专利名称:根据ip地址溯源移动用户手机号的装置及方法
技术领域:
本发明涉及一种网络与信息安全技术,特别是涉及一种根据IP地址溯源移动用 户手机号的装置及方法。其是利用GPRS/PDSN网络中,根据IP地址和移动用户行为特征来 溯源移动用户手机号。
背景技术:
2010年我国自主接收和自主监测的各种网络安全事件数量与2009年上半年同期 相比有较为显著的增加。这些事件一般来自互联网入侵检测、蜜罐诱捕技术、安全应急响应 等事件监测技术,但是往往由于无法针对IP地址定位和缺乏追踪技术,而导致发现事件而 无法定位处置事件。与此同时移动互联网的出现,特别是三大运营商3G上网卡的出现,使得我国安全 事件从固网互联网络发展到固定移动融合的互联网络,如何判定骨干网络监测的攻击的发 源地十分有意义。为此国务院于2000年9月25日发布《互联网信息服务管理办法》,其第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息 内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上 网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和 互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提 {共。目前这方面的现状是针对固定网络IP DSLAM溯源已经有相关的解决方案和专利, 但是针对移动网络溯源则由于涉及到移动运营商大量使用NAT技术进行IP转换,很难追踪 到内网IP ;而移动运营商的手机号与内网IP地址获取往往存在不同的地方如GGSN/PDSN/ CG/WAPGW等无法做到统一有效。
发明内容
本发明的目的在于克服现有的移动网络无法有效溯源和提供上网记录备查的的 缺陷,而提供了一种根据IP地址溯源移动用户手机号的装置及方法。本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出 的一种根据IP地址溯源移动用户手机号的方法,其包括以下步骤:A.获得待溯源的IP地 址及其待查询的移动用户行为特征;B.利用该IP地址作为索引,通过根据IP地址溯源移 动用户手机号的装置查找移动运营商提供的所经营的IP地址范围,获得该IP地址对应的 网络设备标示;C.通过根据IP地址溯源移动用户手机号的装置获取移动运营商侧计费或 信令采集的移动用户手机号和移动用户行为特征信息,以及移动用户手机号与移动用户行 为特征信息之间的关联关系;D.通过根据IP地址溯源移动用户手机号的装置获取移动运 营商FW/NAT设备的FW/NAT前后的IP地址关联关系;E、根据该网络设备标示和该移动用户 行为特征查找得到对应的移动用户手机号;以及F.上述步骤B到D的信息经根据IP地址溯源移动用户手机号的装置存储和处理后,当需要溯源IP地址输入到该根据IP地址溯源 移动用户手机号的装置中便可自动完成上述关联关系及查询,得到移动用户手机号。本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。前述的方法,其中所述的步骤B中的移动运营商提供的所经营的IP地址范围信息 是从提供该用户手机号业务的移动运营商的公网IP地址管理系统或IP地址分配设备获 得。前述的方法,其中所述的IP地址管理系统包括GGSN、PDSN、NAT和WAPGW。前述的方法,其中所述的步骤C中记录的移动手机号、分配的IP地址、移动用户 行为特征的关联关系,是从提供该移动用户手机号业务的移动运营商的计费系统(BOSS/ BSS)、计费网关(CG/Radius)、信令采集(Gn/Rp信令采集)获取。前述的方法,其中所述的移动用户行为特征包括源端口、源IP、目标IP、目标端 口、URL、QQ 号、MSN 号。前述的方法,其中所述的步骤D,FW/NAT前后的IP地址关联关系是从所有NAT设 备获得,其关联关系信息包括NAT前的IP地址/端口、NAT后的IP地址/端口及时间、所 述NAT设备包括防火墙、PNAT设备、WAPGW。本发明的目的及解决其技术问题还可采用以下技术方案来实现。依据本发明提出 的一种根据IP地址溯源移动用户手机号的装置,其特征在于其包括手机用户信息采集处 理模块、FW/NAT信息采集处理模块、运营商公网网络设备IP信息采集模块及关联处理查询 模块,该手机用户信息采集处理模块、该FW/NAT信息采集处理模块及该运营商公网网络设 备IP信息采集模块分别通过接口与数据存储单元连接,该关联处理查询模块通过数据存 储单元直接关联处理与查询相关的采集信息。