专利名称:检测wap恶意订购的系统和方法
技术领域:
本发明涉及应用无线应用协议(WAP,Wireless Application Protocol)的订购技术,特别涉及检测WAP恶意订购的系统和方法。
背景技术:
在移动通信网络中,服务提供商(SP,Service Provider)通过运营商的网络为移动用户提供了许多基于WAP/WEB的增值业务。移动用户可以通过WAP订购这些增值业务。 然后,运营商根据来自移动信息服务中心(MISC,Mobile Information Service Center)或可信任SP的增值业务订购信息以及移动用户使用增值业务的记录对移动用户进行计费。 其中,MISC主要用于进行SP管理、服务管理、用户管理、订购管理、计费管理、统计分析等, 是运营商在新的网络环境下为客户提供数据业务服务的核心管理平台。具体而言,当移动终端接入通用分组无线服务技术(GPRS,General Packet Radio Service)分组网络后,将通过网关GPRS支持节点(GGSN,Gateway GPRS Support Node)上的远禾呈用户拨号认证系统(Radius,Remote Authentication Dial In User Service)客户端向WAP网关上的Radius服务器发送计费请求/开始(accounting-request/start)消息, 在这种情况下,WAP网关将存储该移动终端的移动台国际ISDN(MSISDN)号码及其因特网协议(IPJnternet Protocol)地址。然后,当用户通过该移动终端接入某个增值业务时,WAP 网关将来自该移动终端的订购/访问请求消息(order/access request)转发至MISC或可信任SP。MISC或可信任SP将根据所接收的订购/访问请求消息的IP地址对该订购/访问请求消息进行验证,如果所接收的订购/访问请求消息是来自WAP网关的,则该订购/访问请求消息将会被MISC或可信任SP接受。MISC或可信任SP在收到WAP网关发来的订购请求后,生成订购关系以及代计费信息。但是,上述增值业务的订购和使用过程可能会受到某些恶意的SP或攻击者的攻击。例如,某些恶意SP或攻击者将在短时间内通过WAP网关向MISC或可信任SP发送很多假冒的增值业务订购请求。例如,某些恶意的SP或攻击者可以模拟其他移动用户,假冒这些移动用户订购增值业务或通过篡改增值业务订购请求中的MSISDN号码来制造增值业务的使用记录。总之,目前可能出现的WAP恶意订购可能包括如下几种情形1)攻击者伪造订购请求消息,使得合法用户被过计费(Over Billing)。2)攻击者以增加某SP的收入为目的,篡改订购请求消息中的SP标识。3)攻击者订购了业务,但是删除或破坏计费消息,导致攻击者接受了服务却没有被计费。为了描述方便,将这种恶意订购称为绕过计费的订购。
发明内容
有鉴于此,本发明的实施例提供了检测WAP恶意订购的系统和方法,以有效地检测WAP恶意订购。本发明实施例提供的检测WAP恶意订购的系统包括
订购消息监测模块101,用于监测由WAP网关向MISC提交的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识;用户流量监测模块102,用于监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识;恶意订购分析和报警模块103,用于检查订购消息监测模块101获取的移动用户的标识与用户流量监测模块102获取的移动用户的标识是否一致,如果不一致,则判定与不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。本发明另一实施例提供的检测无线应用协议WAP恶意订购的系统包括订购监测单元301,用于监测由移动用户提交的增值业务订购请求;计费信息监测模块302,用于收集请求订购增值业务的移动用户的代计费信息;恶意订购分析和报警模块303,501,用于判断订购监测单元301监测到的请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断该请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。本发明实施例提供的检测WAP恶意订购的方法包括监测由WAP网关向MISC提交的增值业务订购请求消息,并获取第一移动用户标识,所述第一移动用户标识为与该由WAP网关向MISC提交的增值业务订购请求消息对应的移动用户的标识;监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取第二移动用户标识,所述第二移动用户标识为与该由GGSN发送给WAP网关的增值业务订购请求消息对应的移动用户的标识;以及检查所述第一移动用户标识是否和所述第二移动用户标识一致,如果不一致,则判定与该不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求消息。本发明另一实施例提供的检测WAP恶意订购的方法包括监测由移动用户提交的增值业务订购请求消息;收集请求订购增值业务的移动用户的代计费信息;以及判断监测到的请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,属于绕过计费的WAP恶意订购。由此可以看出,本发明实施例所述的检测WAP恶意订购的系统和方法可以有效的检测并且防止WAP恶意订购行为,从而保护移动用户的合法权益。
