一种基于DPI技术的5G信令攻击监测方法和装置与流程

一种基于dpi技术的5g信令攻击监测方法和装置
技术领域
1.本技术涉及5g移动通信安全领域，尤其涉及基于dpi技术的5g信令攻击监测方法和装置。


背景技术：

2.随着社会对网络的需求变多，要求变高，相关的移动通信技术的也随之不断发展，从开始的2/3g通信网络，到4g网络的全面普及，人们的上网体验有了极大的提升。如今5g网络也正在逐步推广，这意味着未来的网络将是更高的带宽，更低的时延，以及更多的接入设备，由此带来的网络安全问题也是更为复杂，各种新式网络攻击手段也会接踵而来。当前，通过深度包检测技术(deep packet inspection，dpi)可以更好地对未来复杂网络流量进行分析识别，从而更好地进行防护管控。
3.目前，网络已经覆盖到社会生活的方方面面，如若安全问题处理不当，可能造成个人隐私信息，甚至国家信息的泄露，给社会造成巨大损失，需要建立一套完备的基于dpi技术的5g信令攻击监测方法和装置。
4.因此，期望提供一种基于dpi技术的5g信令攻击监测方法和装置，利用5g信令攻击监测算法并结合初筛、复筛、精筛算法，可以准确发现信令异常流量，分析5g信令攻击行为，并准确高效判定5g信令攻击行为，保障5g核心网正常工作。


技术实现要素：

5.根据本技术的一些实施例的第一方面，提供了一种基于dpi技术的5g信令攻击监测方法，应用于终端(例如，5g信令攻击监测装置等)中，所述方法可以基于dpi技术，通过分光方式从5g核心网获取5g信令流量；解析5g信令协议并提取信令信息；利用攻击监测算法确定信令异常流量，并判定5g信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。
6.在一些实施例中，所述5g信令协议包括http2、ngap、nas、pfcp、gtpv2：所述信令信息包括流程用户、流程类型、流程状态、信令起止时间、永久用户标识、流程错误码；所述异常单报文监测方法包括不明终端接入监测方法和基站非法接入监测方法；所述异常多报文监测方法包括初筛算法、复筛算法、精筛算法。
7.在一些实施例中，所述不明终端接入监测方法，具体包括通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析用户终端与amf网元交互信令，并提取信令流程类型、流程状态、信令起止时间、永久用户标识supi、流程错误码；若用户终端向核心网发起注册请求，且核心网拒绝接入，错误码3为非法用户illegal ue，错误码5为非法终端标识pei not accepted，错误码6为非法sim卡illegal me，判定所述错误码3，错误码5，错误码6为不明终端接入行为。
8.在一些实施例中，所述基站非法接入监测方法，具体包括通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析基站与amf网元交互信令，并提取信令流程类
型、流程状态；若基站向核心网发起基站建立请求，且核心网拒绝接入，错误码11为无效小区cell-not-available，错误码12为无效目标unknown-targetid，判定所述错误码11，错误码12为基站非法接入行为。
9.在一些实施例中，所述初筛算法包括异常协议的初筛判定，异常格式的初筛判定，异常方向的初筛判定，以及异常服务的初筛判定。
10.在一些实施例中，所述异常协议的初筛判定包括以sbi网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常协议数；若单位时间内sbi网元异常协议数超过门限l
p
，初筛判定为异常协议攻击；异常格式的初筛判定包括以amf ip维度统计话单数据，确定n1n2话单无效流程数；若单位时间内无效流程数超过门限lf，初筛判定为异常格式攻击；异常方向的初筛判定包括以amf ip维度统计话单数据，当确定n1n2信令报文注册请求为上行报文，提取所述报文为下行报文时，判定异常方向；若单位时间内异常方向报文数超过门限ld，初筛判定为异常方向攻击；异常服务的初筛判定包括以网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常服务类型数；若单位时间内sbi网元异常服务类型数超过门限ls，初筛判定为异常服务攻击。
11.在一些实施例中，所述复筛算法，具体包括将初筛话单数据根据用户终端标识维度、位置信息维度统计；若相同用户终端标识数n
ue
大于总话单数的50％，或，若相同位置信息话单数n
tac
大于总话单数的50％，复筛判定为信令攻击行为。
12.在一些实施例中，所述精筛算法，具体包括根据公式
13.l
threshold
＝α
×mthreshold
+β
×wthreshold
+γ
×dthreshold
，
14.其中，m
threshold
表示一个月内同一时间段的异常平均值，w
threshold
表示前一周同一时间段的异常平均值，d
threshold
表示前一天同一时间段的异常平均值，α、β、γ分别是月度、前一周和前一天数据的加权系数，α+β+γ＝1；
15.计算异常流量平均值lthreshold，若异常流量大于平均值lthreshold，精筛判定所述异常流量为信令攻击流量。
16.根据本技术的一些实施例的第二方面，提供了一种基于dpi技术的5g信令攻击监测装置，所述装置包括流量识别系统，包括流量采集模块和流量解析输出模块；攻击行为监测系统，包括话单解析模块和行为分析模块。
17.在一些实施例中，所述基于dpi技术的5g信令攻击监测装置，进一步包括流量识别系统，被配置为获取5g信令流量，解析并提取信令关键信息，以及输出相应信令日志话单；攻击行为监测系统，被配置为对所述信令日志话单内容进行二次处理，分析5g信令攻击行为；一个存储器，被配置为存储数据及指令；一个与存储器建立通信的处理器，其中，当执行存储器中的指令时，所述处理器被配置为：基于dpi技术，通过分光方式从5g核心网获取5g信令流量；解析5g信令协议并提取信令信息；利用攻击监测算法确定信令异常流量，并判定5g信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。
18.因此，根据本技术的基于dpi技术的5g信令攻击监测方法和装置，利用5g信令攻击监测算法并结合初筛、复筛、精筛算法，可以准确发现信令异常流量，分析5g信令攻击行为，并准确高效判定5g信令攻击行为，保障5g核心网正常工作。
附图说明
19.为更好地理解并阐述本技术的一些实施例，以下将结合附图参考实施例的描述，在这些附图中，同样的数字编号在附图中指示相应的部分。
20.图1是根据本技术的一些实施例提供的系统在5g核心网侧采集点描述示例性示意图。
21.图2是根据本技术的一些实施例提供的基于dpi技术的5g信令攻击监测方法的示例性流程图。
22.图3是根据本技术的一些实施例提供的基于dpi技术的5g信令攻击监测装置的示例性示意图。
23.图4是根据本技术的一些实施例提供的5g网络信令攻击基站非法接入示例性解析图。
24.图5是根据本技术的一些实施例提供的5g网络信令攻击异常格式示例性解析图。
25.图6是根据本技术的一些实施例提供的5g网络信令攻击异常方向示例性解析图。
具体实施方式
26.以下参考附图的描述为便于综合理解由权利要求及其等效内容所定义的本技术的各种实施例。这些实施例包括各种特定细节以便于理解，但这些仅被视为示例性的。因此，本领域技术人员可以理解对在此描述的各种实施例进行各种变化和修改而不会脱离本技术的范围和精神。另外，为简要并清楚地描述本技术，本技术将省略对公知功能和结构的描述。
27.在以下说明书和权利要求书中使用的术语和短语不限于字面含义，而是仅为能够清楚和一致地理解本技术。因此，对于本领域技术人员，可以理解，提供对本技术各种实施例的描述仅仅是为说明的目的，而不是限制所附权利要求及其等效定义的本技术。
28.下面将结合本技术一些实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
29.需要说明的是，在本技术实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术实施例和所附权利要求书中所使用的单数形式的“一”、“一个”、“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本技术中使用的术语“和/或”是指并包含一个或多个相绑定的列出项目的任何或所有可能组合。表达“第一”、“第二”、“所述第一”和“所述第二”是用于修饰相应元件而不考虑顺序或者重要性，仅仅被用于区分一种元件与另一元件，而不限制相应元件。
30.根据本技术一些实施例的终端可以是智能终端，平台，装备和/或电子设备等；该智能终端可以包括5g信令攻击监测装置等。该平台可以包括云端平台等，所述平台可以包括由一个或多个电子设备组成的系统平台；该装备可以包括智能网联车辆(intelligent connected vehicle，icv)；该电子设备可以包括个人电脑(pc，例如平板电脑、台式电脑、笔记本、上网本、掌上电脑pda)、客户端设备、虚拟现实设备(vr)、增强现实设备(ar)、混合现实设备(mr)、xr设备、渲染机、智能手机、移动电话、电子书阅读器、便携式多媒体播放器
(pmp)、音频/视频播放器(mp3/mp4)、摄像机和可穿戴设备等中的一种或几种的组合。根据本技术的一些实施例，所述可穿戴设备可以包括附件类型(例如手表、戒指、手环、眼镜、或头戴式装置(hmd))、集成类型(例如电子服装)、装饰类型(例如皮肤垫、纹身或内置电子装置)等，或几种的组合。在本技术的一些实施例中，所述电子设备可以是灵活的，不限于上述设备，或者可以是上述各种设备中的一种或几种的组合。在本技术中，术语“用户”可以指示使用电子设备的人或使用电子设备的设备(例如人工智能电子设备)。
