高级可持续威胁溯源方法、系统、计算机设备及存储介质技术方案

本发明专利技术公开了一种高级可持续威胁溯源方法、装置、计算机设备以及存储介质，上述方法包括：接收核心网的信令流量；从信令流量中解析出用户信息，用户信息包括地址信息和注册信息；基于用户信息生成用户信息表；接收核心网的用户面流量；对用户面流量进行威胁检测，判断用户面流量中是否存在高级可持续威胁；当判断存在高级可持续威胁时，从用户面流量中获取威胁用户地址，并在用户信息表中查询与威胁用户地址对应的威胁用户注册信息。上述方法，通过对信令流量进行解析得到用户信息表，在对用户面流量进行检测时，可以根据监测到威胁的地址信息，在用户信息表中查询到对应的用户注册信息，从而实现快速准确地完成对高级可持续威胁攻击的溯源。

【技术实现步骤摘要】
高级可持续威胁溯源方法、系统、计算机设备及存储介质
本专利技术实施例涉及计算机网络安全技术，尤其涉及一种高级可持续威胁溯源方法、系统、计算机设备以及计算机设备及存储介质。
技术介绍
第五代移动通信系统(5G)作为新一代信息通信技术演进升级的重要方向，全球范围内已展开5G网络的大量部署，SA架构的5G网络为未来必然趋势，5G组网以更快的速度、更大的容量、更低的成本为用户提供更丰富的业务和更好的用户体验，但也存在更多的安全挑战，面临的安全威胁更加广泛而复杂，云计算、人工智能、大数据、物联网到区块链等新兴技术的不断发展，打破了以往安全的边界，各种恶意攻击和网络安全威胁非常普遍。高级持续性威胁(AdvancedPersistentThreat，简称APT)攻击通常是渗透到网络内部后长期蛰伏，利用组织内部人员作为攻击跳板，不断尝试各种攻击手段，不断收集各种信息，直到收集到重要情报。随着5G网络各种设备的接入，移动网下的APT攻击也会呈现爆发式增长，但传统的APT攻击检测一般针对固定网络，不能精确定位威胁源头，且对于SA架构的5G网络而言，其时效性和准确性均不能得到有效保证。
技术实现思路
基于此，针对上述技术问题，本专利技术提供一种高级可持续威胁溯源方法、装置、计算机设备以及存储介质，可以快速准确地对APT攻击进行溯源。第一方面，本专利技术实施例提供了一种高级可持续威胁溯源方法，包括：接收核心网的信令流量；从所述信令流量中解析出用户信息，所述用户信息包括地址信息和注册信息；<br>基于所述用户信息生成用户信息表；接收所述核心网的用户面流量；对所述用户面流量进行威胁检测，判断所述用户面流量中是否存在高级可持续威胁；当判断存在高级可持续威胁时，从所述用户面流量中获取威胁用户地址，并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。上述高级可持续威胁溯源方法，通过对信令流量进行解析得到用户信息表，在对用户面流量进行检测时，可以根据监测到威胁的地址信息，在用户信息表中查询到对应的用户注册信息，从而实现快速准确地完成对高级可持续威胁攻击的溯源。在其中一个实施例中，所述对所述用户面流量进行威胁检测的步骤包括：对所述用户面流量进行静态检测，以判断所述用户面流量中是否存在威胁特征；和/或对所述用户面流量进行动态检测，以判断所述用户面流量中是否存在威胁行为。在其中一个实施例中，所述判断所述用户面流量中是否存在高级可持续威胁，包括：当所述用户面流量中存在威胁特征和/或威胁行为时，根据所述威胁特征和/或威胁行为生成威胁指数；判断所述威胁指数是否超过预设的威胁阈值参数；当所述威胁指数超过所述威胁阈值参数时，判断所述用户面流量中存在高级可持续威胁。在其中一个实施例中，所述对所述用户面流量进行静态检测，以判断所述用户面流量中是否存在威胁特征的步骤包括：根据协议配置从所述用户面流量中还原出源文件；加载威胁特征库，基于所述威胁特征库对所述源文件进行特征检测，以判断所述源文件中是否存在威胁特征。在其中一个实施例中，所述对所述用户面流量进行动态检测，以判断所述用户面流量中是否存在威胁行为的步骤包括：基于历史异常访问数据进行机器学习，建立威胁行为识别模型；对所述用户面流量进行流量分析，对分析得到的可疑流量进行标记；通过所述威胁行为识别模型对标记的可疑流量进行行为检测，判断是否存在威胁行为。在其中一个实施例中，所述地址信息包括用户IP和/或隧道标识；所述注册信息包括IMSI、MSISDN、TAC以及APN中的至少一种。第二方面，本专利技术实施例还提供了一种高级可持续威胁溯源系统，包括信令解析平台和威胁预警平台：其中，所述信令解析平台包括第一流量接收模块，用于接收核心网的信令流量；流量解析模块，用于从所述信令流量中解析出用户信息，所述用户信息包括地址信息和注册信息；信息分发模块，用于将所述用户信息发送至威胁预警平台；所述威胁预警平台包括信息存储模块，用于接收所述用户信息，并根据所述用户信息生成用户信息表；第二流量接收模块，用于接收核心网的用户面流量；威胁检测模块，用于对所述用户面流量进行威胁检测，判断所述用户面流量中是否存在高级可持续威胁；信息查询模块，用于当判断存在高级可持续威胁时，从所述用户面流量中获取威胁用户地址，并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。上述高级可持续威胁溯源系统，通过对信令流量进行解析得到用户信息表，在对用户面流量进行检测时，可以根据监测到威胁的地址信息，在用户信息表中查询到对应的用户注册信息，从而实现快速准确地完成对高级可持续威胁攻击的溯源。在其中一个实施例中，所述威胁检测模块包括：静态检测单元，用于对所述用户面流量进行静态检测，以判断所述用户面流量中是否存在威胁特征；和/或动态检测单元，用于对所述用户面流量进行动态检测，以判断所述用户面流量中是否存在威胁行为。第三方面，本专利技术实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述的高级可持续威胁溯源方法。第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述的高级可持续威胁溯源方法。附图说明图1为一个实施例中高级可持续威胁溯源方法的流程示意图；图2为一个实施例中步骤对用户面流量进行威胁检测的流程示意图；图3为一个实施例中步骤判断用户面流量中是否存在高级可持续威胁的流程示意图；图4为一个实施例中步骤对用户面流量进行静态检测，以判断用户面流量中是否存在威胁特征的流程示意图；图5为一个实施例中步骤对用户面流量进行动态检测，以判断用户面流量中是否存在威胁行为的流程示意图；图6为一个实施例中高级可持续威胁溯源系统的模块示意图；图7为一个实施例中高级可持续威胁溯源系统的结构示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本专利技术，而非对本专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本专利技术相关的部分而非全部结构。图1为一个实施例中高级可持续威胁溯源方法的流程示意图，如图1所示，在一个实施例中，一种高级可持续威胁溯源方法，包括：步骤S110：接收核心网的信令流量。步骤S120：从信令流量中解析出用户信息，用户信息包括地址信息和注册信息。具体地，首先可以采集5G核心网的信令面流量数据，根据SA架构的5G网络组成，信令流量具体可以包括用户设备(UserEquipment，简称UE)与接入移动管理功能(AccessandMobilityManagementFunction，简称AMF)之间的N1接口流量、AMF与(无本文档来自技高网...

