对抗计费欺诈的检测方法与流程

本发明涉及与欺诈检测相关的装置、方法和计算机程序产品。更具体地，本发明涉及与在移动通信网络中的对欺诈的检测和可选地对抗欺诈的保护相关的装置、方法和计算机程序产品。

缩略语

3GPP 第三代合作伙伴计划

5G 第5代

AAA 认证、授权和记账

AVP 属性值对

CC 计费特性

CCA 信用控制应答

CCR 信用控制请求

CDR 呼叫数据记录

CGF 计费网关功能

DRA Diameter（直径）路由代理

EAP AKA可扩展认证协议认证和密钥协定

EPC 演进分组核心

GMSC 网关MSC

GPRS 通用分组无线电系统

GSM 全球移动通信系统

GSMA GSM协会

HPLMN 归属PLMN

HSS 归属订户服务器

IDA 插入订户数据应答

IDR 插入订户数据请求

IMSI 国际移动订户身份

IoT 物联网

IP 网际协议

IPSec IP安全性

ISDN 综合服务数字网

IWF 互通功能

LTE 长期演进

MAP 移动应用部分

MME 移动性管理实体

MSISDN 移动台ISDN号码

MSC 移动服务交换中心

NDS 网络域安全性

OCS 在线计费系统

OFCS 离线计费系统

PLMN 公共陆地移动网络

PS 分组交换

RFC 请求注释

SC 服务中心

SGSN 服务GPRS支持节点

SM 短消息

SMS 短消息服务

SMSC 短消息服务中心

SRI 发送路由信息

SS7 信令系统7

TLS 传输层安全性

TS 技术规范

VPLMN 受访PLMN

WLAN 无线局域网。

背景技术：

本申请的技术领域是在LTE和5G网络中计费并且更一般的LTE/5G网络安全性。运营商现在采取使它们的网络经得起潜在攻击的手段，特别是它们寻求对抗计费滥用（欺诈）的保护。这对于5G网络变得至关重要，在5G网络中预期大量设备将是无人值守的IoT设备，其中比如开账单的过程在运营商和IoT拥有者之间自动化，并且因此潜在的攻击发现可能不是立即的。

第三代合作伙伴计划（3GPP）定义了用于5G的技术框架。

根据https://en.wikipedia.org/wiki/5G，下一代移动网络联盟为当前在标准化下的5G网络定义了以下要求：

• 应针对数以万计的用户支持每秒数十兆比特的数据速率

• 同时向同一办公楼的数十名工作人员提供1千兆比特每秒

• 针对大量传感器部署支持几十万同时连接

• 与4G相比，应显著增强频谱效率

• 应改善覆盖范围

• 应增强信令效率

• 与LTE相比，应显著减少延时。

为了在节点之间传送预订、移动性和管理信息，在5G中，将可能使用Diameter协议。Diameter开始作为用于计算机网络的认证、授权和记账协议。Diameter基础协议由RFC 6733定义，并定义了针对AAA协议的最低要求。各种Diameter应用通过添加新的命令、属性或两者来扩展基础协议。这些Diameter应用例如由3GPP在不同的文档中描述。可以通过部署IPSec或TLS来提供Diameter安全性。

通信网络利用若干Diameter应用协议。一个非常常见的协议是HSS和MME之间的通信协议的Diameter应用，称为S6a/S6d。Diameter协议的插入-订户-数据-请求（IDR）命令从HSS发送到MME或SGSN（接口S6a/S6d）。当接收到插入订户数据请求时，MME或SGSN将检查（例如，由IMSI标识的）订户身份是否为已知的。HSS可以使用该过程来利用所发送的数据替换或更新存储在MME或SGSN中的用户数据（=订户数据或预订数据）的特定部分，或者将用户数据的特定部分添加到存储在MME或SGSN中的数据。特别地，可以在HSS和MME之间以及HSS和SGSN之间使用插入订户数据过程，以用于尤其由于HSS中的用户数据的管理改变而同时用户（订户）位于MME或SGSN中（即，如果用户被给予预订并且预订已经改变）而更新MME或SGSN中的某些用户数据。用户数据可以包括控制订户在其上被计费的账户的OFCS和/或OCS的地址。

安全性研究人员去年发现了重大的安全性漏洞（参见[1]至[3]）。移动网络运营商监视了它们的业务，并指出这些漏洞真正被攻击者使用，并且在“正常的日子”发生数以千计的这些攻击。在几个月内，欺诈和其他未经授权的消息甚至达到数百万个消息。运营商现在采取对抗这些欺诈者和未经授权的网络访问的动作，并引入过滤机制。作为一种反应措施，运营商与本申请人一起开发了保护可以如何发生来对抗已知的基于SS7的攻击的材料。一些安全性研究人员现在开始深入地检查LTE和5G漫游，特别是Diameter安全性。

运营商协会GSMA现在正在开发细粒度的机制来防止已知的攻击。Diameter欺诈攻击还不可见，但对攻击者存在巨大的潜在得益。因此，本发明聚焦于保护用户和网络对抗尝试操纵用户简档信息的攻击者。

积极（positive）技术安全性描述了使用MAP来避免计费的攻击[4]，但那里没有提出对策。存在针对较旧的网络类型的攻击（SS7/MAP，参见参考文献[1]、[3]和[4]），但由于不同的协议和消息，那里的保护措施与LTE和5G网络不同。

参考文献

[1]Engel, Tobias, 31st Chaos Computer Club Conference (31C3), “SS7: Locate. Track. Manipulate”, （2014年12月）, http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2553/original/31c3-ss7-locate-track-manipulate.pdf

[2] Puzankov, Sergey, Kurbatov, Dimitry, PHDays 2014, “How to Intercept a Conversation Held on the Other Side of the Planet” (2014年5月), http://www.slideshare.net/phdays/phd4-pres-callinterception119

[3] Karsten Nohl.(2014年12月). “Mobile self-defense” Available FTP: http://tinyurl.com/n85sxyl

[4]Positive Technologies (PT), “Signaling System 7 (SS7) security report“ (2014年12月),http://www.ptsecurity.com/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf。

技术实现要素：

本发明的目的是改善现有技术。

根据本发明的第一方面，提供了一种装置，包括：监视部件，其适于监视是否接收到请求，其中所述请求请求将计费系统的所存储的第一地址替换为第二地址，所述第一地址不同于所述第二地址，并且假设所述计费系统控制订户的主账户；通知部件，其适于在接收到所述请求的情况下通知所述请求可能是恶意的。

该装置还可以包括欺诈防止部件，其适于在接收到所述请求的情况下对所述订户应用欺诈防止过程。

该装置还可以包括：检查部件，其适于在接收到所述请求的情况下检查所述第二地址是否与包括在计费系统的地址的预定列表中的地址相匹配；和禁止部件，其适于在所述第二地址与包括在所述预定列表中的地址中的一个相匹配的情况下禁止执行所述欺诈防止过程。

根据本发明的第二方面，提供了一种装置，包括：监视电路，其被配置为监视是否接收到请求，其中所述请求请求将计费系统的所存储的第一地址替换为第二地址，所述第一地址不同于所述第二地址，并且假设所述计费系统控制订户的主账户；通知电路，其被配置为在接收到所述请求的情况下通知所述请求可能是恶意的。

该装置还可以包括欺诈防止电路，其被配置为在接收到所述请求的情况下对所述订户应用欺诈防止过程。

该装置还可以包括：检查电路，其被配置为在接收到所述请求的情况下检查所述第二地址是否与包括在计费系统的地址的预定列表中的地址相匹配；和禁止电路，其被配置为在所述第二地址与包括在所述预定列表中的地址中的一个相匹配的情况下禁止执行所述欺诈防止过程。

根据本发明的第三方面，提供了一种方法，包括：监视是否接收到请求，其中所述请求请求将计费系统的所存储的第一地址替换为第二地址，所述第一地址不同于所述第二地址，并且假设所述计费系统控制订户的主账户；在接收到所述请求的情况下通知所述请求可能是恶意的。

该方法还可以包括在接收到所述请求的情况下对所述订户应用欺诈防止过程。

该方法还可以包括：在接收到所述请求的情况下检查所述第二地址是否与包括在计费系统的地址的预定列表中的地址相匹配；和在所述第二地址与包括在所述预定列表中的地址中的一个相匹配的情况下禁止执行所述欺诈防止过程。

该方法可能是欺诈防止的方法。

在根据第一方面和第二方面中的任一方面的装置以及根据第三方面的方法中，所述欺诈防止过程可以包括以下中的一个或多个：

- 触发运行所述订户的所述主账户的信用控制；

- 禁止将所述第一地址替换为所述第二地址；

- 激活所述计费系统中的所述订户的备用账户，其中所述备用账户对应于所述主账户；和对所述备用账户进行计费以用于对所述订户的事件进行计费；

- 欺骗所述请求的源犹如根据所述请求将所述第一地址替换为所述第二地址了；

- 将所述请求的源地址列入黑名单；

- 锁定所述订户的所述主账户；和

- 生成静默警报。

根据本发明的第四方面，提供了一种包括一组指令的计算机程序产品，所述指令当在装置上执行时被配置为使得该装置执行根据第三方面的方法。计算机程序产品可以体现为计算机可读介质或可直接加载到计算机中。

根据本发明的一些示例实施例，提供了以下技术效果中的至少一个：

- 提早检测到欺诈；

- 可以防止欺诈；

- 不管是否实现IPsec或TLS，都可以实现欺诈防止。

应理解的是，以上修改中的任何一个可以单独地或组合地应用于它们所涉及的相应方面，除非它们明确地声明为排除替代方案。

附图说明

根据结合附图进行的本发明的示例实施例的以下详细描述，更多细节、特征、目的和优点是显而易见的，其中

图1示出了欺诈尝试的消息流；

图2示出了欺诈尝试的消息流；

图3示出了欺诈尝试的消息流；

图4示出了欺诈尝试的消息流；

图5示出了欺诈尝试的消息流；

图6示出了欺诈尝试的消息流；

图7示出了欺诈尝试的消息流；

图8示出了欺诈尝试的消息流；

图9示出了根据本发明的示例实施例的装置；

图10示出了根据本发明的示例实施例的方法；和

图11示出了根据本发明的示例实施例的装置。

具体实施方式

在下文中，参考附图详细地描述本发明的某些示例实施例，其中除非另外描述，否则示例实施例的特征可以彼此自由地组合。然而，应明确理解的是，仅以示例的方式给出了某些实施例的描述，并且其绝不意图被理解为将本发明限制到所公开的细节。

此外，应理解的是，装置被配置为执行对应的方法，尽管在一些情况下仅描述了装置或仅描述了方法。

在我们的研究中，我们发现了以欺诈性方式利用Diameter协议的三种方式：

- 攻击者避免针对预付费账户的计费；

- 攻击者避免针对后付费账户的计费；和

- 攻击者可以转换预付费账户以避免计费。

本发明的一些实施例提供了对抗这三种攻击的对策。

根据本发明的一些实施例，做出对运营商网络保护的以下假设。然而，这些假设不是针对本发明的实施例的强制性条件。与运营商和安全性公司的讨论、运营商互通材料等中的调查示出了这些假设对于大多数网络运营商来说非常现实（并非所有运营商都被记载），并在非官方通信中被口头确认。由于巨大的潜在财务影响，几乎没有任何运营商或互连提供商会官方地声明其漏洞。

• 通常不使用IPSec（特别是对于互连））。根据3GPP TS 33.210的NDS/IP网络层安全性通常不用于漫游接口上。很少使用其他安全性协议（例如，TLS）。技术上，这可能意味着：

- 数据完全以明文发送；

- 使用零键；

• 在互连上没有进行过滤

- 无IP地址过滤（白/黑名单）；

- 无合作伙伴地址簿或硬编码的返回地址；

- 没有使用访问控制列表（注意，该假设仅对攻击之一有帮助）。

• Diameter路由代理添加其自己的报头，并将接收到的消息转发到正确的节点。

应注意，即使部署了这些安全性方法，下面描述的一些攻击仍然是可能的。正好，如果上述假设对网络适用，则其可以被认为是非常易受攻击的。如果运营商部署上述一种或多种方法，攻击变得更困难。上述假设中的许多对于来自互联网环境的专家来说很难相信，但人们必须考虑到电信网络直到最近都是封闭的SS7系统，其中完全没有附加的安全性要求，并且现在正在缓慢演进。

