ES2874449T3 - Sistema para detectar el comportamiento en una red de telecomunicaciones - Google Patents
Sistema para detectar el comportamiento en una red de telecomunicaciones Download PDFInfo
- Publication number
- ES2874449T3 ES2874449T3 ES13795228T ES13795228T ES2874449T3 ES 2874449 T3 ES2874449 T3 ES 2874449T3 ES 13795228 T ES13795228 T ES 13795228T ES 13795228 T ES13795228 T ES 13795228T ES 2874449 T3 ES2874449 T3 ES 2874449T3
- Authority
- ES
- Spain
- Prior art keywords
- network
- telecommunications network
- telecommunications
- occurrence
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 18
- 230000011664 signaling Effects 0.000 claims abstract description 16
- 230000003993 interaction Effects 0.000 claims abstract description 6
- 230000008569 process Effects 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 description 24
- 230000008901 benefit Effects 0.000 description 7
- 238000003909 pattern recognition Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un sistema para detectar el comportamiento de un dispositivo de telecomunicaciones móvil en una red de telecomunicaciones, el sistema que comprende: una red de telecomunicaciones configurada para identificar al menos un dispositivo de telecomunicaciones móvil, la red de telecomunicaciones que comprende una estación (101) base, en donde la estación base está configurada para recibir señales del dispositivo de telecomunicaciones móvil y, además, para procesar las señales recibidas en señalización transmitida dentro de la red de telecomunicaciones, la red de telecomunicaciones está dispuesta para monitorizar en la señalización transmitida dentro de la red de telecomunicaciones una ocurrencia de una señal predeterminada asociada con el dispositivo de telecomunicaciones móvil y que representa una interacción entre dispositivos de red, y está dispuesta para registrar cuando la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones, caracterizado por que la red de telecomunicaciones está configurada además para registrar que la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones al detectar cuando la ocurrencia excede una tasa temporal predeterminada midiendo si el tiempo transcurrido entre ocurrencias sucesivas es menor que un intervalo de tiempo predeterminado.
Description
DESCRIPCIÓN
Sistema para detectar el comportamiento en una red de telecomunicaciones
Campo de la invención
La invención se refiere a un sistema para detectar el comportamiento de un dispositivo de telecomunicaciones móvil en una red de telecomunicaciones, y se refiere, además, a un dispositivo para detectar el comportamiento de un dispositivo de telecomunicaciones móvil dentro de una red de telecomunicaciones.
Las redes de telecomunicaciones proporcionan telecomunicaciones por radio a los usuarios de dispositivos móviles, típicamente de acuerdo con protocolos de radio acordados y estandarizados, por ejemplo, GSM, UTMS y LTE, tal como será conocido para el experto.
Los dispositivos de telecomunicaciones móviles son comunes e incluyen teléfonos móviles y, en particular, teléfonos inteligentes, dispositivos tableta y otros dispositivos informáticos portátiles, asistentes personales portátiles y dispositivos de comunicaciones situados incluso en vehículos. Todos pueden proporcionar a los usuarios telecomunicaciones entre sí y con acceso a Internet mientras se desplazan.
El acceso a Internet expone dispositivos a malware y aplicaciones maliciosas que pueden descargarse, accidentalmente o de otro modo, en el dispositivo móvil desde Internet. Por lo general, y a menudo debido a su tamaño y capacidad de memoria más pequeños, los dispositivos de telecomunicaciones móviles no contienen características de seguridad que son tan estrictas como las disponibles para computadoras de escritorio y otros dispositivos grandes con acceso a Internet. Como tal, estos dispositivos de telecomunicaciones móviles más pequeños son vulnerables a infecciones y ataques mediante malware y aplicaciones maliciosas, que normalmente infectarán el procesador de aplicaciones de un dispositivo móvil. Pero debido a que los dispositivos de telecomunicaciones móviles también suelen estar en contacto directo con una red de telecomunicaciones por radio, la propia red de telecomunicaciones es vulnerable al ataque de cualquier malware o aplicaciones maliciosas que residen en los dispositivos móviles.
Los métodos existentes para detectar comportamiento malicioso de dispositivo móvil se aplican por completo dentro del propio teléfono móvil. Por ejemplo, "Taming Mr Hayes: Mitigating signaling based attack on smartphones", IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2012), 2012, dsn, págs. 1-12, Collin Mulliner, Steffen Liebergeld, Matthias Lange, Jean-Pierre Seifert, describe un método para detectar comportamiento malicioso dentro del procesador de aplicaciones de un teléfono móvil y propone una partición virtual del procesador de aplicaciones como parte de la solución.
Sin embargo, una desventaja de este método es que si el dispositivo móvil ha sido infectado con malware no puede haber verdadera certeza de que se puede confiar en el método de detección en sí.
Del mismo modo, los el documento US 2006/0288407 describe un método para realizar la detección en un teléfono móvil y, por tanto, también resulta en una desventaja similar.
El documento WO 2006/104752 A1 describe el uso de información de estado inalámbrico y perfilado de usuario/red para detectar y prevenir ataques de denegación de servicio. Cuando llega un paquete de datos para un usuario, se recopila la relación de costo de señalización del usuario a datos y se compara con la relación de costo de señalización del usuario a datos determinada a partir de un paso de procesamiento previo que crea un perfil para el usuario. Si la relación de costo de señalización a datos recopilada excede la relación de costo de señalización a datos del perfil del usuario, todo el tráfico posterior del remitente del paquete de datos se marcará como sospechoso.
