直径边缘代理攻击检测的制作方法

根据本发明的示例性实施例的教导一般涉及转移通过运营商网络之间的互连而来的攻击，更具体地，涉及转移通过诸如基于grx/ipx或ss7的网络的运营商网络之间的互连而来的攻击。

背景技术：

本部分旨在提供权利要求中所述的本发明的背景或上下文。在本文中的描述可以包括可追求的概念，但并非是先前已经构思或追求的概念。因此，除非在本文中另行指出，否则在本部分中描述的内容不是本申请中的说明书和权利要求的现有技术，并且不因包括在本部分中而被认为是现有技术。

可在说明书和/或附图中发现的某些缩写在此定义如下：

3gpp第三代合作伙伴计划

ack确认

avp属性值对

bgp边界网关协议

dea直径(diameter)边缘代理

dradiameter路由代理

dpadiameter委托代理

dos拒绝服务攻击

gprs通用分组无线服务

grxgprs漫游交换

gsm全球移动通信系统

gsmagsm协会

gt全局码

hlr归属位置寄存器

hss归属用户服务器

ip因特网协议

imsi国际移动用户标识

ipx互连性提供商交换

isd插入用户数据消息

idr插入用户数据请求

map移动应用部分

mme移动性管理实体

msc移动交换中心

rifs漫游和互连欺诈和安全

pcrf策略和计费规则功能

prn提供漫游号码

ss77号信令系统

stp信号传输点

tcap事务处理能力应用部分

ul上行链路

vlr访客位置寄存器

典型的攻击是修改用户简档以进行欺诈的那些攻击，或者是引起针对网络节点或用户拒绝服务的那些攻击。这些攻击例如通过众所周知的层1网络运营商diameter清除/重置命令使用/错误负载均衡消息等已经在自然环境下被观察到。

由于大量的攻击(例如，对于一个命令，大型亚洲层1运营商在3个月内遭受超过9百万次的攻击)。运营商评估法律和技术途径，以识别和惩罚行为不端的互连合作伙伴。那些行为不端的合作伙伴引起了大规模的负载(和潜在的节点中断)、用户数据(例如，加密密钥、位置)的丢失和泄漏，对用户欺诈和服务不可用。在这些讨论中的主要障碍是攻击消息可能不当使用行为良好的合作伙伴的标识而该合作伙伴受到指责(并受到错误的惩罚)。

针对这个问题需要一种解决方案，至少因为：如果该问题未得到解决，则至少在没有运营商责任的情况下没有互连。如果不能合理地肯定，就不能引入任何惩罚或责任以至于不小心惩罚错误的一方。另一方面，如果不当使用互连而没有任何后果，那么攻击者或行为不端的运营商凭什么要停止他们的行为。

附图说明

当结合附图阅读时，本发明的实施例的前述和其它方面在以下详细描述中更加显而易见，其中：

图1示出可被配置为执行根据本发明的一些实施例的操作的设备的简化框图；

图2示出根据本发明的示例性实施例的用于直接互连攻击的场景和解决方案；

图3示出根据本发明的示例性实施例的用于间接/中转互连攻击的场景和解决方案。

具体实施方式

在本发明中，我们提出至少一种方法和装置以转移通过运营商网络之间的互连而来的攻击。

本发明的示例性实施例用于转移通过运营商网络即grx/ipx或ss7之间的互连而来的攻击。所描述的示例性实施例侧重于lte和5g互连场景，但这不限于此并且也适用于4g、3g和2g。根据示例性实施例的相同安全解决方案也可应用于诸如ss7的传统方法并且与之兼容。

本发明的示例性实施例用于诸如在以下时候转移通过运营商网络之间的互连而来的攻击：

-攻击者使用合作伙伴运营商的标识并执行不需要回答而被正确路由的攻击(例如，修改用户账户的互连欺诈、dos攻击)；

-被攻击的运营商随后向他的合作伙伴运营商投诉，但该合作伙伴运营商不知道任何事情，因为他没有发送任何消息；

-该合作伙伴运营商随后可能只会发现一些奇怪的“确认”消息，而他并未发送请求。这种消息通常被一些其它网络视为配置错误并被静默地丢弃。

本发明的示例性实施例提供了一种机制和协议使用，合作伙伴运营商如何能够自动向被攻击的运营商通知攻击正在进行，从而通过提高意识来指示他不是攻击消息的真实来源。根据示例性实施例的操作还描述了如何过滤和处理消息，以允许快速攻击检测并减少财务损失，或者防止针对用户的dos以及针对网络节点的dos。此外，当你具有中间方(互连性提供商)是传输路径的一部分时，我们将描述该机制如何工作。

现在，在进一步详细描述本发明的示例性实施例之前参考图1。如图1中所示，边缘节点24包括其自己的处理装置，诸如至少一个数据处理器(dp)24a，诸如存储有至少一个计算机程序(prog)24c的至少一个计算机可读存储器(mem)24b的存储装置，以及用于经由其天线24f与设备内部节点20、和/或运营商节点21或任何其它网络设备进行双向无线通信的诸如发射机tx24d和接收机rx24e的通信装置。边缘节点24在其mem24b中存储处理代码，以供消息处理器块24g用来执行使能转移攻击的方法，诸如通过内部节点20和运营商节点21的运营商网络之间的互连而来的攻击。边缘节点通常是stp、dea、dra或dpa。但是，它也可能是一些核心网络节点直接连接到互连网络。

类似地，运营商节点21包括诸如至少一个数据处理器(dp)21a的处理装置，诸如存储有至少一个计算机程序(prog)21c的至少一个计算机可读存储器(mem)21b的存储装置，以及诸如用于经由一个或多个天线21f与图1的边缘节点24和内部节点20以及其它装置或其它网络设备进行双向无线通信的发射机tx21d和接收机rx21e的通信装置。运营商节点21在其本地mem21b和/或其消息处理器块21g中存储用于信号处理的计算机程序代码。这种信号处理，例如，如本文所描述地基于其接收的数据分组来执行攻击检测和潜在的反应操作，并利用这种处理来检测和停止这种载波通信攻击。

内部节点20包括诸如至少一个数据处理器(dp)20a的处理装置，诸如存储有至少一个计算机程序(prog)20c的至少一个计算机可读存储器(mem)20b的存储装置，以及诸如用于经由一个或多个天线20f与边缘节点24和运营商节点21或任何其它通信设备进行双向无线通信的发射机tx20d和接收机rx20e的通信装置。rx20e和tx20d各自被示出为包含在射频前端芯片中，这是一个非限制性的实施例。内部节点20还在mem20b中在消息处理器块20g处存储有计算机程序代码，以执行如本文所讨论的用于攻击检测和消除的一些示例性操作。

此外，出于示例性目的在图1中示出了云200，攻击者10可以使用云200来针对诸如如图1中所示的内部节点20、边缘节点24和/或运营商节点21的网络单元或者它们的网络发起攻击命令22。应注意，云200可以包括其它节点，诸如其它网络运营商的节点或者甚至与正遭受攻击的网络运营商相同的网络运营商的节点。此外，应注意，攻击的源可能来自任何位置，可能或可能没有受攻击的任何网络的外部或内部。可以从连接到互连网络的任何节点发起攻击。可以经由已接入互连网络的妥协节点发起攻击。此外，应注意，攻击可以通过连接网络或连接互连提供商的通信路径，包括海底电缆连接、有线陆线连接或者这两者，例如通过bgp路由攻击。应注意，攻击者可以从其发起攻击的节点可以位于具有通信能力的任何类型的电子设备中。这种节点可以是但不限于蜂窝电话、计算机(例如，膝上型计算机、台式计算机或服务器)、和/或个人数据助理，仅列举几个。此外，应注意，指示攻击命令22的虚线箭头可以使用任何类型的有线和/或硬连线连接。

根据本发明的一些实施例，可以存在通过如箭头25和26所指示的连接的信息通信，其可以由边缘节点24、内部节点20和/或运营商节点21使用以执行根据一些实施例的消息处理操作。此外，该信息可以包括如根据本发明的示例性实施例的信令、消息和通信检查。应注意，箭头25和26是内部节点20、运营商节点21和/或边缘节点24之间的连接的非限制性表示。根据示例性实施例，诸如由箭头25和26所指示的这些连接可以包括任何类型的硬连线、无线、卫星和/或电子电路连接(例如，这些设备的内部和/或外部的电路连接)。此外，尽管内部节点20、运营商节点21和/或边缘节点24被示出为单独的实体，但是这些设备中的任何一个可以在相同的网络中或者在不同的网络中。

此外，在本发明的一些实施例中，本文所公开的每个步骤——包括互连攻击检测和消除，可以基于内部节点20、运营商节点21和/或边缘节点24所检测和/或共享的信息，或者基于经由天线20f、21f和/或24f以及相关联的接收机rx20e、21e和24e而接收的信息。来自内部节点20、运营商节点21和/或边缘节点24中的任何一个或多个的这种信息可以由相应的设备内部节点20、操作节点21和/或边缘节点24中的prog20c，21c和/或24c中的至少一个来进行处理和执行。假设prog20c、21c和/或24c中的每一个都包括程序指令，这些程序指令当由相关联的dp20a、21a和/或24a执行时使得设备能够根据本发明的一些实施例进行操作以执行如本文详述的操作。消息处理器块20g、21g和24g可以总结来自执行不同的有形存储的软件的不同结果，以实现这些教导的某些方面。在这些方面，本发明的一些实施例可以至少部分地由存储在mem20b、21b和/或24b上的计算机软件(计算机软件可以分别由dp20a、21a和/或24a来执行)实现，，或者由硬件实现，或者由有形存储的软件和硬件(以及有形存储的固件)的组合来实现。在典型的实施例中，对抗软件会被安装在边缘节点中。但是，如果一些运营商直接连接到互连网络，或者如果他们想要检测自己网络内部潜在的安全漏洞，那么他们可能希望直接在核心网络中(例如，hss、hlr、mme)也安装这种机制。

此外，尽管图1的虚线20dl、21dl和24dl指示了内部节点20、运营商节点21和/或边缘节点24的消息部分，但是这些组件及其操作可以与图1的边缘节点24、内部节点20和/或操作节点21的至少处理器和/或存储器分离。边缘节点24、内部节点20和/或运营商节点21的rx24e、tx24d和天线24f；rx20e、tx20d和天线20f；rx21e、tx21d和天线21f中的每一个对于根据本发明的一些实施例的操作并非必不可少的。根据本发明的非限制性实施例，边缘节点24、内部节点20和/或运营商节点21可以连接到提供实际用户服务和外部无线部分以用于经由诸如集成电路的电路发送或接收信令的其它节点。

实现本发明的一些方面的电子节点无需是如图1所示的整个节点，但一些实施例可以由诸如上述有形存储的软件、硬件、固件的相同的一个或多个组件实现，并且数据处理器，例如功能的一部分可以在边缘节点中实现而一部分在另一个核心网络节点(例如，hss)中实现。

图2示出了可以通过根据示例性实施例的操作而被停止的直接攻击场景。如图2中所示存在一个网络，运营商1位于其中。如图2中所示，存在攻击者10、运营商21和内部节点20。如图2中所示，内部节点20经由边缘节点24连接到运营商节点21。

第一非限制性直接攻击场景，其中，示例性实施例可以发挥优势，包括：

1.攻击者已接入互连网络(漫游互连)并向运营商1(受攻击的运营商，在附图中的较低云)发送攻击命令，该运营商不需要回答而进行工作，例如diameter清除消息(针对用户的dos)、diameterul(针对用户的dos)、diameterisd(欺诈、针对用户的dos、窃听)、map删除用户(针对用户的dos)、重置消息(dos网络)、prn(dos网络)。攻击者可以通过使用例如合作伙伴运营商2的起源领域(对于信令传输(sigtran)是ip地址欺骗，对于ss7是全局码)的标识来进行其发送者身份欺骗。这些标识和所需信息，攻击者可以经由漫游协议的新闻发布和对静态ip地址的ip地址扫描而发现，关于ir.21漫游的文件是偶然在因特网上发现的。所述标识可以是：ip地址、领域标识、主机标识、全局码(取决于底层协议)或者其中的组合。

2.接收消息的运营商1(受攻击的运营商)的边缘节点错以为该消息是来自合作伙伴，因为消息中的标识指示该消息的来源是合作伙伴，例如，消息中使用的起源领域avp是该合作伙伴的avp，并且运营商没有在其互连上使用可靠的源认证(例如，ipsec)。因此，边缘节点或受攻击的运营商1将消息转发到内部节点，例如，mme、hss、sgsn、pcrf。假设通过伪装成合作伙伴，攻击者可以绕过边缘节点的领域检查等。边缘节点24包括dea、dra、dpa或stp，但原则上它可以是hlr、hss、msc、vlr或mme(出于安全性，不建议将核心网络节点直接插入互连网络，但出于性能原因或者由于他们共享其若干网络的网络节点的国际网络设置，一些运营商将其核心网络节点直接插入互连)。

3.内部节点，例如，mme、hss或者无论针对哪一个，按需响应请求(例如，删除用户信息)，并且根据3gpp规范所要求的来确认消息(ack确认消息)。

4.证实消息然后被发送到合作伙伴运营商2(由于步骤1中的欺骗发送者身份)。然后，该合作伙伴收到一条奇怪的消息，他并没有针对其发送任何请求。通常，此消息将被静默地丢弃，并被视为合作伙伴网络的误配置。为此本发明旨在提供实质性的改变和改进。

例如在gsmarifs组中，运营商交换有关如何执行攻击以及如何对抗这些攻击的信息。上面提及的示例是一个非常典型的攻击场景，因为它允许攻击者将“指责”转移给另一个运营商。然后，另一个合作伙伴运营商会被怀疑，但这个合作伙伴却不知道发生了什么(当然他们没有发送任何消息，而只得到被丢弃的“确认”消息)。通过当前的方法，发现针对第一个运营商的欺诈需要相当长的时间。本发明的示例性实施例在不破坏互连系统的情况下非常快速地瞄准并检测这种欺诈或攻击。在本文档中介绍的检测方法可以逐步容易地添加到现有的全球系统中，而不需要大量投资或基础设施。

根据本发明的示例性实施例，用于根据示例性实施例的解决方案的处理步骤可以包括在运营商2处的合作伙伴节点接收确认或证实消息，然后执行以下步骤：

1.检查是否存在与该确认消息有关的传出消息(例如，通过相关性id、tcap标识符、imsi、icc_id、msisdn，发送标识和/或其它标识符进行搜索)；

2.如果没有发现传出消息，则合作伙伴运营商接受确认消息并将其发送回运营商1边缘节点。但是应用了以下改变(这允许受攻击的运营商识别出他已被攻击)：

-上层中的发送标识(例如，gt/领域)地址(例如，不是更低层标识，例如，ip地址，tcapid)将是运营商1(受攻击的运营商)；

-上层中的接收标识地址将是运营商2(刚收到确认消息的无辜的合作伙伴运营商)；

3.在运营商1(受攻击的运营商)处的接收节点现在将看到一条消息，其中，ip领域和发送标识不匹配，并且看起来好像该消息来自它们自己。所以他立即知道事情有些奇怪。可以调整防火墙或过滤软件中的边缘节点过滤规则以检测这种“不匹配”并发出警报。现今，配置是丢弃那些消息。如果部署了层匹配软件，则需要进行扩展(例如，ss7防火墙产品、dea过滤引擎)以识别该“镜像消息”需要被标记而不仅仅是被丢弃。这种方法允许识别出第一个攻击消息，而现今当前的系统需要人工交互(电子邮件、呼叫等)来识别正在发生什么，这通常使攻击者有机会攻击后逃脱。然后，针对以下中的至少一个或多个来进一步分析运营商1所接收的消息：

a.谁发送了它(上层标识给出真正的发送者，即运营商2)；

b.里面是什么消息(确认)；

c.在运营商1自己的边缘节点(例如，dea节点)中，之前就在那儿的对应的消息是什么(发现攻击者消息)？并且可能地，针对潜在的起诉而检索、分析并存储路由记录或其它信息；

d.系统发现正在进行的攻击并且可以阻止该攻击(例如，将imsi列入黑名单，或者将从路由表中去除的ip列入黑名单)。

此外，根据本发明的示例性实施例，可以存在可应用的变形。可能的变形包括：

1.延迟某些动作，并且仅在应用了安全时段之后释放命令(并且没有接收到上述这种消息)；

2.在接收到上述这种消息后，缓存用于某些命令的数据并且重新安装；

3.接收运营商不会再次发送或镜像此消息以避免竞争条件(错误消息的乒乓操作)；和/或

4.该消息可能具有附加字段，该附加字段确认该消息的完整性，并且由合作伙伴运营商或互连提供商签名(见下文)。

图3示出了根据示例性实施例的用于另一个攻击情形的间接互连场景和解决方案。在该场景中，传入的攻击消息是经由互连提供商而发送的。如图3中所示，存在运营商1网络，内部节点20位于其中，并且其与运营商21网络的合作伙伴节点210进行通信。内部节点20经由边缘节点24和ipx提供商30连接到合作伙伴节点21。此外，在图3中示出了经由ipx提供商30(ipx30)而连接的攻击者10。即使图3仅示出了一个互连提供商和路由器(例如，dra)，但在消息通信中可能涉及若干互连提供商和路由器。

如图3中所示，攻击步骤可以包括：

1.攻击者10伪装成合作伙伴，并经由ipx30向运营商1发送消息；

2&3.这些消息经由边缘节点24被转发到内部节点20，其中，将根据示例性实施例来处理这些消息。应注意，边缘节点24可以包括边缘节点dea和/或stp中的任何一个；并且内部节点可以包括mme、hss和/或hlr或其它核心网络节点；

4.在该步骤中，运营商1的内部节点20或边缘节点24处理这些消息，并且针对消息的确认或证实被发送到合作伙伴节点210。如上类似地所述，证实消息然后由于步骤1中的欺骗合作伙伴身份而被发送到合作伙伴节点210。

根据本发明的示例性实施例，根据示例性实施例的解决方案的处理步骤包括在运营商2处的合作伙伴节点接收确认消息，然后执行以下步骤：

1.检查是否存在与该确认消息有关的传出消息(例如，通过相关性id、tcap标识符、imsi、icc_id、msisdn、发送标识和/或其它标识符进行搜索)；

2.如果没有发现传出消息，则合作伙伴运营商接受确认消息并将其发送回运营商1边缘节点。但是应用了以下改变：

-上层中的发送标识(例如，gt/领域)地址(例如，不是更低层标识，例如，ip地址、tcapid)将是运营商1(对于由ipx进行替换的情况，可能插入了若干发送标识，并且只有第一个发送标识将被替换)；以及

-上层中的接收标识地址将是运营商2；

3.运营商1处的接收节点现在将看到一条消息，其中，ip领域和发送标识不匹配，并且看起来好像该消息来自它们自己。现今，配置是丢弃那些消息。如果部署了层匹配软件，则需要进行扩展(例如，ss7防火墙产品、dea过滤规则引擎)以识别该“镜像消息”需要被标记而不仅仅是被丢弃。然后，针对以下中的至少一个或多个来进一步分析该消息：

a.谁发送了它(上层标识给出真正的发送者，即运营商2)；

b.里面是什么消息(确认)；

c.在运营商1自己的dea节点中，之前就在那儿的对应的消息是什么(发现攻击者消息)？并且可能地，针对潜在的起诉而检索、分析并存储路由记录或其它信息；以及

d.系统发现正在进行的攻击并且阻止该攻击(例如，将imsi列入黑名单，或者将从路由表中去除的ip列入黑名单)。

此外，根据本发明的示例性实施例，可以存在可应用以进一步改进系统的变形。可能的变形包括：

-延迟某些动作，并且仅在应用了安全时段之后释放命令(并且没有接收到上述这种消息)；

-在接收到上述这种消息后，缓存用于某些命令的数据并且重新安装；

-接收运营商不会再次发送或镜像此消息以避免竞争条件(错误消息的乒乓操作)；和/或

-该消息可能具有附加字段，该附加字段确认该消息的完整性，并且由合作伙伴运营商或互连提供商签名。

本发明的实施例可以由计算机软件实现，该计算机软件可由诸如图2和/或图3中的运营商节点21、边缘节点24和/或内部节点20的网络设备的数据处理器来执行。诸如图2和/或图3中所示的消息处理器20g、21g和/或24g的数据处理器可以通过软件、或者通过硬件，或者通过软件和硬件的组合来实现。应注意，这些设备中的任何一个可以具有多个处理器(例如，rf、基带、成像、用户接口)，其以与主处理器的从属关系进行操作。本教导可以采用任何单个处理器或者这些多个处理器的组合来实现。

如在图2和/或图3的设备中，存储器20b、21b和/或24b可以是适合于本地技术环境的任何类型，并且可以使用任何适合的数据存储技术来实现，诸如基于半导体的存储器节点、磁存储器节点和系统、光存储器设备和系统、固定存储器以及可移动存储器。如图2和/或图3中的数据处理器20a、21a和/或24a可以是适合于本地技术环境的任何类型，并且作为非限制性示例可以包括通用计算机、专用计算机、微处理器、数字信号处理器(dsp)以及基于多核处理器架构的处理器中的一个或多个。

通常，各种实施例可以采用硬件或专用电路、软件、逻辑或其中任何组合来实现。例如，一些方面可以采用硬件实现，而其它方面可以采用固件或软件实现，所述固件或软件可以由控制器、微处理器或其它计算设备执行，但是本发明不限于此。虽然本发明的各个方面可以被示出并描述为框图、流程图、步骤，或者使用一些其它图形表示，但是应当很好地理解，在本文中描述的这些步骤、装置、系统、技术或方法可以采用非限制性示例、硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或其中某些组合来实现。

可以在诸如集成电路模块的各种组件中实践本发明的实施例。集成电路的设计总体上是高度自动化的过程。复杂且功能强大的软件工具可用于将逻辑级的设计转换为准备在半导体衬底上蚀刻和成形的半导体电路设计。

前面的描述已经通过非限制性示例的方式提供了发明人当前设想的用于实施本发明的最佳方法和装置的完整和详尽描述。然而，当结合附图和所附权利要求进行阅读时，鉴于前面的描述，各种修改和调整对于相关领域的技术人员而言将变得显而易见。然而，本发明的教导的所有这些和类似的修改仍将落入本发明的范围内。

应当注意，术语“连接”、“耦合”或其任何变形是指两个或更多个元件之间的直接或间接的任何连接或耦合，并且可以涵盖在被“连接”或“耦合”在一起的两个元件之间的一个或多个中间元件的存在。元件之间的耦合或连接可以是物理的、逻辑的或其组合，以允许消息朝向彼此传送。如在本文中所使用的，作为若干非限制性和非穷举性示例，通过使用一个或多个电线、电缆和/或印刷电连接，以及通过使用卫星连接、海底电缆、电磁能(诸如具有在无线电频率区域、微波区域和光学(可见和不可见两者)区域中的波长的电磁能)，两个元件可视为被“连接”或“耦合”在一起。

此外，可以使用本发明的优选实施例的一些特征而无需对应地使用其它特征。因此，前面的描述应当被认为仅仅是对本发明的原理的说明，而不是对其进行限制。