用于处置无线通信系统中的恶意攻击的方法和系统的制作方法

用于处置无线通信系统中的恶意攻击的方法和系统的制作方法
【专利摘要】本公开内容的特定方面涉及用于处置恶意攻击的方法和装置。在一个方面中，所述方法和装置可以被配置为：至少部分地基于由无线设备接收的、将所述无线设备的状态从休眠状态改变为已连接状态的分组来识别从恶意源接收的分组；当被识别为从所述恶意源接收的分组的数量在监控时段内达到门限数量时，通过释放用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将所述无线设备从所述PDN断开；以及，使用与所述第一IP地址不同的第二IP地址将所述无线设备重新连接到所述PDN。在另一个方面中，在所述PDN被断开之后，维持与IP多媒体子系统(IMS)PDN的连接。
【专利说明】用于处置无线通信系统中的恶意攻击的方法和系统
[0001 ]优先权要求
[0002] 本专利申请要求于2014年2月10日递交的、名称为"METHODS AND SYSTEMS FOR HANDLING MALICIOUS ATTACKS IN A WIRELESS COMMUNICATION SYSTEM" 的非临时申请 No. 14/176，784的优先权，该非临时申请已经转让给本申请的受让人，故通过引用将其明确 地并入本文。
【背景技术】
[0003] 无线通信系统被广泛部署以使用无线信号向移动设备提供诸如是语音、数据和视 频的各种类型的内容。典型的无线通信系统可以是能够通过共享可用的系统资源(例如，带 宽、发射功率等)来支持与多个移动设备的通信的多址系统。这样的多址系统的示例可以包 括码分多址（c D Μ A)系统、时分多址（T D Μ A)系统、频分多址（F D Μ A)系统、正交频分多址 ((FDMA)系统等。额外地，系统可以符合诸如是第三代合作伙伴计划（3GPP)、3GPP长期演进 (LTE)、超移动宽带(UMB)、演进数据优化(EV-D0)等的规范。
[0004] 概括地说，无线通信系统的网络单元可以是在无线通信系统内的移动设备上的恶 意活动或者恶意攻击的源。这样的恶意源可能尝试利用未请求的分组来淹没移动设备(通 常被称为"洪泛"）。这些分组迫使处在空闲或者休眠状态下的移动设备激活它的无线资源， 并且因此转变到已连接或者活动状态。移动设备然后保持处在已连接状态下，直到在休眠 定时器的时间窗口门限内没有任何进一步的分组被接收为止，在该点处移动设备断开它的 无线资源，并且转变回休眠或者空闲状态。移动设备由于从恶意源接收的分组而进行的在 连接状态之间的该转换过程可能频繁地发生，并且因此消耗移动设备的电池(例如，缩短电 池寿命），以及增加网络拥塞。
[0005] 对处置来自无线通信系统的网络实体的恶意攻击的之前的尝试还未能提供永久 的解决方案。作为示例，CDMA系统中的一个之前的尝试使用缩短的休眠定时器来减少移动 设备在从恶意网络实体接收分组之后转变回休眠状态之前保持处在已连接状态下的时间 的量。作为另一个示例，WCDMA系统中的另一个之前的尝试相似地实现强制的休眠功能，以 达到与由随CDMA系统一起使用的方案达到的结果种类相同的结果。
[0006] 这些之前的尝试可以减少移动设备在从恶意网络实体接收分组之后转变回休眠 状态之前保持处在已连接状态下的时间的量，但恶意网络实体可以继续向移动设备发送未 请求的分组，并且因此继续消耗移动设备的电池并导致增加的网络拥塞。额外地，诸如是 LTE的某些无线通信系统不具有移动设备发起的强制的或者缩短的休眠功能，并且因此可 能不具有减少移动设备在从恶意网络实体接收分组之后转变回休眠状态之前保持处在已 连接状态下的时间的量的方法。因此，本领域中存在对用于处置恶意攻击的简单和有效的 方法和系统的需求。

【发明内容】

[0007] 下面给出用于处置恶意攻击的方法和系统的一个或多个方面的简化的概要。本概 要不是对本发明的全部所设想的方面的泛泛概述，并且旨在既不标识本发明的关键或者重 要元素，也不描绘其任意或者全部方面的范围。其唯一目的是作为稍后给出的更详细的描 述的开头以简化形式呈现一个或多个方面的一些构思。
[0008] 在一个方面中，公开了用于处置恶意攻击的方法。所述方法包括:在无线设备处至 少部分地基于由所述无线设备接收的将所述无线设备的状态从休眠状态改变为已连接状 态的分组来识别从恶意源接收的分组。所述方法通过在被识别为从所述恶意源接收的分组 的数量在监控时段内达到门限数量时有选择地将所述无线设备从分组数据网络(PDN)断开 继续，所述断开是通过释放被用于将所述无线设备连接到所述PDN的第一互联网协议（IP) 地址。所述方法还通过使用与所述第一 IP地址不同的第二IP地址将所述无线设备重新连接 到所述ton继续。
[0009] 在另一个方面中，公开了用于处置恶意攻击的包括非暂时性计算机可读介质的计 算机程序产品。所述计算机可读介质包括：用于使无线设备至少部分地基于由所述无线设 备接收的将所述无线设备的状态从休眠状态改变为已连接状态的分组来识别从恶意源接 收的分组的代码。所述计算机可读介质还包括：用于使所述无线设备在被识别为从所述恶 意源被接收的分组的数量在监控时段内达到门限数量时有选择地将所述无线设备从分组 数据网络(PDN)断开的代码，所述断开是通过释放被用于将所述无线设备连接到所述TON的 第一互联网协议（IP)地址。所述计算机可读介质额外地包括:用于使所述无线设备使用与 所述第一 IP地址不同的第二IP地址重新连接到所述TON的代码。
[0010] 在一个进一步的方面中，公开了用于处置恶意攻击的装置。所述装置包括：用于在 无线设备处至少部分地基于由所述无线设备接收的将所述无线设备的状态从休眠状态改 变为已连接状态的分组来识别从恶意源接收的分组的单元。所述装置还包括：用于在被识 别为从所述恶意源接收的分组的数量在监控时段内达到门限数量时有选择地将所述无线 设备从分组数据网络(PDN)断开的单元，所述断开是通过释放被用于将所述无线设备连接 到所述TON的第一互联网协议（IP)地址。所述装置又进一步包括：用于使用与所述第一IP地 址不同的第二IP地址将所述无线设备重新连接到所述TON的单元。
[0011] 此外，在一个方面中，公开了包括至少一个处理器的用于处置恶意攻击的无线设 备。所述至少一个处理器被配置为:至少部分地基于由所述无线设备接收的将所述无线设 备的状态从休眠状态改变为已连接状态的分组来识别从恶意源接收的分组。所述至少一个 处理器还被配置为：当被识别为从所述恶意源接收的分组的数量在监控时段内达到门限数 量时有选择地将所述无线设备从分组数据网络(PDN)断开，所述断开是通过释放被用于将 所述无线设备连接到所述TON的第一互联网协议(IP)地址。额外地，所述至少一个处理器被 配置为:使用与所述第一 IP地址不同的第二IP地址将所述无线设备重新连接到所述TON。
[0012] 为达到前述和相关的目的，所述一个或多个方面包括在下文中被充分描述和在权 利要求书中被特别指出的特征。下面的描述和附图详细阐述了所述一个或多个方面的特定 说明性特征。然而，这些特征指示各种方面的原理可以被使用所按照的各种方法中的仅一 些方法，并且本描述旨在包括全部这样的方面及其等价项。
【附图说明】
