專利名稱:檢測偽裝攻擊的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,特別是一種檢測偽裝攻擊的系統(tǒng)及方法。
背景技術(shù):
在移動通信網(wǎng)絡(luò)中,移動設(shè)備通過無線應用協(xié)議(Wireless ApplicationProtocol, WAP)網(wǎng)關(guān)(Gateway, GW)使用移動增值服務、或者發(fā)送和接收彩信(MultimediaMessaging Service,MMS)。服務供應商(Service Provider, SP)的服務器或彩信中心(MMSCenter,麗SC)根據(jù)WAPGW的IP地址驗證移動用戶的消息的有效性,所以WAPGW需要根據(jù)來自網(wǎng)關(guān)GPRS (通用分組無線業(yè)務)支持節(jié)點(Gateway GPRS Support Node, GGSN)的遠程撥入用戶認證服務(Remote Authentication Dial In User Service,RADIUS)協(xié)議數(shù)據(jù)報核實移動用戶的身份。
運營商根據(jù)移動信息服務中心(MobileInformation Service Center, MISC)、可信的SP和麗SC提供的服務使用記錄向移動用戶收費。圖I示出一種移動通信網(wǎng)絡(luò)的示意結(jié)構(gòu)圖,圖2示出在圖I所示的移動通信網(wǎng)絡(luò)中服務使用和計費的流程圖。當用戶使用手機訪問GPRS分組網(wǎng)絡(luò)時,GGSN向WAPGW的RADIUS服務器發(fā)送計費開始請求消息,WAPGW存儲手機的IP地址和移動臺國際ISDN(綜合業(yè)務數(shù)字網(wǎng))號碼(Mobile StationInternational ISDN Number, MSISDN),并向GGSN發(fā)送計費開始響應消息,然后當用戶通過手機使用增值服務時,WAPGff將來自上線用戶的服務請求消息轉(zhuǎn)發(fā)給MISC或可信的SP,MISC或可信的SP根據(jù)該服務請求消息的IP地址認證該服務請求消息,如果該服務請求消息來自WAPGW,則MISC或可信的SP接受該服務請求消息而通過WAPGW向用戶發(fā)送服務響應消息,并根據(jù)手機的MSISDN來計費。RADIUS協(xié)議基于用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol, UDP)。一些惡意攻擊者可以偽裝成GGSN向WAPGW發(fā)送偽造的RADIUS協(xié)議數(shù)據(jù)報,以迫使其他用戶或偽裝成其他用戶在WAPGW中上線,然后攻擊者可以迫使其他用戶或偽裝成其他用戶使用服務并造成這些用戶的巨大損失。由于偽造的UDP數(shù)據(jù)包與真實的UDP數(shù)據(jù)包相同,所以很難檢測這種偽裝攻擊。此外,在移動通信網(wǎng)絡(luò)中,當用戶通過手機使用增值服務時,WAPGW將用戶的服務請求消息轉(zhuǎn)發(fā)給MISC或可信的SP,MISC或可信的SP只核實該服務請求消息的IP地址是否為WAPGW的IP地址。許多攻擊者可以發(fā)現(xiàn)WAPGW的弱點而偽裝成WAPGW發(fā)送偽造的服務請求消息,使得MISC或可信的SP為用戶增加許多不存在的服務關(guān)系,這會導致用戶為這些不存在的服務使用付費。終端訪問控制器訪問控制系統(tǒng)增強(Terminal Access ControllerAccess-Control System Plus, TACACS+)協(xié)議通過一個或多個中央服務器為路由器、網(wǎng)絡(luò)訪問服務器以及其他組網(wǎng)計算設(shè)備提供訪問控制。TACACS+協(xié)議提供單獨的認證、授權(quán)和計費(Authentication, Authorization, Accounting, AAA)月艮務。在移動通信網(wǎng)絡(luò)中,RADIUS協(xié)議用于WAP網(wǎng)關(guān)WAPGW和GGSN之間作為AAA協(xié)議。TACACS+使用傳輸控制協(xié)議(Transmission Control Protocol,TCP),而 RADIUS 使用 UDP。UDP 易于受到攻擊,而 TCP相對安全,但是在現(xiàn)有移動通信網(wǎng)絡(luò)的基礎(chǔ)上,如果將RADIUS轉(zhuǎn)換成TACACS+,則需要更換整個網(wǎng)絡(luò)范圍內(nèi)的設(shè)備,網(wǎng)絡(luò)部署成本相當高,因此難以將RADIUS轉(zhuǎn)換成TACACS+。因此,TACACS+不能用于防止移動通信網(wǎng)絡(luò)中的偽裝攻擊。當用戶通過手機訪問GPRS分組網(wǎng)絡(luò)時,WAPGW根據(jù)GGSN向RADIUS服務器發(fā)送的計費開始請求消息獲取并存儲手機的IP地址和MSISDN。為了避免攻擊者篡改發(fā)送給WAPGW的服務請求消息中的MSISDN,WAPGff在接收到來自手機的服務請求消息時用所獲取并存儲的MSISDN替換該服務請求消息中的MSISDN。但是,這不能防止通過偽裝成GGSN來發(fā)送RADIUS協(xié)議數(shù)據(jù)報產(chǎn)生的攻擊。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提出了一種檢測偽裝攻擊的系統(tǒng)及方法,用以有效檢測攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。
因此,本發(fā)明實施例提供了一種檢測防止偽裝攻擊的系統(tǒng),包括用戶追蹤裝置,連接到GGSN的輸入端側(cè)或者服務通用分組無線業(yè)務支持節(jié)點(Serving GPRS SupportNode, SGSN)的輸入端側(cè),用于獲得第一移動設(shè)備的第一標識信息,其中,第一標識信息用于唯一地標識第一移動設(shè)備;以及攻擊檢測裝置,連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到WAPGW中的請求消息和/或從WAPGW輸出的請求消息;根據(jù)所述請求消息獲得第二移動設(shè)備的第二標識信息,其中,第二標識信息用于唯一地標識第二移動設(shè)備;對比第一標識信息與第二標識信息;根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備;以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定請求消息的有效性。從上述方案中可以看出,由于本發(fā)明實施例的檢測偽裝攻擊系統(tǒng)追蹤第一移動設(shè)備的第一標識信息,在捕獲到請求消息時,對比根據(jù)請求消息獲得的第二移動設(shè)備的第二標識信息與追蹤到的第一移動設(shè)備的第一標識信息,從而確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,進而確定所述請求消息的有效性,因此能夠有效地檢測出攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。優(yōu)選地,當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,第一標識信息包括第一互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)地址和第一 MSISDN ;當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,第一標識信息包括第一 MSISDN ;第二標識信息包括第二 IP地址和第二 MSISDN。由于移動設(shè)備處于在線狀態(tài)時,IP地址和MSISDN可以唯一地標識移動設(shè)備,而移動設(shè)備處于離線狀態(tài)時,MSISDN可以唯一地標識移動設(shè)備,因此移動設(shè)備在線時,采用IP地址和MSISDN作為移動設(shè)備的標識信息可以唯一地確定移動設(shè)備,而移動設(shè)備離線時,采用MSISDN作為移動設(shè)備的標識信息可以唯一地確定移動設(shè)備。優(yōu)選地,用戶追蹤裝置具體用于以下之一監(jiān)控通過SGSN和GGSN之間的Gn接口的通用分組無線業(yè)務隧道協(xié)議控制(GPRS Tunnelling Protocol-Control, GTP-C)數(shù)據(jù)包,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動設(shè)備的第一標識信息;監(jiān)控基站控制器(BaseStation Controller, BSC)和 SGSN 之間的七號信令(Signaling System Number 7, SS7),并根據(jù)所述七號信令獲得所述第一移動設(shè)備的第一標識信息;當所述第一移動設(shè)備處于離線狀態(tài)時,通過與歸屬位置寄存器(Home Location Register,HLR)的連接獲取所述HLR中存儲的第一移動設(shè)備的第一標識信息;當所述第一移動設(shè)備處于在線狀態(tài)時,通過與HLR的連接獲取HLR中存儲的第一移動設(shè)備的第一 MSISDN,并通過SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 IP地址;當所述第一移動設(shè)備處于在線狀態(tài)時,通過與HLR的連接獲取HLR中存儲的所述第一移動設(shè)備的第一 MSISDN,并通過BSC與SGSN之間的七號信令獲得第一移動設(shè)備的第一 IP地址。由于GTP-C數(shù)據(jù)包不易被偽造,因此通過監(jiān)控GTP-C數(shù)據(jù)包可以較準確地獲得移動設(shè)備的標識信息;另外,由于七號信令也不易被偽造,因此通過監(jiān)控七號信令也可以準確地獲得移動設(shè)備的標識信息;此外,由于HLR中始終存儲著移動設(shè)備的相關(guān)信息,如移動設(shè)備的MSISDN和狀態(tài)信息,因此通過訪問HLR可以準確地獲得移動設(shè)備的MSISDN和狀態(tài)信息,當移動設(shè)備處于在線狀態(tài)時,可以進一步根據(jù)GTP-C數(shù)據(jù)包或者七號信令獲得移動設(shè)備的IP地址,即可完整地獲得移動設(shè)備的標識信肩、O優(yōu)選地,所述輸入到WAPGW中的請求消息包括計費開始請求消息或服務請求消 息;所述從WAPGW輸出的請求消息包括服務請求消息。因此,本發(fā)明實施例提供的檢測偽裝攻擊系統(tǒng)可以適用于多種請求消息,從而可以全面檢測攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。優(yōu)選地,所述攻擊檢測裝置包括檢測模塊,所述檢測模塊具體用于以下之一當所述對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一 MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息有效;當所述對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一 MSISDN與第二 MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當所述對比結(jié)果為第一IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當所述對比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標識信息不包括第一 IP地址時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當所述對比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備;當所述對比結(jié)果為第一MSISDN與第二MSISDN不同,且第一標識信息不包括第一IP地址時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備。從而在確定出第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備的基礎(chǔ)上,進一步根據(jù)得出的不同的對比結(jié)果確定請求消息的有效性,進而有效地檢測出攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。優(yōu)選地,所述攻擊檢測裝置包括防御模塊,所述防御模塊用于在所述請求消息被確定為無效時,按照以下防御策略之一或任意組合進行防御發(fā)出警告;向WAPGW發(fā)送離線請求消息;發(fā)送重置命令以斷開傳輸控制協(xié)議(Transmission Control Protocol, TCP)連接;攔截所述請求消息。從而在確定所述請求消息無效時,即檢測到偽裝攻擊時,選擇適當?shù)姆烙呗赃M行防御,避免用戶受到偽裝攻擊。優(yōu)選地,所述攻擊檢測裝置包括存儲模塊,所述存儲模塊用于存儲所述攻擊檢測裝置確定出的請求消息的有效性和/或所述防御模塊的防御結(jié)果,從而可以供網(wǎng)絡(luò)管理員等查看檢測結(jié)果和防御結(jié)果,以進一步對偽裝攻擊進行統(tǒng)計分析。
優(yōu)選地,所述用戶追蹤裝置進一步用于將所述第一移動設(shè)備的第一標識信息發(fā)送給所述攻擊檢測裝置;或者所述攻擊檢測裝置進一步用于收集所述用戶追蹤裝置獲得的第一移動設(shè)備的第一標識信息。即用戶追蹤裝置可以主動將獲得的信息提供給所述攻擊檢測裝置,以在進行對比時使用這些信息;或者攻擊檢測裝置也可以主動收集用戶追蹤裝置獲得的信息,以在進行對比時使用這些信息。優(yōu)選地,所述用戶追蹤裝置進一步用于當所述第一移動設(shè)備處于離線狀態(tài)時,刪除之前獲得的所述第一移動設(shè)備的第一標識信息;所述攻擊檢測裝置具體用于當所述對比結(jié)果為不存在與所述第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,確定所述請求消息無效。也就是說,用戶追蹤裝置也可以僅存儲處于在線狀態(tài)的第一移動設(shè)備的第一標識信息,當該第一移動設(shè)備離線時,用戶追蹤裝置刪除之前存儲的該第一移動設(shè)備處于在線狀態(tài)的第一標識信息,從而可以節(jié)約存儲空間,并且在這種情況下,當?shù)贸龅膶Ρ冉Y(jié)果為不存在與第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,則可以直接確定所述請求消息無效,因此也可以有效地檢測到攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。
本發(fā)明實施例還提供了一種檢測偽裝攻擊的方法,包括獲得第一移動設(shè)備的第一標識信息,其中,第一標識信息用于唯一地標識第一移動設(shè)備;捕獲輸入到WAPGW中的請求消息或從WAPGW輸出的請求消息;根據(jù)所述請求消息獲得第二移動設(shè)備的第二標識信息,其中,第二標識信息用于唯一地標識第二移動設(shè)備;對比第一標識信息與第二標識信息;根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性。從上述方案中可以看出,由于本發(fā)明實施例的檢測偽裝攻擊方法追蹤第一移動設(shè)備的第一標識信息,在捕獲到請求消息時,對比根據(jù)請求消息獲得的第二移動設(shè)備的第二標識信息與追蹤到的第一移動設(shè)備的第一標識信息,從而確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,進而確定所述請求消息的有效性,因此能夠有效地檢測出攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。優(yōu)選地,當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,第一標識信息包括第一 IP地址和第一MSISDN ;當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,第一標識信息包括第一 MSISDN ;第二標識信息包括第二 IP地址和第二 MSISDN。由于移動設(shè)備處于在線狀態(tài)時,IP地址和MSISDN可以唯一地標識移動設(shè)備,而移動設(shè)備處于離線狀態(tài)時,MSISDN可以唯一地標識移動設(shè)備,因此移動設(shè)備在線時,采用IP地址和MSISDN作為移動設(shè)備的標識信息可以唯一地確定移動設(shè)備,而移動設(shè)備離線時,采用MSISDN作為移動設(shè)備的標識信息可以唯一地確定移動設(shè)備。優(yōu)選地,所述根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性包括以下之一當對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息有效;當對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一 MSISDN與第二MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標識信息不包括第一 IP地址時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備;當對比結(jié)果為第一 MSISDN與第二 MSISDN不同,且第一標識信息不包括第一 IP地址時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備。從而在確定出第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備的基礎(chǔ)上,進一步根據(jù)得出的不同的對比結(jié)果確定請求消息的有效性,進而有效地檢測出攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。優(yōu)選地,所述獲得第一移動設(shè)備的第一標識信息包括以下之一監(jiān)控SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包,并根據(jù)該數(shù)據(jù)包獲得第一移動設(shè)備的第一標識信息;監(jiān)控BSC和SGSN之間的七號信令,并根據(jù)所述七號信令獲得第一移動設(shè)備的第一標識信息;當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,通過與HLR的連接獲取所述HLR中存儲的第一移動設(shè)備的 第一標識信息;當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,通過與HLR的連接獲取所述HLR中存儲的第一移動設(shè)備的第一 MSISDN,并通過SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 IP地址;當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,通過與HLR的連接獲取所述HLR中存儲的第一移動設(shè)備的第一 MSISDN,并通過BSC和SGSN之間的七號信令獲得第一移動設(shè)備的第一 IP地址。由于GTP-C數(shù)據(jù)包不易被偽造,因此通過監(jiān)控GTP-C數(shù)據(jù)包可以較準確地獲得移動設(shè)備的標識信息;另外,由于七號信令也不易被偽造,因此通過監(jiān)控七號信令也可以較準確地獲得移動設(shè)備的標識信息;此外,由于HLR中始終存儲著移動設(shè)備的相關(guān)信息,如移動設(shè)備的MSISDN和狀態(tài)信息,因此通過訪問HLR可以準確地獲得移動設(shè)備的MSISDN和狀態(tài)信息,當移動設(shè)備處于在線狀態(tài)時,可以進一步根據(jù)GTP-C數(shù)據(jù)包或者七號信令獲得移動設(shè)備的IP地址,即可完整地獲得移動設(shè)備的標識信息。優(yōu)選地,所述檢測偽裝攻擊的方法還包括當所述第一移動設(shè)備處于離線狀態(tài)時,刪除之前獲得的所述第一移動設(shè)備的第一標識信息;則當對比結(jié)果為不存在與所述第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,確定所述請求消息無效。也就是說,也可以僅存儲處于在線狀態(tài)的第一移動設(shè)備的第一標識信息,當該第一移動設(shè)備離線時,刪除之前存儲的該第一移動設(shè)備處于在線狀態(tài)的第一標識信息,從而可以節(jié)約存儲空間,并且在這種情況下,當對比結(jié)果為不存在與第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,則可以直接確定所述請求消息無效,因此也可以有效地檢測到攻擊者通過偽裝來發(fā)送請求消息而產(chǎn)生的攻擊。
下面將通過參照附圖詳細描述本發(fā)明的優(yōu)選實施例,使本領(lǐng)域的普通技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點,附圖中圖I為現(xiàn)有技術(shù)中一種移動通信網(wǎng)絡(luò)的示意結(jié)構(gòu)圖;圖2為在圖I所示的移動通信網(wǎng)絡(luò)中服務使用和計費的流程圖;圖3為根據(jù)本發(fā)明實施例的一種檢測偽裝攻擊的系統(tǒng)連接到圖I所示的移動通信網(wǎng)絡(luò)中的示意結(jié)構(gòu)圖;圖4為圖3中所示的攻擊檢測裝置的示意結(jié)構(gòu)圖;圖5為根據(jù)本發(fā)明實施例的一種檢測偽裝攻擊的方法的流程圖。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,以下舉實施例對本發(fā)明進一步詳細說明。圖3示出根據(jù)本發(fā)明實施例的一種檢測偽裝攻擊的系統(tǒng)連接到圖I所示的移動通信網(wǎng)絡(luò)中的示意結(jié)構(gòu)圖。如圖3所示,該檢測偽裝攻擊的系統(tǒng)包括用戶追蹤裝置310、以及攻擊檢測裝置320。 用戶追蹤裝置310連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè),用于獲得第一移動設(shè)備的第一標識信息,其中,第一標識信息用于唯一地標識第一移動設(shè)備。攻擊檢測裝置320連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到WAPGW中的請求消息和/或從WAPGW輸出的請求消息,根據(jù)所述請求消息獲得第二移動設(shè)備的第二標識信息,其中,第二標識信息用于唯一地標識第二移動設(shè)備;對比第一標識信息與第二標識信息;根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備;以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性。所述移動設(shè)備可以包括手機等任何可以通過WAP上網(wǎng)的終端。根據(jù)本發(fā)明的一個實施例,當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,第一標識信息包括第一 IP地址和第一 MSISDN ;當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,由于第一移動設(shè)備未被分配IP地址,因此第一標識信息包括第一 MSISDN,而不包括第一 IP地址;此外,由于能夠捕獲到第二移動設(shè)備的請求消息,所以該第二移動設(shè)備處于在線狀態(tài),因此第二移動設(shè)備的第二標識信息包括第二 IP地址和第二 MSISDN。根據(jù)本發(fā)明的一個實施例,用戶追蹤裝置310連接到SGSN和GGSN之間的Gn接口,監(jiān)控通過Gn接口的GTP-C數(shù)據(jù)包,并根據(jù)GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一標識信息。由于GTP相比UDP要安全得多,攻擊者不易偽造GTP-C數(shù)據(jù)包,因此可以較準確地獲得第一移動設(shè)備的第一標識信息。根據(jù)GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一標識信息的方式與現(xiàn)有技術(shù)中相同,可參閱協(xié)議標準3GPP TS 29. 060 V8. O. O (2007-06),此處不再贅述。根據(jù)本發(fā)明的另一個實施例,用戶追蹤裝置310連接到BSC和SGSN之間,監(jiān)控BSC和SGSN之間的七號信令,并根據(jù)七號信令獲得第一移動設(shè)備的第一標識信息。由于攻擊者不容易接入BSC和SGSN之間來偽造七號信令,因此通過監(jiān)控七號信令可以準確地獲得第一移動設(shè)備的第一標識信息。根據(jù)本發(fā)明的又一個實施例,用戶追蹤裝置310還連接到HLR,HLR中始終存儲著第一移動設(shè)備的相關(guān)信息,如第一移動設(shè)備的第一 MSISDN和狀態(tài)信息,當HLR中存儲的第一移動設(shè)備的狀態(tài)信息表明第一移動設(shè)備處于離線狀態(tài)時,根據(jù)HLR中存儲的信息即可獲得第一移動設(shè)備的第一標識信息;當HLR中存儲的第一移動設(shè)備的狀態(tài)信息表明第一移動設(shè)備處于在線狀態(tài)時,由于HLR中未存儲第一移動設(shè)備的第一 IP地址,所以可以根據(jù)HLR中存儲的信息以及通過Gn接口的GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一標識信息,一種實施方式中,可以根據(jù)HLR中存儲的信息獲得第一移動設(shè)備的第一MSISDN,以及根據(jù)GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 IP地址;此外,當HLR中存儲的第一移動設(shè)備的狀態(tài)信息表明第一移動設(shè)備處于在線狀態(tài)時,也可以根據(jù)HLR中存儲的信息以及七號信令獲得第一移動設(shè)備的第一標識信息,一種實施方式中,可以根據(jù)HLR中存儲的信息獲得第一移動設(shè)備的第一 MSISDN,以及根據(jù)七號信令獲得第一移動設(shè)備的第一 IP地址。由于HLR中始終存儲著移動設(shè)備的相關(guān)信息,并且不易被篡改,因此通過訪問HLR可以準確地獲得移動設(shè)備的MSISDN和狀態(tài)信息。上述檢測偽裝攻擊的系統(tǒng)監(jiān)控通過Gn接口的GTP-C數(shù)據(jù)包、BSC和SGSN之間的七號信令、訪問HLR、以及捕獲輸入到WAPGW中的或從WAPGW輸出的請求消息,而并不介入到WAPGff的通信鏈路中,因此很容易部署該檢測偽裝攻擊的系統(tǒng)。根據(jù)本發(fā)明的一個實施例,攻擊檢測裝置320的示意結(jié)構(gòu)圖如圖4所示,攻擊檢測裝置320包括捕獲模塊321、獲取模塊322、對比模塊323和檢測模塊324。捕獲模塊321用于捕獲所述請求消息,并將所述請求消息轉(zhuǎn)發(fā)給獲取模塊322 ;獲取模塊322用于從所述請·求消息中獲取第二移動設(shè)備的第二標識信息,并將所述第二移動設(shè)備的第二標識信息發(fā)送給對比模塊323 ;對比模塊323用于對比第一標識信息與第二標識信息,并將得出的對比結(jié)果發(fā)送給檢測模塊324 ;檢測模塊324用于根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性。 根據(jù)本發(fā)明的一個實施例,輸入到WAPGW中的請求消息包括GGSN發(fā)送給WAPGW的計費開始請求消息或移動設(shè)備發(fā)送給WAPGW的服務請求消息,從WAPGW輸出的請求消息包括WAPGW轉(zhuǎn)發(fā)給MISC、可信的SP或麗SC的服務請求消息。因此,本發(fā)明實施例適用于檢測偽裝成GGSN發(fā)送計費開始請求消息、偽裝成WAPGW轉(zhuǎn)發(fā)服務請求消息以及篡改發(fā)送給WAPGff的服務請求消息中的MSISDN而產(chǎn)生的攻擊。無論是上述請求消息中的哪一種類型的請求消息,都表明相應的移動設(shè)備處于在線狀態(tài),因此,第二移動設(shè)備處于在線狀態(tài)。根據(jù)本發(fā)明的一個實施例,當對比模塊323得出的對比結(jié)果為第一 IP地址與第二IP地址相同,且第一 MSISDN與第二 MSISDN相同時,表明第一移動設(shè)備和第二移動設(shè)備為同·一移動設(shè)備,且處于在線狀態(tài),則所述請求消息對應于該移動設(shè)備,應該對該移動設(shè)備進行計費,因此,檢測模塊324確定該請求消息有效。根據(jù)本發(fā)明的另一個實施例,當對比模塊323得出的對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一 MSISDN與第二 MSISDN不同時,表明第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,且處于在線狀態(tài),但所述請求消息中的MSISDN被篡改,企圖攻擊其他移動設(shè)備,因此,檢測模塊324確定該請求消息無效。根據(jù)本發(fā)明的又一個實施例,當對比模塊323得出的對比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN和第二 MSISDN相同時,表明第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,且處于在線狀態(tài),但這時是具有第二 IP地址的第二移動設(shè)備企圖偽裝成具有第一 IP地址的第一移動設(shè)備而發(fā)出請求消息,因此,檢測模塊324確定該請求消息無效。根據(jù)本發(fā)明的再一個實施例,當對比模塊323得出的對比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標識信息不包括第一 IP地址時,表明第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,但該移動設(shè)備實際上處于離線狀態(tài),卻有請求消息與該移動設(shè)備對應,即該請求消息為偽裝攻擊,因此,檢測模塊324確定該請求消息無效。根據(jù)本發(fā)明的又一個實施例,當對比模塊323得出的對比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN不同時,表明第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備。根據(jù)本發(fā)明的再一個實施例,當對比模塊323得出的對比結(jié)果為第一 MSISDN與第二 MSISDN不同,且第一標識信息不包括第一 IP地址時,表明第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備。根據(jù)本發(fā)明的一個實施例,如圖4所示,攻擊檢測裝置320還可以包括防御模塊325,用于在檢測模塊324確定請求消息無效時,按照以下防御策略之一或任意組合進行防御向網(wǎng)絡(luò)管理員發(fā)出警告;向WAPGW發(fā)送離線請求消息;發(fā)送重置命令以斷開TCP連接;通過防火墻或部署在移動通信網(wǎng)絡(luò)中的特定控制裝置攔截所述請求消息。從而有效地防止 偽裝攻擊。根據(jù)本發(fā)明的一個實施例,如圖4所示,攻擊檢測裝置320還可以包括存儲模塊326,用于存儲檢測模塊324確定出的檢測結(jié)果和/或防御模塊325的防御結(jié)果,例如檢測模塊324確定出某一請求消息是無效的,存儲模塊326可以存儲該請求消息的相關(guān)信息,如果防御模塊325針對該請求消息采取了某一或某些防御策略進行了防御,則存儲模塊326還可以存儲防御模塊325采取的防御策略以及防御是否成功的結(jié)果。網(wǎng)絡(luò)管理員等可以查看這些監(jiān)測結(jié)果和防御結(jié)果,從而進一步對偽裝攻擊進行統(tǒng)計分析。根據(jù)本發(fā)明的一個實施例,用戶追蹤裝置310還可以主動將第一移動設(shè)備的第一標識信息發(fā)送給對比模塊323,以供對比模塊323在進行對比時使用這些信息。根據(jù)本發(fā)明的另一個實施例,對比模塊323還可以主動收集用戶追蹤裝置310獲得的第一移動設(shè)備的第一標識信息,以在進行對比時使用這些信息。根據(jù)本發(fā)明的一個實施例,用戶追蹤裝置310還可以用于當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,刪除之前獲得的該第一移動設(shè)備的第一標識信息;則當對比模塊323得出的對比結(jié)果為不存在與第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,檢測模塊324可以確定該請求消息無效。也就是說,用戶追蹤裝置310在更新第一移動設(shè)備的第一標識信息的過程中,可以既存儲處于在線狀態(tài)的第一移動設(shè)備的第一標識信息,又存儲處于離線狀態(tài)的第一移動設(shè)備的第一標識信息,也可以只存儲處于在線狀態(tài)的第一移動設(shè)備的第一標識信息,即在第一移動設(shè)備離線時,用戶追蹤裝置310刪除之前存儲的該第一移動設(shè)備處于在線狀態(tài)的第一標識信息,從而可以節(jié)約存儲空間,而在這種情況下,當對比模塊323得出的對比結(jié)果為不存在與第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,表明該第二移動設(shè)備處于離線狀態(tài),則不可能存在與該第二移動設(shè)備對應的請求消息,因此,檢測模塊324可以直接確定該請求消息無效。圖5示出根據(jù)本發(fā)明實施例的一種檢測偽裝攻擊的方法的流程圖。如圖5所示,該檢測偽裝攻擊的方法包括以下步驟步驟501、獲得第一移動設(shè)備的第一標識信息,其中,第一標識信息用于唯一地標識第一移動設(shè)備;
步驟502、捕獲輸入到WAPGW中的請求消息和/或從WAPGW輸出的請求消息;步驟503、根據(jù)請求消息獲得第二移動設(shè)備的第二標識信息,其中,第二標識信息用于唯一地標識第二移動設(shè)備;步驟504、對比第一標識信息與第二標識信息;步驟505、根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定請求消息的有效性。在步驟501中,獲得第一移動設(shè)備的第一標識信息的方式即為前述用戶追蹤裝置310獲得第一移動設(shè)備的第一標識信息的方式,此處不再贅述。在具體實施中,步驟501和步驟502之間可以同時執(zhí)行,也可以先后執(zhí)行,沒有特定的執(zhí)行順序。當?shù)谝灰苿釉O(shè)備處于在線狀態(tài)時,第一標識信息包括第一 IP地址和第一 MSISDN ; 當?shù)谝灰苿釉O(shè)備處于離線狀態(tài)時,第一標識信息包括第一 MSISDN ;第二標識信息包括第二IP地址和第二 MSISDN。在步驟505中,根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,以及當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定請消息的有效性包括以下之一當對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息有效;當對比結(jié)果為第一 IP地址與第二 IP地址相同,且第一 MSISDN與第二MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一 IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN相同時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一 MSISDN與第二 MSISDN相同,且第一標識信息不包括第一 IP地址時,確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效;當對比結(jié)果為第一IP地址與第二 IP地址不同,且第一 MSISDN與第二 MSISDN不同時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備;當對比結(jié)果為第一MSISDN與第二MSISDN不同,且第一標識信息不包括第一 IP地址時,確定第一移動設(shè)備和第二移動設(shè)備不是同一移動設(shè)備。根據(jù)本發(fā)明的一個實施例,上述檢測偽裝攻擊的方法還可以包括當所述第一移動設(shè)備處于離線狀態(tài)時,刪除之前獲得的所述第一移動設(shè)備的第一標識信息;則當對比結(jié)果為不存在與所述第二移動設(shè)備的第二標識信息相同的第一移動設(shè)備的第一標識信息時,確定所述請求消息無效。上述檢測偽裝攻擊的方法的實現(xiàn)原理與前述檢測偽裝攻擊的系統(tǒng)的實現(xiàn)原理相同,重復之處不再贅述。下面以請求消息為GGSN發(fā)送給WAPGW的計費開始請求消息、通過監(jiān)控GTP-C數(shù)據(jù)包獲得移動設(shè)備的標識信息為例,說明上述檢測偽裝攻擊的方法的具體實現(xiàn)過程,可以包括以下步驟。步驟I、監(jiān)控通過SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 MSISDN,在本不例中假設(shè)第一移動設(shè)備處于離線狀態(tài)。步驟2、捕獲GGSN發(fā)送給WAPGW的計費開始請求消息,根據(jù)該計費開始請求消息獲得第二移動設(shè)備的第二 IP地址、第二 MSISDN,GGSN向WAPGW發(fā)送計費開始請求消息,則表明第二移動設(shè)備處于在線狀態(tài)。步驟3、對比第一移動設(shè)備的第一 MSISDN與第二移動設(shè)備的第二 MSISDN,得出的對比結(jié)果為第一 MSISDN與第二 MSISDN相同,且由于第一移動設(shè)備處于離線狀態(tài)而不存在第一移動設(shè)備的第一 IP地址,因此在確定第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備的基礎(chǔ)上,確定該計費開始請求消息無效,即該計費開始請求消息為攻擊者通過偽裝成GGSN而發(fā)送的。下面以請求消息為移動設(shè)備發(fā)送給WAPGW的服務請求消息、通過監(jiān)控GTP-C數(shù)據(jù)包獲得移動設(shè)備的標識信息為例,說明上述檢測偽裝攻擊的方法的具體實現(xiàn)過程,可以包括以下步驟。步驟I、監(jiān)控通過SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 IP地址和第一 MSISDN,在本不例中假設(shè)第一移動設(shè)備處于在線狀態(tài)。 步驟2、捕獲第二移動設(shè)備發(fā)送給WAPGW的服務請求消息,根據(jù)該服務請求消息獲得第二移動設(shè)備的第二 IP地址和第二MSISDN,由于第二移動設(shè)備向WAPGW發(fā)送服務請求消息,因此表明第二移動設(shè)備處于在線狀態(tài)。步驟3、對比第一 IP地址與第二 IP地址并對比第一 MSISDN與第二 MSISDN,得出的對比結(jié)果為第一 IP地址與第二 IP地址相同、且第一 MSISDN與第二 MSISDN不同,表明第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,且該移動設(shè)備發(fā)送給WAPGW的服務請求消息中的MSISDN被篡改,因此確定該服務請求消息無效,即該服務請求消息為攻擊者通過偽裝成其他移動設(shè)備而發(fā)送的。下面以請求消息為WAPGW向MISC、可信的SP或MMSC轉(zhuǎn)發(fā)的服務請求消息、通過監(jiān)控GTP-C數(shù)據(jù)包獲得移動設(shè)備的標識信息為例,說明上述檢測偽裝攻擊的方法的具體實現(xiàn)過程,可以包括以下步驟。步驟I、監(jiān)控通過SGSN和GGSN之間的Gn接口的GTP-C數(shù)據(jù)包,根據(jù)該GTP-C數(shù)據(jù)包獲得第一移動設(shè)備的第一 IP地址和第一 MSISDN,在本不例中假設(shè)第一移動設(shè)備處于在線狀態(tài)。步驟2、捕獲WAPGW轉(zhuǎn)發(fā)給MISC、可信的SP或麗SC的服務請求消息,根據(jù)該服務請求消息獲得第二移動設(shè)備的第二 IP地址和第二MSISDN,由于WAPGW轉(zhuǎn)發(fā)的服務請求消息為第二移動設(shè)備發(fā)送來的服務請求消息,因此表明第二移動設(shè)備處于在線狀態(tài)。步驟3、對比第一 IP地址與第二 IP地址、并對比第一 MSISDN與第二 MSISDN,得出的對比結(jié)果為第一 IP地址與第二 IP地址不同、且第一 MSISDN與第二 MSISDN相同,表明第一移動設(shè)備和第二移動設(shè)備為同一移動設(shè)備,但這時是具有第二 IP地址的第二移動設(shè)備企圖偽裝成具有第一 IP地址的第一移動設(shè)備而發(fā)出服務請求消息,因此確定該服務請求消息無效。以上僅為用于說明上述檢測偽裝攻擊的方法的具體實現(xiàn)過程的示例,并非用于限制本發(fā)明。本發(fā)明公開了一種檢測偽裝攻擊的系統(tǒng),包括用戶追蹤裝置,連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè),用于獲得第一移動設(shè)備的第一標識信息;以及攻擊檢測裝置,連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到該WAPGW中的請求消息和/或從該WAPGW輸出的請求消息,根據(jù)該請求消息獲得第二移動設(shè)備的第二標識信息,對比所述第一標識信息與第二標識信息,根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性。本發(fā)明還公開了一種檢測偽裝攻擊的方法。通過上述技術(shù)方案,可以有效檢測攻擊者通過偽裝發(fā)送請求消息而產(chǎn)生的攻擊。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在 本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種檢測偽裝攻擊的系統(tǒng),所述系統(tǒng)包括 用戶追蹤裝置(310),連接到網(wǎng)關(guān)通用分組無線業(yè)務支持節(jié)點GGSN的輸入端側(cè)或者服務通用分組無線業(yè)務支持節(jié)點SGSN的輸入端側(cè),用于獲得第一移動設(shè)備的第一標識信息,其中,所述第一標識信息用于唯一地標識所述第一移動設(shè)備; 攻擊檢測裝置(320),連接到無線應用協(xié)議網(wǎng)關(guān)WAPGW的輸入端和/或輸出端,用于捕獲輸入到所述WAPGW中的請求消息和/或從所述WAPGW輸出的請求消息;根據(jù)所述請求消息獲得第二移動設(shè)備的第二標識信息,其中,所述第二標識信息用于唯一地標識所述第二移動設(shè)備;對比所述第一標識信息與所述第二標識信息;根據(jù)對比結(jié)果確定所述第一移動設(shè)備和所述第二移動設(shè)備是否為同一移動設(shè)備;以及當所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性。
2.如權(quán)利要求I所述的系統(tǒng),其中,當所述第一移動設(shè)備處于在線狀態(tài)時,所述第一標識信息包括第一互聯(lián)網(wǎng)協(xié)議地址和第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼;當所述第一移動設(shè)備處于離線狀態(tài)時,所述第一標識信息包括第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼; 所述第二標識信息包括第二互聯(lián)網(wǎng)協(xié)議地址和第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼。
3.如權(quán)利要求2所述的系統(tǒng),其中,所述用戶追蹤裝置(310)具體用于以下之一 監(jiān)控通過SGSN和GGSN之間的Gn接口的通用分組無線業(yè)務隧道協(xié)議控制數(shù)據(jù)包,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動設(shè)備的第一標識信息; 監(jiān)控基站控制器和SGSN之間的七號信令,并根據(jù)所述七號信令獲得所述第一移動設(shè)備的第一標識信息; 當所述第一移動設(shè)備處于離線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一標識信息; 當所述第一移動設(shè)備處于在線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼,并通過SGSN和GGSN之間的Gn接口的通用分組無線業(yè)務隧道協(xié)議控制數(shù)據(jù)包獲得所述第一移動設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址; 當所述第一移動設(shè)備處于在線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼,并通過基站控制器與SGSN之間的七號信令獲得所述第一移動設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址。
4.如權(quán)利要求I所述的系統(tǒng),其中,所述輸入到WAPGW中的請求消息包括計費開始請求消息或服務請求消息;所述從WAPGW輸出的請求消息包括服務請求消息。
5.如權(quán)利要求2所述的系統(tǒng),其中,所述攻擊檢測裝置包括檢測模塊(324),所述檢測模塊具體用于以下之一 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息有效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同,且所述第一標識信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備不是同一移動設(shè)備; 當所述對比結(jié)果為第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同,且所述第一標識信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時,確定所述第一移動設(shè)備和所述第二移動設(shè)備不是同一移動設(shè)備。
6.如權(quán)利要求I所述的系統(tǒng),其中,所述攻擊檢測裝置(320)包括防御模塊(325),所述防御模塊(325)用于在所述請求消息被確定為無效時,按照以下防御策略之一或任意組合進行防御 發(fā)出警告; 向所述WAPGW發(fā)送離線請求消息; 發(fā)送重置命令以斷開傳輸控制協(xié)議連接; 攔截所述請求消息。
7.如權(quán)利要求6所述的系統(tǒng),其中,所述攻擊檢測裝置(320)包括存儲模塊(326),所述存儲模塊(326)用于存儲所述攻擊檢測裝置(320)確定出的請求消息的有效性和/或所述防御模塊(325)的防御結(jié)果。
8.如權(quán)利要求I所述的系統(tǒng),其中, 所述用戶追蹤裝置(310)進一步用于將所述第一移動設(shè)備的第一標識信息發(fā)送給所述攻擊檢測裝置(320);或者 所述攻擊檢測裝置(320)進一步用于收集所述用戶追蹤裝置(310)獲得的所述第一移動設(shè)備的第一標識信息。
9.如權(quán)利要求I所述的系統(tǒng),其中, 所述用戶追蹤裝置(310)進一步用于當所述第一移動設(shè)備處于離線狀態(tài)時,刪除之前獲得的所述第一移動設(shè)備的第一標識信息; 所述攻擊檢測裝置(320)具體用于當所述對比結(jié)果為不存在與所述第二移動設(shè)備的第二標識信息相同的所述第一移動設(shè)備的第一標識信息時,確定所述請求消息無效。
10.一種檢測偽裝攻擊的方法,所述方法包括 獲得第一移動設(shè)備的第一標識信息(501),其中,所述第一標識信息用于唯一地標識所述第一移動設(shè)備; 捕獲輸入到無線應用協(xié)議網(wǎng)關(guān)WAPGW中的請求消息和/或從所述WAPGW輸出的請求消息(502); 根據(jù)所述請求消息獲得第二移動設(shè)備的第二標識信息(503),其中,所述第二標識信息用于唯一地標識所述第二移動設(shè)備; 對比所述第一標識信息與所述第二標識信息(504);根據(jù)對比結(jié)果確定所述第一移動設(shè)備和所述第二移動設(shè)備是否為同一移動設(shè)備,以及當所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性(505)。
11.如權(quán)利要求10所述的方法,其中,當所述第一移動設(shè)備處于在線狀態(tài)時,所述第一標識信息包括第一互聯(lián)網(wǎng)協(xié)議地址和第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼;當所述第一移動設(shè)備處于離線狀態(tài)時,所述第一標識信息包括第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼; 所述第二標識信息包括第二互聯(lián)網(wǎng)協(xié)議地址和第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼。
12.如權(quán)利要求11所述的方法,其中,所述根據(jù)對比結(jié)果確定所述第一移動設(shè)備和所述第二移動設(shè)備是否為同一移動設(shè)備,以及當所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備時,根據(jù)所述對比結(jié)果確定所述請求消息的有效性(505)包括以下之一 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息有效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址相同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼相同,且所述第一標識信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時,確定所述第一移動設(shè)備和所述第二移動設(shè)備為同一移動設(shè)備,并確定所述請求消息無效; 當所述對比結(jié)果為第一互聯(lián)網(wǎng)協(xié)議地址與第二互聯(lián)網(wǎng)協(xié)議地址不同,且第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同時,確定所述第一移動設(shè)備和所述第二移動設(shè)備不是同一移動設(shè)備; 當所述對比結(jié)果為第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼與第二移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼不同,且所述第一標識信息不包括第一互聯(lián)網(wǎng)協(xié)議地址時,確定所述第一移動設(shè)備和所述第二移動設(shè)備不是同一移動設(shè)備。
13.如權(quán)利要求11所述的方法,其中,所述獲得第一移動設(shè)備的第一標識信息包括以下之一 監(jiān)控通過服務通用分組無線業(yè)務支持節(jié)點SGSN和網(wǎng)關(guān)通用分組無線業(yè)務支持節(jié)點GGSN之間的Gn接口的通用分組無線業(yè)務隧道協(xié)議控制數(shù)據(jù)包,并根據(jù)所述數(shù)據(jù)包獲得所述第一移動設(shè)備的第一標識信息; 監(jiān)控基站控制器和SGSN之間的七號信令,并根據(jù)所述七號信令獲得所述第一移動設(shè)備的第一標識信息; 當所述第一移動設(shè)備處于離線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一標識信息; 當所述第一移動設(shè)備處于在線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼,并通過SGSN和GGSN之間的Gn接口的通用分組無線業(yè)務隧道協(xié)議控制數(shù)據(jù)包獲得所述第一移動設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址; 當所述第一移動設(shè)備處于在線狀態(tài)時,通過與歸屬位置寄存器的連接獲取所述歸屬位置寄存器中存儲的所述第一移動設(shè)備的第一移動臺國際綜合業(yè)務數(shù)字網(wǎng)號碼,并通過基站控制器與SGSN之間的七號信令獲得所述第一移動設(shè)備的第一互聯(lián)網(wǎng)協(xié)議地址。
14.如權(quán)利要求10所述的方法,還包括當所述第一移動設(shè)備處于離線狀態(tài)時,刪除之前獲得的所述第一移動設(shè)備的第一標識信息; 則當所述對比結(jié)果為不存在與所述第二移動設(shè)備的第二標識信息相同的所述第一移動設(shè)備的第一標識信息時,確定所述請求消息無效。
全文摘要
本發(fā)明公開一種檢測偽裝攻擊的系統(tǒng),包括用戶追蹤裝置,連接到GGSN的輸入端側(cè)或者SGSN的輸入端側(cè),用于獲得第一移動設(shè)備的第一標識信息,第一標識信息唯一標識第一移動設(shè)備;以及攻擊檢測裝置,連接到WAPGW的輸入端和/或輸出端,用于捕獲輸入到WAPGW中的請求消息和/或從WAPGW輸出的請求消息,根據(jù)該請求消息獲得第二移動設(shè)備的第二標識信息;對比第一標識信息與第二標識信息;根據(jù)對比結(jié)果確定第一移動設(shè)備和第二移動設(shè)備是否為同一移動設(shè)備,當?shù)谝灰苿釉O(shè)備和第二移動設(shè)備為同一移動設(shè)備時,根據(jù)對比結(jié)果確定請求消息的有效性。本發(fā)明還公開一種檢測偽裝攻擊的方法。通過上述技術(shù)方案,可以有效檢測攻擊者通過偽裝發(fā)送請求消息而產(chǎn)生的攻擊。
文檔編號H04W12/00GK102932780SQ20111022986
公開日2013年2月13日 申請日期2011年8月11日 優(yōu)先權(quán)日2011年8月11日
發(fā)明者郭代飛, 隋愛芬 申請人:西門子公司