3G無線ネットワークを悪意ある攻撃から防護するための方法および装置
【課題】 ネットワークに対する悪意ある攻撃を防護する手法に関する。
【解決手段】 3G無線ネットワークから収集または推測された無線状態情報が、ネットワークに対する悪意ある攻撃を検出および防止するために使用される。
【解決手段】 3G無線ネットワークから収集または推測された無線状態情報が、ネットワークに対する悪意ある攻撃を検出および防止するために使用される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに対する悪意ある攻撃を防護する手法に関する。
【背景技術】
【0002】
無線ネットワークに対する悪意ある攻撃の頻度および規模が着実に増加してきている。
【0003】
通信ネットワークに対する悪意ある攻撃に対抗するために、実に様々な対応策が提案されてきた。これらの方式は、有線ネットワークに対する攻撃の脅威を緩和することはできるが、無線ネットワークに対しては不十分である。
【0004】
例えば、有線のサービス妨害(DoS:Denial of Service)攻撃においては、サーバなどの機械は、限られた処理およびバッテリ寿命を有する無線エンドポイント(移動体)よりも大きな処理能力を有するので、相対的に言って、サーバが使用不能にされるには長い期間を要する。加えて、無線リンクは、有線ネットワークと比較した場合、厳しい帯域幅制約がある。したがって、攻撃目的のトラフィックが移動体に到達した場合、無線リンク、無線インフラストラクチャ、および移動体のバッテリ電力といったクリティカルな資源を浪費させることに関して、攻撃はすでに成功をおさめている。これは、成功をおさめるためにはサーバにおいて処理資源に壊滅的な負荷をかけなければならない典型的な有線のDoS攻撃とは対照的である。
【0005】
無線ネットワークに対して試みられる多くのタイプの攻撃が存在するが、その中の2つは、信号型攻撃と、バッテリ(すなわちスリープ遮断)攻撃である。全体が本明細書に組み込まれて、全体が本明細書で説明されたと見なされる、同時係属中の米国特許出願第_____号および第_____号は、そのような攻撃について論じており、そのような攻撃に対して防御を行うための具体的な技法を提案している。
しかし、3G無線ネットワークに対する攻撃は、信号攻撃およびバッテリ攻撃だけに限定されない。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許出願第_____号
【特許文献2】米国特許出願第_____号
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、多くのタイプの3G無線ネットワークを多くのタイプの攻撃から防護するための方法および装置を提供することが望ましい。
【課題を解決するための手段】
【0008】
3G無線ネットワークに対する攻撃は、収集または推測された無線状態情報を使用することによって、防止または著しく減少され得ることを、本発明の発明者らは認識した。
【0009】
より具体的には、本発明の一実施形態(すなわち一実施例)は、無線状態情報を取得し、ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、取得情報をプロファイルと比較することによって、3G無線ネットワークに対する攻撃の検出を提供する。
【0010】
無線状態情報を使用することによって、攻撃がより容易に検出および防止され得ると、本発明の発明者らは確信する。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態による、3G無線ネットワークを攻撃から防護するためのアーキテクチャの一実施例を示す図である。
【発明を実施するための形態】
【0012】
3G無線ネットワーク内の移動体装置を多くのタイプの攻撃から防護するために、本発明は、無線攻撃防止用アーキテクチャ(AWARE:architecture for Wireless Attack Resistance)と呼ばれる新規なアーキテクチャを提供する。
【0013】
図1は、本発明の一実施形態による、AWAREアーキテクチャの一実施例を示している。
【0014】
本発明の一実施形態では、AWAREアーキテクチャ(例えば対応装置)100は、学習データベースまたはプロファイラ101と、検出エンジンまたは検出器102とを備える。プロファイラ101は、基地局(BS)103、無線ネットワーク制御装置(RNC)104、およびパケット・データ・サービス・ノード(PDSN)105を始めとする、無線インフラストラクチャ1(例えばネットワーク)の異なる要素から、無線状態情報を収集するように動作可能とすることができる。本発明の代替実施形態では、収集が可能でない場合、AWARE対応装置100は、無線ネットワーク1についての知識から状態情報を推測することができる。
【0015】
プロファイラ101は、例えば1つまたは複数の統計的尺度を使用して、正常(すなわち無攻撃)状態における与えられたユーザについてのトラフィック・プロファイルを生成するために、典型的には前処理ステップの最中に、ユーザ200についての情報を獲得および保存するように動作可能である。本発明のさらなる実施形態では、初期プロファイルが作成された後、プロファイラ101は、ユーザ挙動の変化に基づいて、定期的にプロファイルを更新することができる。プロファイルを作り上げる際に使用される情報は、パケット到着時刻、発信元のIPアドレスおよびポート番号、ならびに宛先を含むが、これらに限定されない。プロファイラ101が1つまたは複数のデータベースを備え得ることを理解されたい。これらのデータベースは、移動体相互、RNC相互、またはPDSN相互の相関のため、他のユーザのデータベースおよびプロファイラと通信することができる。例えば、1つまたは複数のPDSNに関連する複数のデータベースからのデータは、集約され、例えば類似性について分析されることができる。類似性は、複数のPDSNにわたる攻撃の開始または存在を示唆することができる。
【0016】
本発明によって提供されるプロファイリング・メカニズムの1つの新規な態様は、ユーザ関連、アプリケーション関連、さらにはサーバ関連のプロファイルを相関させる能力である。ユーザ・プロファイルによって、個々のユーザについての統計のことを指している。この区分は、個々のアプリケーションによって、さらに分類されることができる。例えば、ウェブ・サーフィングは、大多数のユーザによって、最も頻繁に使用されるサービスである。同様に、ビデオ・オン・デマンド・サーバは、ビデオをユーザにブロードキャストするために、RTPパケットを使用することができる。個々のウェブ・サーバ別の統計、または任意のIP発信元に関する統計も、HTTP/RTPパケットの到着をログに取ることによって、集められることができる。
【0017】
スケーラビリティを可能にするため、プロファイラ101は、例えば同じメトリックを使用して、同様の挙動を有するユーザの間でプロファイルを集約するように動作可能とすることができる。集約は、例えば、後でプロファイルがより容易に相関させられ得るように、プロファイルがスケーラブルな方式で保存されることを可能にする。例えば、不整合を検出するために、現在のトラフィックが集約プロファイルと比較されることができる。よく使われるサーバおよびアプリケーションについても、集約プロファイルが維持されることができる。異なる分類手法を使用するという柔軟性は、正常と見なされるトラフィックのより総合的で正確な特徴付けを可能にする。
【0018】
ここで検出器102を参照すると、検出器102は、1つまたは複数の発見的検出(detection heuristic)を使用して、3G無線攻撃を検出するように動作可能である。
【0019】
多少より詳細には、使用され得る信号伝達コストの一例は、トラフィックが無線ネットワーク1を横断する際の信号伝達コストである。悪意あるトラフィックは、過剰な信号伝達コストを導入するので、識別されることができる。信号伝達のコストは、無線ネットワーク1内の要素から得られ得る協力に応じた様々な方法で、取得されることができる。
【0020】
本発明の一実施形態では、検出器102は、ユーザまたは1組のユーザ200についての現在のトラフィックが正常プロファイルに違反しているかどうかを決定するために、保存された無攻撃または正常プロファイルを現在のトラフィック状態と比較するように動作可能とすることができる。
【0021】
攻撃が検出され、攻撃者が識別されると、AWARE対応装置100は、例えばファイアウォール106を再構成または構成する(例えばファイアウォール内の規則を設定する)ことによって、疑わしい攻撃者からの将来のトラフィックをすべてブロックすることができる。
【0022】
先に述べられたように、本発明によって提供されるAWARE対応装置は、無線データチャネルの確立および解放、ならびに移動体が活動状態にある時間を始めとする、無線固有状態情報を収集する。無線状態情報を収集し、本発明に類似した方式で3G無線攻撃を検出するためにそれを使用する他の装置を、発明者らは、現時点において知らない。
【0023】
本発明のさらなる実施形態では、AWARE対応装置100は、(同じ測定パラメータについて)異なるレベルの粒度で情報を維持するように動作可能とすることができる。言い換えると、同じ測定パラメータについて、異なる集約レベルが使用されることができる。例えば、移動体ごと、RNCごと、BSごと、または外部発信元ごとなどである。これは、発見的検出が複数のレベルで異常を見出すことを可能にし、攻撃者が悪意あるトラフィックを異なるRNCに拡散させること、または特定のBSに限定されない攻撃を仕掛けることを防止する。
【0024】
本発明によれば、AWARE対応装置の所在位置は、様々であることができる。
【0025】
例えば、AWARE対応装置は、無線サービス・プロバイダのファイアウォール106と共存配置されることができる。そのような設計が選択される場合、無線ネットワーク1の他の部分が、AWARE対応装置100のプレゼンスについての知識を有すること、またはAWARE対応装置100と対話することが、必ずしも仮定とされなくてもよい。
【0026】
本発明のさらなる実施形態では、そのような共存配置されたAWARE対応装置100のプロファイラ101は、プロファイルを作り上げるために、パケット到着などのIPレイヤ情報、ならびにIP/TCPおよびアプリケーション・レイヤ・ヘッダからの情報を使用することができる。これは、AWARE対応装置100がパケットの中を見ることができることを仮定している。IPsec(トンネル・モード)が使用可能である場合、AWARE対応装置100は、パケット・ヘッダおよびペイロードを暗号解除して検査することができるように、ドメイン内のIPsecゲートウェイと共存配置されることができる。
【0027】
「最小侵襲(least−invasive)」設計では、AWARE対応装置100は、ファイアウォール106から渡されるIPパケットを、それらがPDSN105に到達する前に見る。必要な情報のすべてが、TCPおよびIPヘッダ、ならびにペイロード自体に格納される。プロファイルを作り上げるためにプロファイラ101によって必要とされる情報は、上述のヘッダおよびペイロードから抽出されることができる。
【0028】
AWARE対応装置がIPsecゲートウェイと共存配置されない場合、AWARE対応装置がトンネル・モードでESPカプセル化パケットを暗号解除して処理することができるように、ゲートウェイといわゆるセキュリティ・アソシエーションを確立することが必要とされる。
【0029】
AWARE対応装置がファイアウォールと共存配置されない場合、AWARE対応装置がファイアウォールのフィルタなどを構成することができるよう、Checkpoint社のFirewall−1など、大多数の商用ファイアウォールと通信するために、インタフェースが使用されることができる。
【0030】
本発明の代替実施形態では、AWARE対応装置100は、PDSN105とRNC104の間で動作することができる。そのような設計では、異なるRNCにパケットがどのように分配されるかに関する情報を取得するために、AWARE対応装置は、PDSN105と対話することができる。
【0031】
加えて、AWARE対応装置がPDSNとRNCの間で動作する場合、より多くのユーザ固有状態情報が、収集されることができる。これは、FCH&SCH確立/解放のための信号伝達イベントの数、信号伝達メッセージのタイムスタンプ、および移動体の電力消費を推定する基地局を介した電力制御情報など、より細かい粒度の情報を提供する。移動体は、1つのRNCから別のRNCに乗り換えることができるので、AWARE対応装置は、移動性関連情報を取得することができてもよい。移動性の高いエンドユーザは、ネットワークの負荷に大きく寄与し得るので、発見的検出に及ぼす移動性情報の影響は、分析するだけの価値がある。例えば移動性の高いユーザに対して無線DoS攻撃を仕掛けるには、処理オーバヘッドを著しく増大させ得るより頻繁なページングなど、追加のタスクを必要とする。また、移動体は、伝送を開始する前に、PDSNとのPPP接続を開始することもできる。AWARE対応装置は、PPP状態履歴を取得するために、PDSNに問い合わせを行うこともできる。
【0032】
AWARE対応装置は、チャネル確立イベントについて、さらには移動体がどれだけの電力でデータを送信すべきかを示す、移動体に送信される電力制御メッセージについて、RNCに問い合わせを行うこともできる。
【0033】
AWARE互換インタフェースも、本発明によって提供されることができる。本発明のさらなる実施形態では、AWARE対応装置が、例えば無線ユーザ/移動体状態を問い合わせることを可能にするために、AWARE互換インタフェースが提供される。そのようなインタフェースは、(1つまたは複数の)AWARE対応装置が、移動体/ユーザ固有情報を取得するために、安全な方式で、無線ネットワークの要素と通信することも可能にすることができる。
【0034】
本発明の方法、AWARE対応装置、インタフェース、および任意のサブコンポーネント(例えば、学習データベース、プロファイラ、検出器など)が、ハードウェア、ソフトウェア、ファームウェア、またはその3つの何らかの組合せで実現され得ることを理解されたい。例えば、1つまたは複数のプログラム可能またはプログラムされたコントローラ、プロセッサ、またはコンピュータ可読媒体は、別々にまたは組み合わされて、1つまたは複数の命令、プログラムまたはコード(およびデータ)を保存するように動作可能であることができ、それらは、上で説明され、添付の特許請求の範囲で説明される本発明の特徴および機能を実施するように動作可能である。
【技術分野】
【0001】
本発明は、ネットワークに対する悪意ある攻撃を防護する手法に関する。
【背景技術】
【0002】
無線ネットワークに対する悪意ある攻撃の頻度および規模が着実に増加してきている。
【0003】
通信ネットワークに対する悪意ある攻撃に対抗するために、実に様々な対応策が提案されてきた。これらの方式は、有線ネットワークに対する攻撃の脅威を緩和することはできるが、無線ネットワークに対しては不十分である。
【0004】
例えば、有線のサービス妨害(DoS:Denial of Service)攻撃においては、サーバなどの機械は、限られた処理およびバッテリ寿命を有する無線エンドポイント(移動体)よりも大きな処理能力を有するので、相対的に言って、サーバが使用不能にされるには長い期間を要する。加えて、無線リンクは、有線ネットワークと比較した場合、厳しい帯域幅制約がある。したがって、攻撃目的のトラフィックが移動体に到達した場合、無線リンク、無線インフラストラクチャ、および移動体のバッテリ電力といったクリティカルな資源を浪費させることに関して、攻撃はすでに成功をおさめている。これは、成功をおさめるためにはサーバにおいて処理資源に壊滅的な負荷をかけなければならない典型的な有線のDoS攻撃とは対照的である。
【0005】
無線ネットワークに対して試みられる多くのタイプの攻撃が存在するが、その中の2つは、信号型攻撃と、バッテリ(すなわちスリープ遮断)攻撃である。全体が本明細書に組み込まれて、全体が本明細書で説明されたと見なされる、同時係属中の米国特許出願第_____号および第_____号は、そのような攻撃について論じており、そのような攻撃に対して防御を行うための具体的な技法を提案している。
しかし、3G無線ネットワークに対する攻撃は、信号攻撃およびバッテリ攻撃だけに限定されない。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許出願第_____号
【特許文献2】米国特許出願第_____号
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、多くのタイプの3G無線ネットワークを多くのタイプの攻撃から防護するための方法および装置を提供することが望ましい。
【課題を解決するための手段】
【0008】
3G無線ネットワークに対する攻撃は、収集または推測された無線状態情報を使用することによって、防止または著しく減少され得ることを、本発明の発明者らは認識した。
【0009】
より具体的には、本発明の一実施形態(すなわち一実施例)は、無線状態情報を取得し、ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、取得情報をプロファイルと比較することによって、3G無線ネットワークに対する攻撃の検出を提供する。
【0010】
無線状態情報を使用することによって、攻撃がより容易に検出および防止され得ると、本発明の発明者らは確信する。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態による、3G無線ネットワークを攻撃から防護するためのアーキテクチャの一実施例を示す図である。
【発明を実施するための形態】
【0012】
3G無線ネットワーク内の移動体装置を多くのタイプの攻撃から防護するために、本発明は、無線攻撃防止用アーキテクチャ(AWARE:architecture for Wireless Attack Resistance)と呼ばれる新規なアーキテクチャを提供する。
【0013】
図1は、本発明の一実施形態による、AWAREアーキテクチャの一実施例を示している。
【0014】
本発明の一実施形態では、AWAREアーキテクチャ(例えば対応装置)100は、学習データベースまたはプロファイラ101と、検出エンジンまたは検出器102とを備える。プロファイラ101は、基地局(BS)103、無線ネットワーク制御装置(RNC)104、およびパケット・データ・サービス・ノード(PDSN)105を始めとする、無線インフラストラクチャ1(例えばネットワーク)の異なる要素から、無線状態情報を収集するように動作可能とすることができる。本発明の代替実施形態では、収集が可能でない場合、AWARE対応装置100は、無線ネットワーク1についての知識から状態情報を推測することができる。
【0015】
プロファイラ101は、例えば1つまたは複数の統計的尺度を使用して、正常(すなわち無攻撃)状態における与えられたユーザについてのトラフィック・プロファイルを生成するために、典型的には前処理ステップの最中に、ユーザ200についての情報を獲得および保存するように動作可能である。本発明のさらなる実施形態では、初期プロファイルが作成された後、プロファイラ101は、ユーザ挙動の変化に基づいて、定期的にプロファイルを更新することができる。プロファイルを作り上げる際に使用される情報は、パケット到着時刻、発信元のIPアドレスおよびポート番号、ならびに宛先を含むが、これらに限定されない。プロファイラ101が1つまたは複数のデータベースを備え得ることを理解されたい。これらのデータベースは、移動体相互、RNC相互、またはPDSN相互の相関のため、他のユーザのデータベースおよびプロファイラと通信することができる。例えば、1つまたは複数のPDSNに関連する複数のデータベースからのデータは、集約され、例えば類似性について分析されることができる。類似性は、複数のPDSNにわたる攻撃の開始または存在を示唆することができる。
【0016】
本発明によって提供されるプロファイリング・メカニズムの1つの新規な態様は、ユーザ関連、アプリケーション関連、さらにはサーバ関連のプロファイルを相関させる能力である。ユーザ・プロファイルによって、個々のユーザについての統計のことを指している。この区分は、個々のアプリケーションによって、さらに分類されることができる。例えば、ウェブ・サーフィングは、大多数のユーザによって、最も頻繁に使用されるサービスである。同様に、ビデオ・オン・デマンド・サーバは、ビデオをユーザにブロードキャストするために、RTPパケットを使用することができる。個々のウェブ・サーバ別の統計、または任意のIP発信元に関する統計も、HTTP/RTPパケットの到着をログに取ることによって、集められることができる。
【0017】
スケーラビリティを可能にするため、プロファイラ101は、例えば同じメトリックを使用して、同様の挙動を有するユーザの間でプロファイルを集約するように動作可能とすることができる。集約は、例えば、後でプロファイルがより容易に相関させられ得るように、プロファイルがスケーラブルな方式で保存されることを可能にする。例えば、不整合を検出するために、現在のトラフィックが集約プロファイルと比較されることができる。よく使われるサーバおよびアプリケーションについても、集約プロファイルが維持されることができる。異なる分類手法を使用するという柔軟性は、正常と見なされるトラフィックのより総合的で正確な特徴付けを可能にする。
【0018】
ここで検出器102を参照すると、検出器102は、1つまたは複数の発見的検出(detection heuristic)を使用して、3G無線攻撃を検出するように動作可能である。
【0019】
多少より詳細には、使用され得る信号伝達コストの一例は、トラフィックが無線ネットワーク1を横断する際の信号伝達コストである。悪意あるトラフィックは、過剰な信号伝達コストを導入するので、識別されることができる。信号伝達のコストは、無線ネットワーク1内の要素から得られ得る協力に応じた様々な方法で、取得されることができる。
【0020】
本発明の一実施形態では、検出器102は、ユーザまたは1組のユーザ200についての現在のトラフィックが正常プロファイルに違反しているかどうかを決定するために、保存された無攻撃または正常プロファイルを現在のトラフィック状態と比較するように動作可能とすることができる。
【0021】
攻撃が検出され、攻撃者が識別されると、AWARE対応装置100は、例えばファイアウォール106を再構成または構成する(例えばファイアウォール内の規則を設定する)ことによって、疑わしい攻撃者からの将来のトラフィックをすべてブロックすることができる。
【0022】
先に述べられたように、本発明によって提供されるAWARE対応装置は、無線データチャネルの確立および解放、ならびに移動体が活動状態にある時間を始めとする、無線固有状態情報を収集する。無線状態情報を収集し、本発明に類似した方式で3G無線攻撃を検出するためにそれを使用する他の装置を、発明者らは、現時点において知らない。
【0023】
本発明のさらなる実施形態では、AWARE対応装置100は、(同じ測定パラメータについて)異なるレベルの粒度で情報を維持するように動作可能とすることができる。言い換えると、同じ測定パラメータについて、異なる集約レベルが使用されることができる。例えば、移動体ごと、RNCごと、BSごと、または外部発信元ごとなどである。これは、発見的検出が複数のレベルで異常を見出すことを可能にし、攻撃者が悪意あるトラフィックを異なるRNCに拡散させること、または特定のBSに限定されない攻撃を仕掛けることを防止する。
【0024】
本発明によれば、AWARE対応装置の所在位置は、様々であることができる。
【0025】
例えば、AWARE対応装置は、無線サービス・プロバイダのファイアウォール106と共存配置されることができる。そのような設計が選択される場合、無線ネットワーク1の他の部分が、AWARE対応装置100のプレゼンスについての知識を有すること、またはAWARE対応装置100と対話することが、必ずしも仮定とされなくてもよい。
【0026】
本発明のさらなる実施形態では、そのような共存配置されたAWARE対応装置100のプロファイラ101は、プロファイルを作り上げるために、パケット到着などのIPレイヤ情報、ならびにIP/TCPおよびアプリケーション・レイヤ・ヘッダからの情報を使用することができる。これは、AWARE対応装置100がパケットの中を見ることができることを仮定している。IPsec(トンネル・モード)が使用可能である場合、AWARE対応装置100は、パケット・ヘッダおよびペイロードを暗号解除して検査することができるように、ドメイン内のIPsecゲートウェイと共存配置されることができる。
【0027】
「最小侵襲(least−invasive)」設計では、AWARE対応装置100は、ファイアウォール106から渡されるIPパケットを、それらがPDSN105に到達する前に見る。必要な情報のすべてが、TCPおよびIPヘッダ、ならびにペイロード自体に格納される。プロファイルを作り上げるためにプロファイラ101によって必要とされる情報は、上述のヘッダおよびペイロードから抽出されることができる。
【0028】
AWARE対応装置がIPsecゲートウェイと共存配置されない場合、AWARE対応装置がトンネル・モードでESPカプセル化パケットを暗号解除して処理することができるように、ゲートウェイといわゆるセキュリティ・アソシエーションを確立することが必要とされる。
【0029】
AWARE対応装置がファイアウォールと共存配置されない場合、AWARE対応装置がファイアウォールのフィルタなどを構成することができるよう、Checkpoint社のFirewall−1など、大多数の商用ファイアウォールと通信するために、インタフェースが使用されることができる。
【0030】
本発明の代替実施形態では、AWARE対応装置100は、PDSN105とRNC104の間で動作することができる。そのような設計では、異なるRNCにパケットがどのように分配されるかに関する情報を取得するために、AWARE対応装置は、PDSN105と対話することができる。
【0031】
加えて、AWARE対応装置がPDSNとRNCの間で動作する場合、より多くのユーザ固有状態情報が、収集されることができる。これは、FCH&SCH確立/解放のための信号伝達イベントの数、信号伝達メッセージのタイムスタンプ、および移動体の電力消費を推定する基地局を介した電力制御情報など、より細かい粒度の情報を提供する。移動体は、1つのRNCから別のRNCに乗り換えることができるので、AWARE対応装置は、移動性関連情報を取得することができてもよい。移動性の高いエンドユーザは、ネットワークの負荷に大きく寄与し得るので、発見的検出に及ぼす移動性情報の影響は、分析するだけの価値がある。例えば移動性の高いユーザに対して無線DoS攻撃を仕掛けるには、処理オーバヘッドを著しく増大させ得るより頻繁なページングなど、追加のタスクを必要とする。また、移動体は、伝送を開始する前に、PDSNとのPPP接続を開始することもできる。AWARE対応装置は、PPP状態履歴を取得するために、PDSNに問い合わせを行うこともできる。
【0032】
AWARE対応装置は、チャネル確立イベントについて、さらには移動体がどれだけの電力でデータを送信すべきかを示す、移動体に送信される電力制御メッセージについて、RNCに問い合わせを行うこともできる。
【0033】
AWARE互換インタフェースも、本発明によって提供されることができる。本発明のさらなる実施形態では、AWARE対応装置が、例えば無線ユーザ/移動体状態を問い合わせることを可能にするために、AWARE互換インタフェースが提供される。そのようなインタフェースは、(1つまたは複数の)AWARE対応装置が、移動体/ユーザ固有情報を取得するために、安全な方式で、無線ネットワークの要素と通信することも可能にすることができる。
【0034】
本発明の方法、AWARE対応装置、インタフェース、および任意のサブコンポーネント(例えば、学習データベース、プロファイラ、検出器など)が、ハードウェア、ソフトウェア、ファームウェア、またはその3つの何らかの組合せで実現され得ることを理解されたい。例えば、1つまたは複数のプログラム可能またはプログラムされたコントローラ、プロセッサ、またはコンピュータ可読媒体は、別々にまたは組み合わされて、1つまたは複数の命令、プログラムまたはコード(およびデータ)を保存するように動作可能であることができ、それらは、上で説明され、添付の特許請求の範囲で説明される本発明の特徴および機能を実施するように動作可能である。
【特許請求の範囲】
【請求項1】
3G無線ネットワークに対する攻撃を検出するための方法であって、
無攻撃な無線トラフィック状態に基づくプロファイルを生成するステップと、
無線状態情報を取得するステップと、
前記ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、前記無線状態情報をプロファイルと比較するステップと、
を備え、前記無線状態情報が、無線データチャネルの確立および解放と、移動体が活動状態にある時間と、
FCH&SCH確立/解放のための信号伝達イベントの数、
信号伝達メッセージのタイムスタンプ、および
移動体の電力消費を推定する基地局を介した電力制御情報、
の少なくとも一つと、を含む方法。
【請求項2】
前記比較が攻撃を示唆している場合、前記ネットワーク内の移動体装置に宛てられた悪意あるトラフィックが前記装置に到達することを防止するステップをさらに備える、請求項1に記載の方法。
【請求項3】
前記無線状態情報が、前記ネットワーク内の1つまたは複数のネットワーク要素から収集される、請求項1に記載の方法。
【請求項4】
前記無線状態情報が、前記ネットワークについての知識から推測される、請求項1に記載の方法。
【請求項5】
3G無線ネットワークに対する攻撃を検出するための装置であって、
無攻撃な無線トラフィック状態に基づくプロファイルを生成し、
無線状態情報を取得し、
前記ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、前記無線状態情報をプロファイルと比較し、
前記無線状態情報が、無線データチャネルの確立および解放と、移動体が活動状態にある時間と、
FCH&SCH確立/解放のための信号伝達イベントの数、
信号伝達メッセージのタイムスタンプ、および
移動体の電力消費を推定する基地局を介した電力制御情報、
の少なくとも一つと、を含むように動作可能な装置。
【請求項6】
前記比較が攻撃を示唆している場合、前記ネットワーク内の移動体装置に宛てられた悪意あるトラフィックが前記装置に到達することを防止するようにさらに動作可能な、請求項5に記載の装置。
【請求項7】
前記装置が、前記無線状態情報を前記ネットワーク内の1つまたは複数の要素から収集するようにさらに動作可能な、請求項5に記載の装置。
【請求項8】
前記装置が、前記無線状態情報を前記ネットワークについての知識から推測するようにさらに動作可能な、請求項5に記載の装置。
【請求項1】
3G無線ネットワークに対する攻撃を検出するための方法であって、
無攻撃な無線トラフィック状態に基づくプロファイルを生成するステップと、
無線状態情報を取得するステップと、
前記ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、前記無線状態情報をプロファイルと比較するステップと、
を備え、前記無線状態情報が、無線データチャネルの確立および解放と、移動体が活動状態にある時間と、
FCH&SCH確立/解放のための信号伝達イベントの数、
信号伝達メッセージのタイムスタンプ、および
移動体の電力消費を推定する基地局を介した電力制御情報、
の少なくとも一つと、を含む方法。
【請求項2】
前記比較が攻撃を示唆している場合、前記ネットワーク内の移動体装置に宛てられた悪意あるトラフィックが前記装置に到達することを防止するステップをさらに備える、請求項1に記載の方法。
【請求項3】
前記無線状態情報が、前記ネットワーク内の1つまたは複数のネットワーク要素から収集される、請求項1に記載の方法。
【請求項4】
前記無線状態情報が、前記ネットワークについての知識から推測される、請求項1に記載の方法。
【請求項5】
3G無線ネットワークに対する攻撃を検出するための装置であって、
無攻撃な無線トラフィック状態に基づくプロファイルを生成し、
無線状態情報を取得し、
前記ネットワーク内の要素に攻撃が仕掛けられているかどうかを決定するために、前記無線状態情報をプロファイルと比較し、
前記無線状態情報が、無線データチャネルの確立および解放と、移動体が活動状態にある時間と、
FCH&SCH確立/解放のための信号伝達イベントの数、
信号伝達メッセージのタイムスタンプ、および
移動体の電力消費を推定する基地局を介した電力制御情報、
の少なくとも一つと、を含むように動作可能な装置。
【請求項6】
前記比較が攻撃を示唆している場合、前記ネットワーク内の移動体装置に宛てられた悪意あるトラフィックが前記装置に到達することを防止するようにさらに動作可能な、請求項5に記載の装置。
【請求項7】
前記装置が、前記無線状態情報を前記ネットワーク内の1つまたは複数の要素から収集するようにさらに動作可能な、請求項5に記載の装置。
【請求項8】
前記装置が、前記無線状態情報を前記ネットワークについての知識から推測するようにさらに動作可能な、請求項5に記載の装置。
【図1】
【公開番号】特開2012−227964(P2012−227964A)
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願番号】特願2012−173597(P2012−173597)
【出願日】平成24年8月6日(2012.8.6)
【分割の表示】特願2008−547354(P2008−547354)の分割
【原出願日】平成18年12月15日(2006.12.15)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願日】平成24年8月6日(2012.8.6)
【分割の表示】特願2008−547354(P2008−547354)の分割
【原出願日】平成18年12月15日(2006.12.15)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
[ Back to top ]