本发明涉及信息安全领域,尤其涉及一种基于5g网络攻击溯源系统及其方法。
背景技术:
5g网络是移动通信系统的下一代演进系统,5g网络是一个速度快、多接入和大带宽的网络,接入到5g网络终端下载速度可以达到gpbs级别,下载完一部电影可能只需要1秒钟时间;同时5g网络也是一个多接入的网络,各种各样的物联设备可能都接入到5g网络中来,比如各种共享设备、工业工程设备和个人穿戴设备;由于各种设备的接入和高速率的传输,5g网络必然是一个高带宽的网络。
随着5g网络各种设备的接入,网络安全问题也会呈现爆发式增长;2016年10月22日的美国断网事件,最终查明原因是有人利用了大量的物联网摄像头对美国境内的主要dns服务器发起了ddos攻击,导致美国这一天断网半天。在5g网络环境下,各种攻击形式可能会层出不穷。网络空间安全作为第五空间其重要性不言而喻,5g网络作为第五空间的最重要组成部分,在5g网络中的安全问题我们需要第一时间感知到,并做出快速响应,做到安全看得见感知得到。
传统的网络安全设备或系统一般针对固定网络,针对移动通信网络的安全设备或系统主要侧重于用户行为审计与统计;涉及5g网络攻击的追踪溯源系统很少,由于全球已经展开5g的部署,研究基于5g的攻击溯源系统势在必行。
基于此,必须建立一套完整的针对5g网络攻击的溯源系统。
技术实现要素:
5g网络中存在各种网络攻击发生的可能,在5g大流量和分布式系统中识别网络攻击并做到快速溯源落地存在很多技术难点。本发明的目的就在于提供一种基于5g的攻击溯源系统及方法,为网络空间的安全提供技术支撑。
实现本发明目的技术方案是:
本发明是基于5g的,通过设置信令中心分系统和区域分系统,在信令中心分系统实现单个用户上线附着、信令变更和用户下线信令流程的摘要化处理,通过大并发接口快速同步至区域分系统。区域分系统从本地核心网中抓取用户数据面信息从中匹配识别攻击行为,并快速关联分析出信令中心分系统同步的用户属性;结合数据截获技术、协议分析技术、ac多模式匹配算法、内存数据库技术和gis技术实现攻击行为的快速准确溯源。
一、基于5g的网络攻击溯源系统(简称系统)
本系统包括区域分系统和信令中心分系统;
区域分系统包括攻击模型库、区域采集器、攻击识别、关联分析、攻击溯源和信令缓存器;
信令中心分系统包括中心信令采集和信令分发器;
其交互关系是:
攻击模型库与攻击识别交互,实现数据流量中攻击行为的识别;
区域采集器与攻击识别交互,实现5g核心网流量的采集并导入攻击识别;
攻击识别和关联分析交互,识别出攻击行为摘要由关联分析完成信令关联,为后续攻击溯源提供支持;
关联分析和攻击溯源交互,实现攻击行为快速溯源与落地;
关联分析和信令缓存器交互,实现攻击行为和信令的关联;
中心信令采集与信令分发交互,实现信令的快速采集与分发;
信令分发器和信令缓存器互,将区域分系统a和信令中心分系统连接成一个整体。
二、基于5g的网络攻击溯源方法(简称方法)
本方法研究如何在5g大数据流量中自动发现网络攻击行为,特别是在攻击行为发成时能够第一时间发现,并且实现快速攻击溯源落地。本方法采用信令与用户面数据分布式处理来解决攻击与身份的关联问题。
本方法包括下列步骤:
①信令中心分系统负责从核心网pgw和sgw之间采集信令面数据,解析每个信令步骤,主要解析用户的附着上线、用户信令切换、用户去附着信令过程并摘要化处理只保留关键信息字段,形成简短数据摘要,通过信令中心分系统快速分发套接口发送至区域分系统的区域信令缓存器;区域信令缓存器接收到信令消息后,返回回执给信令分发;同时根据信令变化情况,更新本地信令缓存表,等待攻击关联分析调用;
②区域分系统采集流量数据,解析流量数据到应用层,再通过模式识别、ip端口规则识别、url识别和行为模型匹配多种攻击识别规则进行攻击分析判断;识别出攻击行为后查询区域信令缓存器,快速关联当前信令信息;
③当识别出攻击行为并关联到信令信息时由攻击溯源第一时间进行溯源分析,在gis系统中展示当前攻击发起人、发起地点和攻击对象攻击行为属性信息;实现攻击行为的快速溯源落地,方便日后取证还原网络攻击事件。
本发明具有下列优点和积极效果:
①时效性:该系统采用分布式系统布局,采集用户身份属性信息和攻击行为信息并进行关联分析,能够第一时间发现网络攻击事件,并能快速完成攻击溯源落地,从而形成网络攻击事件态势报告;
②准确性:依据移动通信网络的结构特性,在数据流量发生时可以具体确定网络流量的发起人属性信息,如位置信息和设备信息。因此在系统识别出基于5g网络的攻击行为时可以准确地确定攻击发起人的位置和设备属性信息;
③可溯源:本发明能够发现攻击事件,并通过信令属性可快速完成事件的发现与攻击发起人的位置落地。
附图说明
图1是整体系统结构方框图;
其中:
a—区域分系统,b—信令中心分系统;
100—攻击模型库;
200—区域采集器;
300—攻击识别;
400—关联分析;
500—攻击溯源;
600—信令缓存器;
700—中心信令采集;
800—信令分发;
英译汉:
1、5g:2rd-generation,第五代移动通信技术;外语缩写:5g,也是4g之后的延伸,正在研究中,网速可达5m/s-6m/s。
2、gtp:gprstunnellingprotocolgprs,隧道协议;是由3gpp定义的协议。
3、gre:通用路由封装;定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议,是对某些网络层协议(如ip和ipx)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如ip)中传输;gre采用了tunnel(隧道)技术,是vpn(virtualprivatenetwork)的第三层隧道协议。
4、linux:是一种自由和开放源码的类unix操作系统;存在着许多不同的linux版本,但它们都使用了linux内核;linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机;linux是一个领先的操作系统,世界上运算最快的10台超级计算机运行的都是linux操作系统。
5、gis:地理信息系统(geographicinformationsystem或geo-informationsystem,gis)有时又称为“地学信息系统”,它是一种特定的十分重要的空间信息系统;它是在计算机硬、软件系统支持下,对整个或部分地球表层(包括大气层)空间中的有关地理分布数据进行采集、储存、管理、运算、分析、显示和描述的技术系统。
6、sgw:服务网关,是移动通信网络epc中的重要网元;epc网络实际上是原3g核心网ps域的演进版本,而sgw的功能和作用与原3g核心网sgsn网元的用户面相当,即在新的epc网络中,控制面功能和媒体面功能分离更加彻底。
7、pgw:pdn网关是移动通信网络epc中的重要网元;epc网络实际上是原3g核心网ps域的演进版本,而pgw也相当于是一个演进了的ggsn网元,其功能和作用与原ggsn网元相当。
具体实施方式
下面结合附图和实施例详细说明:
一、系统
1、总体
如图1,本系统包括区域分系统a和信令中心分系统b;
区域分系统a包括攻击模型库100、区域采集器200、攻击识别300、关联分析400、攻击溯源500和信令缓存器600;
信令中心分系统包括中心信令采集700和信令分发器800;
其交互关系是:
攻击模型库100与攻击识别300交互,实现数据流量中攻击行为的识别;
区域采集器200与攻击识别300交互,实现5g核心网流量的采集并导入攻击识别;
攻击识别300和关联分析400交互,识别出攻击行为摘要由关联分析完成信令关联,为后续攻击溯源提供支持;
关联分析400和攻击溯源500交互,实现攻击行为快速溯源与落地;
关联分析400和信令缓存器600交互,实现攻击行为和信令的关联;
中心信令采集700与信令分发800交互,实现信令的快速采集与分发;
信令分发器800和信令缓存器600交互,将区域分系统a和信令中心分系统b连接成一个整体。
2、功能模块
①攻击模型库100
攻击模型库100是一种采用hbase进行存储的数据库,设置有模式识别库、ip端口规则库、url库和流量模型库多种攻击识别规则库;攻击规则预制部分规则,同时也可以按规则类型按特定格式导入规则。
所述的攻击模型库100的工作流程包括下列步骤:
ⅰ、设置基于流量特征、行为特征、攻击样本为基础的攻击信息库;
ⅱ、使用内存数据库技术提供样本信息高速缓存。
②区域采集器200
区域采集器200是一种数据采集设备,选用刀片服务器;安装linux操作系统,每块刀片单独采集一路数据;内部处理程序采用c语言编写,其内部对gtp或gre封装数据进行解封装处理,解封装后提取内层的ip数据包,然后经过ip分片重组,再识别传输层应用协议,按tcp与udp协议类型进入不同的处理模块;tcp处理模块接收到ip数据后进行tcp排序,然后识别应用层数据,udp处理模块则直接进行应用层数据识别处理;模块处理完成后对应用层数据进行数据摘要打表处理,发送到后续攻击识别模块。
数据摘要基本结构:
其中flow_type分为tcp、udp、http其中之一,表示应用层数据类型;
network表示网络类型;
up_key与down_key用于封装流量关联;
data表示载荷数据。
所述的区域采集器200的工作流程包括下列步骤:
ⅰ、在运营商sgw与pgw之间核心网数据进行汇聚;
ⅱ、通过分光方式无差别的复制核心网流量数据,解封装gtp或gre,取得承载层ip数据包,通过五元组完成数据流关联,再进行乱序重排还原出整个数据流;
ⅲ、在数据流中恢复应用层或传输层数据,如http,提供给攻击识别300模块。
③攻击识别300
攻击识别定时查询攻击模型库中规则数据,并读取到本地berkeleydb内存数据库中,根据区域采集器采集的数据,与攻击模型库规则进行按类型匹配;设置有模式识别方法、ip端口规则识别方法、url识别方法、流量模型识别攻击识别方法。
所述的攻击识别300的工作流程包括下列步骤:
ⅰ、从攻击模型库100中预加载攻击规则;
ⅱ、对区域采集器完成的还原数据按不同数据类型与攻击规则模式匹配,完成攻击识别。
④关联分析400
通过区域采集器采集后的数据形成的数据摘要需要和信令数据关联确定攻击发起实体,关联过程按网络数据封装格式进行不同处理。
a、gtp封装
gtp封装数据关联需要分数据上下行,而后分别通过上行和下行的teid进行数据和信令关联;
b、gre封装
gre封装数据则不区分上下行,直接通过数据中key值进行关联;
通过两种关联方式,将攻击行为数据与信令熟悉进行关联,形成攻击数据摘要,并将结果给攻击溯源500使用。
所述的关联分析400的工作流程包括下列步骤:
ⅰ、攻击行为摘要携带核心网流量中的属性信息,如sgw与pgw的ip地址以及gtp封装的teid值或者gre封装的key值;同时附带攻击方式,攻击载荷信息;
ⅱ、向信令缓存器发送查询命令,关联分析其身份信息;
ⅲ、向攻击溯源模块发送经过关联分析后的关联信息。
⑤攻击溯源500
攻击溯源500接收到关联分析模块分析后的数据摘要,提取出其中的攻击发起方个人属性信息,包括imsi、imei、msisdn、bsid、攻击方式信息,通过bsid定位方式在gis地图中标定攻击方大致物理位置,并以图钉方式展示,同时将其他攻击属性信息展示在gis地图中,方便网络运维者处置追责。
所述的溯源模块500的工作流程包括下列步骤:
ⅰ、关联分析结果解析,确定攻击过程攻击发起方与攻击被动方;
ⅱ、攻击发起方信令信息解析取出bsid相关数据;
ⅲ、通过bsid基础数据库确定攻击方当前基站位置,结合gis地图标定攻击发起方当前地点。
⑥信令缓存器600
信令缓存器600用来接收信令中心同步下发的信令信息,并在本地以内存数据库方式存储,方便关联分析400模块调用;
信令缓存器接收的信令同步数据结构:
network字段标明信令网络类型包含gre或gtp;
sigtype字段表明信令类型上线、更新、下线;
up_key与down_key用于gtp网络的上下行数据关联,在网路类型是gre时无用;
key字段表示gre网络的数据关联,在gtp网络类型时无用。
所述的信令缓存器600的工作流程包括下列步骤:
ⅰ、接收信令中心下发的用户信令摘要存储在本地内存数据库提供高速查询;当收到用户上线信令快速缓存,收到注册变更时及时修改信令缓存,收到用户下线信令等到超时阈值结束删除用户信令节点;
ⅱ、接收关联分析模块的信令查询请求,内存数据库中快速检索用户信令数据。
⑦中心信令采集700
中心信令采集700与区域数据采集200类似,选用刀片服务器;安装linux操作系统,每块刀片单独采集一路数据;内部处理程序采用c语言编写,其只对信令数据进行解析;解析出用户上线、用户网络更新、用户下线信令过程,形成与信令缓存器接收数据一致的信令数据结构,发送给信令分发。
所述的中心信令采集700的工作流程包括下列步骤:
ⅰ、在运营商省级信令中心sgw与pgw之间核心网数据进行汇聚;
ⅱ、解析用户上线附着、信令更新、下线去附着信令过程,形成用户属性信令摘要。
⑧信令分发800
中心信令采集700完成用户信令的及时采集,采集结果通过信令分800快速同步至区域信令缓存器600,信令分发的主要核心是基于udp套接口的分发管理;当发送信令完成时,区域信令缓存器600回复信令收到的确认信息给信令分发800,信令分发800将不再发送同一信令消息给区域信令缓存器。
所述的信令分发器800的工作流程包括下列步骤:
ⅰ、采用高并发架构中心信令采集有信令消息快速通知到信令分发器;
ⅱ、信令分发器连接有各区域系统信令缓存器,多线程分发信令更新数据;并确保信令缓存器收到数据。
3、工作机理:
本系统采用分布式部署方式,包括区域分系统和信令中心分系统;
信令中心分系统通过中心信令采集700完成用户上线、信令更新和用户下线的信令动作采集,形成信令摘要,并快速分发到区域信令缓存器600;
区域分系统通过区域采集器200采集核心网数据,利用预置的攻击规则对数据进行处理,识别出攻击后与信令进行关联分析,从而确定网络攻击发起方的个人信息与位置关键信息,对整个网络攻击事件的处置与检测提供有力的技术保障。
二、应用
该系统的验证试验在硬件方面可以使用2台刀片服务器,4台通用服务器和2台交换机完成,两个交换机分别组网形成中心信令采集和区域处理系统。刀片服务器采用华为fusionservere6000h,通用服务器采用dellr720;软件方面均采用radhat企业版64位系统,两台刀片服务器用于区域采集器和中心信令采集器,其他服务器用于其他个模块的部署。