El documento EP 2139279 A1 describe que la monitorización del rendimiento de los sistemas de comunicaciones es una parte importante de las operaciones de red. En un aspecto, se proporciona un método para monitorizar el rendimiento recopilando datos pertenecientes a un terminal móvil que accede al sistema. En algunas realizaciones, el método incluye recibir un identificador para identificar el terminal móvil; utilizar el identificador para detectar el EU que accede a la red a través de un punto de acceso; y, en respuesta a detectar el EU que accede a la red, transmitir al punto de acceso un mensaje que comprende una versión cifrada del identificador con un comando para iniciar la recopilación de datos pertenecientes al terminal móvil.
En el documento WO 1998/33340 A2 se proporcionan un sistema y método para detectar el uso fraudulento de un identificador único asociado con una estación móvil autorizada en una red de telecomunicaciones inalámbrica. Un sistema de monitorización recopila pasivamente datos asociados con el registro de una o más estaciones móviles que utilizan el identificador único. Un procesador de detección de fraude analiza los datos recopilados utilizando un primer dispositivo de reconocimiento de patrones. El dispositivo de reconocimiento de patrones determina la periodicidad de los mensajes de registro sucesivos asociados con el identificador único de la estación móvil autorizada y se identifica un evento fraudulento sospechoso cuando el tiempo entre mensajes de registro sucesivos no es periódico. Se puede
utilizar un segundo dispositivo de reconocimiento de patrones solo o en combinación con el primer dispositivo de reconocimiento de patrones para identificar una actividad fraudulenta sospechosa cuando una velocidad aparente de la estación móvil que utiliza el identificador único entre mensajes de registro sucesivos excede una velocidad máxima predeterminada. La velocidad aparente se basa en la distancia geográfica aproximada y el tiempo entre mensajes de registro sucesivos. Tras la detección de un evento fraudulento sospechoso mediante el primer y/o segundo dispositivo de reconocimiento de patrones, se puede utilizar un sistema de autenticación para identificar una estación móvil sospechosa como una estación móvil no autorizada cuando se recibe una respuesta a un desafío de autenticación desde la estación móvil sospechosa no es sustancialmente la misma que una respuesta predicha calculada mediante el sistema de autenticación en base a al menos el identificador único de la estación móvil autorizada.
Sin embargo, es un problema identificar correctamente la existencia de malware o software malicioso en un dispositivo móvil, porque solo una vez que se ha identificado correctamente un dispositivo infectado se puede tomar la acción apropiada.
Descripción de la invención
El problema se resuelve de acuerdo con la invención como se describe en las reivindicaciones independientes adjuntas. En las reivindicaciones dependientes se definen realizaciones detalladas adicionales.
Las reivindicaciones describen un sistema para detectar el comportamiento de un dispositivo de telecomunicaciones móvil en una red de telecomunicaciones. El sistema incluye una red de telecomunicaciones configurada para identificar al menos un dispositivo de telecomunicaciones móvil y la red de telecomunicaciones comprende una estación base configurada para recibir señales del dispositivo de telecomunicaciones móvil y, además, procesar las señales recibidas en señalización transmitida dentro de la red de telecomunicaciones. La red está dispuesta para monitorizar en la señalización transmitida dentro de la red de telecomunicaciones una ocurrencia de una señal predeterminada asociada con el dispositivo de telecomunicaciones móvil y que representa una interacción entre dispositivos de red y está dispuesta para registrar cuando la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones y la red está configurada para detectar cuando la ocurrencia excede una tasa temporal predeterminada midiendo si el tiempo transcurrido entre ocurrencias sucesivas es menor que un intervalo de tiempo predeterminado.
El sistema reivindicado resuelve el problema identificando comportamiento malicioso en un dispositivo móvil, pero identificarlo desde dentro de la propia red de telecomunicaciones. Esto se hace de acuerdo con la disposición de la invención monitorizando los flujos de datos, o transferencias de datos, que ocurren en la red debido a la interacción entre la red y el móvil. Estos datos se monitorizan para detectar ocurrencias excesivas de señales particulares.
El malware que reside en un dispositivo móvil puede hacer que ese dispositivo se entregue a un comportamiento malicioso, que suele ser cualquier cosa que consume recursos de red sin ser una intención expresa del usuario. Por lo general, es cualquier cosa que consume recursos de red pero sin que resulte en un beneficio para el usuario o para el dispositivo. Por ejemplo, un usuario de un dispositivo móvil puede querer descargar un video para verlo en el dispositivo. Esto consumirá recursos, pero el uso de recursos en este caso es limitado en el tiempo y, en cualquier caso, una vez que se descarga el video, el usuario pasa tiempo viendo el video y, mientras lo hace, es poco probable que descargue otros videos o realice otras tareas. Sin embargo, el malware puede estar programado para descargar videos de forma continua y esto utiliza recursos de red excesivos.
En un ejemplo alternativo, el malware puede estar programado para realizar continuamente conexión y desconexión del dispositivo móvil en la red. Esto utilizará recursos de red excesivos porque la red intentará autenticar el dispositivo móvil cada vez que se conecte. Sin embargo, la conexión y desconexión continuas no resulta en una ventaja ni para el usuario ni para el dispositivo móvil.
En un ejemplo alternativo, el malware puede estar programado para manipular informes de nivel de señal utilizados por la red para decisiones de traspaso. El dispositivo móvil mide continuamente los niveles de señal de las estaciones base en las celdas circundantes e informa los niveles de señal a la red. La red utiliza esta y otra información para decidir si traspasar o no la comunicación con las estaciones base móviles en las celdas circundantes e informa los niveles de señal a la red. La red utiliza esta y otra información para decidir si traspasar o no la comunicación con el dispositivo móvil a una estación base diferente a la que actualmente está sirviendo al dispositivo móvil. El malware podría estar programado para manipular los informes de medición de tal manera que se produzca una gran cantidad de traspasos, lo que utiliza recursos de red excesivos.
En un ejemplo alternativo el malware puede estar programado para forzar al dispositivo móvil que lleva el malware para solicitar continuamente el reenvío de llamadas. Cuando se realiza una solicitud de reenvío de llamadas, el dispositivo solicita a la red que reenvíe las llamadas entrantes a un segundo número. La realización continua de esta solicitud consumirá recursos de red.
En un ejemplo alternativo el malware puede solicitar constantemente el establecimiento de portadores y, en particular nuevos portadores, entre el dispositivo y la red. Nuevamente, esto consume recursos de red.
En un ejemplo alternativo, el malware puede forzar al dispositivo móvil que lleva el malware para hacer continuamente solicitudes de servicio sin utilizar los servicios ofrecidos. Estas solicitudes pueden ser para cualquier tipo de servicio proporcionado típicamente por la red de telecomunicaciones, pero desperdicia recursos de red cuando las solicitudes continuas de servicio no dan como resultado un servicio proporcionado que beneficia al usuario o al dispositivo móvil que realiza la solicitud.
En todos estos ejemplos se produce un intercambio de datos entre el dispositivo móvil y la red de telecomunicaciones, sin embargo, también más dentro de la propia red de telecomunicaciones. Como es conocido por el experto, cuando el dispositivo móvil transmite señales a la red de telecomunicaciones, se reciben en una estación base y se procesan en flujos de datos internos a la red de telecomunicaciones. Por ejemplo, si un dispositivo móvil realiza una solicitud de conexión, entonces la red de telecomunicaciones que recibe la solicitud de conexión intenta autenticar el dispositivo móvil. Esto da como resultado que se envíen flujos de datos, o señales, entre, por ejemplo, en el caso de una red de UMTS, el controlador de red de radio RNC, el centro de conmutación móvil MSC, el registro de ubicación de origen HLR y el centro de autenticación AuC, como sería conocido por el experto. Como también sabrá el experto, otros comportamientos maliciosos descritos también darían como resultado señales, o flujos de datos, transmitidos no solo entre el dispositivo y la red, sino también dentro de la propia red.
La red, por tanto, puede detectar comportamiento malicioso monitorizando la ocurrencia en los flujos de datos en la red de datos de un primer tipo, por lo general, un tipo predeterminado que representa alguna interacción en la red entre dispositivos de red para el procesamiento normal de las señales. Además, la red registra cuando esta ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones. En otras palabras, la red detecta el comportamiento malicioso al monitorizar y detectar la incidencia de diversos tipos de flujos de datos dentro de la propia red y al registrar cuando la ocurrencia es demasiado alta.
Por ejemplo, con el fin de detectar el comportamiento malicioso en donde un dispositivo de forma continua intenta de conectar y desconectar, la red puede contar el número de veces que el centro de conmutación móvil, MSC, es obligado a solicitar autenticación del dispositivo en el centro de autenticación AuC o, alternativamente, contar el número de veces que el centro de autenticación AuC señaliza de vuelta de respuesta.
En una realización particularmente ventajosa, la detección de los flujos de datos se realiza en la red central y, en particular, en la entidad de gestión de la movilidad MME si la red es una red de LTE, en el MSC si es una red de UMTS o de GSM o al nodo de soporte de pasarela de servicio SGSN en una red de GPRS. En esta realización, la incidencia de flujos de datos particulares o predeterminados se puede identificar en una ubicación central dentro de cada una de las respectivas redes. Esto tiene la ventaja de que reduce el tiempo que tarda la red de telecomunicaciones en identificar los dispositivos móviles que pueden estar infectados por malware.
Sin embargo la ocurrencia de flujos de datos específicos se puede detectar además de nuevo en la red. En un ejemplo de esto, se pueden detectar solicitudes de conexión excesivas en el AuC detectando intentos de autenticación por dispositivo móvil. Alternativamente, se pueden detectar solicitudes de conexión excesivas contando en e1HLR el número de veces que la red solicita datos con respecto a un dispositivo móvil particular.
En ciertas realizaciones la detección se podría realizar en el eNodoB o la estación base. Esto tiene la ventaja de que la detección de comportamiento malicioso utiliza menos recursos de red. Por ejemplo, podría detectarse un número excesivo de conexiones y desconexiones en la estación base de recepción. Sin embargo, una desventaja particular de realizar la detección en la estación base, por ejemplo, ocurre cuando las señales del dispositivo móvil llegan a la red a través de diferentes estaciones base, y un ejemplo de esto es cuando un dispositivo se mueve de forma física rápidamente a través de las celdas de la estación base. En tal caso, ninguna estación base particular, o eNodoB, recibirá necesariamente la señalización completa del dispositivo y, por lo tanto, ninguna estación base podrá realizar la detección sin ambigüedades.
En una realización particularmente ventajosa, la red cuenta la ocurrencia de señales de datos particulares, cuando su tasa de ocurrencia es superior a una tasa temporal predeterminada. Por ejemplo, si la red está monitorizando el envío de una solicitud de autenticación al AuC, la red está configurada para detectar cuando la tasa de transmisión de solicitudes de autenticación para un móvil particular excede un umbral predeterminado y, también, para contar el número de veces que la autenticación luego se solicita, mientras que la tasa de solicitudes de autenticación excede la tasa predeterminada.
En otras palabras, la red monitoriza y detecta cuando la frecuencia de una determinada señal o datos predeterminados en los flujos de datos se hace demasiado alta. Luego, la red procede a contar el número de ocurrencias mientras la tasa permanece por encima de la tasa temporal predeterminada.
Esta realización particular es aún más ventajosa si la red está dispuesta además para registrar cuando el número de ocurrencias detectadas en sí supera un umbral predeterminado. En nuestro ejemplo, esto significaría que la red registra cuando el número de solicitudes de autenticación excede un cierto número, habiéndose recibido cada una de las solicitudes de autenticación a una tasa mayor que la tasa temporal predeterminada.
