CN104982059B - 检测电信网络中的行为的系统 - Google Patents
检测电信网络中的行为的系统 Download PDFInfo
- Publication number
- CN104982059B CN104982059B CN201380061241.0A CN201380061241A CN104982059B CN 104982059 B CN104982059 B CN 104982059B CN 201380061241 A CN201380061241 A CN 201380061241A CN 104982059 B CN104982059 B CN 104982059B
- Authority
- CN
- China
- Prior art keywords
- network
- telecommunications
- telecommunications network
- occurrences
- predetermined signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000008569 process Effects 0.000 claims abstract description 5
- 238000001514 detection method Methods 0.000 claims description 16
- 230000011664 signaling Effects 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000002360 preparation method Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 24
- 230000008901 benefit Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于检测电信网络中的移动电信设备的行为的系统。移动设备中的恶意软件可以导致在设备中的恶意行为,例如受传染设备相对于电信网络的连续的附着和分离。提供了一种电信网络,其被配置为标识至少一个移动电信设备,并接收来自所述移动电信设备的信号,以及将所述信号处理成数据流。所述数据流包括第一类型的数据,其被布置为导致在电信网络内第一类型的事件。所述网络被布置为监视在所述数据流中第一类型数据的出现,并在所述出现超过指示电信网络中移动电信设备可接受行为的水平时进行登记。还描述了一种用于检测移动设备行为的设备。
Description
背景技术
本发明涉及一种用于检测电信网络中移动电信设备的行为的系统,并进一步涉及一种用于检测在电信网络内移动电信设备的行为的设备。
电信网络向移动设备的用户提供无线电电信,其典型地根据如本领域技术人员将会已知的商定和标准化的无线电协议,例如GSM、UTMS和LTE。
移动电信设备是常见的并且包括移动电话和特别地智能电话、平板设备和其它手持计算机设备、手持个人助理和甚至安置在车辆中的通信设备。所有都可以向用户提供在四处移动的同时与彼此的电信和对互联网的访问。
对互联网的访问使设备暴露于可能从互联网被偶然或以其它方式下载到移动设备上的恶意软件和恶意应用。典型地,并且通常由于其较小大小和存储器容量,移动电信设备不包含与可用于台式计算机和具有互联网接入的其它大型设备的那些一样严格的安全性特征。这样,这些较小的移动电信设备易受恶意软件和恶意应用的传染(infection)及攻击,这将典型地传染移动设备的应用处理器。但是由于移动电信设备还典型地与无线电电信网络直接联系,因此电信网络自身易受来自驻留在移动设备上的任何恶意软件或恶意应用的攻击。
检测恶意移动设备行为的现有方法完全被应用于移动手机自身内。例如,“TamingMr Hayes:Mitigating signaling based attacks on smartphones”,IEEE/IFIP可靠系统和网络国际会议(DSN 2012),2012,dsn,pp.1-12,Collin Mulliner,Steffen Liebergeld,Matthias Lange,Jean-Pierre Seifert,描述了一种检测移动电话的应用处理器内的恶意行为的方法,并提出将应用处理器的虚拟分区作为部分解决方案。
然而该方法的缺点在于,如果移动设备已经被传染有恶意软件,则不能真正地确定该检测方法自身能够被信任。
类似地,US2006/0288407描述了一种用于在移动手机上执行检测的方法,并因此还导致类似的缺点。
然而,因为只有在被传染设备已经被正确识别才能采取适当的行动,正确地识别移动设备上的恶意软件或有恶意的软件的存在是一个问题。
发明内容
根据在权利要求中描述的发明解决所述问题。
该权利要求描述了一种用于检测电信网络中的移动电信设备的行为的系统。所述系统包括被配置成标识至少一个移动电信设备并目从移动电信设备接收信号并且还将信号处理成数据流的电信网络。数据流包括被布置成导致电信网络内的第一类型的事件的第一类型的数据。所述网络被布置成监视第一类型的数据在数据流中的出现并且被布置成当所述出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。
所要求保护的系统通过标识移动设备中的恶意行为解决该问题,但是从电信网络自身内标识该行为。这根据本发明的布置通过监视数据流或数据的递送来完成,数据的递送由于网络与移动设备之间的交互而出现在网络中。针对特定信号的过度出现来监视该数据。
驻留在移动设备上的恶意软件可以导致该设备沉溺于恶意行为,其典型地为不是为了明确的用户意图的情况下用尽网络资源的任何事物。典型地,其为在没有导致对用户或对设备的益处的情况下用尽网络资源的任何事物。例如,移动设备的用户可能希望下载视频以在设备上观看。这将用尽资源但是在这种情况中的资源使用是时间有限的并且在任何事件中,一旦视频被下载,用户花时间观看视频并且在这样做的同时不太可能下载其它视频或执行其它任务。然而,恶意软件可以被编程为连续下载视频,并且这使用过量网络资源。
在可替换的示例中,恶意软件可以被编程为连续执行移动设备到网络上的附着和分离。这将使用过量网络资源,因为网络将在每次设备附着时试图认证移动设备。然而,连续的附着和分离不导致对于用户或移动设备的益处。
在可替换的示例中,恶意软件可以被编程为操纵被网络用于切换决策的信号水平报告。移动设备连续地测量来自周围小区中的基站的信号水平并且向网络报告信号水平。网络将该报告和其它信息用于设备是否将与移动设备的通信切换到与当前服务移动设备的那个不同的基站。恶意软件可以被编程为以使得发生非常大量的切换的方式(其使用过量网络资源)操纵测量报告。
在可替换的示例中,恶意软件可以被编程为迫使携带恶意软件的移动设备连续请求呼叫转发。当作出针对呼叫转发的请求时,设备请求网络向第二号码转发传入呼叫。该请求的连续作出将用尽网络资源。
在可替换的示例中,恶意软件可以不断地请求设备与网络之间的承载(并且特别地,新的承载)的建立。同样地,这用尽网络资源。
在可替换的示例中,恶意软件可以迫使携带恶意软件的移动设备连续作出针对服务的请求而不使用所提供的服务。这些请求可以针对典型地由电信网络提供的任何种类的服务,但是当针对服务的连续请求不导致有益于用户或作出请求的移动设备的所提供的服务时这浪费网络资源。
在所有这些示例中,数据的交换出现在移动设备与电信网络之间,但是还进一步出现在电信网络自身内。如本领域技术人员已知的,当移动设备向电信网络传输信号时它们在基站中被接收并且被处理成在电信网络内部的数据流。例如,如果附着请求由移动设备作出,则接收附着请求的电信网络作出认证移动设备的尝试。这导致数据流或信号例如在UMTS网络的情况中在无线电网络控制器RNC、移动交换中心MSC、归属位置寄存器HLR和认证中心AuC之间发送,如本领域技术人员将已知的那样。同样如本领域技术人员将已知的,所描述的其它恶意行为同样将会导致不仅在设备与网络之间而且在网络自身内传输的信令或数据流。
网络可以因此通过监视在网络中的数据流中的第一类型的数据的出现来检测恶意行为,所述第一类型典型地为表示用于信号的正常处理的网络设备之间的网络中的一些交互的预定类型。另外网络在这种出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。换言之,网络通过监视和检测网络自身内的数据流的各种类型的发生率并且当出现过高时进行登记来检测恶意行为。
例如,为了检测其中设备连续尝试附着和分离的恶意行为,网络可以对使移动交换中心MSC请求认证中心AuC处的设备的认证的次数进行计数,或者可替换地对认证中心AuC发信号通知回答复的次数进行计数。
在特别有利的实施例中,在核心网络中执行数据流的检测,并且特别地,如果网络为LTE网络则在移动性管理实体MME中,如果其为UMTS或GSM网络或GPRS网络中的服务网关支持节点SGSN则在MSC中。在该实施例中,可以在每一个相应网络内的中心位置中标识特定或预定数据流的发生率。这具有以下优点:其减少电信网络标识可能被恶意软件传染的移动设备所花费的时间。
然而,特定数据流的出现可以进一步回到在网络中检测。在这方面的示例中,可以在AuC处通过检测每个移动设备的认证尝试来检测过度附着请求。可替换地,可以通过在HLR处对网络请求关于特定移动设备的数据的次数进行计数来检测过度附着请求。
在某些实施例中,检测可以在eNodeB或基站中执行。这具有以下优点:恶意行为的检测使用较少网络资源。例如,可以在接收基站中检测过量的附着和分离。然而,在基站处执行检测的特定缺点例如在来自移动设备的信号通过不同基站到达网络时出现,并且这方面的一个示例是在设备跨基站小区在物理上迅速移动时。在这样的情况中,没有一个特定基站或eNodeB将必然从设备接收到完整信令并且因此没有一个基站将能够毫无疑义地执行检测。
在特别有利的实施例中,网络在特定数据信号的出现速率超过预定时间速率时对特定数据信号的出现进行计数。例如,如果网络正在监视向AuC发送认证请求,则网络被布置成检测针对特定移动设备的认证请求的传输速率何时超过预定阈值并且还在认证请求的速率超过预定速率的同时对然后请求认证的次数进行计数。
换言之,网络监视和检测何时在数据流中的某个预定信号或数据出现的频率变得过高。网络然后进行到在速率保持在高于预定时间速率的同时对出现数目进行计数。
如果网络还被布置成当所检测到的出现自身的数目超过预定阈值时进行登记则该特定实施例更加有利。在我们的示例中,这将会意味着网络在认证请求的数目超过某个数目时进行登记,其中已经以大于预定时间速率的速率接收到每一个认证请求。
在进一步有利的实施例中,网络可以通过测量相继出现之间经过的时间来检测信号或数据事件(例如传输到AuC的针对认证的请求)的出现速率是否以预定时间速率或高于预定时间速率出现。在该实施例中,在我们的示例中网络被布置成检测在到AuC的两个接连认证请求之间经过的时间,并且计算该经过的时间何时小于预定时间间隔。数据出现被视为当它们出现在相应预定时间间隔内时以超过预定速率的速率出现。
在特别有利的示例中,网络包括计数器C并且被布置成检测出现在网络内的可检测事件X,例如附着的第一实例或将针对认证的请求传输到AuC或指示已经发生切换的信令到达MME,并且启动计数器。
计数器然后变为:C=1
同时网络启动计时器。计数器被存储并且与移动设备相关联。
如果X在网络中的下一次检测发生在预定时间间隔内则计数器变为:C=2。
在实施例中,计时器测量自X的第一检测的时间t并且在该情况中如果在时间t<Δ处出现下一次检测则计数器增加1,其中Δ是预定时间间隔。在可替换的实施例中,登记事件X的每一次检测处的时间,第一事件的时间ST被存储并且与移动设备相关联。计时器T在ST处启动并且如果下一次检测到的事件X的时间为t则计数器增加,其中:
t<ST+Δ。
在该实施例内,ST的值然后被检测到第二事件X的新时间NT取代。
在两个实施例中,如果X的之后的检测出现在相同时间间隔内则计数器同样增加。在这样的情况中计数器现在将会登记:
C=3。
如果计数器达到预定阈值,比方说Cn,在该情况中计数器变为:C=Cn,电信网络登记该事实。这可以通过设置标志完成,但是本领域技术人员知晓存在登记的可替换方法。
在可替换的实施例中,如果计数器超过预定阈值则网络进行登记。
如果在预定时间间隔内未再次检测到X,则计数器回到零。
在可替换的实施例中,网络可以监视特定移动设备的分离并且对其数目进行计数。
在其中检测到切换的实施例中,以下进一步的实施例特别有利。网络维护移动设备的跟踪区的记录以及何时跟踪区改变的指示。这允许网络知晓何时设备正在移动。如果网络对过量切换进行登记,跟踪区信息可以用于在设备实际上在进行物理上快速移动时折减(discount)过度切换。
在另外的实施例中,网络在设备频繁地在相邻基站之间切换时进行登记。这是真正恶意的行为的指示,由于通常这样的切换被现有切换算法抑制以避免实际上被物理上置于两个小区之间的边界上的移动设备的过度切换。
在可替换的并且特别有利的实施例中,网络监视不可能的服务请求组合。例如,用户将会请求并行的五个电影下载的流式传输是不太可能的。同样不太可能的是用户将会真正尝试在进行电话呼叫的同时收听他自己的语音邮件。不可能的行为的这样的示例可以被确定并由网络监视。
遵循恶意行为的检测,网络可以执行若干行动。这些包括:分离移动设备;向设备发送信号以永久地阻挡对网络的访问;启动退避(back off)计时器以阻止移动设备在某个时间段内作出另一连接请求;向设备的所有者发送警告消息。在最后的示例中,警告可以经由例如sms被传输到移动设备自身,然而如果设备被恶意软件传染并且不能被信任,则网络不能假定传输到设备自身的任何警告消息将被用户看到或听到。因此,警告可以依赖于针对用户存储的其它数据经由其它信道被传输给用户,例如通过到已知电子邮件地址的电子邮件。
在进一步有利的实施例中,网络跟踪若干设备的行为并且聚合结果。以此方式,可以跨整个网络跟踪和监视恶意软件行为。
在进一步有利的实施例中,网络监视数据流中的第二类型数据的出现。典型地,在网络中分发的数据流包括多于一个类型的数据,并且除包括被布置成导致电信网络内的第一类型事件的第一类型数据之外,还可以包括被布置成导致电信网络内的第二类型的事件的第二类型数据。在特别有利的实施例中,网络可以通过监视第一和第二类型的数据二者的出现、确定何时每一个超过某个预定阈值来监视移动设备的恶意行为。在这种情况中每一个可以单独超过预定阈值,并且预定阈值可以是不同或相同的,或者二者的出现可以被聚合并且可以一起与单个预定阈值比较。在示例中,网络可以监视指示设备附着的网络中的数据出现,如已经描述的那样,但是附加地还监视指示设备分离的数据出现,并且仅在两个出现都超过独立的预定阈值时网络才登记恶意行为正在出现。该双倍测量,尽管通过对设备行为有效地计数两次而使用额外的网络资源,但是为网络提供了针对由于网络内的外来其它因素(诸如错误)所致的恶意连续附着的意外登记的故障保护(failsafe)。
在可替换的实施例中,网络可以对指示切换的第一类型的数据的出现进行计数,并且还对指示跟踪区的改变的第二类型的数据的出现进行计数。
附图说明
在图中描述本发明的另外的实施例。
图1示出了其中本发明可以被有利地使用的电信网络。
图2示出了本发明的实施例的流程图。
图3示出了本发明的实施例的流程图。
具体实施方式
图1示出了其中可以使用本发明的电信网络。如本领域技术人员已知的,存在定义电信系统的各种电信标准描述的多个技术。典型地它们包括以下布局,尽管本领域技术人员知晓并且领会到在系统工作的方式方面可以存在小变化和差异。
电信网络包括传输器101。这通常称为基站、小区塔或在LTE网络中称为eNodeB。传输器由基站控制器102控制,尽管在例如UMTS网络中这将是无线电网络控制器102并且例如在LTE网络中,基站控制器102的控制功能可以包含在eNodeB中。来自手持移动设备的无线电信号在传输器101处接收,被处理成信号并且传输至核心网络。
在GSM或2G网络的情况中,将信号传递至路由呼叫的移动交换中心MSC 103。当首次从移动设备接收到信号时,其将查询归属位置寄存器HLR 104,HLR 104持有关于移动订户的数据以验证所接收的信号是否来自订阅网络的移动设备。为了认证移动设备,其将使用在认证中心AuC 105中持有的密钥。
在UTMS或3G网络的情况中,可以通过网关支持节点106来路由经验证和认证的信号。
在LTE或4G网络的情况中,将信号传递至移动性管理实体MME 103并且在归属订户服务器HSS 104/105处验证和认证移动设备。然后进一步通过服务网关106向可以是互联网的另一网络107路由呼叫。
图2示出适合用于检测移动设备到电信网络的过度附着的本发明的实施例的流程图。在有利实施例中,设备在时间t1处通过基站附着201到网络并且网络登记所述附着,标识移动设备并且开始认证过程。网络与附着请求的正常处理并行地执行以下步骤。发起计数器NA、启动时间STA和计时器,202。典型地,计数器将被设置成零并且在有利实施例中计时器被设置成由网络登记的时间t1。存储计数器值和启动时间以供将来参考,203。针对相同设备登记附着的下一次时间比方说在时间t2,将经过的时间T(等于:t2-STA)与预定时间间隔ΔA比较,204。
如果:T=ΔA,或者T>ΔA,
则对计数器NA和计时器清零,202。
如果:T<ΔA,
则计数器NA增加值1并且STA的值被时间t2取代,205。再次存储NA和STA,208。在这种情况中还将计数器值与预定阈值LimitA比较,206。
如果:NA=LimitA,
则设置警报。如果否,则方法返回到步骤204。
本领域技术人员将理解到,存在仍将工作的可以对实施例做出的微小变化。例如,如果T小于或等于ΔA,计数器可以增加,并且仅在T大于ΔA的情况下才清零。同样例如,LimitA可以是必须超过的值,在这种情况中如果NA>LimitA则将设置警报标志。在另一有利实施例中,如果计数器的值大于0,在步骤202中计数器可以递减而不是对计数器NA清零。
如本领域技术人员将理解的,针对LimitA和预定时间间隔ΔA的恰当值将取决于网络和客户基础而变化。然而,合适的值为ΔA=500ms并且LimitA=10。
如所描述的方法允许网络检测以来自受传染移动设备的过度附着请求的形式的恶意行为并且在有利实施例中这将酌情在网络的MSC、服务网关或MME中执行。
图3示出适合用于检测电信网络中的移动设备的过度切换的本发明的实施例的流程图,并且在特别有利的实施例中将在网络的MME中执行,MME在切换发生之前被告知切换,称为S1切换,或者在切换已经出现之后被告知切换,称为X2切换。
为了实施方法,MME执行针对在其区域中的移动设备组的以下步骤。所监视的设备组可以是包括在其区域中的所有移动设备的组,但是也可以是该组的子组或某个其它进一步定义的组。例如,被监视的移动设备的组可以包括比方说所有新的移动设备,或者包括其之前的活动暗示它们可能有传染的风险(例如在它们作出频繁的下载请求的情况下)的移动设备,或者包括向特定用户(比方说频繁改变移动设备的用户)登记的移动设备。
在该有利实施例中,设备在时间t1处通过基站附着301到网络并且网络登记所述附着,标识移动设备并且开始认证过程。网络与附着请求的正常处理并行地执行以下步骤。发起计数器NH、启动时间STH和计时器,302。典型地,计数器将被设置成零并且在有利实施例中计时器被设置成由网络登记的时间t1。存储计数器值和启动时间以供将来参考,303。由相同设备登记附着的下一次时间比方说在时间t2,将经过的时间T(等于:t2-STH)与预定时间间隔ΔH比较,304。
如果:T=ΔH,或者T>ΔH,
则对计数器NH和计时器清零,305:
如果T<ΔH,
则计数器NH增加值1并且STH的值被时间t2取代,305。再次存储NH和STH,308。在这种情况中还将计数器值与预定阈值LimitH比较,306。
如果NH=LimitH,
则设置警报。如果否,则方法返回到步骤304。
同样地,本领域技术人员将理解到,存在仍将工作的可以对实施例做出的微小变化。例如,如果T小于或等于ΔA,计数器可以增加,并且仅在T大于ΔA的情况下才清零。同样例如,LimitH可以是必须超过的值,在这种情况中如果NH>LimitH则将设置警报标志。
本发明的特定优势在于电信网络可以监视移动设备中的恶意活动并且标识何时特定设备潜在地被恶意软件传染。尽管本发明的使用要求否则不被消耗的网络资源,但是其允许设备的简单标识,如果保持未被标识其可能用尽大得多的网络资源。
如本领域技术人员将理解的,针对LimitH和预定时间间隔ΔH的恰当值将取决于网络和客户基础而变化。然而,合适的值为ΔH=2s并且LimitH=20。
Claims (16)
1.一种用于检测包括核心网络的电信网络中的移动电信设备上的恶意软件导致的行为的系统,
所述系统包括:
所述电信网络,被配置为标识至少一个移动电信设备,并接收来自移动电信设备的信号,并进一步将接收的信号处理成在所述核心网络内部传输的信令,
其特征在于,
所述网络被布置成在所述核心网络内部传输的信令中对与移动电信设备相关联的预定信号的出现数目进行计数,预定信号表示核心网络中的网络设备之间的交互,并且被布置成在所述出现数目超过指示电信网络中移动电信设备的可接受行为的水平时进行登记。
2.根据权利要求1所述的系统,其中所述电信网络被布置为,当所述出现数目超过预定时间速率时,通过对在信令中检测到预定信号的出现次数进行计数而对预定信号的所述出现数目进行计数,并且进一步地,其中所述电信网络被布置为在所述次数超过预定阈值时进行登记。
