本發(fā)明涉及通信網(wǎng)絡(luò)安全防護，尤其涉及一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法及裝置。

背景技術(shù)：

1、第五代移動通信網(wǎng)絡(luò)(5th?generation?mobile?network,5g)為用戶提供更可靠的連接、更低的時延和更廣闊的覆蓋范圍，極大地提高了用戶的上網(wǎng)速率、改善用戶的上網(wǎng)體驗。5g核心網(wǎng)是5g架構(gòu)的核心部分，兼容了不同接入類型的用戶設(shè)備與網(wǎng)絡(luò)間的通信，負(fù)責(zé)為入網(wǎng)設(shè)備提供移動性管理、會話管理和策略控制等服務(wù)，核心網(wǎng)的安全穩(wěn)定是5g網(wǎng)絡(luò)可靠執(zhí)行業(yè)務(wù)的基礎(chǔ)。隨著通信技術(shù)的迅猛發(fā)展和不斷應(yīng)用，5g移動通信逐漸從理論到實際，基站與核心網(wǎng)的商業(yè)化部署已經(jīng)逐步開展。5g網(wǎng)絡(luò)的標(biāo)準(zhǔn)規(guī)范和具體部署中均提供了滿足漫游、互聯(lián)互通等網(wǎng)間交互的服務(wù)流程，其在為跨網(wǎng)通信提供方便的同時，也為境內(nèi)外不法分子提供了可趁之機，存在通過仿冒網(wǎng)元、用戶構(gòu)建相關(guān)流程進行網(wǎng)絡(luò)探測、惡意滲透、通信擾亂等網(wǎng)絡(luò)異常行為，給網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。

2、5g網(wǎng)間互聯(lián)互通中普遍采用sepp網(wǎng)元功能進行網(wǎng)間拓?fù)涓綦x，sepp也承擔(dān)了基礎(chǔ)的網(wǎng)間服務(wù)交互網(wǎng)關(guān)代理的功能。拜訪域網(wǎng)絡(luò)中不法分子可通過虛假地址結(jié)合真實網(wǎng)元身份信息，仿冒真實網(wǎng)元發(fā)起各類異常信令訪問和攻擊行為。

3、目前，針對5g核心網(wǎng)的異常檢測和風(fēng)險預(yù)測的方法主要包括：一是，數(shù)據(jù)時間維度變化規(guī)律的離群點檢測，從時間和數(shù)據(jù)的分散程度挖掘5g核心網(wǎng)的異常信令；二是，通過建立5g信令流程的轉(zhuǎn)移過程模型，對過往的信令進行識別分析；三是，與互聯(lián)網(wǎng)流量監(jiān)測相似，從流量變化的角度判斷5g信令的異?！，F(xiàn)有技術(shù)的不足之處在于：5g核心網(wǎng)的信令復(fù)雜，應(yīng)用較傳統(tǒng)3g/4g更靈活，信令流程組合多樣化，單純的離群點檢測難以發(fā)現(xiàn)許多越權(quán)類攻擊威脅；基于5g信令轉(zhuǎn)移過程模型的檢測識別，過于關(guān)注信令規(guī)程，對于符合規(guī)程但又達到威脅目的的信令過程缺少技術(shù)方法；此外，當(dāng)前的風(fēng)險預(yù)測和異常檢測算法往往基于對已有攻擊技術(shù)的分析，缺少多角度關(guān)聯(lián)分析的越權(quán)訪問風(fēng)險識別方法。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于解決現(xiàn)有5g核心網(wǎng)的異常檢測和風(fēng)險預(yù)測方法存在的問題，提出一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法及裝置，通過構(gòu)建并定時更新的地址標(biāo)識關(guān)聯(lián)模型，進行跨網(wǎng)越權(quán)訪問威脅檢測，快速判定異常。

2、為了實現(xiàn)上述目的，本發(fā)明采用以下的技術(shù)方案：

3、一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，包含模型學(xué)習(xí)部分和實時檢測防護部分；

4、在模型學(xué)習(xí)部分，通過對歷史信令的ip、標(biāo)識參數(shù)信息進行模型刻畫，形成地址標(biāo)識關(guān)聯(lián)模型；

5、在實時檢測防護部分，根據(jù)上述地址標(biāo)識關(guān)聯(lián)模型計算當(dāng)前信令對模型參數(shù)的變化，再根據(jù)變化值判斷當(dāng)前信令消息是否存在異常及相應(yīng)的風(fēng)險等級。

6、根據(jù)本發(fā)明基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，進一步地，地址標(biāo)識關(guān)聯(lián)模型構(gòu)建過程如下：

7、以網(wǎng)元標(biāo)識為中心，對以往的關(guān)聯(lián)ip進行哈希變換，然后計算關(guān)聯(lián)ip模型參數(shù)λn，計算公式如下：

8、xi＝hash(ipi),i＝1,2,3...n

9、

10、式中，i為關(guān)聯(lián)ip的序號，n為關(guān)聯(lián)ip的數(shù)目，xi為ipi的哈希變換結(jié)果，λn為關(guān)聯(lián)ip模型參數(shù)；

11、同樣地，以ip地址為中心，對關(guān)聯(lián)網(wǎng)元標(biāo)識id進行哈希變換，然后計算關(guān)聯(lián)標(biāo)識模型參數(shù)βm，計算公式如下：

12、yi＝hash(idi),i＝1,2,3...m

13、

14、式中，i為關(guān)聯(lián)網(wǎng)元標(biāo)識的序號，m為關(guān)聯(lián)網(wǎng)元標(biāo)識的數(shù)目，yi為idi的哈希變換結(jié)果，βm為關(guān)聯(lián)標(biāo)識模型參數(shù)。

15、根據(jù)本發(fā)明基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，進一步地，在實時檢測防護部分，首先對信令解析過濾，具體方法是：對5g信令消息進行解析處理，解析處理后，通過防護網(wǎng)絡(luò)配置庫中防護網(wǎng)絡(luò)網(wǎng)元標(biāo)識和ip地址參數(shù)信息的匹配，確定信令消息是否為外網(wǎng)信令，若否，則對該服務(wù)請求或響應(yīng)進行狀態(tài)更新，若是，則提取信令參數(shù)信息，并存入外網(wǎng)信令參數(shù)狀態(tài)庫中。

16、根據(jù)本發(fā)明基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，進一步地，在實時檢測防護部分，在信令解析過濾后進行信令異常檢測，包含網(wǎng)元標(biāo)識異常檢測和ip地址異常檢測。

17、根據(jù)本發(fā)明基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，進一步地，ip地址異常檢測包含：針對新入庫的信令參數(shù)信息，首先根據(jù)模型計算當(dāng)前網(wǎng)元標(biāo)識的關(guān)聯(lián)ip模型參數(shù)λn+1，然后計算當(dāng)前信令消息對參數(shù)的變化：

18、xi＝hash(ipi),i＝1,2,3...n+1

19、

20、δλn＝|λn+1-λn|

21、設(shè)定λabnormal為異常的關(guān)聯(lián)ip模型參數(shù)閾值，當(dāng)(δλn/λn)>λabnormal時，判定當(dāng)前信令消息為ip地址異常，則進行防護處置，依據(jù)參數(shù)變化的幅度判定其風(fēng)險等級；若(δλn/λn)≤λabnormal，則進行網(wǎng)元標(biāo)識異常檢測。

22、根據(jù)本發(fā)明基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，進一步地，網(wǎng)元標(biāo)識異常檢測包含：針對新入庫的信令參數(shù)信息，首先根據(jù)模型計算當(dāng)前網(wǎng)元ip的關(guān)聯(lián)標(biāo)識模型參數(shù)βm+1，然后計算當(dāng)前信令消息對參數(shù)的變化：

23、yi＝hash(idi),i＝1,2,3...m+1

24、

25、δβm＝|βm+1-βm|

26、設(shè)定βabnormal為異常的關(guān)聯(lián)標(biāo)識模型參數(shù)閾值，當(dāng)(δβn/βn)>βabnormal時，判定當(dāng)前信令消息為網(wǎng)元標(biāo)識異常，則進行防護處置，依據(jù)參數(shù)變化的幅度判定其風(fēng)險等級；若(δβn/βn)≤βabnormal，則進行下一個消息的處理。

27、進一步地，本發(fā)明還提供一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護裝置，該裝置通過代理或并接的方式部署在被防護5g網(wǎng)域的邊界，被防護5g網(wǎng)域通過本裝置與其他5g網(wǎng)域互聯(lián)互通，包含：

28、模型構(gòu)建模塊，用于通過對歷史信令的ip、標(biāo)識參數(shù)信息進行模型刻畫，形成地址標(biāo)識關(guān)聯(lián)模型；

29、檢測防護模塊，用于根據(jù)上述地址標(biāo)識關(guān)聯(lián)模型計算當(dāng)前信令對模型參數(shù)的變化，再根據(jù)變化值判斷當(dāng)前信令消息是否存在異常及相應(yīng)的風(fēng)險等級。

30、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點：

31、基于sbi接口服務(wù)化的5g核心網(wǎng)，網(wǎng)元眾多，但通過sepp進行網(wǎng)間交互的信令消息均包含網(wǎng)元標(biāo)識及ip地址信息。本發(fā)明裝置以seep方式部署在5g核心網(wǎng)外部，在前期通過對歷史信令的ip、fqdn標(biāo)識、nf標(biāo)識等參數(shù)信息進行模型刻畫，形成地址標(biāo)識關(guān)聯(lián)模型，在對原移動業(yè)務(wù)無感的情況下對5g核心網(wǎng)間的通信訪問流量進行獲取分析，實現(xiàn)5g核心網(wǎng)間跨網(wǎng)越權(quán)訪問風(fēng)險的防護。本發(fā)明無需深度檢測消息內(nèi)容，不關(guān)注攻擊方式、攻擊技術(shù)、攻擊路徑，充分利用地址相關(guān)聯(lián)的標(biāo)識，為跨網(wǎng)越權(quán)風(fēng)險檢測、威脅溯源和攻擊手段分析提供了新思路。

技術(shù)特征：

1.一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，包含模型學(xué)習(xí)部分和實時檢測防護部分；

2.根據(jù)權(quán)利要求1所述的基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，地址標(biāo)識關(guān)聯(lián)模型構(gòu)建過程如下：

3.根據(jù)權(quán)利要求2所述的基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，在實時檢測防護部分，首先對信令解析過濾，具體方法是：對5g信令消息進行解析處理，解析處理后，通過防護網(wǎng)絡(luò)配置庫中防護網(wǎng)絡(luò)網(wǎng)元標(biāo)識和ip地址參數(shù)信息的匹配，確定信令消息是否為外網(wǎng)信令，若否，則對該服務(wù)請求或響應(yīng)進行狀態(tài)更新，若是，則提取信令參數(shù)信息，并存入外網(wǎng)信令參數(shù)狀態(tài)庫中。

4.根據(jù)權(quán)利要求3所述的基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，在實時檢測防護部分，在信令解析過濾后進行信令異常檢測，包含網(wǎng)元標(biāo)識異常檢測和ip地址異常檢測。

5.根據(jù)權(quán)利要求4所述的基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，ip地址異常檢測包含：針對新入庫的信令參數(shù)信息，首先根據(jù)模型計算當(dāng)前網(wǎng)元標(biāo)識的關(guān)聯(lián)ip模型參數(shù)λn+1，然后計算當(dāng)前信令消息對參數(shù)的變化：

6.根據(jù)權(quán)利要求4所述的基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護方法，其特征在于，網(wǎng)元標(biāo)識異常檢測包含：針對新入庫的信令參數(shù)信息，首先根據(jù)模型計算當(dāng)前網(wǎng)元ip的關(guān)聯(lián)標(biāo)識模型參數(shù)βm+1，然后計算當(dāng)前信令消息對參數(shù)的變化：

7.一種基于關(guān)聯(lián)檢測的5g跨網(wǎng)越權(quán)訪問防護裝置，其特征在于，該裝置通過代理或并接的方式部署在被防護5g網(wǎng)域的邊界，被防護5g網(wǎng)域通過本裝置與其他5g網(wǎng)域互聯(lián)互通，包含：

8.一種計算機裝置，包括存儲器、處理器及存儲在存儲器上的計算機程序，其特征在于，所述處理器執(zhí)行所述計算機程序以實現(xiàn)如權(quán)利要求1-6任一項所述方法的步驟。

技術(shù)總結(jié)
本發(fā)明涉及通信網(wǎng)絡(luò)安全防護技術(shù)領(lǐng)域，尤其涉及一種基于關(guān)聯(lián)檢測的5G跨網(wǎng)越權(quán)訪問防護方法及裝置，該方法包含模型學(xué)習(xí)部分和實時檢測防護部分；在模型學(xué)習(xí)部分，通過對歷史信令的IP、標(biāo)識參數(shù)信息進行模型刻畫，形成地址標(biāo)識關(guān)聯(lián)模型；在實時檢測防護部分，根據(jù)上述地址標(biāo)識關(guān)聯(lián)模型計算當(dāng)前信令對模型參數(shù)的變化，再根據(jù)變化值判斷當(dāng)前信令消息是否存在異常及相應(yīng)的風(fēng)險等級。本發(fā)明通過構(gòu)建并定時更新的地址標(biāo)識關(guān)聯(lián)模型，進行跨網(wǎng)越權(quán)訪問威脅檢測，快速判定異常。

技術(shù)研發(fā)人員：劉樹新,王凱,李星,潘菲,何贊園,朱宇航,李海濤
受保護的技術(shù)使用者：中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2024/9/9