地址信息不存在于已记录的发送方地址信息中；如果发送方的发送地址信息存在于已记录的发送方地址信息中，则直接拦截所述移动漫游信令。5.如权利要求1所述的方法，其特征在于，还包括：所述移动漫游信令包括SS7移动漫游信令或者Diameter移动漫游信令；如果所述移动漫游信令为SS7移动漫游信令，则所述监测条件为第一网络中的HLR发往第二网络中的服务通用分组无线服务技术GPRS支持节点SGSN或移动交换中心MSC的信令消息；如果所述移动漫游信令为Diameter移动漫游信令，则所述监测条件为第一网络归属签约用户服务器HSS发往第二网络MME的信令消息；以及统计符合监测条件的移动漫游信令数量，具体包括：针对所述移动漫游信令发送方的地址信息和接收方的地址信息统计符合监测条件的移动漫游信令数量。6.如权利要求1～5任一权利要求所述的方法，其特征在于，根据预设的国际漫游用户信令模型确定所述移动漫游信令数量阈值，其中所述国际漫游用户信令模型包括：移动漫游用户来访比例，位置更新次数或者修改签约数据次
\t数。7.一种移动通信网络中拒绝服务攻击信令的处理装置，其特征在于，包括：接收单元，用于接收第一网络通过国际侧信令...

【专利技术属性】
技术研发人员：陈旭，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京;11