对潜在安全威胁的基于位置的识别的制作方法

1.本公开涉及电信系统。


背景技术：

2.移动国家码(mcc)和移动网络码(mnc)一起唯一地标识移动订户的服务核心网络。mcc可以是对应于国家的三位十进制数字，并且mnc可以是对应于该国家内的移动网络的两位或三位十进制数字。国际移动订户身份(imsi)唯一地标识用户设备(ue)，例如移动电话。
附图说明
3.图1图示了根据示例实施例的用于基于对应于移动订户的位置信息来识别潜在安全威胁的系统。
4.图2图示了根据示例实施例的存储对应于移动订户的位置和时间戳信息的数据库。
5.图3图示了根据示例实施例的包括移动订户在位置之间行进的最小时间的矩阵。
6.图4图示了根据示例实施例的包括对应于移动订户的位置信息的路由区域身份(rai)信息元素(ie)。
7.图5图示了根据示例实施例的包括对应于移动订户的位置信息的用户位置信息(uli)ie。
8.图6a-6c图示了根据示例实施例的图5的uli ie的替代地理位置字段。
9.图7图示了根据示例实施例的包括对应于移动订户的位置信息的服务网络ie。
10.图8图示了根据示例实施例的包括对应于移动订户的位置信息的另一个uli ie。
11.图9图示了根据示例实施例的用于基于对应于移动订户的位置信息来识别潜在安全威胁的4g系统。
12.图10图示了根据示例实施例的用于使用rai ie基于对应于移动订户的位置信息来识别安全威胁的系统。
13.图11a图示了根据示例实施例的图10的系统中的分组数据协议(pdp)上下文创建的调用流程图。
14.图11b图示了根据示例实施例的图10的系统中的由于用户设备(ue)切换导致的pdp上下文更新的调用流程图。
15.图12图示了根据示例实施例的被配置为基于对应于移动订户的位置信息来识别潜在安全威胁的计算设备的框图。
16.图13图示了根据示例实施例的用于基于对应于移动订户的位置信息来识别潜在安全威胁的方法的流程图。
具体实施方式
17.概览
18.本发明的各方面在独立权利要求中陈述并且优选特征在从属权利要求中陈述。一个方面的特征可以单独或与其他方面组合应用于每个方面。
19.在一个示例实施例中，防火墙获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码。防火墙获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码。防火墙确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同。如果确定第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同，则防火墙确定第二时间与第一时间之间的差异是否小于阈值差异。如果确定第二时间与第一时间之间的差异小于阈值差异，则防火墙将第二网络分组与潜在安全威胁相关联。
20.还描述了用于实现本文描述的方法的系统和装置，包括网络节点、计算机程序、计算机程序产品、计算机可读介质、以及编码在有形介质上用于实现这些方法的逻辑。
21.示例实施例
22.图1图示了用于基于对应于移动订户的位置信息来识别潜在安全威胁的系统100。系统100包括用户设备(ue)105、归属网络110和漫游网络115。ue 105可以是具有唯一国际移动订户身份(imsi)的移动电话。归属网络110可以与移动国家码(mcc)120(1)和移动网络码(mnc)125(1)相关联，它们共同唯一地标识归属网络110。漫游网络115可以与mcc 120(2)和mnc 125(2)相关联，它们共同唯一地标识漫游网络115。
23.归属网络110包括无线电基站130(1)(例如enodeb)、归属公共陆地移动网络(hplmn)移动分组核心135和防火墙140。无线电基站130(1)和hplmn移动分组核心135可以被配置为向ue 105提供一个或多个服务(例如，互联网连接)。漫游网络115包括无线电基站130(2)(例如enodeb)和访问公共陆地移动网络(vplmn)移动分组核心145。漫游网络115被配置为当ue 105不能直接访问归属网络110时使ue 105能够访问归属网络110提供的(一个或多个)服务。因此，系统100可以为ue 105提供漫游能力。
24.通常，归属网络110的移动网络运营商将向漫游网络115的移动网络运营商支付费用以使ue 105能够访问归属网络110提供的(一个或多个)服务，并稍后向ue 105的用户收取漫游费。在该示例中，然而，例如，ue 105的用户是企图进行漫游欺诈的不良行为者，由此用户经由漫游网络115访问由归属网络110提供的(一个或多个)服务，而使得归属网络110的移动网络运营商无法针对所提供的服务向ue 105的用户收费，并且无法弥补向漫游网络115的移动网络运营商支付费用的损失。
25.在一些情况下，从移动网络运营商的角度，漫游欺诈(例如imsi劫持)可以使得ue 105似乎在不可思议的小时间窗口中访问归属网络110和漫游网络115。由于从直接访问归属网络110的第一位置行进到访问漫游网络115的第二位置的时间大于明显访问时间的差异，因此时间窗口小得不可思议。例如，如果归属网络110仅在美国可直接访问而漫游网络115仅在欧洲可直接访问，则ue 105不可能在小于一小时之内访问归属网络110和漫游网络115两者。
26.因此，防火墙140包括安全威胁识别逻辑150，其使防火墙140能够执行本文描述的操作。简而言之，安全威胁识别逻辑150可以允许归属网络110的移动网络运营商检测ue 105的在物理上不可能的位置变化并识别潜在的漫游欺诈。在一个示例中，防火墙140在时
间t＝1从ue 105获得网络分组155(1)。网络分组155(1)指示mcc 120(1)和mnc 125(1)。在时间t＝2，防火墙140从ue 105获得网络分组155(2)。网络分组155(2)指示mcc 120(2)和mnc 125(2)。在一个示例中，网络分组155(1)和155(2)可以是分组数据协议(pdp)分组。
27.防火墙140可以确定mcc 120(1)是否不同于mcc 120(2)和/或mnc 125(1)是否不同于mnc 125(2)。在一些情况下，防火墙140可以仅确定mcc 120(1)不同于mcc 120(2)(并忽略或避免执行mnc 125(1)和mnc 125(2)的比较)。在这种情况下，防火墙140确定mcc 120(1)不同于mcc 120(2)并且mnc 125(1)不同于mnc 125(2)。作为响应，防火墙140确定时间t＝2和时间t＝1之间的差异是否小于阈值差异。例如，阈值差异可以是ue 105从对应于mcc 120(1)和mnc 125(1)的位置物理行进到对应于mcc 120(2)和mnc 125(2)的位置的最小时间。
28.如果防火墙140确定时间t＝2和时间t＝1之间的差异小于阈值差异，则防火墙140可以将网络分组155(2)与潜在安全威胁(例如，漫游欺诈)相关联。在一个示例中，防火墙140可以发布指示网络分组155(2)与潜在安全威胁相关联的事件日志(例如，系统日志)。在另一个示例中，防火墙140可以丢弃、阻止和/或重定向网络分组155(2)和/或属于与网络分组155(2)相同的网络会话的任何后续网络分组。每当接收到具有mcc和mnc数据的新网络分组时，防火墙140可以重复该过程。
29.防火墙140从而可以在同一平台中使用日志和用户可管理性来提供用户粒度的可见性。这是对移动网络运营商环境中的典型欺诈检测系统的改进，典型欺诈检测系统通常由计费、收费和中介系统部门来处理并且对于管理移动分组核心和与合作伙伴漫游协议的团队来说很麻烦。将现有欺诈检测系统与多供应商移动分组核心集成的成本维护起来很昂贵，并且iot需要甚至更多时间来实施(例如，检测系统和分组核心之间的供应商间可操作性测试等)。由于用于迁移和转换的大量资源，许多欺诈检测系统是过时的系统。因此，防火墙140可以代表用于漫游欺诈检测的更低成本且更高效的替代方案。
30.在一个示例中，网络分组155(1)还可以指示ue 105在时间t＝1的小区标识(ci)，并且网络分组155(2)还可以指示ue 105在时间t＝2的ci。在该示例中，防火墙140可以确定第一ci是否不同于第二ci，并且如果不同，则确定时间t＝2和时间t＝1之间的差异是否小于阈值差异。因此，在某些情况下，ci(和/或位置区码(lac))也可以/替代地被用于确定ue 105的位置。这在mcc/mnc相同但ci不同并对应于漫游合作伙伴的情况下可能特别有用。因此，可以提供旋钮来作为移动网络运营商在系统日志中包括ci的选项。
31.下面提供了示例命令行接口(cli)。cli可以是“policy-map type inspect gtp”子模式的一部分。
32.policy-mapy type inspect gtp《gtp_policy_name》
33.parameters
34.[no]location-logging[cellid]
[0035]
其中“cell-id”是将包含在系统日志中的小区全局标识符(cgi)或扩展cgi(ecgi)(如果存在的话)。
[0036]
防火墙140可以发出一个或多个系统日志以利用ci信息向移动网络运营商通知位置改变。在一个示例中，移动网络运营商可以激活“记录时间戳”，以便通过系统日志查看位置之间的时间差异。可以根据本文描述的操作提供至少两个系统日志，一个用于pdp上下文
激活(当ue 105连接到归属网络110时)并且一个用于位置改变(当ue 105连接到漫游网络115时)。针对当ue 105的pdp上下文激活成功完成并且不存在现有pdp上下文时(或当存在现有pdp上下文但位置信息相同时)提供了第一系统日志的示例：
[0037]
％asa-3-:subscriber《imsi》pdp context activated on network mcc《mcc》mnc《mnc》.
[0038]
％asa-3-:subscriber《imsi》pdp context activated on network mcc《mcc》mnc《mnc》《mnc》cellid《cellid》
[0039]
针对当pdp上下文激活或切换发生并且位置已更改时提供了第二系统日志的示例：
[0040]
％asa-3-:subscriber《imsi》location changed during《procedure》from mcc《mcc》mnc《mnc》to mcc《mcc》mnc《mnc》
[0041]
％asa-3-:subscriber《imsi》location changed during《procedure》from mcc《mcc》mnc《mnc》cellid《cellid》to mcc《mcc》mnc《mnc》cellid《cellid》
[0042]
现在转到图2并继续参考图1，示出了存储对应于imsi 1、imsi 2、...imsi n的位置和时间戳信息的示例数据库200。数据库200可以本地存储在防火墙140处或远离防火墙140。数据库200包括分别对应于imsi 1、imsi 2、...imsi n的列210(1)-210(n)。数据库200还包括行220(1)、220(2)等。行220(1)包括与imsi 1、imsi 2、...imsi n相关联的最新[mcc,mnc]元组(例如，mcc 1是与imsi 1相关联的最新mcc并且mnc 1是与imsi 1相关联的最新mnc等)。行220(2)包括与[mcc,mnc]元组相关联的最新时间戳(例如，时间戳1是运载mcc 1和mnc 1的网络分组被获取的时间，时间戳2是运载mcc 2和mnc 2的网络分组被获取的时间等)。
[0043]
参考系统100，imsi 1可以对应于ue 105，mcc 1可以对应于mcc 120(1)，mnc 1可以对应于mnc 125(1)，并且时间戳1可以对应于t＝1。防火墙140可以在数据库200中存储mcc 120(1)和mnc 125(1)。在确定mcc 120(1)是否不同于mcc 120(2)或mnc 125(1)是否不同于mnc 125(2)之前，防火墙140可以从数据库200检索mcc 120(1)、mnc 125(1)和时间戳1。防火墙140可以将mcc 120(1)、mnc 125(1)和时间戳1与mcc 120(2)、mnc 125(2)以及获取网络分组155(2)的时间进行比较，以确定网络分组155(2)是否是安全威胁(例如，漫游欺诈)。在一个示例中，防火墙140还可以在归属网络110和漫游网络115之间的切换时将mcc 120(2)和mnc 125(2)存储在数据库200中。移动网络运营商可以选择激活时间戳记录并查找相关时间戳来推断信息以进行进一步分析。
[0044]
在pdp上下文创建时，mcc 120(1)和mnc 125(1)可以存储在数据库200和/或pdp上下文中。数据库200可具有优于pdp上下文的某些优势，例如即使在pdp上下文过期之后也有助于维护ue 105的位置的历史。在一个示例中，数据库200可以仅存储ue 105的最近的mcc和mnc。替代地，数据库200可以存储ue 105的所有的mcc和mnc。在又一示例中，数据库200可以存储ue 105的一些但非全部的mcc和mnc(例如，给定数量的针对ue 105获取的最近的mcc和mnc，在给定时间段内获取的ue 105的最近的mcc和mnc等)。
[0045]
现在转到图3并继续参考图3，示出了示例矩阵300，其包括移动订户在位置之间行进的最小时间。矩阵300至少包括列310(1)-310(6)和行320(1)-320(6)。每一列310(1)-310(6)和每一行320(1)-320(6)对应于[mcc,mnc]元组。例如，列310(1)对应于[mcc 1.mnc 1]，
列310(2)对应于[mcc 1,mnc 2]等。类似地，行320(1)对应于[mcc 1,mnc 1]，行320(2)对应于[mcc 1,mnc 2]等。矩阵300还包括移动订户在对应于[mcc,mnc]元组的位置之间行进的最小时间。例如，矩阵300包括移动订户从对应于[mcc 1，mnc 1]的位置行进到对应于[mcc 2，mnc 2]的位置的最小时间
[0046]
参考系统100，mcc 1可以对应于mcc 120(1)，mnc 1可以对应于mnc 125(1)，mcc 2可以对应于mcc 120(2)，并且mnc 2可以对应于mnc 125(2)。当防火墙140获取网络分组155(2)时，防火墙140可以确定t＝2和t＝1之间的差异是否小于在矩阵300中提供的相应最小时间(这里，为[mcc 1,mnc 1]和[mcc 2,mnc 2]指示的最小时间)。矩阵300可以被预先配置(例如，由制造商)和/或由移动网络运营商调整。尽管在该示例中矩阵300使用[mcc,mnc]元组，但应理解，在其他示例中矩阵300可仅使用mcc数据来检测欺诈(例如，整个mcc、mcc的第一位数字表示地理区域等)。
[0047]
矩阵300的示例cli配置如下：
[0048]
gtp-mcc-mnc《list_of_mcc_mnc》
[0049]
《[mcc,mnc]》
[0050]
《[mcc,mnc]》
[0051]
……
[0052]
###[no]gtp-location-change《name》
[0053]
gtp-location-change fraud_alert_matrix
[0054]
《[mcc,mnc]》to《list_of_mcc_mnc》min-time 2:00:00
[0055]
《[mcc,mnc]》to《[mcc,mnc]》min-time 1:00:00
[0056]
《[mcc,mnc]》to《[mcc,mnc]》min-time 1:30:00
[0057]
《[mcc,mnc]》to《[mcc,mnc]》min-time 0:30:00
[0058]
gtp-location-change loc_changes_log
[0059]
《[mcc,mnc]》to《list_of_mcc_mnc》min-time 1:00:00
[0060]
《[mcc,mnc]》to《[mcc,mnc]》min-time 0:30:00
[0061]
###apply the above to the gtp policy-map
[0062]
###[no]location-tracking[not]《gtp_location_change_map》《drop|log》
[0063]
policy-map type inspect gtp mygtp
[0064]
parameters
[0065]
location-logging cellid.##log at creation and handoff time
[0066]
location-tracking loc_changes_log log.##log based on matrix above
[0067]
location-tracking fraud_alert_matrix drop##drop based on matrix above
[0068]
网络分组155(1)和155(2)可以是用于pdp上下文激活的创建pdp上下文请求和/或用于pdp上下文切换的更新上下文pdp请求。例如，网络分组155(1)可以是创建pdp上下文请求，并且网络分组155(2)可以是更新上下文pdp请求。替代地，网络分组155(1)和155(2)都可以是创建pdp上下文请求。pdp分组可以包括信息元素(ie)，其包括位置信息，例如mcc和mnc。因此，防火墙140可以从网络分组155(1)的ie中提取/检索mcc 120(1)和mnc 125(1)，并且从网络分组155(2)的ie中提取/检索mcc 120(2)和mnc 125(2)。
[0069]
防火墙140可以经由通用分组无线电服务(gprs)隧道协议(gtp)获取网络分组155
(1)和/或155(2)。防火墙140可以支持gtp版本0(gtpv0)、gtpv1、gtpv2等，其可以实现根据所实现的特定gtp版本而变化的ie。例如，gtpvl可以实现路由区域标识(rai)或用户位置信息(uli)ie，它们标识移动订户的服务核心网络。如果接收到rai ie和uli ie两者，则可以存储来自这两个ie的位置信息并与后面的[mcc,mnc]元组进行比较。例如，如果rai ie运载第一[mcc,mnc]元组，并且uli ie特征第二[mcc,mnc]元组，则当接收到运载第三[mcc,mnc]元组的ie时，或者当接收到仅运载第一和第二[mcc,mnc]元组之一的ie(并且没有运载另一[mcc,mnc]元组的ie)时，可以生成警报。
[0070]
图4图示了示例rai ie 400，其包括gtpv1中的对应于ue 105的位置信息。rai ie 400包括为位置信息指定的位。八位位组1的位1至8被指定用于ie类型(此处为十进制数3)。八位位组2的位1至4被指定用于mcc的第一个十进制数字。八位位组2的位5至8被指定用于mcc的第二个十进制数字。八位位组3的位1至4被指定用于mcc的第三个十进制数字。八位位组3的位5至8被指定用于mnc的第三个十进制数字。如果mnc仅包括两个数字，则八位位组3的位5至8可以编码为“1111.”。八位位组4的位1至4被指定用于mnc的第一个十进制数字。八位位组4的位5至8被指定用于mnc的第二个十进制数字。八位位组5和6的位1至8被指定用于lac。八位位组7的位1至8被指定用于路由区码(rac)。防火墙140可以利用rai ie解析器从rai ie 400提取位置信息(例如，mcc和mnc)以便执行本文描述的操作。
[0071]
图5图示了示例uli ie 500，其包括gtpv1中的对应于ue 105的位置信息。八位位组1的位1至8被指定用于ie类型(此处为十进制数152)。八位位组2和3的位1至8被指定用于uli ie 500的长度。八位位组4的位1至8被指定用于地理位置类型，并且八位位组5的位1至8被指定用于地理位置。地理位置类型指示存在于地理位置字段中的位置信息的类型。如果地理位置类型的十进制值为0，则地理位置字段包括移动订户当前注册地的cgi。如果地理位置类型的十进制值为1，则地理位置字段包括移动订户当前注册地的服务区标识(sai)。如果地理位置类型的十进制值为2，则地理位置字段包括移动订户当前注册地的rai。
[0072]
图6a-6c图示了用于uli ie 500的示例替代地理位置字段600a-600c。地理位置字段600a图示了用于cgi的地理位置字段；地理位置字段600b图示了用于sai的地理位置字段；以及地理位置字段600c图示了用于rai的地理位置字段。地理位置字段600a-600c的八位位组5的位1至4被指定用于mcc的第一个十进制数字。八位位组5的位5至8被指定用于mcc的第二个十进制数字。八位位组6的位1至4被指定用于mcc的第三个十进制数字。八位位组6的位5至8被指定用于mnc的第三个十进制数字。八位位组7的位1至4被指定用于mnc的第一个十进制数字。八位位组7的位5至8被指定用于mnc的第二个十进制数字。八位位组8和9的位1至8被指定用于lac。
[0073]
在地理位置字段600a中，八位位组10和11的位1至8被指定用于ci。在地理位置字段600b中，八位位组10和11的位1至8被指定用于服务区码(sac)。在地理位置字段600c中，八位位组10和11的位1至8被指定用于路由区码(rac)。防火墙140可以利用uli ie解析器从uli ie 500提取位置信息(例如，mcc/mnc和其他地理位置信息)以便执行本文描述的操作。
[0074]
图7图示了示例服务网络(sn)ie 700，其包括gtpv2中的对应于ue 105的位置信息。sn ie 700可以识别服务核心网络运营商标识符(例如，由移动性管理实体(mme)mme、被配置到s4接口(s4-sgsn)或增强型分组数据网关(epdg)的服务gprs支持节点(sgsn)提供)或所选plmn的plmn标识。八位位组1的位1至8被指定用于ie类型(这里是十进制数83)。八位
位组2和3的位1至8被指定用于sn ie 700的长度。八位位组4的位1至4被指定用于实例值。八位位组4的位5至8被指定为备用位。八位位组5的位1至4被指定用于mcc的第一个十进制数字。八位位组5的位5至8被指定用于mcc的第二个十进制数字。八位位组6的位1至4被指定用于mcc的第三个十进制数字。八位位组6的位5至8被指定用于mnc的第三个十进制数字。如果mnc仅包括两个数字，则八位位组6的位5至8可以编码为“1111.”。八位位组7的位1至4被指定用于mnc的第一个十进制数字。八位位组7的位5至8被指定用于mnc的第二个十进制数字。八位位组8至n 4(其中n是长度)的位1至8仅在明确指定时才存在。
[0075]
sn ie 700可以存在于创建会话请求和/或更新承载请求中以用于切换。防火墙140可以从sn ie 700提取mcc和mnc。如果sn ie 700第一次提示创建pdp上下文，则防火墙140可以存储mcc和mnc并发布带有位置信息的系统日志。如果pdp上下文已经存在，则防火墙140可以执行位置改变检查并且如果该位置已经改变则发布系统日志，并且还可以更新该位置。
[0076]
图8图示了示例uli ie 800，其包括gtpv2中的对应于ue 105的位置信息。八位位组1的位1至8被指定用于ie类型(此处为十进制数86)。八位位组2和3的位1至8被指定用于uli ie 800的长度。八位位组4的位1至4被指定用于实例值。八位位组4的位5至8被指定为备用位。八位位组5的位1被指定用于cgi标志。八位位组5的位2被指定用于sai标志。八位位组5的位3被指定用于rai标志。八位位组5的位4被指定用于跟踪区域标识符(tai)标志。八位位组5的位5被指定用于ecgi标志。八位位组5的位6被指定用于位置区域标识(lai)标志。八位位组5的位7被指定用于宏enodeb id标志。八位位组5的位8被指定用于扩展宏enodeb id标志。
[0077]
八位位组a至a 6中的位1至8被指定用于cgi。八位位组b至b 6中的位1至8被指定用于sai。八位位组c至c 6中的位1至8被指定用于rai。八位位组d至d 4中的位1至8被指定用于tai。八位位组e至e 6中的位1至8被指定用于ecgi。八位位组f至f 4中的位1至8被指定用于lai。八位位组g至g 5中的位1至8被指定用于宏enodeb id或扩展宏enodeb id。八位位组h至n 4(其中n是uli ie 800的长度)中的位1至8仅在明确指定时才存在。
[0078]
八位位组5中的标志指示相应类型是否存在于相应字段中。如果标志设置为0，则相应字段不存在。例如，如果cgi标志设置为0，则被指定用于cgi的八位位组a至a 6中的位1至8不存在。相反，如果cgi标志设置为1，则被指定用于cgi的八位位组a至a 6中的位1至8存在。uli ie 800可能只包含一个相同类型的身份(例如，不能包括多个cgi)，但uli ie 800可以包含多个不同类型的身份(例如，可包含ecgi和tai两者)。如果存在多个不同类型的身份，则uli ie 800可以按照以下顺序包括这些身份：cgi、sai、rai、tai、ecgi、lai、宏enodebid/扩展宏enodeb id。uli ie 800中可只存在宏enodeb id或扩展宏enodeb id之一。
[0079]
此外，uli ie 800中可只存在cgi和ecgi之一。对于初始附接/pdp上下文激活，ecgi和tai可以经由s11接口来提供。这可以从mme转发到服务网关(sgw)，然后经由(一个或多个)s5/s8接口转发到分组数据网络(pdn)网关(pgw)。cgi/sai与rai一起可以经由s4接口来提供。对于切换，mme可以包括ecgi和/或tai。s4-sgsn可以提供cgi、sai或rai，或者cgi/sai连同rai。如果从mme/sgsn接收到，则sgw可以经由s5/s8接口转发该信息。
[0080]
图9图示了用于基于对应于移动订户的位置信息来识别潜在安全威胁的示例4g系
统900。系统900包括ue 905、漫游网络910和归属网络915。漫游网络910包括演进通用移动电信系统(umts)陆地无线电接入网(e-utran)920、sgw 925、mme 930、sgsn 935、utran 940和全球移动通信系统(gsm)gsm演进增强数据速率(edge)无线电接入网(geran)945。漫游网络910还包括防火墙950，防火墙950又包括安全威胁识别逻辑955。归属网络915包括pgw 960、策略和计费规则功能(pcrf)965、归属订户服务器(hss)970、互联网975和运营商ip服务980(例如，ip多媒体子系统等)。
[0081]
e-utran 920可以包括将ue 905连接到sgw 925和mme 930的enodeb。sgw 925可以路由和转发用户数据分组，并且mme 930可以控制用户访问的各个方面。sgsn 935可以跟踪ue 905的位置并结合utran 940和geran 945执行安全功能和访问控制。安全威胁识别逻辑955可以使防火墙950执行本文描述的操作。pgw 960可以提供从ue 905到互联网975的连接。pcrf 965在运营商ip服务980的协助下做出策略控制决策。hss 970是包含与ue 905相关联的用户相关和订阅相关信息的中央数据库。虽然图9图示了4g系统，但将理解，可以在任何世代(例如，2g、3g、4g、5g等)的电信系统上类似地实现本文描述的技术。
[0082]
图10图示了用于使用rai ie基于对应于移动订户的位置信息来识别安全威胁的示例系统1000。系统1000包括ue 1010、基站1020(1)和1020(2)、sgsn/sgw 1030(1)和1030(2)、防火墙1040和网关gprs支持节点(ggsn)/pgw 1050。防火墙1040包括安全威胁识别逻辑1060。基站1020(1)和sgsn/sgw 1030(1)可以是归属网络的一部分，并且基站1020(2)和sgsn/sgw 1030(2)可以是漫游网络的一部分。ggsn/pgw 1050可以辅助在ue 1010和一个或多个外部网络之间路由用户数据分组。
[0083]
在该示例中，在第一时间，ue 1010经由基站1020(1)向sgsn/sgw 1030(1)发送包括rai ie的pdp上下文创建请求。rai ie包括404的mcc和001的mnc。sgsn/sgw 1030(1)向防火墙1040提供mcc和mnc，防火墙1040存储mcc和mnc并发布指示订户位置为“404001”的系统日志(即mcc和mnc的串接)。在第二时间，ue 1010经由基站1020(2)向sgsn/sgw 1030(2)发送包括另一rai ie的pdp上下文更新请求。ue 1010可以根据基站1020(1)和1020(2)之间的切换过程来发送pdp上下文更新请求。rai ie包括310的mcc和013的mnc。sgsn/sgw 1030(2)向防火墙1040提供mcc和mnc，防火墙1040确定新的mcc和mnc与先前存储的mcc和mnc不同。如果防火墙1040确定位置变化发生得非常快，则防火墙1040可以采取预防措施，例如发布指示订户位置从“404001”变为“310013”的系统日志。
[0084]
防火墙1040在系统1000中的服务提供商基础设施中的位置使得能够在欺诈活动到达核心(例如mme、ggsn、pgw等)之前及早预防。此外，防火墙1040可以基于对网络分组(例如，s5/s8和gp接口上的gtp消息)的检查来检测位置变化并输出系统日志，系统日志可以用于审计和推断关于可能的欺诈活动的信息，以及警报。
[0085]
图11a图示了系统1000中的pdp上下文创建的示例调用流程图1100a。调用流程图1100a图示了针对gtpv1的pdp上下文创建，但gtpv2可以遵循类似的过程。在1110，sgsn/sgw 1030(1)向防火墙1040提供包括rai ie的pdp上下文创建请求。rai ie包括404的mcc和001的mnc。在1120，防火墙1040基于识别ue 1010的imsi来存储pdp上下文。防火墙140存储串接的mcc和mnc值作为pdp上下文的一部分。在1130，防火墙1040向ggsn/pgw 1050提供pdp上下文创建请求。在1140，ggsn/pgw 1050向防火墙1040提供pdp上下文创建响应。在1150，防火墙1040向sgsn/sgw 1030(1)提供pdp上下文创建响应。
[0086]
图11b图示了系统1000中的pdp上下文更新的示例调用流程图。调用流程图1100b图示了针对gtpv1的pdp上下文创建，但gtpv2可以遵循类似的过程。在1160，sgsn/sgw 1030(2)向防火墙1040提供包括rai ie的pdp上下文更新请求。rai ie包括310的mcc和013的mnc。rai ie还包括与之前的rai ie相同的imsi。在1170，防火墙1040确定imsi是相同的，将存储的mcc和mnc与新的mcc和mnc进行比较，确定mcc和mnc是不同的，并记录差异(例如，输出系统日志)。防火墙1040可以进一步更新pdp上下文数据结构中的新的串接的mcc和mnc。应理解，如果后续消息是第二pdp上下文创建，则防火墙1040可以执行类似的操作，前提是先前的pdp上下文条目尚未到期。在1180，防火墙1040向ggsn/pgw 1050提供pdp上下文更新请求。
[0087]
图12图示了计算设备1200的硬件框图，该计算设备1200可以执行本文中与安全威胁识别相关的任何服务器或计算或控制实体的功能。应理解，图12仅提供了对一个实施例的说明，并不暗示关于可以实现不同实施例的环境的任何限制。可以对所描绘的环境进行许多修改。
[0088]
如图所示，设备1200包括总线1212，其提供(一个或多个)计算机处理器1214、存储器1216、永久存储器1218、通信单元1220和(一个或多个)输入/输出(i/o)接口1222之间的通信。总线1212可以用任何被设计用于在处理器(例如微处理器、通信和网络处理器等)、系统存储装置、外围设备和系统内的任何其他硬件组件之间传递数据和/或控制信息的架构来实现。例如，总线1212可以用一个或多个总线来实现。
[0089]
存储器1216和永久存储装置1218是计算机可读存储介质。在所描绘的实施例中，存储器1216包括随机存取存储器(ram)1224和缓存存储器1226。通常，存储器1216可以包括任何合适的易失性或非易失性计算机可读存储介质。用于安全威胁识别逻辑1292的指令可以存储在存储器1216或永久存储装置1218中以供(一个或多个)处理器1214执行。
[0090]
一个或多个程序可被存储在永久存储装置1218中以供一个或多个相应的计算机处理器1214经由存储器1216中的一个或多个存储器来执行。永久存储装置1218可以是磁性硬盘驱动器、固态硬盘驱动器、半导体存储设备、只读存储器(rom)、可擦除可编程rom(eprom)、闪存、或能够存储程序指令或数字信息的任何其他计算机可读存储介质。
[0091]
永久存储装置1218所使用的介质还可以是可移除的。例如，可移动硬盘驱动器可用于永久存储装置1218。其他示例包括光盘和磁盘、拇指驱动器、以及智能卡，它们被插入驱动器中以转移到也是永久存储装置1218的一部分的另一计算机可读存储介质上。
[0092]
在这些示例中，通信单元1220提供与其他数据处理系统或设备的通信。在这些示例中，通信单元1220包括一个或多个网络接口卡。通信单元1220可以通过使用物理和无线通信链路之一或两者来提供通信。
[0093]
(一个或多个)i/o接口1222允许与可连接到设备1200的其他设备输入和输出数据。例如，i/o接口1222可以提供到外部设备1228的连接，例如，键盘、小键盘、触摸屏和/或一些其他合适的输入设备。外部设备1228还可以包括便携式计算机可读存储介质，例如，数据库系统、拇指驱动器、便携式光盘或磁盘和存储卡。
[0094]
用于实践实施例的软件和数据可以存储在这样的便携式计算机可读存储介质上并且可以经由(一个或多个)i/o接口1222加载到永久存储装置1218上。(一个或多个)i/o接口1222还可以连接到显示器1230。显示器1230提供了向用户显示数据的机制，并且可以是
例如计算机监视器。
[0095]
图13是用于潜在安全威胁的基于位置的识别的方法1300的流程图。例如，方法1300可以由防火墙执行。在1310，防火墙获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码。在1320，防火墙获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码。第一网络分组可以作为第一网络会话的一部分而被获取，并且第二网络分组可以作为第二网络会话的一部分而被获取。在一个示例中，第一网络会话和第二网络会话可以是连续的。
[0096]
在1330，防火墙确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同。在1340，如果确定第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同，则防火墙确定第二时间与第一时间之间的差异是否小于阈值差异。在1350，如果确定第二时间与第一时间之间的差异小于阈值差异，则防火墙将第二网络分组与潜在安全威胁相关联。
[0097]
本文描述的程序是基于在特定实施例中进行实现的应用来标识的。然而，应理解，本文中使用的任何特定程序命名法仅是为了方便起见，因此实施例不应仅限于在此类命名法所标识和/或暗示的任何特定应用中使用。
[0098]
与本文描述的操作有关的数据可以存储在任何传统的或其他数据结构(例如，文件、数组、列表、堆栈、队列、记录等)中，并且可以存储在在任何期望的存储单元(例如，数据库、数据或其他存储库、队列等)中。在实体之间传输的数据可以包括任何期望的格式和排列，并且可以包括任何数量、任何大小、任何类型的字段来存储数据。用于任何数据集的定义和数据模型可以以任何期望的方式(例如，计算机相关语言、图形表示、列表等)指示整体结构。
[0099]
本实施例可以采用任何数量、任何类型的用户界面(例如，图形用户界面(gui)、命令行、提示等)来获取或提供信息，其中该界面可以包括以任何方式排列的任何信息。界面可以包括任何数量、任何类型的输入或致动机制(例如，按钮、图标、字段、框、链接等)，它们设置在任何位置以输入/显示信息并通过任何合适的输入设备(例如，鼠标、键盘等)发起期望的动作。界面屏幕可以包括任何合适的致动器(例如，链接、标签等)以便以任何方式在屏幕之间导航。
[0100]
本实施例的环境可以包括任何数量的计算机或其他处理系统(例如，客户端或终端-用户系统、服务器系统等)以及以任何期望的方式布置的数据库或其他存储库，其中本实施例可以被应用于任何期望类型的计算环境(例如，云计算、客户端-服务器、网络计算、大型机、独立系统等)。本实施例采用的计算机或其他处理系统可以由任何数量的任何个人或其他类型的计算机或处理系统(例如，台式机、膝上型计算机、个人数字助理(pda)、移动设备等)来实现，并且可以包括任何市售操作系统以及市售和定制软件(例如，机器学习软件等)的任何组合。这些系统可以包括任何类型的监视器和输入设备(例如，键盘、鼠标、语音识别等)以输入和/或查看信息。
[0101]
应当理解，本实施例的软件可以以任何期望的计算机语言来实现，并且可以由计算机领域的普通技术人员基于说明书中包含的功能描述和附图所示的流程图来开发。此外，本文对执行各种功能的软件的任何引用一般是指在软件控制下执行那些功能的计算机
系统或处理器。本实施例的计算机系统可以替代地由任何类型的硬件和/或其他处理电路来实现。
[0102]
计算机或其他处理系统的各种功能可以以任何方式分布在任何数量的软件和/或硬件模块或单元、处理或计算机系统和/或电路中，其中计算机或处理系统可以彼此本地或远程地设置并通过任何合适的通信介质(例如，局域网(lan)、广域网(wan)、内联网、互联网、硬线、调制解调器连接、无线等)进行通信。例如，本实施例的功能可以以任何方式分布在各种终端-用户/客户端和服务器系统和/或任何其他中间处理设备中。上面描述以及在流程图中说明的软件和/或算法可以以实现本文描述的功能的任何方式进行修改。此外，流程图或描述中的功能可以按照完成期望操作的任何顺序来执行。
[0103]
本实施例的软件可以用于固定或便携式程序产品装置或设备的非暂态计算机可用介质(例如，磁介质或光介质、磁-光介质、软盘、光盘rom(cd-rom)、数字多功能盘(dvd)、存储器设备等)以便与独立系统或通过网络或其他通信介质连接的系统一起使用。
[0104]
通信网络可以由任何数量、任何类型的通信网络(例如，lan、wan、互联网、内联网、虚拟专用网(vpn)等)来实现。本实施例的计算机或其他处理系统可以包括任何传统或其他通信设备以通过任何传统或其他协议在网络上进行通信。计算机或其他处理系统可以利用任何类型的连接(例如，有线、无线等)来访问网络。本地通信介质可以通过任何合适的通信介质(例如，lan、硬线、无线链路、内联网等)来实现。
[0105]
系统可以采用任何数量的任何常规或其他数据库、数据存储或存储结构(例如，文件、数据库、数据结构、数据或其他存储库等)来存储信息。数据库系统可以由任何数量的任何常规或其他数据库、数据存储或存储结构(例如，文件、数据库、数据结构、数据或其他储存库等)来实现以存储信息。数据库系统可以包括在服务器和/或客户端系统内或耦合到服务器和/或客户端系统。数据库系统和/或存储结构可以位于计算机或其他处理系统远程或本地，并且可以存储任何期望的数据。
[0106]
所呈现的实施例可以是各种形式，例如处于任何可能的技术细节集成水平的系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的(一个或多个)计算机可读存储介质，以使处理器执行本文所呈现的方面。
[0107]
计算机可读存储介质可以是能够保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于：电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或前述的任何合适的组合。计算机可读存储介质的更具体示例的非详尽列表包括下列项：便携式计算机软盘、硬盘、ram、rom、可擦除可编程只读存储器(eprom或闪存)、静态ram(sram)、便携式cd-rom、dvd、记忆棒、软盘、机械编码装置(例如，穿孔卡或凹槽中记录有指令的凸起结构)、以及前述的任何合适的组合。本文使用的计算机可读存储介质不应被解释为瞬态信号本身，例如，无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如，通过光缆的光脉冲)、或通过电线传输的电信号。
[0108]
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备、或通过网络下载到外部计算机或外部存储设备，例如，互联网、lan、广域网和/或无线网。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令，并转发计算机可读程序指令以存储在相应的计算/处理设备内的计算机可
读存储介质中。
[0109]
用于执行本实施例的操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、用于集成电路的状态-设定数据/配置数据、或以一种或多种编程语言的任意组合编写的源代码或目标代码，包括面向对象的编程语言(例如smalltalk、c 等)以及过程编程语言(例如“c”编程语言或类似的编程语言)。计算机可读程序指令可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上并部分在远程计算机上、或完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络连接到用户的计算机，包括lan或wan，或者可以连接到外部计算机(例如，使用互联网服务提供商通过互联网)。在一些实施例中，包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以个性化电子电路，以便执行本文所呈现的方面。
[0110]
本文参考根据实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图来描述本实施例的各方面。应当理解，流程图和/或框图的每一个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
[0111]
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器以产生机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令创建用于实现流程图和/或一个或多个框图框中指定的功能/动作的组件。这些计算机可读程序指令还可以存储在计算机可读存储介质中，该计算机可读存储介质可以引导计算机、可编程数据处理设备和/或其他设备以特定方式运行，使得其中存储有指令的计算机可读存储介质包括制造品，其包括实现流程图和/或一个或多个框图框中指定的功能/动作各的方面的指令。
[0112]
计算机可读程序指令还可以加载到计算机、其他可编程数据处理设备或其他设备上，以使在计算机、其他可编程设备或其他设备上执行的一系列操作步骤产生计算机实现的过程，使得在计算机、其他可编程设备或其他设备上执行的指令实现流程图和/或一个或多个框图框中指定的功能/动作。
[0113]
图中的流程图和框图图示了根据各种实施例的系统、方法和计算机程序产品的可能的实施方式的架构、功能和操作。在这方面，流程图或框图中的每一个框可以表示模块、段或指令部分，其包括用于实现(一个或多个)指定逻辑功能的一个或多个可执行指令。在一些替代实施方式中，框中标注的功能可以不按照图中标注的顺序发生。例如，根据所涉及的功能，连续显示的两个框实际上可以基本上同时执行，或者这些框有时可以以相反顺序执行。还将注意，框图和/或流程图图示的每一个框以及框图和/或流程图图示中的框的组合可以由专用基于硬件的系统来实现，该专用基于硬件的系统执行指定功能或动作、或执行专用硬件和计算机指令的组合。
[0114]
已经出于说明的目的呈现了各种实施例的描述，但并不旨在穷举或限于所公开的实施例。在不脱离所描述实施例的范围和精神的情况下，许多修改和变化对于本领域普通技术人员来说将是明显的。选择本文使用的术语以最佳地解释实施例的原理、实际应用、或对市场中发现的技术的技术改进，或者使本领域普通技术人员能够理解本文公开的实施例。
[0115]
在一种形式中，提供了一种方法。该方法包括：获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码；获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码；确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同；如果确定第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同，则确定第二时间与第一时间之间的差异是否小于阈值差异；以及如果确定第二时间与第一时间之间的差异小于阈值差异，则将第二网络分组与潜在安全威胁相关联。
[0116]
在一个示例中，第一网络分组还指示移动订户在第一时间的第一小区标识，并且第二网络分组还指示移动订户在第二时间的第二小区标识，该方法还包括：确定第一小区标识是否与第二小区标识不同；以及如果确定第一小区标识与第二小区标识不同，则确定第二时间与第一时间之间的差异是否小于阈值差异。
[0117]
在一个示例中，该方法还包括：从第一网络分组的第一信息元素中提取第一移动国家码和第一移动网络码；以及从第二网络分组的第二信息元素中提取第二移动国家码和第二移动网络码。
[0118]
在一个示例中，该方法还包括：将第一移动国家码和第一移动网络码存储在数据库中；以及在确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同之前，从数据库中检索第一移动国家码和第一移动网络码。
[0119]
在一个示例中，该方法还包括：发布指示第二网络分组与潜在安全威胁相关联的事件日志。在另一个示例中，第二网络分组属于网络会话，该方法还包括：丢弃、阻止或重定向第二网络分组以及属于该网络会话的任何后续网络分组。
[0120]
在一个示例中，获取第一网络分组包括经由通用分组无线业务隧道协议获取第一网络分组；以及获取第二网络分组包括经由通用分组无线业务隧道协议获取第二网络分组。
[0121]
在另一种形式中，提供了一种装置。该装置包括：网络接口，被配置为获取和/或提供网络分组；以及耦合到网络接口的一个或多个处理器，其中该一个或多个处理器被配置为：获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码；获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码；确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同；如果确定第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同，则确定第二时间与第一时间之间的差异是否小于阈值差异；以及如果确定第二时间与第一时间之间的差异小于阈值差异，则将第二网络分组与潜在安全威胁相关联。
[0122]
在另一种形式中，提供一个或多个非暂态计算机可读存储介质。该非暂态计算机可读存储介质编码有指令，当由处理器执行时，这些指令使处理器：获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码；获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码；确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同；如果确定第一移动国家码与第二
移动国家码不同或者第一移动网络码与第二移动网络码不同，则确定第二时间与第一时间之间的差异是否小于阈值差异；以及如果确定第二时间与第一时间之间的差异小于阈值差异，则将第二网络分组与潜在安全威胁相关联。
[0123]
综上所述，在一个示例中，防火墙获取第一网络分组，该第一网络分组指示移动订户在第一时间的第一移动国家码以及移动订户在第一时间的第一移动网络码。防火墙获取第二网络分组，该第二网络分组指示移动订户在第二时间的第二移动国家码以及移动订户在第二时间的第二移动网络码。防火墙确定是否第一移动国家码与第二移动国家码不同或者第一移动网络码与第二移动网络码不同。如果是，则防火墙确定第二时间与第一时间之间的差异是否小于阈值差异。如果是，则防火墙将第二网络分组与潜在安全威胁相关联。
[0124]
以上描述仅作为示例。尽管在本文中将这些技术图示和描述为体现在一个或多个具体示例中，但并不旨在限于所示的细节，因为可以在权利要求的等效物的范围内进行各种修改和结构改变。