本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。前述的装置,其中所述运营商公网网络设备IP信息采集模块采集步骤B所含的信 息;该手机用户信息采集处理模块采集步骤C所含的信息;该FW/NAT信息采集处理模块采 集步骤D所含的信息;上述的采集方式为ftp、sftp、scp、syslog、socket、数据库或人工录 入。前述的装置,其中所述的装置可自动处理关联、合并存储步骤B、C、D的信息,并生 成包括数据库、XML、纯文本不同格式的数据供该关联处理查询模块使用,同时支持信息压 缩,压缩比率在70% 90%。前述的装置,其中所述的装置可通过该关联处理查询模块供外部查询或自动上 报,其查询或自动上报的方式为FTP、SFTP、SCP、HTTP、TOBSERVICE。前述的装置,其中所述的装置除了提供I P地址溯源外,还可以用于记录信息,该 记录信息可为上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码,该装 置可对上述记录信息备份查询。前述的装置,其中所述的装置包含特定关联后的溯源信息,具体为IP地址、手机 号、IMSI号、时间信息、端口信息、URL信息和上网行为特征。本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明 根据IP地址溯源移动用户手机号的装置及方法至少具有下列优点及有益效果1、本发明具备实时监测性。
2、本发明具备唯一定位性。3、本发明具备网络性能影响最低。4、本发明具备投资最低性。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段, 而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够 更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
图1是本发明根据IP地址溯源移动用户手机号的装置组网框图。图2是本发明根据IP地址溯源移动用户手机号的装置处理状态示意图。图3是本发明根据IP地址溯源移动用户手机号的方法的流程图。
具体实施例方式为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合 附图及较佳实施例,对依据本发明提出的根据I P地址溯源移动用户手机号的装置及方法 其具体实施方式
、结构、特征及其功效,详细说明如后。请参阅图1所示,是本发明根据IP地址溯源移动用户手机号的装置组网框图,在 图1中,根据IP地址溯源移动用户手机号的装置1通过接口 21与移动运营商网络设备与 系统2连接,获取移动用户手机号与私网映射关系信息;根据I P地址溯源移动用户手机号 的装置1通过接口 22与运营商网络内的NAT设备3连接获取NAT前后的IP信息;根据IP 地址溯源移动用户手机号的装置1通过接口 23与待溯源IP地址4连接,供外部查询。请参阅图3所示,是本发明根据IP地址溯源移动用户手机号的装置处理状态示意 图。根据IP地址溯源移动用户手机号的装置1包括移动手机用户信息采集处理模块 11、FW/NAT信息采集处理模块12、运营商公网网络设备IP信息采集模块13以及关联处理 查询模块14。上述的移动手机用户信息采集处理模块11可以从数据信令采集或CDR话单 获取移动手机号与私网分配IP地址关联信息并进行关联存储,至少包括 手机号 IMSI 开始时间戳 结束时间戳 TEID 源 IP 目标 IP 源端口 目标端口 上层协议类型 手机上网的URL记录上述的FW/NAT信息采集处理模块12可以从防火墙或NAT设备通过Syslog方式获取公私网IP地址信息并进行关联存储,至少包括 开始时间戳 结束时间戳 私网 IP 公网 NAT IP 目标 IP 私网源端口 公网源端口 目标端口上述的运营商公网网络设备IP信息采集模块13可以从移动运营商维护系统中通 过http/ftp的方式获取其外网网络设备的IP信息,至少包括 IP 地址 运营标识 访问地址(http/ftp)上述的关联处理查询模块14可关联上述3个模块中的数据信息并进行数据压缩, 并对外提供查询和北向对接接口,如基于XML方式< ? xml version = “ 1.0" encoding = 〃 UTF-8" ><task id = " 1〃 t ype = " msisdn_locate" emergency = " true" ><src_ip>122. 102. 133. 2</src_ip><dst_ip>202. 102. 133. 2</dst_ip><src_port>5060</src_port><ds t_por t>202.102. 133. 2</ds t_port><digest>http://wap. baidu. com</digest)<starttime>2010-01-1812:00:00</starttime><endtime>2010-01-1812:00:10</endtime><start_record>5</start_record><end_record>15</end_record></task></xml>Type :msisdn_locate 查询 msisdn 号,imsi_locate 查询 imsi 号,ip_loacte 同时
查询msisdn和 imsi号src_ip 外网源IP,即NAT转换后数据包的源IP,是NAT地址池中的某一个dst_ip 外网被访问的服务器的IPsrc_port 外网 FW 的端 口dst_port 外网被访问服务的端口digest 访问外网的URL或者摘要信息,支持模糊匹配starttime 查询该时间(包括该时间)之后上网的用户endtime 查询该时间(包括该时间)之前上网的用户start_record 当前查询结果的起始记录
encLrecord:当前查询结果的结束记录请参阅图3所示,是本发明根据IP地址溯源移动用户手机号的方法的流程图,具 体步骤为A.获得待溯源的IP地址及其待查询的移动用户行为特征;B.利用该IP地址作为索引,通过根据IP地址溯源移动用户手机号的装置1查找 移动运营商提供的所经营的IP地址范围,获得该IP地址对应的网络设备标示;C.通过根据IP地址溯源移动用户手机号的装置1获取移动运营商侧计费或信令 采集的移动用户手机号、移动用户行为特征和它们之间的关联关系;D.通过根据IP地址溯源移动用户手机号的装置1获取移动运营商侧FW/NAT设备 的FW/NAT前后的IP地址关联关系;E、根据该网络设备标示和移动用户行为特征查找得到对应的移动用户手机号;以 及F.上述步骤B到D的信息经根据IP地址溯源移动用户手机号的装置1存储和处 理后,当需要溯源IP地址输入到该根据IP地址溯源移动用户手机号的装置中便可自动完 成上述关联关系及查询,得到移动用户手机号。当外部溯源请求发起时,如步骤A.获得待溯源的IP地址及其待查询的移动用户 行为特征;按照步骤B.利用该IP地址作为索引,通过根据IP地址溯源移动用户手机号的 装置查找移动运营商提供的所经营的IP地址范围,获得该IP地址对应的网络设备标示;由 于IP地址信息跟特定的移动运营商的网络设备有关,因此该装置1为了能够解决查询哪些 设备上的溯源信息,而提供运营商公网网络设备IP信息采集模块13,其接口位置如图2所 示的23。该运营商公网网络设备IP信息采集模块13处理合并来自NAT上分配公网IP信 息并转交给数据存储单元15,并生成网络设备标示。通过该网络设备标示可以找到相关溯源信息的访问路径(如http://关联处理查 询模块IP/网络设备标示.jsp)这时候就可直接通过关联处理查询模块14查询特定的溯 源信息。特定溯源信息包括移动手机号与私网IP的映射关系、FW/NAT前后的IP地址关联 关系。在移动运营商网络内为了获取移动手机号与私网IP的映射关系,通过根据IP地 址溯源移动用户手机号的装置1的移动手机用户信息采集处理模块11 (如图2所示)实现 对GPRS核心网进行分光旁路信令采集,其部署位置(如图2的接口 21)位于移动运营商内 部的GPRS Gn接口,由于GPRS核心网中SGSN和GGSN之间的流量被分成进、出不同方向等 若干股,所以移动手机用户信息采集处理模块11拿到这些流量之后需要先进行数据合成 并过滤GTP-C数据包,提取步骤C中需要的移动手机号、分配的IP地址、行为特征的关联关 系信息并转交给数据存储单元15 (图2所示)。