专利名称:一种检测伪造gtp数据的方法和信令监测系统的制作方法
技术领域:
本发明涉及移动通信领域,尤其涉及一种检测伪造GTP(GPRS Timellingprotocol,通用分组无线业务隧道协议)数据的方法和信令监测系统。
背景技术:
GPRS (General Packet Radio Service,通用分组无线业务)网络是基于现有的 GSM(Global System for Mobile Communications,全球移动通信系统)网络实现的,需增 加两类节点SGSN(Serving GPRS Support Node,GPRS 服务支持节点)和 GGSN(Gateway GPRS Support Node,GPRS网关支持节点)。SGSN记录移动台的当前位置信息,并在移动台 和GGSN之间完成移动分组数据的发送和接收。SGSN连接着HLR(Home Location Register, 归属位置寄存器),RNC (Radio Network Controller,无线网络控制器),BSC (Base StationController,基站控制器)和 GGSN。SGSN 与 BSC 之间的接 口为 Gb 接口,SGSN 与 RNC 之间的接口为IuPs接口,SGSN与HLR之间的接口为Gr接口,SGSN与GGSN之间的接口为 Gn接口,GGSN之间的接口为Gp接口。为了提供GPRS漫游业务,营运商各省公司的Gp接口 均配置为互联网IP。虽然有防火墙的保护,但无法防护基于业务层面的黑客攻击,例如针对 GGSN的恶意创建用户连接攻击和步进式踢用户下线攻击,现网还不具备此防御功能。
发明内容
本发明的要解决的技术问题提供一种检测伪造GTP数据的方法和信令监测系统, 识别恶意攻击,增加网络防御功能。为了解决上述问题,本发明提供了一种检测伪造通用分组无线业务隧道协议数据 的方法,包括信令监测系统采集IuPs、Gb、Gr, Gn和Gp接口的信令消息数据,对所述信令消息 数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协 议(GTP)数据。其中,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 是用户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数 据。其中,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建分组数 据协议(PDP)上下文过程的数据时,则如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的通用分组 无线业务服务支持节点(SGSN)发起,查找是否有所述Gb或IuPs接口的激活PDP上下文过 程,如果没有,则所述信令消息数据是伪造GTP数据。
其中,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建PDP上 下文过程的数据时,且所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起,则如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监测 系统所属运营区域的号码,则所述信令消息数据是伪造GTP数据;如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监测 系统所属运营区域的号码,且,所述Gr接口不存在对应的位置更新过程,和/或,该位置更 新过程的SGSN与该创建PDP上下文过程的SGSN不一致,则所述信令消息数据是伪造GTP 数据。其中,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是删除PDP上 下文过程的数据,则如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起, 则查找是否有所述Gb或IuPs接口的去激活PDP上下文过程,如果没有,则判断所述信令消 息数据是伪造GTP数据。其中,所述方法还包括所述信令监测系统判断所述信令消息数据为伪造GTP数据时,发送伪造GTP行为 信息给GGSN。本发明还提供一种信令监测系统,包括所述信令监测系统用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息数据,对所述 信令消息数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业 务隧道协议(GTP)数据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 是用户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数 据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建分组数 据协议(PDP)上下文过程的数据时,则如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起, 查找是否有所述Gb或IuPs接口的激活PDP上下文过程,如果没有,则所述信令消息数据是 伪造GTP数据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建PDP上下文过程的数据时,且所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起,则如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监测 系统所属运营区域的号码,则所述信令消息数据是伪造GTP数据;如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监测 系统所属运营区域的号码,且,所述Gr接口不存在对应的位置更新过程,和/或,该位置更 新过程的SGSN与该创建PDP上下文过程的SGSN不一致,则所述信令消息数据是伪造GTP 数据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是删除PDP上 下文过程的数据时,则如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起, 则查找是否有所述Gb或IuPs接口的去激活PDP上下文过程,如果没有,则判断所述信令消 息数据是伪造GTP数据。其中,所述信令监测系统还用于判断所述信令消息数据为伪造GTP数据时,发送 伪造GTP行为信息给GGSN。本发明通过IuPs,Gb,Gr,Gn和Gp接口监测,识别本运营区域网络里伪造的GTP数 据,发现恶意攻击的行为,为GRPS安全领域的检测提供了可靠的手段,填补了该领域的空白。
图1是GPRS网络框架图;图2是本发明检测伪造GTP数据示意图;图3是信令消息数据示意图。
具体实施例方式以下结合附图,对本发明的具体实施进行较为详细的说明。为了检测出基于业务层面的恶意攻击,本发明采用信令采集的方式从IuPs,Gb, Gr, Gn和Gp接口的信令链路上采集信令消息数据,并对信令消息数据进行整理、分析和统 计,通过分析结果可以识别伪造的GTP数据,从而发现存在恶意攻击行为,并为阻断这些行 为提供依据。本发明具体步骤如下一 .信令监测系统采集IuPs、Gb、Gr、Gn和Gp接口的信令消息数据;二 .对所述信令消息数据进行分析;三.根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协 议(GTP)数据,判断所述信令消息数据为伪造GTP数据时,发送伪造GTP行为信息给GGSN, 由GGSN来决定是否阻断。本发明所涉及的协议包括RANAP(Radio Access Network ApplicationPart,无线接入网应用部分),NS OVER IP(NS OVER IP, IP上的网络业务),GTP(GPRS Tunneling Protocol, GPRS 隧道协议),GPRS MAP(GPRSMobile Application Part, GPRS 移动应用部 分)。本发明设计的方法的应用环境如图1所示,总体流程如图2所示,流程的实施步骤包 括步骤201,监测IuPs,Gb, Gr, Gn和Gp接口的链路,采集信令消息数据。接口类型 有 E1,GE,FE 等。步骤202,分析在Gn和Gp接口采集的信令消息数据,GTP的信令消息数据里会包 含两层IP地址和端口,第一层是SGSN与GGSN的地址和端口号,第二层是用户和访问网站 的地址和端口。分析信令消息数据里第二层协议和端口号,看第二层协议是不是用户数据 报协议(User Datagram Protocol,UDP)并且对应的端口号是不是为预设的端口号,此处预 设端口号指3386或2152,如果预设端口号变更,仍可应用本发明A、判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协 议是用户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数 据。该情况是GTP in GTP的情况,如图3所示。该情况下,是由于黑客通过某个APN(接 入点名称)上网后,把伪装报文封装到第二层数据里,那么这个数据从无线网到核心网,再 从Gn接口到了 GGSN以后,GGSN把第二层IP地址和端口解析出来后是要从Gi接口转发出 去的。但是发现第二层是GTP的数据,结果又转到其他的GGSN去,这样黑客伪造报文就成 功了。B.如果不是,即第二层协议不是用户数据报协议或对应的端口号非预设的端口 号,对不同过程进行相应的分析Bi. Create PDP Context (创建分组数据协议上下文)的过程,即所述信令消息数 据是创建PDP上下文过程的数据时a)如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发 起,运营区域以省划分时,指所述创建PDP上下文过程由本省的SGSN的发起,查找是否有Gb 或IuPs接口的Activate PDP context (激活PDP上下文)过程,如果没有这个过程,那么 就判断是虚假的Create PDP Context过程,所述信令消息数据是伪造GTP数据。b)如果所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的SGSN 发起,运营区域以省划分时,指所述创建PDP上下文过程由外省的SGSN的发起,那么判断 该 Create PDP Context 过程里用户终端的 MSISDN(Mobile Subscriber International ISDN/PSTN number,移动台国际ISDN号码)号码bl)如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监 测系统所属运营区域的号码(运营区域以省划分时,指外省的号码),那么就判断是虚假的 Create PDP context过程,该信令消息数据为伪造GTP数据。因为外省的用户不可能直接 访问本省的GGSN。b2)如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监 测系统所属运营区域的号码(运营区域以省划分时,指本省的号码),则查找Gr接口是否 有对应的位置更新过程,并且要判断该位置更新过程的SGSN与Create PDP context过程 里SGSN是否一致,如果不存在对应的位置更新过程,或者位置更新过程的SGSN与该CreatePDP context过程里的SGSN不一致,则判断是虚假的Create PDP context过程,该信令消 息数据为伪造GTP数据。B2. Delete PDP context (删除 PDP 上下文)过程如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发 起(运营区域以省划分时,指由本省的SGSN发起),则查找是否有Gb或IuPs接口的 Deactivate PDP context (去激活PDP上下文)过程,如果没有,那么就判断是虚假的 Delete PDP context过程,该信令消息数据为伪造GTP数据。步骤203,发送疑似伪造GTP行为的记录给GGSN,由GGSN决定是否阻断,如果GGSN 认为需要阻断,那么根据就可以直接对这个伪造的GTP过程发起Delete PDP context的操 作。上述实施例中,运营区域也可以根据需要按其他方式划分,不影响本发明的实施。本发明通过IuPs,Gb, Gr, Gn和Gp接口监测,识别本省网络里伪造的GTP数据,发 现恶意攻击的行为,为GRPS安全领域的检测提供了可靠的手段,填补了该领域的空白。本发明还提供一种信令监测系统,包括所述信令监测系统用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息数据,对所述 信令消息数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业 务隧道协议(GTP)数据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 是用户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数 据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建分组数 据协议(PDP)上下文过程的数据时,则如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起, 查找是否有所述Gb或IuPs接口的激活PDP上下文过程,如果没有,则所述信令消息数据是 伪造GTP数据。其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建PDP上 下文过程的数据时,且所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的 SGSN发起,则如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监测 系统所属运营区域的号码,则所述信令消息数据是伪造GTP数据;如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监测 系统所属运营区域的号码,且,所述Gr接口不存在对应的位置更新过程,和/或,该位置更 新过程的SGSN与该创建PDP上下文过程的SGSN不一致,则所述信令消息数据是伪造GTP 数据。
