KR20070116612A - 시그널링 공격으로부터 3 세대 무선 네트워크를 보호하기위한 방법들 및 장치들 - Google Patents

시그널링 공격으로부터 3 세대 무선 네트워크를 보호하기위한 방법들 및 장치들 Download PDF

Info

Publication number
KR20070116612A
KR20070116612A KR1020077022059A KR20077022059A KR20070116612A KR 20070116612 A KR20070116612 A KR 20070116612A KR 1020077022059 A KR1020077022059 A KR 1020077022059A KR 20077022059 A KR20077022059 A KR 20077022059A KR 20070116612 A KR20070116612 A KR 20070116612A
Authority
KR
South Korea
Prior art keywords
mobile
attack
signaling
traffic
wireless network
Prior art date
Application number
KR1020077022059A
Other languages
English (en)
Other versions
KR101235099B1 (ko
Inventor
티안 부
샘펠 노든
토마스 와이. 우
Original Assignee
루센트 테크놀러지스 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 루센트 테크놀러지스 인크 filed Critical 루센트 테크놀러지스 인크
Publication of KR20070116612A publication Critical patent/KR20070116612A/ko
Application granted granted Critical
Publication of KR101235099B1 publication Critical patent/KR101235099B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Abstract

무선 상태 정보 및 유저/네트워크 프로파일이 서비스 거부 공격들을 검출 및 방지하는데 이용된다.
DoS, 서비스 거부 공격, 무선 상태 정보, 유저/네트워크 프로파일, 트래픽 레벨

Description

시그널링 공격으로부터 3 세대 무선 네트워크를 보호하기 위한 방법들 및 장치들{METHODS AND DEVICES FOR DEFENDING A 3G WIRELESS NETWORK AGAINST A SIGNALING ATTACK}
본 발명은 3세대 무선 네트워크를 시그널링 공격으로부터 보호하기 위한 방법, 디바이스, 네트워크에 관한 것이다.
서비스 거부(Denial of Service, 'DoS') 공격은 계속하여 상당한 과제를 주고 있다. 사실, 인터넷에서의 공격의 빈도 및 양은 꾸준하게 증가해 왔다. 야후, CNN, 이베이 등과 같은 유명 웹 사이트들에 대한 2000년 2월 공격 및 최근의 루트 DNS 서버들에 대한 공격들과 같이 잘 알려진 공격들이 다수 있었다.
DoS 공격들은 전형적으로, 노드에 그 처리 용량을 초과하는 대량의 트래픽을 보내, 공격하는 동안 공격받는 노드를 네트워크로부터 실질적으로 떨어져 나가게 하는 것을 포함한다. 더욱 정교한 공격은 분산(Distributed) DoS 공격(DDoS)이다.
DDoS 공격을 런치(launch)하려고 하는 공격자는 잘 알려진 보안 허점들을 이용하여 다수의 노드들을 전복함으로서 시작한다. 이들 굴복된(compromised) 노드들은 근본적으로 공격자의 노예들이 되고, 네트워크에 트래픽을 주입하기 위한 런치 포인트들로 기능한다. 적정 수의 굴복된 노드들을 모아, 공격자는 복수의 런치 포 인트들로부터의 트래픽을 직렬이 되게 하여 큰 규모의, 전 네트워크 공격을 강하게 런치할 수 있다.
매우 다양한 해결안들이 DoS 공격들을 방어하기 위하여 제안되어 왔다. DoS에 대한 방어에 있어 현재의 기술 상태는 방화벽들(Cisco의 PIX 라우터, Netscreen, Checkpoint's Firewall-1은 일부 예들이다), 푸쉬백(pushback) 지원을 위한 라우터 변형, 공격의 근원을 검출하고자 시도하는 트레이스백 메카니즘, 및 도착하는 트래픽에서의 변칙들 또는 서명들을 찾는 관련된 침입 검출 메카니즘을 포함한다. 이들 방법들 중 몇몇은 기존 네트워크 구성요소들에 상당한 변화들을 요하고, 적용하기에 비싼 반면, 나머지 것들은 ISP간의 협력을 요하고 실행불가능할 수도 있다. 그럼에도, 이들 안들은 유선 DoS 공격들의 위협을 감소시킨다. 예를 들어, 대부분의 방화벽들은 외부로부터 시작되는 접속을 허용하지 않으며, 따라서 DoS 대량 공격들을 방지할 수 있다.
반면 무선 네트워크들은 유선 네트워크들보다 상당히 취약하다. 새로운 DoS 공격들에 의해 이용될 수 있는 몇몇 취약함이 무선 네트워크들에 있다:
● 제한된 무선 연결 대역폭 : 무선 연결의 낮은 용량과 결합된 자원들의 빈약함이 그것을 DoS 공격의 쉬운 목표가 되도록 한다. 사실, 공격자의 일은 무선 연결을 과부하되도록 하는데 상당히 적은 트래픽(즉, 상대적으로 적은 양)을 요하므로, 유선의 경우보다 더욱 용이하다. 덧붙여, 상대적으로 작은 트래픽은 무선 DoS 공격의 검출을 어렵게 한다.
● 오버헤드의 프로세싱 : 전형적인 3G1x 또는 UMTS 네트워크는 전력 제어, 자원 할당, 페이징 등의 기능들의 호스트를 수행하는 몇몇 인프라 구성요소들을 갖는다. 무선 네트워크 컨트롤러(RNC) 및 기지국들은 각각의 모바일에 대한 이들 활동들에 포함된다. 빠른 핸드오프로, 이들 디바이스들에 의해 요구되는 오버헤드는 엄청나게 크다. 또한, 이러한 디바이스들은 전형적으로, 동시에 활동중인 일정한 수의 유저들의 부하들을 처리하도록 설계된다. 그러므로, 과부하는 임의의 무선 인프라에 대해 상당한 중대사이다.
● 제한된 전력 공급 : 또다른 제약 요인은 무선 네트워크 내의 모바일 디바이스들("모바일")이 일반적으로 배터리들에 의해 전력이 공급되며, 배터리들의 제한된 수명은 모바일이 불필요한 전력 소비 동작들을 하도록 함으로써 그것들의 전력을 단지 고갈하도록 하는 공격의 목표가 되도록 한다는 것이다. 이것 자체가 모바일이 불능이되도록 할 수 있다.
● 다수의 공격목표 : 무선 DoS 공격시, 모바일 뿐만 아니라 인프라가 용이하게 공격될 수 있기 때문에, 공격자는 더 많은 유연성을 갖는다. 각각의 모바일을 개별적으로 공격함으로써 혹은 더욱 광범위한 효과를 위한 무선 인프라를 목표함으로써, 동일한 공격이 다수의 모바일들을 목표로 할 수 있다. 또한, 항상 작동하는 1xEV-DO와 같은 새로운 구성들이 공격의 가능성을 높인다.
무선 DoS 공격을 런칭하는 공격자는 용이하게 이 취약성을 이용할 수 있다.
무선 공격의 또다른 부산물은 공격이 모바일에 이르면 그것이 너무 늦다는 것이다. 유선 DoS 공격에서, 서버가 무능화되는데 많은 시간이 걸리는데, 왜냐하면 그러한 장치들은 무선 엔드포인트(모바일) 보다 더 큰 처리 용량을 가지기 때문이 다. 대조적으로, 모바일은 제한된 프로세싱 및 배터리 수명을 가지고 있다. 덧붙여, 무선 연결은 유선 네트워크와 비교할 때 매우 대역폭이 제한적이다. 트래픽이 공격으로부터의 모바일에 도착한다면, 공격은 무선 연결의 주요 자원들, 무선 인프라, 및 모바일 배터리 전력을 낭비하는데 이미 성공한 것이다. 이것은 성공을 위해 서버에서의 프로세싱 자원들에 과부하를 주어야하는 전형적인 유선 DoS 공격들에 대조되는 것이다.
따라서, 3세대 무선 네트워크 DoS-같은 공격들을 검출, 방지 및 방어를 위한 방법들 및 디바이스들을 제공하는 것이 바람직하다. 더욱 상세하게는, UMTS, CDMA2000, 및 다른 3세대 무선 네트워크들에 대해 시도되는 무선 DoS-같은 공격들을 검출, 방지, 및 방어하기 위한 방법들 및 디바이스들을 제공하는 것이 바람직하다.
3세대 무선 네트워크는 데이터의 전송을 위해 모바일과 연관된 무선 인프라 사이에 전용 채널의 확립이 요구된다. 채널을 설정하기 위해, 시그널링 메시지들이 모바일과 무선 인프라의 구성요소들 사이에 전송될 필요가 있다. 시그널링 공격들은 무선 인프라에 과부하를 제공하기 위하여 이 시그널링의 속성을 이용하려고 한다.
UMTS 네트워크들에서의 시그널링 공격들
우선, 우리는 UMTS 구성의 짧은 소개로 시작한다. 다음, 우리는 데이터 채널을 설정하는데 요구되는 시그널링의 개략 및 시그널링 공격들에 대한 UMTS 네트워크의 취약성을 설명한다.
도1은 UMTS 무선 네트워크의 전형적인 구성을 보여준다. 서빙 GPRS 지원 노드(Serving GPRS Support Node; SGSN)와 인터넷 사이의 무선 게이트웨이로서 동작하는 GPRS 네트워크 엔티티인 게이트웨이 GPRS 지원 노드(GGSN)로 시작하는 수개의 구성요소들이 있다. 추가적으로, GGSN은 동적인 어드레스 할당을 위해 DHCP 서버들 뿐만 아니라 외부 네트워크들 상의 인증 서버들과 인터페이스한다. 모바일 또는 유저가 성공적으로 네트워크에 인증되고 등록될 때, 포인트-투-포인트(PPP) 연결이 GGSN과 모바일 사이에 설정된다.
SGSN은 모바일 위치 및 인증에 대한 정보를 유지하는 것에 더하여, 모바일 무선국들 사이의 데이터 송수신을 책임진다. 전형적으로, 복수의 SGSN들이 있고, 이들 각각은 그들의 서비스 영역 내에 물리적으로 위치하는 GPRS 유저들을 지원한다.
기지국 컨트롤러(Base Station Controller; BSC)로 알려진, 무선 네트워크 컨트롤러(Radio Network Controller; RNC)는 무선 연결층 프로토콜들이 종결하는 지점이다. RNC는 기지국(BS)들 및 네트워크 에지(edge)를 통해 통신하는 무선 디바이스들 사이의 인터페이스를 제공한다. 이것은 BS들 사이의 핸드오프 및 전력 제어 파라미터들의 결정과 같은 관리 작업들 뿐만 아니라, 무선 자원 제어, 인가 제어, 채널 할당을 포함하여, BS 장치 내의 무선 송수신기들을 제어 및 관리하는 것을 포함한다. BS 기능은 무선 연결 전송/수신, 변조/복조, 물리 채널 코딩, 에러 처리, 및 전력 제어를 포함한다. 이 계층적인 구성에서, 복수의 모바일들이 BS과 통신하고, 복수의 BS들이 RNC와 통신하고, 복수의 RNC들이 GGSN/SGSN과 통신한다.
자원 할당을 위해 채널들을 설정하기 위한 UMTS 시그널링 제어 플로우가 설명된다. 근본적으로, 가입자를 위한 데이터가 도착할 때, UMTS RNC는 가입자의 기지국과 무선 액세스 베어러를 확립할 필요가 있다. RAB는 데이터 전송을 위한 채널이고, 비활동을 위한 중단 기간 후에는 해제된다. RAB를 확립하고 해제하기 위하여, 상당히 많은 메시지들이 RNC, 모바일과 기지국들 사이에 교환된다. 이것은 RNC를 위한 오버헤드의 상당한 양이고, 시그널링 시간 간격들 동안 심각한 프로세싱 오버헤드를 야기한다.
RNC, 기지국(들)과 모바일 사이의 메시지 플로우의 예가 도2에 개시되어 있다. 근본적으로, 모든 데이터 콜에 대해, 많은 메시지들이 모바일과 RNC 사이에 교환된다. RNC가 이 메시지들 중 일부(Non Access Stratum 또는 NAS 메시지들로 지정된 메시지)에 대한 종결점이 아닌 동안, RNC는 이 메시지들을 코어 네트워크(예컨대, PDSN) 내의 최종 목적지로 전달할 것이 요구된다.
무선 자원 제어(Radio Resource Control; RRC) 메시지들
페이징 메시지들을 전달하기 위하여 및 정보를 방송하기 위하여, 모바일 전력 측정들을 위한 무선 채널들을 확립/해제하는데 RRC-같은 메시지들이 이용된다. RRC 설정은 전용 시그널링 채널을 생성하고, 이는 모바일과의 데이터 송수신을 가능하게 하는 첫번째 단계이다. 이것은 RNC와 모바일 사이에 교환되는 6개의 메시지들을 요구한다. 이를 뒤따라, 인증 및, PDSN과의 PPP 접속과 IP 어드레스의 할당을 포함하는 콘텍스트의 확립을 위해, 모바일과 코어 네트워크 사이에 교환되는 일련의 메시지들이 있다. 주어진 가입자에 대한 콘텍스트를 안전하게 하기 위한 암호들의 교환을 야기하는 제어 보안 모드를 위해, 4개의 메시지들이 추가로 RNC, 코어 네트워크와 모바일 사이에서 교환된다. 마지막으로, RAB가 RNC에서 (2개는 코너 네트워크와, 3개는 모바일과, 3개는 기지국과) 교환되는 추가적인 8개 메시지들을 요구하면서 설정되어, RNC와 단일 RAB를 확립하기 위하여 (RNC 내의 상이한 구성요소들 사이에 교환되는 메시지들을 제외하고) 총 24개의 메시지들을 발생시킨다. 모바일을 재-인증하는데 제어 보안 모드의 이용이 요구되더라도, 이후의 RAB 확립들은 RRC 시그널링 채널 설정을 수행할 필요가 없다는 것을 주의해야 한다.
모바일의 위치에 따라, 소위 소프트 핸드오프는 모바일이 가장 강한 신호를 갖는 제1의 노드에 "레그들" 또는 기지국들을 부가할 것을 요구한다. 이것은 (2개는 모바일, 2개는 제1의 기지국과) RNC에서 교환되는 4개의 추가 메시지들을 요구한다. 마지막으로, 전송 후에, 모바일은 RAB 및 RRC 연결들의 해체를 시작할 수 있다. 이것은 IU 해체 기능에 시작된다. 이것은 (2개는 코어 네트워크와, 4개는 모바일과, 5개는 기지국과) RNC 에서 교환되는 총 11개의 메시지들을 요한다. 이 숫자는 다시 RNC에서의 전체 부하에 기여하는 인트라-RNC 처리 메시지들을 포함하지 않는다.
모바일과 그것의 코어 네트워크 사이에 교환될 데이터가 없다면, 모바일은 일시정지된 상태(suspended state)에 놓이게 된다. 이 상태에서, 무선 연결 자원들은 해제되고, 다른 활동중인 모바일들에 할당되며, 이는 (그것의 코어 네트워크와 2개 및 기지국과 2개의) 4개의 메시지들을 요한다. 그러나, 콘텍스트는 여전히 RNC에 유지되고, 모바일은 RRC/RAB 확립 동안 구해지는 그것의 IP 어드레스를 보유한다. 모바일은 5초의 유휴 중단 시간(idle timeout period)이 일어나지 않는 한, 패킷 콜 콘텍스트 재개 메시지(그것의 코어 네트워크와의 2개의 추가 메시지)를 이용하여 모바일이 (RNC와의 2개의 메시지 교환과 함께) 재활성화될 수 있다.
공격의 속성 및 취약성
공격자는 RNC와 BS 사이의 과도한 시그널링 메시지 교환을 근본적으로 일으킴으로써, RAB들의 설정에 요구되는 헤비-듀티(heavy-duty) 시그널링 오버헤드를 이용한다. 이것은 RAB이 비활동으로 인해 해체된 후 즉시, 새로운 RAB 확립을 유발하기 위하여 버스트가 공격자로부터 도착하도록 하기 위해 적은 양의 버스트를 적절하게 정해진 시간들에 전송함으로써 달성될 것이다. 이 빈번한 설정/해제는 과도한 양의 시그널링 메시지들을 요구함으로써 RNC를 용이하게 과부하가 걸리게 할 수 있다.
공격자가 모바일들의 IP 어드레스들을 얻는 것이 상대적으로 용이하다는 것을 이해해야만 한다. 무선 서비스 제공자들은 전형적으로 대량의 근접한 IP 어드레스들을 할당하여, 공격자가 단지 유효 가입자인체 함으로써 유효한 범위의 어드레스들을 추측하는 것을 용이하게 한다.
공격자의 두드러진 2가지 특징들은 주의할 만하다. 첫째, 앞선 논한 바와 같이, 공격의 낮은 평균 전송율(적은 버스트들이 주기적으로 전송된다)이 기존 검출 메카니즘이 트래픽을 악의적인 것으로 분류하는데 어렵게 만든다. 공격을 시작하기 위하여 공격자들이 수천의 호스트들을 굴복시킬 것을 요구하는 종래 DDoS 공격들에 반해, 적은 양은 또한 공격자가 공격을 시작하는 것을 더욱 용이하게 한다. 또한, 공격자가 광범위하게 두루 미치는 충격을 주고, 나아가 검출을 어렵게 만드는데 모바일당 오직 하나의 패킷이 전송되면 된다.
공격에 의한 손실
이러한 공격에 기인한 손실은 매우 심각하여, 유효한 트래픽이 자원들의 할당을 받지 못해 RNC에 의해 그것이 포기되는 것을 야기한다. RNC는 또한 과부하가 걸리게 되어, 결국 상당수의 가입자들에 대한 서비스를 거부한다. 덧붙여, RNC들은 동시에 활동중인 일정 양의 모바일들/유저들(실제로는 10%)을 다루도록 설계되어 있다. 공격자들이 공격의 적은-양 속성에 기인하여 이 숫자를 초과하는 것은 쉬운 것이다.
시그널링 공격의 또다른 부작용은 모바일의 배터리를 소진시킬 가능성이다. 보통, 전력을 보존하기 위하여, 모바일은 패킷들의 송수신이 없을 때 저전력의 유휴 또는 휴면 상태로 전환한다. 적은 양의 버스트들이 주기적으로 전송되기 때문에, 모바일들은 강제적으로 필요 이상으로 길게 활성화된 상태가 되게 될 것이다. 최악의 경우에, 모바일은 휴면 상태로 진입하는 것이 허용되지 않아 그 배터리의 빠른 소진을 야기한다.
본 발명자들은 공격의 충격에 대한 시뮬레이션들을 수행했다; 몇몇 결과들이 도3a 및 3b에 그래프들로 제공되었다. 도3a는 연속적인 공격들에 대한 시간에 대한 기지국 컨트롤러들의 부하를 나타내고, 반면 도3b는 시간에 대한 콜 설정 지연시간(즉, 콜이 도착한 후 자원들이 할당될 때까지 경험되는 지연)을 나타낸다.
도3a 및 3b로부터의 결과들은 공격의 강렬한 결과를 증명한다. 단지 6%의 공격 트래픽을 전송함으로써, RNC에서의 부하는 15%의 이용에서 75%의 이용으로 5배만큼 증가될 수 있다. 이것은 또한 콜 설정 지연에서 5배 증가로 환언되고, 이는 특히 실시간 서비스들을 권유하는 제공자들에 대한 소비자 신뢰를 해친다. 단지 약 10%의 공격 트래픽을 전송함으로써 RNC에 과부하가 걸리게 하는 것은 상대적으로 쉬운 것이다.
주제를 바꾸어, 다음으로 3G1x 구성(예컨대, CDMA2000) 및 시그널링을 간략히 설명한다.
3G1x 구성
도5는 3G1x 무선 네트워크에 대한 전형적인 구성을 도시한다. PDSN은 전체 무선 네트워크에서 모든 유저 모바일들/다말들과의 데이터 송수신을 위한 게이트웨이로서 기능하는 라우터일 수 있다. 모바일 또는 유저가 성공적으로 네트워크에 인증되고 등록될 때, PPP 연결이 GGSN과 유저/모바일 사이에 설정된다. PDSN으로의 경로 상에, 전형적으로 무선 인프라의 일부인 3개의 디바이스들이 있다. RNC 및 BS는 UMTS에서의 상응하는 것과 동일한 기능을 갖는다. 이 계층적인 구성에서, 다수의 모바일들은 기지국과 통신하고, 다수의 기지국들 RNC와 통신하고, 다수의 RNC들은 PDSN와 통신한다.
3G1x 시그널링
3G1x 네트워크에, 자원 할당에 관한 유사한 문제점이 있다. UMTS 네트워크들 내의 RAB의 등가가 기본 채널(fundamental channel; FCH)이며, 이는 데이터를 전송하기 위해 설정되어야 한다. FCH 설정에 이용되는 전형적인 단계들이 도4에 도시되어 있다.
PDSN이 모바일을 위한 데이터를 수신할 때, 그것은 모바일을 호출한다. 호출 메시지에 대한 성공적인 응답이 수신되면(3개의 메시지가 교환), 기지국은 모바일과의 FHC 또는 트래픽 채널의 설정(8개의 메시지 교환)을 시작한다. 병렬적으로, 4개의 메시지를 요하는 서비스 요청이 기지국과 RNC 사이에서 일어난다. RNC는 또한 메시지들을 코어 네트워크로 전달할 것이 기대되고, 이는 이 경우 유저에게 인증할 것이 요구된다. 이것은 6개의 추가 메시지를 유발한다. 마지막으로, 2개의 추가 메시지들이 거래(account)의 목적으로 RNC와 PDSN 사이에서 교환된다. 이것이 수행되면, 활성화된 채널이 모바일과의 데이터 송수신을 위해 존재한다.
콜 해제(들)는 반대 절차를 따르고, RNC로부터 PDSN 및 기지국으로의 7개 메시지들, 기지국과 RNC, PDSN, 및 모바일 사이의 8개 메시지들을 요한다. 전체로, 29개의 메시지들이 BS에 의해 생성 또는 수신되고, RNC가 코어 네트워크로 전달할 책임을 지는 9개 이상의 메시지들에 덧붙여, 13개의 메시지들이 RNC에 의해 생성 또는 수신된다.
모든 가입자는 전형적으로 할당된 제1의 레그(leg)를 가지며, 이는 첫번째 콜이 설정될 때 전달(forwarding) 기지국으로 기능한다. 어떤 경우들에서, 앵커 레그라 불리는, 부가(additional) 기지국이 장시간의 연결들을 위해 확립된다. 이 레그는 제1의 레그와 구별되고, 모바일에 가장 강한 신호를 보내는 기지국으로 정의된다. 앵커 레그는 9.6Kbps FCH 상에 용량이 불충분한 때 이용되는 보충 채널들(SCH)을 할당해야 할 때를 결정하는 책임을 진다.
FCH의 용량을 초과하는 버스트 형태의 초과 데이터가 있다면, 자원들은 각각의 유저에 대해 SCH를 생성하는 요구대로 할당된다. (소프트 핸드오프들을 위해) 앵커 레그, RNC 및 다른 베이스 기지국들 사이에 교환되는 16개의 추가 메시지들이 있고, 이는 보충 채널 할당 및 해제에 대한 앵커 레그의 유사한 취약성을 야기한다.
앵커 레그에 대한 공격이 잠재적으로 RNC에 대한 공격보다는 덜 광범위한 손해를 입히지만, 충격은 여전히 심각하여 무선 서비스 제공자의 수익에 대한 상당한 손해를 야기할 수 있다. 공격자가 다수의 앵커 레그들에 충격을 줄 수 있다면, 손실은 더욱 확대된다. 공격자는 특정 앵커 레그에 속한 가입자들을 목표할 수도 있다.
공격자가 단지 임의적으로 어드레스된 버스트들을 송신하더라도 손실은 여전히 심각할 수 있다는 것을 주의해야 한다. 단일 앵커 레그가 버스트들을 수신하고 있는 가입자들에 대해 책임이 없더라도, RNC는 여전히 다수의 앵커 레그들과의 상호작용으로 과부하가 걸릴 수 있다.
공격을 방지하고 방어하기 위하여, 본 발명자들은 소위 무선 상태들을 아는 것, 특히 트래픽이 무선 네트워크를 통해 여기저기 다님에 따른 시그널링 비용(들)이 필요로 되었다. 이것은 악의적인 트래픽이 과도한 시그널링 비용을 도입하기 시작하는 즉시 식별되는 것을 허용한다. 시그널링 비용은 연루된 무선 인프라에 따라 다양한 방식으로 얻어질 수 있다. 이상적으로, 정확한 시그널링 비용은 RNC 및 기지국과 같은 무선 구성요소들이 질의에 대한 인터페이스를 제공할 때, 이들 구성요소들에 질의하여 얻어질 수 있다. 그러나, 현재의 3세대 무선 네트워크들은 그러한 인터페이스를 갖지 않으며, 따라서 그러한 질의들을 지원하기 위해서는 변경들을 요구한다. 기존 인프라들을 변경하는 것은 네트워크 소유자들/운영자들에 의해 이미 지출된 투자액이 주어진 상태에서, 실행가능한 해결안이 아니다.
본 발명자들은 시그널링 콜(들)을 아는 것을 가정하여 트래픽 도착 패턴들로부터 시그널링 비용을 평가하는, 간단하지만 아직은 신규한 메카니즘을 발견했다. 본 발명들은 그와 같이 평가된 시그널링 비용을 이용하여 공격을 검출하기 위한 방법들 및 디바이스들을 제공한다.
도1은 UMTS 무선 네트워크 구성의 예를 도시한다.
도2는 도1의 UMTS 무선 네트워크와 연관된 메시지 플로우의 예를 도시한다.
도3a 및 3b는 시그널링 공격의 가능한 충력의 예시적인 시뮬레이션을 도시한다.
도4는 3G1x 무선 네트워크 내의 기본 채널을 설정하는 예시적인 단계들을 도시한다.
도5는 3G1x 무선 네트워크 구성의 예를 도시한다.
도6은 본 발명의 일 실시예에 따라 시그널링 공격들을 검출 빛 방지하기 위한 구성의 예를 도시한다.
전술된 바와 같이, 무선 구성요소가 질의를 위한 인터페이스를 제공한다면, 시그널링 비용이 단순한 질의에 의해 얻어질 수 있다. 그런 것이 없다면, 그러한 무선 구성요소들의 도움없이 비용을 얻는 것은 도전이다. 본 발명의 일 실시예에서, 시그널링 비용은 트래픽 도착 패턴들로부터 평가된다. 이것은 무선 구성요소들 내의 시그널링 프로토콜들에 대해 알 것을 요구한다. 표1은 본 발명의 일 실시예에 따라 UMTS 네트워크 내에서 (RAB 확립/해제에 기인한) 시그널링 비용을 평가하기 위한 기술의 예를 보여준다. 본 발명의 범위 내의 유사한 기술들이 본 발명의 택일적인 실시예들에 따라 CDMA 2000 네트워크들에 대한 다른 유형들의 시그널링 비용들을 평가하는데 이용될 수 있다.
Figure 112007069448507-PCT00001
본 발명은 패킷이 도착할 때, 목적지의 RAB이 해제되었다면, 목적 모바일이 RAB을 재확립해야 한다는 사실을 이용한다. 이 재확립은 새로운 RAB를 확립하고, 유휴 타이머의 만료에 기인한 이전 RAB의 해제를 위해 추가의 비용을 생성한다; 비용은 본 발명에 의해 제공되는 기술들에 의해 검출될 수 있다.
진행 중인 시그널링 공격의 신뢰할 만한 징조는 실제의 전송된 데이터의 양이 적음에도 과도한 또는 추가의 시그널링 비용들이 검출되는 것이다. 계속하기에 앞서, 공격자는 과도한 시그널링 비용들을 야기하는 상당량의 트래픽을 이용하여 네트워크를 범람시킬 수 있다는 것을 주의해야 한다. 그러나, 이것은 상대적으로 말해, 기존의 방화벽 또는 침입 검출 메카니즘들에 의해 용이하게 검출될 수 있다. 적은-양의 공격이므로, 더욱 정확한 판단 기준이 필요하다. 본 발명에 따라, 데이터 대비 시그널링 비용의 비율로 불리는 통계적 측정이 기준으로 이용된다. 비율이 일정 문턱값을 초과하면, 시그널링 공격이 검출되고, 공격 원천으로부터의 악의적인 트래픽/패킷들이 차단된다. 본 발명의 다른 실시예에서, 동일한 원천으로부터의 다수의 공격들이 검출된다면, 공격 원천으로부터의 악의적인 트래픽/패킷들 등이 차단되는 반면, 다른 원천들로부터의 트래픽이 허용된다. 다른 침입 검출 메카니즘들이 또한 잘못된 알람들의 경우를 감소시키는데 이용될 수 있다.
본 발명의 예시적인 방법에 따르면, 트래픽이 공격의 일부인지를 결정하는 첫번째 단계는 이후의 비교를 위한 문턱값을 정의하는 것이다. 이것은 유저/어플리케이션에 의해 특정적인 것이어야 한다. 이 문턱값의 값은 전-처리 시간 동안 유저/어플리케이션들의 프로파일링(profiling)하여 선택될 수 있다.
이러한 시간 동안, 각각의 유저에 대한 프로파일은 데이터 대비 통계적인 시그널링 비용의 비율에 기초하여 생성될 수 있다. 프로파일을 세우는데 이용되는 정보는 패킷 도착 시간들, 원천(들)과 목적(들)의 IP 어드레스들 및 포트 번호를 포함한다.
본 발명에 의해 제공되는 프로파일 메카니즘의 일 신규한 양상은 관련된 프로파일들을 (서버 뿐만 아니라 유저, 어플리케이션) 모으는 능력이다. 유저 프로파일에 의해, 우리는 개별 유저에 대한 통계들을 참조한다. 이 구분은 또한 개개의 어플리케이션에 의해 분류될 수 있다. 예를 들어, 웹 서핑은 대부분의 유저들에 의해 가장 빈번히 이용되는 서비스이다. 유사하게, 비디오-온-디맨드 서버는 비디오를 유저들에게 방송하기 위해 RTP 패킷들을 이용할 것이다. 개개의 웹 서버 기초에 대한 통계들이 HTTP/RTP 패킷들의 도착을 로그(log)하여 축적될 수 있다.
확장을 가능하도록 하기 위하여, 프로파일들이 유사한 행동들을 갖는 유저들에 대해 모아질 수 있다. 다음, 현재의 트래픽은 불일치를 검출하기 위하여 모아진 프로파일과 비교될 수 있다. 축적된 프로파일들이 인기있는 서버스들 및 또한 인기있는 어플리케이션들에 대해 유사하게 유지될 수 있다. 상이한 분류 방식들의 유연성이 보통의 트래픽으로 간주되는 것의, 더욱 잘 인지되고 정확한 특성화를 가능하게 한다. 이 프로파일은 비정상적이고 악의적인 트래픽을 검출하는 열쇠인 반면, 또한 잘못된 명확성(유효한 트래픽을 악의적인 트래픽으로 잘못 분류)의 가능성을 최소화한다.
1. 데이터 대비 시그널링 비용 비율의 수집 a. 질의 : 유저당 무선 구성요소들로부터의 교환되는 시그널링 메시지들의 실제 수 b. 평가 : 패킷 간격들로부터 시그널링 비용 추론 2. 검출 : 전송자(s)로부터 유저(i)로의 패킷(j)에 대해: 기준 : 데이터 대비 시그널링 비용 비율(S/D)
Figure 112007069448507-PCT00002
3. 검증 :
Figure 112007069448507-PCT00003
THEN ■ s 로의 데이터를 차단하기 위해 방화벽에 필터를 설치
상기 표2는 DoS 시그널링 공격에 대한 방어를 위한 방법 또는 알고리즘의 예를 보여준다. 이 방법은 무선 인프라로부터 유저 상태의 통계적 정보(예컨대, 실제 트래픽 플로우)를 평가 또는 수집할 수 있는 디바이스 또는 디바이스들에 의해 실행될 수 있다. 일반적으로, 이 방법은 다음과 같다.
초기 단계에서, 데이터 대비 시그널링 비용의 비율과 같은 현재 측정이 생성 또는 유도된다. 이 비율은 인프라에 직접 질의를 함으로써 또는 평가 기술을 이용하여 구해질 수 있다.
다음, 데이터 대비 시그널링 비용의 비율이 문턱값, 참조 비율과 비교된다. 유도된 비율이 유저에 대한 프로파일을 세우는 전-처리 단계로부터 결정된 유저에 대한 문턱값, 즉 S/DTHRESH을 초과하면, 전송자 "s"로부터의 이후의 트래픽에 플래그가 붙는다(flagged).
마지막으로, (문턱값(VOTETHERESH)과 비교될 때) 전송자(s)로부터의 충분한 수의 패킷들이 수상한 것으로 플래그가 붙여졌거나 또는 수상한 행동이 확장된 시간(INVALIDTIMER) 동안 지속된다면, 그 전송자로부터의 미래 트래픽을 차단하기 위하여 방화벽에 필터가 적용될 수 있다.
전-처리 단계 동안 생성된 유저 프로파일은 잘못된 명확성을 최소화하고 위반이 발생한 때를 정확히 검출하기 위하여, 유저 행동에 적응될 수 있는 것임을 주의해야 한다. 더욱 상세하게는, 초기의 프로파일이 전-처리 동안 생성된 후, 유저의 행동에 대한 변화들에 기초하여 정기적으로 갱신될 수 있다.
표2에 이용된 방법은 다수의 다양한 방식으로 구현될 수 있고, 이 중 하나는 무선 공격 저항에 대한 구성(Architecture for Wireless Attack REsistance; AWARE)으로서 불리는 것이다. AWARE-활성화된 디바이스들은 모듈 단위일 수 있고, 미래 공격들을 반격하기 위하여 업그레드를 지원할 수 있다.
본 발명의 일 실시예에서, AWARE 구성(예컨대, 활성화된 디바이스)은 두 개의 구성요소들을 포함할 수 있다: 학습 데이터베이스 및 프로파일러, 및/또는 검출 엔진 또는 검출기. 학습 데이터베이스는 전-처리 단계 동안 유저에 관한 정보를 캡쳐 및 저장하도록 동작될 수 있다. 프로파일러는 보통의(즉, 공격이 없는) 조건들 하에서 주어진 유저에 대한 트래픽 프로파일을 생성하도록 동작될 수 있다. 데이터베이스 및 프로파일러는 하나 및 동일한 것일 수 있고, 교차-모바일 상호연관을 위해 다른 유저 데이터베이스 및 프로파일러들과 상호연관될 수 있다. 이 데이터베이스들 내의 정보는 검출기/검출 엔진으로 전달된다. 본 발명의 일 실시예에서, 검출 엔진은 각각의 유저에 대한 문턱값을 유지하고, 유저 또는 유저들의 세트에 대한 현재 트래픽이 상응하는 문턱값을 어기고 있는지를 확인하도록 동작될 수 있다. AWARE-활성화된 디바이스(데이터베이스, 프로파일러, 및/또는 검출기를 포함하는 것)와 통신이 가능한 무선 구성요소들에 따라, AWARE-활성화된 디바이스의 위치가 변경될 수 있다:
● 방화벽과 같은 장소에 배치: AWARE-활성화된 디바이스는 무선 서비스 제공자의 방화벽과 같은 위치에 배치될 수 있다. 그러한 디자인이 선택된다면, 무선 인프라의 다른 임의의 부분이 AWARE-활성화된 디바이스의 존재를 알거나 AWARE-활성화된 디바이스와 상호작용하는 것을 반드시 당연한 것으로 받아들일 필요는 없다.
본 발명의 실시예에서, AWARE-활성화된 디바이스는 프로파일들을 구성하기 위하여 패킷 도착들과 같은 IP 계층 정보 및 IP/TCP 및 어플리케이션 계층 헤더들로부터의 정보를 이용한다. 이것은 AWARE-활성화된 디바이스가 패킷 내부를 조사할 수 있다는 것을 가정한다. IPsec(터널 모드)가 활성화되었다면, AWARE-활성화된 디바이스는 도메인 내의 IPsec 게이트웨이와 같은 위치에 배치되어 패킷 헤더들 및 페이로드들을 검사하고 암호를 해독할 수 있다.
● PDSN과 RNC간의 사이: 본 발명의 택일적인 실시예에서, AWARE-활성화된 디바이스는 PDSN과 RNC 사이에 배치될 수 있다. 이러한 디자인에서, 디바이스는 PDSN과 상호작용할 수 있고, 어떻게 패킷들이 상이한 RNC들에 분포되어 있는지에 대한 정보를 얻을 수 있다. RNC는 미묘한 성질 정보를 다음과 같은 제공한다: FCH 및 SCH 설정/해제에 대한 시그널링 이벤트들의 수, 시그널링 메시지들의 시간정보, 및 모바일 전력 소비를 평가하는 기지국을 통한 전력 제어 정보.
AWARE-활성화된 디바이스가 독립형인 경우에, 디바이스가 무선 인프라(예컨대, 방화벽)과 동작하는 것을 허용하기 위해 AWARE-호환의 인터페이스가 필요할 수 있다는 것을 이해해야만 한다.
"최소-침입성의(least-invasive)" 디자인에서, AWARE-활성화된 디바이스는 단지 IP 패킷들이 PDSN에 도착하기 전에 방화벽으로부터 전달되는 IP 패킷들을 본다. 모든 필요한 정보는 어플리케이션, TCP 및 IP 헤더들 및 페이로드 자체에 포함된다. 프로파일을 구성하는데 필요로 되는 정보는 상기 헤더들 및 페이로드로부터 추출될 수 있다.
AWARE-활성화된 디바이스는 기존 방화벽들 또는 IPsec 게이트웨이들과 통신할 수 있어야 한다. 이상적으로, AWARE-활성화된 디바이스는 수상한 트래픽을 차단하기 위한 필터로서 기능하는 이들 엔티티들에 같은 장소에 배치될 수 있다. AWARE-활성화된 디바이스가 IPsec 게이트웨이와 같이 배치되지 않는다면, 터널 모드에서 ESP-캡슐화된 패킷들을 처리 및 해독할 수 있기 위해서는 소위 게이트웨이와의 보안 연계가 있을 필요가 있다. AWARE-활성화된 디바이스가 방화벽과 같이 배치되지 않는 때에도, 필터들의 구성을 허용하는 Checkpoint의 Firewall-1과 같은 대부분의 상업용 방화벽들과의 인터페이스가 있다.
AWARE-활성화된 디바이스가 PDSN과 RNC 사이에 배치된다면, 더 많은 유저-특정의 상태 정보가 수집될 수 있다(즉, 유저가 속한 RNC 및 RLP 프레임으로부터 얻을 수 있는 잠재적인 다른 정보). 또한, AWARE-활성화된 디바이스는 모바일이 여러 RNC를 지나 이동할 수 있기 때문에 이동성과 관련된 정보를 얻을 수 있다. 검출에 관한 이동성 정보의 충격은 분석할 만한 가치가 있는데, 왜냐하면 이동이 많은 엔드-유저들은 인프라의 부하에 상당히 기여할 수 있기 때문이다. 이동이 많은 유저들에 대한 무선 DoS 공격을 시작하는 것은 실질적으로 처리 오버헤드를 더할 수 있는 추가의 작업들, 예컨대 더욱 잦은 호출을 요한다. 또한, 모바일은 전송을 시작하기에 앞서 PDSN과의 PPP 연결을 시작할 수 있다. AWARE-활성화된 디바이스는 또한 PPP 상태 이력을 얻기 위하여 PDSN에 질의할 수 있다.
AWARE-활성화된 디바이스에 덧붙여, 본 발명자들은 또한 AWARE 관련된 구성이 또한 추가의 디바이스들을 요할 수 있다는 것을 알았다.
예를 들어, AWARE-호환 인터페이스가 본 발명에 의해 제공된다. 본 발명의 일 실시예에서, 그러한 인터페이스가 무선 유저/모바일 상태(들)을 질의하도록 동작될 수 있다. 그러한 인터페이스는 또한 AWARE-활성화된 디바이스(또는 디바이스들)가 모바일/유저-특정의 정보를 얻기 위하여 무선 인프라와 보안 방식으로 통신할 수 있도록 한다. 그러한 인터페이스는 PDSN 이외에도 인프라들에 옵션으로 포함될 수 있는데, 왜냐하면 패킷 도착들이 상태 정보를 평가하기 위하여 최소한으로 알려질 필요가 있기 때문임을 주의해야 한다.
인터페이스에 덧붙여, 본 발명은 플러그-인 검출기를 제공한다.
스노트(snort)는 AWARE-활성화된 디바이스의 기능에 필적하는 오픈-소스 IDS 메카니즘이다. 스노트는 모듈 단위이고, 새로운 플로그인들이 설치되는 것을 허용하며, 따라서 검출 메카니즘이 현재 및 미래 공격들의 방어에 대해 맞춤화 및 향상되는 것을 허용한다. "플러그-인"은 스노트의 동작을 변경하도록 동적으로 부가될 수 있는 모듈들을 가리키는 통칭의 용어를 의미한다.
본 발명의 추가적인 실시예에서, 본 발명의 검출 발견 기능들을 포함하는 스노트 호환 플러그-인이 제공된다.
다른 플러그-인들이 또한 본 발명에 의해 제공된다. 다시, 그들의 실험들 동안 본 발명자들은 방화벽과 인터페이스 하고 공격들에 반응하기 위하여 스노트샘(Snortsam)을 이용하였다.
본 발명의 추가적인 실시예에서, 그러한 인터페이스를 허용하는 스노트샘 호환 플러그-인이 본 발명에 의해 제공된다. 그러한 플러그-인은 악의적인 트래픽을 차단하기 위한 필터(들)로서 기능하도록 동작될 수 있다.
택일적으로, 이 플러그-인은 악의적인 트래픽의 우선권을 감소시키기 위하여 무선 패키 스케쥴러와 인터페이스될 수 있다.
본 발명의 방법들, AWARE-활성화된 디바이스들, 인터페이스들, 및 임의의 하위구성요소들(예컨대, 학습 데이터베이스, 프로파일러, 검출기 등)이 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 조합에 의해 구현될 수 있다는 것을 이해해야만 한다. 예를 들어, 하나 이상의 프로그래머블 또는 프로그램된 컨트롤러들, 프로세서들 등이 하나 이상의 프로그램들 또는 코드(및 데이터)를 저장하도록 동작가능할 수 있으며, 이들은 앞서 및 다음의 청구범위에서 기술되는 본 발명의 특징들 및 기능들을 수행하도록 동작될 수 있다.

Claims (10)

  1. 3세대 무선 네트워크에 대한 시그널링 공격을 검출하기 위한 방법에 있어서,
    모바일 디바이스와 연관된 트래픽 레벨을 측정하는 단계;
    상기 측정된 트래픽 레벨 및 시그널링 비용과 연관된 비용-대-데이터 비율을 생성하는 단계; 및
    서비스 거부(Denial-of-Service) 시그널링 공격이 상기 디바이스에 검출되는지를 결정하기 위하여, 상기 생성된 비율을, 프로파일된 참조 비용-대-데이터 문턱값 비율과 비교하는 단계를 포함하는, 시그널링 공격 검출 방법.
  2. 제1항에 있어서,
    상기 생성된 비율이 상기 문턱값 참조 비율 이상인 때, 상기 모바일 디바이스에 대해 의도된 악의적인 트래픽이 상기 디바이스에 도달하는 것을 방지하는 단계를 더 포함하는, 시그널링 공격 검출 방법.
  3. 제1항에 있어서,
    상기 네트워크는 UMTS 또는 CDMA2000 네트워크를 포함하는 그룹으로부터 선택되는, 시그널링 공격 검출 방법.
  4. 제1항에 있어서,
    트래픽 도착 패턴들로부터 상기 시그널링 비용을 생성하는 단계를 더 포함하는, 시그널링 공격 검출 방법.
  5. 제1항에 있어서,
    상기 트래픽 레벨은 상대적으로 적은 양의 데이터인, 시그널링 공격 검출 방법.
  6. 무선 네트워크에서 서비스-거부(DoS) 공격을 검출하기 위한 방법에 있어서,
    (a) 상기 무선 네트워크의 정상적인 동작 동안 적어도 하나의 모바일과 주고받는 실제 데이터와 시그널링 비용 사이의 관계를 특징화하는 통계적 측정치를 생성하는 단계;
    (b) 상기 통계적 측정치를 현재의 측정치와 비교하는 단계; 및
    (c) 상기 현재의 측정치가 상기 통계적 특정치와 문턱값 이상만큼 다르다면 DoS 공격을 검출하는 단계를 포함하는, DoS 공격 검출 방법.
  7. 제6항에 있어서,
    상기 통계적 측정치는 지정된 시간 간격 내에 적어도 하나의 모바일이 주고받는 실제 데이터 양 대비 지정된 시간 간격 내의 상기 시그널링 비용의 비율에 기초하는, DoS 공격 검출 방법.
  8. 제7항에 있어서,
    트래픽 도착 패턴에 기초하여 상기 비율을 평가하는 단계를 더 포함하는, DoS 공격 검출 방법.
  9. 3세대 무선 네트워크에 있어서,
    상기 무선 네트워크와 인터넷 사이의 액세스를 제공하도록 구성된 하나 이상의 액세스 노드들;
    상기 액세스 노드와 통신하도록 구성된 하나 이상의 무선 네트워크 컨트롤러(RNC)들;
    하나 이상의 모바일 유닛들 및 RNC와 통신하도록 구성된 각각의 RNC에 대한 하나 이상의 기지국들; 및
    (a) 상기 무선 네트워크의 정상적인 동작 동안 적어도 하나의 모바일과 주고받는 실제 데이터와 시그널링 비용 사이의 관계를 특징화하는 통계적 측정치를 생성하고;
    (b) 상기 통계적 측정치를 현재의 측정치와 비교하고;
    (c) 상기 현재의 측정치가 상기 통계적 특정치와 문턱값 이상만큼 다르다면 DoS 공격을 검출하도록 구성된 아키텍처를 포함하는, 3세대 무선 네트워크.
  10. 3세대 무선 네트워크에 대해 서비스 거부 시그널링 공격을 검출하기 위한 디바이스에 있어서,
    모바일 정보를 저장하도록 동작가능한 데이터베이스;
    상기 저장된 정보를 기초로, 공격이 없는 조건들과 관련하여, 상기 모바일에 대한 트래픽 프로파일을 생성하도록 동작가능한 프로파일러; 및
    상기 모바일과 관련된 트래픽 도착율과 적어도 상기 생성된 모바일 프로파일과 연관된 문턱값을 비교함으로써 공격을 검출하도록 동작가능한 검출기를 포함하는, 서비스 거부 시그널링 공격 검출 디바이스.
KR1020077022059A 2005-03-31 2006-03-21 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들 KR101235099B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/094,416 US20060230450A1 (en) 2005-03-31 2005-03-31 Methods and devices for defending a 3G wireless network against a signaling attack
US11/094,416 2005-03-31
PCT/US2006/010108 WO2006104752A1 (en) 2005-03-31 2006-03-21 Methods and devices for defending a 3g wireless network against a signaling attack

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020127019442A Division KR101259775B1 (ko) 2005-03-31 2006-03-21 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들

Publications (2)

Publication Number Publication Date
KR20070116612A true KR20070116612A (ko) 2007-12-10
KR101235099B1 KR101235099B1 (ko) 2013-02-20

Family

ID=36579743

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020127019442A KR101259775B1 (ko) 2005-03-31 2006-03-21 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들
KR1020077022059A KR101235099B1 (ko) 2005-03-31 2006-03-21 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020127019442A KR101259775B1 (ko) 2005-03-31 2006-03-21 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들

Country Status (6)

Country Link
US (1) US20060230450A1 (ko)
EP (1) EP1864471B1 (ko)
JP (1) JP4994359B2 (ko)
KR (2) KR101259775B1 (ko)
CN (1) CN101151868A (ko)
WO (1) WO2006104752A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101149587B1 (ko) * 2011-10-31 2012-05-29 한국인터넷진흥원 이동통신망의 시그널링 도스 트래픽 탐지방법

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1771021A1 (en) * 2005-09-29 2007-04-04 Telefonaktiebolaget LM Ericsson (publ) A method and apparatus for allocation of radio resources
US8965334B2 (en) 2005-12-19 2015-02-24 Alcatel Lucent Methods and devices for defending a 3G wireless network against malicious attacks
KR101614993B1 (ko) * 2006-10-30 2016-04-22 인터디지탈 테크날러지 코포레이션 Lte 시스템에서 추적 영역 업데이트 및 셀 재선택을 구현하는 방법 및 장치
DE102006052709B3 (de) * 2006-11-08 2008-06-19 Siemens Ag Anordnung und Verfahren zur Regulierung einer Datenübertragung in einem Netz
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
KR100889670B1 (ko) * 2007-08-08 2009-03-19 삼성에스디에스 주식회사 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법
US9036540B2 (en) * 2007-09-28 2015-05-19 Alcatel Lucent Method and system for correlating IP layer traffic and wireless layer elements in a UMTS/GSM network
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US20090113039A1 (en) * 2007-10-25 2009-04-30 At&T Knowledge Ventures, L.P. Method and system for content handling
US20090209291A1 (en) * 2008-02-19 2009-08-20 Motorola Inc Wireless communication device and method with expedited connection release
WO2010050612A1 (en) * 2008-10-30 2010-05-06 Nec Corporation Communication method with user equipment and h(e) nb for minimizing access network extension impact
US8688826B2 (en) * 2009-11-30 2014-04-01 Motorola Mobility Llc Mobile computing device and method with intelligent pushing management
US8769084B2 (en) 2010-06-07 2014-07-01 Novell, Inc. System and method for modeling interdependencies in a network datacenter
WO2012166194A1 (en) * 2011-06-01 2012-12-06 Hewlett-Packard Development Company, L.P. Network asset information management
CN103733567B (zh) * 2011-08-10 2016-10-12 国际商业机器公司 网络管理系统
CN103988534B (zh) * 2011-12-12 2018-09-11 瑞典爱立信有限公司 用于检测网络节点上的持续恶意软件的方法
CN103490849A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 分析信令流量的方法及装置
KR101444899B1 (ko) * 2012-07-12 2014-09-26 건국대학교 산학협력단 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법
US10924500B2 (en) * 2012-11-22 2021-02-16 Koninklijke Kpn N.V. System to detect behaviour in a telecommunications network
CN103906094B (zh) * 2012-12-24 2017-10-17 中国电信股份有限公司 Evdo控制信道资源占用获取方法和系统
KR101725129B1 (ko) * 2013-02-22 2017-04-10 한국전자통신연구원 무선랜 취약성 분석 장치
CN104125571A (zh) * 2014-07-03 2014-10-29 北京大学 一种伪基站的检测与抑制方法
US10193922B2 (en) * 2015-01-13 2019-01-29 Level 3 Communications, Llc ISP blacklist feed
EP3272075A4 (en) * 2015-03-18 2018-12-05 Hrl Laboratories, Llc System and method to detect attacks on mobile wireless networks based on network controllability analysis
CN104880056B (zh) * 2015-06-23 2017-12-08 湖州师范学院 基于snort的木材干燥的安全控制方法
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
EP3595257B1 (en) * 2018-07-10 2020-12-30 Nokia Solutions and Networks Oy Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
CN109922075B (zh) * 2019-03-22 2020-06-02 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN112448894B (zh) * 2019-09-03 2022-08-19 华为技术有限公司 阻断信令风暴的方法、装置、设备及存储介质
CN113727348B (zh) * 2020-05-12 2023-07-11 华为技术有限公司 用户设备ue用户数据的检测方法、设备、系统及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE406615T1 (de) * 2000-05-12 2008-09-15 Niksun Inc Sicherheitskamera für ein netzwerk
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7092357B1 (en) * 2001-11-13 2006-08-15 Verizon Services Corp. Anti-flooding flow-control methods and apparatus
KR100427449B1 (ko) * 2001-12-14 2004-04-14 한국전자통신연구원 네트워크 기반 침입탐지시스템의 적응적 규칙 추정에 의한침입탐지방법
CA2414789A1 (en) * 2002-01-09 2003-07-09 Peel Wireless Inc. Wireless networks security system
JP3923346B2 (ja) * 2002-03-29 2007-05-30 京セラ株式会社 無線通信機
US7383577B2 (en) * 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101149587B1 (ko) * 2011-10-31 2012-05-29 한국인터넷진흥원 이동통신망의 시그널링 도스 트래픽 탐지방법
WO2013065886A1 (ko) * 2011-10-31 2013-05-10 한국인터넷진흥원 이동통신망의 시그널링 도스 트래픽 탐지방법

Also Published As

Publication number Publication date
WO2006104752A1 (en) 2006-10-05
US20060230450A1 (en) 2006-10-12
KR101235099B1 (ko) 2013-02-20
JP2008537385A (ja) 2008-09-11
EP1864471A1 (en) 2007-12-12
KR20120099286A (ko) 2012-09-07
CN101151868A (zh) 2008-03-26
JP4994359B2 (ja) 2012-08-08
EP1864471B1 (en) 2012-09-26
KR101259775B1 (ko) 2013-05-06

Similar Documents

Publication Publication Date Title
KR101235099B1 (ko) 시그널링 공격으로부터 3 세대 무선 네트워크를 방어하기 위한 방법들 및 장치들
KR101187720B1 (ko) 무선 네트워크들에서 전력-소모 서비스 거부 공격들의 검출
Lee et al. On the detection of signaling DoS attacks on 3G wireless networks
Lee et al. On the detection of signaling DoS attacks on 3G/WiMax wireless networks
EP1964366B1 (en) Methods and devices for defending a 3g wireless network against malicious attacks
US7398317B2 (en) Thwarting connection-based denial of service attacks
US7278159B2 (en) Coordinated thwarting of denial of service attacks
US7043759B2 (en) Architecture to thwart denial of service attacks
US7702806B2 (en) Statistics collection for network traffic
US7124440B2 (en) Monitoring network traffic denial of service attacks
EP3404949B1 (en) Detection of persistency of a network node
Gill et al. Scheme for preventing low-level denial-of-service attacks on wireless sensor network-based home automation systems
Khan et al. Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks
Sardana et al. Detection and honeypot based redirection to counter DDoS attacks in ISP domain
Ettiane et al. Protection mechanisms for signaling DoS attacks on 3G mobile networks: Comparative study and future perspectives
Durairaj et al. ThreV-An Efficacious Algorithm to Thwart MAC Spoof DoS Attack in Wireless Local Area Infrastructure Network
Park et al. Design of detection system against the denial of service attack in 3G1x system
Yan et al. Stochastic security performance of active cache based defense against dos attacks in wireless mesh network
Mishra et al. A Novel Approach for Detection and Prevention of DOS Attack in Wireless Mesh Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160211

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170203

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180202

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee