[发明专利]一种对直径信令安全威胁识别的方法、装置及存储介质

权利要求书

1.一种对直径Diameter信令安全威胁识别的方法，其特征在于，包括：

获取待识别的Diameter信令；

从所述Diameter信令中获取用户的标识信息，并获取与所述标识信息对应的信令安全画像，其中，所述信令安全画像包括对基于所述用户的历史Diameter信令获得的所述用户特征集合和所述用户传输Diameter信令的网元特征集合；

基于所述信令安全画像对所述Diameter信令进行安全威胁识别，并对存在安全威胁的Diameter信令进行安全威胁标识；

所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别，并对存在安全威胁的Diameter信令进行安全威胁标识，包括：

所述信令安全画像包括用户信令安全画像，所述用户信令安全画像包括所述用户特征集合，所述用户特征集合包括所述用户的基本信息、地理位置信息、以及信令发送时间信息，确定所述Diameter信令对应的用户当前的地理位置和所述地理位置信息中最新一次发送的Diameter信令的地理位置之间的距离，与所述Diameter信令的发送时间间隔不匹配时，确定所述Diameter信令存在安全威胁，并对所述Diameter信令进行安全威胁标识；其中，所述Diameter信令的发送时间间隔是指所述Diameter信令的发送时间与所述最新一次发送的Diameter信令的发送时间之间的间隔。

2.如权利要求1所述的方法，其特征在于，所述从所述Diameter信令中提取用户标识信息，并获取与所述用户标识信息对应的信令安全画像之前，所述方法还包括：

根据黑名单、不被允许的应用标识、不被允许的指令码、属性值对AVP 对所述Diameter信令进行初步安全威胁识别；

当确定所述Diameter信令不包括所述黑名单中的元素、所述应用标识以及所述指令码，且确定所述Diameter信令的AVP与信令协议层之间的数据不一致时，从所述Diameter信令中提取用户标识信息；

并获取与所述用户标识信息对应的信令安全画像。

3.如权利要求2所述的方法，其特征在于，若所述Diameter信令包括黑名单中的元素，或包含有不被允许的应用标识，或指令码，则直接确定所述Diameter信令存在安全威胁，并对所述Diameter信令进行安全威胁标识。

4.如权利要求1-3中任一项所述的方法，其特征在于，所述基于所述信令安全画像对所述Diameter信令进行安全威胁识别，并对存在安全威胁的Diameter信令进行安全威胁标识，包括：

所述信令安全画像包括网元信令安全画像，所述网元信令安全画像包括所述网元特征集合，所述网元特征集合包括传输所述历史Diameter信令的历史网元基本信息，以及历史网元的信令统计信息，确定传输所述Diameter信令的网元基本信息与所述历史网元基本信息不匹配时，或者

确定传输所述Diameter信令的网元，在包括传输Diameter信令的时间节点的预设时间内传输的Diameter信令数量大于预设值时，

确定所述Diameter信令存在安全威胁，并对所述Diameter信令进行安全威胁标识；其中，所述预设值为根据所述历史网元的信令统计信息确定出的一特定时间内信令的峰值。

5.如权利要求1所述的方法，其特征在于，所述获取待识别的Diameter信令具体包括：

通过交换机端口镜像，从Diameter信令链路上获取所述Diameter信令；

通过分流交换机，对所述Diameter信令进行分流处理，并获取待识别的Diameter信令。