En una realización ventajosa adicional, la red puede detectar si la tasa de ocurrencia de una señal o evento de datos, por ejemplo, una solicitud de autenticación transmitida al AuC, ocurre a o por encima de una tasa temporal predeterminada midiendo el tiempo transcurrido entre ocurrencias sucesivas. En esta realización, la red está dispuesta para detectar el tiempo transcurrido entre dos solicitudes de autenticación consecutivas al AuC, en nuestro ejemplo, y calcular cuando este tiempo transcurrido es menor que un intervalo de tiempo predeterminado. Se considera que las ocurrencias de datos ocurren a una tasa que excede la tasa predeterminada cuando ocurren dentro del respectivo intervalo de tiempo predeterminado.
En un ejemplo particularmente ventajoso, la red incluye un contador, C, y está dispuesto para detectar un evento, X, detectable que ocurre dentro de la red, por ejemplo, la primera instancia de una conexión o la transmisión de una solicitud de autenticación al AuC, o la llegada de la señalización a la MME indicando que ha tenido lugar un traspaso, e inicia el contador.
El contador se convierte entonces en:
C=1
Al mismo tiempo, la red inicia un temporizador. El contador se almacena y se asocia con el dispositivo móvil.
Si la próxima detección de X en la red tiene lugar dentro de un intervalo de tiempo predeterminado, entonces el contador se convierte en:
C=2
En una realización, el temporizador mide un tiempo t desde la primera detección de X y, en este caso, el contador se incrementa en 1 si la próxima detección ocurre en un momento, t < A, donde A es el intervalo de tiempo predeterminado. En una realización alternativa, se registra el tiempo en cada una de las detecciones del evento X y el tiempo del primer evento, ST, se almacena y se asocia con el dispositivo móvil. Un temporizador, T, se inicia en ST y el contador se incrementa si el tiempo del siguiente evento X detectado es t donde:
t<ST A
Dentro de esta realización el valor de ST se sustituye entonces por el nuevo tiempo NT en donde se detectó el segundo evento X.
En ambas realizaciones el contador se incrementa de nuevo si la siguiente detección de X ocurre dentro del mismo intervalo de tiempo. En tal caso, el contador ahora registraría:
C=3
Si el contador alcanza un umbral predeterminado, por ejemplo, Cn, en cuyo caso el contador se vuelve:
C=Cn
la red de telecomunicaciones registra el hecho. Esto se puede hacer colocando un indicador, pero el experto sabe que existen métodos alternativos de registro.
En una realización alternativa la red registra si el contador excede un umbral predeterminado.
Si X no se detecta de nuevo dentro del intervalo de tiempo predeterminado, el contador vuelve a cero.
En una realización alternativa la red podría monitorizar y contar el número de desconexiones de un dispositivo móvil particular.
En una realización en la que se detecta el traspaso, la siguiente realización adicional es particularmente ventajosa. La red mantiene un registro del área de seguimiento del dispositivo móvil y, también, una indicación de cuando cambia el área de seguimiento. Esto permite que la red sepa cuando se está moviendo el dispositivo. Si la red registra un número
excesivo de traspasos, la información del área de seguimiento se puede utilizar para descartar traspasos excesivos cuando el dispositivo está realmente en un movimiento físicamente rápido.
En una realización adicional, la red registra cuando un dispositivo cambia con frecuencia entre estaciones base vecinas. Esto es una indicación de un comportamiento de mala fe genuino, ya que normalmente dichos conmutadores se suprimen por algoritmos de traspaso existentes para evitar el traspaso excesivo de un dispositivo móvil que en realidad está situado físicamente en el límite entre dos celdas.
En una realización alternativa y particularmente ventajosa, red monitoriza combinaciones improbables de solicitudes de servicios. Por ejemplo, es poco probable que un usuario solicite la transmisión de cinco descargas de películas en paralelo. Es igualmente improbable que el usuario intente realmente escuchar su propio buzón de voz mientras realiza una llamada telefónica. Estos ejemplos de comportamiento improbable se pueden determinar y monitorizar por la red.
Después de la detección del comportamiento malicioso la red puede realizar varias acciones. Éstas incluyen: desconectar el dispositivo móvil; enviar una señal al dispositivo para bloquear permanentemente el acceso a la red; iniciar un temporizador de retroceso para evitar que el dispositivo móvil realice otra solicitud de conexión dentro de un cierto período de tiempo; enviar un mensaje de advertencia al propietario del dispositivo. En el último ejemplo, la advertencia podría transmitirse al propio dispositivo móvil, a través de sms, por ejemplo, sin embargo, si el dispositivo está infectado por malware y no se puede confiar en él, la red no puede asumir que cualquier mensaje de advertencia transmitido al propio dispositivo será visto o escuchado por el usuario. Por lo tanto, se podría transmitir una advertencia al usuario a través de otros canales basándose en otros datos almacenados para el usuario, por ejemplo, por correo electrónico a una dirección de correo electrónico conocida.
En una realización ventajosa adicional, la red rastrea el comportamiento de varios dispositivos y agrega los resultados. De esta manera, el comportamiento del malware se puede rastrear y monitorizar en toda una red.
En una realización ventajosa adicional, la red monitoriza en busca de la ocurrencia de datos de un segundo tipo en los flujos de datos. Normalmente, los flujos de datos que se pasan por la red incluyen más de un tipo de datos y, además de incluir datos de un primer tipo dispuestos para provocar un evento de un primer tipo dentro de la red de telecomunicaciones, pueden incluir datos de un segundo tipo dispuestos para provocar un evento de un segundo tipo con la red de telecomunicaciones. En una realización particularmente ventajosa, la red puede monitorizar el comportamiento malicioso de un dispositivo móvil monitorizando en busca de la ocurrencia de ambos datos del primer y segundo tipo, determinando cuando cada uno excede algún umbral predeterminado. En este caso, cada uno puede exceder un umbral predeterminado individualmente, y los umbrales predeterminados pueden ser diferentes o iguales, o ambas ocurrencias pueden agregarse y compararse con un solo umbral predeterminado juntas. En un ejemplo, la red podría monitorizar las ocurrencias de datos en la red que indiquen la conexión del dispositivo, como ya se ha descrito, pero monitorizar adicionalmente en busca de las ocurrencias de datos que indiquen la desconexión del dispositivo, y solo si ambas ocurrencias exceden los umbrales predeterminados independientes, la red registra que el comportamiento malicioso está ocurriendo. Esta doble medición, aunque utiliza recursos de red adicionales al contar de manera efectiva el comportamiento del dispositivo dos veces, proporciona a la red una protección frente a registros accidentales de conexiones continuas maliciosas debido a otros factores extraños dentro de la red, tal como un error.
En una realización alternativa, la red podría contar la ocurrencia de datos de un primer tipo que indican el traspaso y, también, contar la ocurrencia de datos de un segundo tipo que indican el cambio de área de seguimiento.
En las figuras se describen realizaciones adicionales de la invención.
La Figura 1 muestra una red de telecomunicaciones en la que se puede utilizar ventajosamente la invención.
La Figura 2 muestra un diagrama de flujo de una realización de la invención.
La Figura 3 muestra un diagrama de flujo de una realización de la invención.
La Fig. 1 muestra una red de telecomunicaciones en la que se puede utilizar la invención. Como es conocido por el experto, existen múltiples tecnologías descritas por diversos estándares de telecomunicaciones que definen los sistemas de telecomunicaciones. Por lo general, incluyen el siguiente diseño, aunque el experto sabe y aprecia que puede haber pequeñas variaciones y diferencias en la forma en que funcionan los sistemas.
Una red de telecomunicaciones incluye un transmisor 101. Esto se llama normalmente una estación base, antena de telefonía móvil, o, en una red de LTE, un eNodoB. El transmisor está controlado por un controlador 102 de estación base, aunque, por ejemplo, en una red de UMTS, éste sería un controlador 102 de red de radio y, por ejemplo, en una red de LTE, las funciones de control del controlador 102 de estación base pueden incluirse en el eNodoB. Las señales de radio de dispositivos móviles de mano se reciben en el transmisor 101, se procesan en señales y se transmiten a la red central.
En el caso de una red GSM o 2G las señales se pasan a un centro 103 de conmutación móvil, MSC, que enruta las llamadas. Tras recibir la primera señal de un móvil, consultará el registro 104 de ubicación de origen, HLR, que contiene datos sobre abonados móviles para verificar si la señal recibida es de un dispositivo móvil que está suscrito a la red. Para autenticar el dispositivo móvil, utilizará las claves que se encuentran en el centro 105 de autenticación, AuC.
En el caso de una red de UMTS o 3G las señales verificadas y autenticadas se pueden enrutar a través de un nodo 106 de soporte de pasarela.
En el caso de una red de LTE o 4G las señales se pasan a una entidad 103 de gestión de movilidad, MME, y el móvil se verifica y autentica en el servidor 104/105 de abonado doméstico, HSS. A continuación, las llamadas se enrutan adicionalmente a través de una pasarela 106 de servicio a una red 107 adicional que puede ser Internet.
La Fig. 2 muestra un diagrama de flujo de una realización de la invención adecuada para detectar conexiones excesivas de un dispositivo móvil a una red de telecomunicaciones. En una realización ventajosa de un dispositivo se conecta 201 a la red en el tiempo t1 a través de una estación base y la red registra la conexión, identifica el dispositivo móvil y comienza procedimientos de autenticación. En paralelo al procesamiento normal de la solicitud de conexión, la red realiza los siguientes pasos. Se inician 202 un contador NA, una hora STA de inicio y un temporizador. Típicamente, el contador se pone a cero y, en una realización ventajosa, el temporizador se establece en el tiempo t1 registrado por la red. El valor del contador y la hora de inicio se almacenan 203 para referencia futura. La próxima vez que se registre una conexión para el mismo dispositivo, digamos en el tiempo t2 , el tiempo transcurrido T, igual a: t2 - STA
se compara con un intervalo de tiempo AA 204 predeterminado.
Si:
T - AA, or, T > AA,
el contador NA y el temporizador se borran, 202.
Si:
T < AA,
el contador NA se incrementa en un valor de 1 y el valor de STA se sustituye por el tiempo t2, 205. NA y STA se almacenan de nuevo 208. En este caso el valor del contador se compara además con un umbral, LimitA, predeterminado 206.
Si:
NA = LimitA,
se establece una alerta. En caso negativo, el método vuelve al paso 204.
El experto entenderá que hay variaciones menores que se pueden hacer a la realización que seguirá funcionando. Por ejemplo, el contador podría aumentarse si T es menor o igual que AA y solo se borrará si T es mayor que AA. También, por ejemplo, LimitA podría ser un valor que debe excederse, en cuyo caso se establecería un indicador de alerta si NA > LimitA. En otra realización ventajosa, se podría disminuir un contador en lugar de borrar el contador NA en el paso 202 si el valor del contador es mayor que 0.
Como el experto entenderá, los valores apropiados para LimitA y el intervalo AA de tiempo predeterminado pueden variar dependiendo de la red y la base de clientes. Sin embargo, los valores adecuados son AA = 500 ms y LimitA = 10.
El método descrito permite a una red detectar comportamiento malicioso en la forma de solicitudes de conexión excesivas de un móvil infectado y, en una realización ventajosa, se realiza en el MSC, pasarela de servicio o MME de la red, según sea apropiado.
La Fig. 3 muestra un diagrama de flujo de una realización de la invención adecuada para detectar traspasos excesivos de un dispositivo móvil en una red de telecomunicaciones y, en una realización particularmente ventajosa, se realizaría
en la MME de la red, que está informada de traspasos antes de que tenga lugar el traspaso, denominado un traspaso S1, o después de que se haya producido el traspaso, denominado un traspaso X2.
Con el fin de llevar a cabo el método, la MME realiza los siguientes pasos para un grupo de dispositivos móviles en su área. El grupo de dispositivos monitorizados podría ser el grupo que consiste en todos los dispositivos móviles en su área, pero también podría ser un subgrupo de este grupo o algún otro grupo definido adicionalmente. Por ejemplo, el grupo de móviles que se monitorizan podría consistir, por ejemplo, en todos los móviles nuevos, o en aquellos cuya actividad previa sugiera que pueden estar en riesgo de infección, por ejemplo, si realizan frecuentes solicitudes de descarga, o en móviles que están registrados a usuarios particulares, dichos usuarios que cambian frecuentemente de móvil.
En esta realización ventajosa, un dispositivo se conecta 301 a la red en el tiempo t1 a través de una estación base y la red registra la conexión, identifica el dispositivo móvil y comienza procedimientos de autenticación. En paralelo al procesamiento normal de la solicitud de conexión, la red realiza los siguientes pasos. Se inician 302 un contador NH, una hora STH de inicio y un temporizador. Típicamente, el contador se pone a cero y, en una realización ventajosa, el temporizador se establece en el tiempo t 1 registrado por la red. El valor del contador y la hora de inicio se almacenan 303 para referencia futura. La próxima vez que se registre una conexión por el mismo dispositivo, digamos en el tiempo t2 , el tiempo T transcurrido, igual a:
k - STH
se compara con un intervalo AH de tiempo predeterminado 304.
Si:
T - AH, or, T > AH,
el contador NH y el temporizador se borran, 305.
Si:
T < AH,
el contador NH se incrementa en un valor de 1 y el valor de STH se sustituye por el tiempo t2 , 305. NH y STH se almacenan de nuevo 308. En este caso el valor del contador se compara además con un umbral, LimitH, predeterminado 306.
Si:
NH = LimitH,
se establece una alerta. En caso negativo, el método vuelve al paso 304.
Una vez más, el experto entenderá que hay variaciones menores que se pueden hacer a la realización que todavía va a funcionar. Por ejemplo, el contador podría aumentarse si T es menor o igual que AA y solo se borrará si T es mayor que AA. También, por ejemplo, LimitH podría ser un valor que debe excederse, en cuyo caso se establecería un indicador de alerta si NH > LimitH.
Las ventajas particulares de la invención son que una red de telecomunicaciones puede monitorizar actividad maliciosa en dispositivos móviles e identificar cuando un dispositivo particular está potencialmente infectado por malware. Aunque el uso de la invención requiere recursos de red que de otro modo no se gastarían, permite la fácil identificación de dispositivos que pueden consumir recursos de red mucho mayores si no se identifican.
Como el experto entenderá, los valores apropiados para LimitH y el intervalo AH de tiempo predeterminado variarán dependiendo de la red y la base de clientes. Sin embargo, los valores adecuados son AH = 2 s y LimitH = 20.
Claims (14)
1. Un sistema para detectar el comportamiento de un dispositivo de telecomunicaciones móvil en una red de telecomunicaciones, el sistema que comprende:
una red de telecomunicaciones configurada para identificar al menos un dispositivo de telecomunicaciones móvil, la red de telecomunicaciones que comprende una estación (101) base,
en donde la estación base está configurada para recibir señales del dispositivo de telecomunicaciones móvil y, además, para procesar las señales recibidas en señalización transmitida dentro de la red de telecomunicaciones, la red de telecomunicaciones está dispuesta para monitorizar en la señalización transmitida dentro de la red de telecomunicaciones una ocurrencia de una señal predeterminada asociada con el dispositivo de telecomunicaciones móvil y que representa una interacción entre dispositivos de red, y está dispuesta para registrar cuando la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones,
caracterizado por que la red de telecomunicaciones está configurada además para registrar que la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones al detectar cuando la ocurrencia excede una tasa temporal predeterminada midiendo si el tiempo transcurrido entre ocurrencias sucesivas es menor que un intervalo de tiempo predeterminado.
2. El sistema de acuerdo con la reivindicación 1, en donde la red de telecomunicaciones está dispuesta para monitorizar la ocurrencia contando el número de veces que la señal predeterminada se detecta en la señalización cuando la ocurrencia excede una tasa temporal predeterminada y, además, en donde la red de telecomunicaciones está dispuesta para registrar cuando el número de ocurrencias detectadas excede un umbral predeterminado.
3. El sistema de acuerdo con la reivindicación 2, en donde la red de telecomunicaciones está dispuesta para contar la ocurrencia cuando el tiempo entre una ocurrencia detectada y la ocurrencia detectada previamente está dentro de un intervalo de tiempo predeterminado.
4. El sistema de acuerdo con la reivindicación 3, en donde la red de telecomunicaciones incluye además un contador y un temporizador, y en donde la red de telecomunicaciones está dispuesta para iniciar el contador al detectar una ocurrencia de la señal predeterminada y, además, para iniciar el temporizador, y en donde la red de telecomunicaciones está dispuesta además para aumentar el contador en una unidad si la siguiente detección de la señal predeterminada ocurre dentro del intervalo T de tiempo predeterminado medido por el temporizador.
5. El sistema de acuerdo con la reivindicación 1, en donde la red de telecomunicaciones incluye además un contador y un temporizador, y en donde la red de telecomunicaciones está dispuesta para iniciar el contador al detectar una ocurrencia de la señal predeterminada y, además, para iniciar el temporizador, y en donde la red de telecomunicaciones está además dispuesta para calcular la tasa como la relación entre detección contada de ocurrencia de la señal predeterminada a tiempo medido por el temporizador.
6. El sistema de acuerdo con la reivindicación 1, en donde la red de telecomunicaciones está dispuesta para registrar cuando la ocurrencia excede el nivel que indica un comportamiento aceptable estableciendo un indicador.
7. El sistema de acuerdo con la reivindicación 1, en donde la señal predeterminada indica la conexión del dispositivo de telecomunicaciones móvil a la red de telecomunicaciones.
8. El sistema de acuerdo con la reivindicación 1, en donde la señal predeterminada indica el establecimiento de un portador mediante el dispositivo de telecomunicaciones móvil.
9. El sistema de acuerdo con la reivindicación 1, en donde la señal predeterminada indica el traspaso del dispositivo de telecomunicaciones móvil.
10. El sistema de acuerdo con la reivindicación 9, en donde la red de telecomunicaciones está dispuesta además para monitorizar el área de seguimiento del dispositivo de telecomunicaciones móvil y para registrar la ocurrencia de la señal predeterminada que indica el traspaso solo cuando la monitorización del área de seguimiento muestra que el dispositivo de telecomunicaciones móvil permanece dentro de una sola área de seguimiento.
11. El sistema de acuerdo con la reivindicación 1, en donde la red de telecomunicaciones está dispuesta para monitorizar la ocurrencia en la entidad de gestión de movilidad, MME, o el nodo de soporte de pasarela de servicio, SGSN, o el centro de conmutación móvil, MSC, de la red de telecomunicaciones.
12. El sistema de acuerdo con la reivindicación 1, en donde la red de telecomunicaciones está configurada además para
- identificar al menos un dispositivo de telecomunicaciones móvil adicional,
- recibir señales del al menos un dispositivo adicional y procesar las señales recibidas en señalización adicional transmitida dentro de la red de telecomunicaciones,
- monitorizar una ocurrencia de la señal predeterminada en la señalización adicional y registrar cuando la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil dentro de la red de telecomunicaciones,
y en donde la red de telecomunicaciones está dispuesta además para agregar los datos registrados del dispositivo de telecomunicaciones móvil y del al menos un dispositivo de telecomunicaciones móvil adicional.
13. Dispositivo para detectar el comportamiento de un dispositivo de telecomunicaciones móvil dispuesto para transmitir señales a una red de telecomunicaciones y en donde las señales se reciben y procesan por una estación (101) base en la red de telecomunicaciones en señalización transmitida dentro de la red de telecomunicaciones, caracterizado por que el dispositivo está:
dispuesto para acoplarse a la red de telecomunicaciones y dispuesto para recibir la señalización transmitida dentro de la red de telecomunicaciones y, además, en donde el dispositivo está dispuesto para monitorizar una ocurrencia de una señal predeterminada asociada con el dispositivo de telecomunicaciones móvil que representa una interacción entre dispositivos de red, y dispuesto para registrar cuando la ocurrencia excede un nivel que indica un comportamiento aceptable del dispositivo de telecomunicaciones móvil dentro de la red de telecomunicaciones, caracterizado por que
el dispositivo está además dispuesto para registrar que la ocurrencia excede un nivel que indica el comportamiento aceptable del dispositivo de telecomunicaciones móvil en la red de telecomunicaciones, al detectar cuando la ocurrencia excede una tasa temporal predeterminada midiendo si el tiempo transcurrido entre ocurrencias sucesivas es menor que un intervalo de tiempo predeterminado.
14. Un dispositivo de acuerdo con la reivindicación 13, en donde el dispositivo está además dispuesto para funcionar dentro de una entidad de gestión de movilidad, MME, o un nodo de soporte de pasarela de servicio, SGSN, o un centro de conmutación móvil, MSC.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12193884 | 2012-11-22 | ||
| PCT/EP2013/074440 WO2014079960A1 (en) | 2012-11-22 | 2013-11-22 | System to detect behaviour in a telecommunications network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2874449T3 true ES2874449T3 (es) | 2021-11-05 |
Family
ID=47221228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES13795228T Active ES2874449T3 (es) | 2012-11-22 | 2013-11-22 | Sistema para detectar el comportamiento en una red de telecomunicaciones |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10924500B2 (es) |
| EP (2) | EP3474589A1 (es) |
| JP (2) | JP6636329B2 (es) |
| KR (2) | KR20170064561A (es) |
| CN (1) | CN104982059B (es) |
| ES (1) | ES2874449T3 (es) |
| WO (1) | WO2014079960A1 (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016147944A1 (ja) * | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5953652A (en) * | 1997-01-24 | 1999-09-14 | At&T Wireless Services Inc. | Detection of fraudulently registered mobile phones |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20060288407A1 (en) | 2002-10-07 | 2006-12-21 | Mats Naslund | Security and privacy enhancements for security devices |
| JP3928866B2 (ja) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
| US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US7440406B2 (en) * | 2004-12-29 | 2008-10-21 | Korea University Industry & Academy Cooperation Foundation | Apparatus for displaying network status |
| JP4170301B2 (ja) * | 2005-02-23 | 2008-10-22 | 日本電信電話株式会社 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
| US20060230450A1 (en) * | 2005-03-31 | 2006-10-12 | Tian Bu | Methods and devices for defending a 3G wireless network against a signaling attack |
| JP2006295240A (ja) | 2005-04-05 | 2006-10-26 | Mitsubishi Electric Corp | 通信装置及びアドレス変換装置並びにプログラム |
| JP2006350561A (ja) | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| KR100628329B1 (ko) | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| US8965334B2 (en) | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| US8381299B2 (en) * | 2006-02-28 | 2013-02-19 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting a dataset based upon anomaly detection |
| WO2007110094A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| US8001601B2 (en) * | 2006-06-02 | 2011-08-16 | At&T Intellectual Property Ii, L.P. | Method and apparatus for large-scale automated distributed denial of service attack detection |
| EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
| US8755770B2 (en) * | 2006-08-01 | 2014-06-17 | L-3 Communications Corporation | Methods for identifying wireless devices connected to potentially threatening devices |
| JP2009283990A (ja) * | 2008-05-19 | 2009-12-03 | Nippon Telegr & Teleph Corp <Ntt> | 呼制御装置および呼制御方法 |
| US20090323965A1 (en) * | 2008-06-27 | 2009-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and Methods for Monitoring Performance of a Communication System |
| US20100199345A1 (en) * | 2009-02-04 | 2010-08-05 | Breach Security, Inc. | Method and System for Providing Remote Protection of Web Servers |
| KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| WO2011072719A1 (en) | 2009-12-15 | 2011-06-23 | Nokia Siemens Networks Oy | Method, apparatus and related computer program product for detecting changes to a network connection |
| US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
| US20110230192A1 (en) * | 2010-03-18 | 2011-09-22 | Kundan Tiwari | Apparatuses and methods for controlling sequenced message transfer during signal radio voice call continuity (srvcc) |
| EP2403186B1 (en) * | 2010-07-02 | 2017-12-27 | Vodafone IP Licensing limited | Telecommunication networks |
| US8711791B2 (en) | 2010-12-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Denial of service (DoS) attack prevention through random access channel resource reallocation |
| US8955090B2 (en) * | 2011-01-10 | 2015-02-10 | Alcatel Lucent | Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core |
| WO2012098429A1 (en) * | 2011-01-18 | 2012-07-26 | Nokia Corporation | Method, apparatus, and computer program product for managing unwanted traffic in a wireless network |
| US8387141B1 (en) * | 2011-09-27 | 2013-02-26 | Green Head LLC | Smartphone security system |
| US20130304677A1 (en) * | 2012-05-14 | 2013-11-14 | Qualcomm Incorporated | Architecture for Client-Cloud Behavior Analyzer |
| US8868030B2 (en) * | 2012-07-30 | 2014-10-21 | General Motors Llc | Automated vehicle intrusion device |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| JP2016158157A (ja) * | 2015-02-25 | 2016-09-01 | 富士通株式会社 | 呼制御装置、呼制御方法、及び、呼制御システム |
| JP6877278B2 (ja) * | 2017-07-19 | 2021-05-26 | アラクサラネットワークス株式会社 | 中継装置 |
-
2013
- 2013-11-22 EP EP18205324.9A patent/EP3474589A1/en not_active Withdrawn
- 2013-11-22 KR KR1020177014899A patent/KR20170064561A/ko active Search and Examination
- 2013-11-22 EP EP13795228.9A patent/EP2923511B1/en active Active
- 2013-11-22 KR KR1020157015434A patent/KR20150084970A/ko active Search and Examination
- 2013-11-22 WO PCT/EP2013/074440 patent/WO2014079960A1/en active Application Filing
- 2013-11-22 US US14/646,554 patent/US10924500B2/en active Active
- 2013-11-22 JP JP2015543436A patent/JP6636329B2/ja active Active
- 2013-11-22 CN CN201380061241.0A patent/CN104982059B/zh active Active
- 2013-11-22 ES ES13795228T patent/ES2874449T3/es active Active
-
2017
- 2017-09-25 JP JP2017184047A patent/JP2018033144A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018033144A (ja) | 2018-03-01 |
| US20150304345A1 (en) | 2015-10-22 |
| JP6636329B2 (ja) | 2020-01-29 |
| KR20150084970A (ko) | 2015-07-22 |
| US10924500B2 (en) | 2021-02-16 |
| WO2014079960A1 (en) | 2014-05-30 |
| EP2923511B1 (en) | 2021-04-21 |
| EP2923511A1 (en) | 2015-09-30 |
| JP2016502340A (ja) | 2016-01-21 |
| CN104982059B (zh) | 2021-07-13 |
| EP3474589A1 (en) | 2019-04-24 |
| CN104982059A (zh) | 2015-10-14 |
| KR20170064561A (ko) | 2017-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160198341A1 (en) | Communication Between a Mobile Device and Telecommunications Network | |
| US10904765B2 (en) | Method for operating a wireless communication device | |
| JP6495175B2 (ja) | モバイル・ネットワークを保護するシステム | |
| ES2389675T3 (es) | Procedimiento de suministro de mensajes de actualización de localización y de mensajes de radiomensajería en un sistema de comunicaciones inalámbricas | |
| ES2388999T3 (es) | Dispositivo de comunicaciones de emergencia | |
| EP3488577B1 (en) | Node and method for detecting that a wireless device has been communicating with a non-legitimate device | |
| KR20140035600A (ko) | 무선 침입방지 동글 장치 | |
| EP2976903A2 (en) | Wlan authentication access control | |
| Xenakis et al. | An advanced persistent threat in 3G networks: Attacking the home network from roaming networks | |
| ES2874449T3 (es) | Sistema para detectar el comportamiento en una red de telecomunicaciones | |
| US20150341361A1 (en) | Controlling a Mobile Device in a Telecommunications Network | |
| KR101094006B1 (ko) | 로밍 이동 단말 상태 모니터링 방법 및 이를 위한 감시 장치 |