专利名称:检测gtp攻击的系统和方法
技术领域:
本发明涉及通用分组无线业务(GPRS)技术领域,特别涉及检测GPRS隧道协议(GTP)攻击的系统和方法。
背景技术:
GPRS网络具有数据网络的架构,能够为移动用户提供接入到互联网或企业网络的分组交换数据业务。在现有的GPRS网络中,移动台通过GPRS服务支持节点(SGSN)连接到 GPRS系统中。SGSN的主要功能是为MS提供数据支持服务。SGSN通过GPRS隧道协议(GTP)连接到GPRS网关支持节点(GGSN)。GGSN提供GPRS网络到外部网络(如公共因特网或企业网络)的数据网关功能。SGSN和GGSN可以统称为GPRS支持节点(GSN)。在相同的公众陆地移动通信网(PLMN)内GSN之间的接口被称为Gn接口,而在不同的PLMN的GSN之间的接口被称为Gp接口,亦可被称为漫游接口,GGSN到外部网络的接口被称为Gi接口。其中,Gp接口和Gi接口是一个GPRS网络和其他不可信任的GPRS网络和外部网络之间主要的连接点。目前,在GPRS网络中,GTP本身并没有引入安全机制,例如,SGSN和GGSN之间通信并没有引入认证和加密机制,并且GTP由用户数据报协议(UDP,User Datagram Protocol)承载;此外,GPRS网络的拓扑结构也存在漏洞,例如,Gp接口直接暴露于其他不可信任的GPRS网络和外部网络。在这种情况下,攻击者常常利用上述GTP和GPRS网络拓扑结构的漏洞对GPRS网络进行攻击,这种攻击通常称为GTP攻击。例如,攻击者通过伪造源IP地址向SGSN或GGSN发送PDP上下文删除消息或者PDP上下文更新消息。另外,由于SGSN和GGSN仅根据隧道端点标识(TEID)删除或更新PDP上下文,其中,TEID是一个4字节的整数,在这种情况下,如果攻击者遍历所有TEID,使用这些TEID的在线用户将被迫从GPRS连接中断开,造成业务中断。目前,针对GTP攻击,常用的解决方案是在Gp接口上部署防火墙,但是普通的防火墙并不能过滤GTP攻击,即使使用高成本的GTP感知防火墙,也不能检测出使用伪造源IP地址的GTP攻击。
发明内容
有鉴于此,本发明提供了检测GTP攻击的系统和方法,以有效地过滤GTP攻击。本发明实施例提供的检测通用分组无线业务隧道协议GTP攻击的系统包括GTP特征信息监测单元,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的特征信息;以及GTP攻击分析和报警单元,用于根据所述GTP特征信息监测单元上报的所述特征信息判断所述特征信息对应的GTP控制面数据包是否为GTP攻击包;其中,所述GTP控制面数据包的特征信息包括GTP控制面数据包的GTP层特征、IP层特征和流量行为特征中的至少一个。本发明实施例提供的检测GTP攻击的方法包括监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的特征信息;以及根据所述特征信息判断该特征信息对应的GTP控制面数据包是否为GTP攻击包;其中,所述GTP控制面数据包的特征信息包括=GTP控制面数据包的GTP层特征、IP层特征和流量行为特征中的至少一个。由此可以看出,本发明实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的GTP层特征和/或IP层特征和/或流量行为特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征和/或IP层特征和/或流量行为特征检测出GTP攻击包,有效地对抗GTP攻击。
图I为本发明所述的检测GTP攻击的系统的内部结构示意图;图2为本发明所述的检测GTP攻击的方法流程图;图3为本发明实施例I所述的检测GTP攻击的系统的内部结构示意图;图4为本发明实施例I所述的检测GTP攻击的方法流程图;图5为本发明实施例2所述的检测GTP攻击的系统的内部结构示意图;图6为本发明实施例2所述的检测GTP攻击的方法流程图;图7为本发明实施例3所述的检测GTP攻击的系统的内部结构示意图;图8为本发明实施例3所述的检测GTP攻击的方法流程图;图9为本发明实施例4所述的检测GTP攻击的系统的内部结构示意图;图10为本发明实施例4所述的检测GTP攻击的方法流程图;图11为本发明实施例5所述的检测GTP攻击的系统的内部结构示意图;图12为本发明实施例5所述的检测GTP攻击的方法流程图;图13为本发明实施例6所述的检测GTP攻击的系统的内部结构示意图;图14为本发明实施例6所述的检测GTP攻击的方法流程图;图15为本发明实施例7所述的检测GTP攻击的系统的内部结构示意图;图16为本发明实施例7所述的检测GTP攻击的方法流程图;。
具体实施例方式为了提高GPRS网络的安全性,本发明各实施例提供了检测GTP攻击的系统和方法,可以对GTP控制面数据包的特征信息进行深度分析,从而完成GTP攻击的检测。图I显示了本发明实施例提供的检测GTP攻击的系统的内部结构。如图I所示,该系统主要包括GTP特征信息监测单元1,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的特征信息;以及GTP攻击分析和报警单元2,用于根据GTP特征信息监测单元I上报的特征信息判断该特征信息对应的GTP控制面数据包是否为GTP攻击包。本实施例中,GTP控制面数据包的特征信息包括以下之一或其任意组合GTP控制面数据包的GTP层特征、IP层特征和流量行为特征。此外,上述GTP攻击分析和报警单元进一步还可以包括警示模块,用于在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。图2为本发明实施例提供的GTP攻击的方法的流程图。如图2所示,该方法主要包括步骤A,监测GPRS网络Gp接口上的 GTP控制面数据包,并记录所监测GTP控制面数据包的特征信息;以及步骤B,根据所监测GTP控制面数据包的特征信息判断所监测GTP控制面数据包是否为GTP攻击包;其中,GTP控制面数据包的特征信息包括GTP控制面数据包的GTP层特征和/或IP层特征和/或流量行为特征。该方法还可以进一步包括步骤C,在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。在本发明提供的检测GTP攻击的系统和方法中,GTP控制面数据包的GTP层特征具体例如为GTP控制面数据包中GTP层字段所包含的元素,包括但不限于TEID和/或访问点名称(APN)以及移动用户标识,例如移动用户的移动台国际ISDN号码(MSISDN)或国际移动用户标识(MSI)等;GTP控制面数据包的IP层特征例如包括但不限于GTP控制面数据包的源IP地址;而GTP控制面数据包的流量行为特征例如包括但不限于GTP控制面数据包的发包频率和/或发包间隔。下面将进一步结合具体的实施例以及附图详细描述本发明的具体实施方式
。实施例I本实施例提供的检测GTP攻击的系统主要用于对GTP控制面数据包的GTP层特征进行深度检测,其内部结构如图3所示,也即在本实施例中,上述GTP特征信息监测单元I包括GTP监控模块11,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征。此时,GTP攻击分析和报警单元2包括第一判断模块21,用于根据GTP监控模块11上报的GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包。具体而言,上述GTP监控模块11可以通过抓包工具抓到GPRS网络Gp接口上的GTP控制面数据包,并提取该GTP控制面数据包的GTP层特征。在本实施例中,为了判断所监测GTP控制面数据包是否为GTP攻击包,上述第一判断模块21将具体包括以下模块中的任意一个或其任意组合第一 APN监测模块,用于根据GTP特征信息监测单元I上报的GTP层特征,判断与该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果不是,则判定该GTP控制面数据包为GTP攻击包,其中GTP控制面数据包的APN例如为cmnet或cmwap ;第二 APN监测模块,用于根据GTP特征信息监测单元I上报的GTP层特征,判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包;例如,如果鉴权没有通过,则判定该GTP控制面数据包为GTP攻击包;第三APN监测模块,用于根据GTP特征信息监测单元I上报的GTP层特征,监测与该GTP层特征信息对应的GTP控制面数据包所对应的移动用户标识(例如MSISDN或IMSI)的分布或统计特征,如果移动用户标识的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包。
本实施例中,第二 APN监测模块所涉及的鉴权例如是通过远程用户拨号认证系统(Radius)协议实现的。GGSN作为Radius的客户端,向Radius服务器提交鉴权请求,Radius服务器端对用户请求进行鉴权。如果鉴权失败,GGSN不会给移动用户分配IP地址,如此,伪造源IP地址的GTP攻击将失败,从而可以有效的检测GTP攻击,并尽可能的避免GTP攻击。本实施例中,第三APN监测模块可以对于移动用户标识的分布或统计特征进行监测,从而判断GTP攻击包。对于正常移动用户的上网请求,其对应GTP控制面数据包中的移动用户标识(例如MSISDN或頂SI)是完全随机的,因此,如果GTP控制面数据包对应的移动 用户标识的分布或统计特征具有一定的变化规律,则可以判定该GTP控制面数据包为GTP攻击包。为得到移动用户标识的分布或统计特征,第三APN监测模块需要同时监测多个GTP控制面数据包才能判断所监测的GTP控制面数据包是否为GTP攻击包,而第一 APN监测模块和第二 APN监测模块只需要监测单一的GTP控制面数据包就可以判断该包是否为GTP攻击包。具体而言,第三APN监测模块可以通过统计分析方法考察移动用户标识(例如MSISDN或IMSI)的分布或统计特征是否具有一定的变化规律。例如可以通过考察移动用户标识是否有递增或递减的变化规律来判断移动用户标识的分布或统计特征是否具有一定的变化规律,具体包括先对固定数目的移动用户标识按大小顺序进行排序,排序后计算相邻移动用户标识之间的差值,最后再根据所计算的差值是否相同来判断是否存在递增或递减的变化规律。再例如可以通过考察移动用户标识是否有大部分字段取值是固定的而仅仅部分字段取值是变化的来判断移动用户标识的分布或统计特征是否具有一定的变化规律,具体包括先记录一定数目的移动用户标识,查找并记录取值相同的字段,最后再判断是否存在大部分字段取值相同的规律。又例如,如果能获得本地区移动用户标识的取值范围,则可以通过检查移动用户标识的取值是否在该范围内来判断移动用户标识的分布或统计特征是否具有一定的变化规律,也即如果移动用户标识的取值在该范围内则判定移动用户标识的分布或统计特征不具有一定的变化规律,否则,判定移动用户标识的分布或统计特征具有一定的变化规律。较佳地,上述第一判断模块21可以同时包括第一 APN监测模块、第二 APN监测模块以及第三APN监测模块,并且第一 APN监测模块、第二 APN监测模块以及第三APN监测模块串行执行相应的操作,也即只有在GTP控制面数据包的APN是正确的专网访问点名称时第二 APN监测模块才判断该专网是否需要对该GTP控制面数据包做进一步的鉴权,且只有在GTP控制面数据包的APN是正确的专网访问点名称且该专网不需要对该GTP控制面数据包做进一步的鉴权时第三APN监测模块才检测该GTP控制面数据包对应的移动用户标识的分布或统计特征。上述针对GTP控制面数据包APN和移动用户标识的监测主要是针对恶意消耗GPRS的IP地址资源的攻击的检测。