[发明专利]分析安全攻击的方法及设备

说明书

本发明实施例提供了一种分析安全攻击的方法及设备，该方法包括：获取信令数据，从与所述信令数据对应的各个协议层中提取所述信令数据的关键信元字段信息；根据所述关键信元字段信息对所述信令数据进行安全攻击分析，得到安全攻击分析结果，解决现有技术中对于无防护手段的攻击，没有相应的方式实现对是否有无攻击或攻击成功与否的判断的问题。

技术领域

本发明涉及通信技术领域，尤其涉及一种分析安全攻击的方法及设备。

背景技术

近年来，随着传统GSM通信系统各项技术逐渐成熟，针对GSM系统中SS7信令安全的攻击报道和事件也日益增多，在这些大量的相关报道中常提及的安全威胁包括定位跟踪、呼叫转接、拒绝服务等。

针对现有涉及SS7信令安全威胁的防护手段，主要通过信令防火墙根据信令GT码和携带的用户识别码(MDN或IMSI)加上单条信令指令行为特征进行判断，如果符合一定的异常行为特征，则认为属于安全威胁，进行相应防护动作。

现有SS7信令安全防护手段可以见表1：

表1SS7信令安全防护手段

针对定位跟踪，存在部分防护手段，而对于呼叫劫持和拒绝服务类，则无具体防护手段；对于有防护手段的攻击，并无具体的审计方式、方法或系统、设备等对已实施防护手段进行核查，同样，对于无防护手段的攻击，也无相应的审计，来实现对是否有无攻击或攻击成功与否的判断。

发明内容

鉴于上述技术问题，本发明实施例提供一种分析安全攻击的方法及设备，解决现有技术中对于无防护手段的攻击，没有相应的方式实现对是否有无攻击或攻击成功与否的判断的问题。

本发明实施例的第一方面，提供了一种分析安全攻击的方法，包括：

获取信令数据，从与所述信令数据对应的各个协议层中提取所述信令数据的关键信元字段信息；

根据所述关键信元字段信息对所述信令数据进行安全攻击分析，得到安全攻击分析结果。

可选地，所述获取信令数据，包括：

从国际关口局获取离线信令数据，所述离线信令数据是按照预定的时间间隔生成的数据包。

可选地，根据所述关键信元字段信息对所述信令数据进行安全攻击分析，得到安全攻击分析结果，包括：

根据所述关键信元字段信息中的操作代码类型字段和消息方向字段，对所述信令数据进行分类，生成所述信令数据的分类检索信元数据文件，每种类型的分类检索信元数据文件包括该类型的请求方向文件和该类型的响应方向文件；

根据所述请求方向文件和响应方向文件对所述信令数据进行安全攻击分析，得到确认攻击集合和疑似攻击集合。

可选地，所述根据所述请求方向文件和响应方向文件进行安全攻击分析，得到确认攻击集合和疑似攻击集合，包括：

根据向内请求的原则，对分类检索信元数据文件中的请求方向文件进行过滤；

将符合过滤条件的请求方向文件中始源事务ID与响应方向文件中目的事务ID做关联检查；

如果请求方向文件中请求消息中始源事务ID和响应方向文件中响应消息中目的事务ID相同，并且在响应方向文件中响应消息中携带的位置信息字段显示为本国位置信息，则将请求消息和响应消息合并输出到与分类检索信元数据文件对应的确认攻击集合中；

如果没有与请求消息对应的响应消息，则将所述请求消息输出到与分类检索信元数据文件对应的疑似攻击集合中。

可选地，根据向内请求的原则，对分类检索信元数据文件中的请求方向文件进行过滤，包括：