图1为本发明实施例1所述的检测WAP恶意订购系统的内部结构示意图;图2为本发明实施例1所述的检测WAP恶意订购方法流程图;图3为本发明实施例2所述的检测WAP恶意订购系统的内部结构示意图;图4为本发明实施例2所述的检测WAP恶意订购方法流程图;图5为本发明实施例3和4所述的检测WAP恶意订购系统的内部结构示意图;图6为本发明实施例3所述的检测WAP恶意订购方法流程图7为本发明实施例4所述的检测WAP恶意订购方法流程图;图8为本发明实施例4所述的检测WAP恶意订购系统的内部结构示意图。
具体实施例方式为了解决WAP恶意订购的问题,本发明的实施例提供了检测WAP恶意订购的系统和方法,可以对与增值业务订购信息和/或计费相关信息进行监测和分析,从而完成对WAP 恶意订购的检测,有效地防止WAP恶意订购行为。下面将结合具体的实施例以及附图对本发明的具体实施方式
进行详细说明。实施例1为了检测攻击者伪造订购请求消息的WAP恶意订购行为,本实施例公开了一种检测WAP恶意订购的系统。本实施例所述的检测WAP恶意订购系统的内部结构如图1所示, 主要包括订购消息监测模块101,用于监测由WAP网关向MISC提交的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识;其中,移动用户的标识例如为如前所述移动终端的移动台国际ISDN号码(MSISDN)或国际移动用户标识(IMSI, International Mobile Subscriber Identity)等;用户流量监测模块102,用于监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的的移动用户的标识;恶意订购分析和报警模块103,用于检查订购消息监测模块101获取的移动用户的标识是否和用户流量监测模块102获取的移动用户的标识一致,如果不一致,则判定与不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。在本实施例中,恶意订购分析和报警模块103检查订购消息监测模块101获取的移动用户的标识是否和用户流量监测模块102获取的移动用户的标识一致的具体实现方式有多种。例如订购消息监测模块101和用户流量监测模块102可以按预先设定的时间段分段进行监测。具体的,订购消息监测模块101在预先设定的时间段内监测由WAP网关向 MISC提交的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并将在该时间段内获取的移动用户的标识上报给恶意订购分析和报警模块103。用户流量监测模块102在该时间段内监测由GGSN发送给WAP网关的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并将在该时间段内获取的移动用户的标识上报给恶意订购分析和报警模块103。恶意订购分析和报警模块103将订购消息监测模块101上报的移动用户的标识与用户流量监测模块102上报的移动用户的标识进行对比,如果发现特殊移动用户的标识,则认为与该特殊移动用户的标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。优选的,该特殊移动用户的标识属于由订购消息监测模块101上报的移动用户的标识且不属于由用户流量监测模块102上报的移动用户的标识。因为攻击者伪造的增值业务订购请求出现在WAP网关向MISC提交的增值业务订购请求消息中的可能性更大。或者,该特殊移动用户的标识属于由用户流量监测模块102 上报的移动用户的标识且不属于由订购消息监测模块101上报的移动用户的标识。通过对比移动用户的标识,可以判断是否有攻击者伪造的增值业务订购请求,从而避免了对于用户的过计费,保证了网络安全,提高了用户的使用感受。并且将移动用户的标识发送给恶意订购分析和报警模块103,减少了信息的传递量,若该信息通过网络传递则可以减轻网络的负载,若该信息为内部传递信息,可以减少整个装置的工作负荷。例如,订购消息监测模块101用于监测由WAP网关向MISC提交的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并按序将所述获取的移动用户的标识发送给恶意订购分析和报警模块103。用户流量监测模块102,用于监测由 GGSN发送给WAP网关的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并按序将所述获取的移动用户的标识发送给恶意订购分析和报警模块103。 恶意订购分析和报警模块103用于将订购消息监测模块101发送的移动用户的标识序列和用户流量监测模块102发送的移动用户的标识序列进行对比,如果发现错序移动用户的标识,则认为与该错序移动用户的标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。例如,订购消息监测模块101用于监测由WAP网关向MISC提交的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并将所述获取的移动用户的标识和获取时间发送给恶意订购分析和报警模块103。用户流量监测模块102,用于监测由GGSN发送给WAP网关的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识,并将所述获取的移动用户的标识和获取时间发送给恶意订购分析和报警模块103。恶意订购分析和报警模块103用于将订购消息监测模块101发送的移动用户的标识和用户流量监测模块102发送的移动用户的标识按照对应的时间进行比较,如果发现由订购消息监测模块101发送的移动用户的标识不同于用户流量监测模块102发送的移动用户的标识的时刻,则认为与该时刻对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。结合上述示例,本发明实施例提供的检测WAP恶意订购的系统中恶意订购分析和报警模块103还可以进一步对比增值业务订购请求消息中的SP标识。此时,订购消息监测模块101用于监测由WAP网关向MISC提交的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识和SP标识,并将获取的移动用户的标识和SP标识上报给恶意订购分析和报警模块103 ;用户流量监测模块102用于监测由GGSN发送给WAP网关的增值业务订购请求消息,获取与该增值业务订购请求消息对应的移动用户的标识和SP 标识,并将获取的移动用户的标识以及SP标识上报给恶意订购分析和报警模块103。恶意订购分析和报警模块103将订购消息监测模块101上报的移动用户的标识与用户流量监测模块102上报的移动用户的标识进行对比,若由订购消息监测模块101上报的一移动用户的标识不在由用户流量监测模块102上报的移动用户的标识中,则认为与该移动用户的标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求;若由订购消息监测模块101上报的一移动用户的标识在由用户流量监测模块102上报的移动用户的标识中, 则进一步判断由订购消息监测模块101上报的该移动用户的标识对应的SP标识和由用户流量监测模块102上报的该移动用户的标识对应的SP标识是否一致,如果不一致,则认为与该移动用户的标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。由此,可以进一步的提高网络的安全性能,监测出由攻击者伪造的更换SP的增值业务订购请求,更好的避免用户被过计费。
进一步的,还可以对比增值业务订购请求消息的其他内容,此时,订购消息监测模块101和用户流量监测模块102监测增值业务订购请求消息时,除了获取请求订购增值业务的移动用户的标识、SP标识之外,还将进一步获取该增值业务订购请求中的其他内容,并上报给恶意订购分析和报警模块103。恶意订购分析和报警模块103首先将订购消息监测模块101上报的移动用户的标识与用户流量监测模块102上报的移动用户的标识进行对比,排除部分攻击者伪造的增值业务订购请求;然后,再将相同移动用户标识对应的SP标识进行对比,再排除一部分攻击者伪造的增值业务订购请求;最后,再将对应相同移动用户标识以及SP标识的增值业务订购请求的内容进行对比,如果内容不一致,则认为与该移动用户的标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。也就是说, 只有移动用户的标识、SP标识以及增值业务订购请求的内容完全相同的订购消息才是合法的订购消息。为了监测由WAP网关向MISC提交的增值业务订购请求消息,可以直接将订购消息监测模块101部署在WAP网关和MISC系统之间以直接检测由WAP网关向MISC提交的增值业务订购请求消息,或者在WAP网关和MISC系统之间部署一个用于采集由WAP网关向MISC 提交的增值业务订购请求消息的信息采集点,此时,上述订购消息监测模块101可以部署在一个独立的服务器上。类似地,为了监测由GGSN发送给WAP网关的增值业务订购请求消息,可以直接将用户流量监测模块102部署在GPRS系统和WAP网关之间以直接监测由GGSN发送给WAP网关的增值业务订购请求消息,或者在GPRS系统和WAP网关之间部署一个用于采集由GGSN 发送给WAP网关的增值业务订购请求消息的信息采集点,此时,上述用户流量监测模块102 可以部署在一个独立的服务器上。恶意订购分析和报警模块103可以直接部署在一个独立的服务器上。需要说明的是,在本实施例中,订购消息监测模块101、用户流量监测模块102以及恶意订购分析和报警模块103可以部署在相同或者不同的硬件设备上。对应上述检测WAP恶意订购的系统,本实施例还提供了一种检测WAP恶意订购的方法,如图2所示主要包括以下步骤步骤201,监测由WAP网关向MISC提交的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识,也即请求订购增值业务的移动用户的标识;步骤202,监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识,也即请求订购增值业务的移动用户的标识;需要说明的是,上述步骤201和202并无执行顺序上的限制,也即既可以先执行步骤201,也可以先执行步骤202,又或者同时执行上述步骤201和202 ;步骤203,检查步骤201和步骤202获取的标识是否一致,也即检查与由WAP网关向MISC提交的增值业务订购请求消息对应的移动用户的标识是否和与由GGSN发送给WAP 网关的增值业务订购请求消息对应的的移动用户的标识一致,如果不一致,则判定与不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。此时,可以进一步产生告警信息提醒运营商注意此WAP恶意订购行为。相反地,在上述步骤203,如果一致,则可以初步判定该由WAP网关向MISC提交的增值业务订购请求不是攻击者伪造的增值业务订购请求。
由此可以看出,上述检测WAP恶意订购的系统和方法通过监测与由WAP网关向 MISC提交的增值业务订购请求消息,同时监测由GGSN发送给WAP网关的增值业务订购请求消息来判断由WAP网关向MISC提交的增值业务订购请求消息对应的移动用户是否真的提交了增值业务请求,从而可以有效地检测出攻击者伪造订购请求消息的WAP恶意订购行为,从而保护移动用户的合法权益。本实施例中,步骤203的具体实现可以参照如图1所示的监测WAP恶意订购的系统中恶意订购分析和报警模块103工作方法的描述。相应的,步骤201、202也可以参照图 1所示实施例中的描述。从上述实施例1可以看出,上述两种技术方案均是通过监测由WAP网关向MISC提交的增值业务订购请求消息,然后检测该业务订购请求消息对应的移动用户是否提交了增值业务订购请求来检测由WAP网关向MISC提交的增值业务订购请求消息是否为攻击者伪造的增值业务订购消息的。实施例2为了检测绕过计费的WAP恶意订购行为,本发明的实施例提供了又一种检测WAP 恶意订购的系统。图3显示了本实施例所述的检测WAP恶意订购系统的内部结构示意图, 如图3所示,该系统主要包括订购监测单元301,用于监测由移动用户提交的增值业务订购请求;计费信息监测模块302,用于收集请求订购增值业务的移动用户的代计费信息;恶意订购分析和报警模块303,用于判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。具体而言,在本实施例中,订购监测单元301在监测由移动用户提交的增值业务订购请求时需要进一步获取所监测增值业务订购请求对应的移动用户的标识,这样恶意订购分析和报警模块303将根据订购监测单元301获取的移动用户的标识检查在计费信息监测模块302收集的代计费信息中是否该移动用户的标识所对应的代计费信息。其中,代计费信息至少包括移动用户的标识(例如MSISDN号或IMSI号),还可以包括SP标识、服务标识、订购服务的时间段、计费类型(例如包月、按条数等)等的一种或者多种。参照图1所示实施例,本实施例中恶意订购分析和报警模块303也可以有多种实现方式,例如比较一段时间内的移动用户的标识,或者比较移动用户的标识的序列,或者比较移动用户的标识以及获取的时间。进一步的,除了比较移动用户的标识,还可以进一步的比较,SP标记和/或增值业务订购请求中的其他内容,例如具体的服务内容等。由此,可以更准确的判断代计费信息是否被删除或者修改。在恶意订购分析和报警模块303判定属于绕过计费的WAP恶意订购时,该恶意订购分析和报警模块303可以产生告警信息提醒运营商注意此WAP恶意订购行为,并可以进一步请求MISC生成代计费信息或取消增值业务订购。在本实施例中,订购监测单元301可以包括订购消息监测模块101用以监测由 WAP网关向MISC提交的增值业务订购请求消息的方式监测由移动用户提交的增值业务订购请求,此时,可以直接将订购消息监测模块101部署在WAP网关和MISC系统之间以直接检测由WAP网关向MISC提交的增值业务订购请,或者在WAP网关和MISC系统之间部署一个用于采集由WAP网关向MISC提交的增值业务订购请求的信息采集点,此时,订购消息监测模块101可以部署在一个独立的服务器上。或者,在本实施例中,订购监测单元301可以包括用户流量监测模块102用以监测由GGSN发送给WAP网关的增值业务订购请求消息的方式监测由移动用户提交的增值业务订购请求,此时,可以直接将用户流量监测模块102部署在GPRS系统和WAP网关之间以直接监测由GGSN发送给WAP网关的增值业务订购请求消息,或者在GPRS系统和WAP网关之间部署一个用于采集由GGSN发送给WAP网关的增值业务订购请求消息的信息采集点,此时,用户流量监测模块102可以部署在一个独立的服务器上。另外,为了收集请求订购增值业务的移动用户的代计费信息,可以直接将计费信息监测模块302部署在MISC中以直接收集请求订购增值业务的移动用户的代计费信息,或者在MISC中部署一个用于收集请求订购增值业务的移动用户的代计费信息的信息采集点,此时,计费信息监测模块302可以部署在一个独立的服务器上。恶意订购分析和报警模块303可以直接部署在一个独立的服务器上。需要说明的是,在本实施例中,订购监测单元301、计费信息监测模块302以及恶意订购分析和报警模块303可以部署在相同或者不同的服务器上。对应上述检测WAP恶意订购的系统,本实施例还提供了一种检测WAP恶意订购的方法,如图4所示主要包括以下步骤步骤401,监测由移动用户提交的增值业务订购请求消息;如前所述,在本步骤中,可以通过监测由WAP网关向MISC提交的增值业务订购请求消息的方式监测由移动用户提交的增值业务订购请求消息,还可以通过监测由GGSN发送给WAP网关的增值业务订购请求消息的方式监测由移动用户提交的增值业务订购请求消息;步骤402,收集请求订购增值业务的移动用户的代计费信息;步骤403,判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判定请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。在这种情况下,上述方法还可以进一步包括产生告警信息提醒运营商注意此WAP恶意订购行为,还可以进一步请求MISC生成代计费信息或取消增值业务订购的步骤。步骤403的具体实现可以参照图3和图1所示的检测WAP恶意订购的系统。由此可以看出,上述检测WAP恶意订购的系统和方法通过监测与由WAP网关向MISC提交的增值业务订购请求消息,收集代计费信息,以及判断请求订购增值业务的移动用户是否有相应的代计费信息来判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,从而可以有效地检测出绕过计费的WAP恶意订购行为,保护移动用户的合法权益。实施例3为了同时检测攻击者伪造订购请求消息以及绕过计费的WAP恶意订购行为,本实施例公开了一种检测WAP恶意订购的系统将上述实施例1和实施例2相结合,也即同时检测增值业务订购请求是否为攻击者伪造的增值业务订购请求以及增值业务订购请求是否为绕过计费的WAP恶意订购行为。本实施例所述的检测WAP恶意订购系统的内部结构示意图也如图5所示,主要包括订购消息监测模块101,用于监测由WAP网关向MISC提交的增值业务订购请求,并获取与该增值业务订购请求对应的移动用户的标识;其中,移动用户的标识例如为移动终端的MSISDN或IMSI等;用户流量监测模块102,用于监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取与该增值业务订购请求对应的移动用户的标识;计费信息监测模块302,用于收集请求订购增值业务的移动用户的代计费信息; 其中,代计费信息中至少包括移动用户的标识;恶意订购分析和报警模块501,用于检查订购消息监测模块101获取的移动用户的标识是否和用户流量监测模块102获取的移动用户的标识一致,如果不一致,则判定不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求;如果一致,则进一步判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有, 则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。具体而言,在本实施例中,恶意订购分析和报警模块501将根据订购消息监测模块101或用户流量监测模块102获取的移动用户的标识检查在计费信息监测模块302收集的代计费信息中是否该移动用户的标识所对应的代计费信息。此外,如实施例1所述,在本实施例中,订购消息监测模块101和用户流量监测模块102可以按预先设定的时间段分段进行监测,并且除了获取增值业务订购请求消息对应的移动用户标识之外还可以进一步获取SP标识和/或增值业务订购请求的其他内容。恶意订购分析和报警模块501可以按预先设定的时间段分段进行判断,并且在对比订购消息监测模块101和用户流量监测模块102上报的信息时,除了对比移动用户的标识之外,还可以进一步SP标识和/或增值业务订购请求的其他内容。需要说明的是,恶意订购分析和报警模块501先判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求,后判断增值业务订购是否为属于绕过计费的WAP恶意订购只是一个示例。在实际应用中,并不限制这两个过程的执行顺序,也即恶意订购分析和报警模块501可以先执行判断增值业务订购是否为属于绕过计费的WAP恶意订购,而后判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求;或者还可以并行执行上述两个过程。在检测到WAP恶意订购行为后,恶意订购分析和报警模块可以发出告警信号提醒运营商注意,特别地,在发现绕过计费的WAP恶意订购行为后,还可以进一步请求MISC生成代计费信息或取消增值业务的订购。如实施例1和2中所述,可以直接将订购消息监测模块101部署在WAP网关和MISC 系统之间,或者在WAP网关和MISC系统之间部署一个用于采集由WAP网关向MISC提交的增值业务订购请求的信息采集点,此时,订购消息监测模块101可以部署在一个独立的服务器上。可以直接将用户流量监测模块102部署在GPRS系统和WAP网关之间,或者在GPRS 系统和WAP网关之间部署一个用于监测由GGSN发送给WAP网关的增值业务订购请求消息的信息采集点,此时,用户流量监测模块102可以部署在一个独立的服务器上。
另外,还可以直接将计费信息监测模块302部署在MISC中,或者在MISC中部署一个用于收集请求订购增值业务的移动用户的代计费信息的信息采集点,此时,计费信息监测模块302可以部署在一个独立的服务器上。恶意订购分析和报警模块501则可以直接部署在一个独立的服务器上。需要说明的是,在本实施例中,订购消息监测模块101、用户流量监测模块102、计费信息监测模块302以及恶意订购分析和报警模块501可以部署在相同或者不同的服务器上。对应上述检测WAP恶意订购的系统,本实施例还提供了一种检测WAP恶意订购的方法,如图6所示主要包括以下步骤步骤601,监测由WAP网关向MISC提交的增值业务订购请求消息,并获取该增值业务订购请求消息对应的移动用户的标识,也即获取订购增值业务的移动用户的标识;步骤602,监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取该增值业务订购请求消息对应的移动用户的标识,也即获取请求订购增值业务的移动用户的标识;需要说明的是,上述步骤601和602并无执行顺序上的限制,也即既可以先执行步骤801,也可以先执行步骤602,还可以同时执行步骤601和602 ;步骤603,检查步骤601和步骤602获取的标识是否一致,也即检查与由WAP网关向MISC提交的增值业务订购请求消息对应的移动用户的标识是否和与由GGSN发送给WAP网关的增值业务订购请求消息对应的的移动用户的标识一致,如果不一致,则执行步骤604 ;如果一致,则执行步骤605 ;步骤604,判定不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求;此时,可以进一步产生告警信息提醒运营商注意此WAP恶意订购行为;步骤605,收集请求订购增值业务的移动用户的代计费信息;步骤606,判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。在这种情况下,上述方法还可以进一步包括请求MISC生成代计费信息或取消增值业务订购的步骤。需要说明的是,上述方法中,先判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求的过程(步骤601至步骤604),后执行判断增值业务订购是否为属于绕过计费的WAP恶意订购的过程(步骤605至步骤606)只是一个示例。在实际应用中,并不限制这两个过程的执行顺序,也即可以先执行判断增值业务订购是否为属于绕过计费的WAP恶意订购的过程(步骤605至步骤606),而后执行判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求的过程(步骤601至步骤604);或者并行执行上述两个过程。上述步骤具体的实现可以参照实施例1中的描述。由此可以看出,上述检测WAP恶意订购的系统和方法可以有效地检测出攻击者伪造订购请求消息的WAP恶意订购行为以及绕过计费的WAP恶意订购行为,从而保障移动用户的合法权益。
上述实施例3是首先通过监测由WAP网关向MISC提交的增值业务订购请求消息, 检测该业务订购请求消息对应的移动用户是否提交了增值业务订购请求来检测由WAP网关向MISC提交的增值业务订购请求消息是否为攻击者伪造的增值业务订购消息。然后,再通过判断请求订购增值业务的移动用户是否有相应的代计费信息,来判断属于绕过计费的 WAP恶意订购。作为上述实施例3的替代方案,本发明的实施例还提供了一种可以同时检测攻击者伪造订购请求消息的WAP恶意订购行为以及绕过计费的WAP恶意订购行为的系统和方法。实施例4为了同时检测攻击者伪造订购请求消息以及绕过计费的WAP恶意订购行为,本实施例公开了一种检测WAP恶意订购的系统,同时检测增值业务订购请求是否为攻击者伪造的增值业务订购请求以及增值业务订购请求是否为绕过计费的WAP恶意订购行为。本实施例所提出的检测WAP恶意订购的系统的内部结构也如图8所示,主要包括订购消息监测模块101,用于监测由WAP网关向MISC提交的增值业务订购请求消息,并获取请求订购增值业务的移动用户的标识;其中,移动终端的MSISDN或IMSI等;用户状态监测模块801,用于根据订购增值业务的移动用户的标识监测该移动用户的在线或离线状态;具体地,用户流量监测模块可以通过Radius消息中包含的移动用户上下线信息判断该移动用户是处于在线状态还是处于离线状态;计费信息监测模块302,用于收集请求订购增值业务的移动用户的代计费信息;;恶意订购分析和报警模块802,用于在订购消息监测模块101监测到有由WAP网关向MISC提交的增值业务订购请求消息时,根据用户状态监测模块801的监测结果判断订购增值业务的移动用户是否处于离线状态,如果订购增值业务的用户处于离线状态,则判定该由WAP网关向MISC提交的增值业务订购请求为攻击者伪造的增值业务订购请求,如果订购增值业务的移动用户处于在线状态,则进一步判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,也即属于绕过计费的WAP恶意订购。具体而言,在本实施例中,恶意订购分析和报警模块802将根据订购消息监测模块101检查在计费信息监测模块302收集的代计费信息中是否有该移动用户的标识所对应的代计费信息。在检测到WAP恶意订购行为后,恶意订购分析和报警模块802可以发出告警信号提醒运营商注意,特别地,在发现绕过计费的WAP恶意订购行为后,还可以进一步请求MISC 生成代计费信息或取消增值业务的订购。需要说明的是,恶意订购分析和报警模块802先判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求,后判断增值业务订购是否为属于绕过计费的WAP恶意订购只是一个示例。在实际应用中,并不限制这两个过程的执行顺序,也即恶意订购分析和报警模块802可以先执行判断增值业务订购是否为属于绕过计费的WAP恶意订购,而后判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求;或者还可以并行执行上述两个过程。
