KR20150084970A - 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 - Google Patents
텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 Download PDFInfo
- Publication number
- KR20150084970A KR20150084970A KR1020157015434A KR20157015434A KR20150084970A KR 20150084970 A KR20150084970 A KR 20150084970A KR 1020157015434 A KR1020157015434 A KR 1020157015434A KR 20157015434 A KR20157015434 A KR 20157015434A KR 20150084970 A KR20150084970 A KR 20150084970A
- Authority
- KR
- South Korea
- Prior art keywords
- network
- data
- type
- mobile
- occurrence
- Prior art date
Links
- 238000012545 processing Methods 0.000 claims abstract description 4
- 230000006399 behavior Effects 0.000 claims description 31
- 238000000034 method Methods 0.000 claims description 25
- 238000001514 detection method Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002269 spontaneous effect Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
텔레커뮤니케이션 네트워크에서 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 시스템이 제공된다. 모바일 장치에서의 멀웨어는 장치에서 악성 거동을 야기할 수 있고, 예를 들어, 악성 거동은 텔레커뮤니케이션 네트워크와 관해서 감염된 장치의 순차적인 부착과 탈착이 있다. 적어도 하나의 모바일 텔레커뮤니케이션 장치를 식별하고 그 모바일 텔레커뮤니케이션 장치로부터 신호들을 수신하고 신호들을 데이터 스트림으로 처리하는 텔레커뮤니케이션 네트워크가 제공된다. 데이터 스트림은 텔레커뮤니케이션 네트워크 내에서 제 1 타입의 이벤트를 야기하도록 배열되는 제 1 타입의 데이터를 포함한다. 네트워크는 제 1 타입의 데이터의 데이터 스트림에서의 발생을 모니터하고 발생이 텔레커뮤니케이션 네트워크에서 모바일 텔레커뮤니케이션 장치의 허용 가능한 거동을 나타내는 레벨을 초과할 때를 기록하도록 배열된다. 모바일 장치 거동을 검출하는 장치 역시 설명된다.
Description
본 발명은 텔레커뮤니케이션 네트워크(telecommunications network)에서 모바일(mobile) 텔레커뮤니케이션 장치의 거동을 검출하는 시스템에 관한 것이고, 텔레커뮤니케이션 네트워크 내에서의 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치에 관한 것이다.
텔레커뮤니케이션 네트워크는 라디오 텔레커뮤니케이션을 모바일 장치들의 사용자들에게 제공하고, 일반적으로 협정되고 표준화된 라디오 프로토콜들(radio protocols), 예를 들어, GSM, UTMS 및 LTE와 같은 것들은 당업자(skilled person)에 의하여 인식하게 될 것이다.
모바일 텔레커뮤니케이션 장치들이 보통이고, 모바일 폰들, 구체적으로는 스마트폰(smartphone)들, 태블릿 장치(tablet device)들 및 다른 소형 컴퓨터 장치들(handheld computer device), 소형 개인용 보조 장치(handheld personal assistant) 및 비히클(vehicle)들에 놓여있는 커뮤니케이션 장치(communication device)들을 포함한다. 모든 장치들은 이동하는 동안에 인터넷과 각각 다른 것들을 가지는 텔레커뮤니케이션들 사용자들에게 제공할 수 있다.
인터넷으로의 접속은 다운로드될 수 있는 멀웨어(malware)와 악성(malicious) 어플리케이션(application)들에 장치를 우연히 노출시키거나, 인터넷으로부터 모바일 장치로 장치를 노출시킨다. 일반적으로, 종종 장치들의 더 작은 크기와 메모리 용량때문에, 모바일 텔레커뮤니케이션 장치들은 인터넷 접근을 가지는 데스크 컴퓨터와 다른 더 큰 장치들에 이용 가능할만큼 엄격한 안전 장치들을 포함하고 있지 않다. 그런 것과 같이, 더 작은 모바일 텔레커뮤니케이션 장치들은 멀웨어와 악성 어플리케이션에 의한 감염과 공격에 취약하고, 이는 일반적으로 모바일 장치의 어플리케이션 프로세서를 감염시킬 것이다. 그러나, 또한 모바일 텔레커뮤니케이션 장치들이 일반적으로 라디오 텔레커뮤니케이션 네트워크에 직접적으로 접속하고 있기 때문에, 텔레커뮤니케이션 네트워크 그 자체는 모바일 장치에 있는 임의의 멀웨어 또는 악성 어플리케이션들을 공격하는 것에 취약할 수 있다.
악성 모바일 장치 거동을 검출하는 종래의 방법들은 모바일 핸드셋(mobile handset) 그 자체 내에 완전하게 적용된다. 예를 들어, "Taming Mr Hayes: Mitigating signaling based attacks on smartphones", IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2012), 2012, dsn, pp. 1-12, Collin Mulliner, Steffen Liebergeld, Matthias Lange, Jean-Pierre Seifert는 모바일 폰의 어플리케이션 프로세서 내의 악성 거동을 검출하는 방법을 설명하고, 솔루션(solution)의 일부로서 어플리케이션 프로세서의 가상 분할을 제안한다.
그러나, 이런 방법의 문제점은 모바일 장치가 멀웨어에 감염되면, 검출 방법 그 자체를 확실히 신뢰할 수 없을 것이다.
유사하게는, US 2006/0288407은 모바일 핸드셋 상에서 검출을 수행하는 방법을 설명하고, 따라서 이는 유사한 문제점을 야기한다.
그럼에도 불구하고, 다만 일단 감염된 장치가 정확하게 식별되면 적절한 동작이 이뤄질 수 있기 때문에, 모바일 장치 상에서의 멀웨어 또는 악성 소프트웨어의 존재를 정확하게 식별하는 것이 문제이다.
그 문제는 청구항에서 설명되는 바와 같이 본 발명에 따라 해결된다.
