一种检测移动网络中入侵的来源的方法和系统。捕获正在使用所述移动网络的用户设备的平面通信量的数据包。所述数据包具有头部和有效载荷。针对安全事件对所述有效载荷进行检查。一旦确定存在安全事件,从所述数据包的头部提取唯一会话标识符。基于所提取的唯一会话标识符识别所述安全事件的来源。
【技术实现步骤摘要】
【国外来华专利技术】移动感知入侵检测系统相关申请的交叉引用本申请根据35U.S.C.§119要求于2016年1月12日提交的、标题为“移动感知入侵检测系统(MobileAwareIntrusionDetectionSystem)”的序列号为62,277,945的美国临时专利申请的优先权以及于2016年3月28日提交的、标题为“移动感知入侵检测系统(MobileAwareIntrusionDetectionSystem)”的序列号为15/082,692的美国非临时申请的优先权;为了所有目的通过引用将其全部内容并入本文中。背景近年来,移动无线通信越来越普及。无线网络和移动计算应用的快速增长对网络安全提出了更高的要求。移动的特性带来了传统固定网络所不具有的漏洞。因此,许多对固定网络有效的安全措施对于移动网络来说可能是不够的。与在固定IP平面上运行的固定(例如,有线)网络不同,无线网络包括多个平面,例如管理平面、控制平面和用户平面,这使得在针对恶意活动评估有效载荷之后更难追踪通信的来源。由于在大型网络中追踪数据通信的来源(例如,用户设备)是一个挑战,因此由使用无线网络的受损用户设备进行的攻击可能具有破坏性后果。此外,对攻击型用户设备进行隔离或封阻是一个挑战。虽然入侵检测系统(IDS)存在并可能在固定网络中有效,但此类系统无法识别无线网络中数据通信的来源。因此,关于这些考虑和其他因素做出了本申请。附图的简要说明下面参考附图进行详细描述,附图中参考编号的最左边的数字标识所述参考编号首次出现的附图。在不同的图中使用相同的参考编号表示相似或相同的项。图1示出了用于实现包括用户平面通信量的移动感知入侵检测系统的示例架构。图2示出了用于实现包括控制平面通信量的移动感知入侵检测系统的示例架构。图3示出了用于实现与第一选项一致的移动感知入侵检测系统的示例架构。图4示出了使用第一选项识别恶意活动的来源的示例调用流程。图5示出了用于实现与第二选项一致的移动感知入侵检测系统的示例架构。图6示出了使用第二选项识别恶意活动的来源的示例调用流程。图7示出了用于实现与第三选项一致的移动感知入侵检测系统的示例架构。图8示出了使用第三选项识别恶意活动的来源的示例调用流程。图9示出了提供会话/隧道标识符到用户标识符的示例映射的表。图10示出了从中提取用户和会话/隧道信息的示例创建会话请求。图11示出了从中提取用户和会话/隧道信息的示例创建会话响应。图12和图13提供了3GPP标准的GTP头格式。图14提供了用于实现MAID系统的示例计算机硬件平台的功能框图说明。详细描述概述在下面的详细描述中,通过示例的方式阐述了许多具体细节,以便提供对相关教导的透彻理解。然而,对于本领域技术人员来说显而易见的是,可以在没有这些细节的情况下实践本教导。在其他情况下,为了避免不必要地遮蔽本教导的方面,在相对高的级别上描述了众所周知的方法、过程、组件和/或电路而没有细节。本公开针对入侵检测系统(IDS),并且更具体地针对用于无线和移动网络的移动感知IDS。IDS是一种配置为针对恶意活动或政策违反行为而监控网络或系统活动的硬件设备或软件应用程序。虽然IDS解决方案可能在识别固定网络环境中的恶意活动(本文中有时称为安全事件)的来源时是有效的,但类似的IDS工具不适用于无线网络。固定网络和移动网络之间的实质性差异使得难以应用IDS技术确定恶意活动的来源、牵制恶意活动的来源以及可能为其提供解决方案。当固定网络在单个平面(例如,互联网协议(IP)空间)上执行其活动时,移动网络没有固定的基础设施。相反,移动网络在多个平面上运行。如本文所使用的,平面是电信架构的三个组件(即用户平面、控制平面和管理平面)中的一个。可以将这些平面理解为通信网络的不同方面,每个方面承载不同类型的通信量。例如,用户平面(有时称为数据平面)承载网络用户通信量。在用户平面上行进的数据包包括头部和有效载荷。头部包括关于有效载荷的来源的信息。另一方面,控制平面承载信令通信量。控制数据包来源于或者去往路由器。控制平面包括头部,但不包括有效载荷部分。应当注意的是,通常不会激发已知的IDS以检查控制平面通信量,因为不包括可能包含安全威胁的有效载荷。至于管理平面,它承载管理通信量,其被认为是控制平面的子集。示例高级架构图1示出了用于实现包括用户平面通信量的入侵检测系统的示例架构100。架构100包括允许各种用户设备126(A)至124(N)彼此进行通信的核心网络102以及连接至核心网络102的任何其他组件。今天,用户设备通常采用便携式手持设备、智能电话、平板电脑、个人数字助理(PDA)和智能手表的形式,然而它们可以以包括消费者、商业和医疗电子设备的其他形式因素来实现。核心网络102可以是分组数据通信网络,可由运营商或服务提供商操作,从而向其订阅客户和相关用户设备提供范围广泛的移动通信服务和辅助服务或特征。用户设备可以经由诸如2.5/3G接入网络104、4G/LTE接入网络108、受信无线局域网络(WLAN)112和/或不受信WLAN(116)等各种网络接入移动网络。核心网络102使用户设备能够与移动网络中的其他用户设备或互联网118上的另一个主机/服务器进行通信。例如,SGi接口可以将核心网络102耦连到互联网118上。每个接入网提供自己的接入平台。例如,2.5/3G接入网络104包括基站控制器(BSC)和/或无线电网络控制器(RNC)106。BSC提供对多个基站收发台(BTS)105的控制和监督。RNC是通用移动电信(UMTS)无线电接入网络(UTRAN)中管理UMTS无线电接入网络(UTRAN)中的元件的指导性元件并且控制与其连接的节点B。例如,节点B类似于在全球移动通信系统(GSM)中使用的基站收发台。BSC106与服务通用分组无线服务(GPRS)支持节点(SGSN)130耦连,服务通用分组无线服务(GPRS)支持节点(SGSN)130负责传送来自用户设备126(A)的数据包或者去往用户设备126(A)的数据包。SGSN通过Gn接口连接到网关GPRS支持节点(GGSN)140,并使用S4接口连接到分组数据网络网关(PGW)140。SGSN130和PGW/GGSN140之间的Gn/S4接口可以承载用户平面和控制平面通信量这两者。RNC106还可以采用Gn接口直接连接到GGSN140,在这种情况下,Gn接口仅承载用户平面通信量。4G/LTE接入网络108包括提供用户设备(例如,126(B))与核心网络120之间的接口的一个或更多个演进节点B(eNodeB)。eNodeB110经由作为控制节点的移动性管理实体(MME)134与核心网络102耦连。例如,它用于空闲模式的用户设备追踪和包括重传的寻呼程序。它还为用户设备126(B)提供承载信道激活/去激活的过程和对服务网关(SGW)132的选择。MME134通过与归属订户服务器(HSS)(未示出)交互来提供对用户的认证。在eNodeB110和SGW132之间存在S1-U接口,其承载用户平面通信量。在eNodeB110和MME134之间存在SI-MME接口,其为E-UTRAN和MME之间的控制平面协议提供参考点。各种用户设备还可以经由可以在家庭网络中找到的受信WLAN112或者可本文档来自技高网...
【技术保护点】
1.一种用于移动网络的入侵检测系统,包括:处理器;耦连至一个或更多个处理器的网络接口;用于存储内容和编程的存储设备;存储在所述存储设备中的程序,其中通过所述处理器执行所述程序来配置所述系统执行动作,包括:捕获正在使用所述移动网络的用户设备的平面通信量的数据包,其中所述数据包具有头部和有效载荷;针对安全事件检查所述有效载荷;一旦确定存在所述安全事件,则:从所述数据包的所述头部提取唯一会话标识符;以及基于所提取的唯一会话标识符识别所述安全事件的来源。
【技术特征摘要】
【国外来华专利技术】2016.01.12 US 62/277,945;2016.03.28 US 15/082,6921.一种用于移动网络的入侵检测系统,包括:处理器;耦连至一个或更多个处理器的网络接口;用于存储内容和编程的存储设备;存储在所述存储设备中的程序,其中通过所述处理器执行所述程序来配置所述系统执行动作,包括:捕获正在使用所述移动网络的用户设备的平面通信量的数据包,其中所述数据包具有头部和有效载荷;针对安全事件检查所述有效载荷;一旦确定存在所述安全事件,则:从所述数据包的所述头部提取唯一会话标识符;以及基于所提取的唯一会话标识符识别所述安全事件的来源。2.如权利要求1所述的入侵检测系统,其中执行所述程序进一步配置所述系统执行动作,包括:一旦确定存在所述安全事件,则采取纠正措施。3.如权利要求2所述的入侵检测系统,其中所述纠正措施包括将通知发送给下述中的至少一个:所述用户设备的账户持有者;所述移动网络的系统管理员;以及所述用户设备。4.如权利要求2所述的入侵检测系统,其中所述纠正措施包括通过封阻经由所述移动网络去往所述用户设备的通信量或者来自所述用户设备的通信量中的至少一个来隔离所述用户设备。5.如权利要求1所述的入侵检测系统,其中识别所述安全事件的来源包括:将所述数据包的所述头部和所述有效载荷发送至配置成将所述唯一会话标识符与所述用户设备的账户持有者信息相关联的关联系统;以及从所述关联系统接收所述用户设备的账户持有者的信息。6.如权利要求1所述的入侵检测系统,其中所述系统包括:配置成接收用户平面通信量和从所述数据包的所述头部提取唯一会话标识符的用户平面分析组件;配置成接收控制平面用户通信量和针对安全事件检查所述有效载荷的控制平面分析组件;以及配置成将所述安全事件和所述唯一会话标识符与所述移动网络的唯一用户信息相关联的关联组件。7.如权利要求6所述的入侵检测系统,其中:所述控制平面分析组件配置成捕获S5、S2b和S1-MME接口上的控制平面通信量;以及所述用户平面组件配置成捕获S2a、所述S2b、S3、S4、Gn、所述S5...
【专利技术属性】
技术研发人员:Y·塔尔加利,K·V·R·席尔瓦,J·M·邦斯伯格,
申请(专利权)人:T移动美国公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。