基于三維聯(lián)合檢測(cè)法的偽基站檢測(cè)系統(tǒng)方案設(shè)計(jì)

姚景朋，張立志，何旭萌

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 河南 鄭州　450000）

基于三維聯(lián)合檢測(cè)法的偽基站檢測(cè)系統(tǒng)方案設(shè)計(jì)

姚景朋，張立志，何旭萌

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 河南 鄭州450000）

偽基站的檢測(cè)是當(dāng)今移動(dòng)通信領(lǐng)域研究的一個(gè)熱點(diǎn)問題。針對(duì)已有的純參數(shù)檢測(cè)方法對(duì)偽裝性能好的偽基站檢測(cè)效果不佳的缺陷，本文從偽基站的工作原理出發(fā)分析，融合已有參數(shù)方法中采用的各類有效檢測(cè)參數(shù)，同時(shí)從異常信令和異常行為分析的角度提出一種基于三維聯(lián)合檢測(cè)的偽基站檢測(cè)系統(tǒng)設(shè)計(jì)方案，該方案的優(yōu)勢(shì)在于更加全面充分利用了基站包含及提供的各類數(shù)據(jù)信息，進(jìn)而為后續(xù)偽基站的檢測(cè)提供了一種可行的方法。

偽基站檢測(cè)；系統(tǒng)設(shè)計(jì)；異常參數(shù)；異常信令；異常行為

在移動(dòng)通信系統(tǒng)中，基站是具有合法運(yùn)營(yíng)資質(zhì)的電信網(wǎng)絡(luò)運(yùn)營(yíng)商部署的網(wǎng)絡(luò)基礎(chǔ)設(shè)施［1］，它是一個(gè)能夠接收和發(fā)送信號(hào)的固定電臺(tái)，是手機(jī)進(jìn)行無線通信不可或缺的重要樞紐。自2013年以來，全國各地出現(xiàn)類似移動(dòng)通信基站的“偽基站”，它不以用戶正常通信為目的［2］，是某些商家和個(gè)人建立起的出于自身利益的“偽基站”，使之成為當(dāng)前實(shí)施電信詐騙手段中常用到的一種高科技設(shè)備［3］。目前，用偽基站發(fā)送垃圾短信已在全國造成泛濫局面，諸多詐騙案件都相繼被媒體曝光。偽基站結(jié)構(gòu)簡(jiǎn)單，組裝方便，發(fā)射功率大于公共基站，干擾了正常基站通信，占用了寶貴的網(wǎng)絡(luò)資源，給正常用戶及運(yùn)營(yíng)商帶來很大的煩惱，成為當(dāng)今移動(dòng)通信領(lǐng)域急需的重要問題。因此，急需一套完整的檢測(cè)系統(tǒng)來打擊這種違法行為。

當(dāng)前的偽基站檢測(cè)方法主要是側(cè)重于運(yùn)用區(qū)別于真實(shí)基站與偽基站的特征參數(shù)（如功率、異常LAC的位置更新統(tǒng)計(jì)和GSM系統(tǒng)參數(shù)C1、C2等）進(jìn)行檢測(cè)。這類方法過于簡(jiǎn)單，只適用于檢測(cè)參數(shù)設(shè)置較為極端的偽基站，對(duì)于偽裝性能好、參數(shù)特征不明顯的偽基站，其檢測(cè)效果不佳。針對(duì)上述不足，本文在綜合現(xiàn)有參數(shù)檢測(cè)的基礎(chǔ)上，增加了一系列的MNC、CID、CRO等系統(tǒng)參數(shù)，同時(shí)結(jié)合異常信令和異常行為分析，提出了一種基于三維聯(lián)合的偽基站檢測(cè)系統(tǒng)設(shè)計(jì)方案。

1　偽基站的工作原理

1.1工作原理

偽基站，顧名思義，就是“假基站”，它偽裝成公共移動(dòng)運(yùn)營(yíng)商基站，以提取移動(dòng)終端信息或與其進(jìn)行信息傳遞的無線電收發(fā)信電臺(tái)。當(dāng)前的偽基站都會(huì)配套一部專用的手機(jī)，通過這部手機(jī)可以在準(zhǔn)備安裝偽基站的位置偵測(cè)偽基站可用的工作信道，然后將該信道填入控制軟件后，偽基站才能工作。這部專用手機(jī)搜索的信息就是當(dāng)前小區(qū)BCCH廣播的鄰接小區(qū)BCCH信道。偽基站選取BCCH信號(hào)最弱的小區(qū)頻率并設(shè)置與現(xiàn)網(wǎng)的RXLEV_MIN，CRO等不同的參數(shù)，修改系統(tǒng)參數(shù)消息中的 T3212（注冊(cè)周期）為較小的值，增大小區(qū)選擇參數(shù)C1和小區(qū)重選參數(shù)C2的值。當(dāng)C2連續(xù)5 s大于服務(wù)小區(qū)的C2值或者當(dāng)鄰近小區(qū)的C1值超過當(dāng)前小區(qū)C2值與小區(qū)重選滯后值之和連續(xù)5 s時(shí)，用戶手機(jī)進(jìn)行小區(qū)重選。然后加大自身系統(tǒng)（偽基站 ）的發(fā)射功率，可迅速使覆蓋范圍內(nèi)處于空閑狀態(tài)的終端重選到或切換到系統(tǒng)（偽基站）網(wǎng)絡(luò)內(nèi)，在設(shè)置的注冊(cè)周期內(nèi)通過讀取接入信道消息獲得各終端的注冊(cè)消息從中捕獲終端的IMSI，IMEI等信息［4］。如圖1、2所示。

圖1　BCCH的獲取

圖2　偽基站工作原理示意圖

1.2存在原因

目前市場(chǎng)上組裝銷售的偽基站設(shè)備大多都是針對(duì)GSM技術(shù)，這主要與GSM網(wǎng)絡(luò)普及率高，用戶數(shù)多，運(yùn)營(yíng)商的網(wǎng)管端在后臺(tái)沒有監(jiān)視偽基站的告警項(xiàng)目以及GSM網(wǎng)絡(luò)的單向認(rèn)證體系有關(guān)系，而偽基站實(shí)施電信攻擊的根本原因正是由于GSM網(wǎng)絡(luò)的單向認(rèn)證體系，即只有網(wǎng)絡(luò)對(duì)終端的認(rèn)證，而終端無法對(duì)網(wǎng)絡(luò)實(shí)施認(rèn)證。GSM基站在與用戶終端通信的過程中，終端無法檢測(cè)網(wǎng)絡(luò)身份是否合法，無法判斷所接收到的網(wǎng)絡(luò)信令是否來自合法基站。這樣，手機(jī)終端只要接收到網(wǎng)絡(luò)發(fā)送的標(biāo)準(zhǔn)的通信信令，就會(huì)進(jìn)行處理和響應(yīng)，不去分辨信令的真?zhèn)危瑢?duì)于偽造或被篡改的信令也進(jìn)行處理［5］。

2　偽基站檢測(cè)系統(tǒng)設(shè)計(jì)

2.1硬件設(shè)計(jì)

偽基站檢測(cè)系統(tǒng)包括控制筆記本、主控單元和偽終端3個(gè)部分組成，見圖3。由于目前國內(nèi)的偽基站主要是GSM制式，其中GSM包括900 MHz和1 800 MHz兩個(gè)頻段。對(duì)于GSM手機(jī)來說，900 MHz和1 800 MHz的信道在選取蜂窩小區(qū)的時(shí)候沒有本質(zhì)區(qū)別，不管是900 MHz頻段還是1 800 MHz頻段，手機(jī)只會(huì)選取一個(gè)信號(hào)強(qiáng)度最大的小區(qū)廣播信道，并且檢驗(yàn)位置區(qū)參數(shù)，做下一步的處理。偽基站檢測(cè)系統(tǒng)的偽終端是根據(jù)現(xiàn)有正常GSM手機(jī)改裝而來。它是整個(gè)檢測(cè)系統(tǒng)的橋頭堡，是檢測(cè)系統(tǒng)與基站進(jìn)行信息交互的工具。為了能夠讓偽終端能夠在偽基站的覆蓋范圍內(nèi)駐留，需要對(duì)GSM協(xié)議進(jìn)行修改，因而檢測(cè)終端需要進(jìn)行必要的改裝，以使偽終端在不插SIM卡的情況下也能夠正常工作。同時(shí)，偽終端還要完成基帶數(shù)字信號(hào)的處理，信道編解碼功能。主控單元是以ARM9S3C2440芯片為核心，是整個(gè)檢測(cè)算法的運(yùn)行平臺(tái)，同時(shí)也是控制筆記本和為終端進(jìn)行信息傳遞的轉(zhuǎn)接板。它將控制筆記本的指令信息翻譯成偽終端能夠理解的信息，指導(dǎo)偽終端與基站進(jìn)行信息交互。同時(shí)也將偽終端檢測(cè)到的信息傳遞回控制筆記本。主控單元通過網(wǎng)線與控制筆記本相連，它們之間進(jìn)行網(wǎng)口通信，而與偽終端則通過串口通信。控制筆記本的功能包括對(duì)硬件的控制。在控制筆記本上運(yùn)行著由C#程序編寫的控制顯示界面。通過指令的輸入，指導(dǎo)主控單元上的檢測(cè)算法進(jìn)行相應(yīng)信息的檢測(cè)，并將檢測(cè)結(jié)果顯示在控制界面上，如偽基站的參數(shù)，垃圾短信內(nèi)容等內(nèi)容。這其中包括GSM技術(shù)體制要求的對(duì)信號(hào)的全部處理流程。

圖3　偽基站檢測(cè)系統(tǒng)示意圖

圖4　偽基站檢測(cè)系統(tǒng)顯示界面

2.2算法設(shè)計(jì)

2.2.1偽基站特征

由偽基站的工作原理，我們可以得到偽基站較為顯著的4個(gè)特征：

1）與正常基站相比，C1、C2、T3212，CRO等值差異顯著；

2）手機(jī)接入時(shí)間較短，一般10～20 s后脫網(wǎng)。因此，偽基站會(huì)造成大量的位置更新。

3）沒有話音業(yè)務(wù)，并且存在大量相同長(zhǎng)度短信業(yè)務(wù)。

4）基站的LAC值通常設(shè)置為邊界值。

偽基站的這些顯著特征也成為如何去偵測(cè)偽基站的突破口。

2.2.2基于三維聯(lián)合的偽基站檢測(cè)算法

當(dāng)前，關(guān)于偽基站的檢測(cè)方法已經(jīng)在諸多文獻(xiàn)中體現(xiàn)出來，大多都是基于參數(shù)的檢測(cè)方法，通過偽基站與正常基站的參數(shù)設(shè)置差別來尋找差異。但是僅僅基于參數(shù)可能不太準(zhǔn)確，因此，本文又在參數(shù)檢測(cè)的基礎(chǔ)加入了異常信令和異常行為檢測(cè)，目的就是要提高偽基站檢測(cè)概率，因?yàn)椴还苡檬裁捶椒ǎ瑐位镜臋z測(cè)最終都是個(gè)概率問題。

1）異常參數(shù)檢測(cè)

當(dāng)前，如何有效地識(shí)別偽基站已成為研究偽基站的技術(shù)關(guān)鍵。只有及時(shí)、準(zhǔn)確地發(fā)現(xiàn)偽基站，并將其定為靶向目標(biāo)，才能對(duì)偽基站予以有效打擊。目前，關(guān)于偽基站的檢測(cè)方法可以歸結(jié)為3種：移動(dòng)終端檢測(cè)法，運(yùn)營(yíng)商檢測(cè)法和無線電管理委員會(huì)的路測(cè)法。這3種方法都是基于GSM的參數(shù)檢測(cè)，主要是檢測(cè)網(wǎng)絡(luò)的C1，C2，CRO，LAC和CID等主要參數(shù)。其中，C1是小區(qū)選擇參數(shù)，C2是小區(qū)重選參數(shù)，CRO是小區(qū)重選偏置，LAC是位置區(qū)編號(hào)，CID是小區(qū)號(hào)。由于T3212值和RXLEV_MIN設(shè)置偏小，CRO設(shè)置極端，致使C2值通常在90以上。根據(jù)偽基站的這些特征，其參數(shù)檢測(cè)步驟如下：

首先，檢測(cè)周圍基站的常規(guī)系統(tǒng)參數(shù)，如C1，C2，CRO，T3212，接收功率等。通常，移動(dòng)通信現(xiàn)網(wǎng)小區(qū)的CRO默認(rèn)值是OdB，而偽基站的CRO設(shè)置較大，致使C2值通常在90以上［6］，同時(shí)T3212相較于正常基站設(shè)置比較小，便于手機(jī)頻繁的被吸入與踢出。

其次，檢測(cè)偽終端接收到的基站信號(hào)強(qiáng)度。通過獲取基站和偽終端的經(jīng)緯度，可以計(jì)算出偽終端與所掃描到的基站的距離，從而推倒出該基站的發(fā)射功率。基站功率P，基站到手機(jī)的距離D與手機(jī)接收到的基站信號(hào)強(qiáng)度I有如下關(guān)系：

我們假設(shè)基站的功率在一定范圍之內(nèi)，于是基站到手機(jī)的距離和基站的信號(hào)強(qiáng)度數(shù)值的絕對(duì)值會(huì)成正比，也就是說距離基站越遠(yuǎn)，手機(jī)接收到的基站信號(hào)強(qiáng)度越小，其在數(shù)值上的絕對(duì)值越大。如果偽基站出現(xiàn)，偽基站的信號(hào)強(qiáng)度一般都會(huì)比正常基站要大，那么我們所計(jì)算出來的此偽基站距離與手機(jī)接收到的此偽基站信號(hào)強(qiáng)度數(shù)值的絕對(duì)值的比值往往要超出正常基站比值的范圍。此外，偽基站的LAC和CID是經(jīng)常變化的，所以，偽基站與偽終端的距離和偽終端接收到的信號(hào)強(qiáng)度的絕對(duì)值的比值也是動(dòng)態(tài)變化的。通過這一特征我們就可以檢測(cè)出大部分的偽基站信號(hào)［7］。

最后，統(tǒng)計(jì)異常LAC和位置更新次數(shù)。偽基站覆蓋范圍有限，同時(shí)會(huì)頻繁更換LAC，因此用戶占上偽基站信號(hào)后，將會(huì)在較短的時(shí)間重選回現(xiàn)網(wǎng)網(wǎng)絡(luò)，在現(xiàn)網(wǎng)就存在同一用戶在同一小區(qū)下短時(shí)間內(nèi)連續(xù)位置更新的情況，造成位置更新次數(shù)的突發(fā)大量增加。此外，用戶從偽基站信號(hào)回到正常網(wǎng)絡(luò)位置更新時(shí)，上報(bào)的源LAC是偽基站的LAC，或者是0，65534，65535等異常LAC［8］。因此，統(tǒng)計(jì)異常位置更新次數(shù)較多的小區(qū)，初步確定可疑小區(qū)及其地理位置。

圖5　LAC更新回現(xiàn)網(wǎng)

以上的異常參數(shù)檢測(cè)法可以發(fā)現(xiàn)大多具有明顯特征的偽基站設(shè)備，但是實(shí)際上，隨著偽基站技術(shù)的改進(jìn)，這些較為明顯的參數(shù)特征可以進(jìn)行偽裝，使之與正常基站差別不大，因此偽裝之后的偽基站的查處難度較大，因此，在異常參數(shù)檢測(cè)的基礎(chǔ)上，本文又增加了異常信令檢測(cè)和異常行為檢測(cè)，以增加檢測(cè)精度。

2）異常信令檢測(cè)

由于空中接口極易受到侵犯，GSM系統(tǒng)為了保證通信安全，采取了特別的鑒權(quán)措施，鑒權(quán)是為了確認(rèn)移動(dòng)臺(tái)的合法性。鑒權(quán)中心為鑒權(quán)提供了三參數(shù)組（隨機(jī)數(shù)，響應(yīng)和密鑰）。在用戶入網(wǎng)簽約時(shí)，用戶鑒權(quán)鍵連同IMSI一起分配給用戶，這樣每一個(gè)用戶均有唯一的鑒權(quán)鍵和IMSI。它們存儲(chǔ)于AUC數(shù)據(jù)庫和SIM卡中。當(dāng)用戶發(fā)起入網(wǎng)請(qǐng)求時(shí)，MSC/VLR就向MS發(fā)送隨機(jī)數(shù)以及鑒權(quán)中心AUC內(nèi)相同的鑒權(quán)鍵和鑒權(quán)算法，計(jì)算出符號(hào)響應(yīng)，然后把符號(hào)響應(yīng)回送給MSC/VLR，驗(yàn)證其合法性。

但由于GSM的單向鑒權(quán)性，偽基站通過頻繁的位置更新吸入手機(jī)時(shí)，偽基站只是獲取了用戶手機(jī)的IMEI和IMSI，而沒有進(jìn)行鑒權(quán)操作。偽基站忽略了手機(jī)發(fā)送的鑒權(quán)信息，直接同意手機(jī)接入就可以成功建立通信，從而開始電信攻擊。如圖6所示。

圖6　異常信令

因此，當(dāng)我們用不帶SIM卡的偽終端進(jìn)行基站檢測(cè)時(shí)，如果系統(tǒng)能夠檢測(cè)的到基站并且能夠駐留，那么這個(gè)基站一定是偽基站，因?yàn)闆]有SIM卡的終端由于無法完成正常的鑒權(quán)流程，所以它無法被網(wǎng)絡(luò)認(rèn)定為合法。為了比較合理的確定該基站是否是偽基站，可以偵測(cè)該基站的SDCCH信道。SDCCH信道用于在分配業(yè)務(wù)信道之前傳送有關(guān)信令，例如登記，鑒權(quán)等信令均在此信道上傳輸，所以可以監(jiān)測(cè)此信道上是否有鑒權(quán)信息。

3）異常行為檢測(cè)

由于偽基站與公網(wǎng)斷開連接，因此，偽基站沒有語言業(yè)務(wù)，處于偽基站覆蓋范圍內(nèi)的手機(jī)都無法進(jìn)行正常的通信行為。但是手機(jī)一旦處于偽基站下，在無法進(jìn)行通信的情況下，手機(jī)也會(huì)收到帶有任意號(hào)碼的短信，這些短信大多是廣告類型，甚至帶有欺詐性，它們是由偽基站下發(fā)的，這是偽基站相較于正常基站最明顯的異常行為。

偽基站下發(fā)短信一般都是通過SDCCH信道下發(fā)，因此，檢測(cè)系統(tǒng)監(jiān)測(cè)分析基站的獨(dú)立專用控制信道信息，掃描它的所有時(shí)隙。由于偽基站下發(fā)的短信是群發(fā)，短信內(nèi)容是一樣的，因此SDCCH信道時(shí)隙的數(shù)據(jù)長(zhǎng)度和內(nèi)容都是一樣的。掃描SDCCH的時(shí)隙，若發(fā)現(xiàn)所有時(shí)隙的長(zhǎng)度和碼字都相同，可以確定所連接的基站是偽基站。

圖7　偽基站下發(fā)短信示意圖

3　結(jié)束語

在現(xiàn)有檢測(cè)工作的基礎(chǔ)上，優(yōu)化現(xiàn)有的檢測(cè)算法。同時(shí)，為了提高檢測(cè)速度，需要利用串口服務(wù)器連接多個(gè)偽終端同時(shí)對(duì)周圍掃描到的基站進(jìn)行并行檢測(cè)，以提高檢測(cè)效率，這對(duì)于流動(dòng)型的偽基站來說更是必需的。這需要對(duì)現(xiàn)有的工作做進(jìn)一步的改進(jìn)，同時(shí)也需要合適的調(diào)度算法來指導(dǎo)偽終端的檢測(cè)行為，這些都是后續(xù)的研究工作。

偽基站與正常公網(wǎng)基站具有相同的功能，但是它造成頻率干擾，影響用戶正常通信，占用網(wǎng)絡(luò)資源，強(qiáng)行向用戶發(fā)送垃圾短信，對(duì)現(xiàn)網(wǎng)設(shè)備、現(xiàn)網(wǎng)用戶及社會(huì)造成了巨大負(fù)面的影響，因此，如何更加迅捷、高效、方便地偵測(cè)及定位偽基站仍將成為眾多研究者思考的問題。

［1］田野、劉斐、徐海東，等.新型偽基站安全分析研究［J］.電信工程技術(shù)與標(biāo)準(zhǔn)化，2013，8（8）:58-61.

［2］趙耀，袁忠良.非法架設(shè)公眾移動(dòng)通信偽基站監(jiān)管研究［J］.中國無線電，2013，8（8）:25-26.

［3］宋鳳忠.如何鑒別“偽基站”騙局—從湯唯受騙認(rèn)識(shí)偽基站［J］.通信世界，2014（3）:17.

［4］趙恒，邵四清.偽基站系統(tǒng)的分析定位方法及解決建議（一）［J］.電信網(wǎng)技術(shù)，2011，7（3）:72-77.

［5］劉錦旭.淺析偽基站的主動(dòng)識(shí)別與主動(dòng)防御［J］.廣東通信技術(shù)，2014（2）:61-64.

［6］楊雪謹(jǐn).淺析偽基站的工作原理和治理方法［J］.中國無線電，2014，3（3）:15-17.

［7］陳強(qiáng)，劉亮.基于智能手機(jī)的偽基站檢測(cè)方法［J］.通信安全與通信保密，2014（11）:131-134.

［8］葉炳基，董事.垃圾型偽基站和排查方法的探索［C］//中國通信學(xué)會(huì)無線及移動(dòng)通信委員會(huì).2014全國無線電及移動(dòng)通信學(xué)術(shù)會(huì)議論文集.2014:484-487.

Design of the fake base station detection system based on three-dimension union detection method

YAO Jing-peng，ZHANG Li-zhi，HE Xu-meng
（National Digital Switching System Engineering&Technological Research Center，Zhengzhou 450000，China）

The detection of the fake base station is a hot issue in those days，in order to satisfy the requirement of more properly detecting the fake base stations and make up for the imperfection of the pure parameters detection，this paper firstly analyzes the working principle of the fake base station，then synthesizes the current parameters in present parameter detection methods and proposes the design of the fake base station detection system based on three-dimension union detection method from the point of unusual signal and unusual behavior.The advantage of this design is that it has made full use of the information providing by the base stations，and lay a foundation for the further research of the fake base station detection.

fake base station detection；system design；unusual parameters；unusual signal；unusual behavior

TN924+.3

A

1674-6236（2016）14-0052-04

2015-08-08稿件編號(hào)：201508036

姚景朋（1988—），男，河南信陽人，碩士。研究方向：無線與移動(dòng)通信。