CN109314863B - 直径边缘代理攻击检测 - Google Patents
直径边缘代理攻击检测 Download PDFInfo
- Publication number
- CN109314863B CN109314863B CN201780034710.8A CN201780034710A CN109314863B CN 109314863 B CN109314863 B CN 109314863B CN 201780034710 A CN201780034710 A CN 201780034710A CN 109314863 B CN109314863 B CN 109314863B
- Authority
- CN
- China
- Prior art keywords
- message
- network node
- network device
- detecting
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/125—Protection against power exhaustion attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的示例性实施例,至少存在一种方法和装置,以检测从通信网络的另一个网络设备接收的至少一个消息是使用欺骗源地址的对在先消息的响应;基于该检测,镜像至少一个消息;以及向另一个网络设备发送所镜像的至少一个消息,以使另一个网络设备过滤使用欺骗地址响应于在先消息的至少一个消息。此外,至少存在一种方法和装置,以从网络节点接收与至少一个消息相关联的信令;基于该信令,检测至少一个消息是使用欺骗源地址的对在先消息的响应;以及基于该检测,过滤使用欺骗源地址响应于在先消息的至少一个消息。
Description
技术领域
根据本发明的示例性实施例的教导一般涉及转移通过运营商网络之间的互连而来的攻击,更具体地,涉及转移通过诸如基于GRX/IPX或SS7 的网络的运营商网络之间的互连而来的攻击。
背景技术
本部分旨在提供权利要求中所述的本发明的背景或上下文。在本文中的描述可以包括可追求的概念,但并非是先前已经构思或追求的概念。因此,除非在本文中另行指出,否则在本部分中描述的内容不是本申请中的说明书和权利要求的现有技术,并且不因包括在本部分中而被认为是现有技术。
可在说明书和/或附图中发现的某些缩写在此定义如下:
3GPP 第三代合作伙伴计划
ACK 确认
AVP 属性值对
BGP 边界网关协议
DEA 直径(Diameter)边缘代理
DRA Diameter路由代理
DPA Diameter委托代理
DoS 拒绝服务攻击
GPRS 通用分组无线服务
GRX GPRS漫游交换
GSM 全球移动通信系统
GSMA GSM协会
GT 全局码
HLR 归属位置寄存器
HSS 归属用户服务器
IP 因特网协议
IMSI 国际移动用户标识
IPX 互连性提供商交换
ISD 插入用户数据消息
IDR 插入用户数据请求
MAP 移动应用部分
MME 移动性管理实体
MSC 移动交换中心
RIFS 漫游和互连欺诈和安全
PCRF 策略和计费规则功能
PRN 提供漫游号码
SS7 7号信令系统
STP 信号传输点
TCAP 事务处理能力应用部分
UL 上行链路
VLR 访客位置寄存器
典型的攻击是修改用户简档以进行欺诈的那些攻击,或者是引起针对网络节点或用户拒绝服务的那些攻击。这些攻击例如通过众所周知的层1 网络运营商Diameter清除/重置命令使用/错误负载均衡消息等已经在自然环境下被观察到。
由于大量的攻击(例如,对于一个命令,大型亚洲层1运营商在3个月内遭受超过9百万次的攻击)。运营商评估法律和技术途径,以识别和惩罚行为不端的互连合作伙伴。那些行为不端的合作伙伴引起了大规模的负载(和潜在的节点中断)、用户数据(例如,加密密钥、位置)的丢失和泄漏,对用户欺诈和服务不可用。在这些讨论中的主要障碍是攻击消息可能不当使用行为良好的合作伙伴的标识而该合作伙伴受到指责(并受到错误的惩罚)。
针对这个问题需要一种解决方案,至少因为:如果该问题未得到解决,则至少在没有运营商责任的情况下没有互连。如果不能合理地肯定,就不能引入任何惩罚或责任以至于不小心惩罚错误的一方。另一方面,如果不当使用互连而没有任何后果,那么攻击者或行为不端的运营商凭什么要停止他们的行为。
发明内容
本发明的示例性实施例的各方面在权利要求中阐述。
根据本发明的第一方面,提供了一种方法,其包括:由网络节点检测从通信网络的另一个网络设备接收的至少一个消息是使用欺骗源地址的对在先消息的响应;基于该检测,镜像该至少一个消息;以及向该另一个网络设备发送所镜像的至少一个消息,以使该另一个网络设备过滤使用欺骗地址响应于在先消息的该至少一个消息。
还提供了用于执行根据本发明的第一方面的方法的装置和非暂时性计算机可读介质。
根据本发明的第二方面,提供了一种方法,其包括:由通信网络的网络设备从网络节点接收与至少一个消息相关联的信令;基于该信令,检测该至少一个消息是使用欺骗源地址的对在先消息的响应;以及基于该检测,过滤使用欺骗源地址响应于在先消息的该至少一个消息。
还提供了用于执行根据本发明的第二方面的方法的装置和非暂时性计算机可读介质。
附图说明
当结合附图阅读时,本发明的实施例的前述和其它方面在以下详细描述中更加显而易见,其中:
图1示出可被配置为执行根据本发明的一些实施例的操作的设备的简化框图;
图2示出根据本发明的示例性实施例的用于直接互连攻击的场景和解决方案;
图3示出根据本发明的示例性实施例的用于间接/中转互连攻击的场景和解决方案。
具体实施方式
在本发明中,我们提出至少一种方法和装置以转移通过运营商网络之间的互连而来的攻击。
