[发明专利]一种蜜罐监测方法、蜜罐核心网元、设备及存储介质

权利要求书

1.一种蜜罐监测方法，其特征在于，由蜜罐核心网元执行，所述蜜罐核心网元与标准核心网元位于核心网内部，所述蜜罐核心网元包括网元仿真模块、攻击监测模块和事件传输模块；所述方法包括：

当监测到网元端口存在攻击行为时，通过所述网元仿真模块获取攻击源的信令消息，仿真所述信令消息在标准核心网元中的信令交互，响应所述信令交互的过程中的信令消息；

通过所述攻击监测模块捕获所述信令消息，根据所述信令消息的通信协议解析所述信令消息，提取所述信令消息中的关键信息，根据所述网元仿真模块对所述信令消息的响应结果，触发与所述信令消息对应的信令事件；其中，所述关键信息用于指示所述攻击源的攻击路径和攻击操作；

通过所述事件传输模块发送所述关键信息和信令事件给威胁分析平台，以通过所述威胁分析平台监测所述攻击源的攻击行为。

2.根据权利要求1所述的方法，其特征在于，所述当监测到网元端口存在攻击行为时，通过所述网元仿真模块获取攻击源的信令消息，包括：

当监测到攻击源扫描或探测网元端口时，通过所述网元仿真模块触发攻击事件，获取所述攻击事件对应的攻击源的信令消息。

3.根据权利要求1所述的方法，其特征在于，所述网元仿真模块包括仿真移动管理实体MME、仿真归属用户服务器HSS和仿真网关；

所述通过所述网元仿真模块仿真所述信令消息在标准核心网元中的信令交互，响应所述信令交互的过程中的信令消息，包括：

通过所述仿真MME解析所述信令消息得到连接消息，将所述连接消息发送给所述仿真HSS，通过所述仿真HSS根据所述连接消息判断所述攻击源的合法性；

若所述攻击源非法，通过所述仿真MME向所述攻击源反馈连接拒绝消息并释放上下文，完成所述网元仿真模块与所述攻击源的信令交互；

若所述攻击源合法，获取签约数据和所述攻击源的鉴权参数，通过所述仿真MME对所述攻击源进行鉴权，若鉴权通过，通过所述仿真MME向所述攻击源反馈连接接受消息，响应所述信令交互的过程中业务消息的接收和发送，完成所述网元仿真模块与所述攻击源的信令交互；

其中，所述连接消息和业务消息属于信令消息。

4.根据权利要求1所述的方法，所述通过所述攻击监测模块提取所述信令消息中的关键信息，根据所述网元仿真模块对所述信令消息的响应结果，触发与所述信令消息对应的信令事件，包括：

通过所述攻击监测模块根据所述通信协议确定所述信令消息的消息类型；其中，所述消息类型至少包括连接消息、断开消息和业务消息；

若所述信令消息是连接消息或断开消息，通过所述攻击监测模块提取所述连接消息或断开消息中包含的路径信息，根据所述路径信息获取所述连接消息或断开消息的消息信息，根据所述网元仿真模块对所述连接消息或断开消息的响应结果，通过所述攻击监测模块触发对应的连接事件或断开事件；

若所述信令消息是业务消息，通过所述攻击监测模块提取所述业务消息中包含的操作码和消息内容，根据所述网元仿真模块对所述业务消息的响应结果，通过所述攻击监测模块根据所述操作码的类型和消息内容的类型触发相应的信令事件。

5.根据权利要求4所述的方法，其特征在于，对于所述攻击监测模块中S1应用协议S1ap类型接口，所述提取所述业务消息中包含的操作码和消息内容，根据所述网元仿真模块对所述业务消息的响应结果，通过所述攻击监测模块根据所述操作码的类型和消息内容的类型触发相应的信令事件，包括：

判断所述业务消息中的操作码是否合法；

当不合法时，根据所述网元仿真模块对所述业务消息的拒绝响应结果，触发异常信令事件，提取所述业务消息中的错误操作码，提取所述业务消息的错误内容；

当合法时，判断所述操作码是否符合网元属性；

当不符合时，根据所述网元仿真模块对所述业务消息的拒绝响应结果，触发异常信令事件，提取所述业务消息中的错误操作码，提取所述业务消息的错误内容；

当符合时，根据所述网元仿真模块对所述业务消息的接受响应结果，触发对应业务事件，提取所述业务消息的操作码和消息内容。