KR20080076960A

KR20080076960A - 악의적인 공격들에 대하여 ３ｇ 무선 네트워크를 방어하는방법들 및 디바이스들

Info

Publication number: KR20080076960A
Application number: KR1020087014804A
Authority: KR
Inventors: 티안 부; 샘펠 노든; 토마스 와이. 우
Original assignee: 루센트 테크놀러지스 인크
Priority date: 2005-12-19
Filing date: 2006-12-15
Publication date: 2008-08-20
Also published as: JP2012227964A; EP1964366B1; US20070143769A1; CN105025026A; JP2009520447A; EP1964366A2; JP5506871B2; CN101341715A; US20150215328A1; JP5378799B2; WO2007075423A2; WO2007075423A3; US8965334B2

Abstract

3G 무선 네트워크로부터 수집 또는 추정된 무선 상태 정보가 네트워크에 대한 악의적인 공격들을 검출 및 방지하는데 사용된다.

AWARE 인에이블된 디바이스, 프로파일러, G 무선 네트워크로, 무선 상태 정보

Description

악의적인 공격들에 대하여 ３Ｇ 무선 네트워크를 방어하는 방법들 및 디바이스들{Methods and deviecs for defending a 3G wireless network against malicious attacks}

무선 네트워크들에 대한 악의적인 공격들의 빈도 및 크기들이 빠르게 증가하고 있다.

통신 네트워크들에 대한 악의적인 공격들에 대항하기 위한 매우 다양한 해법들이 제안되어 왔다. 이 스킴들은 유선 네트워크들에 대한 공격들의 위협을 완화시켰지만 이들은 무선 네트워크들에 대해서는 불충분하다.

예를 들어, 유선 DoS(Denial of Service) 공격은 서버가 동작불능(disabled)이 되는데 상대적으로 말하면, 긴 시간이 소모되는데, 그 이유는 이러한 기계들은 제한된 처리 및 배터리 수명을 갖는 무선 종단(모바일)보다 큰 처리 성능을 가지기 때문이다. 또한, 무선 링크는 유선 네트워크에 비교하면 엄격히 대역폭이 제한된다. 따라서, 공격으로부터의 트래픽이 모바일에 도달하면, 공격은 이미 무선 링크, 무선 기반구조, 모바일의 배터리 전력의 중요 자원들을 소모하는데 성공한다. 이는 성공시키기 위해 서버의 처리 자원들을 전복시켜야만 하나는 통상의 유선 DoS 공격들과 대조된다.

유선 네트워크들에 대해 시도되는 수많은 공격 형태들이 존재하는데, 이 공 격들 중 두 개는 시그널링 형태 공격들 및 베터리(즉, 슬립 박탁(sleep deprivation)) 공격들이다. 동시-계류중인 미국 특허 출원번호 제 ___________ 및 ___________,은 본원에서 전체적으로 설명하는 바가 이러한 공격들에 대한 논의이고, 이러한 공격들에 대한 방어용 특정 기술들을 제안하는 것이기 때문에 전체가 본원에 참조문헌으로 포함된다.

그러나, 3G 무선 네트워크들에 대한 공격들은 단지 시그널링 및 베터리 공격들로 제한되지 않는다.

그러므로, 수많은 형태의 공격들에 대해 많은 형태의 3G 무선 네트워크들을 방어하기 위한 방법들 및 디바이스들을 제공하는 것이 바람직하다.

본 발명자들은 수집된 또는 추정된 무선 상태 정보를 사용함으로써 3G 무선 네트워크들에 대한 공격들이 방지되거나 실질적으로 감소될 수 있음을 인지하였다.

보다 구체적으로, 본 발명의 일 실시예(즉, 예)는 무선 상태 정보를 획득하고 획득된 정보를 프로파일과 비교하여 공격이 네트워크의 요소를 향하는 것인지를 판단함으로써 3G 무선 네트워크에 대한 공격의 검출을 제공한다.

무선 상태 정보를 이용함으로써 본 발명자들은 공격들이 보다 쉽게 검출되고 방지될 수 있다고 믿는다.

도 1은 본 발명의 일 실시예에 따라 공격들에 대해 3G 무선 네트워크를 방어하기 위한 구조의 예를 도시하는 도면.

다양한 형태들의 공격들에 대해 3G 무선 네트워크들에서 모바일 디바이스들을 방어하기 위해, 본 발명은 무선 공격 대항(Wireless Attack Resistance)용 구조(AWARE)라 칭해지는 신규한 구조를 제공한다.

도 1은 본 발명의 일 실시예에 따른 AWARE 구조의 일 예를 도시한다.

