[发明专利]一种4G移动通信网络HSS信令防护方法及装置

权利要求书

1.一种4G移动通信网络HSS信令防护方法，其特征在于，包含以下步骤：

对Diameter信令协议快速识别与过滤；

对筛选后的Diameter信令协议族的底层协议进行安全检测；

对Diameter信令协议应用层进行合规性检测；

基于Diameter信令协议的异常行为检测；

所述对Diameter信令协议快速识别与过滤包括：

采用SCTP的指示字段和承载内容的特殊字节来快速过滤所需检测信令；

所述采用SCTP的指示字段和承载内容的特殊字节来快速过滤所需检测信令包括：

首先判断Chunk type字段，若该字段为0，代表为数据类型；

然后判断Payload protocol identifier字段，若该字段为46，代表为Diameter协议基础协议，若该字段为0，代表为Diameter其它应用协议；

最后通过SCTP的承载内容中的第一个字节来判断，即Diameter的版本号信息，当前Diameter只有版本1，因此，若第一个字节为1，则代表为Diameter协议，然后过滤所需检测信令后进一步处理；

所述对筛选后的Diameter信令协议族的底层协议进行安全检测，包括：

所述Diameter信令协议族的底层协议包括IP层协议和SCTP层协议；

对IP层检测只需要设置DRA的IP白名单，若接收到其它IP地址的数据包，则所需检测信令判断为攻击消息，作告警处理；

对SCTP层检测是检测端口号和链路状态，若发现数据包的端口号非配置的对等端口号，则所需检测信令判断为攻击消息，则作告警处理；若发现链路断开的频次出现异常，则作告警处理；若发现新建未配置的链路，则作告警处理；

所述对Diameter信令协议应用层进行合规性检测，检测的内容包括消息头长度异常、消息体中AVP长度异常和源地址数量不唯一；

消息头长度异常指的是Diameter信令协议的长度指示字段标识的长度大于消息的长度，检测方法为解析并提取Diameter消息头部分的长度字段，并与底层递送的数据包长度进行比较，若该字段长度大于实际长度，则告警；

源地址数量不唯一指的是源主机名AVP，即源主机AVP在消息中为必选且唯一的字段，检测方法为判断是否存在多个源主机AVP，若存在多个源主机AVP，则告警；

所述基于Diameter信令协议的异常行为检测包括：

针对外部网络向内部网络发送的信令消息，检测的内容包括未启用的协议类型、未启用的消息码、非法访问用户敏感数据、非法的用户位置更新，非正常原因的用户注销请求和未知来源的通知消息；

针对内部网络向外部网络发送的信令消息，检测的内容包括异常请求用户位置信息、异常的附着取消通知消息和异常修改用户的业务权限。

2.根据权利要求1所述的4G移动通信网络HSS信令防护方法，其特征在于，在基于Diameter信令协议的异常行为检测之后，还包括：

将攻击信令修改为无害信息，修改方式包括信令协议中有害字段修改、信令协议消息头修改和底层承载协议承载标识修改。