专利名称:检测伪装攻击的系统及方法
技术领域:
本发明涉及移动通信技术领域,特别是一种检测伪装攻击的系统及方法。
背景技术:
在移动通信网络中,移动设备通过无线应用协议(Wireless ApplicationProtocol, WAP)网关(Gateway, GW)使用移动增值服务、或者发送和接收彩信(MultimediaMessaging Service,MMS)。服务供应商(Service Provider, SP)的服务器或彩信中心(MMSCenter,丽SC)根据WAPGW的IP地址验证移动用户的消息的有效性,所以WAPGW需要根据来自网关GPRS (通用分组无线业务)支持节点(Gateway GPRS Support Node, GGSN)的远程拨入用户认证服务(Remote Authentication Dial In User Service,RADIUS)协议数据报核实移动用户的身份。
运营商根据移动信息服务中心(MobileInformation Service Center, MISC)、可信的SP和丽SC提供的服务使用记录向移动用户收费。图I示出一种移动通信网络的示意结构图,图2示出在图I所示的移动通信网络中服务使用和计费的流程图。当用户使用手机访问GPRS分组网络时,GGSN向WAPGW的RADIUS服务器发送计费开始请求消息,WAPGW存储手机的IP地址和移动台国际ISDN(综合业务数字网)号码(Mobile StationInternational ISDN Number, MSISDN),并向GGSN发送计费开始响应消息,然后当用户通过手机使用增值服务时,WAPGff将来自上线用户的服务请求消息转发给MISC或可信的SP,MISC或可信的SP根据该服务请求消息的IP地址认证该服务请求消息,如果该服务请求消息来自WAPGW,则MISC或可信的SP接受该服务请求消息而通过WAPGW向用户发送服务响应消息,并根据手机的MSISDN来计费。RADIUS协议基于用户数据报协议(User Datagram Protocol, UDP)。一些恶意攻击者可以伪装成GGSN向WAPGW发送伪造的RADIUS协议数据报,以迫使其他用户或伪装成其他用户在WAPGW中上线,然后攻击者可以迫使其他用户或伪装成其他用户使用服务并造成这些用户的巨大损失。由于伪造的UDP数据包与真实的UDP数据包相同,所以很难检测这种伪装攻击。此外,在移动通信网络中,当用户通过手机使用增值服务时,WAPGW将用户的服务请求消息转发给MISC或可信的SP,MISC或可信的SP只核实该服务请求消息的IP地址是否为WAPGW的IP地址。许多攻击者可以发现WAPGW的弱点而伪装成WAPGW发送伪造的服务请求消息,使得MISC或可信的SP为用户增加许多不存在的服务关系,这会导致用户为这些不存在的服务使用付费。终端访问控制器访问控制系统增强(Terminal Access ControllerAccess-Control System Plus, TACACS+)协议通过一个或多个中央服务器为路由器、网络访问服务器以及其他组网计算设备提供访问控制。TACACS+协议提供单独的认证、授权和计费(Authentication, Authorization, Accounting, AAA)月艮务。在移动通信网络中,RADIUS协议用于WAP网关WAPGW和GGSN之间作为AAA协议。TACACS+使用传输控制协议(Transmission Control Protocol,TCP),而 RADIUS 使用 UDP。UDP 易于受到攻击,而 TCP相对安全,但是在现有移动通信网络的基础上,如果将RADIUS转换成TACACS+,则需要更换整个网络范围内的设备,网络部署成本相当高,因此难以将RADIUS转换成TACACS+。因此,TACACS+不能用于防止移动通信网络中的伪装攻击。当用户通过手机访问GPRS分组网络时,WAPGW根据GGSN向RADIUS服务器发送的计费开始请求消息获取并存储手机的IP地址和MSISDN。为了避免攻击者篡改发送给WAPGW的服务请求消息中的MSISDN,WAPGff在接收到来自手机的服务请求消息时用所获取并存储的MSISDN替换该服务请求消息中的MSISDN。但是,这不能防止通过伪装成GGSN来发送RADIUS协议数据报产生的攻击。
发明内容
有鉴于此,本发明提出了一种检测伪装攻击的系统及方法,用以有效检测攻击者通过伪装来发送请求消息而产生的攻击。
因此,本发明实施例提供了一种检测防止伪装攻击的系统,包括用户追踪装置,连接到GGSN的输入端侧或者服务通用分组无线业务支持节点(Serving GPRS SupportNode, SGSN)的输入端侧,用于获得第一移动设备的第一标识信息,其中,第一标识信息用于唯一地标识第一移动设备;以及攻击检测装置,连接到WAPGW的输入端和/或输出端,用于捕获输入到WAPGW中的请求消息和/或从WAPGW输出的请求消息;根据所述请求消息获得第二移动设备的第二标识信息,其中,第二标识信息用于唯一地标识第二移动设备;对比第一标识信息与第二标识信息;根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备;以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定请求消息的有效性。从上述方案中可以看出,由于本发明实施例的检测伪装攻击系统追踪第一移动设备的第一标识信息,在捕获到请求消息时,对比根据请求消息获得的第二移动设备的第二标识信息与追踪到的第一移动设备的第一标识信息,从而确定第一移动设备和第二移动设备是否为同一移动设备,当第一移动设备和第二移动设备为同一移动设备时,进而确定所述请求消息的有效性,因此能够有效地检测出攻击者通过伪装来发送请求消息而产生的攻击。优选地,当第一移动设备处于在线状态时,第一标识信息包括第一互联网协议(Internet Protocol, IP)地址和第一 MSISDN ;当第一移动设备处于离线状态时,第一标识信息包括第一 MSISDN ;第二标识信息包括第二 IP地址和第二 MSISDN。由于移动设备处于在线状态时,IP地址和MSISDN可以唯一地标识移动设备,而移动设备处于离线状态时,MSISDN可以唯一地标识移动设备,因此移动设备在线时,采用IP地址和MSISDN作为移动设备的标识信息可以唯一地确定移动设备,而移动设备离线时,采用MSISDN作为移动设备的标识信息可以唯一地确定移动设备。优选地,用户追踪装置具体用于以下之一监控通过SGSN和GGSN之间的Gn接口的通用分组无线业务隧道协议控制(GPRS Tunnelling Protocol-Control, GTP-C)数据包,并根据所述数据包获得所述第一移动设备的第一标识信息;监控基站控制器(BaseStation Controller, BSC)和 SGSN 之间的七号信令(Signaling System Number 7, SS7),并根据所述七号信令获得所述第一移动设备的第一标识信息;当所述第一移动设备处于离线状态时,通过与归属位置寄存器(Home Location Register,HLR)的连接获取所述HLR中存储的第一移动设备的第一标识信息;当所述第一移动设备处于在线状态时,通过与HLR的连接获取HLR中存储的第一移动设备的第一 MSISDN,并通过SGSN和GGSN之间的Gn接口的GTP-C数据包获得第一移动设备的第一 IP地址;当所述第一移动设备处于在线状态时,通过与HLR的连接获取HLR中存储的所述第一移动设备的第一 MSISDN,并通过BSC与SGSN之间的七号信令获得第一移动设备的第一 IP地址。由于GTP-C数据包不易被伪造,因此通过监控GTP-C数据包可以较准确地获得移动设备的标识信息;另外,由于七号信令也不易被伪造,因此通过监控七号信令也可以准确地获得移动设备的标识信息;此外,由于HLR中始终存储着移动设备的相关信息,如移动设备的MSISDN和状态信息,因此通过访问HLR可以准确地获得移动设备的MSISDN和状态信息,当移动设备处于在线状态时,可以进一步根据GTP-C数据包或者七号信令获得移动设备的IP地址,即可完整地获得移动设备的标识信肩、O优选地,所述输入到WAPGW中的请求消息包括计费开始请求消息或服务请求消 息;所述从WAPGW输出的请求消息包括服务请求消息。因此,本发明实施例提供的检测伪装攻击系统可以适用于多种请求消息,从而可以全面检测攻击者通过伪装来发送请求消息而产生的攻击。优选地,所述攻击检测装置包括检测模块,所述检测模块具体用于以下之一当所述对比结果为第一 IP地址与第二 IP地址相同,且第一 MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息有效;当所述对比结果为第一 IP地址与第二 IP地址相同,且第一 MSISDN与第二 MSISDN不同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当所述对比结果为第一IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当所述对比结果为第一 MSISDN与第二 MSISDN相同,且第一标识信息不包括第一 IP地址时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当所述对比结果为第一 IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN不同时,确定第一移动设备和第二移动设备不是同一移动设备;当所述对比结果为第一MSISDN与第二MSISDN不同,且第一标识信息不包括第一IP地址时,确定第一移动设备和第二移动设备不是同一移动设备。从而在确定出第一移动设备和第二移动设备为同一移动设备的基础上,进一步根据得出的不同的对比结果确定请求消息的有效性,进而有效地检测出攻击者通过伪装来发送请求消息而产生的攻击。优选地,所述攻击检测装置包括防御模块,所述防御模块用于在所述请求消息被确定为无效时,按照以下防御策略之一或任意组合进行防御发出警告;向WAPGW发送离线请求消息;发送重置命令以断开传输控制协议(Transmission Control Protocol, TCP)连接;拦截所述请求消息。从而在确定所述请求消息无效时,即检测到伪装攻击时,选择适当的防御策略进行防御,避免用户受到伪装攻击。优选地,所述攻击检测装置包括存储模块,所述存储模块用于存储所述攻击检测装置确定出的请求消息的有效性和/或所述防御模块的防御结果,从而可以供网络管理员等查看检测结果和防御结果,以进一步对伪装攻击进行统计分析。