【技术保护点】
1.一种高级可持续威胁溯源方法，其特征在于，包括：/n接收核心网的信令流量；/n从所述信令流量中解析出用户信息，所述用户信息包括地址信息和注册信息；/n基于所述用户信息生成用户信息表；/n接收所述核心网的用户面流量；/n对所述用户面流量进行威胁检测，判断所述用户面流量中是否存在高级可持续威胁；/n当判断存在高级可持续威胁时，从所述用户面流量中获取威胁用户地址，并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。/n

【技术特征摘要】
1.一种高级可持续威胁溯源方法，其特征在于，包括：
接收核心网的信令流量；
从所述信令流量中解析出用户信息，所述用户信息包括地址信息和注册信息；
基于所述用户信息生成用户信息表；
接收所述核心网的用户面流量；
对所述用户面流量进行威胁检测，判断所述用户面流量中是否存在高级可持续威胁；
当判断存在高级可持续威胁时，从所述用户面流量中获取威胁用户地址，并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。


2.根据权利要求1所述的方法，其特征在于，所述对所述用户面流量进行威胁检测的步骤包括：
对所述用户面流量进行静态检测，以判断所述用户面流量中是否存在威胁特征；和/或
对所述用户面流量进行动态检测，以判断所述用户面流量中是否存在威胁行为。


3.根据权利要求2所述的方法，其特征在于，所述判断所述用户面流量中是否存在高级可持续威胁，包括：
当所述用户面流量中存在威胁特征和/或威胁行为时，根据所述威胁特征和/或威胁行为生成威胁指数；
判断所述威胁指数是否超过预设的威胁阈值参数；
当所述威胁指数超过所述威胁阈值参数时，判断所述用户面流量中存在高级可持续威胁。


4.根据权利要求2所述的方法，其特征在于，所述对所述用户面流量进行静态检测，以判断所述用户面流量中是否存在威胁特征的步骤包括：
根据协议配置从所述用户面流量中还原出源文件；
加载威胁特征库，基于所述威胁特征库对所述源文件进行特征检测，以判断所述源文件中是否存在威胁特征。


5.根据权利要求2所述的方法，其特征在于，所述对所述用户面流量进行动态检测，以判断所述用户面流量中是否存在威胁行为的步骤包括：
基于历史异常访问数据进行机器学习，建立威胁行为识别模型；
对所述用户面流量进行流量分析，对分析得到的可疑流量...

【专利技术属性】
技术研发人员：王悦，李伟，鲁银冰，蒋熠，智绪龙，刘乐，田毅，赵雪昆，谢锋林，胡声秋，
申请(专利权)人：中国移动通信集团有限公司，中移杭州信息技术有限公司，中国移动通信集团浙江有限公司，上海欣诺通信技术股份有限公司，
类型：发明
国别省市：北京;11