[发明专利]一种GTP协议防护方法及装置

权利要求书

1.一种GTP协议防护方法，其特征在于，包括：

步骤1、接收源设备发送的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；

步骤2、根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息；

所述异常检测规则具体包括：若GTP-U消息为出现频率小于预设频率阈值的异常包或探测包，则采用模板包替换所述GTP-U消息；

若GTP-U消息为DOS攻击，则向所述源设备与目的设备发送断开连接消息，所述断开连接消息包含GTP隧道的标识信息；

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

若GTP-C消息为GTP层ARP攻击或数据重定向攻击，则修正所述GTP-C消息中的异常参数为不可达的地址或合法地址，得到修正过的GTP-C消息；

若GTP-C消息为利用连接建立的资源耗尽攻击，则丢弃所述GTP-C消息；

步骤3、将合法的正常GTP消息和所述修正过的GTP消息发送至目的设备。

2.根据权利要求1所述的方法，其特征在于，步骤2中的所述异常检测规则具体包括：

若GTP消息为GTP-U消息，则对所述GTP-U消息进行GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测中的至少一个检测步骤；

若GTP消息为GTP-C消息，则对所述GTP-C消息进行GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测中的至少一个检测步骤。

3.根据权利要求1所述的方法，其特征在于，还包括：

步骤4、对所述GTP消息进行异常检测时，根据在异常检测过程中提取到的异常特征信息实时更新异常检测规则。

4.一种GTP协议防护装置，其特征在于，所述装置接入PGW或GGSN前端，包括：前端实时防护子系统，所述前端实时防护子系统包括：

接入单元，用于接收源设备发送的GTP消息，所述GTP消息包括GTP-C消息和GTP-U消息；以及将合法的正常GTP消息和修正过的GTP消息发送至目的设备；

异常检测与处理单元，根据GTP消息的消息类型，按照异常检测规则对所述GTP消息进行异常检测，根据异常检测结果按照异常处理规则进行处理，并得到修正过的GTP消息；

所述异常检测与处理单元具体还用于：

若GTP-U消息为出现频率小于预设频率阈值的异常包或探测包，则采用模板包替换所述GTP-U消息；

若GTP-U消息为DOS攻击，则向所述源设备与所述目的设备发送断开连接消息，所述断开连接消息包含GTP隧道的标识信息；

若发现DNS隐蔽隧道，告警并提示操作员干预；

若GTP-C消息为假冒身份的非法连接，则丢弃所述GTP-C消息；

若GTP-C消息为GTP层ARP攻击或数据重定向攻击，则修正所述GTP-C消息中的异常参数为不可达的地址或合法地址，得到修正过的GTP-C消息；

若GTP-C消息为利用连接建立的资源耗尽攻击，则丢弃所述GTP-C消息。

5.根据权利要求4所述的装置，其特征在于，所述异常检测与处理单元具体用于：

若判定GTP消息为GTP-U消息，则对所述GTP-U消息进行GTP包头的合法性检测、畸形IP报文检测、信息探测检测和DNS隐蔽隧道检测中的至少一个检测步骤；

若判定GTP消息为GTP-C消息，则对所述GTP-C消息进行GTP包头的合法性检测、畸形GTP报文检测、网元身份合法性检测、用户信息检测、用户会话行为检测、数据路径检测和资源耗尽攻击检测中的至少一个检测步骤。

6.根据权利要求4所述的装置，其特征在于，还包括：

后端分析支撑子系统；对应地，

所述前端实时防护子系统，还用于对所述GTP消息进行异常检测时，将异常检测过程中提取到的异常特征信息传输至后端分析支撑子系统；

所述后端分析支撑子系统，用于根据接收到的异常特征信息实时更新异常检测规则，并将更新后的异常检测规则发送至所述前端实时防护子系统。