청구항들은 텔레커뮤니케이션 네트워크에서 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 시스템을 설명한다. 시스템은 적어도 하나의 모바일 텔레커뮤니케이션 장치를 식별하고, 모바일 텔레커뮤니케이션 장치로부터 신호들을 수신하고, 그 신호를 데이터 스트림들로 처리하는 텔레커뮤니케이션 네트워크를 포함한다. 데이터 스트림들은 텔레커뮤니케이션 네트워크 내에서 제 1 타입의 이벤트(event)를 야기하도록 배열되는 제 1 타입의 데이터를 포함한다. 네트워크는 제 1 타입의 데이터의 데이터 스트림에서 발생(occurrence)을 모니터(monitor)하도록 배열되고, 상기 발생이 텔레커뮤니케이션들 네트워크에서 모바일 텔레커뮤니케이션 장치의 허용 가능 거동을 나타내는 레벨(level)을 초과할 때를 기록하도록 배열된다.
청구된 시스템은 모바일 장치에서의 악성 거동을 식별하지만 텔레커뮤니케이션 네트워크 그 자체 내로부터 그것을 식별함으로써 문제를 해결한다. 이는 데이터 스트림 또는 데이터의 이동을 모니터함으로써 본 발명의 배열에 따라 이루어지고, 이는 네트워크와 모바일 사이의 간섭 때문에 네트워크에서 일어난다. 데이터는 특정 신호의 초과하는 발생에 대해 모니터된다.
모바일 장치에 위치된 멀웨어는 그 장치를 악성 거동에 가담하도록 야기할 수 있고, 이는 일반적으로 신속한 사용자 의도를 나타내기 위한 것이 아니고 네트워크 자원들을 다 써버리는 임의의 것이다. 일반적으로 그것은 네트워크 자원들을 모두 다 써버리지만, 장치에 대해 또는 사용자에 대해 이득이 되지 않는 임의의 것이다. 예를 들어, 모바일 장치의 사용자는 장치로 보기 위하여 비디오를 다운로드하기를 원할 수 있다. 이것은, 자원들을 모두 다 써버릴 것이나, 이런 경우에 자원들의 이용은 제한된 시간이고, 임의의 이벤트가 있고, 일단 비디오가 다운로드되면 사용자는 다른 비디오를 다운로드하거나 다른 업무를 하는 동안 비디오를 시청하는데 시간을 보낸다. 그러나 멀웨어는 연달아 비디오를 다운로드하도록 프로그램될 수 있고, 이것은 초과하는 네트워크 자원들을 이용한다.
대안적인 예로, 멀웨어는 연달아 모바일 장치를 네트워크에 부착하고 탈착하는 것을 수행하도록 프로그램될 수 있다. 이는 네트워크가 장치가 부착할 때마다 모바일 장치를 인증하려고 할 것이기 때문에 초과하는 네트워크 자원을 이용할 것이다. 그러나 연속되는 부착과 탈착이 사용자 또는 모바일 장치에 대해서 이득이 되지 않는다.
대안적인 예에서, 멀웨어는 핸드오버 결정에 대해서 네트워크에 의하여 이용되는 신호 레벨 보고들을 조정하도록 프로그램될 수 있다. 모바일 장치는 연달아 주변 셀들(cells)에서의 기지국(base station)으로부터 신호 레벨을 측정하고 네트워크로 그 신호 레벨을 보고한다. 네트워크는, 모바일 장치에 현재 서비스하고 있는 것이 아닌 다른 기지국으로 모바일 장치와의 통신을 핸드오버(handover)할지 여부를 판단하기 위해서 이 정보 및 다른 정보를 이용한다. 멀웨어는 매우 많은 핸드오버들이 일어나는 것과 같은 방법으로 측정 보고를 조정하도록 프로그램될 수 있고, 이는 초과하는 네트워크 자원들을 이용한다.
대안적인 예에서, 멀웨어는 연달아 착신호 전환(call forwarding)을 요청하도록 모바일이 멀웨어를 나르도록 프로그램될 수 있다. 착신호 전환에 대한 요청이 있을 때, 장치는 네트워크를 제 2 번호로의 착신 호출(forwarding incoming call)로 요청한다. 이런 연속적인 요청은 네트워크 자원들을 다 써버릴 것이다.
대안적인 예에서, 멀웨어는 장치와 네트워크 사이에서 베어러(bearer)들, 구체적으로는 새로운 베어러들의 설정(setting up)을 요청한다. 또한, 이것은 네트워크 자원들을 다 써버린다.
대안적인 예에서, 멀웨어는 멀웨어를 나르는 모바일 장치로 하여금 제안된 서비스들을 이용하지 않고 서비스에 대해 연속적으로 요청들을 하도록 한다. 요청들은 텔레커뮤니케이션 네트워크에 의하여 일반적으로 제공되는 임의의 종류의 서비스에 대한 것일 수 있으나, 서비스에 대한 연속적인 요청이 요청을 만드는 모바일 장치 또는 사용자에 유익한 제공된 서비스를 야기하지 않을 때 그것은 네트워크 자원들을 낭비한다.
모든 예에서, 데이터의 교환은 모바일 장치와 텔레커뮤니케이션 네트워크 사이에서뿐만 아니라 텔레커뮤니케이션 네트워크 그 자체 내에서도 일어난다. 당업자에 의하여 알려진 바와 같이, 모바일 장치가 신호를 텔레커뮤니케이션 네트워크로 전송할 때, 그것들은 기지국으로 수신되고, 텔레커뮤니케이션 네트워크 내부의 데이터 스트림으로 처리된다. 예를 들어, 부착 요구가 모바일 장치에 의하여 발생하면, 그 뒤에 부착 요구를 수신하는 텔레커뮤니케이션 네트워크는 모바일 장치를 인증하는 시도를 한다. 이것은 당업자에게 알려진 바와 같이, 예를 들어 UMTS 네트워크, 라디오 네트워크 제어기(radio network controller, RNC), 모바일 스위칭 센터(mobile switching centre, MSC), 홈 로케이션 레지스터(home location register, HLR) 및 인증 센터(authentication centre, AuC) 사이에서 보내지는 데이터 스트림들 또는 신호들을 야기한다. 당업자에 의하여 알려진 바와 같이, 설명된 다른 악성 거동들은 장치와 네트워크 사이에서뿐만 아니라 네트워크 그 자체 내에서 전송되는 시그널링(signaling) 또는 데이터 스트림들을 야기할 것이다.
그러므로 네트워크는 제 1 타입, 일반적으로 신호들의 보통의 처리에 대해서 네트워크 장치들 사이에서의 네트워크에서 몇몇의 상호거동을 나타내는 미리 정해진 타입의 데이터의 네트워크에서의 데이트 스트림에서 발생을 모니터함으로써 악성 거동을 검출한다. 또한, 네트워크는, 텔레커뮤니케이션 네트워크에서 모바일 텔레커뮤니케이션 장치의 허용 가능 거동을 나타내는 레벨을 발생이 초과하는 때를 기록한다. 다시 말하면, 네트워크는 네트워크 그 자체 내에 있는 다양한 타입의 데이터 스트림의 발생을 모니터하고 검출하고 발생이 너무 높은 때를 기록함으로써 악성 거동을 검출한다.
예를 들어, 장치가 연속적으로 부착 및 탈착하려고 시도하는 악성 거동을 검출하기 위하여, 네트워크는 모바일 스위칭 센터(MSC)가 인증 센터(AuC)에서 장치의 인증을 요청하도록 야기되는 횟수를 셀 수 있거나, 인증 센터(AuC) 신호들이 응답을 다시 보내는 횟수를 셀 수 있다.
구체적인 유리한 구현예에서, 데이터 스트림의 검출은 코어 네트워크(core network), 구체적으로 네트워크가 LTE 네트워크면 이동성 관리 엔티티(mobility management entity, MME)에서, 네트워크가 UMTS 또는 GSM 네트워크이면 MSC에서, 또는 네트워크가 GPRS 네트워크면 서빙 게이트웨이 서포트 노드(serving gateway support node, SGSN)에서 수행된다. 이런 구현예에서, 특정 또는 미리 정해진 데이터 스트림의 발생이 각각의 개별적인 네트워크 내에서 중앙의 로케이션에서 식별될 수 있다. 이것은 텔레커뮤니케이션 네트워크에 대해 멀웨어에 의하여 감염될 수 있는 모바일 장치들을 식별하는데 걸리는 시간을 줄일 수 있는 장점을 가진다.
그러나, 특정 데이터 스트림의 발생은 검출될 수 있고, 또한 네트워크에서 되돌아간다. 이런 예에서, 초과하는 부착 요구들은 모바일 장치마다 인증 시도들을 검출함으로써 AuC에서 검출될 수 있다. 그 대신에, 초과하는 부착 요구들은 HLR에서 네트워크가 특정 모바일 장치와 관련된 데이터를 요구하는 횟수를 카운트(count)함으로써 검출될 수 있다.
특정 구현예에서, 검출은 이노드비(eNodeB) 또는 기지국에서 수행될 수 있다. 이것은 악성 거동의 검출이 네트워크 자원들을 더 적게 이용하는 장점을 가진다. 예를 들어, 초과하는 많은 부착과 탈착은 수신 기지국에서 검출될 수 있다. 그러나, 예를 들어 기지국에서 검출을 수행하는 것의 특정 단점은 모바일 장치로부터의 신호들이 다른 기지국들을 통하여 네트워크에서 도착할 때, 일 예로서 장치가 기지국 셀들을 가로질러 빠르게 물리적으로 이동하고 있을 때, 일어난다. 이런 경우에, 특정 기지국 또는 이노드비는 어떤 것도 장치로부터 필수적으로 전체 시그널링(signaling)을 수신할 필요가 없을 것이고, 그러므로 어떤 하나의 기지국도 분명하게 검출을 수행할 수 있지 않을 것이다.
특정 유익한 구현예에서, 네트워크는 발생의 비율이 미리 정해진 시간 비율을 초과할 때 특정 데이터 신호의 발생을 카운트한다. 예를 들어, 네크워크가 AuC로 인증 요청을 보내는 것을 모니터하면, 인증 요청들의 비가 미리 정해진 비율을 초과하는 동안 네트워크는 특정 모바일에 대한 인증 요청들의 전송비가 미리 정해진 한계점을 초과하는 때를 검출하도록 인증이 요청되는 횟수를 카운트하도록 배열된다.
다시 말하면, 네트워크는 특정 미리 정해진 신호의 주파수 또는 데이터 스트림에서의 데이터 발생이 너무 높아지는 때를 모니터하고 검출한다. 그 뒤에 네트워크는 비율이 미리 정해진 시간 비율 상에 있는 동안 발생의 수를 카운트하도록 진행된다.
특정 구현예는 검출된 발생들의 수가 그 자체로 미리 정해진 한계값을 초과하는 때를 기록하도록 네트워크가 더 배열된다면 더 유리하다. 예에서, 이것은 인증 요청들의 수가 특정 수를 초과할 때를 네트워크는 미리 정해진 시간 비율보다 더 큰 비율에서 수신된 각각의 인증 요청들로 기록한다.
더 이로운 구현예에서, 네트워크는 연속적인 발생들 사이에서의 경과된 시간을 측정함으로써, 신호 또는 데이터 이벤트의 발생, 예를 들어 AuC로 전송된 인증에 대한 요구의 비율이 미리 정해진 시간 비율에서 또는 그 비율의 위에서 일어나는지 아닌지를 검출할 수 있다. 이 구현예에서, 네트워크는 경과된 시간이 미리 정해진 시간 간격보다 작을 때 두 개의 연속된 AuC로의 인증 요청들 사이에서 경과된 시간을 검출하고 계산하도록 배열된다. 데이터 발생들은 각각의 미리 정해진 시간 간격 내에서 일어 날 때 미리 정해진 비율을 초과하는 비율에서 일어나는 것으로 간주된다.
특정 이로운 예에서, 네트워크는 카운터(C)를 포함하고, 네트워크 내에서 일어나는 검출 가능한 이벤트(X), 예를 들어 부착의 제 1 실례, 또는 AuC로의 인증에 대한 요청을 전송 또는 핸드오버가 일어나는 것을 나타내는 MME에서의 시그널링의 도달을 검출하도록 배열되고, 카운터를 시작한다.
그 뒤에 카운터는:
C = 1이 된다.
동시에, 네트워크는 타이머를 시작한다. 카운터는 저장되고 모바일 장치와 관련된다.
네트워크에서 X의 다음 검출이 미리 정해진 시간 간격 내에서 일어나면, 카운터는:
C = 2가 된다.
구현예에서, 타이머는 X의 제 1 검출로부터 시간(t)을 측정하고, 이 경우에서 카운터는 t<△인 시간에서 다음 검출이 일어나면 1씩 증가되고, 여기서 은 미리 정해진 시간 간격이다. 대안적인 구현예에서, 이벤트 X의 각각의 검출에서 시간이 기록되고, 제 1 이벤트의 시간(ST)은 저장되고 모바일 장치에 관련된다. 타이머(T)는 ST에서 시작되고, 카운터는 다음으로 검출된 이벤트(X)의 시간이 t이고, 아래와 같으면 증가된다:
t < ST + △
이 구현예 내에서, 그 뒤에 ST의 값이 제 2 이벤트(X)가 검출되는 새로운 시간 (NT)으로 교체된다.
양 쪽 모두의 구현예에서, 카운터는 X의 다음의 검출이 동일한 시간 간격 내에서 일어나면 다시 증가된다. 이런 경우에, 카운터는:
C = 3으로 기록할 것이다.
카운터가 미리 정해진 한계값, Cn에 도달하면, 카운터는:
C = Cn이 된다.
텔레커뮤니케이션 네트워크는 사실을 기록한다. 이것은 플래그(flag)에 의하여 이루어질 수 있으나, 당업자는 대안적인 기록 방법이 있다는 것을 안다.
대안적인 구현예는, 네트워크가 카운터가 미리 정한 한계값을 초과하는지 그렇지 않은지를 기록한다.
X가 다시 미리 정해진 시간 간격 내에서 다시 검출되지 않으면, 카운터는 0으로 되돌아간다.
대안적인 구현예에서, 네트워크는 특정 모바일 장치의 탈착의 수를 모니터하고 카운트할 수 있다.
핸드오버가 검출되는 구현예에서, 다음의 구현예는 특히 유리하다. 네트워크는 모바일 장치의 트래킹 영역(tracking area)의 기록을 유지하고, 또한 트래킹 영역이 바뀔 때 인디케이션(indication)을 유지한다. 이것은 네트워크가 장치가 이동하는 중일 때를 알도록 한다. 네트워크가 핸드오버들의 초과 수를 기록하면, 트래킹 영역 정보는 장치가 실제로 물리적인 빠른 이동할 때 초과하는 핸드오버를 디스카운트(discount)하는데 이용될 수 있다.
추가 구현예에서, 네트워크는 이웃하는 기지국들 사이에서 장치가 주기적으로 스위칭할 때를 기록한다. 이것은 두 개의 셀들 사이에서 보더(border) 상에 실제로 물리적으로 위치해있는 모바일 장치의 초과하는 핸드오버를 피하기 위하여 핸드오버 알고리즘들을 존재하도록 함으로써, 보통 그런 스위치들이 억제됨에 따른 진짜 악성 파이드(genuine mala fide) 거동의 인디케이션(indication)이다.
대안적으로, 구체적으로 유리한 구현예에서, 네트워크는 불가능한 서비스 요청 조합을 모니터한다. 예를 들어, 사용자가 동시에 다섯 개의 영화 다운로드의 스트리밍을 요청할 것은 일어나기 어렵다. 또한, 사용자가 실제로 전화를 거는 동안 사용자의 보이스 메일 듣기를 시도하는 것도 일어나기 어렵다. 일어나기 어려운 거동의 예들은 네트워크에 의하여 결정될 수 있고 모니터될 수 있다.
악성 거동의 검출에 이어서, 네트워크는 몇몇의 동작들을 수행할 수 있다. 이 동작들은: 모바일 장치를 탈착하는 것; 네트워크로의 접근을 영구히 차단하도록 장치로 신호를 송신하는 것; 특정 시간 기간 내에서 다른 연결 요청을 생성하는 것으로부터 모바일 장치를 중단하도록 백 오프 타이머(back off timer)를 시작하는 것; 장치의 소유자에게 경고 메시지를 송신하는 것을 포함한다. 마지막 예에서, 경고하는 것은 예를 들어 sms를 통하여 모바일 장치 그 자체로 전송될 수 있으나, 장치가 멀웨어에 의하여 감염되어 신뢰할 수 없으면 네트워크는 사용자에 의하여 보여지고 들려질 장치 그 자체로 전송된 임의의 경고 메시지를 사실일 것으로 추정하지 않는다. 그러므로, 경고하는 것은 사용자를 위하여 저장된 다른 데이터를 신뢰하는 다른 채널을 통하여, 예를 들어 알려진 이메일 주소로의 이메일에 의하여 사용자에게 전송될 수 있다.
더 유익한 구현예에서, 네트워크는 각각의 장치들의 거동을 추적하고, 그 결과를 종합한다. 이런 방법으로, 멀웨어 거동 전체 네트워크를 통하여 추적될 수 있고 모니터될 수 있다.
더 유익한 구현예에서, 네트워크는 데이터 스트림들에서 제 2 타입의 데이터의 발생에 대해 모니터한다. 일반적으로, 네트워크 주위를 지나는 데이터 스트림들은 하나 이상의 타입의 데이터를 포함하고 추가로 텔레커뮤니케이션 네트워크 내에서 제 1 타입의 이벤트를 야기하도록 배열된 제 1 타입의 데이터를 포함하고, 텔레커뮤니케이션들의 네트워크로 제 2 타입의 이벤트를 야기하도록 배열된 제 2 타입의 데이터를 포함할 수 있다. 구체적인 유익한 구현예에서, 네트워크는 제 1 및 제 2 타입의 양 쪽 모두의 데이터의 발생에 대해 모니터링함으로써 모바일 장치의 악성 거동에 대해 모니터할 수 있고, 각각의 이벤트가 몇몇의 미리 정해진 한계값을 초과할 때 결정한다. 이 경우에, 각각의 이벤트는 개별적으로 미리 정해진 한계값을 초과할 수 있고, 미리 정해진 한계값은 다르거나 같을 수 있고, 또는 양 쪽 모두의 발생들이 종합될 수 있고, 단일의 미리 정해진 한계값에 서로 비교될 수 있다. 일 예에서, 네트워크는 이미 설명된 바와 같이 장치 부착을 나타내는 네트워크에서의 데이터 발생들에 대해 모니터할 수 있으나, 추가적으로 장치 탈착을 나타내는 네트워크에서의 데이터 발생들에 대해 모니터할 수 있고, 두 발생들이 독립적인 미리 정해진 한계값들을 초과할 때에만, 네트워크는 악성 거동이 일어나는 것을 기록한다. 효과적으로 장치 거동을 두 번 카운팅(counting)함으로써 엑스트라(extra) 네트워크 자원들을 이용함에도 불구하고 더블 측정은 네트워크로 에러와 같은 네트워크 내에서의 관계없는 다른 요인들 때문에 악성이 계속되는 부착의 돌발적인 기록들에 대한 자동안전장치(failsafe)를 제공한다.
대안적인 구현예에서, 네트워크는 핸드오버를 나타내는 제 1 타입의 데이터의 발생을 카운트할 수 있고, 또한 트래킹 영역의 변화를 나타내는 제 2 타입의 데이터의 발생을 카운트할 수 있다.
게다가, 본 발명의 구현예들은 도면들에서 설명된다.
도 1은 본 발명이 유익하게 이용될 수 있는 텔레커뮤니케이션 네트워크를 도시한다.
도 2는 본 발명의 구현예의 플로우 도면을 도시한다.
도 3은 본 발명의 구현예의 플로우 도면을 도시한다.
도 1은 본 발명이 이용될 수 있는 텔레커뮤니케이션 네트워크를 도시한다. 당업자에 의하여 알려진 바와 같이, 텔레커뮤니케이션 시스템을 정의하는 다양한 텔레커뮤니케이션 기준들에 의하여 설명된 다양한 기술들이 있다. 일반적으로, 당업자가 시스템이 작동하는 방식에서의 작은 변동들 또는 차이점들이 있을 수 있다는 것을 알고 인식함에도 불구하고 그것들은 다음의 레이아웃(layout)을 포함한다.
텔레커뮤니케이션들 네트워크는 전송기(101)를 포함한다. 이것은 보통 기지국, 셀 타워(cell tower), 또는 LTE 네트워크에서 이노드비(eNodeB)라 한다. 전송기는 기지국 제어기(102)에 의하고 제어되고, 예를 들어 UMTS 네트워크에서의 이는 라디오 네트워크 제어기(Radio Network Controller, 102)일 수 있고, 예를 들어 LTE 네트워크에서 기지국 제어기(102)의 제어 기능들이 이노드비에 포함될 수 있다. 소형의 모바일 장치들로부터의 라디오 신호들은 전송기(101)에서 수신되고, 신호들로 처리되고, 코어 네트워크(core network)로 전송된다.
GSM 또는 2G 네트워크의 경우에, 신호들이 콜(call)들을 전송하는 모바일 스위칭 센터(Mobile Switching Centre, MSC, 103)로 이동된다. 모바일로부터 첫째로 신호를 수신하는 것에 따라, 그것은 네트워크에 가입된 모바일 장치로부터 신호가 수신되는지 아닌지를 인증하기 위하여 모바일 가입자들 상에 데이터를 홀드하는 홈 로케이션 레지스터(HLR, 104)에 물어볼 것이다. 모바일 장치를 인증하기 위하여, 그것은 인증 센터(AuC, 105)에 있는 키들(keys)을 이용할 것이다.
UTMS 또는 3G 네트워크의 경우에, 식별되고 인증된 신호들은 게이트웨이 서포트 노드(Gateway Support Node, 106)를 통해서 통과될 것이다.
LTE 또는 4G 네트워크의 경우에, 신호들은 이동성 관리 엔티티(mobility management entity, MME, 103)로 이동되고, 모바일은 홈 가입자 서버(Home Subscriber Server, HSS, 104/105)에서 확인되고 인증된다. 게다가, 콜들은 그 뒤에 서비스 게이트웨이(106)를 통하여 인터넷일 수 있는 네트워크(107)에 더 전송된다.
도 2는 텔레커뮤니케이션 네트워크로의 모바일 장치의 초과하는 부착을 검출하는데 적절한 본 발명의 구현예의 플로우 도면을 도시한다. 유리한 구현예에서, 장치 부착(201)은 기지국을 통과하여 시간(t1)에 네트워크에 부착하고, 네트워크는 부착을 등록하고, 모바일 장치를 확인하고, 인증 처리(procedure)들을 시작한다. 부착 요청의 보통의 처리와 동일하게, 네트워크는 다음의 단계들을 수행한다. 카운터(NA), 시작 시간(STA) 및 타이머는 개시된다(202). 일반적으로, 카운터는 제로(0)로 설정될 것이고, 유리한 구현예에서 타이머는 네트워크에 의하여 기록된 시간(t1)으로 설정된다. 카운터 값과 시작 시간은 향후의 참조 번호에 대해서 저장된다(203). 부착이 동일한 장치에 대해 기록되는 다음 시간은, 시간이 t2이고 경과 시간이 T일때:
t2 - STA와 동일하다.
미리 정해진 시간 간격 △A 와 비교된다(204).
T = △A, 또는 T > △A이면,
카운터(NA)와 타이머는 클리어(clear)된다(202).
T < △A이면,
카운터(NA)는 1의 값씩 증가되고, STA의 값은 시간(t2)에 의하여 대체된다(205). NA와 STA는 다시 저장된다(208). 이 경우에, 카운터 값은 미리 정해진 한계값(LimitA)과 더 비교된다(206).
만일: NA = LimitA이면,
경고는 설정된다. 그렇지 않으면, 본 방법은 단계(204)로 되돌아간다.
당업자는 여전히 작동할 구현예로 만들어질 수 있는 작은 변경들이 있다는 것을 이해한다. 예를 들어, 카운터는 T가 ?보다 작거나 같으면 증가될 수 있고, T가 ?보다 크면 클리어만 될 수 있다. 또한 예를 들어, NA>LimitA이면 경고 플래그가 설정될 수 있는 경우에 LimitA는 초과되어야만 하는 값일 수 있다. 다른 유리한 구현예에서, 카운터는 카운터의 값이 0보다 크면 단계(202)에서 카운터를 클리어(clear)하는 대신에 감소될 수 있다.
당업자는 LimitA에 대한 적절한 값들과 미리 정해진 시간 간격 ?는 네트워크와 고객층(customer base)에 따라 변할 것이다. 그러나, 적절한 값들은 △A = 500ms이고 LimitA = 10이다.
설명된 방법은 네트워크가 감염된 모바일로부터 초과하는 부착 요청의 형식으로 악성 거동을 검출하도록 하고, 유리한 구현예에서, 적절하게 MSC, 서빙 게이트웨이 또는 네트워크의 MME에서 수행될 것이다.
도 3은 텔레커뮤니케이션들 네트워크에서 모바일 장치의 초과하는 핸드오버들을 검출하기에 적절한 본 발명의 구현예의 플로우 도면을 도시하고, 특정 유리한 구현예에서 네트워크의 MME에서 수행될 것이고, 이는 S1-핸드오버라고 하는 핸드오버가 일어나기 전에, 또는 X2-핸드오버라도 하는 핸드오버가 일어난 후에 알려진다.
방법을 수행하기 위하여, MME는 그것의 영역에서 모바일 장치들의 그룹에 대한 다음 단계를 수행한다. 모니터되는 장치들의 그룹은 그것의 영역에서 모든 모바일 장치들을 포함하는 그룹일 수 있으나, 더 몇몇의 다른 정의된 그룹 또는 그 그룹의 서브-그룹일 수 있다. 예를 들어, 모니터된 모바일들의 그룹은 모든 새로운 모바일들, 또는 모바일의 이전 활동, 예를 들어 모바일들이 빈번한 다운로드 요청들을 생성한다면 모바일들의 감염 위험이 있을지도 모르는 모바일, 또는 자주 모바일을 바꾸는 특정 사용자들에 등록되어 있는 모바일들을 포함한다.
이 유리한 구현예에서, 장비는 기지국을 통하여 시간(t1)에 네트워크에 부착하고(301), 네트워크는 부착을 기록하고, 모바일 장치를 확인하고, 인증 처리를 시작한다. 부착 요청의 보통의 처리와 동일하게, 네트워크는 다음의 단계들을 수행한다. 카운터(NH), 시작 시간(STH) 및 타이머는 개시된다(302). 일반적으로, 카운터는 제로(0)로 설정될 것이고, 유리한 구현예에서 타이머는 네트워크에 의하여 기록된 시간(t1)을 설정한다. 카운터 값과 시작 시간은 향후의 레퍼런스(reference)로 저장된다(303). 다음 시간, 부착이 동일한 방치에 의하여 기록되는 다음 시간은, 시간이 t2이고 경과 시간이 T일 때:
t2 - STH와 동일하고,
미리 정해진 시간 간격 △H에 비교된다(304).
T = △H 또는 T > △H이면,
카운터(NH)와 타이머는 클리어된다(305).
T < △H이면,
카운터(NH)는 1의 값씩 증가되고, STH의 값은 시간(t2)으로 대체된다(305). NH와 STH는 다시 저장된다(308). 이 경우에는, 카운터 값은 더 미리 정해진 한계값(LimitH)과 비교된다(306).
NH = LimitH이면,
경고는 설정된다. 그렇지 않으면, 본 방법은 단계(304)로 되돌아간다.
당업자는 아직 작동할 구현예로 만들어 질 수 있는 작은 변경들이 있다는 것을 이해할 것이다. 예를 들어, 카운터는 T가 △A보다 작거나 같으면 카운터는 증가될 수 있고, T가 △A보다 크면 또한 클리어된다. 또한 예를 들어, LimitH는 초과되야만 하는 값일 수 있고, 이런 경우에 경고 플래그는 NH>LimitH이면 설정될 것이다.
본 발명의 구체적인 이점들은 텔레커뮤니케이션 네트워크는 모바일 장치들에서 악성 활동에 대해 모니터할 수 있고, 특정 장치가 멀웨어에 의해서 잠재적으로 감염된 때를 확인할 수 있다. 본 발명의 이용이 확장되지 않을 네트워크 자원들을 요구함에도 불구하고, 그것은 식별되지 않은 것으로 남아 있다면 매우 많은 네트워크를 다 써버릴 수 있는 장치들의 확인을 용이하게 가능하게 한다.
당업자가 이해할 것에 따라, LimitH에 대한 적절한 값들과 미리 정해진 시간 간격 ?은 네트워크와 고객층에 따라 변할 것이다. 그러나, 적절한 값들은 △H = 2s와 LimitH = 20이다.
Claims (15)
- 텔레커뮤니케이션 네트워크(telecommunication network)에서 모바일(mobile) 텔레커뮤니케이션 장치의 거동(behaviour)을 검출하는 시스템으로서,
적어도 하나의 모바일 텔레커뮤니케이션 장치를 식별하고, 모바일 텔레커뮤니케이션 장치로부터의 신호를 수신하고, 신호를 데이터 스트림(data stream)들로 처리하는 텔레커뮤니케이션 네트워크를 포함하고,
데이터 스트림은 텔레커뮤니케이션 네트워크 내에서 제 1 타입의 이벤트(event)를 야기하도록 배열되는 제 1 타입의 데이터를 포함하고,
상기 네트워크는 제 1 타입의 데이터의 데이터 스트림에서의 발생(occurrence)을 모니터(monitor)하도록 배열되고, 상기 발생이 텔레커뮤니케이션 네트워크에서 모바일 텔레커뮤니케이션 장치의 허용 가능 거동(acceptable behaviour)을 나타내는 레벨(lavel)을 초과하는 때를 기록하도록(register) 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
텔레커뮤니케이션 네트워크는 상기 발생이 미리 정해진 시간 비율(temporal rate)을 초과할 때 데이터 스트림들에서 제 1 타입의 데이터가 검출되는 횟수를 카운트(count)함으로써 제 1 타입의 데이터의 발생을 모니터하도록 배열되고, 텔레커뮤니케이션 네트워크는 검출된 발생들의 수가 미리 정해진 한계값(threshold)을 초과하는 때를 기록하도록 배열되는 것을 특징으로 하는 시스템.
- 제 2 항에 있어서,
텔레커뮤니케이션 네트워크는 검출된 발생과 이전에 검출된 발생 사이의 시간이 미리 정해진 시간 간격 내에 있을 때, 데이터 스트림들에서 제 1 타입의 데이터의 발생을 카운트하도록 배열되는 것을 특징으로 하는 시스템.
- 제 3 항에 있어서,
텔레커뮤니케이션 네트워크는 카운터(counter)와 타이머(timer)를 더 포함하고,
텔레커뮤니케이션 네트워크는 제 1 타입의 데이터의 발생의 검출 시 카운터를 시작하고 타이머도 시작하도록 배열되고,
텔레커뮤니케이션 네트워크는 타이머에 의하여 측정되는 미리 정해진 시간 간격(T) 내에서 제 1 타입의 데이터의 다음 검출(following detection)이 일어나면 일 유닛(one unit)만큼 카운터를 증가시키도록 더 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
텔레커뮤니케이션 네트워크는 제 1 타입의 데이터의 데이터 스트림의 발생이 미리 정해진 비율을 초과하는 때를 검출하는 것을 특징으로 하는 시스템.
- 제 5 항에 있어서,
텔레커뮤니케이션 네트워크는 카운터와 타이머를 더 포함하고,
텔레커뮤니케이션 네트워크는 제 1 타입의 데이터의 발생의 검출 시 카운터를 시작하고, 타이머도 시작하도록 배열되고,
텔레커뮤니케이션 네트워크는 타이머에 의하여 측정되는 시간에 대한 제 1 타입의 데이터의 발생의 카운트된 검출(counted detection)의 비율로서 상기 비율을 계산하도록 더 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
텔레커뮤니케이션 네트워크는 상기 발생이 플래그(flag)의 설정 및/또는 백 오프 타이머(back off timer)의 시작에 의해 허용 가능 거동을 나타내는 레벨을 초과하는 때를 기록하도록 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
제 1 타입의 데이터는 모바일 텔레커뮤니케이션 장치의 텔레커뮤니케이션 네트워크로의 부착(attachment)을 나타내는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
제 1 타입의 데이터는 모바일 텔레커뮤니케이션 장치에 의한 베어러(bearer)의 설정(setting up)을 나타내는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
제 1 신호 타입의 데이터는 모바일 텔레커뮤니케이션 장치의 핸드오버(handover)를 나타내는 것을 특징으로 하는 시스템.
- 제 10 항에 있어서,
텔레커뮤니케이션 네트워크는 모바일 텔레커뮤니케이션 장치의 트래킹 영역(tracking area)을 모니터하고, 트래킹 영역을 모니터하는 것이 모바일 텔레커뮤니케이션 장치가 단일 트래킹 영역 내에 있는 것을 보여줄 때에만 핸드오버를 나타내는 데이터의 발생을 기록하도록 더 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
텔레커뮤니케이션 네트워크는 텔레커뮤니케이션 네트워크의 MME 또는 SGSN 또는 MSC에서 제 1 타입의 데이터의 데이터 스트림에서의 발생을 모니터하도록 배열되는 것을 특징으로 하는 시스템.
- 제 1 항에 있어서,
텔레커뮤니케이션 네트워크는,
- 적어도 하나의 추가의 모바일 텔레커뮤니케이션 장치를 식별하고,
- 적어도 하나의 추가의 장치로부터 신호들을 수신하고, 이 신호들을 추가의 데이터 스트림들로 처리하고,
- 제 1 타입의 데이터의 추가의 데이터 스트림들에서의 발생을 모니터하고,
- 상기 발생이 텔레커뮤니케이션 네트워크 내에서 모바일 텔레커뮤니케이션 장치의 허용 가능 거동을 나타내는 레벨을 초과하는 때를 기록하도록 더 배열되고,
- 텔레커뮤니케이션 네트워크는 모바일 텔레커뮤니케이션 장치와 적어도 하나의 추가의 모바일 텔레커뮤니케이션 장치의 기록된 데이터를 종합하도록(aggregate) 더 배열되는 것을 특징으로 하는 시스템.
- 텔레커뮤니케이션 네트워크로 신호를 전송하도록 배열된 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치로서,
상기 신호는 텔레커뮤니케이션 네트워크 내에서 데이터 스트림으로 처리되고, 데이터 스트림은 텔레커뮤니케이션 네트워크 내에서 제 1 타입의 이벤트를 야기하도록 배열된 제 1 타입의 데이터를 포함하고,
모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치는:
텔레커뮤니케이션 네트워크에 결합되도록 배열되고, 데이터 스트림을 수신하도록 배열되며,
제 1 타입의 데이터의 데이터 스트림에서의 발생을 모니터하도록 배열되고,
상기 발생이 텔레커뮤니케이션 네트워크 내에서 모바일 텔레커뮤니케이션 장치의 허용 가능 거동을 나타내는 레벨을 초과하는 때를 기록하도록 배열되는 것을 특징으로 하는 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치.
- 제 14 항에 있어서,
모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치는 MME, SGSN 또는 MSC 내에서 작동하도록 더 배열되는 것을 특징으로 하는 모바일 텔레커뮤니케이션 장치의 거동을 검출하는 장치.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12193884 | 2012-11-22 | ||
| EP12193884.9 | 2012-11-22 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177014899A Division KR20170064561A (ko) | 2012-11-22 | 2013-11-22 | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150084970A true KR20150084970A (ko) | 2015-07-22 |
Family
ID=47221228
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177014899A KR20170064561A (ko) | 2012-11-22 | 2013-11-22 | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
| KR1020157015434A KR20150084970A (ko) | 2012-11-22 | 2013-11-22 | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177014899A KR20170064561A (ko) | 2012-11-22 | 2013-11-22 | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10924500B2 (ko) |
| EP (2) | EP2923511B1 (ko) |
| JP (2) | JP6636329B2 (ko) |
| KR (2) | KR20170064561A (ko) |
| CN (1) | CN104982059B (ko) |
| ES (1) | ES2874449T3 (ko) |
| WO (1) | WO2014079960A1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10303873B2 (en) * | 2015-03-18 | 2019-05-28 | Nippon Telegraph And Telephone Corporation | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5953652A (en) * | 1997-01-24 | 1999-09-14 | At&T Wireless Services Inc. | Detection of fraudulently registered mobile phones |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20060288407A1 (en) | 2002-10-07 | 2006-12-21 | Mats Naslund | Security and privacy enhancements for security devices |
| JP3928866B2 (ja) | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
| US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US7440406B2 (en) * | 2004-12-29 | 2008-10-21 | Korea University Industry & Academy Cooperation Foundation | Apparatus for displaying network status |
| JP4170301B2 (ja) * | 2005-02-23 | 2008-10-22 | 日本電信電話株式会社 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
| US20060230450A1 (en) * | 2005-03-31 | 2006-10-12 | Tian Bu | Methods and devices for defending a 3G wireless network against a signaling attack |
| JP2006295240A (ja) | 2005-04-05 | 2006-10-26 | Mitsubishi Electric Corp | 通信装置及びアドレス変換装置並びにプログラム |
| JP2006350561A (ja) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| KR100628329B1 (ko) | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
| US8965334B2 (en) | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| US8448242B2 (en) * | 2006-02-28 | 2013-05-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based upon anomaly detection |
| EP2002634B1 (en) | 2006-03-27 | 2014-07-02 | Telecom Italia S.p.A. | System for enforcing security policies on mobile communications devices |
| US8001601B2 (en) * | 2006-06-02 | 2011-08-16 | At&T Intellectual Property Ii, L.P. | Method and apparatus for large-scale automated distributed denial of service attack detection |
| EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
| US8755770B2 (en) * | 2006-08-01 | 2014-06-17 | L-3 Communications Corporation | Methods for identifying wireless devices connected to potentially threatening devices |
| JP2009283990A (ja) * | 2008-05-19 | 2009-12-03 | Nippon Telegr & Teleph Corp <Ntt> | 呼制御装置および呼制御方法 |
| US20090323965A1 (en) * | 2008-06-27 | 2009-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and Methods for Monitoring Performance of a Communication System |
| WO2010091186A2 (en) * | 2009-02-04 | 2010-08-12 | Breach Security, Inc. | Method and system for providing remote protection of web servers |
| KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| EP2514158A1 (en) | 2009-12-15 | 2012-10-24 | Nokia Siemens Networks Oy | Method, apparatus and related computer program product for detecting changes to a network connection |
| US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
| US20110230192A1 (en) * | 2010-03-18 | 2011-09-22 | Kundan Tiwari | Apparatuses and methods for controlling sequenced message transfer during signal radio voice call continuity (srvcc) |
| EP2403186B1 (en) * | 2010-07-02 | 2017-12-27 | Vodafone IP Licensing limited | Telecommunication networks |
| US8711791B2 (en) * | 2010-12-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Denial of service (DoS) attack prevention through random access channel resource reallocation |
| US8955090B2 (en) * | 2011-01-10 | 2015-02-10 | Alcatel Lucent | Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core |
| US9894082B2 (en) * | 2011-01-18 | 2018-02-13 | Nokia Technologies Oy | Method, apparatus, and computer program product for managing unwanted traffic in a wireless network |
| US8387141B1 (en) * | 2011-09-27 | 2013-02-26 | Green Head LLC | Smartphone security system |
| US20130304677A1 (en) * | 2012-05-14 | 2013-11-14 | Qualcomm Incorporated | Architecture for Client-Cloud Behavior Analyzer |
| US8868030B2 (en) * | 2012-07-30 | 2014-10-21 | General Motors Llc | Automated vehicle intrusion device |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| JP2016158157A (ja) * | 2015-02-25 | 2016-09-01 | 富士通株式会社 | 呼制御装置、呼制御方法、及び、呼制御システム |
| JP6877278B2 (ja) * | 2017-07-19 | 2021-05-26 | アラクサラネットワークス株式会社 | 中継装置 |
-
2013
- 2013-11-22 EP EP13795228.9A patent/EP2923511B1/en active Active
- 2013-11-22 CN CN201380061241.0A patent/CN104982059B/zh active Active
- 2013-11-22 EP EP18205324.9A patent/EP3474589A1/en not_active Withdrawn
- 2013-11-22 ES ES13795228T patent/ES2874449T3/es active Active
- 2013-11-22 JP JP2015543436A patent/JP6636329B2/ja active Active
- 2013-11-22 KR KR1020177014899A patent/KR20170064561A/ko active Search and Examination
- 2013-11-22 WO PCT/EP2013/074440 patent/WO2014079960A1/en active Application Filing
- 2013-11-22 US US14/646,554 patent/US10924500B2/en active Active
- 2013-11-22 KR KR1020157015434A patent/KR20150084970A/ko active Search and Examination
-
2017
- 2017-09-25 JP JP2017184047A patent/JP2018033144A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN104982059A (zh) | 2015-10-14 |
| CN104982059B (zh) | 2021-07-13 |
| EP2923511B1 (en) | 2021-04-21 |
| KR20170064561A (ko) | 2017-06-09 |
| WO2014079960A1 (en) | 2014-05-30 |
| US20150304345A1 (en) | 2015-10-22 |
| ES2874449T3 (es) | 2021-11-05 |
| EP3474589A1 (en) | 2019-04-24 |
| JP2016502340A (ja) | 2016-01-21 |
| JP2018033144A (ja) | 2018-03-01 |
| JP6636329B2 (ja) | 2020-01-29 |
| US10924500B2 (en) | 2021-02-16 |
| EP2923511A1 (en) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160198341A1 (en) | Communication Between a Mobile Device and Telecommunications Network | |
| EP3214861B1 (en) | Method, device and system for detecting fraudulent user | |
| JP4567472B2 (ja) | 定額制ユーザのデータ通信規制方法およびデータ通信規制制御装置 | |
| JP4708473B2 (ja) | 通信システム、移動機、着信制御方法 | |
| US8233891B2 (en) | Telecommunications network | |
| KR101754566B1 (ko) | 모바일 네트워크를 보호하기 위한 시스템 | |
| US20150341361A1 (en) | Controlling a Mobile Device in a Telecommunications Network | |
| KR20150084970A (ko) | 텔레커뮤니케이션 네트워크에서 거동을 검출하는 시스템 | |
| CN102075992A (zh) | 一种确定终端异常的方法和设备 | |
| KR101094006B1 (ko) | 로밍 이동 단말 상태 모니터링 방법 및 이를 위한 감시 장치 | |
| KR20080046878A (ko) | 이동 통신망에서 서비스거부 공격을 방지하기 위한 방법 및기지국 제어기 | |
| KR20140027585A (ko) | 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment |