[发明专利]分析安全攻击的方法及设备

权利要求书

1.一种分析安全攻击的方法，其特征在于，包括：

获取信令数据，从与所述信令数据对应的各个协议层中提取所述信令数据的关键信元字段信息；

根据所述关键信元字段信息对所述信令数据进行安全攻击分析，得到安全攻击分析结果，包括：

根据所述关键信元字段信息中的操作代码类型字段和消息方向字段，对所述信令数据进行分类，生成所述信令数据的分类检索信元数据文件，每种类型的分类检索信元数据文件包括该类型的请求方向文件和该类型的响应方向文件；

根据所述请求方向文件和响应方向文件对所述信令数据进行安全攻击分析，得到确认攻击集合和疑似攻击集合，包括：根据向内请求的原则，对分类检索信元数据文件中的请求方向文件进行过滤；

将符合过滤条件的请求方向文件中始源事务ID与响应方向文件中目的事务ID做关联检查；

如果请求方向文件中请求消息中始源事务ID和响应方向文件中响应消息中目的事务ID相同，并且在响应方向文件中响应消息中携带的位置信息字段显示为本国位置信息，则将请求消息和响应消息合并输出到与分类检索信元数据文件对应的确认攻击集合中；

如果没有与请求消息对应的响应消息，则将所述请求消息输出到与分类检索信元数据文件对应的疑似攻击集合中。

2.根据权利要求1所述的方法，其特征在于，所述获取信令数据，包括：

从国际关口局获取离线信令数据，所述离线信令数据是按照预定的时间间隔生成的数据包。

3.根据权利要求1所述的方法，其特征在于，根据向内请求的原则，对分类检索信元数据文件中的请求方向文件进行过滤，包括：

以目的信令点编码DPC为本国、始源信令点编码OPC为非本国、国际移动用户识别码IMSI或移动用户号码簿号码MDN为本国的过滤条件，对分类检索信元数据文件中的请求方向文件进行过滤。

4.一种分析安全攻击的设备，其特征在于，包括：

获取模块，用于获取信令数据，从与所述信令数据对应的各个协议层中提取所述信令数据的关键信元字段信息；

分析模块，用于根据所述关键信元字段信息对所述信令数据进行安全攻击分析，得到安全攻击分析结果；

所述分析模块包括：

分类单元，用于根据所述关键信元字段信息中的操作代码类型字段和消息方向字段，对所述信令数据进行分类，生成所述信令数据的分类检索信元数据文件，每种类型的分类检索信元数据文件包括该类型的请求方向文件和该类型的响应方向文件；

分析单元，用于根据所述请求方向文件和响应方向文件对所述信令数据进行安全攻击分析，得到确认攻击集合和疑似攻击集合；

所述分析单元包括：

过滤子单元，用于根据向内请求的原则，对分类检索信元数据文件中的请求方向文件进行过滤；

检查子单元，用于将符合过滤条件的请求方向文件中始源事务ID与响应方向文件中目的事务ID做关联检查；

如果请求方向文件中请求消息中始源事务ID和响应方向文件中响应消息中目的事务ID相同，并且在响应方向文件中响应消息中携带的位置信息字段显示为本国位置信息，则将请求消息和响应消息合并输出到与分类检索信元数据文件对应的确认攻击集合中；

如果没有与请求消息对应的响应消息，则将所述请求消息输出到与分类检索信元数据文件对应的疑似攻击集合中。

5.根据权利要求4所述的设备，其特征在于，所述获取模块包括：

获取单元，用于从国际关口局获取离线信令数据，所述离线信令数据是按照预定的时间间隔生成的数据包；

提取单元，用于从与所述离线信令数据对应的各个协议层中提取所述离线信令数据的关键信元字段信息。

6.根据权利要求4所述的设备，其特征在于，所述过滤子单元进一步用于：

以目的信令点编码DPC为本国、始源信令点编码OPC为非本国、国际移动用户识别码IMSI或移动用户号码簿号码MDN为本国的过滤条件，对分类检索信元数据文件中的请求方向文件进行过滤。