JP6737283B2 - 監視装置、基地局、及び監視方法 - Google Patents

監視装置、基地局、及び監視方法 Download PDF

Info

Publication number
JP6737283B2
JP6737283B2 JP2017545076A JP2017545076A JP6737283B2 JP 6737283 B2 JP6737283 B2 JP 6737283B2 JP 2017545076 A JP2017545076 A JP 2017545076A JP 2017545076 A JP2017545076 A JP 2017545076A JP 6737283 B2 JP6737283 B2 JP 6737283B2
Authority
JP
Japan
Prior art keywords
communication terminal
base station
communication
mobile network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017545076A
Other languages
English (en)
Other versions
JPWO2017064824A1 (ja
Inventor
一彰 中島
一彰 中島
真二 益田
真二 益田
田村 利之
利之 田村
秀水 石川
秀水 石川
将之 新庄
将之 新庄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017064824A1 publication Critical patent/JPWO2017064824A1/ja
Application granted granted Critical
Publication of JP6737283B2 publication Critical patent/JP6737283B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は監視装置、基地局、監視方法、制御方法、及びプログラムに関し、特にモバイルネットワークに対する攻撃を監視する監視装置、基地局、監視方法、制御方法、及びプログラムに関する。
通信端末が携帯電話事業者によって運用されるモバイルネットワークを利用して通信を行うために、モバイルネットワークを構成する装置において様々な処理が実行される。非特許文献1には、通信端末のATTACH処理手順が記載されている。ATTACH処理を実行することによって、通信端末の認証、及び通信端末がデータを送受信するために用いられる通信ベアラの設定等が行われる。
3GPP TS23.401 V13.3.0 (2015-06)
近年、モバイルネットワークへのDoS(Denial of Service)攻撃の脅威が高まっている。例えば、大量の制御信号がモバイルネットワークへ送信された場合、モバイルネットワーク内において制御信号の処理を担うノード装置に大きな負荷が発生する。さらに、大量の制御信号がモバイルネットワーク内において伝送されることによって、伝送路が輻輳に陥る可能性もある。携帯電話事業者は、全世界からのGlobal roamingサービスを提供するために、通信端末の認証等を行う際に、他の携帯電話事業者が運用するモバイルネットワークと連携した制御を行う必要がある。そのため、モバイルネットワークへのDoS攻撃は、一つの携帯電話事業者が運用するモバイルネットワークのみならず複数の携帯電話事業者が運用するモバイルネットワークに影響を与える可能性がある。
そこで、モバイルネットワークを安定して運用するために、モバイルネットワークへのDoS攻撃の脅威を軽減することが望まれている。
本発明の目的は、モバイルネットワークへのDoS攻撃の脅威を軽減することができる監視装置、基地局、監視方法、制御方法、及びプログラムを提供することにある。
本発明の第1の態様にかかる監視装置は、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ部と、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させる基地局制御部と、を備えるものである。
本発明の第2の態様にかかる基地局は、自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ部と、前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定する信号制御部と、を備えるものである。
本発明の第3の態様にかかる監視方法は、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させるものである。
本発明の第4の態様にかかる制御方法は、基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定するものである。
本発明の第5の態様にかかるプログラムは、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させることをコンピュータに実行させるものである。
本発明により、モバイルネットワークへのDoS攻撃の脅威を軽減することができる監視装置、基地局、監視方法、制御方法、及びプログラムを提供することができる。
実施の形態1にかかる通信システムの構成図である。 実施の形態2にかかるモバイルネットワークの構成図である。 実施の形態2にかかるInitial Attach処理の概要を示す図である。 実施の形態2にかかるInitial Attach処理の概要を示す図である。 実施の形態2にかかるUEが攻撃を行った場合の処理の流れを示す図である。 実施の形態2にかかるUEが攻撃を行った場合の処理の流れを示す図である。 実施の形態2にかかるUEが攻撃を行った場合の処理の流れを示す図である。 実施の形態2にかかるeNBの構成図である。 実施の形態2にかかるeNBにおけるUEからの攻撃を防御する処理の流れを示す図である。 実施の形態2にかかるATT UEとeNBとの間におけるATT UEからの攻撃を防御する際の処理の流れを示す図である。 実施の形態2にかかるモバイルネットワークの構成図である。 実施の形態3にかかるCause値の一覧を示す図である。 実施の形態4にかかるATT UEとeNBとの間におけるATT UEからの攻撃を防御する際の処理の流れを示す図である。 実施の形態5にかかるモバイルネットワークの構成図である。 実施の形態5にかかるモバイルネットワークの構成図である。 実施の形態5にかかるモバイルネットワークの構成図である。 それぞれの実施の形態におけるノード装置の構成図である。
(実施の形態1)
以下、図面を参照して本発明の実施の形態について説明する。図1を用いて本発明の実施の形態1にかかる通信システムの構成例について説明する。図1の通信システムは、監視装置10、基地局20、通信端末30、通信装置40、及び、加入者データ装置50を有している。監視装置10、基地局20、通信端末30、通信装置40、及び、加入者データ装置50は、プロセッサがメモリに格納されているプログラムを実行することによって動作するコンピュータ装置であってもよい。
基地局20、通信装置40、及び加入者データ装置50は、3GPP(3rd Generation Partnership Project)において規定されているノード装置であってもよい。例えば、基地局20は、NodeBもしくはeNB(evolved NodeB)であってもよい。通信装置40は、SGSN(Serving GPRS Support Node)もしくはMME(Mobility Management Entity)であってもよい。また、加入者データ装置50は、HSS(Home Subscriber Server)もしくはHLR(Home Location Register)であってもよい。
通信端末30は、基地局20と無線通信する端末である。通信端末30は、例えば、携帯電話端末、スマートフォン、またはタブレット型端末等であってもよい。あるいは、通信端末30は、M2M(Machine to Machine)端末またはMTC(Machine Type Communication)端末等であってもよい。
続いて、監視装置10の構成例について説明する。監視装置10は、信号モニタ部11及び基地局制御部12を有している。信号モニタ部11及び基地局制御部12は、プロセッサがメモリに格納されているプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。あるいは、信号モニタ部11及び基地局制御部12は、回路もしくはチップ等のハードウェアであってもよい。
