KR101235099B1 - 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 - Google Patents
시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 Download PDFInfo
- Publication number
- KR101235099B1 KR101235099B1 KR1020077022059A KR20077022059A KR101235099B1 KR 101235099 B1 KR101235099 B1 KR 101235099B1 KR 1020077022059 A KR1020077022059 A KR 1020077022059A KR 20077022059 A KR20077022059 A KR 20077022059A KR 101235099 B1 KR101235099 B1 KR 101235099B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- signaling
- mobile
- traffic
- rnc
- Prior art date
Links
- 230000011664 signaling Effects 0.000 title claims description 54
- 238000000034 method Methods 0.000 title claims description 23
- 238000001514 detection method Methods 0.000 claims description 14
- 238000005259 measurement Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000007781 pre-processing Methods 0.000 description 5
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000013468 resource allocation Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 239000006227 byproduct Substances 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007781 signaling event Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 3세대 무선 네트워크를 시그널링 공격으로부터 방어하기 위한 방법, 장치, 네트워크에 관한 것이다.
서비스 거부(Denial of Service, 'DoS') 공격은 계속하여 상당한 과제를 주고 있다. 사실, 인터넷에서의 공격의 빈도 및 양은 꾸준하게 증가해 왔다. 야후, CNN, 이베이 등과 같은 유명 웹 사이트들에 대한 2000년 2월 공격 및 최근의 루트 DNS 서버들에 대한 공격들과 같이 잘 알려진 공격들이 다수 있었다.
DoS 공격들은 전형적으로, 그 처리 용량을 초과하는 노드에게 대량의 트래픽을 보내, 공격의 지속기간 동안 공격받는 노드를 네트워크로부터 실질적으로 떨어져 나가게 하는 것을 포함한다. 더욱 정교한 공격은 분산(Distributed) DoS 공격(DDoS)이다.
DDoS 공격을 런치(launch)하려고 하는 공격자는 잘 알려진 보안 허점들을 이용하여 다수의 노드들을 전복함으로서 시작한다. 이들 굴복된(compromised) 노드들은 근본적으로 공격자의 노예들이 되고, 네트워크에 트래픽을 주입하기 위한 런치 포인트들로 기능한다. 적정 수의 굴복된 노드들을 모아, 공격자는 복수의 런치 포 인트들로부터의 트래픽을 직렬이 되게 하여 큰 규모의, 전 네트워크 공격을 강하게 런치할 수 있다.
매우 다양한 해결안들이 DoS 공격들을 방어하기 위하여 제안되어 왔다. DoS에 대한 방어에 있어 현재의 기술 상태는 방화벽들(Cisco의 PIX 라우터, Netscreen, Checkpoint's Firewall-1은 일부 예들이다), 푸쉬백(pushback) 지원을 위한 라우터 변형, 공격의 근원을 검출하고자 시도하는 트레이스백 메커니즘, 및 도착하는 트래픽에서의 변칙들 또는 서명들을 찾는 관련된 침입 검출 메커니즘을 포함한다. 이들 방법들 중 몇몇은 기존 네트워크 구성요소들에 상당한 변화들을 요하고, 적용하기에 비싼 반면, 나머지 것들은 ISP간의 협력을 요하고 실행불가능할 수도 있다. 그럼에도, 이들 안들은 유선 DoS 공격들의 위협을 감소시킨다. 예를 들어, 대부분의 방화벽들은 외부로부터 시작되는 접속을 허용하지 않으며, 따라서 DoS 대량 공격들을 방지할 수 있다.
반면 무선 네트워크들은 유선 네트워크들보다 상당히 취약하다. 새로운 DoS 공격들에 의해 이용될 수 있는 몇몇 취약함이 무선 네트워크들에 있다:
● 제한된 무선 링크 대역폭 : 무선 링크의 낮은 용량과 결합된 자원들의 빈약함이 그것을 DoS 공격의 쉬운 목표가 되도록 한다. 사실, 공격자의 일은 무선 링크를 과부하되도록 하는데 상당히 적은 트래픽(즉, 상대적으로 낮은 볼륨)을 취하므로, 유선의 경우보다 더욱더 용이하다. 게다가, 상대적으로 낮은 볼륨의 트래픽은 무선 DoS 공격의 검출을 어렵게 한다.
● 오버헤드의 프로세싱 : 전형적인 3G1x 또는 UMTS 네트워크는 전력 제어, 자원 할당, 페이징 등의 기능들의 호스트를 수행하는 몇몇 인프라 구성요소들을 갖는다. 무선 네트워크 제어기(RNC) 및 기지국들은 각각의 모바일에 대한 이들 활동들에 포함된다. 빠른 핸드오프로, 이들 장치들에 의해 요구되는 오버헤드는 엄청나게 크다. 또한, 이러한 장치들은 전형적으로, 동시에 활동중인 일정한 수의 유저들의 부하들을 처리하도록 설계된다. 그러므로, 과부하는 임의의 무선 인프라에 대해 상당한 중대사이다.
● 제한된 전력 공급 : 또다른 제약 요인은 무선 네트워크 내의 모바일 장치들("모바일")이 일반적으로 배터리들에 의해 전력이 공급되며, 배터리들의 제한된 수명은 모바일이 불필요한 전력 소비 동작들을 하도록 함으로써 그것들의 전력을 단지 고갈하도록 하는 공격의 목표가 되도록 한다는 것이다. 이것 자체가 모바일이 불능이되도록 할 수 있다.
● 다수의 공격목표 : 무선 DoS 공격시, 모바일 뿐만 아니라 인프라가 용이하게 공격될 수 있기 때문에, 공격자는 더 많은 유연성을 갖는다. 각각의 모바일을 개별적으로 공격함으로써 혹은 더욱 광범위한 효과를 위한 무선 인프라를 목표함으로써, 동일한 공격이 다수의 모바일들을 목표로 할 수 있다. 또한, 항상 작동하는 1xEV-DO와 같은 새로운 구성들이 공격의 가능성을 높인다.
무선 DoS 공격을 런칭하는 공격자는 용이하게 이 취약성을 이용할 수 있다.
무선 공격의 또다른 부산물은 공격이 모바일에 이르면 그것이 너무 늦다는 것이다. 유선 DoS 공격에서, 서버가 무능화되는데 많은 시간이 걸리는데, 왜냐하면 그러한 장치들은 무선 엔드포인트(모바일) 보다 더 큰 처리 용량을 가지기 때문이다. 대조적으로, 모바일은 제한된 프로세싱 및 배터리 수명을 가지고 있다. 덧붙여, 무선 링크는 유선 네트워크와 비교할 때 매우 대역폭이 제한적이다. 트래픽이 공격으로부터의 모바일에 도착한다면, 공격은 무선 링크의 주요 자원들, 무선 인프라, 및 모바일 배터리 전력을 낭비하는데 이미 성공한 것이다. 이것은 성공을 위해 서버에서의 프로세싱 자원들에 과부하를 주어야하는 전형적인 유선 DoS 공격들에 대조되는 것이다.
따라서, 3세대 무선 네트워크 DoS-같은 공격들을 검출, 방지 및 방어를 위한 방법들 및 장치들을 제공하는 것이 바람직하다. 더욱 상세하게는, UMTS, CDMA2000, 및 다른 3세대 무선 네트워크들에 대해 시도되는 무선 DoS-같은 공격들을 검출, 방지, 및 방어하기 위한 방법들 및 장치들을 제공하는 것이 바람직하다.
3세대 무선 네트워크는 데이터의 전송을 위해 모바일과 연관된 무선 인프라 사이에 전용 채널의 확립(설치)이 요구된다. 채널을 설정하기 위해, 시그널링 메시지들이 모바일과 무선 인프라의 구성요소들 사이에 전송될 필요가 있다. 시그널링 공격들은 무선 인프라에 과부하를 제공하기 위하여 이 시그널링의 속성을 이용하려고 한다.
UMTS 네트워크들에서의 시그널링 공격들
우선, 우리는 UMTS 구성의 짧은 소개로 시작한다. 다음, 우리는 데이터 채널을 설정하는데 요구되는 시그널링의 개략 및 시그널링 공격들에 대한 UMTS 네트워크의 취약성을 설명한다.
도 1은 UMTS 무선 네트워크의 전형적인 구성을 보여준다. 서빙 GPRS 지원 노드(Serving GPRS Support Node; SGSN)와 인터넷 사이의 무선 게이트웨이로서 동작하는 GPRS 네트워크 엔티티인 게이트웨이 GPRS 지원 노드(GGSN)로 시작하는 수개의 구성요소들이 있다. 추가적으로, GGSN은 동적인 어드레스 할당을 위해 DHCP 서버들 뿐만 아니라 외부 네트워크들 상의 인증 서버들과 인터페이스한다. 모바일 또는 유저가 성공적으로 네트워크에 인증되고 등록될 때, 포인트-투-포인트(PPP) 링크가 GGSN과 모바일 사이에 설정된다.
SGSN은 모바일 위치 및 인증에 대한 정보를 유지하는 것에 더하여, 모바일 무선국들 사이의 데이터 송수신을 책임진다. 전형적으로, 복수의 SGSN들이 있고, 이들 각각은 그들의 서비스 영역 내에 물리적으로 위치하는 GPRS 유저들을 지원한다.
기지국 제어기(Base Station Controller; BSC)로 알려진, 무선 네트워크 제어기(Radio Network Controller; RNC)는 무선 링크층 프로토콜들이 종결하는 지점이다. RNC는 기지국(BS)들 및 네트워크 에지(edge)를 통해 통신하는 무선 장치들 사이의 인터페이스를 제공한다. 이것은 BS들 사이의 핸드오프 및 전력 제어 파라미터들의 결정과 같은 관리 작업들 뿐만 아니라, 무선 자원 제어, 인가 제어, 채널 할당을 포함하여, BS 장치 내의 무선 송수신기들을 제어 및 관리하는 것을 포함한다. BS 기능은 무선 링크 송/수신, 변/복조, 물리 채널 코딩, 에러 처리, 및 전력 제어를 포함한다. 이 계층적인 구성에서, 복수의 모바일들이 BS과 통신하고, 복수의 BS들이 RNC와 통신하고, 복수의 RNC들이 GGSN/SGSN과 통신한다.
자원 할당을 위해 채널들을 설정하기 위한 UMTS 시그널링 제어 플로우가 설명된다. 근본적으로, 가입자를 위한 데이터가 도착할 때, UMTS RNC는 가입자의 기지국과 무선 액세스 베어러를 확립할 필요가 있다. RAB는 데이터 전송을 위한 채널이고, 비활동을 위한 중단 기간 후에는 해제된다. RAB를 확립하고 해제하기 위하여, 상당히 많은 메시지들이 RNC, 모바일과 기지국들 사이에 교환된다. 이것은 RNC를 위한 오버헤드의 상당한 양이고, 시그널링 시간 간격들 동안 심각한 프로세싱 오버헤드를 야기한다.
RNC, 기지국(들)과 모바일 사이의 메시지 플로우의 예가 도 2에 개시되어 있다. 근본적으로, 모든 데이터 콜에 대해, 많은 메시지들이 모바일과 RNC 사이에 교환된다. RNC가 이 메시지들 중 일부(Non Access Stratum 또는 NAS 메시지들로 지정된 메시지)에 대한 종결점이 아닌 동안, RNC는 이 메시지들을 코어 네트워크(예컨대, PDSN) 내의 최종 목적지로 전달할 것이 요구된다.
무선 자원 제어(Radio Resource Control; RRC) 메시지들
페이징 메시지들을 전달하기 위하여 및 정보를 방송하기 위하여, 모바일 전력 측정들을 위한 무선 채널들을 확립/해제하는데 RRC-같은 메시지들이 이용된다. RRC 설정은 전용 시그널링 채널을 생성하고, 이는 모바일과의 데이터 송수신을 가능하게 하는 첫번째 단계이다. 이것은 RNC와 모바일 사이에 교환되는 6개의 메시지들을 요구한다. 이를 뒤따라, 인증 및, PDSN과의 PPP 접속과 IP 어드레스의 할당을 포함하는 콘텍스트의 확립을 위해, 모바일과 코어 네트워크 사이에 교환되는 일련의 메시지들이 있다. 주어진 가입자에 대한 콘텍스트를 안전하게 하기 위한 암호들의 교환을 야기하는 제어 보안 모드를 위해, 4개의 메시지들이 추가로 RNC, 코어 네트워크와 모바일 사이에서 교환된다. 마지막으로, RAB가 RNC에서 (2개는 코너 네트워크와, 3개는 모바일과, 3개는 기지국과) 교환되는 추가적인 8개 메시지들을 요구하면서 설정되어, RNC와 단일 RAB를 확립하기 위하여 (RNC 내의 상이한 구성요소들 사이에 교환되는 메시지들을 제외하고) 총 24개의 메시지들을 발생시킨다. 모바일을 재-인증하는데 제어 보안 모드의 이용이 요구되더라도, 이후의 RAB 확립들은 RRC 시그널링 채널 설정을 수행할 필요가 없다는 것을 주의해야 한다.
모바일의 위치에 따라, 소위 소프트 핸드오프는 모바일이 가장 강한 신호를 갖는 제1의 노드에 "레그들" 또는 기지국들을 부가할 것을 요구한다. 이것은 (2개는 모바일, 2개는 제1의 기지국과) RNC에서 교환되는 4개의 추가 메시지들을 요구한다. 마지막으로, 전송 후에, 모바일은 RAB 및 RRC 접속들의 해체를 시작할 수 있다. 이것은 IU 해체 기능에 시작된다. 이것은 (2개는 코어 네트워크와, 4개는 모바일과, 5개는 기지국과) RNC 에서 교환되는 총 11개의 메시지들을 요한다. 이 숫자는 다시 RNC에서의 전체 부하에 기여하는 인트라-RNC 처리 메시지들을 포함하지 않는다.
모바일과 그것의 코어 네트워크 사이에 교환될 데이터가 없다면, 모바일은 일시정지된 상태(suspended state)에 놓이게 된다. 이 상태에서, 무선 링크 자원들은 해제되고, 다른 활동중인 모바일들에 할당되며, 이는 (그것의 코어 네트워크와 2개 및 기지국과 2개의) 4개의 메시지들을 요한다. 그러나, 콘텍스트는 여전히 RNC에 유지되고, 모바일은 RRC/RAB 확립 동안 구해지는 그것의 IP 어드레스를 보유한다. 모바일은 5초의 유휴 중단 시간(idle timeout period)이 일어나지 않는 한, 패킷 콜 콘텍스트 재개 메시지(그것의 코어 네트워크와의 2개의 추가 메시지)를 이용하여 모바일이 (RNC와의 2개의 메시지 교환과 함께) 재활성화될 수 있다.
공격의 속성 및 취약성
공격자는 RNC와 BS 사이의 과도한 시그널링 메시지 교환을 근본적으로 일으킴으로써, RAB들의 설정에 요구되는 헤비-듀티(heavy-duty) 시그널링 오버헤드를 이용한다. 이것은 RAB이 비활동으로 인해 해체된 후 즉시, 새로운 RAB 확립을 유발하기 위하여 버스트가 공격자로부터 도착하도록 하기 위해 낮은 볼륨의 버스트를 적절하게 정해진 시간들에서 전송함으로써 달성될 수 있다. 이 빈번한 설정/해제는 과도한 양의 시그널링 메시지들을 요구함으로써 RNC를 용이하게 과부하가 걸리게 할 수 있다.
공격자가 모바일들의 IP 어드레스들을 얻는 것이 상대적으로 용이하다는 것을 이해해야만 한다. 무선 서비스 제공자들은 전형적으로 대량의 근접한 IP 어드레스들을 할당하여, 공격자가 단지 유효 가입자인체 함으로써 유효한 범위의 어드레스들을 추측하는 것을 용이하게 한다.
공격자의 두드러진 2가지 특징들은 주의할 만하다. 첫째, 앞선 논한 바와 같이, 공격의 낮은 평균 전송율(적은 버스트들이 주기적으로 전송된다)이 기존 검출 메커니즘이 트래픽을 악성으로 분류하는데 어렵게 만든다. 공격을 시작하기 위하여 공격자들이 수천의 호스트들을 굴복시킬 것을 요구하는 종래 DDoS 공격들에 반해, 낮은 볼륨은 또한 공격자가 공격을 시작하는 것을 더욱 용이하게 한다. 또한, 공격자가 광범위하게 두루 미치는 충격을 주고, 나아가 검출을 어렵게 만드는데 모바일당 오직 하나의 패킷이 전송되면 된다.
공격에 의한 손실
이러한 공격에 기인한 손실은 매우 심각하여, 유효한 트래픽이 자원들의 할당을 받지 못해 RNC에 의해 그것이 포기되는 것을 야기한다. RNC는 또한 과부하가 걸리게 되어, 결국 상당수의 가입자들에 대한 서비스를 거부한다. 덧붙여, RNC들은 동시에 활동중인 일정 양의 모바일들/유저들(실제로는 10%)을 다루도록 설계되어 있다. 공격의 낮은-볼륨 특성으로 인해 공격자가 이 숫자를 초과하는 것은 용이하다.
시그널링 공격의 또다른 부작용은 모바일의 배터리를 소진시킬 가능성이다. 보통, 전력을 보존하기 위하여, 모바일은 패킷들의 송수신이 없을 때 저전력의 유휴 또는 휴면 상태로 전환한다. 낮은 볼륨의 버스트들이 주기적으로 전송되기 때문에, 모바일들은 강제적으로 필요 이상으로 길게 활성화된 상태가 되게 될 것이다. 최악의 경우에, 모바일은 휴면 상태로 진입하는 것이 허용되지 않아 그 배터리의 빠른 소진을 야기한다.
본 발명자들은 공격의 충격에 대한 시뮬레이션들을 수행했다; 몇몇 결과들이 도3a 및 3b에 그래프들로 제공되었다. 도3a는 연속적인 공격들에 대한 시간에 대한 기지국 제어기들의 부하를 나타내고, 반면 도3b는 시간에 대한 콜 설정 지연시간(즉, 콜이 도착한 후 자원들이 할당될 때까지 경험되는 지연)을 나타낸다.
도3a 및 3b로부터의 결과들은 공격의 강렬한 결과를 증명한다. 단지 6%의 공격 트래픽을 전송함으로써, RNC에서의 부하는 15%의 이용에서 75%의 이용으로 5배만큼 증가될 수 있다. 이것은 또한 콜 설정 지연에서 5배 증가로 환언되고, 이는 특히 실시간 서비스들을 권유하는 제공자들에 대한 소비자 신뢰를 해친다. 단지 약 10%의 공격 트래픽을 전송함으로써 RNC에 과부하가 걸리게 하는 것은 상대적으로 쉬운 것이다.
주제를 바꾸어, 다음으로 3G1x 구성(예컨대, CDMA2000) 및 시그널링을 간략히 설명한다.
3G1x 구성
도5는 3G1x 무선 네트워크에 대한 전형적인 구성을 도시한다. PDSN은 전체 무선 네트워크에서 모든 유저 모바일들/단말들과의 데이터 송수신을 위한 게이트웨이로서 기능하는 라우터일 수 있다. 모바일 또는 유저가 성공적으로 네트워크에 인증되고 등록될 때, PPP 링크가 GGSN과 유저/모바일 사이에 설정된다. PDSN으로의 경로 상에, 전형적으로 무선 인프라의 일부인 3개의 장치들이 있다. RNC 및 BS는 UMTS에서의 상응하는 것과 동일한 기능을 갖는다. 이 계층적인 구성에서, 다수의 모바일들은 기지국과 통신하고, 다수의 기지국들 RNC와 통신하고, 다수의 RNC들은 PDSN와 통신한다.
3G1x 시그널링
3G1x 네트워크에, 자원 할당에 관한 유사한 문제점이 있다. UMTS 네트워크들 내의 RAB의 등가가 기본 채널(fundamental channel; FCH)이며, 이는 데이터를 전송하기 위해 설정되어야 한다. FCH 설정에 이용되는 전형적인 단계들이 도4에 도시되어 있다.
PDSN이 모바일을 위한 데이터를 수신할 때, 그것은 모바일을 호출한다. 호출 메시지에 대한 성공적인 응답이 수신되면(3개의 메시지가 교환), 기지국은 모바일과의 FHC 또는 트래픽 채널의 설정(8개의 메시지 교환)을 시작한다. 병렬적으로, 4개의 메시지를 요하는 서비스 요청이 기지국과 RNC 사이에서 일어난다. RNC는 또한 메시지들을 코어 네트워크로 전달할 것이 기대되고, 이는 이 경우 유저에게 인증할 것이 요구된다. 이것은 6개의 추가 메시지를 유발한다. 마지막으로, 2개의 추가 메시지들이 거래(account)의 목적으로 RNC와 PDSN 사이에서 교환된다. 이것이 수행되면, 활성화된 채널이 모바일과의 데이터 송수신을 위해 존재한다.
콜 해제(들)는 반대 절차를 따르고, RNC로부터 PDSN 및 기지국으로의 7개 메시지들, 기지국과 RNC, PDSN, 및 모바일 사이의 8개 메시지들을 요한다. 전체로, 29개의 메시지들이 BS에 의해 생성 또는 수신되고, RNC가 코어 네트워크로 전달할 책임을 지는 9개 이상의 메시지들에 덧붙여, 13개의 메시지들이 RNC에 의해 생성 또는 수신된다.
모든 가입자는 전형적으로 할당된 제1의 레그(leg)를 가지며, 이는 첫번째 콜이 설정될 때 전달(forwarding) 기지국으로 기능한다. 어떤 경우들에서, 앵커 레그라 불리는, 부가(additional) 기지국이 장시간의 접속들을 위해 확립된다. 이 레그는 제1의 레그와 구별되고, 모바일에 가장 강한 신호를 보내는 기지국으로 정의된다. 앵커 레그는 9.6Kbps FCH 상에 용량이 불충분한 때 이용되는 보충 채널들(SCH)을 할당해야 할 때를 결정하는 책임을 진다.
FCH의 용량을 초과하는 버스트 형태의 초과 데이터가 있다면, 자원들은 각각의 유저에 대해 SCH를 생성하는 요구대로 할당된다. (소프트 핸드오프들을 위해) 앵커 레그, RNC 및 다른 베이스 기지국들 사이에 교환되는 16개의 추가 메시지들이 있고, 이는 보충 채널 할당 및 해제에 대한 앵커 레그의 유사한 취약성을 야기한다.
앵커 레그에 대한 공격이 잠재적으로 RNC에 대한 공격보다는 덜 광범위한 손해를 입히지만, 충격은 여전히 심각하여 무선 서비스 제공자의 수익에 대한 상당한 손해를 야기할 수 있다. 공격자가 다수의 앵커 레그들에 충격을 줄 수 있다면, 손실은 더욱 확대된다. 공격자는 특정 앵커 레그에 속한 가입자들을 목표할 수도 있다.
공격자가 단지 임의적으로 어드레스된 버스트들을 송신하더라도 손실은 여전히 심각할 수 있다는 것을 주의해야 한다. 단일 앵커 레그가 버스트들을 수신하고 있는 가입자들에 대해 책임이 없더라도, RNC는 여전히 다수의 앵커 레그들과의 상호작용으로 과부하가 걸릴 수 있다.
공격을 방지하고 방어하기 위하여, 본 발명자들은 소위 무선 상태들을 아는 것, 특히 트래픽이 무선 네트워크를 통해 여기저기 다님에 따른 시그널링 비용(들)이 필요로 되었다. 이것은 악성 트래픽이 과도한 시그널링 비용을 도입하기 시작하는 즉시 식별되는 것을 허용한다. 시그널링 비용은 연루된 무선 인프라에 따라 다양한 방식으로 얻어질 수 있다. 이상적으로, 정확한 시그널링 비용은 RNC 및 기지국과 같은 무선 구성요소들이 질의에 대한 인터페이스를 제공할 때, 이들 구성요소들에 질의하여 얻어질 수 있다. 그러나, 현재의 3세대 무선 네트워크들은 그러한 인터페이스를 갖지 않으며, 따라서 그러한 질의들을 지원하기 위해서는 변경들을 요구한다. 기존 인프라들을 변경하는 것은 네트워크 소유자들/운영자들에 의해 이미 지출된 투자액이 주어진 상태에서, 실행가능한 해결안이 아니다.
본 발명자들은 시그널링 콜(들)을 아는 것을 가정하여 트래픽 도착 패턴들로부터 시그널링 비용을 추정하는, 간단하지만 아직은 신규한 메커니즘을 발견했다. 본 발명들은 그와 같이 추정된 시그널링 비용을 이용하여 공격을 검출하기 위한 방법들 및 장치들에 대비한다.
도1은 UMTS 무선 네트워크 구성의 예를 도시한다.
도2는 도1의 UMTS 무선 네트워크와 연관된 메시지 플로우의 예를 도시한다.
도3a 및 3b는 시그널링 공격의 가능한 충력의 예시적인 시뮬레이션을 도시한다.
도4는 3G1x 무선 네트워크 내의 기본 채널을 설정하는 예시적인 단계들을 도시한다.
도5는 3G1x 무선 네트워크 구성의 예를 도시한다.
도6은 본 발명의 일 실시예에 따라 시그널링 공격들을 검출 빛 방지하기 위한 구성의 예를 도시한다.
전술된 바와 같이, 무선 구성요소가 질의를 위한 인터페이스를 제공한다면, 시그널링 비용이 단순한 질의에 의해 얻어질 수 있다. 그런 것이 없다면, 그러한 무선 구성요소들의 도움없이 비용을 얻는 것은 도전이다. 본 발명의 일 실시예에서, 시그널링 비용은 트래픽 도착 패턴들로부터 추정된다. 이것은 무선 구성요소들 내의 시그널링 프로토콜들에 대해 알 것을 요구한다. 표1은 본 발명의 일 실시예에 따라 UMTS 네트워크 내에서 (RAB 확립/해제에 기인한) 시그널링 비용을 추정하기 위한 기술의 예를 보여준다. 본 발명의 범위 내의 유사한 기술들이 본 발명의 택일적인 실시예들에 따라 CDMA 2000 네트워크들에 대한 다른 유형들의 시그널링 비용들을 추정하는데 이용될 수 있다.
본 발명은 패킷이 도착할 때, 목적지의 RAB이 해제되었다면, 목적 모바일이 RAB을 재확립해야 한다는 사실을 이용한다. 이 재확립은 새로운 RAB를 확립하고, 유휴 타이머의 만료에 기인한 이전 RAB의 해제를 위해 추가의 비용을 생성한다; 비용은 본 발명에 의해 제공되는 기술들에 의해 검출될 수 있다.
진행 중인 시그널링 공격의 신뢰성 있는 사인(sign)은 실제 전송된 데이터의 볼륨이 낮더라도, 과도한 또는 부가적인 시그널링 비용들의 검출이다. 계속하기에 앞서, 공격자는 과도한 시그널링 비용들을 또한 도입할 상당량의 트래픽을 이용하여 네트워크를 범람시킬 수 있다는 것을 주의해야 한다. 그러나, 이것은 상대적으로 말해서, 기존의 방화벽 또는 침입 검출 메커니즘들에 의해 용이하게 검출될 수 있다. 낮은-볼륨의 공격과 함께, 검출을 위한 보다 정확한 메트릭이 있어야 한다. 본 발명에 따라, 시그널링 비용 대 데이터 비율로 불리는 통계적 측정이 메트릭으로서 이용된다. 비율이 특정 프로파일된 문턱치를 초과하면, 시그널링 공격이 검출되고, 공격의 소스로부터의 악성 트래픽/패킷들이 차단된다. 본 발명의 다른 실시예에서, 동일한 소스로부터의 다수의 공격들이 검출되면, 공격의 소스로부터의 악성 트래픽/패킷들 등이 차단되는 반면, 다른 소스들로부터의 트래픽은 허용된다. 다른 침입 검출 메커니즘들은 또한 잘못된 알람들의 경우를 감소시키는데 이용될 수 있다.
