专利名称::防止3g无线网络被信令攻击的方法和设备的制作方法防止3G无线网络被信令攻击的方法和设备
背景技术:
拒绝服务(DoS)攻击继续提供了巨大的挑战,实际上,互联网上攻击的频率和数量一直在稳定的增长之中。有很多广为人知的攻击,诸如2000年2月攻击包括Yahoo、CNN、EBay等著名网站的那次攻击,以及近期攻击根域名服务器(DNS)的攻击等。典型地,DoS攻击涉及通过给节点发送超过其处理能力的大量业务,将受到折磨的节点在攻击持续期间从网络中除去。更为复杂的攻击是分布式的DoS攻击(DDoS)。试图发起DDoS的攻击者通过使用广为人知的安全漏洞暗中破坏一些节点开始。这些被危及安全的节点基本上将变为攻击者的从属设备,并作为拒绝业务进入网络的发起点。通过召集合理数量的被危及安全的节点,并从多个发起点发起一连串业务,攻击者甚至可能发起一个大规模的网络侧的攻击。为了应对DoS攻击,提出了4艮多的解决方案,目前,4氐举PDoS攻击的现有方法包括防火墙(例如Cisco的PIX路由器,Netscreen,Checkpoint的Firewall-l),修改以支持回推、回溯机制的路由器,可以试图检测攻击源以及相关的入侵检测机制,以寻找到达业务的异常之处或签名。这些方法中的一些方法需要对现有网络单元做出重大改变,并花费较大的代价去部署,另外一些方法要求通过ISP的配合,可能不易实现。不管如何,这些方案确实减少了有线网络DoS攻击的威胁,例如,许多防火墙不允许从外部发起连接,以此防止DoS洪泛式的攻击。另一方面,无线网络要比有线网络脆弱的多。无线网络中有一些弱点可以;陂新的DoS攻击利用*有限的无线链路带宽与无线链路的低容量相组合的资源稀缺使得它成为DoS非常容易攻击的目标。实际上,攻击者的工作变得比有线情况更加简单,因为只需要很少的业务(即相对较低的量)即可使无线链路过载。另外,相对较低的业务量也增加了检测无线DoS攻击的困难。*处理开销典型地,3Glx或UMTS网络具有一些基础设施单元,以执行一系列的功能,例如功率控制、资源分配、寻呼等。这些针对每个移动设备的活动也涉及无线电网络控制器(RNC)和基站。在快速切换过程中,这些设备需要的开销非常巨大。进一步,这些设备只是被典型的设计成处理处于带有同时有效的一定数量的用户的负载。因此,过载是任何无线基础设施的一个非常重要的考虑因素。*有限的功率供给另外一个限制因素是无线网络中的移动设备通常都是由电池供电的,电池有限的使用寿命使移动设备成为一系列攻击的目标,这些攻击只要使移动设备执行过多的功率消耗活动而耗尽其能量即可。这可以迫使移动设备无法工作。*多目标在无线网络DoS攻击中,因为4艮多无线基础i殳施和移动设备都可以很容易的被攻击,这使得攻击者有更多的灵活性。同一个攻击现在可以以多个移动设备为目标,或者单独攻击每一个移动设备,或者瞄准整个无线基础设施以获得广泛的效应。进一步,像lxEV-DO支持永远在线能力的新体系架构也增加了受攻击的概率。一个发起特定于无线DoS攻击的攻击者可以非常容易的利用这些弱点。另外,无线攻击的副产品是一旦攻击到达移动设备后,就已经太晚了。在有线网络DoS攻击中,服务器要花费一定量的时间才能使其无法工作,因为这些机器与无线端点(移动设备)相比拥有更大的处理能力。与之相反,移动设备仅有有限的处理能力和电池寿命。另夕卜,与有线网络相比,无线链路的带宽严重受限,如果来自攻击的业务到达移动设备,那么这个攻击已经成功的耗费了无线链路、无线基础设施以及移动设备的电池能量的关键资源。这是与典型的有线网络DoS攻击相反的,有线网络攻击必须过栽服务器的处理资源才能成功。因此,需要提供可以检测、防止和抵御针对3G无线网络及类似攻击的方法和设备。特别的,需要提供可以检测、防止和抵御针对UMTS、CDMA2000及其它3G无线网络发起类似DoS攻击的方法和设备。图l描述了UMTS无线网络体系架构的实例。图2描述了与图1的UMTS无线网络相关的消息流程的实例。图3a和3b描述了针对信令攻击造成的可能影响的示例仿真。图4描述了在3Glx无线网络中建立基本信道的示例步骤。图5描述了3Glx无线网络体系架构的实例。图6描述了根据本发明的一个实施例检测和防止信令攻击的体系架构的实例。具体实施方式3G无线网络需要在移动设备与相关无线基础设施之间建立(即设置)专用信道,用以传输数据。为了建立所述信道,需要在移动设备与无线基础设施的单元之间传送信令消息。信令攻击试图利用这些信令的本质,使无线基础设施过栽。UMTS网络中的信令攻击首先,对UMTS体系架构做一个简单的介绍。然后,概述建立数据信道需要的信令以及UMTS网络受到信令攻击的弱点。图1示出了典型的UMTS无线网络的体系架构。存在着多个组分,从网关GPRS支持节点(GGSN)开始,GGSN是一个GPRS网络实体,用于在服务GPRS支持节点(SGSN)和互联网之间起到无线网关的功能。另外,GGSN与外部网络上的认证服务器以及DHCP服务器相接口,用于动态地址分配。当移动设备或用户成功的认证并注册到网络,点对点(PPP)的链接就建立在GGSN与移动设备之间。除了维护移动设备的定位及认证的相关信息,SGSN还负责向移动设备发送数据或从其接收数据。典型地,存在多个SGSN,其中每一个都服务物理地处于它们的服务区域中的GPRS用户。无线电网络控制器(RNC)也被称为基站控制器(BSC),是无线链路层协议终结的点。RNC在通过基站(BS)进行通信的无线设备与网络边缘之间提供接口。这包括对BS设备中的无线电收发器进行控制和管理,包括无线电资源控制、准入控制、信道分配、以及类似于BS之间切换管理任务和判定功率控制参数。BS的功能包括无线链路的传输/接收、调制/解调、物理信道解码、差错处理和功率控制。在分层的体系架构中,多个移动i殳备与RNC通信,多个RNC与GGSN/SCSN通话。现在描述为建立信道进行资源分配的UMTS信令控制流程。基本上,当数据到达用户时,UMTSRNC需要与用户的基站建立无线电接入承栽(RAB)。RAB是数据传输的信道,当它处于待用状态达到超时周期后被释放。对于建立及释放RAB,需要在RNC、移动设备和基站之间交换大量的消息。这对RNC是一个巨大数量的开销,并将在信令时间间隔中引起严重的处理开销。图2示出了在RNC、基站和移动设备之间消息流程的实例。基本上,对于每一个数据呼叫,大量的消息将在移动设备和RNC之间交换。当RNC不是其中这些消息中的一些的终结点时(被称为非接入层或NAS消息),RNC需要将这些消息转发至核心网中的最终目的地(例如PDSN)。无线资源控制(RRC)消息类似RRC的消息用于为移动设备功率测量建立/释放无线电信道,传输寻呼消息、广播信息等。RRC的建立导致专用信令信道的生成,这是从移动设备传输数据或向移动设备进行数据传输的第一步。这需要在RNC与移动设备之间交换6条消息。之后,在移动设备与核心网之间交换一系列的消息,用以i人证、建立上下文,包括与PDSN的PPP连接以及IP地址的分配。对于控制安全模式,在RNC、核心网与移动设备之间交换另外的4条消息,从而交换密钥以保证用于给定用户的上下文的安全。最终,RAB的建立需要再RNC交换另外的8条消息(2个与核心网,3个与移动设备,3个与基站),总共产生24条消息,以建立与RNC的单个RAB(不包括RNC内不同单元之间的消息交换)。