一种非法基站入侵的快速检测与定位方法技术

技术编号:9796600 阅读:472 留言:0更新日期:2014-03-22 04:05
本发明专利技术提出了一种非法基站入侵的快速检测与定位方法。该方法利用普通用户手机上采集的基本网络参数(LAC,CI,场强等)以及用户业务行为,判断参数变化及业务行为是否符合预设的各预警特征条件,将符合特征条件的权重加总,根据该总权重判定当前是否属于一次非法基站入侵的预警;判断预警成立后,在用户GPS开关打开情况下,记录当前用户所在位置的GPS经纬度信息,将一级预警信息传递给远程的中央处理单元;中央处理单元根据攻击前LAC码将多个终端的上报信息分类,对归于一类的预警信息进行二次综合报警分析,判定是否满足预设的各报警特征条件,将符合报警特征条件的权重加总,根据总权重判定当前是否属于一次非法基站入侵报警,判断报警成立后,计算本次非法基站入侵时的非法基站位置并进行实时报警。

【技术实现步骤摘要】
一种非法基站入侵的快速检测与定位方法
本专利技术属于无线网络领域,特别涉及非法基站入侵的快速检测与定位方法。
技术介绍
目前的GSM移动通信系统采用单向认证的体制,即只有网络对终端的认证,不需要终端对网络的认证。“非法基站”(也称“伪基站”或“仿真基站”)设备就是利用了GSM系统协议上的这一漏洞。其基本工作原理是,通过仿真移动通信无线基站系统及后台分析系统,利用移动网络系统网号(MNC)、频率资源等,伪装成合法基站的邻区,非法基站系统首先侦察当前目标区域的载频信息,然后不断发射相同频率的伪导频、同步及寻呼信号,寻呼一定范围内的目标手机终端用户,通过调整发射功率等,让目标小区的手机切换或重选到GSM伪小区中。在GSM伪小区中,通过MSC和BSC的信令模拟,完成对目标手机IMSI(国际移动用户识别码)、IMEI(国际移动设备识别码)的侦码和阻塞攻击、信息攻击(如推送垃圾短信)等任务。在完成任务后,再通过位置区更新失败将手机退回到原来的所属网络。此外,即使对于采用了双向认证的WCDMA移动通信系统,也存在一定的协议漏洞,使得非法基站可以利用此漏洞在终端对网络进行认证之前就获取到WCDMA移动终端的IMSI和IMEI信息,进而进行类似的信息攻击。由于在非法基站在参数上设置比较极端,比如非法基站功率过大、LAC(位置区码)的频繁变化、C2相关参数设置极端,附近用户很容易重选到该仿真基站,对网络和用户的使用造成很大影响。非法基站的尺寸较小,可以安装在路灯杆、桥下等不易发觉的位置,也可以放置在车上流动使用,更是难以发现和追踪。目前非法基站的检测和定位主要有两种办法:方法一:基于路测的空口信令分析。专业网优人员通过使用专用路测(DriveTest)设备在疑似非法基站区域(如用户投诉垃圾短信和脱网现象较多的区域)进行空口信令和参数的采集,通过分析其空口信令的如下行为判定该区域是否存在非法基站。(1)连续2次位置更新,1次正常位置更新,1次周期性或正常位置更新;通常有1次是位置更新拒绝;期间通常有2次身份识别过程;获取用户的IMSI和IMEI信息;如果手机用户一直在伪小区附近,也会出现手机在伪网脱网后重选到移动网络上频繁发起正常位置更新的情况。(2)通过一些参数可以区分,如T3212,RXLEVACCESS_MIN,LAC,CI(小区标识)等参数都与网络上设置有很大出入;伪小区的BCCH虽然和合法小区相同,但LAC,CI差别较大。(3)第一次位置更新拒绝,拒绝原因是RemotenotAllowedinthisLocationArea;位置更新拒绝后,伪小区LAC不进行记录,随后以65534的LAC向网络发起位置更新。方法二:A接口信令监测分析。由于手机从移动到伪小区的位置更新过程是在非法基站上实现的,所以相关的信令消息无法在A口呈现;A口上无法呈现手机从移动到非法基站的位置更新失败过程,只能分析手机脱网后重选到网络后发起的位置更新过程;手机在非法基站上位置更新拒绝后,不记录该LAC信息,随后以系统默认的LAC码(一般是65534)向网络发起周期性或正常位置更新。所以当监测到有多个终端在较短时间内先后发起从LAC=65534的位置更新,可以认为这些终端所在区域受到了非法基站攻击。但这两种方法都存在一定的缺陷:方法一(路测)的缺陷:1)路测成本高、人力有限,难以实现对全网、全天、实时的测试,仅能对重点区域或在出现用户投诉等疑似现象后才能进行;2)对固定布放的非法基站比较有效,但无法跟踪移动状态下的非法基站,等了解到用户投诉或指标异常时,非法基站已经离开该区域,甚至无法对是否出现非法基站攻击进行确认,更无法定位出非法基站位置。方法二(A口信令监测)的缺陷:1)不是所有的从LAC=65534到合法小区的位置更新都是从伪小区脱网后发起的;2)通过A口信令监测发现非法基站需要使用周边小区的连续趋势才可定位和判断,和伪小区周边的人流量有很大关系;3)A口缺乏被攻击手机的准确位置(仅能判断出终端所处实际LAC区,范围太大),难以实现精确定位。
技术实现思路
有鉴于此,本专利技术的目的是解决非法基站攻击的快速实时检测和定位,尤其是针对移动状态下的非法基站攻击,提出一种利用用户终端进行非法基站实时检测和精确定位的方法,有效实现非法基站(尤其是移动状态下的非法基站)的快速、实时检测和精确定位。本专利技术的技术方案是这样实现的:一种测试终端和测试服务器之间的数据通信方法,包括:步骤(1):利用在终端上安装的非法基站一级预警检测软件(或插件)监测用户使用终端的基本网络参数(位置区码(LAC),小区标识(CI),场强等)的变化和短信行为,基于非法基站的特征信息组合在该终端上进行初步预警和定位;步骤(2):判断预警成立后,将相关信息传递给远程的中央处理单元;步骤(3):中央处理单元利用多个终端的上报信息进行二次综合报警分析,判定是否发生非法基站攻击行为以及发生的位置,在判定报警成立后进行实时报警。进一步,所述步骤(1)为初步预警和定位,具体包括:(1a)判定网络基本参数的变化以及短信/彩信收发行为是否符合各预警特征条件(每个特征条件可预定义一个预警可信度权重,取值0~1);(1b)根据预定义时间窗T_atk2(大于预警时间窗T_atk)内所符合的特征条件数量和内容,将符合的各特征条件的可信度权重相加,计算得到当前总的预警可信度等级;(1c)如果总的预警可信度等级大于一个设定门限,则判定为一次非法基站入侵预警;(1d)在用户GPS开关打开情况下,记录当前用户所在位置的GPS经纬度信息;(1e)将本次预警的时间窗T_atk内的LAC连续变化过程中的首尾两对LAC/CI分别定义为“攻击前LAC/CI”和“攻击后LAC/CI”,其他为“攻击中LAC/CI”。进一步,所述步骤(3)为二次综合报警分析,具体包括:(3a)在一个预定义的时间窗T_alarm内,中央处理单元收到的一级预警信息数量超过一个预定义的门限后,启动综合分析;(3b)中央处理单元按照用户预警信息中携带的攻击前LAC码(或LAC/CI)对用户预警进行归类(攻击前LAC码(或LAC/CI)相同的用户预警归为一组);(3c)对归为一组的预警信息进行分析,判断是否满足各报警特征条件(对每个特征条件可预定义一个报警可信度权重,取值0~1);(3d)根据预设时间窗T_alarm内所符合的特征条件数量和内容,将符合的各特征条件的报警可信度权重相加,计算得到当前总的报警可信度等级;(3e)如果总的报警可信度等级大于一个设定门限,则判定为一次非法基站入侵报警;(3f)将该组内各用户上报的CI的经纬度或GPS经纬度信息,计算其几何中心位置,即作为本次非法基站攻击的非法基站位置。进一步,所述步骤(1a)中的各预警特征条件具体包括:(Ia1)LAC在预警时间窗T_atk(窗长为预定义,如30秒)内连续发生至少2次变化;(1a2)LAC的上述连续多次变化(如LAC_a→LAC_b→LAC_c)中,其首尾两次LAC相同(即LAC_a=LAC_c);(1a3)LAC的上述连续多次变化(如LAC_a→LAC_b→LAC_c)中,有LAC属于预定义的LAC黑名单中的特殊值;(1a4)LAC的上述连续多次变化(如LAC_a→LAC本文档来自技高网
...
一种非法基站入侵的快速检测与定位方法

【技术保护点】
一种非法基站入侵的快速检测与定位方法,其特征在于包括步骤如下:(1)利用在手机上安装的非法基站一级预警检测软件(或插件)监测用户使用手机的基本网络参数(位置区码(LAC),小区标识(CI),场强等)的变化和短信/彩信收发行为,基于非法基站的特征信息组合在该手机上进行初步预警和定位;(2)判断预警成立后,将相关预警信息传递给远程的中央处理单元;(3)中央处理单元利用多个终端的上报信息进行二次综合报警分析,判定是否发生非法基站攻击行为以及发生的位置,在判定报警成立后进行实时报警。

【技术特征摘要】
1.一种非法基站入侵的快速检测与定位方法,其特征在于包括步骤如下:步骤(1):利用在手机上安装的非法基站一级预警检测软件监测用户使用手机的基本网络参数位置区码小区标识的变化和短信/彩信收发行为,基于非法基站的特征信息组合在该手机上进行初步预警和定位;所述基本网络参数至少包括位置区码、小区标识、场强;具体的过程为:步骤(1a):判定网络基本参数的变化以及短信/彩信收发行为是否符合各预警特征条件,每个特征条件预定义一个预警可信度权重,权重取值范围为0~1;步骤(1b):根据预定义时间窗T_atk2内所符合的特征条件数量和内容,时间窗T_atk2应大于预警时间窗T_atk,将符合的各特征条件的可信度权重相加,计算得到当前总的预警可信度等级;步骤(1c):如果总的预警可信度等级大于一个设定门限,则判定为一次非法基站入侵预警;步骤(1d):在用户GPS开关打开情况下,记录当前用户所在位置的GPS经纬度信息;步骤(1e):将本次预警的时间窗T_atk内的位置区码连续变化过程中的首尾两对位置区码/小区标识分别定义为攻击前位置区码/小区标识和攻击后位置区码/小区标识,其他为攻击中位置区码/小区标识;步骤(2):判断预警成立后,将相关预警信息传递给远程的中央处理单元;步骤(3):中央处理单元利用多个终端的上报信息进行二次综合报警分析,判定是否发生非法基站攻击行为以及发生的位置,在判定报警成立后进行实时报警;具体的过程为:步骤(3a):在一个预定义的时间窗T_alarm内,中央处理单元收到的一级预警信息数量超过一个预定义的门限后,启动综合分析;步骤(3b):中央处理单元按照用户预警信息中携带的攻击前位置区码或位置区码/小区标识对用户预警进行归类,攻击前位置区码或位置区码/小区标识相同的用户预警归为一组;步骤(3c):对归为一组的预警信息进行分析,判断是否满足各报警特征条件,对每个特征条件预定义一个报警可信度权重,取值范围为0~1;步骤(3d):根据预设时间窗T_alarm内所符合的特征条件数量和内容,将符合的各特征条件的报警可信度权重相加,计算得到当...

【专利技术属性】
技术研发人员:李克纪占林宋晓勤汪淼
申请(专利权)人:北京联合大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1