防止3g無線網絡被信令攻擊的方法和設備的製作方法

2023-05-04 17:41:01 4

專利名稱：：防止3g無線網絡被信令攻擊的方法和設備的製作方法防止3G無線網絡被信令攻擊的方法和設備
背景技術：
拒絕服務(DoS)攻擊繼續提供了巨大的挑戰，實際上，網際網路上攻擊的頻率和數量一直在穩定的增長之中。有很多廣為人知的攻擊，諸如2000年2月攻擊包括Yahoo、CNN、EBay等著名網站的那次攻擊，以及近期攻擊根域名伺服器(DNS)的攻擊等。典型地，DoS攻擊涉及通過給節點發送超過其處理能力的大量業務，將受到折磨的節點在攻擊持續期間從網絡中除去。更為複雜的攻擊是分布式的DoS攻擊(DDoS)。試圖發起DDoS的攻擊者通過使用廣為人知的安全漏洞暗中破壞一些節點開始。這些被危及安全的節點基本上將變為攻擊者的從屬設備，並作為拒絕業務進入網絡的發起點。通過召集合理數量的被危及安全的節點，並從多個發起點發起一連串業務，攻擊者甚至可能發起一個大規模的網絡側的攻擊。為了應對DoS攻擊，提出了4艮多的解決方案，目前，4氐舉PDoS攻擊的現有方法包括防火牆(例如Cisco的PIX路由器，Netscreen，Checkpoint的Firewall-l)，修改以支持回推、回溯機制的路由器，可以試圖檢測攻擊源以及相關的入侵檢測機制，以尋找到達業務的異常之處或籤名。這些方法中的一些方法需要對現有網絡單元做出重大改變，並花費較大的代價去部署，另外一些方法要求通過ISP的配合，可能不易實現。不管如何，這些方案確實減少了有線網絡DoS攻擊的威脅，例如，許多防火牆不允許從外部發起連接，以此防止DoS洪泛式的攻擊。另一方面，無線網絡要比有線網絡脆弱的多。無線網絡中有一些弱點可以;陂新的DoS攻擊利用*有限的無線鏈路帶寬與無線鏈路的低容量相組合的資源稀缺使得它成為DoS非常容易攻擊的目標。實際上，攻擊者的工作變得比有線情況更加簡單，因為只需要很少的業務(即相對較低的量)即可使無線鏈路過載。另外，相對較低的業務量也增加了檢測無線DoS攻擊的困難。*處理開銷典型地，3Glx或UMTS網絡具有一些基礎設施單元，以執行一系列的功能，例如功率控制、資源分配、尋呼等。這些針對每個行動裝置的活動也涉及無線電網絡控制器(RNC)和基站。在快速切換過程中，這些設備需要的開銷非常巨大。進一步，這些設備只是被典型的設計成處理處於帶有同時有效的一定數量的用戶的負載。因此，過載是任何無線基礎設施的一個非常重要的考慮因素。*有限的功率供給另外一個限制因素是無線網絡中的行動裝置通常都是由電池供電的，電池有限的使用壽命使行動裝置成為一系列攻擊的目標，這些攻擊只要使行動裝置執行過多的功率消耗活動而耗盡其能量即可。這可以迫使行動裝置無法工作。*多目標在無線網絡DoS攻擊中，因為4艮多無線基礎i殳施和行動裝置都可以很容易的被攻擊，這使得攻擊者有更多的靈活性。同一個攻擊現在可以以多個行動裝置為目標，或者單獨攻擊每一個行動裝置，或者瞄準整個無線基礎設施以獲得廣泛的效應。進一步，像lxEV-DO支持永遠在線能力的新體系架構也增加了受攻擊的概率。一個發起特定於無線DoS攻擊的攻擊者可以非常容易的利用這些弱點。另外，無線攻擊的副產品是一旦攻擊到達行動裝置後，就已經太晚了。在有線網絡DoS攻擊中，伺服器要花費一定量的時間才能使其無法工作，因為這些機器與無線端點(行動裝置)相比擁有更大的處理能力。與之相反，行動裝置僅有有限的處理能力和電池壽命。另夕卜，與有線網絡相比，無線鏈路的帶寬嚴重受限，如果來自攻擊的業務到達行動裝置，那麼這個攻擊已經成功的耗費了無線鏈路、無線基礎設施以及行動裝置的電池能量的關鍵資源。這是與典型的有線網絡DoS攻擊相反的，有線網絡攻擊必須過栽伺服器的處理資源才能成功。因此，需要提供可以檢測、防止和抵禦針對3G無線網絡及類似攻擊的方法和設備。特別的，需要提供可以檢測、防止和抵禦針對UMTS、CDMA2000及其它3G無線網絡發起類似DoS攻擊的方法和設備。圖l描述了UMTS無線網絡體系架構的實例。圖2描述了與圖1的UMTS無線網絡相關的消息流程的實例。圖3a和3b描述了針對信令攻擊造成的可能影響的示例仿真。圖4描述了在3Glx無線網絡中建立基本信道的示例步驟。圖5描述了3Glx無線網絡體系架構的實例。圖6描述了根據本發明的一個實施例檢測和防止信令攻擊的體系架構的實例。具體實施方式3G無線網絡需要在行動裝置與相關無線基礎設施之間建立(即設置)專用信道，用以傳輸數據。為了建立所述信道，需要在行動裝置與無線基礎設施的單元之間傳送信令消息。信令攻擊試圖利用這些信令的本質，使無線基礎設施過栽。UMTS網絡中的信令攻擊首先，對UMTS體系架構做一個簡單的介紹。然後，概述建立數據信道需要的信令以及UMTS網絡受到信令攻擊的弱點。圖1示出了典型的UMTS無線網絡的體系架構。存在著多個組分，從網關GPRS支持節點(GGSN)開始，GGSN是一個GPRS網絡實體，用於在服務GPRS支持節點(SGSN)和網際網路之間起到無線網關的功能。另外，GGSN與外部網絡上的認證伺服器以及DHCP伺服器相接口，用於動態地址分配。當行動裝置或用戶成功的認證並註冊到網絡，點對點(PPP)的連結就建立在GGSN與行動裝置之間。除了維護行動裝置的定位及認證的相關信息，SGSN還負責向行動裝置發送數據或從其接收數據。典型地，存在多個SGSN，其中每一個都服務物理地處於它們的服務區域中的GPRS用戶。無線電網絡控制器(RNC)也被稱為基站控制器(BSC)，是無線鏈路層協議終結的點。RNC在通過基站(BS)進行通信的無線設備與網絡邊緣之間提供接口。這包括對BS設備中的無線電收發器進行控制和管理，包括無線電資源控制、準入控制、信道分配、以及類似於BS之間切換管理任務和判定功率控制參數。BS的功能包括無線鏈路的傳輸/接收、調製/解調、物理信道解碼、差錯處理和功率控制。在分層的體系架構中，多個移動i殳備與RNC通信，多個RNC與GGSN/SCSN通話。現在描述為建立信道進行資源分配的UMTS信令控制流程。基本上，當數據到達用戶時，UMTSRNC需要與用戶的基站建立無線電接入承栽(RAB)。RAB是數據傳輸的信道，當它處於待用狀態達到超時周期後被釋放。對於建立及釋放RAB，需要在RNC、行動裝置和基站之間交換大量的消息。這對RNC是一個巨大數量的開銷，並將在信令時間間隔中引起嚴重的處理開銷。圖2示出了在RNC、基站和行動裝置之間消息流程的實例。基本上，對於每一個數據呼叫，大量的消息將在行動裝置和RNC之間交換。當RNC不是其中這些消息中的一些的終結點時(被稱為非接入層或NAS消息)，RNC需要將這些消息轉發至核心網中的最終目的地(例如PDSN)。無線資源控制(RRC)消息類似RRC的消息用於為行動裝置功率測量建立/釋放無線電信道，傳輸尋呼消息、廣播信息等。RRC的建立導致專用信令信道的生成，這是從行動裝置傳輸數據或向行動裝置進行數據傳輸的第一步。這需要在RNC與行動裝置之間交換6條消息。之後，在行動裝置與核心網之間交換一系列的消息，用以i人證、建立上下文，包括與PDSN的PPP連接以及IP位址的分配。對於控制安全模式，在RNC、核心網與行動裝置之間交換另外的4條消息，從而交換密鑰以保證用於給定用戶的上下文的安全。最終，RAB的建立需要再RNC交換另外的8條消息(2個與核心網，3個與行動裝置，3個與基站)，總共產生24條消息，以建立與RNC的單個RAB(不包括RNC內不同單元之間的消息交換)。