JP4994359B2 - 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 - Google Patents
3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 Download PDFInfo
- Publication number
- JP4994359B2 JP4994359B2 JP2008504141A JP2008504141A JP4994359B2 JP 4994359 B2 JP4994359 B2 JP 4994359B2 JP 2008504141 A JP2008504141 A JP 2008504141A JP 2008504141 A JP2008504141 A JP 2008504141A JP 4994359 B2 JP4994359 B2 JP 4994359B2
- Authority
- JP
- Japan
- Prior art keywords
- mobile
- attack
- signaling
- traffic
- wireless network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000011664 signaling Effects 0.000 title claims description 48
- 238000000034 method Methods 0.000 title claims description 26
- 238000005259 measurement Methods 0.000 claims description 12
- 238000012546 transfer Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000000691 measurement method Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000007781 pre-processing Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000013468 resource allocation Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006266 hibernation Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007781 signaling event Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
Description
サービス拒否攻撃(DoS)攻撃は重大な課題を投げかけ続けている。実際のところ、インターネットにおける攻撃の頻度や程度は増加の一途をたどっている。2000年2月に起きたYahoo、CNN、EBay等を含むポピュラーなウェブサイトへの攻撃をはじめ、最近ではルートDNSサーバへの攻撃など、これまで公表された攻撃は数多くある。
DoS攻撃は通常、ノードに対してその処理能力を超える大量のトラフィックを送りつけることによって行われ、攻撃の間、往生したノードをネットワークから追放してしまうことになる。より洗練された攻撃は分散DoS(DDoS)攻撃である。
DDoS攻撃を仕掛けようとするアタッカーは、よく知られたセキュリティホールを使って多くのノードを破壊することによって事を開始する。これらの手に落ちたノードは実質的にアタッカーのスレーブとなり、ネットワークにトラフィックを送り込む拠点として動作する。相当数の手に落ちたノードを召喚することによって、アタッカーは複数の拠点からトラフィックをカスケード上に構成して大規模なネットワーク規模の攻撃を仕掛けることができてしまう。
DoS攻撃に対抗するために多くの手段が提案されてきた。DoS攻撃から防御する現在の最新技術には、ファイヤーウォール(Cisco社のPIXルータ、Netscreen、Checkpoint's Firewall−1がその例である)、プッシュバックをサポートするためのルータ修正、攻撃のソースを検出するよう試みる逆追跡メカニズム、及び到来トラフィックにおける異常や兆候を調べる関連侵入検知メカニズムなどがある。これらの手法のあるものは既存のネットワーク要素における大きな変更を要するとともに配備するのにコストがかかり、また他の手法はISPにわたる協働が必要となり、従って現実的ではない。とはいっても、それでもこれらの手法は有線DoS攻撃の脅威を軽減することにはなる。例えば、ほとんどのファイヤーウォールは接続が外部から開始されることを許可しないのでDoSを氾濫させる攻撃を阻止することができる。
一方、無線ネットワークは有線ネットワークよりもかなり脆弱である。無線ネットワークには新規なDoS攻撃に悪用され得る幾つかの脆弱性がある。
・限られた無線リンク帯域幅:
低容量の無線リンクと組み合わされた少ないリソースのために、それはDoS攻撃の標的となり易い。現実に、かなり少ない(即ち、比較的少量の)トラフィックで無線リンクを過負荷にすることができるので、アタッカーの仕事は有線の場合よりも簡単に達成されてしまう。さらに、比較的少量のトラフィックのために無線DoS攻撃を検知することが困難となる。
・処理オーバーヘッド:
標準的な3G1x又はUMTSネットワークは、電力制御、リソース割当て、ページングなどの機能のホストを実行する幾つかの基盤要素を有している。無線ネットワークコントローラ(RNC)及び基地局は各移動体のためのアクティビティに従事している。速いハンドオフによって、それらの装置が要するオーバーヘッドは膨大なものとなる。さらに、そのような装置は通常、同時にアクティブとなっている相当数のユーザの負荷を扱うよう設計されている。従って、過負荷はあらゆる無線インフラにとって大きな懸念事項となる。
・限られた電力供給:
他の構成ファクタとして、無線ネットワーク内の移動体装置(移動体)は普通は電池によって給電されているが、その限られた使用時間のために、移動体に余計な電力消費アクティビティを実行させることによって単にその電源を枯渇させるクラス攻撃の標的となってしまう。この自己の動作によって移動体は操作不能となってしまう。
・複数の標的
無線DoS攻撃において、移動体だけでなくインフラも簡単に攻撃され得るので、アタッカーはより柔軟性を持つことになる。各移動体を個々に攻撃することによっても、あるいはより広範に効果を及ぼすために無線インフラを標的とすることによっても、同じ攻撃によって複数の移動体を標的とすることができる。さらに、常時オンの能力がある1xEV−DOのような新しいアーキテクチャが攻撃の可能性を増大させている。
・限られた無線リンク帯域幅:
低容量の無線リンクと組み合わされた少ないリソースのために、それはDoS攻撃の標的となり易い。現実に、かなり少ない(即ち、比較的少量の)トラフィックで無線リンクを過負荷にすることができるので、アタッカーの仕事は有線の場合よりも簡単に達成されてしまう。さらに、比較的少量のトラフィックのために無線DoS攻撃を検知することが困難となる。
・処理オーバーヘッド:
標準的な3G1x又はUMTSネットワークは、電力制御、リソース割当て、ページングなどの機能のホストを実行する幾つかの基盤要素を有している。無線ネットワークコントローラ(RNC)及び基地局は各移動体のためのアクティビティに従事している。速いハンドオフによって、それらの装置が要するオーバーヘッドは膨大なものとなる。さらに、そのような装置は通常、同時にアクティブとなっている相当数のユーザの負荷を扱うよう設計されている。従って、過負荷はあらゆる無線インフラにとって大きな懸念事項となる。
・限られた電力供給:
他の構成ファクタとして、無線ネットワーク内の移動体装置(移動体)は普通は電池によって給電されているが、その限られた使用時間のために、移動体に余計な電力消費アクティビティを実行させることによって単にその電源を枯渇させるクラス攻撃の標的となってしまう。この自己の動作によって移動体は操作不能となってしまう。