本发明的示例性实施例用于转移通过运营商网络即GRX/IPX或SS7 之间的互连而来的攻击。所描述的示例性实施例侧重于LTE和5G互连场景,但这不限于此并且也适用于4G、3G和2G。根据示例性实施例的相同安全解决方案也可应用于诸如SS7的传统方法并且与之兼容。
本发明的示例性实施例用于诸如在以下时候转移通过运营商网络之间的互连而来的攻击:
-攻击者使用合作伙伴运营商的标识并执行不需要回答而被正确路由的攻击(例如,修改用户账户的互连欺诈、DoS攻击);
-被攻击的运营商随后向他的合作伙伴运营商投诉,但该合作伙伴运营商不知道任何事情,因为他没有发送任何消息;
-该合作伙伴运营商随后可能只会发现一些奇怪的“确认”消息,而他并未发送请求。这种消息通常被一些其它网络视为配置错误并被静默地丢弃。
本发明的示例性实施例提供了一种机制和协议使用,合作伙伴运营商如何能够自动向被攻击的运营商通知攻击正在进行,从而通过提高意识来指示他不是攻击消息的真实来源。根据示例性实施例的操作还描述了如何过滤和处理消息,以允许快速攻击检测并减少财务损失,或者防止针对用户的DoS以及针对网络节点的DoS。此外,当你具有中间方(互连性提供商)是传输路径的一部分时,我们将描述该机制如何工作。
现在,在进一步详细描述本发明的示例性实施例之前参考图1。如图1 中所示,边缘节点24包括其自己的处理装置,诸如至少一个数据处理器 (DP)24A,诸如存储有至少一个计算机程序(PROG)24C的至少一个计算机可读存储器(MEM)24B的存储装置,以及用于经由其天线24F 与设备内部节点20、和/或运营商节点21或任何其它网络设备进行双向无线通信的诸如发射机TX 24D和接收机RX 24E的通信装置。边缘节点24 在其MEM 24B中存储处理代码,以供消息处理器块24G用来执行使能转移攻击的方法,诸如通过内部节点20和运营商节点21的运营商网络之间的互连而来的攻击。边缘节点通常是STP、DEA、DRA或DPA。但是,它也可能是一些核心网络节点直接连接到互连网络。
类似地,运营商节点21包括诸如至少一个数据处理器(DP)21A的处理装置,诸如存储有至少一个计算机程序(PROG)21C的至少一个计算机可读存储器(MEM)21B的存储装置,以及诸如用于经由一个或多个天线21F与图1的边缘节点24和内部节点20以及其它装置或其它网络设备进行双向无线通信的发射机TX 21D和接收机RX 21E的通信装置。运营商节点21在其本地MEM 21B和/或其消息处理器块21G中存储用于信号处理的计算机程序代码。这种信号处理,例如,如本文所描述地基于其接收的数据分组来执行攻击检测和潜在的反应操作,并利用这种处理来检测和停止这种载波通信攻击。
内部节点20包括诸如至少一个数据处理器(DP)20A的处理装置,诸如存储有至少一个计算机程序(PROG)20C的至少一个计算机可读存储器(MEM)20B的存储装置,以及诸如用于经由一个或多个天线20F 与边缘节点24和运营商节点21或任何其它通信设备进行双向无线通信的发射机TX 20D和接收机RX 20E的通信装置。RX 20E和TX 20D各自被示出为包含在射频前端芯片中,这是一个非限制性的实施例。内部节点20 还在MEM 20B中在消息处理器块20G处存储有计算机程序代码,以执行如本文所讨论的用于攻击检测和消除的一些示例性操作。
此外,出于示例性目的在图1中示出了云200,攻击者10可以使用云 200来针对诸如如图1中所示的内部节点20、边缘节点24和/或运营商节点21的网络单元或者它们的网络发起攻击命令22。应注意,云200可以包括其它节点,诸如其它网络运营商的节点或者甚至与正遭受攻击的网络运营商相同的网络运营商的节点。此外,应注意,攻击的源可能来自任何位置,可能或可能没有受攻击的任何网络的外部或内部。可以从连接到互连网络的任何节点发起攻击。可以经由已接入互连网络的妥协节点发起攻击。此外,应注意,攻击可以通过连接网络或连接互连提供商的通信路径,包括海底电缆连接、有线陆线连接或者这两者,例如通过BGP路由攻击。应注意,攻击者可以从其发起攻击的节点可以位于具有通信能力的任何类型的电子设备中。这种节点可以是但不限于蜂窝电话、计算机(例如,膝上型计算机、台式计算机或服务器)、和/或个人数据助理,仅列举几个。此外,应注意,指示攻击命令22的虚线箭头可以使用任何类型的有线和/ 或硬连线连接。
根据本发明的一些实施例,可以存在通过如箭头25和26所指示的连接的信息通信,其可以由边缘节点24、内部节点20和/或运营商节点21 使用以执行根据一些实施例的消息处理操作。此外,该信息可以包括如根据本发明的示例性实施例的信令、消息和通信检查。应注意,箭头25和 26是内部节点20、运营商节点21和/或边缘节点24之间的连接的非限制性表示。根据示例性实施例,诸如由箭头25和26所指示的这些连接可以包括任何类型的硬连线、无线、卫星和/或电子电路连接(例如,这些设备的内部和/或外部的电路连接)。此外,尽管内部节点20、运营商节点21 和/或边缘节点24被示出为单独的实体,但是这些设备中的任何一个可以在相同的网络中或者在不同的网络中。
此外,在本发明的一些实施例中,本文所公开的每个步骤——包括互连攻击检测和消除,可以基于内部节点20、运营商节点21和/或边缘节点 24所检测和/或共享的信息,或者基于经由天线20F、21F和/或24F以及相关联的接收机RX 20E、21E和24E而接收的信息。来自内部节点20、运营商节点21和/或边缘节点24中的任何一个或多个的这种信息可以由相应的设备内部节点20、操作节点21和/或边缘节点24中的PROG 20C, 21C和/或24C中的至少一个来进行处理和执行。假设PROG 20C、21C 和/或24C中的每一个都包括程序指令,这些程序指令当由相关联的DP 20A、21A和/或24A执行时使得设备能够根据本发明的一些实施例进行操作以执行如本文详述的操作。消息处理器块20G、21G和24G可以总结来自执行不同的有形存储的软件的不同结果,以实现这些教导的某些方面。在这些方面,本发明的一些实施例可以至少部分地由存储在MEM 20B、 21B和/或24B上的计算机软件(计算机软件可以分别由DP 20A、21A和/ 或24A来执行)实现,或者由硬件实现,或者由有形存储的软件和硬件(以及有形存储的固件)的组合来实现。在典型的实施例中,对抗软件会被安装在边缘节点中。但是,如果一些运营商直接连接到互连网络,或者如果他们想要检测自己网络内部潜在的安全漏洞,那么他们可能希望直接在核心网络中(例如,HSS、HLR、MME)也安装这种机制。
此外,尽管图1的虚线20DL、21DL和24DL指示了内部节点20、运营商节点21和/或边缘节点24的消息部分,但是这些组件及其操作可以与图1的边缘节点24、内部节点20和/或操作节点21的至少处理器和/或存储器分离。边缘节点24、内部节点20和/或运营商节点21的RX 24E、TX 24D和天线24F;RX20E、TX20D和天线20F;RX21E、TX21D和天线 21F中的每一个对于根据本发明的一些实施例的操作并非必不可少的。根据本发明的非限制性实施例,边缘节点24、内部节点20和/或运营商节点 21可以连接到提供实际用户服务和外部无线部分以用于经由诸如集成电路的电路发送或接收信令的其它节点。
实现本发明的一些方面的电子节点无需是如图1所示的整个节点,但一些实施例可以由诸如上述有形存储的软件、硬件、固件的相同的一个或多个组件实现,并且数据处理器,例如功能的一部分可以在边缘节点中实现而一部分在另一个核心网络节点(例如,HSS)中实现。
图2示出了可以通过根据示例性实施例的操作而被停止的直接攻击场景。如图2中所示存在一个网络,运营商1位于其中。如图2中所示,存在攻击者10、运营商21和内部节点20。如图2中所示,内部节点20经由边缘节点24连接到运营商节点21。
第一非限制性直接攻击场景,其中,示例性实施例可以发挥优势,包括:
1.攻击者已接入互连网络(漫游互连)并向运营商1(受攻击的运营商,在附图中的较低云)发送攻击命令,该运营商不需要回答而进行工作,例如Diameter清除消息(针对用户的DoS)、Diameter UL(针对用户的 DoS)、Diameter ISD(欺诈、针对用户的DoS、窃听)、MAP删除用户 (针对用户的DoS)、重置消息(DoS网络)、PRN(DoS网络)。攻击者可以通过使用例如合作伙伴运营商2的起源领域(对于信令传输 (SIGTRAN)是IP地址欺骗,对于SS7是全局码)的标识来进行其发送者身份欺骗。这些标识和所需信息,攻击者可以经由漫游协议的新闻发布和对静态IP地址的IP地址扫描而发现,关于IR.21漫游的文件是偶然在因特网上发现的。所述标识可以是:IP地址、领域标识、主机标识、全局码(取决于底层协议)或者其中的组合。
2.接收消息的运营商1(受攻击的运营商)的边缘节点错以为该消息是来自合作伙伴,因为消息中的标识指示该消息的来源是合作伙伴,例如,消息中使用的起源领域AVP是该合作伙伴的AVP,并且运营商没有在其互连上使用可靠的源认证(例如,IPSec)。因此,边缘节点或受攻击的运营商1将消息转发到内部节点,例如,MME、HSS、SGSN、PCRF。假设通过伪装成合作伙伴,攻击者可以绕过边缘节点的领域检查等。边缘节点24包括DEA、DRA、DPA或STP,但原则上它可以是HLR、HSS、 MSC、VLR或MME(出于安全性,不建议将核心网络节点直接插入互连网络,但出于性能原因或者由于他们共享其若干网络的网络节点的国际网络设置,一些运营商将其核心网络节点直接插入互连)。
3.内部节点,例如,MME、HSS或者无论针对哪一个,按需响应请求(例如,删除用户信息),并且根据3GPP规范所要求的来确认消息(ACK 确认消息)。
4.证实消息然后被发送到合作伙伴运营商2(由于步骤1中的欺骗发送者身份)。然后,该合作伙伴收到一条奇怪的消息,他并没有针对其发送任何请求。通常,此消息将被静默地丢弃,并被视为合作伙伴网络的误配置。为此本发明旨在提供实质性的改变和改进。
例如在GSMA RIFS组中,运营商交换有关如何执行攻击以及如何对抗这些攻击的信息。上面提及的示例是一个非常典型的攻击场景,因为它允许攻击者将“指责”转移给另一个运营商。然后,另一个合作伙伴运营商会被怀疑,但这个合作伙伴却不知道发生了什么(当然他们没有发送任何消息,而只得到被丢弃的“确认”消息)。通过当前的方法,发现针对第一个运营商的欺诈需要相当长的时间。本发明的示例性实施例在不破坏互连系统的情况下非常快速地瞄准并检测这种欺诈或攻击。在本文档中介绍的检测方法可以逐步容易地添加到现有的全球系统中,而不需要大量投资或基础设施。
根据本发明的示例性实施例,用于根据示例性实施例的解决方案的处理步骤可以包括在运营商2处的合作伙伴节点接收确认或证实消息,然后执行以下步骤:
1.检查是否存在与该确认消息有关的传出消息(例如,通过相关性id、 TCAP标识符、IMSI、ICC_ID、MSISDN,发送标识和/或其它标识符进行搜索);
2.如果没有发现传出消息,则合作伙伴运营商接受确认消息并将其发送回运营商1边缘节点。但是应用了以下改变(这允许受攻击的运营商识别出他已被攻击):
-上层中的发送标识(例如,GT/领域)地址(例如,不是更低层标识,例如,IP地址,TCAP ID)将是运营商1(受攻击的运营商);
-上层中的接收标识地址将是运营商2(刚收到确认消息的无辜的合作伙伴运营商);
3.在运营商1(受攻击的运营商)处的接收节点现在将看到一条消息,其中,IP领域和发送标识不匹配,并且看起来好像该消息来自它们自己。所以他立即知道事情有些奇怪。可以调整防火墙或过滤软件中的边缘节点过滤规则以检测这种“不匹配”并发出警报。现今,配置是丢弃那些消息。如果部署了层匹配软件,则需要进行扩展(例如,SS7防火墙产品、DEA 过滤引擎)以识别该“镜像消息”需要被标记而不仅仅是被丢弃。这种方法允许识别出第一个攻击消息,而现今当前的系统需要人工交互(电子邮件、呼叫等)来识别正在发生什么,这通常使攻击者有机会攻击后逃脱。
然后,针对以下中的至少一个或多个来进一步分析运营商1所接收的消息:
a.谁发送了它(上层标识给出真正的发送者,即运营商2);
b.里面是什么消息(确认);
c.在运营商1自己的边缘节点(例如,DEA节点)中,之前就在那儿的对应的消息是什么(发现攻击者消息)?并且可能地,针对潜在的起诉而检索、分析并存储路由记录或其它信息;
d.系统发现正在进行的攻击并且可以阻止该攻击(例如,将IMSI列入黑名单,或者将从路由表中去除的IP列入黑名单)。
此外,根据本发明的示例性实施例,可以存在可应用的变形。可能的变形包括:
1.延迟某些动作,并且仅在应用了安全时段之后释放命令(并且没有接收到上述这种消息);
2.在接收到上述这种消息后,缓存用于某些命令的数据并且重新安装;
3.接收运营商不会再次发送或镜像此消息以避免竞争条件(错误消息的乒乓操作);和/或
4.该消息可能具有附加字段,该附加字段确认该消息的完整性,并且由合作伙伴运营商或互连提供商签名(见下文)。
图3示出了根据示例性实施例的用于另一个攻击情形的间接互连场景和解决方案。在该场景中,传入的攻击消息是经由互连提供商而发送的。如图3中所示,存在运营商1网络,内部节点20位于其中,并且其与运营商21网络的合作伙伴节点210进行通信。内部节点20经由边缘节点24 和IPX提供商30连接到合作伙伴节点21。此外,在图3中示出了经由IPX 提供商30(IPX 30)而连接的攻击者10。即使图3仅示出了一个互连提供商和路由器(例如,DRA),但在消息通信中可能涉及若干互连提供商和路由器。
如图3中所示,攻击步骤可以包括:
1.攻击者10伪装成合作伙伴,并经由IPX 30向运营商1发送消息;
2&3.这些消息经由边缘节点24被转发到内部节点20,其中,将根据示例性实施例来处理这些消息。应注意,边缘节点24可以包括边缘节点 DEA和/或STP中的任何一个;并且内部节点可以包括MME、HSS和/ 或HLR或其它核心网络节点;
4.在该步骤中,运营商1的内部节点20或边缘节点24处理这些消息,并且针对消息的确认或证实被发送到合作伙伴节点210。如上类似地所述,证实消息然后由于步骤1中的欺骗合作伙伴身份而被发送到合作伙伴节点 210。
根据本发明的示例性实施例,根据示例性实施例的解决方案的处理步骤包括在运营商2处的合作伙伴节点接收确认消息,然后执行以下步骤:
1.检查是否存在与该确认消息有关的传出消息(例如,通过相关性id、 TCAP标识符、IMSI、ICC_ID、MSISDN、发送标识和/或其它标识符进行搜索);
2.如果没有发现传出消息,则合作伙伴运营商接受确认消息并将其发送回运营商1边缘节点。但是应用了以下改变:
-上层中的发送标识(例如,GT/领域)地址(例如,不是更低层标识,例如,IP地址、TCAP ID)将是运营商1(对于由IPX进行替换的情况,可能插入了若干发送标识,并且只有第一个发送标识将被替换);以及
-上层中的接收标识地址将是运营商2;
3.运营商1处的接收节点现在将看到一条消息,其中,IP领域和发送标识不匹配,并且看起来好像该消息来自它们自己。现今,配置是丢弃那些消息。如果部署了层匹配软件,则需要进行扩展(例如,SS7防火墙产品、DEA过滤规则引擎)以识别该“镜像消息”需要被标记而不仅仅是被丢弃。然后,针对以下中的至少一个或多个来进一步分析该消息:
a.谁发送了它(上层标识给出真正的发送者,即运营商2);
b.里面是什么消息(确认);
c.在运营商1自己的DEA节点中,之前就在那儿的对应的消息是什么(发现攻击者消息)?并且可能地,针对潜在的起诉而检索、分析并存储路由记录或其它信息;以及
d.系统发现正在进行的攻击并且阻止该攻击(例如,将IMSI列入黑名单,或者将从路由表中去除的IP列入黑名单)。
此外,根据本发明的示例性实施例,可以存在可应用以进一步改进系统的变形。可能的变形包括:
-延迟某些动作,并且仅在应用了安全时段之后释放命令(并且没有接收到上述这种消息);
-在接收到上述这种消息后,缓存用于某些命令的数据并且重新安装;
-接收运营商不会再次发送或镜像此消息以避免竞争条件(错误消息的乒乓操作);和/或
-该消息可能具有附加字段,该附加字段确认该消息的完整性,并且由合作伙伴运营商或互连提供商签名。
本发明的实施例可以由计算机软件实现,该计算机软件可由诸如图2 和/或图3中的运营商节点21、边缘节点24和/或内部节点20的网络设备的数据处理器来执行。诸如图2和/或图3中所示的消息处理器20G、21G 和/或24G的数据处理器可以通过软件、或者通过硬件,或者通过软件和硬件的组合来实现。应注意,这些设备中的任何一个可以具有多个处理器 (例如,RF、基带、成像、用户接口),其以与主处理器的从属关系进行操作。本教导可以采用任何单个处理器或者这些多个处理器的组合来实现。
如在图2和/或图3的设备中,存储器20B、21B和/或24B可以是适合于本地技术环境的任何类型,并且可以使用任何适合的数据存储技术来实现,诸如基于半导体的存储器节点、磁存储器节点和系统、光存储器设备和系统、固定存储器以及可移动存储器。如图2和/或图3中的数据处理器20A、21A和/或24A可以是适合于本地技术环境的任何类型,并且作为非限制性示例可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)以及基于多核处理器架构的处理器中的一个或多个。
通常,各种实施例可以采用硬件或专用电路、软件、逻辑或其中任何组合来实现。例如,一些方面可以采用硬件实现,而其它方面可以采用固件或软件实现,所述固件或软件可以由控制器、微处理器或其它计算设备执行,但是本发明不限于此。虽然本发明的各个方面可以被示出并描述为框图、流程图、步骤,或者使用一些其它图形表示,但是应当很好地理解,在本文中描述的这些步骤、装置、系统、技术或方法可以采用非限制性示例、硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或其中某些组合来实现。
可以在诸如集成电路模块的各种组件中实践本发明的实施例。集成电路的设计总体上是高度自动化的过程。复杂且功能强大的软件工具可用于将逻辑级的设计转换为准备在半导体衬底上蚀刻和成形的半导体电路设计。
前面的描述已经通过非限制性示例的方式提供了发明人当前设想的用于实施本发明的最佳方法和装置的完整和详尽描述。然而,当结合附图和所附权利要求进行阅读时,鉴于前面的描述,各种修改和调整对于相关领域的技术人员而言将变得显而易见。然而,本发明的教导的所有这些和类似的修改仍将落入本发明的范围内。
应当注意,术语“连接”、“耦合”或其任何变形是指两个或更多个元件之间的直接或间接的任何连接或耦合,并且可以涵盖在被“连接”或“耦合”在一起的两个元件之间的一个或多个中间元件的存在。元件之间的耦合或连接可以是物理的、逻辑的或其组合,以允许消息朝向彼此传送。如在本文中所使用的,作为若干非限制性和非穷举性示例,通过使用一个或多个电线、电缆和/或印刷电连接,以及通过使用卫星连接、海底电缆、电磁能(诸如具有在无线电频率区域、微波区域和光学(可见和不可见两者)区域中的波长的电磁能),两个元件可视为被“连接”或“耦合”在一起。
此外,可以使用本发明的优选实施例的一些特征而无需对应地使用其它特征。因此,前面的描述应当被认为仅仅是对本发明的原理的说明,而不是对其进行限制。
Claims (36)
1.一种用于自动通知攻击的方法,包括:
由网络节点检测从通信网络的另一个网络设备接收的至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应;
基于所述检测,镜像所述至少一个消息;以及
向所述另一个网络设备发送指示所述另一个网络设备作为发送实体的所镜像的至少一个消息,以使所述另一个网络设备过滤使用所述欺骗地址响应于所述在先消息的所述至少一个消息。
2.根据权利要求1所述的方法,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
3.根据权利要求2所述的方法,其中,所述检测包括:确定所述确认消息与来自所述网络节点的在先传出消息不相关联。
4.根据权利要求3所述的方法,其中,所述确定包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的以下项中的至少一个:相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码。
5.根据权利要求1至4中任一项所述的方法,其中,所述发送包括:向所述另一个网络设备发送高层信令,所述高层信令指示与所述至少一个消息相关联的发送标识和因特网协议领域。
6.根据权利要求5所述的方法,其中,所述过滤基于所述至少一个消息的所述高层信令中的所述因特网协议领域与所述发送标识的不匹配而引起。
7.一种非暂时性计算机可读介质,存储有程序代码,所述程序代码由至少一个处理器执行以执行权利要求1所述的方法。
8.一种网络节点,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述网络节点至少:
检测从通信网络的另一个网络设备接收的至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应;
基于所述检测,镜像所述至少一个消息;以及
向所述另一个网络设备发送指示所述另一个网络设备作为发送实体的所镜像的至少一个消息,以使所述另一个网络设备过滤使用所述欺骗地址响应于所述在先消息的所述至少一个消息。
9.根据权利要求8所述的网络节点,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
10.根据权利要求9所述的网络节点,其中,所述检测包括:确定所述确认消息与来自所述网络节点的在先传出消息不相关联。
11.根据权利要求10所述的网络节点,其中,所述确定包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码中的至少一个。
12.根据权利要求8至11中任一项所述的网络节点,其中,所述发送包括:向所述另一个网络设备发送高层信令,所述高层信令指示与所述至少一个消息相关联的发送标识和因特网协议领域。
13.根据权利要求12所述的网络节点,其中,所述过滤基于所述至少一个消息的所述高层信令中的所述因特网协议领域与所述发送标识的不匹配而引起。
14.一种网络节点,包括:
用于检测从通信网络的另一个网络设备接收的至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应的装置;
用于基于所述检测来镜像所述至少一个消息的装置;以及
用于向所述另一个网络设备发送指示所述另一个网络设备作为发送实体的所镜像的至少一个消息,以使所述另一个网络设备过滤使用所述欺骗地址响应于所述在先消息的所述至少一个消息的装置。
15.根据权利要求14所述的网络节点,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
16.根据权利要求15所述的网络节点,其中,所述检测包括:确定所述确认消息与来自所述网络节点的在先传出消息不相关联。
17.根据权利要求16所述的网络节点,其中,所述确定包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的以下项中的至少一个:相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码。
18.根据权利要求14至17中任一项所述的网络节点,其中,所述发送包括向所述另一个网络设备发送高层信令,所述高层信令指示与所述至少一个消息相关联的发送标识和因特网协议领域。
19.根据权利要求18所述的网络节点,其中,所述过滤基于所述至少一个消息的所述高层信令中的所述因特网协议领域与所述发送标识的不匹配而引起。
20.一种用于自动通知攻击的方法,包括:
由通信网络的网络设备从网络节点接收与指示所述网络设备作为发送实体的至少一个消息相关联的信令;
基于所述信令,检测所述至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应;以及
基于所述检测,过滤使用所述欺骗源地址响应于所述在先消息的所述至少一个消息。
21.根据权利要求20所述的方法,其中,检测所述至少一个消息在使用欺骗源地址包括:确定在所接收的信令的高层信令中指示的因特网协议领域与发送标识存在不匹配。
22.根据权利要求20所述的方法,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
23.根据权利要求22所述的方法,其中,所述检测包括:识别所述确认消息与来自所述网络节点的在先传出消息不相关联。
24.根据权利要求23所述的方法,其中,所述识别包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的以下项中的至少一个:相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码。
25.一种非暂时性计算机可读介质,存储有程序代码,所述程序代码由至少一个处理器执行以执行权利要求20所述的方法。
26.一种通信网络的网络设备,包括:
至少一个处理器;以及
至少一个包括计算机程序代码的存储器,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述网络设备至少:
从网络节点接收与指示所述网络设备作为发送实体的至少一个消息相关联的信令;
基于所述信令,检测所述至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应;以及
基于所述检测,过滤使用所述欺骗源地址响应于所述在先消息的所述至少一个消息。
27.根据权利要求26所述的网络设备,其中,检测所述至少一个消息在使用欺骗源地址包括:确定在所接收的信令的高层信令中指示的因特网协议领域与发送标识存在不匹配。
28.根据权利要求26所述的网络设备,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
29.根据权利要求28所述的网络设备,其中,所述检测包括:识别所述确认消息与来自所述网络节点的在先传出消息不相关联。
30.根据权利要求29所述的网络设备,其中,所述识别包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的以下项中的至少一个:相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码。
31.一种通信网络的网络设备,包括:
用于从网络节点接收与指示所述网络设备作为发送实体的至少一个消息相关联的信令的装置;
用于基于所述信令来检测所述至少一个消息是使用所述网络节点的欺骗源地址的对在先消息的响应的装置;以及
用于基于所述检测来过滤使用所述欺骗源地址响应于所述在先消息的所述至少一个消息的装置。
32.根据权利要求31所述的网络设备,其中,检测所述至少一个消息在使用欺骗源地址包括:确定在所接收的信令的高层信令中指示的因特网协议领域与发送标识存在不匹配。
33.根据权利要求31所述的网络设备,其中,所述至少一个消息包括寻址到所述欺骗源地址的确认消息。
34.根据权利要求33所述的网络设备,其中,所述检测包括:识别所述确认消息与来自所述网络节点的在先传出消息不相关联。
35.根据权利要求34所述的网络设备,其中,所述识别包括:
不能在所述确认消息中定位与来自所述网络节点的在先传出消息相关联的以下项中的至少一个:相关性标识、事务处理能力应用部分标识符、国际移动用户标识、集成电路卡标识符和移动台国际用户目录号码。
36.一种通信系统,包括根据权利要求8至13中任一项所述的网络节点和根据权利要求26至30中任一项所述的网络设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662318819P | 2016-04-06 | 2016-04-06 | |
| US62/318,819 | 2016-04-06 | ||
| PCT/FI2017/050138 WO2017174864A1 (en) | 2016-04-06 | 2017-03-03 | Diameter edge agent attack detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109314863A CN109314863A (zh) | 2019-02-05 |
| CN109314863B true CN109314863B (zh) | 2022-05-31 |
Family
ID=59998915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780034710.8A Active CN109314863B (zh) | 2016-04-06 | 2017-03-03 | 直径边缘代理攻击检测 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10893069B2 (zh) |
| EP (1) | EP3440863B1 (zh) |
| CN (1) | CN109314863B (zh) |
| WO (1) | WO2017174864A1 (zh) |
| ZA (1) | ZA201807326B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10306459B1 (en) * | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
| US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| CN111901818A (zh) * | 2020-06-15 | 2020-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于map信令的核心网网元异常行为的判断方法 |
| US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) * | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| CN113595799B (zh) * | 2021-08-03 | 2024-06-04 | 北京恒安嘉新安全技术有限公司 | 移动网络靶场系统以及网络流量攻击模拟方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892903A (en) * | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
| US5958053A (en) * | 1997-01-30 | 1999-09-28 | At&T Corp. | Communications protocol with improved security |
| US7039954B2 (en) * | 2001-05-04 | 2006-05-02 | International Business Machines Corporation | Method for enabling a network-addressable device to detect use of its identity by a spoofer |
| US7360245B1 (en) | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| EP1433076B1 (en) * | 2001-08-30 | 2017-10-25 | Cisco Technology, Inc. | Protecting against distributed denial of service attacks |
| US7372809B2 (en) | 2004-05-18 | 2008-05-13 | Time Warner Cable, Inc. | Thwarting denial of service attacks originating in a DOCSIS-compliant cable network |
| WO2006004556A1 (en) | 2004-07-02 | 2006-01-12 | Agency For Science, Technology And Research | Traffic redirection attack protection method and system |
| WO2007019583A2 (en) | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| US8605715B2 (en) * | 2005-11-02 | 2013-12-10 | Panayiotis Thermos | System and method for detecting vulnerabilities in voice over IP networks |
| US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US7721091B2 (en) * | 2006-05-12 | 2010-05-18 | International Business Machines Corporation | Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages |
| ES2400166T3 (es) * | 2008-10-20 | 2013-04-08 | Koninklijke Kpn N.V. | Protección de servicios en una red móvil contra la suplantación de CLI |
| EP2656647B1 (en) * | 2010-12-23 | 2019-04-24 | Tekelec, Inc. | Method, system, and computer readable media for modifying a diameter signaling message directed to a charging function node |
| US9917772B2 (en) * | 2012-05-29 | 2018-03-13 | Alcatel Lucent | Diameter message mirroring and spoofing |
-
2017
