国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

5G網(wǎng)絡(luò)信令流量安全監(jiān)測研究

2023-10-12 08:21謝澤鋮張曼君王姍姍中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司北京00033中國聯(lián)通研究院北京00048下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國家工程研究中心北京00048
郵電設(shè)計技術(shù) 2023年9期
關(guān)鍵詞:話單網(wǎng)元信令

鄭 濤,謝澤鋮,張曼君,陸 勰,王姍姍(.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司,北京 00033;2.中國聯(lián)通研究院,北京 00048;3.下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國家工程研究中心,北京 00048)

0 引言

自2019 年商用以來,5G 網(wǎng)絡(luò)已經(jīng)邁入高速發(fā)展期,各種現(xiàn)象級應(yīng)用層出不窮,5G 用戶的單用戶流量跟4G 用戶的單用戶流量相比有了極大的提升[1]。目前,5G 網(wǎng)絡(luò)的接入流量、業(yè)務(wù)流量仍在持續(xù)大規(guī)模增加中。5G 網(wǎng)絡(luò)與各種垂直行業(yè)的融合在深度和廣度上也都得到了大幅提升,這種深度融合使得原來封閉的園區(qū)網(wǎng)絡(luò)和運(yùn)營商網(wǎng)絡(luò)向著縱深開放轉(zhuǎn)變,攻擊者更易利用網(wǎng)絡(luò)的暴露面發(fā)起攻擊,而網(wǎng)絡(luò)流量正是攻擊行為的載體,使得各企業(yè)進(jìn)行安全防護(hù)的難度越來越高。

在此背景下,除了傳統(tǒng)的安全防護(hù)手段之外,運(yùn)營商和5G 垂直行業(yè)客戶均希望能夠通過有效的流量監(jiān)測技術(shù)手段,對5G 專網(wǎng)流量進(jìn)行安全分析監(jiān)測,以便更加快速地發(fā)現(xiàn)安全事件并進(jìn)行威脅溯源,彌補(bǔ)其他安全工具的不足之處。

1 傳統(tǒng)流量監(jiān)測技術(shù)簡介

網(wǎng)絡(luò)流量分析技術(shù)(Network Traffic Analysis,NTA)于2013年被首次提出,并且在2016年逐漸興起。2017 年,NTA 被Gartner 評選為2017 年十一大信息安全新興技術(shù)之一,同時也被認(rèn)為是5 種檢測高級威脅的手段之一。在Gartner的定義里,NTA 是以網(wǎng)絡(luò)流量為基礎(chǔ),應(yīng)用人工智能、大數(shù)據(jù)處理等先進(jìn)技術(shù),基于流量行為進(jìn)行實時分析并展示異常事件的客觀事實[2]。后來,隨著技術(shù)的發(fā)展,在NTA基礎(chǔ)上逐漸增加了檢測和響應(yīng)的功能,Gartner 于2020 年提出了NDR(Network Detection and Response)的概念,成為業(yè)界的主流。文獻(xiàn)[3]提出對無線網(wǎng)絡(luò)流量的分析和準(zhǔn)確預(yù)測是無線網(wǎng)絡(luò)管理與安全領(lǐng)域的重要研究內(nèi)容之一,在網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)控、流量趨勢分析、網(wǎng)絡(luò)優(yōu)化以及入侵檢測和異常檢測等方面發(fā)揮著重要作用,并介紹了DPI(Deep Packet Inspection)、DFI(Deep/ Dynamic Flow Inspection)等典型的無線網(wǎng)絡(luò)流量分析的模型與常用流量分析方法。文獻(xiàn)[4]介紹了將DPI 技術(shù)與DPF 技術(shù)結(jié)合進(jìn)行全流量分析的方法。文獻(xiàn)[5]介紹了NetStream、Netflow、sFlow 等基于端口的分析技術(shù)和基于DPI 網(wǎng)絡(luò)探針等網(wǎng)絡(luò)流量的分析技術(shù)。文獻(xiàn)[6]介紹了5G場景下的全流量安全檢測與分析技術(shù),采集5G 全流量、資產(chǎn)信息、漏洞信息、設(shè)備日志、安全事件等信息,進(jìn)行全網(wǎng)5G 安全事件監(jiān)測分析、5G 終端資產(chǎn)管理、漏洞管理、原始攻擊報文存儲、5G安全事件溯源及處置、5G安全威脅態(tài)勢感知等。