・複数の標的
無線DoS攻撃において、移動体だけでなくインフラも簡単に攻撃され得るので、アタッカーはより柔軟性を持つことになる。各移動体を個々に攻撃することによっても、あるいはより広範に効果を及ぼすために無線インフラを標的とすることによっても、同じ攻撃によって複数の移動体を標的とすることができる。さらに、常時オンの能力がある1xEV−DOのような新しいアーキテクチャが攻撃の可能性を増大させている。
無線に特化したDoS攻撃を仕掛けるアタッカーは容易にこれらの脆弱性をつくことができる。
無線攻撃の他の副作用は、攻撃が移動体に到達してしまったらもう遅いということである。無線DoS攻撃において、サーバがダウンしてしまうのには所定の時間がかかる。なぜなら、そのようなマシンは無線終端(移動体)よりも大きな処理容量を有しているからである。これに対して、移動体は処理及び電源使用時間を制限してきた。さらに、無線リンクは有線ネットワークに比べてかなり帯域幅が制限されている。攻撃によるトラフィックが移動体に到達した時点で、攻撃は無線リンク、無線インフラ、及び移動体の電源の多くのリソースを浪費することに既に成功している。これは、攻撃を成功させるためにはサーバの処理リソースを過負荷にしなければならない標準的な有線DoS攻撃とは対照的である。
従って、3G無線ネットワークのDoS系攻撃を検知し、阻止し、及び防御するための方法及び装置の提供が望まれている。より具体的には、UMTS、CDMA2000及び他の3G無線ネットワークに対して仕掛けられた無線DoS系攻撃を検知し、阻止し、及び防御するための方法及び装置の提供が望まれている。
3G無線ネットワークは、移動体とそれに関連する無線インフラの間でデータが伝送されるための専用チャネルの確立(即ち設定)を要する。チャネルを設定するために、移動体と無線インフラの要素との間にシグナリングメッセージが伝送される必要がある。シグナリング攻撃は無線インフラを過負荷とするためにこのシグナリングの性質を悪用しようとする。
<UMTSネットワークにおけるシグナリング攻撃>
まず、UMTSアーキテクチャの簡単な導入説明から始める。次に、データチャネルの設定に必要なシグナリング、及びシグナリング攻撃に対するUMTSネットワークの脆弱性の概略を説明する。
まず、UMTSアーキテクチャの簡単な導入説明から始める。次に、データチャネルの設定に必要なシグナリング、及びシグナリング攻撃に対するUMTSネットワークの脆弱性の概略を説明する。
図1にUMTS無線ネットワークアーキテクチャの例を示す。ここには、サービングGPRSサポートノード(SGSN)とインターネットの間の無線ゲートウェイとして機能するGPRSネットワークエンティティであるゲートウェイGPRSサポートノード(GGSN)をはじめ、幾つかの構成部材がある。さらに、GGSNは動的アドレス割当てのためのDHCPサーバだけでなく、外部ネットワーク上の認証サーバとのインターフェイスを担う。移動体又はユーザがネットワークに対して正しく認証され、登録されると、ポイントトゥポイント(PPP)リンクがGGSNと移動体の間に設定される。
SGSNは、移動体の位置及び認証についての情報を保持することに加えて、データを移動局へ及び移動局から送信する役割を担う。通常は、複数のSGSNがあり、その各々がそのサービスエリア内に物理的に位置するGPRSユーザに従属する。
基地局コントローラ(BSC)としても知られる無線ネットワークコントローラ(RNC)は、無線リンク層プロトコルを終了する点である。RNCは、基地局(BS)を介して通信する無線装置とネットワークエッジとの間のインターフェイスを提供する。これは、BS間のハンドオフのような管理タスクだけでなく無線リソース制御、管理制御、チャネル割当てなどBS機器における無線送受信機を制御及び管理すること、並びに電力制御パラメータを決定することを含む。BSの機能には、無線リンク送信/受信、変調/復調、物理チャネル符号化、誤り処理、電力制御などがある。この階層的アーキテクチャにおいて、複数の移動体がBSと通信し、複数のBSがRNCと通信し、複数のRNCがGGSN/SGSNと交信する。
リソース割当てについてチャネルを設定するためのUMTSシグナリング制御フローを説明する。基本的に、データが加入者に到着すると、UMTS・RNCは加入者の基地局に無線アクセスベアラ(RAB)を確立する必要がある。RABはデータ転送のためのチャネルであり、不活性になるまでの期間が時間切れになると開放される。RABを確立し、及び開放するために、大量のメッセージがRNC、移動体及び基地局の間で交換される。これはRNCに対しては相当量のオーバーヘッドとなり、シグナリングの期間中多くの処理オーバーヘッドを生じさせる。
RNC、移動体及び基地局の間でのメッセージフローの例を図2に示す。基本的に、データ呼ごとに多数のメッセージが移動体とRNCの間で交換される。それらのメッセージのうちのいくつか(非アクセス層、即ち、NASメッセージとして指定されるもの)についてはRNCは送信点でないが、RNCはそれらのメッセージをコアネットワークにおける終着点(例えば、PDSN)に転送することが要される。
<無線リソース制御(RRC)メッセージ>
RRC系メッセージは移動体の電力測定のための無線チャネルを確立/開放するために、ページングメッセージを搬送するために、及び情報をブロードキャストするために用いられる。RRC設定によって専用シグナリングチャネルの生成がなされ、これは移動体への/移動体からのデータ送信を有効にする際の最初のステップとなる。これはRNCと移動体の間で交換される6個のメッセージを要する。これに続いて、PDSNとのPPP接続及びIPアドレスの割当てを含む認証及びコンテキストの確立を目的として、移動体とコアネットワークの間で交換される一連のメッセージが続く。所与の加入者に対してコンテキストの安全を守るための暗号の交換に帰着する制御セキュリティモードのために、さらに4個のメッセージがRNC、コアネットワーク及び移動体との間で交換される。最後に、RNCで交換される追加の8個のメッセージ(コアネットワークとの2個のメッセージ、移動体との3個のメッセージ、及び基地局との3個のメッセージ)を要してRABが設定され、RNCと単一のRABを確立するのに結果的に合計24個のメッセージを要することになる(RNC内の異なる要素間で交換されるメッセージは含まない)。なお、その後に続くRAB確立では、制御セキュリティモードは移動体の再認証のために必要な場合があるが、RRCシグナリングチャネル設定は必要ではない。
RRC系メッセージは移動体の電力測定のための無線チャネルを確立/開放するために、ページングメッセージを搬送するために、及び情報をブロードキャストするために用いられる。RRC設定によって専用シグナリングチャネルの生成がなされ、これは移動体への/移動体からのデータ送信を有効にする際の最初のステップとなる。これはRNCと移動体の間で交換される6個のメッセージを要する。これに続いて、PDSNとのPPP接続及びIPアドレスの割当てを含む認証及びコンテキストの確立を目的として、移動体とコアネットワークの間で交換される一連のメッセージが続く。所与の加入者に対してコンテキストの安全を守るための暗号の交換に帰着する制御セキュリティモードのために、さらに4個のメッセージがRNC、コアネットワーク及び移動体との間で交換される。最後に、RNCで交換される追加の8個のメッセージ(コアネットワークとの2個のメッセージ、移動体との3個のメッセージ、及び基地局との3個のメッセージ)を要してRABが設定され、RNCと単一のRABを確立するのに結果的に合計24個のメッセージを要することになる(RNC内の異なる要素間で交換されるメッセージは含まない)。なお、その後に続くRAB確立では、制御セキュリティモードは移動体の再認証のために必要な場合があるが、RRCシグナリングチャネル設定は必要ではない。
移動体の位置に依存して、いわゆるソフトハンドオフは移動体が最も強い信号を持つ主ノードに「レッグ」又は基地局を追加することを必要とする。これにはRNCで交換される追加の4個のメッセージ(移動体との2個のメッセージ、及び主基地局との2個のメッセージ)が必要となる。最後に、転送後に移動体はRAB及びRRC接続の切断を開始する。これはIU開放機能によって起動される。これには、RNCで交換される合計11個のメッセージ(コアネットワークとの2個のメッセージ、移動体との4個のメッセージ、及び基地局との5個のメッセージ)が必要となる。再度になるが、この数にはRNCでの全体負荷に寄与するRNC内部処理メッセージは含まない。
移動体とそのコアネットワークとの間で交換されるデータがない場合、移動体は保留状態におかれる。このような状態において、エアリンクのリソースは開放され、他のアクティブな移動体に割り当てられ、これには4個のメッセージ(そのコアネットワークとの2個のメッセージ、及び基地局との2個のメッセージ)が必要となる。しかし、コンテキストはRNCでいまだ保持され、移動体はRRC/RAB確立の間に得られた自身のIPアドレスを維持する。移動体は、5秒間のアイドル時間切れ期間が発動されない限りは、パケット呼コンテキスト回復メッセージを用いて再度アクティブにすることができる。
<脆弱性と攻撃の性質>
アタッカーは、RNCとBSの間での過大なシグナリングメッセージ交換を実質的にトリガすることによって、RAB設定のために重いシグナリングオーバーヘッドが課されることにつけ込んでくる。これは、不活性になったことによってRABが切断された直後に新しいRABの確立をトリガするバーストがアタッカーから到着するように、適宜時間設定された期間に少量のバーストを送信することによってなされる。この頻繁な設定/開放動作によって、過大な量のシグナリングメッセージをリクエストすることになるのでRNCを簡単に過負荷にしてしまう。
アタッカーは、RNCとBSの間での過大なシグナリングメッセージ交換を実質的にトリガすることによって、RAB設定のために重いシグナリングオーバーヘッドが課されることにつけ込んでくる。これは、不活性になったことによってRABが切断された直後に新しいRABの確立をトリガするバーストがアタッカーから到着するように、適宜時間設定された期間に少量のバーストを送信することによってなされる。この頻繁な設定/開放動作によって、過大な量のシグナリングメッセージをリクエストすることになるのでRNCを簡単に過負荷にしてしまう。
なお、アタッカーが移動体のIPアドレスを入手することは比較的容易である。無線サービスプロバイダは通常、連続したIPアドレスのかたまりを割当てるので、アタッカーは真正な加入者を装うことによってアドレスの有効な範囲を簡単に推認することができる。
攻撃の2つの顕著な特徴は注目に値する。第1は、前述したように、攻撃では平均伝送速度が遅い(小さいバーストが周期的に送信される)ことによって、既存の検知メカニズムがトラフィックを悪性として分類することが難しくなっていることである。また、(バーストが)少量であることによってもアタッカーが攻撃を仕掛けるのが容易になる。これはアタッカーが攻撃を仕掛けるだけでも多数のホストを無能化することが必要となる従来のDDoS攻撃の場合とは対照的である。さらに、アタッカーが攻撃の影響を拡大、拡散させるのには移動体ごとに1つのパケットだけ送りつければよいので、これがさらに検知を複雑化させている。
<攻撃による被害>
そのような攻撃による被害は、有効なトラフィックがリソース割当てを受けられなくなりそれがRNCによって廃棄されてしまうほど深刻なものとなる。RNCも過負荷になり、相当数の加入者へのサービスを完全に拒否することになる。さらに、RNCは同時にアクティブになる相当量(例えば、10%)の移動体/ユーザを扱うように設計されている。攻撃の少量的性質のためにアタッカーにとってこの数を超えることは容易である。
そのような攻撃による被害は、有効なトラフィックがリソース割当てを受けられなくなりそれがRNCによって廃棄されてしまうほど深刻なものとなる。RNCも過負荷になり、相当数の加入者へのサービスを完全に拒否することになる。さらに、RNCは同時にアクティブになる相当量(例えば、10%)の移動体/ユーザを扱うように設計されている。攻撃の少量的性質のためにアタッカーにとってこの数を超えることは容易である。
シグナリング攻撃の他の副作用は、移動体の電池を使い果たす可能性があることである。通常は電力を節約するために、パケットを送受信していない時には移動体のスイッチは低電力アイドル又は休止状態にある。少量のバーストが周期的に送られてくると、移動体は必要以上に長くアクティブでいることを強いられる。最悪のシナリオでは、移動体は休止状態に入ることが全くできずに急速にその電池を使い果たしてしまう。
発明らは攻撃の影響のシミュレーションを行った。結果のうちの幾つかを図3a及び3bのグラフに示す。図3aは1日の一連の攻撃の時刻に対する基地局コントローラの負荷をプロットし、図3bは1日の時刻に対する呼の設定遅延時間(即ち、呼が到着した後に時間リソースが割り当てられるまでにかかる遅延)をプロットしている。
図3a及び3bの結果は攻撃の劇的な影響を実証している。6%の攻撃トラフィックを送信しただけで、RNCの負荷が使用率15%から75%に5ファクタも増加することになる。この結果はまた、呼設定遅延における5倍の増加を意味し、これによって、特にリアルタイムサービスを売りとしているプロバイダへの顧客の信頼が失われる。10%程度の攻撃トラフィックを送信するだけでRNCを過負荷状態とするのは比較的容易である。
ここで、以下は3G1xアーキテクチャ(例えばCDMA2000)及びシグナリングの簡単な説明である。
<3G1xアーキテクチャ>
図5に3G1x無線ネットワークの標準的なアーキテクチャを示す。PDSNはルータであればよく、無線ネットワーク全体における全ユーザの移動体/端末へ及びそこからのデータフローのゲートウェイとして機能する。移動体又はユーザが正しく認証され、ネットワークに登録されると、PPPリンクがGGSNとユーザ/移動体との間でされる。PDSNへの経路上には無線インフラの一部となる3つの装置がある。RNC及びBSはUMTSにおいて対応する部材と同じ機能を持つ。この階層アーキテクチャにおいては、複数の移動体が基地局と通信し、複数の基地局がRNCと通信し、複数のRNCがPDSNと交信する。
図5に3G1x無線ネットワークの標準的なアーキテクチャを示す。PDSNはルータであればよく、無線ネットワーク全体における全ユーザの移動体/端末へ及びそこからのデータフローのゲートウェイとして機能する。移動体又はユーザが正しく認証され、ネットワークに登録されると、PPPリンクがGGSNとユーザ/移動体との間でされる。PDSNへの経路上には無線インフラの一部となる3つの装置がある。RNC及びBSはUMTSにおいて対応する部材と同じ機能を持つ。この階層アーキテクチャにおいては、複数の移動体が基地局と通信し、複数の基地局がRNCと通信し、複数のRNCがPDSNと交信する。
<3G1xシグナリング>
3G1xネットワークにおいて、リソース割当てについての類似の問題がある。UMTSネットワークにおけるRABの同等物はデータを転送するために設定されなければならない基本チャネル(FCH)である。FCHの設定に用いられる標準的な設定を図4に示す。
3G1xネットワークにおいて、リソース割当てについての類似の問題がある。UMTSネットワークにおけるRABの同等物はデータを転送するために設定されなければならない基本チャネル(FCH)である。FCHの設定に用いられる標準的な設定を図4に示す。
PDSNは移動体のためのデータを受信すると、それは移動体をページングする。ページングメッセージに対する成功応答が受信される(3個のメッセージが交換される)と、基地局は移動体とのFCH又はトラフィックチャネルの設定を開始する(8個のメッセージを交換する)。並行して、基地局とRNCの間でサービスリクエストがなされ、これは4個のメッセージを要する。RNCはまたコアネットワークへのメッセージを転送するものとし、この場合ユーザを認証する必要がある。これによって追加の6個のメッセージを使うことになる。最後に、会計上の目的のために2個の追加のメッセージがRNCとPDSNの間で交換される。これがなされると、アクティブなチャネルがデータを移動体へ及び移動体から送信するために存在することになる。
呼の開放は逆の手順をたどり、RNCからPDSN及び基地局への7個のメッセージ、基地局とRNC、PDSN及び移動体との間の8個のメッセージを要する。全体として、29個のメッセージがBSによって、RNCがコアネットワークへ転送する役割を担っている9個のメッセージに加えて13個のメッセージがRNCによって作成され又は受信される。
各加入者には通常は主レッグが割り当てられ、それは元々は呼が最初に設定されたときに転送基地局として動作する。場合によっては、アンカーレッグといわれる追加の基地局が長期間存続する接続のために確立される。このレッグは主レッグとは区別され、移動体に対して最も強い信号を持つ基地局として定義される。アンカーレッグは、9.6KbpsのFCHで容量不足の時に用いられる補充チャネル(SCH)をいつ割り当てるか決定する役割を持つ。
FCHの容量を超える過大なバースト形式のデータがある場合、SCHを各ユーザに生成するよう、リソースがオンデマンドで割り当てられる。16個の追加のメッセージがアンカーレッグ、RNC及び他の基地局の間で(ソフトハンドオフのために)交換され、補充チャネル割当て及び開放におけるアンカーレッグの同様の脆弱性を招く。
アンカーレッグへの攻撃はRNCへの攻撃よりも拡散的被害が少ないが、その影響はそれでも無線サービスプロバイダに対してかなりの歳入損失をもたらすのに十分なほど重大である。アタッカーが複数のアンカーレッグに攻撃の影響を及ぼすことができる場合、被害はさらに増幅する。アタッカーは特定のアンカーレッグに属する加入者を標的とすることさえできる。
なお、アタッカーが単にランダムにアドレスを付けられたバーストを送信するだけの場合でも、被害はなお重大なものとなり得る。単一のアンカーレッグがバーストを受信している加入者を受け持っていなくても、それでもRNCは複数のアンカーレッグとのやり取りのために過負荷状態になり得る。
攻撃を阻止し防御するために、本発明者らはいわゆる無線状態の情報、特にトラフィックが無線ネットワークを通過するときのシグナリングのコストの情報が必要であることを認識した。これによって悪性のトラフィックが過大なシグナリングコストをもたらそうとし始めると直ちにそれが識別されるのを可能とする。シグナリングコストは、関与する無線インフラに応じて種々のやり方で知得することができる。理想的には、正確なシグナリングコストはRNC及び基地局のような無線構成要素に照会して(これらの構成要素がそのような照会にインターフェイスを提供する時に)知得できる。しかし、現在の3G無線ネットワークはそのようなインターフェイスを有していないので、そのような照会に対応するためには修正が必要である。しかし、既存のインフラを変更することはネットワークの所有者/オペレータによって既に費やされた投資の量を考慮すると現実的な解決手段とはいえない。
本発明者らは、シグナリング呼の情報を前提としてトラフィック到着パターンからシグナリングコストを推定する簡素ではあるが新規なメカニズムを見出した。本発明者らはそのように推定されたシグナリングコストを用いて攻撃を検知するための方法及び装置を提供する。
上述のように、無線構成要素が照会のためのインターフェイスを備える場合は、シグナリングコストは簡単な照会によって知得することができる。それがない場合、問題はそのような無線構成要素の補助なしにコストを知得することである。本発明のある実施例では、シグナリングコストはトラフィック到着パターンから推定される。これはシグナリングプロトコルの情報を無線構成要素の内部に照会する。表1に、本発明の一実施例によるUMTSネットワークにおける(RAB確立/開放による)シグナリングコストを推定する技法の例を示す。本発明の範囲内にある同様の技法を、本発明の代替的実施例によるCDMA2000ネットワークについての他のタイプのシグナリングコストを推定するために用いることができる。
本発明は宛先RABが開放されていた場合にパケットが到着すると宛先移動体はRABを再確立するという事実を利用するものである。この再確立によって、アイドルタイマの時間切れのために新たなRABを確立し以前のRABを開放するための追加のコストが発生してしまう。これが、本発明によって提供される技術によって検出されるコストである。
出て行くシグナリング攻撃の確かな予兆は、たとえ実際の送信されるデータの量は小さくても過大な又は追加的なシグナリングコストを検知結果にある。なお、説明を続ける前に補足しておくと、アタッカーは、やはり過大なシグナリングコストをもたらす膨大な量のトラフィックを用いてネットワークを溢れさせることはできる。しかし、(少量の攻撃と)比較して言えば、これは既存のファイヤーウォール又は侵入検知メカニズムによって簡単に検知することができる。少量の攻撃については、検知のためにはより正確なメトリックが必要になる。本発明によると、データ対シグナリングコスト比という統計的測定がメトリックとして用いられる。この比があるプロファイリングされた閾値を超える場合、シグナリング攻撃が検知され、攻撃ソースからの悪性のトラフィック/パケットがブロックされる。本発明の更なる実施例では、同じソースからの複数の攻撃が検知された場合、例えば、他のソースからのトラフィックを通過させつつ、攻撃ソースからの悪性のトラフィック/パケット等がブロックされる。他の侵入検知メカニズムも誤警告の機会を減らすために用いることができる。
本発明の例示的方法によると、トラフィックが攻撃の一部であるかを判別する第1のステップは遅い比較のための閾値を規定することである。これはユーザ/アプリケーションに対して専用のものとすべきである。この閾値は前処理期間にユーザ/アプリケーションをプロファイリングすることによって選択すればよい。
そのような期間中に、各ユーザに対するプロファイルが統計的なデータ対シグナリングコスト比に基づいて構築される。プロファイルを作る際に使用する情報にはソース及び宛先のパケット到着時刻、IPアドレス及びポート番号を含む。
本発明によって提供されるプロファイリングメカニズムの1つの新規な側面は(サーバだけでなくユーザやアプリケーションに)関連するプロファイルを統合する能力である。ユーザプロファイルによって、我々は個々のユーザに対する統計を参照する。この細分はさらに個々のアプリケーションによって分類される。例えば、ウェブサーフィンは多くのユーザによって最も頻繁に使用されるサービスである。同様に、ビデオ・オン・デマンドサーバはビデオをユーザにブロードキャストするのにRTPパケットを用いることになる。個々のウェブサーバごとの統計もHTTP/RTPパケットの到着のログをとることによって編集できる。
規模的適応を可能とするために、プロファイルを類似の挙動のユーザにわたって統合することができる。そして、現在のトラフィックが、不一致性を検知するために統合プロファイルと比較される。統合プロファイルは多くの人が使うサーバに対して、及び多くの人が使うアプリケーションに対しても類似的に保持される。異なる分類手法を用いる柔軟性によって、正常なトラフィックとみなされるトラフィックの、より広範で正確な特徴づけが可能となる。このプロファイルは異常な悪性のトラフィックを検知する鍵となる一方、積極的誤り(有効なトラフィックを悪性のトラフィックとする誤った分類)の可能性を最小にする。
最初のステップにおいて、データ対シグナリングコスト比のような現在の測定値が生成又は導出される。この比はインフラに直接照会することによっても、推定技術を用いることによっても得ることができる。
次に、データ対シグナリングコスト比が、閾値である基準比と比較される。あるユーザに対して導出された比が、ユーザに対するプロファイルを構築する前処理ステップで特定された閾値、即ちS/DTHRESHを超える場合、送信者「s」からの後続のトラフィックにフラグが立てられる。
最後に、(閾値VOTETHRESHと比較されたときに)送信者sからの相当量のパケットが疑わしいものとしてフラグが立てられた場合、又は疑わしい挙動が拡張期間(INVALIDTIMER)にわたって続いた場合、その送信者からの以降のトラフィックをブロックするためにファイヤーウォールにフィルタが適用される。
なお、前処理ステップ中に生成されたユーザプロファイルは、積極的誤りを最小限にし、違反時に正確に検知するためにユーザの挙動に適応している。より具体的には、最初のプロファイルが前処理中に作られた後に、ユーザの挙動の変化に基づいて定期的に更新されるようにしてもよい。
表2において利用される方法は多くの異なるやり方で実施でき、その1つは無線攻撃への抵抗のためのアーキテクチャ(AWARE:Architecture for Wireless Attack REsistance)といわれるものである。AWAREが有効となった装置(以下、「AWARE有効化装置」という)は規格化されたものでよく、その後の攻撃に対抗するためにアップグレードをサポートすることができる。
本発明の一実施例では、AWAREアーキテクチャ(例えば、有効化装置)は2つの構成部材を含み、それは学習データベース及びプロファイラ並びに/又は検知エンジン若しくは検知器である。学習データベースは前処理ステップ中にユーザに関する情報を捕捉して記憶するよう動作する。所与のユーザに対するプロファイラは正常な状況下(攻撃がない状態)でのトラフィックプロファイルを生成する。データベースおよびプロファイラは1つの同じものであってもよいし、移動体間の相関に対して他のユーザデータベース及びプロファイラと相関付けられてもよい。これらのデータベースにおける情報は検知器/検知エンジンに入力される。本発明の一実施例では、検知エンジンは各ユーザについての閾値を保持し、ユーザ又はユーザの組についての現在のトラフィックが、対応する閾値に違反しているかを確認するよう動作することができる。AWARE有効化装置(データベース、プロファイラ及び/又は検知器を内包するもの)と通信する能力を持つ無線構成要素に応じて、AWARE有効化装置の配置が以下のように異なる。
・ファイヤーウォールとの共存配置
AWARE有効化装置は無線サービスプロバイダのファイヤーウォールと共存配置することができる。そのような設計が選択される場合、必ずしも無線インフラの他の部分がAWARE有効化装置の存在を認識しているとか、AWARE有効化装置と双方向通信しているという前提とする必要はない。
本発明のある実施例では、AWARE有効化装置はプロファイルを構築するためにパケット到着などのIP層情報並びにIP/TCP及びアプリケーション層のヘッダからの情報を使用する。これは、AWARE有効化装置がパケットの中を見ること前提としている。IPsec(トンネルモード)が有効化されていた場合、AWARE有効化装置がパケットヘッダ及びペイロードを復号して検査することができるようにドメイン内のIPsecゲートウェイと共存配置することができる。
・PDSNとRNCの間の配置
本発明の代替的実施例として、AWARE有効化装置はPDSNとRNCの間に配置してもよい。そのような設計において、装置はPDSNと双方向通信して、どのようにしてパケットが異なるRNCに分配されるかについての情報を得る。RNCはFCH及びSCH設定/開放のためのシグナリングイベント数、シグナリングメッセージのタイムスタンプ、及び移動体の電力消費を推定する基地局を介した電力制御情報のような精細なゲイン情報を提供する。なお、AWARE有効化装置がスタンドアロン型の装置である場合は、AWARE互換インターフェイスは当該装置が無線インフラ(例えば、ファイヤーウォール)とともに動作できるようにする必要がある。
AWARE有効化装置は無線サービスプロバイダのファイヤーウォールと共存配置することができる。そのような設計が選択される場合、必ずしも無線インフラの他の部分がAWARE有効化装置の存在を認識しているとか、AWARE有効化装置と双方向通信しているという前提とする必要はない。
本発明のある実施例では、AWARE有効化装置はプロファイルを構築するためにパケット到着などのIP層情報並びにIP/TCP及びアプリケーション層のヘッダからの情報を使用する。これは、AWARE有効化装置がパケットの中を見ること前提としている。IPsec(トンネルモード)が有効化されていた場合、AWARE有効化装置がパケットヘッダ及びペイロードを復号して検査することができるようにドメイン内のIPsecゲートウェイと共存配置することができる。
・PDSNとRNCの間の配置
本発明の代替的実施例として、AWARE有効化装置はPDSNとRNCの間に配置してもよい。そのような設計において、装置はPDSNと双方向通信して、どのようにしてパケットが異なるRNCに分配されるかについての情報を得る。RNCはFCH及びSCH設定/開放のためのシグナリングイベント数、シグナリングメッセージのタイムスタンプ、及び移動体の電力消費を推定する基地局を介した電力制御情報のような精細なゲイン情報を提供する。なお、AWARE有効化装置がスタンドアロン型の装置である場合は、AWARE互換インターフェイスは当該装置が無線インフラ(例えば、ファイヤーウォール)とともに動作できるようにする必要がある。
「最も入り込まない(既存のものに影響が少ない)」設計においては、AWARE有効化装置はファイヤーウォールから通過してきたIPパケットを、それらがPDSNに到達する前に見るだけである。必要な情報の全てはアプリケーション、TCP及びIPヘッダ並びにペイロード自体に含まれている。プロファイルを構築するのに必要な情報は上記のヘッダ及びペイロードから抽出することができる。
AWARE有効化装置は既存のファイヤーウォール又はIPsecゲートウェイと通信可能であるべきである。理想的には、AWARE有効化装置は疑わしいトラフィックをブロックするフィルタとして動作するエンティティにおいて共存配置されるのがよい。AWARE有効化装置がIPsecゲートウェイと共存配置されていない場合には、トンネルモードにおいてESPでカプセル化されたパケットを復号して処理することができるような、ゲートウェイとのいわゆるセキュリティ関係が必要となる。たとえAWARE有効化装置がファイヤーウォールと共存配置されていなくても、通常は、ほとんどの市販のファイヤーウォールに対してフィルタの構成を可能とするCheckpoint's Firewall−1のようなインターフェイスがある。
AWARE有効化装置がPDSNとRNCの間に配置される場合、より多くのユーザ専用状態情報(即ち、どのRNCにユーザが属しているか、及びRLPフレームから得られる他の可能な情報)が収集される。また、移動体は1つのRNCから他のRNCへと横断するので、AWARE有効化装置は移動に関する情報を得ることもできる。よく移動するエンドユーザはインフラの負荷に大きく寄与するので、検出のヒューリスティック性に対する移動情報の影響は分析する価値がある。よく移動するユーザに対する無線DoS攻撃を仕掛けるには、より頻繁なページングのような、実質的にオーバーヘッドを処理することを追加する追加タスクが必要となる。また、移動体は転送を開始する前にPDSNとのPPP接続を起動するかもしれない。AWARE有効化装置はPPP状態履歴を得るためにPDSNに照会することもある。
発明者らは、AWARE有効化装置に加えて、AWARE関連アーキテクチャが追加の装置を必要とすることも認識した。
例えば、本発明によってAWARE互換インターフェイスが提供される。本発明の一実施例では、そのようなインターフェイスは無線ユーザ/移動体の状態を照会するように動作できる。そのようなインターフェイスによって、移動体/ユーザに対する専用の情報を得るためにAWARE有効化装置が無線インフラと安全を確保した上で通信することも可能となる。なお、状態情報を推定するために少なくともパケット到着を知る必要があるので、そのようなインターフェイスはPDSNだけでなくインフラ内のオプションとして含まれてもよい。
インターフェイスに加えて、本発明はプラグイン検知器を備える。
スノート(Snort)とは、AWARE有効化装置の機能を模擬するオープンソースのIDS機構である。スノートは規格品であり、新しいプラグインがインストールされるのを可能とし、従って、検知メカニズムが現在及び将来の攻撃に対する防御のためにカスタマイズされ高度化されることを可能とする。「プラグイン」とは、スノートの挙動を変更するために動的に追加され得るモジュールのことを意味する包括的な用語である。
本発明のある実施例では、本発明のヒューリスティック検出機能を含むスノート互換プラグインが提供される。
他のプラグインもまた本発明によって提供される。それらの実験中に発明者らはファイヤーウォールとインターフェイスし、攻撃に反応するためにスノートサム(Snortsam)を利用した。
本発明の追加の実施例では、そのようなインターフェイスを可能とするスノートサム互換プラグインが提供される。そのようなプラグインは悪性トラフィックをブロックするフィルタとして挙動するよう動作できる。
代替的に、このプラグインは悪性トラフィックの優先度を下げるために無線パケットスケジューラとインターフェイスされてもよい。
なお、本発明の方法、AWARE有効化装置、インターフェイス、及びあらゆる下位構成部材(例えば、学習データベース、プロファイラ、検知器など)はハードウェア、ソフトウェア、フレームウェア又はこれらの何らかの組み合わせで実現されればよい。例えば、1以上のプログラマブル又はプログラム済みのコントローラ、プロセッサなどが、上記及び特許請求の範囲に記載の本発明の構成及び機能を実施するよう動作可能な1以上のプログラム又はコード(及びデータ)を記憶するよう動作する。
Claims (10)
- 3G無線ネットワークに対するシグナリング攻撃を検知する方法であって、
移動体装置に関連するトラフィックレベルを測定するステップと、
測定された該トラフィックレベル及びデータ転送チャネルの確立及び解放に基づくシグナリングコストに関連するデータ対コストの比を生成するステップと、
サービス拒否シグナリング攻撃が該装置に向けられたか否かを判別するために、該生成された比を、プロファイルされたデータ対コスト基準閾値の比と比較するステップとを含む、方法。 - 請求項1の方法であって、さらに、該生成された比が該基準閾値の比以上のときに、該移動体装置を狙った悪性のトラフィックが該装置に到達するのを阻止するステップを含む、方法。
- 請求項1の方法において、該ネットワークがUMTS又はCDMA2000ネットワークからなるグループから選択される、方法。
- 請求項1の方法であって、さらに、トラフィック到着パターンから該シグナリングコストを生成するステップを含む、方法。
- 請求項1の方法において、該トラフィックレベルが相対的に少量のデータである、方法。
- 無線ネットワークにおけるサービス拒否(DoS)攻撃を検知する方法であって、
(a)該無線ネットワークの正常動作中に、データ転送チャネルの確立及び解放から推定されるシグナリングコストと少なくとも1つの移動体へ又はそこから送信される実際のデータとの間の関係を特徴付ける統計的測定値を生成するステップと、
(b)該統計的測定値を現在の測定値と比較するステップと、
(c)該現在の測定値が該統計的測定値に対して閾値よりも大きく異なる場合にDoS攻撃を検知するステップとを含む、方法。 - 請求項6の方法において、該統計的測定値が、所定期間内に少なくとも1つの移動体へ又はそこから送信される実際のデータ量に対する所定時間内のシグナリングコストの比に基づく、方法。
- 請求項7の方法であって、さらに、該比をトラフィック到着パターンに基づいて推定するステップを含む、方法。
- 3G無線ネットワークであって、
該無線ネットワークとインターネットとの間のアクセスを提供するよう適合された1またはそれ以上のアクセスノードと、
該アクセスノードと通信するよう適合された1またはそれ以上の無線ネットワークコントローラ(RNC)と、
RNCと通信し、及び1またはそれ以上の移動体装置と通信するよう適合された、各RNCについての1またはそれ以上の基地局と、
アーキテクチャであって、
(a)該無線ネットワークの正常動作中の、データ転送チャネルの確立及び解放から推定されるシグナリングコストと少なくとも1つの移動体へ又はそこから送信される実際のデータとの間の関係を特徴付ける統計的測定値を生成し、
(b)該統計的測定値を現在の測定値と比較し、及び
(c)該現在の測定値が該統計的測定値に対して閾値よりも大きく異なる場合にDoS攻撃を検知する、ように適合されたアーキテクチャを備える、3G無線ネットワーク。 - 3G無線ネットワークに対するサービス拒否(DoS)攻撃を防御する装置であって、
移動体の情報を記憶するよう動作するデータベースと、
該記憶された情報に基づいて、該移動体についての攻撃がない状態に関連するトラフィックプロファイルを生成するよう動作するプロファイラとを備え、前記プロファイルは、データ転送チャネルの確立及び解放から推定されるシグナリングコストと該移動体へ又はそこから送信される実際のデータとの間の関係を特徴付ける統計的測定値を含み、前記装置はさらに、
該移動体に関連する現在のトラフィックを、少なくとも生成された該移動体のプロファイルに関連する閾値と比較することによって攻撃を検知するよう動作する検知器を備える、装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/094,416 | 2005-03-31 | ||
| US11/094,416 US20060230450A1 (en) | 2005-03-31 | 2005-03-31 | Methods and devices for defending a 3G wireless network against a signaling attack |
| PCT/US2006/010108 WO2006104752A1 (en) | 2005-03-31 | 2006-03-21 | Methods and devices for defending a 3g wireless network against a signaling attack |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008537385A JP2008537385A (ja) | 2008-09-11 |
| JP4994359B2 true JP4994359B2 (ja) | 2012-08-08 |
Family
ID=36579743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008504141A Expired - Fee Related JP4994359B2 (ja) | 2005-03-31 | 2006-03-21 | 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20060230450A1 (ja) |
| EP (1) | EP1864471B1 (ja) |
| JP (1) | JP4994359B2 (ja) |
| KR (2) | KR101235099B1 (ja) |
| CN (1) | CN101151868A (ja) |
| WO (1) | WO2006104752A1 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1771021A1 (en) * | 2005-09-29 | 2007-04-04 | Telefonaktiebolaget LM Ericsson (publ) | A method and apparatus for allocation of radio resources |
| US8965334B2 (en) * | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| CN101536560B (zh) | 2006-10-30 | 2013-06-19 | 交互数字技术公司 | 用于在长期演进系统中实施跟踪区域更新和小区重选的方法和设备 |
| DE102006052709B3 (de) * | 2006-11-08 | 2008-06-19 | Siemens Ag | Anordnung und Verfahren zur Regulierung einer Datenübertragung in einem Netz |
| KR20080057161A (ko) * | 2006-12-19 | 2008-06-24 | 주식회사 케이티프리텔 | 점대점 터널링 통신을 위한 침입 방지 장치 및 방법 |
| KR100889670B1 (ko) * | 2007-08-08 | 2009-03-19 | 삼성에스디에스 주식회사 | 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법 |
| US9036540B2 (en) * | 2007-09-28 | 2015-05-19 | Alcatel Lucent | Method and system for correlating IP layer traffic and wireless layer elements in a UMTS/GSM network |
| US9009828B1 (en) | 2007-09-28 | 2015-04-14 | Dell SecureWorks, Inc. | System and method for identification and blocking of unwanted network traffic |
| US20090113039A1 (en) * | 2007-10-25 | 2009-04-30 | At&T Knowledge Ventures, L.P. | Method and system for content handling |
| US20090209291A1 (en) * | 2008-02-19 | 2009-08-20 | Motorola Inc | Wireless communication device and method with expedited connection release |
| JP2012506644A (ja) * | 2008-10-30 | 2012-03-15 | 日本電気株式会社 | アクセスネットワークの拡張による影響を最小化するためのユーザ装置とH(e)NBとの通信方法 |
| US8688826B2 (en) * | 2009-11-30 | 2014-04-01 | Motorola Mobility Llc | Mobile computing device and method with intelligent pushing management |
| US20110302652A1 (en) * | 2010-06-07 | 2011-12-08 | Novell, Inc. | System and method for detecting real-time security threats in a network datacenter |
| WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
| US9253023B2 (en) * | 2011-08-10 | 2016-02-02 | International Business Machines Corporation | Network management system with a switchable flood revention mode pregarding fault events for a managed device |
| KR101149587B1 (ko) * | 2011-10-31 | 2012-05-29 | 한국인터넷진흥원 | 이동통신망의 시그널링 도스 트래픽 탐지방법 |
| US9380071B2 (en) * | 2011-12-12 | 2016-06-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for detection of persistent malware on a network node |
| CN103490849A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 分析信令流量的方法及装置 |
| KR101444899B1 (ko) * | 2012-07-12 | 2014-09-26 | 건국대학교 산학협력단 | 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법 |
| KR20170064561A (ko) * | 2012-11-22 | 2017-06-09 | 코닌클리즈케 케이피엔 엔.브이. | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
| CN103906094B (zh) * | 2012-12-24 | 2017-10-17 | 中国电信股份有限公司 | Evdo控制信道资源占用获取方法和系统 |
| KR101725129B1 (ko) * | 2013-02-22 | 2017-04-10 | 한국전자통신연구원 | 무선랜 취약성 분석 장치 |
| CN104125571A (zh) * | 2014-07-03 | 2014-10-29 | 北京大学 | 一种伪基站的检测与抑制方法 |
| US10193922B2 (en) * | 2015-01-13 | 2019-01-29 | Level 3 Communications, Llc | ISP blacklist feed |
| WO2016204839A2 (en) * | 2015-03-18 | 2016-12-22 | Hrl Laboratories, Llc | System and method to detect attacks on mobile wireless networks based on network controllability analysis |
| CN104880056B (zh) * | 2015-06-23 | 2017-12-08 | 湖州师范学院 | 基于snort的木材干燥的安全控制方法 |
| US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| EP3595257B1 (en) * | 2018-07-10 | 2020-12-30 | Nokia Solutions and Networks Oy | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device |
| CN109922075B (zh) * | 2019-03-22 | 2020-06-02 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN112448894B (zh) * | 2019-09-03 | 2022-08-19 | 华为技术有限公司 | 阻断信令风暴的方法、装置、设备及存储介质 |
| CN113727348B (zh) * | 2020-05-12 | 2023-07-11 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备、系统及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE498270T1 (de) * | 2000-05-12 | 2011-02-15 | Niksun Inc | Sicherheitskamera für ein netzwerk |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7092357B1 (en) * | 2001-11-13 | 2006-08-15 | Verizon Services Corp. | Anti-flooding flow-control methods and apparatus |
| KR100427449B1 (ko) * | 2001-12-14 | 2004-04-14 | 한국전자통신연구원 | 네트워크 기반 침입탐지시스템의 적응적 규칙 추정에 의한침입탐지방법 |
| CA2414789A1 (en) * | 2002-01-09 | 2003-07-09 | Peel Wireless Inc. | Wireless networks security system |
| JP3923346B2 (ja) * | 2002-03-29 | 2007-05-30 | 京セラ株式会社 | 無線通信機 |
| US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
-
2005
- 2005-03-31 US US11/094,416 patent/US20060230450A1/en not_active Abandoned
-
2006
- 2006-03-21 WO PCT/US2006/010108 patent/WO2006104752A1/en active Application Filing
- 2006-03-21 CN CNA2006800101862A patent/CN101151868A/zh active Pending
- 2006-03-21 EP EP06739051A patent/EP1864471B1/en not_active Not-in-force
- 2006-03-21 JP JP2008504141A patent/JP4994359B2/ja not_active Expired - Fee Related
- 2006-03-21 KR KR1020077022059A patent/KR101235099B1/ko not_active IP Right Cessation
- 2006-03-21 KR KR1020127019442A patent/KR101259775B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006104752A1 (en) | 2006-10-05 |
| EP1864471B1 (en) | 2012-09-26 |
| KR101235099B1 (ko) | 2013-02-20 |
| US20060230450A1 (en) | 2006-10-12 |
| CN101151868A (zh) | 2008-03-26 |
| KR101259775B1 (ko) | 2013-05-06 |
| EP1864471A1 (en) | 2007-12-12 |
| KR20070116612A (ko) | 2007-12-10 |
| JP2008537385A (ja) | 2008-09-11 |
| KR20120099286A (ko) | 2012-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4994359B2 (ja) | 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 | |
| Lee et al. | On the detection of signaling DoS attacks on 3G wireless networks | |
| Lee et al. | On the detection of signaling DoS attacks on 3G/WiMax wireless networks | |
| JP4891641B2 (ja) | 無線ネットワーク内の電力消耗サービス拒否攻撃の検出 | |
| JP5378799B2 (ja) | 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置 | |
| EP3404949B1 (en) | Detection of persistency of a network node | |
| Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
| Malekzadeh et al. | Validating Reliability of OMNeT++ in Wireless Networks DoS Attacks: Simulation vs. Testbed. | |
| JP2010514248A (ja) | 点対点トンネリング通信のための侵入防止装置及び方法 | |
| JP2006304303A (ja) | 無線ネットワークにおける安全な隔離と回復 | |
| Lu et al. | BiRe: A client-side Bi-directional SYN Reflection mechanism against multi-model evil twin attacks | |
| Ricciato et al. | On the impact of unwanted traffic onto a 3G network | |
| Gill et al. | Scheme for preventing low-level denial-of-service attacks on wireless sensor network-based home automation systems | |
| Khan et al. | Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks | |
| Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
| Ettiane et al. | Protection mechanisms for signaling DoS attacks on 3G mobile networks: Comparative study and future perspectives | |
| Durairaj et al. | ThreV-An Efficacious Algorithm to Thwart MAC Spoof DoS Attack in Wireless Local Area Infrastructure Network | |
| Tupakula et al. | Securing mobile devices from DoS attacks | |
| Kim et al. | A fast defense mechanism against IP spoofing traffic in a NEMO environment | |
| Mishra et al. | A Novel Approach for Detection and Prevention of DOS Attack in Wireless Mesh Network | |
| Yan et al. | Stochastic security performance of active cache based defense against dos attacks in wireless mesh network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090226 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110908 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110914 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20111214 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120409 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120508 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |