基于LTE长期演进系统网络的安全审计方法

摘要

本发明公开了基于LTE长期演进系统网络的安全审计方法，属于移动互联网领域。本系统包括长期演进系统，长期演进系统包括长期演进核心网和演进通用陆地无线接入网；长期演进核心网包括移动管理实体和移动网关；演进通用陆地无线接入网包括第1演进型基站、第2演进型基站……第N演进型基站，N为自然数，N小于5；设置有数据采集模块、数据分析模块和数据库模块；长期演进系统、数据采集模块、数据分析模块和数据库模块依次连接。本发明基于网络安全的考虑，能适用于LTE网络，考虑大流量时，如何做到较低的丢包率，本发明采用基于IP的分发均衡策略，结合端口识别和静态特征识别，可以快速准确的识别用户的行为，为LTE的建设奠定了安全基础。

主权项

基于LTE长期演进系统网络的安全审计方法，其系统包括长期演进系统(100)，长期演进系统(100)包括长期演进核心网(110)和演进通用陆地无线接入网(120)；长期演进核心网(110)包括移动管理实体(111)和移动网关(112)；演进通用陆地无线接入网(120)包括第1演进型基站(121)、第2演进型基站(122)……第N演进型基站(12N)，N为自然数，N小于5；设置有数据采集模块(200)、数据分析模块(300)和数据库模块(400)；长期演进系统(100)、数据采集模块(200)、数据分析模块(300)和数据库模块(400)依次连接；所述的数据采集模块(200)是一种负载均衡设备；所述的数据分析模块(300)是一种业务分析设备；所述的数据库模块(400)选用Oracle数据库服务器；其特征在于方法包括以下步骤：①数据采集模块(200)通过libpcap函数库实现网络包的截获，通过设定过滤规则，包括选定截获网络包的类型和网络包的长度，完成网络包的过滤，对于符合过滤规则的网络包，判断协议类型，如果协议类型为S1AP，则可以判断是信令包，如果不是则是数据包；信令包处理是根据长期演进系统信令流程，截获必要的信令，把关键字发送给数据分析模块，数据包处理则是通过解封装，获取运输层的源和目的端口，网络层的源和目的IP，以及把应用层的数据发送到数据分析模块(300)；②数据分析模块(300)接收数据采集模块(200)发送过来的数据包和信令关键字，把用户的一次行为产生的信令关键字和数据包关联起来，创建用户的上下文，通过把用户上下文和静态特征库中的关键字进行比较，其中静态特征库是存放协议的关键字，为目的IP、目的端口和应用层固定字节；匹配算法采用自动机多模式匹配算法，可以准确快速地识别协议，匹配成功则把数据发送给数据库模块(400)，匹配失败的则直接丢弃；③数据库模块(400)接收数据分析模块(300)发送过来的数据，也就是用户上下文，把源和目的IP、源和目的端口、协议名称、使用协议次数、使用协议时间和用户的基站信息，填写到数据库中，实现用户行为的识别和统计功能；所述的数据采集模块(200)的工作流程包括下列步骤：A、运用libpcap函数库实现在LTE的S1接口截获网络包；所述的libpcap函数库是Packet Capture library，即网络包捕获函数库，它是Unix/Linux平台下的网络包捕获函数包，大多数网络监控软件都以它为基础，其功能是通过网卡抓取网络以太网中的网络包；B、设置网络包的过滤规则，为网络包类型和网络包长度；C、根据用户设置的过滤规则对网络包进行过滤，判断网络包是否符合过滤条件(22)，是则进入步骤D，否则将网络包丢弃；D、网络包分为信令包和数据包，判断协议类型是否为S1AP，是则进入步骤E，否则进入步骤F；所述的S1AP是S1Application Protocol，基于S1接口的应用层协议，S1AP实现长期演进核心网和演进通用陆地无线接入网的信令和数据传输和交互；通过在S1接口截获网络包，应用层协议是S1AP的网络包，属于信令包；不是S1AP的则是数据包；E、信令包处理，通过分析用户在LTE中进行一次IMSI上下线，涉及到的信令，归纳出以下需要采集的信令类型：InitialUEMessage，Initial Context Setup Request，Initial Context Setup Response，E‑RAB Setup Request，E‑RAB Setup Response，UECapabilityInfoIndication，Downlink NAS Transport，Uplink NAS Transport，UEContextRelease Request，UEContextRelease Command，E‑RAB Release Command，E‑RAB Release Response；信令包处理就是对以上信令中的关键字进行提取；所述的IMSI是国际移动用户识别码，储存在SIM卡中，可用于区别移动用户的有效信息；F、数据包处理，TCP/IP分层技术对数据包进行解封装，取出数据包运输层的源和目的端口，网络层的源和目的IP源IP以及整个应用层的数据；所述的数据分析模块(300)的工作流程：a、接收数据采集模块(200)发送过来的网络包；b、信令包和数据包的关联处理，是把用户一次IMSI上下线行为的信令和数据关联起来，形成用户行为的上下文；关联方式：在建立隧道的时候会分配给该信令包一个隧道号GTP TEID，在传输数据包的时候，GTP‑U的头部也会带有一个TEID字段；TEID字段是隧道标识符，用于识别一个隧道，数据中的TEID字段标识这条数据是属于哪一条隧道；那么通过这个字段，就可以成功地把数据和信令关联起来了；c、创建用户上下文，根据以上截获到的数据包和信令包，把重要字段填充到用户的上下文中，形成一个节点；d、判断用户上下文中的关键字和静态特征库中的关键字是否匹配成功，是则跳到步骤e，否则丢弃；所述的静态特征库形成过程如下：每种应用协议在交互的过程中会携带特定的关键字，这些关键字是固定的几个字节，雅虎通协议带有关键字“YMSG”，ICQ协议带有0x2a，0x02关键字，而端口和IP也是可以初步确定协议的，HTTP协议的目的端口为80，本发明结合端口识别和静态特征识别方法，把这些关键字段都填写到静态特征库；关键字匹配采用自动机多模式匹配算法，它是一种应用有限状态自动机，进行的高效多模式匹配的算法，只扫描一次文本，可以识别多个关键字；e、写入数据库把源和目的IP、源和目的端口、协议名称、使用协议次数、使用协议时间和用户的基站信息，填写到数据库中，实现用户行为的识别和统计功能；所述的数据库模块(400)选用Oracle数据库服务器，主要是完成数据的存储，将协议名称、使用协议次数、使用协议时间、用户的基站、源和目的IP，源和目的端口信息都写到数据库中，统计某些时段用户使用某种协议的次数、流量，达到安全审计的目的；所述的Oracle是一种数据库服务器的类型，它是一个对象对应关系数据库管理系统，提供开放的、全面的和集成的信息管理方法。