[0001] 本发明涉及被布置成控制电信网络内的移动电信设备的系统。

[0002] 电信网络向移动设备的用户提供无线电电信，其典型地根据如本领域技术人员将会已知的商定和标准化的无线电协议，例如GSM、UTMS和LTE。

[0003] 移动电信设备是常见的并且包括移动电话和特别地智能电话、平板设备和其它手持计算机设备、手持个人助理和甚至安置在车辆中的通信设备。所有都可以向用户提供在四处移动的同时与彼此的电信和对互联网的访问。

[0004] 对互联网的访问使设备暴露于可能从互联网被偶然或以其它方式下载到移动设备上的恶意软件和恶意应用。典型地，并且通常由于其较小大小和存储器容量，移动电信设备不包含与可用于台式计算机和具有互联网接入的其它大型设备的那些一样严格的安全性特征。这样，这些较小的移动电信设备易受恶意软件和恶意应用的传染（infection）及攻击，这将典型地传染移动设备的应用处理器。但是由于移动电信设备还典型地与无线电电信网络直接联系，因此电信网络自身易受来自驻留在移动设备上的任何恶意软件或恶意应用的攻击。受恶意软件传染的设备可能被迫使将网络过载、发送出垃圾邮件、请求过多数据的下载、连续地执行与网络的附着（attach）和分离（detach）并且一般占用可以使用在别处的网络资源。另外，当附着到网络时，这样的设备还可以向其它移动设备扩散驻留在它们上的恶意软件。

[0005] 保护电信网络免受移动设备行为损害的在先方法有时已经聚焦于非恶意设备行为，诸如拥塞。例如，EP 2 096 884描述了允许设备访问网络的方法并且描述了当网络拥塞时使用退避（back off）计时器。在先方法还已经聚焦于完全应用在移动手机自身内的方法。例如，“Taming Mr Hayes：Mitigating signaling based attacks on smartphones”，IEEE/IFIP可靠系统和网络国际会议（DSN 2012），2012，dsn，pp. 1-12，Collin Mulliner，Steffen Liebergeld，Matthias Lange，Jean-Pierre Seifert，描述了一种通过从内部控制移动电话来保护网络免受移动电话的行动损害的方法。在此提出一种使用移动设备内的应用处理器的虚拟分区来检测来自移动电话自身的应用处理器内的异常或恶意行为的方法。

[0006] 所描述的方法的缺点在于，在已经检测到恶意行为之后，从移动设备自身内部指导电话的后续控制。但是如果移动设备已经传染有恶意软件，则可能不存在可以信任检测方法或设备行为的后续控制的真实确定性。在方法的操作中，受传染的移动电话监管自身，但是电话与其附着的电信网络不能确定可以信任移动电话。

[0007] 其它解决方案包括迫使设备的分离，但是这可能简单地导致设备尝试再次附着，从而导致网络内的更多信令并且维持受传染设备与网络之间的附着。可替换地，网络可以释放设备可能具有的任何承载，但是这可能导致设备进入紧急模式，在此情况中它维持到网络的连接。网络可以指导或迫使设备进入紧急模式，但是这将会依赖于设备自身，设备由于受传染而可能不能够被信任。可替换地，网络可以改变设备的订阅，但是这是繁重的。

[0008] 问题是保护网络以防来自传染有恶意软件或恶意应用的移动电信设备的攻击。

[0009] 在权利要求中描述本发明。

[0010] 提供了一种系统，其被布置成控制电信网络内的移动电信设备。系统包括被布置成允许与彼此的通信的移动电信设备和电信网络。电信网络被布置成标识电信设备并且限制移动电信设备与电信网络之间的通信。

[0011] 这解决了以下问题：如何通过降低受传染移动设备启动对网络的攻击的可能性来保护网络免受攻击。通过标识移动设备并且限制其与网络之间的通信，网络可以确保由设备启动的任何攻击被放慢，或者以其它方式在强度方面降低。典型地，电信网络可以通过限制以其向移动设备传输数据的速率来限制通信，例如通过限制数据被递送至移动设备的最大比特率。

[0012] 在可替换的实施例中，移动设备与网络之间的通信的限制通过电信网络限制移动电信设备与电信网络之间的承载的带宽来执行。这限制恶意行为的影响并且防止网络的过载但是不警告移动设备已经检测到恶意行为。

[0013] 在可替换的有利实施例中，移动设备与网络之间的通信的限制通过电信网络标识经由电信网络可以访问的位置并且限制移动电信设备与所述位置之间的通信来执行。在特别有利的实施例中，所述位置为通过电信网络可访问的IP地址。

[0014] 在进一步的有利实施例中，其中限制移动设备与电信网络之间的通信，网络标识移动电信设备与电信网络之间的通信类型并且限制所述通信类型。这允许网络降低其中恶意软件导致设备中的特定类型的行为的恶意软件的效果，例如僵尸网络（botnet）、垃圾邮件或“保持活跃”消息或特定类型的文件的下载。例如，受限制的通信类型可以是视频数据流。这将会降低例如其中恶意软件导致通过下载视频流来下载大量数据的恶意软件的效果。

[0015] 恶意行为的检测典型地发生在核心网络中，例如在服务网关或PDN网关中，例如在4G网络中，但是在有利实施例中，根据本发明的通信的限制发生在电信网络中的基站处。例如这可以是在eNodeB处。这具有以下优点：所标识的移动设备的行为的控制发生在设备与网络接触的最早点处。

[0016] 在特别有利的实施例中，电信网络被布置到第一和第二网络中并且移动电信设备的标识发生在第一网络、主网络中。一旦已经标识了移动设备，第一网络将移动电信设备的处理转移至第二网络。这允许维持跨地理区域的服务并且具有对其他客户的责任的网络（或更确切地说，第一网络）对所标识的移动设备进行隔离（quarantine）。在该情况中，网络（或第一网络）可以包括幽灵网络，第一网络的副本或复制件，例如第一网络内的虚拟网络，其包括对第一网络的功能成镜像或进行复制的服务器和其它计算设施。然后将受传染设备传递到该网络中，所述网络可能典型地在大小和计算能力方面均小于第一网络，其中受传染设备被处理并且其中可以处理往来于移动设备的呼叫。然而，移动设备不能分辨其正在被第二网络处理，并且因此移动设备上或连接到移动设备的任何恶意或控制软件不能被警告已经标识了该设备这一事实，但是设备现在从附着到第一网络的其它设备的主体隔离并且相当大地降低了它能够传染它们或破坏性地吸取第一网络中的资源的机会。第二、隔离网络的使用降低主网络的任何过载、或过载的机会。在进一步的益处中，网络可以容易地追踪已经将哪些设备标识为受传染，因为这些是被转移至第二网络的设备。在电信网络中的MME级别处有利地执行通过到隔离网络的附着或当前呼叫的发送。

[0017] 第二网络的使用具有以下另外的优点：在通过恶意实体控制大量受传染移动设备并且可能地将它们作为统一体控制来控制移动设备上的恶意软件的情况下，网络可以通过执行隔离网络内的行动来有效地控制或关闭所有受传染设备。网络可以敏捷地行动以例如关闭隔离网络中的信令而这不影响网络的其余部分的操作，从而使网络免于组合式恶意行动而同时维持对附着到网络的正常并且未受传染的设备的服务。这具有以下另外的优点：网络可以通过封锁隔离网络来执行服务对所有受传染设备的紧急关闭或暂停。

[0018] 在可替换的实施例中，电信网络维护设备的列表并且被布置成将所标识的移动电信设备添加到所述列表。这是简单的方法，其允许网络追踪已经被标识为被恶意软件或有恶意的软件传染或可能被传染的设备。对于网络而言，相对简单的是，如果移动设备在所述列表上，则每次移动设备尝试附着时进行检查。列表可以在eNodeB处维持，例如在网络中的每一个eNodeB处。

[0019] 本发明在电信网络被布置成检测移动电信设备的行为时特别有用，并且特别地其中所述行为指示移动电信设备正在电信网络内行为异常。根据本发明，当电信网络检测到这样的行为时其标识其中正在发生该行为的移动设备并且限制自身与该设备之间的通信。

