CN113748660A - 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 - Google Patents

用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 Download PDF

Info

Publication number
CN113748660A
CN113748660A CN202080028889.8A CN202080028889A CN113748660A CN 113748660 A CN113748660 A CN 113748660A CN 202080028889 A CN202080028889 A CN 202080028889A CN 113748660 A CN113748660 A CN 113748660A
Authority
CN
China
Prior art keywords
network
user equipment
attack
anomaly
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202080028889.8A
Other languages
English (en)
Other versions
CN113748660B (zh
Inventor
H.塞德杰尔马奇
T.卡波-奇奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of CN113748660A publication Critical patent/CN113748660A/zh
Application granted granted Critical
Publication of CN113748660B publication Critical patent/CN113748660B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于由网络(NW)中的装置(AP)处理由连接到该网络的用户设备(UE)接收的消息的方法,所述警报消息指示该用户设备在经由该网络传输的流量中检测到异常,所述处理方法包括:‑从该警报消息中获得表示至少一个用户设备约束的至少一条信息的步骤;‑通过用于检测网络攻击的算法处理由该用户设备提供的并且与该检测到的异常相关联的流量特征的步骤,该用于检测网络攻击的算法基于该至少一条信息被选择和/或配置;以及‑基于该处理步骤的结果并且在检测到网络攻击时基于该至少一条信息来确定对该用户设备的关于该检测到的异常的响应的步骤。

Description

用于处理指示在经由网络传输的流量中检测到异常的警报消 息的方法和装置
技术领域
本发明涉及一般电信领域。
更具体地,本发明涉及一种用于检测电子通信网络中的网络攻击的机制。
背景技术
对于网络的性质没有附加限制。然而,本发明优选地适用于移动网络,并且具体地,适用于第五代移动网络或5G移动网络。
5G移动网络凭借其实施的先进通信技术以及具体地其在数据速率、信息量和连接方面提供的新的能力,正在开启前所未有的使用前景,这在网络安全方面带来真正的挑战。在过去的几年中,已经基于主动方法开发了许多入侵检测技术(或者IDS,表示“入侵检测系统”)和防御技术,这些主动方法一方面使得能够预测和减少计算机系统中的漏洞,并且另一方面使得能够在这些计算机系统中检测到攻击或入侵时触发有效的减轻响应。然而,5G由于其特定的特性和约束,如果常规的入侵检测技术没有被设计成考虑到这些特定的特性和约束,那么这些常规的入侵检测技术就会变得不合适且无效。
L.Femandez Maimo等人于2018年3月12日在IEEE Access的网络-物理-社交计算和网络专题部分发表的名称为“A self-adaptive deep learning-based system foranomaly detection in 5G networks[用于在5G网络中进行异常检测的基于自适应深度学习的系统]”的文档中,提出了一种能够自动适应网络中的流量波动的用于检测5G网络中的网络攻击的架构。基于深度学习技术提出的系统可以决定部署更多的计算资源(经由虚拟化网络功能)或者调整基于其所处的当前网络防御上下文而应用的学习方法或检测模型,此上下文由系统基于流量的行为来识别。
由L.Femandez Maimo等人在该文档中提出的架构基于用户设备和ASD(表示“异常征兆检测”)模块,这些用户设备连接到收集由这些用户设备产生的各种流量特征的网络,该ASD模块用于检测异常征兆并且位于汇总这些特征的接入网中。ASD模块通过检查汇总的特征来执行异常征兆的快速搜索。然后征兆被提供给NAD(表示“网络异常检测”)模块,该NAD模块用于检测网络异常并且位于核心网中。一旦检测到异常,就会通知监测和诊断模块,该监测和诊断模块负责分析此异常的原因,并且将这些原因报告给能够快速采取适当的动作(如具体地调整系统的配置等)的安全策略管理器。
在由L.Fernandez Maimo等人提出的系统中,虽然入侵检测是基于接入网通过分析由用户设备收集的流量特征而识别的征兆执行的,但是入侵检测集中于核心网中。在核心网中执行主要的处理操作和计算,以推断是否正在对网络实施入侵。此架构导致网络中的大量开销(或剩余),这可能会对服务质量和网络性能产生负面影响。
发明内容
本发明使得能够具体地通过提出一种分层方法来纠正此缺点,根据该方法,在多个级别上执行异常和入侵检测,同时考虑到属于这些不同级别的设备的约束。在本发明的意义内,层次级别增加得越多,属于该层次级别的设备在网络和资源上就越具有可见性:因此,这些设备能够更可靠地检测与网络攻击相关的入侵。对于这些网络攻击(病毒、木马等)的性质没有附加限制。
更具体地,本发明提出在用户设备中、在网络装置中(属于接入网和/或核心网)以及在监督网络的安全操作中心(通常也称为SOC)中,实施适合于这些设备中的每个设备中可用资源的入侵和/或异常检测技术,并且当执行这些技术时,考虑位于一个或多个较低级别的设备的约束,以便能够在相关的情况下向这些设备提供适当的反馈。这种约束具体地可以是资源方面的约束(例如,存储器、存储或者甚至计算能力)或者网络性能方面的约束(如等待时间、数据速率等约束)。
以此方式,本发明因此利用了在每个级别上提供的优势,以便在不影响网络的性能的情况下允许快速且可靠地检测容易影响网络和连接到网络的用户设备的网络攻击。
因此,本发明基于三种方法以及能够实施这些方法的各种设备,具体地是用户设备、网络装置(其可以不加区分地位于接入网或核心网中)和监督网络的安全操作中心。
更具体地,本发明针对一种用于通过网络装置处理从连接到该网络的用户设备接收的警报消息以及通知由该用户设备在经由该网络传输的流量中检测到的异常的方法。该处理方法包括:
-从该警报消息中获得表示该用户设备的至少一个约束的至少一条信息的步骤;
-通过网络攻击检测算法处理由该用户设备提供的并且与该检测到的异常相关联的流量特征的步骤,该网络攻击检测算法基于所述至少一条信息被选择和/或参数化;以及
-基于该处理步骤的结果,并且在检测到网络攻击时基于所述至少一条信息来确定对该用户设备的关于该检测到的异常的响应的步骤。
相关地,本发明涉及一种网络装置,该网络装置包括:
-接收模块,该接收模块能够从连接到该网络的用户设备接收警报消息,该警报消息通知由该用户设备在经由该网络传输的流量中检测到的异常;
-获得模块,该获得模块被配置成从该警报消息中获得表示该用户设备的至少一个约束的至少一条信息;
-处理模块,该处理模块被配置成通过网络攻击检测算法处理由该用户设备提供的并且与该检测到的异常相关联的流量特征,该网络攻击检测算法基于所述至少一条信息被选择和/或参数化;以及
-确定模块,该确定模块被配置成基于该处理步骤的结果,并且在检测到网络攻击时基于所述至少一条信息来确定对该用户设备的关于该检测到的异常的响应。
本发明还针对一种由监督至少一个网络的安全操作中心执行的监督方法,该监督方法包括:
-从网络装置接收警报消息的步骤,该警报消息通知由连接到该网络的用户设备或由该网络装置在经由所述网络传输的流量中检测到的异常,该警报消息包括由该用户设备或由该网络装置获得的并且与该检测到的异常相关联的流量特征,以及表示该网络装置的至少一个约束的至少一条信息;
-通过网络攻击检测算法处理该流量特征的步骤,该检测算法基于所述至少一条信息被选择和/或参数化;以及
-基于该处理步骤的结果,并且在检测到攻击时基于所述至少一条信息来确定对该网络装置和/或该用户设备的关于该检测到的异常的响应的步骤。
相关地,本发明涉及一种监督至少一个网络的安全操作中心,该安全操作中心包括:
-接收模块,该接收模块能够从网络装置接收警报消息,该警报消息通知由连接到该网络的用户设备或由该网络装置在经由该网络传输的流量中检测到的异常,该警报消息包括由该用户设备或该网络装置获得的并且与该检测到的异常相关联的流量特征,以及表示该网络装置的至少一个约束的至少一条信息;
-处理模块,该处理模块被配置成通过网络攻击检测算法处理该流量特征,该检测算法基于所述至少一条信息被选择和/或参数化;以及
-确定模块,该确定模块被配置成基于该处理步骤的结果,并且在检测到攻击时基于所述至少一条信息来确定对该网络装置和/或该用户设备的关于该检测到的异常的响应。
本发明还针对一种由连接到网络的用户设备执行的通知方法,该通知方法包括:
-从经由该网络传输的由该用户设备获得的流量特征中检测该流量中的异常的步骤;
-如果该用户设备不能确定该检测到的异常是对应于正常行为还是网络攻击,则向网络装置发送警报消息的步骤,该警报消息向该网络装置通知该检测到的异常,该警报消息包括该流量特征和表示该用户设备的至少一个约束的至少一条信息;以及
-从该网络装置接收关于该检测到的异常并且基于所述至少一条信息创建的消息的步骤。
相关地,本发明涉及一种连接到网络的用户设备,该用户设备包括:
-检测模块,该检测模块被配置成从经由该网络传输的由该用户设备获得的流量特征中检测该流量中的异常;
-发送模块,如果该用户设备不能确定该检测到的异常是对应于正常行为还是网络攻击,则激活该发送模块,该发送模块被配置成向网络装置发送警报消息,该警报消息向该网络装置通知该检测到的异常,该警报消息包括该流量特征和表示该用户设备的至少一个约束的至少一条信息;以及
-接收模块,该接收模块能够从该网络装置接收关于该检测到的异常并且基于所述至少一条信息创建的消息。
最后,本发明还针对一种用于监测网络的监测系统,该监测系统包括:
-至少一个根据本发明的用户设备;
-至少一个根据本发明的网络装置(其可以位于网络的接入网中或核心网中);以及
-根据本发明的安全操作中心。
因此,本发明提出在各种级别上分层部署将相互协作以便提高其效率的入侵检测算法(或代理)。该协作在考虑存在于每一级别上的约束的情况下有利地执行,而不管这些约束的性质(例如,硬件、软件、网络性能、安全性、能量消耗等)如何。
因此,例如,当考虑具有少量的资源并且在能量消耗方面具有主要约束的如传感器等用户设备时,在该用户设备中将优选地设想相对简单且轻量的入侵检测算法,例如基于在用户设备穿过或侦听的流量中搜索少量预定攻击签名的算法。已知地,这种算法表现出比机器学习算法更差的性能,在资源(处理时间、计算资源等)方面消耗更多。
为了补偿这种更差的性能(和更高的错误检测风险),根据本发明,如果用户设备在经由网络交换的流量中检测到异常,并且该用户设备不能确定这种异常的性质(换句话说,确定该异常是正常行为还是攻击),则该用户设备向根据本发明的网络装置通知其已经检测到的异常,使得所述网络装置能够使用更高效的检测算法来执行更深入的分析。由于该装置位于网络中(在接入网或核心网中,换句话说,与用户设备相比在更高的层次级别上),因此该装置比用户设备具有更多的硬件资源,对网络上交换的流量具有更好的可见性,并且可以说在能量消耗方面没有任何约束。因此,可以在该网络装置中使用更高效的检测算法,例如机器学习算法(例如深度学习算法),这使得能够确定由用户设备检测到的异常的性质。
有利地,根据本发明,在考虑用户设备的约束的情况下选择和参数化网络装置中使用的算法;这同样适用于对用户设备做出的关于由此检测到的异常的响应的创建。借助于该规定,确保当用户设备检测到异常时该用户设备受益于适合于其约束的响应,也就是说,如果该用户设备具有主要的等待时间约束,则受益于快速响应,或者如果其资源有限,则受益于需要低开销(计算、信令等资源的剩余)等等。
应当注意,如果网络装置确定异常与网络的正常行为有关,则该网络装置可以放弃对由用户设备反馈的警报消息的响应,具体地为了限制网络上交换的信令,并且为了更加节省用户设备的资源(因此不必处理任何响应消息)。
同样,如果网络装置不能使用其使用的入侵检测算法来确定已经向其报告的异常是由正常行为还是网络攻击引起的,则该网络装置请求更高的层次级别,具体地监督该网络的安全操作中心(以及可能由同一个运营商或不同运营商管理的其他网络)。以本身已知的方式,安全操作中心或SOC是用于监督和管理一个或多个信息系统的安全性的平台,例如在一个或多个通信网络的情况下。为此,该安全操作中心基于各种收集工具、事件关联工具、用于分析网络上的活动的工具以及形成这些工具的各种设备(例如数据库、应用程序、服务器、用户设备等)以及分析师和安全专家的专业知识;该安全操作中心也可以具有远程干预装置。换句话说,该安全操作中心是一个拥有大量专业知识的可信实体,其可以准确且可靠地检测网络中的入侵。
本发明基于上述三个层次级别,为检测网络中的入侵提供了有效的解决方案,该解决方案尤其适合于4G和5G移动网络以及容易连接到这些网络的用户设备的多样性。这使得能够在用户设备检测到异常的情况下以相关的方式快速响应。
此外,本发明相对易于实施,并且可以易于嵌入到例如SIEM(表示“安全信息和事件管理”)解决方案等网络安全解决方案中。
本发明非常灵活并且可以更一般地应用于任何类型的网络(2G、3G、4G、5G等)以保护这些网络免受网络攻击,包括当这些攻击很复杂时。通过有利地考虑其约束,本发明适用于任何类型的终端,并且更一般地适用于用户设备。
例如,在处理方法的一个特定实施例中,由网络装置获得的所述至少一条信息表示资源(硬件资源、软件资源等)和/或用户设备的安全性和/或网络性能方面的至少一个约束。
这种资源方面的约束可以具体地是能量消耗或可用存储空间约束。这种网络性能方面的约束可以具体地是等待时间、带宽、数据速率、处理提供给该用户设备的信息的时间或提供给该用户设备约束的剩余信息量。这种安全性方面的约束可以是网络攻击检测率、假阳性率或用户设备的关键性质(例如,如果涉及交通工具,则该交通工具由于网络攻击的存在而遇到的风险可能很大,并且需要对遇到的风险做出快速且适当的响应)。
这些示例仅通过说明的方式给出,并且对用户设备受到的约束类型没有附加限制,只要网络装置被告知这些约束并且因此能够考虑它们以提供适合于用户设备的响应。
如上所述,由网络装置选择和应用的网络攻击检测算法中可以考虑这些约束,以分析用户设备报告的异常。
因此,在一个实施例中,所使用的网络攻击检测算法可以由网络装置从以下算法中选择:
-基于网络攻击签名的检测算法;以及
-基于机器学习的检测算法。
已知地,与基于网络攻击签名的检测算法相比,基于机器学习的(例如基于深度学习的)检测算法受益于更好的检测率和更低的假阳性率,就其本身而言,基于网络攻击签名的检测算法通常不太复杂并且实施起来更快。当然,这些示例仅通过说明的方式给出,并且在本发明的上下文中可以设想其他检测算法。
除了选择网络攻击检测算法之外,所选择的算法的参数的设定能够有利地考虑用户设备的约束。因此,在一个特定实施例中,当在该处理步骤中选择了基于机器学习的检测算法时,考虑用于该算法的训练持续时间可以基于表示用户设备的一个或多个约束的所述至少一条信息被参数化。例如,如果用户设备在等待时间方面具有主要约束,则可能在网络装置中选择训练持续时间,该训练持续时间使得能够符合用户设备支持的等待时间。
作为替代方案,当考虑基于网络攻击签名的检测算法时,可以基于用户设备的约束来设定所使用的签名的数量(以便能够根据这些约束或多或少地快速响应)。
在该处理方法的一个特定实施例中:
-该处理步骤包括检测针对连接到该网络的用户设备和/或针对网络元件的网络攻击;并且
-该确定步骤包括基于从所述至少一条信息和该用户设备的攻击检测能力得到的至少一个度量来评估称为效率函数的函数,该响应是基于该效率函数的值确定的。
该实施例使得能够向用户设备提供关于检测到的异常(在这种情况下源于攻击)的响应,该响应满足在用户设备的约束与由此实施的攻击检测的准确性之间的折衷,该折衷由效率函数建模。该效率函数具体地可以是基于用户设备的一个或多个约束评估的第一参数和反映用户设备中实现的攻击检测能力的第二参数的加权和。例如,这种能力是由网络装置检测到的攻击数量与用户设备反馈的其无法决定的异常数量之比给出的。
通过评估效率函数,网络装置平衡用户设备的约束和攻击检测的准确性,并且创建对用户设备的关于其检测到的攻击的响应,该响应提供了这两个参数之间的折衷。关于用户设备未能检测到的攻击,该响应具体地可以包括用户设备要应用的新签名和/或新属性,以便提高其攻击检测能力,并且具体地能够检测导致用户设备反馈的异常的攻击类型。
更具体地,在一个特定实施例中,由网络装置确定的响应可以包括向用户设备发送包括由网络装置获得的攻击的N个签名和/或属性的消息,N表示取决于效率函数的值的整数。
数字N具体地可以随着效率函数的值的增加而增加。因此,当效率函数具有大于所谓的上限阈值的值时,网络装置检测到的并且已知的攻击的所有签名和/或属性可以被发送到用户设备。相比之下,低于所谓的下限阈值,网络装置可以决定不向用户设备发送任何新签名和任何新属性。最后,如果评估的效率函数的值位于下限阈值与上限阈值之间,则网络装置可以决定仅发送其所拥有的检测到的攻击的签名和/或属性的子集,典型地最相关的签名和/或属性(即,最经常发生的签名和/或属性或者使得能够更容易地识别攻击的签名和/或属性),以便允许用户设备被更新。
在一个特定实施例中,数量N还可以取决于其他因素,例如由用户设备提供的成本因子。
此成本因子可以由用户设备的制造商选择,并且反映其在考虑用户设备的约束方面的要求。该成本因子提供了更大的灵活性,使得能够基于对制造商至关重要的约束而对返回给用户设备的签名数量进行附加加权。
应当注意,由网络装置检测到的攻击的签名可以例如由监督网络的安全操作中心提供给该网络装置。
如上所述,在一个特定实施例中,如果在该处理步骤中该网络装置不能确定该检测到的异常是对应于正常行为还是网络攻击,则该处理方法包括向监督该网络的安全操作中心发送警报消息的步骤,该警报消息向该安全操作中心通知由该用户设备检测到该异常,并且包括由所述用户设备提供的并且与该检测到的异常相关联的流量特征以及表示该网络装置的约束的至少一条信息。
该实施例使得能够受益于安全操作中心的专业知识,同时仍然考虑施加在网络装置上的约束(这些约束是特定于网络装置的约束,并且具体地是网络装置必须遵守的网络约束,还是用户设备间接施加在网络装置上的约束)。
可以设想网络装置向安全操作中心通知由用户设备检测到的异常的其他相关情形。
这可能是当网络装置自身局部检测到其不能决定的异常时的情况。
因此,在一个特定实施例中,该处理方法还包括:
-由该网络装置从由该网络装置获得的流量特征中检测该网络上传输的流量中的异常的步骤;
-向监督该网络以便分析由该网络装置检测到该异常的安全操作中心发送通知该异常的通知消息的步骤,该通知消息包括由该网络装置获得的所述流量特征以及表示该网络装置的约束的至少一条信息。
出于信息目的,也可以通知安全操作中心,以便允许安全操作中心保持关于网络及其最新遭受的攻击的统计数据。
因此,在一个特定实施例中,该处理方法还包括,如果在该处理步骤中该网络装置检测到针对连接到该网络的用户设备和/或针对网络元件的网络攻击,则向监督该网络的安全操作中心通知该检测到的攻击的步骤。
在本发明的一个特定实施例中,该处理方法、该监督方法和/或该通知方法由计算机实施。
本发明还针对记录介质上的第一计算机程序,该程序能够在根据本发明的计算机中或者更一般地在网络装置中实施,并且包括适合于实施如上文描述的处理方法的指令。
本发明还针对记录介质上的第二计算机程序,该程序能够在根据本发明的计算机中或者更一般地在安全操作中心中实施,并且包括适合于实施如上文描述的监督方法的指令。
本发明最后涉及记录介质上的第三计算机程序,该程序能够在根据本发明的计算机中或者更一般地在用户设备中实施,并且包括适合于实施如上文描述通知方法的指令。
这些程序中的每个程序可以使用任何编程语言,并且可以是源代码、目标代码、或在源代码与目标代码之间的中间代码的形式,如呈部分编译的形式、或呈任何其他期望的形式。
本发明还针对能够被计算机读取并且包括上述第一、第二或第三计算机程序的指令的信息介质或记录介质。
该信息或记录介质可以是能够存储程序的任何实体或装置。例如,该介质可以包括存储装置,如ROM(例如,CD ROM或微电子电路ROM),或者磁记录装置(例如,硬盘或闪速存储器)。
此外,该信息或记录介质可以是如电信号或光信号的可传输介质,其可以经由电缆或光缆、通过无线电链路、通过无线光链路或通过其他装置被路由。
具体地,可以从互联网网络下载根据本发明的程序。
作为替代方案,每个信息或记录介质可以是并入了程序的集成电路,该电路被设计成执行或用于执行根据本发明的通信方法或根据本发明的选择方法。
在其他实施例中,还可以设想根据本发明的处理方法、通知方法、监督方法、网络装置、用户设备、安全操作中心和监测系统具有所有或一些上述特征的组合。
附图说明
本发明的其他特征和优点将在以下参考附图所给出的描述中变得显而易见,这些附图展示了本发明的没有任何限制性质的一个示例性实施例。在附图中:
[图1]图1在其环境中示出了在一个特定实施例中的根据本发明的监测系统;
[图2]图2示出了在一个特定实施例中的根据本发明的通知方法的主要步骤;
[图3]图3示出了在一个特定实施例中的根据本发明的处理方法的主要步骤;以及
[图4]图4示出了在一个特定实施例中的根据本发明的监督方法的主要步骤。
具体实施方式
图1在其环境中展示了在一个特定实施例中的根据本发明的用于监测通信网络NW的监测系统1。
在图1中设想的示例中,网络NW是5G(第五代)通信网络,其包括网络的用户设备能够经由例如蜂窝移动接入网等接入网连接到的核心网CN。然而,这些假设不是限制性的,并且本发明适用于其他类型的网络,例如2G、3G或者甚至4G网络。
以本身已知的方式,如网络NW等5G网络为多种用户设备(本文通常引用为UE)提供了受益于连接性(即被“连接”)的选项:交通工具(例如陆地交通工具或飞机);如传感器、手表等IoT(表示“物联网”)对象;如智能手机、数字平板电脑、膝上型计算机等智能终端。这些用户设备具有高度多样化的性质,允许其用户访问同样高度多样化的服务,并且因此可以具有不同的硬件和网络约束。
因此,例如,与计算机或交通工具相比,如传感器的连接对象具有相对少量的存储、计算和能量资源。
这些用户设备UE中的每个UE经由接入网的接入点连接到网络NW,该接入点在后文中通常引用为AP。根据设想的接入网,这种接入点可以是基站BS、eNodeB节点、gNodeB节点等。在本发明的意义上,这是接入网的装置,更确切地说是网络NW的装置。
如上所述,为了有效地保护5G网络NW免受网络攻击(入侵、病毒等),本发明提出了一种分层方法,根据该方法,考虑到属于这些不同级别的设备的约束,在多个级别上执行异常和入侵(或攻击)检测。更具体地,本发明提出,在用户设备UE中(被称为“局部”的级别)、在网络NW设备中(在图1设想的示例中,具体地在接入点AP中)(被称为“全局”的级别)以及在监督网络NW的安全操作中心SOC中(被称为“中央”的级别)实施适合于这些设备中的每个设备中可用资源的入侵和/或异常检测技术,并且当执行这些技术时,考虑位于一个或多个较低级别上的设备的约束。这种约束具体地可以是资源方面的约束(例如,存储器、存储或者甚至计算能力),网络性能方面的约束(如等待时间、数据速率、处理所提供信息的时间、所提供的剩余信息量等约束),或者安全性方面的约束(如攻击检测率或假阳性率等)。
因此,在图1中设想的示例中,连接到网络NW的用户设备UE和这些用户设备用来接入网NW的接入点AP分别是根据本发明的用户设备和网络NW装置。更具体地,每个用户设备UE嵌入所谓的“局部”入侵检测代理(L-IDA),该L-IDA包括被配置成实施根据本发明的通知方法的步骤的装置;每个接入点AP类似地嵌入所谓的“全局”入侵检测代理(G-IDA),该G-IDA包括被配置成实施根据本发明的处理方法的步骤的装置。
在一个变体实施例中,只有一些用户设备UE和/或接入点AP分别嵌入了L-IDA和G-IDA代理。
此外,监督网络NW的安全操作中心SOC也根据本发明,并且在这种情况下嵌入所谓的“中央”入侵检测代理(C-IDA),该C-IDA包括被配置成实施根据本发明的监督方法的装置。应当注意,在一个特定实施例中,安全操作中心SOC还可以监督除了网络NW之外的网络。
更具体地,安全操作中心SOC监督和管理网络NW(以及可能的其他网络)的安全。为此,该安全操作中心基于各种收集工具、事件关联工具、用于分析网络上的活动的工具以及形成这些工具的各种设备(例如数据库、应用程序、服务器、用户设备等)以及分析师和安全专家的专业知识;该安全操作中心也可以具有远程干预装置。
在本文描述的实施例中,根据本发明的通知、处理和监督方法分别在L-IDA、G-IDA和C-IDA代理内通过软件和/或硬件部件来实施,这些软件和/或硬件部件定义了适当配置的各种功能模块,以便实施上述方法的步骤(具体地针对L-IDA代理的检测、发送和接收模块;具体地针对G-IDA代理的接收、获得、处理和确定模块;以及具体地针对C-IDA代理的接收、处理和确定模块)。这些功能模块可以在每个IDA代理中分组在一起,在三个更一般的模块类别内,具体地:
-监测模块;
-异常和/或攻击检测模块;以及
-干预或响应模块。
上述软件部件可以集成到根据本发明的计算机程序中。根据本发明的用户设备UE、接入点AP和/或安全操作中心SOC可以例如具有计算机的硬件架构,并且具体地包括处理器、随机存取存储器、只读存储器、非易失性闪速存储器以及包括一个或多个通信接口的通信装置。在本文描述的实施例中,计算机的只读存储器是根据本发明的记录介质,能够被处理器读取并且其上记录有根据本发明的计算机程序,该计算机程序根据考虑中的设备包括用于实施根据本发明的通知方法的指令(如果考虑中的设备是用户设备),根据本发明的处理方法(如果考虑中的设备是接入点或者更一般地是网络装置)和监督方法(如果考虑中的设备是安全操作中心)。
应当注意,在另一个实施例中,其他网络NW装置,并且具体地位于核心网CN中的装置,可以如上所述嵌入G-IDA代理,并实施根据本发明的处理方法。
现在将参考图2至图4给出在一个特定实施例中分别由每个用户设备UE、每个接入点AP和在一个特定实施例中来自图1的安全操作中心SOC实施的通知方法、处理方法和监督方法的主要步骤的描述。
参考图2,在本文描述的实施例中,每个用户设备UE的L-IDA代理被配置成监测去往和来自用户设备UE的传入和传出流量(换句话说,传入和传出数据分组)(步骤E10)。该L-IDA代理还在本文被配置成例如监测去往和/或来自位于其无线电邻域中的其他用户设备的并且其能够接收和侦听的传入和/或传出流量。
为了执行该监测,用户设备UE的L-IDA代理使用监测模块,该监测模块被配置成通过分析去往和来自被监测设备的传入和传出数据分组来获得经由网络NW交换的一定数量的流量特征,例如与交换的分组相对应的协议或服务的类型、通信的持续时间、失败连接的数量、丢失分组的数量等。监测模块可以直接从交换的数据分组中提取一些特征(例如与交换的分组相对应的协议或服务的类型或通信的持续时间);其他特征可以通过计算获得,例如丢失分组的数量、接收信号强度、分组的发送速率、两个连续分组之间的持续时间(也称为“抖动”)等。当检测网络中的入侵时,这些不同的流量特征常规地被收集,并且获得这些特征的方式对于本领域技术人员来说是已知的,并且在本文中不再详细描述。
然而,应当注意,根据本发明,可以基于嵌入了L-IDA代理的用户设备UE的约束来选择和设定由L-IDA代理的监测模块收集的特征。因此,如果该用户设备只有少量计算和/或存储资源,则监测模块可以收集少量仔细选择的特征,和/或限制需要计算的特征。
监测模块收集的各种流量特征被提供给L-IDA代理的异常和/或网络攻击检测模块。L-IDA代理的该检测模块将该检测模块已配置有的各种安全规则应用于所提供的各种流量特征,从而允许该检测模块识别被监测的流量中异常的存在(例如,通过将某些特征与预定义的警报阈值进行比较)和/或与网络攻击有关的恶意行为。为此,该检测模块具体地实施了网络攻击检测算法(也称为入侵检测算法)。
各种攻击检测算法可以由L-IDA代理实施,例如基于网络攻击签名的检测算法,或者基于机器学习的检测算法。
基于网络攻击签名的检测算法依赖于对传入和传出网络流量的分析:通过预先建立的安全规则,将交换的数据分组与表示已知网络攻击的签名库进行比较。安全规则由专家定义,并且可以基于新攻击的发现、新签名的发现等随着时间的推移而更新。这种算法本身是已知的,并且描述于以下文档中:例如J.Ma等人,名称为“Detecting DistributedSignature-based Intrusion:theCase of Multi-Path Routing Attacks[检测基于分布式签名的入侵:多路径路由攻击的案例]”,IEEE Infocom[IEEE国际计算机通信会议],第558-566页,2015。
基于机器学习的检测算法通常比基于签名的算法更复杂,但是具有更好的检测率和更低的假阳性率。基于机器学习的检测算法可以分为三个类别:监督算法、非监督算法和强化算法。这种算法更详细地描述于以下文档中:P.V Klaine等人,名称为“A Survey ofMachine Learning Techniques Applied to Self-Organizing Cellular Networks[应用于自组织蜂窝网络的机器学习技术的调查]”,IEEE Communications Surveys&Tutorials[IEEE通信调查和专题报告],第19卷,第4期,第2392-2431页,2017。
根据本发明,基于嵌入了L-IDA代理的用户设备UE的约束,并且具体地基于其硬件约束(可用硬件资源、能量消耗方面的约束等)、其网络限制(低等待时间等)和/或其安全约束(攻击检测率、假阳性率等)作出在L-IDA代理中应用这些攻击检测技术中的一种或另一种技术的选择。
因此,例如对于如传感器的用户设备UE,L-IDA代理优选地在计算资源方面应用简单且低消耗的算法,如基于搜索预先提供给用户设备并存储在其存储器之一中的预定网络攻击签名和/或预定安全规则的检测算法。如果用户设备UE具有有限的存储资源,则只有少量签名和/或安全规则被存储在用户设备UE中,典型地最能表示已知网络攻击(换句话说,这些攻击是最常遇到的)并且易于影响这种类型的用户设备的签名。
因此,不仅所应用的检测算法的类型可以根据用户设备而不同,而且为了实现在用户设备的约束与所提供的安全级别之间的折衷,该算法的参数化也可以不同。由于这种算法的复杂性,因此将例如避免在计算和存储资源方面具有主要约束的用户设备(如传感器)中应用非监督机器学习算法或强化算法。
另一方面,在如移动终端等用户设备中,由于移动终端的能量消耗和存储方面的约束不是太大,因此可以设想应用轻量的(即,不太复杂)监督机器学习算法对存储在用户设备UE中的已知攻击进行建模,例如基于各种行为属性(例如,删除的分组数量、发送的分组数量等)使用支持向量机(或SVM)的行为检测算法。
在如交通工具等用户设备中,可以考虑如无监督机器学习算法或强化算法等更鲁棒的机器学习算法。然而,训练持续时间(本发明意义上的检测算法的参数)可以基于用户设备和其网络约束、具体地基于由用户设备支持的等待时间而变化。
下面的表1展示了应用于用户设备的在硬件、网络和安全约束与异常和/或攻击检测模块的设想配置之间的折衷的一些示例。
[表1]
Figure BDA0003304108220000151
Figure BDA0003304108220000161
如果L-IDA代理没有检测到任何异常(步骤E20中的否响应),其将继续监测网络NW上交换的流量。应当注意,优选地,流量的主动监测(即,连续监测)由L-IDA代理实施。然而,这种监测可以由用户设备UE根据上下文而暂时中止(例如切换到待机模式)或明确中止,具体地如果在例如网络安全专家认为网络NW中不存在攻击风险的情况下。
如果L-IDA代理在流量中检测到异常(步骤E20中的是响应),则可能出现两种情况(测试步骤E30):
-L-IDA代理能够自行管理该异常(测试步骤E30中的是响应),换句话说,L-IDA代理的检测模块已经识别出该异常与L-IDA代理知道如何处理的网络攻击有关(例如,异常与检测模块知道的网络攻击的签名相对应,并且L-IDA代理被配置有适当的处理操作来应用以响应该攻击),或者L-IDA代理的检测模块已经确定其检测到的异常与网络的正常行为有关:在这种情况下,L-IDA代理自行处理检测到的异常(步骤E40),具体地,如果该异常与攻击有关,则L-IDA代理经由其干预模块应用其已配置有的处理操作来响应检测到的攻击,并且如果涉及网络NW的正常行为,则L-IDA代理什么都不做并且继续监测流量。应当注意,干预模块响应于检测到的攻击而应用的处理操作可以取决于用户设备UE的类型和/或检测到的攻击的性质(典型地攻击的严重性)。因此,例如,如果用户设备UE是自主交通工具,则由干预模块实施的对攻击的响应可以包括降低交通工具的速度,以避免影响交通工具的严重损坏(例如,碰撞交通工具,改变其速度);另一响应可以是将用户设备UE与网络NW断开连接,或者将其关闭等。优选地,用户设备UE经由其干预模块,通知其连接到的网络NW的接入点AP,在适用的情况下,通过告知该用户设备该攻击的性质和允许该用户设备检测到的流量特征来检测攻击。这允许网络NW装置更新其检测统计数据,并且进而向监督中心SOC通知检测到的攻击。所述监督中心然后可以基于检测到的攻击来决定除了由用户设备UE应用的动作之外的动作。作为变体,用户设备UE可以直接向监督中心SOC通知其已经检测到的攻击;
-L-IDA代理不能自行管理该异常(测试步骤E30中的否响应),换句话说,L-IDA代理不知道如何推断其检测到的异常的性质,并且不能确定检测到的异常是对应于网络的正常行为还是网络攻击:在这种情况下,L-IDA代理的干预模块被配置成向配备有G-IDA模块的网络NW装置发送警报消息(本文称为ALERT),具体地,在这种情况下,发送到其连接到的接入点AP以接入网NW(步骤E50)。该警报消息经由用户设备UE的通信接口发送。
在适用的情况下,由L-IDA代理的干预模块发送的警报消息ALERT通知接入点AP,并且更具体地,通知其G-IDA代理由用户设备UE的L-IDA代理检测到的异常,使得所述接入点对该异常执行更深入的分析。警报消息ALERT包括允许L-IDA代理检测异常(也就是说与该异常相关联)的流量特征,并且根据本发明,还包括表示用户设备UE的至少一个约束(例如硬件、网络、安全性等)的至少一条信息。应当注意,为了向接入点AP和/或监督中心SOC通知其已经检测到的攻击,在适用的情况下(参见上文),用户设备UE也可以使用消息ALERT。
表示用户设备的所述至少一个约束的所述至少一条信息可以采取各种形式,具体地取决于由用户设备UE用信号发送的一个或多个约束的性质。
在本文描述的实施例中,用户设备UE的L-IDA代理的干预模块针对其拥有的所有或一些约束来评估阈值函数,通常表示为TFx(UE):例如,针对其在能量消耗方面的约束的阈值函数TFe(UE),针对其在存储方面的约束的阈值函数TFm(UE),以及针对其在等待时间方面的约束的约束TFl(UE)。在这种情况下,这些阈值函数表示级别,并且具有介于0与1之间的值。这些阈值函数分别表示接入点AP的G-IDA代理为使用户设备UE检测攻击而必须遵守的最大能量、存储器和等待时间级别。这些阈值函数反映了用户设备在能量消耗、存储和等待时间方面的约束,接入点、并且具体地G-IDA代理必须考虑这些约束。
更具体地,在本文描述的实施例中,用户设备UE的L-IDA代理的干预模块计算以下三个线性阈值函数的值:
TFe(UE)=a1.Te(UE)[1-E(UE)/Etot(UE)]+b1
TFm(UE)=a2.Tm(UE)[1-M(UE)/Mtot(UE)]+b2
TFI(UE)=a3.TI(UE)[1-L(UE)/Ltot(UE)]+b3
其中,E(UE)表示在用户设备UE中用于检测攻击而在考虑中的时间t处消耗的能量,并且Etot(UE)表示用户设备UE中专用于检测攻击的总能量,M(UE)表示用户设备UE在时间t处消耗的用于检测攻击的存储器,并且Mtot(UE)表示用户设备UE中专用于检测攻击的总存储器,L(UE)表示在用户设备UE中通过攻击检测而在时间t处引入的等待时间,并且Ltot(UE)表示在用户设备UE中能够支持的用于检测攻击的最大等待时间。应当注意,选择考虑中的时间t来反映用户设备UE在能量和存储器方面的消耗的当前状态以及在用户设备UE中引入的当前等待时间;这可以是例如函数TFe(UE)、TFm(UE)和TFl(UE)的评估时间或者用户设备UE检测到异常的时间。
值Te(UE)、Tm(UE)和Tl(UE)被设置为同样介于0与1之间的实值:这些值是特定于每个用户设备UE的级别,并且用户设备UE可能已经预先配置了这些级别(例如,由其制造商静态配置或由网络NW运营商动态配置)。这些值Te(UE)、Tm(UE)和Tl(UE)分别定义了能够在用户设备UE中分配来检测攻击的最大能量、存储器和等待时间阈值,考虑了用户设备UE为此目的所拥有的总能量、存储器和等待时间。例如,如果用户设备UE中专用于检测攻击的总能量为Etot(UE)(UE)=100J(焦耳),并且用户设备UE在检测异常期间消耗的能量为E(UE)=25J(焦耳),则Te(UE)=85%(或0.85)意味着75J(即100J-25J)中的85%仍可以分配给用户设备UE来检测攻击。
因子a1、a2、a3、b1、b2和b3是选择介于0与1之间的实际加权因子,以保证函数TFe(UE)、TFm(UE)和TFl(UE)的值介于0与1之间。这些因子可以通过实验或专业知识确定。本文引入这些因子是为了反映考虑中的用户设备UE的能量消耗、存储和等待时间约束的重要性,并且可以根据其选择,使得这些约束能够相对于彼此分层。因此,如果能量消耗约束是考虑中的用户设备UE的主要约束,则因子a1被选择为大于因子b1,并且优选地趋向于1,而因子b1趋向于0。相比之下,如果用户设备UE在能量消耗方面仅具有相对较低的约束,则a1可以被选择为趋向于0,而b1趋向于1。应当注意,如果用户设备UE在能量消耗方面没有任何约束,则在这种情况下可以采用a1=b1=Te(UE)=0。
考虑到能量消耗、存储和等待时间约束是在用户设备中遇到的最常见的约束,由用户设备UE评估和提供的三个阈值函数TFe(UE)、TFm(UE)和TFl(UE)的该示例仅通过说明的方式给出。作为变体,除了上述约束之外或作为上述约束的替代,可以设想其他约束(例如硬件、网络和/或安全性)。这些约束还可以采用不同于阈值函数TFe(UE)、TFm(UE)和TFl(UE)的形式(例如,可以具有a1=a2=a3=1和b1=b2=b3=0)。
用户设备UE的L-IDA代理的干预模块将函数TFe(UE)、TFm(UE)和TFl(UE)的计算值插入到发送到接入点AP的消息ALERT中,并且将E(UE)、Etot(UE)、M(UE)、Mtot(UE)、L(UE)和Ltot(UE)的值例如插入到消息的为此目的提供的字段中。在本发明的意义内,这些值是表示用户设备UE的约束的信息。
作为变体,用户设备UE的L-IDA代理的干预模块可以在发送到接入点的消息ALERT中插入值E(UE)、Etot(UE)、M(UE)、Mtot(UE)、L(UE)和Ltot(UE)、Te(UE)、Tm(UE)和Tl(UE)以及加权因子a1、b1、a2、b2、a3、b3,并且是接入点AP基于用户设备UE提供的信息来评估函数TFe(UE)、TFm(UE)和TFl(UE)。在又另一变体中,加权因子a1、b1、a2、b2、a3、b3可以由接入点AP从数据库访问,并且可以不由用户设备UE在消息ALERT中提供。
作为变体,表示用户设备UE的约束的信息可以采取其他形式。例如,用户设备UE可以在消息ALERT中指定其所属的设备类型的指示符,该指示符与接入点AP可访问的预填充数据库中的这种类型的用户设备的一个或多个约束相关联。
参考图3,在接入点AP从用户设备UE接收到警报消息ALERT时(步骤F10),接入点AP的G-IDA代理激活其异常和攻击检测模块(步骤F20)。
接入点AP的模块提取流量特征,这些特征由用户设备UE收集并且与所述用户设备已经从接收到的消息ALERT中检测到的异常相关联(步骤F30)。
该模块还从接收到的警报消息ALERT中获得表示消息来源处的用户设备UE的约束的信息(步骤F30)。
在本文描述的实施例中,该信息是由用户设备插入到消息ALERT中的阈值函数TFe(UE)、TFm(UE)和TFl(UE)的值以及E(UE)、Etot(UE)、M(UE)、Mtot(UE)、L(UE)和Ltot(UE)的值。
作为变体,如上所述,接入点AP的G-IDA代理可以通过将包含在此消息中的消息ALERT来源处的用户设备UE类型的指示符与该类型的用户设备受到的存储在例如接入点AP可访问的数据库中(位于或不位于网络NW中)的约束进行比较来获得该信息。
然后,基于由此识别的用户设备UE的约束来配置异常和攻击检测模块(步骤F40)。该配置具体地包括选择适合于用户设备UE的约束的攻击检测算法和/或适合于这些约束的由检测模块应用的攻击检测算法的参数化。
应当注意,检测模块使用的攻击检测算法也适合于接入点AP的约束。然而,由于接入点位于网络NW中,因此其约束、至少其硬件约束通常不如用户设备UE的那些约束重要(具体地,在能量消耗、存储或者甚至计算方面)。接入点AP因此可以应用比用户设备UE所应用的攻击检测算法更复杂和更鲁棒的攻击检测算法,从而在攻击检测率和/或假阳性率方面表现出更好的性能。
通过示例的方式,当配置检测模块时,如果用户设备UE在等待时间方面具有高的或者甚至超高的约束(基于TFl(UE).[Ltot(UE)-L(UE)]的值来估计,例如通过与阈值进行比较),则可以选择快速执行的检测算法。这种算法可以是基于签名的算法,针对该算法的考虑中的签名的数量是基于用户设备能够支持的最大等待时间(由TFl(UE).[Ltot(UE)-L(UE)]的值给出)来选择的,或者作为变体,基于TFl(UE).[Ltot(UE)-L(UE)]的值给出的最大等待时间而参数化的基于机器学习的检测算法。这种参数化的一个示例包括例如基于值TFl(UE).[Ltot(UE)-L(UE)]来确定训练的持续时间,以符合由用户设备UE支持的该最大等待时间值,同时仍然保证用户设备UE的可接受的安全级别(例如,在检测率或假阳性率方面)。参数化值可以预先通过实验来确定,以满足例如一系列预定义的折衷,并且允许G-IDA代理快速选择在安全性、网络约束和用户设备UE的硬件资源方面适合于约束的参数。
然后,G-IDA代理的检测模块使用适当配置的检测算法来处理从接收到的消息ALERT中提取的流量特征(步骤F50)。
应当注意,在此处理期间,检测模块还可以使用由接入点AP收集的或者由连接到接入点AP的其他用户设备反馈的流量特征,或者由例如位于其邻域内并且能够与之通信的网络NW的其他接入点AP收集的特征。因此,该检测模块能够汇总大量收集的特征,并且增强所实施的检测的鲁棒性。有利地,与单独的每个用户设备UE相比,接入点AP受益于对经由网络NW交换的流量的更好的可见性。
此外,应当注意,局部检测也可以由接入点AP基于接入点AP收集的特征经由其检测模块独立实施,以检测网络NW中出现的异常。因此,接入点AP执行两种检测级别:基于由接入点AP自身收集的流量特征对异常和攻击进行局部检测,并且基于由此收集的特征对用户设备UE反馈的异常进行攻击检测。对于基于由接入点AP自身收集的流量特征对异常和攻击的局部检测,接入点AP的检测模块被配置成考虑其自身的约束。作为变体,接入点AP可以配备有两个独立的检测模块,一个旨在作用于由用户设备UE反馈并且基于上文描述的用户设备UE的约束进行配置的流量特征,另一个旨在作用于由接入点AP局部收集并且基于该接入点AP的约束进行配置的流量特征。
取决于由G-IDA代理的检测模块执行的处理的结果,可能出现各种情况:
-G-IDA代理能够自行管理用户设备UE反馈的异常(测试步骤F60中的是响应),换句话说,G-IDA代理的检测模块已经识别出该异常与G-IDA代理知道如何处理的网络攻击有关(例如,异常与检测模块知道的网络攻击的签名相对应),或者G-IDA代理的检测模块已经确定用户设备UE检测到的异常与网络的正常行为有关。在这种情况下,G-IDA代理自行处理检测到的异常(步骤F70),具体地:
如果该异常与(针对连接到网络的用户设备或针对网络元件的)攻击有关,则该G-IDA代理经由其干预模块准备针对用户设备UE的响应,以允许其对该攻击做出响应。下面更详细地描述确定响应的方式。此外,在本文描述的实施例中,G-IDA代理的干预模块向监督网络NW的安全操作中心SOC发送通知检测到的攻击的通知消息。该消息(其可以是上文描述的消息ALERT或另一通知消息)旨在向安全操作中心SOC警报正在进行的攻击,使得该安全操作中心更新其在网络NW上拥有的信息和针对该网络实施的攻击,并且因此丰富该安全操作中心监督的一个或多个网络上的数据库和统计数据。该消息可以包含与检测到的攻击相关联并且由用户设备UE收集的流量特征,还可以包含例如由接入点收集的其他类型的信息。安全操作中心还可以就检测到的攻击的管理以及为了减轻该攻击可以实施的一个或多个动作做出决定:在黑名单上注册用户设备UE或者更一般地一个或多个疑似受到攻击的目标,更新密钥,在受影响区域部署IDA代理等;
如果涉及网络NW的正常行为,则在本文描述的实施例中,G-IDA代理的干预模块什么都不做,即不响应用户设备UE以维持与其交换的信令及其用于处理响应的资源;干预模块也不向安全操作中心通知用户设备UE反馈的异常。作为变体,如果用户设备UE检测到的异常与网络NW的正常行为有关,则G-IDA代理的干预模块通过向用户设备UE用信号发送该正常行为来响应该用户设备;
-G-IDA代理不能自行管理该异常(测试步骤F60中的否响应),换句话说,G-IDA代理不知道如何推断用户设备UE已经检测到的异常的性质,并且具体地,其不能确定检测到的异常是对应于网络NW的正常行为还是网络攻击:在这种情况下,G-IDA代理的干预模块被配置成向监督网络NW的安全操作中心SOC发送警报消息ALERT,用于异常的附加分析(步骤F80)。该警报消息经由接入点AP的通信接口发送。
当G-IDA代理的检测模块基于用户设备UE反馈的异常而检测到攻击时,由G-IDA代理的干预模块检测到的攻击的处理以及对用户设备UE做出的关于其已经检测到并反馈的异常的响应取决于多个参数,如具体地攻击的性质和严重性、期望保护免受该攻击的目标等。
此外,根据本发明,G-IDA代理的干预模块基于该用户设备UE的约束来确定(即创建)其对用户设备UE做出的关于其已经检测到的异常的响应。
这种响应可以包括例如在对用户设备UE的响应消息中发送新的签名和/或新的攻击属性(取决于用户设备UE的L-IDA代理使用的检测算法),在后文中称为FEEDBACK,这些新的签名和/或新的攻击属性旨在被用户设备UE应用,以能够检测由G-IDA代理检测到的类型的攻击。这些新的签名(例如用于基于签名的检测算法)和/或这些新的属性(例如用于基于机器学习的行为检测算法)可以是例如由G-IDA代理的检测模块在适用的情况下使用或考虑的用于检测攻击的签名和/或属性。作为变体,这些签名和/或属性可能已经由外部IDS(入侵检测系统)实体提供给G-IDA代理,例如由安全操作中心SOC提供。
消息FEEDBACK中提供的签名和/或属性的数量可以由G-IDA代理的干预模块基于用户设备UE的约束来设定。
为此,在本文描述的实施例中,G-IDA代理的干预模块评估表示为EF(UE)的介于0与1之间的效率函数,并且由以下加权和定义:
EF(UE)=E[a4.AD(UE)-b4.TF(UE)]
其中,E[]表示数学期望,a4和b4是介于0与1之间的实加权因子并且考虑例如攻击检测率方面的约束和用户设备的其他约束通过实验确定,AD(UE)表示用户设备UE的L-IDA代理的攻击检测能力(或效率),并且:
TF(UE)=(Te(UE)+Tm(UE)+TI)(UE)/(TFe(UE)+TFm(UE)+TFI(UE))
用户设备UE的L-IDA代理的攻击(或新攻击)检测能力可以由G-IDA代理的干预模块基于由用户设备UE反馈的异常数量(用户设备UE不能就其推断是攻击还是正常行为)与由G-IDA代理的检测模块从这些异常中检测到的攻击数量之比的倒数来评估。
作为变体,可以评估用户设备UE的L-IDA代理的攻击检测能力,以同样考虑用户设备UE检测到的假阳性率。
应当注意,TF(UE)可能已经被用户设备UE计算出并且因此在发送到接入点AP的消息ALERT中被反馈(代替或除了TFe(UE)、TFm(UE)和TFl(UE)的值之外)。
借助于效率函数EF(AP),基于在用户设备UE执行的检测的效率与该用户设备UE的硬件/网络/安全约束之间选择的折衷,G-IDA代理的干预模块能够使其响应适应于用户设备UE。通过选择加权因子a4和b4,可以更加强调效率或约束。
更具体地,在本文描述的实施例中,基于效率函数EF(AP)所取的值,G-IDA代理的干预模块响应于由此检测到的异常而调整发送到用户设备UE的签名的数量N和/或属性的数量(取决于用户设备UE的L-IDA代理所使用的检测算法)。例如:
-如果0.7≤EF(AP)≤1:干预模块向用户设备UE发送G-IDA代理在消息FEEDBACK中已知/获得的攻击的所有新签名(在这种情况下,重点放在期望改进的用户设备UE的攻击检测能力上);
-如果0.1≤EF(AP)<0.7:干预模块仅向用户设备UE发送G-IDA代理在消息FEEDBACK中已知/获得的攻击的新签名和/或新属性的子集。发送的新签名和/或新属性的数量例如被认为是等于(AD/x)*100,其中x表示用户协议UE支持并且由此提供(例如在消息ALERT中)的最大成本因子。该成本因子在本文中从值{2,3,4,5}中选择;
-如果EF(AP)<0.1:干预模块不向用户设备UE发送任何新的签名或任何新的属性。然而,该干预模块可以在消息FEEDBACK中向用户设备用信号发送由此检测到的异常确实与网络攻击有关,使得该用户设备能够采取适当的动作。
考虑到对用户设备UE的约束来确定对该用户设备做出的响应的该示例仅仅是通过说明的方式给出的,并且其本身不是限制性的。因此,所确定的响应可以考虑其他约束,例如通信开销方面的约束,并且签名/属性的数量可以基于该开销而变化。当然,在适当的情况下,除了包含新签名和/或新属性的响应之外,还可以向用户设备UE发送其他类型的响应:这些响应具体地可以包括允许其重新配置自身以对检测到的攻击更加鲁棒的更新信息,或者用户设备UE响应于检测到的攻击而要实施的一个或多个动作,这些一个或多个动作已经由G-IDA代理在给定用户设备UE的约束(并且具体地其性质)的情况下确定等。
除了考虑上述效率函数EF(AP)之外,还可以设想确定对用户设备UE做出的响应的其他方式。例如,G-IDA代理的干预模块可以直接将函数AD(UE)和TF(UE)的值相互比较。
参考图2,用户设备UE接收到消息FEEDBACK(步骤E60中的是响应),并且所述用户设备经由其干预模块应用包含在消息中的动作。因此,通过说明的方式,如果消息FEEDBACK包含一个或多个新签名,则用户设备UE的L-IDA代理配置干预模块以使其在未来的实施方式中应用这些新签名。
参考图3,如上所述,如果G-IDA代理不能决定由用户设备UE反馈的异常,则在步骤F80,G-IDA代理的干预模块向安全操作中心SOC发送警报消息ALERT。该警报消息ALERT向安全操作中心SOC通知由用户设备UE检测到的异常,并且包括由用户设备提供的并且与检测到的异常相关联的流量特征。该警报消息还包括表示接入点AP的约束的至少一条信息。
例如,如果接入点AP在等待时间方面有约束(例如,利用上文为用户设备UE引入的调换到接入点AP的符号,它支持最大等待时间Tl(AP).[L(AP)-Ltot(AP)),在本文描述的实施例中,该信息是由接入点AP计算并且由下式定义的阈值函数TF(AP)的值:
TF(AP)=TI(AP)/TFI(AP)
其中TFl(AP)=a5.Tl(AP).[1-L(AP)/Ltot(AP)]+b5,其中a5和b5是介于0与1之间的实加权因子,能够通过实验确定和选择以保证TFl(AP)的值介于0与1之间。
当然,该示例仅通过说明的方式给出,并且其本身不是限制性的。如果所述网络装置位于接入网或网络NW的核心网等中,则考虑中的约束取决于考虑中的嵌入G-IDA代理的网络装置。如上所述,本发明不限于在接入网到网络NW的接入点中嵌入G-IDA代理;这种代理可以嵌入到其他网络NW装置中,具体地灵敏的网络元件中,例如服务器中、核心网CN中、边缘服务器中等。下面的表2展示了能够嵌入根据本发明的G-IDA代理的网络装置以及在这些装置中遇到的约束(本质上是网络和安全约束)、以及能够通过其检测模块在这些装置中实施的检测算法的一些示例。上文已经描述的以及下文参考接入点AP的G-IDA代理描述的所有内容都适用于并入这种G-IDA代理的每个网络装置。因此,对于用于管理网络订户的管理平台的服务器SERV,函数TF(SERV)可以是考虑到级别TF1(SERV)的加权和,而且可以是与服务器必须遵守的数据速率相对应的级别和与其带宽相对应的级别。
[表2]
Figure BDA0003304108220000251
应当注意,如果接入点AP的G-IDA代理基于其自身经由其监测模块局部收集的特征检测到异常,并且不能决定该异常(也就是说,确定它是网络NW的攻击还是正常行为),则类似的警报消息ALERT由该G-IDA代理的干预模块发送。然后被发送到安全操作中心SOC、用于对由G-IDA代理的检测模块检测到的异常进行附加分析的警报消息ALERT包括由G-IDA代理的监测模块收集的特征,以及表示接入点AP的约束的信息TF(AP)、L(AP)和Ltot(AP)(在本文设想的示例中为等待时间方面的约束)。
如果G-IDA代理能够确定其在局部检测到的异常,该G-IDA代理将以类似于上文针对L-IDA代理所描述的方式来处理该异常。换句话说,如果该异常与攻击有关,则G-IDA代理经由其干预模块应用其已配置的处理操作,以响应检测到的攻击并向安全操作中心通知检测到的攻击,并且如果该异常涉及网络NW的正常行为,则G-IDA代理将什么都不做并且继续监测流量。应当注意,干预模块响应于检测到的攻击而应用的处理操作可以取决于考虑中的嵌入G-IDA代理的网络装置的类型和/或检测到的攻击的性质(典型地攻击的严重性)。
参考图4,假设安全操作中心SOC从网络NW装置(例如接入点AP)接收消息(步骤H10)。
可能会出现多种情形:
-情形(I):接收到的消息是向安全操作中心SOC通知由连接到接入点AP(或由其管理)的用户设备UE检测到异常的消息ALERT,用户设备和接入点AP都不能决定该异常,换句话说,不能确定该异常是与网络NW和与其连接的用户设备的攻击有关的异常还是与其正常行为有关的异常;
-情形(II):该消息是向安全操作中心SOC通知由接入点AP检测到的接入点AP不能决定的异常的消息ALERT;
-情形(III):该消息是通知由用户设备或网络NW的接入点AP检测到的攻击的通知消息。
在情形(I)中,接收到的消息ALERT包含与用户设备UE检测到并由此收集的异常相关联的流量特征。该消息还包含表示接入点AP的约束的至少一条信息(例如,由上文描述的值TF(AP)给出的等待时间约束)。
然后,基于表示接入点的约束的所述至少一条信息来配置嵌入在安全操作中心SOC中的C-IDA代理的检测模块(步骤H20)。该配置具体地包括选择适合于接入点AP的约束的攻击检测算法和/或适合于这些约束的由检测模块应用的攻击检测算法的参数化。
应当注意,安全操作中心对它所监督的一个或多个网络具有整体视图,并且可以说在存储、能量消耗或计算能力方面没有任何硬件约束。因此,安全操作中心能够应用比用户设备UE所应用的和接入点AP所应用的攻击检测算法更复杂和更鲁棒的攻击检测算法(例如,基于深度学习的检测算法、非监督算法或强化算法),从而在攻击检测率和/或假阳性率方面表现出更好的性能。安全操作中心还可以受益于分析师和安全专家的专业知识,这些分析师和安全专家可以提供关于检测到的异常的人类意见,例如经由为此目的提供的用户界面,并且使得能够具体地降低检测到的假阳性率。
考虑到接入点AP的约束,由检测模块应用的检测算法可以有利地被参数化。通过示例的方式,如果接入点AP在消息ALERT中提供等待时间约束,并且检测模块使用机器学习算法,则训练的持续时间可以被参数化以符合接入点AP用信号发送的等待时间。
然后C-IDA代理的检测模块使用适当配置的检测算法来处理从接收到的消息ALERT中提取的流量特征(步骤H30)。
应当注意,在该处理期间,该检测模块还可以使用由连接到接入点AP的其他用户设备反馈的流量特征,或者由该检测模块监督的其他接入点AP或其他网络NW装置反馈的特征。因此,该检测模块可以汇总大量收集的特征,并且增强所实施的检测的鲁棒性。
如果在处理与用户设备UE检测到的异常相关联的流量特征之后,C-IDA代理的检测模块检测到攻击的存在(测试步骤H40中的是响应),则C-IDA代理的响应模块基于接入点AP的约束信息确定要传输到接入点AP的关于异常的响应(步骤H50)。
例如,如果该约束是在等待时间方面的约束,则C-IDA代理的干预模块通过向接入点AP用信号发送检测到的攻击(例如在消息FEEDBACK中),并且通过在其响应中插入要由接入点AP和/或用户设备UE实施的至少一个动作以减轻攻击,而在没有延迟的情况下对该接入点做出响应。该动作可以包括例如使用攻击的一个或多个新签名和/或由安全操作中心提供的新属性,或者旨在允许接入点AP检测这种攻击的其他信息。
另一动作可以包括接入点与用户设备断开连接并隔离恶意节点(用户设备或其他网络NW节点),更新密钥、发送给专家的信息、来自受攻击感染区域的通知、向其他运营商的广播、发送给用户设备UE的用户的通知等。
作为变体,如果约束是通信开销约束或带宽约束,则C-IDA代理的干预模块可以基于该约束调节传输到接入点AP的新签名的数量。为了确定要传输的新签名的数量,C-IDA代理的干预模块可以通过基于C-IDA代理的新攻击检测能力AD(SOC)和约束TF(AP)评估效率函数EP(SOC),并且通过基于效率函数EP(SOC)的获得的值调节要传输的签名的数量(x然后表示接入点AP的成本因子,从而包括在例如消息ALERT中),来以类似于上文针对G-IDA代理的干预模块所描述的方式进行。
另一方面,如果C-IDA代理的检测模块确定(例如通过网络专家的中介)检测到的异常与正常行为有关(测试步骤H40中的否响应),则C-IDA代理的干预模块在此不对接入点AP发送的警报消息做出响应(步骤H60)。
参考图3,如果接入点AP从安全操作中心SOC接收到对其关于用户设备UE反馈的异常的消息ALERT的响应消息FEEDBACK(步骤F90中的是响应),则这在此意味着安全操作中心SOC已经基于该异常检测到攻击。接入点AP的G-IDA代理的干预模块从接收到的消息FEEDBACK中提取安全操作中心SOC响应于检测到的攻击而推荐的一个或多个动作,并且在考虑到用户设备UE的约束的情况下基于这一个或多个动作创建对用户设备UE的响应(消息FEEDBACK),如上文描述的(步骤F70)。
如果接入点AP没有接收到对其消息ALERT的任何响应消息FEEDBACK,则这意味着反馈到安全操作中心的异常与用户设备和/或网络NW的正常行为相对应。然后,接入点AP的G-IDA代理的响应模块在此不传输对从用户设备UE接收到的消息ALERT的任何响应,以保留网络和用户设备UE的资源(步骤F100)。作为变体,该响应模块可以向用户设备UE用信号发送由此检测到的异常与正常行为有关。
应当注意,在检测到攻击的情况下,C-IDA代理的干预模块还可以直接向用户设备UE传输消息FEEDBACK,该消息类似于向接入点AP传输的消息。安全操作中心SOC与用户设备UE之间的这种直接通信使得能够增强网络NW内的安全性并且管理接入点AP自身可能遭受攻击的情形。
参考图4,在情形(II)中,接收到的消息ALERT包含与接入点AP局部检测到并由此收集的异常相关联的流量特征。该消息还包含表示接入点AP的约束的至少一条信息(例如,由上文描述的值TF(AP)给出的等待时间约束)。
然后,基于表示接入点的约束的所述至少一条信息以类似于或等同于上文参考步骤H20所描述的方式来配置嵌入在安全操作中心SOC中的C-IDA代理的检测模块(步骤H70)。该配置具体地包括选择适合于接入点AP的约束的攻击检测算法和/或适合于这些约束的由检测模块应用的攻击检测算法的参数化。
然后C-IDA代理的检测模块使用适当配置的检测算法来处理从接收到的消息ALERT中提取的流量特征(步骤H80)。
如果在处理与接入点AP检测到的异常相关联的流量特征之后,C-IDA代理的检测模块检测到攻击的存在(测试步骤H90中的是响应),则C-IDA代理的响应模块基于接入点AP的约束信息确定要传输到接入点AP的关于异常的响应(步骤H100)。为此,该检测模块以类似于或等同于上文针对步骤H50所描述的方式进行。
另一方面,如果C-IDA代理的检测模块确定(例如通过网络专家的中介)检测到的异常与正常行为有关(测试步骤H90中的否响应),则C-IDA代理的干预模块在此不对接入点AP发送的警报消息做出响应(步骤H110)。
参考图3,如果接入点AP从安全操作中心SOC接收到对其消息ALERT的响应消息FEEDBACK,该消息ALERT涉及其已经局部检测到并且反馈到安全操作中心SOC的异常(步骤F90中的是响应),则这在此意味着安全操作中心SOC已经基于该异常检测到攻击。接入点AP的G-IDA代理的干预模块从接收到的消息FEEDBACK中提取安全操作中心SOC响应于检测到的攻击而推荐的一个或多个动作,并且实施这些动作(步骤F70)。这种动作可以包括例如更新由该G-IDA代理的攻击检测模块应用的安全规则(例如签名、检测阈值等)。
如果该G-IDA代理没有接收到对其关于其已局部检测到的异常的消息ALERT的任何响应FEEDBACK(测试步骤F90中的否响应),则这意味着该G-IDA代理检测到的异常与正常行为有关(步骤F100)。接入点AP继续局部监测经由网络NW交换的流量。
参考图4,在情形(III)中,由安全操作中心接收到的通知消息由此用于更新和丰富其所监督的一个或多个网络上的数据库和统计数据(步骤H120)。安全操作中心SOC还可以就检测到的攻击的管理以及为了减轻该攻击可以实施的一个或多个动作做出决定:在黑名单上注册用户设备UE或者更一般地一个或多个疑似受到攻击的目标,更新密钥,在受影响区域部署IDA代理等。在适当的情况下,为了减轻攻击而要执行的一个或多个动作可以被传输到接入点AP和/或用户设备UE,例如在对通知消息的响应消息中。
因此,本发明提出了一种创新的机制,该机制基于入侵检测代理(IDA)在网络的各个级别上的分层部署,该入侵检测代理被配置成彼此协作以提高网络的安全性,并且在这样做的同时允许改进针对该网络的内部和/或外部网络攻击的检测(和减轻攻击)。本发明使得能够可靠且快速地检测网络中的攻击,同时具体地考虑连接到该网络或属于该网络的各种设备的硬件、网络或安全性约束。本发明还使得能够对适当的检测到的攻击提供将这些约束考虑在内的响应。因此,本发明具体地适合于向受到高度多样化约束的各种用户设备提供连接的第五代网络。

Claims (20)

1.一种用于通过网络(NW)装置(AP)处理从连接到该网络的用户设备(UE)接收的警报消息的方法,所述警报消息通知由该用户设备在经由该网络传输的流量中检测到的异常,所述处理方法包括:
-从该警报消息中获得表示该用户设备的至少一个约束的至少一条信息的步骤(F30);
-通过网络攻击检测算法处理由该用户设备提供的并且与该检测到的异常相关联的流量特征的步骤(F50),该网络攻击检测算法基于所述至少一条信息被选择和/或参数化;以及
-基于该处理步骤的结果,并且在检测到网络攻击时基于所述至少一条信息来确定对该用户设备的关于该检测到的异常的响应的步骤(F70)。
2.如权利要求1所述的处理方法,其中,所述至少一条获得的信息表示该用户设备的资源和/或网络性能方面的至少一个约束。
3.如权利要求2所述的处理方法,其中:
-资源方面的约束是能量消耗或可用存储空间约束;
-网络性能方面的约束是等待时间、带宽、数据速率、处理提供给该用户设备的信息的时间或提供给该用户设备约束的剩余信息量。
4.如权利要求1至3中任一项所述的处理方法,其中,该网络攻击检测算法选自以下各项:
-基于网络攻击签名的检测算法;
-基于机器学习的检测算法。
5.如权利要求4所述的处理方法,其中,当在该处理步骤中选择了基于机器学习的检测算法时,考虑用于所述算法的训练持续时间基于所述至少一条信息被参数化。
6.如权利要求1至5中任一项所述的处理方法,其中:
-该处理步骤包括检测针对连接到该网络的用户设备和/或针对网络元件的网络攻击;并且
-该确定步骤包括基于从所述至少一条信息和该用户设备的攻击检测效率得到的至少一个度量来评估称为效率函数的函数,该响应是基于该效率函数的值确定的。
7.如权利要求6所述的处理方法,其中,该确定的响应包括向该用户设备发送包括该攻击的由该网络装置获得的N个签名和/或属性的消息,N表示取决于该效率函数的值的整数。
8.如权利要求7所述的处理方法,其中,N还取决于由该用户设备提供的成本因子。
9.如权利要求7或8所述的处理方法,其中,该攻击的签名和/或属性由该网络装置从监督所述网络的安全操作中心获得。
10.如权利要求1至9中任一项所述的处理方法,包括,如果在该处理步骤中该网络装置不能确定该检测到的异常是对应于正常行为还是网络攻击,则向监督该网络的安全操作中心(SOC)发送警报消息的步骤(F80),该警报消息向该安全操作中心通知由该用户设备检测到该异常,并且包括由该用户设备提供的并且与该检测到的异常相关联的流量特征以及表示该网络装置的约束的至少一条信息。
11.如权利要求1至10中任一项所述的处理方法,还包括:
-由该网络装置从由该网络装置获得的流量特征中检测该网络上传输的流量中的异常的步骤;
-向监督该网络以便分析由该网络装置检测到的异常的安全操作中心(SOC)发送通知该异常的通知消息的步骤,该通知消息包括由该网络装置获得的所述流量特征以及表示该网络装置的约束的至少一条信息。
12.如权利要求1至11中任一项所述的处理方法,还包括,如果在该处理步骤中该网络装置检测到针对连接到该网络的用户设备和/或针对网络元件的网络攻击,则向监督该网络的安全操作中心通知该检测到的攻击的步骤。
13.一种由监督至少一个网络的安全操作中心(SOC)执行的监督方法,该监督方法包括:
-从网络装置接收警报消息的步骤(H10),该警报消息通知由连接到该网络的用户设备或由该网络装置在经由所述网络传输的流量中检测到的异常,所述警报消息包括由该用户设备或由该网络装置获得的并且与该检测到的异常相关联的流量特征以及表示该网络装置的至少一个约束的至少一条信息;
-通过网络攻击检测算法处理所述流量特征的步骤(H30,H80),该检测算法基于所述至少一条信息被选择和/或参数化;以及
-基于该处理步骤的结果,并且在检测到攻击时基于所述至少一条信息来确定对该网络装置和/或该用户设备的关于该检测到的异常的响应的步骤(H50,H100)。
14.一种由连接到网络的用户设备(UE)执行的通知方法,该通知方法包括:
-从由该用户设备获得的流量特征中检测经由该网络传输的流量中的异常的步骤(E20);
-如果该用户设备不能确定该检测到的异常是对应于正常行为还是网络攻击,则向网络装置发送警报消息的步骤(E50),该警报消息向该网络装置通知该检测到的异常,所述警报消息包括所述流量特征和表示该用户设备的至少一个约束的至少一条信息;以及
-从该网络装置接收关于该检测到的异常并且基于所述至少一条信息创建的消息的步骤(E60)。
15.一种网络装置(AP),包括:
-接收模块(G-IDA),该接收模块能够从连接到该网络的用户设备接收警报消息,该警报消息通知由该用户设备在经由该网络传输的流量中检测到的异常;
-获得模块(G-IDA),该获得模块被配置成从该警报消息中获得表示该用户设备的至少一个约束的至少一条信息;
-处理模块(G-IDA),该处理模块被配置成通过网络攻击检测算法处理由该用户设备提供的并且与该检测到的异常相关联的流量特征,该网络攻击检测算法基于所述至少一条信息被选择和/或参数化;以及
-确定模块(G-IDA),该确定模块被配置成基于该处理步骤的结果,并且在检测到网络攻击时基于所述至少一条信息来确定对该用户设备的关于该检测到的异常的响应。
16.一种监督至少一个网络的安全操作中心(SOC),该安全操作中心包括:
-接收模块(C-IDA),该接收模块能够从网络装置接收警报消息,该警报消息通知由连接到该网络的用户设备或由该网络装置在经由所述网络传输的流量中检测到的异常,该警报消息包括由该用户设备或该网络装置获得的并且与该检测到的异常相关联的流量特征,以及表示该网络装置的至少一个约束的至少一条信息;
-处理模块(C-IDA),该处理模块被配置成通过网络攻击检测算法处理所述流量特征,该检测算法基于所述至少一条信息被选择和/或参数化;以及
-确定模块(C-IDA),该确定模块被配置成基于该处理步骤的结果,并且在检测到攻击时基于所述至少一条信息来确定对该网络装置和/或该用户设备的关于该检测到的异常的响应。
17.一种连接到网络的用户设备(UE),该用户设备包括:
-检测模块(L-IDA),该检测模块被配置成从由该用户设备获得的流量特征中检测经由该网络传输的流量中的异常;
-发送模块(L-IDA),如果该用户设备不能确定该检测到的异常是对应于正常行为还是网络攻击,则激活该发送模块,所述发送模块被配置成向网络装置发送警报消息,该警报消息向该网络装置通知该检测到的异常,该警报消息包括所述流量特征和表示该用户设备的至少一个约束的至少一条信息;以及
-接收模块(L-IDA),该接收模块能够从该网络装置接收关于该检测到的异常并且基于所述至少一条信息创建的消息。
18.一种用于监测网络的监测系统(1),该监测系统包括:
-至少一个如权利要求17所述的用户设备(UE);
-至少一个如权利要求15所述的网络装置(AP);以及
-如权利要求16所述的安全操作中心(SOC)。
19.如权利要求18所述的监测系统,其中,该网络装置是该网络的接入网的设备。
20.如权利要求18所述的监测系统,其中,该网络装置是核心网的设备。
CN202080028889.8A 2019-04-18 2020-04-15 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 Active CN113748660B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1904158A FR3095313A1 (fr) 2019-04-18 2019-04-18 Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau
FRFR1904158 2019-04-18
PCT/EP2020/060619 WO2020212442A1 (fr) 2019-04-18 2020-04-15 Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau

Publications (2)

Publication Number Publication Date
CN113748660A true CN113748660A (zh) 2021-12-03
CN113748660B CN113748660B (zh) 2024-04-05

Family

ID=67956963

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080028889.8A Active CN113748660B (zh) 2019-04-18 2020-04-15 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置

Country Status (5)

Country Link
US (1) US20220201490A1 (zh)
EP (1) EP3957045A1 (zh)
CN (1) CN113748660B (zh)
FR (1) FR3095313A1 (zh)
WO (1) WO2020212442A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3120143A1 (fr) * 2021-02-24 2022-08-26 Orange Procédés de commande d’un dispositif de protection d’un élément d’un réseau, entité de commande et dispositif de protection
FR3123527A1 (fr) * 2021-05-28 2022-12-02 Orange Procédé de surveillance d’un réseau, dispositif et système associés
US11995183B2 (en) * 2021-06-24 2024-05-28 Intel Corporation Context-based response to attacks against autonomous systems
EP4160983A1 (en) * 2021-09-29 2023-04-05 WithSecure Corporation Threat control method and system
WO2023187309A1 (en) * 2022-03-30 2023-10-05 Sophos Limited Scored threat signature analysis
US11979416B2 (en) 2022-03-30 2024-05-07 Sophos Limited Scored threat signature analysis
US20240039928A1 (en) * 2022-08-01 2024-02-01 Qualcomm Incorporated L1 security signaling

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003077071A2 (en) * 2002-03-08 2003-09-18 Ciphertrust, Inc. Systems and methods for enhancing electronic communication security
US20110023119A1 (en) * 2009-07-24 2011-01-27 Ammar Rayes Topology-aware attack mitigation
CN102882893A (zh) * 2012-10-30 2013-01-16 吉林大学 基于黑板结构的警报协同系统
CN104539471A (zh) * 2014-12-01 2015-04-22 北京百度网讯科技有限公司 带宽计量方法、装置和计算机设备
CN106537872A (zh) * 2014-07-18 2017-03-22 德国电信股份有限公司 用于检测计算机网络中的攻击的方法
CN109118075A (zh) * 2018-08-03 2019-01-01 浙江大学华南工业技术研究院 一种基于业务逻辑一致性的电力工控终端安全监测方法
CN109450955A (zh) * 2018-12-30 2019-03-08 北京世纪互联宽带数据中心有限公司 一种基于网络攻击的流量处理方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003077071A2 (en) * 2002-03-08 2003-09-18 Ciphertrust, Inc. Systems and methods for enhancing electronic communication security
US20110023119A1 (en) * 2009-07-24 2011-01-27 Ammar Rayes Topology-aware attack mitigation
CN102882893A (zh) * 2012-10-30 2013-01-16 吉林大学 基于黑板结构的警报协同系统
CN106537872A (zh) * 2014-07-18 2017-03-22 德国电信股份有限公司 用于检测计算机网络中的攻击的方法
CN104539471A (zh) * 2014-12-01 2015-04-22 北京百度网讯科技有限公司 带宽计量方法、装置和计算机设备
CN109118075A (zh) * 2018-08-03 2019-01-01 浙江大学华南工业技术研究院 一种基于业务逻辑一致性的电力工控终端安全监测方法
CN109450955A (zh) * 2018-12-30 2019-03-08 北京世纪互联宽带数据中心有限公司 一种基于网络攻击的流量处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LORENZO FERNA´NDEZ MAIMO等: "《A Self-Adaptive Deep Learning-Based System for Anomaly Detection in 5G Networks》", 《IEEE》, pages 7700 - 7712 *

Also Published As

Publication number Publication date
FR3095313A1 (fr) 2020-10-23
WO2020212442A1 (fr) 2020-10-22
EP3957045A1 (fr) 2022-02-23
CN113748660B (zh) 2024-04-05
US20220201490A1 (en) 2022-06-23

Similar Documents

Publication Publication Date Title
CN113748660B (zh) 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置
Dao et al. Securing heterogeneous IoT with intelligent DDoS attack behavior learning
AU2019216687B2 (en) Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness
Osanaiye et al. Distributed denial of service (DDoS) resilience in cloud: Review and conceptual cloud DDoS mitigation framework
EP3065376B1 (en) Cross-layer correlation in secure cognitive network
Moosavi et al. A game-theoretic framework for robust optimal intrusion detection in wireless sensor networks
US10581901B2 (en) Increased granularity and anomaly correlation using multi-layer distributed analytics in the network
US10958681B2 (en) Network security indicator of compromise based on human control classifications
Sahu et al. A comprehensive survey on intrusion detection in MANET
US20230007038A1 (en) Systems and methods for automated quantitative risk and threat calculation and remediation
Sedjelmaci et al. Smart grid security: A new approach to detect intruders in a smart grid neighborhood area network
Benslimen et al. Attacks and failures prediction framework for a collaborative 5G mobile network
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
KR20190018947A (ko) 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
US20230291752A1 (en) Method for detecting anomalies in a communication network, method for coordinating anomaly detection, corresponding devices, router equipment, anomaly management system and computer programs.
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
UmaRani et al. Detection of selective forwarding attack using BDRM in wireless sensor network
Maccari et al. A Big Data and machine learning approach for network monitoring and security
CA2544036C (en) Method and system for detecting and handling malicious wireless applications
Sharma et al. DDoS prevention architecture using anomaly detection in fog-empowered networks
US20230232235A1 (en) Monitoring of at least one slice of a communications network using a confidence index assigned to the slice of the network
Ioannou et al. Decentralized Dedicated Intrusion Detection Security Agents for IoT Networks
Seifi et al. A Study on the Efficiency of Intrusion Detection Systems in IoT Networks
Choukhairi et al. TTIDS: A Time-Driven Trust Based Intrusion Detection System for IoT Networks
US11936665B2 (en) Method for monitoring data transiting via a user equipment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant