检测电信网络中的行为的系统的制作方法
【专利说明】
【背景技术】
[0001]本发明涉及一种用于检测电信网络中移动电信设备的行为的系统,并进一步涉及一种用于检测在电信网络内移动电信设备的行为的设备。
[0002]电信网络向移动设备的用户提供无线电电信,其典型地根据如本领域技术人员将会已知的商定和标准化的无线电协议,例如GSM、UTMS和LTE。
[0003]移动电信设备是常见的并且包括移动电话和特别地智能电话、平板设备和其它手持计算机设备、手持个人助理和甚至安置在车辆中的通信设备。所有都可以向用户提供在四处移动的同时与彼此的电信和对互联网的访问。
[0004]对互联网的访问使设备暴露于可能从互联网被偶然或以其它方式下载到移动设备上的恶意软件和恶意应用。典型地,并且通常由于其较小大小和存储器容量,移动电信设备不包含与可用于台式计算机和具有互联网接入的其它大型设备的那些一样严格的安全性特征。这样,这些较小的移动电信设备易受恶意软件和恶意应用的传染(infect1n)及攻击,这将典型地传染移动设备的应用处理器。但是由于移动电信设备还典型地与无线电电信网络直接联系,因此电信网络自身易受来自驻留在移动设备上的任何恶意软件或恶意应用的攻击。
[0005]检测恶意移动设备行为的现有方法完全被应用于移动手机自身内。例如,“TamingMr Hayes:Mitigating signaling based attacks on smartphones,,,IEEE/IFIP可靠系统和网络国际会议(DSN 2012),2012,dsn,pp.1-12, Collin Mulliner,Steffen Liebergeld,Matthias Lange, Jean-Pierre Seifert,描述了一种检测移动电话的应用处理器内的恶意行为的方法,并提出将应用处理器的虚拟分区作为部分解决方案。
[0006]然而该方法的缺点在于,如果移动设备已经被传染有恶意软件,则不能真正地确定该检测方法自身能够被信任。
[0007]类似地,US2006/0288407描述了一种用于在移动手机上执行检测的方法,并因此还导致类似的缺点。
[0008]然而,因为只有在被传染设备已经被正确识别才能采取适当的行动,正确地识别移动设备上的恶意软件或有恶意的软件的存在是一个问题。
【发明内容】
[0009]根据在权利要求中描述的发明解决所述问题。
[0010]该权利要求描述了一种用于检测电信网络中的移动电信设备的行为的系统。所述系统包括被配置成标识至少一个移动电信设备并目从移动电信设备接收信号并且还将信号处理成数据流的电信网络。数据流包括被布置成导致电信网络内的第一类型的事件的第一类型的数据。所述网络被布置成监视第一类型的数据在数据流中的出现并且被布置成当所述出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。
[0011]所要求保护的系统通过标识移动设备中的恶意行为解决该问题,但是从电信网络自身内标识该行为。这根据本发明的布置通过监视数据流或数据的递送来完成,数据的递送由于网络与移动设备之间的交互而出现在网络中。针对特定信号的过度出现来监视该数据。
[0012]驻留在移动设备上的恶意软件可以导致该设备沉溺于恶意行为,其典型地为不是为了明确的用户意图的情况下用尽网络资源的任何事物。典型地,其为在没有导致对用户或对设备的益处的情况下用尽网络资源的任何事物。例如,移动设备的用户可能希望下载视频以在设备上观看。这将用尽资源但是在这种情况中的资源使用是时间有限的并且在任何事件中,一旦视频被下载,用户花时间观看视频并且在这样做的同时不太可能下载其它视频或执行其它任务。然而,恶意软件可以被编程为连续下载视频,并且这使用过量网络资源。
[0013]在可替换的示例中,恶意软件可以被编程为连续执行移动设备到网络上的附着和分离。这将使用过量网络资源,因为网络将在每次设备附着时试图认证移动设备。然而,连续的附着和分离不导致对于用户或移动设备的益处。
[0014]在可替换的示例中,恶意软件可以被编程为操纵被网络用于切换决策的信号水平报告。移动设备连续地测量来自周围小区中的基站的信号水平并且向网络报告信号水平。网络将该报告和其它信息用于设备是否将与移动设备的通信切换到与当前服务移动设备的那个不同的基站。恶意软件可以被编程为以使得发生非常大量的切换的方式(其使用过量网络资源)操纵测量报告。
[0015]在可替换的示例中,恶意软件可以被编程为迫使携带恶意软件的移动设备连续请求呼叫转发。当作出针对呼叫转发的请求时,设备请求网络向第二号码转发传入呼叫。该请求的连续作出将用尽网络资源。
[0016]在可替换的示例中,恶意软件可以不断地请求设备与网络之间的承载(并且特别地,新的承载)的建立。同样地,这用尽网络资源。
[0017]在可替换的示例中,恶意软件可以迫使携带恶意软件的移动设备连续作出针对服务的请求而不使用所提供的服务。这些请求可以针对典型地由电信网络提供的任何种类的服务,但是当针对服务的连续请求不导致有益于用户或作出请求的移动设备的所提供的服务时这浪费网络资源。
[0018]在所有这些示例中,数据的交换出现在移动设备与电信网络之间,但是还进一步出现在电信网络自身内。如本领域技术人员已知的,当移动设备向电信网络传输信号时它们在基站中被接收并且被处理成在电信网络内部的数据流。例如,如果附着请求由移动设备作出,则接收附着请求的电信网络作出认证移动设备的尝试。这导致数据流或信号例如在UMTS网络的情况中在无线电网络控制器RNC、移动交换中心MSC、归属位置寄存器HLR和认证中心AuC之间发送,如本领域技术人员将已知的那样。同样如本领域技术人员将已知的,所描述的其它恶意行为同样将会导致不仅在设备与网络之间而且在网络自身内传输的信令或数据流。
[0019]网络可以因此通过监视在网络中的数据流中的第一类型的数据的出现来检测恶意行为,所述第一类型典型地为表示用于信号的正常处理的网络设备之间的网络中的一些交互的预定类型。另外网络在这种出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。换言之,网络通过监视和检测网络自身内的数据流的各种类型的发生率并且当出现过高时进行登记来检测恶意行为。
[0020]例如,为了检测其中设备连续尝试附着和分离的恶意行为,网络可以对使移动交换中心MSC请求认证中心AuC处的设备的认证的次数进行计数,或者可替换地对认证中心AuC发信号通知回答复的次数进行计数。
[0021]在特别有利的实施例中,在核心网络中执行数据流的检测,并且特别地,如果网络为LTE网络则在移动性管理实体MME中,如果其为UMTS或GSM网络或GPRS网络中的服务网关支持节点SGSN则在MSC中。在该实施例中,可以在每一个相应网络内的中心位置中标识特定或预定数据流的发生率。这具有以下优点:其减少电信网络标识可能被恶意软件传染的移动设备所花费的时间。
[0022]然而,特定数据流的出现可以进一步回到在网络中检测。在这方面的示例中,可以在AuC处通过检测每个移动设备的认证尝试来检测过度附着请求。可替换地,可以通过在HLR处对网络请求关于特定移动设备的数据的次数进行计数来检测过度附着请求。
[0023]在某些实施例中,检测可以在eNodeB或基站中执行。这具有以下优点:恶意行为的检测使用较少网络资源。例如,可以在接收基站中检测过量的附着和分离。然而,在基站处执行检测的特定缺点例如在来自移动设备的信号通过不同基站到达网络时出现,并且这方面的一个示例是在设备跨基站小区在物理上迅速移动时。在这样的情况中,没有一个特定基站或eNodeB将必然从设备接收到完整信令并且因此没有一个基站将能够毫无疑义地执行检测。
[0024]在特别有利的实施例中,网络在特定数据信号的出现速率超过预定时间速率时对特定数据信号的出现进行计数。例如,如果网络正在监视向AuC发送认证请求,则网络被布置成检测针对特定移动设备的认证请求的传输速率何时超过预定阈值并且还在认证请求的速率超过预定速率的同时对然后请求认证的次数进行计数。
[0025]换言之,网络监视和检测何时在数据流中的某个预定信号或数据出现的频率变得过高。网络然后进行到在速率保持在高于预定时间速率的同时对