与此同时手机用户信息采集处理模块11拿 到这些流量之后需要先进行数据合成并过滤GTP-U数据包,从中提取移动用户行为特征, 其中包括源端口、源IP、目标IP、目标端口、URL、QQ号、MSN号,并转交给数据存储单元15。由于该装置1采用的是旁路信令采集,无须串接进网络或者改造GGSN设备,无论 网络业务流模型是否变化都因为是旁路而不会对网络造成影响,因此本发明对网络性能基 本影响是最低的,同时由于本发明具备实时采集GTP信令消息,因此在GTP PDP上下文激活 消息发送瞬间就可以获知用户手机号信息,而不用等待PDP上下文去激活消息发送完毕,生成原始CDR记录后才查询用户手机信息,从而达到实时监测性。同时只提取相关消息而 不用存储大量的原始数据,因此投资在存储设备较少,本发明具备透投资最低性。目前由于IPv4的地址空间较少,很多移动运营商在提供互联网接入的同时采用 NAT技术节省IP地址(如小区宽带,移动CMNET等),因此只能跟踪到NAT设备上的公共 IP,需要获取FW/NAT前后的IP地址关联关系,因此该装置1为了能够解决公私网的映射关 系提供FW/NAT信息采集处理模块12 (图2所示),采取如图3步骤D直接从图1中的接口 22位置对所有NAT设备采集相关信息,其记录了 NAT前的IP地址/端口,NAT后的I P地 址/端口及时间,该NAT设备包括防火墙,PNAT设备,WAPGW。相关信息由FW/NAT信息采集 处理模块12处理合并(如图2FW/NAT信息采集处理模块12描述的信息)并转交给数据存 储单元15。上述信息的组合能够给本发明提供唯一定位性。上述步骤B到步骤D的信息经根据IP地址溯源移动用户手机号的装置1存储和 处理后,当需要溯源IP地址和用户行为特征输入到该根据IP地址溯源移动用户手机号的 装置中便可自动根据该IP的网络设备标示查找特定信息得到移动用户手机号。综上所述为本发明整个根据IP地址溯源移动用户手机号的方法,同时还提供一 种根据IP地址溯源移动用户手机号的装置1,通过运营商公网网络设备IP信息采集模块 13采集步骤B所含的信息,即移动运营商NAT设备上提供的所经营的IP地址范围地址,获 得该IP地址对应的网络设备标示如某某省XXNAT设备;通过移动手机用户信息采集处理模 块11采集步骤C所含的信息,即GTP-C中移动用户手机号与私网IP地址关系,从GTP-U从 中提取移动用户行为特征,其中包括源端口、源IP、目标I P、目标端口、URL、QQ号、MSN号, 最终通过合并生成它们之间的关联关系;通过FW/NAT信息采集处理模块12采集步骤D所 含的信息,即NAT设备在做NAT转换时私网IP、公网NAT IP、目标IP、私网源端口、公网源端 口、目标端口信息,以上采集方式为ftp、sftp、scp、syslog、socket、数据库或人工录入,并 存储到数据存储单元15。所述的装置1的移动手机用户信息采集处理模块11、FW/NAT信 息采集处理模块12、运营商公网网络设备IP信息采集模块13可自动处理关联、合并存储步 骤B、C、D的信息,生成XML格式(如上面描述)供关联处理查询模块14使用,同时支持信 息压缩,压缩比率在70% 90%。所述的装置1的关联处理查询模块14通过HTTP/FTP方 式对外部系统提供查询或自动上报功能。装置1还可记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话 号码,目的/源/NAT后端口,URL等,因此该装置还可以用于对上述记录信息进行备份和查 询,装置1还包括特定关联后的溯源信息,具体为IP地址、手机号、IMSI号、时间信息、端口 信息、URL信息和上网行为特征。以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽 然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人 员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰 为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质 对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
权利要求
一种根据IP地址溯源移动用户手机号的方法,其特征在于其包括以下步骤A.获得待溯源的IP地址及其待查询的移动用户行为特征;B.利用该IP地址作为索引,通过根据IP地址溯源移动用户手机号的装置查找移动运营商提供的所经营的IP地址范围,获得该IP地址对应的网络设备标示;C.通过根据IP地址溯源移动用户手机号的装置获取移动运营商侧计费或信令采集的移动用户手机号和移动用户行为特征信息,以及移动用户手机号与移动用户行为特征信息之间的关联关系;D.通过根据IP地址溯源移动用户手机号的装置获取移动运营商FW/NAT设备的FW/NAT前后的IP地址关联关系;E、根据该网络设备标示和该移动用户行为特征查找得到对应的移动用户手机号;以及F.上述步骤B到D的信息经根据IP地址溯源移动用户手机号的装置存储和处理后,当需要溯源IP地址输入到该根据IP地址溯源移动用户手机号的装置中便可自动完成上述关联关系及查询,得到移动用户手机号。
2.根据权利要求1所述的方法,其特征在于所述的步骤B中的移动运营商提供的所 经营的IP地址范围信息是从提供该用户手机号业务的移动运营商的公网IP地址管理系统 或IP地址分配设备获得。
3.根据权利要求2所述的方法,其特征在于,所述的IP地址管理系统包括GGSN、PDSN、 NAT 禾口 WAPGW。
4.根据权利要求1所述的方法,其特征在于所述的步骤C中记录的移动手机号、分配 的IP地址、移动用户行为特征的关联关系,是从提供该移动用户手机号业务的移动运营商 的计费系统、计费网关、信令采集获取。
5.根据权利要求1所述的方法,其特征在于所述的移动用户行为特征包括源端口、源 IP、目标IP、目标端口、URL、QQ号、MSN号。
6.根据权利要求1所述的方法,其特征在于所述的步骤D,Fff/ΝΑΤ前后的IP地址关 联关系是从所有NAT设备获得,其关联关系信息包括NAT前的IP地址/端口、NAT后的IP 地址/端口及时间、所述NAT设备包括防火墙、PNAT设备、WAPGW。
7.一种根据IP地址溯源移动用户手机号的装置,其特征在于其包括手机用户信息采 集处理模块、FW/NAT信息采集处理模块、运营商公网网络设备IP信息采集模块及关联处理 查询模块,该手机用户信息采集处理模块、该FW/NAT信息采集处理模块及该运营商公网网 络设备IP信息采集模块分别通过接口与数据存储单元连接,该关联处理查询模块通过数 据存储单元直接关联处理与查询相关的采集信息。
8.根据权利要求7所述的装置,其特征在于所述运营商公网网络设备IP信息采集模块采集步骤B所含的信息;该手机用户信息采集处理模块采集步骤C所含的信息;该FW/NAT信息采集处理模块采集步骤D所含的信息;上述的采集方式为ftp、sftp、scp、syslog、socket、数据库或人工录入。
9.根据权利要求7所述的装置,其特征在于所述的装置可自动处理关联、合并存储步 骤B、C、D的信息,并生成包括数据库、XML、纯文本不同格式的数据供该关联处理查询模块 使用,同时支持信息压缩,压缩比率在70 % 90 %。
10.根据权利要求7所述的装置,其特征在于所述的装置可通过该关联处理查询模块 供外部查询或自动上报,其查询或自动上报的方式为FTP、SFTP, SCP、HTTP、TOBSERVICE。
11.根据权利要求7所述的装置,其特征在于所述的装置除了提供IP地址溯源外, 还可以用于记录信息,该记录信息可为上网用户的上网时间、用户帐号、互联网地址或者域 名、主叫电话号码,该装置可对上述记录信息备份查询。
12.根据权利要求7所述的装置,其特征在于所述的装置包含特定关联后的溯源信 息,具体为IP地址、手机号、IMSI号、时间信息、端口信息、URL信息和上网行为特征。
全文摘要
本发明是有关于一种根据IP地址溯源移动用户手机号的方法,包括得到需溯源的IP地址;得到该IP地址其他行为特征(如源端口号、URL等);利用该IP地址作为索引,查找移动运营商提供的所经营的IP地址范围,获得该IP地址对应的网络设备标示(如防火墙、GGSN、PDSN设备);根据该网络设备标示和该IP地址的移动用户行为特征查找得到对应的移动用户手机号。本发明还提供一种根据IP地址溯源移动用户手机号的装置,在得到相关手机号信息后,网络管理人员就可以对该手机号对应的用户数据寄存器进行操作,如切断黑客用户的物理通路,以阻断黑客进一步攻击保证网络及其他用户的安全。
文档编号H04L29/06GK101854360SQ201010178570
公开日2010年10月6日 申请日期2010年5月21日 优先权日2010年5月21日
发明者刘长永, 杨满智, 王琼, 金红 申请人:恒安嘉新(北京)科技有限公司