一種通信業務行為異常的檢測方法、系統及設備的制作方法

一種通信業務行為異常的檢測方法、系統及設備的制作方法
【專利摘要】本申請公開一種檢測通信業務行為異常的方法、系統及設備，其中方法包括：檢測設備檢測節點設備的后端交換機的流量；如果發現行為異常則向所述節點設備發送告警信息；以及所述節點設備基于所述告警信息進行異常控制。通過本申請的實施方式，節約了節點設備的資源，而且由于不需要節點設備檢測請求報文是否正常以及通信業務的行為是否發生異常因而提高了安全性。
【專利說明】一種通信業務行為異常的檢測方法、系統及設備
【技術領域】
[0001]本申請涉及通信領域，尤其涉及一種通信業務行為異常的檢測方法、系統及設備。【背景技術】
[0002]目前對于通信業務的異常行為檢測有兩種方式:1、利用SBC (Session BorderController ;會話邊界控制器)自身安全功能進行檢測；2、利用旁路監控設備進行檢測。
[0003]第一種方案至少存在以下缺陷:
[0004]1、SBC在解析協議數據包過程中存在崩潰風險。SBC本身具有協議解析的能力，如果攻擊者向SBC發送惡意構造的畸形數據包，SBC在解析這些畸形數據包時存在系統資源耗盡、內存泄漏、拒絕服務等安全風險，導致SBC停止對正常服務的響應。由于SBC是部署在網絡中的inline設備，作為網絡邊界關鍵設備，如果SBC崩潰，將直接導致業務系統的癱瘓；
[0005]2、無法確保后續連接關系的邏輯正確性。目前的解決方案，只在SBC設備側進行異常行為分析，對后續的連接關系并不關注。因此將產生如下問題:攻擊者構造的惡意數據包繞過SBC側的異常行為分析系統，就可以完成對網絡的攻擊，無法檢測攻擊者后續的惡意行為，比如繞過關鍵設備、改變業務邏輯等。
[0006]第二種方案中，旁路設備無法有效控制數據包。現有的方案不具備檢測復雜數據的能力，因此存在放行惡意數據包和丟棄正常流數據包的風險。而且，旁路設備只部署在SBC設備入口處，所以無法有效控制數據包。

【發明內容】

[0007]本申請旨在提出一種能夠提高安全性的通信業務行為異常的檢測方案。
[0008]本申請的一個實施方式提供了一種通信業務行為異常的檢測方法，包括:檢測設備檢測節點設備的后端交換機的流量；如果發現行為異常則向所述節點設備發送告警信息；以及所述節點設備基于所述告警信息進行異常控制。
[0009]本申請的另一個實施方式提供了一種通信業務行為異常的檢測系統，包括:節點設備，接收終端發送的業務請求；以及檢測設備，檢測節點設備的后端交換機的流量，如果發現行為異常向所述節點設備發送告警信息；其中，所述節點設備根據所述告警信息進行異常控制。
[0010]本申請的另一個實施方式提供了一種通信業務行為異常的檢測設備，包括:檢測模塊，檢測節點設備的后端交換機的流量，其中所述節點設備接收終端發送的業務請求；以及告警模塊，當所述檢測模塊發現行為異常時，向所述節點設備發出告警信息。
[0011]通過本申請的實施方式，節約了節點設備的資源，而且由于不需要節點設備檢測請求報文是否正常以及通信業務的行為是否發生異常因而提高了安全性。
【專利附圖】

【附圖說明】[0012]圖I是根據本申請一個實施方式的通信業務行為異常的檢測系統；
[0013]圖2是根據本申請一個實施方式的通信業務行為異常的檢測方法1000 ；
[0014]圖3是根據本申請另一個實施方式的通信業務行為異常的檢測方法2000 ；
[0015]圖4是根據本申請一個實施方式的通信業務行為異常的檢測設備；
[0016]圖5是根據本申請另一個實施方式的通信業務行為異常的檢測設備。
【具體實施方式】
[0017]下面結合附圖詳細描述本申請的實施方式。
[0018]圖I是根據本申請一個實施方式的通信業務行為異常的檢測系統。如圖I所示，該系統包括節點設備10和檢測設備20。節點設備10接收終端發送的業務請求。檢測設備20檢測節點設備10的后端交換機的流量，如果發現行為異常則向節點設備10發送告警信息。節點設備10還根據所述告警信息進行異常控制。節點設備例如可以為SBC，下面以節點設備為SBC為例進行說明。
[0019]圖2是根據本申請一個實施方式的通信業務行為異常的檢測方法1000。下面結合圖I所述的系統來描述圖2所示的方法1000。
[0020]步驟SllO中，檢測設備20檢測節點設備10的后端交換機的流量。例如，檢測設備20可設置在節點設備10的旁側。檢測設備20通過與SBClO的后端交換機之間的接口(例如，流量鏡像接口)來檢測SBClO上通過的業務流量，從而檢測SBClO上所通過的業務是
否異常。
[0021 ] 步驟S120中，檢測設備20檢測節點設備10上通過的業務的行為是否異常。例如，檢測設備20通過流量鏡像接口從SBClO后端核心交換機獲取信息，以檢測SBClO上通過的業務流量的后續行為是否異常，該行為至少包括連接行為(例如連接順序、連接頻率和/或連接時間等)。
[0022]當發現檢測設備20發現通信業務行為異常時，在步驟S130中向節點設備10發送告警信息。然后步驟S140中，節點設備根據告警信息進行異常控制。例如，當檢測設備20發現通信業務行為異常時，向SBClO發送告警信息。SBClO根據該告警信息對發生異常行為的業務進行處理，例如丟棄該業務流量中的數據報文。
[0023]通過上述實施方式，檢測設備與節點設備(例如SBC)后端核心交換機相連，可通過通信接口檢測該后端核心交換機的流量，從而檢測該節點設備上通過的通信業務是否發生行為異常，而不需要節點設備檢測通信業務的行為是否發生異常。因此，節點設備只需要根據檢測設備的告警信息來進行異常控制。因此，不僅節約了節點設備的資源，而且由于不需要節點設備檢測通信業務的行為是否發生異常而提高了安全性。
[0024]圖3是根據本申請另一個實施方式的通信業務行為異常的檢測方法2000。下面結合圖I所述的系統來描述圖2所示的方法2000。
[0025]步驟S210中，節點設備10向檢測設備20轉發請求報文并進行阻塞等待。例如，節點設備10接收來自終端的請求報文，然后將該請求報文轉發給檢測設備，同時進行阻塞等待。例如，節點設備收到來自終端的兩條請求報文，第一請求報文和第二請求報文，如果節點設備10將第一請求報文轉發給了檢測設備20，則節點設備10會對采取阻塞等待，即第一請求報文沒有得到處理(例如根據檢測設備20的檢測結果進行后續過程或者終止后續過程)之前不會向檢測設備20發送第二請求報文。
[0026]步驟S220中，檢測設備20檢測該請求報文是否異常。然后在步驟S230中檢測設備20向節點設備10返回檢測結果。例如，檢測設備20檢測該請求報文的字段的長度、格式等是否存在畸形錯誤，然后將檢測結果返回給SBC10。
[0027]步驟S240中，節點設備10判斷檢測結果。如果檢測結果表示請求報文異常，則在步驟S250中節點設備10根據檢測結果進行異常控制。例如，SBC10判斷檢測設備20返回的檢測結果，當檢測結果表示請求報文異常時，則終止該請求的后續連接。
[0028]作為一種選擇，當如果步驟S240中節點設備10判斷出檢測結果表示請求報文正常，則在步驟S260中，檢測設備20檢測節點設備10的后端核心交換機的流量。例如，檢測設備20通過與SBC10的后端交換機之間的接口(例如，流量鏡像接口)來檢測SBC10上通過的業務的流量，從而檢測SBC10上通過的業務是否異常。
[0029]步驟S270中，檢測設備20檢測節點設備10上通過的業務的行為是否異常。例如，檢測設備20通過流量鏡像接口從SBC10后端核心交換機獲取信息，以檢測SBC10上通過的業務的后續行為是否異常，該行為至少包括連接行為(例如連接順序、連接頻率和/或連接時間等)。
[0030]也就是說，當檢測設備20對請求報文本身進行檢測并認為其正常后，還通過檢測節點設備10的后端核心交換機的流量來檢測該請求報文對應的請求的后續行為是否正
堂
巾Ο
[0031]當發現檢測設備20發現通信業務行為異常時，在步驟S280中向節點設備10發送告警信息。然后步驟S290中，節點設備10根據告警信息進行異常控制。例如，當檢測設備20發現通信業務行為異常時，向SBC10發送告警信息。SBC10根據該告警信息丟棄該業務的流量中數據報文。
[0032]通過上述實施方式，檢測設備與節點設備相連接，節點設備接收到請求報文時并不檢測請求報文而是轉發給檢測設備，然后根據檢測設備的檢測結果決定是否終止請求的后續連接，這樣可以防止節點設備(例如SBC)受到惡意構造的畸形數據包的攻擊。并且檢測設備與節點設備(例如SBC)后端核心交換機相連，可通過通信接口檢測該后端核心交換機的流量，從而檢測該節點設備上通過的通信業務是否發生行為異常，而不需要節點設備檢測通信業務的行為是否發生異常。因此，檢測設備可以在檢測過請求報文之后，通過檢測節點設備的后端核心交換機的流量來繼續檢測該請求報文對應的請求的后續行為是否正常。節點設備只需要根據檢測設備的告警信息來進行異常控制。因此，不僅節約了節點設備的資源，而且由于不需要節點設備檢測請求報文是否正常以及通信業務的行為是否發生異常因而提高了安全性。
[0033]作為一種選擇，節點設備10與檢測設備20之間的傳輸接口協議采用UDP通信方式且以C/S模式運行。作為一種選擇，節點設備10與檢測設備20之間的傳輸接口協議對消息的發送和接受采用同步處理方式。
[0034]節點設備10與檢測設備20之間的通信舉例如下。設節點設備為Client端，檢測設備20為Server端。Client端主動發送請求消息并阻塞等待，即節點設備10主動將所接收到的第一請求消息發送至檢測設備20 ；Server端始終監聽在接收端口(例如，缺省端口15061)，收到Client端的請求消息后，返回應答消息；Client端收到應答消息后，根據消息類型決定繼續發送下一條消息或進行重傳，例如，應答消息指示該第一請求報文接收成功則發送下一條請求報文，應帶消息指示該第一請求報文接受失敗則進行重傳該第一請求報文。作為一種選擇，為增強容錯能力，協議中可增加失敗重傳機制，即如果Client端對同一消息重傳兩次仍然失敗，可以丟棄該消息；Client端發送請求消息阻塞等待時，還可設置超時機制，超時后丟棄該消息。
[0035]例如，當Server端接收請求消息出現問題的時候,會通過應答消息要求Client端重傳上一條消息。Client端收到后，可以根據預先的設定最多重傳兩次該消息，如果均失敗，則放棄該消息的發送，繼續發送下一條消息。如果應答消息中要求重傳，但Event ID字段為0，則忽略重傳消息請求，繼續發送下一條消息。當Client端接收應答消息出現問題的時候，會直接放棄當前消息，繼續發送下一條消息，以防止重復發送同一條已接收成功的消息。當Client端發送請求消息并進入阻塞等待后，會開啟一個5秒鐘的超時定時器，如果5秒鐘內接收不到任何應答消息，則放棄該消息的發送，繼續發送下一條消息。
[0036]節點設備10與檢測設備20之間的傳輸接口協議中，請求消息和應答消息都由消息頭和消息體兩部分組成，如表1所示。
[0037]表1
[0038]
【權利要求】
1.一種通信業務行為異常的檢測方法，包括:檢測設備檢測節點設備的后端交換機的流量；如果發現行為異常則向所述節點設備發送告警信息；以及所述節點設備基于所述告警信息進行異常控制。
2.如權利要求1所述的方法，其中，所述檢測設備檢測節點設備的后端交換機的流量的步驟包括:所述檢測設備通過檢測節點設備的后端交換機的流量來檢測業務的連接行為。
3.如權利要求1所述的方法，在所述檢測設備檢測節點設備的后端交換機的流量的步驟之前還包括:所述節點設備接收終端的請求報文；將所述請求報文轉發至所述檢測設備并進行阻塞等待；所述檢測設備檢測所述請求報文是否異常；向所述節點設備返回檢測結果；以及所述節點設備基于所述檢測結果進行異常控制。
4.如權利要求3所述的方法，還包括:當所述檢測結果正確，所述節點設備向所述檢測設備轉發新的請求報文。
5.如權利要求3所述的方法，其中，在所述將所述請求報文轉發至所述檢測設備并進行阻塞等待的步驟之后包括:如果所述節點設備在預定時間內未收到來自所述檢測設備的應答，則不再向所述檢測設備發送所述請求報文，并向所述檢測設備轉發新的請求報文。
6.一種通信業務行為異常的檢測系統，包括:節點設備，接收終端發送的業務請求；以及檢測設備，檢測節點設備的后端交換機的流量，如果發現行為異常向所述節點設備發送告警信息；其中，所述節點設備根據所述告警信息進行異常控制。
7.如權利要求6所述的系統，其中，所述檢測設備通過檢測節點設備的后端交換機的流量來檢測業務的連接行為。
8.如權利要求6所述的系統，其中，所述節點設備還將所接收的請求報文轉發至所述檢測設備并進行阻塞等待；所述檢測設備還檢測所述請求報文是否異常，并向所述節點設備返回檢測結果；所述節點設備根據所述檢測結果進行異常控制。
9.如權利要求8所述的系統，其中，所述節點設備在所述檢測結果正確時向所述檢測設備轉發新的請求報文。
10.如權利要求8所述的系統，其中，所述節點設備如果在預定時間內未收到來自所述檢測設備的應答，則不再向所述檢測設備發送所述請求報文，并向所述檢測設備轉發新的請求報文。
11.一種通信業務行為異常的檢測設備，包括:檢測模塊，檢測節點設備的后端交換機的流量，其中所述節點設備接收終端發送的業務請求；以及告警模塊，當所述檢測模塊發現行為異常時，向所述節點設備發出告警信息。
12.如權利要求11所述的設備，其中，所述檢測模塊通過檢測節點設備的后端交換機的流量來檢測業務的連接行為。
13.如權利要求11所述的設備，還包括: 收發模塊，接收所述節點設備轉發的終端請求報文； 所述檢測模塊還檢測所述請求報文是否異常； 所述收發模塊還向所述節點設備返回檢測結果。
【文檔編號】H04L29/06GK103731314SQ201210392776
【公開日】2014年4月16日 申請日期:2012年10月16日 優先權日:2012年10月16日
【發明者】何申, 楊凱, 于娟娟, 楊光華, 黃曉慶, 鄧巖, 魏娜, 彭華熹, 張二鵬 申請人:中國移動通信集團公司