[0020] 本发明具有以下优点：其允许网络处理或控制设备而同时保持设备被附着，因为如果网络将设备完全分离，用户或设备上的恶意软件变得怀疑。

[0021] 恶意行为的检测可以根据以下方法实现。

[0022] 一种系统可以用于检测电信网络中的移动电信设备的行为。典型地，该行为将是恶意的或异常的行为。系统包括被配置成标识至少一个移动电信设备并且从移动电信设备接收信号并且还将信号处理成数据流的电信网络。数据流包括被布置成导致电信网络内的第一类型的事件的第一类型的数据。网络被布置成监视第一类型的数据在数据流中的出现并且被布置成当所述出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。

[0023] 该系统标识移动设备中的恶意或异常行为，但是从电信网络自身内标识它。这通过监视数据流或数据的递送来完成，数据的递送由于网络与移动设备之间的交互而出现在网络中。针对特定信号的过度出现来监视该数据。

[0024] 驻留在移动设备上的恶意软件可以导致该设备沉溺于恶意行为，其典型地为不是为了明确的用户意图的情况下用尽网络资源的任何事物。典型地，其为在没有导致对用户或对设备的益处的情况下用尽网络资源的任何事物。例如，移动设备的用户可能希望下载视频以在设备上观看。这将用尽资源但是在这种情况中的资源使用是时间有限的并且在任何事件中，一旦视频被下载，用户花时间观看视频并且在这样做的同时不太可能下载其它视频或执行其它任务。然而，恶意软件可以被编程为连续下载视频，并且这使用过量网络资源。在可替换的示例中，恶意软件可以被编程为连续执行移动设备到网络上的附着和分离。这将使用过量网络资源，因为网络将在每次设备附着时试图认证移动设备。然而，连续的附着和分离不导致对于用户或移动设备的益处。在可替换的示例中，恶意软件可以被编程为操纵被网络用于切换决策的信号水平报告。移动设备连续地测量来自周围小区中的基站的信号水平并且向网络报告信号水平。网络将该报告和其它信息用于设备是否将与移动设备的通信切换到与当前服务移动设备的那个不同的基站。恶意软件可以被编程为以使得发生非常大量的切换的方式（其使用过量网络资源）操纵测量报告。在可替换的示例中，恶意软件可以被编程为迫使携带恶意软件的移动设备连续请求呼叫转发。当作出针对呼叫转发的请求时，设备请求网络向第二号码转发传入呼叫。该请求的连续作出将用尽网络资源。在可替换的示例中，恶意软件可以不断地请求设备与网络之间的承载（并且特别地，新的承载）的建立。同样地，这用尽网络资源。在可替换的示例中，恶意软件可以迫使携带恶意软件的移动设备连续作出针对服务的请求而不使用所提供的服务。这些请求可以针对典型地由电信网络提供的任何种类的服务，但是当针对服务的连续请求不导致有益于用户或作出请求的移动设备的所提供的服务时这浪费网络资源。

[0025] 在所有这些示例中，数据的交换出现在移动设备与电信网络之间，但是还进一步出现在电信网络自身内。当移动设备向电信网络传输信号时它们在基站中被接收并且被处理成在电信网络内部的数据流。例如，如果附着请求由移动设备作出，则接收附着请求的电信网络作出认证移动设备的尝试。这导致数据流或信号例如在UMTS网络的情况中在无线电网络控制器RNC、移动交换中心MSC、归属位置寄存器HLR和认证中心AuC之间发送，如本领域技术人员将已知的那样。同样如本领域技术人员将已知的，所描述的其它恶意行为同样将会导致不仅在设备与网络之间而且在网络自身内传输的信令或数据流。

[0026] 网络可以因此通过监视在网络中的数据流中的第一类型的数据的出现来检测恶意行为，所述第一类型典型地为表示用于信号的正常处理的网络设备之间的网络中的一些交互的预定类型。另外网络在这种出现超过指示电信网络中的移动电信设备的可接受行为的水平时进行登记。换言之，网络通过监视和检测网络自身内的数据流的各种类型的发生率并且当出现过高时进行登记来检测恶意行为。

[0027] 例如，为了检测其中设备连续尝试附着和分离的恶意行为，网络可以对使移动交换中心MSC请求认证中心AuC处的设备的认证的次数进行计数，或者可替换地对认证中心AuC发信号通知回答复的次数进行计数。

[0028] 在特别有利的实施例中，在核心网络中执行数据流的检测，并且特别地，如果网络为LTE网络则在移动性管理实体MME中，如果其为UMTS或GSM网络或GPRS网络中的服务网关支持节点SGSN则在MSC中。在该实施例中，可以在每一个相应网络内的中心位置中标识特定或预定数据流的发生率。这具有以下优点：其减少电信网络标识可能被恶意软件传染的移动设备所花费的时间。

[0029] 然而，特定数据流的出现可以进一步回到在网络中检测。在这方面的示例中，可以在AuC处通过检测每个移动设备的认证尝试来检测过度附着请求。可替换地，可以通过在HLR处对网络请求关于特定移动设备的数据的次数进行计数来检测过度附着请求。

[0030] 在某些实施例中，检测可以在eNodeB或基站中执行。这具有以下优点：恶意行为的检测使用较少网络资源。例如，可以在接收基站中检测过量的附着和分离。然而，在基站处执行检测的特定缺点例如在来自移动设备的信号通过不同基站到达网络时出现，并且这方面的一个示例是在设备跨基站小区在物理上迅速移动时。在这样的情况中，没有一个特定基站或eNodeB将必然从设备接收到完整信令并且因此没有一个基站将能够毫无疑义地执行检测。

[0031] 在特别有利的实施例中，网络在特定数据信号的出现速率超过预定时间速率时对特定数据信号的出现进行计数。例如，如果网络正在监视向AuC发送认证请求，则网络被布置成检测针对特定移动设备的认证请求的传输速率何时超过预定阈值并且还在认证请求的速率超过预定速率的同时对然后请求认证的次数进行计数。

[0032] 换言之，网络监视和检测何时在数据流中的某个预定信号或数据出现的频率变得过高。网络然后进行到在速率保持在高于预定时间速率的同时对出现数目进行计数。

[0033] 如果网络还被布置成当所检测到的出现自身的数目超过预定阈值时进行登记则该特定实施例更加有利。在我们的示例中，这将会意味着网络在认证请求的数目超过某个数目时进行登记，其中已经以大于预定时间速率的速率接收到每一个认证请求。

[0034] 在进一步有利的实施例中，网络可以通过测量相继出现之间经过的时间来检测信号或数据事件（例如传输到AuC的针对认证的请求）的出现速率是否以预定时间速率或高于预定时间速率出现。在该实施例中，在我们的示例中网络被布置成检测在到AuC的两个接连认证请求之间经过的时间，并且计算该经过的时间何时小于预定时间间隔。数据出现被视为当它们出现在相应预定时间间隔内时以超过预定速率的速率出现。

[0035] 在特别有利的示例中，网络包括计数器C并且被布置成检测出现在网络内的可检测事件X，例如附着的第一实例或将针对认证的请求传输到AuC或指示已经发生切换的信令到达MME，并且启动计数器。

[0036] 计数器然后变为：C=1。

[0037] 同时网络启动计时器。计数器被存储并且与移动设备相关联。

[0038] 如果X在网络中的下一次检测发生在预定时间间隔内则计数器变为：C=2。

[0039] 在实施例中，计时器测量自X的第一检测的时间t并且在该情况中如果在时间t＜Δ处出现下一次检测则计数器增加1，其中Δ是预定时间间隔。在可替换的实施例中，登记事件X的每一次检测处的时间，第一事件的时间ST被存储并且与移动设备相关联。计时器T在ST处启动并且如果下一次检测到的事件X的时间为t则计数器增加，其中：t＜ST+Δ。

[0040] 在该实施例内，ST的值然后被检测到第二事件X的新时间NT取代。

[0041] 在两个实施例中，如果X的以下检测出现在相同时间间隔内则计数器同样增加。在这样的情况中计数器现在将会登记：
C=3。

[0042] 如果计数器达到预定阈值，比方说Cn，在该情况中计数器变为：C=Cn，电信网络登记该事实。这可以通过设置标志完成，但是本领域技术人员知晓存在登记的可替换方法。

[0043] 在可替换的实施例中，如果计数器超过预定阈值则网络进行登记。如果在预定时间间隔内未再次检测到X，则计数器回到零。

[0044] 在可替换的实施例中，网络可以监视特定移动设备的分离并且对其数目进行计数。

[0045] 在其中检测到切换的实施例中，以下进一步的实施例特别有利。网络维护移动设备的跟踪区的记录以及何时跟踪区改变的指示。这允许网络知晓何时设备正在移动。如果网络对过量切换进行登记，跟踪区信息可以用于在设备实际上在进行物理上快速移动时折减（discount）过度切换。

[0046] 在另外的实施例中，网络在设备频繁地在相邻基站之间切换时进行登记。这是真正恶意的行为的指示，由于通常这样的切换被现有切换算法抑制以避免实际上被物理上置于两个小区之间的边界上的移动设备的过度切换。

[0047] 在可替换的并且特别有利的实施例中，网络监视不可能的服务请求组合。例如，用户将会请求并行的五个电影下载的流式传输是不太可能的。同样不太可能的是用户将会真正尝试在打电话的同时收听他自己的语音邮件。

[0048] 遵循恶意行为的检测，网络可以执行若干行动。这些包括：分离移动设备；向设备发送信号以永久地阻挡对网络的访问；启动退避计时器以阻止移动设备在某个时间段内作出另一连接请求；向设备的所有者发送警告消息。在最后的示例中，警告可以经由例如sms被传输到移动设备自身，然而如果设备被恶意软件传染并且不能被信任，则网络不能假定传输到设备自身的任何警告消息将被用户看到或听到。因此，警告可以依赖于针对用户存储的其它数据经由其它信道被传输给用户，例如通过到已知电子邮件地址的电子邮件。

[0049] 在进一步有利的实施例中，网络跟踪若干设备的行为并且聚合结果。以此方式，可以跨整个网络跟踪和监视恶意软件行为。

[0050] 在进一步有利的实施例中，网络监视数据流中的第二类型数据的出现。典型地，在网络中分发的数据流包括多于一个类型的数据，并且除包括被布置成导致电信网络内的第一类型事件的第一类型数据之外，还可以包括被布置成导致电信网络内的第二类型的事件的第二类型数据。在特别有利的实施例中，网络可以通过监视第一和第二类型的数据二者的出现、确定何时每一个超过某个预定阈值来监视移动设备的恶意行为。在这种情况中每一个可以单独超过预定阈值，并且预定阈值可以是不同或相同的，或者二者的出现可以被聚合并且可以一起与单个预定阈值比较。在示例中，网络可以监视指示设备附着的网络中的数据出现，如已经描述的那样，但是附加地还监视指示设备分离的数据出现，并且仅在两个出现都超过独立的预定阈值时网络才登记恶意行为正在出现。该双倍测量，尽管通过对设备行为有效地计数两次而使用额外的网络资源，但是为网络提供了针对由于网络内的外来其它因素（诸如错误）所致的恶意连续附着的意外登记的故障保护（failsafe）。

[0051] 在可替换的实施例中，网络可以对指示切换的第一类型的数据的出现进行计数，并且还对指示跟踪区的改变的第二类型的数据的出现进行计数。附图说明

[0052] 在图中示出本发明的另外的实施例。

[0053] 图1示出其中可以检测恶意行为的电信网络。

[0054] 图2示出其中网络内的信令经由MME进行的本发明的实施例。

[0055] 图3示出其中网络内的信令直接去往eNodeB的本发明的实施例。

[0056] 图4示出本发明的实施例。

[0057] 图5示出恶意或异常行为的检测的实施例的流程图。

[0058] 图6示出恶意或异常行为的检测的实施例的流程图。

[0059] 图1示出其中可以检测恶意行为的电信网络。如本领域技术人员已知的，存在定义电信系统的各种电信标准描述的多个技术。典型地它们包括以下布局，尽管本领域技术人员知晓并且领会到在系统工作的方式方面可以存在小变化和差异。

[0060] 电信网络包括传输器101。这通常称为基站、小区塔或在LTE网络中称为eNodeB。传输器由基站控制器102控制，尽管在例如UMTS网络中这将是无线电网络控制器102并且例如在LTE网络中，基站控制器102的控制功能可以包含在eNodeB中。来自手持移动设备的无线电信号在传输器601处接收，被处理成信号并且传输至核心网络。

[0061] 在GSM或2G网络的情况中，将信号传递至路由呼叫的移动交换中心MSC103。当首次从移动设备接收到信号时，其将查询归属位置寄存器HLR 104，HLR 104持有关于移动订户的数据以验证所接收的信号是否来自订阅网络的移动设备。为了认证移动设备，其将使用在认证中心AuC 105中持有的密钥。

[0062] 在UTMS或3G网络的情况中，可以通过网关支持节点106来路由经验证和认证的信号。

[0063] 在LTE或4G网络的情况中，将信号传递至移动性管理实体MME 103并且在归属订户服务器HSS 104/105处验证和认证移动设备。然后进一步通过服务网关106向可以是互联网的另一网络107路由呼叫。

[0064] 恶意行为可以在核心网络中的任何地方执行，但是可以特别地在服务网关106处执行。

[0065] 图2示出其中网络内的信令经由MME进行的本发明的实施例的示例。在此，在网络中的服务网关SGW中检测201不合期望的行为。服务网关SGW向MME发送检测报告202，MME将执行不合期望的行为的移动设备的标识添加到列表203。MME向eNodeB发送检测报告204，eNodeB采取行动205。由eNodeB着手的可能行动包括但不限于检测报告的接收和解释、关于要采取的对策的决定以及向所标识的设备的列表添加移动设备。该列表还可以包括要采取的对策。

[0066] 在有利实施例中，检测报告包括移动设备的标识、所检测的行为类型的指示以及应用于移动设备的对策的某个指示，例如可能的滤波器。

[0067] 图3示出其中网络内的信令直接去往eNodeB的本发明的实施例的示例。在网络中的服务网关SGW中检测301不合期望的行为。在该情况中，服务网关SGW直接向eNodeB发送检测报告302，eNodeB采取行动303，包括检测报告的接收和解释、关于要采取的对策的决定、向所标识的设备的列表添加移动设备，所述列表还可以包括要采取的对策，以及通知304 MME所采取的对策。MME执行行动305，包括向这样的所标识的设备的列表添加移动设备。

[0068] 在有利实施例中，检测报告包括移动设备的标识、所检测的行为类型的指示以及应用于移动设备的对策的某个指示，例如可能的滤波器。

[0069] 在有利实施例中，对策报告包括加标志或以其它方式标识的移动设备的标识和适用对策的指示。

[0070] 图4示出本发明的实施例，其中网络包括其中可以将所标识的移动设备从网络的主体及其通信结构隔离的隔离网络408。然而在核心网络中在通过服务网关106路由到另外的网络107之前，利用控制软件402从基站或eNodeB 401传递信号并且然后在使用HSS104和AuC 105的验证和认证之前传递到例如MME 103，网络现在包括另外的MME或者如本领域技术人员将已知的等同结构409和另外的服务网关410。HSS和AuC也可以被复制，然而由于移动设备将已经被标识为执行恶意行为，因此这可能不是必要的并且该实施例的长处在于隔离所标识的移动设备。借由通过第二或子网络408处理设备的隔离允许网络保护自身免受控制设备的恶意软件损害，允许保护以正常方式使用网络的未受传染的设备并且允许网络有受传染设备的紧急关机的可能性，如果必要的话。

[0071] 图5示出适合用于检测移动设备到电信网络的过度附着的恶意行为的检测的实施例的流程图。在有利实施例中，设备在时间t1处通过基站附着501到网络并且网络登记所述附着，标识移动设备并且开始认证过程。网络与附着请求的正常处理并行地执行以下步骤。发起计数器NA、启动时间STA和计时器，502。典型地，计数器将被设置成零并且在有利实施例中计时器被设置成由网络登记的时间t1。存储计数器值和启动时间以供将来参考，503。针对相同设备登记附着的下一次时间比方说在时间t2，将经过的时间T（等于：t2-STA）与预定时间间隔ΔA比较，504。

[0072] 如果：T=ΔA，或者T>ΔA，则对计数器NA和计时器清零，502。

[0073] 如果：T<ΔA，则计数器NA增加值1并且STA的值被时间t2取代，505。再次存储NA和STA，508。在这种情况中还将计数器值与预定阈值LimitA比较，506。

[0074] 如果：NA=LimitA，则设置警报。如果否，则方法返回到步骤504。

[0075] 本领域技术人员将理解到，存在仍将工作的可以对实施例做出的微小变化。例如，如果T小于或等于ΔA，计数器可以增加，并且仅在T大于ΔA的情况下才清零。同样例如，LimitA可以是必须超过的值，在这种情况中如果NA>LimitA则将设置警报标志。在另一有利实施例中，如果计数器的值大于0，在步骤502中计数器可以递减而不是对计数器NA清零。

[0076] 如本领域技术人员将理解的，针对LimitA和预定时间间隔ΔA的恰当值将取决于网络和客户基础而变化。然而，合适的值为ΔA=500ms并且LimitA=10。

[0077] 如所描述的方法允许网络检测以来自受传染移动设备的过度附着请求的形式的恶意行为并且在有利实施例中这将酌情在网络的MSC、服务网关或MME中执行。

[0078] 图6示出适合用于检测电信网络中的移动设备的过度切换的恶意行为的检测的实施例的流程图，并且在特别有利的实施例中将在网络的MME中执行，MME在切换发生之前被告知切换，称为S1切换，或者在切换已经出现之后被告知切换，称为X2切换。

[0079] 为了实施方法，MME执行针对在其区域中的移动设备组的以下步骤。所监视的设备组可以是包括在其区域中的所有移动设备的组，但是也可以是该组的子组或某个其它进一步定义的组。例如，被监视的移动设备的组可以包括比方说所有新的移动设备，或者包括其之前的活动暗示它们将有传染的风险（例如在它们作出频繁的下载请求的情况下）的移动设备，或者包括向特定用户（比方说频繁改变移动设备的用户）登记的移动设备。

[0080] 在该有利实施例中，设备在时间t1处通过基站附着601到网络并且网络登记所述附着，标识移动设备并且开始认证过程。网络与附着请求的正常处理并行地执行以下步骤。发起计数器NH、启动时间STH和计时器，602。典型地，计数器将被设置成零并且在有利实施例中计时器被设置成由网络登记的时间t1。存储计数器值和启动时间以供将来参考，603。
由相同设备登记附着的下一次时间比方说在时间t2，将经过的时间T（等于：t2-STH）与预定时间间隔ΔH比较，604。

[0081] 如果：T=ΔH，或者T>ΔH，则对计数器NH和计时器清零，605。

[0082] 如果：T<ΔH，则计数器NH增加值1并且STH的值被时间t2取代，605。再次存储NH和STH，608。在这种情况中还将计数器值与预定阈值LimitH比较，606。

[0083] 如果：NH=LimitH，则设置警报。如果否，则方法返回到步骤604。

[0084] 同样地，本领域技术人员将理解到，存在仍将工作的可以对实施例做出的微小变化。例如，如果T小于或等于ΔA，计数器可以增加，并且仅在T大于ΔA的情况下才清零。同样例如，LimitH可以是必须超过的值，在这种情况中如果NH>LimitH则将设置警报标志。

[0085] 本发明的特定优势在于电信网络可以监视移动设备中的恶意活动并且标识何时特定设备潜在地被恶意软件传染。尽管本发明的使用要求否则不被消耗的网络资源，但是其允许设备的简单标识，如果保持未被标识其可能用尽大得多的网络资源。

[0086] 如本领域技术人员将理解的，针对LimitH和预定时间间隔ΔH的恰当值将取决于网络和客户基础而变化。然而，合适的值为ΔH=2s并且LimitH=20。