闫慧，韩增辉，吕传祝

(1 中移在线服务有限公司山东分公司，济南 250022；2 中国移动通信集团山东有限公司，济南 250001）

基于大数据的伪基站准实时监控方法的研究

闫慧1，韩增辉2，吕传祝2

(1 中移在线服务有限公司山东分公司，济南 250022；2 中国移动通信集团山东有限公司，济南 250001）

本文基于大数据分析对伪基站的监测进行了更进一步的研究，对目前流动式伪基站研发了手机APP快速跟踪定位，提出全新的监测和治理的新方法。依托大数据分析平台，建立了伪基站准实时监控及分析的应用，为伪基站排查工作的常态化奠定基础。通过对信令数据的分析，实现对伪基站的准实时定位以及伪基站移动轨迹的描绘，同时根据伪基站的移动轨迹确定其活动规律及与伪基站具有相同活动规律的伪基站使用者的移动号码信息，从而获取疑似伪基站使用者的手机号码信息，提升了用户感知。

伪基站；手机APP；掌上大数据

1 研究背景

1.1 伪基站治理的必要性

非法生产、销售、使用“伪基站”设备，不仅破坏正常电信秩序，更影响电信运营商正常运营活动，危害公共安全，扰乱市场秩序，而且严重影响用户手机使用，损害公民财产权益，侵犯公民隐私，社会危害性严重。伪基站已经在社会安全、用户体验、网络通信等多方面带来了很大的危害，原有伪基站的排查监测方法已不适于对新形式下的伪基站作案手段的监测打击。伪基站利用了GSM单向鉴权的隐患，通过监听获取GSM小区的BCCH频率并进行伪装，放大发射功率，将目标用户被骗进入伪基站系统，获取手机的IMSI和TMSI。可以任意设置信息的发送号码（如假冒运营商客服号码、银行客服号码、政务信息专用号码等）发送大量违法信息，极易引发诈骗等其它治安或刑事案件。

随着伪基站设备的多样化，传统的伪基站排查识别手段在准确性、全面性、实时性、分析能力等方面遇到了较大问题，已不能满足小型化、易移动伪基站的排查识别要求。因此，需开发更加实时的技术手段，以及时发现伪基站当前的大体位置及运行轨迹，再利用扫描设备实施现场扫描、抓捕。为强化伪基站治理技术支撑能力，研发了基于大数据的伪基站准实时监控及分析应用系统，通过对伪基站设备的实时定位、轨迹描绘、嫌疑人号码筛选，对全省疑似伪基站受害用户轨迹实施每5 min粒度监测分析，从而实现了对伪基站的快速定位与精确打击。

1.2 非法伪基站的工作原理

由于2G网络采用单向鉴权认证，即手机不鉴权网络的合法性，仅在网络侧对手机进行鉴权，导致手机无法有效辨别基站的真伪。伪基站设置中国移动网号，并设置更优的小区重选参数；当手机进入伪基站覆盖区域时，很容易通过位置更新重选到伪基站小区。

具体流程为手机进入到伪基站覆盖范围时，自动重选接入到伪基站小区→手机发送位置更新请求，伪基站接受请求，并下发位置更新成功消息（在此期间，伪基站也获取了用户的IMSI 和IMEI）→伪基站按照短信被叫流程，向手机下发短消息→伪基站主动变更LAC，通过广播消息告知已接入手机，触发手机再次位置更新→本次位置更新被伪基站拒绝，且通知手机不再接入伪基站LAC，手机位置更新失败，脱离伪基站→手机重新位置更新，切换回移动网络。

1.3 目前伪基站的行为特点

伪基站具有流动性强且可以随意更改发送号码等行为特征：具备小区短信设备的功能；不需要支付任何费用；可实现短信发送不限量，短信内容可以自己随便写，自行选择发送短信的条数且没有上限；设备体积小，可实现车载；发送半径约为0～500m；无需知道潜在客户的手机号码；自行编辑发送内容及被显示号码；主要发送地点在人员密集区；灵活自主地选择目标客户群及发送时间、发布量、发布内容等。

1.4 问题难点及解决方案

现阶段，主要解决的问题是在现有的研发成果和技术基础上，通过对信令数据的源LAC进行分析，实现对伪基站的准实时定位以及伪基站移动轨迹的描绘；对伪基站设备进行预警、跟踪、分析，为伪基站治理工作提供支撑；做到准确、全面的识别伪基站、实时监控伪基站的动态、深入了解分析伪基站的影响，解决发现困难、定位困难和监测困难的3个困难点。

（1）利用MC口的实时信令分析，能第一时间从网络侧感知到伪基站的存在，并根据基站的位置信息确定伪基站的大体位置。

（2）分析位置更新信令中的源LAC是否与现网的LAC一致，来判断是否存在伪基站，同时借助大数据技术对伪基站进行实时分析识别，能在第一时间发现伪基站的位置。

（3）通过GIS轨迹描绘、轨迹比对识别伪基站携带者，能有效识别出伪基站使用者所携带的测试用手机的相关信息，为抓捕提供有力的证据。

2 伪基站识别的监控原理

伪基站识别原理： 通过大数据流处理的方式准实时地对位置信令进行分析，将位置信令中源LAC不在省内LAC列表和省际边界LAC列表中的记录进行分类汇总，通过分析异常LAC出现的时间、具体地点和受影响小区来确定疑似伪基站的活动区域，然后将活动区域进行串联，获取伪基站的活动轨迹，找出与伪基站活动轨迹相同的疑似号码。

2.1 伪基站识别处理流程

伪基站识别处理流程为MC信令作为源数据，借用Streams流处理技术将源LAC不在本地LAC列表的消息导入Kafka队列，并通过Flume框架技术落地为文件，再使用Gbase Loader工具导入数据仓库。

使用Gbase Loader工具导入数据仓库，每隔10 s入库一次，提高了数据的实时性，入库的明细数据可继续加工处理，分析疑似伪基站携带者，伪基站携带者运行轨迹等。识别处理流程如图1所示。

除了后台实时的处理流程，同时也制定了完善的联动机制，大数据中心基于大数据位置更新信令数据进行分析，形成疑似伪基站识别模型。完成疑似伪基站识别、疑似伪基站携带者的识别、高危受害用户的识别与查询，方便网络人员及时获取伪基站的相关位置，以及后续的处理。

图1 伪基站处理流程

图2 识别技术模型

2.2 伪基站识别技术模型

利用从大数据平台实时获取小区位置更新事件流，将位置信令中的源LAC不在省内LAC列表和省际边界LAC列表中的记录进行分类汇总，通过分析异常LAC出现的时间、具体地点和受影响小区来确定疑似伪基站的活动区域。同时按照预定时间片段（5 min为粒度）进行伪基站的分类汇总，给出小区覆盖区域下是否存在伪基站及伪基站的疑似程度（高、中、低），最终将判断结果分发至相应的模块然后将活动区域进行串联，获取伪基站的活动轨迹。识别技术模型如图2所示。

2.3 伪基站识别功能架构

利用大数据实现了伪基站识别、GIS实时监控、告警管理及伪基站影响多维度分析等四大核心模块，实现了伪基站可识别、可监控、可分析，如图3所示。

3 伪基站识别系统的应用

本系统依托大数据平台，增加了“伪基站识别分析和手机APP伪基站跟踪”两大模块，在该功能模块中主要包括“高频受害用户轨迹分析”、“疑似伪基站查询”、“高频被干扰小区排名”、“高频受害用户分析”等13个功能点。

3.1 高频受害用户轨迹分析，锁定伪基站短信发送区域

将受害用户经过的小区，在地图上按照时间顺序串联起来，形成伪基站受害用户分析轨迹图。

3.2 监测伪基站信息，查询疑似伪基站

（1）自助分析伪基站查询。每隔5 min，将上个5min的明细数据轻度汇聚；按照伪基站的LAC及所在基站的LAC、Cell、经纬度等信息进行聚组，并提供Cell吸入的用户数、用户进入时间等信息，根据这些数据可判断伪基站所在的区域及影响用户数，为现场抓捕提供依据。

（2）手机APP“伪基站”告警。开发手机APP，实时提醒网络人员，有助于及时发现伪基站。

3.3 分析仿真基站，完善监测的精准度

省内多处交通要道及市区路口部署了仿真基站，由于仿真基站LAC属于移动网外LAC，移动用户由仿真基站回到移动公司网络时会产生位置区更新，这部分位置区更新和伪基站产生的位置更新均属于移动网外LAC，如不加区分，会影响伪基站的判断与排查。

图3 识别功能架构

为避免对伪基站排查工作受到影响，某省运营商收集了全省仿真基站的LAC，并在交换侧异常位置区更新中将这部分LAC下的位置更新数据剔除，保证系统中呈现的异常位置区更新数据全部为伪基站引发的数据。排查伪基站过程中，利用后台数据指导现场排查，根据产生异常位置更新的小区确定伪基站范围与运动轨迹，现场人员使用测试手机定位CI为“10”的伪基站，锁定伪基站CI后，根据测试手机信号强度变化来判断距离伪基站的距离远近。再根据伪基站车辆一般为外地牌照、流动速度慢、在人流密集区发送等特点，抓捕就相对容易。

3.4 提升技术检测手段，圈定重点监控区域

对选定的疑似重点监控区域，作为重点监测对象。点击“伪基站片区查询”菜单，可以点击“区域信息”中的已经保存的区域查看该区域下是否存在伪基站； 也可点击“打开”，开启绘制功能，绘制某个区域后，可保存供后期查看。

3.5 违法取证管理，查询伪基站携带数据

根据大数据分析出的数据，能够按选定的时间LAC区域的伪基站活动情况，实现定制查询任务，查询到伪基站携带数据、提供影响用户的明细。

结合伪基站的时间、活动轨迹，形成伪基站的时间、活动基站明细，查询对应伪基站下的受干扰用户，形成受干扰用户的时间和活动基站的明细，对受干扰用户中，一段时间内时间和活动基站匹配度达到某个设定值的用户作为伪基站的疑似携带者，建立伪基站和疑似携带者的对应关系。

4 实施效果

系统于2016年4月起完成建设并推广使用，日监控分析高频受害用户数（超过1 000次）达1 000余个，高频被干扰小区（影响用户超过100户）9万余个，配合向公安提供受伪基站影响用户数据达100万余个。

截至目前，通过本方法某运营商对“伪基站”实施主动发现、监测、定位共现场成功排查伪基站270余次，破获伪基站案件100余起，缴获设备100余部，较去年同期成功破获增幅110.4%，打击效果明显。

经济效益方面，通过轨迹比对所识别出来的使用者的号码信息，对获伪基站案件提供更加有力的手段，破获案件数大幅提升，同时缩减了对伪基站案件的分析时间及所需成本。

社会效益方面，首先，伪基站治理水平的提升，有效减少了客户投诉，维护了用户的合法权益；其次，有效抵制了不良手机文化的传播，对创建良好的社会环境起到积极有效的作用。

Research on quasi real time monitoring method of pseudo base station based on large data

YAN Hui1, HAN Zeng-hui2, LV Chuan-zhu2
(1 Mobile Online Service Co., Ltd. Shandong Branch, Ji'nan 250022,China; 2 China Mobile Group Shandong Co., Ltd., Ji'nan 250001, China)

Based on large data analysis of the pseudo base station for further research, the current mobile pseudo base station developed a mobile phone APP fast tracking and positioning, and put forward a new method of monitoring and management. Relying on large data analysis platform, the pseudo base station to establish a quasi real time monitoring and analysis of the application, as the basis for the normalization of pseudo base station investigation. Through the analysis of the signaling data, realize the quasi realtime positioning of the pseudo base station and drawing pseudo base station movement, at the same time according to the user's mobile number pseudo base station information mobile trajectory pseudo base station to determine its activity patterns and has the same activity and pseudo base, in order to obtain the information of mobile phone number of suspected pseudo base users, enhance the user perception.

pseudo base station; mobile phone APP; big data

TN918

A

1008-5599（2016）12-0022-04

2016-11-24