基于关联检测的5G跨网越权访问防护方法及装置

本发明涉及通信网络安全防护，尤其涉及一种基于关联检测的5g跨网越权访问防护方法及装置。

背景技术：

1、第五代移动通信网络(5th generation mobile network,5g)为用户提供更可靠的连接、更低的时延和更广阔的覆盖范围，极大地提高了用户的上网速率、改善用户的上网体验。5g核心网是5g架构的核心部分，兼容了不同接入类型的用户设备与网络间的通信，负责为入网设备提供移动性管理、会话管理和策略控制等服务，核心网的安全稳定是5g网络可靠执行业务的基础。随着通信技术的迅猛发展和不断应用，5g移动通信逐渐从理论到实际，基站与核心网的商业化部署已经逐步开展。5g网络的标准规范和具体部署中均提供了满足漫游、互联互通等网间交互的服务流程，其在为跨网通信提供方便的同时，也为境内外不法分子提供了可趁之机，存在通过仿冒网元、用户构建相关流程进行网络探测、恶意渗透、通信扰乱等网络异常行为，给网络安全带来巨大挑战。

2、5g网间互联互通中普遍采用sepp网元功能进行网间拓扑隔离，sepp也承担了基础的网间服务交互网关代理的功能。拜访域网络中不法分子可通过虚假地址结合真实网元身份信息，仿冒真实网元发起各类异常信令访问和攻击行为。

3、目前，针对5g核心网的异常检测和风险预测的方法主要包括：一是，数据时间维度变化规律的离群点检测，从时间和数据的分散程度挖掘5g核心网的异常信令；二是，通过建立5g信令流程的转移过程模型，对过往的信令进行识别分析；三是，与互联网流量监测相似，从流量变化的角度判断5g信令的异常。现有技术的不足之处在于：5g核心网的信令复杂，应用较传统3g/4g更灵活，信令流程组合多样化，单纯的离群点检测难以发现许多越权类攻击威胁；基于5g信令转移过程模型的检测识别，过于关注信令规程，对于符合规程但又达到威胁目的的信令过程缺少技术方法；此外，当前的风险预测和异常检测算法往往基于对已有攻击技术的分析，缺少多角度关联分析的越权访问风险识别方法。

技术实现思路

1、本发明的目的在于解决现有5g核心网的异常检测和风险预测方法存在的问题，提出一种基于关联检测的5g跨网越权访问防护方法及装置，通过构建并定时更新的地址标识关联模型，进行跨网越权访问威胁检测，快速判定异常。

2、为了实现上述目的，本发明采用以下的技术方案：

3、一种基于关联检测的5g跨网越权访问防护方法，包含模型学习部分和实时检测防护部分；

4、在模型学习部分，通过对历史信令的ip、标识参数信息进行模型刻画，形成地址标识关联模型；

5、在实时检测防护部分，根据上述地址标识关联模型计算当前信令对模型参数的变化，再根据变化值判断当前信令消息是否存在异常及相应的风险等级。

6、根据本发明基于关联检测的5g跨网越权访问防护方法，进一步地，地址标识关联模型构建过程如下：

7、以网元标识为中心，对以往的关联ip进行哈希变换，然后计算关联ip模型参数λn，计算公式如下：

8、xi＝hash(ipi),i＝1,2,3...n

9、

10、式中，i为关联ip的序号，n为关联ip的数目，xi为ipi的哈希变换结果，λn为关联ip模型参数；

11、同样地，以ip地址为中心，对关联网元标识id进行哈希变换，然后计算关联标识模型参数βm，计算公式如下：

12、yi＝hash(idi),i＝1,2,3...m

13、

14、式中，i为关联网元标识的序号，m为关联网元标识的数目，yi为idi的哈希变换结果，βm为关联标识模型参数。

15、根据本发明基于关联检测的5g跨网越权访问防护方法，进一步地，在实时检测防护部分，首先对信令解析过滤，具体方法是：对5g信令消息进行解析处理，解析处理后，通过防护网络配置库中防护网络网元标识和ip地址参数信息的匹配，确定信令消息是否为外网信令，若否，则对该服务请求或响应进行状态更新，若是，则提取信令参数信息，并存入外网信令参数状态库中。

16、根据本发明基于关联检测的5g跨网越权访问防护方法，进一步地，在实时检测防护部分，在信令解析过滤后进行信令异常检测，包含网元标识异常检测和ip地址异常检测。

17、根据本发明基于关联检测的5g跨网越权访问防护方法，进一步地，ip地址异常检测包含：针对新入库的信令参数信息，首先根据模型计算当前网元标识的关联ip模型参数λn+1，然后计算当前信令消息对参数的变化：

18、xi＝hash(ipi),i＝1,2,3...n+1

19、

20、δλn＝|λn+1-λn|

21、设定λabnormal为异常的关联ip模型参数阈值，当(δλn/λn)>λabnormal时，判定当前信令消息为ip地址异常，则进行防护处置，依据参数变化的幅度判定其风险等级；若(δλn/λn)≤λabnormal，则进行网元标识异常检测。

22、根据本发明基于关联检测的5g跨网越权访问防护方法，进一步地，网元标识异常检测包含：针对新入库的信令参数信息，首先根据模型计算当前网元ip的关联标识模型参数βm+1，然后计算当前信令消息对参数的变化：

23、yi＝hash(idi),i＝1,2,3...m+1

24、

25、δβm＝|βm+1-βm|

26、设定βabnormal为异常的关联标识模型参数阈值，当(δβn/βn)>βabnormal时，判定当前信令消息为网元标识异常，则进行防护处置，依据参数变化的幅度判定其风险等级；若(δβn/βn)≤βabnormal，则进行下一个消息的处理。

27、进一步地，本发明还提供一种基于关联检测的5g跨网越权访问防护装置，该装置通过代理或并接的方式部署在被防护5g网域的边界，被防护5g网域通过本装置与其他5g网域互联互通，包含：

28、模型构建模块，用于通过对历史信令的ip、标识参数信息进行模型刻画，形成地址标识关联模型；

29、检测防护模块，用于根据上述地址标识关联模型计算当前信令对模型参数的变化，再根据变化值判断当前信令消息是否存在异常及相应的风险等级。

30、与现有技术相比，本发明具有以下优点：

31、基于sbi接口服务化的5g核心网，网元众多，但通过sepp进行网间交互的信令消息均包含网元标识及ip地址信息。本发明装置以seep方式部署在5g核心网外部，在前期通过对历史信令的ip、fqdn标识、nf标识等参数信息进行模型刻画，形成地址标识关联模型，在对原移动业务无感的情况下对5g核心网间的通信访问流量进行获取分析，实现5g核心网间跨网越权访问风险的防护。本发明无需深度检测消息内容，不关注攻击方式、攻击技术、攻击路径，充分利用地址相关联的标识，为跨网越权风险检测、威胁溯源和攻击手段分析提供了新思路。

技术特征：

1.一种基于关联检测的5g跨网越权访问防护方法，其特征在于，包含模型学习部分和实时检测防护部分；

2.根据权利要求1所述的基于关联检测的5g跨网越权访问防护方法，其特征在于，地址标识关联模型构建过程如下：

3.根据权利要求2所述的基于关联检测的5g跨网越权访问防护方法，其特征在于，在实时检测防护部分，首先对信令解析过滤，具体方法是：对5g信令消息进行解析处理，解析处理后，通过防护网络配置库中防护网络网元标识和ip地址参数信息的匹配，确定信令消息是否为外网信令，若否，则对该服务请求或响应进行状态更新，若是，则提取信令参数信息，并存入外网信令参数状态库中。

4.根据权利要求3所述的基于关联检测的5g跨网越权访问防护方法，其特征在于，在实时检测防护部分，在信令解析过滤后进行信令异常检测，包含网元标识异常检测和ip地址异常检测。

5.根据权利要求4所述的基于关联检测的5g跨网越权访问防护方法，其特征在于，ip地址异常检测包含：针对新入库的信令参数信息，首先根据模型计算当前网元标识的关联ip模型参数λn+1，然后计算当前信令消息对参数的变化：

6.根据权利要求4所述的基于关联检测的5g跨网越权访问防护方法，其特征在于，网元标识异常检测包含：针对新入库的信令参数信息，首先根据模型计算当前网元ip的关联标识模型参数βm+1，然后计算当前信令消息对参数的变化：

7.一种基于关联检测的5g跨网越权访问防护装置，其特征在于，该装置通过代理或并接的方式部署在被防护5g网域的边界，被防护5g网域通过本装置与其他5g网域互联互通，包含：

8.一种计算机装置，包括存储器、处理器及存储在存储器上的计算机程序，其特征在于，所述处理器执行所述计算机程序以实现如权利要求1-6任一项所述方法的步骤。

技术总结本发明涉及通信网络安全防护技术领域，尤其涉及一种基于关联检测的5G跨网越权访问防护方法及装置，该方法包含模型学习部分和实时检测防护部分；在模型学习部分，通过对历史信令的IP、标识参数信息进行模型刻画，形成地址标识关联模型；在实时检测防护部分，根据上述地址标识关联模型计算当前信令对模型参数的变化，再根据变化值判断当前信令消息是否存在异常及相应的风险等级。本发明通过构建并定时更新的地址标识关联模型，进行跨网越权访问威胁检测，快速判定异常。技术研发人员：刘树新,王凯,李星,潘菲,何赞园,朱宇航,李海涛受保护的技术使用者：中国人民解放军战略支援部队信息工程大学技术研发日：技术公布日：2024/9/9