除了上述针对恶意消耗GPRS的IP地址资源的攻击的检测之外,还可以根据GTP控制面数据包的TEID检测恶意删除在线用户的攻击,特别地,可以根据删除分组数据协议(PDP)上下文请求或者更新PDP上下文请求中的TEID检测恶意删除在线用户的攻击。此时,第一判断模块21将包括隧道端点标识监测模块,用于监测GTP控制面数据包,具体可以为监测删除PDP上下文请求或者更新PDP上下文请求中的TEID值的分布或统计特征是否具有一定的变化规律,例如是否呈现递增、递减、其他字段不变的情况下遍历某个字段的所有取值等变化规律,如果GTP控制面数据包的TEID值的分布或统计特征具有一定的变化规律,则判定该GTP控制面数据包为GTP攻击包。为了同时检测上述两种GTP攻击,GTP攻击分析和报警单元也可以同时包括上述隧道端点标识监测模块以及上述第一 APN监测模块和/或第二 APN监测模块和/或第三APN监测模块。
对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图4所示,主要包括步骤41,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的GTP层特征;以及步骤42,根据GTP控制面数据包的GTP层特征判断与该GTP层特征对应的GTP控制面数据包是否为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。在本实施例中,上述步骤42所述判断所监测GTP控制面数据包是否为GTP攻击包的方法具体包括如下步骤之一I、判断GTP控制面数据包的APN是否为正确的专网APN,如果不是,则判定该GTP控制面数据包为GTP攻击包;2、判断GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包(例如,如果鉴权没有通过,则判定该GTP控制面数据包为GTP攻击包);3、监测该GTP控制面数据包对应的移动用户标识(例如MSISDN或MSI)的分布或统计特征,如果移动用户标识的分布或统计特征具有一定的变化规律,则判定该GTP控制面数据包为GTP攻击包;4、监测GTP控制面数据包的TEID值的分布或统计特征是否具有一定的变化规律,如果GTP控制面数据包的TEID值的分布或统计特征具有一定的变化规律,则判定该GTP控制面数据包为GTP攻击包。本实施例中,如前所述,鉴权例如通过Radius协议实现的,GGSN作为Radius的客户端,将向Radius服务器提交鉴权请求,Radius服务器端对用户请求进行鉴权。本实施例中,步骤42中包括的上述步骤之间还可以进行组合。例如多个步骤并行执行,若判断结果中有一个为确认该GTP控制面数据包为GTP攻击包,则最终确定该GTP控制面数据包为GTP攻击包。例如多个步骤之间可以顺序执行,也即在上一步骤判断为GTP攻击包的情况下,不再执行下一步骤,而在上一步骤判断非GTP攻击包的情况下,执行下一步骤。以顺序执行为例,可以先执行上述步骤中的1,在I判断非GTP攻击包的情况下再执行2,在2判断非GTP攻击包的情况下再执行3。这样的顺序执行一定程度上可以节省资源开销,简化监测系统。本实施例中,具体的上述步骤中的4例如可以通过考察移动用户标识是否有递增或递减的变化规律来判断移动用户标识的分布或统计特征是否具有一定的变化规律,或者可以通过考察移动用户标识是否有大部分字段取值是固定的而仅仅部分字段取值是变化的来判断移动用户标识的分布或统计特征是否具有一定的变化规律;又或者,如果能获得本地区移动用户标识的取值范围,则可以通过检查移动用户标识的取值是否在该范围内来判断移动用户标识的分布或统计特征是否具有一定的变化规律。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的GTP层特征进行深度检 测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征检测出GTP攻击包,有效地对抗GTP攻击。实施例2本实施例提供的检测GTP攻击的系统主要用于对GTP控制面数据包的IP层特征进行深度检测,其内部结构如图5所示,也即在本实施例中,上述GTP特征信息监测单元I包括IP监控模块12,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的IP层特征。此时,GTP攻击分析和报警单元2包括第二判断模块22,用于根据IP监控模块12上报的GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包。具体而言,上述IP监控模块12可以通过抓包工具抓到GPRS网络Gp接口上的GTP控制面数据包,并提取该GTP控制面数据包的IP层特征。由于来自漫游接口的GTP控制面数据包的源IP地址应该是其漫游地区的SGSN的IP地址,而不应该是本地GSN的IP地址,因此,在本实施例中,为了判断所监测GTP控制面数据包是否为GTP攻击包,上述第二判断模块22可以包括第一判断子模块,用于判断所监测GTP控制面数据包的源IP地址是否为本地GSN的IP地址,如果是,则判定该GTP控制面数据包为GTP攻击包。或者,第二判断模块22可以包括第二判断子模块,用于根据GTP控制面数据包IP地址的分布或统计特征检查GTP控制面数据包的IP地址是否呈现一定的变化规律,例如GTP控制面数据包的IP地址是否呈递增、递减、固定大部分字段变化某个字段等规律变化,如果是,则认为呈现一定变化规律的IP地址所对应GTP控制面数据包为GTP攻击包。需要说明的是,为得到GTP控制面数据包IP地址的分布或统计特征,GTP攻击分析和报警单元2需要同时监测多个GTP控制面数据包才能检查GTP控制面数据包的IP地址是否呈现一定的变化规律。当然,第二判断模块22可以同时包括上述第一判断子模块和第二判断子模块,也即采用上述两种方法来判断所监测GTP控制面数据包是否为GTP攻击包。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图6所示,该方法主要包括步骤61,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的IP层特征;步骤62,根据GTP控制面数据包的IP层特征判断与该IP层特征对应的GTP控制面数据包是否为GTP攻击包。如前所述,上述步骤62具体包括判断所监测GTP控制面数据包的源IP地址是否为本地GSN的IP地址,如果是,则判定该GTP控制面数据包为GTP攻击包;和/或