본 발명의 예시적인 방법에 따르면, 트래픽이 공격의 일부인지를 결정하는 첫번째 단계는 이후의 비교를 위한 문턱치를 정의하는 것이다. 이것은 유저/어플리케이션에 의해 특정적인 것이어야 한다. 이 문턱치의 값은 전-처리 시간 동안 유저/어플리케이션들의 프로파일링(profiling)하여 선택될 수 있다.
이러한 시간 동안, 각각의 유저에 대한 프로파일은 데이터 대비 통계적인 시그널링 비용의 비율에 기초하여 생성될 수 있다. 프로파일을 세우는데 이용되는 정보는 패킷 도착 시간들, 원천(들)과 목적(들)의 IP 어드레스들 및 포트 번호를 포함한다.
본 발명에 의해 제공되는 프로파일 메커니즘의 일 신규한 양상은 관련된 프로파일들을 (서버 뿐만 아니라 유저, 어플리케이션) 모으는 능력이다. 유저 프로파일에 의해, 우리는 개별 유저에 대한 통계들을 참조한다. 이 구분은 또한 개개의 어플리케이션에 의해 분류될 수 있다. 예를 들어, 웹 서핑은 대부분의 유저들에 의해 가장 빈번히 이용되는 서비스이다. 유사하게, 비디오-온-디맨드 서버는 비디오를 유저들에게 방송하기 위해 RTP 패킷들을 이용할 것이다. 개개의 웹 서버 기초에 대한 통계들이 HTTP/RTP 패킷들의 도착을 로그(log)하여 축적될 수 있다.
확장을 가능하도록 하기 위하여, 프로파일들이 유사한 행동들을 갖는 유저들에 대해 모아질 수 있다. 다음, 현재의 트래픽은 불일치를 검출하기 위하여 모아진 프로파일과 비교될 수 있다. 축적된 프로파일들이 인기있는 서버스들 및 또한 인기있는 어플리케이션들에 대해 유사하게 유지될 수 있다. 상이한 분류 방식들의 유연성이 보통의 트래픽으로 간주되는 것의, 더욱 잘 인지되고 정확한 특성화를 가능하게 한다. 이 프로파일은 비정상적이고 악성 트래픽을 검출하는 열쇠인 반면, 또한 잘못된 명확성(유효한 트래픽을 악성 트래픽으로 잘못 분류)의 가능성을 최소화한다.
1. 데이터 대비 시그널링 비용 비율의 수집 a. 질의 : 유저당 무선 구성요소들로부터의 교환되는 시그널링 메시지들의 실제 수 b. 추정 : 패킷 간격들로부터 시그널링 비용 추론 2. 검출 : 전송자(s)로부터 유저(i)로의 패킷(j)에 대해: 메트릭 : 데이터 대비 시그널링 비용 비율(S/D) 3. 검증 : THEN ■ s 로의 데이터를 차단하기 위해 방화벽에 필터를 설치 |
상기 표2는 DoS 시그널링 공격에 대한 방어를 위한 방법 또는 알고리즘의 예를 보여준다. 이 방법은 무선 인프라로부터 유저 상태의 통계적 정보(예컨대, 실제 트래픽 플로우)를 추정 또는 수집할 수 있는 장치 또는 장치들에 의해 실행될 수 있다. 일반적으로, 이 방법은 다음과 같다.
초기 단계에서, 데이터 대비 시그널링 비용의 비율과 같은 현재 측정이 생성 또는 유도된다. 이 비율은 인프라에 직접 질의를 함으로써 또는 추정 기술을 이용하여 구해질 수 있다.
다음, 데이터 대비 시그널링 비용의 비율이 문턱치, 기준 비율과 비교된다. 유도된 비율이 유저에 대한 프로파일을 세우는 전-처리 단계로부터 결정된 유저에 대한 문턱치, 즉 S/DTHRESH을 초과하면, 전송자 "s"로부터의 이후의 트래픽에 플래그가 붙는다(flagged).
마지막으로, (문턱치(VOTETHERESH)와 비교될 때) 전송자(s)로부터의 충분한 수의 패킷들이 수상한 것으로 플래그가 붙여졌거나 또는 수상한 행동이 확장된 시간(INVALIDTIMER) 동안 지속된다면, 그 전송자로부터의 미래 트래픽을 차단하기 위하여 방화벽에 필터가 적용될 수 있다.
전-처리 단계 동안 생성된 유저 프로파일은 잘못된 명확성을 최소화하고 위반이 발생한 때를 정확히 검출하기 위하여, 유저 행동에 적응될 수 있는 것임을 주의해야 한다. 더욱 상세하게는, 초기의 프로파일이 전-처리 동안 생성된 후, 유저의 행동에 대한 변화들에 기초하여 정기적으로 갱신될 수 있다.
표2에 이용된 방법은 다수의 다양한 방식으로 구현될 수 있고, 이 중 하나는 무선 공격 저항에 대한 구성(Architecture for Wireless Attack REsistance; AWARE)으로서 불리는 것이다. AWARE-활성화된 장치들은 모듈 단위일 수 있고, 미래 공격들을 반격하기 위하여 업그레드를 지원할 수 있다.
본 발명의 일 실시예에서, AWARE 구성(예컨대, 활성화된 장치)은 두 개의 구성요소들을 포함할 수 있다: 학습 데이터베이스 및 프로파일러, 및/또는 검출 엔진 또는 검출기. 학습 데이터베이스는 전-처리 단계 동안 유저에 관한 정보를 캡쳐 및 저장하도록 동작될 수 있다. 프로파일러는 보통의(즉, 공격이 없는) 상태들 하에서 주어진 유저에 대한 트래픽 프로파일을 생성하도록 동작될 수 있다. 데이터베이스 및 프로파일러는 하나 및 동일한 것일 수 있고, 교차-모바일 상호연관을 위해 다른 유저 데이터베이스 및 프로파일러들과 상호연관될 수 있다. 이 데이터베이스들 내의 정보는 검출기/검출 엔진으로 전달된다. 본 발명의 일 실시예에서, 검출 엔진은 각각의 유저에 대한 문턱치를 유지하고, 유저 또는 유저들의 세트에 대한 현재 트래픽이 상응하는 문턱치를 어기고 있는지를 확인하도록 동작될 수 있다. AWARE-활성화된 장치(데이터베이스, 프로파일러, 및/또는 검출기를 포함하는 것)와 통신이 가능한 무선 구성요소들에 따라, AWARE-활성화된 장치의 위치가 변경될 수 있다:
● 방화벽과 같은 장소에 배치: AWARE-활성화된 장치는 무선 서비스 제공자의 방화벽과 같은 위치에 배치될 수 있다. 그러한 디자인이 선택된다면, 무선 인프라의 다른 임의의 부분이 AWARE-활성화된 장치의 존재를 알거나 AWARE-활성화된 장치와 상호작용하는 것을 반드시 당연한 것으로 받아들일 필요는 없다.
본 발명의 실시예에서, AWARE-활성화된 장치는 프로파일들을 구성하기 위하여 패킷 도착들과 같은 IP 계층 정보 및 IP/TCP 및 어플리케이션 계층 헤더들로부터의 정보를 이용한다. 이것은 AWARE-활성화된 장치가 패킷 내부를 조사할 수 있다는 것을 가정한다. IPsec(터널 모드)가 활성화되었다면, AWARE-활성화된 장치는 도메인 내의 IPsec 게이트웨이와 같은 위치에 배치되어 패킷 헤더들 및 페이로드들을 검사하고 암호를 해독할 수 있다.
● PDSN과 RNC간의 사이: 본 발명의 택일적인 실시예에서, AWARE-활성화된 장치는 PDSN과 RNC 사이에 배치될 수 있다. 이러한 디자인에서, 장치는 PDSN과 상호작용할 수 있고, 어떻게 패킷들이 상이한 RNC들에 분포되어 있는지에 대한 정보를 얻을 수 있다. RNC는 미묘한 성질 정보를 다음과 같은 제공한다: FCH 및 SCH 설정/해제에 대한 시그널링 이벤트들의 수, 시그널링 메시지들의 시간정보, 및 모바일 전력 소비를 추정하는 기지국을 통한 전력 제어 정보.
AWARE-활성화된 장치가 독립형인 경우에, 장치가 무선 인프라(예컨대, 방화벽)과 동작하는 것을 허용하기 위해 AWARE-호환의 인터페이스가 필요할 수 있다는 것을 이해해야만 한다.
"최소-침입성의(least-invasive)" 디자인에서, AWARE-활성화된 장치는 단지 IP 패킷들이 PDSN에 도착하기 전에 방화벽으로부터 전달되는 IP 패킷들을 본다. 모든 필요한 정보는 어플리케이션, TCP 및 IP 헤더들 및 페이로드 자체에 포함된다. 프로파일을 구성하는데 필요로 되는 정보는 상기 헤더들 및 페이로드로부터 추출될 수 있다.
AWARE-활성화된 장치는 기존 방화벽들 또는 IPsec 게이트웨이들과 통신할 수 있어야 한다. 이상적으로, AWARE-활성화된 장치는 수상한 트래픽을 차단하기 위한 필터로서 기능하는 이들 엔티티들에 같은 장소에 배치될 수 있다. AWARE-활성화된 장치가 IPsec 게이트웨이와 같이 배치되지 않는다면, 터널 모드에서 ESP-캡슐화된 패킷들을 처리 및 해독할 수 있기 위해서는 소위 게이트웨이와의 보안 연계가 있을 필요가 있다. AWARE-활성화된 장치가 방화벽과 같이 배치되지 않는 때에도, 필터들의 구성을 허용하는 Checkpoint의 Firewall-1과 같은 대부분의 상업용 방화벽들과의 인터페이스가 있다.
AWARE-활성화된 장치가 PDSN과 RNC 사이에 배치된다면, 더 많은 유저-특정의 상태 정보가 수집될 수 있다(즉, 유저가 속한 RNC 및 RLP 프레임으로부터 얻을 수 있는 잠재적인 다른 정보). 또한, AWARE-활성화된 장치는 모바일이 여러 RNC를 지나 이동할 수 있기 때문에 이동성과 관련된 정보를 얻을 수 있다. 검출에 관한 이동성 정보의 충격은 분석할 만한 가치가 있는데, 왜냐하면 이동이 많은 엔드-유저들은 인프라의 부하에 상당히 기여할 수 있기 때문이다. 이동이 많은 유저들에 대한 무선 DoS 공격을 시작하는 것은 실질적으로 처리 오버헤드를 더할 수 있는 추가의 작업들, 예컨대 더욱 잦은 호출을 요한다. 또한, 모바일은 전송을 시작하기에 앞서 PDSN과의 PPP 접속을 시작할 수 있다. AWARE-활성화된 장치는 또한 PPP 상태 이력을 얻기 위하여 PDSN에 질의할 수 있다.
AWARE-활성화된 장치들뿐만 아니라, 본 발명자들은 또한 AWARE 관련된 구성이 또한 추가의 장치들을 요할 수 있다는 것을 알았다.
예를 들어, AWARE-호환 인터페이스가 본 발명에 의해 제공된다. 본 발명의 일 실시예에서, 그러한 인터페이스가 무선 유저/모바일 상태(들)을 질의하도록 동작될 수 있다. 그러한 인터페이스는 또한 AWARE-활성화된 장치(또는 장치들)가 모바일/유저-특정의 정보를 얻기 위하여 무선 인프라와 보안 방식으로 통신할 수 있도록 한다. 그러한 인터페이스는 PDSN 이외에도 인프라들에 옵션으로 포함될 수 있는데, 왜냐하면 패킷 도착들이 상태 정보를 추정하기 위하여 최소한으로 알려질 필요가 있기 때문임을 주의해야 한다.
인터페이스에 덧붙여, 본 발명은 플러그-인 검출기를 제공한다.
스노트(snort)는 AWARE-활성화된 장치의 기능에 필적하는 오픈-소스 IDS 메커니즘이다. 스노트는 모듈 단위이고, 새로운 플로그인들이 설치되는 것을 허용하며, 따라서 검출 메커니즘이 현재 및 미래 공격들의 방어에 대해 맞춤화 및 향상되는 것을 허용한다. "플러그-인"은 스노트의 동작을 변경하도록 동적으로 부가될 수 있는 모듈들을 가리키는 통칭의 용어를 의미한다.
본 발명의 추가적인 실시예에서, 본 발명의 검출 발견 기능들을 포함하는 스노트 호환 플러그-인이 제공된다.
다른 플러그-인들이 또한 본 발명에 의해 제공된다. 다시, 그들의 실험들 동안 본 발명자들은 방화벽과 인터페이스 하고 공격들에 반응하기 위하여 스노트샘(Snortsam)을 이용하였다.
본 발명의 추가적인 실시예에서, 그러한 인터페이스를 허용하는 스노트샘 호환 플러그-인이 본 발명에 의해 제공된다. 그러한 플러그-인은 악성 트래픽을 차단하기 위한 필터(들)로서 기능하도록 동작될 수 있다.
택일적으로, 이 플러그-인은 악성 트래픽의 우선권을 감소시키기 위하여 무선 패키 스케쥴러와 인터페이스될 수 있다.
본 발명의 방법들, AWARE-활성화된 장치들, 인터페이스들, 및 임의의 하위구성요소들(예컨대, 학습 데이터베이스, 프로파일러, 검출기 등)이 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 조합에 의해 구현될 수 있다는 것을 이해해야만 한다. 예를 들어, 하나 이상의 프로그래머블 또는 프로그램된 제어기들, 프로세서들 등이 하나 이상의 프로그램들 또는 코드(및 데이터)를 저장하도록 동작가능할 수 있으며, 이들은 앞서 및 다음의 청구범위에서 기술되는 본 발명의 특징들 및 기능들을 수행하도록 동작될 수 있다.
Claims (10)
- 3세대 무선 네트워크에 대한 시그널링 공격을 검출하기 위한 방법에 있어서:모바일 장치와 연관된 트래픽 레벨을 측정하는 단계;트래픽 도착 패턴들로부터 유도된 시그널링 비용 및 상기 측정된 트래픽 레벨과 연관된 비용-대-데이터 비율을 생성하는 단계; 및서비스-거부(Denial-of-Service) 시그널링 공격이 상기 장치로 향하는지를 결정하기 위해, 상기 생성된 비율을, 프로파일된 기준 비용-대-데이터 문턱치 비율(profiled, reference cost-to-data threshold ratio)과 비교하는 단계를 포함하는, 시그널링 공격 검출 방법.
- 제 1 항에 있어서,상기 생성된 비율이 상기 기준 문턱치 비율 이상이면, 상기 모바일 장치에 대해 의도된 악성 트래픽이 상기 장치에 도달하는 것을 방지하는 단계를 더 포함하는, 시그널링 공격 검출 방법.
- 제 1 항에 있어서,상기 네트워크는 UMTS 또는 CDMA2000 네트워크로부터 선택되는, 시그널링 공격 검출 방법.
- 삭제
- 제 1 항에 있어서,상기 트래픽 레벨은 낮은 볼륨의 데이터인, 시그널링 공격 검출 방법.
- 무선 네트워크에서 서비스-거부(DoS) 공격을 검출하기 위한 방법에 있어서:(a) 특정 시간 간격 내에서, 트래픽 도착 패턴으로부터 유도되는, 시그널링 비용 대 상기 특정 시간 간격 내에서 적어도 하나의 모바일과 주고받는 실제 데이터의 양의 비율에 기초하여 통계적 측정치를 생성하는 단계;(b) 상기 통계적 측정치를 현재의 측정치와 비교하는 단계; 및(c) 상기 현재의 측정치가 상기 통계적 특정치와 문턱치 이상만큼 다르면 DoS 공격을 검출하는 단계를 포함하는, DoS 공격 검출 방법.
- 삭제
- 삭제
- 3세대 무선 네트워크에 있어서:상기 무선 네트워크와 인터넷 사이의 액세스를 제공하도록 구성된 하나 이상의 액세스 노드들;상기 액세스 노드와 통신하도록 구성된 하나 이상의 무선 네트워크 제어기(RNC)들;하나 이상의 모바일 유닛들 및 RNC와 통신하도록 구성된 각각의 RNC에 대한 하나 이상의 기지국들; 및아키텍처로서, (a) 특정 시간 간격 내에서, 트래픽 도착 패턴으로부터 유도되는, 시그널링 비용 대 상기 특정 시간 간격 내에서 적어도 하나의 모바일과 주고받는 실제 데이터의 양의 비율에 기초하여 통계적 측정치를 생성하고; (b) 상기 통계적 측정치를 현재의 측정치와 비교하고; (c) 상기 현재의 측정치가 상기 통계적 측정치와 문턱치 이상만큼 다르면 DoS 공격을 검출하도록 구성된 상기 아키텍처를 포함하는, 3세대 무선 네트워크.
- 3세대 무선 네트워크에 대한 서비스-거부 시그널링 공격을 검출하기 위한 장치에 있어서:공격이 없는 상태들과 연관된 모바일에 대해, 트래픽 도착 패턴들로부터 유도된 시그널링 비용 및 측정된 트래픽 레벨들과 연관된 비용-대-데이터 비율을 포함하는, 집계된 트래픽 프로파일을 생성하도록 동작가능한 프로파일러(profiler); 및상기 모바일과 연관된 현재의 트래픽 도착율과 적어도 상기 집계된 트래픽 프로파일과 연관된 문턱치를 비교함으로써 공격을 검출하도록 동작가능한 검출기를 포함하는, 서비스-거부 시그널링 공격 검출 장치.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/094,416 | 2005-03-31 | ||
US11/094,416 US20060230450A1 (en) | 2005-03-31 | 2005-03-31 | Methods and devices for defending a 3G wireless network against a signaling attack |
PCT/US2006/010108 WO2006104752A1 (en) | 2005-03-31 | 2006-03-21 | Methods and devices for defending a 3g wireless network against a signaling attack |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020127019442A Division KR101259775B1 (ko) | 2005-03-31 | 2006-03-21 | 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070116612A KR20070116612A (ko) | 2007-12-10 |
KR101235099B1 true KR101235099B1 (ko) | 2013-02-20 |
Family
ID=36579743
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020127019442A KR101259775B1 (ko) | 2005-03-31 | 2006-03-21 | 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 |
KR1020077022059A KR101235099B1 (ko) | 2005-03-31 | 2006-03-21 | 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020127019442A KR101259775B1 (ko) | 2005-03-31 | 2006-03-21 | 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20060230450A1 (ko) |
EP (1) | EP1864471B1 (ko) |
JP (1) | JP4994359B2 (ko) |
KR (2) | KR101259775B1 (ko) |
CN (1) | CN101151868A (ko) |
WO (1) | WO2006104752A1 (ko) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1771021A1 (en) * | 2005-09-29 | 2007-04-04 | Telefonaktiebolaget LM Ericsson (publ) | A method and apparatus for allocation of radio resources |
US8965334B2 (en) | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
KR101368588B1 (ko) | 2006-10-30 | 2014-02-27 | 인터디지탈 테크날러지 코포레이션 | Lte 시스템에서 추적 영역 업데이트 및 셀 재선택을 구현하는 방법 및 장치 |
DE102006052709B3 (de) * | 2006-11-08 | 2008-06-19 | Siemens Ag | Anordnung und Verfahren zur Regulierung einer Datenübertragung in einem Netz |
KR20080057161A (ko) * | 2006-12-19 | 2008-06-24 | 주식회사 케이티프리텔 | 점대점 터널링 통신을 위한 침입 방지 장치 및 방법 |
KR100889670B1 (ko) * | 2007-08-08 | 2009-03-19 | 삼성에스디에스 주식회사 | 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법 |
US9009828B1 (en) | 2007-09-28 | 2015-04-14 | Dell SecureWorks, Inc. | System and method for identification and blocking of unwanted network traffic |
US9036540B2 (en) * | 2007-09-28 | 2015-05-19 | Alcatel Lucent | Method and system for correlating IP layer traffic and wireless layer elements in a UMTS/GSM network |
US20090113039A1 (en) * | 2007-10-25 | 2009-04-30 | At&T Knowledge Ventures, L.P. | Method and system for content handling |
US20090209291A1 (en) * | 2008-02-19 | 2009-08-20 | Motorola Inc | Wireless communication device and method with expedited connection release |
KR101301315B1 (ko) * | 2008-10-30 | 2013-08-29 | 닛본 덴끼 가부시끼가이샤 | 액세스 네트워크 확장 임팩트를 최소화하기 위해 사용자 장비 및 H(e) NB 를 이용하는 통신 방법 |
US8688826B2 (en) * | 2009-11-30 | 2014-04-01 | Motorola Mobility Llc | Mobile computing device and method with intelligent pushing management |
US8745188B2 (en) | 2010-06-07 | 2014-06-03 | Novell, Inc. | System and method for managing changes in a network datacenter |
WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
CN103733567B (zh) * | 2011-08-10 | 2016-10-12 | 国际商业机器公司 | 网络管理系统 |
KR101149587B1 (ko) * | 2011-10-31 | 2012-05-29 | 한국인터넷진흥원 | 이동통신망의 시그널링 도스 트래픽 탐지방법 |
CN103988534B (zh) * | 2011-12-12 | 2018-09-11 | 瑞典爱立信有限公司 | 用于检测网络节点上的持续恶意软件的方法 |
CN103490849A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 分析信令流量的方法及装置 |
KR101444899B1 (ko) * | 2012-07-12 | 2014-09-26 | 건국대학교 산학협력단 | 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법 |
KR20150084970A (ko) * | 2012-11-22 | 2015-07-22 | 코닌클리즈케 케이피엔 엔.브이. | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
CN103906094B (zh) * | 2012-12-24 | 2017-10-17 | 中国电信股份有限公司 | Evdo控制信道资源占用获取方法和系统 |
KR101725129B1 (ko) * | 2013-02-22 | 2017-04-10 | 한국전자통신연구원 | 무선랜 취약성 분석 장치 |
CN104125571A (zh) * | 2014-07-03 | 2014-10-29 | 北京大学 | 一种伪基站的检测与抑制方法 |
US10193922B2 (en) * | 2015-01-13 | 2019-01-29 | Level 3 Communications, Llc | ISP blacklist feed |
CN107251519B (zh) * | 2015-03-18 | 2020-06-12 | 赫尔实验室有限公司 | 用于检测通信网络上的假信息的攻击的系统、方法和介质 |
CN104880056B (zh) * | 2015-06-23 | 2017-12-08 | 湖州师范学院 | 基于snort的木材干燥的安全控制方法 |
US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
EP3595257B1 (en) * | 2018-07-10 | 2020-12-30 | Nokia Solutions and Networks Oy | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device |
CN109922075B (zh) * | 2019-03-22 | 2020-06-02 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN112448894B (zh) * | 2019-09-03 | 2022-08-19 | 华为技术有限公司 | 阻断信令风暴的方法、装置、设备及存储介质 |
CN113727348B (zh) * | 2020-05-12 | 2023-07-11 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备、系统及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030059204A (ko) * | 2000-10-17 | 2003-07-07 | 왠월 인코포레이티드 | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 |
US20050018618A1 (en) * | 2003-07-25 | 2005-01-27 | Mualem Hezi I. | System and method for threat detection and response |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE498270T1 (de) * | 2000-05-12 | 2011-02-15 | Niksun Inc | Sicherheitskamera für ein netzwerk |
US7092357B1 (en) * | 2001-11-13 | 2006-08-15 | Verizon Services Corp. | Anti-flooding flow-control methods and apparatus |
KR100427449B1 (ko) * | 2001-12-14 | 2004-04-14 | 한국전자통신연구원 | 네트워크 기반 침입탐지시스템의 적응적 규칙 추정에 의한침입탐지방법 |
CA2414789A1 (en) * | 2002-01-09 | 2003-07-09 | Peel Wireless Inc. | Wireless networks security system |
JP3923346B2 (ja) * | 2002-03-29 | 2007-05-30 | 京セラ株式会社 | 無線通信機 |
US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
-
2005
- 2005-03-31 US US11/094,416 patent/US20060230450A1/en not_active Abandoned
-
2006
- 2006-03-21 JP JP2008504141A patent/JP4994359B2/ja not_active Expired - Fee Related
- 2006-03-21 KR KR1020127019442A patent/KR101259775B1/ko not_active IP Right Cessation
- 2006-03-21 WO PCT/US2006/010108 patent/WO2006104752A1/en active Application Filing
- 2006-03-21 KR KR1020077022059A patent/KR101235099B1/ko not_active IP Right Cessation
- 2006-03-21 EP EP06739051A patent/EP1864471B1/en not_active Not-in-force
- 2006-03-21 CN CNA2006800101862A patent/CN101151868A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030059204A (ko) * | 2000-10-17 | 2003-07-07 | 왠월 인코포레이티드 | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 |
US20050018618A1 (en) * | 2003-07-25 | 2005-01-27 | Mualem Hezi I. | System and method for threat detection and response |
Also Published As
Publication number | Publication date |
---|---|
WO2006104752A1 (en) | 2006-10-05 |
CN101151868A (zh) | 2008-03-26 |
KR20070116612A (ko) | 2007-12-10 |
JP2008537385A (ja) | 2008-09-11 |
KR20120099286A (ko) | 2012-09-07 |
US20060230450A1 (en) | 2006-10-12 |
EP1864471B1 (en) | 2012-09-26 |
KR101259775B1 (ko) | 2013-05-06 |
EP1864471A1 (en) | 2007-12-12 |
JP4994359B2 (ja) | 2012-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101235099B1 (ko) | 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 | |
KR101187720B1 (ko) | 무선 네트워크들에서 전력-소모 서비스 거부 공격들의 검출 | |
Lee et al. | On the detection of signaling DoS attacks on 3G wireless networks | |
Lee et al. | On the detection of signaling DoS attacks on 3G/WiMax wireless networks | |
EP1964366B1 (en) | Methods and devices for defending a 3g wireless network against malicious attacks | |
US7398317B2 (en) | Thwarting connection-based denial of service attacks | |
US7702806B2 (en) | Statistics collection for network traffic | |
US7124440B2 (en) | Monitoring network traffic denial of service attacks | |
US7043759B2 (en) | Architecture to thwart denial of service attacks | |
Malekzadeh et al. | Validating Reliability of OMNeT++ in Wireless Networks DoS Attacks: Simulation vs. Testbed. | |
Barham et al. | Techniques for lightweight concealment and authentication in IP networks | |
Gill et al. | Scheme for preventing low-level denial-of-service attacks on wireless sensor network-based home automation systems | |
Khan et al. | Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks | |
Sardana et al. | Detection and honeypot based redirection to counter DDoS attacks in ISP domain | |
Ettiane et al. | Protection mechanisms for signaling dos attacks on 3g mobile networks: Comparative study and future perspectives | |
Durairaj et al. | ThreV-An Efficacious Algorithm to Thwart MAC Spoof DoS Attack in Wireless Local Area Infrastructure Network | |
Joe | Sctp with an improved cookie mechanism for mobile ad-hoc networks | |
Park et al. | Design of detection system against the denial of service attack in 3G1x system | |
Yan et al. | Stochastic security performance of active cache based defense against dos attacks in wireless mesh network | |
Mishra et al. | A Novel Approach for Detection and Prevention of DOS Attack in Wireless Mesh Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
A107 | Divisional application of patent | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160211 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170203 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180202 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |