本发明专利技术提供一种网络审计和入侵检测方法,包括以下步骤:获取数据包;对所获取的数据包进行解析以获取包括用户信息的所需信息;进行入侵检测并产生安全事件;将安全事件与用户信息一同输出。该方法可以追踪到引起安全事件的用户的真实身份信息。本发明专利技术还提供一种针对上述方法的网络审计和入侵检测系统。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及用于移动核心网的网络审计和入侵检测方法及系统。
技术介绍
移动通信网络中,用户进行互联网访问,需要通过移动运营商的核心网络进行鉴权和计费后,由核心设备分配IP地址,才可以接入互联网。核心网络中采用移动通信体系特有的协议和网络设备,这些协议和设备与互联网上使用的协议和设备类型有很大的差异。一次典型的移动设备进行互联网访问将通过GPRS支持节点(GSN)设备进行鉴权, 分配IP地址,计费,封装数据等操作。其中,移动设备的国际移动用户识别码(IMSI)和接入号码作为终端的身份识别依据以及计费依据都包含在发起的请求当中。之后这些身份信息、计费信息,还包括分配的IP地址等信息都以计费细节记录(CDR)话单的方式发送到计费系统进行计费处理。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行。具体说来,入侵检测系统的主要功能有a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击行为;e.统计分析异常行为;f.操作系统日志管理,并识别违反安全策略的用户活动。随着3G业务的开展,使用手机或上网卡进行网上冲浪的用户越来越多,以前在固网中存在的安全问题和安全威胁也逐渐出现在此类的接入环境中。而传统的部署在固网中的网络审计和入侵检测技术,只能定位到IP地址层面,即发现是哪些IP的行为。但是在3G 的接入环境下,IP地址是动态分配的,可能被多个人使用,这样无法准确的定位到真实的使用信息,这给安全事件的处理和定位带来了很大的麻烦。现有的移动核心网设备,只提供接入和网络通信功能,无法对流经的上层协议进行分析,无法发现承载协议的安全隐患和安全事件。现有的入侵检测技术只针对TCP/IP协议族,提供对流量内容的安全检查,其只能在传统的互联网线路中应用,不具备在移动核心网中的分析能力。这导致了所有安全事件的起源和目标的追踪都只能停留在IP地址这个层面上,而无法获取到真实身份信息,如手机号码,IMSI等。
技术实现思路
本专利技术的目的是提供一种网络审计和入侵检测方法及系统,通过该方法及系统可以追踪到引起安全事件的用户的真实身份信息。为了实现该目的,根据本专利技术的一方面,提供一种网络审计和入侵检测方法。该方法包括以下步骤获取数据包;对所获取的数据包进行解析以获取包括用户信息的所需信息;进行入侵检测并产生安全事件;将安全事件与用户信息一同输出,其中,用户信息包括国际移动用户识别码(IMSI),手机号,接入点等。在上述获取数据包之后并且在对所获取的数据包进行解析之前还包括判断所述数据包的类型。该数据包的类型包括通用分组无线业务隧道协议(GTP)控制面协议的数据包,即GTP-C包,以及GTP用户面协议的数据包,即GTP-U包。如果所获取的数据包是GTP-C包,解析该GTP-C包的包头,若该GTP-C包所携带的消息类型是分组数据协议(PDP)上下文请求时,提取其中的用户信息和数据(I)TEID,其中 TEID是GTP隧道端点标示符。提取用户信息和数据(I)TEID之后,创建列表MAPI并在MAPI中建立新的条目,以及将所提取用户信息和数据(I) TEID保存到该条目中,其中MAPI的数据组织例如可以采用哈希或者平衡二叉树算法等来创建,更新,删除以及查找。如果所获取的数据包是GTP-U包,解析该GTP-U包的包头,获取头中的数据(I) TEID并利用该数据(I)TEID查询MAPI,定位MAPI中的相应条目;其中GTP-U头中的数据 (I)TEID和GTP-C协议协商出的数据(I)TEID,BP MAPI的相应条目中的SGSN数据(I)TEID 相对应。在入侵检测步骤之前优选地包括将GTP-U数据还原成TCP/IP数据。然后,优选地,采用入侵检测引擎对还原的TCP/IP数据进行检测,若判断为入侵行为,则产生安全事件,其中入侵检测可以使用异常检测和误用检测等检测手段中的至少一种来进行。最后,将安全事件与所获取的信息中的用户信息一同输出,优选地,与安全事件一同输出的用户信息是所定位的MAPI条目中的用户信息。根据本专利技术的另一方面,提供一种网络审计和入侵检测系统,包括数据接收模块,用于获取流经的数据包;数据分析模块,用于对来自数据接收模块的数据包进行解析, 获取其中包含的用户信息,该用户信息可以包括国际移动用户识别码(IMSI),手机号,接入点等,以及对来自数据接收模块的数据包进行处理,将其还原成上层协议的数据包;以及入侵检测模块,用于对通过数据分析模块处理后的数据包进行检测,判断是否存在入侵行为, 以及将安全事件与用户信息一同输出。本专利技术的网络审计和入侵检测方法可以提供现有技术无法支持的功能1、在线实时地发现和定位攻击事件,采用在线的方式,对核心网的隧道协议进行监控,可以在第一时间提供发现和提供证据;2、手机号码的匹配表在内存中实现,进行快速排序,快速计算,快速分配,快速释放,提高整体检测性能;3、支持复杂的网络环境,可以对多条隧道线路进行统一集中监控,并可以通过扩展形成集群方式;4、提供了终端的身份信息——接入号码,将其和入侵事件进行关联,协助安全事件的定位;5、支持与其他的系统的接口,如短信网关,对终端是攻击发起人的安全事件,可以采用发送短信提醒的方式,通知机主处理;6、提供长期历史记录的本地存储和网络存储,具备历史记录的回溯功能。 附图说明下面结合附图对本专利技术的具体实施方式做进一步详细的说明。其中图1是根据本专利技术的实施例的网络审计和入侵检测方法的应用环境示意图;图2是根据本专利技术的实施例的网络审计和入侵检测方法的流程图;图3是示出了 GTP头格式的示意图;图4是示出了 GTP-C头格式的示意图;图5是示出了根据本专利技术实施例的MAPI中的一个示例性条目的图;图6是示出了根据本专利技术实施例的网络审计和入侵检测系统的结构图。具体实施例方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术进行更加详细地说明。图1是根据本专利技术的实施例的网络审计和入侵检测方法的应用环境示意图。用户使用手机或上网卡进行hternet访问的时候,该用户的手机号码作为用户鉴权和计费的依据,可以从流量中提取,这样就将用户的具体行为和其身份证明关联起来。 但是这些信息只存在于移动运营商自身的核心网络中。如图1所示,用户的身份信息仅存在于服务GPRS支持节点(SGSN)和网关GPRS支持节点(GGSN)之间,一旦越过核心网的边界,身份信息也将不存在。移动设备在上网之前,将自身的信息如国际移动用户识别码(IMSI),手机号码,接入点信息发送给SGSN设备进行请求,SGSN设备将这些信息封装在 GTP-C数据包中向GGSN设备进行请求。本实施例意在对移动运营商核心网中SGSN和GGSN 之间的接口进行数据监控,实现对用户行本文档来自技高网...
【技术保护点】
1.一种网络审计和入侵检测方法,其特征在于,包括以下步骤:获取数据包;对所获取的数据包进行解析以获取包括用户信息的所需信息;进行入侵检测并产生安全事件;将安全事件与用户信息一同输出。
【技术特征摘要】
1.一种网络审计和入侵检测方法,其特征在于,包括以下步骤获取数据包;对所获取的数据包进行解析以获取包括用户信息的所需信息;进行入侵检测并产生安全事件;将安全事件与用户信息一同输出。2.根据权利要求1所述的网络审计和入侵检测方法,其特征在于,所述用户信息包括 国际移动用户识别码(IMSI),手机号,接入点等。3.根据权利要求2所述的网络审计和入侵检测方法,其特征在于,在获取数据包之后并且在对所获取的数据包进行解析之前还包括判断所述数据包的类型,其中数据包的类型包括通用分组无线业务隧道协议(GTP)控制面协议的数据包,即GTP-C包,以及通用分组无线业务隧道协议(GTP)用户面协议的数据包,即GTP-U包。4.根据权利要求3所述的网络审计和入侵检测方法,其特征在于,对所获取的数据包进行解析以获取包括用户信息的所需信息的步骤包括如果所述获取的数据包是GTP-C 包,解析该GTP-C包的包头,若该GTP-C包所携带的消息类型是分组数据协议(PDP)上下文请求时,获取用户信息和数据(I)TEID,其中TEID是GTP隧道端点标示符。5.根据权利要求4所述的网络审计和入侵检测方法,其特征在于,还包括创建列表 MAPI并在MAPI中建立新的条目,将所述用户信息和数据(I) TEID保存到该条目中,其中 MAPI的数据组织可以采用哈希或者平衡二叉树算法来创建,更新,删除以及查找。6.根据权利要求5所述的网络审计和入侵检测方法,其特征在于,对所获取的数据包进行解析以获取包括用户信息的所需信息的步骤还包括如果所述获取的数据包是GTP-U 包,解析该GTP-U包的包头,获取头中的数据(I)TEID并利用该数据(I)TEID查询MAPI,定位MAPI中的相应条目;其中GTP-U头中的数据(I) TEID和GTP-C协议协商出的数据⑴ TEID,BP MAPI的相应条目中的SGSN数据(I) TEID相对应。7.根据权利要求3所述的网络审计和入侵检测方法,其特征在于,进行入侵检测之前还包括将GTP-U数据还原成TCP/IP数据;以及进行入侵检...
【专利技术属性】
技术研发人员:李青山,
申请(专利权)人:李青山,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。