根据GTP控制面数据包IP地址的分布或统计特征检查GTP控制面数据包的IP地址是否呈现一定的变化规律,如果是,则认为呈现一定变化规律的IP地址所对应GTP控制面数据包为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的IP层特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征检测出GTP攻击包,有效地对抗GTP攻击。实施例3本实施例提供的检测GTP攻击的系统主要用于对GTP控制面数据包的流量行为进行深度检测,其内部结构如图7所示,也即在本实施例中,上述GTP特征信息监测单元I包括流量行为监控模块13,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的流量行为特征。此时,GTP攻击分析和报警单元2包括第三判断模块23,用于根据流量行为监控模块13上报的GTP控制面数据包的流量行为特征判断所监测的GTP控制面数据包是否为GTP攻击包。其中,流量行为监控模块13通过记录预定时间内收到的GTP控制面数据包的数目,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。第三判断模块23将流量行为监控模块13计算的GTP控制面数据包的发包频率或发包间隔与设定的相应阈值进行比较,如果发包频率大于该设定的发包频率阈值或者发包间隔小于该设定的发包间隔阈值,则判定所监测GTP控制面数据包为攻击包。其中,相应阈值包括发包频率阈值或发包间隔阈值。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图8所示,该方法主要包括步骤81,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的流量行为特征;步骤82,根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。如前所述,上述步骤81具体包括记录预定时间内收到的GTP控制面数据包,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。如此,上述步骤82具体包括将计算的GTP控制面数据包的发包频率或发包间隔与设定的相应阈值进行比较,如果发包频率大于该设定的发包频率阈值或者发包间隔小于该设定的发包间隔阈值,则判定所监测GTP控制面数据包为攻击包。其中,相应阈值包括发包频率阈值或发包间隔阈值。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。 由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的流量行为特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征检测出GTP攻击包,有效地对抗GTP攻击。
实施例4本实施例提供的检测GTP攻击的系统将实施例I和2所提供的检测GTP攻击的系统相结合,主要用于对GTP控制面数据包的GTP层特征和IP层特征进行深度检测,其内部结构如图9所示,也即在本实施例中,上述GTP特征信息监测单元I包括GTP监控模块11,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;以及
IP监控模块12,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的IP层特征。此时,GTP攻击分析和报警单元2包括第一判断模块21,用于根据GTP监控模块11上报的GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包;以及第二判断模块22,用于根据IP监控模块12上报的GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包。为了判断所监测GTP控制面数据包是否为GTP攻击包,本实施例中的第一判断模块21与实施例I相同,包括第一 APN监测模块和/或第二 APN监测模块和/或第三APN监测模块和/或隧道端点标识监测模块。第二判断模块22与实施例2相同,包括第一判断子模块和/或第二判断子模块。需要说明的是,在本实施例提供的检测GTP攻击的系统中,第一判断模块21和第二判断模块22既可以串行工作也可以并行工作。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图10所示,该方法主要包括步骤101,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;步骤102,记录所监测GTP控制面数据包的IP层特征;以及步骤103,根据GTP控制面数据包的GTP层特征和IP层特征判断所监测GTP控制面数据包是否为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。上述步骤103应当包括两个过程根据GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程以及根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程。需要特别说明的是,这两个过程可以并行执行也可以串行执行。其中,根据GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程可以采用上述实施例所描述的方法;此外,根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程可以通过判断所监测GTP控制面数据包的源IP地址是否为本地GSN的IP地址的方法和/或根据GTP控制面数据包IP地址的分布或统计特征检查GTP控制面数据包的IP地址是否呈现一定的变化规律的方法来实现。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的GTP层特征和IP层特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征和IP层特征检测出GTP攻击包,有效地对抗GTP攻击。
实施例5本实施例提供的检测GTP攻击的系统将实施例I和3所提供的检测GTP攻击的系统相结合,主要用于对GTP控制面数据包的GTP层特征和流量行为特征进行深度检测,其内部结构如图11所示,也即在本实施例中,上述GTP特征信息监测单元I包括GTP监控模块11,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;以及流量行为监控模块13,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的流量行为特征。 此时,GTP攻击分析和报警单元2包括第一判断模块21,用于根据GTP监控模块11上报的GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包;以及第三判断模块23,用于根据流量行为监控模块13上报的GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。如实施例3所述,上述流量行为监控模块13通过记录预定时间内收到的GTP控制面数据包的数目,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。为了判断所监测GTP控制面数据包是否为GTP攻击包,本实施例中的第一判断模块21与实施例I相同,包括第一 APN监测模块和/或第二 APN监测模块和/或第三APN监测模块和/或隧道端点标识监测模块。上述第三判断模块23具体用于将流量行为监控模块13计算的GTP控制面数据包的发包频率或发包间隔与设定的相应阈值进行比较,如果发包频率大于该设定的发包频率阈值或者发包间隔小于该设定的发包间隔阈值,则判定所监测GTP控制面数据包为攻击包。其中,相应阈值包括发包频率阈值或发包间隔阈值。需要说明的是,在本实施例提供的检测GTP攻击的系统中,第一判断模块21和第三判断模块23既可以串行工作也可以并行工作。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图12所示,该方法主要包括步骤121,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;步骤122,记录所监测GTP控制面数据包的流量行为特征;以及步骤123,根据GTP控制面数据包的GTP层特征和流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。在上述122中,记录预定时间内收到的GTP控制面数据包,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。上述步骤123应当包括两个过程根据GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程以及根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程。需要特别说明的是,这两个过程可以并行执行也可以串行执行。其中,根据GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程可以采用上述实施例所描述的方法;此外,根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程具体包括将计算的GTP控制面数据包的发包频率或发包间隔与设定的相应阈值进行比较,如果发包频率大于该设定的发包频率阈值或者发包间隔小于该设定的发包间隔阈值,则判定所监测GTP控制面数据包为攻击包。其中,相应阈值包括发包频率阈值或发包间隔阈值。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的GTP层特征和流量行为特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征和行为流量特征检测出GTP攻击包,有效地对抗GTP攻击。实施例6本实施例提供的检测GTP攻击的系统将实施例2和3所提供的检测GTP攻击的系统相结合,主要用于对GTP控制面数据包的GTP层特征和流量行为特征进行深度检测,其内部结构如图13所示,也即在本实施例中,上述GTP特征信息监测单元I包括IP监控模块12,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的IP层特征;以及流量行为监控模块13,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的流量行为特征。此时,GTP攻击分析和报警单元2包括第二判断模块22,用于根据IP监控模块12上报的GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包;以及第三判断模块23,用于根据流量行为监控模块13上报的GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。如实施例3所述,上述流量行为监控模块13通过记录预定时间内收到的GTP控制面数据包的数目,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。为了判断所监测GTP控制面数据包是否为GTP攻击包,本实施例中的第二判断模块22与实施例2相同将包括第一判断子模块和/或第二判断子模块;第三判断模块23将用于将流量行为监控模块计算的GTP控制面数据包的发包频率或发包间隔与预先配置的发包频率或发包间隔的阈值进行比较,如果大于发包频率阈值或者小于发包间隔阈值,则可以判定所监测GTP控制面数据包为攻击包。需要说明的是,在本实施例提供的检测GTP攻击的系统中,第二判断模块22与第三判断模块23既可以串行工作也可以并行工作。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图14所示,该方法主要包括步骤141,监测GPRS网络Gp接口上的GTP控制面数据包,记录所监测GTP控制面数据包的IP层特征;步骤142,记录所监测GTP控制面数据包的流量行为特征;以及步骤143,根据GTP控制面数据包的IP层特征和流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。
在上述142中,记录预定时间内收到的GTP控制面数据包,对于源IP地址相同的GTP控制面数据包,计算其发包频率或发包间隔。上述步骤143应当包括两个过程根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程以及根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程。需要特别说明的是,这两个过程可以并行执行也可以串 行执行。其中,根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程具体包括判断所监测GTP控制面数据包的源IP地址是否为本地GSN的IP地址,如果是则判定所监测GTP控制面数据包为GTP攻击包和/或根据GTP控制面数据包IP地址的分布或统计特征检查GTP控制面数据包的IP地址是否呈现一定的变化规律,如果是,则认为呈现一定变化规律的IP地址所对应GTP控制面数据包为GTP攻击包;此外,根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程具体包括将计算的GTP控制面数据包的发包频率或发包间隔与设定的相应阈值进行比较,如果发包频率大于该设定的发包频率阈值或者发包间隔小于该设定的发包间隔阈值,则判定所监测GTP控制面数据包为攻击包。其中,相应阈值包括发包频率阈值或发包间隔阈值。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的IP层特征和流量行为特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的IP层特征和流量行为特征检测出GTP攻击包,有效地对抗GTP攻击。实施例7本实施例提供的检测GTP攻击的系统将实施例I,2和3所提供的检测GTP攻击的系统相结合,主要用于对GTP控制面数据包的GTP层特征和IP层特征进行深度检测,其内部结构如图15所示,也即在本实施例中,上述GTP特征信息监测单元I包括GTP监控模块11,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;IP监控模块12,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的IP层特征;以及流量行为监控模块13,用于监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的流量行为特征。此时,GTP攻击分析和报警单元2包括第一判断模块21,用于根据GTP监控模块11上报的GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包;第二判断模块22,用于根据IP监控模块12上报的GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包;以及第三判断模块23,用于根据流量行为监控模块13上报的GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。为了判断所监测GTP控制面数据包是否为GTP攻击包,本实施例中的第一判断模块21与实施例I相同;第二判断模块22与实施例2相同;而第三判断模块23与实施例3相同。特别地,如果是APN异常,GTP分析和告警模块将直接产生攻击告警;如果APN正常,但是MSISDN或頂SI异常,则GTP分析和告警模块可以产生疑似告警;如果IP地址不在正常的SGSN地址范围内,GTP分析和告警模块将直接产生攻击告警;而如果来自同一源IP地址的GTP平面控制数据包的发包频率或发包间隔异常,则GTP分析和告警模块将给出疑
似告警。
需要说明的是,在本实施例提供的检测GTP攻击的系统中,第一判断模块21、第二判断模块22以及第三判断模块23既可以串行工作也可以并行工作。对应于上述检测GTP攻击的系统,本实施例还提供了一种检测GTP攻击的方法,如图16所示,该方法主要包括步骤161,监测GPRS网络Gp接口上的GTP控制面数据包,并记录所监测GTP控制面数据包的GTP层特征;步骤162,记录所监测GTP控制面数据包的IP层特征;步骤163,记录所监测GTP控制面数据包的流量行为特征;以及 步骤164,根据GTP控制面数据包的GTP层特征,IP层特征和流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包。上述方法还可以进一步包括在检测到GTP攻击包时,产生报警信息,该报警信息用于提醒SGSN或GGSN做进一步的处理,例如删除该GTP攻击包对应的PDP上下文等。在本实施例中,上述步骤164应当包括实施例I中描述的相应步骤;实施例2所述的通过判断所监测GTP控制面数据包的源IP地址是否为其漫游地区的SGSN的IP地址的根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程和/或根据GTP控制面数据包IP地址的分布或统计特征检查GTP控制面数据包的IP地址是否呈现一定的变化规律的过程;以及实施例3所述的根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程。需要说明的是,上述根据GTP控制面数据包的GTP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程,根据GTP控制面数据包的IP层特征判断所监测GTP控制面数据包是否为GTP攻击包的过程以及根据GTP控制面数据包的流量行为特征判断所监测GTP控制面数据包是否为GTP攻击包的过程可以串行执行也可以并行执行。由此可以看出,本实施例所述的检测GTP攻击的系统和方法是通过对GTP控制面数据包的GTP层特征、IP层特征以及流量行为特征进行深度检测来过滤GTP攻击包的,可以根据GTP控制面数据包的GTP层特征、IP层特征以及流量行为特征检测出GTP攻击包,有效地对抗GTP攻击。并且上述实施例对于无论是利用GTP本身的漏洞还是网络拓扑的漏洞来进行的GTP攻击都能检测到。
权利要求
1.一种检测通用分组无线业务隧道协议GTP攻击的系统,所述系统包括GTP特征信息监测单元,用于监测通用分组无线业务GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的特征信息,其中所述特征信息包括GTP控制面数据包的GTP层特征、IP层特征和流量行为特征中的至少一个;以及GTP攻击分析和报警单元,用于根据所述GTP特征信息监测单元上报的所述特征信息判断所述特征信息对应的GTP控制面数据包是否为GTP攻击包。
2.根据权利要求I所述的系统,其中,所述GTP攻击分析和报警单元包括以下之一或其任意组合第一访问点名称APN监测模块,用于根据所述GTP特征信息监测单元上报的GTP层特征,判断与该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果不是,则判定该GTP控制面数据包为GTP攻击包;第二 APN监测模块,用于根据所述GTP特征信息监测单元上报的GTP层特征,判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包;第三APN监测模块,用于根据所述GTP特征信息监测单元上报的GTP层特征,监测与该GTP层特征对应的GTP控制面数据包所对应的移动用户标识的分布或统计特征,如果所述移动用户标识的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;隧道端点标识TEID监测模块,用于根据所述GTP特征信息监测单元上报的GTP层特征,监测与该GTP层特征对应的GTP控制面数据包的TEID值的分布或统计特征,如果所述TEID值的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;第一判断子模块,用于根据所述GTP特征信息监测单元上报的IP层特征,判断与该IP层特征对应的GTP控制面数据包的源IP地址是否为本地GSN的IP地址,如果是,则判定该GTP控制面数据包为GTP攻击包;第二判断子模块,用于根据所述GTP特征信息监测单元上报的IP层特征,监测与该IP层特征对应的GTP控制面数据包的IP地址的分布或统计特征,若该GTP控制面数据包的IP地址具有变化规律,则判定该GTP控制面数据包为GTP攻击包。
3.根据权利要求2所述的系统,其中,所述第二APN监测模块具体用于在所述第一 APN监测模块确定与所述GTP层特征对应的GTP控制面数据包的APN是正确的专网APN时,判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包。
4.根据权利要求3所述的系统,其中,所述第三APN监测模块具体用于在所述第二 APN监测模块判断该GTP控制面数据包非GTP攻击包时,监测该GTP控制面数据包所对应的移动用户标识的分布或统计特征,如果所述移动用户标识的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包。
5.根据权利要求3所述的系统,其中所述隧道端点标识TEID监测模块具体用于在所述第二 APN监测模块判断该GTP控制面数据包非GTP攻击包时,监测该GTP控制面数据包的TEID值的分布或统计特征,如果所述TEID值的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;或者所述TEID监测模块具体用于在所述第一 APN监测模块确定与所述GTP层特征对应的GTP控制面数据包的APN是正确的专网APN时,监测该GTP控制面数据包的TEID值的分布或统计特征,如果所述TEID值的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;或者所述TEID监测模块具体用于在所述第三APN监测模块判定该GTP控制面数据包非GTP 攻击包时,监测该GTP控制面数据包的TEID值的分布或统计特征,如果所述TEID值的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包。
6.根据权利要求I所述的系统,其中,所述GTP特征信息监测单元具体用于通过记录预定时间内收到的GTP控制面数据包的数目,对于源IP地址相同的GTP控制面数据包计算其发包频率或发包间隔;所述GTP攻击分析和报警单元具体用于将所述GTP特征信息监测单元上报的发包频率或发包间隔与设定的相应阈值进行比较,如果所述发包频率大于该设定的发包频率阈值或者所述发包间隔小于该设定的发包间隔阈值,则判定该GTP控制面数据包为GTP攻击包。
7.根据权利要求I至6中任一项所述的系统,其中,所述GTP攻击分析和报警单元进一步包括警示模块,用于在检测到GTP攻击包时,产生报警信息,所述报警信息用于提醒SGSN或GGSN做进一步的处理。
8.一种检测通用分组无线业务隧道协议GTP攻击的方法,所述方法包括监测通用分组无线业务GPRS网络Gp接口上的GTP控制面数据包,并记录所监测的GTP控制面数据包的特征信息,其中所述特征信息包括GTP控制面数据包的GTP层特征、IP层特征和流量行为特征中的至少一个;以及根据所述特征信息判断所述特征信息对应的GTP控制面数据包是否为GTP攻击包。
9.根据权利要求8所述的方法,其中,所述根据所述特征信息判断所述特征信息对应的GTP控制面数据包是否为GTP攻击包,包括以下之一根据GTP层特征判断该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果不是,则判定该GTP控制面数据包为GTP攻击包;根据GTP层特征判断该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包;根据GTP层特征监测与该GTP层特征对应的GTP控制面数据包所对应的移动用户标识的分布或统计特征,如果所述移动用户标识的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;根据GTP层特征监测与该GTP层特征对应的GTP控制面数据包的隧道端点标识TEID值的分布或统计特征,如果所述TEID值得分布或同级特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;根据GTP层特征判断该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果是,则判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包;根据GTP层特征判断该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果是,则判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包,如果根据所述鉴权结果判断该GTP控制面数据包非GTP攻击包,则监测与该GTP控制面数据包所对应的移动用户标识的分布或统计特征,如果所述移动用户标识的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;根据GTP层特征判断该GTP层特征对应的GTP控制面数据包的APN是否为正确的专网APN,如果是,则判断与该GTP层特征对应的GTP控制面数据包的APN所对应的专网是否需要对该GTP控制面数据包做进一步的鉴权,如果是,则根据鉴权结果判断该GTP控制面数据包是否为GTP攻击包,如果根据所述鉴权结果判断该GTP控制面数据包非GTP攻击包,监测该GTP控制面数据包的隧道端点标识TEID值的分布或统计特征,如果所述TEID值的分布或统计特征具有变化规律,则判定该GTP控制面数据包为GTP攻击包;根据IP层特征判断与该IP层特征对应的GTP控制面数据包的源IP地址是否为本地GSN的IP地址,如果是,则判定该GTP控制面数据包为GTP攻击包;根据IP层特征监测与该IP层特征对应的GTP控制面数据包IP地址的分布或统计特征,若该GTP控制面数据包的IP地址具有变化规律,则判定该GTP控制面数据包为GTP攻击包。
10.根据权利要求8所述的方法,其中,所述记录所监测的GTP控制面数据包的特征信息,包括记录预定时间内收到的GTP控制面数据包的数目,对于源IP地址相同的GTP控制面数据包计算其发包频率或发包间隔;所述根据所述特征信息判断所述特征信息对应的GTP控制面数据包是否为GTP攻击包,包括将计算的发包频率或发包间隔与设定的相应阈值进行比较,如果所述发包频率大于该设定的发包频率阈值或者所述发包间隔小于该设定的发包间隔阈值,则判定该GTP控制面数据包为GTP攻击包。
11.根据权利要求8至10中任一项所述的方法,其中,所述方法进一步包括在检测到GTP攻击包时,产生报警信息,所述报警信息用于提醒SGSN或GGSN做进一步的处理。
全文摘要
本发明公开了检测通用分组无线业务隧道协议(GTP)攻击的系统和方法。其中,检测GTP攻击的系统包括GTP特征信息监测单元,用于监测通用分组无线业务(GPRS)网络Gp接口(漫游接口)上的GTP控制面数据包,并记录所监测的GTP控制面数据包的特征信息;以及GTP攻击分析和报警单元,用于根据GTP特征信息监测单元上报的特征信息判断所监测GTP控制面数据包是否为GTP攻击包。其中,GTP控制面数据包的特征信息包括GTP控制面数据包的GTP层特征和/或IP层特征和/或流量行为特征。通过本发明可以有效地检测并对抗GTP攻击。
文档编号H04W12/06GK102638442SQ20111003860
公开日2012年8月15日 申请日期2011年2月15日 优先权日2011年2月15日
发明者李高, 郭代飞, 隋爱芬 申请人:西门子公司