3.根据权利要求2所述的系统,其中所述电信网络被布置为,当检测到的出现和之前检测到的出现之间的时间在预定时间间隔内时,对预定信号的出现数目进行计数。
4.根据权利要求3所述的系统,其中所述电信网络进一步包括计数器和计时器,并且其中,所述电信网络被布置为在检测到预定信号的出现时启动计数器,并进一步启动计时器,并且其中,所述电信网络被进一步布置为,如果之后的出现在由计时器测量的预定时间间隔T内,则将计数器增加一个单元。
5.根据权利要求1所述的系统,其中所述电信网络被配置为检测预定信号的出现数目何时超过预定速率。
6.根据权利要求5所述的系统,其中所述电信网络进一步包括计数器和计时器,并且其中,所述电信网络被布置为在检测到预定信号的出现时启动计数器,并进一步启动计时器,并且其中,所述电信网络进一步被布置为,计算所述速率作为预定信号的检测到的出现的所计数的数目与计时器测量的时间的比。
7.根据权利要求1所述的系统,其中所述电信网络被布置为,通过设置标志和/或启动退避计时器而在预定信号的出现数目超过指示可接受行为的水平时进行登记。
8.根据权利要求1所述的系统,其中预定信号指示移动电信设备到电信网络的附着。
9.根据权利要求1所述的系统,其中预定信号指示由移动电信设备建立承载。
10.根据权利要求1所述的系统,其中预定信号指示移动电信设备的切换。
11.根据权利要求10所述的系统,其中所述电信网络被进一步布置为监视移动电信设备的跟踪区,并只有在跟踪区的监视示出移动电信设备保持在单个跟踪区内时,登记指示切换的预定信号的出现数目。
12.根据权利要求1所述的系统,其中所述电信网络被布置为监视在电信网络的MME或SGSN或MSC中的预定信号的出现数目。
13.根据权利要求1所述的系统,其中所述电信网络被进一步配置为
-标识至少一个附加移动电信设备,
-接收来自至少一个附加设备的信号,并将接收的信号处理成在核心网络内部传输的附加信令,
-对预定信号在核心网络内部传输的所述附加信令中的出现数目进行计数,并在所述出现数目超过指示在电信网络内移动电信设备的可接受行为的水平时进行登记,
并且其中所述电信网络被进一步布置为聚合移动电信设备和至少一个附加移动电信设备的登记的数据。
14.用于检测在包括核心网络的电信网络中的移动电信设备上的恶意软件导致的行为的设备,其中,来自所述移动电信设备的信号被所述电信网络接收并且处理成在所述核心网络内部传输的信令,
其中所述设备:
被布置为耦合到所述电信网络;并且
被布置为接收在所述核心网络内部传输的信令;并且
被布置为在核心网络内部传输的信令中对与移动电信设备相关联的预定信号的出现数目进行计数,预定信号表示所述核心网络中的网络设备之间的交互,以及
被布置为在所述出现数目超过指示所述电信网络内的移动电信设备的可接受行为的水平时进行登记。
15.根据权利要求14所述的设备,其中所述设备被进一步布置为在MME或SGSN或MSC内操作。
16.用于检测在包括核心网络的电信网络中的移动电信设备上的恶意软件导致的行为的方法,所述方法包括:
在所述电信网络中,标识至少一个移动电信设备,并接收来自移动电信设备的信号,并进一步将接收的信号处理成在所述核心网络内部传输的信令,
所述电信网络在所述核心网络内部传输的信令中对与移动电信设备相关联的预定信号的出现数目进行计数,预定信号表示核心网络中的网络设备之间的交互,并且
在所述出现数目超过指示电信网络中移动电信设备的可接受行为的水平时进行登记。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12193884 | 2012-11-22 | ||
| EP12193884.9 | 2012-11-22 | ||
| PCT/EP2013/074440 WO2014079960A1 (en) | 2012-11-22 | 2013-11-22 | System to detect behaviour in a telecommunications network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104982059A CN104982059A (zh) | 2015-10-14 |
| CN104982059B true CN104982059B (zh) | 2021-07-13 |
Family
ID=47221228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380061241.0A Active CN104982059B (zh) | 2012-11-22 | 2013-11-22 | 检测电信网络中的行为的系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10924500B2 (zh) |
| EP (2) | EP2923511B1 (zh) |
| JP (2) | JP6636329B2 (zh) |
| KR (2) | KR20150084970A (zh) |
| CN (1) | CN104982059B (zh) |
| ES (1) | ES2874449T3 (zh) |
| WO (1) | WO2014079960A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107408181B (zh) * | 2015-03-18 | 2020-04-07 | 日本电信电话株式会社 | 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及记录介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1998033340A2 (en) * | 1997-01-24 | 1998-07-30 | At & T Wireless Services, Inc. | Detection of fraudulently registered mobile phones |
| WO2006104752A1 (en) * | 2005-03-31 | 2006-10-05 | Lucent Technologies Inc. | Methods and devices for defending a 3g wireless network against a signaling attack |
| EP2139279A1 (en) * | 2008-06-27 | 2009-12-30 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for monitoring performance of a communication system |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| ATE350872T1 (de) | 2002-10-07 | 2007-01-15 | Ericsson Telefon Ab L M | Sicherheits- und privatsphärenverbesserungen für sicherheitseinrichtungen |
| JP3928866B2 (ja) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
| US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US7440406B2 (en) * | 2004-12-29 | 2008-10-21 | Korea University Industry & Academy Cooperation Foundation | Apparatus for displaying network status |
| JP4170301B2 (ja) * | 2005-02-23 | 2008-10-22 | 日本電信電話株式会社 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
| JP2006295240A (ja) | 2005-04-05 | 2006-10-26 | Mitsubishi Electric Corp | 通信装置及びアドレス変換装置並びにプログラム |
| JP2006350561A (ja) | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| KR100628329B1 (ko) | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
| US8965334B2 (en) * | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| WO2007100916A2 (en) * | 2006-02-28 | 2007-09-07 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting a dataset based upon anomaly detection |
| WO2007110094A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| US8001601B2 (en) * | 2006-06-02 | 2011-08-16 | At&T Intellectual Property Ii, L.P. | Method and apparatus for large-scale automated distributed denial of service attack detection |
| EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
| US8755770B2 (en) * | 2006-08-01 | 2014-06-17 | L-3 Communications Corporation | Methods for identifying wireless devices connected to potentially threatening devices |
| JP2009283990A (ja) * | 2008-05-19 | 2009-12-03 | Nippon Telegr & Teleph Corp <Ntt> | 呼制御装置および呼制御方法 |
| WO2010091186A2 (en) * | 2009-02-04 | 2010-08-12 | Breach Security, Inc. | Method and system for providing remote protection of web servers |
| KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| WO2011072719A1 (en) | 2009-12-15 | 2011-06-23 | Nokia Siemens Networks Oy | Method, apparatus and related computer program product for detecting changes to a network connection |
| US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
| US20110230192A1 (en) * | 2010-03-18 | 2011-09-22 | Kundan Tiwari | Apparatuses and methods for controlling sequenced message transfer during signal radio voice call continuity (srvcc) |
| EP2403186B1 (en) * | 2010-07-02 | 2017-12-27 | Vodafone IP Licensing limited | Telecommunication networks |
| US8711791B2 (en) * | 2010-12-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Denial of service (DoS) attack prevention through random access channel resource reallocation |
| US8955090B2 (en) * | 2011-01-10 | 2015-02-10 | Alcatel Lucent | Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core |
| WO2012098429A1 (en) * | 2011-01-18 | 2012-07-26 | Nokia Corporation | Method, apparatus, and computer program product for managing unwanted traffic in a wireless network |
| US8387141B1 (en) * | 2011-09-27 | 2013-02-26 | Green Head LLC | Smartphone security system |
| US20130304677A1 (en) * | 2012-05-14 | 2013-11-14 | Qualcomm Incorporated | Architecture for Client-Cloud Behavior Analyzer |
| US8868030B2 (en) * | 2012-07-30 | 2014-10-21 | General Motors Llc | Automated vehicle intrusion device |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| JP2016158157A (ja) * | 2015-02-25 | 2016-09-01 | 富士通株式会社 | 呼制御装置、呼制御方法、及び、呼制御システム |
| JP6877278B2 (ja) * | 2017-07-19 | 2021-05-26 | アラクサラネットワークス株式会社 | 中継装置 |
-
2013
- 2013-11-22 JP JP2015543436A patent/JP6636329B2/ja active Active
- 2013-11-22 KR KR1020157015434A patent/KR20150084970A/ko active Search and Examination
- 2013-11-22 US US14/646,554 patent/US10924500B2/en active Active
- 2013-11-22 EP EP13795228.9A patent/EP2923511B1/en active Active
- 2013-11-22 ES ES13795228T patent/ES2874449T3/es active Active
- 2013-11-22 KR KR1020177014899A patent/KR20170064561A/ko active Search and Examination
- 2013-11-22 CN CN201380061241.0A patent/CN104982059B/zh active Active
- 2013-11-22 EP EP18205324.9A patent/EP3474589A1/en not_active Withdrawn
- 2013-11-22 WO PCT/EP2013/074440 patent/WO2014079960A1/en active Application Filing
-
2017
- 2017-09-25 JP JP2017184047A patent/JP2018033144A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1998033340A2 (en) * | 1997-01-24 | 1998-07-30 | At & T Wireless Services, Inc. | Detection of fraudulently registered mobile phones |
| WO2006104752A1 (en) * | 2005-03-31 | 2006-10-05 | Lucent Technologies Inc. | Methods and devices for defending a 3g wireless network against a signaling attack |
| EP2139279A1 (en) * | 2008-06-27 | 2009-12-30 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for monitoring performance of a communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3474589A1 (en) | 2019-04-24 |
| CN104982059A (zh) | 2015-10-14 |
| US10924500B2 (en) | 2021-02-16 |
| KR20150084970A (ko) | 2015-07-22 |
| EP2923511B1 (en) | 2021-04-21 |
| KR20170064561A (ko) | 2017-06-09 |
| EP2923511A1 (en) | 2015-09-30 |
| US20150304345A1 (en) | 2015-10-22 |
| ES2874449T3 (es) | 2021-11-05 |
| WO2014079960A1 (en) | 2014-05-30 |
| JP2018033144A (ja) | 2018-03-01 |
| JP2016502340A (ja) | 2016-01-21 |
| JP6636329B2 (ja) | 2020-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160198341A1 (en) | Communication Between a Mobile Device and Telecommunications Network | |
| KR100480713B1 (ko) | 이동통신 시스템의 호 추적 및 감시 방법 | |
| WO2016065908A1 (zh) | 一种欺诈用户的检测方法、装置和系统 | |
| WO2007147142A2 (en) | Wireless user based notification system | |
| JP6495175B2 (ja) | モバイル・ネットワークを保護するシステム | |
| CN102598643A (zh) | 用于eps的更新的位置信息的li报告 | |
| US9191774B2 (en) | Method for distribution of information of networks or entities using UE as gateway | |
| CN104982059B (zh) | 检测电信网络中的行为的系统 | |
| US20150341361A1 (en) | Controlling a Mobile Device in a Telecommunications Network | |
| US9143948B2 (en) | Method and node for measuring processing power in a node in a communications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230302 Address after: Holland, Hague Patentee after: KONINKLIJKE KPN N.V. Address before: Holland, Hague Patentee before: KONINKLIJKE KPN N.V. Patentee before: NEDERLANDSE ORGANISATIE VOOR TOEGEPAST-NATUURWETENSCHAPPELIJK ONDERZOEK TNO |
|
| TR01 | Transfer of patent right |