本发明专利技术公开了一种5G信令攻击检测系统,涉及信息安全领域,包括信令解析平台和信令攻击检测平台;所述信令解析平台用于接收并解析5G网络接口的信令流量,提取得到关键信息,并基于解析结果生成日志上报给信令攻击检测平台,所述关键信息包括SUCI、SUPI、PEI、MSISDN、TAC、CellId、错误码、网元IP、信令产生时间和流程类型信息;所述信令攻击检测平台用于接收并解析信令解析平台上报的日志,并基于日志进行信令攻击检测,以及通过网络页面展示攻击检测结果。本发明专利技术能够提升攻击检测准确率。本发明专利技术能够提升攻击检测准确率。本发明专利技术能够提升攻击检测准确率。
【技术实现步骤摘要】
一种5G信令攻击检测系统
[0001]本专利技术涉及信息安全领域,具体涉及一种5G信令攻击检测系统。
技术介绍
[0002]5G(5th Generation Mobile Communication Technology,第五代移动通信技术)网络支持更高带宽、更低时延、更大连接密度,但引入的网络切片、泛在物联网、边缘计算、网络功能虚拟化、网络能力开放等关键技术,一定程度上也带来了新的安全威胁和风险,对数据保护、安全防护和运营部署等方面提出了更高要求,主要面临如下威胁:
[0003]1、网络切片,攻击者通过攻击某个低防护能力的网络切片,并以此为跳板来攻击其他切片;
[0004]2、泛在物联网,海量终端接入带来流量的大幅提升,同时防护能力较弱的终端易被攻击者利用,引入DDOS(分布式拒绝服务攻击)、设备劫持等安全威胁;
[0005]3、边缘计算,边缘计算平台上可部署多个应用,共享相关资源,一旦某个防护较弱的应用被攻破,将会影响边缘计算平台上其他应用的安全运行;
[0006]4、网络功能虚拟化,多个虚拟网络功能共享下层基础资源,若某个虚拟网络功能被攻击将会波及其他功能,且网络虚拟化大量采用开源和第三方软件,引入安全漏洞的可能性加大;
[0007]5、网络能力开放,网络能力开放接口采用互联网通用协议,会将互联网已有的安全风险引入到5G网络。
[0008]基于上述问题,如何必须建立一套完善的针对5G网络信令攻击的检测系统,是当前亟需解决的问题。
技术实现思路
[0009]针对现有技术中存在的缺陷,本专利技术的目的在于提供一种5G信令攻击检测系统,能够提升攻击检测准确率。
[0010]为达到以上目的,本专利技术采取的技术方案是,包括信令解析平台和信令攻击检测平台;
[0011]所述信令解析平台用于接收并解析5G网络接口的信令流量,提取得到关键信息,并基于解析结果生成日志上报给信令攻击检测平台,所述关键信息包括SUCI、SUPI、PEI、MSISDN、TAC、CellId、错误码、网元IP、信令产生时间和流程类型信息;
[0012]所述信令攻击检测平台用于接收并解析信令解析平台上报的日志,并基于日志进行信令攻击检测,以及通过网络页面展示攻击检测结果。
[0013]在上述技术方案的基础上,
[0014]所述信令解析平台包括流量接收模块、协议解析模块、信令关联模块和日志生成上报模块;
[0015]所述信令攻击检测平台包括日志接收解析模块、信令攻击检测模块、数据展示模
块、攻击告警模块和数据回溯模块。
[0016]在上述技术方案的基础上,
[0017]所述流量接收模块用于接收5G网络接口的信令流量,并对信令流量进行负载均衡和同源同宿处理;
[0018]所述协议解析模块用于对信令流量中的HTTP2、SBI、NGAP、NAS和PFCP协议进行解析,从而提取得到关键信息;
[0019]所述信令关联模块用于以5G
‑
GUTI、SUPI、SUCI、PEI、MSISDN、AMF UE NGAP ID和GTP tunnel信息为key值建立hash表;
[0020]所述日志生成上报模块用于记录协议解析模块的解析结果并生成日志上报给信令攻击检测平台。
[0021]在上述技术方案的基础上,所述协议解析模块对信令流量中的HTTP2、SBI、NGAP、NAS和PFCP协议进行解析时:
[0022]对于HTTP2协议,将HTTP2协议流量进行重组还原和动态头解压缩处理;
[0023]对于SBI协议,基于SBI协议流量负责关联的5G网络接口的协议流程,提取得到关键信息;
[0024]对于NGAP协议,进行NGAP协议流量所负者的关键信息的提取,并进行信令流程关联;
[0025]对于NAS协议,将NAS协议流量进行NAS解密和NAS信息提取处理;
[0026]对于PFCP协议,将PFCP协议流量所负者的N4接口的信令流量进行解析,提取得到关键信息。
[0027]在上述技术方案的基础上,
[0028]所述日志接收解析模块用于接收信令解析平台上报的日志,并解析日志内容;
[0029]所述信令攻击检测模块用于根据日志内容进行信令攻击事件检测,所述信令攻击事件检测包括异常终端接入检测、非法gNB接入检测、非法UPF接入检测、终端异常行为检测、异常服务检测、异常格式检测和信令风暴检测;
[0030]所述攻击告警模块用于对检测到的攻击事件进行告警和提示;
[0031]所述数据展示模块用于将检测到的攻击事件通过网络页面进行可视化展示;
[0032]所述数据回溯模块用于导出信令攻击的原始码流和话单。
[0033]在上述技术方案的基础上,所述异常终端接入检测为:
[0034]基于registration reject消息中的cause字段,若cause的值为IllegalUE、Illegal ME或5GS services not allowed,则判定为非法UE接入。
[0035]在上述技术方案的基础上,所述非法gNB接入检测和非法UPF接入检测检测为:
[0036]通过匹配IP工参表,若gNB的IP未匹配上工参表内的IP,则判定为非法gNB接入,若UPF的IP未匹配上工参表内的IP,则判定为非法UPF接入。
[0037]在上述技术方案的基础上,所述终端异常行为检测为:
[0038]以SUPI为维度统计单位周期内终端发起各行为的次数,若任一行为的发起次数大于设定阈值,则判定终端存在异常行为;
[0039]其中,所述行为包括开关机、注册、切换、发起PDU请求和发起服务请求;
[0040]所述设定阈值包括静态阈值和动态阈值;
[0041]所述静态阈值通过配置下发,为固定值;
[0042]所述动态阈值的确定方式为:
[0043]获取当前行为在预设个数的历史周期内的发起次数,并按照降序方式对发起次数进行排序,取排名为前60%的发起次数计算得到周期发起次数平均值,将计算得到的周期发起次数平均值乘以校对因子即得到当前行为的动态阈值。
[0044]在上述技术方案的基础上,
[0045]所述异常服务检测为:将SBI的请求服务类型与服务端提供的服务类型做比对,若SBI的请求服务类型不在服务端提供的服务列表内,则判定为异常服务;
[0046]所述异常格式检测为:基于消息内容的合法性,若消息的内容不满足3gpp协议,则判定为异常格式。
[0047]在上述技术方案的基础上,所述信令风暴检测为:
[0048]对N1、N2接口的信令进行解析,以AMF网元IP为维度统计单位周期内registration、service request和PDU session establishment request流程的流程数,若任一流程的次数大于预设阈值,则判定存在相本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种5G信令攻击检测系统,其特征在于,包括信令解析平台和信令攻击检测平台;所述信令解析平台用于接收并解析5G网络接口的信令流量,提取得到关键信息,并基于解析结果生成日志上报给信令攻击检测平台,所述关键信息包括SUCI、SUPI、PEI、MSISDN、TAC、CellId、错误码、网元IP、信令产生时间和流程类型信息;所述信令攻击检测平台用于接收并解析信令解析平台上报的日志,并基于日志进行信令攻击检测,以及通过网络页面展示攻击检测结果。2.如权利要求1所述的一种5G信令攻击检测系统,其特征在于:所述信令解析平台包括流量接收模块、协议解析模块、信令关联模块和日志生成上报模块;所述信令攻击检测平台包括日志接收解析模块、信令攻击检测模块、数据展示模块、攻击告警模块和数据回溯模块。3.如权利要求2所述的一种5G信令攻击检测系统,其特征在于:所述流量接收模块用于接收5G网络接口的信令流量,并对信令流量进行负载均衡和同源同宿处理;所述协议解析模块用于对信令流量中的HTTP2、SBI、NGAP、NAS和PFCP协议进行解析,从而提取得到关键信息;所述信令关联模块用于以5G
‑
GUTI、SUPI、SUCI、PEI、MSISDN、AMF UE NGAP ID和GTP tunnel信息为key值建立hash表;所述日志生成上报模块用于记录协议解析模块的解析结果并生成日志上报给信令攻击检测平台。4.如权利要求3所述的一种5G信令攻击检测系统,其特征在于,所述协议解析模块对信令流量中的HTTP2、SBI、NGAP、NAS和PFCP协议进行解析时:对于HTTP2协议,将HTTP2协议流量进行重组还原和动态头解压缩处理;对于SBI协议,基于SBI协议流量负责关联的5G网络接口的协议流程,提取得到关键信息;对于NGAP协议,进行NGAP协议流量所负者的关键信息的提取,并进行信令流程关联;对于NAS协议,将NAS协议流量进行NAS解密和NAS信息提取处理;对于PFCP协议,将PFCP协议流量所负者的N4接口的信令流量进行解析,提取得到关键信息。5.如权利要求2所述的一种5G信令攻击检测系统,其特征在于:所述日志接收解析模块用于接收信令解析平台上报的日志,并解析日志内容;所述信令攻击检测模块用于根据日志内容进行信令攻击事件检测,所述信令攻击事件检测包括异常终端接入检测、非法gNB接入检测、非法UPF接入检测、终端异常行为检测、异常服务检测、异常格式检测和信令风暴检测;所述攻击告警模块用于对检测到的攻击事件进行告警...
【专利技术属性】
技术研发人员:黄念,乐诚,王群,沈飞,
申请(专利权)人:武汉博易讯信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。