本申请实施例中公开了一种基于7号信令网络的网络入侵检测方法及装置。该方案在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该方案通过日志分析和实时监控实现对信令消息的合法性检测,保护网络安全,提升用户体验。
【技术实现步骤摘要】
基于7号信令网络的网络入侵检测方法及装置
本申请涉及网络安全领域,尤其涉及一种基于7号信令网络的网络入侵检测方法及装置。
技术介绍
7号信令系统(SignalingSystem7,SS7)是由ITU-T定义的一组电信协议,主要用于基本呼叫的建立、管理及拆除、无线业务(例如个人通讯服务PCS),无线漫游,移动用户身份鉴定;本地可移植号码(localnumberportability,LNP);免费业务(800/888)及长途有线业务(900);增强呼叫功能,例如呼叫转移、主叫号码显示及三方通话等。SS7网络上的信息主要是通过发送SS7的移动应用部分(MobileApplicationPart,MAP)信令消息完成的,MAP信令消息是用来实现位置相关的管理任务的SS7应用协议。SS7对于信令网内的信令点均认为是安全可靠的,且认为MAP信令消息中请求消息的源地址是合法的,也就是说,SS7信令系统不具备网络入侵的检测能力,容易造成SS7信令系统中用户的通话被窃听、短信和位置信息被获取等,危害用户上网安全。
技术实现思路
本申请实施例提供一种基于7号信令网络的网络入侵检测方法及装置,实现了对信令消息的合法性检测,更好的保护网络安全,提升用户体验。第一方面,提供了一种基于7号信令网络的网络入侵检测方法,该方法可以包括:截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;阻止异常信令消息到达所述被叫终端。可见,该方法通过实时监控信令消息中的发送地址和目的地址,实现对信令消息的合法性检测,保护网络安全,提升了用户体验。在一个可选的实现中,信令消息还包括信令消息的消息类型和主叫终端标识;阻止异常信令消息到达所述被叫终端之前,该方法还包括:当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。在第一方面的基础上,为了提高精确性,通过实时监控信令消息中的消息类型和主叫终端标识,实现对信令消息的合法性检测。在一个可选的实现中,截获主叫终端向被叫终端发送的信令消息之后,该方法还包括:统计主叫终端发送的信令消息的流量值;当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以阻止异常信令消息到达被叫终端。上述方式为另一种检测方式,以实现对信令消息合法性的实时检测。在一个可选的实现中,确定信令消息为异常信令消息之后,该方法还包括:向管理服务器发出告警指示信息,以指示主叫终端发送的信令消息为异常信令消息。该方式可以在确定信令消息为异常信令消息之后,及时通知管理服务器,以进行相应处理。在一个可选的实现中,截获主叫用户向被叫终端发送的信令消息之后,还包括:生成信令日志;分析信令日志,得到信令消息的流量值。该方式通过信令消息、告警信息、涉及的网元等方面生成信令日志,实现对异常信令消息(具备攻击特征的主叫用户地址、消息类型等)的检测,从而发现并追踪恶意流量信息,并进行安全预警及风险提示。第二方面,提供了一种检测装置,该装置可以包括:获取单元、判断单元、确定单元和拦截单元;获取单元,用于截获主叫终端向被叫终端发送的信令消息,信令消息包括信令消息的发送地址和目的地址;确定单元,用于当发送地址与主叫终端的所在地址不一致,和/或目的地址与被叫终端的所在地址不一致时,确定信令消息为异常信令消息;阻止单元,用于阻止异常信令消息到达被叫终端。在一个可选的实现中,信令消息还包括信令消息的消息类型和主叫终端标识;确定单元,还用于当消息类型不是发送地址授权的消息类型,和/或主叫终端标识不是已登记终端时,确定信令消息为异常信令消息,已登记终端为预设的合法终端。在一个可选的实现中,该装置还包括统计单元;统计单元,用于统计主叫终端发送的信令消息的流量值;当流量值大于预设流量阈值时,确定信令消息为异常信令消息,以对异常信令消息进行拦截。在一个可选的实现中,该装置还包括发送单元;发送单元,用于在确定信令消息为异常信令消息之后,向管理服务器发出告警指示信息,以指示主叫终端发送的信令消息为异常信令消息。在一个可选的实现中,该装置还包括分析单元,用于:生成信令日志;分析信令日志,得到信令消息的流量值。第三方面,提供了一种电子设备,该电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤。第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。该方案在截获到主叫终端向被叫终端发送的信令消息中的消息类型、发送地址、目的地址和主叫终端标识之后,判断消息类型、发送地址、目的地址和主叫终端标识是否满足预设合法通信条件,预设合法通信条件用于识别接收到的信令消息的合法性;当消息类型、发送地址、目的地址和主叫终端标识中的至少一种信息不满足预设合法通信条件时,确定该信令消息为异常信令消息后,阻断异常信令消息到达被叫终端。可见,该方案通过日志分析和实时监控实现对信令消息的合法性进行检测,保护网络安全,提升用户体验。附图说明图1为本专利技术实施例提供的一种SS7信令系统的系统架构示意图;图2为本专利技术实施例提供的一种基于7号信令网络的网络入侵检测方法流程示意图;图3为本专利技术实施例提供的另一种基于7号信令网络的网络入侵检测方法流程示意图;图4为本专利技术实施例提供的一种检测装置的结构示意图;图5为本专利技术实施例提供的一种电子设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本专利技术实施例提供的网络入侵的检测方法可以应用在服务器上,下面称为检测服务器。该检测服务器适用于图1所示的SS7信令系统(或称SS7信令网)中,该信令系统可以包括主叫终端(或称主叫用户)、信令转接点(SignallingTransferPoint,STP)服务器、被叫终端(或称被叫用户)以及STP前的检测服务器。其中,STP服务器是具有转接功能的信令网节点,其用于将信令消息从一个信令点转发到另一个信令点。主叫终端为运行在蜂窝数据网络(如3G、4G)下的终端,被叫终端为运行在核心网络下的终端。检测服务器设在STP服务器,用于对SS7信令系统中的信令消息进行发送地址和/或目的地址的合法性检查,即检测服务器可以是一判断信令消息是否具有攻击性的防火墙。可以理解的是,检测服务器也可以嵌入在STP服务器中。为了提高检测的精确性,检测服务器需要具有较强计算能力;上述终端可以是用户设备(UserEquipment,UE)、具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobilestation,MS)、移动终本文档来自技高网...
【技术保护点】
1.一种基于7号信令网络的网络入侵检测方法,其特征在于,所述方法包括:截获主叫终端向被叫终端发送的信令消息,所述信令消息包括所述信令消息的发送地址和目的地址;当所述发送地址与所述主叫终端的所在地址不一致,和/或所述目的地址与所述被叫终端的所在地址不一致时,确定所述信令消息为异常信令消息;阻止所述异常信令消息到达所述被叫终端。
【技术特征摘要】
1.一种基于7号信令网络的网络入侵检测方法,其特征在于,所述方法包括:截获主叫终端向被叫终端发送的信令消息,所述信令消息包括所述信令消息的发送地址和目的地址;当所述发送地址与所述主叫终端的所在地址不一致,和/或所述目的地址与所述被叫终端的所在地址不一致时,确定所述信令消息为异常信令消息;阻止所述异常信令消息到达所述被叫终端。2.如权利要求1所述的方法,其特征在于,所述信令消息还包括所述信令消息的消息类型和主叫终端标识;阻止所述异常信令消息到达所述被叫终端之前,所述方法还包括:当所述消息类型不是所述发送地址授权的消息类型,和/或所述主叫终端标识不是已登记终端时,确定所述信令消息为异常信令消息,所述已登记终端为预设的合法终端。3.如权利要求1所述的方法,其特征在于,截获主叫终端向被叫终端发送的信令消息之后,所述方法还包括:统计所述主叫终端发送的信令消息的流量值;当所述流量值大于预设流量阈值时,确定所述信令消息为异常信令消息,以阻止所述异常信令消息到达所述被叫终端。4.如权利要求1或3所述的方法,确定所述信令消息为异常信令消息之后,所述方法还包括:向管理服务器发出告警指示信息,以指示所述主叫终端发送的所述信令消息为异常信令消息。5.如权利要求1所述的方法,其特征在于,截获主叫用户向被叫终端发送的信令消息之后,所述方法还包括:生成信令日志;分析所述信令日志,得到所述信令消息的流量值。6.一种检测装置,其特征在于,所述装置包括:获取单元、判断单元、确定单元和拦截单元;获取单元,用于截获主叫终端向被叫终端发送的信令消息,所述信令消息包括所述信令消息的发送地址和目的地址;确定单元,用于当所述发...
【专利技术属性】
技术研发人员:严思韵,
申请(专利权)人:中移杭州信息技术有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。