JP7268240B2 - シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体 - Google Patents

シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体 Download PDF

Info

Publication number
JP7268240B2
JP7268240B2 JP2022501309A JP2022501309A JP7268240B2 JP 7268240 B2 JP7268240 B2 JP 7268240B2 JP 2022501309 A JP2022501309 A JP 2022501309A JP 2022501309 A JP2022501309 A JP 2022501309A JP 7268240 B2 JP7268240 B2 JP 7268240B2
Authority
JP
Japan
Prior art keywords
target
signaling
blocking
log
chr
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022501309A
Other languages
English (en)
Other versions
JP2022539901A (ja
Inventor
宇▲東▼ 才
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2022539901A publication Critical patent/JP2022539901A/ja
Application granted granted Critical
Publication of JP7268240B2 publication Critical patent/JP7268240B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/57Arrangements for indicating or recording the number of the calling subscriber at the called subscriber's set
    • H04M1/571Blocking transmission of caller identification to called party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/57Arrangements for indicating or recording the number of the calling subscriber at the called subscriber's set
    • H04M1/575Means for retrieving and displaying personal data about calling party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/436Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0289Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2250/00Details of telephonic subscriber devices
    • H04M2250/60Details of telephonic subscriber devices logging of communication history, e.g. outgoing or incoming calls, missed calls, messages or URLs

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本出願は、参照によりその全文が本明細書に援用される、2019年9月3日に中国国家知識産権局に提出された、「SIGNALING STORM BLOCKING METHOD、APPARATUS、AND DEVICE、AND STORAGE MEDIUM」と題する、中国特許出願第201910829015.1号の優先権を主張する。
本出願は、通信技術の分野に関し、通信技術の分野における人工知能(Artificial Intelligence、AI)の適用にさらに関し、特に、シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体に関する。
より多くの端末が存在し、データサービスが著しく成長し、かつサービス要件がますます多様化しているため、短い遅延、高速、および大量トラフィックに対する需要がある。ワイヤレスネットワークデバイス(例えば、モビリティマネージメントエンティティ機能(mobility management entity function、MME)または進化型基地局(evolved NodeB、eNodeB))によって受信された端末シグナリング要求の数が、ワイヤレスネットワークデバイスによる、すべてのシグナリングを処理する能力を超える場合、ネットワーク輻輳が生じられるか、またはアバランシェ効果さえも発生され、その結果として、ネットワークは利用できない。この状況は、シグナリングストームと呼ばれる。
関連技術では、シグナリングストームをブロックするために、ワイヤレスネットワークデバイスに、中央処理装置(Central Processing Unit、CPU)リソース占有率閾値/単位時間当たりのシグナリング量閾値を設定することによってトラフィックが制御される。しかしながら、この制御方式は、シグナリング過負荷に対するシステム保護を提供するにすぎず、シグナリングストームをブロックする方式は的確ではなく、ブロッキング効果が不十分である。
本出願の実施形態は、関連技術によってもたらされる問題を解決するために、シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体を提供する。技術的解決策は以下の通りである。
第1の態様によれば、シグナリングストームブロッキング方法が提供される。本方法は、トラフィック統計情報を取得するステップであって、トラフィック統計情報がトラフィック性能指標の統計および出力情報である、ステップと、トラフィック統計情報に基づいてシグナリングストームを検出するステップと、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得するステップであって、CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するステップであって、ターゲットUEが、シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、ターゲットUEに対してシグナリングブロッキングを実施するステップとを含む。
シグナリングストームは、トラフィック統計情報に基づいて検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。
一例示的実施形態では、ターゲットUEに対してシグナリングブロッキングを実施するステップは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップであって、偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、第1の優先度が第2の優先度よりも高い、ステップとを含む。
異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
一例示的実施形態では、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップは、ターゲットUEの国際移動体加入者識別番号IMSIを取得するステップと、ターゲットUEのIMSIに基づいてターゲットUEをページングするステップと、ページング結果に基づいてターゲットUEにおける偽送信元を決定するステップとを含む。
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。
少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
一例示的実施形態では、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するステップは、少なくとも1つのUEのCHRログから特徴を抽出するステップと、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップと、異常な挙動特徴シーケンスが識別されると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用するステップとを含み、ニューラルネットワークモデルは、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される。
一例示的実施形態では、異常挙動特徴シーケンスが識別されると、異常挙動特徴シーケンスに対応するUEを、ターゲットUEとして使用するステップの後に、本方法は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるステップ、をさらに含む。
一例示的実施形態では、シグナリングブロッキングをターゲットUEに対して実施するステップは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するステップを含む。
シグナリングストームブロッキング装置が、さらに提供される。その装置は、トラフィック統計情報を取得するように構成される取得モジュールであって、トラフィック統計情報が、トラフィック性能指標の統計および出力情報である、取得モジュールと、トラフィック統計情報に基づいてシグナリングストームを検出するように構成される検出モジュールであって、取得モジュールが、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得し、CHRログはユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ようにさらに構成される、検出モジュールと、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するように構成される決定モジュールであって、ターゲットUEが、シグナリングストームの原因となるシグナリングを生成するUEである、決定モジュールと、ターゲットUEに対してシグナリングブロッキングを実施するように構成されるブロッキングモジュールとを含む。
一例示的実施形態では、ブロッキングモジュールは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出し、偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、第1の優先度が第2の優先度よりも高い、ように構成される。
一例示的実施形態では、ブロッキングモジュールは、ターゲットUEの国際移動体加入者識別番号IMSIを取得し、ターゲットUEのIMSIに基づいてターゲットUEをページングし、ページング結果に基づいてターゲットUEにおける偽送信元を決定するように構成される。
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
一例示的実施形態では、決定モジュールは、少なくとも1つのUEのCHRログから特徴を抽出し、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用し、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される。
一例示的実施形態では、決定モジュールは、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるようにさらに構成される。
一例示的実施形態では、ブロッキングモジュールは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するように構成される。
シグナリングストームブロッキングデバイスが、さらに提供され、本デバイスは、メモリおよび少なくとも1つのプロセッサを含む。メモリは、少なくとも1つの命令またはプログラムを記憶し、その少なくとも1つの命令またはプログラムは、前述のシグナリングストームブロッキング方法のいずれかを実装するために、少なくとも1つのプロセッサによってロードおよび実行される。
コンピュータ可読記憶媒体が、さらに提供される。記憶媒体は、少なくとも1つの命令またはプログラムを記憶し、その命令またはプログラムは、前述のシグナリングストームブロッキング方法のいずれかを実装するために、プロセッサによってロードおよび実行される。
別の通信装置が提供される。装置は、トランシーバ、メモリ、およびプロセッサを含む。トランシーバ、メモリおよびプロセッサは、内部接続経路を介して互いに通信する。メモリは、命令またはプログラムを記憶するように構成される。プロセッサは、信号を受信および送信するようにトランシーバを制御するために、メモリに記憶された命令またはプログラムを実行するように構成される。また、プロセッサがメモリに記憶された命令またはプログラムを実行すると、プロセッサは、前述の可能な実装形態のいずれか1つにおける方法を実施することを可能にされる。一実施形態では、プロセッサは、バスを介してメモリおよびトランシーバと通信してもよい。
一例示的実施形態では、1つ以上のプロセッサがあり、1つ以上のメモリがある。
一例示的実施形態では、メモリは、プロセッサと一体化されてもよいし、またはプロセッサから独立して配置される。
具体的な実装プロセスでは、メモリは、読み出し専用メモリ(read-only memory、ROM)などの、非一時的(non-transitory)メモリであってもよい。メモリおよびプロセッサは、1つのチップに統合されてもよいし、または異なるチップに別々に配置されてもよい。メモリの種類、ならびにメモリおよびプロセッサが配置される方式は、本出願の本実施形態では限定されない。
コンピュータプログラム(製品)が提供される。コンピュータプログラム(製品)は、コンピュータプログラムコードを含む。コンピュータプログラムコードがコンピュータ上で動作させられると、コンピュータは、前述の態様における方法を実施することを可能にされる。
チップが提供される。チップは、チップが設置された通信デバイスが前述の態様における方法を実施するように、メモリに記憶された命令またはプログラムを呼び出して動作させるように構成されたプロセッサを含む。
入力インターフェース、出力インターフェース、プロセッサ、およびメモリを含む、別のチップが提供される。入力インターフェース、出力インターフェース、プロセッサ、およびメモリは、内部接続経路を介して互いに接続される。プロセッサは、メモリ内のコードを実行するように構成される。コードが実行されると、プロセッサは、前述の態様における方法を実施するように構成される。
本出願の一例示的実施形態による、通信システムの構造の概略図である。 本出願の一例示的実施形態による、実装環境の概略図である。 本出願の一例示的実施形態による、シグナリングストームブロッキング方法のフローチャートである。 本出願の一実施形態による、シグナリングストーム検出プロセスの概略図である。 本出願の一実施形態による、ターゲットUE決定プロセスの概略図である。 本出願の一実施形態による、UE関連付けプロセスの概略図である。 本出願の一実施形態による、シグナリングストームブロッキングプロセスの概略図である。 本出願の一実施形態による、シグナリングストームブロッキング装置の構造の概略図である。 本出願の一実施形態による、シグナリングストームブロッキングデバイスの構造の概略図である。
本出願の実施態様において使用される用語は、本出願の具体的な実施形態を説明するために使用されているにすぎず、本出願を限定することは意図されていない。
より多くの端末が存在し、データサービスが著しく成長しており、かつサービス要件がますます多様化しているため、短い遅延、高速、および大量トラフィックに対する需要がある。ワイヤレスネットワークデバイス(例えば、MMEまたはeNodeB)によって受信された端末シグナリング要求の数が、ワイヤレスネットワークデバイスによる、すべてのシグナリングを処理する能力を超える場合、ネットワーク輻輳が生じられるか、またはアバランシェ効果さえも発生され、その結果として、ネットワークは利用できない。この状況は、シグナリングストームと呼ばれる。
関連技術では、ユーザの正常なサービスに対する潜在的なシグナリングストームの影響を低減するために、ワイヤレスネットワークデバイスに、CPUリソース使用率閾値/単位時間当たりのシグナリング量閾値が設定され、CPU使用率および単位時間当たりに受信されるシグナリングメッセージの数、または単位時間当たりに受信されるサービスデータ量がカウントされ、統計データおよび設定されたCPUリソース使用率閾値/単位時間当たりのシグナリング量閾値に基づいて、トラフィック制御がトリガされるか否かが判定される。トラフィック制御は、2つの制御方式、すなわち、開ループ制御および閉ループ制御を含むが、これらに限定されない。
制御方式1:開ループ制御
図1に示される通信システムは、説明のための一例として使用される。通信システムは、いくつかの種類のデバイス、すなわち、ユーザ機器(user equipment、UE)、eNodeB、MME、サービングゲートウェイ(serving gateway、SGW)、および運用支援システム(operation support system、OSS)を含む。
eNodeBは、ユニバーサル移動通信技術のロングタームエボリューション(long term evolution、LTE)ネットワークにおける無線基地局であり、LTE無線アクセスネットワークにおけるネットワーク要素でもある。eNodeBは、無線リソース管理(radio resource management、RRM)機能、ならびにインターネットプロトコル(internet protocol、IP)のヘッダ圧縮およびユーザデータフロー暗号化、UEがアタッチされるときのMME選択、ページング情報のスケジューリングおよび送信、ブロードキャスト情報のスケジューリングおよび送信、eNodeB測定の設定および提供、などの機能を含む。
MMEは、LTEネットワークのネットワーク要素である。MME、SGW、およびパブリックデータネットワークゲートウェイ(public data network gateway、PGW)は、4Gコアネットワークと総称される。MMEは、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)プロトコルのLTEアクセスネットワークにおける重要な制御ノードであり、中継の実施を含めて、アイドルモードにあるUEを特定すること、およびUEのページングプロセスを担当する。要するに、MMEは、アクセス制御、モビリティ管理、アタッチおよびデタッチ、セッション管理、ならびにSGWおよびPGW選択などの機能を含むシグナリング処理を担当する。
SGWの主要な機能は、以下、すなわち、eNodeB間のハンドオーバ中、SGWがローカルアンカーとして機能し、eNodeBの並べ替え機能の完了を支援することを含む。3GPPの異なるアクセスシステム間のハンドオーバ中、SGWはモビリティアンカとして機能し、並べ替え機能も有する。SGWは、合法的傍受機能を実施し、データパケットをルーティングおよび転送し、アップリンクおよびダウンリンクトランスポート層のパケットをマークする。アイドル状態では、SGWはダウンリンクパケットをバッファリングし、ネットワークによってトリガされるサービス要求を開始する。SGWは、オペレータ間の課金などに使用される。
OSSは、運用支援および準備、サービス遂行、サービス保証、ならびにサービス利用の機能を有する。
また、UEとeNodeBとの間にはUuインターフェースがある。eNodeBとMMEとの間には、通常S1-Cと呼ばれる、制御プレーンインターフェースがある。eNodeBとSGWとの間には、通常S1-Uと呼ばれる、ユーザプレーンインターフェースがある。図1に示される通信システムにおいて、制御プレーン上のデータフローが過負荷にされ、UEがDDoSを引き起こす場合は、以下のいくつかのケースを含むが、これらに限定されない。
1.UEからeNodeBへのアップリンクシグナリング(UE->eNodeB):UEによって発生する大量のアクセスエアインターフェースシグナリングがeNodeBの過負荷を引き起こす。
2.eNodeBからMMEへのアップリンクシグナリング(eNodeB->MME):eNodeBが過剰なシグナリングを送信し、MMEの過負荷を引き起こす。
3.MMEからeNodeBへのダウンリンクシグナリング(MME->eNodeB):MMEが過剰なシグナリングを配信し、eNodeBの過負荷を引き起こす。
4.eNodeB間のシグナリング(eNodeB <->eNodeB):eNodeB間の過剰なシグナリングまたはデータが、ピアeNodeBの過負荷をもたらす。
5.UEからMMEへのアップリンクシグナリング(UE->MME):UEによって発生する大量の過剰なシグナリングがMMEの過負荷を引き起こす。
ユーザプレーン上のデータフローが過負荷にされ、UEがDDoSを引き起こす場合は、以下のいくつかの場合を含むが、これらに限定されない。
1.UEからeNodeBへのアップリンクサービスデータ(UE->eNodeB):UEによって発生する大量のアップリンクエアインターフェースデータがeNodeBの過負荷を引き起こす。
2.eNodeBからSGWへのアップリンクサービスデータ(eNodeB->SGW):eNodeBが過剰なデータを送信し、SGWの過負荷を引き起こす。
3.SGWからeNodeBへのダウンリンクサービスデータ(SGW->eNodeB):SGWが過剰なデータを配信し、eNodeBの過負荷を引き起こす。
4.eNodeB間のサービスデータ(eNodeB <->eNodeB):eNodeB間の過剰なシグナリングまたはデータが、ピアeNodeBの過負荷をもたらす。
前述の過負荷の場合、開ループ制御は、受信されたシグナリングメッセージの数または受信されたサービスデータ量に基づいてトラフィックを制御することである。例えば、開ループ制御は、ランダムアクセスプリアンブル(random access preamble)、無線リソース制御(radio resource control、RRC)接続要求(connection request)、ハンドオーバ要求(handover request)、RRC接続再確立要求(connection reestablishment request)、ページング(Paging)、またはダウンリンクデータボリューム(downlink data volume)に基づくトラフィック制御を含むが、これに限定されない。例えば、以下のいくつかの開ループ制御の場合が、説明のために使用される。
MME過負荷に基づくトラフィック制御
MME過負荷に基づくトラフィック制御の場合、トラフィック制御は、CPU過負荷メッセージを使用することによって開始されてもよい。例えば、MMEが過負荷のとき、eNodeBは、OVERLOAD START(過負荷開始)メッセージを使用することによって、トラフィック制御を開始するように指示され、アクセスされるUEの数が、RRCアクセス理由に基づいて制限される。MME過負荷が解消された後、eNodeBは、OVERLOAD STOP(過負荷停止)メッセージを使用することによって、トラフィック制御を停止するように指示される。プロトコルにおける関連原理については、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)技術サポート(Technical support、TS)36.413(R9/R10)を参照されたい。
ランダムアクセスに基づくトラフィック制御
ランダムアクセスに基づくトラフィック制御の目的は、大量のランダムにアクセスされたUEによって生じるeNodeB過負荷を軽減することである。大量のランダムアクセスメッセージは、高いシステム負荷を引き起こし、システムリセットなどの問題をもたらす。ランダムアクセスベースのトラフィック制御の場合、過負荷を制御するために、CPU閾値に基づいてランダムアクセスが拒否されてもよい。
初期RRCアクセスメッセージに基づくトラフィック制御
初期RRCアクセスメッセージ(Connection Request)は、手順の開始メッセージ、例えば、eNodeBとMMEとの間のS1 HANDOVER REQUEST(ハンドオーバ要求)、またはeNodeB間のX2 HANDOVER REQUEST(ハンドオーバ要求)である。初期RRCアクセスメッセージに基づくトラフィック制御の場合、初期アクセスメッセージが正常に処理された後、後続する一連の関連処理がトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、毎秒の要求数、CPU使用率、メッセージ優先度などを使用することによって、初期RRCアクセスメッセージに基づいて、トラフィックが制御されてもよい。
ページングに基づくトラフィック制御
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
制御方式2:閉ループ制御
閉ループ制御は、CPU占有率に基づいてトラフィックを制御することである。トラフィック制御解決策は、初期アクセスの拒否、または低優先度サービスの切り替えを含む。
シグナリング過負荷に対するシステム保護を提供するために、いくつかの制御方式の各々においてCPU/シグナリング閾値が使用されることを知ることは困難ではない。しかしながら、第5世代(fifth-generation、5G)移動通信システムでは、基地局が高密度で配置され、大量マシンタイプ通信(massive machine type communication、mMTC)シナリオにおいて大量のUEがアクセスされ、超高信頼・低遅延通信(ultra-reliable and low latency communication、URLLC)シナリオにおいてサービスは可用性が高い。その結果、ハッカーは、ボットネットを形成するために大量のUEを制御する傾向がある。ボットネットは、ネットワーク要素のリソースを連続的に占有し、その結果として、事業者ネットワークに対して分散型サービス妨害攻撃(distributed denial of service attack、DDoS)を実施する。DDoSに起因して発生するシグナリングストームに関して、前述の制御方式はDDoS検出を支援しない。その結果、シグナリングストームをブロックする方式は的確ではなく、ブロッキング効果が不十分である。
したがって、本出願の実施形態は、シグナリングストームブロッキング方法を提供する。本方法では、トラフィック統計情報に基づいてシグナリングストームが検出される。シグナリングストームが検出されると、UEの呼履歴記録(call history record、CHR)ログに基づいて、シグナリングストームの原因となるシグナリングを生成する、ターゲットUEが決定される。次いで、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。例えば、シグナリングストームブロッキング方法は、図2に示される実装環境に適用される。実装環境は、無線アクセスネットワーク(radio access network、RAN)およびコア(core)ネットワークを含む。コアネットワークとRANとの間には、バックホール(backhaul)がある。
ページングメッセージに基づくトラフィック制御
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
コアネットワークは、アクセスおよびモビリティ管理ネットワーク要素(access and mobility management function、AMF)、ユーザプレーン機能(user plane function、UPF)、ならびに統合データ管理(unified data management、UDM)などのデバイスを含む。
図2に示されるように、実装環境は、3つのアプリケーションシナリオ、すなわち、高度モバイルブロードバンド(enhanced mobile broadband、eMBB)を提供するリソースユニット(resource unit、RU)、大量マシンタイプ通信(massive machine type communication、mMTC)、および超高信頼・低遅延通信(ultra-reliable and low latency communication、URLLC)をさらに含む。5Gに基づいて進化したアーキテクチャは、モバイルアクセスネットワークとインターネットサービスとを深く融合するモバイルエッジコンピューティング(mobile edge computing、MEC)技術をさらに有する。一態様では、MECは、ユーザエクスペリエンスを向上させ、帯域幅リソースを節約することができる。別の態様では、サードパーティのアプリケーション統合を提供するために、計算能力がモバイルエッジノードに沈められ、それによって、モバイルエッジの入り口におけるサービス革新のための無限の可能性を提供する。また、コアネットワークは、インターネット(Internet)、モノのインターネット(Internet of Things,IoT)プラットフォーム、および車両のインターネットにさらに接続されてもよい。
図2に示されるように、実装環境は、サイバーセキュリティインテリジェンスシステム(cybersecurity intelligence system、CIS)をさらに含む。CISとインターネットとの間には、フロープローブがさらに接続され、フロープローブがインターネットのトラフィックイメージを検出する。CISは、国際移動体加入者識別番号(international mobile subscriber identity、IMSI)をコアネットワークに配信してもよく、コアネットワークは、一時的移動体加入者識別番号(temporary mobile subscriber identity、TMSI)をRANに配信してもよい。
一例として、図2に示される実装環境を使用して、本出願の一実施形態は、シグナリングストームブロッキング方法を提供する。本方法では、CISによってシグナリングストームをブロックするプロセスが、一例として使用される。基地局およびコアネットワークデバイスは、シグナリングログおよびトラフィック統計情報をCISに報告してもよく、フロープローブもまた、UEの警報ログなどのメタデータ(metadata)をCISに報告してもよい。CISは、受信されたデータに基づいてシグナリングストームを検出、すなわちDDoSを検出する。シグナリングストームを検出した後、CISは、シグナリングストームの原因となるシグナリングを生成する、ターゲットUEをさらに決定し、シグナリングストームをブロックするために、ターゲットUEに対してシグナリングブロッキングを実施する。図3を参照すると、本方法は、以下のステップ301~305を含む。
301.トラフィック統計情報を取得し、トラフィック統計情報はトラフィック性能指標の統計および出力情報である。
トラフィック統計情報は、ユーザ挙動分析、ネットワーク傾向分析、キャパシティプランニング、障害位置特定、および別の態様に適用されてもよい。本出願の本実施形態で提供される方法では、シグナリングストームがブロックされる前に、トラフィック統計情報が最初に取得される。トラフィック統計情報を取得する方法は、本出願の本実施形態では限定されない。例えば、図2に示されるように、基地局とコアネットワークデバイスの両方が、CISにトラフィック統計情報を報告してもよく、CISは、基地局とコアネットワークデバイスによって報告されたトラフィック統計情報に基づいて、シグナリングストームを検出してもよい。この場合、CISによって取得されたトラフィック統計情報は、基地局によって報告される、基地局のトラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。
基地局のトラフィック統計ログ、およびコアネットワークのトラフィック統計ログは、オンラインのUEの総数、各状態のUEの数などを含むが、これらに限定されない。また、基地局がRRCプロトコルを使用し、コアネットワークがNASプロトコルを使用するので、基地局およびコアネットワークデバイスによって報告されるトラフィック統計ログは、異なるプロトコルから選択されるログ特徴フィールド、例えば、CPU使用率、シグナリング手順カウント、アタッチ要求の数、サービス要求の数、シグナリング頻度、およびアクセスされたUEの数である。トラフィック統計ログの内容は、本出願の本実施形態では限定されない。
また、基地局およびコアネットワークデバイスによる、トラフィック統計情報を報告する機会は、本出願の本実施形態では限定されず、基地局およびコアネットワークデバイスは、定期的にまたはリアルタイムでトラフィック統計情報を報告してもよい。トラフィック統計情報を取得した後、CISは、リアルタイムまたは定期的にシグナリングストームを検出することができる。
302.トラフィック統計情報に基づいて、シグナリングストームを検出する。
一例示的実施形態では、CISによって取得されたトラフィック統計情報が比較的大量の内容を含むので、本出願の本実施形態で提供される方法では、シグナリングストームがトラフィック統計情報に基づいて検出されるとき、トラフィック統計情報の前処理が支援される。次いで、シグナリングストームが、前処理されたデータに基づいて検出される。本出願の本実施形態では、前処理方式は限定されない。例えば、前処理は、フォーマット変換、文字変換、フィールド縮小などを含むが、これらに限定されない。例えば、前処理されたデータが以下の表1に示される。
Figure 0007268240000001
表1では、前処理されたデータは、CPU負荷値、シグナリング手順の数、シグナリング手順グループカウント、オンラインのUEの総数、各状態におけるUEの数、認証手順カウント、および成功した認証の数を含む。各データの詳細な説明については、上記の表1を参照されたい。HSSは、呼び出し/セッションを処理するように構成されたIMSネットワークエンティティを支援する、主要なユーザデータベースである。HSSは、ユーザプロファイルを含み、ユーザの本人認証および認可を実施し、ユーザの物理的位置に関する情報を提供してもよい。
一例示的実施形態では、シグナリングストームがトラフィック統計情報に基づいて検出されることは、以下、すなわち、シグナリングストームがアイソレーションフォレストおよび時系列予測を介した、トラフィック統計情報に基づいて検出されることを含むが、これに限定されない。例えば、データが前処理される場合、シグナリングストームは、アイソレーションフォレストおよび時系列予測を介して前処理されたデータに基づいて検出される。
アイソレーションフォレスト(isolation forest,iForest)は、高速異常検出方法であり、線形時間複雑度および高精度を有し、ネットワークセキュリティにおける攻撃検出に使用されてもよい。iForestは、連続的な数値データ(continuous numerical data)の異常検出に適用可能であり、異常は、高密度群から比較的遠いまばらに分布する点として理解され得る、「より分離される可能性の高い(more likely to be separated)隔離された点」と定義される。iForestを説明するために統計を使用すると、データ空間において、まばらな分布領域は、この領域におけるデータ発生の確率が非常に低いことを示し、したがって、この領域内に入るデータは異常であると考えられ得る。例えば、図4に示されるように、隔離されたフォレストを介した、トラフィック統計情報に基づいて、異常検出が実施された後、異常なネットワーク要素および正常なネットワーク要素が決定される。異常なネットワーク要素は、シグナリングストームによって攻撃されたネットワーク要素である。例えば、図4に示されるように、正常なネットワーク要素に関しては、CPU使用率は50%であり、シグナリング手順カウントでは、アタッチ要求(attach REQ)の数は10000未満であり、サービス要求(Service request)の数は8000未満であり、シグナリング頻度は100000未満であり、アクセスされたUEの数は50未満である。しかしながら、シグナリングストームに起因して、異常なネットワーク要素に関しては、CPU使用率は90%に達し、シグナリング手順カウントでは、アタッチ要求(attach REQ)の数は100000より多く、サービス要求(Service request)の数は80000より多く、シグナリング頻度は1000000より多く、アクセスされたUEの数は200よりも多い。
303.シグナリングストームが検出されると、少なくとも1つのUEのCHRログであって、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、CHRログを取得する。
CHRログは、ユーザの呼処理で発生する問題を記録するために使用され、障害理由を特定するために使用されてもよい。例えば、CHRログの内容は、UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスなどの1つ以上の情報を含むが、これらに限定されない。本出願の本実施形態で提供される方法では、シグナリングストームの原因となるシグナリングを生成するターゲットUEは、CHRログに基づいて特定される。したがって、シグナリングストームが検出されると、UEのCHRログが取得される。本出願の本実施形態では、UEの数は限定されない。UEのCHRログを取得する方式は、本出願の本実施形態で限定されない。例えば、図2に示されるように、基地局およびコアネットワークデバイスは、UEのCHRログをCISに報告してもよく、少なくとも1つのUEが存在する。例えば、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
また、一例示的実施形態では、フロープローブは、UEの警報ログをCISに報告してもよい。一例示的実施形態では、少なくとも1つのUEの、CISによって取得されるCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
304.少なくとも1つのUEのCHRログに基づいて、シグナリングストームの原因となるシグナリングを生成するUEである、ターゲットUEを決定する。
一例示的実施形態では、ネットワーク要素が攻撃されていることが検出され、シグナリングストームが検出されるとき、少なくとも1つのUEのCHRログに基づいてターゲットUEが決定されることは、少なくとも1つのUEのCHRログから特徴を抽出するステップと、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップと、異常な挙動特徴シーケンスが識別されると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用するステップとを含み、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される。
ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップの前に、本方法は、UEの挙動特徴シーケンスを識別するために使用されるニューラルネットワークモデルを取得するステップをさらに含む。ニューラルネットワークモデルを取得するプロセスおよびニューラルネットワークモデルの種類は、本出願の本実施形態では限定されない。例えば、図5に示されるように、CISがCHRログを取得する例が使用される。CHRログは、ログファイルを使用することによって、ユーザの関連情報を記録する。UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、シグナリング手順シーケンス、および帯域幅などの特徴は、CHRログから特徴を抽出することによって取得されてもよい。
初期ニューラルネットワークモデルは、履歴期間において取得されたCHRログから抽出された特徴に基づいて訓練されてもよく、履歴期間の長さは、シナリオまたは経験に基づいて設定されてもよい。履歴期間の長さは、本出願の本実施形態では限定されない。例えば、履歴期間は、履歴の1週間である。特徴は、履歴の1週間におけるCHRログから抽出され、初期ニューラルネットワークモデルに入力される。初期ニューラルネットワークモデルは、基準期間における、正常なUEの挙動特徴シーケンスを学習する。基準期間は、シナリオまたは経験に基づいて設定されてもよい。例えば、基準期間は5分である。正常なUEのシグナリング手順を学習するプロセスは、オンラインで訓練されてもよい。例えば、初期ニューラルネットワークモデルは、隠れマルコフモデル(hidden Markov model、HMM)であってもよい。HMMの基本的な考え方は、大量の正常なUEのシグナリング手順シーケンスを学習することによって、UEシグナリング手順シーケンス状態マシンを確立し、状態遷移確率を計算することによって異常なUEを識別することである。シーケンス状態マシンは、いくつかの状態、すなわち、シーケンス異常、パケット技術異常、時間挙動異常、および手順技術異常を含む。
CHRログは、ユーザの呼処理で発生する問題を記録するために使用され、障害理由を特定するために使用されてもよい。例えば、CHRログの内容は、UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスなどの1つ以上の情報を含むが、これらに限定されない。本出願の本実施形態で提供される方法では、シグナリングストームの原因となるシグナリングを生成するターゲットUEは、CHRログに基づいて特定される。したがって、シグナリングストームが検出されると、UEのCHRログが取得される。本出願の本実施形態では、UEの数は限定されない。UEのCHRログを取得する方式は、本出願の本実施形態で限定されない。例えば、図2に示されるように、基地局およびコアネットワークデバイスは、UEのCHRログをCISに報告してもよく、少なくとも1つのUEが存在する。例えば、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。

異常なUEに対応する異常な挙動特徴シーケンスが検出された後、異常なUEのセキュリティイベント、例えば、悪意のあるUEの付加価値サービスが、続いてさらに決定されてもよく、セキュリティイベントが端末にプッシュされる。
例えば、異常挙動特徴シーケンスが識別されると、異常挙動特徴シーケンスに対応するUEを、ターゲットUEとして使用するステップの後に、本方法は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるステップ、をさらに含む。
図6に示されるように、シグナリングストームが検出される場合、決定されたターゲットUEの特徴は、図6にある、異常なUEのグループ画像の内容であり、異常なUEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスを含む。シグナリングストームが検出される場合、シグナリングストームによって攻撃されるコアネットワークのシグナリングDDoS攻撃の重要な特徴は、アクセスされるUEの数の増加、手順カウント増加、手順グループカウント増加、および手順グループカウント割合を含む。悪意のあるUEのシグナリングプレーン特徴は、異常なUEのグループ画像およびコアネットワークのシグナリングDDoS攻撃の重要な特徴に基づいて取得されてもよい。シグナリングプレーン上の悪意のあるUEのIMSIを取得するために、異常なUEのグループ画像およびコアネットワークのシグナリングDDoS攻撃の重要な特徴に基づいて、悪意のあるUEが決定される。また、警報されたUEのIPは、フロープローブによって報告された警報ログに基づいて決定されてもよい。シグナリングプレーン上の悪意のあるUEのIMSIが取得された後、CHRログはIPとIMSIとの間の関係を記録するので、制御およびコマンド(C&C)トラフィック検出結果に基づいて、C&CにおけるIPおよびIMSIクエリを介して、データプレーンC&Cにおける悪意のあるUEのIMSIが取得される(すなわち、悪意のあるUEのIMSIは、CC UE IPクエリを介して取得される)。悪意のあるUEのIMSIは、シグナリングプレーン上の悪意のあるUEのIMSIをデータプレーンC&C内の悪意のあるUEのIMSIと関連付けることによって決定される。
図6では、フロープローブがUEの警報情報を報告することのみが一例として使用されていることに留意されたい。UEの、フロープローブによって報告される、警報情報を、CISが取得しない場合、図6の第2のステップの実行は省略されてもよく、悪意のあるUEのIMSIは、第1および第2のステップを使用することによって直接決定される。
305.ターゲットUEに対してシグナリングブロッキングを実施する。
一例示的実施形態では、シグナリングブロッキングがターゲットUEに対して実施されることは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理することを含む。
セキュリティイベントのブロッキングポリシーは、本出願の本実施形態では限定されない。例えば、セキュリティイベントを監視した後、運用および保守監視従業員が、セキュリティイベント内のターゲットUEをブロックするためのブロッキングコマンドを手動で配信するように、カプセル化されたセキュリティイベントがプッシュされる。
別の例示的実施形態では、コアネットワークのブロッキングインターフェースが呼び出されてもよく、例えば、ブロッキングインターフェースは図2に示されるインターフェース6であってもよい。コアネットワークのインターフェース6は、ブロッキングを実施するためにIMSIをコアネットワークに配信するために呼び出される。コアネットワークは、IMSIとTMSIとの間の関係に基づいて、エアインターフェースブロッキングのための無線基地局に、シグナリングストームの原因となるシグナリングを生成するターゲットUEのTMSIを配信する。
また、異なるセキュリティイベントは異なるブロッキングポリシーを有してもよい。シグナリングストームの原因となるシグナリングを生成するターゲットUEは、DDoSのための偽送信元の場合があるので、この種類のターゲットUEのブロッキング優先度は、より高くする必要がある。したがって、本出願の本実施形態は、異なるブロッキング優先度を使用することによって異なる種類のターゲットUEをブロックするステップを含む。例えば、シグナリングブロッキングがターゲットUEに対して実施されることは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップであって、偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、第1の優先度が第2の優先度よりも高い、ステップとを含む。
一例示的実施形態では、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップは、ターゲットUEのIMSIを取得するステップと、ターゲットUEのIMSIに基づいてターゲットUEをページングするステップと、ページング結果に基づいてターゲットUEにおける偽送信元を決定するステップとを含む。例えば、ターゲットUEがターゲットUEのIMSIに基づいてページングされるとき、ページング結果がページング成功である場合、ターゲットUEは非偽送信元であり、またはページング結果がページング失敗である場合、ターゲットUEは偽送信元である。
結論として、本出願の本実施形態で提供される方法によれば、シグナリングストームが、トラフィック統計情報を使用することによって検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。また、異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
前述のシグナリングストームブロッキングプロセスについては、図7を参照されたい。図7に示されるように、CISが実行主体であることが、一例として使用され、シグナリングストームブロッキングプロセスは、ステップ71から76を含む。ステップ71で、CISは、トラフィック統計/CHRログを取得し、DDoSを検出するために必要な入力データを取得するために、トラフィック統計/CHRログのデータを前処理する。ステップ72で、CISは、DDoS検出結果を取得するために、ニューラルネットワークモデルを使用することによってDDoSを検出、すなわち、シグナリングストームが発生されるか否かを監視する。ステップ73で、CISは、シグナリングストームを検出すると、シグナリングストームの原因となるシグナリングを生成するターゲットUE、すなわち悪意のあるUEを決定するために、シグナリングストームのシグナリング特徴およびUEのCHRログに基づいて、UEの関連付け分析を実施する。また、例えば、CISは、悪意のあるUEにおける偽送信元を決定するために、悪意のあるUEにおける偽送信元をさらに検出してもよい。ステップ74で、CISは、セキュリティイベントのブロッキングポリシーに基づいて、シグナリングブロッキングを実施するために、シグナリングストームに関する情報および悪意のあるUEに関する情報を、DDoSセキュリティイベントとして処理する。例えば、ステップ75で、CISは、ブロッキング動作を実施するために、コアネットワークのリンケージインターフェースを自動的に呼び出すか、または、ステップ76で、CISは、イベント報告を介して、セキュリティイベントを運用および保守監視端にプッシュし、シグナリングストームをブロックするブロッキング動作を実施するために、運用および保守監視従業員がコアネットワークのリンケージインターフェースを手動で呼び出す。
本出願の実施形態で提供されるシグナリングストームブロッキング方法を説明するために、本出願の本実施形態では図2に示されるシステムのみが例として使用されているが、本出願の実施形態で提供される方法が適用されるシナリオは限定されないことに留意されたい。図2に示されるシステムおよび図2に示されるシステムのプロトコルに加えて、本方法は、他のプロトコル間の相互作用にさらに適用されてもよい。言い換えれば、本出願の実施形態で提供される方法のプロトコルは、柔軟に拡張されてもよい。
本出願の一実施形態は、シグナリングストームブロッキング装置をさらに提供する。図8を参照すると、シグナリングストームブロッキング装置は、取得モジュール801と、検出モジュール802と、決定モジュール803と、ブロッキングモジュール804とを含む。
取得モジュール801は、トラフィック統計情報を取得し、トラフィック統計情報はトラフィック性能指標の統計および出力情報である、ように構成される。
検出モジュール802は、トラフィック統計情報に基づいて、シグナリングストームを検出するように構成される。
取得モジュール801は、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログであって、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、CHRログを取得するように構成される。
決定モジュール803は、少なくとも1つのUEのCHRログに基づいて、シグナリングストームの原因となるシグナリングを生成するUEであるターゲットUEを決定するように構成される。
ブロッキングモジュール804は、ターゲットUEに対してシグナリングブロッキングを実施するように構成される。
一例示的実施形態では、ブロッキングモジュール804は、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出し、偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、第1の優先度が第2の優先度よりも高い、ように構成される。
一例示的実施形態では、ブロッキングモジュール804は、ターゲットUEの国際移動体加入者識別番号IMSIを取得し、ターゲットUEのIMSIに基づいてターゲットUEをページングし、ページング結果に基づいてターゲットUEにおける偽送信元を決定するように構成される。
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
一例示的実施形態では、決定モジュール803は、少なくとも1つのUEのCHRログから特徴を抽出し、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用し、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される。
一例示的実施形態では、決定モジュール803は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるようにさらに構成される。
一例示的実施形態では、ブロッキングモジュール804は、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するように構成される。
本出願の本実施形態で提供される装置によれば、シグナリングストームが、トラフィック統計情報を使用することによって検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。
また、異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
図8で提供される装置がその装置の機能を実装するとき、前述の機能モジュールへの分割は、単に説明のための例として使用されるにすぎないことを理解されたい。実際の適用に際しては、前述の機能は、要件に基づいて実装用の様々な機能モジュールに割り振られてもよい。言い換えれば、デバイスは、上記の機能のすべてまたは一部を実装するために、内部構造に関して、異なる機能モジュールに分割される。また、前述の実施形態で提供される装置、および方法の実施形態は、同じ考えに属する。装置の具体的な実装プロセスについては、方法の実施形態を参照されたい。詳細は、本明細書では再び説明されない。
図9を参照すると、本出願の一実施形態は、シグナリングストームブロッキングデバイス900をさらに提供する。図9に示されるシグナリングストームブロッキングデバイス900は、前述のシグナリングストームブロッキング方法における動作を実施するように構成される。シグナリングストームブロッキングデバイス900は、メモリ901、プロセッサ902、およびインターフェース903を含む。メモリ901、プロセッサ902、およびインターフェース903は、バス904を介して接続される。
メモリ901は、少なくとも1つの命令を記憶し、その少なくとも1つの命令は、前述のシグナリングストームブロッキング方法を実装するために、プロセッサ902によってロードおよび実行される。
インターフェース903は、ネットワーク内の他のデバイスとの通信に使用される。インターフェース903は、ワイヤレスまたは有線方式で通信を実装してもよい。例えば、インターフェース903は、ネットワークアダプタであってもよい。
図9は、シグナリングストームブロッキングデバイス900の単純化された設計を示すにすぎないことを理解されたい。実際の適用では、シグナリングストームブロッキングデバイスは、任意の数のインターフェース、プロセッサまたはメモリを含んでもよい。また、プロセッサは、中央処理装置(Central Processing Unit、CPU)であってもよく、あるいは別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processing、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(field-programmable gate array、FPGA)もしくは別のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、またはディスクリートハードウェアコンポーネントなどであってもよい。汎用プロセッサは、マイクロプロセッサまたは任意の従来のプロセッサなどであってもよい。プロセッサは、高度な縮小命令セットコンピューティングマシン(advanced RISC machines、ARM)アーキテクチャを支援するプロセッサであってもよいことに留意されたい。
さらに、任意選択の実施形態では、メモリは、読み出し専用メモリおよびランダムアクセスメモリを含み、プロセッサに命令およびデータを供給してもよい。メモリは、不揮発性ランダムアクセスメモリをさらに含んでよい。例えば、メモリは、デバイスの種類に関する情報をさらに記憶してもよい。
メモリは、揮発性メモリもしくは不揮発性メモリであってもよく、または、揮発性メモリと不揮発性メモリの両方を含んでもよい。不揮発性メモリは、読み出し専用メモリ(read-only memory(read-only memory、ROM)、プログラマブル読み出し専用メモリ(programmable ROM、PROM)、消去可能プログラマブル読み出し専用メモリ(erasable PROM、EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(electrically EPROM、EEPROM)、またはフラッシュメモリであってもよい。揮発性メモリは、外部キャッシュとして使用される、ランダムアクセスメモリ(random access memory、RAM)であってもよい。限定ではなく例として、多くの形態のRAM、例えば、スタティックランダムアクセスメモリ(static RAM、SRAM)、ダイナミックランダムアクセスメモリ(dynamic random access memory、DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM、SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM、DDR SDRAM)、拡張シンクロナス・ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM、ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM、SLDRAM)、およびダイレクト・ラムバス・ランダム・アクセス・メモリ(direct rambus RAM,DR RAM)が利用可能である。
図9で提供されるデバイスが、デバイスの機能を実装するとき、具体的な実装プロセスについては、方法の実施形態を参照されたい、ということを理解されたい。詳細は、本明細書では再び説明されない。
コンピュータ可読記憶媒体が、さらに提供される。記憶媒体は、少なくとも1つの命令を記憶し、その命令は、前述の方法の実施形態のいずれか1つにおける、シグナリングストームブロッキング方法を実装するために、プロセッサによってロードおよび実行される。
本出願は、コンピュータプログラムを提供する。コンピュータプログラムがコンピュータによって実行されると、プロセッサまたはコンピュータは、前述の方法の実施形態における対応する動作および/または手順を実施することを可能にされてもよい。
前述の実施形態のすべてまたは一部は、ソフトウェア、ハードウェア、ファームウェア、またはこれらの任意の組合せを使用することによって実装されてもよい。ソフトウェアが実施形態を実装するために使用されるとき、前述の実施形態のすべてまたは一部は、コンピュータプログラム製品の形態で実装されてもよい。コンピュータプログラム製品は、1つ以上のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータにロードされて実行されると、本出願による手順または機能がすべてまたは部分的に生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、またはあるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタへ、有線(例えば、同軸ケーブル、光ファイバ、デジタル加入者線)方式、またはワイヤレス(例えば、赤外線、無線、マイクロ波)方式で、送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、または1つ以上の使用可能な媒体を統合した、サーバもしくはデータセンタなどのデータ記憶デバイスであってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピー(登録商標)ディスク、ハードディスク、または磁気テープ)、光学媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートディスク(Solid State Disk))などであってもよい。
前述の説明は、本出願の実施形態であるが、本出願を限定することは意図されていない。本出願の原理から逸脱することなく行われた変更、均等な置換、または改良などはいずれも、本出願の保護範囲内に含まれるものとする。
6 インターフェース
801 取得モジュール
802 検出モジュール
803 決定モジュール
804 ブロッキングモジュール
900 シグナリングストームブロッキングデバイス
901 メモリ
902 プロセッサ
903 インターフェース
904 バス

Claims (17)

  1. サイバーセキュリティインテリジェンスシステム(CIS)によって実行されるシグナリングストームブロッキング方法であって、方法が、
    トラフィック統計情報を取得するステップであって、前記トラフィック統計情報がトラフィック性能指標の統計および出力情報である、ステップと、
    前記トラフィック統計情報に基づいてシグナリングストームを検出するステップと、
    前記シグナリングストームが検出されると、少なくとも1つのユーザ機器(UE)の呼履歴記録(CHR)ログを取得するステップであって、前記CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、
    前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するステップであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、
    前記ターゲットUEに対してシグナリングブロッキングを実施するステップと
    を含み、
    前記ターゲットUEに対してシグナリングブロッキングを実施する前記ステップが、
    前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出するステップであって、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、
    第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、前記第1の優先度が前記第2の優先度よりも高い、ステップと
    を含む、シグナリングストームブロッキング方法。
  2. 前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出する前記ステップが、
    前記ターゲットUEの国際移動体加入者識別番号(IMSI)を取得するステップと、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングするステップと、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するステップと
    を含む、請求項1に記載の方法。
  3. 前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定する前記ステップが、
    前記少なくとも1つのUEの前記CHRログから特徴を抽出するステップと、
    前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、
    ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別するステップと、
    異常な挙動特徴シーケンスが識別されると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用するステップと
    を含み、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される
    請求項1または2に記載の方法。
  4. 異常挙動特徴シーケンスが識別されると、前記異常挙動特徴シーケンスに対応するUEを、前記ターゲットUEとして使用する前記ステップの後に、
    前記方法が、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるステップ
    をさらに含む、請求項3に記載の方法。
  5. シグナリングブロッキングを前記ターゲットUEに対して実施する前記ステップが、
    前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するステップ
    を含む、請求項1から4のいずれか一項に記載の方法。
  6. 前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、またはコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、
    前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
    請求項1から5のいずれか一項に記載の方法。
  7. 前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項6に記載の方法。
  8. シグナリングストームブロッキング装置であって、
    トラフィック統計情報を取得するように構成される取得モジュールであって、前記トラフィック統計情報が、トラフィック性能指標の統計および出力情報である、取得モジュールと、
    前記トラフィック統計情報に基づいてシグナリングストームを検出するように構成される検出モジュールであって、
    前記取得モジュールが、前記シグナリングストームが検出されると、少なくとも1つのユーザ機器、UEの呼履歴記録(CHR)ログを取得し、前記CHRログはユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ようにさらに構成される、検出モジュールと、
    前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するように構成される決定モジュールであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、決定モジュールと、
    前記ターゲットUEに対してシグナリングブロッキングを実施するように構成されるブロッキングモジュールと
    を備え
    前記ブロッキングモジュールが、前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出し、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、前記第1の優先度が前記第2の優先度よりも高い、ように構成される、シグナリングストームブロッキング装置。
  9. 前記ブロッキングモジュールが、前記ターゲットUEの国際移動体加入者識別番号(IMSI)を取得し、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングし、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するように構成される、請求項8に記載の装置。
  10. 前記決定モジュールが、前記少なくとも1つのUEの前記CHRログから特徴を抽出し、前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用し、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される、請求項8または9に記載の装置。
  11. 前記決定モジュールが、複数の異常な挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常な挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるようにさらに構成される、請求項10に記載の装置。
  12. 前記ブロッキングモジュールが、前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理する、ように構成される、請求項8から11のいずれか一項に記載の装置。
  13. 前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、
    前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
    請求項8から12のいずれか一項に記載の装置。
  14. 前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項13に記載の装置。
  15. シグナリングストームブロッキングデバイスであって、
    メモリおよび少なくとも1つのプロセッサを備え、前記メモリが、少なくとも1つの命令を記憶し、前記少なくとも1つの命令が、請求項1から7のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記少なくとも1つのプロセッサによってロードおよび実行される、シグナリングストームブロッキングデバイス。
  16. コンピュータ可読記憶媒体であって、前記記憶媒体が、少なくとも1つの命令を記憶し、プロセッサが、請求項1から7のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記命令を、ロードおよび実行する、コンピュータ可読記憶媒体。
  17. コンピュータに請求項1から7のいずれか一項に記載の方法を実行させるプログラム。
JP2022501309A 2019-09-03 2020-08-22 シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体 Active JP7268240B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910829015.1 2019-09-03
CN201910829015.1A CN112448894B (zh) 2019-09-03 2019-09-03 阻断信令风暴的方法、装置、设备及存储介质
PCT/CN2020/110662 WO2021043012A1 (zh) 2019-09-03 2020-08-22 阻断信令风暴的方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
JP2022539901A JP2022539901A (ja) 2022-09-13
JP7268240B2 true JP7268240B2 (ja) 2023-05-02

Family

ID=74734006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022501309A Active JP7268240B2 (ja) 2019-09-03 2020-08-22 シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体

Country Status (6)

Country Link
US (1) US20220131966A1 (ja)
EP (1) EP3962005A4 (ja)
JP (1) JP7268240B2 (ja)
CN (1) CN112448894B (ja)
CA (1) CA3143371C (ja)
WO (1) WO2021043012A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11588850B2 (en) * 2020-04-13 2023-02-21 At&T Intellectual Property I, L.P. Security techniques for 5G and next generation radio access networks
US11653229B2 (en) * 2021-02-26 2023-05-16 At&T Intellectual Property I, L.P. Correlating radio access network messages of aggressive mobile devices
US20220286853A1 (en) * 2021-03-03 2022-09-08 At&T Intellectual Property I, L.P. Mobility management for aggressive devices
CN115150034B (zh) * 2021-03-15 2024-05-03 中国移动通信集团福建有限公司 一种信令风暴的预警方法、装置及电子设备
US11653234B2 (en) 2021-03-16 2023-05-16 At&T Intellectual Property I, L.P. Clustering cell sites according to signaling behavior
CN113938414B (zh) * 2021-11-11 2023-09-12 杭州和利时自动化有限公司 一种网络风暴处理方法、系统、设备及计算机存储介质
CN114339767B (zh) * 2021-12-30 2024-04-05 恒安嘉新(北京)科技股份公司 一种信令检测方法、装置、电子设备及存储介质
CN114363947B (zh) * 2021-12-31 2023-09-22 紫光展锐(重庆)科技有限公司 日志分析方法及相关装置
CN115835211B (zh) * 2022-12-13 2024-03-12 武汉博易讯信息科技有限公司 一种5g信令攻击检测系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008537385A (ja) 2005-03-31 2008-09-11 ルーセント テクノロジーズ インコーポレーテッド 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置
JP2009520447A (ja) 2005-12-19 2009-05-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置
US20140148136A1 (en) 2012-11-29 2014-05-29 Maqsood A. Thange Telecommunications Addressing System and Method
WO2017154012A1 (en) 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points
CN101925083A (zh) * 2009-06-09 2010-12-22 中兴通讯股份有限公司 一种呼叫过程分析系统及方法
US9219744B2 (en) * 2010-12-08 2015-12-22 At&T Intellectual Property I, L.P. Mobile botnet mitigation
CN103138963B (zh) * 2011-11-25 2016-08-03 华为技术有限公司 一种基于用户感知的网络问题定位方法及装置
CN103490849A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 分析信令流量的方法及装置
CN102984077B (zh) * 2012-12-04 2015-09-16 中国联合网络通信集团有限公司 网络拥塞的控制方法及系统
CN104301939B (zh) * 2013-07-19 2018-03-23 中国移动通信集团广东有限公司 一种控制方法、装置及网络侧设备
CN104684020A (zh) * 2013-11-28 2015-06-03 中兴通讯股份有限公司 一种信令拥塞的处理方法、装置、基站及系统
CN105722139B (zh) * 2014-12-04 2018-12-07 中国移动通信集团上海有限公司 一种基于pcc架构的信令风暴管理方法和装置
US10142355B2 (en) * 2015-09-18 2018-11-27 Telus Communications Inc. Protection of telecommunications networks
EP3313114B1 (en) * 2016-10-18 2021-06-09 Nokia Solutions and Networks Oy Detection and mitigation of signalling anomalies in wireless network
CN108199978B (zh) * 2016-12-08 2021-06-25 中国移动通信集团四川有限公司 一种信令风暴的抑制方法和装置
US10686832B2 (en) * 2016-12-19 2020-06-16 Verisign, Inc. Dynamic allocation of a signal receiver for dissemination of threat information
CN109392007A (zh) * 2017-08-10 2019-02-26 中国电信股份有限公司 用于解决随选网络信令风暴的方法、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008537385A (ja) 2005-03-31 2008-09-11 ルーセント テクノロジーズ インコーポレーテッド 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置
JP2009520447A (ja) 2005-12-19 2009-05-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置
US20140148136A1 (en) 2012-11-29 2014-05-29 Maqsood A. Thange Telecommunications Addressing System and Method
WO2017154012A1 (en) 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network

Also Published As

Publication number Publication date
EP3962005A4 (en) 2022-07-06
CN112448894A (zh) 2021-03-05
EP3962005A1 (en) 2022-03-02
CA3143371C (en) 2024-01-23
WO2021043012A1 (zh) 2021-03-11
JP2022539901A (ja) 2022-09-13
CA3143371A1 (en) 2021-03-11
US20220131966A1 (en) 2022-04-28
CN112448894B (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
JP7268240B2 (ja) シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体
KR101503680B1 (ko) 네트워크 분석을 위한 방법 및 장치
EP3876589A1 (en) User access control method, information transmission method and apparatuses therefor
US9155049B2 (en) Method and apparatus for power reduction control in home network environment
EP3488577B1 (en) Node and method for detecting that a wireless device has been communicating with a non-legitimate device
US20220159446A1 (en) Event Report Sending Method, Apparatus, and System
CN113206814B (zh) 一种网络事件处理方法、装置及可读存储介质
US20210250811A1 (en) Method for controlling connection between terminal and network, and related apparatus
US20160183089A1 (en) Wlan authentication access control
WO2014135748A1 (en) Methods and apparatus for internetworking
US20130286829A1 (en) Base station and communication control method
US10091697B1 (en) Mitigation of uplink interference within heterogeneous wireless communications networks
US20230180104A1 (en) Fine grained access barring of aggressive cellular devices
Soós et al. On the security threat of abandoned and zombie cellular iot devices
CN116114220A (zh) 管理平面中的安全管理服务
KR102276090B1 (ko) 트래픽 데이터 재배열 방법 및 그 장치
KR20190098049A (ko) 대규모 연결성을 지원하는 이동 통신 네트워크에서의 과부하 처리 방법 및 장치
US20220286853A1 (en) Mobility management for aggressive devices
Sørseth Location disclosure in lte networks by using imsi catcher
US20240121678A1 (en) Distributed machine learning solution for rogue base station detection
US8948780B2 (en) Method for collecting per call measurement data and mobility management device and base station thereof
CN115209432A (zh) 一种小区基站信号接入故障定位及自愈的方法
CN114978559A (zh) DDoS攻击检测的方法和装置
WO2022167105A1 (en) First node, second node, communications system and methods performed, thereby for handling security in a communications system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220126

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230327

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230420

R150 Certificate of patent or registration of utility model

Ref document number: 7268240

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150