[0013] 将在下文中结合附图描述所公开的方面，为说明而非限制所公开的方面提供了附 图，其中，相似的附图标记表示相似的要素，并且其中：
[0014] 图1是包括被配置为处置恶意攻击的用户设备的一个方面的无线通信网络的示意 图；
[0015] 图2是示出了根据一个方面的用于处置恶意攻击的一种示例方法的流程图；
[0016] 图3是概念性地示出了电信系统的示例的框图；
[0017] 图4是对可以结合本文中描述的各种系统和方法使用的示例无线网络环境的图 示；
[0018] 图5是示出了根据另一个方面的用于处置恶意攻击的示例方法的流程图；
[0019] 图6是示出了根据一个方面的用于处置恶意攻击的示例系统的框图；
[0020] 图7是对可以结合本文中描述的各种系统和方法使用的示例无线网络环境的图 示；以及
[0021 ]图8是示出了使用处理系统的装置的硬件实现方式的示例的图。
【具体实施方式】
[0022] 在各种方面中，公开了用于处置恶意攻击的方法、系统、装置和计算机程序产品。 这些各种方面概括地说可以包括:在无线设备处至少部分地基于由无线设备接收的、将无 线设备的状态从休眠状态改变为已连接状态的分组来识别从恶意源接收的分组。当被识别 为从所述恶意源接收的分组的数量在监控时段内达到门限数量时，可以通过释放用于将所 述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将所述无线 设备从所述TON断开。无线设备可以使用与第一 IP地址不同的第二IP地址重新连接到TON。
[0023] 现在参考附图描述用于处置恶意攻击的各种方面。在下面的描述中，出于解释的 目的，阐述了大量具体细节以便提供对一个或多个方面的透彻理解。然而可能显而易见的 是，可以在没有这些具体细节的情况下实践这样的方面。
[0024]宏小区和小型小区可以被用于与移动设备通信。如在本领域中一般已知的，移动 设备还可以称为系统、设备、用户单元、用户站、移动站、移动台、远程站、移动终端、远程终 端、接入终端、用户终端、终端、通信设备、用户代理、用户设备或者用户装备(UE)。移动设备 可以是蜂窝电话、卫星电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个 人数字助理(PDA)、具有无线连接能力的手持型设备、平板型计算机、计算设备或者其它经 由无线调制解调器连接到一个或多个为移动设备提供蜂窝或者无线网络接入的BS的处理 设备。
[0025] 本文中描述的技术可以用于诸如是 听多址(CSMA)和其它系统的各种无线通信系统。通常可互换地使用术语"系统"和"网络"。 CDMA系统可以实现诸如是通用陆地无线接入(UTRA)、cdma2000等的无线技术。UTRA包括宽 带 CDMA(W-CDMA)和 CDMA 的其它变型。进一步地，cdma2000 覆盖 IS-2000、IS-95 和 IS-856 标 准。TDMA系统可以实现诸如是全球移动通信系统(GSM)的无线技术。(FDMA系统可以实现诸 如是演进型UTRA(E-UTRA)、超移动宽带（UMB)、IEEE 802 · 11 (Wi-Fi)、IEEE 802 · 16(WiMAX)、 IEEE 802.20、闪速OFDM?等的无线技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的 一部分。各种方面还可以被扩展到诸如是TD-SCDMA、高速下行链路分组接入(HSDPA)、高速 上行链路分组接入(HSUPA)、高速分组接入加(HSPA+)和TD-CDMA的其它UMTS系统。3GPP长期 演进(LTE)是UMTS的使用E-UTRA的版本，其在下行链路上使用OFDMA和在上行链路上使用 SC-FDMA。各种方面还可以被扩展到使用LTE(在FDD、TDD或者这两种模式下）、高级LTE(LTE-A)(在H)D、TDD或者这两种模式下）的系统。在来自被命名为"第三代合作伙伴计划"（3GPP) 的组织的文档中描述UTRA、E-UTRA、UMTS、LTE和GSM。额外地，在来自被命名为"第三代合作 伙伴计划2"（3GPP2)的组织的文档中描述cdma2000和UMB。进一步地，这样的无线通信系统 可以额外地包括通常使用未经配对的未经许可频谱、802.XX无线LAN、蓝牙和任何其它短距 或者长距无线通信技术的端到端(例如，移动到移动）自组织网络系统。
[0026]将依据包括多个设备、部件、模块等的系统来呈现各种方面或者特征。应当理解和 认识到的是，各种系统可以包括额外的设备、部件、模块等，和/或可以不包括结合附图讨论 的设备、部件、模块等中的全部设备、部件、模块等。也可以使用这些方案的组合。
[0027] 本方面概括地说涉及处置无线通信系统中的恶意攻击。具体地说，无线设备可以 与无线通信系统中的一个或多个网络实体通信。进一步地，所述网络实体中的一个或多个 网络实体可以是无线设备上的恶意攻击的源。在一些非限制性的情况下，恶意攻击可以被 看作从网络实体去往无线设备的将无线设备的状态从休眠状态改变为已连接状态的未请 求的分组的传输。在这样的非限制性的情况下，网络实体可以被看作无线通信系统中的恶 意源。
[0028] 处置来自无线通信系统的网络实体的恶意攻击的当前努力或者尝试还未能提供 永久的解决方案。作为示例，处置CDMA系统中的恶意攻击的一个之前的尝试使用缩短的休 眠定时器以减少移动设备在从恶意网络实体接收分组之后转变回休眠状态之前保持处在 已连接状态下的时间的量。作为另一个示例，处置WCDMA系统中的恶意攻击的另一个之前的 尝试相似地实现强制的休眠功能以达到与由随CDMA系统一起使用的方案达到的那些结果 种类相同的结果。
[0029] 这些之前的尝试可以减少移动设备在从恶意网络实体接收分组之后转变回休眠 状态之前保持处在已连接状态下的时间的量，但恶意网络实体可以继续向移动设备发送未 请求的分组，并且因此继续消耗移动设备的电池(例如，缩短电池寿命），并且进一步导致增 加了的网络拥塞。额外地，诸如是LTE的一些系统不具有移动设备发起的强制的或者缩短的 休眠功能，并且因此可能不具有减少移动设备在从恶意网络实体接收分组之后转变回休眠 状态之前保持处在已连接状态下的时间的量的方法。因此，本领域中存在对用于处置恶意 攻击的简单和有效的方法和系统的需求。
[0030] 因此，根据本方法和系统，可以通过以下各项来处置恶意攻击:当被识别为从恶意 源接收的分组的数量在监控时段内达到门限数量时，通过释放用于将无线设备连接到分组 数据网络(PDN)的第一互联网协议（IP)地址来有选择地将所述无线设备从所述PDN断开；以 及，使用与第一 IP地址不同的第二IP地址将无线设备重新连接到TON。这样的方案可以提供 用于处置恶意攻击的与当前的解决方案相比更有效的解决方案。例如，并非简单地调整休 眠定时器以限制恶意攻击对电池寿命的影响，本文中概述的方案可以能够通过将无线设备 从PDN断开和使用不同的IP地址连接回TON来停止来自恶意源的攻击。此外，这可以在甚至 TON被断开之后维持与IP多媒体子系统aMS)PDN的连接的同时被达到。
