KR20240041505A - Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting - Google Patents

Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting Download PDF

Info

Publication number
KR20240041505A
KR20240041505A KR1020220120595A KR20220120595A KR20240041505A KR 20240041505 A KR20240041505 A KR 20240041505A KR 1020220120595 A KR1020220120595 A KR 1020220120595A KR 20220120595 A KR20220120595 A KR 20220120595A KR 20240041505 A KR20240041505 A KR 20240041505A
Authority
KR
South Korea
Prior art keywords
terminal
fingerprint
control plane
features
imei
Prior art date
Application number
KR1020220120595A
Other languages
Korean (ko)
Other versions
KR102678476B1 (en
Inventor
김용대
배상욱
강민석
오범석
안준호
손민철
이용화
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020220120595A priority Critical patent/KR102678476B1/en
Priority claimed from KR1020220120595A external-priority patent/KR102678476B1/en
Publication of KR20240041505A publication Critical patent/KR20240041505A/en
Application granted granted Critical
Publication of KR102678476B1 publication Critical patent/KR102678476B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/79Radio fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치가 제시된다. 일 실시예에 따른 컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법은, 단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 단계; 사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 단계; 수집된 상기 특징을 사용하여 특징 공간을 줄이는 단계; 및 생성한 핑거프린트를 이용하여 심박스를 차단하는 단계를 포함하여 이루어질 수 있다. A method and device for blocking SIM boxes using a control plane message-based fingerprint of a mobile communication network terminal are presented. A SIM box blocking method using a fingerprint based on a control plane message of a mobile communication network terminal performed by a computer device according to an embodiment includes the steps of extracting features from a control plane message transmitted by the terminal to a mobile communication network; Collecting terminal characteristics considering settings within the terminal that can be changed by the user; Reducing the feature space using the collected features; and blocking the SIM box using the generated fingerprint.

Description

이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING SIM BOX FRAUD IN MOBILE COMMUNICATION NETWORK USING DEVICE FINGERPRINTING} Method and device for blocking SIM BOX using control plane message-based fingerprint of mobile communication network terminal {METHOD AND APPARATUS FOR PREVENTING SIM BOX FRAUD IN MOBILE COMMUNICATION NETWORK USING DEVICE FINGERPRINTING}

아래의 실시예들은 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치에 관한 것으로, 더욱 상세하게는 승인되지 않은 SIM 박스가 이동통신망에 연결되는 시기를 감지하는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치에 관한 것이다. The following embodiments relate to a method and device for blocking a SIM box using a control plane message-based fingerprint of a mobile communication network terminal. More specifically, a method and device for blocking a SIM box using a fingerprint based on a control plane message of a mobile communication network terminal detects when an unauthorized SIM box is connected to the mobile communication network. This relates to a method and device for blocking SIM boxes using a control plane message-based fingerprint.

바이패스 사기는 지난 20년 동안 전세계 모바일 네트워크를 괴롭혀 모바일 네트워크 사업자(Mobile Network Operator, MNO)에 상당한 재정적 피해를 입혔다. 심박스(SIM Box)는 모바일 네트워크 사업자(MNO)가 일반적으로 승인하지 않는 방식으로 모바일 이동통신망을 저비용 VoIP(Voice-over-IP) 세션과 상호 연결하기 때문에 이러한 바이패스 사기 공격의 중심에 있다.Bypass fraud has plagued mobile networks around the world for the past two decades, causing significant financial damage to Mobile Network Operators (MNOs). SIM boxes are at the center of these bypass fraud attacks because they interconnect mobile cellular networks with low-cost Voice-over-IP (VoIP) sessions in a way that mobile network operators (MNOs) typically do not approve.

가장 주목할 만한 것은, 상호 연결 바이패스 사기는 통화자가 위치한 국가에 배치된 SIM 박스를 사용하여 통화자에 대한 저비용 VoIP 연결을 활용하면서 국제 통화 청구를 바이패스한다. 이러한 불법 활동은, 특히 개발도상국에서 널리 퍼져있으며, 개발도상국에서는 아직 인프라 지원이 부족하여 국제 통화 요금이 현지 통화 요금보다 훨씬 높다. SIM 박스가 이 공격에 유용한 주된 이유는 SIM 박스가 로컬 모바일 네트워크 사업자(MNO)에게 과금 시스템을 우회할 수 있는 수단을 제공하기 때문이다.Most notably, interconnection bypass scams utilize low-cost VoIP connections for callers using SIM boxes deployed in the country where the caller is located, while bypassing international call billing. This illegal activity is particularly prevalent in developing countries, where international call rates are much higher than local call rates due to lack of infrastructure support. The main reason SIM boxes are useful in this attack is because they provide local mobile network operators (MNOs) with a means to bypass their charging systems.

최근 SIM 박스를 사용한 새로운 유형의 범죄 활동이 급증하였다. 조직범죄 단체들은 SIM 박스를 사용하면 특정 국가의 사람들을 대상으로 한 금융사기 혹은 보이스피싱을 수행할 수 있고, 피해자가 속한 국가의 법적 테두리 밖에 있을 수 있다는 것을 빠르게 알게 되었다. SIM 박스를 통해 걸려오는 사기 전화는 대상 휴대폰의 발신자 ID에 지역 전화 번호를 표시하여 기존의 VoIP 기반 사기 전화보다 훨씬 덜 의심스럽게 만든다. 이러한 금융 사기는 일반적으로 선진국(예상되는 재정적 이득이 클 것으로 예상되는 국가)을 표적으로 하는 반면, 그 운영은 규제가 덜한 국가에서 국가에서 이루어진다. 2020년 중국에서 약 186억 달러의 가치가 있는 256,000건 이상의 전화 사기가 발생했다. 중국뿐만 아니라 한국도 사기 전화로 약 6억 달러의 상당한 손실을 입었다. 단순화를 위해 여기에서는 SIM 박스를 사용하는 부정 행위를 "SIM 박스 사기"라고 부르기로 한다.Recently, a new type of criminal activity using SIM boxes has proliferated. Organized crime groups quickly learned that SIM boxes could be used to carry out financial fraud or voice phishing targeting people in specific countries, while remaining outside the legal confines of the victims' country. Fraud calls made through SIM boxes display local phone numbers on the target cell phone's caller ID, making them much less suspicious than traditional VoIP-based scam calls. While these financial scams typically target developed countries (countries where the expected financial gains are expected to be large), their operations take place in less regulated countries. In 2020, there were more than 256,000 phone scams worth about $18.6 billion in China. Not only China but also Korea suffered significant losses of approximately $600 million due to fraudulent calls. For simplicity, we will refer to fraud using SIM boxes here as “SIM box fraud.”

보안 연구원들은 통화 데이터와 음성 통화 품질을 기반으로 SIM 박스를 통과하는 통화를 탐지하는 여러 가지 흥미로운 대응책을 제안했다. 먼저 모든 통화(사기 포함)를 수락한 다음 SIM 박스 운영의 SIM 박스 통화 및/또는 장기 행동을 모니터링하기 시작한다. 이러한 솔루션은 주로 개별 SIM 또는 통화 세션의 속성을 활용한다.Security researchers have proposed several interesting countermeasures to detect calls passing through SIM boxes based on call data and voice call quality. It first accepts all calls (including fraud) and then starts monitoring SIM box calls and/or long-term behavior of SIM box operations. These solutions primarily leverage the properties of individual SIMs or call sessions.

한편, 큰 관심을 끌지 못한 한 가지 기본 접근법은 이동통신망에 접속할 때 네트워크 계층에서 SIM 박스 장치 자체를 감지하는 것이다. 이를 위해 순수한 접근법은 수십 년 동안 장치 모델 식별을 위해 설계되고 사용된 기본 장치 식별자인 국제 모바일 장비 식별자(International Mobile Equipment Identity, IMEI)를 사용하는 것이다. 특히, 이동통신망은 보고된 국제 모바일 장치 식별코드(IMEI)를 기반으로 장치 모델을 확인하고 장치가 SIM 박스일 경우 접속을 거부할 수 있다. 그러나 국제 모바일 장치 식별코드(IMEI)는 이동통신 단말이 스스로 망에게 보고한 값이며 조작 여부를 판단할 수 있는 방법이 존재하지 않는다. 실제로 국제 모바일 장치 식별코드(IMEI)는 쉽게 변작 및 스푸핑(spoofing)된다는 것으로 잘 알려져 있다. 예컨대, 많은 SIM 박스는 국제 모바일 장치 식별코드(IMEI) 스푸핑을 기능적으로 제공한다.Meanwhile, one basic approach that has not attracted much attention is to detect the SIM box device itself at the network layer when connecting to a mobile network. A pure approach for this is to use the International Mobile Equipment Identity (IMEI), a basic device identifier designed and used for decades to identify device models. In particular, mobile networks can check the device model based on the reported International Mobile Equipment Identity (IMEI) and deny access if the device is a SIM box. However, the International Mobile Equipment Identification Code (IMEI) is a value reported by the mobile communication terminal to the network, and there is no way to determine whether it has been tampered with. In fact, it is well known that International Mobile Equipment Identity (IMEI) is easily altered and spoofed. For example, many SIM boxes feature International Mobile Equipment Identity (IMEI) spoofing.

M. Kotuliak, S. Erni, P. Leu, M. Roeschlin, and S. Capkun. Ltrack: Stealthy tracking of mobile phones in lte. In USENIX Security, 2022. M. Kotuliak, S. Erni, P. Leu, M. Roeschlin, and S. Capkun. Ltrack: Stealthy tracking of mobile phones in lte. In USENIX Security, 2022.

실시예들은 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치에 관하여 기술하며, 보다 구체적으로 승인되지 않은 SIM 박스가 이동통신망에 연결되는 시기를 감지하고 현재 이동통신 시스템에 적용 가능한 접속 제어 정책 기술을 제공한다. Embodiments describe a SIM box blocking method and device using a control plane message-based fingerprint of a mobile communication network terminal, and more specifically, detecting when an unauthorized SIM box is connected to a mobile communication network and applying it to the current mobile communication system. Provides possible access control policy techniques.

실시예들은 접속 제어 정책을 통하여 국제 모바일 장치 식별코드(IMEI)가 불법적으로 변경되었거나, 보이스피싱에 주요하게 사용되는 단말여부를 판단하여 해당 불법 단말들이 이동통신망에 접속하는 것을 원천 차단하는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치를 제공하는데 있다. Embodiments are mobile communication network terminals that determine whether the international mobile device identification code (IMEI) has been illegally changed or is a terminal mainly used for voice phishing through an access control policy and block the illegal terminals from accessing the mobile communication network. The aim is to provide a method and device for blocking SIM boxes using a control plane message-based fingerprint.

일 실시예에 따른 컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법은, 단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 단계; 사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 단계; 수집된 상기 특징을 사용하여 특징 공간을 줄이는 단계; 및 생성한 핑거프린트를 이용하여 심박스를 차단하는 단계를 포함하여 이루어질 수 있다. A SIM box blocking method using a fingerprint based on a control plane message of a mobile communication network terminal performed by a computer device according to an embodiment includes the steps of extracting features from a control plane message transmitted by the terminal to a mobile communication network; Collecting terminal characteristics considering settings within the terminal that can be changed by the user; Reducing the feature space using the collected features; and blocking the SIM box using the generated fingerprint.

상기 제어평면 메시지에서 특징을 추출하는 단계는, 상기 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환하는 단계; 변환된 상기 키 값 표현 구조에서 특징을 키로 정의하고, 키 값 목록을 기반으로 특징 벡터를 생성하는 단계; 및 상기 특징 벡터에 대한 추가 분석 후, 상기 단말의 핑거프린트를 구성하는 단계를 포함하여 이루어질 수 있다. Extracting features from the control plane message includes converting the content of the control plane message into a key-value representation structure; defining a feature as a key in the converted key value expression structure and generating a feature vector based on the key value list; and configuring a fingerprint of the terminal after additional analysis of the feature vector.

상기 제어평면 메시지는, ATTACH Request 및 UECapabilityInformation를 포함하고, 상기 제어평면 메시지를 반복적으로 수집하고 각 단말에 대해 특징을 추출할 수 있다. The control plane message includes ATTACH Request and UECapabilityInformation, and the control plane message can be collected repeatedly and features can be extracted for each terminal.

상기 특징 공간을 줄이는 단계는, 상기 단말에 값이 일정하지 않은 특정되지 않는 특징을 제거하는 단계; 모든 단말에서 일관된 값을 갖는 특징을 필터링하는 단계; 및 필터링 후, 남은 특징에 대해 단말의 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성하는 단계를 포함할 수 있다. Reducing the feature space includes removing unspecified features whose values are not constant in the terminal; Filtering features with consistent values in all terminals; And after filtering, the remaining features may include forming a cluster that groups features that contribute equally to the fingerprint configuration of the terminal.

다른 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 장치는, 단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 특징 추출부; 사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 특징 수집부; 수집된 상기 특징을 사용하여 특징 공간을 줄이는 특징 공간 축소부; 및 생성한 핑거프린트를 이용하는 심박스 차단부를 포함하여 이루어질 수 있다. A SIM box blocking device using a fingerprint based on a control plane message of a mobile communication network terminal according to another embodiment includes a feature extractor for extracting features from a control plane message transmitted by the terminal to a mobile communication network; a feature collection unit that collects terminal characteristics considering settings within the terminal that can be changed by the user; a feature space reduction unit that reduces the feature space using the collected features; and a SIM box blocking unit that uses the generated fingerprint.

상기 특징 추출부는, 상기 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환하고, 변환된 상기 키-값 표현 구조에서 특징을 키로 정의하고, 키-값 목록을 기반으로 특징 벡터를 생성하며, 상기 특징 벡터에 대한 추가 분석 후, 상기 단말의 핑거프린트를 구성할 수 있다. The feature extractor converts the content of the control plane message into a key-value expression structure, defines a feature as a key in the converted key-value expression structure, and defines a feature vector based on the key-value list. , and after further analysis of the feature vector, a fingerprint of the terminal can be constructed.

상기 제어평면 메시지는, ATTACH Request 및 UECapabilityInformation를 포함하고, 상기 제어평면 메시지를 반복적으로 수집하고 각 단말에 대해 특징을 추출할 수 있다. The control plane message includes ATTACH Request and UECapabilityInformation, and the control plane message can be repeatedly collected and features extracted for each terminal.

상기 특징 공간 축소부는, 상기 단말에 값이 일정하지 않은 특정되지 않는 특징을 제거하고, 모든 단말에서 일관된 값을 갖는 특징을 필터링하며, 필터링 후, 남은 특징에 대해 단말의 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성할 수 있다. The feature space reduction unit removes unspecified features whose values are not constant for the terminal, filters features with consistent values in all terminals, and makes the same contribution to the fingerprint configuration of the terminal for the remaining features after filtering. You can form a cluster that groups together the features.

또 다른 실시예에 따른 컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법은, 이동통신망에서 음성 통화를 위한 접속 제어 목록(Access Control List, ACL)을 제공하는 단계를 포함하고, 상기 음성 통화를 위한 접속 제어 목록(ACL)을 제공하는 단계는, 보고된 단말의 국제 모바일 장치 식별코드(IMEI)의 진위 여부를 식별하는 단계를 포함할 수 있다. A method of preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal performed by a computer device according to another embodiment provides an access control list (ACL) for voice calls in a mobile communication network. The step of providing an access control list (ACL) for a voice call may include identifying the authenticity of the reported International Mobile Equipment Identity (IMEI) of the terminal.

상기 국제 모바일 장치 식별코드(IMEI)의 진위 여부가 식별되지 않은 경우, 상기 단말의 가입된 요금제가 장치 유형과 일치하는지 확인하는 단계를 더 포함할 수 있다. If the authenticity of the International Mobile Equipment Identification Code (IMEI) is not identified, the method may further include checking whether the subscribed rate plan of the terminal matches the device type.

실시예들에 따르면 접속 제어 정책을 통하여 국제 모바일 장치 식별코드(IMEI)가 불법적으로 변경되었거나, 보이스피싱에 주요하게 사용되는 단말여부를 판단하여 해당 불법 단말들이 이동통신망에 접속하는 것을 원천 차단하는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치를 제공할 수 있다. According to embodiments, the international mobile device identification code (IMEI) is determined through an access control policy to determine whether the international mobile device identification code (IMEI) has been illegally changed or whether the terminal is mainly used for voice phishing and blocks the illegal terminals from accessing the mobile communication network. A method and device for blocking a SIM box using a control plane message-based fingerprint of a communication network terminal can be provided.

도 1은 일 실시예에 따른 심박스를 설명하기 위한 도면이다.
도 2는 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법을 나타내는 흐름도이다.
도 3은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 장치를 나타내는 블록도이다.
도 4는 일 실시예에 따른 메시지에서 특징 추출 방법을 설명하기 위한 도면이다.
도 5는 일 실시예에 따른 특징 프루닝 절차의 개요를 나타내는 도면이다.
도 6은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법을 나타내는 흐름도이다.
도 7은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 시스템을 나타내는 블록도이다.
도 8은 일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 방법의 동작 흐름도를 도시한 것이다.
도 9는 일 실시예에 따른 판단 트리를 사용한 예를 도시한 것이다.
도 10은 일 실시예에 따른 액티브 프로빙 메시지와 그 응답에 따라 베이스밴드 제조사를 구분하는 판단 트리의 예를 도시한 것이다.
도 11은 일 실시예에 따른 단말별 핑거프린트를 추출하여 데이터베이스를 구축하는 과정을 도식화한 것이다.
도 12는 일 실시예에 따른 임의의 단말에 대한 IMEI 검증 과정을 도식화한 것이다.
도 13은 일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 시스템의 세부 구성을 블록도로 도시한 것이다.
1 is a diagram for explaining a SIM box according to an embodiment.
Figure 2 is a flowchart showing a method of blocking a SIM box using a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment.
Figure 3 is a block diagram showing a SIM box blocking device using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment.
Figure 4 is a diagram for explaining a method of extracting features from a message according to an embodiment.
Figure 5 is a diagram illustrating an outline of a feature pruning procedure according to an embodiment.
Figure 6 is a flowchart showing a method for preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment.
Figure 7 is a block diagram showing a SIM box fraud prevention system using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment.
Figure 8 shows an operation flowchart of a method for verifying IMEI and detecting an unauthenticated terminal according to an embodiment.
Figure 9 shows an example of using a decision tree according to one embodiment.
Figure 10 shows an example of a decision tree that classifies baseband manufacturers according to an active probing message and its response, according to an embodiment.
Figure 11 schematically illustrates the process of extracting fingerprints for each terminal and building a database according to an embodiment.
Figure 12 schematically illustrates the IMEI verification process for an arbitrary terminal according to an embodiment.
Figure 13 is a block diagram showing the detailed configuration of an IMEI verification and unauthenticated terminal detection system according to an embodiment.

이하, 첨부된 도면을 참조하여 실시예들을 설명한다. 그러나, 기술되는 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 이하 설명되는 실시예들에 의하여 한정되는 것은 아니다. 또한, 여러 실시예들은 당해 기술분야에서 평균적인 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위해서 제공되는 것이다. 도면에서 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.Hereinafter, embodiments will be described with reference to the attached drawings. However, the described embodiments may be modified into various other forms, and the scope of the present invention is not limited to the embodiments described below. In addition, various embodiments are provided to more completely explain the present invention to those with average knowledge in the art. The shapes and sizes of elements in the drawings may be exaggerated for clearer explanation.

SIM 박스는 전세계 개인 피해자와 이동통신사로부터 수십억 달러를 가로채는 국제 규모 사기의 지하 생태계에서 중요한 역할을 해왔다. 이러한 부정 행위에 대해 많은 완화 계획이 제안되었는데, 주로 부정 통화 세션을 탐지하는 것을 목표로 하고 있다. 그러나 이 문제에 대한 한 가지 직접적인 접근 방식(장치 식별을 통한 SIM 박스 장치의 네트워크 연결 방지)은 높은 기대에도 불구하고 많은 관심을 받지 못했다. SIM boxes have played a key role in an underground ecosystem of international fraud that has swindled billions of dollars from individual victims and mobile carriers around the world. Many mitigation schemes have been proposed against this fraud, mainly aimed at detecting fraudulent call sessions. However, one straightforward approach to this problem (preventing SIM box devices from connecting to the network through device identification) has not received much attention despite high expectations.

아래의 실시예들은 승인되지 않은 SIM 박스가 이동통신망에 연결되는 시기를 감지하고 현재 시스템에 배포할 수 있음을 보여주는 간단한 접속 제어 정책을 제안한다. 실시예들에 따른 방어 제안의 핵심은 쉽게 변조 가능한 장치로부터의 자체보고 주장에 의존하지 않고, 장치 모델의 정확한 핑거프린트(fingerprint)를 만드는 것이다. 여기서 장치 모델은 단말, 예를 들어 스마트폰을 의미할 수 있다. 예컨대, iPhone 13과 시중의 SIM 박스 모델을 구별하는 것이다. 실시예들은 80개 이상의 스마트폰으로부터 수집된 3만개 이상의 특징을 기반으로 생성된 핑거프린트가 대부분 서로 겹치지 않고 유일한 특성을 보이며, 이를 통해 대부분의 불법 SIM 박스가 허가되지 않은 음성 통화를 하는 것을 방지하는데 사용될 수 있음을 경험적으로 보여준다. 실시예들에 따른 제안은 최초의 실용적이고 신뢰할 수 있는 인증되지 않은 셀룰러 장치 모델 탐지 방식으로서 SIM 박스 사기에 대한 문제를 완화시킬 수 있다.The examples below propose a simple access control policy that detects when an unauthorized SIM box connects to a mobile network and deploys it to the current system. The key to the defense proposal according to embodiments is to create an accurate fingerprint of the device model, without relying on self-reported claims from the device that can be easily tampered with. Here, the device model may mean a terminal, for example, a smartphone. For example, it is to distinguish between iPhone 13 and SIM box models on the market. Embodiments show that most fingerprints generated based on more than 30,000 features collected from more than 80 smartphones do not overlap with each other and exhibit unique characteristics, thereby preventing most illegal SIM boxes from making unauthorized voice calls. Experience shows that it can be used. The proposal according to the embodiments is the first practical and reliable unauthorized cellular device model detection method that can alleviate the problem of SIM box fraud.

실시예들은 신뢰할 수 없는 국제 모바일 장비 식별자(IMEI)를 사용하는 대신, 장치 모델을 식별하기 위해 초기 접속 절차 시 교환된 제어평면 메시지에서 추출된 특징을 활용할 것을 제안한다. 실시예들은 개별 스마트폰 모델이 제어평면 메시지 내 특징을 기반으로 정확하게 핑거프린트(식별)가 가능하다는 것을 보여준다. 이를 통해 1) 주어진 스마트폰에 대한 구체적인 핑거프린트를 얻을 수 있고 2) 국제 모바일 장치 식별코드(IMEI)가 나타내는 장치 모델이 핑거프린트에서 얻은 것과 일치하는지 확인할 수 있다.Rather than using the unreliable International Mobile Equipment Identifier (IMEI), embodiments propose utilizing features extracted from control plane messages exchanged during the initial connection procedure to identify the device model. Examples show that individual smartphone models can be accurately fingerprinted (identified) based on features within control plane messages. This allows you to 1) obtain a specific fingerprint for a given smartphone and 2) verify that the device model indicated by the International Mobile Equipment Identity (IMEI) matches the one obtained from the fingerprint.

실시예들에 따른 실험 결과는 스마트폰 핑거프린트가 독특하다는 것을 보여준다. 데이터셋에는 80개의 고유한 스마트폰 모델, 10개의 IoT 장치, 6개의 LTE 호환 SIM 박스를 포함하여 다양한 옵션이 고려된 96개의 다양한 모바일 장치의 201개의 제어평면 메시지 내 특징에 기반한 핑거프린트가 포함되어 있다. 실시예들에 따르면 스마트폰 제조업체와 베이스밴드 공급업체가 독립적으로 그리고 공동으로 다양한 고유한 장치 기능 및 구성을 생산하여 스마트폰에 대한 고유한 핑거프린트를 생성한다는 것을 알 수 있다.Experimental results according to the embodiments show that the smartphone fingerprint is unique. The dataset contains fingerprints based on features within 201 control plane messages from 96 different mobile devices, with multiple options considered, including 80 unique smartphone models, 10 IoT devices, and 6 LTE-compatible SIM boxes. there is. Embodiments show that smartphone manufacturers and baseband suppliers independently and jointly produce a variety of unique device features and configurations to create a unique fingerprint for a smartphone.

이와 같이, 실시예들은 이동통신망에서 쉽게 적용 가능한 SIM 박스 사기를 방지하기 위한 핑거프린트 기반 접속 제어 메커니즘을 제시한다. 실시예들은 SIM 박스를 포함한 IoT 장치에 대한 모바일 네트워크 사업자(MNO)의 내부 망 운영 정책에 대한 구체적인 권장 사항을 제시한다. 제안된 접속 제어 정책은 대부분의 SIM 박스 사기 사용 사례를 성공적으로 방지한다. SIM 박스로 쉽게 조작할 수 없는 스마트폰의 고급 네트워크 기능 때문에 핑거프린트 조작을 통한 스마트폰 사칭이 불가능함을 보여준다. As such, embodiments present a fingerprint-based access control mechanism to prevent SIM box fraud that can be easily applied in mobile communication networks. Embodiments present specific recommendations for a mobile network operator's (MNO) internal network operation policy for IoT devices, including SIM boxes. The proposed access control policy successfully prevents most SIM box fraud use cases. This shows that smartphone impersonation through fingerprint manipulation is impossible due to the smartphone's advanced network functions that cannot be easily manipulated with a SIM box.

이동통신망 및 SIM 박스Mobile network and SIM box

SIM 박스 사기에 대한 방어 시스템을 설명하기 전에 먼저 이동통신망의 모바일 네트워크 사업자(MNO)가 이기종 장치(예컨대, 스마트폰, 웨어러블, IoT 및 SIM 박스)를 관리하는 방법에 대한 간략한 개요를 설명한다. 그런 다음, SIM 박스가 이동통신망에서 수행하는 기능과 실제로 사용되는 사용 사례에 대해 간략히 설명한다.Before describing the defense system against SIM box fraud, we first provide a brief overview of how mobile network operators (MNOs) in mobile networks manage heterogeneous devices (e.g., smartphones, wearables, IoT, and SIM boxes). We then briefly explain the functions that SIM boxes perform in mobile networks and the use cases in which they are actually used.

LTE 네트워크는 사용자 장비(User Equipment, UE), 기지국(evolved Node B, eNB) 및 진화한 패킷 코어(Evolved Packet Core, EPC)를 포함하여 이루어질 수 있다. UE는 최종 사용자에게 데이터 및 음성 서비스를 제공하는 최종 장치이다. eNB는 무선 자원 제어(Radio Resource Control, RRC) 프로토콜을 사용하여 UE에 무선 연결을 제공하는 기지국이다. EPC는 사용자 인증 및 세션/식별코드 관리를 위한 이동성 관리 엔티티(Mobility Management Entity, MME)를 포함하는 네트워크의 핵심이다. 이동성 관리 엔티티(MME)는 이러한 관리 기능을 수행하기 위해 비접속 계층(Non-Access-Stratum, NAS) 프로토콜을 통해 UE와 통신한다. 이동성 관리 엔티티(MME)는 사용자를 인증하고 키, 세션 및 식별코드를 관리하는 역할을 한다.An LTE network may include user equipment (User Equipment, UE), a base station (evolved Node B, eNB), and an evolved packet core (EPC). UE is an end device that provides data and voice services to end users. eNB is a base station that provides wireless connectivity to the UE using the Radio Resource Control (RRC) protocol. The EPC is the core of the network, including the Mobility Management Entity (MME) for user authentication and session/identification code management. The Mobility Management Entity (MME) communicates with the UE via the Non-Access-Stratum (NAS) protocol to perform these management functions. The Mobility Management Entity (MME) is responsible for authenticating users and managing keys, sessions, and identification codes.

예를 들어, 일시적인 C-RNTI는 물리적 계층에서 사용되고 국제 모바일 장치 식별코드(IMEI)는 베이스밴드에 저장된다. 그 중에서, 국제 모바일 장치 식별코드(IMEI)는 장치 핸드셋 자체의 가장 장치 모델별(따라서 가장 영구적인) 식별코드이다. 이 15자리 식별코드는 각 개별 장치에 대해 전역적으로 고유한 ID를 제공한다. 특히, 타입 할당 코드(Type Allocation Code, TAC)라고 불리는 국제 모바일 장치 식별코드(IMEI)의 처음 8자리는 그것을 가지고 있는 개별 장치의 정확한 모델을 나타낸다. 예를 들어, TAC=35684610은 삼성 갤럭시 폴드 5G를 나타낸다.For example, the transient C-RNTI is used at the physical layer and the International Mobile Equipment Identity (IMEI) is stored at the baseband. Among them, the International Mobile Equipment Identity (IMEI) is the most device model-specific (and therefore most permanent) identifier of the device handset itself. This 15-digit identification code provides a globally unique ID for each individual device. In particular, the first eight digits of the International Mobile Equipment Identity (IMEI), called the Type Allocation Code (TAC), indicate the exact model of the individual device that carries it. For example, TAC=35684610 represents Samsung Galaxy Fold 5G.

국제 모바일 장치 식별코드(IMEI)의 TAC 시스템은 마케팅(다른 장치 모델에 대한 제품 및 업그레이드를 사용자 정의하기 위한), 시장 파악(장치 모델과 수익 사이의 관계를 이해하기 위한), 서비스 차별화(다른 유형의 장치에 서로 다른 서비스 품질을 제공하기 위한) 및 네트워크 계획(네트워크 성능 및 효율성 최적화를 위한)를 포함한 모바일 생태계의 다양한 비즈니스 및 운영 애플리케이션에 매우 중요하다.The TAC system of International Mobile Equipment Identity (IMEI) is used for marketing (to customize products and upgrades for different device models), market identification (to understand the relationship between device models and revenue), and service differentiation (for different types of devices). It is critical to a variety of business and operational applications in the mobile ecosystem, including network planning (to provide different qualities of service to 500 devices) and network planning (to optimize network performance and efficiency).

식별 절차는 특정 식별자를 제공하기 위한 특정 UE를 요청하기 위해 이동성 관리 엔티티(MME)에 의해 사용된다. UE가 네트워크에 접속하기를 원할 때, 이동성 관리 엔티티(MME)는 두 가지 방법으로 UE로부터 국제 모바일 장치 식별코드(IMEI)를 수신할 수 있다. 먼저, 이동성 관리 엔티티(MME)는 NAS Identity Request 메시지를 UE로 보내고, UE는 국제 모바일 장치 식별코드(IMEI)를 NAS Identity Response 메시지를 이동성 관리 엔티티(MME)로 보낼 수 있다. 국제 모바일 장치 식별코드(IMEI)는 일반 텍스트로 전송하면 안되므로 보안 컨텍스트를 설정한 후 NAS Identity 요청/응답 메시지가 교환된다. 국제 모바일 장치 식별코드(IMEI)를 얻는 또 다른 방법은 NAS Security Mode Command 메시지를 사용하는 것이다. 메시지 내에서 이동성 관리 엔티티(MME)는 IMEISV(국제 모바일 장치 식별코드-소프트웨어 버전)에 문의하면 UE가 국제 모바일 장치 식별코드(IMEI)를 포함하는 NAS Security Mode Complete 메시지를 전송한다.The identification procedure is used by the Mobility Management Entity (MME) to request a specific UE to provide a specific identifier. When a UE wants to connect to the network, the Mobility Management Entity (MME) can receive the International Mobile Equipment Identity (IMEI) from the UE in two ways. First, the Mobility Management Entity (MME) sends a NAS Identity Request message to the UE, and the UE may send an International Mobile Equipment Identity (IMEI) NAS Identity Response message to the Mobility Management Entity (MME). Since the International Mobile Equipment Identity (IMEI) should not be transmitted in plain text, NAS Identity request/response messages are exchanged after establishing a security context. Another way to obtain the International Mobile Equipment Identity (IMEI) is to use the NAS Security Mode Command message. In the message, the Mobility Management Entity (MME) queries the IMEISV (International Mobile Equipment Identity - Software Version) and the UE sends a NAS Security Mode Complete message containing the International Mobile Equipment Identity (IMEI).

UE가 보고한 국제 모바일 장치 식별코드(IMEI)를 통해 모바일 네트워크 사업자(MNO)는 사용자가 현재 사용하고 있는 장치 모델을 결정하고 추적할 수 있다. 또한, 모바일 네트워크 사업자(MNO)는 국제 모바일 장치 식별코드(IMEI)를 관리적으로 사용하여 UE의 네트워크 리소스에 대한 접속을 허용하거나 거부할 수 있다. 국제 모바일 장치 식별코드(IMEI)가 장치를 구별하는 중요한 식별코드라는 사실에도 불구하고 악의적인 의도를 가진 사람은 누구나 간단히 UE의 국제 모바일 장치 식별코드(IMEI)를 위조할 수 있다. 상용 스마트폰에서는 파일 시스템 수정 도구를 통해 국제 모바일 장치 식별코드(IMEI)를 변경할 수 있다. 또한, 오픈 소스 LTE 스택과 소프트웨어 정의 라디오(Software-Defined Radio, SDR)을 결합한 소프트웨어 기반 LTE 장비를 가진 사용자는 최소한의 소스 코드 수정으로 장치의 국제 모바일 장치 식별코드(IMEI)를 쉽게 수정할 수 있다. 또한, SIM 박스 제조업체는 일반적으로 사용자가 국제 모바일 장치 식별코드(IMEI)를 포함한 다양한 장치 정보를 변경할 수 있는 수단을 제공한다.The International Mobile Equipment Identity (IMEI) reported by the UE allows mobile network operators (MNOs) to determine and track the device model a user is currently using. Additionally, a mobile network operator (MNO) can administratively use the International Mobile Equipment Identity (IMEI) to allow or deny the UE's access to network resources. Despite the fact that the International Mobile Equipment Identity (IMEI) is an important identifier for a device, anyone with malicious intent can simply forge the International Mobile Equipment Identity (IMEI) of a UE. On commercial smartphones, the International Mobile Equipment Identity (IMEI) can be changed using the file system modification tool. Additionally, users with software-based LTE equipment that combines an open-source LTE stack and software-defined radio (SDR) can easily modify their device's International Mobile Equipment Identity (IMEI) with minimal source code modification. Additionally, SIM box manufacturers typically provide a means for users to change various device information, including the International Mobile Equipment Identity (IMEI).

도 1은 일 실시예에 따른 심박스를 설명하기 위한 도면이다.1 is a diagram for explaining a SIM box according to an embodiment.

SIM 박스는 로컬 이동통신망에 연결하는 데 사용되는 다수의 SIM 카드(111)를 포함하는 VoIP 게이트웨이 장치이다. 도 1에 도시된 바와 같이, 모바일 네트워크 사업자(MNO)가 다른 복수의 SIM 카드(예컨대, 8개 슬롯)(111)를 SIM 박스에 삽입할 수 있다. 대형 SIM 박스는 하나의 장치에 수백 개 이상의 SIM 카드(111)를 담을 수 있다. SIM 슬롯(110)에 해당하는 베이스밴드 칩셋(120)은 플레이트로 표시되고, 각 SIM 슬롯과 베이스밴드 칩셋 쌍은 여러 안테나 포트 중 하나의 안테나 포트(130)을 이용하며, 이에는 하나의 안테나(140)이 연결된다.A SIM box is a VoIP gateway device containing multiple SIM cards 111 used to connect to a local mobile network. As shown in Figure 1, a mobile network operator (MNO) may insert a plurality of SIM cards (e.g., 8 slots) 111 into a SIM box. A large SIM box can hold hundreds of SIM cards 111 or more in one device. The baseband chipset 120 corresponding to the SIM slot 110 is represented by a plate, and each SIM slot and baseband chipset pair uses one antenna port 130 among several antenna ports, which includes one antenna ( 140) is connected.

일반적인 국제 전화는 발신자와 수신자 사이의 조절된 상호 연결을 통해 라우팅된다. 상호 연결 바이패스 사기에서, 국제 통화는 이러한 규제된 상호연결을 우회하고(따라서 해외 통화의 과금을 건너뛰고), 저렴한 IP 음성 통화를 통해 목적지 네트워크로 라우팅한다. 이는 SIM 박스가 모바일 네트워크와 VoIP 사이의 게이트웨이 역할을 하여 VoIP 통화를 모바일 네트워크 호출로 전송하기 때문에 가능하다. 최근 조사에 따르면 유심 박스를 이용한 상호 연결 바이패스 사기는 통신사업에서 네 번째로 큰 사기 발생에 기여하고 있으며, 손실액은 2019년 27억1,000만 달러에서 2021년 31억1,000만 달러로 증가했다.A typical international call is routed through a regulated interconnection between the sender and recipient. In an interconnect bypass scam, international calls bypass these regulated interconnects (and thus skip charging for the foreign call) and are routed to the destination network via low-cost IP voice calls. This is possible because the SIM box acts as a gateway between the mobile network and VoIP, transferring VoIP calls to mobile network calls. According to a recent survey, interconnection bypass fraud using SIM boxes is contributing to the fourth largest fraud in the telecommunications industry, with losses increasing from $2.71 billion in 2019 to $3.11 billion in 2021.

SIM 박스는 또한 음성 scam이나 피싱 공격을 수행하는 데 사용된다. 가까운 가족, 동료, 또는 법 집행관과 같은 다른 사람을 사칭함으로써, 범죄자들은 금융 사기를 증가시킨다. 가해자들은 대개 조직적인 범죄 집단이며, 통화자들은 일반적으로 피해자가 있는 법적 경계선 밖에 배치된다. 이러한 사기에 SIM 박스를 사용하는 주요 이점은 사기범들이 희생자들의 발신자 번호 화면에 로컬 전화번호(의심하지 않은 VoIP 번호)를 표시할 수 있다는 것이다. 로컬 전화번호를 사용하면 사기범들의 통화 성공률이 높아질 것으로 예상된다. 인공지능 음성 복제 기술과 결합되어 음성 사기는 기업과 개인에게 진정한 위협이 되었다. 2020년 홍콩의 한 은행 관리자가 어떻게 그의 상사를 사칭한 음성 사칭자에게 3,500만 달러를 송금했는지 예를 들어 설명한다. 전통적인 VoIP 발신자 ID로 피해자에게 통화가 닿았다면 은행 매니저는 의심을 품고 사기를 피했을 것이다.SIM boxes are also used to carry out voice scams or phishing attacks. By impersonating other people, such as close family members, co-workers, or law enforcement officers, criminals increase financial fraud. Perpetrators are often organized crime groups, and callers are usually placed outside the legal boundaries of where the victims are. The main advantage of using SIM boxes in these scams is that scammers can display local phone numbers (unsuspecting VoIP numbers) on victims' caller ID screens. Using local phone numbers is expected to increase the success rate of fraudsters' calls. Combined with artificial intelligence voice cloning technology, voice fraud has become a real threat to businesses and individuals. It explains, for example, how in 2020, a bank manager in Hong Kong transferred $35 million to a voice impersonator posing as his boss. If the call had reached the victim with a traditional VoIP caller ID, the bank manager would have been suspicious and the fraud would have been avoided.

실시예들은 상호 연결 바이패스 사기 및 음성 scam와 같은 SIM Box 사기 공격을 고려한다. SIM 박스 사기 공격의 직접적인 목표는 SIM 박스를 운영하고 로컬 모바일 네트워크 사업자(MNO)를 통해 음성 통화에 대한 차단 해제 접속을 갖는 것이다. 공격자들이 스마트폰 모델을 사칭하기 위해 SIM 박스에 의해 보고된 국제 모바일 장치 식별코드(IMEI)를 수정할 수 있고 합법적으로 발행된 로컬 SIM으로 상용 모바일 네트워크 사업자(MNO)의 네트워크에 접속할 수 있는 합법적인 수단을 가지고 있다고 가정한다. 실시예들은 실제 SIM 박스 사기 공격에서와 같이 SIM 박스 운영을 위한 선불 SIM을 고려한다. 얻기 쉽고 신용 조회 없이 철회하기 쉽기 때문이다. 장치 제조업체나 베이스밴드 공급업체가 장치와 베이스밴드 구현을 임의로 변경하도록 직간접적으로 영향을 미칠 수 있는 공급망 공격자를 고려하지 않는다.Embodiments consider SIM Box fraud attacks such as interconnect bypass fraud and voice scam. The immediate goal of a SIM box fraud attack is to operate a SIM box and have unblocked access to voice calls through the local mobile network operator (MNO). A legitimate means for attackers to modify the International Mobile Equipment Identity (IMEI) reported by the SIM box to impersonate the smartphone model and connect to the network of a commercial mobile network operator (MNO) with a legitimately issued local SIM. Assume you have. Embodiments consider prepaid SIM for SIM box operation as in an actual SIM box fraud attack. This is because it is easy to obtain and easy to withdraw without a credit check. It does not take into account supply chain attackers who could directly or indirectly influence device manufacturers or baseband suppliers to tamper with devices and baseband implementations.

실시예들에 따른 목표는 SIM 박스 장치가 무단 음성 통화 허가를 요청하는 이동통신망에 연결될 때 이를 감지하는 것이다. 이러한 무단 접속을 엄격히 방지하기 위해, 실시예들은 모바일 네트워크 사업자(MNO)가 시스템에 연결된 모든 장치에 대해 배치하고 시행하기 위한 간단한 접속 제어 정책을 제안한다. 실시예들은 모든 SIM 박스 통화가 불법은 아니므로, 예를 들어 텔레마케팅과 같은 SIM 박스에 대한 정확하고 섬세한 접속 제어를 제시하는 것을 목표로 한다. 실시예들은 합법적 애플리케이션을 위한 SIM 박스가 각 모바일 네트워크 사업자(MNO)에서 사전 등록(예컨대, 통신사에 자체 등록)되어 음성 통화 접속이 허용될 것으로 예상한다. 실시예들에 따른 SIM 박스 유닛 감지 방식은 기존의 SIM 박스 호출 감지 방식과 독립적이며(orthogonal), 그것들은 서로를 보완하는 데 함께 사용될 수 있다. 예를 들어, 실시예들에 따른 방식은 통화가 이루어지기 전에 SIM 박스를 통해 이루어지는 많은 사기 전화들을 잠재적으로 막을 수 있다. The goal according to embodiments is to detect when a SIM box device is connected to a mobile network requesting permission for unauthorized voice calls. To strictly prevent such unauthorized access, embodiments propose a simple access control policy for mobile network operators (MNOs) to deploy and enforce for all devices connected to the system. Embodiments aim to provide precise and granular access control for SIM boxes, for example telemarketing, since not all SIM box calls are illegal. Embodiments anticipate that SIM boxes for legitimate applications will be pre-registered (e.g., self-registered with the carrier) with each mobile network operator (MNO) to allow voice call access. The SIM box unit detection method according to embodiments is independent (orthogonal) of the existing SIM box call detection method, and they can be used together to complement each other. For example, approaches according to embodiments could potentially prevent many fraudulent calls made through a SIM box before the call is even made.

사실상의 표준 장치 모델 식별인 국제 모바일 장치 식별코드(IMEI)는 쉽게 스푸핑될 수 있는 것으로 알려져 있기 때문에 이동통신망의 진입점(즉, UE attachment)에서의 엄격한 접속 제어는 어려운 것으로 간주되어 왔다. 따라서 국제 모바일 장치 식별코드(IMEI)에 기반한 보안 정책은 시스템에 대한 악의적인 접속 누락의 위험으로 인해 운영자, 규제자 및 최종 사용자에게 잘못된 보안의식을 줄 수 있다.Because the International Mobile Equipment Identity (IMEI), the de facto standard device model identification, is known to be easily spoofed, strict access control at the entry point (i.e., UE attachment) of a mobile network has been considered difficult. Therefore, security policies based on International Mobile Equipment Identity (IMEI) may give operators, regulators, and end users a false sense of security due to the risk of malicious access missing to the system.

이를 해결하고 이동통신망을 위한 신뢰할 수 있고 실용적인 접속 제어를 설계하기 위해, 모바일 장치가 네트워크에 연결될 때 모바일 네트워크 사업자(MNO)는 제어평면 메시지에서 발견되는 보조 정보를 활용한다. 보고된 국제 모바일 장치 식별코드(IMEI) 및 사용중인 요금제와 함께 새로운 보조 정보를 사용하여, 실시예들은 저비용으로 대부분의 허가되지 않은 SIM 박스 통화를 방지하는 데 효과적인 간단한 접속 제어 정책을 구축할 수 있다.To solve this problem and design reliable and practical access control for mobile communication networks, mobile network operators (MNOs) utilize auxiliary information found in control plane messages when a mobile device connects to the network. Using the new auxiliary information along with the reported International Mobile Equipment Identity (IMEI) and the rate plan in use, embodiments can build a simple access control policy that is effective in preventing most unauthorized SIM box calls at low cost. .

SIM 박스는 현재 이슈가 되고 있는 보이스피싱에 많이 사용되고 있는 장비로써, 인터넷 전화를 이동통신 전화로 바꿔주는 VoIP 게이트웨이 기능을 제공하는 장비이다. SIM 박스는 다른 단말들과 같이 베이스밴드를 가지고 있어서 이동통신망에 접속 시에 망에서는 일반적인 단말로 인식하게 된다. 하지만 해당 장비가 이동통신망에 접속하여 정상적인 서비스를 제공받는 것은 사용자의 보이스피싱 노출 위협 증가와 이동통신사의 수익 감소라는 큰 문제로 이어진다. The SIM box is a device widely used in voice phishing, which is currently a hot issue. It is a device that provides a VoIP gateway function that changes Internet calls into mobile phones. The SIM box has a baseband like other terminals, so when connected to a mobile communication network, the network recognizes it as a normal terminal. However, connecting the equipment to a mobile communication network and providing normal services leads to major problems such as an increase in the risk of users being exposed to voice phishing and a decrease in profits for mobile communication companies.

실시예들은 접속 제어 정책을 통하여 국제 모바일 장치 식별코드(IMEI)가 불법적으로 변경되었거나, 보이스피싱에 주요하게 사용되는 단말여부를 판단하여 해당 불법 단말들이 이동통신망에 접속하는 것을 원천 차단한다.Embodiments determine whether the international mobile device identification code (IMEI) has been illegally changed or a terminal is mainly used for voice phishing through an access control policy and block the illegal terminals from accessing the mobile communication network.

도 2는 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트 생성 방법을 나타내는 흐름도이다.Figure 2 is a flowchart showing a method of generating a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment.

도 2를 참조하면, 일 실시예에 따른 컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트 생성 방법은, 단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 단계(S110), 사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 단계(S120), 수집된 특징을 사용하여 특징 공간을 줄이는 단계(S130); 및 생성한 핑거프린트를 이용하여 심박스를 차단하는 단계를 포함하여 이루어질 수 있다. Referring to FIG. 2, the method of generating a fingerprint based on a control plane message of a mobile communication network terminal performed by a computer device according to an embodiment includes extracting features from a control plane message transmitted by the terminal to the mobile communication network (S110). , collecting terminal features considering settings within the terminal that can be changed by the user (S120), reducing the feature space using the collected features (S130); and blocking the SIM box using the generated fingerprint.

일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트 생성 방법은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 장치를 예를 들어 설명할 수 있다. The method of generating a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment can be explained by taking as an example a SIM box blocking device using a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment.

도 3은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트 생성 장치를 나타내는 블록도이다.Figure 3 is a block diagram showing an apparatus for generating a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment.

도 3을 참조하면, 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트 생성 장치(300)는 특징 추출부(310), 특징 수집부(320) 및 특징 공간 축소부(330)를 포함하여 이루어질 수 있다. 또한, 실시예에 따라 심박스 차단부를 더 포함할 수 있다.Referring to FIG. 3, the control plane message-based fingerprint generation device 300 of a mobile communication network terminal according to an embodiment includes a feature extraction unit 310, a feature collection unit 320, and a feature space reduction unit 330. This can be done. Additionally, depending on the embodiment, it may further include a sim box blocking unit.

단계(S110)에서, 특징 추출부(310)는 단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출할 수 있다. 특징 추출부(310)는 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환하고, 변환된 키-값(key-value) 표현 구조에서 특징을 키로 정의하고, 키 값 목록을 기반으로 특징 벡터를 생성하며, 특징 벡터에 대한 추가 분석 후, 단말의 핑거프린트를 구성할 수 있다. 여기서, 제어평면 메시지는 ATTACH Request 및 UECapabilityInformation를 포함하고, 제어평면 메시지를 반복적으로 수집하여 각 단말에 대해 특징을 추출할 수 있다. In step S110, the feature extractor 310 may extract features from the control plane message transmitted by the terminal to the mobile communication network. The feature extraction unit 310 converts the contents of the control plane message into a key-value expression structure, defines features as keys in the converted key-value expression structure, and creates a list of key values. Based on this, a feature vector is created, and after additional analysis of the feature vector, a fingerprint of the terminal can be constructed. Here, the control plane message includes ATTACH Request and UECapabilityInformation, and features can be extracted for each terminal by repeatedly collecting the control plane message.

단계(S120)에서, 특징 수집부(320)는 사용자가 변경 가능한 단말 내 설정을 고려하여 단말의 특징을 수집할 수 있다. In step S120, the feature collection unit 320 may collect features of the terminal by considering settings within the terminal that can be changed by the user.

단계(S130)에서, 특징 공간 축소부(330)는 수집된 특징을 사용하여 특징 공간을 줄일 수 있다. 즉, 특징 공간 축소부(330)는 특징들의 개수를 2차적으로 줄일 수 있다. 특징 공간 축소부(330)는 단말에서 값이 일정하지 않아 단말이 특정되지 않는 특징을 제거하고, 모든 단말에서 일관된 값을 갖는 특징을 필터링하며, 필터링 후, 남은 특징에 대해 단말의 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성할 수 있다. In step S130, the feature space reduction unit 330 may reduce the feature space using the collected features. That is, the feature space reduction unit 330 can quadratically reduce the number of features. The feature space reduction unit 330 removes features that do not specify a terminal because their values are not constant in the terminal, filters features that have consistent values in all terminals, and, after filtering, applies the remaining features to the terminal's fingerprint configuration. Clusters can be formed that group together features that make the same contribution.

이후, 심박스 차단부는 생성한 핑거프린트를 이용하여 심박스를 차단할 수 있다.Afterwards, the SIM box blocking unit can block the SIM box using the generated fingerprint.

아래에서 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법 및 장치를 보다 상세히 설명한다.Below, a method and device for blocking a SIM box using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment will be described in more detail.

장치 모델 핑거프린트 생성Create a device model fingerprint

시스템의 한 가지 중요한 부분은 제어평면 메시지에서 수집된 기능을 사용하여 생성된 핑거프린트가 각 모델마다 고유한지를 확인하는 것이다. 장치 모델이 고유한 핑거프린트를 가지는 경우, 실시예들은 이러한 핑거프린트를 활용하여 스푸핑이 쉬운 최종 장치가 보고한 국제 모바일 장치 식별코드(IMEI)를 대체할 수 있다.One important part of the system is to ensure that the fingerprint generated using features collected from control plane messages is unique for each model. If the device model has a unique fingerprint, embodiments may utilize this fingerprint to replace the International Mobile Equipment Identity (IMEI) reported by the end device, which is easy to spoof.

여기에서는 핑거프린트 생성 모델의 전반적인 절차를 설명한다. 먼저, 각 모델의 핑거프린트 구성에 잠재적으로 기여할 수 있는 특징을 제어평면 메시지에서 추출한다. 그런 다음, 사용자가 변경 가능한 단말 내 설정으로 각 모델의 특징을 수집하는 특징 수집 절차를 설명한다. 수집된 특징을 사용하여 특징 공간을 2차 구조(즉, 총 31,001개 특징에서 283개 특징 클러스터로)로 크게 줄이는 반자동 프루닝 절차를 수행한다.Here we describe the overall procedure of the fingerprint generation model. First, features that can potentially contribute to the fingerprint construction of each model are extracted from the control plane message. Next, we explain the feature collection procedure that collects the features of each model using settings within the terminal that can be changed by the user. Using the collected features, we perform a semi-automatic pruning procedure that significantly reduces the feature space to a second-order structure (i.e., from a total of 31,001 features to 283 feature clusters).

실시예들은 Attach 절차라고 하는 서비스 등록 중에 모바일 장치가 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출한다. 구체적으로, 기존 기술에서 영감을 받아(비특허문헌 1) NAS 및 RRC 프로토콜의 두 가지 메시지, 즉 ATTACH Request와 UECapabilityInformation를 활용한다. 이 메시지들은 전화 서비스, 데이터 통신 서비스, 위치 위치, 무선 기술, 전송 방법을 포함하는 장치의 기능을 포함한다.Embodiments extract features from control plane messages that a mobile device transmits to a mobile communication network during service registration, called the Attach procedure. Specifically, inspired by existing technology (Non-Patent Document 1), it utilizes two messages from the NAS and RRC protocols: ATTACH Request and UECapabilityInformation. These messages include device capabilities, including phone service, data communication service, location location, wireless technology, and transmission method.

NAS 계층에서 첫 번째로 전달되는 제어평면 메시지인 ATTACH Request에는 보안 알고리즘, 음성 코덱, 지원 네트워크, 전화 기능 등을 포함한 장치의 지원 기능이 포함되어 있다. ATTACH Request의 정보가 코어 네트워크와 관련된 기능들과 연관이 있는 반면, RRC 계층 메시지인 UECapabilityInformation은 eNB가 장치의 무선 접속 관련 기능을 알 수 있게 한다. 예를 들어, 그러한 무선 접속 기능에는 장치의 지원 무선 주파수, 반송파 집계(CA) 설정, 무선 자원 스케줄링 기능 등이 포함된다.The ATTACH Request, the first control plane message delivered from the NAS layer, contains the device's supported functions, including security algorithms, voice codecs, supported networks, and telephony functions. While the information in the ATTACH Request is related to core network-related functions, the UECapabilityInformation, an RRC layer message, allows the eNB to know the wireless access-related functions of the device. For example, such wireless connectivity features include the device's supported radio frequencies, carrier aggregation (CA) settings, wireless resource scheduling functions, etc.

도 4는 일 실시예에 따른 메시지에서 특징 추출 방법을 설명하기 위한 도면이다.Figure 4 is a diagram for explaining a method of extracting features from a message according to an embodiment.

도 4에 도시된 바와 같이, 예를 들어 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환한다. ATTACH Request 메시지에서 NAS 사양에서 정의한 특정 형식에 따라 정보 요소(IE)의 이름과 해당 데이터가 각각 키와 값이 된다. 마찬가지로, UECapabilityInformation 메시지는 ASN.1 형식을 따르며 이 경우 필드 이름이 키가 된다. 이 변환은 메시지 형식을 직접 활용하므로 메시지의 일부 필드(또는 IE)에 값이 할당되지 않을 수 있다. 이러한 경우 수동으로 값을 "Exist"로 설정한다.As shown in Figure 4, for example, the content of the control plane message is converted into a key-value representation structure. In the ATTACH Request message, the name of the information element (IE) and the corresponding data become the key and value, respectively, according to the specific format defined in the NAS specification. Likewise, the UECapabilityInformation message follows ASN.1 format, where the field names are the keys. Because this conversion utilizes the message format directly, some fields (or IEs) in the message may not be assigned values. In this case, manually set the value to "Exist".

이 작업에서, 변환된 표현에서의 특징을 키로 정의한다. 그런 다음, 키 값 목록을 기반으로 특징 벡터를 생성한다. 특징 벡터에 대한 추가 분석 후, 장치의 핑거프린트를 구성한다. 이를 위해 제어평면 메시지(즉, ATTACH Request 및 UECapabilityInformation)를 반복적으로 수집하고 각 장치에 대해 위의 특징 추출 절차를 수행한다.In this work, the features in the converted representation are defined as keys. Then, a feature vector is generated based on the key value list. After further analysis of the feature vectors, a fingerprint of the device is constructed. To achieve this, control plane messages (i.e., ATTACH Request and UECapabilityInformation) are repeatedly collected and the above feature extraction procedure is performed for each device.

기존 기술(비특허문헌 1)은 기본 옵션만 사용하여 각 장치 모델의 제어평면 특징을 수집할 것을 제안한다. 그러나 본 실시예에서는 최종 사용자가 모바일 장치의 소유권을 가지고 다양한 옵션으로 단말의 설정을 변경하면 기본 옵션을 사용한 모바일 장치와 다른 핑거프린트를 가질 수 있음을 보여준다. 따라서, 동일한 모델에서 생성된 특징 벡터는 각 사용자가 단말을 설정한 것에 따라 다를 수 있다. 실제로 특정 무선 주파수를 사용하도록 단말기를 설정하거나 단말기가 사용할 네트워크 종류를 5G와 LTE 중 설정할 수 있다. 또한, 동일한 장치의 기본 설정도 장치의 네트워크 기능에 영향을 미치는 서비스(예컨대, 셀 설정)에 따라 다르기 때문에 각 사용자가 어떤 모바일 네트워크 사업자(MNO)를 사용하는지에 따라 달라질 수 있다. 이는 최종 사용자의 단말 설정 변경이 장치의 특징 벡터를 다양화한다는 것을 의미한다.Existing technology (Non-Patent Document 1) proposes to collect control plane characteristics of each device model using only basic options. However, this embodiment shows that if the end user takes ownership of the mobile device and changes the terminal settings with various options, he or she can have a different fingerprint from the mobile device using the default options. Therefore, feature vectors generated from the same model may differ depending on each user's terminal settings. In fact, you can set the terminal to use a specific radio frequency or set the type of network the terminal will use between 5G and LTE. Additionally, default settings for the same device may also vary depending on which mobile network operator (MNO) each user uses because they vary depending on services (e.g., cell settings) that affect the device's network functionality. This means that the end user's change in terminal settings diversifies the device's feature vector.

스마트폰 모델의 핑거프린트를 구축하기 위해 최종 사용자의 설정이 장치에 미치는 영향을 이해하고 활용하는 것이 필요하다. 스마트폰 모델의 핑거프린트를 단말의 기본 옵션으로 생성된 특징 벡터만 고려하여 구성하면 사용자가 임의로 설정한 장치는 동일한 모델임에도 변형된 특징 벡터를 가지기 때문에 핑거프린트가 그 모델을 완벽히 반영하지 못한다. 장치 모델을 잘못 식별하면 접속 제어 정책에서 잘못된 결과가 도출될 수 있다. 실시예들에 따른 실험은 최종 사용자 설정의 영향을 무시한 채 핑거프린트를 통해 단말 모델을 구분하면 상당히 낮은 성능을 가진다는 것을 보여주며, 이 경우 특징 집합을 장치 모델의 핑거프린트이라 부를 수 없다.To build a fingerprint of a smartphone model, it is necessary to understand and leverage how end-user settings affect the device. If the fingerprint of a smartphone model is constructed considering only the feature vectors generated as the basic options of the terminal, the device arbitrarily set by the user has a modified feature vector even though it is the same model, so the fingerprint does not completely reflect the model. Incorrectly identifying the device model can lead to incorrect results in access control policies. Experiments according to embodiments show that distinguishing device models through fingerprints, ignoring the influence of end-user settings, has significantly lower performance, and in this case, the feature set cannot be called the fingerprint of the device model.

이 문제를 해결하기 위해 각 장치에 대해 설정을 변경하며 특징 추출 절차를 수행한다. 다양한 설정 중에서, 개별 장치 모델을 구별하는 대부분의 기능이 네트워크 기능과 관련이 있기 때문에 최종 사용자가 수정할 수 있는 네트워크 관련 설정에 초점을 맞춘다. To solve this problem, settings are changed for each device and a feature extraction procedure is performed. Among the various settings, we focus on network-related settings that the end user can modify, since most of the features that distinguish individual device models are related to network functionality.

표 1은 일 실시예에 따른 특징 추출에 사용하는 옵션을 나타낸다. Table 1 shows options used for feature extraction according to one embodiment.

[표 1][Table 1]

최종 사용자가 장치 설정을 변경할 수 있는 일반적인 두 가지 방법은 설정 탭에서의 변경과 엔지니어링 모드가 있다. 우선 iOS와 안드로이드 모바일 운영체제 모두에서 설정 탭을 통해 선호하는 무선 기술(예컨대, 5G-SA, 5G-NSA, LTE)을 선택할 수 있다. 둘째, 기술에 정통한 사용자는 다양한 추가 설정을 제공하는 엔지니어링 모드를 통해 장치의 설정을 변경할 수 있다. 이러한 옵션은 베이스밴드 공급업체와 스마트폰 제조업체에 따라 다를 수 있다. 그 중에서, 여기에서는 LTE 관련 구성 옵션, 즉 대역 선택과 서비스 도메인 선택을 다룬다.Two common ways end users can change device settings are through changes in the Settings tab and in Engineering Mode. First, you can select your preferred wireless technology (e.g., 5G-SA, 5G-NSA, LTE) through the settings tab on both iOS and Android mobile operating systems. Second, tech-savvy users can change the device's settings through Engineering Mode, which offers a variety of additional settings. These options may vary depending on your baseband vendor and smartphone manufacturer. Among them, this covers LTE-related configuration options, namely band selection and service domain selection.

마지막으로, 세 가지 다른 모바일 네트워크 사업자(MNO)에 의해 발행된 SIM을 사용해 모델의 특징을 각각 수집한다. 이것은 장치가 서로 다른 모바일 네트워크 사업자(MNO) 하에서 네트워크에 연결될 때 제어평면 메시지(따라서 핑거프린트에 사용하는 특징)가 변경되는지 여부를 확인하기 위한 것이다.Finally, we collect the model features separately using SIMs issued by three different mobile network operators (MNOs). This is to check whether the control plane messages (and therefore the characteristics used for fingerprinting) change when devices connect to networks under different mobile network operators (MNOs).

사용 가능한 옵션으로 테스트하는 모든 장치에서 특징 벡터를 추출한 후, 이러한 특징의 체계적인 프루닝을 수행한다. 이는 실시예들에 따른 작업이 기존의 장치 모델의 핑거프린트 작업(비특허문헌 1)과 가장 구분되는 부분이다. 기존 연구의 이 작업에서는 배경 지식이 있는 연구자들이 작은 데이터셋 내에서 고른 일부 특징 벡터로 일화적 증거(anecdotal evidence)를 제공한다. 반면, 실시예들은 큰 특징 공간에 대한 반자동 프루닝 절차를 체계적으로 구축한다. 특징 벡터를 체계적으로 정리하는 것은 다음 두 가지 이유로 매우 중요하다. After extracting feature vectors from all devices tested with available options, systematic pruning of these features is performed. This is where the work according to the embodiments is most distinguished from the fingerprint work of the existing device model (Non-Patent Document 1). In this work, researchers with background knowledge provide anecdotal evidence with some feature vectors picked from within a small dataset. On the other hand, embodiments systematically build a semi-automatic pruning procedure for a large feature space. Organizing feature vectors systematically is very important for two reasons:

먼저, 큰 특징 공간에 존재하는 모든 특징이 장치 모델에만 국한되는 것은 아니다. 예를 들어, 일부 특징은 일시적 세션 정보(예컨대, 키 식별자, 시퀀스 번호, 트랜잭션 식별자)에 따라 달라지므로 장치 모델 식별에 적절하지 않다. 또한 일부는 각 사용자의 정보(예컨대, IMSI, TMSI)를 가지고 있다. 또한 일부는 너무 조잡하다(예컨대, 모든 장치가 동일한 특징을 공유한다).First, not all features in the large feature space are specific to the device model. For example, some features depend on transient session information (e.g., key identifier, sequence number, transaction identifier) and are therefore not suitable for device model identification. Additionally, some contain information about each user (eg, IMSI, TMSI). Also, some are too crude (e.g., all devices share the same features).

또한, 장치 모델에 고유한 특징(따라서 핑거프린트에 유용)은 시간이 지남에 따라 변화하므로 변화를 반영하기 위해 프루닝을 자주 반복해야 한다. 예를 들어, 새로운 장치 모델이 시장에 소개될 때마다 새로운 특징이 등장하기 때문에 보다 자세한 장치 핑거프린트를 제공할 수 있다.Additionally, the features inherent to a device model (and thus useful for fingerprinting) change over time, so pruning must be repeated frequently to reflect changes. For example, it can provide a more detailed device fingerprint as new features emerge each time a new device model is introduced to the market.

그러나 다음 두 가지 이유로 장치 핑거프린트 특징의 프루닝은 쉽지 않다. 첫째, 현대의 4G/5G 이동통신망 제어평면 채널에는 너무 많은 특징이 있다. 특징의 수는 수만 개(예컨대, 테스트의 31,001개 특징)이며, 표준 사양의 지속적인 개발을 고려하면 이 수는 시간이 지남에 따라 증가한다. 둘째, 그러한 많은 특징 중 장치 모델 핑거프린트에 실제로 유용한 것들은 항상 실시예들에 따른 배경 지식과 잘 맞지 않아, 프루닝 과정은 전문가들에게도 (지루할 뿐만 아니라) 어렵다. 예를 들어, 특징들은 종종 구현의 차이로 인해 3GPP 표준을 따르지 않는다.However, pruning device fingerprint features is not easy for two reasons: First, there are too many features in modern 4G/5G mobile network control plane channels. The number of features is in the tens of thousands (e.g., 31,001 features in the test), and this number increases over time given the ongoing development of the standard specification. Second, many of those features that are actually useful for device model fingerprinting do not always fit well with the background knowledge of the embodiments, making the pruning process difficult (as well as tedious) even for experts. For example, features often do not follow 3GPP standards due to differences in implementation.

따라서, 실시예들은 장치 모델 핑거프린트를 위한 특징을 프루닝하기 위한 단순하지만 매우 효과적인 접근 방식을 제시하는데, 이는 궁극적으로 실제 이동통신망에서 SIM 박스 사기 예방에 사용될 수 있다.Accordingly, the embodiments present a simple yet highly effective approach for pruning features for device model fingerprints, which can ultimately be used to prevent SIM box fraud in real-world mobile networks.

도 5는 일 실시예에 따른 특징 프루닝 절차의 개요를 나타내는 도면이다.Figure 5 is a diagram illustrating an outline of a feature pruning procedure according to an embodiment.

도 5를 참조하면, 세 가지 단계에서 모두 다양한 옵션이 있는 장치에서 수집된 특징 벡터의 비교 분석을 활용한다. Referring to Figure 5, all three steps utilize comparative analysis of feature vectors collected from devices with various options.

단계 510에서, 모델 내 분석을 수행할 수 있다. 먼저, 장치 모델에 특정되지 않는 특징을 제거하는 것을 목표로 한다. 특히, 이 단계에서는 동일한 구성의 장치 모델 내에서 값이 일정하지 않은 특징을 알아낸다(도 3의 T1 참조). 이러한 일관되지 않은 특징은 장치 모델 핑거프린트를 구성하는 데 사용해서는 안된다. 이를 위해 동일한 장치 모델에 대해 비교 분석을 실시한다. 그런 다음, 이러한 특징에 대한 특성화 절차(T1)를 거쳐 사양서로 확인한다. 결과적으로, 그러한 특징들은 (1) 개별 사용자별(예컨대, IMSI 또는 TMSI와 같은 식별자), (2) 세션별(예컨대, MAC, 시퀀스 번호), (3) 상세한 무선 대역 정보(예컨대, 대역 구성의 정보, CA에 대해 지원되는 대역 조합)로 분류될 수 있다는 것을 관찰할 수 있다. 또한, 이미 T1에 있는 것과 유사한 특성을 가진 특징을 추가하여 T1을 업데이트한다. 그리고 사양서를 참조하여 이러한 기능을 수동으로 확인한다. 예를 들어, RRC 메시지에는 동일한 특징을 나타내지만 이름이 다른 일부 필드(예컨대, supportedBandCombination-r10, supportedBandCombination-v1130)가 있다. 결과적으로, 이 단계에서는 총 31,001개의 특징을 971개의 특징으로 크게 줄인다. At step 510, analysis within the model may be performed. First, we aim to remove features that are not specific to the device model. In particular, in this step, features whose values are not constant within a device model of the same configuration are identified (see T1 in FIG. 3). These inconsistent characteristics should not be used to construct device model fingerprints. For this purpose, comparative analysis is performed on the same device model. Then, these features are confirmed with specifications through a characterization procedure (T1). As a result, such characteristics may be (1) per individual user (e.g., an identifier such as IMSI or TMSI), (2) per session (e.g., MAC, sequence number), (3) detailed radio band information (e.g., band configuration, It can be observed that information,can be classified into (band combinations supported for CA). Additionally, we update T1 by adding features with similar characteristics to those already in T1. Then, manually check these functions by referring to the specifications. For example, in the RRC message, there are some fields that exhibit the same characteristics but have different names (e.g., supportedBandCombination-r10, supportedBandCombination-v1130). As a result, this step significantly reduces the total of 31,001 features to 971 features.

단계 520에서, 모델 간 분석을 수행할 수 있다. 그런 다음, 모든 장치 모델에서 일관된 값을 갖는 특징을 필터링한다. 단계 510과 유사하게, 다양한 옵션을 가진 다양한 모델의 장치에 대한 비교 분석을 수행한다. 그런 다음, 일관된 값을 갖는 특징을 T2로 분류한다(도 3 참조). T2의 특징을 특성화한 후, 그것들을 몇 가지 유형으로 더 분류한다. (1) 메시지의 IE 또는 필드 이름, (2) 사용하지 않는 값(예컨대, EEA5-7)에 대한 필드, (3) 구식 알고리즘(예컨대, AS5/2)을 나타내는 특징으로 분류할 수 있다. 요약하면, 단계 520는 T2에 29개의 특징을 만들고, 그것들을 특징 벡터에서 제거한다. 현 시점에 제거하는 이러한 특징은 나중에 새로운 장치 모델이 시장에 출시될 때 장치 모델 핑거프린트에 유용하게 쓰일 수도 있다. 따라서 이 프루닝은 지속적으로 반복해야 한다.At step 520, a cross-model analysis may be performed. Then, we filter out features that have consistent values across all device models. Similar to step 510, a comparative analysis is performed on various models of devices with various options. Then, features with consistent values are classified as T2 (see Figure 3). After characterizing the features of T2, we further classify them into several types. They can be classified into features that indicate (1) the IE or field name of the message, (2) fields for unused values (e.g., EEA5-7), and (3) outdated algorithms (e.g., AS5/2). In summary, step 520 creates 29 features in T2 and removes them from the feature vector. Removing these features now may be useful for device model fingerprinting later when new device models come to market. Therefore, this pruning must be repeated continuously.

단계 530에서, 클러스터링을 수행할 수 있다. 이 특징들의 경우, 장치 모델 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성한다. 즉, 동일한 클러스터에 있는 두 개의 특징을 통해 장치 모델들은 동일하게 분류된다. 이 클러스터링 절차는 특징 공간을 줄일 뿐만 아니라 핑거프린트 결과를 더 잘 이해하고 분석하는 데에도 도움이 된다. 클러스터링의 기본 아이디어는 다음 조건을 만족하는 특징(예컨대, A 및 B)을 그룹화하는 것이다. 어떤 두 장치의 특징 A에 대한 값이 같다면, 그들의 특징 B에 대한 값 또한 같다. 동일한 클러스터에 있는 모든 특징에 대해 두 장치의 특징 벡터에 있는 이러한 특징의 값은 완전히 동일하거나 완전히 다르다. 따라서, 동일한 클러스터 내에 있는 여러 특징은 핑거프린트를 구성하는 하나의 특징으로 간주할 수 있다.In step 530, clustering may be performed. These features form a cluster that groups features that contribute equally to the construction of the device model fingerprint. That is, device models are classified identically through two features in the same cluster. This clustering procedure not only reduces the feature space, but also helps to better understand and analyze the fingerprint results. The basic idea of clustering is to group features (e.g. A and B) that satisfy the following conditions: If any two devices have the same value for feature A, then their values for feature B are also the same. For all features in the same cluster, the values of these features in the feature vectors of both devices are either completely identical or completely different. Therefore, multiple features within the same cluster can be considered as one feature constituting a fingerprint.

아래에서는 간단한 예를 들어본다. 5G-NSA의 주파수 가용성을 나타내는 특징이 있는 경우, 주파수에 대한 암호화 및 무결성 알고리즘을 나타내는 다른 특징들도 존재하며 항상 동일한 값을 갖는다. 자동 클러스터링 특징은 이러한 특징을 그룹화하여 표준 문서를 읽을 때 즉시 표시되지 않는 특징 간의 관계를 이해하는 데 도움이 된다. 이 클러스터링 단계가 끝나면 특징이 최종적으로 283개의 클러스터로 그룹화된다. Below is a simple example. If there is a feature indicating the frequency availability of 5G-NSA, other features indicating the encryption and integrity algorithm for the frequency are also present and always have the same value. Automatic clustering features group these features together to help you understand relationships between features that aren't immediately visible when reading a standard document. After this clustering step, the features are finally grouped into 283 clusters.

마지막으로, 제어평면 메시지에서의 특징 추출에서 특징 프루닝까지의 여러 절차를 통해, 실시예들은 주어진 장치 모델의 여러 특징 벡터를 포함하는 집합으로 핑거프린트를 구성한다. 앞에서 설명한 바와 같이, 하나의 장치는 구성된 각 옵션에 해당하는 여러 개의 특징 벡터를 가질 수 있다는 것에 유의한다.Finally, through several procedures ranging from feature extraction from control plane messages to feature pruning, embodiments construct a fingerprint as a set containing multiple feature vectors of a given device model. Note that, as previously explained, one device may have multiple feature vectors corresponding to each configured option.

도 6은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법을 나타내는 흐름도이다.Figure 6 is a flowchart showing a method for preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment.

도 6을 참조하면, 일 실시예에 따른 컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법은, 이동통신망에서 음성 통화를 위한 접속 제어 목록(Access Control List, ACL)을 제공하는 단계(S210)를 포함하고, 음성 통화를 위한 접속 제어 목록(ACL)을 제공하는 단계(S210)는, 보고된 단말의 국제 모바일 장치 식별코드(IMEI)의 진위 여부를 식별하는 단계(S211)를 포함할 수 있다. Referring to FIG. 6, a method of preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal performed by a computer device according to an embodiment includes an access control list (Access Control List) for voice calls in a mobile communication network. , ACL), and the step of providing an access control list (ACL) for a voice call (S210) identifies the authenticity of the International Mobile Equipment Identity (IMEI) of the reported terminal. It may include a step (S211).

또한, 국제 모바일 장치 식별코드(IMEI)의 진위 여부가 식별되지 않은 경우, 단말의 가입된 요금제가 장치 유형과 일치하는지 확인하는 단계(S212)를 더 포함할 수 있다.In addition, if the authenticity of the International Mobile Equipment Identification Code (IMEI) is not identified, a step (S212) of checking whether the subscribed rate plan of the terminal matches the device type may be further included.

일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 시스템을 예를 들어 설명할 수 있다. A method of preventing SIM box fraud using a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment is explained by taking as an example a SIM box fraud prevention system using a fingerprint based on a control plane message of a mobile communication network terminal according to an embodiment. can do.

도 7은 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 시스템을 나타내는 블록도이다.Figure 7 is a block diagram showing a SIM box fraud prevention system using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment.

도 7을 참조하면, 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 시스템은 접속 제어 목록 제공부(710)를 포함할 수 있다. 여기서, 접속 제어 목록 제공부(710)는 국제 모바일 장치 식별코드 식별부(711) 및 요금제 판별부(712)를 더 포함할 수 있다. Referring to FIG. 7, a SIM box fraud prevention system using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment may include an access control list providing unit 710. Here, the access control list providing unit 710 may further include an international mobile device identification code identification unit 711 and a rate plan determination unit 712.

단계(S210)에서, 접속 제어 목록 제공부(710)는 이동통신망에서 음성 통화를 위한 접속 제어 목록(ACL)을 제공할 수 있다. In step S210, the access control list providing unit 710 may provide an access control list (ACL) for voice calls in a mobile communication network.

단계(S211)에서, 국제 모바일 장치 식별코드 식별부(711)는 보고된 단말의 국제 모바일 장치 식별코드(IMEI)의 진위 여부를 식별할 수 있다. In step S211, the international mobile device identification code identification unit 711 may identify the authenticity of the reported international mobile device identification code (IMEI) of the terminal.

단계(S212)에서, 요금제 판별부(712)는 국제 모바일 장치 식별코드(IMEI)의 진위 여부가 식별되지 않은 경우, 단말의 가입된 요금제가 장치 유형과 일치하는지 확인할 수 있다. In step S212, if the authenticity of the international mobile device identification code (IMEI) is not identified, the rate plan determination unit 712 may check whether the subscribed rate plan of the terminal matches the device type.

아래에서 일 실시예에 따른 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법 및 시스템을 보다 상세히 설명한다.Below, a method and system for preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal according to an embodiment will be described in more detail.

SIM 박스 사기 방지 시스템SIM box fraud prevention system

실시예들에 따라 수집한 효과적인 핑거프린트를 활용하여, SIM 박스 사기 방지 시스템을 설계한다. 이 시스템은 이동통신망에서 허가되지 않은 SIM 박스 음성 통화를 방지(사기가 시작된 후 감지하지 않음)하는 최초의 시스템이다. 아래에서는 SIM 박스 사기 방지 시스템 설계에 사용되는 이동통신망에서 음성 통화 허가를 위한 강력한 접속 제어 정책을 제안한다. 그런 다음, 제안된 시스템이 운영 네트워크에 채택될 수 있는 방법을 설명한다.Using effective fingerprints collected according to embodiments, a SIM box fraud prevention system is designed. This system is the first of its kind to prevent unauthorized SIM box voice calls on mobile networks (without detecting the fraud once it has started). Below, we propose a strong access control policy for voice call authorization in mobile communication networks, which is used to design a SIM box fraud prevention system. We then describe how the proposed system can be adopted into operational networks.

실시예들은 엄격한 접속 제어 정책으로 SIM 박스 사기 방지 시스템을 설계한다. 특히, 실시예들은 이동통신망에서 음성 통화를 위한 접속 제어 목록(Access Control List, ACL)을 제안한다. 위협 모델에서 사기범에 의해 악용되는 주요 시스템 리소스가 음성 통화이기 때문에 음성 통화에만 초점을 맞춘다.Embodiments design a SIM box fraud prevention system with a strict access control policy. In particular, embodiments propose an access control list (ACL) for voice calls in mobile communication networks. In our threat model, we only focus on voice calls because they are the main system resource exploited by fraudsters.

접속 제어 목록(ACL)의 경우, 실시예들은 모바일 네트워크 사업자(MNO)의 네트워크에 연결된 각 장치에 대해 얻을 수 있는 서로 다른 세 가지 필드를 활용한다. (i) 장치 보고 국제 모바일 장치 식별코드(IMEI), (ii) 제어평면 특징(또는 핑거프린트), (iii) 요금제 종류. 처음 두 가지는 앞에서 설명하였으며, 요금제 종류란 모바일 네트워크 사업자(MNO)로부터 SIM을 구입할 때 일반적으로 최종 사용자가 선택하는 서비스 요금제의 유형을 나타낸다. 음성 통화를 위한 접속 제어 목록(ACL)의 목적을 위해, 서비스 요금제의 대략적인 구분만을 사용한다. 전화 요금제(음성 통화와 모바일 데이터 모두 허용) 또는 IoT 요금제(모바일 데이터만 허용)이다.For the access control list (ACL), embodiments utilize three different fields that can be obtained for each device connected to the mobile network operator's (MNO) network. (i) Device Reporting International Mobile Equipment Identity (IMEI), (ii) Control Plane Characteristics (or Fingerprint), and (iii) Plan Type. The first two were explained earlier, and the rate plan type refers to the type of service plan that an end user generally selects when purchasing a SIM from a mobile network operator (MNO). For the purposes of access control lists (ACLs) for voice calls, only a rough breakdown of service plans is used. Either a phone plan (allows both voice calls and mobile data) or an IoT plan (allows only mobile data).

표 2은 일 실시예에 따른 접속 제어 목록(ACL)을 나타낸다. Table 2 shows an access control list (ACL) according to one embodiment.

[표 2][Table 2]

이는 제어평면 핑거프린트를 사용하는 이동통신망에서 음성 통화를 사용하기 위해 소개된 첫 번째 접속 제어 정책이다. 제어평면 핑거프린트가 없으면 국제 모바일 장치 식별코드(IMEI)는 쉽게 스푸핑될 수 있기 때문에 강력한 접속 제어를 적용할 수 없다.This is the first access control policy introduced for voice calls in mobile networks using control plane fingerprints. Without control plane fingerprinting, strong access control cannot be applied because International Mobile Equipment Identity (IMEI) can be easily spoofed.

표 2의 정책을 보다 쉽게 이해할 수 있도록 두 단계로 나누어 설명한다. 1단계에서는 국제 모바일 장치 식별코드(IMEI) 값이 확실히 스푸핑되었거나 확실히 진짜인 장치를 식별한다. 국제 모바일 장치 식별코드(IMEI)의 진위가 결정적이지 않을 때, 장치는 2단계로 보내지며, 여기서 가입된 요금제의 유형이 장치 유형과 일치하는지 확인한다.To make the policy in Table 2 easier to understand, it is explained in two steps. Step 1 identifies devices whose International Mobile Equipment Identity (IMEI) value is clearly spoofed or definitely authentic. When the authenticity of the International Mobile Equipment Identity (IMEI) is inconclusive, the device is sent to step 2, where it is checked whether the type of subscribed plan matches the device type.

1단계의 주요 목표는 보고된 장치의 국제 모바일 장치 식별코드(IMEI)의 진정성(즉, 진위성, 조작성 또는 미결정성)을 결론짓는 것이다. 시스템은 보고된 국제 모바일 장치 식별코드(IMEI)가 진위 또는 조작되었다고 결론을 내리면 1단계에서 사례를 종결한다(예컨대, 표 2의 사례 1-8). 제어평면 특징의 증거 부족으로 진위가 결정되지 않은 경우, 2단계(예컨대, 표 2의 사례 9-12)에서 더 많은 조사를 수행한다.The primary goal of Stage 1 is to conclude the authenticity (i.e., authenticity, tampering, or indeterminacy) of the International Mobile Equipment Identity (IMEI) of the reported device. The system closes the case in step 1 if it concludes that the reported International Mobile Equipment Identity (IMEI) is authentic or tampered with (e.g., cases 1-8 in Table 2). If authenticity cannot be determined due to lack of evidence of control plane characteristics, further investigation is performed in step 2 (e.g., cases 9-12 in Table 2).

1단계는 보고된 국제 모바일 장치 식별코드(IMEI)와 제어평면 핑거프린트라는 처음 두 필드를 활용한다. 제어평면 특징에서 추론된 장치 모델 정보와 보고된 국제 모바일 장치 식별코드(IMEI)에 지정된 모델을 비교한다. 이를 위해 수집된 제어평면 특징과 핑거프린트 데이터베이스를 사용한다. 각 장치 모델이 고유한 핑거프린트를 갖는 경우, 수집된 제어평면 특징이 스마트폰 모델의 핑거프린트 중 하나와 일치하면 해당 장치가 특정 스마트폰이라고 결론을 내릴 수 있다. 그런 다음, 보고된 국제 모바일 장치 식별코드(IMEI)의 신뢰성을 결론짓기 위해 국제 모바일 장치 식별코드(IMEI)에 지정된 장치 모델과 비교한다. 표 2의 사례 1-8은 국제 모바일 장치 식별코드(IMEI)의 진위를 접속 제어 목록(ACL)의 1단계에서 결론짓는 사례들이다.Stage 1 utilizes the first two fields reported: the International Mobile Equipment Identity (IMEI) and the control plane fingerprint. Compare device model information inferred from control plane characteristics with the model specified in the reported International Mobile Equipment Identity (IMEI). For this purpose, the collected control plane features and fingerprint database are used. If each device model has a unique fingerprint, if the collected control plane features match one of the smartphone model's fingerprints, it can be concluded that the device is a specific smartphone. It is then compared to the device model specified in the IMEI to conclude the reliability of the reported IMEI. Cases 1-8 in Table 2 are cases where the authenticity of the International Mobile Equipment Identity (IMEI) is concluded in step 1 of the Access Control List (ACL).

i) 보고된 국제 모바일 장치 식별코드(IMEI)에 지정된 장치 모델이 존재 (네트워크에 등록)하고 이 모델이 제어평면 특징으로 생성된 핑거프린트로 식별한 모델과 일치하는 경우, 비사기 사례로 간주한다(사례 1, 6).i) If the device model specified in the reported International Mobile Equipment Identity (IMEI) exists (registered on the network) and this model matches the model identified by the fingerprint generated by the control plane features, it is considered a non-fraud case. (Cases 1 and 6).

ii) 보고된 국제 모바일 장치 식별코드(IMEI)에 지정된 장치 모델이 존재하지만 제어평면 특징으로 생성된 핑거프린트로 식별한 모델과 일치하지 않는 경우, 이를 사기 사례로 간주한다(사례 2-5, 7).ii) If the device model specified in the reported International Mobile Equipment Identity (IMEI) exists but does not match the model identified by the fingerprint generated by the control plane features, this is considered a case of fraud (Cases 2-5, 7 ).

iii) 제어평면 특징으로 생성된 핑거프린트로 식별한 모델이 국제 모바일 장치 식별코드(IMEI)에 지정된 모델과 다른 경우, 이를 사기 사례로 간주한다(사례 8).iii) If the model identified by the fingerprint generated by the control plane features is different from the model specified in the International Mobile Equipment Identity (IMEI), this is considered a case of fraud (Case 8).

스마트폰의 국제 모바일 장치 식별코드(IMEI) 또는 제어평면 특징으로 생성한 핑거프린트로 모델을 식별 가능할 때, 1단계는 false positive가 없는 것을 보장한다(사례 1-5, 8). 이는 실시예들에 따른 핑거프린트가 기존 스마트폰 모델의 가능한 모든 변형 핑거프린트를 캡처할 수 있기 때문이다.When the model can be identified by the smartphone's International Mobile Equipment Identity (IMEI) or a fingerprint generated by the control plane features, step 1 ensures that there are no false positives (Cases 1-5, 8). This is because fingerprints according to embodiments can capture all possible variant fingerprints of existing smartphone models.

그러나 1단계의 사기가 아닌 사례(표 2의 사례 6)에서 일부 false negative가 발생할 수 있다. 예를 들어, 보고된 국제 모바일 장치 식별코드(IMEI)에 지정된 모델과 제어평면 특징으로 생성된 핑거프린트가 모두 동일한 IoT 장치를 나타내더라도, 공격자가 등록된 장치와 동일한 핑거프린트를 갖고 해당 장치를 가장하는 SIM 박스를 사용할 때 false negative가 발생할 수 있다. 그러나, 이것은 실시예들에 따른 SIM 박스 사기 방지 효과를 의미 있게 감소시키지 않는다. 이것은 이 niche false negative 사례를 이용하기 위해서는 공격자가 우연히 SIM 박스와 핑거프린트를 공유하는 IoT 장치를 갖고 있거나 SIM 박스와 같은 핑거프린트를 갖도록 직접 IoT 장치를 변경해야 하고, 또한 네트워크에 등록된 IoT 장치의 정확한 국제 모바일 장치 식별코드(IMEI)를 알아야 하기 때문이다. 실시예들에 따르면 제어평면 특징을 조작하는 것이 사소하지 않고 비용이 많이 든다는 것을 보여준다. 또한 CDR 또는 사용 패턴 분석을 사용하여 일반적인 IoT 장치를 쉽게 구분할 수 있고, 등록/가입 정보에 기반한 국제 모바일 장치 식별코드(IMEI) 중복 확인 정책을 사용한다면 해당 사기꾼을 쉽게 탐지할 수 있다고 믿는다.However, some false negatives may occur in cases that are not stage 1 fraud (Case 6 in Table 2). For example, even though the model specified in the reported International Mobile Equipment Identity (IMEI) and the fingerprint generated by the control plane features both represent the same IoT device, an attacker can impersonate that device with the same fingerprint as the registered device. False negatives may occur when using a SIM box that However, this does not significantly reduce the SIM box fraud prevention effectiveness according to embodiments. This means that in order to exploit this niche false negative case, an attacker would either happen to have an IoT device that shares a fingerprint with the SIM box, or would have to directly modify the IoT device to have the same fingerprint as the SIM box, and would also need to obtain a copy of the IoT device registered on the network. This is because you need to know the exact International Mobile Equipment Identity (IMEI). Embodiments show that manipulating control plane features is non-trivial and expensive. We also believe that common IoT devices can be easily distinguished using CDR or usage pattern analysis, and that fraudsters can be easily detected using an International Mobile Equipment Identity (IMEI) duplicate check policy based on registration/subscription information.

2단계에서는 보고된 국제 모바일 장치 식별코드(IMEI)의 진위가 결정되지 않은 장치를 다룬다. 이러한 경우 SIM 박스 사용 가능성을 완전히 배제할 수 없기 때문에, SIM 박스를 더 잘 다루기 위해 각 모바일 네트워크 사업자(MNO)에 배치되어야 한다고 주장하는 몇 가지 새로운 운영 접속 제어 정책 규칙에 의존한다. 구체적으로 말하면, 운영 접속 제어 목록(ACL) 규칙은 국제 모바일 장치 식별코드(IMEI) 및 제어평면 특징과 함께 가입 요금제를 검토하여 시스템에 대한 무단 접속을 확인한다(표 2의 사례 9-12 참조). 다시 말하면, 전화와 IoT 요금제의 대략적인 분류를 사용한다.Phase 2 addresses devices for which the authenticity of the reported International Mobile Equipment Identity (IMEI) has not been determined. Since the possibility of SIM box usage cannot be completely ruled out in these cases, we rely on some new operational access control policy rules that we argue should be deployed in each mobile network operator (MNO) to better handle SIM boxes. Specifically, operational access control list (ACL) rules examine subscription plans along with International Mobile Equipment Identity (IMEI) and control plane characteristics to identify unauthorized access to the system (see examples 9-12 in Table 2). . In other words, we use a rough classification of phone and IoT plans.

여기에서는 모바일 네트워크 사업자(MNO)가 다음과 같은 간단한 운영 정책을 채택할 것으로 예상한다: "전화 요금제는 등록되지 않은 IoT 장치에 대해 허용되어서는 안된다." 이것은 실제로 모든 합법적이고 인증된 SIM 박스 애플리케이션이 음성 통화 접속을 가질 수 있도록 모바일 네트워크 사업자(MNO)(예컨대, T-Mobile의 BYOD)에 등록하도록 강제한다.Here, we expect mobile network operators (MNOs) to adopt a simple operational policy: “Telephone plans should not be accepted for unregistered IoT devices.” This forces virtually all legitimate, authenticated SIM box applications to register with a mobile network operator (MNO) (e.g., T-Mobile's BYOD) to be able to have voice call connectivity.

이 운영 정책과 함께 2단계는 다음 두 가지 기준(표 2의 사례 9-12)을 가진 장치를 수용하는 것으로 마무리한다.With this operational policy, Phase 2 concludes with acceptance of devices with the following two criteria (Cases 9-12 in Table 2):

1. 식별된 장치가 IoT 장치로 간주되어 IoT 요금제에 가입한 경우, 장치의 접속을 허가한다(사례 10, 12).1. If the identified device is considered an IoT device and subscribes to an IoT rate plan, access to the device is permitted (Cases 10 and 12).

2. 식별된 장치가 IoT 장치로 간주되고 핸드폰 요금제에 가입한 경우, 이들의 접속을 거부한다(사례 9, 11).2. If the identified device is considered an IoT device and subscribed to a cell phone plan, their access is denied (Cases 9 and 11).

실시예들의 최종 목표는 SIM 박스 사기 방지 시스템의 높은 수준의 개념을 제안하는 것일 뿐만 아니라, 상용 네트워크에서 사용하기 위한 구체적인 방법을 제시하는 것이다.The ultimate goal of the embodiments is not only to propose a high-level concept of a SIM box fraud prevention system, but also to present specific methods for use in commercial networks.

eNB와 이동성 관리 엔티티(MME) 간의 통신이 필요하다. 대규모 운영 LTE 네트워크에 제안된 시스템을 배치할 때 발생할 수 있는 한 가지 즉각적인 문제가 있다. 실시예들에 따른 시스템은 두 개의 서로 다른 제어평면 프로토콜(즉, NAS 및 RRC)에서 제어평면 메시지를 활용하고 각 프로토콜은 각각 다른 엔티티(즉, MME 및 eNB)에 의해 관리된다. 따라서, 서로 다른 역할을 가진 각 엔티티는 제어평면 메시지에 대한 서로 다른 정보 집합에 대한 접속이 제한된다. 예를 들어, eNB는 NAS 메시지를 모니터링할 수 없고 이동성 관리 엔티티(MME)는 RRC 메시지를 볼 수 없다.Communication between the eNB and the Mobility Management Entity (MME) is required. There is one immediate problem that may arise when deploying the proposed system in a large-scale operational LTE network. Systems according to embodiments utilize control plane messages in two different control plane protocols (i.e., NAS and RRC), and each protocol is managed by a different entity (i.e., MME and eNB). Therefore, each entity with a different role has limited access to a different set of information about control plane messages. For example, the eNB cannot monitor NAS messages and the Mobility Management Entity (MME) cannot see RRC messages.

제어평면 메시지에 대한 이러한 제한된 접근은 eNB와 이동성 관리 엔티티(MME) 사이의 일부 통신 채널(또는 제어 메시지)을 필요로 한다. 단일 이동성 관리 엔티티(MME) 하에서 운영 네트워크에 많은 수의 eNB를 고려할 때, 새로운 통신 채널을 구축하려면 현재 시스템에 추가해야 하는 경우 상당한 오버헤드가 발생할 수 있다.This limited access to control plane messages requires some communication channel (or control messages) between the eNB and the mobility management entity (MME). Considering the large number of eNBs in the operational network under a single mobility management entity (MME), establishing new communication channels can incur significant overhead if they need to be added to the current system.

다행히도, eNB와 이동성 관리 엔티티(MME) 사이에는 이미 채널이 존재하며, 더 중요한 것은, 그것들이 핑거프린트에 필요한 많은 제어평면 메시지를 교환하는 데 사용된다는 것이다. 표준 규격에 따르면, eNB는 1) 장치로부터의 UECapabilityInformation 메시지를 받거나, 2) 이동성 관리 엔티티(MME)로부터의 요청을 수신할 때마다 장치의 해당 정보를 이동성 관리 엔티티(MME)에 전달한다. 이를 위해 eNB와 이동성 관리 엔티티(MME) 사이의 제어평면 프로토콜인 S1AP의 UE Capability Info Indication 메시지를 사용한다. 따라서, 실시예들에 따른 감지 시스템은 운영 네트워크에 대한 추가 채널과 새로운 표준에 대한 새로운 메시지 형식을 요구하지 않는다. 대신, 이동성 관리 엔티티(MME)와만 통신함으로써 특징 벡터를 생성하는 데 필요한 모든 정보를 달성한다. 따라서, 제안된 시스템은 이동성 관리 엔티티(MME)에서만의 추가적인 구현으로 운영 네트워크에 배치될 수 있다.Fortunately, channels already exist between the eNB and the mobility management entity (MME), and more importantly, they are used to exchange many of the control plane messages needed for fingerprinting. According to the standard specification, the eNB forwards the corresponding information of the device to the Mobility Management Entity (MME) whenever 1) it receives a UECapabilityInformation message from the device, or 2) it receives a request from the Mobility Management Entity (MME). For this purpose, the UE Capability Info Indication message of S1AP, a control plane protocol between eNB and mobility management entity (MME), is used. Accordingly, the sensing system according to embodiments does not require additional channels to the operating network and new message formats to new standards. Instead, all the information needed to generate feature vectors is achieved by communicating only with the mobility management entity (MME). Therefore, the proposed system can be deployed in operational networks with additional implementation only in mobility management entities (MMEs).

이와 같이, 실시예들은 단말 내의 베이스밴드(baseband)마다 구현의 차이 및 제공 가능한 무선기술과 같은 단말의 스펙의 차이로 인하여 발생하는 제어평면 메시지 내용의 차이를 사용하여 베이스밴드마다의 핑거프린트를 생성한다. 실시예들은 단말이 이동통신망에 접속할 때, 주고 받은 메시지를 기반으로 생성된 핑거프린트와, 국제 모바일 장치 식별코드(IMEI)로부터 얻을 수 있는 장치 정보, 가입 요금제 정보를 기반으로 한 접속 제어 정책을 제안한다. 이에 따라 제안한 접속 제어 정책을 통하여 국제 모바일 장치 식별코드(IMEI)가 불법적으로 번경되었거나, 보이스피싱에 주요하게 사용되는 단말 여부를 판단하여 해당 불법 단말들이 이동통신망에 접속하는 것을 원천 차단한다.In this way, embodiments generate fingerprints for each baseband using differences in control plane message content that occur due to differences in implementation for each baseband within the terminal and differences in terminal specifications such as available wireless technology. do. Embodiments propose an access control policy based on a fingerprint generated based on messages sent and received when a terminal connects to a mobile communication network, device information obtained from the International Mobile Equipment Identification Code (IMEI), and subscription plan information. do. Accordingly, through the proposed access control policy, it is determined whether the international mobile device identification code (IMEI) has been illegally changed or whether the terminal is mainly used for voice phishing, and the illegal terminals are blocked from accessing the mobile communication network.

아래에서는 이동통신망에서의 단말이 상용 망에 접속하는 과정에서 주고 받는 제어평면 메시지의 내용을 기반으로 IMEI를 검증하는 기술을 설명한다. Below, we describe a technology for verifying IMEI based on the contents of control plane messages exchanged when a terminal in a mobile communication network connects to a commercial network.

일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 기술을 검증하기 위해, 80개 상용 단말(스마트폰)을 사용하여 각 단말별로 다른 핑거프린트(fingerprint)를 가지고 있음을 확인하였다. 여기서, 일부 단말은 동일한 핑거프린트를 가진다. 또한, 검증에 사용한 단말들은 7종류 단말 제조사 및 5종류의 베이스밴드를 가지는 단말들로, 각 단말별/단말 제조사별/베이스밴드 제조사별로 구분이 가능함을 확인하였다. 이를 통하여 IMEI가 변조가 되었더라도, 망과 주고받는 제어평면 메시지를 확인함으로써, 해당 단말이 유효한 IMEI를 이동통신망에 보고하였는지 검증이 가능함을 확인할 수 있었으며, 이러한 기능은 미인증 단말의 비정상적인 접속을 차단하는데 사용이 가능하다.In order to verify the IMEI verification and unauthenticated terminal detection technology according to one embodiment, 80 commercial terminals (smart phones) were used and it was confirmed that each terminal had a different fingerprint. Here, some terminals have the same fingerprint. In addition, the terminals used for verification were terminals with 7 types of terminal manufacturers and 5 types of basebands, and it was confirmed that they could be distinguished by each terminal/terminal manufacturer/baseband manufacturer. Through this, it was confirmed that even if the IMEI was altered, it was possible to verify whether the terminal reported a valid IMEI to the mobile communication network by checking the control plane messages exchanged with the network. This function blocks abnormal access by unauthenticated terminals. It is possible to use.

나아가, 제안하는 일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 기술은 다음의 두 가지 시나리오에 적용하여 사용 가능하다.Furthermore, the IMEI verification and unauthenticated terminal detection technology according to the proposed embodiment can be applied to the following two scenarios.

첫 번째로는 도난된 단말의 접속 방지를 위한 IMEI 검증이다. 공격자가 도난된 단말을 취득 후, 단말의 IMEI를 바꾸어 망에 접속하고자 할 때, 단말의 IMEI 검증을 통하여 위/변조된 IMEI를 사용한 단말인지 탐지한다. 이를 통하여 해당 단말의 망 접속을 막거나 접속을 추적하여 도난 단말을 회수하는데 기여를 한다. 실제로, 단말의 IMEI를 변조하는 것은 어려운 일이 아니며, 기존에 공개된 많은 소프트웨어를 통하여 쉽게 변조가 가능하다. 하지만, 제안하는 기술을 회피하기 위해서는 1) 제어평면 메시지의 수정과 2) 망에서 전송된 제어평면 메시지의 처리를 IMEI에 해당하는 단말과 동일하게 하기 위하여 베이스밴드 동작 로직의 수정을 필요로 한다. 이러한 작업은 공격자에게 있어서 공격의 난이도와 비용을 높여 IMEI 위/변조 공격을 어렵게 만드는 효과가 있다.The first is IMEI verification to prevent access to stolen devices. When an attacker acquires a stolen terminal and attempts to access the network by changing the terminal's IMEI, the terminal's IMEI is verified to detect whether the terminal is using a forged/altered IMEI. Through this, it contributes to recovering stolen terminals by preventing the terminal from accessing the network or tracking the connection. In fact, it is not difficult to modify the IMEI of a terminal, and it can be easily done through many existing publicly available software. However, in order to avoid the proposed technology, 1) modification of the control plane message and 2) modification of the baseband operation logic are required to ensure that the processing of the control plane message transmitted from the network is the same as that of the terminal corresponding to the IMEI. This has the effect of making IMEI forgery/falsification attacks difficult by increasing the difficulty and cost of the attack for the attacker.

두 번째로는 망으로의 미인증 단말의 접속 시도를 탐지하고, 차단한다. 심박스(SIMBOX)는 베이스밴드에 핑거프린트를 사용하여 이슈가 되고 있는 보이스피싱에 많이 사용되고 있는 장비로써, 인터넷 전화를 셀룰러망을 통한 전화로 바꿔주는 VoIP gateway 기능을 제공하는 장비이다. 심박스는 다른 단말들과 같이 베이스밴드를 가지고 있어서 이동통신망에 접속 시, 망에서는 일반적인 단말로 인식하게 된다. 하지만 해당 장비가 이동통신망에 접속하여 정상적인 서비스를 제공받는 것은 고객들에게는 보이스피싱의 위협에 노출되게 하며, 이동통신사에게는 수익의 감소로 이어지는 큰 문제이다. 본 발명에서 제안하는 기술은 이러한 장비를 탐색하고 망으로의 접속을 차단하는 시스템 구축에 사용 가능하다. 심박스가 사용하는 베이스밴드의 핑거프린트를 구축해 놓고 위의 일 실시예에 따른 IMEI 검증 기술을 통하여 접속하려는 장비가 심박스인지를 확인 가능하며, 심박스가 IMEI를 변조하여 접속을 시도하는 경우에도 주고받는 제어평면 메시지를 기반으로 하여 핑거프린트를 생성하고 기 구축된 데이터베이스(database) 내의 정보와의 비교를 통하여 위/변조된 IMEI인지 확인 및 기기를 특정 가능하다. 이를 통하여 미인증 단말이 이동통신망으로 접속하는 것을 차단하고, 추가적인 관리가 가능하도록 제공할 수 있다. Second, it detects and blocks attempts by unauthenticated terminals to access the network. SIMBOX is a device widely used in voice phishing, which has become an issue by using fingerprints in the baseband. It is a device that provides a VoIP gateway function that changes Internet calls into calls through a cellular network. The SIM box has a baseband like other terminals, so when it connects to a mobile communication network, the network recognizes it as a normal terminal. However, connecting the equipment to a mobile communication network and providing normal services exposes customers to the threat of voice phishing and is a major problem that leads to a decrease in profits for mobile communication companies. The technology proposed in the present invention can be used to build a system that searches for such equipment and blocks access to the network. By establishing a fingerprint of the baseband used by the SIM box, you can check whether the device you are trying to connect to is a SIM box through the IMEI verification technology according to the above embodiment, even if the SIM box attempts to connect by modifying the IMEI. A fingerprint is created based on the control plane messages exchanged, and through comparison with information in an existing database, it is possible to check whether the IMEI has been forged or altered and identify the device. Through this, it is possible to block unauthenticated terminals from accessing the mobile communication network and provide additional management.

일 실시예에 따른 제어평면 메시지를 사용하여 IMEI(International Mobile Equipment Identity, 단말기고유식별번호) 검증 및 미인증 단말을 검출하는 단말 검출 방법에 있어서, 단말이 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 제어평면 메시지에 대한 응답을 이용하여 단말별로 핑거프린트 데이터베이스(Fingerprint Database)를 구축하는 단계 및 상기 핑거프린트 데이터베이스를 이용하여 상용 망에 접속하는 임의의 단말에 대한 IMEI를 검증하는 단계를 포함한다.In a terminal detection method for verifying IMEI (International Mobile Equipment Identity, terminal unique identification number) and detecting an unauthenticated terminal using a control plane message according to an embodiment, the control plane generated in the process of the terminal connecting to a commercial network Building a fingerprint database for each terminal using the contents of the message and responses to the control plane message and verifying the IMEI of any terminal connecting to the commercial network using the fingerprint database. Includes.

상기 핑거프린트 데이터베이스를 구축하는 단계는 단말이 상용 망에 접속하는 과정에서 발생되는 패시브(passive) 메시지의 내용과 상용 망이 단말에게 전달하는 액티브 프로빙(Active probing) 메시지의 응답을 기반으로 하여, 단말별로 상기 핑거프린트 데이터베이스를 구축할 수 있다. The step of constructing the fingerprint database is based on the contents of the passive message generated in the process of the terminal connecting to the commercial network and the response of the active probing message delivered to the terminal by the commercial network. The fingerprint database can be constructed separately.

상기 핑거프린트 데이터베이스를 구축하는 단계는 각기 다른 기종의 단말들이 기지국에게 전달하는 제어평면 메시지들을 수집 및 기록하며, 수집된 정보를 바탕으로 판단 트리(Decision tree)와 머신 러닝(machine learning) 기술을 사용하여 상기 핑거프린트 데이터베이스를 구축할 수 있다. The step of building the fingerprint database collects and records control plane messages transmitted from different types of terminals to the base station, and uses decision tree and machine learning technology based on the collected information. In this way, the fingerprint database can be constructed.

상기 핑거프린트 데이터베이스를 구축하는 단계는 단말이 상용 망에 접속하는 과정에서 기지국에게 전달하는 제어평면 메시지인 패시브(passive) 메시지의 내용을 기반으로 상기 판단 트리(Decision tree)를 생성하고, 이를 이용하여 각 단말들의 베이스밴드(baseband) 제조사를 획득하여 상기 핑거프린트 데이터베이스를 생성할 수 있다. In the step of building the fingerprint database, the decision tree is created based on the contents of the passive message, which is a control plane message delivered to the base station when the terminal connects to a commercial network, and used to create the decision tree. The fingerprint database can be created by obtaining the baseband manufacturer of each terminal.

상기 핑거프린트 데이터베이스를 구축하는 단계는 기지국이 단말의 응답을 알아보기 위하여 망에게 전달하는 제어평면 메시지인 액티브 프로빙(Active probing) 메시지의 응답 차이로 상기 판단 트리(Decision tree)를 생성하고, 이를 이용하여 상기 핑거프린트 데이터베이스를 생성할 수 있다. The step of building the fingerprint database is to create the decision tree based on the response difference of the Active Probing message, which is a control plane message that the base station transmits to the network to find out the response of the terminal, and use this. Thus, the fingerprint database can be created.

상기 IMEI를 검증하는 단계는 상기 임의의 단말에 해당하는 핑거프린트를 추출할 수 있다. In the step of verifying the IMEI, a fingerprint corresponding to the arbitrary terminal may be extracted.

상기 IMEI를 검증하는 단계는 상기 추출된 핑거프린트와, 상기 핑거프린트 데이터베이스에서 상기 임의의 단말에 대한 IMEI에 해당하는 핑거프린트(fingerprint)를 비교하여 일치 여부를 통해 IMEI를 검증할 수 있다.In the step of verifying the IMEI, the IMEI can be verified by comparing the extracted fingerprint with a fingerprint corresponding to the IMEI for the arbitrary terminal in the fingerprint database to determine whether there is a match.

상기 IMEI를 검증하는 단계는 상기 임의의 단말이 상용 망에 접속하며 발생되는 제어평면 메시지를 수신하는 단계, 상기 수신된 제어평면 메시지를 기반으로 상기 임의의 단말의 핑거프린트를 추출하는 단계, 상기 임의의 단말의 IMEI를 확인하고, 상기 핑거프린트 데이터베이스로부터 상기 임의의 단말의 기종을 확인하여 해당 기종의 핑거프린트를 획득하는 단계, 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트를 비교하는 단계 및 비교 결과에 따라 상기 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검출하는 단계를 포함할 수 있다.Verifying the IMEI includes receiving a control plane message generated when the arbitrary terminal connects to a commercial network, extracting a fingerprint of the arbitrary terminal based on the received control plane message, and Confirming the IMEI of the terminal, confirming the model of the arbitrary terminal from the fingerprint database, and obtaining a fingerprint of the corresponding model, comparing the obtained fingerprint with the fingerprint extracted for the arbitrary terminal. It may include verifying the IMEI of the arbitrary terminal and detecting whether it is an unauthenticated terminal according to the step and comparison result.

상기 IMEI 검증 및 미인증 단말 여부를 검출하는 단계는 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트가 일치한다면 상기 임의의 단말이 IMEI가 변조되지 않은 정당한 인증을 받은 단말임을 검출하고, 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트가 일치하지 않는다면 상기 임의의 단말이 인증을 받지 않은 변조된 IMEI임을 검출할 수 있다.The step of verifying the IMEI and detecting whether the terminal is not authenticated includes detecting that the arbitrary terminal is a properly authenticated terminal whose IMEI has not been altered if the obtained fingerprint matches the fingerprint extracted for the arbitrary terminal; , if the acquired fingerprint and the fingerprint extracted for the arbitrary terminal do not match, it can be detected that the arbitrary terminal has an unauthenticated and altered IMEI.

본 발명의 다른 실시예에 따른 제어평면 메시지를 사용하여 IMEI(International Mobile Equipment Identity, 단말기고유식별번호) 검증 및 미인증 단말을 검출하는 단말 검출 방법에 있어서, 단말이 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 제어평면 메시지에 대한 응답을 이용하여 단말별로 핑거프린트 데이터베이스(Fingerprint Database)를 구축하는 단계, 상용 망에 접속하는 임의의 단말의 IMEI에 해당하는 핑거프린트를 추출하는 단계 및 상기 추출된 핑거프린트와 상기 핑거프린트 데이터베이스를 비교하여 상기 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검출하는 단계를 포함한다.In the terminal detection method for verifying IMEI (International Mobile Equipment Identity, terminal unique identification number) and detecting unauthenticated terminals using a control plane message according to another embodiment of the present invention, the occurrence occurs in the process of the terminal connecting to a commercial network. Building a fingerprint database for each terminal using the contents of the control plane message and the response to the control plane message, extracting a fingerprint corresponding to the IMEI of any terminal connecting to the commercial network, and Comparing the extracted fingerprint with the fingerprint database to verify the IMEI of the arbitrary terminal and detecting whether it is an unauthenticated terminal.

상기 핑거프린트를 추출하는 단계는 상기 임의의 단말이 상용 망에 접속하며 발생되는 제어평면 메시지를 수신하고, 상기 수신된 제어평면 메시지를 기반으로 상기 임의의 단말의 핑거프린트를 추출할 수 있다. In the step of extracting the fingerprint, a control plane message generated when the arbitrary terminal connects to a commercial network may be received, and the fingerprint of the arbitrary terminal may be extracted based on the received control plane message.

상기 IMEI 검증 및 미인증 단말 여부를 검출하는 단계는 상기 임의의 단말의 IMEI를 확인하고, 상기 핑거프린트 데이터베이스로부터 상기 임의의 단말의 기종을 확인하여 해당 기종의 핑거프린트를 획득하며, 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트를 비교하여 상기 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검출할 수 있다. The step of verifying the IMEI and detecting whether it is an unauthenticated terminal includes confirming the IMEI of the arbitrary terminal, confirming the model of the arbitrary terminal from the fingerprint database, obtaining a fingerprint of the corresponding model, and By comparing the print with the fingerprint extracted for the arbitrary terminal, the IMEI of the arbitrary terminal can be verified and whether it is an unauthenticated terminal can be detected.

일 실시예에 따른 제어평면 메시지를 사용하여 IMEI(International Mobile Equipment Identity, 단말기고유식별번호) 검증 및 미인증 단말을 검출하는 단말 검출 시스템에 있어서, 단말이 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 제어평면 메시지에 대한 응답을 이용하여 단말별로 핑거프린트 데이터베이스(Fingerprint Database)를 구축하는 데이터 구축부 및 상기 핑거프린트 데이터베이스를 이용하여 상용 망에 접속하는 임의의 단말에 대한 IMEI를 검증하는 검증부를 포함한다. In a terminal detection system that verifies IMEI (International Mobile Equipment Identity, terminal unique identification number) and detects unauthenticated terminals using a control plane message according to an embodiment, the control plane generated in the process of the terminal connecting to a commercial network A data construction unit that builds a fingerprint database for each terminal using the contents of the message and responses to the control plane message, and a data construction unit that verifies the IMEI of any terminal connecting to the commercial network using the fingerprint database. Includes a verification unit.

상기 데이터 구축부는 단말이 상용 망에 접속하는 과정에서 발생되는 패시브(passive) 메시지의 내용과 상용 망이 단말에게 전달하는 액티브 프로빙(Active probing) 메시지의 응답을 기반으로 하여, 단말별로 상기 핑거프린트 데이터베이스를 구축할 수 있다. The data construction unit creates the fingerprint database for each terminal based on the contents of the passive message generated in the process of the terminal connecting to the commercial network and the response of the active probing message delivered to the terminal by the commercial network. can be built.

상기 데이터 구축부는 각기 다른 기종의 단말들이 기지국에게 전달하는 제어평면 메시지들을 수집 및 기록하며, 수집된 정보를 바탕으로 판단 트리(Decision tree)와 머신 러닝(machine learning) 기술을 사용하여 상기 핑거프린트 데이터베이스를 구축할 수 있다. The data construction unit collects and records control plane messages transmitted from different types of terminals to the base station, and uses decision tree and machine learning technology based on the collected information to create the fingerprint database. can be built.

상기 데이터 구축부는 단말이 상용 망에 접속하는 과정에서 기지국에게 전달하는 제어평면 메시지인 패시브(passive) 메시지의 내용을 기반으로 상기 판단 트리(Decision tree)를 생성하고, 이를 이용하여 각 단말들의 베이스밴드(baseband) 제조사를 획득하여 상기 핑거프린트 데이터베이스를 생성할 수 있다. The data construction unit generates the decision tree based on the contents of a passive message, which is a control plane message delivered to the base station when the terminal connects to a commercial network, and uses this to determine the baseband of each terminal. (baseband) The fingerprint database can be created by obtaining the manufacturer.

상기 데이터 구축부는 기지국이 단말의 응답을 알아보기 위하여 망에게 전달하는 제어평면 메시지인 액티브 프로빙(Active probing) 메시지의 응답 차이로 상기 판단 트리(Decision tree)를 생성하고, 이를 이용하여 상기 핑거프린트 데이터베이스를 생성할 수 있다. The data construction unit generates the decision tree based on the response difference of the active probing message, which is a control plane message that the base station transmits to the network to determine the response of the terminal, and uses this to create the fingerprint database. can be created.

상기 검증부는 상기 임의의 단말에 해당하는 핑거프린트를 추출하고, 상기 추출된 핑거프린트와 상기 핑거프린트 데이터베이스에서 상기 임의의 단말에 대한 IMEI에 해당하는 핑거프린트(fingerprint)를 비교하여 일치 여부를 통해 IMEI를 검증할 수 있다. The verification unit extracts a fingerprint corresponding to the arbitrary terminal, compares the extracted fingerprint with a fingerprint corresponding to the IMEI for the arbitrary terminal in the fingerprint database, and determines whether or not the IMEI is matched. can be verified.

상기 검증부는 상기 임의의 단말이 상용 망에 접속하며 발생되는 제어평면 메시지를 수신하고, 상기 수신된 제어평면 메시지를 기반으로 상기 임의의 단말의 핑거프린트를 추출하며, 상기 임의의 단말의 IMEI를 확인하여 상기 핑거프린트 데이터베이스로부터 상기 임의의 단말의 기종에 대한 핑거프린트를 획득하고, 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트를 비교하여 상기 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검증할 수 있다. The verification unit receives a control plane message generated when the arbitrary terminal connects to a commercial network, extracts the fingerprint of the arbitrary terminal based on the received control plane message, and verifies the IMEI of the arbitrary terminal. Obtain a fingerprint for the model of the arbitrary terminal from the fingerprint database, and compare the obtained fingerprint with the fingerprint extracted for the arbitrary terminal to verify the IMEI of the arbitrary terminal and unauthenticated terminal. You can verify whether or not.

상기 검증부는 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트가 일치한다면 상기 임의의 단말이 IMEI가 변조되지 않은 정당한 인증을 받은 단말임을 검출하고, 상기 획득된 핑거프린트와 상기 임의의 단말에 대해 추출된 핑거프린트가 일치하지 않는다면 상기 임의의 단말이 인증을 받지 않은 변조된 IMEI임을 검출할 수 있다. If the obtained fingerprint matches the fingerprint extracted for the arbitrary terminal, the verification unit detects that the arbitrary terminal is a properly authenticated terminal whose IMEI has not been altered, and detects the acquired fingerprint and the arbitrary terminal. If the fingerprint extracted for the terminal does not match, it can be detected that the random terminal is an unauthenticated, altered IMEI.

이하에서는 도 8 내지 도 13을 참조하여 본 발명에 대해 보다 상세히 설명한다.Hereinafter, the present invention will be described in more detail with reference to FIGS. 8 to 13.

도 8은 일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 방법의 동작 흐름도를 도시한 것이다. 또한, 도 9는 일 실시예에 따른 판단 트리를 사용한 예를 도시한 것이며, 도 10은 일 실시예에 따른 액티브 프로빙 메시지와 그 응답에 따라 베이스밴드 제조사를 구분하는 판단 트리의 예를 도시한 것이다. Figure 8 shows an operation flowchart of a method for verifying IMEI and detecting an unauthenticated terminal according to an embodiment. Additionally, Figure 9 shows an example of using a decision tree according to an embodiment, and Figure 10 shows an example of a decision tree that classifies baseband manufacturers according to an active probing message and its response according to an embodiment. .

일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 기술은 크게 두 단계로 구성된다. 첫 번째 단계(단계 S310)는 핑거프린트 데이터베이스 구축 과정으로써, 각 단말별로 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 망에서 프로빙(probing) 메시지를 보냈을 때의 응답을 기반으로 하여 핑거프린트 데이터베이스(Fingerprint Database)를 생성한다. 이후 두 번째 단계(단계 S320)는 기 구축한 핑거프린트 데이터베이스에서 해당 접속 단말의 IMEI에 해당하는 핑거프린트(fingerprint)와 비교하여 일치 여부를 확인함으로써, IMEI를 검증한다.The IMEI verification and unauthenticated terminal detection technology according to one embodiment largely consists of two steps. The first step (step S310) is a fingerprint database construction process, based on the contents of the control plane message generated in the process of connecting to the commercial network for each terminal and the response when a probing message is sent from the network. Create a fingerprint database. Thereafter, in the second step (step S320), the IMEI is verified by comparing the fingerprint corresponding to the IMEI of the connected terminal in the previously constructed fingerprint database to check for a match.

도 8을 참조하여 전술한 사항을 보다 상세히 설명하자면, 단계 S310에서, 단말이 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 제어평면 메시지에 대한 응답을 이용하여 단말별로 핑거프린트 데이터베이스(Fingerprint Database)를 구축한다. To explain the above in more detail with reference to FIG. 8, in step S310, a fingerprint database (fingerprint database) is created for each terminal using the contents of the control plane message generated during the terminal's access to the commercial network and the response to the control plane message Build a Fingerprint Database).

단계 S310은 단말이 상용 망에 접속하는 과정에서 발생되는 패시브(passive) 메시지의 내용과 상용 망이 단말에게 전달하는 액티브 프로빙(Active probing) 메시지의 응답을 기반으로 하여, 단말별로 핑거프린트 데이터베이스를 구축할 수 있다. Step S310 builds a fingerprint database for each terminal based on the contents of the passive message generated in the process of the terminal connecting to the commercial network and the response of the active probing message delivered to the terminal by the commercial network. can do.

본 발명에서는 단말의 정보를 획득하기 위하여, 제어평면 메시지를 사용한다. 구체적으로, 본 발명은 제어평면 메시지 내의 IMEI 값을 사용하는 것이 아닌, 단말 모델별로 달라지는 제어평면 메시지 내의 내용들 및 제어평면 메시지의 처리 결과에 따라 단말별 핑거프린트(fingerprint)를 생성하여 이를 기반으로 단말 정보를 알아낸다.In the present invention, a control plane message is used to obtain terminal information. Specifically, the present invention does not use the IMEI value in the control plane message, but generates a fingerprint for each terminal according to the contents of the control plane message that vary depending on the terminal model and the processing results of the control plane message, and based on this, Find out terminal information.

LTE의 제어평면 프로토콜들인 RRC와 NAS는 3GPP에서 정의하는 표준에 따라 구현되며, 모든 제조사들이 표준에 따라 베이스밴드 내의 제어평면 프로토콜들을 구현하게 된다. 하지만, 표준에서는 기본적인 동작과 각 제어평면 메시지들의 용도만을 정의하고 있을 뿐, 그 외에 예외 상황에 대해서는 정의되어 있지 않아 구현과정에 자유도가 존재한다. 따라서, 표준은 하나이지만, 단말의 베이스밴드 구현이나, 단말이 가지고 있는 하드웨어 스펙(hardware spec) 또는 지원 가능한 기술에 따라서 제어평면 메시지의 내용이 달라질 수 있으며, 같은 제어평면 메시지에 대해서도 베이스밴드마다 다르게 처리 및 응답한다.LTE's control plane protocols, RRC and NAS, are implemented according to the standards defined by 3GPP, and all manufacturers implement control plane protocols within the baseband according to the standards. However, the standard only defines basic operations and the purpose of each control plane message, and does not define any other exception situations, so there is a degree of freedom in the implementation process. Therefore, although there is one standard, the content of the control plane message may vary depending on the terminal's baseband implementation, hardware specifications of the terminal, or supportable technology, and even for the same control plane message, each baseband may differ differently. Process and respond.

일 실시예에 따른 단말 검출 기술에서 제안하는 핑거프린트는 이러한 단말마다의 차이를 활용하여 생성된다. 이러한 핑거프린트 생성을 위해서는 단말이 망에 접속하는 과정에서 이동통신망과 주고받는 제어평면 메시지들 내의 어떤 내용이 단말마다 다르며, 망이 보내는 메시지에 따라 처리결과가 어떻게 다른지 파악하여야 한다. 이를 위하여 본 발명의 단계 S310은 핑거프린트 데이터베이스 구축을 위하여 먼저 각기 다른 기종의 단말들이 보내는 제어평면 메시지들을 수집 및 기록한다. 그 후, 수집된 정보를 바탕으로 그 중 어떤 특정 정보들이 단말을 구분하는 기준이 되는지를 찾는다. 이러한 기준을 찾기 위해서 단계 S310은 판단 트리(Decision tree)와 머신 러닝(machine learning) 기술을 사용한다. 또한, 단말을 구분하는 기준은 단말 모델, 단말 제조사(삼성, LG, APPLE, 화웨이 등), 단말 베이스밴드 제조사(Qualcomm, 삼성, 인텔 등)가 될 수 있다. The fingerprint proposed in the terminal detection technology according to one embodiment is generated by utilizing the differences for each terminal. In order to create such a fingerprint, it is necessary to understand what content in the control plane messages exchanged with the mobile communication network varies from terminal to terminal during the terminal's connection to the network, and how the processing results differ depending on the message sent by the network. To this end, step S310 of the present invention first collects and records control plane messages sent by different types of terminals to build a fingerprint database. Afterwards, based on the collected information, it is found which specific pieces of information serve as criteria for classifying the terminal. To find these criteria, step S310 uses decision tree and machine learning technology. Additionally, the criteria for classifying terminals can be terminal model, terminal manufacturer (Samsung, LG, APPLE, Huawei, etc.), and terminal baseband manufacturer (Qualcomm, Samsung, Intel, etc.).

이때, 제어평면 메시지는 단말이 이동통신망에 접속하는 과정에서 기지국 및 EPC에게 보내는 제어평면 메시지와 기지국이 단말에 보낸 제어평면 메시지에 대한 응답으로 나눌 수 있다. 본 발명에서는 단말이 이동통신망에 접속하는 과정에서 기지국에게 전달하는 제어평면 메시지들은 '패시브(passive) 메시지'라 일컫고, 기지국이 단말의 응답을 알아보기 위하여 망에게 보내는 제어평면 메시지를 '액티브 프로빙(Active probing) 메시지'라 일컫는다.At this time, the control plane message can be divided into a control plane message sent to the base station and EPC during the terminal's access to the mobile communication network and a response to the control plane message sent by the base station to the terminal. In the present invention, the control plane messages that the terminal transmits to the base station in the process of connecting to the mobile communication network are called 'passive messages', and the control plane messages that the base station sends to the network to find out the response of the terminal are called 'active probing ( It is called an ‘Active probing’ message.

이에 따라서 도 8의 단계 S310은 각기 다른 기종의 단말들이 기지국에게 전달하는 제어평면 메시지들을 수집 및 기록하며, 수집된 정보를 바탕으로 판단 트리(Decision tree)와 머신 러닝(machine learning) 기술을 사용하여 핑거프린트 데이터베이스를 구축한다. Accordingly, step S310 of FIG. 8 collects and records control plane messages transmitted from different types of terminals to the base station, and uses decision tree and machine learning technology based on the collected information. Build a fingerprint database.

여기서, 단계 S310은 단말이 상용 망에 접속하는 과정에서 기지국에게 전달하는 제어평면 메시지인 패시브(passive) 메시지의 내용을 기반으로 판단 트리(Decision tree)를 생성하고, 이를 이용하여 각 단말들의 베이스밴드(baseband) 제조사를 획득하여 핑거프린트 데이터베이스를 생성할 수 있다. Here, step S310 generates a decision tree based on the contents of the passive message, which is a control plane message delivered to the base station during the terminal's access to the commercial network, and uses this to determine the baseband of each terminal. (baseband) You can create a fingerprint database by obtaining the manufacturer.

도 9를 참조하여 패시브 메시지들의 내용을 기반으로 핑거프린트를 생성하는 과정에 대해 설명하면, 핑거프린트 구축의 내용 중 주목할만한 것은 RRC UEcapabilityInformation와 NAS Attack request 메시지이다. UE Capability란 단말이 지원하는 기능들에 대한 내용들을 말한다. 암호화, 무결성 알고리즘의 지원 여부 등이 이에 포함된다. 이 정보는 각 단말에 따라 다르고, 또 칩셋 제조사 별로도 상이하므로, 단말을 구분하는 데 좋은 지표가 된다. 따라서, 패시브 메시지의 내용들 중 RRC UEcapabilityInformation과 NAS Attack request 메시지가 핑거프린트 데이터베이스(Fingerprint Database)의 구축에 사용된다. 도 9는 이러한 제어평면 메시지의 내용들을 기반으로 판단 트리(Decision tree)를 만들고 이를 통하여 각 단말들의 베이스밴드 제조사를 알아낼 수 있음을 보여주는 실험 결과이다. 또한, 생성된 판단 트리는 단말 기기의 모델별로도 구분이 가능하다. Referring to FIG. 9, the process of creating a fingerprint based on the contents of passive messages is described. Among the contents of fingerprint construction, noteworthy things are the RRC UEcapabilityInformation and the NAS Attack request message. UE Capability refers to the functions supported by the terminal. This includes whether encryption and integrity algorithms are supported. This information is different for each terminal and for each chipset manufacturer, so it is a good indicator for distinguishing between terminals. Therefore, among the contents of passive messages, RRC UEcapabilityInformation and NAS Attack request message are used to build a fingerprint database. Figure 9 is an experiment result showing that a decision tree can be created based on the contents of these control plane messages and the baseband manufacturer of each terminal can be found through this. Additionally, the generated decision tree can be classified according to the model of the terminal device.

또한, 단계 S310은 기지국이 단말의 응답을 알아보기 위하여 단말에게 전달하는 제어평면 메시지인 액티브 프로빙(Active probing) 메시지의 응답 차이로 판단 트리(Decision tree)를 생성하고, 이를 이용하여 핑거프린트 데이터베이스를 생성할 수 있다.In addition, step S310 generates a decision tree based on the response difference of the active probing message, which is a control plane message that the base station transmits to the terminal to find out the response of the terminal, and uses this to create a fingerprint database. can be created.

도 10을 참조하여 액티브 프로빙 메시지를 기반으로 판단 트리를 생성하는 과정에 대해 설명하면, 액티브 프로빙 메시지는 기지국이나 EPC가 단말의 응답을 알아보기 위하여 단말에게 보내는 RRC/NAS 메시지를 나타낸다. 데이터베이스 구축에 사용할 메시지들은 다음과 같은 기준으로 선정 가능하다.Referring to FIG. 10, the process of generating a decision tree based on the active probing message is described. The active probing message represents an RRC/NAS message that the base station or EPC sends to the terminal to find out the terminal's response. Messages to be used to build a database can be selected based on the following criteria.

a) 제어평면 메시지를 보냈을 때, 단말의 동작이 표준에 정의되어 있지 않다.a) When a control plane message is sent, the operation of the terminal is not defined in the standard.

b) 제어평면 메시지를 보냈을 때, 단말간 동작이 차이를 보인다.b) When a control plane message is sent, the operation between terminals shows differences.

만약 단말의 동작이 표준에 정의되어 있다면, 이를 따르지 않는 단말들은 곧 취약점을 가진다. 따라서, 이런 메시지에 대해서는 단말의 구현 차이가 존재하지 않을 것이다. 그러므로 단말에서 오는 응답 차이로 이들을 구분하기 위해서는 동작이 표준에 정의되지 않은 메시지들을 이용해야 한다. 도 10은 이러한 액티브 프로빙 메시지들을 NAS 메시지들로 구성하고, 그 응답의 차이를 바탕으로 판단 트리(Decision tree)를 생성한 결과를 나타낸다. If the operation of a terminal is defined in a standard, terminals that do not follow this soon have vulnerabilities. Therefore, there will be no difference in terminal implementation for these messages. Therefore, in order to distinguish them based on differences in responses from the terminal, messages whose operations are not defined in the standard must be used. Figure 10 shows the results of configuring these active probing messages into NAS messages and generating a decision tree based on the differences in the responses.

다시 도 8을 참조하면, 일 실시예에 따른 단말 검출 방법의 단계 S320에서, 핑거프린트 데이터베이스를 이용하여 상용 망에 접속하는 임의의 단말에 대한 IMEI를 검증한다. Referring again to FIG. 8, in step S320 of the terminal detection method according to one embodiment, the IMEI of any terminal connecting to the commercial network is verified using the fingerprint database.

일 실시예에 따른 단말 검출 방법은 구축된 핑거프린트 데이터베이스를 이동통신망에 적용한 뒤, 이동통신망에 접속하고자 하는 단말(이하에서는 '임의의 단말'이라 칭함)이 이동통신망과 주고받은 제어평면 메시지의 내용 및 액티브 프로빙 메시지의 응답을 기반으로 핑거프린트를 생성하고, 기 구축한 핑거프린트 데이터베이스에서 임의의 단말의 IMEI에 해당하는 핑거프린트와 비교하여 일치 여부를 확인한다. 이를 통하여 접속하고자 하는 임의의 단말이 보고한 IMEI가 실제 해당 단말의 IMEI가 보이는 특성의 일치 여부를 통하여 IMEI를 검증할 수 있다. 전술한 설명에 따라서, 단계 S320은 접속하고자 하는 임의의 단말에 해당하는 핑거프린트를 추출하고, 추출된 핑거프린트와, 핑거프린트 데이터베이스에서 임의의 단말에 대한 IMEI에 해당하는 핑거프린트(fingerprint)를 비교하여 일치 여부를 통해 IMEI를 검증할 수 있다. The terminal detection method according to one embodiment applies the constructed fingerprint database to the mobile communication network, and then detects the contents of the control plane message exchanged with the mobile communication network by the terminal (hereinafter referred to as 'random terminal') that wants to access the mobile communication network. And a fingerprint is generated based on the response of the active probing message, and a match is checked by comparing it with the fingerprint corresponding to the IMEI of any terminal in the previously constructed fingerprint database. Through this, the IMEI can be verified by checking whether the IMEI reported by any terminal trying to connect matches the characteristics shown by the actual IMEI of the terminal. According to the above description, step S320 extracts a fingerprint corresponding to an arbitrary terminal to be connected, and compares the extracted fingerprint with a fingerprint corresponding to the IMEI for an arbitrary terminal in the fingerprint database. You can verify the IMEI by checking whether it matches.

보다 상세하게, 단계 S320은 임의의 단말이 상용 망에 접속하며 발생되는 제어평면 메시지를 수신하는 제1 단계, 수신된 제어평면 메시지를 기반으로 임의의 단말의 핑거프린트를 추출하는 제2 단계, 임의의 단말의 IMEI를 확인하고, 핑거프린트 데이터베이스로부터 임의의 단말의 기종을 확인하여 해당 기종의 핑거프린트를 획득하는 제3 단계, 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트를 비교하는 제4 단계, 그리고 비교 결과에 따라 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검출하는 제5 단계를 포함할 수 있다.More specifically, step S320 is a first step of receiving a control plane message generated when a certain terminal connects to a commercial network, a second step of extracting a fingerprint of a certain terminal based on the received control plane message, and a random The third step is to check the IMEI of the terminal, confirm the model of any terminal from the fingerprint database, and obtain the fingerprint of the corresponding model, and compare the obtained fingerprint with the fingerprint extracted for any terminal. It may include step 4, and a fifth step of verifying the IMEI of any terminal and detecting whether it is an unauthenticated terminal according to the comparison result.

여기서, 제5 단계는 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트가 일치한다면 임의의 단말이 IMEI가 변조되지 않은 정당한 인증을 받은 단말임을 검출하고, 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트가 일치하지 않는다면 임의의 단말이 인증을 받지 않은 변조된 IMEI임을 검출할 수 있다. 전술한 임의의 단말에 대한 IMEI 검증 과정은 이하의 도 12를 참조하여 보다 상세히 설명한다. Here, the fifth step is to detect that the arbitrary terminal is a legitimately authenticated terminal whose IMEI has not been altered if the obtained fingerprint matches the fingerprint extracted for the arbitrary terminal, and If the extracted fingerprints do not match, it can be detected that a random terminal has a modified IMEI that has not been authenticated. The IMEI verification process for any terminal described above will be described in more detail with reference to FIG. 12 below.

도 11는 일 실시예에 따른 단말별 핑거프린트를 추출하여 데이터베이스를 구축하는 과정을 도식화한 것이고, 도 12는 일 실시예에 따른 임의의 단말에 대한 IMEI 검증 과정을 도식화한 것이다.Figure 11 schematically illustrates the process of extracting fingerprints for each terminal and building a database according to an embodiment, and Figure 12 schematically illustrates the IMEI verification process for an arbitrary terminal according to an embodiment.

일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 기술은 크게 두 단계를 통해 구성된다. 첫 번째 단계는 여러 종류의 UE(단말)가 eNB(기지국)에게 보내는 메시지를 EPC(코어망)에서 확인한 후 이를 모아 '핑거프린트 데이터베이스(Fingerprint Database)'를 구축하는 단계이다. 이때, 핑거프린트 데이터베이스란 각 단말의 종류에 따라 메시지의 응답을 모아 그 중 적절한 것들로 각 기종의 핑거프린트(Fingerprint)를 만들어 모은 데이터베이스를 말한다. 두 번째 단계는 핑거프린트 데이터베이스를 모두 구성한 이후, 상용 망에 임의의 단말이 접속할 때, 핑거프린트 데이터베이스를 이용해 IMEI를 검증하는 단계이다. The IMEI verification and unauthenticated terminal detection technology according to one embodiment is largely composed of two steps. The first step is to check the messages sent by various types of UEs (terminals) to the eNB (base station) in the EPC (core network) and then collect them to build a 'Fingerprint Database'. At this time, the fingerprint database refers to a database that collects message responses according to the type of each terminal and creates a fingerprint for each type with the appropriate ones. The second step is to verify the IMEI using the fingerprint database when a random terminal connects to a commercial network after configuring the entire fingerprint database.

도 11를 참조하면, 핑거프린트 데이터베이스를 구성하는 과정을 도식화한 것으로, 첫 번째(①)로 단말과 기지국 간에 메시지를 주고받는 과정을 나타낸다. 이는 단말이 망에 접속하는 과정에서 기지국에게 보내는 메시지와 기지국이 단말에 보낸 메시지에 대한 응답을 모두 포함한다. 이와 함께, 코어 네트워크로 전달된 메시지 또한 핑거프린트 데이터베이스(Fingerprint database)로 전달된다. 그 후, 핑거프린트 데이터베이스에서는 수집된 제어평면 메시지(②)들을 기반으로 하여 패시브/액티브 프로빙(passive/active probing) 방법을 통하여 핑거프린트를 생성(③)하고, 저장한다. Referring to FIG. 11, the process of configuring a fingerprint database is schematized. First (①) shows the process of exchanging messages between a terminal and a base station. This includes both the message the terminal sends to the base station in the process of accessing the network and the response to the message sent by the base station to the terminal. At the same time, messages delivered to the core network are also delivered to the fingerprint database. Afterwards, in the fingerprint database, a fingerprint is created (③) and stored through a passive/active probing method based on the collected control plane messages (②).

도 12를 참조하여 핑거프린트 데이터베이스(Fingerprint Database)를 이용해 상용 망에 임의의 단말이 접속할 때 IMEI를 검증하는 과정을 설명하면 다음과 같다.Referring to FIG. 12, the process of verifying the IMEI when a random terminal connects to a commercial network using a fingerprint database is explained as follows.

(1), (2) 기지국(1202)과 코어망(1203)은 단말(1201)이 기지국에게 상용 망에 접속하며 발생되는 메시지를 IMEI 검증 시스템(1300)에 전달한다.(1), (2) The base station 1202 and the core network 1203 transmit a message generated when the terminal 1201 connects to the base station to a commercial network to the IMEI verification system 1300.

(3) 전달된 제어평면 메시지들을 기반으로 접속을 시도하는 단말의 핑거프린트(fingerprint)를 추출하여 핑거프린트 데이터베이스(Fingerprint Database, 1211)를 구축한다.(3) A fingerprint database (1211) is constructed by extracting the fingerprint of the terminal attempting to connect based on the delivered control plane messages.

(4) 접속을 시도하는 단말이 보고하는 IMEI를 확인하고, 이동통신 사업자가 보유하고 있는 IMEI 데이터베이스(IMEI Database, 1212)로부터 정보를 불러와 접속한 임의의 단말의 기종을 확인하여 해당 기종의 핑거프린트를 받아온다.(4) Check the IMEI reported by the terminal attempting to connect, retrieve information from the IMEI database (IMEI Database, 1212) held by the mobile communication service provider, check the model of any connected terminal, and find the finger of the corresponding model. Get a print.

(5) 생성된 핑거프린트와 데이터베이스에서 단말이 보고하는 IMEI에 해당하는 핑거프린트를 비교한다. 만약 일치한다면 접속을 시도하는 임의의 단말은 변조되지 않은 IMEI를 보고하였으므로, 정당한 인증을 받은 단말임을 결정한다. 반대로, 일치하지 않는다면 인증을 받지 않은 단말이며 변조된 IMEI임을 결정한다. (5) Compare the generated fingerprint with the fingerprint corresponding to the IMEI reported by the terminal in the database. If they match, any terminal attempting to connect has reported an unmodified IMEI, so it is determined that it is a properly authenticated terminal. Conversely, if they do not match, it is determined that the terminal is not certified and the IMEI has been altered.

도 13은 일 실시예에 따른 IMEI 검증 및 미인증 단말 검출 시스템의 세부 구성을 블록도로 도시한 것이다.Figure 13 is a block diagram showing the detailed configuration of an IMEI verification and unauthenticated terminal detection system according to an embodiment.

일 실시예에 따른 단말 검출 시스템은 이동통신망에서의 단말이 상용 망에 접속하는 과정에서 주고받는 제어평면 메시지의 내용을 기반으로 IMEI를 검증한다.A terminal detection system according to an embodiment verifies the IMEI based on the contents of control plane messages exchanged when a terminal in a mobile communication network connects to a commercial network.

이를 위해, 일 실시예에 따른 단말 검출 시스템(1300)은 데이터 구축부(1310) 및 검증부(1320)를 포함한다.To this end, the terminal detection system 1300 according to an embodiment includes a data construction unit 1310 and a verification unit 1320.

도 13을 참조하면, 데이터 구축부(1310)는 단말이 상용 망에 접속하는 과정에서 발생되는 제어평면 메시지의 내용과 제어평면 메시지에 대한 응답을 이용하여 단말별로 핑거프린트 데이터베이스(Fingerprint Database)를 구축한다. Referring to FIG. 13, the data construction unit 1310 builds a fingerprint database for each terminal using the contents of the control plane message generated in the process of the terminal connecting to the commercial network and the response to the control plane message. do.

데이터 구축부(1310)는 단말이 상용 망에 접속하는 과정에서 발생되는 패시브(passive) 메시지의 내용과 상용 망이 단말에게 전달하는 액티브 프로빙(Active probing) 메시지의 응답을 기반으로 하여, 단말별로 핑거프린트 데이터베이스를 구축할 수 있다. The data construction unit 1310 creates a finger for each terminal based on the contents of the passive message generated in the process of the terminal connecting to the commercial network and the response of the active probing message delivered to the terminal by the commercial network. A print database can be built.

즉, 데이터 구축부(1310)는 각기 다른 기종의 단말들이 기지국에게 전달하는 제어평면 메시지들을 수집 및 기록하며, 수집된 정보를 바탕으로 판단 트리(Decision tree)와 머신 러닝(machine learning) 기술을 사용하여 핑거프린트 데이터베이스를 구축한다. That is, the data construction unit 1310 collects and records control plane messages transmitted from different types of terminals to the base station, and uses decision tree and machine learning technology based on the collected information. Build a fingerprint database.

여기서, 데이터 구축부(1310)는 단말이 상용 망에 접속하는 과정에서 기지국에게 전달하는 제어평면 메시지인 패시브(passive) 메시지의 내용을 기반으로 판단 트리(Decision tree)를 생성하고, 이를 이용하여 각 단말들의 베이스밴드(baseband) 제조사를 획득하여 핑거프린트 데이터베이스를 생성할 수 있다. Here, the data construction unit 1310 generates a decision tree based on the contents of a passive message, which is a control plane message delivered to the base station when the terminal connects to a commercial network, and uses this to determine each A fingerprint database can be created by obtaining the baseband manufacturer of the terminals.

또한, 데이터 구축부(1310)는 기지국이 단말의 응답을 알아보기 위하여 망에게 전달하는 제어평면 메시지인 액티브 프로빙(Active probing) 메시지의 응답 차이로 판단 트리(Decision tree)를 생성하고, 이를 이용하여 핑거프린트 데이터베이스를 생성할 수 있다.In addition, the data construction unit 1310 creates a decision tree based on the response difference of the active probing message, which is a control plane message that the base station transmits to the network to find out the response of the terminal, and uses this to create a decision tree. A fingerprint database can be created.

검증부(1320)는 핑거프린트 데이터베이스를 이용하여 상용 망에 접속하는 임의의 단말에 대한 IMEI를 검증한다. The verification unit 1320 verifies the IMEI of any terminal connecting to a commercial network using a fingerprint database.

검증부(1320)는 접속하고자 하는 임의의 단말에 해당하는 핑거프린트를 추출하고, 추출된 핑거프린트와, 핑거프린트 데이터베이스에서 임의의 단말에 대한 IMEI에 해당하는 핑거프린트(fingerprint)를 비교하여 일치 여부를 통해 IMEI를 검증할 수 있다. The verification unit 1320 extracts a fingerprint corresponding to any terminal to be connected, compares the extracted fingerprint with the fingerprint corresponding to the IMEI for any terminal in the fingerprint database, and determines whether there is a match. You can verify the IMEI through .

보다 상세하게, 검증부(1320)는 임의의 단말이 상용 망에 접속하며 발생되는 제어평면 메시지를 수신하는 제1 단계, 수신된 제어평면 메시지를 기반으로 임의의 단말의 핑거프린트를 추출하는 제2 단계, 임의의 단말의 IMEI를 확인하고, 핑거프린트 데이터베이스로부터 임의의 단말의 기종을 확인하여 해당 기종의 핑거프린트를 획득하는 제3 단계, 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트를 비교하는 제4 단계, 그리고 비교 결과에 따라 임의의 단말의 IMEI 검증 및 미인증 단말 여부를 검출하는 제5 단계를 포함할 수 있다.More specifically, the verification unit 1320 performs a first step of receiving a control plane message generated when a certain terminal accesses a commercial network, and a second step of extracting a fingerprint of a certain terminal based on the received control plane message. Step, check the IMEI of any terminal, check the model of any terminal from the fingerprint database, and obtain the fingerprint of the corresponding model. Third step, obtain the obtained fingerprint and the fingerprint extracted for the arbitrary terminal. It may include a fourth step of comparison, and a fifth step of verifying the IMEI of any terminal and detecting whether it is an unauthenticated terminal according to the comparison result.

여기서, 제5 단계에서 검증부(1320)는 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트가 일치한다면 임의의 단말이 IMEI가 변조되지 않은 정당한 인증을 받은 단말임을 검출하고, 획득된 핑거프린트와 임의의 단말에 대해 추출된 핑거프린트가 일치하지 않는다면 임의의 단말이 인증을 받지 않은 변조된 IMEI임을 검출할 수 있다.Here, in the fifth step, the verification unit 1320 detects that the arbitrary terminal is a legitimately authenticated terminal whose IMEI has not been altered if the acquired fingerprint matches the fingerprint extracted for any terminal, and the obtained fingerprint If the print and the fingerprint extracted for a random terminal do not match, it can be detected that the random terminal has a modified IMEI that has not been authenticated.

비록, 도 13의 시스템에서 그 설명이 생략되었더라도, 도 13을 구성하는 각 구성 수단은 도 8 내지 도 12에서 설명한 모든 내용을 포함할 수 있으며, 이는 이 기술 분야에 종사하는 당업자에게 있어서 자명하다.Although the description is omitted in the system of FIG. 13, each constituent means constituting FIG. 13 may include all the contents described in FIGS. 8 to 12, and this is obvious to those skilled in the art.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and/or a combination of hardware components and software components. For example, devices and components described in embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA), It may be implemented using one or more general-purpose or special-purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. A processing device may execute an operating system (OS) and one or more software applications that run on the operating system. Additionally, a processing device may access, store, manipulate, process, and generate data in response to the execution of software. For ease of understanding, a single processing device may be described as being used; however, those skilled in the art will understand that a processing device includes multiple processing elements and/or multiple types of processing elements. It can be seen that it may include. For example, a processing device may include multiple processors or one processor and one controller. Additionally, other processing configurations, such as parallel processors, are possible.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may include a computer program, code, instructions, or a combination of one or more of these, which may configure a processing unit to operate as desired, or may be processed independently or collectively. You can command the device. Software and/or data may be used on any type of machine, component, physical device, virtual equipment, computer storage medium or device to be interpreted by or to provide instructions or data to a processing device. It can be embodied in . Software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored on one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and configured for the embodiment or may be known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with limited examples and drawings, various modifications and variations can be made by those skilled in the art from the above description. For example, the described techniques are performed in a different order than the described method, and/or components of the described system, structure, device, circuit, etc. are combined or combined in a different form than the described method, or other components are used. Alternatively, appropriate results may be achieved even if substituted or substituted by an equivalent.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents of the claims also fall within the scope of the claims described below.

Claims (10)

컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 방법에 있어서,
단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 단계;
사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 단계;
수집된 상기 특징을 사용하여 특징 공간을 줄이는 단계; 및
생성한 핑거프린트를 이용하여 심박스를 차단하는 단계
를 포함하는, 심박스 차단 방법.
In the SIM box blocking method using a control plane message-based fingerprint of a mobile communication network terminal performed by a computer device,
Extracting features from a control plane message transmitted by the terminal to a mobile communication network;
Collecting terminal characteristics considering settings within the terminal that can be changed by the user;
Reducing the feature space using the collected features; and
Steps to block the SIM box using the generated fingerprint
Including, sim box blocking method.
제1항에 있어서,
상기 제어평면 메시지에서 특징을 추출하는 단계는,
상기 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환하는 단계;
변환된 상기 키-값(key-value) 표현 구조에서 특징을 키로 정의하고, 키 값 목록을 기반으로 특징 벡터를 생성하는 단계; 및
상기 특징 벡터에 대한 추가 분석 후, 상기 단말의 핑거프린트를 구성하는 단계
를 포함하는, 심박스 차단 방법.
According to paragraph 1,
The step of extracting features from the control plane message is:
converting the content of the control plane message into a key-value representation structure;
defining features as keys in the converted key-value expression structure and generating a feature vector based on the key value list; and
After additional analysis of the feature vector, constructing a fingerprint of the terminal.
Including, sim box blocking method.
제1항에 있어서,
상기 제어평면 메시지는,
ATTACH Request 및 UECapabilityInformation를 포함하고, 상기 제어평면 메시지를 반복적으로 수집하고 각 단말에 대해 특징을 추출하는 것
을 특징으로 하는, 심박스 차단 방법.
According to paragraph 1,
The control plane message is,
Includes ATTACH Request and UECapabilityInformation, and repeatedly collects the control plane messages and extracts features for each terminal.
A method of blocking a sim box, characterized by:
제1항에 있어서,
상기 특징 공간을 줄이는 단계는,
상기 단말에서 나타나는 특징 중 값이 일정하지 않은 특징을 제거하는 단계;
모든 단말에서 일관된 값을 갖는 특징을 필터링하는 단계; 및
필터링 후, 남은 특징에 대해 단말의 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성하는 단계
를 포함하는, 심박스 차단 방법.
According to paragraph 1,
The step of reducing the feature space is,
removing features whose values are not constant among the features appearing in the terminal;
Filtering features with consistent values in all terminals; and
After filtering, forming a cluster that groups features that contribute equally to the fingerprint configuration of the terminal for the remaining features.
Including, sim box blocking method.
이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 차단 장치에 있어서,
단말이 이동통신망으로 전송하는 제어평면 메시지에서 특징을 추출하는 특징 추출부;
사용자가 변경 가능한 단말 내 설정을 고려한 단말의 특징을 수집하는 특징 수집부;
수집된 상기 특징을 사용하여 특징 공간을 줄이는 특징 공간 축소부; 및
생성한 핑거프린트를 이용하는 심박스 차단부
를 포함하는, 심박스 차단 장치.
In the SIM box blocking device using a control plane message-based fingerprint of a mobile communication network terminal,
a feature extraction unit that extracts features from a control plane message transmitted by the terminal to a mobile communication network;
a feature collection unit that collects terminal characteristics considering settings within the terminal that can be changed by the user;
a feature space reduction unit that reduces the feature space using the collected features; and
SIM box blocker using the generated fingerprint
A simbox blocking device comprising:
제5항에 있어서,
상기 특징 추출부는,
상기 제어평면 메시지의 내용을 키-값(key-value) 표현 구조로 변환하고, 변환된 상기 키-값(key-value) 표현 구조에서 특징을 키로 정의하고, 키 값 목록을 기반으로 특징 벡터를 생성하며, 상기 특징 벡터에 대한 추가 분석 후, 상기 단말의 핑거프린트를 구성하는 것
을 특징으로 하는, 심박스 차단 장치.
According to clause 5,
The feature extraction unit,
Convert the content of the control plane message into a key-value expression structure, define features as keys in the converted key-value expression structure, and create a feature vector based on the key value list. Generating, and after additional analysis of the feature vector, constructing a fingerprint of the terminal.
Characterized by a sim box blocking device.
제5항에 있어서,
상기 제어평면 메시지는,
ATTACH Request 및 UECapabilityInformation를 포함하고, 상기 제어평면 메시지를 반복적으로 수집하고 각 단말에 대해 특징을 추출하는 것
을 특징으로 하는, 심박스 차단 장치.
According to clause 5,
The control plane message is,
Includes ATTACH Request and UECapabilityInformation, and repeatedly collects the control plane messages and extracts features for each terminal.
Characterized by a sim box blocking device.
제5항에 있어서,
상기 특징 공간 축소부는,
상기 단말에서 나타나는 특징 중 값이 일정하지 않은 특징을 제거하고, 모든 단말에서 일관된 값을 갖는 특징을 필터링하며, 필터링 후, 남은 특징에 대해 단말의 핑거프린트 구성에 동일한 기여를 하는 특징들을 그룹화한 클러스터를 형성하는 것
을 특징으로 하는, 심박스 차단 장치.
According to clause 5,
The feature space reduction unit,
Among the features appearing in the terminal, features with inconsistent values are removed, features with consistent values in all terminals are filtered, and after filtering, the remaining features are grouped together with features that contribute equally to the fingerprint configuration of the terminal. forming
Characterized by a sim box blocking device.
컴퓨터 장치에 의해 수행되는 이동통신망 단말의 제어평면 메시지 기반 핑거프린트를 사용한 심박스 사기 방지 방법에 있어서,
이동통신망에서 음성 통화를 위한 접속 제어 목록(Access Control List, ACL)을 제공하는 단계
를 포함하고,
상기 음성 통화를 위한 접속 제어 목록(ACL)을 제공하는 단계는,
보고된 단말의 국제 모바일 장치 식별코드(IMEI)의 진위 여부를 식별하는 단계
를 포함하는, 심박스 사기 방지 방법.
In a method for preventing SIM box fraud using a control plane message-based fingerprint of a mobile communication network terminal performed by a computer device,
Step of providing an access control list (ACL) for voice calls in a mobile communication network
Including,
The step of providing an access control list (ACL) for the voice call,
Identifying the authenticity of the International Mobile Equipment Identity (IMEI) of the reported terminal
How to prevent simbox fraud, including.
제9항에 있어서,
상기 국제 모바일 장치 식별코드(IMEI)의 진위 여부가 식별되지 않은 경우, 상기 단말의 가입된 요금제가 장치 유형과 일치하는지 확인하는 단계
를 더 포함하는, 심박스 사기 방지 방법.
According to clause 9,
If the authenticity of the International Mobile Equipment Identification Code (IMEI) is not identified, checking whether the subscribed rate plan of the terminal matches the device type.
Method for preventing simbox fraud, further comprising:
KR1020220120595A 2022-09-23 Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting KR102678476B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220120595A KR102678476B1 (en) 2022-09-23 Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220120595A KR102678476B1 (en) 2022-09-23 Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting

Publications (2)

Publication Number Publication Date
KR20240041505A true KR20240041505A (en) 2024-04-01
KR102678476B1 KR102678476B1 (en) 2024-06-26

Family

ID=

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
M. Kotuliak, S. Erni, P. Leu, M. Roeschlin, and S. Capkun. Ltrack: Stealthy tracking of mobile phones in lte. In USENIX Security, 2022.

Similar Documents

Publication Publication Date Title
EP3706022B1 (en) Permissions policy manager to configure permissions on computing devices
Hussain et al. LTEInspector: A systematic approach for adversarial testing of 4G LTE
EP3906652B1 (en) Protecting a telecommunications network using network components as blockchain nodes
RU2546610C1 (en) Method of determining unsafe wireless access point
Dabrowski et al. The messenger shoots back: Network operator based IMSI catcher detection
WO2021151335A1 (en) Network event processing method and apparatus, and readable storage medium
CN109995769B (en) Multi-stage heterogeneous trans-regional full-real-time safety management and control method and system
Hu et al. Security threats from bitcoin wallet smartphone applications: Vulnerabilities, attacks, and countermeasures
CN107046516B (en) Wind control method and device for identifying mobile terminal identity
CN114339767B (en) Signaling detection method and device, electronic equipment and storage medium
CN112087756A (en) Communication method and device for preventing malicious user from accessing
Hou et al. Discovering emergency call pitfalls for cellular networks with formal methods
Yocam et al. 5G mobile networks: reviewing security control correctness for mischievous activity
Sheoran et al. NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation
Oh et al. Preventing SIM Box Fraud Using Device Model Fingerprinting.
KR102678476B1 (en) Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting
CN107995616A (en) The processing method and device of user behavior data
KR20240041505A (en) Method and apparatus for preventing sim box fraud in mobile communication network using device fingerprinting
Chatzisofroniou et al. Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls
CN111372245A (en) LTE network interception method and system
WO2022243956A1 (en) Method, mobile equipment, and system for vulnerability detection in a sim
CN109428870A (en) Network attack processing method based on Internet of Things, apparatus and system
KR101160903B1 (en) Blacklist extracting system and method thereof
US20240107316A1 (en) Method for imei verification and unauthorized device detection using control plane message and the system thereof
US12028345B2 (en) Information security system and method for identifying trusted machines for machine-to-machine (M2M) security and validation

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right