偽基站檢測識別系統的設計與實現

姚景朋，張立志，楊治武

（1.國家數字交換系統工程技術研究中心 河南 鄭州450000；2.91746部隊 北京102206）

偽基站檢測識別系統的設計與實現

姚景朋1，張立志1，楊治武2

（1.國家數字交換系統工程技術研究中心 河南 鄭州450000；2.91746部隊 北京102206）

偽基站的檢測是當今移動通信領域研究的一個熱點問題。偽基站亂發短信的泛濫局面不斷擴大以及其違法犯罪的報道屢見報端，給社會造成了很大的不良影響，急需一套有效的偽基站檢測識別系統來對打擊偽基站提供有力的技術支持。本文先對現有的偽基站檢測方法的改進，通過對現有的純參數檢測法的缺陷，在現有的參數檢測的基礎上，增加了異常信令檢測和異常行為檢測，構成三維聯合檢測法，以提高系統檢測概率；然后結合現有的成熟的硬件平臺，研制出了一套偽基站檢測識別系統。

偽基站檢測；系統設計；三維檢測法；系統實現

在移動通信系統中，基站是具有合法運營資質的電信網絡運營商部署的網絡基礎設施[1]，它是一個能夠接收和發送信號的固定電臺，是手機進行無線通信不可或缺的重要樞紐。自2013年以來，全國各地出現類似移動通信基站的“偽基站”，它不以用戶正常通信為目的[2]，是某些商家和個人建立的出于自身利益的“偽基站”，使之成為當前實施電信詐騙手段中常用的一種高科技設備[3]。目前，用偽基站發送垃圾短信已在全國造成泛濫局面，諸多詐騙案件都相繼被媒體曝光。偽基站結構簡單，組裝方便，發射功率大于公共基站，干擾了正常基站通信，占用了寶貴的網絡資源，采用流動式作案[4]，給正常用戶及運營商帶來很大的煩惱，成為當今移動通信領域急需的重要問題。因此，急需一套完整的檢測系統來打擊這種違法行為。

當前的偽基站檢測方法主要是側重于運用區別于真實基站與偽基站的特征參數（如功率、異常LAC的位置更新統計和GSM系統參數C1、C2等）進行檢測。這種基于異常參數的檢測方法過于簡單，只適用于檢測參數設置較為極端的偽基站，對于偽裝性能好、參數特征不明顯的偽基站，其檢測效果不佳。針對上述不足，文中在綜合現有參數檢測的基礎上，同時增加了異常信令和異常行為檢測，提出了一種基于三維聯合檢測方法，并在現有成熟的商用硬件平臺的基礎上，將二者結合起來，設計了一套偽基站檢測識別系統。

1 偽基站工作原理

1.1 工作原理

偽基站，顧名思義，就是“假基站”，它偽裝成公共移動運營商基站，以提取移動終端信息或與其進行信息傳遞的無線電收發信電臺[5]。當前的偽基站都會配套一部專用的手機，通過這部手機可以獲取目標合法GSM移動通信基站下發的無線射頻參數，它重點獲取BCCH小區廣播信道和相鄰小區的廣播信道，在得到這些信息之后，就可以在目標合法GSM移動通信基站覆蓋的小區內以大功率廣播合法基站鄰近小區的BCCH信道[6]。由于偽基站的發射功率比公網功率大，強制把手機從公網內吸入偽基站覆蓋區，根據GSM協議，手機會向偽基站發起位置更新請求，偽基站就在這個過程中要求手機上傳自己的信息，從而獲取手機的IMSI和IMEI[7]。由于偽基站不連接公網，所以，用戶在其覆蓋區無法進行正常通信，從而實現目標區域通信阻斷。當手機進入偽基站覆蓋區域之后，偽基站就將事先準備好的任意內容的短信以任意數量群發到其覆蓋區內的所有手機。為了防止用戶手機察覺異常，同時也為了最大限度的吸入最多的手機進入偽基站，偽基站通常會頻繁的更換LAC號，讓原來在其中的手機誤以為進入新的小區，從而發起新一輪的位置更新請求。如果申請位置更新請求的手機已經接收過短信，偽基站就拒絕其位置更新請求，從而將其踢回公網。其原理圖如圖1所示。

圖1 偽基站工作原理示意圖

1.2 偽基站存在的原因

當前社會上出現的偽基站主要是移動GSM偽基站。這主要是因為移動GSM用戶數量眾多，普及率較高。而偽基站之所以能夠這樣輕而易舉地 “劫持”手機，獲取用戶手機信息，主要是利用了我國GSM移動通信網絡的兩個漏洞：一是GSM系統的鑒權流程只是能夠實現網絡對終端的單向鑒權，而終端無法對基站的合法性及身份的真偽進行驗證；而是GSM系統沒有采用完整性保護機制對空中接口信令進行保護，移動終端無法對網絡發送信令的真實性和完整性進行鑒權。這樣，手機終端只要接收到網絡發送的標準的通信信令，就會進行處理和響應，不去分辨信令的真偽，對于偽造或被篡改的信令也進行處理[8]。

2 偽基站檢測識別系統設計

2.1 偽基站的特征

基于偽基站的工作原理，從中可以得知偽基站比較顯著的4個特點：

1）相較于正常公網基站，偽基站的C1、C2、T3212等值差別較大；

2）偽基站會頻繁的更換LAC號，導致手機不斷被吸入與踢出，并且手機接入時間較短，一般10～20 s后脫網，所以，偽基站會造成大量的位置更新[9]。

3）沒有話音業務，并且存在大量相同長度短信業務。

4）基站的LAC值通常設置為邊界值。相較于正常的公網基站，偽基站的 LAC值通常會設置為0，65534或者65535等臨界值[10]。

偽基站的這些顯著特征也正是檢測偽基站的突破口。

2.2 三維檢測方法

當前，諸多文獻中都講述了偽基站的檢測方法，其中，基于參數的檢測方法用的比較廣泛，主要是通過比較偽基站與正常基站的參數差異來尋找突破口。然而僅僅依靠參數檢測會造成較高的誤警率與漏警率，因此，文中在參數檢測的基礎上增添了異常信令和異常行為檢測，力求提高偽基站檢測概率。其整體檢測方法流程如圖2所示。

1）異常參數檢測

參數檢測法主要是針對偽基站與真實公網基站的參數設置差別來實現的。從偽基站的工作原理中得知，偽基站為了偽裝成公網基站的鄰區，會使用公網的基站的頻點，通過加大發射功率來強制吸入用戶手機進行鄰區切換。因此，大功率成為偽基站最為突出的特征。根據偽基站的工作原理和GSM協議，偽基站強制手機進行鄰區切換時，也會出現網絡參數的異常，主要是C1，C2，CRO，LAC和CID等主要參數。其中，C1是小區選擇參數，C2是小區重選參數，CRO是小區重選偏置，LAC是位置區編號，CID是小區號。由于T3212值和RXLEV_MIN設置偏小，CRO設置極端，致使C2值通常在90以上[11]。因此，可以對這些突出的網絡參數進行檢測，對比公網參數，進行初步判斷。

圖2 偽基站檢測方法示意圖

2）異常信令檢測

由于偽基站的目的是盡可能多的吸入用戶手機然后進行短信群發，但是為了防止用戶察覺，它會頻繁的進行LAC更新，促使手機不停的發送位置更新請求，這是跟公網基站顯著不同的地方。由于偽基站覆蓋范圍有限，同時偽基站的T3212設置較小，因此用戶占上偽基站信號后，將會在較短的時間重新回到現網，在現網中就會存在同一用戶在同一小區下短時間內連續位置更新的情況，造成位置更新次數的突發大量增加。此外，用戶從偽基站信號回到正常網絡位置更新時，上報的源LAC是偽基站的LAC，或者是0，65534，65535等異常LAC[12]因此，統計異常位置更新次數較多的小區，初步確定可疑小區及其地理位置。

此外，根據GSM協議，手機進行鄰區切換時，會向基站上傳自己的IMSI和IMEI，之后會向基站發送鑒權信息。而偽基站只是為了獲取用戶的IMSI和IMEI，不會進行鑒權操作。所以，偽基站會忽略此信息，直接同意手機接入就可以成功建立通信，從而開始電信攻擊。因此，當用不帶SIM卡的偽終端進行檢測時，如果系統能夠檢測到基站并且能夠駐留，那么這個基站一定是偽基站，因為沒有SIM卡的終端由于無法完成正常的鑒權流程，所以它無法被網絡認定為合法。為了比較合理的確定該基站是否是偽基站，可以偵測該基站的SDCCH信道。SDCCH信道用于在分配業務信道之前傳送有關信令，例如登記，鑒權等信令均在此信道上傳輸，所以可以檢測此信道上是否有鑒權信息。

3）異常行為檢測

由于偽基站與公網斷開連接，因此，偽基站沒有語言業務，處于偽基站覆蓋范圍內的手機都無法進行正常的通信行為。但是手機一旦處于偽基站下，在無法進行通信的情況下，手機也會收到帶有任意號碼的短信，這些短信大多是廣告類型，甚至帶有欺詐性，它們是由偽基站下發的，這是偽基站相較于正常基站最明顯的異常行為。因此，此時可以嘗試發起語音尋呼，如果沒有應答，則是偽基站。

2.3 硬件組成

2.3.1 硬件系統結構

整個硬件系統由3個主要部分組成：PC主機，ARM主控單元和檢測終端組成。其中PC主機主要是運行檢測界面，進行信息顯示；ARM主控單元是以ARM9S3C2440芯片為核心的ARM板，是整個檢測算法的運行平臺，同時也是控制筆記本和為終端進行信息傳遞的轉接板。它將操作設備發送過來的指令信息翻譯成檢測終端能夠理解的信息，指導檢測終端與基站進行信息交互。同時也將偽終端檢測到的信息反饋回操作設備。主控單元通過網線與操作設備相連，它們之間進行網口通信。整個硬件系統的組成示意圖如圖3所示。

圖3 偽基站檢測系統硬件組成示意圖

2.3.2 檢測終端結構設計

檢測終端是整個檢測系統的關鍵，它負責與基站進行信息交互，獲取基站的無線參數。在課題設計中，檢測終端的設計主要是在一塊電路板上集成了五個GSM檢測模塊，WAVECOM公司的Q24 PLUS。Q24 PLUS模塊集成了完整的射頻電路和GSM的基帶處理電路，及充電電路，能為語音傳輸、短消息和數據業務提供無線接口。主控微處理器通過輪詢的方式每隔五秒查詢一個終端模塊，從而獲取相應的終端檢測到的信息。整個檢測終端主題部分框架圖如圖4所示。

圖4 檢測終端主體設計簡圖

2.3.3 串口擴展設計

由上圖中檢測終端的主體框圖可知，檢測終端上需要掛接五個GSM檢測模塊，再加上向外傳輸信息的一個串口，因此，需要擴展出6個串口。因此，本文在單片機和FPGA的配合下，使6個串口能夠同時工作。在本文中，選用兩片ATMEGAL128單片機和兩片 Altera公司 CYCLONE II系列 FPGAEP2C5T144C8N作為主要擴展芯片。ATMEGAL128具有很強的外部總線擴展能力，利用片外三總線結構很容易實現單片機與FPGA的總線接口，而且ATMEGAL128以總線方式與FPGA進行數據通信與控制信息通信的速度比較快[14]。EP2C5T144C8N是Altera公司新開發的一款價格比較便宜，速度較快，引腳以及I/O口豐富，基本功能較為完整的芯片[14]。它采用四方塑封貼片設計，比較適合電路板設計。通過配置命令，查詢各個串口的狀態；通過配置命令，選擇各個串口的工作或者關閉；并能靈活輸出每個串口傳遞業務的狀態指示。其總體的設計結構如圖5所示。

圖5 串口擴展結構設計簡圖

3 系統測試

在實際的測試中，測試的流程為首先檢測基站的參數特征[15]，包括下行頻率，信號強度，MCC，MNC，LAC號，NCC，BCC，小區ID，T3212。其中MCC是移動國家碼，460代表中國，MNC代表移動網號，用于標識移動用戶所歸屬的網絡，中國移動的GSM PLMN網為0，中國聯通的GSM PLMN網為1；LAC是位置區號碼，用于識別一個GSM網中的位置區，它是判斷偽基站的重要參數[16]，也是信令判斷的重要工具。NCC是網絡色碼，用于讓移動臺區別相鄰的屬于不同GSM PLMN的基站，其取值范圍為0—7。BCC是基站色碼，用于在在同一個GSM PLMN中識別BCCH載頻號相同的基站，其取值范圍為0—7。T3212是周期性位置更新定時器，用于移動臺向網絡定時報告自己的位置，也是檢測偽基站的一個重要參數。參數檢測完成之后，再嘗試發起語音尋呼。真實的基站會響應語音尋呼，而偽基站則由于沒有語音功能而無法響應語音尋呼。查詢完整個流程之后，然后綜合判斷檢測到的基站是否為偽基站，并在“疑似”欄中給出評價等級，等級的層級為0—3級，級別越高，是偽基站的可能性就越大。

從圖6檢測終端檢測到的基站。偽基站檢測識別系統總共搜索到兩個基站，分別為移動GSM基站和聯通GSM基站，并給出了所連接到的兩個基站的主要參數，除此之外，系統同時也給出了六個鄰區基站的參數，包括下行頻率，信號強度等。從圖中可知，移動和聯通的基站信號強度一樣，位于不同的小區，參數特征沒有什么異常，在后臺的信令捕捉中也沒有發現異常，所以，在偽基站的判斷欄“疑似”欄中的標記值都是0，這表示所連接到的基站是真實的基站，不是偽基站。

圖6 GSM偽基站檢測視圖

在下面的檢測視圖7中，加大了聯通GSM基站的功率，同時減小了聯通GSM周期更新定時器T3212的值。在實際測試時，檢測終端檢測到的公網基站及其鄰區基站的LAC值是連續變化的，而測試時，所檢測到的基站LAC值與公網鄰區差別很大，通過上述檢測流程的檢測之后，該系統判斷該基站為偽基站，同時也無法檢測到它的鄰區，符合檢測原理。

圖8中，被檢測到的偽基站信號強度很大，分別為-36和-38。此時，檢測系統基于這兩個參數就在疑似欄中將其等級標記為3。然后再用偽基站檢測識別系統去檢測二者的LAC值，均與公網區別較大，通過一整套流程檢測之后，所得到的檢測結果如下圖所示：在疑似欄中，二者的等級都為3，符合檢測原理。

圖7 GSM偽基站檢測視圖

圖8 GSM偽基站檢測視圖

4 結束語

文中在現有檢測方法的基礎上，對現有的偽基站檢測方法進行了優化。同時，基于現有的硬件平臺，設計并實現了一套偽基站檢測識別系統。為了提高檢測速度，在檢測終端上集成了5個檢測模塊，為了更為有效快速的檢測，需要設計更為合理的調度算法，這是本文下一步將要進行的工作。

[1]田野，劉斐，徐海東，等.新型偽基站安全分析研究[J].電信工程技術與標準化，2013（8）：58-61.

[2]趙耀，袁忠良.非法架設公眾移動通信偽基站監管研究[J].中國無線電，2013（8）：25-26.

[3]宋鳳忠.如何鑒別“偽基站”騙局—從湯唯受騙認識偽基站[J].通信世界，2014（3）：17.

[4]周之童，夏子焱，邢佳帥，等.偽基站系統偵測識別及定位方法研究[J]，信息網絡安全，2014（9）：196-198.

[5]趙恒、邵四清.偽基站系統的分析定位方法及解決建議（一）[J].中國無線電，2011（7）：72-77.

[6]張宸.偽基站設備硬軟件結構及工作原理分析與研究，設備與技術，2014（4）:50-51.

[7]陳強、劉亮.基于智能手機的偽基站檢測方法[J].通信安全與通信保密，2014（11）:131-134.

[8]劉錦陽.淺析偽基站的主動識別與主動防御[J].廣東通信技術，2014（2）:61-64.

[9]馬文淵.揭開偽基站的真面目[J]，打擊偽基站專題，2013（12）：33-34.

[10]朱艷云.偽基站治理技術方案研究[C]//全國無線及移動通信學術大會，2014：488-492.

[11]楊雪謹.淺析偽基站的工作原理和治理方法[J].中國無線電，2014（3）：15-17.

[12]葉炳基、董事.垃圾型偽基站和排查方法的探索[C]//2014全國無線電及移動通信學術會議論文集，2014.

[13]劉先博.基于FPGA與MCU的多串口通信接口設計與實現：[D].南京：南京理工大學，2014.

[14]王海杰.基于EP2C8T144C8N的FPGA通信系統實驗箱設計與開發：[D].浙江：浙江工業大學，2014.

[15]浦靈敏，張健.多載波移動通信系統中的基站節能研究[J].電子設計工程，2015，23（21）：170-172.

[16]熊莉芳，林源，王鵬武，等.汽蝕管兩相流數值仿真及內型面參數影響研究[J].火箭推進，2015（2）：79.

Design and implementation of the fake base station detection system

YAO Jing-peng1，ZHANG Li-zhi1，YANG Zhi-wu2
（1.National Digital Switching System Engineering&Technological Research Center,Zhengzhou 450000，China；2.PLA 91746，Beijing 102206，China）

The detection of the fake base station is a hot issue in those days,As the illegally used by some people,the fake base station has caused very bad effects in the society.It is the high time for an effective system in order to satisfy the requirement of more properly detecting the fake base stations and make up for the imperfection of the pure parameters detection.this paper firstly analyzes the working principle of the fake base station,then synthesizes the current parameters in present parameter detection methods and proposes the design of the fake base station detection system based on three-dimension union detection method from the point of unusual signal and unusual behavior.In the end,this paper achieves the Fake Base Station Detection System based on the current hardware.

fake base station；system design；three-dimension union detection method；system implementation

TN924+.3

：A

：1674-6236（2017）08-0019-05

2016-04-07稿件編號：201604060

國家科技支撐計劃課題支持（2014BAH30B01）

姚景朋（1988—），男，河南信陽人，碩士。研究方向：無線與移動通信。