[0031] 参考图1，在一个方面中，无线通信系统100包括与至少一个恶意源170相通信的至 少一个无线设备110。无线设备110可以例如通过网络实体140(例如，基站)和核心网130与 恶意源170通信。进一步地，无线设备110可以通过网络实体140和核心网130从恶意源170接 收诸如是被包含在信号150中的分组160的一个或多个分组。在下面关于图4描述核心网130 的进一步的方面。
[0032] 在某些方面中，无线设备110还可以被本领域的技术人员称为移动站、用户站、移 动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移 动用户站、接入终端、移动终端、无线终端、远程终端、手机、终端、用户代理、移动客户端、客 户端或者某个其它合适的术语。额外地，网络实体140可以是宏小区、微微小区、毫微微小 区、中继器、节点B、移动节点B、UE(例如，在端到端或者自组织模式下与无线设备110通信） 或者大体上任何类型的可以与无线设备110通信以在无线设备110处提供无线网络接入的 部件。
[0033] 根据本方面，无线设备110可以包括恶意攻击处置部件111，所述恶意攻击处置部 件111可以被配置为处置来自无线通信系统100中的一个或多个恶意源的攻击。
[0034] 对于本方面进一步地，无线设备110的恶意攻击处置部件111可以包括分组接收部 件112,所述分组接收部件112可以被配置为通过网络实体140和核心网130从诸如是恶意源 170的网络实体接收被包含在信号150中的一个或多个分组160。
[0035] 在另一个方面中，恶意攻击处置部件111可以包括恶意源识别部件113,所述恶意 源识别部件113可以被配置为识别从恶意源接收的分组。作为示例，从恶意源接收的分组可 以是分组160中的一个或多个分组，以及，恶意源可以是恶意源170。
[0036] 在一个进一步的方面中，恶意源识别部件113可以包括无线设备状态监控模块 115,所述无线设备状态监控模块115可以被配置为识别所接收的分组160中的哪些分组是 来自恶意源170的。识别哪些分组是从恶意源170接收的可以至少部分地基于哪些由无线设 备110接收的分组将无线设备110的状态从休眠状态改变为已连接状态。作为示例，无线设 备状态监控模块115可以监控无线设备110的当前状态。对于该示例来说进一步地，在某些 非限制性的情况下，无线设备110的当前状态可以是"休眠"或者"空闲"状态，其中，无线设 备110的无线资源通常在无线通信系统100中不是正在使用中。对于该示例来说仍然进一步 地，无线设备110可以处在"已连接"或者"活动"状态下，其中，无线设备110的无线资源正被 用于无线通信系统100中的已建立的连接。
[0037] 此外，在一个方面中，恶意源识别部件113可以包括监控时段模块116,所述监控时 段模块116可以被配置为建立和跟踪在其中恶意分组的接收和识别被监控的监控时段。作 为示例，监控时段模块116可以由于恶意源识别部件113识别无线设备110已接收恶意分组 而建立监控时段。对于该示例来说进一步地，恶意分组可以使无线设备110从休眠状态改变 为已连接状态。对于该方面来说进一步地，监控时段的持续时间可以由无线设备110、无线 设备110的用户或者另一个网络实体来配置。
[0038] 在又另一个方面中，恶意源识别部件113可以包括恶意分组计数器117,所述恶意 分组计数器117可以被配置为对由无线设备110接收的恶意分组的数量进行计数。在该方面 中，恶意分组计数器117可以进一步被配置为当恶意源识别部件113已识别出无线设备110 已接收了恶意分组和当监控时段模块116已建立监控时段时开始对由无线设备110接收的 恶意分组进行计数。
[0039] 在又另一个方面中，恶意源识别部件113可以包括门限恶意分组数量模块118,所 述门限恶意分组数量模块118可以被配置为，建立在恶意攻击处置部件111实现对抗恶意源 170的动作之前在由监控时段模块116建立的监控时段期间需要由无线设备110接收的恶意 分组的数量。对于该方面来说进一步地，所需的恶意分组的数量可以由无线设备110、无线 设备110的用户或者另一个网络实体来配置。
[0040] 在一个可选的方面中，恶意源识别部件113可以包括分组类型识别模块114,所述 分组类型识别模块114可以被配置为识别从恶意源170接收的恶意分组或多个恶意分组的 类型。作为示例，所接收的恶意分组或多个恶意分组的类型可以是但不限于是传输控制协 议同步(TCP SYN)分组、用户数据报协议(UDP)分组或者互联网控制消息协议(ICMP)分组。
[0041] 额外地，在一个方面中，恶意攻击处置部件111可以包括连接管理部件119,所述连 接管理部件119可以被配置为管理无线设备110与无线通信系统100中的一个或多个网络实 体之间的各种连接。在该方面中，连接管理部件119可以使用互联网TON连接模块121来管理 无线设备110与无线通信系统100中的互联网分组数据网络(PDN)之间的连接。作为示例，互 联网TON连接模块121可以管理被用于将无线设备110连接到互联网PDN的互联网协议（IP) 地址。
[0042] 对于该方面来说进一步地，当被识别为从所述恶意源170接收的分组的数量在监 控时段内达到门限数量时，互联网PDN连接模块121可以通过释放用于将所述无线设备110 连接到互联网TON的互联网协议（IP)地址来有选择地将所述无线设备100从所述互联网TON 断开。作为示例，当由分组接收部件112接收的分组被恶意源识别部件113识别为恶意分组 时，监控时段模块116可以建立用于监控恶意分组的接收的监控时段。对于该示例来说进一 步地，恶意分组计数器117可以建立所接收的恶意分组的计数，并且对于在由监控时段模块 116建立的监控时段期间接收的每个恶意分组可以将恶意分组的计数增加一。如果在由监 控时段模块116建立的监控时段到期之前，由恶意分组计数器117监控的所接收的恶意分组 的数量达到由门限恶意分组数量模块118定义的门限恶意分组数量，则互联网TON连接模块 121可以采取动作。
[0043]对于该方面来说又进一步地，互联网PDN连接模块121可以采取任意数量的动作中 的一个或多个动作，所述任意数量的动作可以包括:通过释放被用于将无线设备110连接到 互联网PDN的IP地址有选择地将无线设备100从互联网PDN断开。在另一个方面中，互联网 TON连接模块121可以使用与之前的IP地址不同（也就是说，与恶意源170曾向其发送恶意分 组的IP地址不同）的第二IP地址将无线设备重新连接到互联网TON。
[0044] 在一个可选的方面中，连接管理部件119可以包含应用管理模块122,所述应用管 理模块122可以被配置为确定正在使用无线设备110与互联网TON之间的连接的IP地址进行 通信的无线设备110上的应用的数量。在该可选的方面中，互联网PDN连接模块121可以在由 应用管理模块122作出无线设备110上的仅单个应用正在使用互联网TON连接IP地址进行通 信的确定时，将无线设备110从互联网PDN断开。替代地，在该可选的方面中，互联网TON连接 模块121可以在由应用管理模块122作出无线设备110上的多于一个应用正在使用互联网 TON连接IP地址进行通信的确定时，维持无线设备110与互联网TON之间的连接。
[0045] 在一个替代的方面中，互联网TON连接模块121可以，如果在由监控时段模块116建 立的监控时段到期之前由恶意分组计数器117监控的所接收的恶意分组的数量未能达到由 门限恶意分组数量模块118定义的门限恶意分组数量，则维持无线设备110与互联网PDN之 间的连接。对于该替代的方面来说进一步地，在监控时段过期时，恶意分组计数器117可以 将所接收的恶意分组的计数设置为零。
[0046]在一个可选的方面中，连接管理部件119可以使用IMS PDN连接模块120管理无线 设备110与无线通信系统100中的IP多媒体子系统aMS)PDN之间的连接。在该方面中，頂S PDN连接模块120可以在互联网PDN连接模块121已断开无线设备110与无线通信系统110中 的互联网TON之间的连接之后维持无线设备与頂S PDN之间的连接。对于该方面来说进一步 地，頂S TON连接模块120可以管理被用于将无线设备110连接到无线通信系统100中的IMS PDN的第三IP地址。
[0047]在另一个选项方面中，恶意攻击处置部件111可以包括报告生成部件123,所述报 告生成部件可以被配置为生成包括恶意源170的一个或多个特性的信息的报告。在该可选 的方面中，所生成的报告可以通过无线通信系统100被提供给服务器(未示出）。对于该可选 的方面来说进一步地，恶意源170的一个或多个特性的信息可以由恶意源特性模块124来收 集和维护。作为示例，恶意源特性模块124可以收集和维护诸如是在无线设备110与互联网 TON之间的连接被有选择地断开之前被用于将无线设备110连接到互联网TON的IP地址的恶 意源170的一个或多个特性的信息。作为另一个示例，恶意源特性模块124可以收集和维护 诸如是恶意源170所使用的端口号或者协议类型的恶意源170的一个或多个特性的信息。 [0048]图2示出了用于基于本文中公开的原理处置恶意攻击的示例方法200。方法200可 以由图1的无线设备110的恶意攻击处置部件111来实现。虽然出于解释简单的目的，该方法 被显示和描述为一系列动作，但应当理解和认识到的是，该方法不受动作的次序的限制，因 为根据一个或多个实施例一些动作可以以与本文中所显示和描述的次序不同的次序发生 和/或与其它动作并发地发生。例如，应当认识到的是，方法可以替代地被表示为诸如状态 图中的一系列相关的状态或者事件。此外，并非全部所示出的动作是实现根据一个或多个 实施例的方法所需要的。
[0049] 转向图2，在210处，方法200包括:识别从恶意源接收的分组。例如，在一个方面中， 无线设备110的恶意攻击处置部件111可以执行恶意源识别部件113以识别由分组接收部件 112从诸如是图1的恶意源170的恶意源接收的分组。在该方面中，恶意源识别部件113可以 至少部分地基于由分组接收部件112接收的、由无线设备状态监控模块115所监控的将无线 设备110的状态从休眠状态改变为已连接状态的分组来识别从恶意源170接收的分组。
[0050] 方法200额外地包括：当被识别为从恶意源接收的分组的数量在监控时段内达到 门限数量时，通过释放被用于将无线设备连接到PDN的第一 IP地址来有选择地将无线设备 110从PDN断开。在一个方面中，PDN可以是图4的互联网TON 430。对于该方面来说进一步地， 恶意源识别部件113可以执行恶意分组计数器117(图1)以对由无线设备110接收的恶意分 组的数量进行计数。对于该方面来说又进一步地，恶意分组计数器117可以在恶意源识别部 件113已识别出无线设备110已接收了恶意分组和监控时段模块116(图1)已被执行以建立 用于监控所接收的恶意分组的时段时被执行以开始对恶意分组进行计数。
[0051] 在另一个方面中，无线设备110的连接管理部件119(图1)可以执行互联网TON连接 模块121(图1)以确定在由监控时段模块116建立的监控时段已到期之前由恶意分组计数器 117维护的对所接收的恶意分组的计数是否已达到由门限恶意分组数量模块118(图1)建立 的门限恶意分组数量。对于该方面来说进一步地，如果互联网PDN连接模块121已确定被识 别为从恶意源接收的分组的数量在监控时段内达到门限数量，则互联网TON连接模块121通 过释放被用于将无线设备110连接到PDN的第一互联网协议（IP)地址来有选择地将无线设 备110从PDN断开。作为示例，第一 IP地址可以是公共IP地址。作为另一个示例，可以配置门 限恶意分组数量。作为一个进一步的示例，监控时段可以是可配置的。
[0052] 可选地，方法200可以包括:在230处，在PDN已被从无线设备110断开之后，维持无 线设备110与诸如是图4的IMS TON 430的頂S PDN之间的连接。在一个选项方面中，在互联 网TON连接模块121已断开无线设备110与互联网TON之间的连接之后，可以由连接管理部件 119执行頂S TON连接模块120(图1)以维持无线设备110与頂S PDN之间的连接。对于该选项 方面来说进一步地，第三IP地址可以被用于将无线设备110连接到MS TON。
[0053] 在240处，方法200可以包括:使用与第一 IP地址不同的第二IP地址将无线设备110 重新连接到ton。
[0054] 可选地，方法200可以包括:在250处生成包括恶意源170的一个或多个特性的信息 的报告，其中，该报告被提供给服务器。在一个可选的方面中，恶意源170的一个或多个特性 的信息可以包括被用于将无线设备连接到TON的第一 IP地址的信息。在另一个选项方面中， 恶意源170的一个或多个特性的信息可以包括由恶意源170使用的端口号的信息。此外，在 一个可选的方面中，恶意源170的一个或多个特性的信息可以包括由恶意源170使用的协议 类型的信息。
[0055]图3是概念性地示出了根据用于处置恶意攻击的方法和系统的无线通信系统300 的示例的框图。无线通信系统300包括:诸如是图1的网络实体140的基站(或者小区）305;诸 如是图1的无线设备110的用户设备(UE)315;以及诸如是图1的核心网130的核心网330。基 站305可以在基站控制器(未示出）的控制下与UE 315通信，所述基站控制器在各种实施例 中可以是核心网330或者基站305的一部分。基站305可以通过第一回程链路332与核心网 330传送控制信息和/或用户数据。在实施例中，基站305可以通过第二回程链路334直接或 者间接地与彼此通信，所述第二回程链路334可以是有线或者无线的通信链路。无线通信系 统300可以支持在多个载波(不同频率的波形信号）上的操作。多载波发射机可以同时在多 个载波上发送经调制的信号。例如，每个通信链路325可以是根据上面描述的各种无线技术 被调制的多载波信号。每个经调制的信号可以在不同载波上被发送，并且可以携带控制信 息(例如，参考信号、控制信道等）、开销信息、数据等。
[0056]基站305可以经由一个或多个基站天线与UE 315无线地通信。基站305站点中的每 个站点可以为各自的地理覆盖区域310提供通信覆盖。在某些实施例中，基站305可以被称 为基站收发机、无线基站、接入点、无线收发机、基本服务集(BSS)、扩展服务器(ESS)、节点 B、演进型节点B、家庭节点B、家庭演进型节点B或者某个其它合适的术语。基站305的地理覆 盖区域310可以被划分成组成该覆盖区域的仅一部分的扇区（未示出）。无线通信系统300可 以包括不同类型的基站305(例如，宏、微和/或微微基站）。可以存在用于不同技术的重叠的 覆盖区域。
[0057] 在实施例中，无线通信系统300是LTE/LTE-A网络通信系统。在LTE/LTE-A网络通信 系统中，术语演进型的节点B(演进型节点B)通常可以被用于描述基站305。无线通信系统 300可以是在其中不同类型的演进型节点B为各种地理区域提供覆盖的异构LTE/LTE-A网 络。例如，每个演进型节点B 305可以为宏小区、微微小区、毫微微小区和/或其它类型的小 区提供通信覆盖。宏小区通常覆盖相对大的地理区域(例如，半径为几千米），并且可以允许 由具有对网络提供商的服务订阅的UE 315进行的不受限的接入。微微小区通常将覆盖相对 较小的地理区域(例如，建筑物），并且可以允许由具有对网络提供商的服务订阅的UE 315 进行的不受限的接入。毫微微小区通常也将覆盖相对小的地理区域(例如，家庭），并且，除 不受限的接入外，还可以提供由具有与毫微微小区的关联的UE 315(例如，封闭用户组 (CSG)中的UE 315、家庭中的用户的UE 315等)进行的受限的接入。用于宏小区的演进型节 点B 305可以被称为宏演进型节点B。用于微微小区的演进型节点B 305可以被称为微微演 进型节点B。以及，用于毫微微小区的演进型节点B 305可以被称为毫微微演进型节点B或者 家庭演进型节点B。演进型节点B 305可以支持一个或多个(例如，两个、三个、四个等)小区。 [0058] 核心网330可以经由第一回程链路332(例如，S1接口等）与演进型节点B 330或者 其它基站330通信。演进型节点B 330还可以例如经由第二回程链路334(例如，X2接口等） 和/或经由第一回程链路332(例如，通过核心网330)直接或者间接地与彼此通信。无线通信 系统300可以支持同步或者异步的操作。对于同步的操作，演进型节点B 305可以具有相似 的帧时序，并且来自不同演进型节点B 305的传输可以在时间上被近似对齐。对于异步的操 作，演进型节点B 305可以具有不同的帧时序，并且来自不同演进型节点B 305的传输可以 不在时间上被对齐。本文中描述的技术可以被用于同步或者异步的操作。
[0059] UE 315可以散布到无线通信系统300的各处，并且每个UE 315可以是固定的或者 移动的。UE 315还可以被本领域的技术人员称为移动站、用户站、移动单元、用户单元、无线 单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动用户站、接入终端、移 动终端、无线终端、远程终端、手机、用户代理、移动客户端、客户端或者某个其它合适的术 语。UE 315可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持型 设备、平板型计算机、膝上型计算机、无绳电话、无线本地环路(WLL)站等。UE 315可以能够 与宏演进型节点B、微微演进型节点B、毫微微演进型节点B、中继器等通信。
[0060] 无线通信系统300中所示的通信链路325可以包括从UE 315(例如，图1的无线设备 110)去往演进型节点B 305(例如，图1的网络实体140)的上行链路(UL)传输和/或从演进型 节点B 305去往UE 315的下行链路(DL)传输。下行链路传输还可以被称为前向链路传输，而 上行链路传输还可以被称为反向链路传输。
[0061] 在特定示例中，UE 315可以能够同时与多个演进型节点B 305通信。当多个演进型 节点B 305支持UE 315时，演进型节点B 305中的一个演进型节点B 305可以被指定为该UE 315的锚定演进型节点B 305,并且一个或多个其它演进型节点B 305可以被指定为该UE 315的辅助演进型节点B 305。例如，辅助演进型节点B 305与被通信地耦合到分组数据网络 (TON)的本地网关相关联，可以经由通过辅助演进型节点B 305的本地网关卸载UE 315与该 PDN之间的网络业务的一部分，而非通过核心网330发送所述业务，来节省核心网资源。例 如，选择IP业务卸载(SIPTO)PDN连接可以在UE 315的辅助演进型节点B 305处被建立。 [0062]当前的无线通信系统可以将SIPT0支持限于锚定演进型节点B 305,并且不提供用 于在辅助演进型节点B 305处实现针对UE 315的SIPT0的方法。然而，如由对接下来的附图 的描述展示的，本公开内容提供用于建立和拆卸辅助演进型节点B 305处的至少关于处置 恶意连接的SIPTO TON连接的方法和装置。
[0063]图4是对可以结合本文中描述的用于处置恶意攻击的各种系统和方法来使用的示 例无线网络环境的说明。在一个方面中，所示的无线通信系统400可以包括:诸如是图1的无 线设备110的多模UE 450;诸如是图1的网络实体140的演进型节点B 460;诸如是图1的核心 网130的演进型分组核心（EPC)470;诸如是互联网PDN 430和IMS PDN 440的一个或多个 PDN;以及诸如是图1的恶意源170的对等实体。EPC 470可以包括服务网关(SGW)410和TON网 关(PGW)42(LUE 450可以包括恶意攻击处置部件111。这些单元可以代表在上面参考之前的 附图描述的所述单元的对应物中的一个或多个对应物的方面。
[0064] 在一个进一步的方面中，演进型节点B 460可以能够为UE 450提供使用一个或多 个LTE分量载波或者一个或多个WLAN分量载波的聚合对互联网TON 430和頂S TON 440进行 的接入。通过使用该接入互联网TON 430，UE 450可以与恶意源170通信。演进型节点B 460 可以提供通过演进型分组核心470对互联网TON 430的接入。
[0065] 通过LTE被发送的全部用户IP分组可以通过演进型节点B 460被传输到SGW 410， 所述SGW 410可以通过S5信令接口被连接到PDN网关420AGW 410可以存在于用户平面中， 并且充当用于演进型节点B间切换和不同接入技术之间的切换的移动性锚点。PDN网关420 可以为UE提供IP地址分配以及其它功能。
[0066] PDN网关420可以提供通过SGi信令接口与诸如是互联网PDN 430或者IMS PDN 440 的一个或多个外部分组数据网络的连接。在本示例中，UE 450与EPC 470之间的用户平面数 据可以遍历一个或多个EPC承载的相同集合。
[0067]图5说明了基于本文中公开的原理的用于处置恶意攻击的另一个示例方法500。方 法500可以由图1的无线设备110的恶意攻击处置部件111实现。虽然出于解释简单的目的， 该方法被显示和描述为一系列动作，但应当理解和认识到的是，该方法不受动作的次序的 限制，因为根据一个或多个实施例某些动作可以以与本文中所显示和描述的次序不同的次 序发生和/或与其它动作并发地发生。例如，应当认识到的是，该方法可以替代地被表示为 诸如是状态图中的一系列相关的状态或者事件。此外，可能不需要全部所示出的动作来实 现根据一个或多个实施例的方法。另外，可以将图2中的方法200的各种方面与方法500的各 种方面组合。
[0068]转向图5，在510处，方法500包括:识别从恶意源接收的分组。例如，在一个方面中， 无线设备110的恶意攻击处置部件111可以执行恶意源识别部件113以识别由分组接收部件 112从诸如是图1的恶意源170的恶意源接收的分组。在该方面中，恶意源识别部件113可以 至少部分地基于由分组接收部件112接收的、由无线设备状态监控模块115监控的将无线设 备110的状态从休眠状态改变为已连接状态的分组来识别从恶意源170接收的分组。
[0069]方法500额外地包括:在520处，确定被识别为从恶意源接收的分组的数量在监控 时段内是否达到门限数量。在一个方面中，恶意源识别部件113可以执行恶意分组计数器 117(图1)以对由无线设备110接收的恶意分组的数量进行计数。对于该方面来说仍然进一 步地，恶意分组计数器117可以在恶意源识别部件113已识别出无线设备110已接收了恶意 分组以及监控时段模块116(图1)已被执行以建立用于监控所接收的恶意分组的时段时被 执行以开始对恶意分组进行计数。
[0070]在另一个方面中，无线设备110的连接管理部件119(图1)可以执行互联网TON连接 模块121(图1)以确定在由监控时段模块116建立的监控时段已到期之前由恶意分组计数器 117维护的所接收恶意分组的计数是否已达到由门限恶意分组数量模块118(图1)建立的门 限恶意分组数量。
[0071]此外，方法500包括:在530处，确定正在使用无线设备110与PDN之间的连接的第一 IP地址进行通信的无线设备110上的应用的数量。应用可以指被配置为执行特定功能和/或 具有使终端用户能够在无线设备中执行特定任务的特定特征的程序或者程序的组。在一个 方面中，连接管理部件119(图1)可以执行应用管理模块122以确定正在使用无线设备110与 TON之间的连接的第一 IP地址进行通信的无线设备110上的应用的数量。
[0072] 在540处，方法500包括：当作出无线设备100上的仅单个应用使用第一 IP地址进行 通信的确定时，将无线设备110从TON断开。在一个方面中，互联网TON连接模块121可以在应 用管理模块122确定无线设备110的仅单个应用正在使用第一 IP地址进行通信时被执行以 将无线设备110从TON断开。
[0073] 替代地，在550处，方法500可以包括：当作出无线设备110上的多于一个应用使用 第一 IP地址进行通信的确定时，维持无线设备110与TON之间的连接。在一个方面中，互联网 PDN连接模块121可以在应用管理模块122确定无线设备110上的多于一个应用正在使用第 一 IP地址进行通信时被执行以维持无线设备110与TON之间的连接。
[0074]图6说明了基于本文中公开的原理的用于处置恶意攻击的系统600。例如，系统600 可以在图1的无线设备110中被实现。对于该示例来说进一步地，恶意攻击处置部件111的部 件中的一个或多个部件可以被用于实现系统600。应当认识到的是，系统600被表示为包括 功能框，所述功能框可以是代表由处理器、软件或者其组合(例如，固件)实现的功能的功能 框。系统600包括可以结合地行动的电气部件的逻辑分组610。例如，逻辑分组610可以包括： 用于识别在无线设备110处从恶意源接收的分组的电气部件611。进一步地，逻辑分组610可 以包括：用于有选择地将无线设备110从分组数据网络(例如，图4的互联网TON 430)断开的 电气部件612。进一步地，逻辑分组600可以包括:用于将无线设备110重新连接到互联网TON 430的电气部件613。
[0075]额外地，系统600可以包括存储器620,所述存储器620保存用于执行与电气部件 611至613相关联的功能的指令。尽管被示为在存储器620的外部，但应当理解的是，电气部 件611至613中的一个或多个电气部件可以存在于存储器620内。在一个示例中，电气部件 611至613可以包括至少一个处理器，或者每个电气部件611至613可以是至少一个处理器的 对应模块。此外，在一个额外或者替代的实例中，电气部件611至613可以是包括计算机可读 介质的计算机程序产品，其中，每个电气部件611至613可以是对应的代码。
[0076]图7示出了用于处置恶意攻击的机制可以在其中被实现的示例无线通信系统700。 无线通信系统700为简洁起见描绘了一个基站710(其可以是图1的网络实体140)以及一个 可以包括恶意攻击处置部件111的移动设备750(例如，图1的无线设备110)。然而，应当认识 到的是，系统700可以包括多于一个基站和/或多于一个移动设备，其中，额外的基站和/或 移动设备可以与在下面描述的示例基站710和移动设备750大体上相似或者不同。另外，应 当认识到的是，基站710和/或移动设备750可以使用本文中描述的系统（图1、3和4)和/或方 法（图2和5)以促进其之间的无线通信。例如，本文中描述的系统和/或方法的部件或者功能 可以是在下面描述的存储器732和/或772或者处理器730和/或770的一部分，和/或可以由 存储器730和/或770来执行以执行所公开的功能。在其它方面中，恶意攻击处置部件111的 特征和/或功能可以使用移动设备750的其它部件中的一个或多个部件来实现。
[0077]在基站710处，从数据源712向发送(TX)数据处理器714提供多个数据流的业务数 据。根据一个示例，可以通过各自的天线来发送每个数据流。ΤΧ数据处理器714基于针对数 据流所选择的特定编码方案对业务数据流进行格式化、编码和交织以提供经编码的数据。 [0078]可以使用正交频分复用（(FDM)技术将每个数据流的经编码的数据与导频数据复 用。额外地或者替代地，导频符号可以被频分复用（FDM)、时分复用（TDM)或者码分复用 (CDM)。导频数据通常是通过已知的方式被处理的已知数据模式，并且可以在移动设备750 处被用于估计信道响应。可以基于针对数据流所选择的特定调制方案(例如，二相相移键控 (BPSK)、正交相移键控(QPSK)、Μ相相移键控(M-PSK)、Μ阶正交幅度调制(M-QAM)等)对每个 数据流的被复用的导频和经编码的数据进行调制（例如，符号映射）以提供调制符号。每个 数据流的数据速率、编码和调制可以由处理器730所执行或者提供的指令来确定。
[0079]可以将数据流的调制符号提供给可以进一步处理调制符号（例如，针对0FDM)的ΤΧ ΜΙΜΟ处理器720JX ΜΜ0处理器720然后将NT调制符号流提供给NT发射机（TMTR)722a至 722t。在各种实施例中，ΤΧ ΜΠΚ)处理器720对数据流的符号和对符号从其被发送的天线应 用波束成形权重。
[0080]每个发射机722接收和处理各自的符号流以提供一个或多个模拟信号，以及对模 拟信号进行进一步的调节(例如，放大、滤波和上变频）以提供适于通过ΜΙΜΟ信道传输的经 调制的信号。进一步地，分别从NT天线724a至724t发送来自发射机722a直到722t的NT经调 制信号。
[0081 ]在移动设备750处，所发送的经调制信号被NR天线752a至752r接收，并且从每个天 线752接收的信号被提供给各自的接收机(RCVR)754a至754r。每个接收机754对各自的信号 进行调节(例如，滤波、放大和下变频），对经调节的信号进行数字化以提供采样，并且对采 样进行进一步的处理以提供对应的"经接收"符号流。
[0082] RX数据处理器760可以基于特定接收机处理技术对来自NR接收机754的NR经接收 符号流进行接收和处理以提供NT "经检测"符号流。RX数据处理器760可以对每个经检测符 号流进行解调、解交织和解码以恢复数据流的业务数据。由RX数据处理器760进行的处理与 在基站710处由ΤΧ Μ頂0处理器720和TX数据处理器714执行的处理互补。
[0083]反向链路消息可以包括与通信链路和/或所接收的数据流相关的各种类型的信 息。反向链路消息可以由ΤΧ数据处理器738处理，所述ΤΧ数据处理器738还从数据源736接收 由调制器780调制、由发射机754a至754r调节并且被发送回基站710的多个数据流的业务数 据。
[0084]在基站710处，来自移动设备750的经调制的信号由天线724接收、由接收机722调 节、由解调器740解调并且由RX数据处理器742处理以提取由移动设备750来发送的反向链 路消息。进一步地，处理器730可以对所提取的消息进行处理以确定将哪个预编码矩阵用于 确定波束成形权重。
[0085] 处理器730和770可以分别引导（例如，控制、协调、管理等)基站710和移动设备750 处的操作。各自的处理器730和770可以与存储程序代码和数据的存储器732和772相关联。 处理器730和770还可以执行本文中描述的功能以支持为一个或多个低功率节点选择寻呼 区域标识符。
[0086]图8是说明使用处理系统814的装置800的硬件实现方式的示例的框图。在该示例 中，可以利用由总线802总体表示的总线架构来实现处理系统814。取决于处理系统814的具 体应用和总体设计约束，总线802可以包括任意数量的互连的总线和桥。总线802将包括一 个或多个处理器（由处理器804总体表示）、计算机可读介质（由计算机可读介质806总体表 示)和一个或多个恶意攻击处置部件（由恶意攻击处置部件111总体表示）的各种电路链接 在一起。恶意攻击处置部件111的功能和特征不限于在恶意攻击处置部件111中被实现，并 且可以在处理器804、计算机只读介质806或者这两者中被实现。
[0087]总线802可以还链接诸如是时序源、外围设备、调压器和功率管理电路的各种其它 电路，所述各种其它电路是本领域中众所周知的，并且因此将不被进行任何进一步描述。总 线接口 808提供总线802与收发机810之间的接口。收发机810提供用于通过传输介质与各种 其它装置通信的单元。取决于装置的本质，还可以提供用户界面812(例如，键区、显示器、扬 声器、麦克风、操纵杆）。
[0088] 处理器804负责管理总线802和一般处理，所述一般处理包括被存储在计算机可读 介质806上的软件的执行。软件当被处理器804执行时使处理系统814为任何特定的装置执 行本文中描述的各种功能。例如，处理系统814可以执行与以下各项相关联的各种功能：确 定一个或多个信道度量;至少部分地基于一个或多个信道度量来识别可达性状态的改变； 以及，调整从运行或者执行在处理系统814上的应用向服务器进行的连接信号的传输，其 中，所述调整可以至少部分地基于经由与调制解调器相通信的接口被提供给应用的对可达 性状态的改变的指示。尽管调制解调器未被示出，但调制解调器可以与处理系统814相通 信。此外，调制解调器可以被实现为图8的收发机810的一部分。计算机可读介质806还可以 用于存储由处理器804在执行软件时操纵的数据。
[0089] 已参考LTE/LTE-A系统给出了电信系统的几个方面。如本领域的技术人员将容易 认识到的，贯穿本公开内容全文所描述的各种方面可以被扩展到其它电信系统、网络架构 和通信标准。
[0090] 根据本公开内容的各种方面，可以利用包括一个或多个处理器的"处理系统"来实 现单元或者单元的任意部分或者单元的任意组合。处理器的示例包括微处理器、微控制器、 数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、状态机、门控逻 辑单元、分立的硬件电路和被配置为执行贯穿本公开内容全文所描述的各种功能的其它合 适的硬件。处理系统中的一个或多个处理器可以执行软件。软件不论被称为软件、固件、中 间件、微代码、硬件描述语言还是其它，都应当被宽泛地理解为表示指令、指令集、代码、代 码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执 行文件、执行的线程、过程、函数等。软件可以位于计算机可读介质上。计算机可读介质可以 是非暂时性计算机可读介质。作为示例，非暂时性计算机可读介质包括磁存储设备(例如， 硬盘、软盘、磁条）、光盘(例如，压缩光盘(CD )、数字多功能光盘(DVD ))、智能卡、闪速存储器 设备(例如，卡、棒、键驱动）、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PR0M)、 可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移除磁盘和任何其它用于存储可 以由计算机访问和读取的软件和/或指令的合适介质。作为示例，计算机可读介质还可以包 括载波、传输线路和任何其它用于发送可以被计算机访问和读取的软件和/或指令的合适 介质。计算机可读介质可以位于处理系统中、在处理系统外部或者跨包括处理系统的多个 实体地分布。计算机可读介质包含在计算机程序产品中。作为示例，计算机程序产品可以包 括封装材料中的计算机可读介质。本领域的技术人员应当认识到如何最佳地取决于特定应 用和被施加于总体系统的总体设计约束来实现贯穿本公开内容给出的所描述的功能。
[0091]将会理解的是，所公开的方法中的步骤的具体次序或者分层是对示例性过程的说 明。基于设计偏好，应当理解的是，可以重新布置方法中的步骤的具体次序或者分层。随附 的方法权利要求书按照示例次序呈现了各种步骤的要素，但除非在其中被具体地记载，否 则不表示限于所呈现的具体次序或者分层。
[0092]提供之前的描述以使本领域的任何技术人员能够实践本文中描述的各种方面。对 这些方面的各种修改对于本领域的技术人员将是显而易见的，并且本文中定义的一般原理 可以被应用于其它方面。因此，权利要求书不旨在限于本文中示出的方面，而是要符合与权 利要求书的语言一致的完整范围，其中，以单数形式对要素的引用除非被如此指出否则不 旨在表示"一个且仅一个"，而相反表示"一个或多个"。除非被特别另外指出，否则术语"一 些"指一个或多个。提到项目列表"中的至少一项"的短语指那些项目的任意组合，包括单个 成员。作为示例，"a、b或者c的至少一项"旨在覆盖:a;b;c;a和b;a和c;b和c;以及a、b和c。对 于本领域技术人员来说已知的或者稍后变得已知的与贯穿本公开内容全文描述的各种方 面的要素等价的全部结构和功能通过引用被明确并入本文中，并且旨在被权利书要求包 含。此外，在本文中公开的内容都不旨在贡献给公众(不论这样的公开内容是否在权利要求 中被明确地记载）。除非使用短语"用于……的单元"明确记载了要素或者在方法权利要求 的情况下元素使用短语"用于……的步骤"记载了要素，否则权利要求要素都不应根据 35U. S. C. §112第六段的条款来解释。
【主权项】
1. 一种用于处置恶意攻击的方法，包括： 在无线设备处至少部分地基于由所述无线设备接收的将所述无线设备的状态从休眠 状态改变为已连接状态的分组来识别从恶意源接收的分组； 当被识别为从所述恶意源接收的分组的数量在监控时段内达到门限数量时，通过释放 用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将 所述无线设备从所述TON断开；以及 使用与所述第一 IP地址不同的第二IP地址将所述无线设备重新连接到所述PDN。2. 根据权利要求1所述的方法，其中，所述第一IP地址包括公共IP地址。3. 根据权利要求1所述的方法，还包括:在所述PDN已被从所述无线设备断开之后，维持 所述无线设备与IP多媒体子系统（MS)PDN之间的连接。4. 根据权利要求3所述的方法，其中，第三IP地址被用于将所述无线设备连接到所述 IMS PDN〇5. 根据权利要求1所述的方法，其中，有选择地将所述无线设备从所述PDN断开包括： 确定所述无线设备上的使用所述第一IP地址进行通信的应用的数量；以及 当作出所述无线设备上的仅单个应用使用所述第一 IP地址进行通信的确定时，将所述 无线设备从所述TON断开。6. 根据权利要求5所述的方法，还包括：当作出所述无线设备上的多于一个应用使用所 述第一 IP地址进行通信的确定时，维持所述无线设备与所述TON之间的连接。7. 根据权利要求1所述的方法，其中，所述被识别为从所述恶意源接收的分组中的至少 一个分组包括以下各项中的一项：传输控制协议同步（TCP SYN)分组、用户数据报协议 (UDP)分组或者互联网控制消息协议(ICMP)分组。8. 根据权利要求1所述的方法，还包括：当所述监控时段过期时，将与被识别为从所述 恶意源接收的分组的数量相对应的计数器设置为零。9. 根据权利要求1所述的方法，其中，所述监控时段的持续时间是可配置的。10. 根据权利要求1所述的方法，其中，所述门限数量是可配置的。11. 根据权利要求1所述的方法，还包括:生成包括所述恶意源的一个或多个特性的信 息的报告，其中，所述报告被提供给服务器。12. 根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括被用 于将所述无线设备连接到所述TON的所述第一 IP地址的信息。13. 根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括由所 述恶意源使用的端口号的信息。14. 根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括由所 述恶意源使用的协议类型的信息。15. -种用于处置恶意攻击的计算机程序产品，包括： 非暂时性计算机可读介质，包括： 用于使无线设备至少部分地基于由所述无线设备接收的将所述无线设备的状态从休 眠状态改变为已连接状态的分组来识别从恶意源接收的分组的代码； 用于使所述无线设备当被识别为从所述恶意源接收的分组的数量在监控时段内达到 门限数量时，通过释放用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议 (IP)地址来有选择地将所述无线设备从所述TON断开的代码；以及 用于使所述无线设备使用与所述第一 IP地址不同的第二IP地址重新连接到所述PDN的 代码。16. -种用于处置恶意攻击的装置，所述装置包括： 用于在无线设备处至少部分地基于由所述无线设备接收的将所述无线设备的状态从 休眠状态改变为已连接状态的分组来识别从恶意源接收的分组的单元； 用于当被识别为从所述恶意源接收的分组的数量在监控时段内达到门限数量时，通过 释放用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择 地将所述无线设备从所述TON断开的单元;以及 用于使用与所述第一 IP地址不同的第二IP地址将所述无线设备重新连接到所述PDN的 单元。17. -种用于处置恶意攻击的无线设备，所述无线设备包括： 至少一个处理器，其中，所述至少一个处理器被配置为： 至少部分地基于由所述无线设备接收的将所述无线设备的状态从休眠状态改变为已 连接状态的分组来识别从恶意源接收的分组； 当被识别为从所述恶意源接收的分组的数量在监控时段内达到门限数量时，通过释放 用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将 所述无线设备从所述TON断开；以及 使用与所述第一 IP地址不同的第二IP地址将所述无线设备重新连接到所述PDN。18. 根据权利要求17所述的无线设备，其中，所述第一IP地址包括公共IP地址。19. 根据权利要求17所述的无线设备，其中，所述至少一个处理器被配置为:在所述TON 已被从所述无线设备断开之后，维持所述无线设备与IP多媒体子系统（MS)PDN之间的连 接。20. 根据权利要求19所述的无线设备，其中，第三IP地址被用于将所述无线设备连接到 所述IMS PDN。21. 根据权利要求17所述的无线设备，其中，有选择地将所述无线设备从所述PDN断开 包括： 确定所述无线设备上的使用所述第一 IP地址进行通信的应用的数量；以及 当作出所述无线设备上的仅单个应用使用所述第一 IP地址进行通信的确定时，将所述 无线设备从所述TON断开。22. 根据权利要求21所述的无线设备，其中，所述至少一个处理器被配置为：当作出所 述无线设备上的多于一个应用使用所述第一 IP地址进行通信的确定时，维持所述无线设备 与所述TON之间的连接。23. 根据权利要求17所述的无线设备，其中，所述被识别为从所述恶意源接收的分组中 的至少一个分组包括以下各项中的一项:传输控制协议同步(TCP SYN)分组、用户数据报协 议(UDP)分组或者互联网控制消息协议(ICMP)分组。24. 根据权利要求17所述的无线设备，还包括：当所述监控时段到期时，将与被识别为 从所述恶意源接收的分组的数量相对应的计数器设置为零。25. 根据权利要求17所述的无线设备，其中，所述监控时段的持续时间是可配置的。26. 根据权利要求17所述的无线设备，其中，所述门限数量是可配置的。27. 根据权利要求17所述的无线设备，其中，所述至少一个处理器被配置为：生成包括 所述恶意源的一个或多个特性的信息的报告，其中，所述报告被提供给服务器。28. 根据权利要求27所述的无线设备，其中，所述恶意源的一个或多个特性的信息包括 被用于将所述无线设备连接到所述TON的所述第一 IP地址的信息。29. 根据权利要求27所述的无线设备，其中，所述恶意源的一个或多个特性的信息包括 由所述恶意源使用的端口号的信息。30. 根据权利要求27所述的无线设备，其中，所述恶意源的一个或多个特性的信息包括 由所述恶意源使用的协议类型的信息。
【文档编号】H04W12/12GK106031208SQ201580007639
【公开日】2016年10月12日
【申请日】2015年2月4日
【发明人】D·K·萨胡, V·G·德夫纳尼, B·K·科塔, A·巴贾杰
【申请人】高通股份有限公司