從3G無線網絡收集或推斷的無線狀態信息用于檢測和防止對網絡的惡意攻擊。
【技術實現步驟摘要】
【專利說明】保護3G無線網絡免于惡意攻擊的方法和裝置相關申請的交叉引用本申請是優先權日為2005年12月19日、國際申請日為2006年12月15日、國際申請號為PCT/US2006/075423、中國專利申請號為200680047810.6的專利申請的分案申請。
技術介紹
對無線網絡惡意攻擊的頻率和等級一直在不斷增加。已提出大量解決方案用于抵制對通信網絡的惡意攻擊。雖然這些方案可能減輕了對有線網絡的攻擊威脅,但它們對無線網絡不適當。例如,在有線服務拒絕(DoS)攻擊中,相對而言,要很長一段時間服務器才被禁用,因為此類機器具有比無線端點(移動終端)大的處理能力,而無線端點具有有限的處理能力和電源壽命。另外,與有線網絡相比,無線鏈路帶寬嚴重受限。因此,如果來自攻擊的業務到達移動終端,攻擊已經成功浪費了無線鏈路、無線基礎設施和移動終端電池電源的關鍵資源。這與必須耗盡服務器處理資源以便成功的典型有線DoS攻擊大不相同。對無線網絡嘗試的攻擊有多種類型,其中的兩種是信令類型攻擊和電池(即,休眠剝奪)攻擊。同時待審的美國專利申請N0._和_全部結合于本文中,就好像其全部在此闡述了一樣,它論述了此類攻擊,并且提出了抵御此類攻擊的具體技術。但是,對3G無線網絡的攻擊并不限于只是信令和電池攻擊。因此,希望提供用于保護許多類型3G無線網絡免于多種類型攻擊的方法和裝置。
技術實現思路
本專利技術人已經認識到,通過利用收集或推斷的無線狀態信息,可防止或大量減少對3G無線網絡的攻擊。更具體地說,本專利技術的一個實施例(即,示例)通過獲得無線狀態信息,并將獲得的信息與簡檔比較以確定攻擊是否對準網絡中的單元,來提供用于檢測對3G無線網絡的攻擊。通過使用無線狀態信息,本專利技術人相信可更容易檢測和防止攻擊。【附圖說明】圖1示出根據本專利技術一個實施例用于保護3G無線網絡免于攻擊的體系結構的示例。【具體實施方式】為了保護3G無線網絡中的移動裝置免于多種類型的攻擊,本專利技術提供一種稱為抗無線攻擊體系結構(AWARE)的新穎體系結構。圖1示出根據本專利技術一個實施例的AWARE體系結構一個示例。在本專利技術的一個實施例中,AWARE體系結構(例如使能裝置)100可包括學習數據庫或簡檔器101及檢測引擎或檢測器102。簡檔器101可操作以從包括基站(BS) 103、無線電網絡控制器(RNC) 104和分組數據服務節點I3DSN 105的無線基礎設施I (例如網絡)的不同單元收集無線狀態信息。在本專利技術的備選實施例中,AWARE使能裝置100可在無法收集信息時,從其對無線網絡I的了解來推斷狀態信息。簡檔器101可操作以一般在預處理步驟期間捕獲和存儲有關用戶200的信息,以便例如使用一個或多個統計測量生成在正常(即無攻擊)情況下給定用戶的業務簡檔。在本專利技術的又一實施例中,在創建初始簡檔后,簡檔器101可基于用戶行為的改變而定期更新簡檔。在構建簡檔時使用的信息包括但不限于分組到達時間、源和目的地的IP地址和端口號。應理解的是,簡檔器101可包括一個或多個數據庫。這些數據庫可與其它用戶數據庫和簡檔器通信,以便進行交叉移動終端、交叉RNC或交叉H)SN相關。例如,來自與一個或多個rosN相關聯的多個數據庫的數據可聚集在一起,并且例如對相似性進行分析。相似性可指示發動或存在跨越多個rosN的攻擊。本專利技術提供的建檔機制的一個新穎方面是能夠將用戶、應用程序以及服務器有關簡檔相關。對于用戶簡檔,我們指的是各個用戶的統計資料。這種劃分可根據各個應用進一步分類。例如,網上沖浪是大多數用戶最常用的服務。類似地,視頻點播服務器可使用RTP分組向用戶廣播視頻。通過記錄HTTP/RTP分組的到達,也可搜集基于各個WEB服務器或任何IP源的統計資料。為了實現可縮放性,簡檔器101可操作以使用例如相同的度量,跨越具有類似行為的用戶聚集簡檔。聚集使簡檔可以可縮放方式進行存儲,以使它例如可在以后更容易相關。例如,當前業務可與聚集的簡檔進行比較,以檢測不一致性。也可為通用服務器和應用程序保持聚集的簡檔。使用不同分類方法的靈活性允許更全面和準確地表征什么被視為正常業務。現在轉到檢測器102,它可操作以使用一種或多種檢測試探法來檢測3G無線攻擊。稍微更詳細地說,可使用的信令成本的一個示例是在業務遍歷過無線網絡I時的信令成本。惡意業務可由于它引入了過多的信令成本而被識別出。根據可從無線網絡I內單元獲得的協作,可以各種方式獲得信令成本。在本專利技術一個實施例中,檢測器102可操作以將所存儲的無攻擊或正常簡檔與當前業務條件進行比較,以便確定用戶或一組用戶200的當前業務是否違反正常簡檔。—旦檢測到攻擊并識別出攻擊者,AffARE使能裝置100便可通過例如重新配置或配置防火墻106(例如設置防火墻中的規則)來阻止來自可疑攻擊者的所有將來業務。如上所述,本專利技術提供的AWARE使能裝置收集無線特定狀態信息,包括無線數據信道的建立和釋放以及移動終端處于活動狀態的時間。本專利技術人知道,迄今為止沒有其它裝置以類似本專利技術的方式收集無線狀態信息和使用它檢測3G無線攻擊。在本專利技術的其它實施例中,AffARE使能裝置100可操作以在不同級別粒度(對于同一測量參數)保持信息。換而言之,對于同一測量參數,可使用不同的聚集級別。例如,基于移動終端、RNC、BS、H)SN或外部源。這允許檢測試探法查找多個級別的異常,防止攻擊者跨不同的RNC散布惡意業務,或者啟動對特定BS不限制自己的攻擊。根據本專利技術,AffARE使能裝置的位置可有所不同。例如,AffARE使能裝置可與無線服務提供商的防火墻106在同一位置。如果選擇此類設計,則可能不必假設無線網絡I的任何其它部分知道存在AWARE使能裝置100,或者與AWARE使能裝置100交互作用。在本專利技術的又一個實施例中,此類在同一位置的AWARE使能裝置100的簡檔器101可使用諸如分組到達和來自IP/TCP和應用層標題的信息等IP層信息來構建簡檔。這假設AWARE使能裝置100可觀察分組。如果IPsec (隧道模式)已經啟用,則AWARE使能裝置100可與域中的IPsec網關在同一位置,以便能夠解密和檢查分組標題和有效負荷。在“最少入侵”設計中,AWARE使能裝置100在IP分組到達I3DSN 105前,查看從防火墻106傳遞的IP分組。所有必需信息都包含在TCP和IP標題和有效負荷本身中。簡檔器101構建簡檔所需的信息可從上述標題和有效負荷提取。如果AWARE使能裝置與IPsec網關不在同一位置,則需要與網關有所謂的安全性關聯,以便它可在隧道模式解密和處理ESP封裝的分組。如果AWARE使能裝置與防火墻不在同一位置,則可使用接口與諸如CHECKPOINT的FIREffALL-1等最具商業性的防火墻通信,以便AWARE使能裝置可配置防火墻過濾器等。在本專利技術的備選實施例中,AWARE使能裝置100可在I3DSN 105與RNC 104之間操作。在此類設計中,裝置可與rosN 105交互作用以獲得有關分組如何分配到不同RNC的信息。另外,在AWARE使能裝置在I3DSN與RNC之間操作時,可采集更多的用戶特定狀態信息。這提供了較細粒度信息,諸如:用于FCH和SCH建立/釋放的信令事件數量、信令消息時間戳本文檔來自技高網...
【技術保護點】
一種用于檢測對無線網絡的攻擊的方法,包括:基于無攻擊無線業務情況生成簡檔;從至少一個無線電網絡控制器獲得無線狀態信息,所述無線狀態信息包括無線數據信道建立和釋放信息以及移動裝置處于活動狀態的時間;以及比較獲得的信息與所述簡檔以確定攻擊是否對準所述無線網絡中的單元。
【技術特征摘要】
...
【專利技術屬性】
技術研發人員:卜天,S·諾爾登,T·Y·伍,
申請(專利權)人:盧森特技術有限公司,
類型:發明
國別省市:美國;US
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。