在本实施例中,可以直接将订购消息监测模块101部署在WAP网关和MISC系统之间,或者在WAP网关和MISC系统之间部署一个用于采集由WAP网关向MISC提交的增值业务订购请求的信息采集点,此时,订购消息监测模块101可以部署在一个独立的服务器上。另外,还可以直接将计费信息监测模块302部署在MISC中,或者在MISC中部署一个用于收集请求订购增值业务的移动用户的代计费信息的信息采集点,此时,计费信息监测模块302可以部署在一个独立的服务器上。恶意订购分析和报警模块802则可以直接部署在一个独立的服务器上。具体实现时,恶意订购分析和报警模块802可以实施为两个子模块,即第一恶意订购分析和报警模块以及第二恶意订购分析和报警模块。第一恶意订购分析和报警模块负责对过计费进行判断,第二恶意订购分析和报警模块负责对绕过计费进行判断。当两个判断同时进行时,上述两个恶意订购分析和报警模块分别独立工作,当其中一个判断基于另一个的判断结果时,上述两个恶意订购分析和报警模块可以在进行判断后通知另一个恶意订购分析和报警模块。需要说明的是,在本实施例中,订购消息监测模块101、用户状态监测模块801、计费信息监测模块302以及恶意订购分析和报警模块802可以部署在相同或者不同的硬件设备上。对应上述检测WAP恶意订购的系统,本实施例还提供了一种检测WAP恶意订购的方法,如图7所示主要包括以下步骤步骤701,监测由WAP网关向MISC提交的增值业务订购请求消息,并获取请求订购增值业务的移动用户的标识;步骤702,根据订购增值业务的移动用户的标识监测该移动用户是否处于离线状态,如果该移动用户处于离线状态,则执行步骤703 ;如果该移动用户处于在线状态,则判定该由WAP网关向MISC提交的增值业务订购请求不是攻击者伪造的增值业务订购请求,然后执行步骤704 ;在本步骤中,可以通过Radius消息中包含的移动用户上下线信息判断该移动用户是处于在线状态还是处于离线状态;步骤703,判定该由WAP网关向MISC提交的增值业务订购请求为攻击者伪造的增值业务订购请求;此时,可以进一步产生告警信息提醒运营商注意此WAP恶意订购行为;步骤704,收集请求订购增值业务的移动用户的代计费信息;步骤705,判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断请求订购增值业务的移动用户的代计费信息已经被删除或修改,属于绕过计费的WAP恶意订购。在这种情况下,上述方法还可以进一步包括请求MISC生成代计费信息或取消增值业务订购的步骤。需要说明的是,上述方法中,先判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求的过程(步骤701至步骤703),后执行判断增值业务订购是否为属于绕过计费的WAP恶意订购的过程(步骤704至步骤70 只是一个示例。在实际应用中,并不限制这两个过程的执行顺序,也即可以先执行判断增值业务订购是否为属于绕过计费的WAP恶意订购的过程(步骤704至步骤70 ,而后执行判断增值业务订购请求消息是否为攻击者伪造的增值业务订购请求的过程(步骤701至步骤70 ;或者并行执行上述两个过程。由此可以看出,上述检测WAP恶意订购的系统和方法可以有效地检测出攻击者伪造订购请求消息的WAP恶意订购行为以及绕过计费的WAP恶意订购行为,从而保障移动用户的合法权益。通过上述实施例1至4可以看出,本发明实施例提供的检测WAP恶意订购的系统和方法可以有效检测出并防止WAP恶意订购行为,保障移动用户的合法权益。此外,本发明所提出检测WAP恶意订购的系统以及方法是基于网络的解决方案, 并不需要在WAP网关或MISC等硬件设备上安装新的软件,并且该系统和方法可以通过监控 WAP网关的业务流量简单实现,而不必连接到WAP网关的通信线路上,因此不会影响WAP服务的性能。
权利要求
1.一种检测WAP恶意订购的系统,所述系统包括订购消息监测模块(101),用于监测由WAP网关向MISC提交的增值业务订购请求消息, 并获取与该增值业务订购请求消息对应的移动用户的标识;用户流量监测模块(102),用于监测由GGSN发送给WAP网关的增值业务订购请求消息, 并获取与该增值业务订购请求消息对应的移动用户的标识;恶意订购分析和报警模块(103,303),用于检查所述订购消息监测模块(101)获取的移动用户的标识与所述用户流量监测模块(10 获取的移动用户的标识是否一致,如果不一致,则判定与不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。
2.根据权利要求1所述的系统,其特征在于,所述系统进一步包括计费信息监测模块(302),用于收集请求订购增值业务的移动用户的代计费信息; 所述恶意订购分析和报警模块(103,30 进一步用于判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断该请求订购增值业务的移动用户的代计费信息已经被删除或修改。
3.一种检测WAP恶意订购的系统,所述系统包括订购监测单元(301),用于监测由移动用户提交的增值业务订购请求; 计费信息监测模块(302),用于收集请求订购增值业务的移动用户的代计费信息; 第一恶意订购分析和报警模块(303,501),用于判断所述订购监测单元(301)监测到的请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断该请求订购增值业务的移动用户的代计费信息已经被删除或修改。