본 발명의 일 실시예에서, AWARE 구조(예를 들어, 인에이블된 디바이스)(100)는 학습 데이터베이스 또는 프로파일러(101) 및 검출 엔진 및 검출기(102)를 포함할 수 있다. 프로파일러(101)는 기지국(BS; 103), 무선 네트워크 제어기(RNC; 104), 및 패킷 데이터 서비스 노드(PDSN; 105)를 포함하는 무선 인프라구조(1)(예를 들어, 네트워크)의 다른 요소들로부터 무선 상태 정보를 수집하도록 동작할 수 있다. 본 발명의 대안적인 실시예에서, AWARE 인에이블된 디바이스(100)는 수집이 불가능할 때 무선 네트워크(1)의 지식으로부터 상태 정보를 추정할 수 있다.

프로파일러(101)는 예를 들어, 하나 이상의 통계학적인 측정치들을 사용하여 보통(즉, 공격받지 않는) 상태들 하에서의 주어진 사용자에 대한 트래픽 프로파일을 생성하도록, 통상적으로 사전 처리 단계동안 사용자(200)에 관한 정보를 포착 및 저장하도록 동작할 수 있다. 본 발명의 추가적안 실시예에서, 초기 프로파일이 생성된 이후에, 프로파일러(101)는 사용자들의 행위에 대한 변경들에 기초하여 정기적으로 프로파일을 업데이트할 수 있다. 프로파일 구축에 사용된 정보는 패킷 도달 시간, IP 어드레스 및 소스(들)의 포트 번호들 및 목적지(들)를 포함하지만, 이것으로 제한되는 것은 아니다. 프로파일러(101)는 하나 이상의 데이터베이스들 을 포함할 수 있음을 이해해야 한다. 이 데이터베이스들은 사용자 데이터베이스 들 및 모바일 상호간, RNC 상호간 또는 PDSN 상호간 상관들을 위해 프로파일러들과 통신할 수 있다. 예를 들어, 하나 이상의 PDSN들과 연관된 다수의 데이터베이스들로부터 데이터가 수집되고, 예를 들어, 유사성들에 대해서 분석될 수 있다. 유사성은 습격(onset) 또는 다수의 PDSN들에 걸친 공격의 존재를 나타낼 수 있다.

본 발명에 의해 제공되는 프로파일링 매커니즘들의 하나의 신규한 특징은 서버 관련 프로파일들 뿐만이 아니라 사용자, 애플리케이션을 상관시키는 능력이다. 사용자 프로파일에 의해, 우리는 개별 사용자들에 대한 통계들을 참조한다. 이런 분할은 개별 애플리케이션에 의해 추가로 카테고리화될 수 있다. 예를 들어, 웹 서핑은 대다수의 사용자들에 의해 가장 흔히 사용되는 서비스이다. 유사하게, 주문형 비디오 서버(video-on demand server)는 비디오를 사용자들에게 방송하기 위해 RTP 패킷들을 사용할 수 있다. HTTP/RTP 패킷들의 도달을 기록함으로써 개별 웹 서버 또는 임의의 IP 소스를 기반으로 한 통계들이 또한 모아질 수 있다.

확장을 가능하게 하기 위해, 프로파일러(101)는 예를 들어, 동일한 메트릭을 이용하여 유사한 행위들을 하는 사용자들을 관통하는 프로파일들을 수집되도록 동작할 수 있다. 수집은 프로파일들이 확장 가능한 방식으로 저장될 수 있어서, 예를 들어, 추후에 보다 쉽게 상관될 수 있다. 예를 들어, 현재 트래픽은 불일치성들을 검출하도록 수집된 프로파일과 비교될 수 있다. 수집된 트래픽들은 대중 서버들 및 애플리케이션들을 위해 또한 유지될 수 있다. 상이한 분류 방식들을 사용하는 유연성은 보통의 트래픽으로서 간주된 것에 대해 보다 포괄적이고 정확한 특 징추출(characterization)을 가능하게 한다.

이제 검출기(102)를 참조하면, 하나 이상의 검출 발견적 교수법을 사용하여 3G 무선 공격을 검출하도록 동작할 수 있다.

조금 보다 상세히, 이용될 수 있는 시그널링 비용의 일 예는 트래픽이 무선 네트워크(102)를 통해 이동하는 바와 같은 시그널링 비용이다. 악의적인 트래픽(malicious traffic)은 과도한 시그널링 비용이 들기 때문에 식별될 수 있다. 시그널링 비용은 무선 네트워크(1)내의 요소들로부터 얻어질 수 있는 협조(cooperation)에 의존하여 다양한 방식으로 얻어질 수 있다.

본 발명의 실시예에서, 검출기(102)는 저장된 공격받지 않은 또는 보통의 프로파일을 현재 트래픽 상태들과 비교하여, 사용자 또는 사용들의 집합(200)에 대한 현재 트래픽이 보통 프로파일을 위반했는지를 결정하도록 동작할 수 있다.