优选地,所述用户追踪装置进一步用于将所述第一移动设备的第一标识信息发送给所述攻击检测装置;或者所述攻击检测装置进一步用于收集所述用户追踪装置获得的第一移动设备的第一标识信息。即用户追踪装置可以主动将获得的信息提供给所述攻击检测装置,以在进行对比时使用这些信息;或者攻击检测装置也可以主动收集用户追踪装置获得的信息,以在进行对比时使用这些信息。优选地,所述用户追踪装置进一步用于当所述第一移动设备处于离线状态时,删除之前获得的所述第一移动设备的第一标识信息;所述攻击检测装置具体用于当所述对比结果为不存在与所述第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,确定所述请求消息无效。也就是说,用户追踪装置也可以仅存储处于在线状态的第一移动设备的第一标识信息,当该第一移动设备离线时,用户追踪装置删除之前存储的该第一移动设备处于在线状态的第一标识信息,从而可以节约存储空间,并且在这种情况下,当得出的对比结果为不存在与第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,则可以直接确定所述请求消息无效,因此也可以有效地检测到攻击者通过伪装来发送请求消息而产生的攻击。
本发明实施例还提供了一种检测伪装攻击的方法,包括获得第一移动设备的第一标识信息,其中,第一标识信息用于唯一地标识第一移动设备;捕获输入到WAPGW中的请求消息或从WAPGW输出的请求消息;根据所述请求消息获得第二移动设备的第二标识信息,其中,第二标识信息用于唯一地标识第二移动设备;对比第一标识信息与第二标识信息;根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性。从上述方案中可以看出,由于本发明实施例的检测伪装攻击方法追踪第一移动设备的第一标识信息,在捕获到请求消息时,对比根据请求消息获得的第二移动设备的第二标识信息与追踪到的第一移动设备的第一标识信息,从而确定第一移动设备和第二移动设备是否为同一移动设备,当第一移动设备和第二移动设备为同一移动设备时,进而确定所述请求消息的有效性,因此能够有效地检测出攻击者通过伪装来发送请求消息而产生的攻击。优选地,当第一移动设备处于在线状态时,第一标识信息包括第一 IP地址和第一MSISDN ;当第一移动设备处于离线状态时,第一标识信息包括第一 MSISDN ;第二标识信息包括第二 IP地址和第二 MSISDN。由于移动设备处于在线状态时,IP地址和MSISDN可以唯一地标识移动设备,而移动设备处于离线状态时,MSISDN可以唯一地标识移动设备,因此移动设备在线时,采用IP地址和MSISDN作为移动设备的标识信息可以唯一地确定移动设备,而移动设备离线时,采用MSISDN作为移动设备的标识信息可以唯一地确定移动设备。优选地,所述根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性包括以下之一当对比结果为第一 IP地址与第二 IP地址相同,且第一MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息有效;当对比结果为第一 IP地址与第二 IP地址相同,且第一 MSISDN与第二MSISDN不同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一 IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一 MSISDN与第二 MSISDN相同,且第一标识信息不包括第一 IP地址时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN不同时,确定第一移动设备和第二移动设备不是同一移动设备;当对比结果为第一 MSISDN与第二 MSISDN不同,且第一标识信息不包括第一 IP地址时,确定第一移动设备和第二移动设备不是同一移动设备。从而在确定出第一移动设备和第二移动设备为同一移动设备的基础上,进一步根据得出的不同的对比结果确定请求消息的有效性,进而有效地检测出攻击者通过伪装来发送请求消息而产生的攻击。优选地,所述获得第一移动设备的第一标识信息包括以下之一监控SGSN和GGSN之间的Gn接口的GTP-C数据包,并根据该数据包获得第一移动设备的第一标识信息;监控BSC和SGSN之间的七号信令,并根据所述七号信令获得第一移动设备的第一标识信息;当第一移动设备处于离线状态时,通过与HLR的连接获取所述HLR中存储的第一移动设备的 第一标识信息;当第一移动设备处于在线状态时,通过与HLR的连接获取所述HLR中存储的第一移动设备的第一 MSISDN,并通过SGSN和GGSN之间的Gn接口的GTP-C数据包获得第一移动设备的第一 IP地址;当第一移动设备处于在线状态时,通过与HLR的连接获取所述HLR中存储的第一移动设备的第一 MSISDN,并通过BSC和SGSN之间的七号信令获得第一移动设备的第一 IP地址。由于GTP-C数据包不易被伪造,因此通过监控GTP-C数据包可以较准确地获得移动设备的标识信息;另外,由于七号信令也不易被伪造,因此通过监控七号信令也可以较准确地获得移动设备的标识信息;此外,由于HLR中始终存储着移动设备的相关信息,如移动设备的MSISDN和状态信息,因此通过访问HLR可以准确地获得移动设备的MSISDN和状态信息,当移动设备处于在线状态时,可以进一步根据GTP-C数据包或者七号信令获得移动设备的IP地址,即可完整地获得移动设备的标识信息。优选地,所述检测伪装攻击的方法还包括当所述第一移动设备处于离线状态时,删除之前获得的所述第一移动设备的第一标识信息;则当对比结果为不存在与所述第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,确定所述请求消息无效。也就是说,也可以仅存储处于在线状态的第一移动设备的第一标识信息,当该第一移动设备离线时,删除之前存储的该第一移动设备处于在线状态的第一标识信息,从而可以节约存储空间,并且在这种情况下,当对比结果为不存在与第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,则可以直接确定所述请求消息无效,因此也可以有效地检测到攻击者通过伪装来发送请求消息而产生的攻击。
下面将通过参照附图详细描述本发明的优选实施例,使本领域的普通技术人员更清楚本发明的上述及其它特征和优点,附图中图I为现有技术中一种移动通信网络的示意结构图;图2为在图I所示的移动通信网络中服务使用和计费的流程图;图3为根据本发明实施例的一种检测伪装攻击的系统连接到图I所示的移动通信网络中的示意结构图;图4为图3中所示的攻击检测装置的示意结构图;图5为根据本发明实施例的一种检测伪装攻击的方法的流程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。图3示出根据本发明实施例的一种检测伪装攻击的系统连接到图I所示的移动通信网络中的示意结构图。如图3所示,该检测伪装攻击的系统包括用户追踪装置310、以及攻击检测装置320。 用户追踪装置310连接到GGSN的输入端侧或者SGSN的输入端侧,用于获得第一移动设备的第一标识信息,其中,第一标识信息用于唯一地标识第一移动设备。攻击检测装置320连接到WAPGW的输入端和/或输出端,用于捕获输入到WAPGW中的请求消息和/或从WAPGW输出的请求消息,根据所述请求消息获得第二移动设备的第二标识信息,其中,第二标识信息用于唯一地标识第二移动设备;对比第一标识信息与第二标识信息;根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备;以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性。所述移动设备可以包括手机等任何可以通过WAP上网的终端。根据本发明的一个实施例,当第一移动设备处于在线状态时,第一标识信息包括第一 IP地址和第一 MSISDN ;当第一移动设备处于离线状态时,由于第一移动设备未被分配IP地址,因此第一标识信息包括第一 MSISDN,而不包括第一 IP地址;此外,由于能够捕获到第二移动设备的请求消息,所以该第二移动设备处于在线状态,因此第二移动设备的第二标识信息包括第二 IP地址和第二 MSISDN。根据本发明的一个实施例,用户追踪装置310连接到SGSN和GGSN之间的Gn接口,监控通过Gn接口的GTP-C数据包,并根据GTP-C数据包获得第一移动设备的第一标识信息。由于GTP相比UDP要安全得多,攻击者不易伪造GTP-C数据包,因此可以较准确地获得第一移动设备的第一标识信息。根据GTP-C数据包获得第一移动设备的第一标识信息的方式与现有技术中相同,可参阅协议标准3GPP TS 29. 060 V8. O. O (2007-06),此处不再赘述。根据本发明的另一个实施例,用户追踪装置310连接到BSC和SGSN之间,监控BSC和SGSN之间的七号信令,并根据七号信令获得第一移动设备的第一标识信息。由于攻击者不容易接入BSC和SGSN之间来伪造七号信令,因此通过监控七号信令可以准确地获得第一移动设备的第一标识信息。根据本发明的又一个实施例,用户追踪装置310还连接到HLR,HLR中始终存储着第一移动设备的相关信息,如第一移动设备的第一 MSISDN和状态信息,当HLR中存储的第一移动设备的状态信息表明第一移动设备处于离线状态时,根据HLR中存储的信息即可获得第一移动设备的第一标识信息;当HLR中存储的第一移动设备的状态信息表明第一移动设备处于在线状态时,由于HLR中未存储第一移动设备的第一 IP地址,所以可以根据HLR中存储的信息以及通过Gn接口的GTP-C数据包获得第一移动设备的第一标识信息,一种实施方式中,可以根据HLR中存储的信息获得第一移动设备的第一MSISDN,以及根据GTP-C数据包获得第一移动设备的第一 IP地址;此外,当HLR中存储的第一移动设备的状态信息表明第一移动设备处于在线状态时,也可以根据HLR中存储的信息以及七号信令获得第一移动设备的第一标识信息,一种实施方式中,可以根据HLR中存储的信息获得第一移动设备的第一 MSISDN,以及根据七号信令获得第一移动设备的第一 IP地址。由于HLR中始终存储着移动设备的相关信息,并且不易被篡改,因此通过访问HLR可以准确地获得移动设备的MSISDN和状态信息。上述检测伪装攻击的系统监控通过Gn接口的GTP-C数据包、BSC和SGSN之间的七号信令、访问HLR、以及捕获输入到WAPGW中的或从WAPGW输出的请求消息,而并不介入到WAPGff的通信链路中,因此很容易部署该检测伪装攻击的系统。根据本发明的一个实施例,攻击检测装置320的示意结构图如图4所示,攻击检测装置320包括捕获模块321、获取模块322、对比模块323和检测模块324。捕获模块321用于捕获所述请求消息,并将所述请求消息转发给获取模块322 ;获取模块322用于从所述请·求消息中获取第二移动设备的第二标识信息,并将所述第二移动设备的第二标识信息发送给对比模块323 ;对比模块323用于对比第一标识信息与第二标识信息,并将得出的对比结果发送给检测模块324 ;检测模块324用于根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性。 根据本发明的一个实施例,输入到WAPGW中的请求消息包括GGSN发送给WAPGW的计费开始请求消息或移动设备发送给WAPGW的服务请求消息,从WAPGW输出的请求消息包括WAPGW转发给MISC、可信的SP或丽SC的服务请求消息。因此,本发明实施例适用于检测伪装成GGSN发送计费开始请求消息、伪装成WAPGW转发服务请求消息以及篡改发送给WAPGff的服务请求消息中的MSISDN而产生的攻击。无论是上述请求消息中的哪一种类型的请求消息,都表明相应的移动设备处于在线状态,因此,第二移动设备处于在线状态。根据本发明的一个实施例,当对比模块323得出的对比结果为第一 IP地址与第二IP地址相同,且第一 MSISDN与第二 MSISDN相同时,表明第一移动设备和第二移动设备为同·一移动设备,且处于在线状态,则所述请求消息对应于该移动设备,应该对该移动设备进行计费,因此,检测模块324确定该请求消息有效。根据本发明的另一个实施例,当对比模块323得出的对比结果为第一 IP地址与第二 IP地址相同,且第一 MSISDN与第二 MSISDN不同时,表明第一移动设备和第二移动设备为同一移动设备,且处于在线状态,但所述请求消息中的MSISDN被篡改,企图攻击其他移动设备,因此,检测模块324确定该请求消息无效。根据本发明的又一个实施例,当对比模块323得出的对比结果为第一 IP地址与第二 IP地址不同,且第一 MSISDN和第二 MSISDN相同时,表明第一移动设备和第二移动设备为同一移动设备,且处于在线状态,但这时是具有第二 IP地址的第二移动设备企图伪装成具有第一 IP地址的第一移动设备而发出请求消息,因此,检测模块324确定该请求消息无效。根据本发明的再一个实施例,当对比模块323得出的对比结果为第一 MSISDN与第二 MSISDN相同,且第一标识信息不包括第一 IP地址时,表明第一移动设备和第二移动设备为同一移动设备,但该移动设备实际上处于离线状态,却有请求消息与该移动设备对应,即该请求消息为伪装攻击,因此,检测模块324确定该请求消息无效。根据本发明的又一个实施例,当对比模块323得出的对比结果为第一 IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN不同时,表明第一移动设备和第二移动设备不是同一移动设备。根据本发明的再一个实施例,当对比模块323得出的对比结果为第一 MSISDN与第二 MSISDN不同,且第一标识信息不包括第一 IP地址时,表明第一移动设备和第二移动设备不是同一移动设备。根据本发明的一个实施例,如图4所示,攻击检测装置320还可以包括防御模块325,用于在检测模块324确定请求消息无效时,按照以下防御策略之一或任意组合进行防御向网络管理员发出警告;向WAPGW发送离线请求消息;发送重置命令以断开TCP连接;通过防火墙或部署在移动通信网络中的特定控制装置拦截所述请求消息。从而有效地防止 伪装攻击。根据本发明的一个实施例,如图4所示,攻击检测装置320还可以包括存储模块326,用于存储检测模块324确定出的检测结果和/或防御模块325的防御结果,例如检测模块324确定出某一请求消息是无效的,存储模块326可以存储该请求消息的相关信息,如果防御模块325针对该请求消息采取了某一或某些防御策略进行了防御,则存储模块326还可以存储防御模块325采取的防御策略以及防御是否成功的结果。网络管理员等可以查看这些监测结果和防御结果,从而进一步对伪装攻击进行统计分析。根据本发明的一个实施例,用户追踪装置310还可以主动将第一移动设备的第一标识信息发送给对比模块323,以供对比模块323在进行对比时使用这些信息。根据本发明的另一个实施例,对比模块323还可以主动收集用户追踪装置310获得的第一移动设备的第一标识信息,以在进行对比时使用这些信息。根据本发明的一个实施例,用户追踪装置310还可以用于当第一移动设备处于离线状态时,删除之前获得的该第一移动设备的第一标识信息;则当对比模块323得出的对比结果为不存在与第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,检测模块324可以确定该请求消息无效。也就是说,用户追踪装置310在更新第一移动设备的第一标识信息的过程中,可以既存储处于在线状态的第一移动设备的第一标识信息,又存储处于离线状态的第一移动设备的第一标识信息,也可以只存储处于在线状态的第一移动设备的第一标识信息,即在第一移动设备离线时,用户追踪装置310删除之前存储的该第一移动设备处于在线状态的第一标识信息,从而可以节约存储空间,而在这种情况下,当对比模块323得出的对比结果为不存在与第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,表明该第二移动设备处于离线状态,则不可能存在与该第二移动设备对应的请求消息,因此,检测模块324可以直接确定该请求消息无效。图5示出根据本发明实施例的一种检测伪装攻击的方法的流程图。如图5所示,该检测伪装攻击的方法包括以下步骤步骤501、获得第一移动设备的第一标识信息,其中,第一标识信息用于唯一地标识第一移动设备;
步骤502、捕获输入到WAPGW中的请求消息和/或从WAPGW输出的请求消息;步骤503、根据请求消息获得第二移动设备的第二标识信息,其中,第二标识信息用于唯一地标识第二移动设备;步骤504、对比第一标识信息与第二标识信息;步骤505、根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定请求消息的有效性。在步骤501中,获得第一移动设备的第一标识信息的方式即为前述用户追踪装置310获得第一移动设备的第一标识信息的方式,此处不再赘述。在具体实施中,步骤501和步骤502之间可以同时执行,也可以先后执行,没有特定的执行顺序。当第一移动设备处于在线状态时,第一标识信息包括第一 IP地址和第一 MSISDN ; 当第一移动设备处于离线状态时,第一标识信息包括第一 MSISDN ;第二标识信息包括第二IP地址和第二 MSISDN。在步骤505中,根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,以及当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定请消息的有效性包括以下之一当对比结果为第一 IP地址与第二 IP地址相同,且第一MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息有效;当对比结果为第一 IP地址与第二 IP地址相同,且第一 MSISDN与第二MSISDN不同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一 IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN相同时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一 MSISDN与第二 MSISDN相同,且第一标识信息不包括第一 IP地址时,确定第一移动设备和第二移动设备为同一移动设备,并确定所述请求消息无效;当对比结果为第一IP地址与第二 IP地址不同,且第一 MSISDN与第二 MSISDN不同时,确定第一移动设备和第二移动设备不是同一移动设备;当对比结果为第一MSISDN与第二MSISDN不同,且第一标识信息不包括第一 IP地址时,确定第一移动设备和第二移动设备不是同一移动设备。根据本发明的一个实施例,上述检测伪装攻击的方法还可以包括当所述第一移动设备处于离线状态时,删除之前获得的所述第一移动设备的第一标识信息;则当对比结果为不存在与所述第二移动设备的第二标识信息相同的第一移动设备的第一标识信息时,确定所述请求消息无效。上述检测伪装攻击的方法的实现原理与前述检测伪装攻击的系统的实现原理相同,重复之处不再赘述。下面以请求消息为GGSN发送给WAPGW的计费开始请求消息、通过监控GTP-C数据包获得移动设备的标识信息为例,说明上述检测伪装攻击的方法的具体实现过程,可以包括以下步骤。步骤I、监控通过SGSN和GGSN之间的Gn接口的GTP-C数据包,根据该GTP-C数据包获得第一移动设备的第一 MSISDN,在本不例中假设第一移动设备处于离线状态。步骤2、捕获GGSN发送给WAPGW的计费开始请求消息,根据该计费开始请求消息获得第二移动设备的第二 IP地址、第二 MSISDN,GGSN向WAPGW发送计费开始请求消息,则表明第二移动设备处于在线状态。步骤3、对比第一移动设备的第一 MSISDN与第二移动设备的第二 MSISDN,得出的对比结果为第一 MSISDN与第二 MSISDN相同,且由于第一移动设备处于离线状态而不存在第一移动设备的第一 IP地址,因此在确定第一移动设备和第二移动设备为同一移动设备的基础上,确定该计费开始请求消息无效,即该计费开始请求消息为攻击者通过伪装成GGSN而发送的。下面以请求消息为移动设备发送给WAPGW的服务请求消息、通过监控GTP-C数据包获得移动设备的标识信息为例,说明上述检测伪装攻击的方法的具体实现过程,可以包括以下步骤。步骤I、监控通过SGSN和GGSN之间的Gn接口的GTP-C数据包,根据该GTP-C数据包获得第一移动设备的第一 IP地址和第一 MSISDN,在本不例中假设第一移动设备处于在线状态。 步骤2、捕获第二移动设备发送给WAPGW的服务请求消息,根据该服务请求消息获得第二移动设备的第二 IP地址和第二MSISDN,由于第二移动设备向WAPGW发送服务请求消息,因此表明第二移动设备处于在线状态。步骤3、对比第一 IP地址与第二 IP地址并对比第一 MSISDN与第二 MSISDN,得出的对比结果为第一 IP地址与第二 IP地址相同、且第一 MSISDN与第二 MSISDN不同,表明第一移动设备和第二移动设备为同一移动设备,且该移动设备发送给WAPGW的服务请求消息中的MSISDN被篡改,因此确定该服务请求消息无效,即该服务请求消息为攻击者通过伪装成其他移动设备而发送的。下面以请求消息为WAPGW向MISC、可信的SP或MMSC转发的服务请求消息、通过监控GTP-C数据包获得移动设备的标识信息为例,说明上述检测伪装攻击的方法的具体实现过程,可以包括以下步骤。步骤I、监控通过SGSN和GGSN之间的Gn接口的GTP-C数据包,根据该GTP-C数据包获得第一移动设备的第一 IP地址和第一 MSISDN,在本不例中假设第一移动设备处于在线状态。步骤2、捕获WAPGW转发给MISC、可信的SP或丽SC的服务请求消息,根据该服务请求消息获得第二移动设备的第二 IP地址和第二MSISDN,由于WAPGW转发的服务请求消息为第二移动设备发送来的服务请求消息,因此表明第二移动设备处于在线状态。步骤3、对比第一 IP地址与第二 IP地址、并对比第一 MSISDN与第二 MSISDN,得出的对比结果为第一 IP地址与第二 IP地址不同、且第一 MSISDN与第二 MSISDN相同,表明第一移动设备和第二移动设备为同一移动设备,但这时是具有第二 IP地址的第二移动设备企图伪装成具有第一 IP地址的第一移动设备而发出服务请求消息,因此确定该服务请求消息无效。以上仅为用于说明上述检测伪装攻击的方法的具体实现过程的示例,并非用于限制本发明。本发明公开了一种检测伪装攻击的系统,包括用户追踪装置,连接到GGSN的输入端侧或者SGSN的输入端侧,用于获得第一移动设备的第一标识信息;以及攻击检测装置,连接到WAPGW的输入端和/或输出端,用于捕获输入到该WAPGW中的请求消息和/或从该WAPGW输出的请求消息,根据该请求消息获得第二移动设备的第二标识信息,对比所述第一标识信息与第二标识信息,根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,当第一移动设备和第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性。本发明还公开了一种检测伪装攻击的方法。通过上述技术方案,可以有效检测攻击者通过伪装发送请求消息而产生的攻击。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种检测伪装攻击的系统,所述系统包括 用户追踪装置(310),连接到网关通用分组无线业务支持节点GGSN的输入端侧或者服务通用分组无线业务支持节点SGSN的输入端侧,用于获得第一移动设备的第一标识信息,其中,所述第一标识信息用于唯一地标识所述第一移动设备; 攻击检测装置(320),连接到无线应用协议网关WAPGW的输入端和/或输出端,用于捕获输入到所述WAPGW中的请求消息和/或从所述WAPGW输出的请求消息;根据所述请求消息获得第二移动设备的第二标识信息,其中,所述第二标识信息用于唯一地标识所述第二移动设备;对比所述第一标识信息与所述第二标识信息;根据对比结果确定所述第一移动设备和所述第二移动设备是否为同一移动设备;以及当所述第一移动设备和所述第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性。
2.如权利要求I所述的系统,其中,当所述第一移动设备处于在线状态时,所述第一标识信息包括第一互联网协议地址和第一移动台国际综合业务数字网号码;当所述第一移动设备处于离线状态时,所述第一标识信息包括第一移动台国际综合业务数字网号码; 所述第二标识信息包括第二互联网协议地址和第二移动台国际综合业务数字网号码。
3.如权利要求2所述的系统,其中,所述用户追踪装置(310)具体用于以下之一 监控通过SGSN和GGSN之间的Gn接口的通用分组无线业务隧道协议控制数据包,并根据所述数据包获得所述第一移动设备的第一标识信息; 监控基站控制器和SGSN之间的七号信令,并根据所述七号信令获得所述第一移动设备的第一标识信息; 当所述第一移动设备处于离线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一标识信息; 当所述第一移动设备处于在线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一移动台国际综合业务数字网号码,并通过SGSN和GGSN之间的Gn接口的通用分组无线业务隧道协议控制数据包获得所述第一移动设备的第一互联网协议地址; 当所述第一移动设备处于在线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一移动台国际综合业务数字网号码,并通过基站控制器与SGSN之间的七号信令获得所述第一移动设备的第一互联网协议地址。
4.如权利要求I所述的系统,其中,所述输入到WAPGW中的请求消息包括计费开始请求消息或服务请求消息;所述从WAPGW输出的请求消息包括服务请求消息。
5.如权利要求2所述的系统,其中,所述攻击检测装置包括检测模块(324),所述检测模块具体用于以下之一 当所述对比结果为第一互联网协议地址与第二互联网协议地址相同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息有效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址相同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址不同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同,且所述第一标识信息不包括第一互联网协议地址时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址不同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同时,确定所述第一移动设备和所述第二移动设备不是同一移动设备; 当所述对比结果为第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同,且所述第一标识信息不包括第一互联网协议地址时,确定所述第一移动设备和所述第二移动设备不是同一移动设备。
6.如权利要求I所述的系统,其中,所述攻击检测装置(320)包括防御模块(325),所述防御模块(325)用于在所述请求消息被确定为无效时,按照以下防御策略之一或任意组合进行防御 发出警告; 向所述WAPGW发送离线请求消息; 发送重置命令以断开传输控制协议连接; 拦截所述请求消息。
7.如权利要求6所述的系统,其中,所述攻击检测装置(320)包括存储模块(326),所述存储模块(326)用于存储所述攻击检测装置(320)确定出的请求消息的有效性和/或所述防御模块(325)的防御结果。
8.如权利要求I所述的系统,其中, 所述用户追踪装置(310)进一步用于将所述第一移动设备的第一标识信息发送给所述攻击检测装置(320);或者 所述攻击检测装置(320)进一步用于收集所述用户追踪装置(310)获得的所述第一移动设备的第一标识信息。
9.如权利要求I所述的系统,其中, 所述用户追踪装置(310)进一步用于当所述第一移动设备处于离线状态时,删除之前获得的所述第一移动设备的第一标识信息; 所述攻击检测装置(320)具体用于当所述对比结果为不存在与所述第二移动设备的第二标识信息相同的所述第一移动设备的第一标识信息时,确定所述请求消息无效。
10.一种检测伪装攻击的方法,所述方法包括 获得第一移动设备的第一标识信息(501),其中,所述第一标识信息用于唯一地标识所述第一移动设备; 捕获输入到无线应用协议网关WAPGW中的请求消息和/或从所述WAPGW输出的请求消息(502); 根据所述请求消息获得第二移动设备的第二标识信息(503),其中,所述第二标识信息用于唯一地标识所述第二移动设备; 对比所述第一标识信息与所述第二标识信息(504);根据对比结果确定所述第一移动设备和所述第二移动设备是否为同一移动设备,以及当所述第一移动设备和所述第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性(505)。
11.如权利要求10所述的方法,其中,当所述第一移动设备处于在线状态时,所述第一标识信息包括第一互联网协议地址和第一移动台国际综合业务数字网号码;当所述第一移动设备处于离线状态时,所述第一标识信息包括第一移动台国际综合业务数字网号码; 所述第二标识信息包括第二互联网协议地址和第二移动台国际综合业务数字网号码。
12.如权利要求11所述的方法,其中,所述根据对比结果确定所述第一移动设备和所述第二移动设备是否为同一移动设备,以及当所述第一移动设备和所述第二移动设备为同一移动设备时,根据所述对比结果确定所述请求消息的有效性(505)包括以下之一 当所述对比结果为第一互联网协议地址与第二互联网协议地址相同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息有效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址相同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址不同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码相同,且所述第一标识信息不包括第一互联网协议地址时,确定所述第一移动设备和所述第二移动设备为同一移动设备,并确定所述请求消息无效; 当所述对比结果为第一互联网协议地址与第二互联网协议地址不同,且第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同时,确定所述第一移动设备和所述第二移动设备不是同一移动设备; 当所述对比结果为第一移动台国际综合业务数字网号码与第二移动台国际综合业务数字网号码不同,且所述第一标识信息不包括第一互联网协议地址时,确定所述第一移动设备和所述第二移动设备不是同一移动设备。
13.如权利要求11所述的方法,其中,所述获得第一移动设备的第一标识信息包括以下之一 监控通过服务通用分组无线业务支持节点SGSN和网关通用分组无线业务支持节点GGSN之间的Gn接口的通用分组无线业务隧道协议控制数据包,并根据所述数据包获得所述第一移动设备的第一标识信息; 监控基站控制器和SGSN之间的七号信令,并根据所述七号信令获得所述第一移动设备的第一标识信息; 当所述第一移动设备处于离线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一标识信息; 当所述第一移动设备处于在线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一移动台国际综合业务数字网号码,并通过SGSN和GGSN之间的Gn接口的通用分组无线业务隧道协议控制数据包获得所述第一移动设备的第一互联网协议地址; 当所述第一移动设备处于在线状态时,通过与归属位置寄存器的连接获取所述归属位置寄存器中存储的所述第一移动设备的第一移动台国际综合业务数字网号码,并通过基站控制器与SGSN之间的七号信令获得所述第一移动设备的第一互联网协议地址。
14.如权利要求10所述的方法,还包括当所述第一移动设备处于离线状态时,删除之前获得的所述第一移动设备的第一标识信息; 则当所述对比结果为不存在与所述第二移动设备的第二标识信息相同的所述第一移动设备的第一标识信息时,确定所述请求消息无效。
全文摘要
本发明公开一种检测伪装攻击的系统,包括用户追踪装置,连接到GGSN的输入端侧或者SGSN的输入端侧,用于获得第一移动设备的第一标识信息,第一标识信息唯一标识第一移动设备;以及攻击检测装置,连接到WAPGW的输入端和/或输出端,用于捕获输入到WAPGW中的请求消息和/或从WAPGW输出的请求消息,根据该请求消息获得第二移动设备的第二标识信息;对比第一标识信息与第二标识信息;根据对比结果确定第一移动设备和第二移动设备是否为同一移动设备,当第一移动设备和第二移动设备为同一移动设备时,根据对比结果确定请求消息的有效性。本发明还公开一种检测伪装攻击的方法。通过上述技术方案,可以有效检测攻击者通过伪装发送请求消息而产生的攻击。
文档编号H04W12/00GK102932780SQ20111022986
公开日2013年2月13日 申请日期2011年8月11日 优先权日2011年8月11日
发明者郭代飞, 隋爱芬 申请人:西门子公司