4.根据权利要求3所述的系统,其特征在于,所述订购监测单元(301)包括以下之一或其任意组合订购消息监测模块(101),用于监测由WAP网关向MISC提交的增值业务订购请求消息, 并获取请求订购该增值业务的移动用户的标识;用户流量监测模块(102),用于监测由GGSN发送给WAP网关的增值业务订购请求消息, 并获取请求订购该增值业务的移动用户的标识;用户状态监测模块(801),用于根据订购增值业务的移动用户的标识监测所述移动用户的在线或离线状态。
5.根据权利要求4所述的系统,其特征在于,所述订购监测单元(301)至少包括所述订购消息监测模块(101)和所述用户状态检测模块(801);且所述系统进一步包括第二恶意订购分析和报警模块,用于在所述订购消息监测模块(101)监测到有由WAP网关向MISC提交的增值业务订购请求消息时,根据所述用户状态监测模块(801)的监测结果判断订购该增值业务的移动用户是否处于离线状态,如果所述订购增值业务的用户处于离线状态,则判定该由WAP网关向MISC提交的增值业务订购请求为攻击者伪造的增值业务订购请求。
6.根据权利要求5所述的系统,其特征在于,所述第二恶意订购分析和报警模块进一步用于,如果所述订购增值业务的用户处于在线状态,则通知所述第一恶意订购分析和报警模块判断该请求订购增值业务的移动用户的代计费信息是否被删除或修改。
7.一种检测WAP恶意订购的方法,所述方法包括监测由WAP网关向MISC提交的增值业务订购请求消息,并获取第一移动用户标识,所述第一移动用户标识为与该由WAP网关向MISC提交的增值业务订购请求消息对应的移动用户的标识;监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取第二移动用户标识,所述第二移动用户标识为与该由GGSN发送给WAP网关的增值业务订购请求消息对应的移动用户的标识;以及检查所述第一移动用户标识是否和所述第二移动用户标识一致,如果不一致,则判定与该不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求消息。
8.根据权利要求7所述的方法,其特征在于,所述方法进一步包括收集请求订购增值业务的移动用户的代计费信息;以及根据所述第一移动用户标识和/或所述第二移动用户标识判断请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断该请求订购增值业务的移动用户的代计费信息已经被删除或修改。
9.根据权利要求8所述的方法,其特征在于,所述方法进一步包括在判断为该请求订购增值业务的移动用户的待计费信息已经被删除或修改时,请求 MISC生成代计费信息或取消增值业务订购。
10.一种检测WAP恶意订购的方法,所述方法包括监测由移动用户提交的增值业务订购请求消息;收集请求订购增值业务的移动用户的代计费信息;以及判断监测到的请求订购增值业务的移动用户是否有相应的代计费信息,如果没有,则判断该请求订购增值业务的移动用户的代计费信息已经被删除或修改。
11.根据权利要求10所述的方法,其特征在于,所述监测由移动用户提交的增值业务订购请求消息,包括监测由WAP网关向MISC提交的增值业务订购请求消息或监测由GGSN 发送给WAP网关的增值业务订购请求消息。
12.根据权利要求10所述的方法,其特征在于,所述方法进一步包括在判断为该请求订购增值业务的移动用户的待计费信息已经被删除或修改时,请求MISC生成代计费信息或取消增值业务订购。
13.根据权利要求10所述的方法,其特征在于,所述监测由移动用户提交的增值业务订购消息,包括监测由WAP网关向MISC提交的增值业务订购请求消息,并获取请求订购增值业务的移动用户的标识;所述方法进一步包括根据所述请求订购增值业务的移动用户的标识监测该移动用户是否处于离线状态,如果该移动用户处于离线状态,则判定该由WAP网关向MISC提交的增值业务订购请求消息为攻击者伪造的增值业务订购请求消息。
14.根据权利要求13所述的方法,其特征在于,所述方法进一步包括在所述根据所述请求订购增值业务的移动用户的标识监测该移动用户是否处于离线状态后,如果该移动用户处于在线状态,则执行所述判断监测到的请求订购增值业务的移动用户是否有相应的代计费信息的步骤。
全文摘要
本发明公开了检测无线应用协议(WAP)恶意订购的系统和方法。其中,检测WAP恶意订购的系统包括订购消息监测模块(101),用于监测由WAP网关向移动信息服务中心(MISC)提交的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识;用户流量监测模块(102),用于监测由GGSN发送给WAP网关的增值业务订购请求消息,并获取与该增值业务订购请求消息对应的移动用户的标识;恶意订购分析和报警模块(103),用于检查订购消息监测模块(101)获取的移动用户的标识与用户流量监测模块(102)获取的移动用户的标识是否一致,如果不一致,则判定与不一致的移动用户标识对应的增值业务订购请求消息为攻击者伪造的增值业务订购请求。
文档编号H04W12/12GK102595410SQ20111000840
公开日2012年7月18日 申请日期2011年1月14日 优先权日2011年1月14日
发明者郭代飞, 隋爱芬 申请人:西门子公司