用于检测无线网络中的分布式攻击的方法和攻击检测功能技术

一种用于检测多个无线设备经由网络节点(210)所连接到的无线网络(206)中的分布式攻击的方法和攻击检测功能(200)。检查来自多个无线设备(208)中的每个无线设备的业务流的特性是否满足与源自无线设备的异常业务相关的预定阈值条件。当检测到业务流的所述特性满足所述阈值条件时，例如，基于与源自所述无线设备的先前的业务有关的统计信息来识别来自所述无线设备的所述业务流的改变。然后，可以基于所述业务流的所述已识别的改变，确定所述无线设备是否被用于所述分布式攻击中。

Distributed Attack Detection Method and Attack Detection Function in Wireless Networks

【技术实现步骤摘要】
【国外来华专利技术】用于检测无线网络中的分布式攻击的方法和攻击检测功能
本公开总体上涉及用于检测无线网络中由对无线设备的操纵所产生的分布式攻击的方法和攻击检测功能。
技术介绍
在本公开中，术语“无线设备”用于表示能够通过发送和接收无线电信号与无线电网络进行无线电通信的任何通信实体，例如，移动电话、传感器以及M2M(机器对机器)设备，后者也被称作MTC(机器型通信)设备。该领域中的另一常见通用术语是“IoT(物联网)传感器”，其在本文中经常被用作无线设备的非限制性示例。在无线通信领域中，采用各种传感器通过执行各种测量和观测来监控区域、机器或组件变得日益普遍。这些传感器通常通过无线网络报告其测量和观测结果，其中该测量和观测结果要由可以在云环境中操作的某一中央控制服务器等处理。例如，传感器可以被配置为测量和报告可能感兴趣的某种度量或参数，例如温度、压力、光、移动和声音，仅列举几个说明性示例。上述传感器通常被配置为通过定期地报告相当数量的数据来自动地或自主地操作。这种传感器已经被设计用于以低成本进行简单操作，并且它们通常不良地实现较高层协议，因此这些较高层协议可能非常容易受到攻击。在无线网络中，有时需要保护网络上的无线设备以免被某一非法方操纵从而触发大量的设备基本上同时向特定目标(例如，服务器或计算机)发送业务，其目的是在目标和/或网络上创建有害的和破坏性的负荷。对无线设备的这种分布式安全攻击通常被称作分布式拒绝服务(DDoS)攻击。具体地，上述传感器经常遭受DDoS攻击，其中DDoS攻击将作为分布式安全攻击的示例在下文中被更详细地描述。可以利用恶意代码来修改被攻击的传感器，使其执行攻击者感兴趣的附加功能。具体地，传感器可以被修改以攻击其它传感器、用户设备或网络服务。当以这种方式修改若干个传感器时，这些传感器可以一起协调起来以执行分布式攻击。考虑到经常部署大量的传感器，这种攻击可能是毁灭性的，因为大量的传感器可能被编程为向单个目的地发送业务，从而使该目的地在高负荷下发生故障。然而，在目前的无线网络中可能无法检测到分布式攻击何时可能发生并且因此不能及时地(即，在目标和/或网络已经被攻击(例如，被功能故障)严重破坏之前)停止该分布式攻击。跟踪这种攻击也是困难的，这是因为将需要检验和分析网络中的大量业务(包括合法和正常业务)
技术实现思路
本文描述的实施例的目的是解决至少一些以上概述的问题和情况。可以通过使用所附独立权利要求中定义的方法和攻击检测功能来实现该目的和其它目的。根据一个方面，由攻击检测功能执行一种用于检测多个无线设备所连接到的无线网络中的分布式攻击的方法。在该方法中，攻击检测功能首先检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件，并且然后识别来自无线设备的业务流的改变。基于业务流的所述已识别的改变，攻击检测功能还确定无线设备是否被用于分布式攻击中。根据另一方面，一种攻击检测功能被布置为实现或支持对多个无线设备所连接到的无线网络中的分布式攻击的检测。攻击检测功能被配置为：检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件。攻击检测功能还被配置为：例如基于与源自无线设备的先前的业务有关的统计信息来识别来自无线设备的业务流的改变。攻击检测功能还配置为：基于业务流的所述已识别的改变，确定无线设备是否被用于分布式攻击中。通过使用上述方法和攻击检测功能中的任意一种，优点在于能够以自动且可靠的方式检测无线网络中的分布式攻击，并且由于能够识别和检验“可疑的”业务，因此业务的分析能够更加有效。因此，不是检验来自无线设备的所有的业务，而是只需要检验已识别的可疑的业务(即，指示无线设备的某种异常行为的业务)。因此，将减少来自无线设备的合法且正常的业务的传输延迟。上述方法和攻击检测功能可以根据不同的可选实施例来配置和实现，以实现下文将要描述的其它特征和优点。还提供了一种计算机程序，其包括当在攻击检测功能中的至少一个处理器上执行时使该至少一个处理器执行上述方法的指令。还提供包含上述计算机程序的载体，其中，所述载体是电信号、光信号、无线电信号或计算机可读存储介质中的一种。附图说明现在将通过示例性实施例并参考附图来更详细地描述该解决方案，在附图中：图1是示出了根据一些可能的实施例的攻击检测功能中的过程的流程图。图2是示出了根据一些可能的实施例的可以如何使用该解决方案的示例的通信场景。图2A是示出了根据一些可能的实施例的可以如何在实践中在5G网络中使用该解决方案的另一个示例的通信场景。图3是示出了根据另外的可能的实施例的使用该解决方案时的过程的示例的信令图。图4示出了根据一些可能的实施例的可以如何在传输网络中实现与数据流有关的计量技术的示例的框图。图5是示出了根据另外的可能的实施例的可以如何配置攻击检测功能的框图。图5A是示出了根据另外的可能的实施例的可以如何配置攻击检测功能的另一示例的框图。具体实施方式本文描述的实施例可以用在用于检测是否通过操纵无线网络中的无线设备进行或已经进行了分布式攻击的过程中。下面描述了可能发生这种攻击的一些情况和情景。所谓的“物联网”IoT通常用于表示数十亿的传感器在未来的网络中被连接的情景。由于可以在IoT传感器中使用的多种多样的技术集合，这些传感器可以连接到IoT网关的集合，其中这些IoT网关从传感器接收数据并且然后向对应的服务器提供IP连接。尽管在本说明书中将IoT传感器用作说明性示例，但是本文描述的实施例和特征不限于IoT传感器。IoT传感器通常处于休眠模式以例如通过减少电池消耗来节省能量，并且传感器可以根据配置在短时间段内唤醒以执行一些操作。通常，大多数IoT传感器可以根据其激活时间段被分类成两个主要群组：即可以周期性地发送信息的IoT传感器(例如，温度传感器)和可以仅在由一些条件触发时才发送信息的IoT传感器(例如，烟雾检测器)。在部署IoT时通常期望提供一些安全性。具体地，具有不同技术和操作系统的大量的IoT传感器使得难以检验和监控所有传感器以发现弱点和异常。因为传感器的简单性，可能需要弱化安全实现，这也是为了节省成本。IoT中的安全攻击的示例是上述DDoS攻击，其中攻击者能够通过唤醒数百个IoT传感器来利用IoT传感器的弱点以便创建用于对特定的目标执行分布式攻击的僵尸网络大军。在本说明书中，术语“分布式攻击”通常被用于表示涉及对多个无线设备(例如，IoT传感器)进行操纵以便使设备以可能损害网络或其中的任意数量的节点和实体的方式进行操作的任意这种攻击。在另一方面，网络化的最新趋势是使未来的网络可编程，运营商可以在其中定义网络功能的集合并且可以决定网络化元件的转发行为。软件定义网络化SDN是用于在未来网络中提供高等级的网络可编程性和可管理性的关键技术。SDN在基础网络中提供更高等级的网络抽象以及更大的灵活性和可控性。OpenFlow是SDN网络中的最公知的协议，其提供网络资源上的根据流的控制。SDN将是5G网络中用于在管理大量无线设备(例如，IoT传感器)时提供更高的可控性的一部分，然而对用于实现IoT情况下的SDN(特别是作为安全防护机制)的投入是有限的。已经在2016年的InternationalConfe本文档来自技高网...

【技术保护点】
1.一种由攻击检测功能(200)执行以便检测多个无线设备所连接到的无线网络(206)中的分布式攻击的方法，所述方法包括：‑检测(100)来自多个无线设备(208)中的每个无线设备的业务流的特性满足与源自所述无线设备的异常业务相关的预定阈值条件，‑识别(102)来自所述无线设备的业务流的改变，以及‑基于所述业务流的所述已识别的改变，确定(104)所述无线设备是否被用于所述分布式攻击中。

【技术特征摘要】
【国外来华专利技术】2017.01.31 US 62/452,3781.一种由攻击检测功能(200)执行以便检测多个无线设备所连接到的无线网络(206)中的分布式攻击的方法，所述方法包括：-检测(100)来自多个无线设备(208)中的每个无线设备的业务流的特性满足与源自所述无线设备的异常业务相关的预定阈值条件，-识别(102)来自所述无线设备的业务流的改变，以及-基于所述业务流的所述已识别的改变，确定(104)所述无线设备是否被用于所述分布式攻击中。2.根据权利要求1所述的方法，其中，所述预定阈值条件包括以下中的至少一项：-来自至少一个无线设备的业务量超过预定业务速率阈值，以及-由至少一个无线设备发送的分组脉冲串的大小超过预定脉冲串大小阈值。3.根据权利要求1或2所述的方法，其中，所述业务流的改变包括以下中的任一项：所述业务流的增大的业务速率、改变的脉冲串间隔以及改变的目的地。4.根据权利要求1-3中任一项所述的方法，其中，所述识别是基于从统计信息收集节点(202)获得的、与源自所述无线设备的业务有关的统计信息来执行的，其中所述统计信息收集节点(202)连接到为所述无线设备提供服务的一个或多个基站。5.根据权利要求1-4中任一项所述的方法，其中，所述检测包括从控制节点(204)接收分析请求，其中所述控制节点(204)已经从所述业务流所经过的一个或多个网络节点(210)接收到指示所述业务流满足所述预定阈值条件的通知。6.根据权利要求5所述的方法，其中，当确定所述无线设备被用于所述分布式攻击时，通知(106)所述控制节点中断或重新路由所述业务流。7.根据权利要求5或6所述的方法，其中，所述网络节点是传输网络中的交换机，其中所述传输网络连接到为所述无线设备提供服务的所述无线网络。8.根据权利要求1-7中任一项所述的方法，其中，基于所述业务流的所述已识别的改变确定所述多个无线设备已经被操纵为对所述无线网络执行分布式拒绝服务DDoS攻击。9.根据权利要求1-8中任一项所述的方法，其中，针对不同的无线设备应用不同的预定阈值条件。10.根据权利要求9所述的方法，其中，所述阈值条件中的阈值是基于以下中的任一项确定的：预定缺省阈值、所述无线设备的类型或标识以及与来自所述无线设备的正常业务有关的先前的测量。11.根据权利要求1-10中任一项所述的方法，其中，所述无线设备包括物联网IoT传感器或IoT网关。12.一种被布置为实现或支持对多个无线设备所连接到的无线网络中的分布式攻击的检测的攻击检测功能(500)，其中，所述攻击检测功能(500)被配置为：-检测(500A)来自多个无线设备中的每个无线设备的业务流的特性满足与源自所述无线设备的异常业务相关的预定阈值条件，-识别(500B)来自所述...

【专利技术属性】
技术研发人员：阿里礼萨·兰詹巴，尼古拉斯·贝亚尔，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE