CN108605227A - 移动感知入侵检测系统 - Google Patents
移动感知入侵检测系统 Download PDFInfo
- Publication number
- CN108605227A CN108605227A CN201780006385.4A CN201780006385A CN108605227A CN 108605227 A CN108605227 A CN 108605227A CN 201780006385 A CN201780006385 A CN 201780006385A CN 108605227 A CN108605227 A CN 108605227A
- Authority
- CN
- China
- Prior art keywords
- user
- user equipment
- traffic
- security incident
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4588—Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种检测移动网络中入侵的来源的方法和系统。捕获正在使用所述移动网络的用户设备的平面通信量的数据包。所述数据包具有头部和有效载荷。针对安全事件对所述有效载荷进行检查。一旦确定存在安全事件,从所述数据包的头部提取唯一会话标识符。基于所提取的唯一会话标识符识别所述安全事件的来源。
Description
相关申请的交叉引用
本申请根据35U.S.C.§119要求于2016年1月12日提交的、标题为“移动感知入侵检测系统(Mobile Aware Intrusion Detection System)”的序列号为62,277,945的美国临时专利申请的优先权以及于2016年3月28日提交的、标题为“移动感知入侵检测系统(Mobile Aware Intrusion Detection System)”的序列号为15/082,692的美国非临时申请的优先权;为了所有目的通过引用将其全部内容并入本文中。
背景
近年来,移动无线通信越来越普及。无线网络和移动计算应用的快速增长对网络安全提出了更高的要求。移动的特性带来了传统固定网络所不具有的漏洞。因此,许多对固定网络有效的安全措施对于移动网络来说可能是不够的。与在固定IP平面上运行的固定(例如,有线)网络不同,无线网络包括多个平面,例如管理平面、控制平面和用户平面,这使得在针对恶意活动评估有效载荷之后更难追踪通信的来源。由于在大型网络中追踪数据通信的来源(例如,用户设备)是一个挑战,因此由使用无线网络的受损用户设备进行的攻击可能具有破坏性后果。此外,对攻击型用户设备进行隔离或封阻是一个挑战。
虽然入侵检测系统(IDS)存在并可能在固定网络中有效,但此类系统无法识别无线网络中数据通信的来源。因此,关于这些考虑和其他因素做出了本申请。
附图的简要说明
下面参考附图进行详细描述,附图中参考编号的最左边的数字标识所述参考编号首次出现的附图。在不同的图中使用相同的参考编号表示相似或相同的项。
图1示出了用于实现包括用户平面通信量的移动感知入侵检测系统的示例架构。
图2示出了用于实现包括控制平面通信量的移动感知入侵检测系统的示例架构。
图3示出了用于实现与第一选项一致的移动感知入侵检测系统的示例架构。
图4示出了使用第一选项识别恶意活动的来源的示例调用流程。
图5示出了用于实现与第二选项一致的移动感知入侵检测系统的示例架构。
图6示出了使用第二选项识别恶意活动的来源的示例调用流程。
图7示出了用于实现与第三选项一致的移动感知入侵检测系统的示例架构。
图8示出了使用第三选项识别恶意活动的来源的示例调用流程。
图9示出了提供会话/隧道标识符到用户标识符的示例映射的表。
图10示出了从中提取用户和会话/隧道信息的示例创建会话请求。
图11示出了从中提取用户和会话/隧道信息的示例创建会话响应。
图12和图13提供了3GPP标准的GTP头格式。
图14提供了用于实现MAID系统的示例计算机硬件平台的功能框图说明。
详细描述
概述
在下面的详细描述中,通过示例的方式阐述了许多具体细节,以便提供对相关教导的透彻理解。然而,对于本领域技术人员来说显而易见的是,可以在没有这些细节的情况下实践本教导。在其他情况下,为了避免不必要地遮蔽本教导的方面,在相对高的级别上描述了众所周知的方法、过程、组件和/或电路而没有细节。
本公开针对入侵检测系统(IDS),并且更具体地针对用于无线和移动网络的移动感知IDS。IDS是一种配置为针对恶意活动或政策违反行为而监控网络或系统活动的硬件设备或软件应用程序。虽然IDS解决方案可能在识别固定网络环境中的恶意活动(本文中有时称为安全事件)的来源时是有效的,但类似的IDS工具不适用于无线网络。固定网络和移动网络之间的实质性差异使得难以应用IDS技术确定恶意活动的来源、牵制恶意活动的来源以及可能为其提供解决方案。当固定网络在单个平面(例如,互联网协议(IP)空间)上执行其活动时,移动网络没有固定的基础设施。相反,移动网络在多个平面上运行。
如本文所使用的,平面是电信架构的三个组件(即用户平面、控制平面和管理平面)中的一个。可以将这些平面理解为通信网络的不同方面,每个方面承载不同类型的通信量。
例如,用户平面(有时称为数据平面)承载网络用户通信量。在用户平面上行进的数据包包括头部和有效载荷。头部包括关于有效载荷的来源的信息。另一方面,控制平面承载信令通信量。控制数据包来源于或者去往路由器。控制平面包括头部,但不包括有效载荷部分。应当注意的是,通常不会激发已知的IDS以检查控制平面通信量,因为不包括可能包含安全威胁的有效载荷。至于管理平面,它承载管理通信量,其被认为是控制平面的子集。
示例高级架构
图1示出了用于实现包括用户平面通信量的入侵检测系统的示例架构100。架构100包括允许各种用户设备126(A)至124(N)彼此进行通信的核心网络102以及连接至核心网络102的任何其他组件。今天,用户设备通常采用便携式手持设备、智能电话、平板电脑、个人数字助理(PDA)和智能手表的形式,然而它们可以以包括消费者、商业和医疗电子设备的其他形式因素来实现。
核心网络102可以是分组数据通信网络,可由运营商或服务提供商操作,从而向其订阅客户和相关用户设备提供范围广泛的移动通信服务和辅助服务或特征。用户设备可以经由诸如2.5/3G接入网络104、4G/LTE接入网络108、受信无线局域网络(WLAN)112和/或不受信WLAN(116)等各种网络接入移动网络。核心网络102使用户设备能够与移动网络中的其他用户设备或互联网118上的另一个主机/服务器进行通信。例如,SGi接口可以将核心网络102耦连到互联网118上。
每个接入网提供自己的接入平台。例如,2.5/3G接入网络104包括基站控制器(BSC)和/或无线电网络控制器(RNC)106。BSC提供对多个基站收发台(BTS)105的控制和监督。RNC是通用移动电信(UMTS)无线电接入网络(UTRAN)中管理UMTS无线电接入网络(UTRAN)中的元件的指导性元件并且控制与其连接的节点B。例如,节点B类似于在全球移动通信系统(GSM)中使用的基站收发台。BSC 106与服务通用分组无线服务(GPRS)支持节点(SGSN)130耦连,服务通用分组无线服务(GPRS)支持节点(SGSN)130负责传送来自用户设备126(A)的数据包或者去往用户设备126(A)的数据包。SGSN通过Gn接口连接到网关GPRS支持节点(GGSN)140,并使用S4接口连接到分组数据网络网关(PGW)140。SGSN 130和PGW/GGSN140之间的Gn/S4接口可以承载用户平面和控制平面通信量这两者。RNC 106还可以采用Gn接口直接连接到GGSN 140,在这种情况下,Gn接口仅承载用户平面通信量。
4G/LTE接入网络108包括提供用户设备(例如,126(B))与核心网络120之间的接口的一个或更多个演进节点B(eNodeB)。eNodeB 110经由作为控制节点的移动性管理实体(MME)134与核心网络102耦连。例如,它用于空闲模式的用户设备追踪和包括重传的寻呼程序。它还为用户设备126(B)提供承载信道激活/去激活的过程和对服务网关(SGW)132的选择。MME 134通过与归属订户服务器(HSS)(未示出)交互来提供对用户的认证。在eNodeB110和SGW 132之间存在S1-U接口,其承载用户平面通信量。在eNodeB 110和MME 134之间存在SI-MME接口,其为E-UTRAN和MME之间的控制平面协议提供参考点。
各种用户设备还可以经由可以在家庭网络中找到的受信WLAN 112或者可以在公共区域找到的不受信WLAN 116来接入核心网络102。在受信接入中,用户设备通过核心网络136中的受信无线接入网关(TWAG)136连接。TWAG 136反过来又通过由S2a提供的安全隧道(GTP、MIP或PMIP)与分组网关(P-GW)140直接连接。
在不受信接入中,用户设备(例如,106(N))通过互联网协议安全(IPSec)隧道直接连接到演进分组数据网关(ePDG)138。ePDG连接到P-GW 140连接,其中每个用户会话通过安全隧道(例如S2b)传输。
在核心网络102的不同组件之间存在不同的接口。例如,在SGSN 130和PGW 140之间,存在承载用户平面和控制平面通信量这两者的S4/Gn接口。在SGSN 130和MME 134之间存在S3接口,该S3接口使得用户和承载者能够进行信息交换,以用于空闲和/或活动状态下的3GPP接入网移动性。S3接口承载控制通信量。在SGW 132和PGW 140之间存在S5/8接口,其承载用户平面和控制平面通信量这两者。例如,S5接口在SGW 132和PGW140之间提供用户平面隧道和隧道管理。由于用户设备移动性,其用于SGW 132的重新定位。
在MME 134和SGW之间,存在承载控制平面通信量的S11接口。在TWAG 136和PGW140之间存在S2a接口,其承载用户平面和控制平面通信量这两者。在ePDG 138和PGW 140之间存在S2b接口,其承载用户平面和控制平面通信量这两者。
图1的示例示出了移动感知入侵检测(MAID)系统块120,其从用户平面通信量的来源接收信息,由具有导向MAID系统120的箭头的实线表示。在各种实施例中,MAID系统120可以由一个或更多个服务器来实现,该服务器配置成从各种通信平面确定特定信息以帮助确定数据通信是否涉及恶意活动以及恶意活动的来源。稍后将详细讨论由MAID系统120执行的不同选项。
现在参考图2,其示出了用于实现包括控制平面通信量的入侵检测系统的示例架构200。图2中架构的组件与图1中的基本上类似,因此为简洁起见,此处不再赘述。图2强调了MAID系统220从各种控制平面通信量的来源接收信息,由导向MAID系统200的虚线表示。
例如,一个控制平面通信量的来源可以是BSC/RNC 106和SGSN 130Gb/Iu-PS接口之间的接口。MAID系统220从该接口接收信息以便从头部提取唯一的会话内部信息。类似地,MAID系统220可以从eNodeB 110与MME 134之间的S1-MME接口、SGSN 130与MME 130之间的S3接口、SGW 132与MME 134之间的S11接口、SGSN 130和PGW/GGSN 140之间的S4/Gn接口、SGW 132和PGW/GGSN 140之间的S5/8接口、TWAG 136和PGW 140之间的S2a接口以及ePDG138和PGW/GGSN 140之间的S2b接口接收信息。从这些识别的各种来源接收的来自头部的唯一会话内部信息最终在攻击型用户设备(即,安全事件的来源)上提供标记,从而可以执行适当的安全措施。例如,可能对攻击型用户设备进行隔离、封阻、发出警告等。
MAID功能操作
本文讨论的MAID系统提供了用于增强核心网络102的入侵检测系统的不同选项。更具体地,除其他特征之外,MAID系统促进确定恶意活动的来源(例如,用户设备)。为此,可以使用各种选项。举例来说,通过第一选项(A)、第二选项(B)和第三选项(C)来讨论MAID系统,每个选项都在下面进行了详细描述。
图3示出了用于实现与第一选项(A)一致的移动感知入侵检测系统的示例架构300。图3中架构的组件与图1中的基本上类似,因此为简洁起见,此处不再赘述。图3包括会话/用户关联系统330,可以将其实现为配置成执行各种功能的一个或更多个服务器,包括基于从MAID系统320接收的信息来执行关联、提供绑定表、以及当(例如,通过MAID系统320)检测到恶意活动时采取适当的措施。
在图3的示例中,在一个实施例中,MAID系统320将包括唯一会话/隧道标识符的感兴趣的安全事件(例如,所识别的恶意活动)转发到由关联系统330表示的另一系统,该关联系统330可以是核心网络102提供者的一部分。唯一会话/隧道标识符可以包括隧道端点标识符(TEID),其是用于在相同GPRS隧道协议(GTP)隧道中复用不同连接的32位字段。唯一会话/隧道标识符还可以包括发起导致恶意活动的恶意数据的用户设备的互联网协议(IP)地址。
与传统方法不同,MAID系统指示IDS不立即从接收到的数据包中剥离头部;相反,IDS从头部提取唯一的会话内部信息。然后它可以将接收到的数据的头部与有效载荷分开。通过保留包括用户设备标识信息的头部信息,可以追踪发起恶意活动的用户设备。
在一个实施例中,MAID系统320然后将两条信息(即,提取的头部和有效载荷)发送到关联系统330。在一个实施例中,一旦确定安全事件已经发生,则MAID系统320仅将这两条信息发送给关联系统。
关联系统330包括一个或更多个等待(biding)会话/隧道标识符和用户标识符的表。关联系统330配置成基于从MAID系统接收的头部信息和有效载荷来提供关联性。更具体地说,关联系统执行唯一会话标识符和唯一用户设备标识信息之间的关联。(唯一会话标识符可以包括但不限于TEID、IP地址等。唯一用户设备标识符可以包括但不限于IMSI、MSISDN、IMEI等)。换言之,关联系统330通过识别用户设备来提供用户设备的所有者(即账户持有者)的身份。
在各种实施例中,一旦识别出用户设备以及延伸到用户设备的所有者,关联系统330可以采取不同的动作。例如,可以将通知发送给适当的接收者(例如账户持有者、系统管理员、用户设备等)。通知可以以各种不同的方式发送,例如使用短消息服务(SMS)的公共短代码(common short code,CSC)、多媒体消息服务(MMS)、电子邮件、电话、社交媒体等。可替代地或另外地,可以封阻来源于和/或肯定会去往被标识为是恶意活动的来源的用户设备的进一步通信量。
用于第一选项(A)的示例调用流程
现在参考图4,其示出了使用第一选项(A)识别恶意活动的来源的示例调用流程。过程400示为逻辑调用流程中的框的集合,其表示可以硬件、软件或其组合来实现的操作序列。在软件的上下文中,框表示计算机可执行指令,当用一个或更多个处理器执行所述计算机可执行指令时,执行所述操作。通常,计算机可执行指令可以包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。操作被描述的顺序并非意图要将其解释为限制,并且任何数量的所描述的框可以以任何顺序组合和/或并行执行以实现该过程。类似的概念适用于此处讨论的后续调用流程。为了讨论的目的,参考图3的架构300来描述过程400。
在框401处,MAID系统320捕获用户设备平面通信量。例如,这样的用户设备平面通信量可以基于GTP-U协议,其用于承载GPRS核心网络内以及无线电接入网络与核心网络之间的用户数据。因此,可以使用Gb/Iu-PS、S1-U、S4/Gn、S5/8、S2a或S2b接口。
在框402处,MAID系统320针对恶意活动(例如,通信量)检查在移动用户平面隧道内承载的有效载荷,所述恶意活动诸如僵尸网络、分布式拒绝服务(DDoS)、恶意软件等,本文称之为安全事件。
在框403处,一旦确定已发生安全事件,则确定唯一会话/隧道标识符。例如,唯一会话/隧道标识符可以是来自GTP-U头部的TEID和/或有效载荷所源自的用户设备互联网协议IP地址。
在框404处,将数据查询分组发送到关联系统330。在各种实施例中,数据查询分组可以包括所识别的感兴趣安全事件的标记以及一个或更多个唯一会话/隧道标识符(例如,TEID和/或用户设备IP地址)。应当注意,安全事件可以包括:攻击名称(例如,僵尸网络、网络钓鱼、HTTP攻击、缓冲区溢出、TCP扫描、UDP扫描等)、攻击类别(例如,开发、侦察、政策违反、DDoS、恶意软件等)、攻击严重程度(例如,高、中、低)、源IP、目的地IP、源端口、目的地端口等。此外,对于某些类型的攻击,也可以发送与感兴趣的安全事件相关联的有效载荷。
关联系统配置成对将唯一会话/隧道标识符(例如,TEID、用户设备IP地址)和诸如国际移动订户身份(IMSI)、移动台国际订户目录号码(MSISDN)、国际移动台设备身份(IMEI)、位置区域身份(LAC)、无线电接入技术(RAT)等的唯一移动用户标识符进行绑定的表进行维护。
在框405处,关联系统330将该一个或更多个唯一会话/隧道标识符与唯一移动用户标识符(例如,IMSI、MSISD、IMEI等)进行匹配。
在框406处,一旦识别出用户设备,关联系统330采取适当的纠正措施,其可包括对来自/去往用户设备的通信量进行隔离,对来自/去往用户设备的通信量进行封阻,以及发出通知(例如,发送给账户持有者、系统管理员、用户设备的用户等)。例如,当通信量被封阻时,可能已经将其认为是不好的。当通信量被隔离时,通信量是可疑的,并且对其进一步分析和监控以决定它是否(i)确实不好并且应被封阻,(ii)应被暂时封阻,和/或(iii)是安全的并且不应被封阻。
MAID功能操作-第二选项(B)
图5示出了用于实现与第二选项(B)一致的入侵检测系统的示例架构500。图5中架构的组件与图2中的类似,因此为简洁起见,此处不再赘述。在图5中,MAID系统520包括用户平面分析组件524、控制平面分析组件530以及关联和采取措施组件540。
在图5的示例中,MAID系统520的用户平面分析组件524配置成从捕获的数据包的头部提取唯一会话/隧道标识符(例如,TEID、IP地址等)。用户平面分析组件524配置成分析用户平面通信量,而控制平面分析组件530配置成针对恶意活动分析控制平面通信量。例如,诸如用户设备126(B)的用户设备可以经由S1-U信道与SGW 132进行通信。MAID系统520的用户平面分析组件524捕获该用户平面通信量的该数据包以对其执行分析。在另一个示例中,用户设备126(B)可以经由S1-MME信道与MME 134进行通信。就此而言,控制平面分析组件530捕获控制平面通信量的该数据包以对其执行分析。
在上述的每个示例中,用户平面分析组件524和控制平面组件530从相应数据包的头部提取诸如IMIS、MSISDN、IMEI、LAC、RAT等的唯一用户标识符。MAID系统520的关联和采取措施组件540配置成将感兴趣的安全事件、唯一会话/隧道标识符和唯一用户标识符进行关联,如在上述图3的上下文中所讨论的。
第二选项(B)的示例调用流程
现在参考图6,其示出了使用第二选项(B)识别恶意活动(例如安全事件)的来源的示例调用流程。为了讨论的目的,参考图5的架构500来描述过程600。过程600包括MAID系统520,MAID系统520包括用户平面组件524、控制平面组件530以及会话/用户关联组件540,类似于图5的组件。
在框602处,MAID系统520的用户平面组件524捕获用户设备平面通信量(例如,在S5或S1-U或S2b接口上的GTP-U通信量)。
在框604处,MAID系统520的用户平面组件524针对恶意活动(例如,通信量)检查移动用户平面隧道内承载的数据包的有效载荷部分,所述恶意活动诸如僵尸网络、DDoS、恶意软件等,在本文被称为安全事件。
在框606处,一旦确定已发生安全事件,则MAID系统520的用户平面组件524确定唯一会话/隧道标识符。例如,唯一会话/隧道标识符可以是来自GTP-U头部的TEID和/或有效载荷所源自的用户设备互联网协议(IP)地址。
在框608处,将数据查询分组发送到MAID系统520的关联系统540。在各种实施例中,数据查询分组可以包括所识别的感兴趣安全事件的标记以及一个或更多个唯一会话/隧道标识符(例如,TEID和/或用户设备IP地址)。
在一个实施例中,MAID系统520的关联系统组件540配置成维护表,该表绑定唯一会话/隧道标识符(例如,TEID、用户设备IP地址)和诸如IMSI、MSISDN、IMEI、LAC、RAT等的唯一移动用户标识符。
与用户平面组件524类似,MAID系统520的控制平面组件530在S5、S2b或S1-MME接口上捕获控制平面通信量(即,框610)。用户平面组件524还构建和维护绑定诸如TEID、UEIP地址等的唯一会话/隧道标识符的表,以及控制组件530针对所有移动用户构建和维护诸如IMSI、MSISDN、IMEI、LAC、RAT等的唯一移动用户标识符的表。
在框612处,一旦有感兴趣的安全事件,则会话/用户关联组件540使用唯一会话/隧道标识符(例如,TEID、UE IP等)以从控制平面组件530获得唯一移动用户标识符(例如,IMSI、MSISDN、IMEI等)。
在框616处,一旦识别出用户设备,则MAID系统520的关联组件540采取适当的措施,其可以包括隔离用户设备通信量,封阻去往/来自用户设备的通信量,以及发出通知(例如,发送给用户设备的账户持有者、系统管理员、用户设备的用户等)。
MAID功能操作-第三选项(C)
图7示出了用于实现与第三选项(C)的方式一致的入侵检测系统的示例架构700。图7中架构的组件与图1中相似。还应当注意的是,架构700与架构300的不同之处在于架构700不包括会话/用户关联系统330。
在图7的示例中,MAID系统720配置成针对所检测到的感兴趣的安全事件提取唯一会话/隧道标识符(例如,TEID、IP地址等)。通过维护将唯一会话/隧道标识符(例如,TEID、UE IP地址等)与用户标识符(例如,IMSI,MSISDN,IMEI等)进行绑定的表并支持API以传达和响应MAID系统查询以及提供回从MAID系统的查询中接收的与唯一会话标识符(例如,TEID、UE IP地址等)相关联的唯一用户设备标识信息,来增强诸如SGSN 130、PGW/GGSN140、SGW 132、MME 134、ePDG 138的移动网络元件,从而使之包括会话/用户关联启用功能。相应地,关联系统嵌在MAID系统720中,因此不是如图3的示例实施例中的单独组件。
图7的MAID系统720配置成使用唯一会话/隧道标识符来查询关联网络元件(例如,SGSN 130、PGW/GGSN 140、SGW 132、MME 134等)以得到唯一用户信息(例如,IMS、MSISDN等)。MAID系统720还配置成基于检测到的感兴趣的安全事件和接收到的用户信息采取适当的措施,如上文所述的。
第三选项(C)的示例调用流程
现在参考图8,其示出了使用第三选项(C)识别恶意活动的来源的示例调用流程。为了讨论的目的,参考图7的架构700来描述过程800。过程800包括MAID系统720。在这个选项中,诸如SGSN 130、PGW/GGSN 140、SGW 132、MME 134、ePDG 138和TWAG 136的移动网络元件被增强以包括会话/用户关联功能。这些元件通过维护将唯一会话/隧道标识符(例如,TEID、UE IP地址等)与用户标识符(例如,IMSI、MSISDN、IMEI等)进行绑定的表来充当关联系统。
在框801处,MAID系统720捕获用户设备平面通信量。例如,这样的用户设备平面通信量可以基于GTP-U协议,其用于承载GPRS核心网络内以及无线电接入网络与核心网络之间的用户数据。因此,可以使用S5、S1-U或S2b接口。
在框802处,MAID系统720针对恶意活动(例如,通信量)检查移动用户平面隧道内承载的有效载荷,所述恶意活动诸如僵尸网络、DDoS、恶意软件等,在本文称之为安全事件。
在框803处,一旦确定已发生安全事件,则确定唯一会话/隧道标识符。例如,唯一会话/隧道标识符可以是来自GTP-U头部的TEID和/或有效载荷所源自的用户设备互联网协议IP地址。
在框804处,MAID系统720向核心网络102中已采用会话/用户关联功能(例如,SGSN130、PGW/GGSN 140、SGW 132、MME 134、ePDG 138等)增强过的网络元件发送数据查询分组,请求与所确定的会话/标识符相关联的用户信息。换句话说,核心网络102的一个或更多个组件(诸如SGSN 130、PG2/GGSN 140等)已被增强以包括本文讨论的关联组件的功能。
采用关联功能增强的网络元件配置成维护将唯一会话/隧道标识符(例如,TEID、UE IP地址)和唯一移动用户标识符(诸如IMSI、MSISDN、IMEI、LAC、RAT等)进行绑定的表。网络元件向MAID系统720发送回与所接收到的会话/隧道标识符(例如,TEID、UE IP等)相关联的用户信息(例如,IMSI、MSISDN、IMEI等)。
在框805处,一旦识别出用户设备,则MAID系统720采取适当的措施,其可以包括隔离用户设备通信量,封阻用户设备通信量以及发送通知(例如,发送给用户设备的账户持有者、系统管理员、用户设备的用户等)。
示例映射表
图9示出了提供用户平面TEID到用户标识符(例如,IMSI、MSISDN等)的示例映射的表。特别地,表900指示可以从来自s5/s8、s2b和s11接口的创建会话请求中提取什么信息以实现本文所讨论的功能。此外,表900指示可以从创建会话响应中提取的信息。
示例创建会话请求
图10示出了可以从其中提取会话/隧道和用户信息的示例创建会话请求。具体而言,图10示出了怎样以及从哪部分代码可以将会话/隧道标识符(例如,TEID)和用户标识符(例如,IMSI、MSISDN和IMEI)定位为控制平面消息创建会话请求中的信息元素,用于S5接口。代码1000中的一些字段已经过私密编辑。
示例创建会话响应
图11示出了可以从其中提取会话/隧道和用户信息的控制平面上的示例创建会话响应消息。具体而言,图11示出了怎样以及从哪部分代码可以将PGW TEID、PGW IP地址和UEIP地址定位于控制平面上的创建会话响应消息,以用于S5接口。代码1100中的一些字段已经过私密编辑。
头格式
图12和图13提供了用于3GPP标准的GTP头格式。在一个实施例中,图12和图13指示可以使用GTPv1和GTPv2中的八位字节5至8来提取隧道端点标识符。
示例计算机平台
如上所述,与移动感知入侵检测系统有关的功能可以在一个或更多个为了数据通信而连接的计算设备上执行,如图1至图3、图5和图7并根据图4、图6和图8的过程所示。具体而言,图14示出了通常可用于实现服务器的网络或主机计算机平台1400。一个或更多个这样的服务器可以用于图1到图3、图5和图7的MAID系统、图3的会话/用户关联系统330等。相信如图14中所示的这种设备的一般结构和一般操作从高级别的说明中应是不言自明的。
配置为服务器的通用计算机例如包括用于分组数据通信的数据通信接口1406。服务器计算机可以包括I/O接口1416,该I/O接口1416可以包括显示器、触摸屏、键盘、定点设备、麦克风、扬声器和/或任何其他类型的用户接口设备。服务器计算机还包括一个或更多个处理器形式的中央处理单元(CPU)1402,用于执行程序指令。尽管服务器经常经由网络通信接收编程和数据,但是服务器平台通常包括内部通信总线1404、程序存储1408和用于要由服务器处理和/或传送的各种数据文件的数据存储。数据可以存储在各种形式的计算机可读介质中,计算机可读介质包括(但不限于)硬盘1408、随机存取存储器(RAM)1410、只读存储器(ROM)1412等。
这种服务器的硬件元件、操作系统和编程语言本质上是常规的。当然,服务器功能可以在许多类似平台上以分布式方式实现,用来分配处理负荷。在一个实施例中,MAID系统320和会话/用户关联系统330的功能可以组合在一个或更多个服务器平台中。在一个实施例中,MAID系统520的用户平面分析组件524、控制平面分析组件530以及关联和采取措施组件540可以在一个或更多个服务器平台上组合。
本文讨论的软件功能涉及编程,包括可执行代码以及相关联的存储数据,例如,从用户平面或控制平面捕获的数据包中检索的信息,以促进确定移动网络中的安全事件的来源,如本文所讨论的。
软件代码可由相应的计算设备执行。在操作中,将代码存储在计算设备内。然而,在其他时间,可以将软件存储在其他位置和/或传输以加载到适当的计算设备系统中。计算设备的处理器执行这样的代码使得计算设备能够执行对移动网络中的安全事件的来源的确定,从而向适当的接收者发送通知,对攻击型用户设备执行隔离/封阻以及其他功能,如本文所讨论的。因此,如上概述的用于移动网络环境的入侵检测系统的各方面可以体现在编程中。可以将该技术的程序方面认为是通常以可执行代码和/或关联数据的形式的“产品”或“制造品”,这些可执行代码和/或关联数据在一种非暂时性机器可读介质中承载或体现。
结论
尽管前文已经描述了什么被认为是最佳模式和/或其他示例,但是应当理解的是,可以在其中进行各种修改,并且本文公开的主题可以以各种形式和示例来实现,以及可以将教导应用于许多应用中,而本文仅描述了其中的一些。所附权利要求旨在保护落入本教导的真实范围内的任何和所有应用、修改和变化。
可以理解的是,基于设计偏好,可以对本文所述的过程中的步骤的具体顺序或层次进行重新安排、扩展,以及省略一些步骤。可以同时执行一些框。
除非另有说明,否则本说明书(包括在随后的权利要求书中)中提出的任何尺寸、值、等级、位置、量值、大小和其他技术参数都是近似的,而不是精确的。它们旨在具有与它们所涉及的功能以及它们所属领域的惯例相一致的合理的范围。
除上文所述之外,任何陈述或说明的内容都不意图或应该被解释为将任何组件、步骤、特征、对象、利益、优势或等同物贡献于公众,无论它是否在权利要求中列举出来。
应该理解的是,除非在本文另外阐述了特定的含义,否则本文使用的术语和表达具有与这些术语和表达相对于其各自相应的查询和研究领域相一致的普通含义。诸如第一和第二等的关系术语可以仅用于区分一个实体或动作与另一个实体或动作,而对这些实体或动作之间的任何实际的这种关系或顺序不做必然的要求或暗示。术语“包括”、“包含”或其任何其他变型旨在覆盖非排他性包含,使得包括元素列表的过程、方法、物品或装置不仅包括那些元素,而是可以包括没有明确列出或者为这样的过程、方法、物品或装置所固有的其他要素。在没有进一步限制的情况下,由“一”或“一个”开头的元素不排除在包括该元素的过程、方法、物品或装置中存在额外相同元素。
本文描述的实施例可以在运行在一个或更多个计算设备上的软件中实现。一个或更多个计算设备可以配备有通信接口、用户接口、一个或更多个处理器和存储器。
用户设备的通信接口可以包括使计算设备能够经由诸如互联网的网络发送或接收数据的无线和/或有线通信组件。用户接口可以使用户能够提供输入和接收来自计算设备的输出。
用户接口可以包括数据输出设备(例如,可视显示器、音频扬声器)以及一个或更多个数据输入设备。数据输入设备可以包括但不限于小键盘、键盘、鼠标设备、触摸屏、麦克风、语音识别包以及任何其他合适的设备或其他电子/软件选择方法中的一个或更多个的组合。
每个处理器可以是单核处理器或多核处理器。存储器可以使用计算机可读介质(例如计算机存储介质)来实现。计算机可读介质至少包括两种类型的计算机可读介质,即计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除的介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)、蓝光或其他光存储、磁带盒、磁带、磁盘存储或其他磁性存储设备,或任何其他可以用于存储供计算设备访问的信息的非传输介质。相比之下,通信介质可以体现计算机可读指令、数据结构、程序模块或调制数据信号中的其他数据,诸如载波或其他传输机制。如本文所定义的,计算机存储介质不包括通信介质。
Claims (15)
1.一种用于移动网络的入侵检测系统,包括:
处理器;
耦连至一个或更多个处理器的网络接口;
用于存储内容和编程的存储设备;
存储在所述存储设备中的程序,其中通过所述处理器执行所述程序来配置所述系统执行动作,包括:
捕获正在使用所述移动网络的用户设备的平面通信量的数据包,其中所述数据包具有头部和有效载荷;
针对安全事件检查所述有效载荷;
一旦确定存在所述安全事件,则:
从所述数据包的所述头部提取唯一会话标识符;以及
基于所提取的唯一会话标识符识别所述安全事件的来源。
2.如权利要求1所述的入侵检测系统,其中执行所述程序进一步配置所述系统执行动作,包括:一旦确定存在所述安全事件,则采取纠正措施。
3.如权利要求2所述的入侵检测系统,其中所述纠正措施包括将通知发送给下述中的至少一个:
所述用户设备的账户持有者;
所述移动网络的系统管理员;以及
所述用户设备。
4.如权利要求2所述的入侵检测系统,其中所述纠正措施包括通过封阻经由所述移动网络去往所述用户设备的通信量或者来自所述用户设备的通信量中的至少一个来隔离所述用户设备。
5.如权利要求1所述的入侵检测系统,其中识别所述安全事件的来源包括:
将所述数据包的所述头部和所述有效载荷发送至配置成将所述唯一会话标识符与所述用户设备的账户持有者信息相关联的关联系统;以及
从所述关联系统接收所述用户设备的账户持有者的信息。
6.如权利要求1所述的入侵检测系统,其中所述系统包括:
配置成接收用户平面通信量和从所述数据包的所述头部提取唯一会话标识符的用户平面分析组件;
配置成接收控制平面用户通信量和针对安全事件检查所述有效载荷的控制平面分析组件;以及
配置成将所述安全事件和所述唯一会话标识符与所述移动网络的唯一用户信息相关联的关联组件。
7.如权利要求6所述的入侵检测系统,其中:
所述控制平面分析组件配置成捕获S5、S2b和S1-MME接口上的控制平面通信量;以及
所述用户平面组件配置成捕获S2a、所述S2b、S3、S4、Gn、所述S5、所述S1-MME、S11和S8接口上的用户平面通信量。
8.如权利要求6所述的入侵检测系统,其中所述移动网络的所述唯一用户信息包括国际移动订户身份(IMSI)、移动台国际订户目录号码(MSISDN)、以及国际移动台设备身份(IMEI)中的至少一个。
9.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质具有存储在其上的程序,当所述程序由处理器执行时,使所述处理器实施检测移动网络中的入侵的来源的方法,所述方法包括:
捕获正在使用所述移动网络的用户设备的平面通信量的数据包,其中所述数据包具有头部和有效载荷;
针对安全事件检查所述有效载荷;
一旦确定存在所述安全事件,则:
从所述数据包的所述头部提取唯一会话标识符;以及
基于所提取的唯一会话标识符识别所述安全事件的来源。
10.如权利要求9所述的方法,进一步包括一旦确定存在所述安全事件,则采取纠正措施。
11.如权利要求10所述的方法,其中所述纠正措施包括将通知发送给下述中的至少一个:
所述用户设备的账户持有者;
所述移动网络的系统管理员;以及
所述用户设备。
12.如权利要求10所述的方法,其中所述纠正措施包括通过封阻经由所述移动网络去往所述用户设备的通信量或者来自所述用户设备的通信量中的至少一个来隔离所述用户设备。
13.如权利要求9所述的方法,其中识别所述安全事件的来源包括:
将所述数据包的所述头部和所述有效载荷发送至配置成将所述唯一会话标识符与所述用户设备的账户持有者信息相关联的关联系统;以及
从所述关联系统接收所述用户设备的账户持有者信息。
14.如权利要求9所述的方法,其中所述程序包括:
配置成接收用户平面通信量和从所述数据包的所述头部提取唯一会话标识符的用户平面分析组件;
配置成接收控制平面用户通信量和针对安全事件检查所述有效载荷的控制平面分析组件;以及
配置成将所述安全事件和所述唯一会话标识符与所述移动网络的唯一用户信息相关联的关联组件。
15.如权利要求14所述的方法,其中:
所述控制平面分析组件配置成捕获S5、S2b、S1-MME接口上的控制平面通信量;以及
所述用户平面组件配置成捕获S2a、所述S2b、S3、S4、Gn、所述S5、所述S1-MME、S11和S8接口上的用户平面通信量。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662277945P | 2016-01-12 | 2016-01-12 | |
| US62/277,945 | 2016-01-12 | ||
| US15/082,692 | 2016-03-28 | ||
| US15/082,692 US20170201533A1 (en) | 2016-01-12 | 2016-03-28 | Mobile aware intrusion detection system |
| PCT/US2017/013261 WO2017123815A1 (en) | 2016-01-12 | 2017-01-12 | Mobile aware intrusion detection system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108605227A true CN108605227A (zh) | 2018-09-28 |
Family
ID=59274967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780006385.4A Withdrawn CN108605227A (zh) | 2016-01-12 | 2017-01-12 | 移动感知入侵检测系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170201533A1 (zh) |
| EP (1) | EP3387856A4 (zh) |
| CN (1) | CN108605227A (zh) |
| WO (1) | WO2017123815A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300090A (zh) * | 2018-03-23 | 2019-10-01 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018089442A2 (en) * | 2016-11-09 | 2018-05-17 | Intel IP Corporation | Ue and devices for detach handling |
| US10693918B2 (en) * | 2017-06-15 | 2020-06-23 | Palo Alto Networks, Inc. | Radio access technology based security in service provider networks |
| US11050789B2 (en) | 2017-06-15 | 2021-06-29 | Palo Alto Networks, Inc. | Location based security in service provider networks |
| US10812532B2 (en) | 2017-06-15 | 2020-10-20 | Palo Alto Networks, Inc. | Security for cellular internet of things in mobile networks |
| US10721272B2 (en) | 2017-06-15 | 2020-07-21 | Palo Alto Networks, Inc. | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks |
| US10834136B2 (en) | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| US10708306B2 (en) | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US10862912B2 (en) | 2018-03-23 | 2020-12-08 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| US6775262B1 (en) * | 2000-03-10 | 2004-08-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network |
| US20040024864A1 (en) * | 2002-07-31 | 2004-02-05 | Porras Phillip Andrew | User, process, and application tracking in an intrusion detection system |
| US20060123225A1 (en) * | 2004-12-03 | 2006-06-08 | Utstarcom, Inc. | Method and system for decryption of encrypted packets |
| US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| US7797411B1 (en) * | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
| EP2044513A2 (en) * | 2006-07-20 | 2009-04-08 | Breach Security, Inc. | System and method of securing web applications across an enterprise |
| US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
| US9538576B2 (en) * | 2010-11-08 | 2017-01-03 | Nokia Solutions And Networks | Method, apparatus and system for deciding on a control entity for a packet data connection |
| US9380071B2 (en) * | 2011-12-12 | 2016-06-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for detection of persistent malware on a network node |
| US9338657B2 (en) * | 2012-10-16 | 2016-05-10 | Mcafee, Inc. | System and method for correlating security events with subscriber information in a mobile network environment |
-
2016
- 2016-03-28 US US15/082,692 patent/US20170201533A1/en not_active Abandoned
-
2017
- 2017-01-12 EP EP17738975.6A patent/EP3387856A4/en not_active Withdrawn
- 2017-01-12 WO PCT/US2017/013261 patent/WO2017123815A1/en active Application Filing
- 2017-01-12 CN CN201780006385.4A patent/CN108605227A/zh not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300090A (zh) * | 2018-03-23 | 2019-10-01 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| CN110300090B (zh) * | 2018-03-23 | 2022-01-04 | 瞻博网络公司 | 基于主机威胁的网络地址来实施威胁策略动作 |
| US11979415B2 (en) | 2018-03-23 | 2024-05-07 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3387856A4 (en) | 2019-05-01 |
| EP3387856A1 (en) | 2018-10-17 |
| US20170201533A1 (en) | 2017-07-13 |
| WO2017123815A1 (en) | 2017-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108605227A (zh) | 移动感知入侵检测系统 | |
| US11122435B2 (en) | Radio access technology based security in service provider networks | |
| JP6974622B2 (ja) | モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティ | |
| US9185093B2 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US11323483B2 (en) | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks | |
| US11050789B2 (en) | Location based security in service provider networks | |
| US20200280589A1 (en) | Mobile user identity and/or sim-based iot identity and application identity based security enforcement in service provider networks | |
| US9300685B2 (en) | Detecting altered applications using network traffic data | |
| US20170134957A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US10834136B2 (en) | Access point name and application identity based security enforcement in service provider networks | |
| US9338657B2 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
| EP3195539B1 (en) | Methods and nodes for handling overload | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| US8516592B1 (en) | Wireless hotspot with lightweight anti-malware | |
| WO2012097553A1 (zh) | 智能移动终端的病毒防御方法及系统 | |
| EP3753203B1 (en) | Methods, system, ue, pgw-u and mme for managing traffic differentiation | |
| CN110892745B (zh) | 用于服务提供商网络中的基于位置的安全性的方法和系统 | |
| US10887768B2 (en) | Mobile traffic redirection system | |
| US11799914B2 (en) | Cellular internet of things battery drain prevention in mobile networks | |
| KR20120012229A (ko) | 불필요한 패킷 송수신 차단 장치 및 그 방법 | |
| US20230141028A1 (en) | Traffic control server and method | |
| Seth et al. | Emergency service in Wi-Fi networks without access point association | |
| Tian et al. | Security review and study of dos attack on dns in the international roaming epc_lte network | |
| Caushaj et al. | Attacks and countermeasures in wireless cellular networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180928 |