(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107733913A(43)申请公布日2018.02.23(21)申请号201711072907.9(22)申请日2017.11.04(71)申请人武汉虹旭信息技术有限责任公司地址430205湖北省武汉市江夏区藏龙岛谭湖二路1号虹信无线通信产业园(72)发明人保永武易叔海叶猛(74)专利代理机构武汉宇晨专利事务所42001代理人黄瑞棠(51)Int.Cl.H04L29/06(2006.01)H04W12/12(2009.01)权利要求书2页说明书7页附图1页(54)发明名称基于5G网络攻击溯源系统及其方法(57)摘要本发明公开了一种基于5G网络攻击溯源系统及其方法，涉及信息安全领域。本系统包括区域分系统和信令中心分系统；本方法是：①信令中心负责从核心网采集信令面数据，解析每个信令步骤，主要解析信令过程并摘要化处理只保留关键信息字段，形成简短数据摘要，快速分发至区域系统；②区域系统采集流量数据，解析流量数据到应用层，再通过攻击行为模型匹配识别攻击行为；识别出攻击行为后快速关联当前信令信息；③当识别出攻击行为并关联到信令信息时由攻击溯源系统第一时间进行溯源分析。实现攻击行为的快速溯源落地，方便日后取证还原网络攻击事件。本发明具有：①时效性；②准确性；③可溯源。CN107733913ACN107733913A权利要求书1/2页1.一种基于5G网络攻击溯源系统，其特征在于：包括区域分系统（A）和信令中心分系统（B）；区域分系统（A）包括攻击模型库（100）、区域采集器（200）、攻击识别（300）、关联分析（400）、攻击溯源（500）和信令缓存器（600）；信令中心分系统（B）包括中心信令采集（700）和信令分发器（800）；其交互关系是：攻击模型库（100）与攻击识别（300）交互，实现数据流量中攻击行为的识别；区域采集器（200）与攻击识别（300）交互，实现5G核心网流量的采集并导入攻击识别；攻击识别（300）和关联分析（400）交互，识别出攻击行为摘要由关联分析（400）完成信令关联，为后续攻击溯源（500）提供支持；关联分析（400）和攻击溯源（500）交互，实现攻击行为快速溯源与落地；关联分析（400）和信令缓存器（600）交互，实现攻击行为和信令的关联；中心信令采集（700）与信令分发器（800）交互，实现信令的快速采集与分发；信令分发器（800）和信令缓存器（600）交互，将区域分系统（A）和信令中心分系统（B）连接成一个整体。2.按权利要求1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的所述的攻击模型库（100）的工作流程包括下列步骤：Ⅰ、设置基于流量特征、行为特征、攻击样本为基础的攻击信息库；Ⅱ、使用内存数据库技术提供样本信息高速缓存。3.按权利要求1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的所述的区域采集器（200）的工作流程包括下列步骤：Ⅰ、在运营商SGW与PGW之间核心网数据进行汇聚；Ⅱ、通过分光方式无差别的复制核心网流量数据，解封装GTP或GRE，取得承载层IP数据包，通过五元组完成数据流关联，再进行乱序重排还原出整个数据流；Ⅲ、在数据流中恢复应用层或传输层数据，如HTTP，提供给攻击识别(300)模块。4.按权利要求1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的攻击识别（300）的工作流程包括下列步骤：Ⅰ、从攻击模型库(100)中预加载攻击规则；Ⅱ、对区域采集器完成的还原数据按不同数据类型与攻击规则模式匹配，完成攻击识别。5.按权利要求1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的关联分析（400）的工作流程包括下列步骤：Ⅰ、攻击行为摘要携带核心网流量中的属性信息，如SGW与PGW的IP地址以及GTP封装的TEID值或者GRE封装的KEY值；同时附带攻击方式，攻击载荷信息；Ⅱ、向信令缓存器发送查询命令，关联分析其身份信息；Ⅲ、向攻击溯源模块发送经过关联分析后的关联信息。6.按权利要求2所述1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的溯源模块（500）的工作流程包括下列步骤：Ⅰ、关联分析结果解析，确定攻击过程攻击发起方与攻击被动方；2CN107733913A权利要求书2/2页Ⅱ、攻击发起方信令信息解析取出BSID相关数据；Ⅲ、通过BSID基础数据库确定攻击方当前基站位置，结合GIS地图标定攻击发起方当前地点。7.按权利要求2所述1所述的一种基于5G网络攻击溯源系统，其特征在于：所述的信令缓存器（600）的工作流程包括下列步骤：Ⅰ、接收信令中心下发的用户信令摘要存储在本地内存数据库提供高速查询；当收到用户上线信令快速缓存，收到注册变更时及时修改信令缓存，收到用户下线信令等到超时阈