-
Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft Kommunikationsnetze, und spezifischer,
Dienstverweigerungs-(DoS-Denial-of-Service)
Angriffe in drahtlosen Netzen.
-
Beschreibung des Standes der
Technik
-
Dienstverweigerungs-(DoS)
Angriffe stellen nach wie vor eine signifikante Herausforderung
für Netzbetreiber
dar. In letzter Zeit haben die Häufigkeit und
das Ausmaß von
Angriffen, die gegen Internetressourcen gerichtet sind, ständig zugenommen.
Zu diesen Angriffen zählen
die Angriffe auf beliebte Webseiten, einschließlich www.yahoo.com, www.cnn.com,
www.ebay.com, im Februar 2000 und die jüngsten Angriffe auf die Kern-Internet-Domainnamenserver
(DNSs).
-
DoS-Angriffe
beinhalten üblicherweise
das Überschwemmen
eines Netzknotens (z. B. eines Servers) mit einem Verkehrsvolumen,
welches die Handlingkapazität
des Knotens übersteigt.
Dieses Verkehrsvolumen setzt den normalen Betrieb für die Dauer
des Angriffs ausnahmslos außer
Kraft. Eine fortgeschrittenere Art des DoS-Angriffs ist als ein
verteilter DoS (distributed DoS)-Angriff bekannt. Beim DDoS beginnt
ein Angreifer, der beabsichtigt, einen DDoS-Angriff zu starten,
mit dem Untergraben einer Reihe von Knoten (z. B. über gut
bekannte Sicherheitsschlupflöcher),
wodurch diese effektiv zu „Sklaven" des Angreifers werden.
Diese beeinträchtigten Knoten
werden dann als Ausgangspunkte zum Injizieren von Verkehr in das
Netz verwendet. Durch den Einsatz einer entsprechenden Anzahl von
beeinträchtigten
Knoten kann ein Angreifer potentiell einen großangelegten, netzweiten Angriff
starten, indem er den Verkehr von mehreren Ausgangspunkten aus koordiniert.
-
Es
herrscht kein Mangel an Forschung in Bezug auf DoS-Gegenmaßnahmen.
Tatsächlich
wurde eine große
Vielfalt von Lösungen
vorgeschlagen. Der aktuelle Stand der Technik bei der Verteidigung
gegen DoS-Angriffe umfasst (1) dauernd eingeschaltete Firewalls
(z. B. der PIX-Router
von Cisco Systems, San Jose, Kalif.; der Netscreen von Juniger Networks,
Sunnyvale, Kalif.; die Firewall-1 von Checkpoint Systems, Redwood
City, Kalif.), (2) Router-Modifikationen zur Unterstützung des „Pushback" (d. h. der Versuch
der Installation von Filtern vom Ziel des Angriffs zurück zur Quelle),
(3) „Traceback" (d. h. der Versuch
des Erkennens der Quelle des Angriffs) und (4) Eindringungserkennungsmechanismen,
welche nach Anomalien oder Signaturen im ankommenden Verkehr suchen.
Weitere Informationen zu Pushback, Traceback und Eindringungserkennung
finden sich in Ioannidis J. and Bellovin S., „Implementing Pushback: Router-based
defense against DDoS attacks", Proceedings
of Network and Distributed Systems Security Symposium, Februar 2002;
Snoeren A., „Hash-based
IP Traceback", Proceedings
of ACM SIGCOMM, 2001 und „Snort:
Opensource Network Intrusion Detection System", http://www.snort.org.
-
Einige
dieser Ansätze
erfordern erhebliche Veränderungen
an bestehenden Netzelementen und können daher teuer im Einsatz
sein, während
andere eine Zusammenarbeit über
Internet-Dienstanbieter (Internet Service Provider-ISP) hinweg erfordern
und somit unpraktisch sein können.
Nichtsdestotrotz verringern diese Schemata die Bedrohung durch drahtgebundene
DoS-Angriffe. Zum Beispiel ist ein allgemeines Merkmal von Firewalls,
welches verhindert, dass Verbindungen von außerhalb eines Unternehmens-LANs
initiiert werden, recht erfolgreich beim Abschwächen der Auswirkungen vieler
DoS-Überschwemmungsangriffe.
-
Während viele
Lösungen
für verdrahtete Netze
existieren, gibt es nur wenige Lösungen
für drahtlose
Netze.
-
Die
zunehmende Ausbreitung von drahtlosen Geräten, wie PDAs und Mobiltelefonen,
zusammen mit der Ermöglichung
von Technologien wie Bluetooth, Wireless Fidelity (WiFi), Universal
Mobile Telecommunications System (UMTS) und Third Generation Wireless
(3G), stellen neue Möglichkeiten für DoS-Angriffe
dar. Diese entstehen aufgrund dessen, dass drahtlose Netze mehrere
Anfälligkeiten aufweisen,
welche bei verdrahteten Netzen nicht existieren. Zu diesen Anfälligkeiten
zählen
eingeschränkte
Toleranz für
Verkehr aufgrund von beschränkten
Drahtlosverbindungsbandbreiten, ein höherer Verarbeitungsaufwand
in Zusammenhang mit drahtlosen Verbindungen aufgrund ihrer relativ
komplexen Natur und eingeschränkte
Leistung in Zusammenhang mit drahtlosen Client-Geräten.
-
Verkehr:
Die Ressourcenknappheit in Kombination mit der niedrigen Kapazität von drahtlosen Verbindungen
machen ein drahtloses Netz zu einem leichten Ziel für einen
DoS-Angriff. Es ist erheblich weniger Verkehr notwendig, um eine
drahtlose Verbindung zu überlasten,
als notwendig ist, eine verdrahtete Verbindung zu überlasten.
-
Verarbeitungsaufwand:
Ein typisches 3G- oder UMTS-Netz weist mehrere Infrastrukturelemente
auf, welche eine ganze Menge an Funktionen wie Leistungssteuerung,
Ressourcenzuweisung, Paging usw. durchführen. Der Funknetzcontroller
(Radio Network Controller-RNC) und die Basisstationen sind an diesen
Aktivitäten
für jedes
mobile Gerät
beteiligt, und bei Schnellübergabesystemen
ist der Aufwand auf diesen Geräten
enorm. Solche Geräte
in drahtlosen Netzen sind üblicherweise
so ausgelegt, dass sie eine eingeschränkte Last in Zusammenhang mit
einer gegebenen Anzahl von gleichzeitig aktiven Nutzern handhaben. Überlastung
ist daher eine signifikante Sorge für die drahtlose Infrastruktur.
-
Eingeschränkte Energieversorgung:
Mobile Clients in drahtlosen Netzen werden normalerweise durch Batterien
betrieben, deren eingeschränkte
Lebensdauer sie zu Zielen für
eine Klasse von Angriffen macht, welche einfach die Energie abziehen,
indem sie das mobile Gerät
redundante, energieverbrauchende Aktivitäten ausführen lassen. Der Leistungsabzug
kann ein mobiles Gerät
schnell betriebsunfähig
machen.
-
Ein
Angreifer, welcher einen drahtlos-spezifischen DoS-Angriff startet,
kann diese Anfälligkeiten leicht
ausnutzen. Es gibt zwei Schlüsselaspekte,
welche solche drahtlosen Angriffe in Vergleich zur verdrahteten
DoS verbessern und vereinfachen können.
-
Volumen
des Angriffs: Bei einem verdrahteten Angriff muss ein Angreifer
große
Datenvolumen auf ein Netz schwemmen, um bei der Überwältigung eines oder mehrerer
Server erfolgreich zu sein. Da dies die Wahrscheinlichkeit der Entdeckung
der Quelle des Angriffs erhöht,
macht es verdrahtete DoS-Angriffe weniger effektiv. Eine drahtlose
Verbindung ist mit wesentlich weniger Verkehr einfacher zu überlasten.
Dies bietet dem Angreifer einen zweifachen Vorteil: (1) einfaches
Starten des Angriffs aus Sicht des Angreifers und (2) schwierige
Entdeckung der Quelle des Angriffs aufgrund des relativ niedrigen Verkehrsvolumens.
-
Ziel
des Angriffs: Bei einem verdrahteten Netz ist normalerweise der
Server das Ziel eines DoS-Angriffs. Somit waren Gegenmaßnahmen
bisher in der Lage, sich darauf zu konzentrieren, den Server robuster
zu machen. Jedoch kann bei einem drahtlosen Netz das beabsichtigte
Ziel eines Angriffs eines einer Reihe von unterschiedlichen Elementen innerhalb
des Netzes sein, einschließlich
Server, Clients und Infrastruktur. Bei einem drahtlosen DoS-Angriff
hat der Angreifer eine erhöhte
Flexibilität,
da sowohl die Infrastruktur als auch die mobilen Geräte leicht
angreifbar sind. Der gleiche Angriff kann auf mehrere mobile Geräte gerichtet
sein, entweder durch das Angreifen jedes einzelnen mobilen Gerätes oder
durch das Angreifen der drahtlosen Infrastruktur für eine weitreichendere
Auswirkung. Ferner weisen fortschrittlichere drahtlose Architekturen
wie Evolution Data Only (EV-DO)-Netze mit ihren immer eingeschalteten
mobilen Geräten
eine erhöhte
Anfälligkeit
gegenüber
Energieabzugsangriffen auf.
-
Bei
einem DoS-Angriff auf ein verdrahtetes Netz braucht es eine bestimmte
Zeit, bis ein Server lahmgelegt wird, da Server üblicherweise eine erhebliche
Bandbreite und Verarbeitungskapazität aufweisen. Jedoch weisen
in einem drahtlosen Netz mobile Geräte üblicherweise eine sehr begrenzte
Bandbreite und Verarbeitungskapazität auf, wie auch eine begrenzte
Batterielebensdauer. Somit war ein Angriff, welcher ein Mobiltelefon
erreicht hat, bereits erfolgreich, indem kritische Ressourcen der
drahtlosen Verbindung, der drahtlosen Infrastruktur sowie der Batterieressource
am mobilen Gerät
verschwendet wurden.
-
Einige
DoS-Angriffgegenmaßnahmen
sind in Nash, D. C. et al., „Towards
an Intrusion Detection System for Battery Exhaustion Attacks an
Mobile Computing Devices",
PerCom 2005 Workshops und Qingchun Ren, et al., „Secure Media Access Control (MAC)
in Wireless Sensor Networks: Intrusion Detections and Countermeasures", PIMRC 2004 vorgeschlagen.
Nash et al. schlagen das Erkennen eines Prozesses vor, der an einem
DoS-Angriff beteiligt ist, indem die durch jeden Prozess, der auf
dem Prozessor läuft,
verursachte Prozessorauslastung verfolgt wird, was erfordert, dass
solche Informationen verfügbar
sind und verfolgt werden. Qingchun et al. schlagen das Erkennen
eines DoS-Angriffs durch das Verfolgen bestimmter Netzleistungseigenschaften
für einen
Knoten vor, insbesondere sein/e (i) Kollisionsverhältnis, (ii)
Wahrscheinlichkeit erfolgreicher Datenpaketübertragung; (iii) Datenpaketwartezeit und
(iv) Sendeanforderungs-(Request-To-Send-RTS)
Paket-Ankunftsverhältnis,
was auch erfordert, dass solche Informationen verfügbar sind
und verfolgt werden.
-
Dementsprechend
besteht Bedarf an DoS- und DDoS-Angriffgegenmaßnahmen, welche für die drahtlose
Umgebung spezifisch sind und auf deren charakteristischen Anfälligkeiten
abzielen.
-
KURZDARSTELLUNG DER ERFINDUNG
-
Die
Probleme des Standes der Technik werden gemäß der Grundsätze der
vorliegenden Erfindung in Angriff genommen, und zwar durch ein Verfahren
und eine Vorrichtung zum Schutz gegen Dienstverweigerungs-(Denial-of-Service-DoS)
Angriffe, welche auf den Energieabzug von mobilen Geräten in einer
drahtlosen Umgebung gerichtet sind.
-
Bei
einer Ausführungsform
ist die Erfindung eine Architektur für drahtlose Angriffsresistenz
(Architecture for Wireless Attack REsistance-AWARE), die zu einem
drahtlosen Netz hinzugefügt
ist, um einen drahtlosen DoS- (wireless DOS-W-DoS) Angriff zu erkennen
und gegen ihn zu schützen.
Die AWARE-Architektur weist einen Profiler, einen Detektor und einen
Protektor auf. Der Profiler bestimmt die Standards für den Energieverbrauch
als eine Funktion des Verkehrs für
mobile Geräte
innerhalb des Netzes. Der Detektor vergleicht diese Standards mit
tatsächlichen
Werten des Energieverbrauchs mit Verkehr, der durch verschiedene
mobile Geräte
innerhalb des Netzes verzeichnet wurde. Wenn die tatsächlichen
Werte einen oder mehrere spezifizierte Schwellenwerte übersteigen,
dann zieht der Detektor in Betracht, dass das drahtlose Netz angegriffen
werden könnte
und der AWARE-Protektor verwendet bestehende Funktionen (z. B. eine
schwarze Liste), die innerhalb des drahtlosen Netzes existieren,
um den Angriff abzuwehren. Die AWARE-Architektur kann der Firewall
zugeordnet oder unter einem oder mehreren Elementen der drahtlosen
Infrastruktur oder mobilen Geräte
selbst aufgeteilt sein.
-
Der
AWARE-Profiler kann als eine Lerndatenbank implementiert sein, welche
Informationen über
jeden Benutzer in einem Vorverarbeitungsschritt festhält, welcher
es ihr ermöglicht,
etwas über
das normale Verkehrsprofil für
jeden Benutzer zu erfahren. Diese Datenbank steht auch in Beziehung
mit anderen Benutzerdatenbanken für die mobilgerätübergreifende
Korrelation. Die Informationen in diesen Datenbanken werden an den
Detektor weitergegeben, welcher die Schwellenwerte für jeden
Benutzer pflegt und bestimmt, wenn der Verkehr für einen Benutzer oder Satz
von Benutzern den entsprechenden Schwellenwert verletzt.
-
Bei
einer Ausführungsform
ist die vorliegende Erfindung ein Verfahren und eine Architektur
zum Erkennen eines Dienstverweigerungsangriffs in einem drahtlosen
Netz. Ein statistisches Maß wird
erzeugt, welches eine Beziehung zwischen dem Energieverbrauch durch
eine mobile Einheit des drahtlosen Netzes und Daten übertragen
zu der und von der mobilen Einheit während des normalen Betriebes des
drahtlosen Netzes kennzeichnet. Das statistische Maß wird mit
einem aktuellen Maß der
Beziehung verglichen. Der DoS-Angriff wird erkannt, wenn sich das
aktuelle Maß um
mehr als einen spezifizierten Schwellenwert vom statistischen Maß unterscheidet.
-
Bei
einer weiteren Ausführungsform
ist die vorliegende Erfindung ein drahtloses Netz, aufweisend (1)
einen Zugangsknoten angepasst zum Bereitstellen von Zugang zwischen
dem drahtlosen Netz und einem Internet, (2) einen oder mehrere Funknetzcontroller
(RNCs) angepasst zum Kommunizieren mit dem Zugangsknoten, (3) eine
oder mehrere Basisstationen für
jeden RNC und angepasst zum Kommunizieren mit dem RNC und mit einer
oder mehreren mobilen Einheiten, sowie eine Architektur angepasst
zum Durchführen
des Verfahrens des vorhergehenden Abschnittes.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
Weitere
Aspekte, Merkmale und Vorteile der vorliegenden Erfindung werden
aus der folgenden detaillierten Beschreibung, den beigefügten Ansprüchen und
den beigefügten
Zeichnungen besser ersichtlich, wobei:
-
1 ein
drahtloses Beispielnetz des Standes der Technik veranschaulicht.
-
2 ein
drahtloses Beispielnetz gemäß einer
Ausführungsform
der vorliegenden Erfindung veranschaulicht.
-
3 das
oberste Level des Funktionsflusses für einen Teil der Verarbeitung,
durchgeführt durch
die Architektur für
drahtlose Angriffsresistenz (AWARE) von 2, veranschaulicht.
-
DETAILLIERTE BESCHREIBUNG
-
Der
Verweis auf „eine
Ausführungsform" hierin bedeutet,
dass ein/e bestimmte/s Merkmal, Struktur oder Eigenschaft, das/die
in Verbindung mit der Ausführungsform
beschrieben ist, in mindestens eine Implementierung der Erfindung
eingeschlossen sein kann. Das Auftreten der Phrase „bei einer
Ausführungsform" an verschiedenen
Stellen in der Spezifikation betrifft weder notwendigerweise immer
die gleiche Ausführungsform,
noch schließen
separate oder alternative Ausführungsformen
notwendigerweise gegenseitig weiterer Ausführungsformen aus.
-
Einführung
-
1 veranschaulicht
das drahtlose Beispielnetz 100 des Standes der Technik.
Das drahtlose Netz 100 weist das mobile Gerät (z. B.
Laptop oder Mobiltelefon) 102, den Zellenturm 104,
die Basisstation (BS) 106, den Funknetzcontroller 108 und den
Paketdaten-Dienstknoten (Packet Data Serving Node-PDSN) 110 auf.
-
Während des
normalen Betriebes kommuniziert das mobile Gerät 102 über den
Zellenturm 104, die BS 106 und den RNC 108 mit
dem PDSN 110, um sich selbst zu authentifizieren und am
Netz zu registrieren. Der PDSN 110 ist im Grunde eine Router, welcher
als das Gateway für
den Datenfluss zu und von allen mobilen Geräten in dem drahtlosen Netz fungiert.
Der PDSN stellt Zugang zum Internet, Intranets und Anwendungsservern
für das
mobile Gerät bereit.
Indem er als ein Zugangs-Gateway agiert, stellt der PDSN einfachen
Internetprotokoll-(IP)
und mobilen IP-Zugang, Fremdagentenunterstützung und den Pakettransport
für die
virtuelle private Netzwerkverbindung bereit. Der PDSN agiert ferner
als ein Client für
Authentifizierungs-, Autorisierungs- und Accounting-(AAA) Server
und stellt mobilen Geräten ein
Gateway zum IP-Netz zur Verfügung.
Der PDSN ermöglicht
einem mobilen Gerät,
sich zu bewegen und noch immer Pakete weitergeleitet zu bekommen.
-
Der
Begriff „Packet
Data Serving Node" (Paketdaten-Dienstknoten) und
sein Akronym „PDSN" betreffen Zugangsknoten
in Netzen, die einem CDMA (Code-Division Multiple-Access)-Standard entsprechen.
Bei UMTS-Netzen wird der PDSN analog auch als ein Gateway-GPRS-Supportknoten
oder GGSN bezeichnet, wobei GPRS für General Packet Radio Service
steht. Wie in den Ansprüchen
verwendet, wird der Begriff „Zugangsknoten" so verstanden, dass
er sowohl CDMA-PDSN-Knoten als auch UMTS-GGSN-Knoten abdeckt.
-
Wenn
sich ein mobiles Gerät
erfolgreich authentifiziert und am Netz registriert, wird eine Punkt-zu-Punkt
(PPP) -Verbindung zwischen einem PDSN und dem mobilen Gerät hergestellt.
Obwohl in 1 nicht explizit gezeigt, ist
die Architektur hierarchisch, wobei mehrere mobile Geräte 102 von
jedem Turm 104 bedient werden, ein oder mehr Türme durch
jede Basisstation 106 bedient werden, mehrere BSs durch
jeden RNC 108 bedient werden und schließlich mehrere RNCs mit jedem
PDSN 110 kommunizieren.
-
Es
werden üblicherweise
Batterien verwendet, um die mobilen Geräte innerhalb des Netzes anzutreiben,
obwohl es auch einige Alternativen gibt (z. B. Solarkraft). In jedem
Fall sind mobile Geräte üblicherweise
gekennzeichnet durch eine eingeschränkte Leistungskapazität. Bei einem
typischen mobilen Gerät
wird unter normalen Nutzungsbedingungen eine bestimmte Batterielebensdauer
von der Batterie erwartet. Unter diesen normalen Bedingungen wird das
mobile Gerät
für einen
kurzen Zeitabschnitt aktiv verwendet und befindet sich für den Rest
der Zeit im Ruhezustand. Wenn sich das mobile Gerät im Ruhezustand
befindet, schaltet die Leistungsmanagementsoftware das mobile Gerät in einen
Niedrigenergie-Standby-
und/oder inaktiven Modus, wodurch die Batterielebensdauer verlängert wird.
Effizientes Leistungsmanagement ist entscheidend für den Erfolg des
mobilen Betriebes, da sich die Kapazität von Batterien nur sehr langsam
verbessert hat (Verdopplung nur alle 35 Jahre), im Vergleich zur
mobilen Berechnungskapazität
und dem Leistungsverbrauch, welche sich relativ schnell erhöht haben.
Es wurde nachgewiesen, dass ein effizienter Leistungsmanagementalgorithmus
die Batterielebenszeit um mehrere Male erhöhen kann.
-
Drahtlose DoS-Energieabzugsangriffe
-
Aufgrund
der eingeschränkten
Leistungskapazität
von mobilen Geräten
enthält
ein Angriff der Kategorie W-DoS diejenigen Angriffe, bei denen das Ziel
des Angriffs ist, mobile Geräte
zu aktivieren, um ihre Batterien schneller als normal zu entleeren.
Eine Möglichkeit,
wie dies erreicht wird, ist, indem die drahtlosen Infrastrukturelemente
(insbesondere die BS und der RNC) häufiger mit dem mobilen Gerät kommunizieren,
als dies für
die Grundwartungsoperationen wie die Entfernungsmessung und die
Registrierung erforderlich ist. Wenn ein Angreifer ein mobiles Gerät davon
abhalten kann, in seinen normalen Niedrigenergie-Standby-Zustand
zu schalten, indem er es aktiv hält,
kann die Batterielebensdauer des mobilen Gerätes drastisch verkürzt werden.
Um dies zu erreichen, kann ein Angreifer eine Reihe unterschiedlicher
Strategien einsetzen, einschließlich
der „Code-Injektion" und der „Niedrigvolumendaten-Auslösung".
-
Code-Injektionsangriff
-
Die
Code-Injektion beinhaltet das Injizieren von Programmen in mobile
Geräte,
welche diese beschäftigt
halten. Die Programme können
entweder (1) legitime, jedoch hochenergieverbrauchende mobile Anwendungen
oder (2) Viren, deren einzige Aufgabe es ist, viel Energie zu verbrauchen,
sein. Obwohl der Schaden aufgrund dieser Arten von Angriffen schwerwiegend
sein kann, ist die Verteidigung relativ einfach. Ein Viren-Scan-Programm
kann verwendet werden, um virusbasierte Programme zu erkennen und
zu entfernen. Außerdem
kann ein Benutzer Programme genau überprüfen, welche auf seinem/ihrem
mobilen Gerät
installiert sind, und die Verwendung hochenergieverbrauchender Anwendungen
minimieren oder ihre Energienutzungsprofile individuell anpassen.
Zum Beispiel kann bei einem mobilen Gerät, welches eine digitale Kamera
aufweist, das Abschalten eines „immer eingeschalteten" oder „Hochhelligkeits-" Anzeigemerkmals
der Kamera die Batterielebensdauer erheblich verlängern.
-
Niedrigvolumendaten-Auslöseangriff
-
Ein
Niedrigvolumendatenauslöse-(low-volume
data trigger-LVDT) Angriff basiert auf dem Prinzip, dass sich, je
länger
ein mobiles Gerät
aktiv gehalten wird, die Batterie umso schneller entleert. Diese
Art des Angriffs ist extrem schwer abzuwehren. Ein typisches mobiles
Gerät wechselt
zwischen aktiven und Ruhezuständen,
wenn es mit einem drahtlosen Netz verbunden ist. Ein mobiles Gerät schaltet
in den aktiven Zustand, wenn es Pakete senden oder empfangen muss.
Leistungsmanagementschemata stellen den Übergang der mobilen Geräte in den
Ruhezustand sicher, wenn während
eines spezifizierten Zeitbegrenzungszeitraumes keine Daten gesendet oder
empfangen werden. Ein LVDT-Angriff kann das Durchbrechen des Leistungsmanagementschemas durch
periodisches Senden niedriger Datenvolumen an das mobile Gerät beinhalten.
Durch das richtige Timing der Paketankunft kann der Angreifer das
mobile Gerät
kontinuierlich im aktiven Modus halten, wobei mit einer relativ
kleinen Verkehrsmenge ein ungewöhnlich
hoher Energieabzug erzeugt wird. Ein LVDT-Angriff kann schwerwiegenden
Schaden anrichten, während
er aufgrund der niedrigvolumigen Natur des Angriffs leicht zu starten
und schwer zu erkennen ist.
-
Es
ist die Strategie des LVDT-Angriffs, auf die sich die vorliegende
Erfindung konzentriert. Der Niedrigvolumendaten-Auslöseangriff,
hierin auch als ein Batterieangriff bezeichnet, wird am Besten im Kontext
der unterschiedlichen Zustände
eines mobilen Gerätes
und der in jedem Zustand verbrauchten Leistung verstanden.
- • Abgeschaltet:
In diesem Zustand verbraucht das mobile Gerät überhaupt keine Energie.
- • Inaktiv:
In diesem Zustand ist das mobile Gerät eingeschaltet, jedoch nicht
mit dem drahtlosen Netz verbunden. Da das mobile Gerät nicht
mit dem drahtlosen Netz kommuniziert (außer Niedrigfrequenz-Paging),
spart das mobile Gerät
in diesem Zustand Energie.
- • Ruhezustand:
Dies ist der Zustand, in den ein mobiles Gerät wechselt, nachdem es sich
selbst mit dem drahtlosen Netz verbunden und authentifiziert hat.
In diesem Zustand ist das mobile Gerät bereit für die Übertragung und den Empfang
von Daten, tut dies jedoch gerade nicht. Periodisch (z. B. alle
20 ms bei einer typischen 3G-Implementierung) überträgt das mobile Gerät Leistungssteuerungsrahmen
an die Basisstation, um der Basisstation Informationen zur Qualität der drahtlosen Verbindung
bereitzustellen. Ein mobiles Gerät verbraucht
im Ruhezustand aufgrund der Übertragung
der Leistungssteuerungsrahmen Energie. Ein mobiles Gerät wechselt
in den inaktiven Zustand, wenn ein Zeitraum (z. B. 20 Sekunden)
Inaktivität
auf der drahtlosen Verbindung stattgefunden hat, in dem keine Daten übertragen
oder empfangen wurden.
- • Tx/Rx
(Übertragung/Empfang):
In diesem Zustand überträgt und empfängt das
mobile Gerät aktiv
Daten. Aufgrund der/s kontinuierlichen Übertragung und/oder Empfangs
wird in diesem Zustand die meiste Energie verbraucht.
-
Im
Allgemeinen gilt, je größer die
Aktivität
an der Netzschnittstelle des mobilen Gerätes, desto mehr Energie wird
verbraucht. Ein mobiles Gerät
verbraucht aufgrund der häufigen
Nutzung der Netzschnittstelle zum Übertragen von Leistungssteuerungsrahmen
während
des Ruhezustandes im Ruhezustand nahezu genau soviel Energie wie
im Tx/Rx-Zustand. Ferner verbraucht das mobile Gerät, außer wenn
es abgeschaltet ist, im inaktiven Zustand die wenigste Energiemenge,
und zwar aufgrund der Inaktivität
der Schnittstelle. Dies stimmt überein
mit den experimentellen Ergebnissen mit einem typischen PDA, welche
zum Beispiel einen Energieverbrauch von 30 mA im inaktiven Zustand,
270 mA im Ruhezustand und 300 MA im Tx/Rx-Zustand zeigen.
-
Dies
lässt darauf
schließen,
dass ein Angreifer den maximalen Schaden anrichten kann, indem er eine
Ver kehrsmenge sendet, die gerade ausreichend ist, um das mobile
Gerät in
einem aktiven Zustand zu halten (z. B. entweder im Ruhezustand oder
im Tx/Rx-Zustand). Zum Beispiel zeigen Experimente, dass ein einfacher „Ping"-Angriff auf ein mobiles Gerät, bei dem
der Ping gerade einmal alle 20 Sekunden wiederholt wird, eine Erhöhung des
Energieverbrauchs durch das mobile Gerät von nahezu zehnmal dem Energieverbrauch
des mobilen Gerätes
unter normalen Betriebsbedingungen verursacht.
-
Batterieangriffeigenschaften
-
Die
Schlüsseleigenschaften
des Batterieangriffs sind:
- • Leichtes Starten eines Angriffs:
Um ein mobiles Gerät
aktiv zu halten, ist alles, was der Angreifer tun muss, vor der
Ruhezustand-Timer-Zeitüberschreitung
ein kleines Paket an das mobile Gerät zu senden. Wenn sich ein
mobiles Gerät
für einen Zeitraum
x im Ruhezustand befindet (d. h. es überträgt oder empfängt keine
Daten), wobei x der spezifizierte Ruhezustand-Timer-Zeitüberschreitungsintervall
ist, dann wechselt das mobile Gerät in den inaktiven Zustand.
- • Schwierigkeit
bei der Erkennung: Die niedrigvolumige Natur des Angriffs erlaubt
dem Angreifer das Umgehen vieler schwellenwertbasierter Eindringungserkennungsmechanismen
und Firewalls, welche hochvolumigen Angriffsverkehr, wie bei verdrahteten
Netz-DoS-Angriffen üblich,
herausfiltern.
- • Weitreichende
Auswirkung: Ein einzelner Angreifer kann viele mobilen Geräte in einem
drahtlosen Netz im aktiven Zustand halten. Im Gegensatz dazu würde es ein
herkömmlicher
DDoS-Angriff in einem verdrahteten Netz erfordern, dass ein Angreifer
Tausende Hosts beeinträchtigt,
um erfolgreich zu sein, insbesondere weil beliebte Seiten wie die
www.cnn.com und www.yahoo.com Server so große Bandbreiten und Verarbeitungsfähigkei ten
aufweisen.
-
Im
Gegensatz zu herkömmlichen
DoS-Angriffen, die in verdrahteten Netzen verwendet werden, ist
es in einem drahtlosen Netz wichtig zu versuchen, einen Batterieangriff
zu stoppen, bevor er ein mobiles Gerät erreicht. Dies ist deswegen
wichtig, weil, wenn das mobile Gerät erkennt, dass es angegriffen
wird, bereits eine erhebliche Energiemenge verschwendet wurde. Daher
ist es höchst
wünschenswert,
zu einer Lösung
zu gelangen, welche in der drahtlosen Infrastruktur untergebracht
ist und verhindert, dass solche Pakete das mobile Gerät überhaupt
erreichen.
-
Architektur für drahtlose Angriffsresistenz
(AWARE)
-
2 veranschaulicht
das drahtlose Beispielnetz 200 gemäß einer Ausführungsform
der vorliegenden Erfindung. Das drahtlose Netz 200 weist Elemente
auf, welche denen des drahtlosen Beispielnetzes 100 von 1 entsprechen,
nämlich
das mobile Gerät 202,
der Zellenturm 204, die Basisstation (BS) 206,
der Funknetzcontroller (RNC) 208 und der Paketdaten-Dienstknoten
(PDSN) 210. Jedes dieser Elemente von Netz 200 funktioniert ähnlich seinem entsprechenden
Element in Netz 100.
-
Das
drahtlose Netz 200 weist auch die Architektur für drahtlose
Angriffsresistenz (AWARE) 212 auf. Obwohl die AWARE-Architektur
in 2 als gemeinsam mit einer Firewall zwischen dem
PDSN und dem Internet implementiert veranschaulicht ist, sei darauf
hingewiesen, dass auch alternative Implementierungen der AWARE-Architektur
möglich
sind. Wie für
einen Fachmann auf dem Gebiet verständlich sein dürfte, kann
anhand der folgenden Diskussion die AWARE-Architektur als ein unabhängiges Hardwareelement
implementiert sein oder als eine Softwarefunktion zusammen mit einem
oder mehreren der anderen Elemente des drahtlosen Netzes. Die Operation
der AWARE-Architektur 212 ist unten detaillierter beschrieben.
-
3 veranschaulicht
das oberste Level des Funktionsflusses 300 für einen
Abschnitt der Verarbeitung, durchgeführt durch die AWARE-Architektur 212 von 2.
Die Verarbeitung beinhaltet die Schritte der Profilaufstellung 302,
der Erkennung 304 und des Schutzes 306. Im Profilaufstellungsschritt 302 werden
die normalen Verkehrseigenschaften des Netzes und der mobilen Geräte sowie
Schätzungen
des Energieverbrauchs der mobilen Geräte verwendet, um einen Satz
normaler Energieeffizienzverhältnisse
(EERs) zu bestimmen, bei denen ein EER als das Verhältnis der
Datenmenge übertragen
oder empfangen durch ein mobiles Gerät in einem gegebenen Intervall
zur Energiemenge verbraucht durch dieses mobile Gerät während des
gleichen Intervalls definiert ist. Im Erkennungsschritt 304 werden
tatsächliche
EERs für
mobile Geräte
im Netz bestimmt. Diese werden mit den EERs für mobile Geräte im Netz
unter normalen Betriebsbedingungen verglichen (z. B. kein Angriff).
Wenn die Verhältnisse
erheblich vom Standard abweichen, wird angenommen, dass ein Angriff
stattfindet, und in Schritt 306 werden Schritte unternommen
(z. B. dynamisches Filtern), um das Netz zu schützen. Die EERs können während der
Profilaufstellung und der Erkennung für eine Vielzahl von Kommunikationsszenarios
geschätzt
werden, was es zulässt,
dass ein EER-basierter Schwellenwert ausgewählt wird, welcher für die gerade
analysierten Kommunikationen am relevantesten ist. Als ein Beispiel
kann eine EER-Statistik entwickelt für einen Einzelnutzer-Streaming-Ton
einer gegebenen Bitrate verwendet werden, um einen Schwellenwert
zu entwickeln, der für
dieses spezifische Szenario oder einen Satz von Szenarios von Streaming-Ton über einem
gegebenen Bereich von Bitraten angemessen ist.
-
Energieeffizienzverhältnis
-
Das
EER kann auf eine Reihe unterschiedlicher Arten berechnet werden.
Zum Beispiel kann in einer computerimplementierten Ausführungsform
die folgende Berechnung durch einen Prozessor innerhalb der AWARE-Architektur
durchgeführt
werden, um das EER zu bestimmen:
wobei D
i die
Datengröße jeden
Paketes i in Bit ist, welches während
des Zeitintervalls T gesendet oder empfangen wird, und P
i die während
der Übertragung oder
des Empfangs des i-ten Paketes verbrauchte Energie ist.
-
Bei
einigen Ausführungsformen
können
Annahmen getroffen werden, um die Einzelheiten zu minimieren, die
erforderlich sind, um ein EER zu berechnen. Zum Beispiel kann anstelle
der Verfolgung der exakten Größe jeden
Paketes das einfache Verfolgen der Anzahl von Paketen bei einigen
Anwendungen ausreichend sein. Auch kann anstelle des Berechnens
einer Summierung der für
jede Paketübertragung
verbrauchten Energie zur Verwendung im Nenner der Gleichung (1)
der gesamte Energieverbrauch während
des Intervalls verzeichnet und festgehalten werden, oder auch eine
Stichprobe der Energieverbrauchsrate usw. Weitere Ansätze sind
möglich.
Die Grundidee ist das Erreichen einer Schätzung des EER unter „normalen" Umständen.
-
Der
Satz von EER-Werten entspricht einem Satz normaler EER-Statistiken
parametrisiert für
unterschiedliche Umstände
und Bedingungen. Zu zusätzlichen
Informationen, die beim Aufbau eines Profils für jeden Benutzer verwendet
werden können, zählen Paketankunftszeiten,
IP-Adressen und Anschlussnummern der Quellen und Ziele sowie die
Anwendungsschichteigenschaften wie die Verkehrsart (HTTP, RTP).
-
Bei
verschiedenen Ausführungsformen
sammelt der Profiler Statistiken pro Benutzer, pro Anwendung sowie
pro Server zusammen. Eine Pro-Benutzer-Statistik kann ferner zum
Beispiel in Pro-Anwendungs-Statistiken kategorisiert werden. Zum
Beispiel ist das Web-Surfing ein häufig verwendeter Dienst. Ähnlich kann
ein Video-on-Demand-Server
RTP-Pakete verwenden, um Videos an Benutzer zu senden. Statistiken
auf einer Pro-Web-Server-Basis
können auch
durch das Protokollieren der Ankunft von HTTP/RTP-Paketen zusammengestellt
werden.
-
Um
die Skalierbarkeit zu ermöglichen,
können
die Profile über
Benutzer mit ähnlichem
Verhalten hinweg zusammengesammelt werden. Der Verkehr kann dann
mit dem zusammengenommenen Profil verglichen werden, um Unstimmigkeiten
zu erkennen. Die zusammengenommenen Profile können analog für beliebte
Server und auch für
beliebte Anwendungen gepflegt werden.
-
Die
Flexibilität
der Verwendung unterschiedlicher Klassifizierungsansätze erlaubt
eine umfassendere und genaue Charakterisierung von dem, was als
normaler Verkehr erachtet wird. Dieses Profil wird verwendet, um
zu bestimmen, was "anomaler" Verkehr ist, durch
die Verwendung der EER-Mechanismen in einer Ausführungsform, während auch
die Wahrscheinlichkeit von falsch positiven Resultaten (inkorrekte
Klassifizierung von gültigem
Verkehr als böswilliger
Verkehr) minimiert wird.
-
Zum
Erkennen der Gegenwart eines böswilligen
Angriffs, z. B. vom böswilligen
Server 214 von 2, wird eine angemessene Heuristik
zur Erkennung verwendet, wie zum Beispiel, dass der Energieverbrauch
für eine
spezifizierte Menge an übertragenen
Daten signifikant höher
ist als dies unter normalen Umständen
der Fall ist. Es sei darauf hingewiesen, dass, obwohl 2 einen
DoS-Angriff darstellt, welcher über das
Internet initiiert wird, DoS-Angriffe auch innerhalb der drahtlosen
Infra struktur, einschließlich
an mobilen Endpunkten, initiiert werden können. Wenn sämtlicher
mobil-initiierter Verkehr zu der Firewall geroutet wird (mit der
die AWARE-Architektur gemeinsam untergebracht ist), kann ein böswilliges
mobiles Gerät
identisch wie ein böswilliger Server
im Internet behandelt werden.
-
Es
ist relativ einfach, die Verkehrsmenge zu bestimmen, ohne die mobilen
Geräte
mit einzubeziehen. Nahezu jedes Gerät in der drahtlosen Infrastruktur,
welches sich auf dem Pfad zu dem mobilen Gerät befindet, kann die Verkehrsmenge
berechnen, welche an mobilen Geräten
ankommt bzw. dort abgeht, vorausgesetzt es sind ausreichend Informationen über die
mobilen Geräte
vorhanden. Die für
den Verkehr verbrauchte Energie ist jedoch ohne die Unterstützung des
mobilen Gerätes
nicht so leicht verfügbar.
Die mobilen Geräte
können
modifiziert sein, um Informationen über ihren Energieverbrauch
zu kommunizieren. Alternativ dazu kann der Energieverbrauch basierend
auf dem Paketankunftsmuster geschätzt werden.
-
Der
schwierigste Teil bei der Berechnung des EER ist das Messen des
Energieverbrauchs am mobilen Gerät.
Wenn der exakte Energieverbrauch benötigt wird, muss das mobile
Gerät modifiziert
sein, um diese Informationen an eine Zwischenstation zu melden.
Jedoch kann dies in der Praxis schwierig sein, da die Modifikation
von mobilen Geräten
die Koordination mehrerer Parteien zum Standardisieren der Schnittstelle
usw. beinhaltet. Selbst wenn die mobilen Geräte modifiziert werden können, bleibt
eine weitere Herausforderung bestehen, wie die verbrauchte Energie
aufgrund von Datenübertragung von
der verbrauchten Energie aufgrund anderer Aktivitäten (z.
B. das Anhören
von MP3s) am mobilen Gerät
zu trennen ist.
-
Das
Problem wird zuerst durch die Beobachtung in Angriff genommen, dass
die Energieverbrauchsmessungen nicht hochakkurat sein müssen. Wichtig
ist, in der Lage zu sein zu verifizieren, dass der Energieverbrauch
anomal höher
als normal ist. Daher kann der Energieverbrauch basierend auf dem Verkehr
zu den mobilen Geräten
hin und von ihnen weg geschätzt
werden. In einem CDMA-Netz zum Beispiel steuert der RNC die Übertragungsleistung von
mobilen Geräten.
Aufgrund dessen erhält
man eine angemessen akkurate Energieverbrauchsschätzung vom
RNC, welche die Kenntnis der Pakete ankommend an und abgehend von
den mobilen Geräten
vorausgesetzt.
-
Es
gibt verschiedene mögliche
Positionen für die
AWARE-Architektur,
von denen jede die Erkennung der Batterieangriffe ermöglicht.
Es kann von Nutzen erscheinen, dass die AWARE-Architektur zusammen
mit der ES und/oder dem RNC untergebracht ist, da dies Zugang zu
den Leistungssteuerungsinformationen übertragen an das mobile Gerät von der
ES mit Leistungsempfehlungen für
das mobile Gerät
erlauben würde.
Jedoch stellt, weil ein mobiles Gerät möglicherweise nicht mit den
empfohlenen Werten überträgt, diese
Quelle von Energieverbrauchsdaten nicht notwendigerweise exakte
Werte für
das EER bereit. Jedoch stellt das EER-Verhältnis die verbrauchte Energie
gegenüber
den entsprechenden übertragenen
Daten bereit, und muss nicht akkurat sein. Das Ziel hier ist nicht
das Ableiten eines exakten Wertes des EER. Vielmehr ist das Ziel
das Ansehen relativer Werte des EER zum Erkennen einer anomalen
Tendenz. Spezifisch besteht, wenn das derzeitige Verhalten für einen
Benutzer nicht mit dem Durchschnittsprofil des Benutzers übereinstimmt,
eine hohe Wahrscheinlichkeit, dass eine EER-Verletzung stattgefunden
hat.
-
Die
EER-Schätzung
durch die Zuweisung zufällig
erzeugter Energieverbrauchsgewichte für unterschiedliche Operationen
führt dazu,
dass die gleichen Ströme
erkannt werden wie im Vergleich zu einem, welches die echten Energieempfehlungen
der mobilen Geräte
verwendet. Somit ergibt sich kein Genauigkeitsgewinn durch die Unter bringung
der AWARE-Architektur an einer bestimmten Position im Vergleich
zu einer der anderen möglichen
Positionen in der drahtlosen Infrastruktur. Da die Reaktionszeit
auf Angriffe genauso wichtig ist wie der Erkennungsmechanismus,
kann es bevorzugt sein, die AWARE-Architektur gemeinsam mit der
Firewall unterzubringen, um die schnellste Reaktionszeit zu erreichen.
-
Schnittstelle mit Firewall/Gateway
-
Bei
einer möglichen
Ausführungsform
ist die AWARE-Architektur
zusammen mit der Firewall eines drahtlosen Dienstanbieters untergebracht.
In diesem Modell gibt es keine Annahmen, ob sich die drahtlose Infrastruktur
der AWARE-Architektur bewusst ist und mit ihr interagiert. Die AWARE-Architektur
verwendet IP-Schicht-Informationen wie die Paketankunft und Informationen
aus den IP/TCP- und Anwendungsschicht-Headern zum Erstellen von
Profilen. Dies lässt
annehmen, dass die AWARE-Architektur in ein Paket hineinsehen kann.
Wenn IPsec im Tunnelmodus aktiviert wurde, dann kann die AWARE-Architektur
zusammen mit dem IPsec-Gateway in der Domain untergebracht sein,
um in der Lage zu sein, Paket-Header und Nutzdaten zu entschlüsseln und
zu überprüfen.
-
In
einer relativ nicht-invasiven Architektur schaut sich die AWARE-Architektur
die IP-Pakete an, welche ihr von der Firewall weitergeleitet werden,
bevor sie den PDSN erreichen. Sämtliche
Informationen sind in den Anwendungs-, TPC- und IP-Headern und den
Nutzdaten selbst enthalten. Relevante Informationen, die verwendet
werden, um das Profil zu erstellen, können aus den obigen Headern
und Nutzdaten extrahiert werden.
-
Die
AWARE-Architektur sollte in der Lage sein, mit bereits bestehenden
Firewalls oder IPsec-Gateways zu kommunizieren. Idealerweise könnte die
AWARE-Architektur zusammen mit diesen Einheiten untergebracht sein, um
sofort einen Filter zu installieren, zum Beispiel um suspekten Verkehr zu
blockieren. Wenn die AWARE-Architektur nicht zusammen mit dem IPsec-Gateway
untergebracht ist, wird ein Sicherheitszusammenhang mit dem Gateway
aufgebaut, um in der Lage zu sein, ESP-verkapselte Pakete im Tunnelmodus
zu entschlüsseln
und zu verarbeiten. Selbst wenn die AWARE-Architektur nicht zusammen
mit der Firewall untergebracht ist, gibt es üblicherweise eine Schnittstelle
mit den meisten handelsüblich
erhältlichen
Firewalls wie der Checkpoint Firewall-1, welche die Konfiguration
von Filtern zulässt.
-
Die
AWARE-Architektur kann unter Verwendung handelsüblicher Standardausrüstung jeden Herstellers
eingesetzt werden. Für
die Korrelation ist eine Schnittstelle zu der drahtlosen Infrastruktur
zum Abfragen des Status des drahtlosen Benutzers definiert. Die
Schnittstelle erlaubt der AWARE-Architektur in einer sicheren Art
und Weise mit der drahtlosen Infrastruktur zu kommunizieren, um
benutzerspezifische Informationen zu erhalten.
-
Für die Erkennung
kann ein Snort genannter IDS-Mechanismus von jedem Hersteller verwendet werden,
um die Funktionalität
der AWARE-Architektur zu emulieren. Spezifisch korreliert Snort
die Informationen, die von der drahtlosen Infrastruktur erhalten
werden. Dieser Status kann auch unter Verwendung von früher dargelegten
Algorithmen geschätzt werden.
Snort kann den Netzverkehr auf Übereinstimmungen
mit einen benutzerdefinierten Regelsatz analysieren und mehrere
Aktionen basierend auf dem, was es sieht, durchführen. Zum Beispiel kann Snort
eine Regel in der Firewall zum Blockieren aller Pakete mit Headern
installieren, welche eine bestimmte Quelladresse enthalten. Snort
ist modular und erlaubt die Installation neuer Plug-ins, welche
es zulassen, dass der Erkennungsmechanismus spezifisch angepasst
und für
die Verteidigung gegen gegenwärtige
und zukünftige
Angriffe verbessert wird.
-
Plug-in
ist ein generischer Begriff, welcher Module betrifft, die dynamisch
hinzugefügt
werden können,
um das Verhalten von Snort zu verändern. Zum Beispiel können Erkennungs-Plug-ins
eingeführt
werden, um die Erkennungsfunktionalität zu verbessern. Die zuvor
beschriebene Erkennungsheuristik kann als ein neues Erkennungs-Plug-in
in Snort eingefügt
werden.
-
Für die Reaktion
kann ein Schnittstellen-Plug-in namens Snortsam verwendet werden,
um eine Schnittstelle mit der Firewall zu bilden und auf erkannte
DoS-Angriffe zu reagieren. Snortsam ist tatsächlich ein softwarebasierter
Agent, welcher auf der Firewall selbst läuft, während er sicher mit Snort kommuniziert.
Diese Komponente verwendet den OPSEC-Standard zum Kommunizieren
mit beliebten Firewalls wie der Checkpoint Firewall-1, CISCO PIX. Snort
kann anfänglich
verwendet werden, um Filter auf der Firewall zu installieren, um
böswilligen
Verkehr zu blockieren. Anschließend
kann Snort eine Schnittstelle mit dem drahtlosen Paketterminplaner bilden,
um die Priorität
von böswilligem
Verkehr zu verringern.
-
Während diese
Erfindung unter Bezugnahme auf veranschaulichende Ausführungsformen
beschrieben wurde, ist diese Beschreibung nicht in einem einschränkenden
Sinn zu interpretieren. Verschiedene Modifikationen der beschriebenen
Ausführungsformen
sowie weitere Ausführungsformen der
Erfindung, welche dem Fachmann auf dem Gebiet, zu welchem die Erfindung
gehört,
klar sind, sollen als innerhalb des Grundsatzes und des Umfangs der
Erfindung, wie in den Ansprüchen
dargelegt, liegend gelten.
-
Obwohl
die Schritte in den folgenden Verfahrensansprüchen in einer bestimmten Reihenfolge
mit entsprechender Kennzeichnung genannt sind, sind diese Schritte
nicht notwendigerweise darauf beschränkt gedacht, in dieser bestimmten
Reihenfolge implementiert zu werden, es sei denn, die Ansprüche implizieren
anderweitig eine bestimmte Reihenfolge für das Implementieren einiger
oder aller dieser Schritte.