一般，所标识的欺诈方式被标识：

- 攻击者避免针对预付费账户的计费；

- 攻击者避免针对后付费账户的计费；

- 攻击者可以转换预付费账户以避免计费；

上述这些攻击工作如下：

- 攻击者利用伪OCS地址（例如，替代漫游提供商OCS地址）替换有效的OCS地址，并且如果订户拥有账户，即使其账户没有足够的存款，也可以因此使服务开始。在欧盟（EU），这种欺诈受欧盟漫游规定所限制；

- 利用无效的OFCS地址交换有效的OFCS地址导致将计费数据聚合到无效的计费系统。开账单系统中的重构工作更加昂贵。因此，使用计费请求可能在某一时间内被忽略；

- 利用OFCS地址交换有效的OCS地址导致将计费数据聚合到无效的计费系统。开账单系统中的收集将在每月交叉检查聚合期间发现滥用。

在一些情况下，攻击者可能找到一种方式来得到有效的OCS或OFCS地址，并将正确的OCS地址或OFCS替换为有效（但不正确）的OCS地址或OFCS，以使得另一个账户拥有者可能针对服务使用而被计费。在替换为有效的OCS地址的情况下，欺诈可以由被需求的账户拥有者实时地观察到，因此立即停止。替换为有效的OFCS地址可以具有更长的使用寿命，因为错误的请求将仅在开账单系统中的每月后聚合期间的服务使用之后被标识。因此，被骗的用户账户具有使欺诈偿还的有限能力。

这三种潜在攻击都具有可能相同的信息收集阶段（称为阶段I）（参见图1）：

如图1所示，攻击者1a充当SMS GMSC。为此，他必须知晓用户的MSISDN和DRA 2的地址（可选，参见下文）。攻击者1a向DRA发送（欺骗成为SMS GMSC）包括MSISDN和SM请求的SC（SMSC）的地址的Diameter发送路由信息（101）。SC的地址可以是任意的，并且不需要是真实SC的地址。云8指示运营商的域，其中DRA 2是到Diameter外部实体（诸如SMSC）的网关。DRA 2将发送路由信息转发给HSS 3（102）。

响应于发送路由信息102，HSS 3经由DRA 2向攻击者1a（欺骗成为SMS GMSC）提供具有结果代码DIAMETER_SUCCESSFUL的以下信息（消息103、104）：IMSI；MSISDN；以及用户在其上注册的一个服务节点（例如，MSC、SGSN或MME）的身份。在下文中，SGSN 4被当作服务节点的示例，但是本发明的实施例也适用于其他种类的服务节点。

因此，除了MSISDN和DRA 2的地址之外，攻击者还获知IMSI、HSS地址、订户的至少一个服务节点的身份。

该信息足以执行以下攻击中的至少一个。

攻击者还有其他选项来得到该信息或其部分。例如：

- 使用虚假基站来获取IMSI；

- 使用WLAN接入点并运行EAP_AKA；

- 将MAP消息SRI_SM或SRI或SRI_GPRS发送到互通功能；

- 入侵包括关于运营商之间的漫游协定的信息的数据库，诸如GSMA IR.21数据库；

- 得到对电话的物理访问并从用户接口请求IMSI；和

- 从智能卡公司直接或在它们将信息传送给运营商时窃取IMSI列表。

第一攻击是通过重置OFCS地址来防止开账单（参见图2）。在该攻击中，攻击者1b充当HSS。即，图1的攻击者1a已经将其角色从SMS GMSC改变为HSS，并且现在被指定为攻击者1b。在该上下文中，注意，作为SMS GMSC或HSS的攻击者的角色仅需要攻击者按针对对应网络元件所预期的那样向DRA 2提供消息。既不需要攻击者提供SMS GMSC或HSS的内部功能，也不需要攻击者提供到DRA 2以外的其他网络实体的接口。

根据以上描述，攻击者1a与攻击者1b相同。然而，如果所需信息从攻击者1a传送给攻击者1b，则它们可能彼此不同。

如图2所示，欺骗成为HSS的攻击者1b向服务节点（例如，向SGSN 4）发送具有IMSI的插入数据请求（IDR）111。IMSI和服务节点的身份可以从图1的消息103、104中知晓。IDR 111包括预订数据，其至少包括3GPP计费特性（CC），诸如用于离线计费的OFCS的地址。通过IDR 111，攻击者1b请求将存储在服务节点（SGSN 4）中的OFCS的地址设置为伪造地址，诸如攻击者服务器的地址。

作为响应，SGSN 4可以发送具有结果代码：DIAMETER_SUCCESS的确认（IDA 112）。

伪造地址处的服务器（例如，攻击者1b）也提供到SGSN 4的接口以便欺骗是OFCS。因此，从SGSN 4的角度来看，伪造地址处的服务器是有效的OFCS，尽管伪造地址处的服务器可能不提供除接口之外的OFCS的任何其他功能。例如，它可能简单地丢弃接收到的CDR。因此，MSISDN（和IMSI）的用户现在具有免费服务使用，直到SGSN 4中的数据被重置为止。

第二和第三攻击尝试向预付费用户提供免费服务。

图3示出了攻击者1b（欺骗成为HSS）可以基于由图1的攻击者1a（其可以与攻击者1b相同或与其不同）获得的信息执行的第二攻击。在该攻击中，OCS地址在服务节点（例如SGSN 4）中被重置。

如图3所示，欺骗成为HSS的攻击者1b向服务节点（例如，向SGSN 4）发送具有IMSI的插入数据请求（IDR）121。IMSI和服务节点的身份可以从图1的消息103、104中知晓。IDR 121包括预订数据，其至少包括3GPP CC，诸如用于在线计费的OCS的地址。通过IDR 121，攻击者1b请求将存储在服务节点（SGSN 4）中的OCS的地址设置为伪造地址，诸如攻击者服务器的地址。

作为响应，SGSN 4可以发送具有结果代码：DIAMETER_SUCCESS的确认（IDA 122）。

伪造地址处的服务器（例如，攻击者1b）也提供到SGSN 4的接口以便欺骗是OCS。具体地，伪造地址处的服务器向SGSN 4确认用户在其账户上具有足够信用。因此，用户可以免费使用服务，直到检测到欺诈为止。

第二攻击可能很快被检测到。因此，第三攻击可能对预付费用户更有利。

图4示出了攻击者1b（欺骗成为HSS）可以基于由图1的攻击者1a（其可以与攻击者1b相同或与其不同）获得的信息执行的第三攻击。在该攻击中，OCS地址在服务节点（例如SGSN 4）中被重置。

如图4所示，欺骗成为HSS的攻击者1b向服务节点（例如，向SGSN 4）发送具有IMSI的插入数据请求（IDR）131。IMSI和服务节点的身份可以从图1的消息103、104中知晓。IDR 131包括预订数据，其至少包括3GPP CC。在第三攻击中，IDR仅包括OFCS的地址，并且不包括OCS的地址。因此，从SGSN 4的角度来看，具有MSISDN的预付费用户成为后付费用户。在第三攻击中，由IDR 131提供的OFCS的地址是伪造地址，诸如攻击者1b的地址。

作为响应，SGSN 4可以发送具有结果代码：DIAMETER_SUCCESS的确认（IDA 132）。

用户可以在不被计费的情况下使用服务直到SGSN中的数据被重置为止。

潜在地，运营商可以例如在针对订户的账单的月度生成期间检测到攻击。

即，通常，在针对订户的账单的每月生成期间存在一些运行，其中对其他记录的记录进行交叉检查，特别是成本相关的记录，例如，用于运营商间记账的漫游记录。

如果OFCS地址被攻击者替换为伪造IP地址，则在经由Diameter分散式收集CDR的情况下所有计费事件将被重定向到伪造地址处的服务器，而没有立即影响。

如果部署集中式收集，则所有计费事件将通过计费网关功能（CGF）聚合并相关到记录中，计费网关功能（CGF）将结果所得的CDR转发给后处理系统。

在连接到CGF的网络元件上的攻击的情况下，由于无效的OFCS IP地址，所以CGF不会将CDR转发到计费系统。因此，发生错误并且可能涉及故障管理系统，例如，其中结果是阻止订户账户。这可能与由开账单系统的账单的每月运行并行地发生。

对于CDR的分散式收集，不直接对抗“真实”订户的账户生成CDR。然而，存在由其他服务节点生成的其他CDR，例如，网关记录或应用服务器记录。这些CDR是为了一致性而生成的，并且可以被用于交叉检查，例如，在成本在移动网络运营商和服务提供商之间分割的情况下。通常但不一定，这样的一致性检查可以在月底运行。通过这样的一致性检查，可以检测到攻击并可能引起错误。作为结果，故障管理系统可以例如通过阻拦订户的账户或通过删除预订来从系统终止订户。

如上所解释的，伪造的OFCS地址可以导致在分散式配置的情况下由Diameter记账应用重定向计费事件，或者在CGF中的无效计费系统的集中式配置的情况下聚合GTP记录。开账单系统中的欺诈观察的延迟是有保证的，因为协议仅在一个方向上起作用，即仅用于收集。

对于伪造的OCS地址，计费方法更加敏感，这是由于另一个使用的Diameter信用控制应用，其双向和实时交互。因此，即使其他在线计费对话正在同时进行，也可以在网络中观察到任何操纵。也就是说，攻击可以立即被标识，并且故障管理系统可以相应地起作用。

在将OCS地址替换为伪造地址（“黑客-OCS”）的情况下，如果黑客-OCS能够回复有效的Diameter信用控制应答（CCA）消息，其中具有对于所接收的Diameter信用控制请求（CCR）消息中的对应评级组所标识的所请求服务的足够准许服务单元（GSU），则订户可以免费使用服务。即，黑客-OCS必须能够分析接收到的Diameter CCR消息并将适当的Diameter CCA消息中的所有细节转换回服务节点。这可以运作，只要没有其他涉及的服务节点在服务请求处请求GSU或在服务使用之后为了统计和交叉检查将对应CDR提交到开账单系统。

如果OCS地址是有效的IP地址，例如在漫游规定的情况下，则漫游服务节点将检查在漫游服务节点中的GSU的一致性（例如，通常在假期中的订户具有一定量的通话时间、SMS或数据量而不是无止境的通话时间、无限量的SMS或数据量）。因此，开账单系统将可能通过所生成的漫游CDR来在用于运营商间记账的每月交叉检查期间标识欺诈。

根据NDS/IP使用IPSec提供了一些保护（在现今的真实实现中，它通常没有帮助，因为大多数运营商使用漫游跳跃的服务并且直径具有逐跳安全性，并且仅第一段（leg）是有保证的），白名单和黑名单也是如此。当攻击者“隐藏”在漫游中枢后时，针对IP白名单/黑名单发生类似的问题。

但即使利用这些措施，源地址欺骗仍然是可能的，并且攻击仍然是可能的。支持非LTE/5G运营商的需要可能要求运营商必须部署互通功能（IWF），其将导致，所呈现的攻击使用IWF是可能的。

因为在不影响漫游布置的情况下不能完全防止这样的攻击，所以本发明的一些实施例涉及减少违规对运营商配置的影响，例如在计费系统或开账单系统地址针对后付费（OFCS）或针对预付费（OCS）用户重置以及计费方法从预付费改变为后付费的情况下。

本发明的一些实施例提供了对以下攻击中的至少一个的潜在防止：

- 针对预付费客户的开账单避免的防止

- 针对后付费客户的开账单避免的防止

- 将预付费客户“升级”为后付费客户

上文详细地描述了这些攻击的示例。

一般，应优选地不向攻击者通知任何攻击观察。它可能触发不同级别上的活动，其可能只是假装改变和/或发出静默警报。

当接收到IDR命令时，如果它请求OFCS/OCS地址的更新或利用OFCS地址替换OCS，他可能从入侵IR.21 GSMA数据库得到其，则进行初始检查。如果检测到这样的活动，则根据本发明的一些实施例，可以进行以下检查中的至少一个以获得关于IDR消息的可信度的分数：

- 验证发送IP是否属于正确的节点类型（例如SGSN、MME、HLR等）（即，仅特定节点类型被允许发送IDR命令，该检查验证是否正确的节点类型发送IDR命令）。注意，消息包含消息的发送者是哪个节点类型，例如MME、SGSN。如果攻击者配置伪造地址处的服务器使得它在消息中提供“正确的”节点类型，则这种类型的检查可能没有帮助。

- OFCS地址可以被更新或者OCS地址可以如由IDR命令所请求的那样改变，并且以同一类型，为后退（fall-back）目的创建备用账户。备用账户对应于MSISDN的用户的账户（“主账户”）。所有计费事件然后将被计费到备用账户使得备用账户是正确的。

- 可以针对该用户和IDR中指示的OCS地址执行预付费测试OCS计费，并且进行信用控制运行（账户可以利用基于事件的余额检查来检查）。如果信用控制运行不成功，则记下IP地址（潜在地记录为黑名单）。基于OCS地址的替换来运行信用控制是相当关键的步骤。这是额外的运行，因为信用控制运行通常只会在月底进行。

- 此外，对攻击者的应答可以如攻击者预期的那样执行。

- 可以执行关于潜在匹配攻击的与现有欺诈数据库的交叉检查。

- 请求的IP地址（攻击者的IP地址）可以被添加到黑名单

- 预付费账户可以被锁定。

- 除了OCS地址的不成功测试之外，攻击者的IP地址可以被转发给一个或多个黑名单合作伙伴以用于核实（合作伙伴的节点可能刚被入侵）。与该攻击相关的信息即技术签名和行为可以自动地上传到例如由GSMA维护的欺诈数据库，在其中其他合作伙伴然后可以下载最新的签名文件。

- 可以生成向欺诈管理系统的（静默）警报。

根据本发明的一些实施例，OCS改变或OFCS改变可以触发静默警报，并且新地址可以针对有效OCS地址或OFCS地址的列表而被验证。如果改变的OCS地址或OFCS与有效地址的条目不匹配，则可以开始欺诈防止过程。否则，如果存在匹配，则人们可以假设IDR消息不是欺诈性的，使得不需要开始欺诈防止过程。

优选地，根据本发明的一些实施例的行为可以由3GPP标准化。3GPP TS 23.060章节6.11.1.1“IDS过程”中的EPC节点（例如，SGSN）中的接收插入订户数据请求的描述不允许扩展。因此，用于标准化的正确地方可以是3GPP TS 29.272章节5.2.2.1“IDS结构”和7.3.2“预订数据（3GPP-CHCA）”。下面示出了其中新方法将锚定在现有规范中的示例。添加的部分用斜体表示。

5.2.2.1插入订户数据

5.2.2.1.1综述

应在HSS和MME之间以及在HSS和SGSN之间使用插入订户数据过程，以用于在以下情况下更新和/或请求MME或SGSN中的某些用户数据：

由于HSS中的用户数据的管理改变，并且用户现在位于MME或SGSN中，即，如果用户被给予预订并且预订已经改变；

5.2.2.1.2 MME和SGSN的详细行为

当接收到插入订户数据请求时，MME或SGSN应检查IMSI是否为已知的。

在规范中的这一点处，人们可以针对具有OCS地址改变的ISD消息的情况要求强制性信用控制运行。

5.2.2.1.4 MME和SGSN的特别触发的情况下的详细行为

当接收到插入订户数据请求时，除了定期标识的情况之外，MME或SGSN可以应用欺诈防止过程。

如果3GPP-计费-特性AVP存在于预订数据AVP中，其与在先前请求中接收的所存储内容不同，则MME或SGSN将忽略改变但用没有错误指示回复并进行成功替换的欺骗。此外，可以同时静默警报通知欺诈管理以用于进一步的动作。

作为附加措施，人们可以命令3GPP TS 32.296/3GPP TS 32.299将OCS中的CCR[事件（余额检查）]与外部通知相链接。

图5示出了根据本发明的示例实施例的装置。该装置可以是服务节点，诸如SGSN、MSC、MME或其元件。图6示出了根据本发明的示例实施例的方法。根据图5的装置可以执行图6的方法，但不限于该方法。图6的方法可以由图5的装置执行，但不限于由该装置执行。

该装置包括监视部件10和通知部件20。监视部件10和通知部件20可以分别是监视电路和通知电路。

监视部件10监视是否接收到请求（S10）。该请求请求将计费系统的所存储的第一地址替换为第二地址。所存储的第一地址不同于第二地址。假设计费系统控制订户的主账户。该请求可以是例如IDR消息。

如果接收到请求（S10=“是”），则通知部件20通知该请求可能是恶意的（欺诈性的）（S20）。

图7示出了根据本发明的示例实施例的装置。该装置包括至少一个处理器610、包括计算机程序代码的至少一个存储器620，并且至少一个处理器610利用至少一个存储器620和计算机程序代码被布置为使得该装置至少执行至少根据图6和相关描述的方法。

代替Diameter协议，在本发明的一些实施例中，可以使用能够提交和替换预订信息的另一个协议，诸如RADIUS。代替IMSI，可以使用另一个订户标识，例如，T-IMSI或MSISDN。

检查IDR消息是否潜在地是恶意的可以在IDR请求的收件人（例如，MME或SGSN）处、IDR消息通过的中间节点（例如，DRA）处执行，或者其可以在用于监督网络业务（至少一些或所有的控制消息，诸如IDR消息）的单独设备中执行。

一个信息片可以在一个或多个消息中从一个实体发送到另一个实体。这些消息中的每一个都可以包括另外的（不同的）信息片。

网络元件、协议和方法的名称是基于当前的标准。在其他版本或其他技术中，这些网络元件和/或协议和/或方法的名称可以是不同的，只要它们提供对应的功能即可。

如果没有另外说明或者根据上下文另外变得清楚，两个实体不同的陈述意味着它们执行不同的功能。这并不一定意味着它们基于不同的硬件。也就是说，本说明书中描述的每个实体可以基于不同的硬件，或者一些或所有的实体可以基于相同的硬件。这并不一定意味着它们基于不同的软件。也就是说，本说明书中描述的每个实体可以基于不同的软件，或者一些或所有的实体可以基于相同的软件。

如上文所述，本发明的一些示例实施例可以应用于3GPP网络（例如LTE、LTE-A或5G网络）。然而，本发明的一些示例实施例可以应用于其中3GPP CC数据被存储在服务于订户的节点中的任何种类的网络。

在图1至4中，示出了DRA 2。然而，DRA 2是可选的。相应的消息可以在不由DRA 2中继的情况下直接在通信合作伙伴之间交换。因此，如果DRA 2不可用或被绕过，则相应的攻击者1a至1d需要知晓相应消息的（最终）收件人的地址。

终端可以是可以附接到相应网络的任何种类的终端。例如，终端可以是UE、机器型通信设备、膝上型电脑、智能电话、移动电话等。

根据以上描述，因此应显而易见的是，本发明的示例实施例提供了例如诸如MME或SGSN或DRA的网络节点或其组件、体现其的装置、用于控制和/或操作其的方法、以及控制和/或操作其的（多个）计算机程序以及承载这样的（多个）计算机程序并形成（多个）计算机程序产品的介质。根据以上描述，因此应显而易见的是，本发明的示例实施例提供了例如网络业务监督设备或其组件、体现其的装置、用于控制和/或操作其的方法、以及控制和/或操作其的（多个）计算机程序以及承载这样的（多个）计算机程序并形成（多个）计算机程序产品的介质。

作为非限制性示例，上述的块、装置、系统、技术、部件、实体、单元、设备、或方法中的任何一个的实现包括作为硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、虚拟机、或其某种组合的实现。

应注意的是，实施例的描述仅以示例的方式给出，并且可以在不脱离如由所附权利要求限定的本发明的范围的情况下进行各种修改。