本發明涉及一種基于MAP信令的核心網網元異常行為的判斷方法、裝置及介質的技術方案，包括：S100，對發起方的MAP信令進行解析，獲取發起方的MAP信令對應的源地址及目標地址；S200，根據源地址及目標地址判斷發起方的第一異常行為，根據第一異常行為對發起方的后續MAP信令進行持續監控；S300，獲取持續監控的MAP信令的一項或多項參數，根據參數判斷發起方的第二異常行為。本發明的有益效果為：還原異常方法入手，通過現網數據與已知異常方法擬合的方法，在合規的MAP信令中分析識別網元異常行為。

技術領域

本發明涉及計算機領域，具體涉及了一種基于MAP信令的核心網網元異常行為的判斷方法。

背景技術

如圖3所示，2G/3G移動通信核心網與互聯網隔絕，曾被認為是封閉的、安全的網絡，網絡內各網元之間進行信息交互的MAP信令承擔了儲存、傳遞簽約用戶個人信息、呼叫路由控制消息等功能，各國運營商之間移動通信網絡互聯互通，其內部安全的基礎是運營商之間的相互信任，但由于各國防范手段和技術能力參差不齊，犯罪分子利用防范薄弱的移動通信網內注冊設備通過構造解析相關MAP消息進行用戶信息獲取、呼叫劫持、短信劫持、用戶定位跟蹤等不法活動。針對以上異常行為，運營商在國際關口和省際關口部署信令防范設備，從信令級別對入境入省信令進行識別防范。

當前信令防范設備機制，僅對不符合雙方漫游協議規定和協議標準的消息進行攔截，是在信令級別的防護，并未對協議內容和事務流程進行關聯分析，然而大多異常行為利用的是符合相關規范的MAP消息，因此當前防范技術手段不能全面、有效的防范異常行為。

發明內容

本發明的目的在于至少解決現有技術中存在的技術問題之一，提供了一種基于MAP信令的核心網網元異常行為的判斷方法，還原異常方法入手，通過現網數據與已知異常方法擬合的方法，在合規的MAP信令中分析識別網元異常行為。

本發明的技術方案包括一種基于MAP信令的核心網網元異常行為的判斷方法，其特征在于：S100，對發起方的MAP信令進行解析，獲取發起方的MAP信令對應的源地址及目標地址；S200，根據所述源地址及所述目標地址判斷發起方的第一異常行為，根據所述第一異常行為對發起方的后續MAP信令進行持續監控；S300，獲取持續監控的MAP信令的一項或多項參數，根據所述參數判斷發起方的第二異常行為。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中的MAP信令被配置為全量MAP信令。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中的S100包括：獲取發起方對應接入位置全量MAP信令，解析所述全量MAP信令的SRIForSM消息，獲取其中的SCCP層的源GT及其目的GT。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中的S200包括：若所述源GT與所述目地GT分別處于境內及非境內時，則認定發起方具有所述第一異常行為。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中的S200還包括：若發起方被判定為具有所述第一異常行為時，則獲取發起方對應的IMSI、網絡位置、目標號碼及異常發生時間。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中的S300包括：根據所述IMSI對發起方的后續MAP信令進行實時監控，獲取ATI消息和ISD消息，獲取所述ATI消息和所述ISD消息提取位置信息、用戶狀態和業務變更屬性字段，確定發起方的第二異常行為，其中第二異常行為包括目標定位和呼叫劫持。

根據所述基于MAP信令的核心網網元異常行為的判斷方法，其中該方法還包括：根據所述第一異常行為及所述第二異常行為判斷發起方對應的網元進行異常定論。

本發明的有益效果為：還原異常方法入手，通過現網數據與已知異常方法擬合的方法，在合規的MAP信令中分析識別網元異常行為。

附圖說明