一種移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于移動(dòng)通信安全技術(shù)領(lǐng)域���,具體的涉及一種移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)及方 法�。
【背景技術(shù)】
[0002] 全球移動(dòng)通信網(wǎng)是一個(gè)互聯(lián)互通的網(wǎng)絡(luò)�����,我國移動(dòng)運(yùn)營商已經(jīng)與國外數(shù)百家移動(dòng) 運(yùn)營商簽署了國際漫游協(xié)議�。根據(jù)漫游協(xié)議���,國外移動(dòng)運(yùn)營商可以通過國際信令網(wǎng)訪問對 方的用戶部分信息��,而2G/3G移動(dòng)信令網(wǎng)的安全機(jī)制并不完善�,移動(dòng)網(wǎng)絡(luò)和用戶面臨網(wǎng)元設(shè) 備干擾��、用戶信息泄露安全威脅����。此外����,在國內(nèi)還存在各種專用移動(dòng)通信網(wǎng)���,一般建有專有 的核心網(wǎng)元設(shè)備�,結(jié)合公眾移動(dòng)通信網(wǎng)提供服務(wù)���,專用內(nèi)網(wǎng)與公眾外網(wǎng)之間互聯(lián)互通��,對于 對網(wǎng)絡(luò)安全性要求更高的專用網(wǎng)絡(luò)��,同樣面臨外部網(wǎng)絡(luò)的安全威脅���。
[0003] 針對以上安全威脅,業(yè)界已有相關(guān)的防護(hù)方法和設(shè)備���。但是���,目前的防護(hù)方法和設(shè) 備對異常信令通常采用告警轉(zhuǎn)發(fā)或過濾攔截的方法來處理,存在以下兩個(gè)問題: 一、由于需要對異常信令進(jìn)行攔截���,以串接方式接入的防護(hù)設(shè)備一般同時(shí)維持如圖2所 示的兩段信令鏈路���,在這種方式下,一旦防護(hù)設(shè)備出現(xiàn)故障�,會(huì)導(dǎo)致信令接入設(shè)備進(jìn)入直通 狀態(tài),其所維護(hù)的兩段信令鏈路在物理上變成了直接連接兩端STP設(shè)備的一段鏈路����,信令鏈 路將進(jìn)入重定位狀態(tài)直至同步成功,這種情況下會(huì)出現(xiàn)鏈路閃斷����,并導(dǎo)致一段時(shí)間內(nèi)的停 止服務(wù),在信令流量較大的場景如國際信令鏈路間則影響更為嚴(yán)重��,而這是電信運(yùn)營商難 以接受的���。
[0004] 二、告警轉(zhuǎn)發(fā)方法對用戶安全有即刻受損的風(fēng)險(xiǎn)�,而攔截處理導(dǎo)致信令始發(fā)方收 不到信令響應(yīng),本質(zhì)上是一種有痕的防護(hù)方法����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明針對現(xiàn)有技術(shù)存在一旦防護(hù)設(shè)備出現(xiàn)故障�����,會(huì)導(dǎo)致信令接入設(shè)備進(jìn)入直通 狀態(tài)�����,其所維護(hù)的兩段信令鏈路在物理上變成了直接連接兩端STP設(shè)備的一段鏈路���,信令鏈 路將進(jìn)入重定位狀態(tài)直至同步成功,這種情況下會(huì)出現(xiàn)鏈路閃斷����,并導(dǎo)致一段時(shí)間內(nèi)的停 止服務(wù),同時(shí)也是一種有痕的防護(hù)方法等問題��,提出一種移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)及方法�。
[0006] 本發(fā)明的技術(shù)方案是:一種移動(dòng)通信網(wǎng)間蜜罐系統(tǒng),包括底層處理設(shè)備�����、監(jiān)控服務(wù) 器和蜜罐設(shè)備��,底層接入設(shè)備位于外部網(wǎng)絡(luò)STP和內(nèi)部網(wǎng)絡(luò)STP之間,底層接入設(shè)備同時(shí)與 監(jiān)控服務(wù)器連接��,在內(nèi)部網(wǎng)絡(luò)STP上還連接有蜜罐設(shè)備�����,其特征在于:所述蜜罐設(shè)備是一個(gè) 具備如MSC/VLR��、SMC等多種移動(dòng)核心網(wǎng)網(wǎng)元功能合一局的SP設(shè)備���,所述合一局指的是:所有 的設(shè)備都在一個(gè)局內(nèi)����,蜜罐設(shè)備根據(jù)網(wǎng)絡(luò)的承載方式�,可以相應(yīng)采用電路或者是分組的承 載方式接入信令網(wǎng);并且網(wǎng)絡(luò)邊界STP能夠根據(jù)蜜罐設(shè)備的地址���,將消息轉(zhuǎn)發(fā)到蜜罐設(shè)備�; 在蜜罐設(shè)備中配置針對各實(shí)體安全威脅的處理方式���,當(dāng)蜜罐設(shè)備接收到了異常消息�����,根據(jù) 配置的處理策略��,發(fā)送相應(yīng)的響應(yīng)消息�。
[0007] 所述的移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)�����,其特征在于:所述底層處理設(shè)備部署在內(nèi)部網(wǎng)絡(luò) 轉(zhuǎn)接點(diǎn)STP前端�����,且與外部網(wǎng)絡(luò)STP連接;底層接入設(shè)備對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的STP來說 完全透明�,能夠保持底層接入設(shè)備兩側(cè)的鏈路保持一致。
[0008] 所述的移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)�,所述監(jiān)控服務(wù)器能夠?qū)崿F(xiàn)無感接入,對于合法的 正常信令不作處理����,直接通過底層接入設(shè)備向目的網(wǎng)絡(luò)實(shí)體轉(zhuǎn)發(fā);對于判定為異常的信令, 并不做丟棄處理����,而是將異常信令的目的地址修改為為蜜罐設(shè)備地址不影響正常通信業(yè) 務(wù),根據(jù)移動(dòng)通信網(wǎng)絡(luò)的承載類型�����,監(jiān)控服務(wù)器相應(yīng)的采用基于電路或者基于分組兩種方 式進(jìn)行承載。
[0009] 所述的移動(dòng)通信網(wǎng)間蜜罐系統(tǒng)�,基于電路域的無感串接方式能夠保持內(nèi)部網(wǎng)絡(luò) STP與外部網(wǎng)絡(luò)STP之間的鏈路及消息的一致,底層接入設(shè)備能夠保證不改變MTP2層的FSN 和BSN等序號(hào)����,在MTP3層,能夠保證消息的源點(diǎn)碼SPC����、目的點(diǎn)碼DPC和消息鏈路選擇碼SLS的 一致,而且可以保證消息順序不變�。
[0010] 所述的移動(dòng)通信網(wǎng)間蜜罐系統(tǒng),基于分組域的無感串接方式能夠保持內(nèi)部網(wǎng)絡(luò) STP與外部網(wǎng)絡(luò)STP之間的鏈路及消息的一致���,底層接入設(shè)備能夠保證接收到與發(fā)送出的IP 層及IP層以下的報(bào)文頭無改變����,而且保持信令消息順序不變��。
[0011] -種包含權(quán)利要求1的移動(dòng)通信網(wǎng)間蜜罐方法��,該方法包括以下步驟: 步驟一:底層接入設(shè)備接收信令消息并轉(zhuǎn)發(fā)給監(jiān)控服務(wù)器���; 步驟二:監(jiān)控服務(wù)器對信令進(jìn)行異常檢測���; 步驟三:蜜罐設(shè)備對異常信息進(jìn)行處理。
[0012] 所述的移動(dòng)通信網(wǎng)間蜜罐方法��,所述底層接入設(shè)備接收信令消息并轉(zhuǎn)發(fā)給監(jiān)控服 務(wù)器是底層設(shè)備根據(jù)配置�,將所需要防護(hù)的信令轉(zhuǎn)發(fā)至監(jiān)控服務(wù)器;不需要防護(hù)的信令直 接轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)的STP,對于監(jiān)控服務(wù)器返回的消息��,根據(jù)目的地址做轉(zhuǎn)發(fā)處理�。
[0013] 所述的移動(dòng)通信網(wǎng)間蜜罐方法,所述監(jiān)控服務(wù)器對信令進(jìn)行異常檢測����,主要是對 于接收到的信令消息,監(jiān)控服務(wù)器根據(jù)信令消息類型���、目的網(wǎng)元類型�,經(jīng)過查找配置信息來 選擇異常檢測算法;對于正常的信令不作處理���,直接返回給底層接入設(shè)備��,由底層接入設(shè)備 繼續(xù)轉(zhuǎn)發(fā);對于異常的信令�,并不做丟棄處理,而是將異常信令的目的地址修改為蜜罐設(shè)備 地址���,然后返回給底層接入設(shè)備�。
[0014] 所述的移動(dòng)通信網(wǎng)間蜜罐方法�,所述蜜罐設(shè)備對異常信息進(jìn)行處理,主要是在蜜 罐設(shè)備中配置針對各實(shí)體安全威脅的處理方式�����,當(dāng)蜜罐設(shè)備接收到了異常消息���,根據(jù)配置 的處理策略�,發(fā)送相應(yīng)的響應(yīng)消息;其消息響應(yīng)通常有多種應(yīng)對策略���,一是返回指示為錯(cuò)誤 的響應(yīng)�,如消息目的不可達(dá)等���,二是返回虛假的應(yīng)答消息���,如包含虛假的用戶終端參數(shù),或 者返回不包含敏感信息的響應(yīng)消息。
[0015] 本發(fā)明的有益效果是:1��、本發(fā)明實(shí)施方便���,只需要把本發(fā)明部署在內(nèi)部網(wǎng)絡(luò)的STP 的入口前端���,能夠?qū)崿F(xiàn)對整個(gè)網(wǎng)絡(luò)的保護(hù);底層接入設(shè)備采用無感串接的方式�,通信過程中 即使設(shè)備退出也不會(huì)存在閃斷問題,保證電信業(yè)務(wù)的高可靠性;監(jiān)控服務(wù)器和蜜罐設(shè)備可 以相互配合�����,能對異常消息采用靈活的處理方式���,根據(jù)安全需求���,可以回復(fù)特定的響應(yīng)消 息,保持信令流程的完整性和達(dá)到無痕的防護(hù)效果�����; 2���、通過在部署移動(dòng)通信網(wǎng)間蜜罐防護(hù)裝置�����,在保證通信正常不閃斷����,滿足電信運(yùn)營商 的高可靠性的前提下;能夠?qū)ν獠烤W(wǎng)絡(luò)移動(dòng)運(yùn)營商網(wǎng)絡(luò)的異常信令進(jìn)行識(shí)別和過濾���,主動(dòng) 靈活地防御外部網(wǎng)絡(luò)的各類惡意訪問行為����,保證網(wǎng)絡(luò)的可靠性����,達(dá)到無痕防護(hù)效果; 3�、底層接入設(shè)備對于內(nèi)網(wǎng)和外網(wǎng)STP來說完全透明。監(jiān)控服務(wù)器或底層接入設(shè)備如果 出現(xiàn)宕機(jī)�����,底層接入設(shè)備將直接退出內(nèi)網(wǎng)和外網(wǎng)STP連接�����,進(jìn)入鏈路直通狀態(tài)?;陔娐烦?載的情況下,由于底層接入設(shè)備維持兩端的消息一致�����,所以不影響外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的 MTP2層和MTP3層連接����,不會(huì)出現(xiàn)閃斷現(xiàn)象;基于分組的承載情況下����,由于底層接入設(shè)備維持 兩端的消息一致,所以不影響內(nèi)外網(wǎng)STP分組連接����,不會(huì)出現(xiàn)閃斷現(xiàn)象。
【附圖說明】
[0016] 圖1為網(wǎng)間蜜罐安裝位置結(jié)構(gòu)示意圖�; 圖2為現(xiàn)有防護(hù)系統(tǒng)的底層接入方式圖; 圖3為網(wǎng)間蜜罐防護(hù)方法流程圖����; 圖中,1為外部網(wǎng)絡(luò),2為監(jiān)控服務(wù)器���,3為內(nèi)部網(wǎng)絡(luò)�����,4為蜜罐設(shè)備�����,5為底層接入設(shè)備����。
【具體實(shí)施方式】
[0017] 實(shí)施例1:結(jié)合圖1����,一種移動(dòng)通信網(wǎng)間蜜罐方法,該方法包括以下步驟: 步驟一:底層接入設(shè)備接收信令消息并轉(zhuǎn)發(fā)給監(jiān)控服務(wù)器;步驟二:監(jiān)控服務(wù)器對信令 進(jìn)行異常檢測;步驟三:蜜罐設(shè)備對異常信息進(jìn)行處理���。
[0018] 底層接入設(shè)備接收信令消息并轉(zhuǎn)發(fā)給監(jiān)控服務(wù)器是底層設(shè)備根據(jù)配置�,將所需要 防護(hù)的信令轉(zhuǎn)發(fā)至監(jiān)控服務(wù)器;不需要防護(hù)的信令直接轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)的STP�,對于監(jiān)控服 務(wù)器返回的消息,根據(jù)目的地址做轉(zhuǎn)發(fā)處理�����。
[0019] 監(jiān)控服務(wù)器對信令進(jìn)行異常檢測,主要是對于接收到的信令消息�����,監(jiān)控服務(wù)器根 據(jù)信令消息類型�、目的網(wǎng)元類型,經(jīng)過查找配置信息來選擇異常檢測算法��。對于正常的信令 不作處理�,直接返回給底層接入設(shè)備,由底層接入設(shè)備繼續(xù)轉(zhuǎn)發(fā);對于異常的信令���,并不做 丟棄處理�,而是將異常信令的目的地址修改為蜜罐設(shè)備地址�����,然后返回給底層接入設(shè)備���。
[0020] 蜜罐設(shè)備對異常信息進(jìn)行處理,主要是在蜜罐設(shè)備中配置針對各實(shí)體安全威脅的 處理方式����,當(dāng)蜜罐設(shè)備接收到了異常消息���,根據(jù)配置的處理策略,發(fā)送相應(yīng)的響應(yīng)消息����;其 消息響應(yīng)通常有多種應(yīng)對策略,一是返回指示為錯(cuò)誤的響應(yīng)��,如消息目的不可達(dá)等���,二是返 回虛假的應(yīng)答消息��,如包含虛假的用戶終端參數(shù)�,或者返回不包含敏感信息的響應(yīng)消息����。 [0021 ] -種移動(dòng)通信網(wǎng)間蜜罐方法的裝置,包括底層處理設(shè)備�、監(jiān)控服務(wù)器和蜜罐設(shè)備, 底層接入設(shè)備位于外部網(wǎng)絡(luò)STP和內(nèi)部網(wǎng)絡(luò)STP之間�����,底層接入設(shè)備同時(shí)與監(jiān)控服務(wù)器連 接,在內(nèi)部網(wǎng)絡(luò)STP上還連接有蜜罐設(shè)備���,所述蜜罐設(shè)備是一個(gè)具備如MSC/VLR�、SMC等多種 移動(dòng)核心網(wǎng)網(wǎng)元功能合一局的SP設(shè)備���,蜜罐設(shè)備根據(jù)網(wǎng)絡(luò)的承載方式�,可以相應(yīng)采用電路 或者是分組的承載方式接入信令網(wǎng)��;并且網(wǎng)絡(luò)邊界STP能夠根據(jù)蜜罐設(shè)備的地址��,將消息轉(zhuǎn) 發(fā)到蜜罐設(shè)備;在蜜罐設(shè)備中配置針對各實(shí)體安全威脅的處理方式����,當(dāng)蜜罐設(shè)備接收到了 異常消息,根據(jù)配置的處理策略�,發(fā)送相應(yīng)的響應(yīng)消息。
[0022]底層處理設(shè)備部署在內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)接點(diǎn)STP前端����,且與外部網(wǎng)絡(luò)STP連接;底層接入 設(shè)備對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的STP來說完全透明�����,能夠保持底層接入設(shè)備兩側(cè)的鏈路保 持一致。監(jiān)控服務(wù)器能夠?qū)崿F(xiàn)無感接入����,對于合法的正常信令不作處理,直接通過底層接入 設(shè)備向目的網(wǎng)絡(luò)實(shí)體轉(zhuǎn)發(fā);對于判定為異常的信令�,并不做丟棄處理,而是將異常信令的目 的地址修改為為蜜罐設(shè)備地址不影響正常通信業(yè)務(wù)�,根據(jù)移動(dòng)通信網(wǎng)絡(luò)的承載類型,監(jiān)控 服務(wù)器相應(yīng)的采用基于電路或者基于分組兩種方式進(jìn)行承載�。
[0023 ]基于電路域的無感串接方式能夠保持內(nèi)部網(wǎng)絡(luò)STP與外部網(wǎng)絡(luò)STP之間的鏈路及 消息的一致,底層接入設(shè)備能夠保證不改變MTP2層的FSN和BSN等序號(hào)�,在MTP3層,能夠保證 消息的源點(diǎn)碼SPC�、目的點(diǎn)碼DPC和消息鏈路選擇碼SLS的一致,而且可以保證消息順序不 變�。
[0024] 基于分組域的無感串接方式能夠保持內(nèi)部網(wǎng)絡(luò)STP與外部網(wǎng)絡(luò)ST