DE602006000127T2 - Erkennung von Dienstverweigerungsangriffen zum Zweck des Energieabzugs in drahtlosen Netzen - Google Patents

Erkennung von Dienstverweigerungsangriffen zum Zweck des Energieabzugs in drahtlosen Netzen Download PDF

Info

Publication number
DE602006000127T2
DE602006000127T2 DE602006000127T DE602006000127T DE602006000127T2 DE 602006000127 T2 DE602006000127 T2 DE 602006000127T2 DE 602006000127 T DE602006000127 T DE 602006000127T DE 602006000127 T DE602006000127 T DE 602006000127T DE 602006000127 T2 DE602006000127 T2 DE 602006000127T2
Authority
DE
Germany
Prior art keywords
wireless network
mobile unit
attack
architecture
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602006000127T
Other languages
English (en)
Other versions
DE602006000127D1 (de
Inventor
Thian Edison Bu
Samphei Holmdel Norden
Thomas Y. Red Bank Woo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of DE602006000127D1 publication Critical patent/DE602006000127D1/de
Application granted granted Critical
Publication of DE602006000127T2 publication Critical patent/DE602006000127T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft Kommunikationsnetze, und spezifischer, Dienstverweigerungs-(DoS-Denial-of-Service) Angriffe in drahtlosen Netzen.
  • Beschreibung des Standes der Technik
  • Dienstverweigerungs-(DoS) Angriffe stellen nach wie vor eine signifikante Herausforderung für Netzbetreiber dar. In letzter Zeit haben die Häufigkeit und das Ausmaß von Angriffen, die gegen Internetressourcen gerichtet sind, ständig zugenommen. Zu diesen Angriffen zählen die Angriffe auf beliebte Webseiten, einschließlich www.yahoo.com, www.cnn.com, www.ebay.com, im Februar 2000 und die jüngsten Angriffe auf die Kern-Internet-Domainnamenserver (DNSs).
  • DoS-Angriffe beinhalten üblicherweise das Überschwemmen eines Netzknotens (z. B. eines Servers) mit einem Verkehrsvolumen, welches die Handlingkapazität des Knotens übersteigt. Dieses Verkehrsvolumen setzt den normalen Betrieb für die Dauer des Angriffs ausnahmslos außer Kraft. Eine fortgeschrittenere Art des DoS-Angriffs ist als ein verteilter DoS (distributed DoS)-Angriff bekannt. Beim DDoS beginnt ein Angreifer, der beabsichtigt, einen DDoS-Angriff zu starten, mit dem Untergraben einer Reihe von Knoten (z. B. über gut bekannte Sicherheitsschlupflöcher), wodurch diese effektiv zu „Sklaven" des Angreifers werden. Diese beeinträchtigten Knoten werden dann als Ausgangspunkte zum Injizieren von Verkehr in das Netz verwendet. Durch den Einsatz einer entsprechenden Anzahl von beeinträchtigten Knoten kann ein Angreifer potentiell einen großangelegten, netzweiten Angriff starten, indem er den Verkehr von mehreren Ausgangspunkten aus koordiniert.
  • Es herrscht kein Mangel an Forschung in Bezug auf DoS-Gegenmaßnahmen. Tatsächlich wurde eine große Vielfalt von Lösungen vorgeschlagen. Der aktuelle Stand der Technik bei der Verteidigung gegen DoS-Angriffe umfasst (1) dauernd eingeschaltete Firewalls (z. B. der PIX-Router von Cisco Systems, San Jose, Kalif.; der Netscreen von Juniger Networks, Sunnyvale, Kalif.; die Firewall-1 von Checkpoint Systems, Redwood City, Kalif.), (2) Router-Modifikationen zur Unterstützung des „Pushback" (d. h. der Versuch der Installation von Filtern vom Ziel des Angriffs zurück zur Quelle), (3) „Traceback" (d. h. der Versuch des Erkennens der Quelle des Angriffs) und (4) Eindringungserkennungsmechanismen, welche nach Anomalien oder Signaturen im ankommenden Verkehr suchen. Weitere Informationen zu Pushback, Traceback und Eindringungserkennung finden sich in Ioannidis J. and Bellovin S., „Implementing Pushback: Router-based defense against DDoS attacks", Proceedings of Network and Distributed Systems Security Symposium, Februar 2002; Snoeren A., „Hash-based IP Traceback", Proceedings of ACM SIGCOMM, 2001 und „Snort: Opensource Network Intrusion Detection System", http://www.snort.org.
  • Einige dieser Ansätze erfordern erhebliche Veränderungen an bestehenden Netzelementen und können daher teuer im Einsatz sein, während andere eine Zusammenarbeit über Internet-Dienstanbieter (Internet Service Provider-ISP) hinweg erfordern und somit unpraktisch sein können. Nichtsdestotrotz verringern diese Schemata die Bedrohung durch drahtgebundene DoS-Angriffe. Zum Beispiel ist ein allgemeines Merkmal von Firewalls, welches verhindert, dass Verbindungen von außerhalb eines Unternehmens-LANs initiiert werden, recht erfolgreich beim Abschwächen der Auswirkungen vieler DoS-Überschwemmungsangriffe.
  • Während viele Lösungen für verdrahtete Netze existieren, gibt es nur wenige Lösungen für drahtlose Netze.
  • Die zunehmende Ausbreitung von drahtlosen Geräten, wie PDAs und Mobiltelefonen, zusammen mit der Ermöglichung von Technologien wie Bluetooth, Wireless Fidelity (WiFi), Universal Mobile Telecommunications System (UMTS) und Third Generation Wireless (3G), stellen neue Möglichkeiten für DoS-Angriffe dar. Diese entstehen aufgrund dessen, dass drahtlose Netze mehrere Anfälligkeiten aufweisen, welche bei verdrahteten Netzen nicht existieren. Zu diesen Anfälligkeiten zählen eingeschränkte Toleranz für Verkehr aufgrund von beschränkten Drahtlosverbindungsbandbreiten, ein höherer Verarbeitungsaufwand in Zusammenhang mit drahtlosen Verbindungen aufgrund ihrer relativ komplexen Natur und eingeschränkte Leistung in Zusammenhang mit drahtlosen Client-Geräten.
  • Verkehr: Die Ressourcenknappheit in Kombination mit der niedrigen Kapazität von drahtlosen Verbindungen machen ein drahtloses Netz zu einem leichten Ziel für einen DoS-Angriff. Es ist erheblich weniger Verkehr notwendig, um eine drahtlose Verbindung zu überlasten, als notwendig ist, eine verdrahtete Verbindung zu überlasten.
  • Verarbeitungsaufwand: Ein typisches 3G- oder UMTS-Netz weist mehrere Infrastrukturelemente auf, welche eine ganze Menge an Funktionen wie Leistungssteuerung, Ressourcenzuweisung, Paging usw. durchführen. Der Funknetzcontroller (Radio Network Controller-RNC) und die Basisstationen sind an diesen Aktivitäten für jedes mobile Gerät beteiligt, und bei Schnellübergabesystemen ist der Aufwand auf diesen Geräten enorm. Solche Geräte in drahtlosen Netzen sind üblicherweise so ausgelegt, dass sie eine eingeschränkte Last in Zusammenhang mit einer gegebenen Anzahl von gleichzeitig aktiven Nutzern handhaben. Überlastung ist daher eine signifikante Sorge für die drahtlose Infrastruktur.
  • Eingeschränkte Energieversorgung: Mobile Clients in drahtlosen Netzen werden normalerweise durch Batterien betrieben, deren eingeschränkte Lebensdauer sie zu Zielen für eine Klasse von Angriffen macht, welche einfach die Energie abziehen, indem sie das mobile Gerät redundante, energieverbrauchende Aktivitäten ausführen lassen. Der Leistungsabzug kann ein mobiles Gerät schnell betriebsunfähig machen.
  • Ein Angreifer, welcher einen drahtlos-spezifischen DoS-Angriff startet, kann diese Anfälligkeiten leicht ausnutzen. Es gibt zwei Schlüsselaspekte, welche solche drahtlosen Angriffe in Vergleich zur verdrahteten DoS verbessern und vereinfachen können.
  • Volumen des Angriffs: Bei einem verdrahteten Angriff muss ein Angreifer große Datenvolumen auf ein Netz schwemmen, um bei der Überwältigung eines oder mehrerer Server erfolgreich zu sein. Da dies die Wahrscheinlichkeit der Entdeckung der Quelle des Angriffs erhöht, macht es verdrahtete DoS-Angriffe weniger effektiv. Eine drahtlose Verbindung ist mit wesentlich weniger Verkehr einfacher zu überlasten. Dies bietet dem Angreifer einen zweifachen Vorteil: (1) einfaches Starten des Angriffs aus Sicht des Angreifers und (2) schwierige Entdeckung der Quelle des Angriffs aufgrund des relativ niedrigen Verkehrsvolumens.
  • Ziel des Angriffs: Bei einem verdrahteten Netz ist normalerweise der Server das Ziel eines DoS-Angriffs. Somit waren Gegenmaßnahmen bisher in der Lage, sich darauf zu konzentrieren, den Server robuster zu machen. Jedoch kann bei einem drahtlosen Netz das beabsichtigte Ziel eines Angriffs eines einer Reihe von unterschiedlichen Elementen innerhalb des Netzes sein, einschließlich Server, Clients und Infrastruktur. Bei einem drahtlosen DoS-Angriff hat der Angreifer eine erhöhte Flexibilität, da sowohl die Infrastruktur als auch die mobilen Geräte leicht angreifbar sind. Der gleiche Angriff kann auf mehrere mobile Geräte gerichtet sein, entweder durch das Angreifen jedes einzelnen mobilen Gerätes oder durch das Angreifen der drahtlosen Infrastruktur für eine weitreichendere Auswirkung. Ferner weisen fortschrittlichere drahtlose Architekturen wie Evolution Data Only (EV-DO)-Netze mit ihren immer eingeschalteten mobilen Geräten eine erhöhte Anfälligkeit gegenüber Energieabzugsangriffen auf.
  • Bei einem DoS-Angriff auf ein verdrahtetes Netz braucht es eine bestimmte Zeit, bis ein Server lahmgelegt wird, da Server üblicherweise eine erhebliche Bandbreite und Verarbeitungskapazität aufweisen. Jedoch weisen in einem drahtlosen Netz mobile Geräte üblicherweise eine sehr begrenzte Bandbreite und Verarbeitungskapazität auf, wie auch eine begrenzte Batterielebensdauer. Somit war ein Angriff, welcher ein Mobiltelefon erreicht hat, bereits erfolgreich, indem kritische Ressourcen der drahtlosen Verbindung, der drahtlosen Infrastruktur sowie der Batterieressource am mobilen Gerät verschwendet wurden.
  • Einige DoS-Angriffgegenmaßnahmen sind in Nash, D. C. et al., „Towards an Intrusion Detection System for Battery Exhaustion Attacks an Mobile Computing Devices", PerCom 2005 Workshops und Qingchun Ren, et al., „Secure Media Access Control (MAC) in Wireless Sensor Networks: Intrusion Detections and Countermeasures", PIMRC 2004 vorgeschlagen. Nash et al. schlagen das Erkennen eines Prozesses vor, der an einem DoS-Angriff beteiligt ist, indem die durch jeden Prozess, der auf dem Prozessor läuft, verursachte Prozessorauslastung verfolgt wird, was erfordert, dass solche Informationen verfügbar sind und verfolgt werden. Qingchun et al. schlagen das Erkennen eines DoS-Angriffs durch das Verfolgen bestimmter Netzleistungseigenschaften für einen Knoten vor, insbesondere sein/e (i) Kollisionsverhältnis, (ii) Wahrscheinlichkeit erfolgreicher Datenpaketübertragung; (iii) Datenpaketwartezeit und (iv) Sendeanforderungs-(Request-To-Send-RTS) Paket-Ankunftsverhältnis, was auch erfordert, dass solche Informationen verfügbar sind und verfolgt werden.
  • Dementsprechend besteht Bedarf an DoS- und DDoS-Angriffgegenmaßnahmen, welche für die drahtlose Umgebung spezifisch sind und auf deren charakteristischen Anfälligkeiten abzielen.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Die Probleme des Standes der Technik werden gemäß der Grundsätze der vorliegenden Erfindung in Angriff genommen, und zwar durch ein Verfahren und eine Vorrichtung zum Schutz gegen Dienstverweigerungs-(Denial-of-Service-DoS) Angriffe, welche auf den Energieabzug von mobilen Geräten in einer drahtlosen Umgebung gerichtet sind.
  • Bei einer Ausführungsform ist die Erfindung eine Architektur für drahtlose Angriffsresistenz (Architecture for Wireless Attack REsistance-AWARE), die zu einem drahtlosen Netz hinzugefügt ist, um einen drahtlosen DoS- (wireless DOS-W-DoS) Angriff zu erkennen und gegen ihn zu schützen. Die AWARE-Architektur weist einen Profiler, einen Detektor und einen Protektor auf. Der Profiler bestimmt die Standards für den Energieverbrauch als eine Funktion des Verkehrs für mobile Geräte innerhalb des Netzes. Der Detektor vergleicht diese Standards mit tatsächlichen Werten des Energieverbrauchs mit Verkehr, der durch verschiedene mobile Geräte innerhalb des Netzes verzeichnet wurde. Wenn die tatsächlichen Werte einen oder mehrere spezifizierte Schwellenwerte übersteigen, dann zieht der Detektor in Betracht, dass das drahtlose Netz angegriffen werden könnte und der AWARE-Protektor verwendet bestehende Funktionen (z. B. eine schwarze Liste), die innerhalb des drahtlosen Netzes existieren, um den Angriff abzuwehren. Die AWARE-Architektur kann der Firewall zugeordnet oder unter einem oder mehreren Elementen der drahtlosen Infrastruktur oder mobilen Geräte selbst aufgeteilt sein.
  • Der AWARE-Profiler kann als eine Lerndatenbank implementiert sein, welche Informationen über jeden Benutzer in einem Vorverarbeitungsschritt festhält, welcher es ihr ermöglicht, etwas über das normale Verkehrsprofil für jeden Benutzer zu erfahren. Diese Datenbank steht auch in Beziehung mit anderen Benutzerdatenbanken für die mobilgerätübergreifende Korrelation. Die Informationen in diesen Datenbanken werden an den Detektor weitergegeben, welcher die Schwellenwerte für jeden Benutzer pflegt und bestimmt, wenn der Verkehr für einen Benutzer oder Satz von Benutzern den entsprechenden Schwellenwert verletzt.
  • Bei einer Ausführungsform ist die vorliegende Erfindung ein Verfahren und eine Architektur zum Erkennen eines Dienstverweigerungsangriffs in einem drahtlosen Netz. Ein statistisches Maß wird erzeugt, welches eine Beziehung zwischen dem Energieverbrauch durch eine mobile Einheit des drahtlosen Netzes und Daten übertragen zu der und von der mobilen Einheit während des normalen Betriebes des drahtlosen Netzes kennzeichnet. Das statistische Maß wird mit einem aktuellen Maß der Beziehung verglichen. Der DoS-Angriff wird erkannt, wenn sich das aktuelle Maß um mehr als einen spezifizierten Schwellenwert vom statistischen Maß unterscheidet.
  • Bei einer weiteren Ausführungsform ist die vorliegende Erfindung ein drahtloses Netz, aufweisend (1) einen Zugangsknoten angepasst zum Bereitstellen von Zugang zwischen dem drahtlosen Netz und einem Internet, (2) einen oder mehrere Funknetzcontroller (RNCs) angepasst zum Kommunizieren mit dem Zugangsknoten, (3) eine oder mehrere Basisstationen für jeden RNC und angepasst zum Kommunizieren mit dem RNC und mit einer oder mehreren mobilen Einheiten, sowie eine Architektur angepasst zum Durchführen des Verfahrens des vorhergehenden Abschnittes.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Weitere Aspekte, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung, den beigefügten Ansprüchen und den beigefügten Zeichnungen besser ersichtlich, wobei:
  • 1 ein drahtloses Beispielnetz des Standes der Technik veranschaulicht.
  • 2 ein drahtloses Beispielnetz gemäß einer Ausführungsform der vorliegenden Erfindung veranschaulicht.
  • 3 das oberste Level des Funktionsflusses für einen Teil der Verarbeitung, durchgeführt durch die Architektur für drahtlose Angriffsresistenz (AWARE) von 2, veranschaulicht.
  • DETAILLIERTE BESCHREIBUNG
  • Der Verweis auf „eine Ausführungsform" hierin bedeutet, dass ein/e bestimmte/s Merkmal, Struktur oder Eigenschaft, das/die in Verbindung mit der Ausführungsform beschrieben ist, in mindestens eine Implementierung der Erfindung eingeschlossen sein kann. Das Auftreten der Phrase „bei einer Ausführungsform" an verschiedenen Stellen in der Spezifikation betrifft weder notwendigerweise immer die gleiche Ausführungsform, noch schließen separate oder alternative Ausführungsformen notwendigerweise gegenseitig weiterer Ausführungsformen aus.
  • Einführung
  • 1 veranschaulicht das drahtlose Beispielnetz 100 des Standes der Technik. Das drahtlose Netz 100 weist das mobile Gerät (z. B. Laptop oder Mobiltelefon) 102, den Zellenturm 104, die Basisstation (BS) 106, den Funknetzcontroller 108 und den Paketdaten-Dienstknoten (Packet Data Serving Node-PDSN) 110 auf.
  • Während des normalen Betriebes kommuniziert das mobile Gerät 102 über den Zellenturm 104, die BS 106 und den RNC 108 mit dem PDSN 110, um sich selbst zu authentifizieren und am Netz zu registrieren. Der PDSN 110 ist im Grunde eine Router, welcher als das Gateway für den Datenfluss zu und von allen mobilen Geräten in dem drahtlosen Netz fungiert. Der PDSN stellt Zugang zum Internet, Intranets und Anwendungsservern für das mobile Gerät bereit. Indem er als ein Zugangs-Gateway agiert, stellt der PDSN einfachen Internetprotokoll-(IP) und mobilen IP-Zugang, Fremdagentenunterstützung und den Pakettransport für die virtuelle private Netzwerkverbindung bereit. Der PDSN agiert ferner als ein Client für Authentifizierungs-, Autorisierungs- und Accounting-(AAA) Server und stellt mobilen Geräten ein Gateway zum IP-Netz zur Verfügung. Der PDSN ermöglicht einem mobilen Gerät, sich zu bewegen und noch immer Pakete weitergeleitet zu bekommen.
  • Der Begriff „Packet Data Serving Node" (Paketdaten-Dienstknoten) und sein Akronym „PDSN" betreffen Zugangsknoten in Netzen, die einem CDMA (Code-Division Multiple-Access)-Standard entsprechen. Bei UMTS-Netzen wird der PDSN analog auch als ein Gateway-GPRS-Supportknoten oder GGSN bezeichnet, wobei GPRS für General Packet Radio Service steht. Wie in den Ansprüchen verwendet, wird der Begriff „Zugangsknoten" so verstanden, dass er sowohl CDMA-PDSN-Knoten als auch UMTS-GGSN-Knoten abdeckt.
  • Wenn sich ein mobiles Gerät erfolgreich authentifiziert und am Netz registriert, wird eine Punkt-zu-Punkt (PPP) -Verbindung zwischen einem PDSN und dem mobilen Gerät hergestellt. Obwohl in 1 nicht explizit gezeigt, ist die Architektur hierarchisch, wobei mehrere mobile Geräte 102 von jedem Turm 104 bedient werden, ein oder mehr Türme durch jede Basisstation 106 bedient werden, mehrere BSs durch jeden RNC 108 bedient werden und schließlich mehrere RNCs mit jedem PDSN 110 kommunizieren.
  • Es werden üblicherweise Batterien verwendet, um die mobilen Geräte innerhalb des Netzes anzutreiben, obwohl es auch einige Alternativen gibt (z. B. Solarkraft). In jedem Fall sind mobile Geräte üblicherweise gekennzeichnet durch eine eingeschränkte Leistungskapazität. Bei einem typischen mobilen Gerät wird unter normalen Nutzungsbedingungen eine bestimmte Batterielebensdauer von der Batterie erwartet. Unter diesen normalen Bedingungen wird das mobile Gerät für einen kurzen Zeitabschnitt aktiv verwendet und befindet sich für den Rest der Zeit im Ruhezustand. Wenn sich das mobile Gerät im Ruhezustand befindet, schaltet die Leistungsmanagementsoftware das mobile Gerät in einen Niedrigenergie-Standby- und/oder inaktiven Modus, wodurch die Batterielebensdauer verlängert wird. Effizientes Leistungsmanagement ist entscheidend für den Erfolg des mobilen Betriebes, da sich die Kapazität von Batterien nur sehr langsam verbessert hat (Verdopplung nur alle 35 Jahre), im Vergleich zur mobilen Berechnungskapazität und dem Leistungsverbrauch, welche sich relativ schnell erhöht haben. Es wurde nachgewiesen, dass ein effizienter Leistungsmanagementalgorithmus die Batterielebenszeit um mehrere Male erhöhen kann.
  • Drahtlose DoS-Energieabzugsangriffe
  • Aufgrund der eingeschränkten Leistungskapazität von mobilen Geräten enthält ein Angriff der Kategorie W-DoS diejenigen Angriffe, bei denen das Ziel des Angriffs ist, mobile Geräte zu aktivieren, um ihre Batterien schneller als normal zu entleeren. Eine Möglichkeit, wie dies erreicht wird, ist, indem die drahtlosen Infrastrukturelemente (insbesondere die BS und der RNC) häufiger mit dem mobilen Gerät kommunizieren, als dies für die Grundwartungsoperationen wie die Entfernungsmessung und die Registrierung erforderlich ist. Wenn ein Angreifer ein mobiles Gerät davon abhalten kann, in seinen normalen Niedrigenergie-Standby-Zustand zu schalten, indem er es aktiv hält, kann die Batterielebensdauer des mobilen Gerätes drastisch verkürzt werden. Um dies zu erreichen, kann ein Angreifer eine Reihe unterschiedlicher Strategien einsetzen, einschließlich der „Code-Injektion" und der „Niedrigvolumendaten-Auslösung".
  • Code-Injektionsangriff
  • Die Code-Injektion beinhaltet das Injizieren von Programmen in mobile Geräte, welche diese beschäftigt halten. Die Programme können entweder (1) legitime, jedoch hochenergieverbrauchende mobile Anwendungen oder (2) Viren, deren einzige Aufgabe es ist, viel Energie zu verbrauchen, sein. Obwohl der Schaden aufgrund dieser Arten von Angriffen schwerwiegend sein kann, ist die Verteidigung relativ einfach. Ein Viren-Scan-Programm kann verwendet werden, um virusbasierte Programme zu erkennen und zu entfernen. Außerdem kann ein Benutzer Programme genau überprüfen, welche auf seinem/ihrem mobilen Gerät installiert sind, und die Verwendung hochenergieverbrauchender Anwendungen minimieren oder ihre Energienutzungsprofile individuell anpassen. Zum Beispiel kann bei einem mobilen Gerät, welches eine digitale Kamera aufweist, das Abschalten eines „immer eingeschalteten" oder „Hochhelligkeits-" Anzeigemerkmals der Kamera die Batterielebensdauer erheblich verlängern.
  • Niedrigvolumendaten-Auslöseangriff
  • Ein Niedrigvolumendatenauslöse-(low-volume data trigger-LVDT) Angriff basiert auf dem Prinzip, dass sich, je länger ein mobiles Gerät aktiv gehalten wird, die Batterie umso schneller entleert. Diese Art des Angriffs ist extrem schwer abzuwehren. Ein typisches mobiles Gerät wechselt zwischen aktiven und Ruhezuständen, wenn es mit einem drahtlosen Netz verbunden ist. Ein mobiles Gerät schaltet in den aktiven Zustand, wenn es Pakete senden oder empfangen muss. Leistungsmanagementschemata stellen den Übergang der mobilen Geräte in den Ruhezustand sicher, wenn während eines spezifizierten Zeitbegrenzungszeitraumes keine Daten gesendet oder empfangen werden. Ein LVDT-Angriff kann das Durchbrechen des Leistungsmanagementschemas durch periodisches Senden niedriger Datenvolumen an das mobile Gerät beinhalten. Durch das richtige Timing der Paketankunft kann der Angreifer das mobile Gerät kontinuierlich im aktiven Modus halten, wobei mit einer relativ kleinen Verkehrsmenge ein ungewöhnlich hoher Energieabzug erzeugt wird. Ein LVDT-Angriff kann schwerwiegenden Schaden anrichten, während er aufgrund der niedrigvolumigen Natur des Angriffs leicht zu starten und schwer zu erkennen ist.
  • Es ist die Strategie des LVDT-Angriffs, auf die sich die vorliegende Erfindung konzentriert. Der Niedrigvolumendaten-Auslöseangriff, hierin auch als ein Batterieangriff bezeichnet, wird am Besten im Kontext der unterschiedlichen Zustände eines mobilen Gerätes und der in jedem Zustand verbrauchten Leistung verstanden.
    • • Abgeschaltet: In diesem Zustand verbraucht das mobile Gerät überhaupt keine Energie.
    • • Inaktiv: In diesem Zustand ist das mobile Gerät eingeschaltet, jedoch nicht mit dem drahtlosen Netz verbunden. Da das mobile Gerät nicht mit dem drahtlosen Netz kommuniziert (außer Niedrigfrequenz-Paging), spart das mobile Gerät in diesem Zustand Energie.
    • • Ruhezustand: Dies ist der Zustand, in den ein mobiles Gerät wechselt, nachdem es sich selbst mit dem drahtlosen Netz verbunden und authentifiziert hat. In diesem Zustand ist das mobile Gerät bereit für die Übertragung und den Empfang von Daten, tut dies jedoch gerade nicht. Periodisch (z. B. alle 20 ms bei einer typischen 3G-Implementierung) überträgt das mobile Gerät Leistungssteuerungsrahmen an die Basisstation, um der Basisstation Informationen zur Qualität der drahtlosen Verbindung bereitzustellen. Ein mobiles Gerät verbraucht im Ruhezustand aufgrund der Übertragung der Leistungssteuerungsrahmen Energie. Ein mobiles Gerät wechselt in den inaktiven Zustand, wenn ein Zeitraum (z. B. 20 Sekunden) Inaktivität auf der drahtlosen Verbindung stattgefunden hat, in dem keine Daten übertragen oder empfangen wurden.
    • • Tx/Rx (Übertragung/Empfang): In diesem Zustand überträgt und empfängt das mobile Gerät aktiv Daten. Aufgrund der/s kontinuierlichen Übertragung und/oder Empfangs wird in diesem Zustand die meiste Energie verbraucht.
  • Im Allgemeinen gilt, je größer die Aktivität an der Netzschnittstelle des mobilen Gerätes, desto mehr Energie wird verbraucht. Ein mobiles Gerät verbraucht aufgrund der häufigen Nutzung der Netzschnittstelle zum Übertragen von Leistungssteuerungsrahmen während des Ruhezustandes im Ruhezustand nahezu genau soviel Energie wie im Tx/Rx-Zustand. Ferner verbraucht das mobile Gerät, außer wenn es abgeschaltet ist, im inaktiven Zustand die wenigste Energiemenge, und zwar aufgrund der Inaktivität der Schnittstelle. Dies stimmt überein mit den experimentellen Ergebnissen mit einem typischen PDA, welche zum Beispiel einen Energieverbrauch von 30 mA im inaktiven Zustand, 270 mA im Ruhezustand und 300 MA im Tx/Rx-Zustand zeigen.
  • Dies lässt darauf schließen, dass ein Angreifer den maximalen Schaden anrichten kann, indem er eine Ver kehrsmenge sendet, die gerade ausreichend ist, um das mobile Gerät in einem aktiven Zustand zu halten (z. B. entweder im Ruhezustand oder im Tx/Rx-Zustand). Zum Beispiel zeigen Experimente, dass ein einfacher „Ping"-Angriff auf ein mobiles Gerät, bei dem der Ping gerade einmal alle 20 Sekunden wiederholt wird, eine Erhöhung des Energieverbrauchs durch das mobile Gerät von nahezu zehnmal dem Energieverbrauch des mobilen Gerätes unter normalen Betriebsbedingungen verursacht.
  • Batterieangriffeigenschaften
  • Die Schlüsseleigenschaften des Batterieangriffs sind:
    • • Leichtes Starten eines Angriffs: Um ein mobiles Gerät aktiv zu halten, ist alles, was der Angreifer tun muss, vor der Ruhezustand-Timer-Zeitüberschreitung ein kleines Paket an das mobile Gerät zu senden. Wenn sich ein mobiles Gerät für einen Zeitraum x im Ruhezustand befindet (d. h. es überträgt oder empfängt keine Daten), wobei x der spezifizierte Ruhezustand-Timer-Zeitüberschreitungsintervall ist, dann wechselt das mobile Gerät in den inaktiven Zustand.
    • • Schwierigkeit bei der Erkennung: Die niedrigvolumige Natur des Angriffs erlaubt dem Angreifer das Umgehen vieler schwellenwertbasierter Eindringungserkennungsmechanismen und Firewalls, welche hochvolumigen Angriffsverkehr, wie bei verdrahteten Netz-DoS-Angriffen üblich, herausfiltern.
    • • Weitreichende Auswirkung: Ein einzelner Angreifer kann viele mobilen Geräte in einem drahtlosen Netz im aktiven Zustand halten. Im Gegensatz dazu würde es ein herkömmlicher DDoS-Angriff in einem verdrahteten Netz erfordern, dass ein Angreifer Tausende Hosts beeinträchtigt, um erfolgreich zu sein, insbesondere weil beliebte Seiten wie die www.cnn.com und www.yahoo.com Server so große Bandbreiten und Verarbeitungsfähigkei ten aufweisen.
  • Im Gegensatz zu herkömmlichen DoS-Angriffen, die in verdrahteten Netzen verwendet werden, ist es in einem drahtlosen Netz wichtig zu versuchen, einen Batterieangriff zu stoppen, bevor er ein mobiles Gerät erreicht. Dies ist deswegen wichtig, weil, wenn das mobile Gerät erkennt, dass es angegriffen wird, bereits eine erhebliche Energiemenge verschwendet wurde. Daher ist es höchst wünschenswert, zu einer Lösung zu gelangen, welche in der drahtlosen Infrastruktur untergebracht ist und verhindert, dass solche Pakete das mobile Gerät überhaupt erreichen.
  • Architektur für drahtlose Angriffsresistenz (AWARE)
  • 2 veranschaulicht das drahtlose Beispielnetz 200 gemäß einer Ausführungsform der vorliegenden Erfindung. Das drahtlose Netz 200 weist Elemente auf, welche denen des drahtlosen Beispielnetzes 100 von 1 entsprechen, nämlich das mobile Gerät 202, der Zellenturm 204, die Basisstation (BS) 206, der Funknetzcontroller (RNC) 208 und der Paketdaten-Dienstknoten (PDSN) 210. Jedes dieser Elemente von Netz 200 funktioniert ähnlich seinem entsprechenden Element in Netz 100.
  • Das drahtlose Netz 200 weist auch die Architektur für drahtlose Angriffsresistenz (AWARE) 212 auf. Obwohl die AWARE-Architektur in 2 als gemeinsam mit einer Firewall zwischen dem PDSN und dem Internet implementiert veranschaulicht ist, sei darauf hingewiesen, dass auch alternative Implementierungen der AWARE-Architektur möglich sind. Wie für einen Fachmann auf dem Gebiet verständlich sein dürfte, kann anhand der folgenden Diskussion die AWARE-Architektur als ein unabhängiges Hardwareelement implementiert sein oder als eine Softwarefunktion zusammen mit einem oder mehreren der anderen Elemente des drahtlosen Netzes. Die Operation der AWARE-Architektur 212 ist unten detaillierter beschrieben.
  • 3 veranschaulicht das oberste Level des Funktionsflusses 300 für einen Abschnitt der Verarbeitung, durchgeführt durch die AWARE-Architektur 212 von 2. Die Verarbeitung beinhaltet die Schritte der Profilaufstellung 302, der Erkennung 304 und des Schutzes 306. Im Profilaufstellungsschritt 302 werden die normalen Verkehrseigenschaften des Netzes und der mobilen Geräte sowie Schätzungen des Energieverbrauchs der mobilen Geräte verwendet, um einen Satz normaler Energieeffizienzverhältnisse (EERs) zu bestimmen, bei denen ein EER als das Verhältnis der Datenmenge übertragen oder empfangen durch ein mobiles Gerät in einem gegebenen Intervall zur Energiemenge verbraucht durch dieses mobile Gerät während des gleichen Intervalls definiert ist. Im Erkennungsschritt 304 werden tatsächliche EERs für mobile Geräte im Netz bestimmt. Diese werden mit den EERs für mobile Geräte im Netz unter normalen Betriebsbedingungen verglichen (z. B. kein Angriff). Wenn die Verhältnisse erheblich vom Standard abweichen, wird angenommen, dass ein Angriff stattfindet, und in Schritt 306 werden Schritte unternommen (z. B. dynamisches Filtern), um das Netz zu schützen. Die EERs können während der Profilaufstellung und der Erkennung für eine Vielzahl von Kommunikationsszenarios geschätzt werden, was es zulässt, dass ein EER-basierter Schwellenwert ausgewählt wird, welcher für die gerade analysierten Kommunikationen am relevantesten ist. Als ein Beispiel kann eine EER-Statistik entwickelt für einen Einzelnutzer-Streaming-Ton einer gegebenen Bitrate verwendet werden, um einen Schwellenwert zu entwickeln, der für dieses spezifische Szenario oder einen Satz von Szenarios von Streaming-Ton über einem gegebenen Bereich von Bitraten angemessen ist.
  • Energieeffizienzverhältnis
  • Das EER kann auf eine Reihe unterschiedlicher Arten berechnet werden. Zum Beispiel kann in einer computerimplementierten Ausführungsform die folgende Berechnung durch einen Prozessor innerhalb der AWARE-Architektur durchgeführt werden, um das EER zu bestimmen:
    Figure 00170001
    wobei Di die Datengröße jeden Paketes i in Bit ist, welches während des Zeitintervalls T gesendet oder empfangen wird, und Pi die während der Übertragung oder des Empfangs des i-ten Paketes verbrauchte Energie ist.
  • Bei einigen Ausführungsformen können Annahmen getroffen werden, um die Einzelheiten zu minimieren, die erforderlich sind, um ein EER zu berechnen. Zum Beispiel kann anstelle der Verfolgung der exakten Größe jeden Paketes das einfache Verfolgen der Anzahl von Paketen bei einigen Anwendungen ausreichend sein. Auch kann anstelle des Berechnens einer Summierung der für jede Paketübertragung verbrauchten Energie zur Verwendung im Nenner der Gleichung (1) der gesamte Energieverbrauch während des Intervalls verzeichnet und festgehalten werden, oder auch eine Stichprobe der Energieverbrauchsrate usw. Weitere Ansätze sind möglich. Die Grundidee ist das Erreichen einer Schätzung des EER unter „normalen" Umständen.
  • Der Satz von EER-Werten entspricht einem Satz normaler EER-Statistiken parametrisiert für unterschiedliche Umstände und Bedingungen. Zu zusätzlichen Informationen, die beim Aufbau eines Profils für jeden Benutzer verwendet werden können, zählen Paketankunftszeiten, IP-Adressen und Anschlussnummern der Quellen und Ziele sowie die Anwendungsschichteigenschaften wie die Verkehrsart (HTTP, RTP).
  • Bei verschiedenen Ausführungsformen sammelt der Profiler Statistiken pro Benutzer, pro Anwendung sowie pro Server zusammen. Eine Pro-Benutzer-Statistik kann ferner zum Beispiel in Pro-Anwendungs-Statistiken kategorisiert werden. Zum Beispiel ist das Web-Surfing ein häufig verwendeter Dienst. Ähnlich kann ein Video-on-Demand-Server RTP-Pakete verwenden, um Videos an Benutzer zu senden. Statistiken auf einer Pro-Web-Server-Basis können auch durch das Protokollieren der Ankunft von HTTP/RTP-Paketen zusammengestellt werden.
  • Um die Skalierbarkeit zu ermöglichen, können die Profile über Benutzer mit ähnlichem Verhalten hinweg zusammengesammelt werden. Der Verkehr kann dann mit dem zusammengenommenen Profil verglichen werden, um Unstimmigkeiten zu erkennen. Die zusammengenommenen Profile können analog für beliebte Server und auch für beliebte Anwendungen gepflegt werden.
  • Die Flexibilität der Verwendung unterschiedlicher Klassifizierungsansätze erlaubt eine umfassendere und genaue Charakterisierung von dem, was als normaler Verkehr erachtet wird. Dieses Profil wird verwendet, um zu bestimmen, was "anomaler" Verkehr ist, durch die Verwendung der EER-Mechanismen in einer Ausführungsform, während auch die Wahrscheinlichkeit von falsch positiven Resultaten (inkorrekte Klassifizierung von gültigem Verkehr als böswilliger Verkehr) minimiert wird.
  • Zum Erkennen der Gegenwart eines böswilligen Angriffs, z. B. vom böswilligen Server 214 von 2, wird eine angemessene Heuristik zur Erkennung verwendet, wie zum Beispiel, dass der Energieverbrauch für eine spezifizierte Menge an übertragenen Daten signifikant höher ist als dies unter normalen Umständen der Fall ist. Es sei darauf hingewiesen, dass, obwohl 2 einen DoS-Angriff darstellt, welcher über das Internet initiiert wird, DoS-Angriffe auch innerhalb der drahtlosen Infra struktur, einschließlich an mobilen Endpunkten, initiiert werden können. Wenn sämtlicher mobil-initiierter Verkehr zu der Firewall geroutet wird (mit der die AWARE-Architektur gemeinsam untergebracht ist), kann ein böswilliges mobiles Gerät identisch wie ein böswilliger Server im Internet behandelt werden.
  • Es ist relativ einfach, die Verkehrsmenge zu bestimmen, ohne die mobilen Geräte mit einzubeziehen. Nahezu jedes Gerät in der drahtlosen Infrastruktur, welches sich auf dem Pfad zu dem mobilen Gerät befindet, kann die Verkehrsmenge berechnen, welche an mobilen Geräten ankommt bzw. dort abgeht, vorausgesetzt es sind ausreichend Informationen über die mobilen Geräte vorhanden. Die für den Verkehr verbrauchte Energie ist jedoch ohne die Unterstützung des mobilen Gerätes nicht so leicht verfügbar. Die mobilen Geräte können modifiziert sein, um Informationen über ihren Energieverbrauch zu kommunizieren. Alternativ dazu kann der Energieverbrauch basierend auf dem Paketankunftsmuster geschätzt werden.
  • Der schwierigste Teil bei der Berechnung des EER ist das Messen des Energieverbrauchs am mobilen Gerät. Wenn der exakte Energieverbrauch benötigt wird, muss das mobile Gerät modifiziert sein, um diese Informationen an eine Zwischenstation zu melden. Jedoch kann dies in der Praxis schwierig sein, da die Modifikation von mobilen Geräten die Koordination mehrerer Parteien zum Standardisieren der Schnittstelle usw. beinhaltet. Selbst wenn die mobilen Geräte modifiziert werden können, bleibt eine weitere Herausforderung bestehen, wie die verbrauchte Energie aufgrund von Datenübertragung von der verbrauchten Energie aufgrund anderer Aktivitäten (z. B. das Anhören von MP3s) am mobilen Gerät zu trennen ist.
  • Das Problem wird zuerst durch die Beobachtung in Angriff genommen, dass die Energieverbrauchsmessungen nicht hochakkurat sein müssen. Wichtig ist, in der Lage zu sein zu verifizieren, dass der Energieverbrauch anomal höher als normal ist. Daher kann der Energieverbrauch basierend auf dem Verkehr zu den mobilen Geräten hin und von ihnen weg geschätzt werden. In einem CDMA-Netz zum Beispiel steuert der RNC die Übertragungsleistung von mobilen Geräten. Aufgrund dessen erhält man eine angemessen akkurate Energieverbrauchsschätzung vom RNC, welche die Kenntnis der Pakete ankommend an und abgehend von den mobilen Geräten vorausgesetzt.
  • Es gibt verschiedene mögliche Positionen für die AWARE-Architektur, von denen jede die Erkennung der Batterieangriffe ermöglicht. Es kann von Nutzen erscheinen, dass die AWARE-Architektur zusammen mit der ES und/oder dem RNC untergebracht ist, da dies Zugang zu den Leistungssteuerungsinformationen übertragen an das mobile Gerät von der ES mit Leistungsempfehlungen für das mobile Gerät erlauben würde. Jedoch stellt, weil ein mobiles Gerät möglicherweise nicht mit den empfohlenen Werten überträgt, diese Quelle von Energieverbrauchsdaten nicht notwendigerweise exakte Werte für das EER bereit. Jedoch stellt das EER-Verhältnis die verbrauchte Energie gegenüber den entsprechenden übertragenen Daten bereit, und muss nicht akkurat sein. Das Ziel hier ist nicht das Ableiten eines exakten Wertes des EER. Vielmehr ist das Ziel das Ansehen relativer Werte des EER zum Erkennen einer anomalen Tendenz. Spezifisch besteht, wenn das derzeitige Verhalten für einen Benutzer nicht mit dem Durchschnittsprofil des Benutzers übereinstimmt, eine hohe Wahrscheinlichkeit, dass eine EER-Verletzung stattgefunden hat.
  • Die EER-Schätzung durch die Zuweisung zufällig erzeugter Energieverbrauchsgewichte für unterschiedliche Operationen führt dazu, dass die gleichen Ströme erkannt werden wie im Vergleich zu einem, welches die echten Energieempfehlungen der mobilen Geräte verwendet. Somit ergibt sich kein Genauigkeitsgewinn durch die Unter bringung der AWARE-Architektur an einer bestimmten Position im Vergleich zu einer der anderen möglichen Positionen in der drahtlosen Infrastruktur. Da die Reaktionszeit auf Angriffe genauso wichtig ist wie der Erkennungsmechanismus, kann es bevorzugt sein, die AWARE-Architektur gemeinsam mit der Firewall unterzubringen, um die schnellste Reaktionszeit zu erreichen.
  • Schnittstelle mit Firewall/Gateway
  • Bei einer möglichen Ausführungsform ist die AWARE-Architektur zusammen mit der Firewall eines drahtlosen Dienstanbieters untergebracht. In diesem Modell gibt es keine Annahmen, ob sich die drahtlose Infrastruktur der AWARE-Architektur bewusst ist und mit ihr interagiert. Die AWARE-Architektur verwendet IP-Schicht-Informationen wie die Paketankunft und Informationen aus den IP/TCP- und Anwendungsschicht-Headern zum Erstellen von Profilen. Dies lässt annehmen, dass die AWARE-Architektur in ein Paket hineinsehen kann. Wenn IPsec im Tunnelmodus aktiviert wurde, dann kann die AWARE-Architektur zusammen mit dem IPsec-Gateway in der Domain untergebracht sein, um in der Lage zu sein, Paket-Header und Nutzdaten zu entschlüsseln und zu überprüfen.
  • In einer relativ nicht-invasiven Architektur schaut sich die AWARE-Architektur die IP-Pakete an, welche ihr von der Firewall weitergeleitet werden, bevor sie den PDSN erreichen. Sämtliche Informationen sind in den Anwendungs-, TPC- und IP-Headern und den Nutzdaten selbst enthalten. Relevante Informationen, die verwendet werden, um das Profil zu erstellen, können aus den obigen Headern und Nutzdaten extrahiert werden.
  • Die AWARE-Architektur sollte in der Lage sein, mit bereits bestehenden Firewalls oder IPsec-Gateways zu kommunizieren. Idealerweise könnte die AWARE-Architektur zusammen mit diesen Einheiten untergebracht sein, um sofort einen Filter zu installieren, zum Beispiel um suspekten Verkehr zu blockieren. Wenn die AWARE-Architektur nicht zusammen mit dem IPsec-Gateway untergebracht ist, wird ein Sicherheitszusammenhang mit dem Gateway aufgebaut, um in der Lage zu sein, ESP-verkapselte Pakete im Tunnelmodus zu entschlüsseln und zu verarbeiten. Selbst wenn die AWARE-Architektur nicht zusammen mit der Firewall untergebracht ist, gibt es üblicherweise eine Schnittstelle mit den meisten handelsüblich erhältlichen Firewalls wie der Checkpoint Firewall-1, welche die Konfiguration von Filtern zulässt.
  • Die AWARE-Architektur kann unter Verwendung handelsüblicher Standardausrüstung jeden Herstellers eingesetzt werden. Für die Korrelation ist eine Schnittstelle zu der drahtlosen Infrastruktur zum Abfragen des Status des drahtlosen Benutzers definiert. Die Schnittstelle erlaubt der AWARE-Architektur in einer sicheren Art und Weise mit der drahtlosen Infrastruktur zu kommunizieren, um benutzerspezifische Informationen zu erhalten.
  • Für die Erkennung kann ein Snort genannter IDS-Mechanismus von jedem Hersteller verwendet werden, um die Funktionalität der AWARE-Architektur zu emulieren. Spezifisch korreliert Snort die Informationen, die von der drahtlosen Infrastruktur erhalten werden. Dieser Status kann auch unter Verwendung von früher dargelegten Algorithmen geschätzt werden. Snort kann den Netzverkehr auf Übereinstimmungen mit einen benutzerdefinierten Regelsatz analysieren und mehrere Aktionen basierend auf dem, was es sieht, durchführen. Zum Beispiel kann Snort eine Regel in der Firewall zum Blockieren aller Pakete mit Headern installieren, welche eine bestimmte Quelladresse enthalten. Snort ist modular und erlaubt die Installation neuer Plug-ins, welche es zulassen, dass der Erkennungsmechanismus spezifisch angepasst und für die Verteidigung gegen gegenwärtige und zukünftige Angriffe verbessert wird.
  • Plug-in ist ein generischer Begriff, welcher Module betrifft, die dynamisch hinzugefügt werden können, um das Verhalten von Snort zu verändern. Zum Beispiel können Erkennungs-Plug-ins eingeführt werden, um die Erkennungsfunktionalität zu verbessern. Die zuvor beschriebene Erkennungsheuristik kann als ein neues Erkennungs-Plug-in in Snort eingefügt werden.
  • Für die Reaktion kann ein Schnittstellen-Plug-in namens Snortsam verwendet werden, um eine Schnittstelle mit der Firewall zu bilden und auf erkannte DoS-Angriffe zu reagieren. Snortsam ist tatsächlich ein softwarebasierter Agent, welcher auf der Firewall selbst läuft, während er sicher mit Snort kommuniziert. Diese Komponente verwendet den OPSEC-Standard zum Kommunizieren mit beliebten Firewalls wie der Checkpoint Firewall-1, CISCO PIX. Snort kann anfänglich verwendet werden, um Filter auf der Firewall zu installieren, um böswilligen Verkehr zu blockieren. Anschließend kann Snort eine Schnittstelle mit dem drahtlosen Paketterminplaner bilden, um die Priorität von böswilligem Verkehr zu verringern.
  • Während diese Erfindung unter Bezugnahme auf veranschaulichende Ausführungsformen beschrieben wurde, ist diese Beschreibung nicht in einem einschränkenden Sinn zu interpretieren. Verschiedene Modifikationen der beschriebenen Ausführungsformen sowie weitere Ausführungsformen der Erfindung, welche dem Fachmann auf dem Gebiet, zu welchem die Erfindung gehört, klar sind, sollen als innerhalb des Grundsatzes und des Umfangs der Erfindung, wie in den Ansprüchen dargelegt, liegend gelten.
  • Obwohl die Schritte in den folgenden Verfahrensansprüchen in einer bestimmten Reihenfolge mit entsprechender Kennzeichnung genannt sind, sind diese Schritte nicht notwendigerweise darauf beschränkt gedacht, in dieser bestimmten Reihenfolge implementiert zu werden, es sei denn, die Ansprüche implizieren anderweitig eine bestimmte Reihenfolge für das Implementieren einiger oder aller dieser Schritte.

Claims (10)

  1. Verfahren zum Erkennen eines Dienstverweigerungs-(DoS-Denial-of-Service) Angriffs in einem drahtlosen Netz, wobei das Verfahren GEKENNZEICHNET IST DURCH: (a) das Erzeugen eines statistischen Maßes, welches eine Beziehung zwischen dem Energieverbrauch durch eine mobile Einheit (202) des drahtlosen Netzes und während normaler Operationen des drahtlosen Netzes zu und von der mobilen Einheit übertragenen Daten kennzeichnet; (b) das Vergleichen des statistischen Maßes mit einem aktuellen Maß der Beziehung; und (c) das Erkennen des DoS-Angriffs, wenn sich das aktuelle Maß um mehr als einen spezifizierten Schwellenwert von dem statistischen Maß unterscheidet.
  2. Verfahren nach Anspruch 1, wobei das statistische Maß auf einem Verhältnis der innerhalb eines spezifizierten Zeitintervalls zu oder von der mobilen Einheit übertragenen Datenmenge zu der während des spezifizierten Zeitintervalls durch die mobile Einheit verbrauchten Energiemenge basiert.
  3. Verfahren nach Anspruch 2, wobei das Verhältnis ein Energieeffizienzverhältnis EER bestimmt durch Folgendes ist:
    Figure 00250001
    wobei Di die Datengröße jeden Paketes i in Bit ist, welches während des Zeitintervalls T gesendet oder empfangen wird, und Pi die während der Übertragung oder des Empfangs des i-ten Paketes durch die mobile Einheit verbrauchte Energiemenge ist.
  4. Verfahren nach Anspruch 1, ferner aufweisend den Schritt des Blockierens von mindestens bestimmten Kommunikationen mit der mobilen Einheit, wenn der DoS-Angriff erkannt wird.
  5. Verfahren nach Anspruch 1, wobei das Verfahren durch eine Architektur für drahtlose Angriffsresistenz (212) innerhalb des drahtlosen Netzes implementiert ist; das drahtlose Netz einen Zugangsknoten (210) aufweist, welcher Zugang zwischen der mobilen Einheit und einem Internet bereitstellt; und die Architektur zwischen dem Zugangsknoten und dem Internet implementiert ist.
  6. Verfahren nach Anspruch 1, wobei die Schritte (a) und (b) für jeden mobilen Benutzer in dem drahtlosen Netz implementiert sind.
  7. Verfahren nach Anspruch 1, wobei der Energieverbrauch durch die mobile Einheit durch eine Architektur für drahtlose Angriffsresistenz des drahtlosen Netzes basierend auf einem Paketankunftsmuster für die mobile Einheit geschätzt wird.
  8. Verfahren nach Anspruch 1, wobei: das statistische Maß auf einem Verhältnis der innerhalb eines spezifizierten Zeitintervalls zu oder von der mobilen Einheit übertragenen Datenmenge zu der während des spezifizierten Zeitintervalls durch die mobile Einheit verbrauchten Energiemenge basiert; das Verhältnis ein Energieeffizienzverhältnis EER bestimmt durch Folgendes ist:
    Figure 00270001
    wobei Di die Datengröße jeden Paketes i in Bit ist, welches während des Zeitintervalls T gesendet oder empfangen wird, und Pi die während der Übertragung oder des Empfangs des i-ten Paketes durch die mobile Einheit verbrauchte Energiemenge ist; das drahtlose Netz einen Zugangsknoten aufweist, welcher Zugang zwischen der mobilen Einheit und einem Internet bereitstellt; der DoS-Angriff über das Internet oder von einem mobilen Gerät innerhalb des drahtlosen Netzes initiiert wird; ferner aufweisend den Schritt des Blockierens von mindestens bestimmten Kommunikationen mit der mobilen Einheit, wenn der DoS-Angriff erkannt wird, wobei die Auswahl der bestimmten Kommunikationen auf Paketquellen in Zusammenhang mit den bestimmten Kommunikationen basiert; das Verfahren durch eine Architektur für drahtlose Angriffsresistenz innerhalb des drahtlosen Netzes implementiert ist; die Architektur zwischen dem Zugangsknoten und dem Internet implementiert ist; die Schritte (a) und (b) für jeden mobilen Benutzer in dem drahtlosen Netz implementiert sind; und der Energieverbrauch durch die mobile Einheit durch die Architektur basierend auf einem Paketankunftsmuster für die mobile Einheit geschätzt wird.
  9. Architektur (212) zum Erkennen eines Dienstverweigerungs-(DOS-Denial-of-Service) Angriffs in einem drahtlosen Netz, GEKENNZEICHNET DADURCH, dass die Architektur Mittel aufweist, welche angepasst sind: (a) ein statistisches Maß zu erzeugen, welches eine Beziehung zwischen dem Energieverbrauch durch eine mobile Einheit (202) des drahtlosen Netzes und während normaler Operationen des drahtlosen Netzes zu und von der mobilen Einheit übertragenen Daten kennzeichnet; (b) das statistische Maß mit einem aktuellen Maß der Beziehung zu vergleichen; und (c) den DoS-Angriff zu erkennen, wenn sich das aktuelle Maß um mehr als einen spezifizierten Schwellenwert von dem statistischen Maß unterscheidet.
  10. Drahtloses Netz, aufweisend: einen Zugangsknoten (210) angepasst zum Bereitstellen von Zugang zwischen dem drahtlosen Netz und einem Internet; einen oder mehrere Funknetzcontroller (RNC-Radio Network Controller) (208) angepasst zum Kommunizieren mit dem Zugangsknoten; und eine oder mehrere Basisstationen (206) für jeden RNC und angepasst zum Kommunizieren mit dem RNC und mit einer oder mehreren mobilen Einheiten (202); und DADURCH GEKENNZEICHNET, dass das Netz ferner eine Architektur (212) aufweist, welche Mittel aufweist, die angepasst sind: (a) ein statistisches Maß zu erzeugen, welches eine Beziehung zwischen dem Energieverbrauch durch eine mobile Einheit des drahtlosen Netzes und während normaler Operationen des drahtlosen Netzes zu und von der mobilen Einheit übertragenen Daten kennzeichnet; (b) das statistische Maß mit einem aktuellen Maß der Beziehung zu vergleichen; und (c) einen Dienstverweigerungs-(DoS-Denial-of-Service) Angriff in dem drahtlosen Netz zu erkennen, wenn sich das aktuelle Maß um mehr als einen spezifizierten Schwellenwert von dem statistischen Maß unterscheidet.
DE602006000127T 2005-03-30 2006-02-28 Erkennung von Dienstverweigerungsangriffen zum Zweck des Energieabzugs in drahtlosen Netzen Active DE602006000127T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/093,457 US7515926B2 (en) 2005-03-30 2005-03-30 Detection of power-drain denial-of-service attacks in wireless networks
US93457 2005-03-30

Publications (2)

Publication Number Publication Date
DE602006000127D1 DE602006000127D1 (de) 2007-11-08
DE602006000127T2 true DE602006000127T2 (de) 2008-07-03

Family

ID=36146949

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602006000127T Active DE602006000127T2 (de) 2005-03-30 2006-02-28 Erkennung von Dienstverweigerungsangriffen zum Zweck des Energieabzugs in drahtlosen Netzen

Country Status (6)

Country Link
US (1) US7515926B2 (de)
EP (1) EP1708538B1 (de)
JP (1) JP4891641B2 (de)
KR (1) KR101187720B1 (de)
CN (1) CN1842087B (de)
DE (1) DE602006000127T2 (de)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302705B1 (en) * 2000-08-30 2007-11-27 International Business Machines Corporation Method and apparatus for tracing a denial-of-service attack back to its source
US8965334B2 (en) * 2005-12-19 2015-02-24 Alcatel Lucent Methods and devices for defending a 3G wireless network against malicious attacks
US7793138B2 (en) * 2005-12-21 2010-09-07 Cisco Technology, Inc. Anomaly detection for storage traffic in a data center
DE602007009215D1 (de) * 2006-05-18 2010-10-28 Huawei Tech Co Ltd Verfahren und system zur verwendung eines ue im ersatzmodus beim ausloggen aus einem netzwerk
CA2701689C (en) * 2006-10-06 2016-09-06 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
US9069957B2 (en) * 2006-10-06 2015-06-30 Juniper Networks, Inc. System and method of reporting and visualizing malware on mobile networks
US8087085B2 (en) * 2006-11-27 2011-12-27 Juniper Networks, Inc. Wireless intrusion prevention system and method
KR100889670B1 (ko) * 2007-08-08 2009-03-19 삼성에스디에스 주식회사 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법
KR100977365B1 (ko) * 2007-12-20 2010-08-20 삼성에스디에스 주식회사 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8250207B2 (en) 2009-01-28 2012-08-21 Headwater Partners I, Llc Network based ambient services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9571559B2 (en) 2009-01-28 2017-02-14 Headwater Partners I Llc Enhanced curfew and protection associated with a device group
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
KR20110071709A (ko) * 2009-12-21 2011-06-29 삼성전자주식회사 배터리 소진 공격에 대한 방어 방법 및 이 기능을 갖는 배터리 기반 무선 통신 기기와 기록 매체
TWI455526B (zh) * 2009-12-21 2014-10-01 Fih Hong Kong Ltd 調變解調器及電源節省方法
US9202049B1 (en) 2010-06-21 2015-12-01 Pulse Secure, Llc Detecting malware on mobile devices
CN101931986B (zh) * 2010-08-17 2013-04-24 华为技术有限公司 网络能效指示方法、指示器及系统
KR20130084442A (ko) * 2012-01-17 2013-07-25 삼성전자주식회사 통신 시스템에서 서비스 거부 공격을 감지하기 위한 기지국 및 그 방법
JP2015531204A (ja) * 2012-08-31 2015-10-29 ▲ホア▼▲ウェイ▼技術有限公司 ベアラ攻撃に対して防御するための方法およびデバイス
US8892903B1 (en) * 2012-12-06 2014-11-18 Xilinx, Inc. Detection of power analysis attacks
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
WO2015080554A1 (en) * 2013-11-27 2015-06-04 Mimos Berhad Method for coordinating multiple attacking devices in a wireless communication network
US9344894B2 (en) * 2014-02-10 2016-05-17 Qualcomm Incorporated Methods and systems for handling malicious attacks in a wireless communication system
KR101505168B1 (ko) * 2014-04-28 2015-03-24 (주)레인보우와이어리스 무선 기기의 배터리 에너지 소모 공격을 필터링하는 기능을 구비하는 적응적 게이트웨이 및 상기 적응적 게이트웨이에서의 필터링 방법
EP2998904A1 (de) * 2014-09-22 2016-03-23 Nation E Ltd. System und verfahren zur energieverwaltung von mobilen vorrichtungen
WO2016149556A1 (en) * 2015-03-18 2016-09-22 Hrl Laboratories, Llc System and method for detecting attacks on mobile ad hoc networks based on network flux
KR101714520B1 (ko) 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치
CN105610851B (zh) * 2016-01-14 2018-11-09 北京乐动卓越科技有限公司 防御分布式拒绝服务攻击的方法及系统
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
EP3568784B1 (de) * 2017-01-14 2022-08-03 Hyprfire Pty Ltd Verfahren und system zur detektion und abschwächung von denial-of-service-angriffen
CN107395596B (zh) * 2017-07-24 2018-05-18 南京邮电大学 一种基于冗余控制器切换的拒绝服务攻击防御方法
CN111656851B (zh) * 2018-02-05 2023-07-14 瑞典爱立信有限公司 用于处置能够在空闲和活动状态之间交替的无线装置的方法和无线电接入网络节点
CN110351229B (zh) * 2018-04-04 2020-12-08 电信科学技术研究院有限公司 一种终端ue管控方法及装置
US11160019B2 (en) * 2019-01-11 2021-10-26 Mediatek Inc. Electronic devices and methods for determining energy efficiency
US11882148B1 (en) * 2021-03-23 2024-01-23 Trend Micro Incorporated Automated mitigation of cyber threats using a semantic cybersecurity database

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002075548A1 (en) * 2001-03-20 2002-09-26 Worldcom, Inc. SYSTEM, METHOD AND APPARATUS THAT EMPLOY VIRTUAL PRIVATE NETWORKS TO RESIST IP QoS DENIAL OF SERVICE ATTACKS
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7171493B2 (en) * 2001-12-19 2007-01-30 The Charles Stark Draper Laboratory Camouflage of network traffic to resist attack
GB2386294B (en) * 2002-03-06 2004-05-05 Lucent Technologies Inc A method of setting up a call connection a method of preventing or alleviating denial of service attacks a ratio telecommunications network and a base station
JP3923346B2 (ja) * 2002-03-29 2007-05-30 京セラ株式会社 無線通信機
US7283461B2 (en) 2002-08-21 2007-10-16 Alcatel Canada Inc. Detection of denial-of-service attacks using frequency domain analysis
JP3928866B2 (ja) 2003-04-18 2007-06-13 日本電信電話株式会社 DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
JP3938763B2 (ja) 2003-06-04 2007-06-27 日本電信電話株式会社 DoS攻撃対策システムおよび方法およびプログラム
CN1553624A (zh) * 2003-12-19 2004-12-08 上海交通大学 基于主动网回溯技术防御拒绝服务攻击的方法
US20050213553A1 (en) * 2004-03-25 2005-09-29 Wang Huayan A Method for wireless LAN intrusion detection based on protocol anomaly analysis

Also Published As

Publication number Publication date
EP1708538B1 (de) 2007-09-26
US20060229022A1 (en) 2006-10-12
EP1708538A1 (de) 2006-10-04
US7515926B2 (en) 2009-04-07
KR20060105590A (ko) 2006-10-11
CN1842087A (zh) 2006-10-04
JP4891641B2 (ja) 2012-03-07
KR101187720B1 (ko) 2012-10-05
JP2006295920A (ja) 2006-10-26
CN1842087B (zh) 2011-05-18
DE602006000127D1 (de) 2007-11-08

Similar Documents

Publication Publication Date Title
DE602006000127T2 (de) Erkennung von Dienstverweigerungsangriffen zum Zweck des Energieabzugs in drahtlosen Netzen
EP1864471B1 (de) Verfahren und vorrichtungen zur verteidigung eines drahtlosen 3g-netzes vor signalisierungsangriffen
Mirkovic et al. Attacking DDoS at the source
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
Lee et al. On the detection of signaling DoS attacks on 3G/WiMax wireless networks
Khan et al. Detection and control of DDOS attacks over reputation and score based MANET
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
CN102075535B (zh) 一种应用层分布式拒绝服务攻击过滤方法及系统
Tanachaiwiwat et al. Differential packet filtering against DDoS flood attacks
Yen et al. Defending application DDoS with constraint random request attacks
Brahmi et al. A Snort-based mobile agent for a distributed intrusion detection system
Sardana et al. Detection and honeypot based redirection to counter DDoS attacks in ISP domain
Huang et al. FuzzyGuard: A DDoS attack prevention extension in software-defined wireless sensor networks
Khan et al. Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks
Jingle et al. Distributed detection of DoS using clock values in wireless broadband networks
Persia et al. Study of thwarting DoS attacks by detecting MAC spoof in WLAN infrastructure networks
Tang et al. Traceback-based Bloomfilter IPS in defending SYN flooding attack
Ettiane et al. Protection mechanisms for signaling DoS attacks on 3G mobile networks: Comparative study and future perspectives
Selvaraj et al. EShield: an effective detection and mitigation of flooding in DDoS attacks over large scale networks
Park Study on Real-time Cooperation Protect System Against Hacking Attacks of WiBro Service
Saluja et al. The DDOS attacks in MANET-a review
Alenezi et al. Selective Windowed Rate Limiting for DoS Mitigation
Zahedi et al. FUZZY PROTECTION METHOD FOR FLOOD ATTACKS IN SOFTWARE DEFINED NETWORKING (SDN)
Chouman et al. Novel defense mechanism against SYN flooding attacks in IP networks
DE202023100611U1 (de) System zur Erkennung von DDoS- und Sinkhole-Angriffen und deren Auswirkungen auf IoT-basierte Anwendungen im Gesundheitswesen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition