[发明专利]用于处置无线通信系统中的恶意攻击的方法和系统

权利要求书

1.一种用于处置恶意攻击的方法，包括：

在无线设备处至少部分地基于由所述无线设备从将所述无线设备的状态从休眠状态改变为已连接状态的恶意源接收的分组来识别从所述恶意源接收的所述分组；

当被识别为从改变所述无线设备的所述状态的所述恶意源接收的所述分组的数量在监控时段内达到门限数量时，通过释放用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将所述无线设备从所述PDN断开；以及

使用与所述第一IP地址不同的第二IP地址将所述无线设备重新连接到所述PDN。

2.根据权利要求1所述的方法，其中，所述第一IP地址包括公共IP地址。

3.根据权利要求1所述的方法，还包括：在所述PDN已被从所述无线设备断开之后，维持所述无线设备与IP多媒体子系统(IMS)PDN之间的连接。

4.根据权利要求3所述的方法，其中，第三IP地址被用于将所述无线设备连接到所述IMS PDN。

5.根据权利要求1所述的方法，其中，有选择地将所述无线设备从所述PDN断开包括：

确定所述无线设备上的使用所述第一IP地址进行通信的应用的数量；以及

当作出所述无线设备上的仅单个应用使用所述第一IP地址进行通信的确定时，将所述无线设备从所述PDN断开。

6.根据权利要求5所述的方法，还包括：当作出所述无线设备上的多于一个应用使用所述第一IP地址进行通信的确定时，维持所述无线设备与所述PDN之间的连接。

7.根据权利要求1所述的方法，其中，所述被识别为从改变所述无线设备的所述状态的所述恶意源接收的分组中的至少一个分组包括以下各项中的一项：传输控制协议同步(TCP SYN)分组、用户数据报协议(UDP)分组或者互联网控制消息协议(ICMP)分组。

8.根据权利要求1所述的方法，还包括：当所述监控时段过期时，将与被识别为从改变所述无线设备的所述状态的所述恶意源接收的分组的数量相对应的计数器设置为零。

9.根据权利要求1所述的方法，其中，所述监控时段的持续时间是可配置的。

10.根据权利要求1所述的方法，其中，所述门限数量是可配置的。

11.根据权利要求1所述的方法，还包括：生成包括所述恶意源的一个或多个特性的信息的报告，其中，所述报告被提供给服务器。

12.根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括被用于将所述无线设备连接到所述PDN的所述第一IP地址的信息。

13.根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括由所述恶意源使用的端口号的信息。

14.根据权利要求11所述的方法，其中，所述恶意源的一个或多个特性的信息包括由所述恶意源使用的协议类型的信息。

15.一种非暂时性计算机可读介质，包括用于处置恶意攻击的如下代码：

用于使无线设备至少部分地基于由所述无线设备从将所述无线设备的状态从休眠状态改变为已连接状态的恶意源接收的分组来识别从所述恶意源接收的所述分组的代码；

用于使所述无线设备当被识别为从改变所述无线设备的所述状态的所述恶意源接收的所述分组的数量在监控时段内达到门限数量时，通过释放用于将所述无线设备连接到分组数据网络(PDN)的第一互联网协议(IP)地址来有选择地将所述无线设备从所述PDN断开的代码；以及

用于使所述无线设备使用与所述第一IP地址不同的第二IP地址重新连接到所述PDN的代码。