需要注意的是，後續的RAB建立不再需要執行RRC信令信道的建立，但是，使用控制安全模式將可能需要重新認證行動裝置。根據行動裝置的定位，所謂軟切換需要向行動裝置具有最強信號的主節點增加支路(leg)或基站。這將需要在RNC交換的另外4條消息(2條與行動裝置，2條與主基站)。最終，在傳送之後，行動裝置可以發起RAB和RRC連接的拆除，這由Iu釋放功能發起。這需要在RNC交換的總共11條消息(2條與核心網，4條與行動裝置，5條與基站)。這個數目同樣不包括RNC內處理的消息，所述消息也被歸屬於RNC的總負載中。如果行動裝置與其核心網絡之間不存在數據交換，行動裝置處於掛起狀態。在此狀態下，空中鏈路資源被釋放並分配給其它有效的行動裝置，這需要4條消息(2條與核心網，2條與基站)。然而，上下文仍然保留在RNC中，行動裝置保留它在RRC/RAB建立期間獲得的IP位址。行動裝置可以利用分組呼叫上下文恢復消息(另外的2條消息與核心網交換)被重新激活(2條消息與RNC交換)，只要未發生5秒鐘的空閒超時周期。弱點及攻擊的本質攻擊者通過基本上觸發RNC與BS之間的過量信令消息交換，可以利用建立RAB所需的重負載信令開銷。這可以通過在合適的時間周期內發送少量的突發來實現，以使得正好在RAB由於待用而拆除後，來自攻擊者的突發到達以觸發新RAB的建立。通過需要過量的信令消息，這種頻繁的建立/釋放可以非常容易的使RNC過載。需要注意的是，攻擊者可以相對容易的獲取行動裝置的IP位址。無線服務提供商典型地分配一系列連續的IP位址，這使攻擊者非常容易僅僅通過假裝作為合法的用戶就可以猜到地址的有效範圍。值得注意的是攻擊的兩個顯著特徵。如前所述，一個是由於攻擊中平均傳輸的速率較低(周期性發送的小突發)，使得現有檢測機制很難將業務與惡意數據分開。這種低容量也讓攻擊者很容易發起攻擊，不像傳統DoS攻擊一樣甚至需要攻擊者侵佔上千個主機才能發動一次攻擊。而且，每個行動裝置只需要發送一個分組即可以使攻擊者獲得一個廣泛的、散布的影響，以及複雜的檢測。攻擊導致的破壞所述攻擊導致的破壞可以嚴重到使合法的業務由於被RNC丟棄而無法接收資源分配。RNC也能被導致過載，有效的拒絕大量用戶的業務。另外，RNC,皮設計成處理一定量連續有效的行動裝置/用戶(實際中為10%)。這種攻擊的低容量特性使得攻擊者非常容易超過這個數目。信令攻擊的另外一個影響是可能會耗盡行動裝置的電池。通常為了省電，當沒有分組被發送或接收時，行動裝置切換到低功耗的空閒或休眠狀態。因為少量突發被周期性發送，將迫使行動裝置保持更長時間的有效狀態，在更糟的場景中，行動裝置可能永遠不被允許進入休眠狀態，導致其電池快速耗盡。發明人攻擊帶來的影響進行了仿真，其中一些結果如圖3a和3b所示。圖3a示出了基站控制器的負載伴隨著一系列的攻擊隨時間變化的結果。圖3b示出了呼叫建立延時隨著時間的變化(此時延定義為呼叫到達直到資源分配的時延)。圖3a和3b所示的結果表明了攻擊帶來的巨大影響，僅通過發送6。/。的攻擊業務，RNC的負載可能會增加5倍，從15%上升到75%。這也將導致呼叫建立時延增加5倍，將會更加破壞用戶的信心，特別是對推銷實時服務的提供商。只要發送大約10%的攻擊業務就可以很容易的使RNC過載。調整一下，如下是針對3Glx體系架構(例如CDMA2000)及其信令的簡要描述。3Glx體系架構圖5描述了一個典型的3Glx無線網絡的體系架構。PDSN可能是一個路由器，起到整個無線網絡內所有用戶行動裝置/終端收發數據流的網關的作用。當行動裝置或用戶成功認證並在網絡中註冊後，PPP鏈路將在GGSN與用戶/行動裝置之間建立。在通往PDSN的路徑上，有3個設備是無線基礎設施的典型部分。RNC和BS與UMTS中的對應物有相同的功能。在這種分層體系架構中，多個行動裝置與基站通信，多個基站與RNC通信，多個RNC與PDSN通話。3Glx信令在3Glx網絡中，資源分配存在著類似的問題。UMTS網絡中RAB的等同物是基礎信道(FCH)，該基礎信道需要在傳送數據時建立。圖4中示出了FCH建立的典型步驟。當PDSN接收行動裝置的數據時，它尋呼該行動裝置。一旦接收到尋呼消息的成功響應(3條交換的消息)，基站發起與行動裝置建立FCH或業務信道(交換8條消息)。並行地，在基站與RNC之間作出的服務請求需要4條消息。RNC也被預期向核心網轉發消息，這種情況下需要認證用戶。這將導致另外的6條消息。最終，在RNC與PDSN之間交換2條另外的消息，用以計費的目的。一旦完成上述事情後，就存在向行動裝置傳送數據或從行動裝置接收數據的有效信道。呼叫釋放遵守相反的進程，需要從RNC向PDSN和基站交換7條消息，在基站與RNC、PDSN和行動裝置之間交換8條消息。總共BS需要生成或接收29條消息，RNC需要生成或接收另外的13條消息，除此之外，RNC負責向核心網轉發9條消息。典型地，每個用戶被分配一個主支路，當呼叫第一次建立時所述主支路充當轉發的基站。某些場景中，將針對一個長期連接使用一個另外的基站，稱為錨定支路。這個支路可以與主支路有明顯區別，並且被定義為帶有到行動裝置的最強信號的基站。錨定支路負責當9.6KbpsFCH上存在容量不足時，判定何時分配輔助信道(SCH)。如果超過FCH的容量的突發形式的過量數據，資源將被按需分配，以為每個用戶生成SCH。這將在錨定支路之間交換附加的16條消息，RNC與其它基站(為了軟切換)將導致錨定支路的類似的弱點，用以輔助信道分配和釋放。雖然針對錨定支路的攻擊潛在的可能比攻擊RNC要少一些擴大的破壞，但是其影響仍然將非常嚴重，將導致無線服務提供商收入的明顯損失。如果攻擊者能夠影響到多個錨定支路，那麼這種危害將更加放大。攻擊者甚至能夠以屬於特定錨定支路的用戶為目標。需要注意的是，如果攻擊者僅僅發送隨機尋址的突發，那麼這種危害可能仍然會很嚴重。即使單個的錨定支路並不管理正在接收突發的用戶，RNC仍將會由於與多個錨定支路的交互而導致過栽。為了防範並抵禦攻擊，發明人認識到需要所謂的無線狀態的知識，特別是在業務橫穿無線網絡時的信令代價。這使得一旦開始引入過度的信令代價，就可以識別惡意業務。根據涉及的無線基礎設施，信令代價可以通過多種不同的方式獲得。理想情況下，當無線單元對所述詢問提供接口時，準確的信令代價可以通過對無線單元，例如RNC和基站進行詢問而獲得。然而，當前3G無線網絡沒有這樣一個接口，因此需要修改以支持這樣的詢問。然而，改變現有基礎設施與已經花費在網絡擁有者/運營商的投資量相比，不是一個可行的方案。發明人發現了一種簡單新穎的機制，可以在假設滯銷信令呼叫的情況下，從業務到達模式中估算出信令代價。本發明提供了一種使用這樣估計的信令代價來檢測攻擊的方法與設備。如上所述，如果無線單元提供一個供詢問使用的接口，信令代價可以通過簡單的詢問來獲得。此外，挑戰在於沒有所述無線單元輔助的情況下，如何去獲得代價。在本發明的一個實施例中，信令代價可以根據業務到達方式估計。這需要知曉無線單元內部信令協議。表1示出了根據本發明的一個實例，在UMTS網絡中估算信令代價的技術實例(由於RAB的建立/釋放)。本發明範圍內相似的技術可以根據本發明的備選實施例，用於估算CDMA2000網絡的其它類型的信令代價。表ltableseeoriginaldocumentpage12如果目的RAB已經被釋放，本發明基於分組的到達，利用目的移動i殳備必需重建RAB的事實。這種重建產生了用於建立新RAB、且由於空閒定時器期滿而釋放以前的RAB而導致的附加代價；本發明提供的技術可以檢測到此代價。雖然實際傳送的數據量較低，但是檢測到過量的或附加的信令代價可以作為正在進行的信令攻擊的可靠標記。在繼續之前，需要注意的是，攻擊者可以洪泛式的使用大量的業務攻擊網絡，從而引起很大的信令代價。然而，相對來說，這樣的攻擊很容易被現有的防火牆或者入侵檢測機制檢測到。針對低容量的攻擊，需要一種更加準確的檢測度量。根據本發明，被稱為信令代價與數據比率的靜態測量被用作檢測度量。如果這個比率超過某一的筒表化後的門限，則信令攻擊會被檢測到，並且來自攻擊源的惡意業務/分組將被阻塞。本發明的另一個實施例中，如果從同一個攻擊源中檢測到多個攻擊，則來自該攻擊源的惡意業務/分組等都將被阻塞，但是來自其它源的業務被允許通過。也可以使用一些其它的入侵檢測機制減少偽告警的機會。根據本發明的示例方法，確定業務是否屬於攻擊的第一步是為後續的比較設定門限。這應該特定於用戶/應用。這個門限值可以通過在預處理時間周期內簡表化用戶/應用來選擇。在所述時間周期期間，可以基於靜態信令代價與數據比率來生成每個用戶的用戶簡表。構建該簡表所用的信息包括分組到達時間，源端和目的地的IP位址和埠號。本發明所提供的簡表化機制方面的一個創新方面是會聚相關簡表的能力(用戶、應用以及伺服器)。通過用戶簡表，我們參考各個用戶的統計值該劃分可以通過各個應用用戶進一步分類。例如，網上衝浪是大多數用戶常用的服務。類似的，視頻點播伺服器可以使用RTP分組向用戶廣播視頻。基於各個網絡伺服器的統計值也可以通過記錄HTTP/RTP分組的到達而被編譯。為了增加可擴展性，簡表可以在具有相似行為的用戶間會聚。當前的業務可以接著與會聚的筒表相比較，以檢測到其不一致性。可以為熱門的伺服器以及熱門的應用類似地維持會聚的簡表。這種使用不同分類方法的靈活性允許更為複雜與精確的特徵來判斷什麼是正常的業務。所述簡表是檢測非正常和惡意業務的關鍵，同時也可以最小化錯誤決定的概率(將合法的業務錯誤地歸類於惡意業務)。tableseeoriginaldocumentpage13表2示出了一種抵禦DoS信令攻擊的方法或設備的實例。這種方法可以由能夠從無線基礎設施估計和收集用戶狀態統計信息(例如實際業務流)的設備執行。總的來說，這種方法可以按如下方式實施。在初始化步驟中，產生或導出當前的測量，例如信令代價與數據比率。所述比率可以通過直接向基礎設施詢問獲得，也可以使用估計技術獲得。接下來，所述信令代價與數據的比率要與門限，即參考比率進行比較。如果導出的比率超過用戶的門限，即為所述用戶構建簡表的、根據預處理步驟確定的S/DTHRESH,則來自發送端"s，，的後續業務被加上標誌。最後，如果來自發送者s的足夠多的分組(與門限S/DTHRESH相比)已經被標識為可疑，或者所述可疑行為持續超過擴展的時間周期(INVALIDTIMER)，那麼在防火牆中將使用過濾器來阻塞所述發送端的後續業務。需要注意的是，在預處理步驟生成的用戶簡表是適應於用戶行為的，以便最小化錯誤決定，並在波動發生時可以進行準確的檢測。更具體地，在預處理期間生成初始簡表，將會基於用戶行為的改變進行周期性的更新。應用於表2中的方法可以通過許多不同的方式實現，其中之一可以稱為4氐抗無線攻擊的體系架構(AWARE)。具備AWARE功能的設備可以是模塊化的，並支持升級以應對未來的攻擊。基於本發明的一個實施例，AWARE體系架構(例如具備其功能的設備)可以由兩部分構成學習資料庫和簡表庫，和/或檢測引擎或檢測器。學習資料庫需要在預處理步驟運行，以捕捉並存儲用戶信息。簡表庫在正常條件下(例如非攻擊時)運行，以便為給定的用戶生成業務簡表。所述資料庫和簡表庫可以是同一個，並且使其它用戶的資料庫與簡表庫相關，用以交叉行動裝置的相關。所述資料庫的信息將饋送給檢測器/檢測引擎。在本發明的一個實施例中，檢測引擎保持每個用戶的門限，並且驗證用於用戶或一組用戶的當前業務是否使相應的門限發生波動。基於能夠與具備AWARE功能的設備(一個包含資料庫、簡表庫和/或檢測器的設備)進行通信的無線單元，具有AWARE功能的設備所處位置可以被改變*與防火牆共置具有AWARE功能的^殳備可以與防火牆或無線服務提供商共置。如果選擇這樣的設計，則不需要假設無線基礎設施中的任何其它部分需要認識到存在具備AWARE功能的設備，或者與所述具備AWARE功能的設備進行交換。本發明的一個實例中，具備AWARE功能的設備使用IP層的信息，例如分組到達和來自IP/TCP的信息以及應用層的標題來建立簡表。假設具有AWARE功能的設備可以探視到分組的內部。如果IPsec(隧道模式)已經建立，則具備AWARE功能的設備可以在域中與IPsec網關共置，以能夠解密並檢查分組首標及負荷。*在PDSN與RNC之間本發明的備選實施例中，具備AWARE功能的設備可以放置在PDSN和RNC之間。在這種設計中，所述設備可以與PDSN進行交換，並獲取分組如何分發到不同RNC的信息。RNC可以提供更細的顆粒信息，例如FCH和SCH建立/釋放的信令事件數量、信令消息的時間戳、以及基站估計行動裝置消耗的功率控制信息等。需要理解的是，具備AWARE功能的設備是備用設備的情況下，兼容AWARE的接口可能需要允許所述設備與無線基礎設施(例如防火牆)共同運行。在"最小入侵"設計中，具備AWARE功能的設備僅僅探視那些通過防火牆但在到達PDSN之前的IP分組。所需的全部信息都包含在應用TCP和IP標題及其負荷中。為建立簡表所需的信息可以從上述標題及負荷中提取。具備AWARE功能的設備應能夠與現有防火牆或IPsec網關進行通信，理想情況下，具備AWARE功能的設備可以用與作過濾器的這些實體並置，以阻塞可疑業務。如果具備AWARE功能的設備沒有與IPsec網關並置，則需要與網關的所謂安全關聯，以解密並處理隧道模式下的ESP封裝的分組。即使具備AWARE功能的設備沒有與防火牆並置，典型地，存在著與多種商用防火牆的接口，例如Checkpoint的Firewall-l，用以配置過濾器。如果具備AWARE功能的設備被放置在PDSN與RNC之間，則可以收集到更多特定於用戶的狀態信息(即用戶屬於哪一個RNC，並且從RLP幀中可以得到潛在的其它信息)。而且，具備AWARE功能的設備可以獲取移動性相關的信息，因為行動裝置可以從一個RNC穿過到達另一個RNC。移動性信息對於檢測探試的影響值得分析，因為高移動性的終端用戶對基礎設施的負栽有明顯的影響。發起針對高移動性用戶的無線DoS攻擊需要另外的任務，諸如更加頻繁的尋呼，這可以明顯地增加處理負載。另外，行動裝置可以在發起轉移之前發起與PDSN的PPP連接。具備AWARE功能的設備可以詢問PDSN，以獲取PPP狀態歷史。除了具備AWARE功能的設備之外，發明人還認識到AWARE相關的體系架構仍然需要附加的設備。例如，本發明提供了AWARE兼容的接口。本發明的一個實施例中，所述接口可以詢問無線用戶/移動狀態。所述接口允許具備AWARE功能的設備通過安全方式與無線基礎設施通信，以獲取行動裝置/特定於用戶的信息。需要注意的是，所述接口可能作為除了PDSN之外的選項，而^皮包含在基礎i殳施中，因為為了估計狀態信息需要知道最少的分組到達。除了所述接口之外，本發明提供了一種插入式的檢測器。"Snort"是一種開源的IDS機制，其仿真具備AWARE功能的設備的功能。Snort是模塊化的，並且允許安裝新的插入進程，從而允許定製並增強檢測機制，用於抵禦當前或未來的攻擊。"插入"意味著一種通用的方式，是指可以動態的添加模塊來改變Snort的行為。本發明的一個附加實施例提供了一種Snort兼容的、插入集成檢測探試功能。本發明也提供了其它插入進程。而且，在其試驗期間，發明人應用Snortsam與防火牆接口並反擊攻擊。在本發明的一個附加實施例中，提供了一種兼容Snortsam插入進程，允許使用本發明提供的所述接口。所述插入進程作為過濾器運行來阻塞惡意業務。另外，所述插入進程可以與無線分組調度器接口，用於降低惡意業務的優先級。需要理解的是，本發明所述的方法、具備AWARE功能的設備、接口以及任何其它子組件(例如學習資料庫，簡表庫，檢測器等)可以由>更件、軟體、固件或三者的組合來實現。例如，一個或多個可編程的或編程後的控制器、處理器等，可以用於存儲一個或多個程序或代碼(和數據)，並且依次運行以執行上述的以及隨後的權利要求書中所述的本發明的特徵和功能。權利要求1、一種檢測針對3G無線網絡的信令攻擊的方法，包括測量與行動裝置相關的業務級別；生成與所述測量的業務級別相關的代價-數據的比率以及信令代價；將所述生成的比率與簡表化的、參考代價-數據門限比率相比較，以確定是否存在針對所述設備的拒絕服務信令攻擊。2、根據權利要求1所述的方法，還包括當所述生成的比率等於或超過所述門限參考比率時，防止針對所述行動裝置的惡意業務到達所述設備。3、根據權利要求1所述的方法，其中從包括UMTS或CDMA2000網絡的組中選擇所述網絡。4、根據權利要求1所述的方法，還包括才艮據業務到達方式生成所述信令代價。5、根據權利要求1所述的方法，其中所述業務級別是相對少量的數據。6、—種在無線網絡中檢測拒絕服務DoS攻擊的方法，包括(a)生成統計測量，所述統計測量用於描述在所述無線網絡正常運行期間，信令代價與至少一個行動裝置收發的實際數據之間關係的特性；(b)比較所述統計測量與當前測量；以及(c)如果所述當前測量與所述統計測量相差超過門限，檢測DoS攻擊。200680010186.2權利要求書第2/2頁7、根據權利要求6所述的方法，所述統計測量是基於指定時間間隔內的信令代價與指定時間間隔內的所述至少一個行動裝置收發的實際數據量的比率。8、根據權利要求7所述的方法，還包括基於業務到達方式估計所述比率。9、一種3G無線網絡，包括一個或多個接入節點，用於在所述無線網絡與網際網路之間提供接入；與所述接入節點進行通信的一個或多個無線電網絡控制器RNC;用於每個RNC的一個或多個基站，與RNC以及一個或多個移動單元進行通信；以及體系架構，用於(a)生成統計測量，所述統計測量用於描述在所述無線網絡正常運行期間，信令代價與至少一個行動裝置收發的實際數據之間關係的特性；(b)比較所述統計測量值與當前測量；以及(c)如果所述當前測量與所述統計測量相差超過門限，檢測DoS攻擊。10、一種檢測針對3G無線網絡的拒絕服務信令攻擊的設備，包括:資料庫，用於存儲移動信息；簡表庫，用於基於所述存儲的信息，對於與非攻擊狀態相關的行動裝置生成業務簡表；以及檢測器，通過將與所述行動裝置相關的業務到達率和與所述至少一個生成的移動簡表相關的門限相比較，以檢測攻擊。全文摘要使用無線狀態信息及用戶/網絡簡表來檢測並防止拒絕服務攻擊。文檔編號H04L29/06GK101151868SQ200680010186公開日2008年3月26日申請日期2006年3月21日優先權日2005年3月31日發明者天卜,託馬斯·Y·伍,薩姆普·諾登申請人:朗迅科技公司