- 2017-02-24 US US15/441,363 patent/US10893069B2/en active Active
- 2017-03-03 WO PCT/FI2017/050138 patent/WO2017174864A1/en active Application Filing
- 2017-03-03 EP EP17778730.6A patent/EP3440863B1/en active Active
- 2017-03-03 CN CN201780034710.8A patent/CN109314863B/zh active Active
-
2018
- 2018-11-01 ZA ZA2018/07326A patent/ZA201807326B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| EP3440863A4 (en) | 2019-12-04 |
| EP3440863B1 (en) | 2022-04-13 |
| CN109314863A (zh) | 2019-02-05 |
| ZA201807326B (en) | 2020-08-26 |
| EP3440863A1 (en) | 2019-02-13 |
| US20170295201A1 (en) | 2017-10-12 |
| US10893069B2 (en) | 2021-01-12 |
| WO2017174864A1 (en) | 2017-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109314863B (zh) | 直径边缘代理攻击检测 | |
| EP3662630B1 (en) | Methods, systems, and computer readable media for mobility management entity (mme) authentication for outbound roaming subscribers using diameter edge agent (dea) | |
| EP3821630B1 (en) | Method, system, and computer readable medium for validating a visitor location register (vlr) using a signaling system no. 7 (ss7) signal transfer point (stp) | |
| US11985111B2 (en) | Method for message filtering in an edge node based on data analytics | |
| EP3797500B1 (en) | Message transmission between core network domains | |
| US10091715B2 (en) | Systems and methods for protocol-based identification of rogue base stations | |
| RU2546610C1 (ru) | Способ определения небезопасной беспроводной точки доступа | |
| US8726338B2 (en) | Dynamic threat protection in mobile networks | |
| Dabrowski et al. | The messenger shoots back: Network operator based IMSI catcher detection | |
| KR20230058457A (ko) | 이동성 패턴들을 사용하는 5g 사용자 장비(ue) 이력 이동성 추적 및 보안 스크리닝을 위한 방법들, 시스템들, 및 컴퓨터 판독가능 매체들 | |
| CN109428870B (zh) | 基于物联网的网络攻击处理方法、装置及系统 | |
| WO2020110092A1 (en) | System and method of determining location of an international in-roaming subscriber | |
| US20230056017A1 (en) | Method and apparatus for detecting abnormal roaming request | |
| EP4181554A1 (en) | Traffic control server and method | |
| US20240147238A1 (en) | Diameter spoofing detection and post-spoofing attack prevention | |
| WO2023274055A1 (zh) | 呼叫方法、设备和存储介质 | |
| de Carvalho Macedo et al. | Attacks to mobile networks using SS7 vulnerabilities: a real traffic analysis | |
| EP3416084B1 (en) | Communication apparatus, method and software | |
| EP2884787A1 (en) | Method and device for managing a subscriber device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |