一种针对4G和5G伪基站的检测方法及系统

一种针对4g和5g伪基站的检测方法及系统
技术领域
1.本发明主要涉及网络安全领域，具体为一种基于信道参数的4g和5g伪基站的检测方法及系统。


背景技术：

2.基站即公用移动通信基站，是移动设备接入互联网的接口设备，也是无线电台站的一种形式，是指在一定的无线电覆盖区中，通过移动通信交换中心，与移动电话终端之间进行信息传递的无线电收发信电台。4g/5g基站是专门提供4g/5g服务的网络公用移动通信基站。2018年，我国第一个5g基站投入使用，2019年，三大运营商正式上线5g商用套餐，标志着我国5g商用时代的到来。
3.伪基站是一种模拟合法运营商基站的无线电设备，通过移动网络的安全漏洞，实现侵入正常通信网络，捕获正常在网的手机用户，窃取用户个人信息，对用户进行跟踪定位，导致用户长时间无法使用正常的运营商通信服务。由于鉴权、加密和完整性保护的缺失和缺陷，伪基站广泛存在于2g、3g网络中[1]。随着协议的逐渐完善，4g网络中的伪基站已经大幅减少，但仍有伪基站以获取手机用户身份、跟踪用户位置为目的，架设伪基站。目前的4g和5g协议中，仍然存在诸多漏洞可以被攻击者利用，因此仍有存在伪基站的可能。
[0004]
伪基站通常先扫描周边的运营商基站信息，获取周围运营商小区参数后，将自身频率和参数设置为与运营商小区参数一致或近似，以达到一般手机终端无法分辨的目的。然后通过明显高于正常基站的发射功率，干扰手机接入正常基站，替代正常基站与手机建立上下行通信链路，进而完成下一步攻击。4g和5g伪基站可能造成的常见攻击包括imsi（international mobile subscriber identification number，国际移动用户识别码）捕获、拒绝服务攻击、降级攻击等，这些攻击可能造成手机信息泄露、网络中断等严重后果[2
‑
3]。
[0005]
目前，最常见的伪基站以捕获手机imsi为目的。这类伪基站利用通信协议中的漏洞，通过信令交互的方式获取手机imsi，捕获速度快，行为隐蔽性强，不易被手机用户察觉。伪基站通过更改跟踪区码tac（tracking area code，跟踪区编码）值，并广播该tac值，由于该tac值与当前网络的tac值不一致，从而触发tau（tracking area update，跟踪区更新）。在现有协议中，手机在发起附着请求或tau请求时，基站可以通过identity request信令要求手机上报自己的imsi，手机收到后，会在上报的identity response中携带自己的imsi，伪基站通过捕获该信令，即可获取手机的imsi。
[0006]
对于5g网络，对应4g网络的imsi，终端在5g中的真实身份称为supi（subscription permanent identifier，用户永久标识符）。为了有效避免用户身份信息通过明文传输方式泄露，引入suci（subscription concealed identifier，用户隐藏标识符）防止用户supi被捕获。但是该功能需要手机用户更换5g sim卡，部分用户虽然已经使用了5g手机，但仍在使用4g sim卡。使用4g卡接入5g网络，虽然同样能享受5g带来的高质量服务，但现有的4g卡缺少5g标准中定义的新功能和新增的身份加密服务，用户身份数据在通信过程中仍使用明文
传输，使伪基站获取用户身份有了可乘之机。
[0007]
当前的伪基站检测方法主要由以下几类：通过比对伪基站区别于正常基站的特征参数，如功率、异常lac统计、异常系统参数c1、c2等[4
‑
5]；通过监测异常通信过程，如异常信令交互、异常tau过程等；通过额外的辅助设备，如扫频仪进行现场扫频。但这些检测方法或过于简单，或费时费力，同时不容易发现问题，只适用于检测参数设置较为极端的伪基站，对于伪装性能好、参数特征不明显的伪基站，其检测效果不佳。
[0008]
参考文献。
[0009]
[1] zhang c . malicious base station and detecting malicious base station signal[j]. china communications, 2014, 11(8):59
‑
64。
[0010]
[2] jiang hao. imsi
‑
catcher identification and location technology based on mobile terminal [d]. huazhong university of science and technology, 2017。
[0011]
[3] lilly a. imsi catchers: hacking mobile communications[j]. network security, 2017, 2017(2):5
‑
7。
[0012]
[4] zhou zhuang, xiaoyu ji, taimin zhang, et al. fbsleuth: fake base station forensics via radio frequency fingerprinting[c]. asiaccs 2018: 261
‑
272。
[0013]
[5] mazroa a a , arozullah m . securing the user equipment (ue) in lte networks by detecting fake base stations[j]. international journal of soft computing and engineering (ijsce), 2015。


技术实现要素：

[0014]
针对现有技术存在的问题，本发明提供一种基于信道参数的对4g和5g伪基站的检测方法及系统，其目的在于，在利用tac参数检测的同时，增加了异常pusch信道质量的检测，在只依靠手机终端用户的情况下，利用手机路测软件平台提供数据，就可准确确定当前基站是否为伪基站。
[0015]
为实现上述目的，按照本发明的一个方面，提供了一种针对4g和5g伪基站的检测方法，包括如下步骤。
[0016]
通过手机终端接入当前基站的移动网络，观察并记录如下参数：观察时间长度、tac变化次数、sinr（signal to interference plus noise ratio，信号与干扰加噪声比）、rsrp（reference signal receiving power，参考信号接收功率）、pusch信道（physical uplink shared channel，物理上行共享信道）的bler（block error rate，误块率），该bler是指出错的块在所有发送的块中所占的百分比。
[0017]
根据上述参数，计算观察时间长度内的tac变化频率、sinr平均值、rsrp平均值、bler平均值，并计算sinr平均值与bler平均值的乘积p1，计算rsrp平均值与bler平均值的乘积p2。
[0018]
如果tac变化频率大于一阈值th1，p1大于一阈值th2，p2大于一阈值th3，则判定所述当前基站为伪基站；所述阈值th1为tac变化频率的阈值，所述阈值th2为sinr平均值与bler平均值的乘积p1的阈值，所述阈值th3为rsrp平均值与bler平均值的乘积p2的阈值，所
述阈值th1、th2和th3为预先根据手机终端在当前地点接入运营商基站测试得到的网络参数进行设置。
[0019]
进一步地，通过安装在手机终端的路测软件，来检测接入的移动网络参数。
[0020]
进一步地，所述观察时间长度根据手机终端所接入的当前基站的移动网络信号强度进行设定，以获取稳定的参数数据。
[0021]
进一步地，在手机终端位置静止的情况下，阈值th1设置为2次/分钟。
[0022]
进一步地，阈值th2的计算公式为：th2=levelsinr*levelbler*80%；其中，levelsinr设置为sinr的极好点值25db，levelbler设置为10%。
[0023]
进一步地，阈值th3的计算公式为：th3=levelrsrp*levelbler*80%；其中，levelrsrp设置为rsrp的极好点值
‑
85dbm，levelbler设置为10%。
[0024]
进一步地，对判定的伪基站进行地理位置标注，获取该伪基站影响的区域。
[0025]
按照本发明的另一个方面，提供了一种针对4g和5g伪基站的检测系统，包括存储器和处理器，在该存储器上存储有计算机程序，该处理器执行该程序时实现上述方法的步骤。
[0026]
按照本发明的另一个方面，提供了一种计算机可读存储介质，存储有计算机程序，该程序被处理器执行时实现上述方法的步骤。
[0027]
本发明与现有技术相比，其优点在于：其一，无需额外的、复杂的测量设备仪器，仅通过对手机终端的测量参数进行解析，就可以得到检测结果；其二，通过sinr和rsrp强度、tac参数变化、pusch信道误块率等特征，在tac频繁变化、pusch信道误块率长时间处于较高值时，则确定当前连接的基站为异常基站；其三，同时适用于4g和5g伪基站。本发明可以仅依靠手机终端实现伪基站检测，无需专业设备，适配4g和5g制式，准确、及时发现伪基站，最大限度减小伪基站为用户带来的影响。
附图说明
[0028]
下面结合附图和实施例对本发明进一步说明。
[0029]
图1为伪基站通过tau信令获取手机用户imsi的示意图。
[0030]
图2为本发明实施例提供的基于信道参数的伪基站检测方法流程图。
[0031]
图3为实验过程中接入伪基站前后的sinr变化曲线示意图。
[0032]
图4为实验过程中接入伪基站前后的rsrp变化曲线示意图。
[0033]
图5为实验过程中接入伪基站前后的pusch bler变化曲线示意图。
具体实施方式
[0034]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0035]
图1所示为伪基站通过信令捕获手机imsi的示意图，简单来讲，伪基站通过信令交互的方式获取手机imsi，捕获速度快，行为隐蔽性强，不易被手机用户察觉。伪基站通过更改跟踪区码tac值，并广播该tac值，由于该tac值与当前网络的tac值不一致，从而触发tau。
在现有协议中，手机在发起附着请求或tau请求时，基站可以通过identity request信令要求手机上报自己的imsi，手机收到后，会在上报的identity response中携带自己的imsi，伪基站通过捕获该信令，即可获取手机的imsi。
[0036]
为了检测当前所连接的基站是否为伪基站，本发明利用tac参数检测的同时，增加了异常pusch信道质量的检测，提出了一种基于信道参数的检测方法，并利用手机路测软件平台提供数据，设计了一种针对4g和5g伪基站的检测方法，在只依靠手机终端用户的情况下准确确定当前基站是否为伪基站。
[0037]
本发明利用手机路测软件实施较为方便，路测软件常用于加强信号采集、评估信号质量等，使用手机就能查看基站的网络信号质量。
[0038]
具体实施时，如图2所示，一种针对4g和5g伪基站的检测方法基于4g或5g手机终端实现，该方法包括如下步骤。
[0039]
（1）使用一台安装有路测软件的手机终端，确定其已经接入移动网络，在疑似存在伪基站的地区，打开路测软件，观察并记录关键参数的变化。
[0040]
（2）分别记录观察时间长度、tac变化次数、sinr和rsrp、pusch信道的bler。
[0041]
（3）根据采集结果，分别计算一段时间内的tac变化频率、sinr平均值、rsrp平均值、bler平均值，计算sinr平均值与bler平均值的乘积p1，计算rsrp平均值与bler平均值的乘积p2。
[0042]
（4）根据提前测试的运营商基站参数，分别预设tac变化频率的阈值th1、sinr平均值与bler平均值的乘积p1的阈值th2，rsrp平均值与bler平均值的乘积p2的阈值th3。
[0043]
（5）对记录的数据进行统计，筛选出同时满足tac变化频率大于阈值th1，p1大于阈值th2，p2大于th3的基站，确定为伪基站。通过对伪基站在地理位置上进行标注，可以准确地获取伪基站影响区域，并实施排查处理。
[0044]
观察时间长度具体根据手机所连入基站的信号强度设定，以保证所获取的数据能观察到明显且稳定的变化。当手机的信号强度足够强时，手机在长时间内都不会切换小区，可适当缩短观察时间长度，当手机的信号强度弱时，手机会频繁切换小区，可适当延长观察时间长度。
[0045]
经实际测量，一般手机采集信号5分钟以上时，可以获取比较稳定的参数信息。综合考虑各个指标的波动情况，并结合具体的应用场景，通过简单的对比验证即可确定观察时间长度的具体取值。
[0046]
伪基站为了持续捕获手机的imsi，会间歇性修改自己的tac值，造成手机主动发起tau过程，并在此过程中上报imsi。而正常运营商基站，在手机不进行明显位置移动的情况下，不会主动修改tac。因此可对tac变化频率进行监控，若当前基站tac频繁变化，则确认为伪基站。
[0047]
由于成本限制和制造限制，伪基站通常由低精度的晶体振荡器、混频器和射频放大器组装而成，并且缺少对信号质量的专业、细致的调试优化。这些组件硬件的缺陷和软件的优化不足，会导致伪基站实际发射和接收的信号相对于理想信号有较大的偏差，如频率偏差、调制误差等，直接体现为上下行关键信道的误码率上升。最终导致手机终端所测量的误块率bler参数明显高于正常运营商基站。
[0048]
pusch信道是承载上层传输信道的主要物理信道，是反映无线接口信号传输质量
的重要指标，是进行很多无线资源管理控制的依据。相比pdsch信道，pusch信道收到伪基站的影响更大，因此本发明中使用pusch信道的误块率bler作为一种判断指标。
[0049]
误块率bler是出错的块在所有发送的块中所占的百分比（只计算初传的block），控制信道的目标bler为1%，数据信道的目标bler为10%。bler一般受到多个因素的影响，包括业务起止、小区切换、覆盖不足、同频干扰、硬件故障等。排除运营商基站硬件故障的因素，业务起止、小区切换引起的短时bler恶化，对长时间的bler均值影响较小。而其他问题均可能由伪基站导致，因此可对bler均值进行监控，若当前基站bler持续较高，且信号质量sinr和rsrp较好，则确认为伪基站。
[0050]
此处引入新参数p1和p2，分别为sinr平均值与bler平均值的乘积、rsrp平均值与bler平均值的乘积，p1和p2超过阈值，则确认当前基站为伪基站。
[0051]
p1和p2的计算公式具体为：p1 = avg(sinr) * avg(bler)；p2 = avg(rsrp) * avg(bler)。
[0052]
其中，avg()表示计算一段时间（如所述观察时间）内的平均值，计算公式具体为：。
[0053]
其中，t为观察时间长度，x为待平均量的瞬时值。
[0054]
图3、图4所示为手机接入伪基站前后，sinr和rsrp的变化示意图，经实际测量，sinr和rsrp幅度基本符合该图所示的变化曲线。在接入伪基站前，手机与正常运营商基站连接，sinr与rsrp处于正常范围值内；伪基站为吸引手机接入，会用较大功率压制正常运营商基站的信号，以此触发手机的tau过程，使手机接入到伪基站。因此接入伪基站后，手机测量的sinr和rsrp明显升高，接近一般基站信号所能达到的最高值。
[0055]
图5所示为手机接入伪基站前后，pusch信道的误块率bler的变化示意图，经实际测量，bler幅度基本符合该图所示的变化曲线。在接入伪基站前，手机与正常运营商基站连接，运营商基站由于硬件质量稳定、软件优化到位，能长期保证较稳定的信道传输，保持bler长时间处于接近0%的低值；接入伪基站后，由于硬件制造水平粗糙、软件优化的不足，bler出现长时间剧烈波动，导致bler的均值较大，通常在10%以上。
[0056]
其中，在手机用户静止情况下，阈值th1可设置为2次/分钟。
[0057]
其中，阈值th2的计算公式为：th2=levelsinr*levelbler*80%；levelsinr可设置为sinr的极好点值25db，levelbler可设置为10%。
[0058]
其中，阈值th3的计算公式为：th3=levelrsrp*levelbler*80%；levelrsrp可设置为rsrp的极好点值
‑
85dbm，levelbler可设置为10%。
[0059]
根据大量的统计信息发现，手机用户在接收到伪基站设备发送的广播信息后，会主动发起tau请求接入伪基站，在某个时间段内会响应身份请求消息上报自己的imsi。受影响的手机在短时间内会明显检测到基站tac频繁变化，同时信道的误码率急剧上升，而连接到正常基站的手机，在位置不频繁变动的情况下，短时间内tac保持稳定，且信道的误码率均值低于1%。
[0060]
本发明利用上述特征，利用tac参数检测的基础上，同时增加了异常pusch信道质量的检测，利用手机路测软件平台提供数据，设计了一种同时适用于4g和5g伪基站的检测方法，在只依靠手机终端用户的情况下准确确定当前基站是否为伪基站。
[0061]
以上所述仅是本发明的一种优选方案，应当指出，对于本技术领域的普通人员来说，在不脱离本发明的原理前提下，还可以做出若干修饰和润色，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不局限于本说明书的实施例和附图所公开的内容，本发明的保护范围以权利要求书界定的范围为准。