一种通信业务行为异常的检测方法、系统及设备的制作方法
【专利摘要】本申请公开一种检测通信业务行为异常的方法、系统及设备,其中方法包括:检测设备检测节点设备的后端交换机的流量;如果发现行为异常则向所述节点设备发送告警信息;以及所述节点设备基于所述告警信息进行异常控制。通过本申请的实施方式,节约了节点设备的资源,而且由于不需要节点设备检测请求报文是否正常以及通信业务的行为是否发生异常因而提高了安全性。
【专利说明】一种通信业务行为异常的检测方法、系统及设备
【技术领域】
[0001]本申请涉及通信领域,尤其涉及一种通信业务行为异常的检测方法、系统及设备。【背景技术】
[0002]目前对于通信业务的异常行为检测有两种方式:1、利用SBC (Session BorderController ;会话边界控制器)自身安全功能进行检测;2、利用旁路监控设备进行检测。
[0003]第一种方案至少存在以下缺陷:
[0004]1、SBC在解析协议数据包过程中存在崩溃风险。SBC本身具有协议解析的能力,如果攻击者向SBC发送恶意构造的畸形数据包,SBC在解析这些畸形数据包时存在系统资源耗尽、内存泄漏、拒绝服务等安全风险,导致SBC停止对正常服务的响应。由于SBC是部署在网络中的inline设备,作为网络边界关键设备,如果SBC崩溃,将直接导致业务系统的瘫痪;
[0005]2、无法确保后续连接关系的逻辑正确性。目前的解决方案,只在SBC设备侧进行异常行为分析,对后续的连接关系并不关注。因此将产生如下问题:攻击者构造的恶意数据包绕过SBC侧的异常行为分析系统,就可以完成对网络的攻击,无法检测攻击者后续的恶意行为,比如绕过关键设备、改变业务逻辑等。
[0006]第二种方案中,旁路设备无法有效控制数据包。现有的方案不具备检测复杂数据的能力,因此存在放行恶意数据包和丢弃正常流数据包的风险。而且,旁路设备只部署在SBC设备入口处,所以无法有效控制数据包。
【发明内容】
[0007]本申请旨在提出一种能够提高安全性的通信业务行为异常的检测方案。
[0008]本申请的一个实施方式提供了一种通信业务行为异常的检测方法,包括:检测设备检测节点设备的后端交换机的流量;如果发现行为异常则向所述节点设备发送告警信息;以及所述节点设备基于所述告警信息进行异常控制。
[0009]本申请的另一个实施方式提供了一种通信业务行为异常的检测系统,包括:节点设备,接收终端发送的业务请求;以及检测设备,检测节点设备的后端交换机的流量,如果发现行为异常向所述节点设备发送告警信息;其中,所述节点设备根据所述告警信息进行异常控制。
[0010]本申请的另一个实施方式提供了一种通信业务行为异常的检测设备,包括:检测模块,检测节点设备的后端交换机的流量,其中所述节点设备接收终端发送的业务请求;以及告警模块,当所述检测模块发现行为异常时,向所述节点设备发出告警信息。
[0011]通过本申请的实施方式,节约了节点设备的资源,而且由于不需要节点设备检测请求报文是否正常以及通信业务的行为是否发生异常因而提高了安全性。
【专利附图】
【附图说明】[0012]图I是根据本申请一个实施方式的通信业务行为异常的检测系统;
[0013]图2是根据本申请一个实施方式的通信业务行为异常的检测方法1000 ;
[0014]图3是根据本申请另一个实施方式的通信业务行为异常的检测方法2000 ;
[0015]图4是根据本申请一个实施方式的通信业务行为异常的检测设备;
[0016]图5是根据本申请另一个实施方式的通信业务行为异常的检测设备。
【具体实施方式】
[0017]下面结合附图详细描述本申请的实施方式。
[0018]图I是根据本申请一个实施方式的通信业务行为异常的检测系统。如图I所示,该系统包括节点设备10和检测设备20。节点设备10接收终端发送的业务请求。检测设备20检测节点设备10的后端交换机的流量,如果发现行为异常则向节点设备10发送告警信息。节点设备10还根据所述告警信息进行异常控制。节点设备例如可以为SBC,下面以节点设备为SBC为例进行说明。
[0019]图2是根据本申请一个实施方式的通信业务行为异常的检测方法1000。下面结合图I所述的系统来描述图2所示的方法1000。
[0020]步骤SllO中,检测设备20检测节点设备10的后端交换机的流量。例如,检测设备20可设置在节点设备10的旁侧。检测设备20通过与SBClO的后端交换机之间的接口(例如,流量镜像接口)来检测SBClO上通过的业务流量,从而检测SBClO上所通过的业务是
否异常。
[0021 ] 步骤S120中,检测设备20检测节点设备10上通过的业务的行为是否异常。例如,检测设备20通过流量镜像接口从SBClO后端核心交换机获取信息,以检测SBClO上通过的业务流量的后续行为是否异常,该行为至少包括连接行为(例如连接顺序、连接频率和/或连接时间等)。
[0022]当发现检测设备20发现通信业务行为异常时,在步骤S130中向节点设备10发送告警信息。然后步骤S140中,节点设备根据告警信息进行异常控制。例如,当检测设备20发现通信业务行为异常时,向SBClO发送告警信息。SBClO根据该告警信息对发生异常行为的业务进行处理,例如丢弃该业务流量中的数据报文。
[0023]通过上述实施方式,检测设备与节点设备(例如SBC)后端核心交换机相连,可通过通信接口检测该后端核心交换机的流量,从而检测该节点设备上通过的通信业务是否发生行为异常,而不需要节点设备检测通信业务的行为是否发生异常。因此,节点设备只需要根据检测设备的告警信息来进行异常控制。因此,不仅节约了节点设备的资源,而且由于不需要节点设备检测通信业务的行为是否发生异常而提高了安全性。
[0024]图3是根据本申请另一个实施方式的通信业务行为异常的检测方法2000。下面结合图I所述的系统来描述图2所示的方法2000。
[0025]步骤S210中,节点设备10向检测设备20转发请求报文并进行阻塞等待。例如,节点设备10接收来自终端的请求报文,然后将该请求报文转发给检测设备,同时进行阻塞等待。例如,节点设备收到来自终端的两条请求报文,第一请求报文和第二请求报文,如果节点设备10将第一请求报文转发给了检测设备20,则节点设备10会对采取阻塞等待,即第一请求报文没有得到处理(例如根据检测设备20的检测结果进行后续过程或者终止后续过程)之前不会向检测设备20发送第二请求报文。
[0026]步骤S220中,检测设备20检测该请求报文是否异常。然后在步骤S230中检测设备20向节点设备10返回检测结果。例如,检测设备20检测该请求报文的字段的长度、格式等是否存在畸形错误,然后将检测结果返回给SBC10。
[0027]步骤S240中,节点设备10判断检测结果。如果检测结果表示请求报文异常,则在步骤S250中节点设备10根据检测结果进行异常控制。例如,SBC10判断检测设备20返回的检测结果,当检测结果表示请求报文异常时,则终止该请求的后续连接。
[0028]作为一种选择,当如果步骤S240中节点设备10判断出检测结果表示请求报文正常,则在步骤S260中,检测设备20检测节点设备10的后端核心交换机的流量。例如,检测设备20通过与SBC10的后端交换机之间的接口(例如,流量镜像接口)来检测SBC10上通过的业务的流量,从而检测SBC10上通过的业务是否异常。
[0029]步骤S270中,检测设备20检测节点设备10上通过的业务的行为是否异常。例如,检测设备20通过流量镜像接口从SBC10后端核心交换机获取信息,以检测SBC10上通过的业务的后续行为是否异常,该行为至少包括连接行为(例如连接顺序、连接频率和/或连接时间等)。
[0030]也就是说,当检测设备20对请求报文本身进行检测并认为其正常后,还通过检测节点设备10的后端核心交换机的流量来检测该请求报文对应的请求的后续行为是否正
堂
巾Ο
[0031]当发现检测设备20发现通信业务行为异常时,在步骤S280中向节点设备10发送告警信息。然后步骤S290中,节点设备10根据告警信息进行异常控制。例如,当检测设备20发现通信业务行为异常时,向SBC10发送告警信息。SBC10根据该告警信息丢弃该业务的流量中数据报文。
[0032]通过上述实施方式,检测设备与节点设备相连接,节点设备接收到请求报文时并不检测请求报文而是转发给检测设备,然后根据检测设备的检测结果决定是否终止请求的后续连接,这样可以防止节点设备(例如SBC)受到恶意构造的畸形数据包的攻击。并且检测设备与节点设备(例如SBC)后端核心交换机相连,可通过通信接口检测该后端核心交换机的流量,从而检测该节点设备上通过的通信业务是否发生行为异常,而不需要节点设备检测通信业务的行为是否发生异常。因此,检测设备可以在检测过请求报文之后,通过检测节点设备的后端核心交换机的流量来继续检测该请求报文对应的请求的后续行为是否正常。节点设备只需要根据检测设备的告警信息来进行异常控制。因此,不仅节约了节点设备的资源,而且由于不需要节点设备检测请求报文是否正常以及通信业务的行为是否发生异常因而提高了安全性。
[0033]作为一种选择,节点设备10与检测设备20之间的传输接口协议采用UDP通信方式且以C/S模式运行。作为一种选择,节点设备10与检测设备20之间的传输接口协议对消息的发送和接受采用同步处理方式。
[0034]节点设备10与检测设备20之间的通信举例如下。设节点设备为Client端,检测设备20为Server端。Client端主动发送请求消息并阻塞等待,即节点设备10主动将所接收到的第一请求消息发送至检测设备20 ;Server端始终监听在接收端口(例如,缺省端口15061),收到Client端的请求消息后,返回应答消息;Client端收到应答消息后,根据消息类型决定继续发送下一条消息或进行重传,例如,应答消息指示该第一请求报文接收成功则发送下一条请求报文,应带消息指示该第一请求报文接受失败则进行重传该第一请求报文。作为一种选择,为增强容错能力,协议中可增加失败重传机制,即如果Client端对同一消息重传两次仍然失败,可以丢弃该消息;Client端发送请求消息阻塞等待时,还可设置超时机制,超时后丢弃该消息。
[0035]例如,当Server端接收请求消息出现问题的时候,会通过应答消息要求Client端重传上一条消息。Client端收到后,可以根据预先的设定最多重传两次该消息,如果均失败,则放弃该消息的发送,继续发送下一条消息。如果应答消息中要求重传,但Event ID字段为0,则忽略重传消息请求,继续发送下一条消息。当Client端接收应答消息出现问题的时候,会直接放弃当前消息,继续发送下一条消息,以防止重复发送同一条已接收成功的消息。当Client端发送请求消息并进入阻塞等待后,会开启一个5秒钟的超时定时器,如果5秒钟内接收不到任何应答消息,则放弃该消息的发送,继续发送下一条消息。
[0036]节点设备10与检测设备20之间的传输接口协议中,请求消息和应答消息都由消息头和消息体两部分组成,如表1所示。
[0037]表1
[0038]
【权利要求】
1.一种通信业务行为异常的检测方法,包括:检测设备检测节点设备的后端交换机的流量;如果发现行为异常则向所述节点设备发送告警信息;以及所述节点设备基于所述告警信息进行异常控制。
2.如权利要求1所述的方法,其中,所述检测设备检测节点设备的后端交换机的流量的步骤包括:所述检测设备通过检测节点设备的后端交换机的流量来检测业务的连接行为。
3.如权利要求1所述的方法,在所述检测设备检测节点设备的后端交换机的流量的步骤之前还包括:所述节点设备接收终端的请求报文;将所述请求报文转发至所述检测设备并进行阻塞等待;所述检测设备检测所述请求报文是否异常;向所述节点设备返回检测结果;以及所述节点设备基于所述检测结果进行异常控制。
4.如权利要求3所述的方法,还包括:当所述检测结果正确,所述节点设备向所述检测设备转发新的请求报文。
5.如权利要求3所述的方法,其中,在所述将所述请求报文转发至所述检测设备并进行阻塞等待的步骤之后包括:如果所述节点设备在预定时间内未收到来自所述检测设备的应答,则不再向所述检测设备发送所述请求报文,并向所述检测设备转发新的请求报文。
6.一种通信业务行为异常的检测系统,包括:节点设备,接收终端发送的业务请求;以及检测设备,检测节点设备的后端交换机的流量,如果发现行为异常向所述节点设备发送告警信息;其中,所述节点设备根据所述告警信息进行异常控制。
7.如权利要求6所述的系统,其中,所述检测设备通过检测节点设备的后端交换机的流量来检测业务的连接行为。
8.如权利要求6所述的系统,其中,所述节点设备还将所接收的请求报文转发至所述检测设备并进行阻塞等待;所述检测设备还检测所述请求报文是否异常,并向所述节点设备返回检测结果;所述节点设备根据所述检测结果进行异常控制。
9.如权利要求8所述的系统,其中,所述节点设备在所述检测结果正确时向所述检测设备转发新的请求报文。
10.如权利要求8所述的系统,其中,所述节点设备如果在预定时间内未收到来自所述检测设备的应答,则不再向所述检测设备发送所述请求报文,并向所述检测设备转发新的请求报文。
11.一种通信业务行为异常的检测设备,包括:检测模块,检测节点设备的后端交换机的流量,其中所述节点设备接收终端发送的业务请求;以及告警模块,当所述检测模块发现行为异常时,向所述节点设备发出告警信息。
12.如权利要求11所述的设备,其中,所述检测模块通过检测节点设备的后端交换机的流量来检测业务的连接行为。
13.如权利要求11所述的设备,还包括: 收发模块,接收所述节点设备转发的终端请求报文; 所述检测模块还检测所述请求报文是否异常; 所述收发模块还向所述节点设备返回检测结果。
【文档编号】H04L29/06GK103731314SQ201210392776
【公开日】2014年4月16日 申请日期:2012年10月16日 优先权日:2012年10月16日
【发明者】何申, 杨凯, 于娟娟, 杨光华, 黄晓庆, 邓岩, 魏娜, 彭华熹, 张二鹏 申请人:中国移动通信集团公司