付晓东 李慧莲 肖慧桥 吴凯洲

【摘 要】研究伪基站运行原理，利用核心网平台信令数据分析，定位伪基站位置并进行追踪，通过这种技术创新手段为公安机关、无线电管理委员会等政府部门提供大量有价值的线索。此外，还通过优化手段降低用户占用伪基站的机率，抑制伪基站对用户的影响，给登录过伪基站网络的用户及时发送短信防止用户被骗，大大降低了伪基站对用户的影响。

【关键词】伪基站捕获 信令数据分析 位置更新信令

doi：10.3969/j.issn.1006-1010.2016.06.011 中图分类号：TN929.5 文献标识码：A 文章编号：1006-1010（2016）06-0047-06

引用格式：付晓东，李慧莲，肖慧桥，等. 伪基站捕获追踪方法研究及应用[J]. 移动通信， 2016，40（6）： 47-52.

1 引言

当前大量伪基站发送垃圾短信给手机用户，这在社会上引发了广泛关注。伪基站强行向不特定人群推送赌博、招嫖、销售假冒伪劣商品的垃圾短信，广大手机用户深受其害。伪基站严重干扰了运营商网络，导致用户手机脱离正常网络，影响手机的正常通信，扰乱国家通讯秩序和社会公共秩序。2014年2月至6月，由中央网信办牵头，中宣部、工信部等9部门在全国范围内部署开展打击伪基站的专项行动，中国联通成立了以集团公司副总经理为组长的专项整治领导小组。广东联通通过技术创新，利用核心网优化平台的业务数据，分析出伪基站附近的小区，以小区维度统计用户数，根据用户数变化情况可方便地定位伪基站的出现和消失，从而可方便地实现对伪基站的实时监控和追踪，为公安机关、无线电管理委员会等政府部门提供有价值的线索。

2 伪基站捕获追踪方法

分析伪基站的运行原理，提出了通过分析用户前后两次正常位置更新的LAC（位置区编码）来判定用户是否登录过伪基站网络。如果两次的LAC相同且第一次位置更新成功，说明用户登录到过其他网络，那么第二次登录的小区就是伪基站附近的小区，即这个小区就是伪基站的位置。以小区维度统计用户数，根据用户数变化情况可方便地定位伪基站的出现和消失，从而可方便地实现对伪基站违法活动的实时监控和追踪，可准确定位疑似伪基站及作案人员的位置、活动轨迹，这是一种低成本、高时效的分析方法。

2.1 伪基站的通信原理

伪基站通过模拟运营商基站发送强大信号，伪基站的广播网号、广播频率和现网相同，位置区设置和现网不同。由于其信号强度远强于现网，当手机检测到该伪基站的信号且信号很强时，用户将与伪基站建立通信，交互信令。由于伪基站位置区LAC与原基站位置区LAC不同，手机就会触发位置更新流程。伪基站根据GSM信令流程在信令中发送IMSI（国际移动用户识别号）请求消息给手机，手机返回IMSI给伪基站，伪基站收到IMSI后，寻呼该用户并发送短信。之后伪基站通过更换LAC，手机再次触发位置更新流程，这次伪基站识别到用户已经发送过短信就拒绝位置更新，拒绝原因值有12（Location Area Not Allowed，位置区不允许）、13（Roaming Not Allowed in This Location Area，不允许在本位置区漫游）、15（No Suitable Cells in Location Area，位置区内无合适小区），位置更新拒绝之后手机记录伪基站的LAC到禁止的LAC列表，于是手机不再选择伪基站网络，再通过位置更新选回到正常网络。

具体的过程为：手机重选到伪基站小区→向伪基站发起位置更新→伪基站位置更新成功→伪基站寻呼手机并向手机发送短信→伪基站更改位置区配置→手机发现LAC变更再次向伪基站发起位置更新→伪基站识别出该用户发送过短信，对用户的位置更新拒绝→手机重新进行运营商正常网络小区重选→在运营商正常网络中位置更新成功。此过程一般需要25s，在此期间会造成用户无法主被叫，这将严重影响用户的业务感知。

2.2 定位伪基站的方法

根据GSM移动性管理流程，用户从一个LAC移动到另外一个LAC时，必须发起位置更新，位置更新类型为正常，即正常位置更新（其他还有周期性位置更新，定时器超时发起的周期性位置更新，手机开机发起的附着位置更新），如果LAC不发生变化，只可能发起周期性位置更新或者附着位置更新。

根据上述伪基站的运行原理，如果用户第一次在某个LAC进行了位置更新且成功，在LAC未发生变化时不应该再在该LAC发起正常位置更新。也就是说，如果两次位置更新的LAC相同且第一次位置更新成功，说明用户登录到其他网络中过。根据当前国内各运营商之间互不漫游的情况，用户不可能登录到中国其他非归属运营商的网络，因此用户只可能是在伪基站网络中登录过。

如图1所示，用户某时刻在LAC1进行了正常位置更新且成功，过一段时间用户又在LAC1进行正常位置更新，期间没有在该运营商的其他位置区更新过。在两次位置更新期间LAC并没有发生变化，都是LAC1，发生这种情况只可能是用户这期间登录了其他网络导致LAC发生了变化。而LAC发生变化有两种情况，一是用户登录到了伪基站网络，如图1中伪LAC1，由于要骗取用户登录到伪基站，伪基站配置的LAC与当前运营商在该区域配置的LAC一定不相同，图1中伪LAC1与LAC1一定不能相同。二是用户手动选择网络登录到其他运营商但登录失败需要再次回到归属运营商正常网络，此种情况极少，可以通过统计次数排除在外。

根据上述原理，如果用户A已经在LAC1进行正常位置更新且成功，接着下一次又在LAC1发起正常位置更新，说明用户A这期间在伪基站网络的伪LAC1更新过（正常位置更新只能是位置区发生变更时才发生），用户A第二次在LAC1发生正常位置更新的小区就是伪基站附近的小区，即这个小区就是伪基站的位置。以小区维度统计这种用户数，根据用户数变化情况可方便地定位伪基站的出现和消失，从而可方便地实现对伪基站违法活动的实时监控和追踪，可准确定位疑似伪基站及作案人员的位置、活动轨迹。

2.3 方法的实现步骤

当前广东联通都采集了A接口的信令，这其中就包含了位置更新的信令记录，利用这些信令记录即可分析伪基站。

（1）获取用户两次位置更新LAC相同的记录

位置更新记录一般包含时间、IMSI（根据TMSI关联回填）、位置区、小区等信息，对这些记录进行分析，条件为上一次位置更新类型为正常且成功，该次位置更新类型为正常，该条记录的位置区和上一条记录的位置区相同。两次位置更新LAC相同的记录如表1所示。

需要特别说明的是，表1中“上一次位置更新的LAC”这一列的LAC不能跟用户终端本次位置更新时上报的OLD LAC（手机里存储的上一次LAC，随同本次位置更新消息上报）混淆，这是用户终端在本次正常的位置更新之前的一次正常的位置更新而且是成功的位置区，是统计分析用户的记录信息得到并填入表1中的。

（2）统计各小区的用户数和环比增长率

针对表1，以小区为维度按时段（比如5分钟粒度）对不同用户（由于有部分手机不满足规范要求，不停向伪基站网络发起更新，失败后又回到正常网络发起位置更新，因此为了更加准确，对用户进行去重处理）进行统计，再得到小区某时段发生这种位置更新的用户数，按每5分钟统计相对前一时段的环比增长率。两次位置更新LAC相同的记录如表2所示：

（3）得到伪基站附近小区的出现和消失时间

根据表2的数据，可设定判定规则，如果某小区的用户数大于等于一定门限，同时环比增长率突然增大，则说明附近出现了伪基站；如果某小区的用户数小于等于一定门限，同时环比增长率突然降低，说明附近的伪基站消失（关闭）；如果次数持续高位并且没有降低，说明伪基站没有消失。

通过筛选每5分钟用户数大于10的小区，再筛选环比增长率大于等于3以及用户数小于10的小区，最后筛选环比增长率小于等于-0.6的小区，得到伪基站附近小区及其出现和消失的时间，如表3所示：

根据表3的统计结果可以判断出伪基站的位置就在这小区附近，需要说明的是用户数门限和环比增长率门限可根据经验设定。

根据上面的方法，利用位置更新信令记录数据，对编号为20857的LAC进行了分析，其中在2014年8月1日9：00：00这一时刻该LAC附近有处于活动状态的伪基站的小区，如表4所示。

得到上述信息后，利用目前国内使用最广泛的伪基站侦测设备对广州火车东站附近的伪基站进行验证，结果在广州火车东站出入口处，成功地侦测到了伪基站，如图2所示：

这种伪基站的定位方法已申请发明专利并已公开。

2.4 与其他伪基站定位方法进行比较

（1）前LAC分析方法

用户每次位置更新时都会上报手机记录的前一次LAC，由于伪基站要让已经接收短信的用户回到正常网络，通过变更LAC让用户再次位置更新，这次就拒绝用户的位置更新。通常位置更新被拒绝的原因值有三种，即12、13、15，对于原因值12，手机会清除前LAC和TMSI等，因此手机上报的前一次LAC就为备用值65534；如果为原因值为13、15，则不会清除前LAC，上报的前一次LAC为伪基站的LAC。此方法就是通过统计小区中正常位置更新上报的前LAC为65534或者为非现网基站的LAC的次数多少来判定是否有伪基站。

实际上，现网中有很多用户位置更新失败后上报的前LAC都是65534，这种方法统计了很多没有登录过伪基站网络的用户，因此准确度低。由于需要识别现网疑似伪基站周围的LAC来判定伪基站网络的LAC，而且现网LAC变化带来的基础数据维护工作量大，因此该方法准确度低、复杂度高、维护量大。

（2）位置更新次数变化分析法

一般来说，如果伪基站出现，那么用户登录到伪基站后短时间又会回到正常网络，因此伪基站附近的小区的正常位置更新次数就会增加。此方法就是根据小区的位置更新次数的突然增加来判定有伪基站的出现。

小区的位置更新次数增加，有多方面的原因。一方面是伪基站出现，另一方面，LAC边界如果有小区故障，那么周边小区也可能出现位置更新次数变化，人流变化也会影响小区的位置更新次数的。同时每个小区的正常位置更新次数差异大，处于LAC边界的小区位置更新次数较多、基数大，这种情况下对于位置更新次数变化敏感度低，因此这种方法准确度也低。

（3）伪基站绑定号码跟踪法

通过前LAC分析法或正常位置更新次数变化等方法获取疑似伪基站附近小区，再对小区中正常位置更新的用户号码进行分析，获取放在伪基站旁的手机号码。该号码主要用于测试现网的频率、LAC、小区等信息，该号码随着伪基站移动，利用号码的活动轨迹就能追踪伪基站。

伪基站绑定的手机号码如果发生变化，则分析会变得困难，而且很容易被犯罪分子识破，一旦被识破，绑定的号码就会经常变更，这样跟踪起来就很困难。

本文提出的判断方法，一是判断条件与伪基站配置的位置区无关，二是判断条件与伪基站配置的位置更新拒绝原因值无关，三是判断条件与现网LAC配置无关，该方法是一种低成本、高时效的分析方法。

3 应用实践

3.1 全省伪基站分布及特征分析

利用伪基站捕获追踪系统对全省伪基站进行分析。从统计结果看，基本上每天出现过伪基站的小区有2217个，占全网的2.3%。特别指出，出现过伪基站的小区数为2217个不代表伪基站有2217个，一般一个伪基站会影响多个小区，伪基站在各地市占比分布如图3所示：

通过对伪基站的观察和分析，发现伪基站的出现和消失有如下特征：

（1）60%的伪基站地点较固定，基本每天都存在，如火车站、汽车站、口岸。

（2）部分伪基站只在周末或者工作日非工作时段的忙时出现，如商场。

（3）少部分伪基站只在某一时刻出现，一般在1～3小时内消失，这种为流动性伪基站。随着国家打击力度越来越强，流动性伪基站将会越来越多。

（4）伪基站集中在火车站、长途汽车站、大型购物中心、商场、口岸、码头、城中村、节假日期间的热点场所。

掌握了上述特征，在伪基站治理和打击行动中将会更有针对性，可大大提升打击伪基站的效率。

3.2 应用效果

目前伪基站捕获追踪系统已在全省上线，可实时对全省伪基站进行实时监控和追踪，为公安机关等政府部门在深圳、汕头、广州等地的打击整治伪基站专项行动提供了大量有价值的线索。专项行动已取得显著成效，对于发现的伪基站，及时通过优化手段降低用户占用伪基站的机率，抑制伪基站对用户的影响，同时给登录过伪基站的用户及时发送短信防止其被骗。在2014年的国家打击伪基站的专项行动中，该追踪系统配合公安机关等部门侦破案件6起，捣毁18个犯罪团伙，缴获伪基站设备25套。在2015年春节两会的专项监控治理中，定期对全省的疑似伪基站进行筛查，并按照总部的要求，安排重点场所的现场测试，累计发现伪基站线索4个，协助警方捣毁伪基站窝点1处。

4 结束语

作为国家基础电信运营商，中国联通重视伪基站带来的社会危害，积极发挥技术优势，配合国家有关部门，对利用伪基站实施的各类违法犯罪行为进行坚决的打击。站在切实维护国家正常通讯秩序、维护广大手机用户根本利益、维护国家安全和社会稳定的高度，认识到打击伪基站的重要性，及时发现伪基站，为政府部门提供有价值的线索，积极履行国家基础电信运营商的社会责任。

参考文献：

[1] 韩彬杰，张建斌. GSM原理及其网络优化[M]. 北京： 机械工业出版社， 2009.

[2] 张威. GSM网络优化—原理与工程[M]. 北京： 人民邮电出版社， 2006.

[3] 3GPP TS 25.331. Radio Resource Control （RRC） Protocol Specification[S]. 2000.

[4] 张长刚，孙保红，李猛. WCDMA无线网络规划原理与实践[M]. 北京： 人民邮电出版社， 2005.

[5] 姜波. WCDMA关键技术详解[M]. 北京： 人民邮电出版社， 2008.

[6] 王有为，徐志宇，夏国忠. WCDMA特殊场景覆盖规划与优化[M]. 北京： 人民邮电出版社， 2011.

[7] Arunabha Ghosh， Jun Zhang， Jeffrey G Andrews， et al. LTE权威指南[M]. 李莉，孙成功，王向云，译. 北京： 人民邮电出版社， 2012.

[8] 窦中兆，雷湘. WCDMA系统原理与无线网络优化[M]. 北京： 清华大学出版社， 2009.

[9] 程鸿雁，朱晨鸣，王太峰，等. LTE FDD网络规划与设计[M]. 北京： 人民邮电出版社， 2013.

[10] 3GPP TR 21.905. 3rd Generation Partnership Project； Technical Specification Group Services and System Aspects； Vocabulary for 3GPP Specifications （Release 6）[S]. 2004.★