CN105027526A - 用以保护移动网络的系统 - Google Patents

用以保护移动网络的系统 Download PDF

Info

Publication number
CN105027526A
CN105027526A CN201380064677.5A CN201380064677A CN105027526A CN 105027526 A CN105027526 A CN 105027526A CN 201380064677 A CN201380064677 A CN 201380064677A CN 105027526 A CN105027526 A CN 105027526A
Authority
CN
China
Prior art keywords
actuator
network
mobile telecommunications
communication network
telecommunications device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380064677.5A
Other languages
English (en)
Other versions
CN105027526B (zh
Inventor
T·哈特托格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Koninklijke KPN NV
Original Assignee
Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Koninklijke KPN NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO, Koninklijke KPN NV filed Critical Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO
Publication of CN105027526A publication Critical patent/CN105027526A/zh
Application granted granted Critical
Publication of CN105027526B publication Critical patent/CN105027526B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • H04W36/0085Hand-off measurements
    • H04W36/0094Definition of hand-off measurement parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

描述了一种用于控制移动电信装置的系统,其中该移动装置包括能够被电信网络控制的执行器。该电信网络发信令给执行器从而获得对移动装置的控制。该执行器可以是移动电信装置中的硬件结构且具体地耦合在基带和应用处理器之间。该系统允许电信网络在装置被破坏性或恶意软件破坏且以对网络有害的方式表现的情况下获得对该装置的控制。

Description

用以保护移动网络的系统
本发明涉及一种用于控制移动电信装置的系统,并且进一步涉及一种被布置为与电信网络通信的移动电信装置。
电信网络典型地根据协商的和标准化的无线电协议(例如本领域技术人员将已知的GSM、UTMS以及LTE)来给移动装置的用户提供无线电电信。
移动电信装置是常用的,并包括移动电话以及具体地智能电话、平板装置和其他手持计算机装置、手持个人助理及甚至位于车辆内的通信装置。所有这些都能够向用户提供与彼此的电信以及在到处移动的同时对互联网的接入。
对互联网的接入使装置暴露于可偶然或以其他方式从互联网下载到移动装置上的恶意软件和恶意应用。典型地,并且通常由于它们较小的尺寸以及存储器容量,移动电信装置不包含与可用于具有互联网接入的台式计算机和其他大型装置的那些安全性特征一样严格的安全性特征。因此,这些较小的移动电信装置易受恶意软件和恶意应用的侵染和攻击,该恶意软件和恶意应用将典型地侵染移动装置的应用处理器。但是由于移动电信装置还典型地与无线电电信网络直接接触,因此该电信网络自身易受来自驻留于移动装置上的任何恶意软件或者恶意应用的攻击。
用以保护电信网络免受移动装置行为的先前方法有时已经集中于非恶意装置行为,诸如拥塞。例如,EP 2 096 884描述了一种允许由装置对网络的接入的方法以及描述了当网络拥塞时对回退定时器的使用。先前方法还已经集中于完全应用于移动手持机自身中的方法。例如,“Taming Mr Hayes:Mitigating signalingbased attacks on smartphones”,IEEE/IFIP International Conference on DependableSystems and Networks(DSN 2012),2012,dsn,pp.1-12,Collin Mulliner,SteffenLiebergeld,Matthias Lange,Jean-Pieere Seifert描述了一种通过控制来自网络中的移动电话来保护网络免受移动电话的动作的方法。提出了一种使用移动电话自身的应用处理器的虚拟分区来检测来自该应用处理器中的异常或者恶意行为的方法。
该方法的缺点在于:已经检测到恶意行为后且根据所描述的方法的对电话的后续控制是从移动装置自身内部引导的。但是,如果移动装置已经受到恶意软件侵染,则检测方法或者对装置行为的后续控制能够被信任可能不存在真实确定性。在该方法的操作中,受侵染的移动电话对其自身进行监督,但是,电话与之附着的电信网络不能够确信该移动电话能够被信任。
类似地,US 2006/0288407描述了一种对移动手持机执行检测的方法且因而具有类似的缺点。
然而,防御网络不受来自被恶意软件或者恶意应用侵染的移动电信装置的攻击是一个问题。
发明内容
根据如权利要求中描述的本发明,该问题得以解决。
权利要求描述了一种用于控制移动电信装置的系统,其中电信网络被配置为允许由移动电信装置进行通信,并且,至少一个移动电信装置被布置为与电信网络通信。在该系统中,移动电信装置包括执行器,并且电信网络被配置为通过向执行器发信令来控制移动电信装置。
这解决了如何防御电信网络免于被恶意软件侵染的装置的问题,这是由于网络自身经由电信网络通过发信令而接触的新的装置元件、执行器或者执行模块来对该装置采取控制。
以这种方式,移动装置的控制是从该装置自身采取的且向网络给予。然后,该网络,在对移动装置采取控制时,能够阻止某些动作被移动装置执行,限制从移动装置到网络中的业务量,或者强制移动装置采取其原本不会做的某些动作。
允许该电信网络,其能够借以对移动电信装置采取控制的机制提供了若干优点。首先,其具有下述优点:由该装置造成的任何恶意行为的控制能够在移动装置本身之外执行,从而较少地依赖于移动装置的状态来对移动装置进行控制。如果该移动装置受到侵染,则对其侵染的恶意程序或者恶意软件不太可能与控制机制发生干扰。其次,其具有下述优点:控制可以独立于现在常用于移动手持机中的不同操作系统。
根据本发明的系统,该移动电信装置被布置为从网络接收指令并按该指令而行动。如本领域技术人员将已知的,通过天线来接收来自网络的信号,并根据装置自身的操作系统以及内部语言将该信号处理成代码。为了按从网络接收的信号而行动,移动电信装置现在包括执行器,其是能够应用在网络中采取且通过电信网络而发信令给移动装置的决定的执行模块元件。该执行器是移动装置中的新实体。在本发明的系统中,存在用于提供执行器的若干选项。
执行器可以是被安放在移动装置内的新硬件部件,并且存在能够借以对其进行布置的两个主要实施例。
该执行器可以被布置为装置中的单独部件,例如,被布置为移动装置的芯片组中的单独芯片。有利地,在该实施例中,该执行器以下述这样的方式耦合到基带处理器:其能够读取通信业务量,换句话说,从应用处理器传递到基带处理器中或从基带处理器出来传递到应用处理器的代码。在特别有利的实施例中,执行器被以芯片组拓扑的方式直接耦合在应用处理器和基带处理器之间。以这种方式,执行器的功能可以在移动电信装置中被简单且高效地布置。
在另一个有利实施例中,专用通信信道被用于在执行器和基带处理器之间流动的所有通信。这确保了由移动装置接收且意图针对执行器的信号能够在没有下述风险的情况下被递送到执行器:它们可能被驻留在移动装置上的任何恶意软件拦截。
可替换地,执行器能够作为硬件部件而被提供在基带处理器中。在该实施例中,执行器应当被以下述这样的方式合并到基带处理器中:执行器能够读取在基带处理器和应用处理器之间传递的通信业务量。
执行器的功能是关于应用和基带处理器之间的通信采取决定并执行策略,并且,如果该执行器以其读取与应用处理器相同的代码这样的方式被写入的话,这是有利的。然而,执行器典型地不独自行动而是取而代之在来自网络的指令下行动。
为了操作该系统,当网络将该装置识别为被恶意程序或恶意软件侵染或者可能被恶意程序或恶意软件侵染时,电信网络向移动电信装置中的执行器发信令。
电信网络被布置为识别附着到网络的移动电信装置以及检测该装置被恶意程序或者恶意软件侵染的指示物或症状。典型地,可能的是,网络检测到恶意软件侵染的指示物,由于恶意软件导致了对移动装置的正常行为的更改。
在检测到可疑恶意行为时,电信网络基于所检测到的行为来做出关于如何控制移动装置的决定。在有利实施例中,该决定可以是使用决定树来做出的,在该决定树中,移动装置的所检测到的行为被解析或处理以导出所得到的动作。所得到的动作可以是从规则组中对规则的选择,如果该规则需要由执行器行动,则该选择然后可以被发信令给执行器。向执行器发信令不总是必需的,并且通常,取决于要在哪里采取动作,可以或可以不将该规则传送给执行器。在该实施例中,仅当需要执行器采取动作时,才向执行器发信令。
在可替换的实施例中,网络检测移动装置的经更改的行为,但取而代之将行为的指示物发信令给执行器。在该实施例中,执行器包含决定树并使用移动行为的所发信令的指示来从其决定树导出规则。在这种情况下,执行器可以导出指示要采取的动作的规则,或者可以可替代地导出指令其不采取动作的规则。
典型地,该规则组是表、数据库或者其他存储器,如本领域技术人员将理解的那样。在每一种情况下,该规则组还在下述意义上是动态的:其可以被电信网络编程或升级以对付新场景。在移动装置自身中导出规则组的实施例中,电信网络通过将新规则发信令给执行器来升级规则组。
当检测到移动装置所进行的恶意行为时,这两个实施例都使得执行器拥有允许对抗移动装置而采取动作的规则。该规则然后被执行器应用。
规则的示例是:
a)不允许从所命名的IP地址下载;
b)在接下来的10分钟内不允许附着或脱离;
c)在从接收到消息起10分钟以后,将带宽减小到所定义的数量的MB。
典型地,如本领域技术人员将理解的,规则是在执行器的代码中写入的。
执行器包括存储器或者检查单,其能够保存由电信网络提供给其的规则的列表。最初,在操作中,执行器具有空的检查单,并且随着电信网络向执行器发信令,检查单充满要被应用的规则。
该执行器还包括处理器,该处理器使其能够应用其从网络接收或者其自身产生的任何规则。
规则不必按照它们被接收或产生的顺序而被应用。这是因为规则所应用于的事件可能不应用于在移动装置中发生的下一个事件。执行器因此监视应用处理器和基带处理器之间的所有信号以便将规则应用于正确的事件。
通过应用检查单中的规则,执行器因此控制移动装置的行为。
这解决了控制电信网络中的移动装置的问题。
根据以下方法,可以实现恶意行为的检测。
系统能够被用于检测电信网络中的移动电信装置的行为。典型地,该行为将是恶意或反常的行为。该系统包括电信网络,其被配置为识别至少一个移动电信装置并从该移动电信装置接收信号以及进一步将信号处理成数据流。该数据流包括被布置为在电信网络内引起第一类型的事件的第一类型的数据。该网络被布置为监视第一类型的数据在数据流中的出现率,并被布置为当该出现率超过指示电信网络中的移动电信装置的可接受行为的级别时进行注册。
该系统识别移动装置中的恶意或反常行为,但从电信网络自身内识别它。这是通过监视由于网络和移动装置之间的交互而出现在网络中的数据流或数据传输来完成的。该数据是针对特定信号的过度发生而监视的。
驻留在移动装置上的恶意软件可能使该装置沉溺于恶意行为,其典型地是用尽网络资源而未针对明确用户意图的任何事情。典型地,其是用尽网络资源而未得到针对用户或针对装置的益处的任何事情。例如,移动装置的用户可能希望下载视频以在装置上观看。这将用尽资源,但是,在该情况下资源的使用是受时间限制的,并且无论如何,一旦视频被下载,用户就花费时间观看该视频,且在这样做的同时不太可能下载其他视频或者执行其他任务。然而,恶意软件可以被编程以连续下载视频,并且,这使用过多的网络资源。在可替换示例中,恶意软件可以被编程以连续执行移动装置到网络上的附着和脱离。由于每当该装置附着时,网络都将尝试认证该移动装置,因此这将使用过多的网络资源。然而,连续的附着和脱离并未导致针对用户或移动装置的优点。在可替换示例中,恶意软件可以被编程以操控由网络用于移交决定的信号电平报告。该移动装置连续测量来自周围小区中的基站的信号电平并将信号电平报告给网络。该网络使用该信息或者其他信息来决定是否将与移动装置的通信移交到与当前正在为移动装置服务的基站不同的基站。恶意软件可以被编程以便以下述这样的方式操控测量报告:发生使用过多的网络资源的非常大量的移交。在可替换示例中,恶意软件可以被编程以强制携带恶意软件的移动装置连续请求呼叫转发。当做出针对呼叫转发的请求时,该装置请求网络将传入呼叫转发到第二个号码。该请求的连续做出将用尽网络资源。在可替换示例中,该恶意软件可以不断地请求承载的设立,并且具体地,装置和网络之间的新承载。再次,这用尽网络资源。在可替换示例中,恶意软件可以强制携带该恶意软件的移动装置连续做出针对服务的请求而不使用所提供的服务。这些请求可以针对典型地由电信网络提供的任意类型的服务,但当针对服务的连续请求没有得到对做出请求的用户或移动装置有益的所提供的服务时,其浪费了网络资源。
在所有这些示例中,在移动装置和电信网络之间但还进一步在电信网络自身内发生数据的交换。当移动装置向电信网络传输信号时,这些信号在基站中被接收,且被处理成电信网络内部的数据流。例如,如果移动装置做出附着请求,则接收到该附着请求的电信网络做出认证该移动装置的尝试。这导致例如在UMTS网络的情况下,在无线电网络控制器RNC、移动交换中心MSC、归属位置寄存器HLR以及认证中心AuC之间发送数据流或信号,如本领域技术人员将已知的。如本领域技术人员还将已知的,所描述的其他恶意行为也会导致信令或数据流不仅在装置和网络之间而且在网络自身内被传输。
网络因此能够通过监视第一类型的数据在网络中的数据流中的出现率来检测恶意行为,典型地,该第一类型是表示在网络中在网络装置之间的用于正常处理信号的某交互的预定类型。此外,当该出现率超过指示电信网络中的移动电信装置的可接受行为的级别时,网络进行注册。换句话说,网络通过监视和检测在网络自身内各种类型的数据流的发生率以及当出现率太高时进行注册,来检测恶意行为。
例如,为了检测在其中装置连续试图附着和脱离的恶意行为,网络可以对使移动交换中心MSC请求装置在认证中心AuC处的认证的次数进行计数,或者可替换地对认证中心AuC将答复发信令回去的次数进行计数。
在特别有利的实施例中,数据流的检测在核心网中执行,并且更具体地,如果网络是LTE网络,则在移动性管理实体MME中执行,如果其是UMTS或GSM网络,则在MSC中执行,或者在GPRS网络中的服务网关支持节点SGSN。在该实施例中,特定或预定数据流的发生率能够在每一个相应网络内的中心位置处被识别。这具有下述优点:其减少了电信网络识别可能被恶意软件侵染的移动装置所耗费的时间。
然而,特定数据流的出现率可以进一步回到网路中加以检测。在这一点的示例中,通过检测每移动装置的认证尝试,可以在AuC处检测过多的附着请求。可替换地,可以通过在HLR处对网络请求关于特定移动装置的数据的次数进行计数来检测过多的附着请求。
在某些实施例中,能够在eNodeB或基站中执行检测。这具有下述优点:对恶意行为的检测使用较少网络资源。例如,在接收基站中能够检测过多数量的附着和脱离。然而,在基站处执行检测的特定缺点例如出现在来自移动装置的信号通过不同基站到达网络时,并且这一点的一个示例是当装置正在物理地快速移动跨基站小区时。在这种情况下,没有一个特定基站或者eNodeB将必然从该装置接收全部信令,并且因此,没有一个基站将能够明确地执行检测。
在特别有利的实施例中,网络对特定数据信号当其出现率超过预定时间速率时的出现率进行计数。例如,如果网络正在监视向AuC发送认证请求,则网络被布置为检测针对特定移动装置的认证请求的传输速率何时超过预定阈值,且还被布置为在认证请求的速率超过预定速率时对然后请求认证的次数进行计数。
换句话说,网络监视和检测何时某个预定信号的频率或者数据流中的数据出现率变得过高。网络然后继续在速率保持处于预定时间速率之上时对发生的数量进行计数。
如果网络进一步被布置为当所检测到的发生的数量自身超过预定阈值时进行注册,则该特定实施例是甚至更为有利的。在我们的示例中,这将意味着:当认证请求的数量超过某一数量时,网络进行注册,其中已经以大于预定时间速率的速率接收到每一个认证请求。
在另一个有利实施例中,网络能够通过测量在相继的发生之间经过的时间来检测信号或数据事件(例如针对被传输给AuC的认证的请求)的出现率是否以预定时间速率或高于预定时间速率而出现。在该实施例中,网络被布置为在我们的示例中检测在去往AuC的两个连续认证请求之间经过的时间,以及计算何时该经过的时间小于预定时间间隔。数据出现被认为当它们在相应的预定时间间隔内出现时以超过预定速率的速率而出现。
在特别有利的示例中,网络包括计数器C,并被布置为检测在网络内发生的可检测事件X,例如,附着的第一实例、或者针对授权的请求向AuC的传输、或者指示已经发生移交的信令到达MME,并且网络启动计数器。
计数器然后变成:C=1。
同时,网络启动定时器。该计数器被存储且与移动装置相关联。
如果网络中的X的下一检测在预定时间间隔内发生,则计数器变成:C=2。
在实施例中,定时器测量从X的首次检测的时间t,并且在这种情况下,如果下一检测在时间t<Δ处发生,其中Δ是预定时间间隔,则计数器递增1。在可替换实施例中,对事件X的每一次检测处的时间被注册,第一事件的时间ST被存储且与移动装置相关联。定时器T在ST处被启动,并且如果下一个所检测到的事件X的时间是t,则计数器递增,其中:
t<ST+Δ。
在该实施例中,ST的值然后被新的时间NT替代,在该时间NT处检测到第二事件X。
在这两个实施例中,如果X的接下来的检测发生在相同的时间间隔内,则计数器再次递增。在这种情况下,计数器现在将注册:
C=3。
如果计数器达到预定阈值,比如Cn,在该情况中,计数器变成:
C=Cn
则电信网络注册事实。这可以是通过设置标记来完成的,但是本领域技术人员已知,存在可替换的注册方法。
在可替换实施例中,如果计数器超过预定阈值,则网络进行注册。如果在预定时间间隔内未再次检测到X,则计数器回到零。
在可替换实施例中,网络能够监视并计数特定移动装置的脱离的数量。
在检测到移交的实施例中,接下来又一实施例是特别有利的。网络维持移动装置的追踪区域的记录且还维持何时该追踪区域改变的指示。这允许网络知道该装置何时在移动。如果网络注册过多数量的移交,则当该装置实际处于物理上快速的移动中时,追踪区域信息能够被用于折扣过多的移交。
在另一个实施例中,当装置频繁地在相邻基站之间切换时,网络进行注册。这是真正恶意行为的指示,由于通常这种切换被现有移交抑制以避免实际上物理地位于两个小区之间的边界上的移动装置的过多移交。
在可替换且特别有利的实施例中,网络监视不大可能的服务请求组合。例如,不太可能的是,用户将请求五个电影下载并行的流送。同样不太可能的是,用户将在打电话时真正试图收听他自己的语音邮件。
在检测到恶意行为以后,网络能够执行若干动作。这些包括:脱离移动装置;将信号发送给装置以永久阻塞对网络的接入;启动回退定时器以阻止移动装置在某个时间段内做出另一连接请求;向装置的拥有者发送警告消息。在上一个示例中,警告能够经由例如sms而被传输到移动装置自身,然而如果该装置被恶意软件侵染且不能被信任,则网络不能假定被传输给装置自身的任何警告消息将被用户看到或听到。因此,警告能够经由依赖于针对用户存储的其他数据的其他信道而被传输给用户,例如通过去往已知电子邮件地址的电子邮件。
在另一个有利实施例中,网络追踪若干装置的行为并聚合结果。以这种方式,能够跨整个网络追踪和监视恶意行为。
在另一个有利实施例中,网络监视数据流中第二类型的数据的出现率。典型地,在网络周围传递的数据流包括多于一种类型的数据,并且除了包括被布置为引起电信网络中的第一类型的事件的第一类型的数据之外,还可以包括被布置为引起电信网络中的第二类型的事件的第二类型的数据。在特别有利的实施例中,网络可以通过监视第一和第二类型的数据这两者的出现率、确定每一个何时超过某预定阈值来监视移动装置的恶意行为。在该情况中,每一个都可以单独地超过预定阈值,并且预定阈值可以是不同的或相同的,或者这两者出现率可以被聚合且可以被一起与单个预定阈值相比较。在示例中,网络可以监视指示装置附着的网络中的数据出现率,如已经描述的那样,但附加地监视指示装置脱离的数据出现率,且仅当这两者出现率都超过独立的预定阈值时,网络才注册恶意行为正在出现。尽管通过两次有效地计数装置行为而使用额外的网络资源,但该双测量给网络提供了对抗由于网络内的外来的其他因素(诸如差错)而引起的恶意连续附着的意外注册的故障安全。
在可替换实施例中,网络能够计数指示移交的第一类型的数据的出现率,且还计数指示追踪区域的改变的第二类型的数据的出现率。
在附图中示出了本发明的另外的实施例。
附图说明
附图1示出了根据现有技术的移动电信装置。
附图2示出了根据本发明的系统的实施例的移动电信装置。
附图3示出了根据本发明的实施例的移动电信装置。
附图4示出了根据本发明的实施例的移动电信装置。
附图5示出了本发明的实施例中的用于决定采取的布置。
附图6示出了在其中能够检测到移动装置的反常行为的电信网络。
附图7示出了恶意或反常行为的检测的实施例的流程图。
附图8示出了恶意或反常行为的检测的实施例的流程图。
在附图中,等同或类似的项目是利用等同的附图标记示出的。
出于理解本发明的目的,附图1示出了根据现有技术的移动电信装置101。移动装置101包括应用处理器102、基带处理器或CPU 103,其被连接到UICC104和无线电控制器105。该无线电控制器105控制天线106。典型地,该UICC104是SIM卡并至少包括用于认证目的的秘密密钥。
应用处理器包括用于运行移动装置的移动操作系统的各种功能和特征的程序,并包括已从例如互联网下载的程序。应用处理器因此处于来自恶意程序的风险中且能够通过下载被已知为应用软件、通常被已知为“app”、多个“app”的程序而被攻击。这种app可以在自身内和外是恶意的,或者可以包括可使移动装置沉溺于恶意的行为的病毒。
恶意行为可能包括重复地附着到网络和从网络脱离、重复地请求服务、或者用尽网络资源而未得到对移动装置或对移动装置的用户的益处的其他行为。
附图2示出了根据本发明的系统的实施例的移动电信装置。在此,移动装置201包括耦合在应用处理器202和基带处理器203之间的执行器207。来自电信网络且通过天线206接收且由天线控制器205直接传输给基带处理器203的信号在其能够被应用处理器202看到之前被执行器207看到。应用处理器202因此不能够破坏执行器207的工作或者其从网络接收的信号。
使用该机制,网络能够将指令发信令给装置。实际上,网络能够对移动装置采取控制,这是因为被发信令给装置的指令能够阻止某些动作被移动装置执行。
例如,网络能够向装置发信令以制止原本将被装置传输的信号。可替换地,执行器能够限制从移动装置到网络中的业务量,例如通过降低移动装置做出某些请求的速率。可替换地,执行器能够强制移动装置采取其原本不会进行的某些动作,例如,抑制或删除由恶意软件产生的命令。执行器对应用和基带处理器之间的消息和信令采取完全控制,并因此能够超控移动装置的现有动作。
可以看出,执行器是移动装置中的新实体,且与UICC和SIM应用分离。典型地,执行器被构造为单独的芯片,并具有输入和输出,并进一步包括包含规则组的数据库。其还包括其自身的处理器和软件。
附图3示出了根据本发明的可替换实施例的移动电信装置。在此,执行器307作为新的硬件部件而被合并到基带处理器303中。在此,执行器307能够执行与执行器207相同的动作。执行器307位于基带处理器303的拓扑中,使得其能够监视基带处理器303和应用处理器302之间的所有通信。以这种方式,通过天线306接收且由天线控制器305直接传输到基带处理器303的来自电信网络的信号在其能够被应用处理器302看到之前被执行器307看到。应用处理器302因此不能够破坏执行器307的工作或者其从网络接收的信号。
附图4示出了根据本发明的可替换实施例的移动电信装置。在此,执行器407作为新的软件部件而被合并到基带处理器403中。在此,执行器407能够执行与执行器207相同的动作。执行器407被合并到基带处理器403的工作中,使得其能够监视基带处理器403和应用处理器402之间的所有通信。以这种方式,通过天线406接收且由天线控制器405直接传输到基带处理器403的来自电信网络的信号在其能够被应用处理器402看到之前被执行器407看到。应用处理器402因此不能够破坏执行器407的工作或者其从网络接收的信号。
在所有实施例中,因为网络与移动装置中的执行器对话,并且执行器具有对进入和离开应用处理器的信令的控制,所以网络通过执行器获得移动装置上的程序的控制。当网络向执行器发信令并且执行器应用起因于由网络检测到的行为的规则时,如执行器所应用的规则超控起因于应用处理器的所有信号。执行器在其与移动装置关于所描述的程序控制的交互中充当针对电信网络的端点。
附图5示出了本发明的实施例中的用于决定采取的布置。
移动装置501包括已变为被恶意软件侵染的应用处理器502。来自该软件的信号可能通过操控基带处理器503、UICC 504或无线电控制器505的动作来使移动装置沉溺于恶意行为。该移动装置501经由天线506附着到网络508,并且恶意行为被网络509检测。
当恶意行为被检测到时,存在两个主要的实施例。在一个实施例中,网络508使用决定树510来从规则组511导出规则,该规则可以被应用于移动装置。
该规则然后由网络508传输到移动装置501,并由天线506接收,并由无线电控制器505继续传递到基带处理器。执行器507看到该规则,辨别其意图针对执行器,并继续按该规则而行动。该规则然后被执行器507应用于规则所应用于的基带处理器503和应用处理器502之间的下一通信。在该实施例中,关于应用哪个规则的决定是在网络中采取的,并且仅有由决定做出过程得出的规则被传送给移动装置。特别地,由于决定是在网络内采取的,因此如果移动装置不受信任,则该规则较不重要。
在第二个实施例中,针对执行器507的关注,所检测到的行为被传输给移动装置501。在该实施例中,当执行器看到与所检测到的行为相关的信息时,其使用决定树512从规则组513导出规则,该规则可以被应用于移动装置。具体地,该规则被应用于规则所应用于的基带处理器503和应用处理器502之间的通信。在该实施例中,一些控制随根据其规则组513而行动的执行器507而保持。在该实施例中,执行器未检测到症状,但根据其自身的决定树512和规则组513的编程而行动。
在这两个实施例中,执行器507都监视来自应用处理器502的命令并应用规则。执行器的动作仅受规则组的广度限制,并且具体地,由网络508使用决定树510和规则组511的实施例允许更大的规则组。
典型地,执行器是在移动装置501的初始设立时提供的。
附图6示出了在其中检测到恶意行为的电信网络。如本领域技术人员已知的,存在由定义电信系统的各种电信标准描述的多种技术。典型地,它们包括以下布局,尽管本领域技术人员知道以及意识到在系统工作的方式上可能存在小的变化和区别。
电信网络包括传输器601。这通常被称为基站、小区塔、或者在LTE网络中称为eNodeB。由基站控制器602控制该传输器,尽管在例如UMTS网络中,这将是无线电网络控制器602,并且在例如LTE网络中,基站控制器602的控制功能可以被归入到eNodeB中。来自手持移动装置的无线电信号在传输器601处被接收,并被处理到信号中且被传输到核心网。
在GSM或者2G网络的情况下,信号被传递到路由呼叫的移动交换中心MSC 603。在首次从移动装置接收到信号时,其将询问归属位置寄存器HLR 604,HLR 604在移动订户上保持数据以便验证所接收的信号是否来自被预订给网络的移动装置。为了认证移动装置,其将使用在认证中心AuC 605中保持的密钥。
在UTMS或者3G网络的情况下,经验证和认证的信号可以被路由通过网关支持节点606。
在LTE或者4G网络的情况下,信号被传递到移动性管理实体MME 603,并且移动装置在归属订户服务器HSS 604/605处被验证和认证。呼叫然后被进一步路由通过服务网关606到另一个网络607,其可以是互联网。
附图7示出了适合于检测移动装置到电信网络的过多附着的恶意行为的检测的实施例的流程图。在有利实施例中,装置在时间t1处通过基站附着701到网络,并且网络注册该附着,识别移动装置并开始认证过程。与附着请求的正常处理并行地,网络执行以下步骤。发起702计数器NA、开始时间STA以及定时器。典型地,计数器将被设置为零,并且在有利实施例中,定时器设置到由网络注册的时间t1。存储703计数器值以及开始时间以用于未来参考。下一次针对相同装置注册附着时,比如在时间t2处,将所经过的时间T(等于:t2-STA)
与预定时间间隔ΔA进行比较704。
如果:T=ΔA或者T>ΔA,
则将计数器NA和定时器清零702。
如果:T<ΔA,
则将计数器NA增加值1,并且由时间t2代替705 STA的值。再次存储708NA和STA。在这种情况下,将计数器值进一步与预定阈值LimitA进行比较706。
如果:NA=LimitA,
则设置报警。如果不是,则该方法返回到步骤704。
本领域技术人员将理解,存在能够对仍将工作的实施例做出的较小变化。例如,如果T小于或等于ΔA,则计数器可以增加,并且仅当T大于ΔA时,才将计数器清零。此外例如,LimitA可以是必须被超过的值,在该情况下,如果NA>LimitA,则将设置报警标记。在另一个有利实施例中,如果计数器的值大于0,则在步骤702中可以递减计数器,而不是将计数器NA清零。
如本领域技术人员将理解的,LimitA以及预定时间间隔ΔA的适当值将根据网络和客户群而变化。然而,合适的值是ΔA=500ms并且LimitA=10。
所描述的方法允许网络检测来自被侵染的移动装置的过多附着请求的形式的恶意行为,并且在有利实施例中,在适当时将在网络的MSC、服务网关或者MME中执行该方法。
附图8示出了适合于检测电信网络中的移动装置的过多移交的恶意行为的检测的实施例的流程图,并且在特别有利的实施例中,将在网络的MME中执行,在发生移交之前向MME通知移交,称为S1-移交,或者在移交已经发生之后向MME通知移交,称为X2-移交。
为了实现该方法,MME针对其区域中的移动装置的组执行以下步骤。被监视的装置的组可以是由其区域中的所有移动装置构成的组,但也可以是该组的子组或者某其他进一步定义的组。例如,被监视的移动装置的组能够比如由所有新移动装置构成,或者由其先前活动建议它们可能处于侵染风险中的移动装置构成(例如如果它们做出频繁的下载请求),或者由被注册给特定用户的移动装置(比如,频繁改变移动装置的用户)构成。
在该有利实施例中,装置在时间t1处通过基站附着801到网络,并且网络注册该附着,识别移动装置并开始认证过程。与附着请求的正常处理并行地,网络执行以下步骤。发起802计数器NH、开始时间STH以及定时器。典型地,计数器将被设置到零,并且在有利实施例中,定时器设置到由网络注册的时间t1。存储803计数器值以及开始时间以用于未来参考。下一次由相同装置注册附着时,比如在时间t2处,将所经过的时间T(等于:t2-STH)
与预定时间间隔ΔH进行比较804。
如果:T=ΔH或者T>ΔH,
则将计数器NH和定时器清零805。
如果:T<ΔH,
则将计数器NH增加值1,并且由时间t2代替805 STH的值。再次存储808NH和STH。在这种情况下,将计数器值进一步与预定阈值LimitH进行比较806。
如果:NH=LimitH,
则设置报警。如果不是,则该方法返回到步骤804。
再一次,本领域技术人员将理解,存在能够对仍将工作的实施例做出的较小变化。例如,如果T小于或等于ΔA,则计数器可以增加,并且仅当T大于ΔA时,才将计数器清零。此外例如,LimitH可以是必须被超过的值,在该情况下,如果NH>LimitH,则将设置报警标记。
本发明的特别优点是:电信网络能够监视移动装置中的恶意活动并识别特定装置何时被恶意软件潜在地侵染。尽管对本发明的使用需要原本不会耗费的网络资源,但是这允许对可能用尽大得多的网络资源的装置的容易的识别,如果其仍然未被识别的话。
如本领域技术人员将理解的,LimitH以及预定时间间隔ΔH的适当值将根据网络和客户群而变化。然而,合适的值是ΔH=2s并且LimitH=20。

Claims (12)

1.一种用于控制移动电信装置的系统,该系统包括:
-电信网络,被配置为允许由移动无线通装置进行通信,
-以及至少一个移动电信装置,被布置为与电信网络通信,
其特征在于,
该移动电信装置包括执行器,并且其中该电信网络被配置为通过向执行器发信令来控制移动电信装置。
2.根据权利要求1所述的系统,其中执行器是移动电信装置内的硬件部件。
3.根据权利要求2所述的系统,其中移动电信装置包括基带处理器,并且执行器耦合到该基带处理器。
4.根据权利要求3所述的系统,其中执行器通过专用信道耦合到基带处理器。
5.根据权利要求4所述的系统,其中移动电信装置进一步包括应用处理器,并且其中该应用处理器通过执行器和专用信道耦合到基带处理器。
6.根据权利要求1所述的系统,其中移动电信装置包括基带处理器,并且其中执行器被包括在该基带处理器内。
7.根据权利要求1所述的系统,其中移动电信装置包括基带处理器,并且其中执行器是该基带处理器中的软件应用。
8.根据权利要求1所述的系统,其中电信网络进一步包括决定树和规则组,并被配置为通过使用决定树从规则组中选择规则以及进一步通过将该规则发信令给执行器来控制移动电信装置,并且其中执行器被配置为将该规则应用于移动电信装置。
9.根据权利要求1所述的系统,其中执行器进一步包括决定树和规则组,并且其中电信网络被配置为将决定提示发信令给执行器,并且其中执行器被配置为将该决定提示应用于规则组以导出合适的规则,并且其中执行器被配置为将规则应用于移动电信装置。
10.根据权利要求1所述的系统,其中从电信网络到执行器的信号是经由基站或节点-B来传输的。
11.根据权利要求1所述的系统,其中电信网络被布置为检测指示移动电信装置正在电信网络内表现反常的行为,且进一步被布置为当这种行为被检测到时向执行器发信令。
12.一种移动电信装置,被布置为与电信网络通信,
其特征在于,
该移动电信装置包括:执行器,被布置为响应于来自电信网络的信号而控制移动手持机。
CN201380064677.5A 2012-12-10 2013-12-09 用以保护移动网络的系统 Active CN105027526B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12196307 2012-12-10
EP12196307.8 2012-12-10
PCT/EP2013/075937 WO2014090740A1 (en) 2012-12-10 2013-12-09 System to protect a mobile network

Publications (2)

Publication Number Publication Date
CN105027526A true CN105027526A (zh) 2015-11-04
CN105027526B CN105027526B (zh) 2018-09-14

Family

ID=47435748

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380064677.5A Active CN105027526B (zh) 2012-12-10 2013-12-09 用以保护移动网络的系统

Country Status (6)

Country Link
US (1) US9949112B2 (zh)
EP (1) EP2929670B1 (zh)
JP (1) JP6495175B2 (zh)
KR (2) KR101894198B1 (zh)
CN (1) CN105027526B (zh)
WO (1) WO2014090740A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9949112B2 (en) * 2012-12-10 2018-04-17 Koninklijke Kpn N.V. System to protect a mobile network
US10063439B2 (en) 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
US9026840B1 (en) * 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
US20210141911A1 (en) * 2017-06-05 2021-05-13 Sony Semiconductor Solutions Corporation Communication device and control method
US11855971B2 (en) * 2018-01-11 2023-12-26 Visa International Service Association Offline authorization of interactions and controlled tasks
KR102546946B1 (ko) * 2021-11-30 2023-06-26 한국과학기술원 이동통신 표준 문서를 기반으로 이동통신 베이스밴드 소프트웨어를 자동으로 비교 분석하는 방법 및 시스템

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050075992A1 (en) * 1997-09-12 2005-04-07 Mci Worldcom, Inc. System, method and computer program product for processing event records
CN1918939A (zh) * 2004-02-17 2007-02-21 摩托罗拉公司(在特拉华州注册的公司) 通信设备的隔离和修复
CN101189859A (zh) * 2005-06-07 2008-05-28 摩托罗拉公司 无线通信网络安全方法和系统
CN101212753A (zh) * 2006-12-29 2008-07-02 法国无线电话公司 数据流的安全保护方法
CN101444119A (zh) * 2006-03-27 2009-05-27 意大利电信股份公司 在移动通信设备上实施安全策略的系统
US20090251282A1 (en) * 2008-04-02 2009-10-08 William Fitzgerald System for mitigating the unauthorized use of a device
US20100075704A1 (en) * 2008-08-19 2010-03-25 Shared Spectrum Company Method and System for Dynamic Spectrum Access Using Specialty Detectors and Improved Networking
CN101778099A (zh) * 2009-12-31 2010-07-14 郑州信大捷安信息技术有限公司 可容忍非信任组件的可信网络接入的架构及其接入方法
CN101978379A (zh) * 2008-03-26 2011-02-16 富士通株式会社 信息处理装置、病毒管理功能装置以及病毒驱除方法
US20120243477A1 (en) * 2009-11-06 2012-09-27 Fujitsu Limited Wireless base station, communication system, and method of controlling communication
US8306522B1 (en) * 2008-12-23 2012-11-06 Sprint Communications Company L.P. Dynamic interface for mobile devices

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BRPI0315078B1 (pt) 2002-10-07 2019-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Dispositivo de segurança resistente à violação, e, terminal de usuário
JP2006040196A (ja) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc ソフトウェア監視システムおよび監視方法
US8302178B2 (en) * 2005-03-07 2012-10-30 Noam Camiel System and method for a dynamic policies enforced file system for a data storage device
JP2006277204A (ja) * 2005-03-29 2006-10-12 Nec Corp 携帯通信端末装置
KR100628329B1 (ko) 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법
JP4797552B2 (ja) * 2005-10-07 2011-10-19 日本電気株式会社 検疫システム及び方法並びにプログラム
WO2007076877A2 (en) * 2005-12-30 2007-07-12 Telecom Italia S.P.A. Method for customizing the operation of a telephonic terminal
US20070245018A1 (en) * 2006-04-12 2007-10-18 International Business Machines Corporation Dynamic access control in a content-based publish/subscribe system with delivery guarantees
US8155649B2 (en) * 2006-05-12 2012-04-10 Shared Spectrum Company Method and system for classifying communication signals in a dynamic spectrum access system
US9538388B2 (en) * 2006-05-12 2017-01-03 Shared Spectrum Company Method and system for dynamic spectrum access
US8326313B2 (en) * 2006-05-12 2012-12-04 Shared Spectrum Company Method and system for dynamic spectrum access using detection periods
JP2007323313A (ja) 2006-05-31 2007-12-13 Toshiba Corp 情報処理装置および制御方法
US8102860B2 (en) * 2006-11-30 2012-01-24 Access Layers Ltd. System and method of changing a network designation in response to data received from a device
US20080134296A1 (en) * 2006-11-30 2008-06-05 Ofer Amitai System and method of network authorization by scoring
US20080201381A1 (en) * 2007-02-16 2008-08-21 Aditya Abhay Desai Method and system for increasing data reliability using source characteristics
EP2009638A1 (en) * 2007-06-28 2008-12-31 THOMSON Licensing Video copy prevention if the difference betweeen the fingerprints before and after its modification is above a threshold
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
WO2011003477A1 (en) * 2009-07-10 2011-01-13 Telefonaktiebolaget Lm Ericsson (Publ) Group handling for push-to-talk services
US8175104B2 (en) * 2010-03-15 2012-05-08 Comcast Cable Communications, Llc Home gateway expansion
US8856534B2 (en) * 2010-05-21 2014-10-07 Intel Corporation Method and apparatus for secure scan of data storage device from remote server
US8479290B2 (en) * 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
EP2596658B1 (en) * 2010-11-22 2018-05-09 Seven Networks, LLC Aligning data transfer to optimize connections established for transmission over a wireless network
US20160029402A1 (en) * 2010-11-22 2016-01-28 Seven Networks, Llc Optimization of resource polling intervals to satisfy mobile device requests
CN108156265B (zh) * 2010-11-22 2019-03-26 杭州硕文软件有限公司 一种应用程序控制方法及移动设备
US9357331B2 (en) * 2011-04-08 2016-05-31 Arizona Board Of Regents On Behalf Of Arizona State University Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication
US8909220B1 (en) * 2011-10-14 2014-12-09 Vt Idirect, Inc. Method and apparatus for global bandwidth management
US9949112B2 (en) * 2012-12-10 2018-04-17 Koninklijke Kpn N.V. System to protect a mobile network
US9706491B2 (en) * 2014-01-31 2017-07-11 Aruba Networks, Inc. Adaptive management of wireless clients based on clients radio behaviors and capabilities
US9603059B2 (en) * 2015-06-26 2017-03-21 Facebook, Inc. Techniques and systems for on-demand customized mobile data services

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050075992A1 (en) * 1997-09-12 2005-04-07 Mci Worldcom, Inc. System, method and computer program product for processing event records
CN1918939A (zh) * 2004-02-17 2007-02-21 摩托罗拉公司(在特拉华州注册的公司) 通信设备的隔离和修复
CN101189859A (zh) * 2005-06-07 2008-05-28 摩托罗拉公司 无线通信网络安全方法和系统
CN101444119A (zh) * 2006-03-27 2009-05-27 意大利电信股份公司 在移动通信设备上实施安全策略的系统
CN101212753A (zh) * 2006-12-29 2008-07-02 法国无线电话公司 数据流的安全保护方法
CN101978379A (zh) * 2008-03-26 2011-02-16 富士通株式会社 信息处理装置、病毒管理功能装置以及病毒驱除方法
US20090251282A1 (en) * 2008-04-02 2009-10-08 William Fitzgerald System for mitigating the unauthorized use of a device
US20100075704A1 (en) * 2008-08-19 2010-03-25 Shared Spectrum Company Method and System for Dynamic Spectrum Access Using Specialty Detectors and Improved Networking
US8306522B1 (en) * 2008-12-23 2012-11-06 Sprint Communications Company L.P. Dynamic interface for mobile devices
US20120243477A1 (en) * 2009-11-06 2012-09-27 Fujitsu Limited Wireless base station, communication system, and method of controlling communication
CN101778099A (zh) * 2009-12-31 2010-07-14 郑州信大捷安信息技术有限公司 可容忍非信任组件的可信网络接入的架构及其接入方法

Also Published As

Publication number Publication date
KR20150091341A (ko) 2015-08-10
CN105027526B (zh) 2018-09-14
KR101754566B1 (ko) 2017-07-06
JP2016507922A (ja) 2016-03-10
JP6495175B2 (ja) 2019-04-03
WO2014090740A1 (en) 2014-06-19
KR101894198B1 (ko) 2018-08-31
US20150319610A1 (en) 2015-11-05
EP2929670B1 (en) 2019-07-03
KR20170081715A (ko) 2017-07-12
US9949112B2 (en) 2018-04-17
EP2929670A1 (en) 2015-10-14

Similar Documents

Publication Publication Date Title
CN104838682A (zh) 移动设备与电信网络之间的通信
CN105027526A (zh) 用以保护移动网络的系统
EP2439977B1 (en) Method, apparatus and system for flexible user tracing in mobile networks
US20150264601A1 (en) Apparatus and method for controlling handover in wireless communication system
CN115426653A (zh) 类别信息的确定方法及装置
EP3687135B1 (en) Device monitoring, and deregistration method and apparatus
EP3837805B1 (en) Methods, apparatus and computer-readable mediums supporting subscriptions to events in a core network
CN110392023A (zh) 基于7号信令网络的网络入侵检测方法及装置
EP2996283B1 (en) Systems and devices for determining key performance indicators using inferential statistics
US20220225149A1 (en) Network API Capability Reporting Method, Apparatus, and System
CN113169884B (zh) 移除应用标识符
CN109428870A (zh) 基于物联网的网络攻击处理方法、装置及系统
CN104871580A (zh) 控制电信网络中的移动设备
CN104982059B (zh) 检测电信网络中的行为的系统
WO2021200099A1 (ja) 管理システム、コアネットワーク、移動体通信システム、方法、及びプログラム
US20240205986A1 (en) Operating system, core network, mobile communication system, method, and program

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant