[发明专利]一种基于MAP信令的核心网网元异常行为的判断方法

说明书

本发明涉及一种基于MAP信令的核心网网元异常行为的判断方法、装置及介质的技术方案，包括：S100，对发起方的MAP信令进行解析，获取发起方的MAP信令对应的源地址及目标地址；S200，根据源地址及目标地址判断发起方的第一异常行为，根据第一异常行为对发起方的后续MAP信令进行持续监控；S300，获取持续监控的MAP信令的一项或多项参数，根据参数判断发起方的第二异常行为。本发明的有益效果为：还原异常方法入手，通过现网数据与已知异常方法拟合的方法，在合规的MAP信令中分析识别网元异常行为。

技术领域

本发明涉及计算机领域，具体涉及了一种基于MAP信令的核心网网元异常行为的判断方法。

背景技术

如图3所示，2G/3G移动通信核心网与互联网隔绝，曾被认为是封闭的、安全的网络，网络内各网元之间进行信息交互的MAP信令承担了储存、传递签约用户个人信息、呼叫路由控制消息等功能，各国运营商之间移动通信网络互联互通，其内部安全的基础是运营商之间的相互信任，但由于各国防范手段和技术能力参差不齐，犯罪分子利用防范薄弱的移动通信网内注册设备通过构造解析相关MAP消息进行用户信息获取、呼叫劫持、短信劫持、用户定位跟踪等不法活动。针对以上异常行为，运营商在国际关口和省际关口部署信令防范设备，从信令级别对入境入省信令进行识别防范。

当前信令防范设备机制，仅对不符合双方漫游协议规定和协议标准的消息进行拦截，是在信令级别的防护，并未对协议内容和事务流程进行关联分析，然而大多异常行为利用的是符合相关规范的MAP消息，因此当前防范技术手段不能全面、有效的防范异常行为。

发明内容

本发明的目的在于至少解决现有技术中存在的技术问题之一，提供了一种基于MAP信令的核心网网元异常行为的判断方法，还原异常方法入手，通过现网数据与已知异常方法拟合的方法，在合规的MAP信令中分析识别网元异常行为。

本发明的技术方案包括一种基于MAP信令的核心网网元异常行为的判断方法，其特征在于：S100，对发起方的MAP信令进行解析，获取发起方的MAP信令对应的源地址及目标地址；S200，根据所述源地址及所述目标地址判断发起方的第一异常行为，根据所述第一异常行为对发起方的后续MAP信令进行持续监控；S300，获取持续监控的MAP信令的一项或多项参数，根据所述参数判断发起方的第二异常行为。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中的MAP信令被配置为全量MAP信令。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中的S100包括：获取发起方对应接入位置全量MAP信令，解析所述全量MAP信令的SRIForSM消息，获取其中的SCCP层的源GT及其目的GT。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中的S200包括：若所述源GT与所述目地GT分别处于境内及非境内时，则认定发起方具有所述第一异常行为。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中的S200还包括：若发起方被判定为具有所述第一异常行为时，则获取发起方对应的IMSI、网络位置、目标号码及异常发生时间。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中的S300包括：根据所述IMSI对发起方的后续MAP信令进行实时监控，获取ATI消息和ISD消息，获取所述ATI消息和所述ISD消息提取位置信息、用户状态和业务变更属性字段，确定发起方的第二异常行为，其中第二异常行为包括目标定位和呼叫劫持。

根据所述基于MAP信令的核心网网元异常行为的判断方法，其中该方法还包括：根据所述第一异常行为及所述第二异常行为判断发起方对应的网元进行异常定论。

本发明的有益效果为：还原异常方法入手，通过现网数据与已知异常方法拟合的方法，在合规的MAP信令中分析识别网元异常行为。

附图说明