目前國內(nèi)外安全企業(yè)已經(jīng)提供了多款網(wǎng)絡(luò)流量安全分析監(jiān)測類系統(tǒng),用于監(jiān)測和解決企業(yè)互聯(lián)網(wǎng)場景下IT 網(wǎng)絡(luò)所面臨的安全問題。同時,NTA 技術(shù)在移動通信網(wǎng)絡(luò)中也有應(yīng)用,一般用于分析基于HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)等傳統(tǒng)傳輸協(xié)議的用戶流量,進(jìn)行Web(World Wide Web)應(yīng)用攻擊、數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)惡意程序等安全攻擊事件的監(jiān)測和識別,適用于日常異常流量監(jiān)測、攻防演練等場景,如圖1 所示,缺乏根據(jù)網(wǎng)絡(luò)流量特點及5G 網(wǎng)絡(luò)業(yè)務(wù)特點進(jìn)行分析的信令流量監(jiān)測技術(shù)。

圖1 傳統(tǒng)流量安全監(jiān)測流程

隨著5G網(wǎng)絡(luò)應(yīng)用場景的不斷擴(kuò)展以及5G網(wǎng)絡(luò)個性化安全需求的不斷增加,現(xiàn)有NTA 技術(shù)和流量安全分析監(jiān)測類系統(tǒng)無法實現(xiàn)針對5G 網(wǎng)絡(luò)特有的交互流量協(xié)議,如PFCP(Packet Forwarding Control Protocol)、NGAP(Protocol for NG Interface)等協(xié)議的識別、解析和威脅發(fā)現(xiàn),缺少針對5G網(wǎng)絡(luò)場景類交互異常和威脅感知的能力,無法滿足5G網(wǎng)絡(luò)場景的流量監(jiān)測需求。目前業(yè)內(nèi)多將信令消息用于DPI 話單回填,對于基于5G特有的業(yè)務(wù)流程交互、5G信令特點進(jìn)行流量監(jiān)測的研究較少。因此,研究5G 網(wǎng)絡(luò)場景下的信令流量監(jiān)測,對發(fā)現(xiàn)5G 網(wǎng)絡(luò)威脅及進(jìn)行威脅溯源,提高5G 網(wǎng)絡(luò)全網(wǎng)安全態(tài)勢感知能力,有著重要的意義。

2 5G信令流量安全監(jiān)測技術(shù)

不同于傳統(tǒng)的NTA流量分析技術(shù),5G信令流量安全監(jiān)測技術(shù)更多基于5G網(wǎng)絡(luò)的業(yè)務(wù)特點和5G網(wǎng)絡(luò)的協(xié)議特點去做分析,例如5G 網(wǎng)絡(luò)中N1/N2 接口的NGAP 協(xié)議、N3 接口的GTP-U(GPRS Tunnelling Protocol for the User plane)協(xié)議、N4接口的PFCP 協(xié)議等,并根據(jù)5G 網(wǎng)絡(luò)用戶的特點和業(yè)務(wù)特點構(gòu)建流量分析模型,對5G 網(wǎng)絡(luò)的安全監(jiān)測更有針對性。通過采集5G網(wǎng)絡(luò)N1(UE-AMF 之間接口)、N2(RAN-AMF 之間接口)、N4(UPF-SMF 之間接口)、N8(AMF-UDM 之間接口)、N10(SMF-UDM 之間接口)、N11(AMF-SMF 之間接口)、N12(AMF-AUSF 之間接口)、N14(AMF-AMF之間接口)、N15(AMF-PCF之間接口)、N16(SMF-SMF之間接口)、N22(AMF-NSSF 之間接口)、N26(AMFMME 之間接口)、N28(PCF-CHF 之間接口)、N29(SMF-NEF 之間接口)、N32(SEPP-SEPP 之間接口)、N33(AF-NEF 之間接口)、N40(SMF-CHF 之間接口)等信令交互接口的原始流量,運(yùn)用大數(shù)據(jù)、機(jī)器學(xué)習(xí)算法,按不同應(yīng)用協(xié)議識別處理、解析、還原和分析流量,對網(wǎng)絡(luò)安全事件進(jìn)行深度挖掘,從而分析網(wǎng)元間信令攻擊和可能遭受的網(wǎng)絡(luò)攻擊事件,對網(wǎng)絡(luò)安全態(tài)勢做出評估;并結(jié)合5G 專網(wǎng)用戶特點和行為特征,識別異常終端設(shè)備,從而有效管控終端。

2.1 技術(shù)架構(gòu)

5G 網(wǎng)絡(luò)流量安全監(jiān)測的技術(shù)架構(gòu)如圖2 所示。數(shù)據(jù)源為5G 網(wǎng)絡(luò)中N1、N2、N4、N8、N10、N11、N12、N14、N15、N16、N22、N26、N28、N29、N32、N33、N40 等接口的信令流量,涵蓋NGAP、PFCP、HTTP2、GTP 等各類協(xié)議。數(shù)據(jù)采集解析包括流量采集、信息回填、協(xié)議識別、數(shù)據(jù)分類、數(shù)據(jù)存儲等,將采集的原始流量解析處理成全接口統(tǒng)計話單日志、N1N2話單日志、N4話單日志、異常XDR 話單日志等,向上提供給信令流量監(jiān)測分析使用。信令流量監(jiān)測結(jié)合5G 網(wǎng)絡(luò)特點及其流量特征,根據(jù)安全模型對信令面流量進(jìn)行異常流量檢測與分析,包括異常終端監(jiān)測、網(wǎng)元非法接入監(jiān)測、信令風(fēng)暴監(jiān)測、異常信令監(jiān)測、異常服務(wù)網(wǎng)元監(jiān)測等。

2.2 關(guān)鍵特性

5G 信令流量安全監(jiān)測關(guān)鍵特性可分為異常終端監(jiān)測、網(wǎng)元非法接入監(jiān)測、信令風(fēng)暴監(jiān)測、異常信令監(jiān)測和異常服務(wù)網(wǎng)元監(jiān)測這五大特性。

2.2.1 異常終端監(jiān)測

5G 網(wǎng)絡(luò)中的終端數(shù)量巨大、類型多樣,一些物聯(lián)網(wǎng)終端性能較低,安全防護(hù)能力弱,面臨著被黑客劫持從而攻擊網(wǎng)絡(luò)的風(fēng)險。例如5G 網(wǎng)絡(luò)中非法終端頻繁地發(fā)起注冊請求,但是由于鑒權(quán)流程不通過導(dǎo)致注冊失敗,憑空浪費大量的無線及網(wǎng)絡(luò)資源;一部分合法終端可能因為自身或被黑客控制等原因反復(fù)進(jìn)行開關(guān)機(jī)、周期性地發(fā)送大量信令、反復(fù)切換等行為,浪費網(wǎng)絡(luò)資源。

基于N1、N2 接口的信令流量,通過對注冊流程的檢測和解析,識別來歷不明的非法終端,監(jiān)測頻繁發(fā)起網(wǎng)絡(luò)接入用戶、頻繁開關(guān)機(jī)用戶、頻繁發(fā)起連接業(yè)務(wù)請求用戶、信令交互量過大用戶、頻繁發(fā)起5G 內(nèi)切換用戶、頻繁發(fā)起4G/5G切換用戶等;通過解析終端接入切片的信令消息,識別試圖接入非本終端簽約切片的異常終端行為,為運(yùn)營商及行業(yè)客戶提供發(fā)現(xiàn)異常終端的運(yùn)維手段。

2.2.2 非法網(wǎng)元接入監(jiān)測

5G 網(wǎng)絡(luò)為了給垂直行業(yè)客戶提供低時延、更個性化的服務(wù),將網(wǎng)絡(luò)能力和計算能力延伸到了網(wǎng)絡(luò)邊緣和用戶邊緣,但是下沉的UPF 網(wǎng)元更靠近用戶側(cè),增加了網(wǎng)絡(luò)的暴露面,網(wǎng)元更容易被攻擊者控制和仿冒。為了監(jiān)測和防范此風(fēng)險,針對非運(yùn)營商登記資產(chǎn)進(jìn)行監(jiān)控,通過信令流量數(shù)據(jù)解析,主動探測5G 網(wǎng)絡(luò)中的各網(wǎng)元,及時發(fā)現(xiàn)不屬于5G 網(wǎng)絡(luò)的基站、UPF 等非法網(wǎng)元,避免攻擊者仿冒5G網(wǎng)元向運(yùn)營商網(wǎng)絡(luò)及業(yè)務(wù)平臺發(fā)動攻擊。

2.2.3 信令風(fēng)暴監(jiān)測

5G 網(wǎng)絡(luò)中大量終端接入網(wǎng)絡(luò)時將產(chǎn)生大量的接入信令,尤其是大量物聯(lián)網(wǎng)用戶同時開機(jī)接入網(wǎng)絡(luò)時會產(chǎn)生大量接入網(wǎng)絡(luò)請求,一旦網(wǎng)絡(luò)收到的終端信令請求超過了網(wǎng)絡(luò)各項信令資源的處理能力,將會引發(fā)網(wǎng)絡(luò)擁塞以至于產(chǎn)生雪崩效應(yīng),導(dǎo)致網(wǎng)絡(luò)不可用。依據(jù)關(guān)鍵信令訪問量構(gòu)建信令風(fēng)暴模型,根據(jù)對N1N2話單的注冊流程、SR(Service Request)流程、PDU(Packet Data Unit)建立流程以及N4 話單的會話流程和PFCP 節(jié)點類信令流程的統(tǒng)計分析,監(jiān)測5G 網(wǎng)元維度的信令負(fù)荷情況,發(fā)現(xiàn)基站、AMF、SMF 等關(guān)鍵網(wǎng)元的信令風(fēng)暴,預(yù)警空口信令風(fēng)暴攻擊行為,避免5G 網(wǎng)元被攻擊,影響客戶網(wǎng)絡(luò)質(zhì)量和業(yè)務(wù)正常運(yùn)行。

2.2.4 異常信令監(jiān)測

由于5G網(wǎng)絡(luò)承載的業(yè)務(wù)重要性越來越高,對于黑客的吸引力也越來越大,攻擊者的攻擊能力和攻擊手段在不斷更新提升,要防止攻擊者通過構(gòu)造畸形消息、異常方向攻擊引發(fā)5G 網(wǎng)絡(luò)設(shè)備處理異常,影響客戶網(wǎng)絡(luò)服務(wù)和業(yè)務(wù)運(yùn)行。通過對5G 網(wǎng)絡(luò)信令流量的解析識別,根據(jù)各接口雙向的信令消息進(jìn)行智能關(guān)聯(lián)分析,發(fā)現(xiàn)交互過程中的協(xié)議異常、格式異常、方向異常、服務(wù)異常等行為,綜合判定疑似受攻擊的用戶及5G 網(wǎng)元,識別通過構(gòu)造異常信令等方式發(fā)起信令攻擊的威脅。

2.2.5 異常服務(wù)網(wǎng)元監(jiān)測

5G 網(wǎng)絡(luò)中的物聯(lián)網(wǎng)終端、行業(yè)客戶的專網(wǎng)終端的位置較為固定,因此為其提供服務(wù)的AMF、SMF、UPF、gNB 等網(wǎng)元也相對固定??紤]專網(wǎng)用戶的部署特點,通過監(jiān)測信令流量中為固定位置終端提供服務(wù)的網(wǎng)元,可及時發(fā)現(xiàn)網(wǎng)元異常變更行為,從而進(jìn)一步挖掘出可能受到攻擊的5G網(wǎng)元。

2.3 部署應(yīng)用

5G 信令流量安全監(jiān)測的適用場景廣泛,通過交換機(jī)鏡像或者分光器復(fù)制5G網(wǎng)絡(luò)信令流量的方式,將網(wǎng)絡(luò)流量引流后進(jìn)行分析監(jiān)測,可實時、快速地監(jiān)測到第2.2 節(jié)提到的異常終端、非法網(wǎng)元接入、信令風(fēng)暴、異常信令、異常服務(wù)網(wǎng)元等各類網(wǎng)絡(luò)安全威脅。一方面可以為運(yùn)營商提供網(wǎng)絡(luò)安全監(jiān)測態(tài)勢預(yù)警,另一方面可以使行業(yè)客戶及時發(fā)現(xiàn)異常行為的終端,從而提升發(fā)現(xiàn)5G 網(wǎng)絡(luò)威脅和態(tài)勢感知的能力。圖3 給出了5G信令流量安全監(jiān)測的部署應(yīng)用示意。

圖3 部署應(yīng)用示意

3 結(jié)束語

本文梳理了現(xiàn)有的流量安全監(jiān)測技術(shù)及其應(yīng)用場景,并對信令流量安全監(jiān)測技術(shù)架構(gòu)和關(guān)鍵特性進(jìn)行了介紹,通過加強(qiáng)5G網(wǎng)絡(luò)信令面流量的識別和解析能力,能夠有效擴(kuò)充對于信令攻擊的威脅發(fā)現(xiàn)能力、拓展5G 安全監(jiān)測的維度。根據(jù)信令流量的靜態(tài)特征和動態(tài)特性,運(yùn)用大數(shù)據(jù)及智能檢測技術(shù),主動監(jiān)測5G信令交互異常并進(jìn)行深度挖掘和評估,對可能遭受的信令攻擊和終端異常等事件進(jìn)行預(yù)警,充分考慮了行業(yè)用戶和專網(wǎng)用戶的行為特點,切實滿足了行業(yè)客戶和5G專網(wǎng)對于全流量檢測和態(tài)勢感知的需求,有助于全面掌握5G 網(wǎng)絡(luò)的安全態(tài)勢,打造更加安全的5G網(wǎng)絡(luò)。

猜你喜歡
話單網(wǎng)元信令
河北大名話單元音韻母、單字調(diào)及雙音節(jié)非輕聲詞連調(diào)的實驗語音學(xué)初探
SLS字段在七號信令中的運(yùn)用
移動信令在交通大數(shù)據(jù)分析中的應(yīng)用探索
一種全網(wǎng)時鐘同步管理方法
基于信令分析的TD-LTE無線網(wǎng)絡(luò)應(yīng)用研究
采用大數(shù)據(jù)技術(shù)的移動DPI關(guān)聯(lián)算法探索及實現(xiàn)
LTE網(wǎng)絡(luò)信令采集數(shù)據(jù)的分析及探討
Java EE平臺在綜合網(wǎng)元管理系統(tǒng)中的應(yīng)用研究
S1字節(jié)和SDH網(wǎng)絡(luò)時鐘保護(hù)倒換原理
GSM-R移動交換機(jī)ASN.1話單的解碼