其中,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议 不是用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是删除PDP上 下文过程的数据时,则如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起, 则查找是否有所述Gb或IuPs接口的去激活PDP上下文过程,如果没有,则判断所述信令消 息数据是伪造GTP数据。其中,所述信令监测系统还用于判断所述信令消息数据为伪造GTP数据时,发送 伪造GTP行为信息给GGSN。应当理解的是,尽管上面结合附图对本发明实施方法进行了详细描述,但是本方 法并不局限于上述的具体实施方式
,也不局限于IuPs,Gb, Gr, Gn和Gp接口的业务种类,上 述的具体实施方式
仅仅是示意性的,而不是限制性的,本领域的技术人员在本发明方法的 启示下,在不脱离本发明方法宗旨和权利要求所保护的范围情况下,还可以作出很多变形, 这些变形均应属于本发明方法的专利保护范围之内。
权利要求
一种检测伪造通用分组无线业务隧道协议数据的方法,其特征在于,包括信令监测系统采集IuPs、Gb、Gr、Gn和Gp接口的信令消息数据,对所述信令消息数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协议(GTP)数据。
2.如权利要求1所述的方法,其特征在于,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议是用 户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数据。
3.如权利要求1所述的方法,其特征在于,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建分组数据协 议(PDP)上下文过程的数据时,则如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的通用分组无线 业务服务支持节点(SGSN)发起,查找是否有所述Gb或IuPs接口的激活PDP上下文过程, 如果没有,则所述信令消息数据是伪造GTP数据。
4.如权利要求1所述的方法,其特征在于,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建PDP上下文 过程的数据时,且所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的SGSN 发起,则如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监测系统 所属运营区域的号码,则所述信令消息数据是伪造GTP数据;如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监测系统 所属运营区域的号码,且,所述Gr接口不存在对应的位置更新过程,和/或,该位置更新过 程的SGSN与该创建PDP上下文过程的SGSN不一致,则所述信令消息数据是伪造GTP数据。
5.如权利要求1所述的方法,其特征在于,对所述信令消息数据进行分析包括判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是删除PDP上下文 过程的数据,则如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起,则查 找是否有所述Gb或IuPs接口的去激活PDP上下文过程,如果没有,则判断所述信令消息数 据是伪造GTP数据。
6.如权利要求1至5任一所述的方法,其特征在于,所述方法还包括所述信令监测系统判断所述信令消息数据为伪造GTP数据时,发送伪造GTP行为信息 给 GGSN。
7.一种信令监测系统,其特征在于,包括所述信令监测系统用于采集IuPS、Gb、Gr、Gn和Gp接口的信令消息数据,对所述信令消息数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧 道协议(GTP)数据。
8.如权利要求7所述的系统,其特征在于,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议是用 户数据报协议且对应的端口号为预设的端口号,则所述信令消息数据为伪造GTP数据。
9.如权利要求7所述的系统,其特征在于,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建分组数据协 议(PDP)上下文过程的数据时,则如果所述创建PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起,查找 是否有所述Gb或IuPs接口的激活PDP上下文过程,如果没有,则所述信令消息数据是伪造 GTP数据。
10.如权利要求7所述的系统,其特征在于,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是创建PDP上下文 过程的数据时,且所述创建PDP上下文过程由非所述信令监测系统所属运营区域内的SGSN 发起,则如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码非所述信令监测系统 所属运营区域的号码,则所述信令消息数据是伪造GTP数据;如果该创建PDP上下文过程的用户终端的移动台国际ISDN号码为所述信令监测系统 所属运营区域的号码,且,所述Gr接口不存在对应的位置更新过程,和/或,该位置更新过 程的SGSN与该创建PDP上下文过程的SGSN不一致,则所述信令消息数据是伪造GTP数据。
11.如权利要求7所述的系统,其特征在于,所述信令监测系统是用于判断所述Gn和Gp接口的信令消息数据的第二层协议和端口号,如果第二层协议不是 用户数据报协议或对应的端口号非预设的端口号,且所述信令消息数据是删除PDP上下文 过程的数据时,则如果所述删除PDP上下文过程由所述信令监测系统所属运营区域内的SGSN发起,则查 找是否有所述Gb或IuPs接口的去激活PDP上下文过程,如果没有,则判断所述信令消息数 据是伪造GTP数据。
12.如权利要求7至11任一所述的系统,其特征在于,所述信令监测系统还用于判断所 述信令消息数据为伪造GTP数据时,发送伪造GTP行为信息给GGSN。
全文摘要
本发明提供了一种检测伪造通用分组无线业务隧道协议数据的方法,包括信令监测系统采集IuPs、Gb、Gr、Gn和Gp接口的信令消息数据,对所述信令消息数据进行分析,根据分析结果判断所述信令消息数据是否为伪造通用分组无线业务隧道协议(GTP)数据。本发明还提供一种信令监测系统。本发明通过IuPs,Gb,Gr,Gn和Gp接口监测,识别本运营区域网络里伪造的GTP数据,发现恶意攻击的行为,为GRPS安全领域的检测提供了可靠的手段,填补了该领域的空白。
文档编号H04W12/12GK101888635SQ201010222768
公开日2010年11月17日 申请日期2010年6月30日 优先权日2010年6月30日
发明者占治国 申请人:中兴通讯股份有限公司