检测蜂窝物联网终端被僵尸网络控制的方法及装置与流程

1.本发明涉及网络安全技术领域，特别是指一种检测蜂窝物联网终端被僵尸网络控制的方法及装置。


背景技术：

2.以窄带物联网(narrow band internet of things,nb-iot)、增强型机器类型通信(enhanced machine-type communication，emtc)为代表的蜂窝物联网技术承接了大量物联网业务，并已在智能电表、智能烟感、智慧农业、共享单车等行业得到了广泛应用。
3.然而在这些海量蜂窝物联网终端中，大比例终端存在无人值守、弱口令、已知漏洞等安全风险，极易被攻击者入侵控制，成为僵尸主机进而组成大规模物联网僵尸网络，发动分布式拒绝服务攻击(ddos)攻击。僵尸主机成为物联网安全的主要威胁之一。


技术实现要素：

4.本发明要解决的技术问题是提供一种检测蜂窝物联网终端被僵尸网络控制的方法及装置，能够检测蜂窝物联网是否被僵尸网络控制。
5.为解决上述技术问题，本发明的实施例提供技术方案如下：
6.一方面，提供一种检测蜂窝物联网终端被僵尸网络控制的方法，由网络开放功能网元nef执行，所述方法包括：
7.接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；
8.将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；
9.向网络数据分析网元nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
10.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的方法，由网络数据分析网元nwdaf执行，所述方法包括：
11.接收网络开放功能网元nef的分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”；
12.向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
13.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的方法，由会话管理功能网元smf执行，所述方法包括：
14.接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；
15.若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
16.一些实施例中，判断ue出现异常之后，所述方法还包括：
17.通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；
18.接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
19.一些实施例中，判断ue出现异常之后，所述方法还包括：
20.丢弃异常目的地址的数据包。
21.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于网络开放功能网元nef，所述装置包括收发机和处理器，
22.所述收发机用于接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；
23.所述处理器用于将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；
24.所述收发机还用于向网络数据分析网元nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
25.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于网络数据分析网元nwdaf，所述装置包括收发机和处理器，
26.所述收发机用于接收网络开放功能网元nef的分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”；
27.所述收发机还用于向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
28.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于会话管理功能网元smf，所述装置包括收发机和处理器，
29.所述收发机用于接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；
30.所述处理器用于若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
31.一些实施例中，判断ue出现异常之后，所述收发机还用于通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
32.一些实施例中，判断ue出现异常之后，所述处理器还用于丢弃异常目的地址的数据包。
33.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述程序时实现如上所述的检测蜂窝物联网终端被僵尸网络控制的方法。
34.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于网络开放功能网元nef，所述处理器用于接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；向网络数据分析网元
nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
35.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于网络数据分析网元nwdaf，所述处理器用于接收网络开放功能网元nef的分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”；向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
36.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于会话管理功能网元smf，所述处理器用于接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
37.一些实施例中，所述处理器还用于通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
38.一些实施例中，所述处理器还用于丢弃异常目的地址的数据包。
39.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的检测蜂窝物联网终端被僵尸网络控制的方法中的步骤。
40.本发明的实施例具有以下有益效果：
41.上述方案中，通过af主动指示ue的期望目的地址列表以及在ue期望行为参数中新增ue的期望目的地址列表，可实现smf对僵尸主机的检测及处置，在僵尸网络形成之前减少安全风险。另外，本实施例减少了现有技术方案中nwdaf与smf之间的信令消息和数据交互量，smf可快速对异常进行检测。
附图说明
42.图1为相关技术进行僵尸主机检测的流程示意图；
43.图2为本发明实施例检测蜂窝物联网终端被僵尸网络控制的方法的流程示意图；
44.图3-图5为本发明实施例检测蜂窝物联网终端被僵尸网络控制的装置的结构示意图；
45.图6为本发明实施例检测蜂窝物联网终端被僵尸网络控制的装置的组成示意图。
具体实施方式
46.为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
47.对于僵尸主机的检测，在蜂窝物联网中，现有相关的方法是：5g核心网的网络数据分析网元(nwdaf)具备终端(ue)异常行为分析的能力，nwdaf通过分析从认证管理功能网元(amf)、会话管理功能网元(smf)、应用功能网元(af)收集的终端位置、数据包间隔、数据包发送频次等数据，来检测终端的异常行为(包括异常ue位置，异常长时间活跃，异常长时间高速率流量，异常唤醒，疑似ddos攻击，过于频繁地服务接入，异常无线链接失败，相邻小区间频繁切换等)，并向已签约ue异常行为分析服务的网元发出异常通知，相关网元采取对应措施，具体流程图如图1所示，其中，pcf为策略控制功能网元，nef为网络开放功能网元。
48.但相关技术存在以下缺点：
49.1、目前nwdaf可检测的ue异常行为中没有直接对蜂窝物联网被僵尸网络控制的检测。
50.2、现有技术方案中较为相关的可检测的异常行为是疑似ddos攻击或异常长时间活跃和/或高速率流量。然而这些特征都是终端已经变为僵尸主机之后的行为特征。对于终端变为僵尸主机之前的阶段，也就是僵尸网络主控端与终端通信，利用终端漏洞控制其成为僵尸主机的阶段，目前无法进行检测。
51.3、现有技术方案中，nwdaf需要从smf和amf频繁收集数据来实现实时检测，数据查询交互较多。
52.由于蜂窝物联网终端大部分具有固定的通信对象(例如智能电表通常只会上传数据到后台)，在即将变成或已经成为僵尸主机时，蜂窝物联网终端必然会和僵尸网络主控端进行通信，主控端并不是之前蜂窝物联网终端固定的通信对象。因此，对于蜂窝物联网终端来说，发现其与非期望的目的地址通信则极有可能是被僵尸网络主控端控制。
53.基于此思路，本发明实施例提供一种检测蜂窝物联网终端被僵尸网络控制的方法及装置，能够检测蜂窝物联网是否被僵尸网络控制。
54.本发明实施例提供一种检测蜂窝物联网终端被僵尸网络控制的方法，由网络开放功能网元nef执行，所述方法包括：
55.接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；
56.将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；
57.向网络数据分析网元nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
58.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的方法，由网络数据分析网元nwdaf执行，所述方法包括：
59.接收网络开放功能网元nef的分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”；
60.向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
61.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的方法，由会话管理功能网元smf执行，所述方法包括：
62.接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；
63.若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
64.一些实施例中，判断ue出现异常之后，所述方法还包括：
65.通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；
66.接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
67.一些实施例中，判断ue出现异常之后，所述方法还包括：
68.丢弃异常目的地址的数据包。
69.本实施例基于现有nwdaf的功能，通过优化参数和流程，以实现蜂窝物联网被僵尸网络控制的检测，并减少nwdaf和smf之间的信令和/或数据交互，如图2所示，本实施例包括以下步骤：
70.1、af向nef发送分析开放服务订阅请求，分析开放服务订阅请求中将分析标识设为“异常行为”，携带ue的期望目的地址列表。携带“ue的期望目的地址列表”的nef分析开放服务订阅请求可默认将异常id(标识)设为“疑似僵尸主机”，该异常id用于标识终端可能变为僵尸主机的异常行为检测。
71.本步骤中，在分析开放服务订阅请求中，af主动指示ue的期望目的地址列表，作为检测ue的异常行为的输入，并新增异常id：“疑似僵尸主机”；
72.2、nef基于其现有的provisioning capability(资源调配功能)将ue的期望目的地址列表保存在udm签约数据中的ue期望行为参数中。
73.步骤2中，在ue期望行为参数中增加ue的期望目的地址列表，用于nwdaf对ue异常行为的分析；
74.3、nef向nwdaf订阅分析服务，发送分析服务订阅消息，分析服务订阅消息携带异常id“疑似僵尸主机”；
75.4、nwdaf根据收到的分析服务订阅消息进行判断，如果分析服务订阅消息中的异常id为“疑似僵尸主机”则通知smf。
76.5、nwdaf向smf发送第一订阅请求，订阅或请求eventexposure服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
77.6、smf接收第一订阅请求，发现异常id为“疑似僵尸主机”，进行异常检测。一旦发现ue的目的地址与ue的期望目的地址不一致，且此时ue为nb-iot或emtc终端时，若还存在其他ue行为与期望ue行为不一致，则可判断ue存在异常。其中，ue行为与期望ue行为不一致，即ue出现异常行为，期望ue行为包括以下至少一项：ue处于连接态的预设时长，预设通信周期、电池消耗指示、预设数据包传输类型、预定的通信类型，如果ue的行为不满足期望ue行为，则判定ue出现异常行为。
78.7、可选地，smf可通过nwdaf向af发送异常通知，告知af异常ue以及ue的异常目的地址列表，af确认这些目的地址是否真正异常，向smf返回异常确认消息，消息指示异常ue和其对应的异常目的地址列表。
79.8、smf根据步骤5或步骤7的结果，采取缓解措施，如丢弃异常目的地址的数据包。
80.本实施例中，smf结合终端类型及ue实际行为与ue期望行为的比对结果，快速对ue可能变为僵尸主机采取措施。
81.步骤6和7中，smf在步骤5中判断ue存在异常后，可向af确认异常后再采取措施，增加了smf与af的异常确认流程，在向订阅异常服务的af确认异常确实存在后，再采取措施，能够避免误操作。
82.本实施例中，通过af主动指示ue期望目的ip以及在ue期望行为中新增ue期望目的ip，可实现smf对僵尸主机的检测及处置，在僵尸网络形成之前减少安全风险。
83.本实施例中，由smf对ue的异常行为进行检测，相比于smf将ue相关数据发送给
nwdaf，由nwdaf对ue的异常行为进行检测，不但能够快速地对ue的异常行为进行检测，而且smf无需将ue相关数据发送给nwdaf，减少了现有技术方案中nwdaf与smf之间的信令消息和数据交互量。
84.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于网络开放功能网元nef，如图3所示，所述装置包括收发机21和处理器22，
85.所述收发机21用于接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；
86.所述处理器22用于将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；
87.所述收发机21还用于向网络数据分析网元nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
88.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于网络数据分析网元nwdaf，如图4所示，所述装置包括收发机31和处理器32，
89.所述收发机31用于接收网络开放功能网元nef的分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”；
90.所述收发机31还用于向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
91.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，应用于会话管理功能网元smf，如图5所示，所述装置包括收发机41和处理器42，
92.所述收发机41用于接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；
93.所述处理器42用于若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
94.一些实施例中，判断ue出现异常之后，所述收发机41还用于通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
95.一些实施例中，判断ue出现异常之后，所述处理器42还用于丢弃异常目的地址的数据包。
96.本发明实施例还提供了一种检测蜂窝物联网终端被僵尸网络控制的装置，如图6所示，包括存储器51、处理器52及存储在所述存储器51上并可在所述处理器52上运行的计算机程序；所述处理器52执行所述程序时实现如上所述的检测蜂窝物联网终端被僵尸网络控制的方法。
97.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于网络开放功能网元nef，所述处理器52用于接收应用功能网元af的分析开放服务订阅请求，所述分析开放服务订阅请求携带终端ue的期望目的地址列表以及异常id“疑似僵尸主机”；将所述ue的期望目的地址列表保存到统一数据管理平台udm中的ue期望行为参数中；向网络数据分析网元nwdaf发送分析服务订阅消息，所述分析服务订阅消息携带异常id“疑似僵尸主机”。
98.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于网络数据分析网元nwdaf，所述处理器52用于接收网络开放功能网元nef的分析服务订阅消息，所述分析
服务订阅消息携带异常id“疑似僵尸主机”；向会话管理功能网元smf发送第一订阅请求，请求事件开放服务，所述第一订阅请求携带异常id“疑似僵尸主机”。
99.一些实施例中，检测蜂窝物联网终端被僵尸网络控制的装置应用于会话管理功能网元smf，所述处理器52用于接收网络数据分析网元nwdaf的第一订阅请求，所述第一订阅请求携带异常id“疑似僵尸主机”；若发现终端ue的目的地址不在统一数据管理平台udm中的ue的期望目的地址列表中，ue出现异常行为且ue为nb-iot或emtc终端，判断ue出现异常。
100.一些实施例中，所述处理器52还用于通过nwdaf向应用功能网元af发送异常通知，通知af异常ue及其对应的异常目的地址列表；接收af的异常确认消息，所述异常确认消息指示异常ue及其对应的异常目的地址列表。
101.一些实施例中，所述处理器52还用于丢弃异常目的地址的数据包。
102.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的检测蜂窝物联网终端被僵尸网络控制的方法中的步骤。
103.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储待检测终端设备或任何其他非传输介质，可用于存储可以被计算待检测终端设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
104.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。