KR101550482B1 - 비정상 검출 방법 및 디바이스 - Google Patents

비정상 검출 방법 및 디바이스 Download PDF

Info

Publication number
KR101550482B1
KR101550482B1 KR1020117000853A KR20117000853A KR101550482B1 KR 101550482 B1 KR101550482 B1 KR 101550482B1 KR 1020117000853 A KR1020117000853 A KR 1020117000853A KR 20117000853 A KR20117000853 A KR 20117000853A KR 101550482 B1 KR101550482 B1 KR 101550482B1
Authority
KR
South Korea
Prior art keywords
mobile terminal
authentication
virus
wireless communication
communication network
Prior art date
Application number
KR1020117000853A
Other languages
English (en)
Other versions
KR20110041465A (ko
Inventor
장-마리 드보이스
렌 라이나우드
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110041465A publication Critical patent/KR20110041465A/ko
Application granted granted Critical
Publication of KR101550482B1 publication Critical patent/KR101550482B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Monitoring And Testing Of Exchanges (AREA)

Abstract

무선통신 네트워크 내의 적어도 하나의 이동 단말기(TM)에 의해 전송된 트래픽 내의 비정상을 검출하기 위해, 무선통신 네트워크(RR) 위치 레지스터(HLR)와 통신할 수 있는 디바이스는 이동 단말기를 인증하기 위해 보안 데이터가 네트워크 유닛에 전송되는 경우 적어도 하나의 사전결정된 시간 간격 동안 이동 단말기에 할당된 인증 어카운트(CA)를 증가시키고, 사전결정된 시간 간격의 만료시 인증 어카운트가 사전정의된 상한 값을 초과하는 경우, 이동 단말기에 의해 전송된 트래픽 내의 비정상을 검출하고, 이러한 트래픽 비정상과 관련된 메시지를 상기 비정상을 제거하기 위해 필요한 초치를 취하는 네트워크 내의 유닛에 전송하는 평가 모듈(ME)을 포함한다.

Description

비정상 검출 방법 및 디바이스{DETCTION OF ANOMALY OF TRAFFIC EMITTED BY A MOBILE TERMINAL IN A RADIOCOMMUNICATION NETWORK}
본 발명은 예를 들어 이동 단말기에 의해 전송된 트래픽 내에 비정상(anomaly)을 야기하는 이동 단말기 내의 바이러스의 존재로 인한 무선통신 네트워크 내의 이동 단말기의 기능장애를 검출하는 것에 관한 것이다.
오늘날, 이동 단말기는 점점 복잡해지고 있고, 이들은 바이러스에 의해 감염될 수 있거나 또는 악의적인 공격의 표적이 될 수 있는 운영 시스템을 구동시킨다.
소정 유형의 바이러스는 감염된 이동 단말기로부터 주어진 호출 번호를 갖는 또 다른 단말기로 단문 SMS("단문 메시지 서비스") 메시지를 전송하게 하며, 이로인해 감염된 이동 단말기의 사용 요금을 통제불가능하게 증가시킨다. 다른 유형의 바이러스는 이동 단말기의 기능장애를 야기할 수 있고 이동 단말기 또는 이 이동 단말기가 연결되는 무선통신 네트워크의 일부에 대한 쓸모없는 리소스 소비를 야기할 수 있다.
따라서, 이동 단말기의 비정상적인 동작의 해로운 결과를 제한하기 위해, 예를 들어 이동 단말기 내에 존재하는 바이러스로 인한 이동 단말기의 일부분에 대한 비정상적인 동작을 신속히 검출할 필요가 있다.
본 발명의 일 목적은 무선통신 네트워크의 적어도 하나의 유닛이 검출된 비정상적 동작을 교정하기 위한 조치를 취할 수 있도록 무선통신 네트워크 내에서 이동 단말기에 의해 전송되는 데이터 트래픽에 관련된 이동 단말기의 비정상적 동작을 검출하는 것이다.
이러한 목적을 달성하기 위해, 무선통신 네트워크 내에서 적어도 하나의 이동 단말기에 의해 전송된 트래픽에서의 비정상을 검출하는 본 발명에 따른 방법은 무선통신 네트워크 위치 레지스터와 통신할 수 있는 디바이스 내에서 아래와 같은 단계, 즉,
이동 단말기를 인증하기 위해 보안 데이터가 네트워크 유닛에 전송되는 경우, 적어도 하나의 사전결정된 시간 간격 동안 이동 단말기에 할당된 인증 어카운트를 증가시키는 단계와,
인증 어카운트가 사전정의된 상한 값을 초과하는 경우 이동 단말기에 의해 전송된 트래픽 내의 비정상을 검출하기 위해 상기 사전정의된 상한 값과 인증 어카운트를 비교하는 단계를 포함한다.
바람직하게, 본 발명은 이동 단말기에 의해 전송된 트래픽 내의 비정상과 같은 이동 단말기 내의 비정상적 활동을 검출하기 위해 무선통신 네트워크에 추가의 기능을 제공한다. 상기 디바이스와 무선통신 네트워크 위치 레지스터 간의 협력은 이동 단말기의 위치와는 무관하게 트래픽 비정상의 검출을 가능하게 한다.
본 발명의 일 실시예에 따르면, 네트워크는 이동 단말기에 의해 전송된 트래픽을 간접적으로 모니터링할 수 있고 잠재적인 트래픽 비정상의 해로운 영향을 최소화하기 위해 사전결정된 시간 간격의 지속기간의 함수로서 이러한 트래픽 비정상을 신속하게 또한 반응적으로 검출할 수 있다.
본 발명의 또 다른 특징에 따르면, 인증 어카운트는 사전결정된 시간 간격의 만료시 0으로 리셋될 수 있다.
본 발명의 다른 특징에 따르면, 인증 어카운트는 사전결정된 시간 간격의 만료시 사전정의된 상한 값과 비교될 수 있거나, 인증 어카운트는 인증 어카운트가 증가될 때마다 사전정의된 상한 값과 비교될 수 있다. 후자의 경우, 네트워크는 트래픽 비정상을 실시간으로 검출할 수 있고 즉각 반응할 수 있다. 또한, 인증 어카운트는 사전정의된 시간 간격의 만료 이후 사전정의된 상한 값과 비교될 수 있다.
본 발명의 또 다른 특징에 따르면, 이동 단말기를 인증하기 위해 보안 데이터의 세트가 네트워크 유닛으로 전송될 수 있고, 상기 이동 단말기에 할당된 인증 어카운트는 상기 데이터의 세트가 전송된 경우 적어도 1단위 만큼 증가될 수 있다. 예를 들어, 상기 데이터 세트는 데이터 3쌍(triplet) 또는 5쌍(quintuplet)을 포함하는 인증 벡터이다.
이러한 보안 데이터는 이동 단말기에 관련된 절차가 이의 인증을 요구하는 경우 이동 단말기를 인증하기 위해 네트워크에 전송될 수 있다. 상기 절차는 호(call) 또는 메시지 전송에 관한 것, 또는 이동 단말기의 위치 변경과 같은 이동 단말기에 의해 발행 또는 수신되는 임의의 유형의 요청에 관한 것일 수 있다. 이동 단말기가 모든 절차 유형에 대해 인증되는 경우, 본 발명은 이동 단말기에 의해, 또한 보다 구체적으로 이동 단말기를 감염시키고 예를 들어 단문 메시지의 자동적이고 규칙적인 전송을 명령하는 바이러스에 의해 발행된 모든 유형의 트래픽 비정상의 검출을 가능하게 한다.
본 발명의 또 다른 특징에 따르면, 방법은 이동 단말기에 관련된 트래픽 비정상의 검출에 후속하여, 이동 단말기 식별자 및 경보 코드를 포함하는 경보 메시지를 무선통신 네트워크에 연결된 서버에 전송하는 단계하는 단계를 더 포함할 수 있다. 자동적으로, 네트워크는 비정상을 처리할 적절한 결정을 내릴 수 있다. 예를 들어, 상기 서버는 이동 단말기가 기능 장애를 겪고 있다는 사실을 단말기의 사용자에게 알려주는 메시지를 이동 단말기에 전송할 수 있다.
경보 메시지는 서버에 의해 상이한 방식으로, 예를 들어 이동 단말기의 잠재적으로 비정상 동작의 검출의 신호로서 또는 이동 단말기 내의 바이러스의 명확한 검출의 신호로서 해석될 수 있다.
경보 메시지의 수신 및 분석에 이어, 서버는 자동적으로 이동 단말기의 관리 차단, 예를 들어 이동 단말기로부터의 임의의 단문 메시지의 전송을 막는 부분적인 차단, 이동 단말기로부터의 호(call) 또는 임의의 단문 메시지의 전송과 관련된 임의의 통신을 막는 부분적 차단, 또는 호 혹은 메시지를 수신하거나 네트워크에 접속할 수 있는 이동 단말기의 기능을 포함한 이동 단말기의 모든 활동을 막는 전체 차단을 명령할 수 있다.
본 발명은 또한 무선통신 네트워크 내의 적어도 하나의 이동 단말기로부터 전송된 트래픽 내의 비정상을 검출하기 위해 무선통신 네트워크 위치 레지스터와 통신할 수 있는 디바이스에 관한 것으로, 상기 디바이스는,
이동 단말기를 인증하기 위해 보안 데이터가 네트워크 유닛에 전송되는 경우, 적어도 하나의 사전결정된 시간 간격 동안 이동 단말기에 할당된 인증 어카운트를 증가시키는 수단과,
인증 어카운트가 사전정의된 상한 값을 초과하는 경우, 이동 단말기에 의해 전송된 트래픽 내의 비정상을 검출하기 위해 상기 사전정의된 상한 값과 인증 어카운트를 비교하는 수단을 포함한다.
상기 디바이스는 위치 레지스터 내에 포함될 수 있다.
본 발명 및 이의 장점은 첨부한 도면을 참조하여 후속하는 상세한 설명을 검토함으로써 보다 잘 이해될 수 있을 것이다.
도 1은 본 발명에 따라 무선통신 네트워크 내의 이동 단말기에 관련된 비정상을 검출하는 디바이스를 포함하는 통신 시스템의 개략적인 블록도,
도 2는 본 발명에 따라 무선통신 네트워크 내의 이동 단말기에 관련된 비정상을 검출하는 방법의 알고리즘을 나타내는 도면.
도 1을 참조하면, 본 발명에 따른 통신 시스템은 특히 무선통신 네트워크(RR), 경보 디바이스(DA), 무선통신 네트워크(RR)에 연결되거나 또는 그에 포함된 운영자 서버(SO) 및 적어도 하나의 이동 단말기(TM)를 포함한다.
예를 들어, 무선통신 네트워크(RR)는 GSM(Global System for Mobile communicaton) 또는 UMTS(Universal mobile Telecommunication System) 또는 심지어 CDMA(Code Division Multiple Access) 타입의 디지털 셀룰러 무선통신 네트워크이다. GSM 타입 네트워크는 이동성 및 액세스 관리를 이용하여 데이터를 패킷으로 무선을 통해 전송하기 위해 GPRS(General Packet Radio Service) 네트워크에 결합될 수 있다. 예를 들어, 이동 단말기의 사용자가 예를 들어 이동 단말기와 연관된 가입자 식별 모듈을 통해 네트워크에서 식별되는 경우, 무선통신 네트워크(RR)는 RR 네트워크를 통해 데이트를 전송 및 수신하는 이동 단말기를 인증할 수 있다.
도 1은 통신 장비가 배치된 GSM 타입 RR 네트워크의 국부 지역의 구성요소를 나타낸다. 국부 지역은 무선 링크를 통해 이동 단말기(TM)에 연결된 기지국(BTS)(Base Tranceiver Station)에 BSC(Base Station Controller)를 통해 연결된 MSC(Mobile service Switching Center)를 포함한다.
네트워크(RR)는 스위치(MSC)에 연결된 하나 이상의 VLR(Visitor Location Register) 위치 레지스터 및 공칭 위치 레지스터(HLR)(Home Locaton Register)를 포함한다. 레지스터(HLR)는 특히 네트워크(RR)의 각 사용자에 대한 가입 프로파일과 연관된 국제 식별(IMSI)(International Mobile Subscriber Identity)과 이동 단말기(TM)가 일시적으로 연결되는 레지스터(VLR)의 개수를 포함하는 데이터베이스(BD)를 관리한다. 레지스터(VLR)는 레지스터(HLR)의 중계(relay)이고 사용자의 이동성을 관리하기 위해 국부 지역에 위치한 사용자의 특성을 포함한다.
레지스터(HLR)는 예를 들어 이동 단말기에 포함된 SIM("Subscriber Identity Module") 카드를 이용하여 무선통신 네트워크의 각 이동 단말기의 인증을 인증 센터(AUC)를 통해 제공한다. 특히, 레지스터(HLR)는 보안 데이터(DS)를 인증 벡터의 형태로 생성하고, 상기 데이터를 이동 단말기의 인증을 요구하는 네트워크의 장치에 전송한다. 무선통신 네트워크가 GSM 타입인 경우, 인증 벡터는 랜덤 챌린지(random challenge)(RAND), 시그너처(SRES), 및 이동 단말기를 인증하고 이동 단말기와 무선통신 네트워크간의 모든 통신, 예를 들어 호(call), 단문 SMS 메시지의 전송, USSD(Unstructured Supplementary Service Data) 메시지의 전송 등을 암호화하기 위한 암호화 키(Kc)를 포함할 수 있다. 무선통신 네트워크가 UMTS 타입인 경우, 인증 벡터는 랜덤 챌린지(RAND), 시그너처(SRES), 예상 응답(XRES), 암호화 키(Kc), 보전 키(K), 및 인증 토컨(AUTN)을 포함할 수 있다.
각 SIM 카드는 레지스터(HLR)와 보안 키(Ki)를 공유한다. 보안 키는 예를 들어 단어, 단어의 순열, 또는 다수의 128 비트의 길이일 수 있고, 이 보안 키는 SIM 카드 및 HRL 레지스터에 기억될 수 있다.
이동 단말기의 인증은 예를 들어 국부화가 업데이트될 때마다, 호가 생성될 때마다, 또는 소정의 추가적인 서비스를 활성 또는 활성해제하기 전에 VLR 레지스터와 같은 네트워크 유닛에 의해 요청될 수 있다. 또한, 레지스터(HLR)에 의해 생성된, 예를 들어 128 비트의 길이의 랜덤 챌린지(RAND)가 이동 단말기에 전송될 수 있다.
예를 들어, 이동 단말기는 보안 키(Ki) 및 챌린지(RAND)에 적용된 인증 알고리즘(A3)의 함수에 따라 네트워크로부터 수신된 랜덤 챌린지(RAND)에 대한 시그너처를 결정한다. 이 시그너처는 이동 단말기에 의해 결정된 시그너처를 챌린지(RAND)에 일치하도록 레지스터(HLR)에 의해 초기에 전송된 시그너처(SRES)와 비교함으로써 이동 단말기를 인증하기 위해 이동 단말기에 의해 네트워크로 전송된다.
더 나아가, 이동 단말기는 보안 키(Ki) 및 챌린지(RAND)에 적용된 암호화 키 결정 알고리즘(A8)의 함수에 따라 암호화 키(Kc)를 결정할 수 있다. 그런 다음, 암호화 알고리즘(A5)이 암호화 키(Kc)에 적용되어 이동 단말기와 네트워크 간의 통신을 암호화한다.
일반적으로, 레지스터(HLR)는 일련의 몇몇 벡터에 대한 보안 데이터(DS)를 포함하는 인증 벡터를 생성한다. 레지스터(VLR)와 같은 네트워크 유닛으로부터의 요청시, 레지스터(HLR)는 사전정의된 수의 인증 벡터를 생성하고, 레지스터(HLR)는 이러한 벡터를 직접 네트워크 유닛으로 전송하거나, 또는 그와 달리 그와 같이 생성된 벡터를 저장한다. 네트워크 유닛이 인증을 요구하고 이동 단말기에 관련된 절차, 예를 들어 호의 설정 또는 메시지의 전송을 위해 적어도 하나의 벡터를 요구하는 경우, 레지스터는 이러한 벡터를 네트워크 유닛에 공급한다. 각 벡터는 오직 한번만 사용되고, 레지스터(HLR)는 이전에 전송된 모든 인증 벡터가 이용되었으면 보안 데이터를 포함하는 새로운 인증 벡터를 생성 및 전송한다.
본 발명에 따르면, 경보 디바이스(DA)는 레지스터(HLR)에 의해 관리되는 데이터의 함수에 따라 무선통신 네트워크에 연결된 하나 이상의 이동 단말기의 동작에 관련된 비정상을 검출할 수 있다. 일 실시예에 따르면, 경보 디바이스(DA)는 레지스터(HLR)에 직접적으로 또는 패킷 기반 통신 네트워크를 통해 간접적으로 링크된다. 또 다른 실시예에 따르면, 경보 디바이스(DA)는 레지스토(HLR)에 포함된다. 변형예로서, 경보 디바이스(DA) 및 레지스터(HLR)는 하나의 동일한 장치 내로 병합된다.
경보 디바이스(DA)는 이동 단말기에 제각기 할당될만큼 충분한 수의 인증 카운터를 포함하는 평가 모듈(ME)을 포함한다. 특히, 인증 어카운트(CA)는 주어진 이동 단말기의 식별자(IdT)와 연관되고, 보안 데이터(DS)가 이동 단말기를 인증하기 위해 네트워크 유닛으로 전송되는 경우 증가된다. 이후, 인증 카운터의 어카운트(CA)는 주어진 순간에서 인증 카운터의 값인 것으로 이해될 것이며, 인증 카운터의 다른 어카운트는 인증 카운터가 취할 수 있는 다른 값에 일치할 수 있다.
일 예에 따르면, 인증 어카운트(CA)는 보안 데이터를 포함하는 인증 벡터가 전송되는 경우 1단위 만큼 증가된다. 따라서, 어카운트는 예를 들어 레지스터(HLR)가 일련의 5개의 인증 벡터를 전송하자마자 5단위 만큼 증가된다. 또 다른 예에 따르면, 어카운트는 레지스터(HLR)가 일련의 인증 벡터를 전송하는 경우 1단위 만큼만 증가된다.
예를 들어, 이동 단말기 식별자(IdT)는 이동 단말기의 전화번호이거나 국제 식별(IMSI)일 수 있다. 레지스터(HLR)는 예를 들어 가입자가 이동 단말기를 변경한 경우에 수행된 업데이트 동안 또는 이동 단말기의 국부화의 절차 동안 레지스터(VLR)가 이동 단말기 식별(IMEI)International Mobile Equipment Identity)을 전송하는 경우 이 식별(IMEI)을 구비할 수 있다.
평가 모듈(ME)에서, 적어도 하나의 사전정의된 상한 값(SP)이 기억되고, 이 값과 각 인증 카운터의 어카운트(CA)가 비교된다. 상한 값은 이동 단말기의 동작에서의 비정상을 알리고 예를 들어 이동 단말기의 사용자에 의해 실행될 수 없는 자동적인 또는 반복적인 동작에 대응한다. 예를 들어, 사전정의된 상한 값은 "100"의 값을 가지고 예를 들어 약 20분의 사전결정된 시간 간격 동안 보안 데이터를 포함하는 1백개의 인증 벡터의 전송에 대응한다.
평가 모듈(ME)은 사전정의된 상한 값이 인증 어카운트에 의해 초과되는 경우 비정상을 검출한다.
평가 모듈(ME)은 인증 어카운트에 일치하도록 클록 데이터를 저장하기 위해 인증 카운터와 동시에 클록을 활성화시킬 수 있다.
본 발명의 일 실시예에서, 클록 데이터는 사전결정된 시간 간격의 만료시 어카운트가 0으로 리셋되도록 사전결정된 시간 간격을 시작하는 역할을 한다. 사전결정된 시간 간격은 예를 들어 주기적일 수 있는데, 즉, 시간 간격은 반복될 수 있고 매번 동일한 또는 상이한 지속기간을 가질 수 있다. 따라서, 사전결정된 시간 간격은 또 다른 모니터링 기간 동안 어카운트를 또 다시 한번 증가시키기 위해 모니터링 기간의 만료시 0으로 리셋하기 전에 인증 어카운트가 증가되는 모니터링 기간에 일치할 수 있다. 예를 들어, 모니터링 기간의 만료시 또는 그 만료 이후, 평가 모듈(ME)은 인증 어카운트를 사전정의된 상한 값과 비교하고 사전정의된 상한값이 어카운트에 의해 초과되는 경우 비정상을 검출한다. 또 다른 실시예에 따르면, 평가 모듈(ME)은 모니터링 기간의 만료를 기다리는 일 없이 비정상을 검출하기 위해 인증 어카운트가 증가되자마자 이 인증 어카운트를 사전정의된 상한 값과 비교한다.
사전정의된 상한 값은 사전결정된 시간 간격의 지속기간에 의존하며, 이러한 값은 무선통신 네트워크 운영자에 의해 결정된다. 예를 들어, 사전정의된 상한 값은 10분 기간 동안 보안 데이터를 포함하는 50개의 인증 벡터의 전송에 대응할 수 있다.
본 발명의 또 다른 실시예에서, 클록 데이터(DH)에 일치하는 카운터의 각 인증 어카운트(CA)가 기억되고 그에 따라 평가 모듈(ME)은 인증 어카운트가 사전결정된 시간 간격 동안 사전정의된 상한 값보다 높은 값만큼 증가되지 않았음을 검증할 수 있다.
경보 디바이스(DA)는 운영자 서버(SO)에 경보 메시지를 전달하기 위해 검출 모듈(MD)이 비정상을 검출하는 경우 평가 모듈(ME)과 협조하는 검출 모듈(MD)을 더 포함한다.
본 발명에 따르면, 운영자 서버(SO)는 경보 디바이스(DA)에 의한 비정상의 검출에 후속하는 트랜잭션을 수행할 수 있다. 운영자 서버(SO)는 경보 디바이스(DA)에 직접 연결될 수 있거나 패킷 기반 통신 네트워크, 예를 들어 인터넷을 통해 간접적으로 연결될 수 있다. 도 1에 예시되어 있는 실시예에 따르면, 운영자 서버(SO)는 단문 메시지 서버(SMSC)(Short Message Service Center)를 통해 이동 단말기(TM)에 전송할 수 있다. 서버(SMSC)는 패킷 기반 네트워크를 통해 운영자 서버(SO)와 통신하기 위한 액세스 게이트웨이와, 패킷 기반 네트워크를 통해 적어도 이동 서비스 스위치와 통신하기 위한 또 다른 액세스 게이트웨이를 포함한다. 서버(SO)에 의해 전송된 패킷은 서버(SMSC)에서 이동 단말기(TM)에 전송되는 단문 메시지(SMS) 및/또는 멀티미디어 메시지(MMS)(Multimedia Messaging Service)로 포맷된다.
도 2를 참조하면, 본 발명에 따라 이동 단말기에 의해 전송된 트래픽 비정상의 검출을 위한 방법은 본 발명에 따른 통신 시스템에서 자동적으로 실행되는 단계(E1 내지 E5)를 포함한다.
단계(E1)에서, 이동 단말기(TM)가 무선통신 네트워크(RR)의 운영자의 서비스에 가입한 이후, 사용자의 프로파일이 레지스터(HLR)에 생성된다. 경보 디바이스(DA)의 평가 모듈(ME)은 인증 카운터를 이동 단말기에 할당한다. 이동 단말기의 식별자(IdT)에 일치하는 인증 카운터의 인증 어카운트(CA)가 기억된다.
단계(E2)에서, 이동 단말기의 국부화 영역의 레지스터(VLR)와 같은 네트워크 유닛이 이동 단말기에 관련되고 이동 단말기의 인증을 요구하는 절차의 트리거링 이후에 이동 단말기에 포함된 SIM 카드로부터 인증을 요청한다. 예를 들어, 이동 단말기(TM)가 가동되는 경우, 이동 단말기의 국부화 영역의 레지스터(VLR)에 의해 국부화 절차가 트리거링되고, 이후 이동 단말기의 사용자가 전화를 걸기를 희망하는 경우 호 설정 절차가 뒤따를 수 있다. 이를 위해, 레지스터(VLR)는 예를 들어 랜덤 챌린지(RAND), 시그너처(SRES) 및 이동 단말기를 인증하기 위한 인증 키(Kc)를 포함하는 인증 벡터의 형태로 보안 데이터(DS)를 공급할 것을 레지스터(HLR)에 요청한다. 예를 들어, 레지스터(VLR)는 랜덤 챌린지(RAND)를 이동 단말기에 전송함으로써 SIM 카드는 시그너처(SRES)를 생성하기 위해 인증 알고리즘(A3)에 수신된 랜덤 챌린지 및 보안 키(Ki)를 적용하여 암호 계산을 수행한다. 이동 단말기는 생성된 시그너처를 레지스터(VLR)에 전송하고, 이 레지스터(VLR)는 그것을 레지스터(HLR)에 의해 전송된 인증 벡터 내에 포함된 시그너처에 비교한다.
경보 디바이스(DA)의 평가 모듈(ME)은 인증 카운터의 인증 어카운트(CA)에 일치하도록 클록 데이터(DH)를 기억하기 위해 인증 카운터와 클록을 동시에 활성화시킨다. 특히 이동 단말기의 식별자(IdT)에 일치하는 클록 데이터 및 인증 어카운트가 기억된다.
단계(E3)에서, 주기적인 지속기간 같은 사전결정된 시간 간격 동안, 보안 데이터(DS)가 이동 단말기(TM)를 인증하기 위해 레지스터(VLR)와 같은 네트워크 유닛에 레지스터(HLR)에 의해 전송되는 경우 평가 모듈(ME)은 인증 어카운트(CA)를 증가시킨다.
단계(E3)는 이동 단말기(TM)를 인증하기 위해 보안 데이터(DS)가 전송될 때마다 반복된다.
단계(E4)에서, 인증 어카운트(CA)가 이전에 기억된 클록 데이터(DH)의 함수에 따라 사전정의된 상한 값(SP)을 초과하는지 여부를 검증하기 위해 평가 모듈(ME)은 인증 어카운트(CA)를 사전정의된 상한 값(SP)과 비교한다.
인증 어카운트(CA)가 사전정의된 상한 값(SP)을 초과하지 않는 경우, 절차는 단계(E3)로 되돌아 간다. 평가 모듈(ME)은 인증 어카운트(CA)이 사전결정된 시간 간격의 만료시 사전정의된 상한 값을 초과하는지 여부를 검사하고, 인증 어카운트(CA)가 사전정의된 상한 값을 초과하지 않는 경우 0으로 리셋된다. 변형예로서, 평가 모듈(ME)은 인증 어카운트가 사전결정된 시간 간격 동안 증가될 때마다 사전정의된 상한 값과 인증 어카운트(CA)를 비교한다. 또 다른 변형예로서, 인증 어카운트는 사전결정된 시간 간격의 만료 이후 사전정의된 상한 값과 비교된다.
인증 어카운트(CA)가 사전정의된 상한 값(SP)을 초과하는 경우, 평가 모듈(ME)은 단계(E5)에서 비정상을 검출하고 경보 메시지를 운영자 서버(SO)에 전송할 것을 검출 모듈(MD)에 명령한다.
경보 메시지(MA)는 예를 들어 이동 단말기(TM)의 식별자(IdT)와 사전정의된 상한 값에 대응하는 경보 코드를 포함한다. 예를 들어, 경보 코드는 이동 단말기에 의해 전송된 트래픽 내의 비정상의 해로운 결과를 제한하기 위해 "VIRUS"와 같은 단어 또는 운영자 서버(SO)가 경보의 특성을 식별하고 자동적으로 소정의 절차를 수행할 수 있도록 해주는 숫자 및/또는 문자의 조합일 수 있다.
선택에 따라, 경보 메시지(MA)는 상한 값이 어카운트(CA)에 의해 초과되었는지에 대한 데이터 및 카운터가 상기 상한 값을 초과하는데 소요된 시간에 관련된 표시를 포함할 수 있다.
예를 들어, 바이러스가 검출되었음을 이동 단말기의 사용자에게 알리거나 또는 이동 단말기로부터 발생되는 트래픽의 비정상적 전송을 중단시키기 위한 무선통신 네트워크 내의 조치를 취하도록 하기 위해 운영자 서버(SO)는 이동 단말기의 전화 번호가 경보 디바이스(DA)에 의한 경보 메시지 내에 전송된 경우 이동 단말기(TM)에 단문 메시지(SMS)를 전송할 수 있다.
서버(SO)에 의해 수행되는 조치는 임의의 시간에 구성 및 수정될 수 있다. 비정상을 처리하기 위해 상이한 조치들이 연속적으로 수행될 수 있다. 예를 들어, 이동 단말기의 차단을 명령하기 전에 사전결정된 시간 간격에서 하나 이상의 경보 메시지가 이동 단말기에 전송될 수 있다. 서버(SO)는 모든 이동 단말기의 모니터링, 국제 식별(IMSI)에 의해 식별된 이동 단말기의 사용자의 부분집합에 한정된 모니터링, 또는 국제 식별(IMEI)에 의해 식별된 단말기의 소정 유형의 갖는 이동 단말기의 사용자의 부분집합에 한정된 모니터링을 포함한, 이동 단말기에 대한 상이한 유형의 모니터링을 제공할 수 있다.
본 발명은 전술한 실시예에 국한되지 않고, 오히려 그의 본질적 특성을 재생성하는 모든 변형을 포함한다. 특히, 본 발명은 이동 단말기에 대한 절차가 이의 인증을 요구하는 경우 이동 단말기를 인증하기 위해 네트워크 유닛에 전송될 수 있는 보안 데이터를 사용하는 임의의 통신 네트워크에 관한 것이다.

Claims (10)

  1. 무선통신 네트워크 내 이동 단말기에서 바이러스의 존재를 검출하기 위한 방법에 있어서,
    이동 단말기가 상기 무선통신 네트워크의 운영자의 서비스에 가입한 경우 상기 무선통신 네트워크에 연결된 제 1 장치의 홈 위치 레지스터(HLR: home location register)에 프로파일 - 상기 프로파일은 인증 카운터(authentication counter)를 포함함 - 을 생성하는 단계;
    상기 이동 단말기가 상기 무선통신 네트워크에 연결된 제 2 장치의 방문자 위치 레지스터(VLR: visitor location register)의 국부 영역(localization area)으로부터 상기 무선통신 네트워크에 액세스한 경우 상기 VLR로부터 제 1 인증 요청 - 상기 제 1 인증 요청은 상기 이동 단말기에 대응하는 보안 데이터를 상기 HLR에게 구하는 요청을 포함함- 을 수신하는 단계;
    상기 제 1 인증 요청에 응답하여 상기 무선통신 네트워크에 액세스하는 상기 이동 단말기에 대응하는 상기 프로파일에 현재 클록 데이터를 저장하는 단계;
    보안 데이터가 상기 이동 단말기의 상기 HLR로부터 상기 인증 요청을 생성하는 상기 VLR로 전송된 경우 상기 제 1 인증 요청 및 다른 후속 인증 요청에 응답하여 상기 이동 단말기의 프로파일의 상기 인증 카운터를 증가시키는 단계;
    바이러스의 존재를 검출하기 위해서 상기 인증 카운터를 평가하여 상기 인증 카운터가 사전결정된 상한값을 초과하는지 여부를 판단하는 단계; 및
    상기 인증 카운터가 상기 사전결정된 상한값을 초과하는 경우 경보 메시지(alert message)를 전송하는 단계를 포함하는
    바이러스 존재 검출 방법.
  2. 제 1 항에 있어서,
    상기 인증 카운터는 사전결정된 시간 간격(time interval)의 만료시 상기 사전결정된 상한값과 비교되는
    바이러스 존재 검출 방법.
  3. 제 1 항에 있어서,
    상기 인증 카운터는 사전결정된 시간 간격의 만료시 0으로 리셋되는
    바이러스 존재 검출 방법.
  4. 제 1 항에 있어서,
    상기 인증 카운터는 상기 인증 카운터가 증가될 때마다 상기 사전결정된 상한값과 비교되는
    바이러스 존재 검출 방법.
  5. 제 1 항에 있어서,
    상기 이동 단말기를 인증하기 위해 보안 데이터의 세트가 VLR로 전송되고, 상기 이동 단말기에 할당된 상기 인증 카운터는 상기 보안 데이터의 세트가 전송된 경우 적어도 1단위(at least one unit)만큼 증가되는
    바이러스 존재 검출 방법.
  6. 제 1 항에 있어서,
    상기 경보 메시지는 이동 단말기 식별자 및 경보 코드 - 상기 이동 단말기 식별자 및 상기 경보 코드는 상기 무선통신 네트워크에 연결된 서버에 전송됨 - 를 포함하는
    바이러스 존재 검출 방법.
  7. 제 6 항에 있어서,
    수신된 상기 경보 메시지의 분석에 더하여, 상기 서버는 상기 검출된 바이러스와 관련된 적어도 하나의 경고 메시지를 상기 이동 단말기에 전송하는
    바이러스 존재 검출 방법.
  8. 제 6 항에 있어서,
    수신된 상기 경보 메시지의 분석에 더하여, 상기 서버는 상기 이동 단말기의 차단을 명령하는
    바이러스 존재 검출 방법.
  9. 제 2항에 있어서,
    상기 사전결정된 상한값은 100이고 상기 사전결정된 시간 간격은 20분인
    바이러스 존재 검출 방법.
  10. 무선통신 네트워크 내 이동 단말기에서 바이러스를 검출하기 위해 상기 무선통신 네크워크의 위치 레지스터와 통신할 수 있는 디바이스에 있어서,
    상기 무선통신 네트워크에 연결된 제 1 장치의 홈 위치 레지스터(HLR: home location register) - 상기 HLR은 상기 이동 단말기에 할당된 인증 카운터를 포함하는 프로파일을 저장하고, 적어도 하나의 사전결정된 시간 간격 동안 상기 이동 단말기를 인증하기 위해 상기 무선통신 네트워크에 연결된 제 2 장치의 VLR로부터의 요청에 응답하여 상기 VLR로 보안 데이터가 전송될 때마다 상기 인증 카운터를 증가시킴 - 와
    상기 사전결정된 시간 간격 동안 상기 이동 단말기가 상기 VLR의 국부 영역으로부터 상기 무선통신 네트워크에 처음 액세스한 경우 상기 VLR로부터 보안 데이터에 대한 요청을 수신하고 또한 현재 클록 데이터가 저장되도록 하는 경보 장치와
    상기 인증 카운터가 사전결정된 상한값을 초과하면 상기 이동 단말기 내 바이러스를 검출하기 위해 상기 사전결정된 상한값과 상기 인증 카운터를 비교하는 검출 모듈을 포함하는
    디바이스.
KR1020117000853A 2008-06-12 2009-06-11 비정상 검출 방법 및 디바이스 KR101550482B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0853903A FR2932639B1 (fr) 2008-06-12 2008-06-12 Detection d'anomalie de trafic emis par un terminal mobile dans un reseau de radiocommunication
FR0853903 2008-06-12

Publications (2)

Publication Number Publication Date
KR20110041465A KR20110041465A (ko) 2011-04-21
KR101550482B1 true KR101550482B1 (ko) 2015-09-04

Family

ID=40303437

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117000853A KR101550482B1 (ko) 2008-06-12 2009-06-11 비정상 검출 방법 및 디바이스

Country Status (7)

Country Link
US (1) US8200193B2 (ko)
EP (1) EP2134115B1 (ko)
JP (1) JP5592881B2 (ko)
KR (1) KR101550482B1 (ko)
CN (1) CN101605323A (ko)
FR (1) FR2932639B1 (ko)
WO (1) WO2009150205A1 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2482980A1 (en) * 2002-04-19 2003-10-30 Computer Associates Think, Inc. System and method for managing wireless devices in an enterprise
US9167471B2 (en) 2009-05-07 2015-10-20 Jasper Technologies, Inc. System and method for responding to aggressive behavior associated with wireless devices
CN102457841B (zh) * 2010-10-28 2016-03-30 西门子公司 用于检测病毒的方法和装置
CN102045669A (zh) * 2010-12-01 2011-05-04 中兴通讯股份有限公司 一种加密短消息实现的方法和系统
FR2968502A1 (fr) * 2010-12-03 2012-06-08 France Telecom Interface d'acces a un service base sur des codes de donnees peu structurees
CN102123361B (zh) * 2010-12-31 2014-01-01 华为技术有限公司 加密信息通信的实现方法及装置
US8838093B2 (en) 2012-05-04 2014-09-16 Telefonaktiebolaget L M Ericsson (Publ) Method and device for monitoring wireless terminal behavior according to terminal type
US8554202B1 (en) * 2012-05-04 2013-10-08 Telefonaktiebolaget L M Ericsson (Publ) Faulty wireless terminal detection
WO2014105995A1 (en) * 2012-12-27 2014-07-03 Jasper Wireless, Inc. A system and method for responding to aggressive behavior associated with wireless devices
CN103916858B (zh) * 2012-12-31 2017-08-11 中国移动通信集团广东有限公司 一种移动终端健康度判定方法及装置
US9363261B2 (en) * 2013-05-02 2016-06-07 Sync-N-Scale, Llc Synchronous timestamp computer authentication system and method
CN105764037B (zh) * 2014-12-15 2021-01-26 中兴通讯股份有限公司 一种非结构化补充数据业务ussd实现的方法和应装置
US10341856B2 (en) * 2016-05-10 2019-07-02 FirstPoint Mobile Guard Ltd. System and method for securing communication and information of mobile devices through a controlled cellular communication network
US11297072B2 (en) 2016-07-19 2022-04-05 Telefonaktiebolaget Lm Ericsson (Publ) Node and method for detecting that a wireless device has been communicating with a non-legitimate device
CN110311807B (zh) * 2019-06-06 2022-04-08 东南大学 一种电动吊篮数据采集系统网络状况自适应监控方法
WO2024057063A1 (en) 2022-09-14 2024-03-21 Telefonaktiebolaget Lm Ericsson (Publ) Operational anomaly detection and isolation in multi-domain communication networks

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070275741A1 (en) * 2006-05-24 2007-11-29 Lucent Technologies Inc. Methods and systems for identifying suspected virus affected mobile stations

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734977A (en) * 1994-11-10 1998-03-31 Telefonaktiebolaget Lm Ericsson Fraud detection in radio communications network
US6611684B1 (en) * 1998-12-10 2003-08-26 Nortel Networks Limited Method and apparatus for implementing customer group functionality in a wireless environment
FI112582B (fi) * 1999-12-13 2003-12-15 Nokia Corp Matkaviestinjärjestelmä
JP4011368B2 (ja) * 2002-02-27 2007-11-21 京セラ株式会社 無線通信システム及び無線通信方法
US7302250B2 (en) * 2003-01-13 2007-11-27 Lucent Technologies Inc. Method of recognizing fraudulent wireless emergency service calls
US7058389B2 (en) * 2003-03-17 2006-06-06 Lucent Technologies Inc. Method for processing emergency calls initiated by wireless phones
KR101164682B1 (ko) * 2003-04-02 2012-07-11 콸콤 인코포레이티드 Cdma 네트워크 및 gsm 네트워크 사이에서의 암호화
US20060236390A1 (en) * 2005-04-18 2006-10-19 Research In Motion Limited Method and system for detecting malicious wireless applications
EP1771031A3 (en) * 2005-09-28 2007-12-05 Starhome GmbH Tracking roaming cellular telephony calls for anti-fraud

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070275741A1 (en) * 2006-05-24 2007-11-29 Lucent Technologies Inc. Methods and systems for identifying suspected virus affected mobile stations

Also Published As

Publication number Publication date
WO2009150205A1 (fr) 2009-12-17
US20090325543A1 (en) 2009-12-31
EP2134115B1 (fr) 2019-01-16
KR20110041465A (ko) 2011-04-21
FR2932639A1 (fr) 2009-12-18
EP2134115A1 (fr) 2009-12-16
US8200193B2 (en) 2012-06-12
JP2011525733A (ja) 2011-09-22
CN101605323A (zh) 2009-12-16
JP5592881B2 (ja) 2014-09-17
FR2932639B1 (fr) 2010-08-20

Similar Documents

Publication Publication Date Title
KR101550482B1 (ko) 비정상 검출 방법 및 디바이스
KR102450419B1 (ko) 무선 통신 네트워크에서의 로밍 활동에 대한 안티 스티어링 검출 방법 및 시스템
US10306459B1 (en) Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP)
US11234128B2 (en) Managing undesired service requests in a network
AU782981B2 (en) Fraud detection method for mobile telecommunication networks
US9674219B2 (en) Authenticating public land mobile networks to mobile stations
US9622082B2 (en) Mobile terminal theft detection system
US20110296494A1 (en) Service-Based Authentication to a Network
US11689928B2 (en) Detecting unauthorized access to a wireless network
US20180176778A1 (en) Method of replacing at least one authentication parameter for authenticating a security element and corresponding security element
WO2016020012A1 (en) Authentication procedure in a control node
CN107872793B (zh) 一种基站识别方法、终端和服务器
Bijani et al. HIDMN: A host and network-based intrusion detection for mobile networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 5