需要注意的是,后续的RAB建立不再需要执行RRC信令信道的建立,但是,使用控制安全模式将可能需要重新认证移动设备。根据移动设备的定位,所谓软切换需要向移动设备具有最强信号的主节点增加支路(leg)或基站。这将需要在RNC交换的另外4条消息(2条与移动设备,2条与主基站)。最终,在传送之后,移动设备可以发起RAB和RRC连接的拆除,这由Iu释放功能发起。这需要在RNC交换的总共11条消息(2条与核心网,4条与移动设备,5条与基站)。这个数目同样不包括RNC内处理的消息,所述消息也被归属于RNC的总负载中。如果移动设备与其核心网络之间不存在数据交换,移动设备处于挂起状态。在此状态下,空中链路资源被释放并分配给其它有效的移动设备,这需要4条消息(2条与核心网,2条与基站)。然而,上下文仍然保留在RNC中,移动设备保留它在RRC/RAB建立期间获得的IP地址。移动设备可以利用分组呼叫上下文恢复消息(另外的2条消息与核心网交换)被重新激活(2条消息与RNC交换),只要未发生5秒钟的空闲超时周期。弱点及攻击的本质攻击者通过基本上触发RNC与BS之间的过量信令消息交换,可以利用建立RAB所需的重负载信令开销。这可以通过在合适的时间周期内发送少量的突发来实现,以使得正好在RAB由于待用而拆除后,来自攻击者的突发到达以触发新RAB的建立。通过需要过量的信令消息,这种频繁的建立/释放可以非常容易的使RNC过载。需要注意的是,攻击者可以相对容易的获取移动设备的IP地址。无线服务提供商典型地分配一系列连续的IP地址,这使攻击者非常容易仅仅通过假装作为合法的用户就可以猜到地址的有效范围。值得注意的是攻击的两个显著特征。如前所述,一个是由于攻击中平均传输的速率较低(周期性发送的小突发),使得现有检测机制很难将业务与恶意数据分开。这种低容量也让攻击者很容易发起攻击,不像传统DoS攻击一样甚至需要攻击者侵占上千个主机才能发动一次攻击。而且,每个移动设备只需要发送一个分組即可以使攻击者获得一个广泛的、散布的影响,以及复杂的检测。攻击导致的破坏所述攻击导致的破坏可以严重到使合法的业务由于被RNC丢弃而无法接收资源分配。RNC也能被导致过载,有效的拒绝大量用户的业务。另外,RNC,皮设计成处理一定量连续有效的移动设备/用户(实际中为10%)。这种攻击的低容量特性使得攻击者非常容易超过这个数目。信令攻击的另外一个影响是可能会耗尽移动设备的电池。通常为了省电,当没有分组被发送或接收时,移动设备切换到低功耗的空闲或休眠状态。因为少量突发被周期性发送,将迫使移动设备保持更长时间的有效状态,在更糟的场景中,移动设备可能永远不被允许进入休眠状态,导致其电池快速耗尽。发明人攻击带来的影响进行了仿真,其中一些结果如图3a和3b所示。图3a示出了基站控制器的负载伴随着一系列的攻击随时间变化的结果。图3b示出了呼叫建立延时随着时间的变化(此时延定义为呼叫到达直到资源分配的时延)。图3a和3b所示的结果表明了攻击带来的巨大影响,仅通过发送6。/。的攻击业务,RNC的负载可能会增加5倍,从15%上升到75%。这也将导致呼叫建立时延增加5倍,将会更加破坏用户的信心,特别是对推销实时服务的提供商。只要发送大约10%的攻击业务就可以很容易的使RNC过载。调整一下,如下是针对3Glx体系架构(例如CDMA2000)及其信令的简要描述。3Glx体系架构图5描述了一个典型的3Glx无线网络的体系架构。PDSN可能是一个路由器,起到整个无线网络内所有用户移动设备/终端收发数据流的网关的作用。当移动设备或用户成功认证并在网络中注册后,PPP链路将在GGSN与用户/移动设备之间建立。在通往PDSN的路径上,有3个设备是无线基础设施的典型部分。RNC和BS与UMTS中的对应物有相同的功能。在这种分层体系架构中,多个移动设备与基站通信,多个基站与RNC通信,多个RNC与PDSN通话。3Glx信令在3Glx网络中,资源分配存在着类似的问题。UMTS网络中RAB的等同物是基础信道(FCH),该基础信道需要在传送数据时建立。图4中示出了FCH建立的典型步骤。当PDSN接收移动设备的数据时,它寻呼该移动设备。一旦接收到寻呼消息的成功响应(3条交换的消息),基站发起与移动设备建立FCH或业务信道(交换8条消息)。并行地,在基站与RNC之间作出的服务请求需要4条消息。RNC也被预期向核心网转发消息,这种情况下需要认证用户。这将导致另外的6条消息。最终,在RNC与PDSN之间交换2条另外的消息,用以计费的目的。一旦完成上述事情后,就存在向移动设备传送数据或从移动设备接收数据的有效信道。呼叫释放遵守相反的进程,需要从RNC向PDSN和基站交换7条消息,在基站与RNC、PDSN和移动设备之间交换8条消息。总共BS需要生成或接收29条消息,RNC需要生成或接收另外的13条消息,除此之外,RNC负责向核心网转发9条消息。典型地,每个用户被分配一个主支路,当呼叫第一次建立时所述主支路充当转发的基站。某些场景中,将针对一个长期连接使用一个另外的基站,称为锚定支路。这个支路可以与主支路有明显区别,并且被定义为带有到移动设备的最强信号的基站。锚定支路负责当9.6KbpsFCH上存在容量不足时,判定何时分配辅助信道(SCH)。如果超过FCH的容量的突发形式的过量数据,资源将被按需分配,以为每个用户生成SCH。这将在锚定支路之间交换附加的16条消息,RNC与其它基站(为了软切换)将导致锚定支路的类似的弱点,用以辅助信道分配和释放。虽然针对锚定支路的攻击潜在的可能比攻击RNC要少一些扩大的破坏,但是其影响仍然将非常严重,将导致无线服务提供商收入的明显损失。如果攻击者能够影响到多个锚定支路,那么这种危害将更加放大。攻击者甚至能够以属于特定锚定支路的用户为目标。需要注意的是,如果攻击者仅仅发送随机寻址的突发,那么这种危害可能仍然会很严重。即使单个的锚定支路并不管理正在接收突发的用户,RNC仍将会由于与多个锚定支路的交互而导致过栽。为了防范并抵御攻击,发明人认识到需要所谓的无线状态的知识,特别是在业务横穿无线网络时的信令代价。这使得一旦开始引入过度的信令代价,就可以识别恶意业务。根据涉及的无线基础设施,信令代价可以通过多种不同的方式获得。理想情况下,当无线单元对所述询问提供接口时,准确的信令代价可以通过对无线单元,例如RNC和基站进行询问而获得。然而,当前3G无线网络没有这样一个接口,因此需要修改以支持这样的询问。然而,改变现有基础设施与已经花费在网络拥有者/运营商的投资量相比,不是一个可行的方案。发明人发现了一种简单新颖的机制,可以在假设滞销信令呼叫的情况下,从业务到达模式中估算出信令代价。本发明提供了一种使用这样估计的信令代价来检测攻击的方法与设备。如上所述,如果无线单元提供一个供询问使用的接口,信令代价可以通过简单的询问来获得。此外,挑战在于没有所述无线单元辅助的情况下,如何去获得代价。在本发明的一个实施例中,信令代价可以根据业务到达方式估计。这需要知晓无线单元内部信令协议。表1示出了根据本发明的一个实例,在UMTS网络中估算信令代价的技术实例(由于RAB的建立/释放)。本发明范围内相似的技术可以根据本发明的备选实施例,用于估算CDMA2000网络的其它类型的信令代价。表l<table>tableseeoriginaldocumentpage12</column></row><table>如果目的RAB已经被释放,本发明基于分组的到达,利用目的移动i殳备必需重建RAB的事实。这种重建产生了用于建立新RAB、且由于空闲定时器期满而释放以前的RAB而导致的附加代价;本发明提供的技术可以检测到此代价。虽然实际传送的数据量较低,但是检测到过量的或附加的信令代价可以作为正在进行的信令攻击的可靠标记。在继续之前,需要注意的是,攻击者可以洪泛式的使用大量的业务攻击网络,从而引起很大的信令代价。然而,相对来说,这样的攻击很容易被现有的防火墙或者入侵检测机制检测到。针对低容量的攻击,需要一种更加准确的检测度量。根据本发明,被称为信令代价与数据比率的静态测量被用作检测度量。如果这个比率超过某一的筒表化后的门限,则信令攻击会被检测到,并且来自攻击源的恶意业务/分組将被阻塞。本发明的另一个实施例中,如果从同一个攻击源中检测到多个攻击,则来自该攻击源的恶意业务/分组等都将被阻塞,但是来自其它源的业务被允许通过。也可以使用一些其它的入侵检测机制减少伪告警的机会。根据本发明的示例方法,确定业务是否属于攻击的第一步是为后续的比较设定门限。这应该特定于用户/应用。这个门限值可以通过在预处理时间周期内简表化用户/应用来选择。在所述时间周期期间,可以基于静态信令代价与数据比率来生成每个用户的用户简表。构建该简表所用的信息包括分组到达时间,源端和目的地的IP地址和端口号。本发明所提供的简表化机制方面的一个创新方面是会聚相关简表的能力(用户、应用以及服务器)。通过用户简表,我们参考各个用户的统计值该划分可以通过各个应用用户进一步分类。例如,网上冲浪是大多数用户常用的服务。类似的,视频点播服务器可以使用RTP分组向用户广播视频。基于各个网络服务器的统计值也可以通过记录HTTP/RTP分组的到达而被编译。为了增加可扩展性,简表可以在具有相似行为的用户间会聚。当前的业务可以接着与会聚的筒表相比较,以检测到其不一致性。可以为热门的服务器以及热门的应用类似地维持会聚的简表。这种使用不同分类方法的灵活性允许更为复杂与精确的特征来判断什么是正常的业务。所述简表是检测非正常和恶意业务的关键,同时也可以最小化错误决定的概率(将合法的业务错误地归类于恶意业务)。<table>tableseeoriginaldocumentpage13</column></row><table>表2示出了一种抵御DoS信令攻击的方法或设备的实例。这种方法可以由能够从无线基础设施估计和收集用户状态统计信息(例如实际业务流)的设备执行。总的来说,这种方法可以按如下方式实施。在初始化步骤中,产生或导出当前的测量,例如信令代价与数据比率。所述比率可以通过直接向基础设施询问获得,也可以使用估计技术获得。接下来,所述信令代价与数据的比率要与门限,即参考比率进行比较。如果导出的比率超过用户的门限,即为所述用户构建简表的、根据预处理步骤确定的S/DTHRESH,则来自发送端"s,,的后续业务被加上标志。最后,如果来自发送者s的足够多的分组(与门限S/DTHRESH相比)已经被标识为可疑,或者所述可疑行为持续超过扩展的时间周期(INVALIDTIMER),那么在防火墙中将使用过滤器来阻塞所述发送端的后续业务。需要注意的是,在预处理步骤生成的用户简表是适应于用户行为的,以便最小化错误决定,并在波动发生时可以进行准确的检测。更具体地,在预处理期间生成初始简表,将会基于用户行为的改变进行周期性的更新。应用于表2中的方法可以通过许多不同的方式实现,其中之一可以称为4氐抗无线攻击的体系架构(AWARE)。具备AWARE功能的设备可以是模块化的,并支持升级以应对未来的攻击。基于本发明的一个实施例,AWARE体系架构(例如具备其功能的设备)可以由两部分构成学习数据库和简表库,和/或检测引擎或检测器。学习数据库需要在预处理步骤运行,以捕捉并存储用户信息。简表库在正常条件下(例如非攻击时)运行,以便为给定的用户生成业务简表。所述数据库和简表库可以是同一个,并且使其它用户的数据库与简表库相关,用以交叉移动设备的相关。所述数据库的信息将馈送给检测器/检测引擎。在本发明的一个实施例中,检测引擎保持每个用户的门限,并且验证用于用户或一组用户的当前业务是否使相应的门限发生波动。基于能够与具备AWARE功能的设备(一个包含数据库、简表库和/或检测器的设备)进行通信的无线单元,具有AWARE功能的设备所处位置可以被改变*与防火墙共置具有AWARE功能的^殳备可以与防火墙或无线服务提供商共置。如果选择这样的设计,则不需要假设无线基础设施中的任何其它部分需要认识到存在具备AWARE功能的设备,或者与所述具备AWARE功能的设备进行交换。本发明的一个实例中,具备AWARE功能的设备使用IP层的信息,例如分组到达和来自IP/TCP的信息以及应用层的标题来建立简表。假设具有AWARE功能的设备可以探视到分组的内部。如果IPsec(隧道模式)已经建立,则具备AWARE功能的设备可以在域中与IPsec网关共置,以能够解密并检查分组首标及负荷。*在PDSN与RNC之间本发明的备选实施例中,具备AWARE功能的设备可以放置在PDSN和RNC之间。在这种设计中,所述设备可以与PDSN进行交换,并获取分组如何分发到不同RNC的信息。RNC可以提供更细的颗粒信息,例如FCH和SCH建立/释放的信令事件数量、信令消息的时间戳、以及基站估计移动设备消耗的功率控制信息等。需要理解的是,具备AWARE功能的设备是备用设备的情况下,兼容AWARE的接口可能需要允许所述设备与无线基础设施(例如防火墙)共同运行。在"最小入侵"设计中,具备AWARE功能的设备仅仅探视那些通过防火墙但在到达PDSN之前的IP分组。所需的全部信息都包含在应用TCP和IP标题及其负荷中。为建立简表所需的信息可以从上述标题及负荷中提取。具备AWARE功能的设备应能够与现有防火墙或IPsec网关进行通信,理想情况下,具备AWARE功能的设备可以用与作过滤器的这些实体并置,以阻塞可疑业务。如果具备AWARE功能的设备没有与IPsec网关并置,则需要与网关的所谓安全关联,以解密并处理隧道模式下的ESP封装的分组。即使具备AWARE功能的设备没有与防火墙并置,典型地,存在着与多种商用防火墙的接口,例如Checkpoint的Firewall-l,用以配置过滤器。如果具备AWARE功能的设备被放置在PDSN与RNC之间,则可以收集到更多特定于用户的状态信息(即用户属于哪一个RNC,并且从RLP帧中可以得到潜在的其它信息)。而且,具备AWARE功能的设备可以获取移动性相关的信息,因为移动设备可以从一个RNC穿过到达另一个RNC。移动性信息对于检测探试的影响值得分析,因为高移动性的终端用户对基础设施的负栽有明显的影响。发起针对高移动性用户的无线DoS攻击需要另外的任务,诸如更加频繁的寻呼,这可以明显地增加处理负载。另外,移动设备可以在发起转移之前发起与PDSN的PPP连接。具备AWARE功能的设备可以询问PDSN,以获取PPP状态历史。除了具备AWARE功能的设备之外,发明人还认识到AWARE相关的体系架构仍然需要附加的设备。例如,本发明提供了AWARE兼容的接口。本发明的一个实施例中,所述接口可以询问无线用户/移动状态。所述接口允许具备AWARE功能的设备通过安全方式与无线基础设施通信,以获取移动设备/特定于用户的信息。需要注意的是,所述接口可能作为除了PDSN之外的选项,而^皮包含在基础i殳施中,因为为了估计状态信息需要知道最少的分组到达。除了所述接口之外,本发明提供了一种插入式的检测器。"Snort"是一种开源的IDS机制,其仿真具备AWARE功能的设备的功能。Snort是模块化的,并且允许安装新的插入进程,从而允许定制并增强检测机制,用于抵御当前或未来的攻击。"插入"意味着一种通用的方式,是指可以动态的添加模块来改变Snort的行为。本发明的一个附加实施例提供了一种Snort兼容的、插入集成检测探试功能。本发明也提供了其它插入进程。而且,在其试验期间,发明人应用Snortsam与防火墙接口并反击攻击。在本发明的一个附加实施例中,提供了一种兼容Snortsam插入进程,允许使用本发明提供的所述接口。所述插入进程作为过滤器运行来阻塞恶意业务。另外,所述插入进程可以与无线分组调度器接口,用于降低恶意业务的优先级。需要理解的是,本发明所述的方法、具备AWARE功能的设备、接口以及任何其它子组件(例如学习数据库,简表库,检测器等)可以由>更件、软件、固件或三者的组合来实现。例如,一个或多个可编程的或编程后的控制器、处理器等,可以用于存储一个或多个程序或代码(和数据),并且依次运行以执行上述的以及随后的权利要求书中所述的本发明的特征和功能。权利要求1、一种检测针对3G无线网络的信令攻击的方法,包括测量与移动设备相关的业务级别;生成与所述测量的业务级别相关的代价-数据的比率以及信令代价;将所述生成的比率与简表化的、参考代价-数据门限比率相比较,以确定是否存在针对所述设备的拒绝服务信令攻击。2、根据权利要求1所述的方法,还包括当所述生成的比率等于或超过所述门限参考比率时,防止针对所述移动设备的恶意业务到达所述设备。3、根据权利要求1所述的方法,其中从包括UMTS或CDMA2000网络的组中选择所述网络。4、根据权利要求1所述的方法,还包括才艮据业务到达方式生成所述信令代价。5、根据权利要求1所述的方法,其中所述业务级别是相对少量的数据。6、—种在无线网络中检测拒绝服务DoS攻击的方法,包括(a)生成统计测量,所述统计测量用于描述在所述无线网络正常运行期间,信令代价与至少一个移动设备收发的实际数据之间关系的特性;(b)比较所述统计测量与当前测量;以及(c)如果所述当前测量与所述统计测量相差超过门限,检测DoS攻击。200680010186.2权利要求书第2/2页7、根据权利要求6所述的方法,所述统计测量是基于指定时间间隔内的信令代价与指定时间间隔内的所述至少一个移动设备收发的实际数据量的比率。8、根据权利要求7所述的方法,还包括基于业务到达方式估计所述比率。9、一种3G无线网络,包括一个或多个接入节点,用于在所述无线网络与互联网之间提供接入;与所述接入节点进行通信的一个或多个无线电网络控制器RNC;用于每个RNC的一个或多个基站,与RNC以及一个或多个移动单元进行通信;以及体系架构,用于(a)生成统计测量,所述统计测量用于描述在所述无线网络正常运行期间,信令代价与至少一个移动设备收发的实际数据之间关系的特性;(b)比较所述统计测量值与当前测量;以及(c)如果所述当前测量与所述统计测量相差超过门限,检测DoS攻击。10、一种检测针对3G无线网络的拒绝服务信令攻击的设备,包括:数据库,用于存储移动信息;简表库,用于基于所述存储的信息,对于与非攻击状态相关的移动设备生成业务简表;以及检测器,通过将与所述移动设备相关的业务到达率和与所述至少一个生成的移动简表相关的门限相比较,以检测攻击。全文摘要使用无线状态信息及用户/网络简表来检测并防止拒绝服务攻击。文档编号H04L29/06GK101151868SQ200680010186公开日2008年3月26日申请日期2006年3月21日优先权日2005年3月31日发明者天卜,托马斯·Y·伍,萨姆普·诺登申请人:朗迅科技公司