一种5G专网核心网信令安全检测方法及装置与流程

一种5g专网核心网信令安全检测方法及装置
技术领域
1.本发明涉及电数字数据处理技术领域，具体涉及一种5g专网核心网信令安全检测方法及装置。


背景技术：

2.目前，5g作为前沿的移动通信网络，具备大带宽、低时延、高可靠、高连接等技术优势。针对于工业制造、医疗、车联网、ar/vr等不同行业的用户，需要结合具体的业务场景和需求，打造针对于不同行业的5g专网。5g专网可面向不同的需求场景提供定制化解决方案，以满足差异化的行业需求；但同样也带来了新的安全风险。5g基站与专属upf部署在工业园区内，由于设备管理，接入终端复杂等多种因素，存在通过基站与upf与5gc核心网之间的信令通道(n1/n2/n4)攻击5g核心网的风险。传统的安全防护是通过在园区与核心网之间部署防火墙、ip防护网关等网络防护设备进行安全防护。其对报文的检测主要基于传统的五元组(源ip、目的ip、源端口、目的端口、协议)。
3.但是，现有的防护技术存在如下缺陷：防火墙与ip防护网关只能从ip与传输端口层面去判别和分析n1/n2/n4接口传输业务的合法性，无法从应用层面进行甄别与防护，一旦攻击者伪造成合法的ip和端口对于核心网发起攻击，那么防火墙与ip防护网关将失去防护作用，而目前对于信令攻击的检测识别，没有明确方法与手段。
4.因此，需要一种可解决5g专网核心网的安全问题的方法和设备。


技术实现要素：

5.本发明是为了解决5g专网核心网的安全问题，提供一种5g专网核心网信令安全检测方法及装置，通过对n1/n2/n4接口的应用层信令数据，基于业务逻辑、数据格式、数据流向、数据合法性等维度检测判别n1/n2/n4接口的信令数据是否安全，一旦发现信令攻击行为可以快速检测识别并生成告警日志，从而解决5g专网组网模式下通过n1/n2/n4接口通过信令攻击5g核心网的安全问题。
6.本发明提供一种5g专网核心网信令安全检测方法，包括以下步骤：
7.s1、收包模块获取5g园区、5g核心网之间的n1、n2、n4接口信令流量并分发到协议解码工作线程中；
8.s2、解码模块将信令数据报文进行信令协议解码并解析出应用层协议后输出至逻辑处理模块；
9.s3、逻辑处理模块对解码后的信令数据进行信令协议是否合法的检测，如果否，则向能力输出模块输出非法信令消息日志，并进入步骤s4；如果是，则进行信令流向是否合法的检测；
10.如果信令流向检测为非法，则向能力输出模块输出非法信令流向日志，并进入步骤s4；如果信令流向检测为合法，则进行信令逻辑合法性检测；
11.如果信令逻辑检测为非法，则向能力输出模块输出非法信令逻辑日志，并进入步
骤s4；如果信令逻辑检测为合法，则进行信令格式合法性检测；
12.如果信令格式检测为非法，则向能力输出模块输出非法信令格式日志，并进入步骤s4；如果信令格式检测为合法，则信令为合法，逻辑处理完成；
13.s4、能力输出模块检测非法信令消息日志、非法信令流向日志、非法信令逻辑日志和非法信令格式日志所包括的信令数据并输出事件日志，返回步骤s1。
14.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，步骤s1中，收包模块使用分光的形式复制n1、n2、n4接口信令流量；
15.步骤s2中，解码模块将信令数据报文依据3gpp规范要求进行信令协议解码解析出应用层协议后再基于3gpp规范标准进行应用协议的信令消息解码，并解析出应用协议的关键信息进行提取存储。
16.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，步骤s2中，解码模块将信令数据报文的mac协议层、ip协议层的数据根据协议特征解析后输出流量接收时间、mac地址、源目的ip地址和源目的端口号，再进行应用层协议的解析得到应用协议的关键信息；
17.应用协议的关键信息包括：信令协议、接口类型、消息类型、接入类型和消息携带的ie信息。
18.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，步骤s3中，逻辑处理模块中包括协议解析库和协议特征值，进行信令协议是否合法的检测时，对ngap协议和pfcp协议进行特征过滤，保留未识别的特征包，对于未识别的特征包，在根据源目的ip识别出接口后，通过协议解析库和协议特征值进行非ngap、非pfcp协议解析，并根据协议特征和包头信息解析出新的协议，再根据新的协议特征解析出安全事件日志。
19.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，步骤s3中，进行信令流向是否合法的检测时，以3gpp规范中的信令流程为基准，当发现信令流向与3gpp规范定义不一致时，则信令流向检测为非法，向能力输出模块输出非法信令流向日志。
20.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，步骤s3中，进行信令逻辑是否合法的检测时，使用决策树的分类方法，在每个叶节点上均设置合法性的判别，在分支上设置子信令流程合法性判别的叶节点，当子信令流程出现了非正常的信令时，信令逻辑检测为非法，向能力输出模块输出非法信令逻辑日志。
21.本发明所述的一种5g专网核心网信令安全检测方法及装置，作为优选方式，进行信令格式是否合法的检测时，使用hyperscan算法中的单模式匹配对信令消息的格式和消息的字节长度进行合法性检测，与消息格式规则库的匹配时，如果发现不合规的消息格式则认为信令格式检测为非法；
22.消息格式规则库基于3gpp规范中信元集合和信元的格式要求，信元的格式要求包括消息的格式和消息的字节长度。
23.本发明提供一种5g专网核心网信令安全检测装置，包括依次电连接的收包模块、解码模块、逻辑处理模块和能力输出模块，收包模块与5g园区、5g核心网之间的传输链路相连，收包模块接收信令数据报文并输出至解码模块，解码模块将信令数据报文进行信令协议解码并解析出应用层协议后输出至逻辑处理模块，逻辑处理模块进行信令协议合法性判
别、信令流向合法性判别、信令逻辑合法性判别与信令格式合法性判别，如果判别为非法则将非法信令消息日志输出至能力输出模块，能力输出模块根据非法信令消息日志输出非法信令事件日志。
24.本发明所述的一种5g专网核心网信令安全检测装置，作为优选方案，还包括并列设置并与5g园区与5g核心网之间传输链路光连接的至少两个分光器和与分光器连接的物理网卡，物理网卡另一端与收包模块连接，分光器获取5g园区与5g核心网之间传输的信令数据报文后通过物理网卡传输至收包模块；
25.收包模块为dpdk开源套件；
26.信令数据报文包括n1接口信令流量数据、n2接口信令流量数据和n4接口信令流量数据；
27.解码模块根据3gpp规范进行信令协议解码；
28.逻辑处理模块通过对规则库的调用配合进行信令的安全检测识别。
29.本发明所述的一种5g专网核心网信令安全检测装置，作为优选方案，n1接口信令数据封装在n2接口上。
30.本发明提供如下技术方案：一种5g专网核心网信令安全检测方法，包括以下步骤：
31.s1：获取n1/n2/n4的接口信令流量并分发到协议解码工作线程中；
32.s2：用解码模块将信令数据报文按着3gpp规范要求进行信令协议解码，提取关键信息并缓存，用于检测；
33.s3：对通过解码模块后的信令数据依次进行信令协议合法性检测、信令流向合法性检测、信令逻辑合法性检测与信令格式合法性检测；
34.s4：通过检测对于命中安全事件规则的信令数据输出事件日志，且一旦命中非法规则，则输出非法信令日志。
35.一种5g专网核心网信令安全检测装置，包括能力输出模块、逻辑处理模块、解码模块与收包模块，所述收包模块设置为标准的dpdk开源套件，且用于收取物理网卡上的信令数据报文并分发到协议解码工作线程中，所述解码模块用于将信令数据报文按着3gpp规范要求进行信令协议解码，提取关键信息并缓存，且用于上层合法性检测模块进行检测的依据，所述逻辑处理模块包括信令协议合法性判别、信令流向合法性判别、信令逻辑合法性判别与信令格式合法性判别，所述信令协议合法性判别用于对协议进行信令协议合法性判别，且一旦命中非法规则，则输出非法信令消息日志，所述信令流向合法性判别用于对信令数据进行信令流向合法性检测，且一旦命中非法规则，则输出非法信令流向日志，所述信令逻辑合法性判别用于对信令数据进行业务逻辑合法性判别，且一旦命中非法规则，则输出非法信令逻辑日志，所述信令格式合法性判别模块用于对信令数据进行消息格式合法性判别，且一旦命中非法规则，则输出非法信令消息格式日志，所述能力输出模块用于对命中安全事件规则的信令数据输出事件日志，且所述日志包含日志id、日志开始时间、日志结束时间、日志类型、源ip、目的ip、源端口、目的端口、协议类型、接口类型等内容。
36.优选的，所述信令安全检测装置主要位于5g园区与5g核心网之间，且采用并接的模式，并通过分光的形式复制5g专网n1/n2/n4的接口信令流量并发送到所述信令安全检测装置的接收网卡。
37.优选的，所述n1接口信令数据是封装在所述n2接口之上，且所述信令协议合法性
判别只判别n2与n4接口。
38.优选的，所述逻辑处理模块通过对所述规则库的调用配合实现对信令的安全检测识别。
39.本发明具有以下优点：
40.(1)、本发明通过对n1/n2/n4接口的应用层信令数据，基于业务逻辑、数据格式、数据流向、数据合法性等维度检测判别n1/n2/n4接口的信令数据是否安全，一旦发现信令攻击行为可以快速检测识别并生成告警日志，从而解决5g专网组网模式下，通过n1/n2/n4接口通过信令攻击5g核心网的安全问题。
41.(2)、本发明弥补了现有5g专网信令安全检测方法与装置的空白，从应用层信令协议消息的合法性、消息流向的合法性、业务逻辑的合法性、消息格式的合法性多种维度进行了信令的合法性识别与检测，在5g专网基站与upf设备下沉至园区的组网模式下，有着极强的实用性、同时并接获取数据的部署方式不会对于现网业务造成任何影响具有可落地性和推广性，解决了5g专网场景下的信令安全隐患，对于推动5g专网的建设发展有着重要意义。
附图说明
42.图1为一种5g专网核心网信令安全检测方法流程图；
43.图2为一种5g专网核心网信令安全检测装置架构示意图；
44.图3为一种5g专网核心网信令安全检测装置部署示意图；
45.图4为一种5g专网核心网信令安全检测方法的逻辑合法性判别示意图。
具体实施方式
46.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
47.实施例1
48.如图1所示，一种5g专网核心网信令安全检测方法及装置，包括以下步骤：
49.s1、收包模块获取5g园区、5g核心网之间的n1、n2、n4接口信令流量并分发到协议解码工作线程中；收包模块使用分光的形式复制n1、n2、n4接口信令流量；
50.s2、解码模块将信令数据报文进行信令协议解码并解析出应用层协议后输出至逻辑处理模块；
51.解码模块将信令数据报文依据3gpp规范要求进行信令协议解码解析出应用层协议后再基于3gpp规范标准进行应用协议的信令消息解码，并解析出应用协议的关键信息进行提取存储；
52.解码模块将信令数据报文的mac协议层、ip协议层的数据根据协议特征解析后输出流量接收时间、mac地址、源目的ip地址和源目的端口号，再进行应用层协议的解析得到应用协议的关键信息；
53.应用协议的关键信息包括：信令协议、接口类型、消息类型、接入类型和消息携带的ie信息；
54.s3、逻辑处理模块对解码后的信令数据进行信令协议是否合法的检测，如果否，则向能力输出模块输出非法信令消息日志，并进入步骤s4；如果是，则进行信令流向是否合法
的检测；
55.如果信令流向检测为非法，则向能力输出模块输出非法信令流向日志，并进入步骤s4；如果信令流向检测为合法，则进行信令逻辑合法性检测；
56.如果信令逻辑检测为非法，则向能力输出模块输出非法信令逻辑日志，并进入步骤s4；如果信令逻辑检测为合法，则进行信令格式合法性检测；
57.如果信令格式检测为非法，则向能力输出模块输出非法信令格式日志，并进入步骤s4；如果信令格式检测为合法，则信令为合法，逻辑处理完成；
58.逻辑处理模块中包括协议解析库和协议特征值，进行信令协议是否合法的检测时，对ngap协议和pfcp协议进行特征过滤，保留未识别的特征包，对于未识别的特征包，在根据源目的ip识别出接口后，通过协议解析库和协议特征值进行非ngap、非pfcp协议解析，并根据协议特征和包头信息解析出新的协议，再根据新的协议特征解析出安全事件日志；
59.进行信令流向是否合法的检测时，以3gpp规范中的信令流程为基准，当发现信令流向与3gpp规范定义不一致时，则信令流向检测为非法，向能力输出模块输出非法信令流向日志；
60.进行信令逻辑是否合法的检测时，使用决策树的分类方法，在每个叶节点上均设置合法性的判别，在分支上设置子信令流程合法性判别的叶节点，当子信令流程出现了非正常的信令时，信令逻辑检测为非法，向能力输出模块输出非法信令逻辑日志；
61.进行信令格式是否合法的检测时，使用hyperscan算法中的单模式匹配对信令消息的格式和消息的字节长度进行合法性检测，与消息格式规则库的匹配时，如果发现不合规的消息格式则认为信令格式检测为非法；
62.消息格式规则库基于3gpp规范中信元集合和信元的格式要求，信元的格式要求包括消息的格式和消息的字节长度；
63.s4、能力输出模块检测非法信令消息日志、非法信令流向日志、非法信令逻辑日志和非法信令格式日志所包括的信令数据并输出事件日志，返回步骤s1。
64.实施例2
65.如图2～3所示，一种5g专网核心网信令安全检测装置，包括依次电连接的收包模块、解码模块、逻辑处理模块、能力输出模块，并列设置并与5g园区与5g核心网之间传输链路光连接的至少两个分光器和与分光器连接的物理网卡，物理网卡另一端与收包模块连接，收包模块与5g园区、5g核心网之间的传输链路相连，收包模块接收信令数据报文并输出至解码模块，解码模块将信令数据报文进行信令协议解码并解析出应用层协议后输出至逻辑处理模块，逻辑处理模块进行信令协议合法性判别、信令流向合法性判别、信令逻辑合法性判别与信令格式合法性判别，如果判别为非法则将非法信令消息日志输出至能力输出模块，能力输出模块根据非法信令消息日志输出非法信令事件日志；
66.分光器获取5g园区与5g核心网之间传输的信令数据报文后通过物理网卡传输至收包模块；
67.收包模块为dpdk开源套件；
68.信令数据报文包括n1接口信令流量数据、n2接口信令流量数据和n4接口信令流量数据；
69.解码模块根据3gpp规范进行信令协议解码；
70.逻辑处理模块通过对规则库的调用配合进行信令的安全检测识别；
71.n1接口信令数据封装在n2接口上。
72.实施例3
73.如图1～4所示，一种5g专网核心网信令安全检测方法及装置，5g专网核心网信令安全检测装置包括能力输出模块、逻辑处理模块、解码模块与收包模块，收包模块设置为标准的dpdk开源套件，且用于收取物理网卡上的信令数据报文并分发到协议解码工作线程中，解码模块用于将信令数据报文按着3gpp规范要求进行信令协议解码，提取关键信息并缓存，且用于上层合法性检测模块进行检测的依据，逻辑处理模块包括信令协议合法性判别、信令流向合法性判别、信令逻辑合法性判别与信令格式合法性判别，信令协议合法性判别用于对协议进行信令协议合法性判别，且一旦命中非法规则，则输出非法信令消息日志，信令流向合法性判别用于对信令数据进行信令流向合法性检测，且一旦命中非法规则，则输出非法信令流向日志，信令逻辑合法性判别用于对信令数据进行业务逻辑合法性判别，且一旦命中非法规则，则输出非法信令逻辑日志，信令格式合法性判别模块用于对信令数据进行消息格式合法性判别，且一旦命中非法规则，则输出非法信令消息格式日志，能力输出模块用于对命中安全事件规则的信令数据输出事件日志，且日志包含日志id、日志开始时间、日志结束时间、日志类型、源ip、目的ip、源端口、目的端口、协议类型、接口类型等内容。
74.进一步的，信令安全检测装置主要位于5g园区与5g核心网之间，且采用并接的模式，并通过分光的形式复制5g专网n1/n2/n4的接口信令流量并发送到信令安全检测装置的接收网卡，所以信令安全检测装置是承载安全事件检测算法的一种设备，该设备相较于传统的采集解析设备，是引入了安全事件的检测逻辑及方法，通过对n1/n2/n4接口流量进行采集解析结合相应的算法，进而实现对其数据安全性的判别，从而达到检测的效果，且信令安全检测装置采用旁路接入的方案对信令安全进行检测，不影响网络的正常业务，n1接口流量携带ue和amf之间的交互数据、n2接口流量携带ran和amf之间的交互数据，通过部署在园区侧的分光器在园区与amf之间传输链路获取；n4接口流量携带upf和smf之间的交互数据，通过部署在园区侧的分光器在园区与smf之间传输链路获取。
75.进一步的，n1接口信令数据是封装在n2接口之上，且信令协议合法性判别只判别n2与n4接口。
76.进一步的，逻辑处理模块通过对规则库的调用配合实现对信令的安全检测识别。
77.综上可得，本发明的工作流程：在使用时，先获取n1/n2/n4的接口信令流量并分发到协议解码工作线程中，然后用解码模块将信令数据报文按着3gpp规范要求进行信令协议解码，提取关键信息并缓存，用于检测，且信令解析首先是对网卡获取的信令报文进行mac、ip、port剥离，所谓的剥离即是根据不同的协议层，把mac协议层、ip协议层的数据根据协议特征解析出来，输出相关的流量接收时间、mac地址、源目的ip地址、源目的端口号等。解析出mac、ip、port后，再上一层即是应用层协议，应用层协议承载的是信令消息，即说明了该应用协议是n1\n2接口还是n4接口，应用层协议反映了该信令的作用。解析出应用层协议后，基于3gpp规范标准进行该应用协议的信令消息解码，并解析出该应用协议的关键信息，并将关键信息进行提取存储。应用层协议的关键信息包含：信令协议、接口类型、消息类型、接入类型、消息携带的ie信息等关键信息，再然后对通过解码模块后的信令数据依次进行
信令协议合法性检测、信令流向合法性检测、信令逻辑合法性检测与信令格式合法性检测，且对于信令的合法性进行判别，在已有的接口识别过程中是根据源目的ip及接口协议类型确定接口类型，如3gpp规范中定义n1n2信令接口只可以发送或接收ngap协议信令，n4接口只可以发送或接收pfcp协议信令。而在本系统中，对ngap协议和pfcp协议之外的协议识别，是对信令合法性判别的关键技术点，通过识别出n1n2、n4接口的非法协议，才可以输出非法信令消息安全日志。对非ngap、pfcp协议的识别，传统上信令采集设备对非正常协议往往是丢弃处理，不做进一步的解析。而5g核心网信令安全检测系统上，对不能按3gpp规范定义的n1n2接口和n4接口协议进行解析的，在根据源目的ip识别出接口后，在采集解析设备中会预先设置协议解析库和收集到协议特征值，对非ngap、pfcp协议进行解析，并根据协议特征和包头信息，解析出新的协议，并根据新的协议特征解析出安全事件日志。该发明的重点是对已知的ngap协议和pfcp协议进行特征过滤，保留未识别的特征包，并对未识别的特征包进行解析，从而识别出异常的安全事件日志，因ngap协议和pfcp协议为已知协议类型，为节省资源开销，在该模块中对已知的协议进行特征匹配后即转入下一步的分析模块中，提高了识别效率。
78.当信令合法性检测通过以后，即信令协议正常，在本模块中会对各接口的信令消息流向进行检测，检测信令消息流向的目的是把非法的信令流向识别出来，对于消息流向异常的业务流程输出非法信令流向安全日志。3gpp规范规定的消息流向如表1样例所示。在n1n2、n4接口中如果在检测中发现信令消息的方向出现错乱，则可以认定为出安全事件，则需按规范定义输出对应的安全事件日志。如在n1n2接口中registration request只可能是基站发给amf，amf回registration accept给基站，如果突然出现amf发registration request给基站，且是基站回registration accept给amf，则被认为是非法事件，根据规范定义按要求输出非法信令流向的安全日志。总之，在信令合法性判别模块中，是以3gpp规范中所定义的信令流程为基准，当发现信令流向出现与3gpp规范定义不一致时，则按安全事件进行处理，并根据要求生成对应的安全事件日志。
79.表1正确的消息流向样例表
[0080][0081][0082]
信令流向合法性检测通过以后，基于决策树算法进行信令业务逻辑合法判别，对于判别异常的信令业务逻辑的业务流程输出非法信令业务逻辑安全日志。信令业务逻辑合
法性的判别是利用决策树的分类方法，以树结构的形式建立对业务逻辑合法性的分析模型。由于信令业务的复杂性，一次完整业务可以有多条信令共同决定本业务是否正常，在任何一个环节出现异常，该业务均不能正常建立。比如，在注册流程中，在一个接口内，会有多个信令过程，每个过程均是注册业务在不同的场景下必须建立的。而只有所有的信令过程均正常建立，注册业务才最终可以完成，如果其中一个信令流程出现异常，本次注册业务则不能正常建立。因此在决策树算法中，对每一个信令过程均需要建立分类方法，即在每个叶节点上均需要设置判断规则。相较于传统的决策树算法，本系统的信令业务逻辑合法性判别方法是在每个叶节点上均增加了合法性的判别，增加了分支和叶节点，即把不同的场景或子信令流程当做不同的分支，在分支上继续增加子信令流程的合法性判别的叶节点。当发现一个子信令流程出现了非正常的信令时，则判别为非法的信令逻辑，从而把这个非法的信令逻辑以安全事件日志输出。
[0083]
图4为以n1接口registration注册业务流程逻辑判定举例说明决策树算法使用方式。在注册业务流程中根节点为registration request，根据amf是否发生改变，叶分支分为两类，一个是authentication request的叶分支，一个是identity request的分支；而在根节点下的另外两个分支，则是注册业务拒绝及非法判断节点，authentication reject节点表示了注册业务被拒绝而结束，非法逻辑则表示了不属于本级分支的异常信令。在authentication request的叶分支下，authentication response和authentication failure为正常的下一级分支，如果出现其它异常信令，则判断为非法逻辑，其它分支节点同理适用。对非法逻辑的判断是识别安全事件的重要节点，也是在信令安全识别中的一个重要识别方法。在判别方法上相较于传统决策树的两个叶节点，本算法中增加了一个对非法逻辑判别的叶节点，是为了对每个分支进行合法性判别，但同时也增加了算法难度。信令业务逻辑合法性检测通过以后，基于hyperscan算法进行信令消息格式合法性判别，对于信令消息格式异常的业务流程输出非法信令消息格式安全日志。信令消息格式合法性判别是利用hyperscan算法中的单模式匹配，对信令消息的格式及长度进行合法性检测，经过与规则库的匹配，如果发现不合规的消息格式则认为是非法的消息，则根据信令安全事件的要求输出对应的安全日志。
[0084]
本算法应用了hyperscan算法的单匹配方法，为与目标消息格式进行匹配在算法中加载了自身设计的消息格式规则库，引入规则库是可以快速高效的匹配出信令消息中各信元的合法性和其格式的合法性，同时也是为了提高对安全事件的检测效率。自身设计的消息格式规则库是基于3gpp规范中规定的各消息中所包含的信元集合以及各信元的格式要求，以3gpp规范中所定义的格式为基线，对在信令流程出现的异常格式进行匹配，把不能匹配到的消息格式过滤出，非法的信令消息格式作为安全事件输出。
[0085]
表2是以n2接口initial ue message消息为例进行说明，其正常的信元及格式如表2，在对initial ue messages消息进行判别过程中，模块算法会首先根据每个消息的字节长度进行匹配，再以消息的内容进行匹配，如在initial ue messages消息中，messages type为比携带的ie，amf set id为区域内唯一标识的一个amf集合，ue context request表示了用户的上下文信息，同时携带安全信息。当采集解析设备收到一个initial ue messages消息时，该模块会根据算法设置进行自动匹配消息的合法性，如果与规则库可以匹配上，则表示该消息合法，如果在与规则库的匹配过程中出现错误，则表示该消息不合
法，则根据安全事件输出安全日志。为避免算法存在误判，在该算法中引入了防误判机制，即对一个消息进行格式匹配过程中，不仅是对消息格式进行匹配还要对消息的长度进行匹配，如在initial ue messages消息中，allowed nssai为非必选项，则在匹配过程中，如果消息的长度不包含此信元，则以改消息的必选项为匹配基准，以其它所携带的信元为相对匹配基准，并根据信元的顺序格式进行逐一匹配。所以，该算法的核心逻辑是采集解析输出的关键信息如果是initial ue message，用其实际解析的信元匹配基于3gpp规范制定的initial ue message的规则库，判定其合法性，如果非法即输出非法信令消息格式安全日志，最后通过检测对于命中安全事件规则的信令数据输出事件日志，且一旦命中非法规则，则输出非法信令日志。
[0086]
表2正常的信元及格式
[0087]
ie/group namepresencemessage typemran ue ngap idmnas-pdumuser location informationmrrc establishment causem5g-s-tmsioamf set idoue context requestoallowed nssaio
[0088]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

技术特征：
1.一种5g专网核心网信令安全检测方法，其特征在于：包括以下步骤：s1、收包模块获取5g园区、5g核心网之间的n1、n2、n4接口信令流量并分发到协议解码工作线程中；s2、解码模块将信令数据报文进行信令协议解码并解析出应用层协议后输出至逻辑处理模块；s3、所述逻辑处理模块对解码后的信令数据进行信令协议是否合法的检测，如果否，则向能力输出模块输出非法信令消息日志，并进入步骤s4；如果是，则进行信令流向是否合法的检测；如果信令流向检测为非法，则向所述能力输出模块输出非法信令流向日志，并进入步骤s4；如果信令流向检测为合法，则进行信令逻辑合法性检测；如果信令逻辑检测为非法，则向所述能力输出模块输出非法信令逻辑日志，并进入步骤s4；如果信令逻辑检测为合法，则进行信令格式合法性检测；如果信令格式检测为非法，则向所述能力输出模块输出非法信令格式日志，并进入步骤s4；如果信令格式检测为合法，则信令为合法，逻辑处理完成；s4、所述能力输出模块检测所述非法信令消息日志、所述非法信令流向日志、所述非法信令逻辑日志和所述非法信令格式日志所包括的信令数据并输出事件日志，返回步骤s1。2.根据权利要求1所述的一种5g专网核心网信令安全检测方法，其特征在于：步骤s1中，所述收包模块使用分光的形式复制n1、n2、n4接口信令流量；步骤s2中，所述解码模块将所述信令数据报文依据3gpp规范要求进行信令协议解码解析出应用层协议后再基于3gpp规范标准进行所述应用协议的信令消息解码，并解析出所述应用协议的信息进行提取存储。3.根据权利要求2所述的一种5g专网核心网信令安全检测方法，其特征在于：步骤s2中，所述解码模块将所述信令数据报文的mac协议层、ip协议层的数据根据协议特征解析后输出流量接收时间、mac地址、源目的ip地址和源目的端口号，再进行应用层协议的解析得到所述应用协议的关键信息；所述应用协议的关键信息包括：信令协议、接口类型、消息类型、接入类型和消息携带的ie信息。4.根据权利要求1所述的一种5g专网核心网信令安全检测方法，其特征在于：步骤s3中，所述逻辑处理模块中包括协议解析库和协议特征值，进行信令协议是否合法的检测时，对ngap协议和pfcp协议进行特征过滤，保留未识别的特征包，对于所述未识别的特征包，在根据源目的ip识别出接口后，通过所述协议解析库和所述协议特征值进行非ngap、非pfcp协议解析，并根据协议特征和包头信息解析出新的协议，再根据新的协议特征解析出安全事件日志。5.根据权利要求1所述的一种5g专网核心网信令安全检测方法，其特征在于：步骤s3中，进行信令流向是否合法的检测时，以3gpp规范中的信令流程为基准，当发现信令流向与3gpp规范定义不一致时，则信令流向检测为非法，向所述能力输出模块输出非法信令流向日志。6.根据权利要求1所述的一种5g专网核心网信令安全检测方法，其特征在于：步骤s3中，进行信令逻辑是否合法的检测时，使用决策树的分类方法，在每个叶节点上均设置合法
性的判别，在分支上设置子信令流程合法性判别的叶节点，当子信令流程出现了非正常的信令时，信令逻辑检测为非法，向所述能力输出模块输出非法信令逻辑日志。7.根据权利要求1所述的一种5g专网核心网信令安全检测方法，其特征在于：进行信令格式是否合法的检测时，使用hyperscan算法中的单模式匹配对信令消息的格式和消息的字节长度进行合法性检测，与消息格式规则库的匹配时，如果发现不合规的消息格式则认为信令格式检测为非法；所述消息格式规则库基于3gpp规范中信元集合和信元的格式要求，所述信元的格式要求包括消息的格式和消息的字节长度。8.一种5g专网核心网信令安全检测装置，其特征在于：包括依次电连接的收包模块、解码模块、逻辑处理模块和能力输出模块，所述收包模块与5g园区、5g核心网之间的传输链路相连，所述收包模块接收信令数据报文并输出至所述解码模块，所述解码模块将所述信令数据报文进行信令协议解码并解析出应用层协议后输出至所述逻辑处理模块，所述逻辑处理模块进行信令协议合法性判别、信令流向合法性判别、信令逻辑合法性判别与信令格式合法性判别，如果判别为非法则将非法信令消息日志输出至所述能力输出模块，所述能力输出模块根据所述非法信令消息日志输出非法信令事件日志。9.根据权利要求8所述的一种5g专网核心网信令安全检测装置，其特征在于：还包括并列设置并与5g园区与5g核心网之间传输链路光连接的至少两个分光器和与所述分光器连接的物理网卡，所述物理网卡另一端与所述收包模块连接，所述分光器获取5g园区与5g核心网之间传输的所述信令数据报文后通过所述物理网卡传输至所述收包模块；所述收包模块为dpdk开源套件；所述信令数据报文包括n1接口信令流量数据、n2接口信令流量数据和n4接口信令流量数据；所述解码模块根据3gpp规范进行信令协议解码；所述逻辑处理模块通过对规则库的调用配合进行信令的安全检测识别。10.根据权利要求9所述的一种5g专网核心网信令安全检测装置，其特征在于：n1接口信令数据封装在n2接口上。

技术总结
本发明提供一种5G专网核心网信令安全检测方法及装置，通过对N1/N2/N4接口的应用层信令数据，基于业务逻辑、数据格式、数据流向、数据合法性等维度检测判别N1/N2/N4接口的信令数据是否安全，一旦发现信令攻击行为可以快速检测识别并生成告警日志。本发明弥补了现有5G专网信令安全检测方法与装置的空白，从应用层信令协议消息的合法性、消息流向的合法性、业务逻辑的合法性、消息格式的合法性多种维度进行了信令的合法性识别与检测，在5G专网基站与UPF设备下沉至园区的组网模式下，有着极强的实用性、同时并接获取数据的部署方式不会对于现网业务造成任何影响具有可落地性和推广性，解决了5G专网场景下的信令安全隐患，对于推动5G专网的建设发展有着重要意义。5G专网的建设发展有着重要意义。5G专网的建设发展有着重要意义。


技术研发人员：林飞 武国柱 夏梦诚 朱有慧 易永波 古元 毛华阳 华仲峰
受保护的技术使用者：北京亚鸿世纪科技发展有限公司
技术研发日：2023.05.09
技术公布日：2023/8/4