일단 공격이 검출되고 공격자가 식별되면, AWARE 인에이블된 디바이스(100)는 예를 들어, 방화벽(106)을 재구성 또는 구성함으로써(예를 들어, 방화벽에 규칙을 정함으로써) 의심되는 공격자로부터의 모든 미래의 트래픽을 차단할 수 있다.

앞서 언급한 바와 같이, 본 발명에 의해 제공된 AWARE 인에이블된 디바이스들은 무선 데이터 채널들의 셋업 및 해제, 및 모바일이 활성화된 시간을 포함하는 무선 특정 상태 정보를 수집한다. 본원의 발명자들은 무선 상태 정보를 수집하고 이를 본 발명에 동종의 방식으로 3G 무선 공격들을 검출하는데 사용하는 다른 디바이스는 현재까지는 없다고 알고 있다.

본 발명의 추가적인 실시예들에서, AWARE 인에이블된 디바이스(100)는 다양 한 입도(granularity) 레벨에서(동일한 측정 파라미터에 대해서) 정보를 유지하도록 동작할 수 있다. 다시 말해, 동일한 측정 파라미터에 대해서, 다른 수집 레벨들이 이용될 수 있다. 예를 들면 모바일 당(per-mobile), RNC 당, BS 당, PDSN 당 또는 외부 소스-당 기반을 들 수 있다. 이는 검출 발견적 교수법이 다수의 레벨들에서 이상한 점들을 발견하게 하고, 이는 공격자가 다른 RNC들에 걸쳐 악의적인 트래픽을 퍼트리거나, 특정 BS에 스스로를 제한시키는 공격을 시작하는 것을 방지한다.

본 발명에 따라, AWARE 인에이블된 디바이스의 위치는 변할 수 있다.

예를 들어, AWARE 인에이블된 디바이스는 무선 서비스 제공자의 방화벽(106)과 함께 위치될 수 있다. 이러한 디자인이 선택되면, 무선 네트워크(1) 중 임의의 다른 부분이 AWARE 인에이블된 디바이스(100)의 존재의 지식을 갖거나, AWARE 인에이블된 디바이스(100)와 상호작용한다고 가정될 필요가 없을 수 있다.

본 발명의 다른 실시예에서, 이런 함께 위치된 AWARE 인에이블된 디바이스(100)의 프로파일러(101)는 프로파일들을 구축하기 위해 패킷 도달들과 같은 IP 층 정보 및 IP/TCP 및 애플리케이션 헤더들로부터의 정보를 이용할 수 있다. 이는 AWARE 인에이블된 디바이스(100)가 패킷 내부를 볼 수 있다고 가정한다. IPsec(터널 모드)가 인에이블되면, AWARE 인에이블된 디바이스(100)는 패킷 헤더들과 페이로드들을 복호 및 검사(inspect)할 수 있도록, 도메인내의 IPsec 게이트웨이와 함께 배치될 수 있다.

"최소 침해(least-invasive)" 디자인에서, AWARE 인에이블된 디바이스(100) 는 PDSN(105)에 도달하기 전에 방화벽(106)을 통과한 IP 패킷들을 조사한다. 필요한 모든 정보들은 TCP 및 IP 및 페이로드에 포함된다. 프로파일을 구축하기 위해 프로파일러(101)에 의해 요구되는 정보는 상술한 헤더들 및 페이로드로부터 추출될 수 있다.

AWARE 인에이블된 디바이스가 IPsec 게이트웨이와 함께 배치되지 않으면, 게이트웨이와의 소위 보안 연관될 필요가 있고, 따라서 터널 모드에서 ESP-캡슐화된 패킷들을 복호화 및 처리할 수 있다.

AWARE 인에이블된 디바이스가 방화벽과 함께 배치되지 않으면, 인터페이스가 Checkpoint의 Firewall-1과 같은 대다수의 상업적인 방화벽들과 통신하도록 사용될 수 있어서, AWARE 인에이블된 디바이스는 방화벽들의 필터들 등을 구성할 수 있다.

본 발명의 대안적인 실시예에서, AWARE 인에이블된 디바이스(100)는 PDSN(105) 및 RNC(104) 사이에서 동작한다. 이러한 디자인에서, 디바이스는 패킷들이 다른 RNC들에 어떻게 분포되었는지에 대한 정보를 획득하기 위해 PDSN(105)와 상호작용할 수 있다.

또한, AWARE 인에이블된 디바이스는 PDSN과 RNC사이에서 동작할 때 보다 양호한 사용자-특정 상태 정보가 모아질 수 있다. 이는 예를 들어, FCH & SCH 셋업/해제, 시그널링 메시지들의 타임 스탬프(들), 및 모바일 전력 소비를 추정하는 기지국을 통한 전력 제어 정보와 같이 보다 세밀한 입자의 정보를 제공한다. AWARE 인에이블된 디바이스는 모바일이 하나의 RNC로부터 다른 RNC로 통과할 수 있기 때문에 이동 관련 정보를 또한 획득할 수 있다. 검출 발견적 교수법을 통한 이동 정 보의 영향은 분석할 가치가 있는데, 그 이유는 고도의 모바일 종단 사용자들은 네트워크의 부하에 상당히 기여할 수 있기 때문이다. 예를 들어, 고도의 모바일 사용자들에 대한 무선 DoS 공격의 시작은 보다 빈번한 페이징(paging)과 같이, 오버헤드 처리에 실질적으로 부가될 수 있는 부가적인 작업들을 필요로 한다. 또한, 모바일은 전송을 개시하기 전에 PDSN과의 PPP 연결을 개시할 수 있다. AWARE 인에이블된 디바이스는 또한 PPP 상태 이력을 획득하도록 PDSN에 질의할 수 있다.

AWARE 인에이블된 디바이스는 얼마만큼의 전력에서 모바일이 데이터를 전송해야 하는지를 나타내도록 모바일에 전송되는 전력 제어 메시지들 뿐만 아니라, 채널 설정 이벤트들에 대한 RNC를 또한 질의할 수 있다.

AWARE-호환 인터페이스들이 본 발명에 의해 또한 제공될 수 있다. 본 발명의 부가적인 실시예에서, AWARE-호환 인터페이스들은 AWARE 인에이블된 디바이스가 예를 들어, 무선 사용자/모바일 사용자(들)에 질의하게 하기 위해 제공될 수 있다. 이러한 인터페이스는 또한 AWARE 인에이블된 디바이스(또는 디바이스들)가 모바일/사용자-특정 정보를 획득하기 위해 무선 네트워크의 요소들과 안전한 방식으로 통신하게 할 수 있다.

본 발명의 방법들, AWARE 인에이블된 디바이스들, 인터페이스들 및 임의의 서브 구성요소들(예를 들어, 학습 데이터베이스, 프로파일러, 검출기 등)은 하드웨어, 소프트웨어, 펌웨어 또는 이 셋의 임의의 조합으로 실시될 수 있다. 예를 들어, 하나 이상의 프로그램가능한 또는 프로그램된 제어기들, 프로세서들, 또는 컴퓨터 판독가능 매체들은, 별도로 또는 조합하여 앞서 설명한 그리고 이하의 청구범 위에서 기술한 본 발명의 특징들 및 기능들을 실행하도록 동작할 수 있는 하나 이상의 명령들, 프로그램들 또는 코드(및 데이터)를 저장하도록 동작할 수 있다.

Claims

3G 무선 네트워크에 대한 공격을 검출하는 방법에 있어서,

무선 상태 정보를 획득하는 단계; 및

공격이 상기 네트워크의 요소(element)를 향하는 것인지를 결정하도록 획득된 정보와 프로파일을 비교하는 단계를 포함하는, 공격 검출 방법.
제1항에 있어서,

상기 비교가 공격을 나타낼 때, 상기 네트워크의 모바일 디바이스에 의도된 악의적인 트랙픽(malicious traffic)이 상기 디바이스에 도달하는 것을 방지하는 단계를 더 포함하는, 공격 검출 방법.
제1항에 있어서,

상기 상태 정보는 상기 네트워크의 하나 이상의 네트워크 요소들로부터 수집되는, 공격 검출 방법.
제1항에 있어서,

상기 상태 정보는 상기 네트워크의 지식으로부터 추정되는, 공격 검출 방법.
3G 무선 네트워크에 대한 공격을 검출하는 디바이스에 있어서,

무선 상태 정보를 획득하고, 및

공격이 상기 네트워크의 요소를 향하는 것인지를 결정하기 위해 획득된 정보와 프로파일을 비교하도록 동작하는, 공격 검출 디바이스.
제5항에 있어서,

상기 비교가 공격을 나타낼 때, 상기 네트워크의 모바일 디바이스에 의도된 악의적인 트랙픽이 상기 디바이스에 도달하는 것을 방지하도록 또한 동작하는, 공격 검출 디바이스.
제5항에 있어서,

상기 디바이스는 상기 네트워크의 하나 이상의 네트워크 요소들로부터 상기 상태 정보를 수집하도록 또한 동작하는, 공격 검출 디바이스.
제5항에 있어서,

상기 디바이스는 상기 네트워크의 지식으로부터 상기 상태 정보를 추정하도록 또한 구성되는, 공격 검출 디바이스.