31.本技术实施例提供了一种基于dpi技术的5g信令攻击监测方法和装置。为了便于理解本技术实施例，以下将参考附图对本技术实施例进行详细描述。
32.图1是根据本技术的一些实施例提供的系统在5g核心网侧采集点描述示例性示意图。图3是根据本技术的一些实施例提供的基于dpi技术的5g信令攻击监测装置的示例性示意图。如图3所示，5g信令攻击监测装置300包括流量识别系统和攻击行为监测系统。所述流量识别系统可以包括流量采集模块和流量解析输出模块；所述攻击行为监测系统可以包括话单解析模块和行为分析模块。
33.如图1所示，所述流量采集模块通过分光方式获取5g核心网的网元间的控制面流量，其中包括n1/n2/n4/n5/n7/n8/n10/n11/n12/n13/n14/n15/n16/n22/n26/n40信令接口流量；所述流量解析输出模块对5g信令协议进行解析，所述5g信令协议包括http2、ngap、nas、pfcp、gtpv2等信令协议；提取信令信息，所述信令信息可以包括但不限于流程用户、流程类型、流程状态、信令起止时间、永久用户标识、流程错误码等关键字段信息，并输出相应日志话单，传输至话单解析模块，所述话单解析模块用于解析所述关键字段信息；再由行为分析模块通过相应的监测方法对其进行攻击行为的分析判定。
34.作为示例，基于dpi技术的监测系统可以包括网络、控制端、用户端和服务器等。具体的，控制端与用户端可以通过网络建立通信，例如，控制端与用户端可以在同一个局域网(比如，同一个路由器的网络环境等)中通信。进一步，控制端可以通过有线(例如，网线等)或无线(例如，云端服务器等)等方式与网络连接，用户端可以通过有线或无线(例如，wifi等)等方式与网络建立通信连接。在一些实施例中，用户端可以向控制端、服务器发送注册请求等。进一步地，控制端、服务器可以向用户端反馈拒绝接入等。作为示例，服务器和/或控制端可以基于错误码类型判定为不明终端接入行为、基站非法接入行为等。
35.根据本技术的一些实施例，控制端、用户端可以为相同或不同的终端设备等。所述终端设备可以包括但不限于智能终端，云端平台，移动终端，计算机等。在5g信令攻击监测场景中，控制端可以包括5g信令攻击监测装置等。在一些实施例中，控制端和用户端可以集成在一个设备中，例如，5g信令攻击监测装置等。在一些实施例中，服务器是计算机的一种，具有比普通计算机运行更快、负载更高等优势，而相对应的价格更高昂。在网络环境中，服务器可以为其它客户机(例如，pc机、智能手机、atm等终端，以及交通系统等大型设备)提供计算或者应用服务。服务器具有高速的cpu运算能力、长时间的可靠运行、强大的i/o外部数据吞吐能力以及更好的扩展性。所述服务器可以提供的服务包括但不限于承担响应服务请求、承担服务、保障服务的能力等。所述服务器作为电子设备，具有极其复杂的内部结构，包括与普通计算机相近的内部结构等，作为示例，所述服务器的内部结构可以包括中央处理器(central processing unit，cpu)、硬盘、内存，系统、系统总线等。
36.在本技术的一些实施例中，基于dpi技术的监测系统可以省略一个或多个元件，或
者可以进一步包括一个或多个其它元件。作为示例，基于dpi技术的监测系统可以包括多个用户终端ue，如多个ue等。又例如，基于dpi技术的监测系统可以包括一个或多个控制端。再例如，基于dpi技术的监测系统可以包括多个服务器等。在一些实施例中，基于dpi技术的监测系统可以包括但不限于基于5g信令攻击监测场景的系统。网络可以为任意类型的通信网络，所述通信网络可以包括计算机网络(例如，局域网(lan，local area network)或广域网(wan，wide area network))、互联网和/或电话网络等，或几种的组合。在一些实施例中，网络可以为其他类型的无线通信网络。所述无线通信可以包括微波通信和/或卫星通信等。所述无线通信可以包括蜂窝通信，例如，全球移动通信(gsm，global system for mobile communications)、码分多址(cdma，code division multiple access)、第三代移动通信(3g，the 3rd generation telecommunication)、第四代移动通信(4g)、第五代移动通信(5g)、第六代移动通信(6g)、长期演进技术(lte，long term evolution)、长期演进技术升级版(lte-a，lte-advanced)、宽带码分多址(wcdma，wideband code division multiple access)、通用移动通信系统(umts，universal mobile telecommunications system)、无线宽带(wibro，wireless broadband)等，或几种的组合。在一些实施例中，用户端可以为其他具备同等功能模块的装备和/或电子设备，该装备和/或电子设备可以包括虚拟现实设备(vr)、渲染机、个人电脑(pc，例如平板电脑、台式电脑、笔记本、上网本、掌上电脑pda)、智能手机、移动电话、电子书阅读器、便携式多媒体播放器(pmp)、音频/视频播放器(mp3/mp4)、摄像机和可穿戴设备等中的一种或几种的组合。
37.在一些实施例中，所述wifi可以为其他类型的无线通信技术。根据本技术的一些实施例，所述无线通信可以包括无线局域网(wifi，wireless fidelity)、蓝牙、低功耗蓝牙(ble，bluetooth low energy)、紫蜂协议(zigbee)、近场通讯(nfc，near field communication)、磁安全传输、射频和体域网(ban，body area network)等，或几种的组合。根据本技术的一些实施例，所述有线通信可以包括全球导航卫星系统(glonass/gnss，global navigation satellite system)、全球定位系统(gps，global position system)、北斗导航卫星系统或伽利略(欧洲全球卫星导航系统)等。所述有线通信可以包括通用串行总线(usb，universal serial bus)、高清多媒体接口(hdmi，high-definition multimedia interface)、推荐标准232(rs-232，recommend standard 232)、和/或简易老式电话服务(pots，plain old telephone service)等，或几种的组合。
38.需要说明的是，以上对于基于dpi技术的监测系统的描述，仅为描述方便，并不能把本技术限制在所举实施例的范围之内。可以理解，对于本领域技术人员，基于本系统的原理，可能在不背离该原理的前提下，对各个元件进行任意组合，或者构成子系统与其他元件连接，对实施上述方法和系统的应用领域进行形式和细节上的各种修正和改变。例如，服务器和/或控制端可以基于初筛、复筛、精筛算法等判定为信令攻击行为等。诸如此类的变形，均在本技术的保护范围之内。
39.图2是根据本技术的一些实施例提供的基于dpi技术的5g信令攻击监测方法的示例性流程图。如图2所述，流程200可以通过基于dpi技术的5g信令攻击监测装置实现。在一些实施例中，所述基于dpi技术的5g信令攻击监测方法200可以自动启动或通过指令启动。所述指令可以包括系统指令、设备指令、用户指令、动作指令等，或几种的组合。
40.在201，通过分光方式从5g核心网获取5g信令流量。操作201可以通过基于dpi技术
的监测系统的流量采集模块实现。在一些实施例中，所述流量采集模块可以基于dpi技术，通过分光方式从5g核心网获取5g信令流量。
41.作为示例，所述流量采集模块可以通过分光方式获取5g核心网的网元间的控制面流量，包括n1/n2/n4/n5/n7/n8/n10/n11/n12/n13/n14/n15/n16/n22/n26/n40信令接口流量。
42.在202，解析5g信令协议并提取信令信息。操作202可以通过基于dpi技术的监测系统的流量解析输出模块实现。在一些实施例中，所述流量解析输出模块可以解析5g信令协议并提取信令信息。所述信令信息可以包括但不限于流程用户、流程类型、流程状态、信令起止时间、永久用户标识、流程错误码等关键字段信息。
43.作为示例，所述流量解析输出模块对5g信令协议进行解析，所述5g信令协议包括http2、ngap、nas、pfcp、gtpv2等信令协议。
44.在一些实施例中，所述流量解析输出模块可以进一步输出相应日志话单，传输至话单解析模块。
45.在203，利用攻击监测算法确定信令异常流量，并判定5g信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。操作203可以通过基于dpi技术的监测系统的话单解析模块、行为分析模块实现。在一些实施例中，所述话单解析模块可以用于解析所述关键字段信息以确定信令异常流量等。在一些实施例中，所述行为分析模块可以通过相应的监测方法对其进行攻击行为的分析判定。
46.所述异常单报文监测方法可以包括不明终端接入监测方法和基站非法接入监测方法等。根据本技术的一些实施例，所述不明终端接入监测方法，具体包括：
47.通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析用户终端与amf网元交互信令，并提取信令流程类型、流程状态、信令起止时间、永久用户标识supi、流程错误码；
48.若用户终端向核心网发起注册请求，且核心网拒绝接入，错误码3为非法用户illegal ue，错误码5为非法终端标识pei not accepted，错误码6为非法sim卡illegal me，判定所述错误码3，错误码5，错误码6为不明终端接入行为。
49.作为示例，所述不明终端接入监测方法可以通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析ue(用户终端)与amf网元交互信令并提取信令流程类型(proceduretype)、流程状态、信令起止时间、永久用户标识(supi)、流程错误码；若终端向核心网发起注册请求(procedure＝0)，且核心网拒绝接入，错误码3(illegal ue，非法用户)、5(pei not accepted，非法终端标识)、6(illegal me，非法sim卡)，可以判定为不明终端接入行为。
50.根据本技术的一些实施例，所述基站非法接入监测方法，具体包括：
51.通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析基站与amf网元交互信令，并提取信令流程类型、流程状态；
52.若基站向核心网发起基站建立请求，且核心网拒绝接入，错误码11为无效小区cell-not-available，错误码12为无效目标unknown-targetid，判定所述错误码11，错误码12为基站非法接入行为。
53.作为示例，所述基站非法接入监测方法可以通过n1n2信令，以基站ip和amf ip为
二元组为维度对报文建流，解析基站与amf网元交互信令并提取信令流程类型(proceduretype)流程状态，若基站向核心网发起基站建立请求(procedure＝80)，且核心网拒绝接入，错误码4(unknown-plmn，异常plmn，如图4所示)、11(cell-not-available，无效小区)、12(unknown-targetid，无效目标)，可以判定为基站非法接入行为。
54.所述异常多报文监测方法可以包括初筛算法、复筛算法、精筛算法等。所述初筛算法可以包括异常协议的初筛判定，异常格式的初筛判定，异常方向的初筛判定，以及异常服务的初筛判定等。
55.在一些实施例中，所述异常协议的初筛判定包括以sbi网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常协议数；若单位时间内sbi网元异常协议数超过门限l
p
，初筛判定为异常协议攻击。例如，以sbi网元ip为纬度统计话单数据，统计n5-n40话单公共头sbi proto err＝1(sbi协议错误)的条数。若单位时间内某个sbi网元异常协议数超过门限l
p
，初筛判定为异常协议攻击。
56.在一些实施例中，所述异常格式的初筛判定包括以amf ip维度统计话单数据，确定n1n2话单无效流程数；若单位时间内无效流程数超过门限lf，初筛判定为异常格式攻击。
57.在一些实施例中，所述异常方向的初筛判定包括以amf ip维度统计话单数据，当确定n1n2信令报文注册请求为上行报文，提取所述报文为下行报文时，判定异常方向；若单位时间内异常方向报文数超过门限ld，初筛判定为异常方向攻击。
58.在一些实施例中，所述异常服务的初筛判定包括以网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常服务类型数；若单位时间内sbi网元异常服务类型数超过门限ls，初筛判定为异常服务攻击。
59.作为示例，以网元ip维度统计话单数据，其中n5-n40接口话单公共头sbi proto err＝2(sbi服务类型错误)的条数单位时间超过一定门限ls，初筛判定为异常服务攻击。
60.根据本技术的一些实施例，所述复筛算法，具体包括将初筛话单数据根据用户终端标识维度、位置信息维度统计；若相同用户终端标识数n
ue
大于总话单数的50％，或，若相同位置信息话单数n
tac
大于总话单数的50％，复筛判定为信令攻击行为。
61.根据本技术的一些实施例，所述精筛算法，具体包括：
62.根据公式
63.l
threshold
＝α
×mthreshold
+β
×wthreshold
+γ
×dthreshold
，
64.其中，m
threshold
表示一个月内同一时间段的异常平均值，w
threshold
表示前一周同一时间段的异常平均值，d
threshold
表示前一天同一时间段的异常平均值，α、β、γ分别是月度、前一周和前一天数据的加权系数，α+β+γ＝1；
65.计算异常流量平均值l
threshold
，若异常流量大于平均值l
threshold
，精筛判定所述异常流量为信令攻击流量。
66.需要说明的是，以上对于流程200的描述，仅为描述方便，并不能把本技术限制在所举实施例的范围之内。可以理解，对于本领域技术人员，基于本系统的原理，可能在不背离该原理的前提下，对各个操作进行任意组合，或者构成子流程与其它操作组合，对实施上述流程和操作的功能进行形式和细节上的各种修正和改变。例如，流程200可以进一步包括输出相应日志话单，传输至话单解析模块等操作。诸如此类的变形，均在本技术的保护范围之内。
67.图3是根据本技术的一些实施例提供的基于dpi技术的5g信令攻击监测装置的示例性示意图。根据本技术的一些实施例，提供了一种基于dpi技术的5g信令攻击监测装置，如图3所示，5g信令攻击监测装置300包括流量识别系统和攻击行为监测系统。所述流量识别系统可以包括流量采集模块和流量解析输出模块；所述攻击行为监测系统可以包括话单解析模块和行为分析模块。
68.图4是根据本技术的一些实施例提供的5g网络信令攻击基站非法接入示例性解析图。作为示例，所述基站非法接入监测方法，若基站向核心网发起基站建立请求(procedure＝80)，且核心网拒绝接入，错误码4(unknown-plmn，异常plmn)如图4所示。例如，如图4所示的错误码4，以及错误码11(cell-not-available，无效小区)，错误码12(unknown-targetid，无效目标)，利用所述基站非法接入监测方法，可以判定为基站非法接入行为。
69.图5是根据本技术的一些实施例提供的5g网络信令攻击异常格式示例性解析图。作为示例，所述异常格式的初筛判定，以amf ip维度统计话单数据，其中n1n2话单信令流程类型proceduretype＝255(unknown，无效流程)如图5所示，若单位时间内无效流程数超过门限lf，初筛判定为异常格式攻击。
70.图6是根据本技术的一些实施例提供的5g网络信令攻击异常方向示例性解析图。作为示例，所述异常方向的初筛判定，以amf ip维度统计话单数据，其中n1n2信令报文注册请求(procedure＝0)的报文为上行报文，而报文提取出id-downlinknastransport(下行nas数据)，表示所述报文为下行报文，如图6所示，所述特殊情况可以判定为异常方向；若单位时间内异常方向报文数超过门限ld，初筛判定为异常方向攻击。
71.综上所述，根据本技术实施例的基于dpi技术的5g信令攻击监测方法和装置，利用5g信令攻击监测算法并结合初筛、复筛、精筛算法，可以准确发现信令异常流量，分析5g信令攻击行为，并准确高效判定5g信令攻击行为，保障5g核心网正常工作。
72.需要注意的是，上述的实施例仅仅是用作示例，本技术不限于这样的示例，而是可以进行各种变化。
73.需要说明的是，在本说明书中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
74.最后，还需要说明的是，上述一系列处理不仅包括以这里所述的顺序按时间序列执行的处理，而且包括并行或分别地、而不是按时间顺序执行的处理。
75.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序指令相关的硬件来完成，所述的程序可存储于一计算机可读存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储器(read-only memory，rom)或随机存储器(random access memory，ram)等。
76.以上所揭露的仅为本技术一些优选的实施例，不能以此来限定本技术之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本技术权利要求所作的等同变化，仍属于发明所涵盖的范围。

技术特征：
1.一种基于dpi技术的5g信令攻击监测方法，其特征在于，包括：通过分光方式从5g核心网获取5g信令流量；解析5g信令协议并提取信令信息；利用攻击监测算法确定信令异常流量，并判定5g信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。2.根据权利要求1所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述5g信令协议包括http2、ngap、nas、pfcp、gtpv2：所述信令信息包括流程用户、流程类型、流程状态、信令起止时间、永久用户标识、流程错误码；所述异常单报文监测方法包括不明终端接入监测方法和基站非法接入监测方法；所述异常多报文监测方法包括初筛算法、复筛算法、精筛算法。3.根据权利要求2所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述不明终端接入监测方法，具体包括：通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析用户终端与amf网元交互信令，并提取信令流程类型、流程状态、信令起止时间、永久用户标识supi、流程错误码；若用户终端向核心网发起注册请求，且核心网拒绝接入，错误码3为非法用户illegal ue，错误码5为非法终端标识pei not accepted，错误码6为非法sim卡illegal me，判定所述错误码3，错误码5，错误码6为不明终端接入行为。4.根据权利要求2所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述基站非法接入监测方法，具体包括：通过n1n2信令，以基站ip和amf ip为二元组为维度对报文建流，解析基站与amf网元交互信令，并提取信令流程类型、流程状态；若基站向核心网发起基站建立请求，且核心网拒绝接入，错误码11为无效小区cell-not-available，错误码12为无效目标unknown-targetid，判定所述错误码11，错误码12为基站非法接入行为。5.根据权利要求2所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述初筛算法包括异常协议的初筛判定，异常格式的初筛判定，异常方向的初筛判定，以及异常服务的初筛判定。6.根据权利要求5所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述异常协议的初筛判定包括以sbi网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常协议数；若单位时间内sbi网元异常协议数超过门限l
p
，初筛判定为异常协议攻击；异常格式的初筛判定包括以amf ip维度统计话单数据，确定n1n2话单无效流程数；若单位时间内无效流程数超过门限l
f
，初筛判定为异常格式攻击；异常方向的初筛判定包括以amf ip维度统计话单数据，当确定n1n2信令报文注册请求为上行报文，提取所述报文为下行报文时，判定异常方向；若单位时间内异常方向报文数超过门限l
d
，初筛判定为异常方向攻击；异常服务的初筛判定包括以网元ip维度统计话单数据，确定n5-n40话单公共头sbi网元异常服务类型数；若单位时间内sbi网元异常服务类型数超过门限l
s
，初筛判定为异常服
务攻击。7.根据权利要求6所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述复筛算法，具体包括：将初筛话单数据根据用户终端标识维度、位置信息维度统计；若相同用户终端标识数n
ue
大于总话单数的50％，或，若相同位置信息话单数n
tac
大于总话单数的50％，复筛判定为信令攻击行为。8.根据权利要求7所述的基于dpi技术的5g信令攻击监测方法，其特征在于，所述精筛算法，具体包括：根据公式l
threshold
＝α
×
m
threshold
+β
×
w
threshold
+γ
×
d
threshold
，其中，m
threshold
表示一个月内同一时间段的异常平均值，w
threshold
表示前一周同一时间段的异常平均值，d
threshold
表示前一天同一时间段的异常平均值，α、β、γ分别是月度、前一周和前一天数据的加权系数，α+β+γ＝1；计算异常流量平均值l
threshold
，若异常流量大于平均值l
threshold
，精筛判定所述异常流量为信令攻击流量。9.一种基于dpi技术的5g信令攻击监测装置，其特征在于，包括：流量识别系统，包括流量采集模块和流量解析输出模块；攻击行为监测系统，包括话单解析模块和行为分析模块。10.根据权利要求9所述的基于dpi技术的5g信令攻击监测装置，其特征在于，具体包括：流量识别系统，被配置为获取5g信令流量，解析并提取信令关键信息，以及输出相应信令日志话单；攻击行为监测系统，被配置为对所述信令日志话单内容进行二次处理，分析5g信令攻击行为；一个存储器，被配置为存储数据及指令；一个与存储器建立通信的处理器，其中，当执行存储器中的指令时，所述处理器被配置为：通过分光方式从5g核心网获取5g信令流量；解析5g信令协议并提取信令信息；利用攻击监测算法确定信令异常流量，并判定5g信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。

技术总结
本申请的基于DPI技术的5G信令攻击监测方法和装置，涉及5G移动通信安全领域。所述方法包括通过分光方式从5G核心网获取5G信令流量；解析5G信令协议并提取信令信息；利用攻击监测算法确定信令异常流量，并判定5G信令攻击行为，所述攻击监测算法包括异常单报文监测方法和异常多报文监测方法。本申请基于DPI技术的5G信令攻击监测方法和装置，利用5G信令攻击监测算法并结合初筛、复筛、精筛算法，可以准确发现信令异常流量，分析5G信令攻击行为，并准确高效判定5G信令攻击行为，保障5G核心网正常工作。作。作。


技术研发人员：方权 黄瑾男 蔡本祥 张林杰
受保护的技术使用者：上海欣诺通信技术股份有限公司
技术研发日：2022.07.26
技术公布日：2022/11/1