信号モニタ部11は、基地局20と通信する通信端末30に関する情報を通信装置40へ登録するATTACH処理を拒否された回数を監視する。さらに、信号モニタ部11は、監視結果に応じて、モバイルネットワークへ攻撃を行う通信端末と通信する基地局を推定する。モバイルネットワークへ攻撃を行う通信端末と通信する基地局を、以下において、特定基地局と称する。特定基地局は、基地局を構成するセクタの場合であってもかまわない。
モバイルネットワークは、例えば、基地局20、通信装置40、及び、加入者データ装置50を含むネットワークである。
ATTACH処理は、通信端末30がモバイルネットワークを利用することを可能とするために行われる処理である。通信端末30に関する情報は、例えば、通信端末30の位置に関する情報であってもよい。
通信装置40は、例えば、通信端末30の認証を行えない場合、もしくは通信端末30がモバイルネットワークを利用することができない通信端末である場合等に、通信端末30に関する情報を登録することを拒否する。具体的には、通信端末30が、通信端末の識別情報を偽装した場合等に、通信端末30の認証を行えないと判断される。通信装置40は、通信端末30に関する加入者情報を保持する加入者データ装置50と通信を行う事で、通信端末30に関する情報の登録を拒否してもかまわない。
信号モニタ部11は、例えば、基地局20に帰属する通信端末に関する情報を通信装置40へ登録することを拒否された回数が、任意の閾値を超えた場合に、基地局20に、モバイルネットワークへ攻撃を行う通信端末が存在すると推定する。つまり、信号モニタ部11は、基地局20を特定基地局と推定する。
基地局制御部12は、特定基地局と推定された基地局20配下の通信端末30等から送信された信号に設定されている通信端末識別情報に応じて、通信端末30等の情報を通信装置40へ登録する処理を実行するか否かを基地局20が判定することを基地局20に指示する。
基地局20は、配下のすべての通信端末に関する情報を通信装置40へ登録する処理を実行するのではなく、通信端末識別情報に基づいて、一部もしくは全ての通信端末に関する情報を通信装置40へ登録する処理を行わないことになる。
以上説明したように、図1の通信システムを用いることによって、監視装置10は、モバイルネットワークを攻撃する通信端末と通信している特定基地局を推定することができる。さらに、監視装置10は、特定基地局において、通信端末に関する情報を通信装置40へ登録する処理を実行するか否かを判定させることができる。
これより、基地局20が、通信端末に関する情報を通信装置40へ登録する処理の回数を減少させることができる。そのため、モバイルネットワークを攻撃する通信端末が存在する場合であっても、信号数の増加を抑えることができる。
(実施の形態2)
続いて、図2を用いて本発明の実施の形態2にかかるモバイルネットワークの構成例について説明する。図2のモバイルネットワークは、3GPPにおいて規定されているノード装置を用いて構成されている。図2のモバイルネットワークは、UE(User Equipment)31〜33、ATT(ATTACKER) UE34、eNB21、eNB22、MME41、HSS51、SGW(Serving Gateway)61、PGW(Packet Data Network Gateway)62、及びPCRF(Policy and Charging Rule Function)63を有している。
また、図2は、主にUE31〜33及びATT UE34に関するPDN Connectionもしくは通信ベアラを設定する際に用いられる制御データもしくはC-Planeデータの通信経路を示している。
UE31〜33、及びATT UE34は、図1の通信端末30に相当する。UEは、3GPPにおける通信端末の総称である。また、ATT UE34は、モバイルネットワークを攻撃するUEを示している。
eNB21及びeNB22は、図1の基地局20に相当する。eNB21及びeNB22は、無線通信方式としてLTEをサポートする基地局である。
MME41は、図1の通信装置40に相当する。MME41は、UE31〜33及びATT UE34の位置情報を管理する。HSS51は、図1の加入者データ装置50に相当する。HSS51は、UE31〜33及びATT UE34の加入者情報を管理する。
SGW61及びPGW62は、UE31〜33及びATT UE34に関するユーザデータを伝送するゲートウェイ装置である。ユーザデータは、U-Planeデータと称されてもよい。
PCRF63は、UE31〜33及びATT UE34に関するQoS(Quality of Service)制御及び課金制御を実行する装置である。また、PCRF63は、PCRFエンティティもしくはPCRF装置等と称されてもよい。
ここで、ATT UE34が実行するモバイルネットワークに対する攻撃について説明する。ATT UE34は、例えば、モバイルネットワークに対して、DoS攻撃を行う。具体的には、ATT UE34は、Initial Attach処理を繰り返し実行することによって、モバイルネットワークにおいて伝送される制御データを増加させる。モバイルネットワーク内の各ノード装置は、制御データが増加することによって、実行する処理が増加し、処理負担が増加する。
図3及び図4を用いて、3GPPに規定されているInitial Attach処理の概要を説明する。図3及び図4においては、モバイルネットワークに対して攻撃を実行しない一般的なUE31のInitial Attach処理の概要を説明する。Initial Attach処理は、UE31が初めて電源を投入した場合、もしくは、UE31が外国からローミングしてきて、初めてeNB21と通信を行う場合に実行される。
はじめに、UE31は、eNB21へRRC(Radio Resource Control) connection Requestメッセージを送信する(S21)。UE31が初めてeNB21と通信を行う場合、UE31とeNB21との間の無線区間についてセキュリティが確保されていない。そのため、UE31は、ステップS21において、UE31の識別情報として任意の値をRRC connection Requestメッセージに設定する。任意の値は、例えば、random valueと称されてもよい。UE31は、例えば、UE identity=random valueとの情報をRRC connection Requestメッセージに設定する。
次に、eNB21は、RRC connection Requestメッセージに対する応答メッセージとして、RRC connection setupメッセージをUE31へ送信する(S22)。次に、UE31は、NAS(Non-Access Stratum)プロトコルにおいて用いられるNASメッセージを含むRRC connection setup completeメッセージをeNB21へ送信する(S23)。例えば、NASメッセージとして、ATTACHリクエストメッセージが設定される。UE31は、ATTACHリクエストメッセージに、UE31の識別情報としてIMSI(International Mobile Subscriber Identity)を設定する。具体的には、UE31は、ATTACHリクエストメッセージに、Mobile Identity=IMSIとして設定する。IMSIは、通信事業者によって運用される全てのモバイルネットワークにおいてUEを一意に識別する識別番号である。
次に、eNB21は、UE31に関する位置情報を管理するMMEを選択する(S24)。例えば、eNB21は、MMEの負荷状況等を考慮して、MMEを選択してもよい。ここでは、eNB21は、MME41を選択したとする。
次に、eNB21は、MME41へ、Mobile Identity=IMSIが設定されたATTACHリクエストメッセージを含むInitial UE messageを送信する(S25)。
次に、MME41は、UE31に関する認証処理を実行するために、UE31のIMSIを設定したAuthentication Information RequestメッセージをHSS51へ送信する(S26)。次に、HSS51は、UE31のIMSIに関連づけられたAuthentication Vectorsを含むAuthentication Information AnswerメッセージをMME41へ送信する(S27)。Authentication Vectorsは、MME41において、UE31に関する認証を行うために必要なパラメータを含む。例えば、Authentication Vectorsには、RAND(Random challenge)、AUTN(Authentication token)、及びXRES(Expected user response)等のパラメータが含まれる。
次に、MME41は、HSS51から送信されたRAND及びAUTNを含むAuthentication RequestメッセージをUE31へ送信する(S28)。次に、UE31は、MME41から送信されたRAND及びAUTNを用いて、RES(User response)を算出する。UE31は、算出したRESを含むAuthentication ResponseメッセージをMME41へ送信する(S29)。
次に、MME41は、UE31から送信されたRESと、HSS51から送信されたXRESとを用いてUE31に関する認証処理を実行する(S30)。具体的には、MME41は、RESとXRESとが一致するか否かを判定する。MME41は、RESとXRESとが一致すると、UE31がモバイルネットワークを利用することを許可する。ステップS30において、MME41は、UE31がモバイルネットワークを利用することを許可したとする。
次に、MME41は、セキュリティアソシエーションを確立するために、セキュリティアソシエーションにおいて使用するセキュリティアルゴリズムを含むSECURITY MODE COMMANDメッセージをUE31へ送信する(S31)。次に、UE31は、SECURITY MODE COMMANDメッセージに対する応答メッセージとして、SECURITY MODE COMPLETEメッセージをMME41へ送信する(S32)。
次に、MME41は、HSS51において保持されているUE31に関する位置情報を更新するために、Update Location RequestメッセージをHSS51へ送信する(S33)。次に、HSS51は、Update Location Requestメッセージに対する応答メッセージとして、Update Location AckメッセージをMME41へ送信する(S34)。
次に、MME41は、通信ベアラを設定するために、SGW61へCreate Session Requestメッセージを送信する(S35)。さらに、SGW61は、PGW62へCreate Session Requestメッセージを送信する(S36)。次に、PGW62は、UE31に関するPDN(Packet Data Network) Connectionに適用するQoSを決定するために、PCRF63とQoS交渉に関するメッセージを交換する(S37)。
次に、PGW62は、ステップS36におけるCreate Session Requestメッセージに対する応答メッセージとして、Create Session ResponseメッセージをSGW61へ送信する(S38)。さらに、SGW61は、ステップS35におけるCreate Session Requestメッセージに対する応答メッセージとして、Create Session ResponseメッセージをMME41へ送信する(S39)。
次に、MME41は、UE31とeNB21との間の無線設定を行う(S40)。次に、MME41は、無線設定後に、通信ベアラを更新するために、SGW61との間において、Modify Bearer Requestメッセージ及びModify Bearer Responseメッセージを送受信する(S41及びS42)。
次に、MME41は、UE31の一時的な識別情報としてGUTI(Globally Unique Temporary Identity)をUE31に割り当てる(S43)。次に、MME41は、GUTIを含むATTACH AcceptメッセージをUE31へ送信する(S44)。
ステップS44までの処理が実行され、ATTACH処理が正常に完了すると、UE31は、GUTIを有することになる。これ以降、UE31が再びATTACH処理を実行する場合には、UE31は、ステップS21において送信するRRC connection Requestメッセージに、UE identity=S-TMSI(SAE-Temporary Mobile Subscriber Identity)を設定する。S−TMSIは、UE31を識別する情報としてGUTIに含まれる値である。つまり、UE31が再びATTACH処理を実行する場合、UE identity=random valueを設定する代わりに、UE identity=S-TMSIを設定する。
ここで、モバイルネットワークを攻撃する意図を有するATT UE34が実行するInitial Attach処理について説明する。例えば、ATT UE34を用いた攻撃方法として、以下の攻撃が考えられる。
(1)ATT UE34の識別情報として、ビット数もしくは番号形態等が不適切なIMSIを用いてInitial Attach処理を実行する。
(2)ATT UE34の識別情報として、通信事業者によって運用されるいずれのモバイルネットワークにおいても管理されていない値のIMSIを設定し、Initial Attach処理を実行する。
(3)ATT UE34の識別情報として、他のUEのIMSIを設定し、他のUEに成りすましてInitial Attach処理を実行する。
図5を用いて、ATT UE34が、上述した(1)の攻撃を実行した場合の処理の流れについて説明する。ステップS51〜S55は、図3のステップS21〜S25と同様であるため詳細な説明を省略する。
MME41は、ステップS55において、不適切なIMSIが設定されたATTACHリクエストメッセージを含むInitial UE messageを受信すると、ATTACHリジェクトメッセージを含むInitial Context Setup RequestメッセージをeNB21へ送信する(S56)。次に、eNB21は、ATTACHリジェクトメッセージを含むRRC connection ReconfigurationメッセージをATT UE34へ送信する(S57)。
以上説明したように、ATT UE34が上述した(1)の攻撃を実行した場合、ステップS51〜S57の処理が実行される。
続いて、図6を用いて、ATT UE34が上述した(2)の攻撃を実行した場合の処理の流れについて説明する。ステップS61〜S66は、図3のステップS21〜S26と同様であるため詳細な説明を省略する。HSS51は、ステップS66において、通信事業者によって運用されるいずれのモバイルネットワークにおいて管理されていない値のIMSIを受信する。この場合、HSS51は、受信したIMSIの値が存在しないとするCauseを設定したAuthentication Information AnswerメッセージをMME41へ送信する(S67)。受信したIMSIの値が存在しないとするCauseは、例えば、EPS services and non-EPS services not allowed等であってもよい。
次に、MME41は、受信したIMSIの値が存在しないとするCauseを設定したAuthentication Information Answerメッセージを受信すると、ATTACHリジェクトメッセージを含むInitial Context SetupメッセージをeNB21へ送信する(S68)。次に、eNB21は、ATTACHリジェクトメッセージを含むRRC connection ReconfigurationメッセージをATT UE34へ送信する(S69)。
以上説明したように、ATT UE34が上述した(2)の攻撃を実行した場合、ステップS61〜S69の処理が実行される。
続いて、図7を用いて、ATT UE34が上述した(3)の攻撃を実行した場合の処理の流れについて説明する。ステップS71〜S79は、図3のステップS21〜S29と同様であるため詳細な説明を省略する。
ATT UE34は、他のUEのIMSIを設定し、他のUEに成りすましている。そのため、ATT UE34は、ステップS78において送信されたRAND及びAUTNを用いても、HSS51が生成したXRESと同じ値のRESを生成することができない。そのため、MME41は、ATT UE34の認証において、ステップS79において送信されたRESと、ステップS77において送信されたXRESとが異なると判定する(S80)。つまり、MME41は、ATT UE34がモバイルネットワークを利用することを拒否する。
次に、eNB21は、Authentication rejectメッセージをATT UE34へ送信する(S81)。
以上説明したように、ATT UE34が上述した(3)の攻撃を実行した場合、ステップS71〜S81の処理が実行される。
続いて、図8を用いて本発明の実施の形態2にかかるeNB21の構成例について説明する。eNB21は、RRC信号モニタ部71及びNAS信号制御部72を有している。さらに、NAS信号制御部72は、NAS信号モニタ部73及び信号制御部74を有している。
NAS信号モニタ部73は、図1の信号モニタ部11に相当する。信号制御部74は、図1の基地局制御部12に相当する。つまり、NAS信号制御部72は、図1における監視装置10が実行する機能と同様の機能を実行する。言い換えると、図8は、図1における監視装置10が、基地局20であるeNB21に含まれる構成を示している。
RRC信号モニタ部71は、eNB21が形成する通信エリアに在圏している複数のUEから送信されるRRC信号を監視、もしくはモニタする。RRC信号モニタ部71は、任意の時間ごと、一日ごと、一週間ごと、一カ月ごと、もしくは一年ごと等にeNB21において送受信したRRC信号を監視し、RRC信号数に関する統計データを生成してもよい。RRC信号モニタ部71は、統計データを生成することによって、一日のうちどの時間にトラヒックが大量に発生したか、一週間のうちどの曜日にトラヒックが大量に発生したか等を把握することができる。
さらに、RRC信号モニタ部71は、トラヒックが大量に発生した要因として、気象情報、イベント情報等とを関連付けてもよい。イベント情報とは、例えば、コンサート、集会等の人が多く集まるイベントであってもよい。
RRC信号モニタ部71が、統計データを生成することによって、通常とは違うトラヒックの傾向を検出した場合、つまり、ネットワーク動作の異常を検出した場合に、ATT UE34が存在しているか否かを検証する処理を実行してもよい。ATT UE34が存在しているか否かを検証する処理は、NAS信号制御部72において実行される。そのため、RRC信号モニタ部71は、ネットワーク動作の異常を検出した場合に、NAS信号制御部72を起動してもよい。この場合、NAS信号制御部72は、通常は停止している状態である。
NAS信号モニタ部73は、MME41との間において送受信されるメッセージを監視する。例えば、NAS信号モニタ部73は、図5のステップS56もしくは図6のステップS68において受信したATTACHリジェクトメッセージの数を数える。また、NAS信号モニタ部73は、図7のステップS81においてMME41から送信されたAuthentication rejectメッセージの数を数える。
NAS信号モニタ部73は、単位時間において送受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が、任意の閾値を超えた場合に、ATT UE34が存在すると想定する。任意の閾値は、一定値が用いられてもよく、動的に変更されてもよい。
例えば、任意の閾値は、RRC信号モニタ部71において生成された統計データに基づいて動的に変更されてもよい。具体的には、RRC信号モニタ部71において生成された統計データを分析することによって、トラヒックが多くもしくは少なく発生する時間帯、曜日、季節、もしくは気象条件等を想定することができる。これより、トラヒックが多く発生する時間帯等においては、閾値を高く設定し、トラヒックが少なく発生する時間帯においては、閾値を低く設定してもよい。
また、人が多く集まるイベントが開催される日程が予め判明している場合、イベントが開催される日程における閾値を高く設定してもよい。
信号制御部74は、NAS信号モニタ部73において、単位時間において送受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が、任意の閾値を超えたと判定された場合に、eNB21が形成する通信エリアに位置するUEのうち一部のUEに関するInitial Attach処理を拒否する。Initial Attach処理を拒否する対象となる一部のUEは、例えば、RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているUEとしてもよい。言い換えると、Initial Attach処理を拒否する対象となる一部のUEは、RRC connection Requestメッセージにおいて、UE identityに、S-TMSIが設定されていないUEとしてもよい。
さらに、信号制御部74は、eNB21が形成する通信エリアに位置するUEのうち一部のUEに関するInitial Attach処理を拒否する処理を実行する時間を設定してもよい。信号制御部74は、設定した時間を経過した場合、eNB21が形成する通信エリアに位置するUEのうち一部のUEに関するInitial Attach処理を拒否する処理を解除する。
RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているUEとは、はじめて電源を投入したUE、もしくは、海外等の他のモバイルネットワークからローミングしてきたUEが対象となる。また、多くのATT UE34は、図5〜図7において説明したように、Initial Attach処理を正常に終了することができないため、攻撃を行うために繰り返しInitial Attach処理を行う場合、UE identityにS-TMSIを設定することができない。S-TMSIは、正常にInitial Attach処理を終了した場合に、UEに割り当てられるGUTIに含まれる識別情報だからである。
そのため、RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているUEのInitial Attach処理を拒否することによって、ATT UE34が実行する攻撃を減少させることができる。
また、モバイルネットワークを攻撃する意思のないUEであって、はじめて電源を投入したUE、もしくは、海外等の他のモバイルネットワークからローミングしてきたUEについても、Initial Attach処理を拒否する対象となることがある。このようなUEについては、一定時間経過後に、Initial Attach処理を拒否する処理が解除された後に、正常にInitial Attach処理を終了することができる。また、UE identity=random valueが設定されているUEのInitial Attach処理を拒否する動作は、特定基地局のみ行われることより、モバイルネットワークを攻撃する意思のないUEが特定基地局外のエリアに移動する事で正常にInitial Attach処理を終了することができる。ただし、UE identity=random valueが設定されているUEのInitial Attach処理を拒否する動作は、特定基地局の近隣基地局を含む複数の基地局で実施されてもかまわない。
続いて、図9を用いて、eNB21におけるATT UE34からの攻撃を防御する処理の流れについて説明する。はじめに、RRC信号モニタ部71は、生成した統計データからネットワーク動作の異常を検出したか否かを判定する(91)RRC信号モニタ部71は、ネットワーク動作の異常を検出しなかった場合、ステップS91の処理を繰り返す。RRC信号モニタ部71がネットワーク動作の異常を検出した場合、NAS信号モニタ部73は、ATT UE34が存在するか否かを判定する(S92)。
NAS信号モニタ部73は、ATT UE34が存在しないと判定した場合、ステップS91の処理を繰り返す。NAS信号モニタ部73がATT UE34が存在すると想定した場合、信号制御部74は、eNB21が形成する通信エリアに位置するUEのうち一部のUEに関するInitial Attach処理を拒否する(S93)。
続いて、図10を用いて、ATT UE34とeNB21との間におけるATT UE34からの攻撃を防御する際の処理の流れについて説明する。図10は、図9におけるステップS93に関連するシーケンスである。はじめに、ATT UE34は、UE identity=random valueを設定したRRC connection RequestメッセージをeNB21へ送信する(S101)。
次に、eNB21は、受信したRRC connection Requestメッセージに、UE identity=random valueが設定されていると判定する(S102)。次に、eNB21は、ATT UE34へ、RRC connection Rejectメッセージを送信する(S103)。
以上説明したように、本発明の実施の形態2にかかるeNB21は、単位時間において受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視することによって、ATT UE34が存在するか否かを推定することができる。さらに、eNB21は、ATT UE34が存在すると推定した場合、UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたUEに関するInitial Attach処理を拒否する。UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたUEには、ATT UE34が含まれている可能性が高いため、eNB21は、ATT UE34による攻撃を防御することができる。
また、モバイルネットワークを攻撃する意思のないUEがInitial Attach処理を拒否された場合、UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたUEに関するInitial Attach処理を拒否する処理が解除された後に、UEが再度Initial Attach処理を実行することによって、正常にInitial Attach処理を終了することができる。また、UE identity=random valueが設定されているUEのInitial Attach処理を拒否する動作は、特定基地局のみ行われることより、モバイルネットワークを攻撃する意思のないUEが特定基地局外のエリアに移動する事で正常にInitial Attach処理を終了することができる。
UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたUEは、はじめて電源を投入したUE、もしくは、海外等の他のモバイルネットワークからローミングしてきたUEが対象となる。そのため、既にモバイルネットワークにおいて正常にInitial Attach処理が完了しているUEのサービスに影響を与えることはない。
また、実施の形態2においては、図2のLTEをサポートするモバイルネットワークの構成について主に説明したが、図11に示す、第2世代携帯電話システムもしくは第3世代携帯電話システムと称される方式をサポートするモバイルネットワークが用いられてもよい。図11のモバイルネットワークは、UE31〜33、ATT UE34、NB(NodeB)23、NB24、RNC25、SGSN42、GGSN43、HSS51、及びPCRF63を有する。NB23及びNB24は、第2世代携帯電話システム及び第3世代携帯電話システムに用いられる無線方式をサポートする基地局である。RNC25は、eNB21もしくはeNB22に相当し、無線基地局を制御する制御装置である。なお、eNB21及びeNB22は、RNC25に相当する機能を有する基地局として動作する。SGSN42は、MME41に相当し、UEの位置情報の管理及びユーザデータの伝送等を行う装置である。GGSN43は、PGW62に相当する。
図11においては、RNC25が、図8におけるRRC信号モニタ部71及びNAS信号制御部72を有することによって、図2におけるeNB21と同様の処理を実行することができる。
また、上述した(1)〜(3)以外の攻撃方法として、以下の攻撃方法も想定される。図7のステップS78において、MME41がAuthentication RequestメッセージをATT UE34へ送信した場合に、ATT UE34は、eNB21とのコネクションを切断しておく、もしくは、わざと処理を行わずにAuthentication Requestメッセージに対する応答メッセージを送信しない。この場合、一定時間、MME41において、ATT UE34とのセッションを維持することになるため、MME41において管理するセッション数が多くなる。
このような場合、MME41は、一定時間経過後にAuthentication Requestメッセージを再送信し、再送信後も応答メッセージを受信しない場合、タイムアウトによって、ATT UE34とのセッションを切断する。そのため、NAS信号モニタ部73は、単位時間当たりに、再送信したメッセージ数、もしくはタイムアウトした回数が任意の閾値を超えた場合に、ATT UE34が存在すると想定してもよい。
(実施の形態3)
続いて、実施の形態3にかかるATT UE34の存在を推定する処理について説明する。実施の形態3にかかるeNB21の構成は、図8と同様であるため詳細な説明を省略する。実施の形態3においては、NAS信号モニタ部73が、予め定められたCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視する。
Cause値は、ATTACHリジェクトメッセージもしくはAuthentication rejectメッセージを送信する理由を示す値である。例えば、NAS信号モニタ部73は、Initial Attach処理を実行するUEが不適切なUEであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視してもよい。不適切なUEであることを示すCause値は、例えば、図12に示す値であってもよい。図12は、3GPP TS 24.301 V13.3.0 (2015-09) Table 9.9.3.9.1:EMM cause information elementに示されているCause値の中から、不適切なUEであることを示すCause値を抽出している。
以上説明したように、NAS信号モニタ部73は、全てのATTACHリジェクトメッセージ及びAuthentication rejectメッセージのうち、不適切なUEであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数のみを数える。これにより、例えば、eNB21は、HSS等に障害が発生した場合に発生するAuthentication rejectメッセージ等をカウントすることがなくなる。そのため、不適切なUEであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が閾値を超えた場合、全てのATTACHリジェクトメッセージ及びAuthentication rejectメッセージが閾値を超えた場合と比較して、eNB21は、ATT UE34が存在する可能性を高精度に推定することができる。
(実施の形態4)
続いて、図13を用いてATT UE34とeNB21との間におけるATT UE34からの攻撃を防御する際の処理の流れについて説明する。ステップS111〜S113は、図2のステップS21〜S23と同様であるため詳細な説明を省略する。
eNB21は、ステップS113においてRRC connection setup completeメッセージを受信すると、RRC connection setup completeメッセージに設定されたUE identityに特定の値の範囲(特定のレンジ)に含まれるIMSIが設定されていると判定する(S114)。次に、eNB21は、ステップS113において受信したRRC connection setup completeメッセージを破棄し、Initial Attach処理を停止する(S115)。
eNB21は、ステップS114において用いる特定のレンジの値を、次のように設定してもよい。例えば、eNB21は、図5のステップS56、図6のステップS67、及び図7のステップS81において、ATTACHリジェクトメッセージ及びAuthentication rejectメッセージが送信されることになったInitial Attach処理において、UEが設定していたIMSIを含むようにレンジの値の幅を設定してもよい。レンジに含まれるIMSIの数は、任意の数であってもよい。
以上説明したように、eNB21が、ATT UE34が含まれている可能性の高い特定のレンジに含まれるIMSIが設定されたRRC connection setup completeメッセージを破棄することによって、eNB21において、ATT UE34からのモバイルネットワークに対する攻撃を防御することができる。
また、図10及び図13におけるATT UE34からの攻撃を防御する方法を実行しても、eNB21においてInitial Attach処理に関するメッセージ数が減少しない場合、図5のステップS21における、RRC connection Requestメッセージに設定されているUE identityによらず、一律、一定時間の間Initial Attach処理を拒否してもよい。
さらに、一定時間の間、一律Initial Attach処理を拒否しても、eNB21においてInitial Attach処理に関するメッセージ数が減少しない場合、ATT UE34からの攻撃を効果的に防御するために、ATT UE34と通信していると推定されるeNB21を一定時間の間停波もしくはAttach処理に関するメッセージを受け付けないようにしてもよい。もしくは、NAS信号モニタ部73が、ATTACHリジェクトメッセージ及びAuthentication rejectメッセージが送信されたInitial Attach処理において、UEがアクセスしてくる周波数帯を検出している場合、eNB21において検出した周波数帯をサポートするセクタのみ停波してもよい。
一般的に、ATT UE34がDoS攻撃を行い、MME41の処理負荷が上昇した場合に、MME41配下の全てのeNBにおいて発信規制等が行われ、広範囲においてDoS攻撃の影響が及ぶことがある。これに対して、ATT UE34と通信していると推定されるeNB21を一定時間の間停波、もしくは、eNB21の一部のセクタのみ停波することによって、DoS攻撃の影響が及ぶ範囲を狭めることができる。
(実施の形態5)
続いて、図14を用いて、図2及び図11とは異なるモバイルネットワークの構成例について説明する。図14のモバイルネットワークは、図2のモバイルネットワークに、Security GW81及び監視装置91を追加した構成である。Security GW81は、eNB21及びeNB22と接続している。また、監視装置91は、Security GW81とMME41との間の通信を中継する。
また、eNB21とSecurity GW81との間、さらに、eNB22とSecurity GW81との間は、IPsecにより通信経路のセキュリティが確保されていてもよい。
監視装置91は、図8におけるRRC信号モニタ部71及びNAS信号制御部72を有する装置である。つまり、監視装置91が、ATT UE34が存在するか否かを判定し、ATT UE34と通信を行うeNBにおいて、一部のUEに関するInitial Attach処理を拒否することを決定する。
また、監視装置91は、Security GW81内に設けられてもよく、MME41内に設けられてもよい。
続いて、図15を用いて、図2、図11、及び図14と異なるモバイルネットワークの構成例について説明する。図15のモバイルネットワークは、図11のモバイルネットワークに、Security GW81及び監視装置91を追加した構成である。Security GW81は、RNC25と接続している。また、監視装置91は、Security GW81とSGSN42との間の通信を中継する。
また、監視装置91は、Security GW81内に設けられてもよく、SGSN42内に設けられてもよい。
図14及び図15に示すように、監視装置91は、MME41またはSGSN42の前段に配置されてもよい。これによって、図8のように監視装置91において実行される機能をモバイルネットワーク上の全てのeNBもしくはRNCに盛り込む必要がなくなる。そのため、図8のようにeNBにおいて監視装置91の機能を実行する場合と比較して、容易に、モバイルネットワークに、DoS攻撃を防御するための機能を盛り込むことが可能となる。
さらに、図16に示すように、複数の監視装置91を、ネットワーク管理装置100が集約して管理するように構成されてもよい。ネットワーク管理装置100は、EMS(Element Management System)もしくはNMS(Network Management System)と称されてもよい。例えば、図14において、eNB21及びeNB22は、MME41以外のMMEとも通信を行うことがある。例えば、eNB21は、図5のステップS54において、UE毎にMMEを選択することが可能であるため、複数のMMEと通信を行うことができる。
Security GW81に接続されている監視装置91は、eNBから送信されるメッセージ及びeNBを宛先とするメッセージを監視することによってeNB毎に発生するメッセージの数を監視する。しかし、それぞれのeNBは、複数のMMEと通信を行っているため、それぞれのeNBが他のMMEと通信を行う場合のメッセージは、監視装置91とは異なる他の監視装置において監視される。
そのため、一つの監視装置91のみでは、eNB毎に発生するメッセージ数を正確に監視することはできない。そこで、複数の監視装置91を集約して管理するネットワーク管理装置100を用いる。ネットワーク管理装置100は、監視装置91_1、91_2、さらに、91_n(nは、1以上の整数)から、eNB毎に発生したメッセージ数に関する情報を収集する。ネットワーク管理装置100は、複数の監視装置から情報を収集し、eNB毎に発生したメッセージ数を足し合わせることによって、eNB毎に発生したメッセージ数を正確に監視することができる。
続いて以下では、図17を用いて、上述の複数の実施形態で説明された図1、図2、図11、図14、図15、図16に示される通信システムを構成するノード装置の構成例について説明する。図17は、ノード装置140の構成例を示すブロック図である。図17を参照すると、ノード装置140は、ネットワークインターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインターフェース1201は、通信システムを構成する他のネットワークノード装置と通信するために使用される。ネットワークインターフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたノード装置140の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
図17の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたサーバ140の処理を行うことができる。
図17を用いて説明したように、通信システムを構成する各ノード装置が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、実施の形態1乃至5に記載されている内容は適宜組み合わせて実施されてもよい。例えば、実施の形態2におけるATT UE34の存在を推定する処理を、実施の形態3におけるATT UE34の存在を推定する処理に置き換えてもよい。また、実施の形態2におけるATT UE34からの攻撃を防御する際の処理を、実施の形態4におけるATT UE34からの攻撃を防御する際の処理に置き換えてもよい。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2015年10月15日に出願された日本出願特願2015−203626を基礎とする優先権を主張し、その開示の全てをここに取り込む。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ部と、
前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させる基地局制御部と、を備える監視装置。
(付記2)
前記通信装置は、
不適切な前記通信端末識別情報を設定している通信端末に関する情報を前記通信装置へ登録することを拒否する、付記1に記載の監視装置。
(付記3)
前記通信装置は、
前記通信端末において生成された認証情報と、前記モバイルネットワーク内において生成された認証情報とが一致しない場合に、前記通信端末に関する情報を前記通信装置へ登録することを拒否する、付記1に記載の監視装置。
(付記4)
前記信号モニタ部は、
前記ATTACH処理を拒否する際に送信されるメッセージのうちに、予め定められたCause値が設定されているメッセージの数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する、付記1乃至3のいずれか1項に記載の監視装置。
(付記5)
前記基地局制御部は、
前記モバイルネットワーク内において初めて通信を行う通信端末であることを示す前記通信端末識別情報が設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、付記1乃至4のいずれか1項に記載の監視装置。
(付記6)
前記基地局制御部は、
前記通信端末識別情報として、少なくとも1つの値を有する判定値に含まれるIMSIが設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、付記1乃至4のいずれか1項に記載の監視装置。
(付記7)
前記基地局制御部は、
前記特定基地局配下の通信端末に関する情報を前記通信装置へ登録する処理を所定期間前記特定基地局に実行させない、付記1乃至6のいずれか1項に記載の監視装置。
(付記8)
前記基地局制御部は、
前記特定基地局における電波を停波させる、付記7に記載の監視装置。
(付記9)
前記基地局において送受信されるメッセージ数に関する統計データを生成し、前記統計データに示されるトラヒックの傾向と異なるトラヒックの傾向が発生している場合に、前記信号モニタ部及び前記基地局制御部を起動する無線信号モニタ部をさらに備える、付記1乃至8のいずれか1項に記載の監視装置。
(付記10)
自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ部と、
前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定する信号制御部と、を備える基地局。
(付記11)
基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させる、監視方法。
(付記12)
基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定する、制御方法。
(付記13)
基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させることをコンピュータに実行させるプログラム。
(付記14)
基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定することをコンピュータに実行させるプログラム。
10 監視装置
11 信号モニタ部
12 基地局制御部
20 基地局
21 eNB
22 eNB
23 NB
24 NB
25 RNC
30 通信端末
31 UE
32 UE
33 UE
34 ATT UE
40 通信装置
41 MME
42 SGSN
43 GGSN
50 加入者データ装置
51 HSS
61 SGW
62 PGW
63 PCRF
71 RRC信号モニタ部
72 NAS信号制御部
73 NAS信号モニタ部
74 信号制御部
81 Security GW
91 監視装置
100 ネットワーク管理装置

Claims (10)

  1. 基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ手段と、
    前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させる基地局制御手段と、を備える監視装置。
  2. 前記通信装置は、
    不適切な前記通信端末識別情報を設定している通信端末に関する情報を前記通信装置へ登録することを拒否する、請求項1に記載の監視装置。
  3. 前記通信装置は、
    前記通信端末において生成された認証情報と、前記モバイルネットワーク内において生成された認証情報とが一致しない場合に、前記通信端末に関する情報を前記通信装置へ登録することを拒否する、請求項1に記載の監視装置。
  4. 前記信号モニタ手段は、
    前記ATTACH処理を拒否する際に送信されるメッセージのうちに、予め定められたCause値が設定されているメッセージの数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する、請求項1乃至3のいずれか1項に記載の監視装置。
  5. 前記基地局制御手段は、
    前記モバイルネットワーク内において初めて通信を行う通信端末であることを示す前記通信端末識別情報が設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、請求項1乃至4のいずれか1項に記載の監視装置。
  6. 前記基地局制御手段は、
    前記通信端末識別情報として、特定の値の範囲に含まれるIMSIが設定された場合、前記IMSIが設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、請求項1乃至4のいずれか1項に記載の監視装置。
  7. 前記基地局制御手段は、
    前記特定基地局配下の通信端末に関する情報を前記通信装置へ登録する処理を所定期間前記特定基地局に実行させない、請求項1乃至6のいずれか1項に記載の監視装置。
  8. 前記基地局において送受信されるメッセージ数に関する統計データを生成し、前記統計データに示されるトラヒックの傾向と異なるトラヒックの傾向が発生している場合に、前記信号モニタ手段及び前記基地局制御手段を起動する無線信号モニタ手段をさらに備える、請求項1乃至7のいずれか1項に記載の監視装置。
  9. 自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ手段と、
    前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するATTACH処理を実行するか否かを判定する信号制御手段と、を備える基地局。
  10. 基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するATTACH処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
    前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するATTACH処理を実行するか否かを判定させる、監視方法。
JP2017545076A 2015-10-15 2016-07-04 監視装置、基地局、及び監視方法 Active JP6737283B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015203626 2015-10-15
JP2015203626 2015-10-15
PCT/JP2016/003172 WO2017064824A1 (ja) 2015-10-15 2016-07-04 監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020119126A Division JP2020174391A (ja) 2015-10-15 2020-07-10 制御装置、ネットワーク管理装置、制御方法、及びネットワーク管理方法

Publications (2)

Publication Number Publication Date
JPWO2017064824A1 JPWO2017064824A1 (ja) 2018-08-02
JP6737283B2 true JP6737283B2 (ja) 2020-08-05

Family

ID=58517935

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017545076A Active JP6737283B2 (ja) 2015-10-15 2016-07-04 監視装置、基地局、及び監視方法
JP2020119126A Pending JP2020174391A (ja) 2015-10-15 2020-07-10 制御装置、ネットワーク管理装置、制御方法、及びネットワーク管理方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2020119126A Pending JP2020174391A (ja) 2015-10-15 2020-07-10 制御装置、ネットワーク管理装置、制御方法、及びネットワーク管理方法

Country Status (3)

Country Link
US (2) US11190541B2 (ja)
JP (2) JP6737283B2 (ja)
WO (1) WO2017064824A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3744058B1 (en) * 2018-01-25 2023-09-06 Telefonaktiebolaget Lm Ericsson (Publ) Technique for enabling signaling message correlation
US10681556B2 (en) 2018-08-13 2020-06-09 T-Mobile Usa, Inc. Mitigation of spoof communications within a telecommunications network
CN109104335A (zh) * 2018-08-27 2018-12-28 广东电网有限责任公司 一种工控设备网络攻击测试方法与系统
JP7091472B2 (ja) * 2018-11-28 2022-06-27 京セラ株式会社 通信機器、車両、及び方法
CN111465020A (zh) * 2019-01-18 2020-07-28 中兴通讯股份有限公司 一种防伪基站方法及装置、计算机可读存储介质
CN113055342B (zh) * 2019-12-26 2022-08-26 华为技术有限公司 一种信息处理方法及通信装置
CN113811022B (zh) * 2021-08-12 2024-03-12 天翼物联科技有限公司 异常终端拒绝方法、系统、装置及存储介质
JP7492091B1 (ja) 2024-01-10 2024-05-28 株式会社インターネットイニシアティブ 推定装置および推定方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020188868A1 (en) * 2001-06-12 2002-12-12 Budka Kenneth C. Method for protecting use of resources in a network
JP3840186B2 (ja) 2003-02-03 2006-11-01 株式会社東芝 サービス提供装置、サービス送受信システム及びサービス提供プログラム
CN100413370C (zh) * 2004-12-13 2008-08-20 上海贝尔阿尔卡特股份有限公司 传输多媒体广播/多播业务告知指示的方法和设备
EP2676398B1 (en) 2011-02-14 2014-09-10 Telefonaktiebolaget L M Ericsson (Publ) Wireless device, registration server and method for provisioning of wireless devices
US8897751B2 (en) 2011-03-14 2014-11-25 Alcatel Lucent Prevention of eavesdropping type of attack in hybrid communication system
US8955113B2 (en) * 2011-09-28 2015-02-10 Verizon Patent And Licensing Inc. Responding to impermissible behavior of user devices
WO2014049909A1 (ja) 2012-09-28 2014-04-03 日本電気株式会社 無線アクセスネットワーク装置、移動通信システム、通信方法、およびプログラムが格納された非一時的なコンピュータ可読媒体
US20150033335A1 (en) * 2012-11-28 2015-01-29 Verisign, Inc. SYSTEMS AND METHODS TO DETECT AND RESPOND TO DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS
US9654361B2 (en) * 2014-05-13 2017-05-16 Cisco Technology, Inc. Dynamic collection of network metrics for predictive analytics
US9900801B2 (en) * 2014-08-08 2018-02-20 Parallel Wireless, Inc. Congestion and overload reduction
WO2016020012A1 (en) * 2014-08-08 2016-02-11 Telefonaktiebolaget L M Ericsson (Publ) Authentication procedure in a control node
US10327137B2 (en) * 2015-03-16 2019-06-18 Mavenir Systems, Inc. System and method for detecting malicious attacks in a telecommunication network

Also Published As

Publication number Publication date
WO2017064824A1 (ja) 2017-04-20
US11190541B2 (en) 2021-11-30
US20220014550A1 (en) 2022-01-13
US20180309783A1 (en) 2018-10-25
JPWO2017064824A1 (ja) 2018-08-02
JP2020174391A (ja) 2020-10-22

Similar Documents

Publication Publication Date Title
JP6737283B2 (ja) 監視装置、基地局、及び監視方法
EP3070903B1 (en) System and method for detecting malicious attacks in a telecommunication network
US9668286B2 (en) Method for controlling connection between user equipment and network, and mobility management entity
CN102905266B (zh) 一种实现移动设备附着的方法及装置
CN107925954B (zh) 用来支持实时业务定向网络的信令接口
EP3145248B1 (en) Method for mobile communication system, mobile communication system, mobile terminal, network node, and pgw
US20230164726A1 (en) User equipment (ue) and communication method for ue
KR20130073850A (ko) 페이크 네트워크의 식별을 위한 방법 및 장치
EP3108699B1 (en) Method and apparatus for cgw selection
Xenakis et al. An advanced persistent threat in 3G networks: Attacking the home network from roaming networks
US11432144B2 (en) Authentication system
WO2016178373A1 (ja) 移動管理交換機、通信システム及び通信制御方法
US11882105B2 (en) Authentication system when authentication is not functioning
US20220038904A1 (en) Wireless-network attack detection
US20160198432A1 (en) Paging procedure in a control node
WO2017146076A1 (ja) ゲートウェイ装置、通信方法、及び、非一時的なコンピュータ可読媒体
JP2015002468A (ja) Nasバックオフタイマのタイマ値を決定するための方法及び装置、無線端末、並びにプログラム
WO2016180145A1 (zh) 一种无线网络鉴权方法及核心网网元、接入网网元、终端
CN106686662B (zh) 一种实现mme池的方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180409

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200629

R150 Certificate of patent or registration of utility model

Ref document number: 6737283

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150