5G網絡安全監測預警機制

徐國榮

（南京中興軟件有限責任公司，江蘇 南京 210000）

現階段，5G網絡已經正式投入使用，同時發揮著引領作用，促進信息技術進一步發展，它在信息化網絡中占據主導地位，在給廣大用戶帶來更多便利的同時也大幅度改善人們通信效果。當前，5G網商用和專用正在不斷擴大應用范圍。但是，在其快速發展背景條件下，需要注意其安全性，最好是建立完善機制全面系統監測5G網絡安全。在監測預警移動通信安全性方面，4G時代還不能對其進行很好監測，主要是因為監測更多集中于應用層中。對于5G時代安全預警監測本文提出建立一種機制，以實現全面監測目標。

1 研究5G網絡發展及經濟價值

當前，國內5G技術正應用于商業化之中。專家預測，到21世紀30年代，5G技術會有巨大直接產出和間接產出，不僅能夠創造直接經濟價值，還能帶動GDP發展，同時為廣大群眾提供就業機會。具體來說，表現在以下方面：第一，發展5G技術，對數字化投資非常有利，可以加速ICT資本進一步發展，實現規模化、市場化應用5G技術目標，當然前提條件是運營商需要做一些預先投入。對于5G網絡及其設備而言，如果運營商加大投資力度，不僅可以滿足網絡設備發展需求，還能帶動相關行業發展。第二，發展5G技術，有利于創新應用，使5G網絡消費總量得到大幅度增加，同時作為基礎設施可以連接萬物，更有利于發展經濟，為其提供源源不斷力量。應用5G技術之后，可以創新產品和服務，從而創造出各種新型產品，使得生活中廣泛應用各種信息服務，通過刺激消費，增加內需，實現增長經濟目標。第三，普及應用5G技術之后，可以將更多就業機會提供出來，使得5G技術得到廣泛應用，從而使企業產出效率得到大幅度提升。關聯產業之后，還能夠間接創造出更多就業機會，帶動與5G相關產業的發展。

2 3GPP中5G安全監測方案

對于3GPP而言，已存在的網絡切片想要促進監測安全功能的實現，需用應用一個網元，即NWDAF，該網元具有典型特征，為運營商所利用，功能強大，能夠進行分析、管理。NWDAF具有的多種功能可以服務于NF，例如分析網絡數據信息功能，基于網絡切片實例級別將網絡分析信息提供出來，同時對于該片當前使用者NWDAF并不知曉。NWDAF可以通知用戶特定切片網絡狀態分析信息，使用戶對其NF知曉，同時NF能夠從NWDAF中將特定網絡狀態分析信息收集出來。網絡分析消費者中PCF和NSSF都有各自功能，如PCF能夠為決策策略提供數據支持，NSSF能夠將負載信息提供出來，有利于開展切片工作選擇。

NWDAF功能優勢非常明顯，能夠將信息分析結果提供給5G核心網中NF和OAM，這個信息既可以是對過去信息進行統計，也可以是對未來信息進行預測。NWDAF能夠以AMF、PCE、OAM、AF等提供的事件為依據，對數據進行收集，檢索存儲于數據庫中信息。對與NF有關的信息進行檢索，然后將分析服務提供給使用者。對于NWDAF而言，它可以對網絡通信中信令級信息進行收集，進而促進對信令級別監測的實現。

NF服務能力具有公開性特征，針對NF，NWDAF主要提供兩種功能模式，包括訂閱模式和請求模式。消費者在訂閱模式中能夠借助調用服務操作對分析進行訂閱或者取消。請求模式中，消費者能夠實施請求操作，NWDAF接收到相應指令后，就會應用相關功能進行研究，判斷是否需要進行相關操作來開展采集工作，如果需要，就會分析信息對消費者進行回應。

3 5G網絡安全監測預警機制

第一，對于5G核心網絡而言，其適用范圍比較狹窄，僅僅可以進行一般監測，對擴展功能沒有好處，如果將一些5GPPP模塊增加其中，就會混亂系統結構，對管理造成不利影響；第二，輸出比較簡單的信息，沒有集成復雜算法，依靠一個網元不能實現目標，由此看來，需要對5G網絡SDN架構進行借鑒與參考，將全新5G安全網絡預警機制提出來。

針對現有網絡功能中缺陷，如較差擴展性、較高基礎設施成本、難以實現個性化定制等，在5G網絡中將SDN增加進來，同時將其作為根基，建立起5G網，考慮到SDN是一種新型網絡結構，因而具有分離并控制數據作用，可以對軟件實行編程操作。SDN轉發平面中有機結合分布和集中兩種形式，借助控制-轉發通信接口，控制平面能夠集中控制轉發平面上網絡設備，并且促進編程能力靈活度的提升。

應用層、控制層和網絡基礎設施層是5G典型體系架構中三個層面。基礎網絡設施層也被稱為數據轉發層，由很多具有轉發性能的儀器設備構成，具有的功能十分強大，有利于開展各種與網絡相關的工作。三個層面關系非常緊密，不可分割，三個層面功能和作用各不相同，例如基礎控制層能夠實施轉換操作，進而將網絡狀態情況通過報告顯示出來，再應用API與應用層建立關系，使多種形式訪問服務得到實現。應用層實際是一種商業應用，其功能是對各種用戶服務需求進行滿足，在控制器的幫助和支持下，這些應用程序還能實現多種功能。

通過上述研究可知，通常情況下會將各個具有分散性質且不相聯系的模塊添加到核心網絡中，從而使安全監測預警功能得到實現，這就導致系統的安全監測預警系統并沒有形成。由此看來，需要以5G網絡為基礎，擴充SDN架構，提出一種新型系統，實際是融合安全監測和網絡通信功能，同時開展嘗試工作，即獨立應用安全監測預警機制，有機統一安全監測和5G架構，充分利用三個層面，擴大使用范圍，同時可以進行商用和專用。此機制能夠消除掉傳統應用層弊端，實現更高級別監測目標。

5G安全監測網絡預警架構包括兩個層面，分別是網絡普通域、安全監測域，網絡普通域類似于經典SDN架構，安全監測域完全等同于SDN架構，共有三層，具體分析是：

3.1 應用層

基礎和前提是5G網絡監測安全預警，同時滿足其要求，將一種具有安全性的應用SAPP開發出來，采用簡單直接方式，將網絡實時狀態向用戶展示出來，并且進行預警。另外，利用4G中各種安全技術優勢不斷發展和壯大，以應用層為根本點，實施監控和檢測操作。通過具有安全性能的接口，能夠全面監測應用層、控制層，促進通信功能的實現，最終完成接收控制層數據信息的任務。

3.2 控制層

控制監測層的組成部分包括監測單元、擴展單元、預警單元等，它與普通網絡域控制層處于同等級別，借助監測單元，能夠對普通網絡域控制層中狀態數據信息進行采集，再充分利用預警單元，開展預測工作，運用適合的概率算法等，將安全網絡狀態預測出來，從而在應用層中呈現出來。安全監測新功能的添加是擴展單元主要功能，比如安全監測特殊情景、計算安全攻擊線路等，為擴展提供便利，優勢比較明顯，包括成本比價低等。

3.3 設備層

其功能是對安全監測所需設備進行部署，對控制層發出的相關指令實施接受操作，同時將其作為基礎依據，完成與之相關的所有任務。

該5G網絡安全預警機制適用范圍非常廣闊，同時可以應用于規模較大的商用5G網絡和小范圍專用5G網絡中。商用網絡中能夠以實際求為根據，合理布置，為了進行系統化動態化監測，能夠以某一層或幾層為根本點開展相關工作，或者對其進行不斷拓寬，同樣能對某一小段網絡進行監測，或者能夠擴展到上層大網中。安全監測對5G專用網絡提出極高要求，對于融合軍民專用網要求就更高，可以將其分為兩個部分，包括普通域和高安全域。

該系統需要將安全監測探針植入到終端側，從而發揮監測底層作用，對SAPP進行安全應用，從而對應用層進行監測和預警；充分利用防火墻，網絡側可以隔離過濾普通域和高安全域，對于監測預警單元而言，能夠發揮控制層監測作用，并且將IDS、IPS、WAF等安全監測功能增加到DN側。此種機制從多個層面、多個系統出發，促進5G網絡監測預警功能的實現。

4 結束語

綜上所述，這篇文章主要分成三個部分，首先介紹5G網絡發展及經濟價值，其次對3GPP標準中監測網元的NWDAF進行闡述，最后通過研究現階段5G安全監測預警機制中問題，提出一種新型網絡架構，即有機結合普通網絡域和安全監測域，并將其優勢表示出來，如較低成本、更新換代速度快，開放性件等，因此，其適用性非常廣闊。