吴 夏 宋仕斌 姜 山 王 毅 邓力为

1(中国电信股份有限公司四川分公司 成都 610015)

2(四川公众项目咨询管理有限公司 成都 610058)

3(四川大学锦江学院 四川眉山 620860)

截至2022年初,中国联通与中国电信建成了共享基站超过70万站,累计节省网络建设投资超2100亿元,每年节约网络运营成本约200亿元,节电超100亿kW·h,降低碳排放600万t[1].然而,共建共享双方共用的基站通过承载网的互联链路实现互联互通,增加了攻击面.组网方式、业务路由、运营模式的随之变化,也引发了网元身份假冒、非授权访问、敏感数据泄露、跨网络攻击、端到端业务安全能力不平衡、安全事件协作响应不及时等新的网络与信息安全风险.

1 5G共建共享网络的安全威胁分析

5G基站共建共享主要分为基站侧、传输侧及核心网,其中基站侧完成共享,分别通过各自传输层接入各自核心网,用户体验基本等同于自建网络[2].5G技术在为用户带来更丰富的业务和更好的用户体验的同时,其面临的安全问题不容忽视[3].

1.1 共享网络基础设施安全威胁

5G网络基础设施安全威胁主要包括共享基站的部署环境、硬件设备以及基站内部软件等.对于部署环境和硬件设施面临的安全威胁是损坏设备周围环境的温度、烟雾等.如黑客破解基站密码后,发起非授权登录行为或者内部人员登录基站后执行非授权访问、越权访问、非法上传下载等恶意操作,从而破坏基站内部文件和数据,导致共享基站不可用.

1.2 共享无线空口安全威胁

共享基站和用户终端间无线信号传播带来空口安全问题.攻击者使用伪基站通过强信号来骗取合法用户接入,从而对终端进行欺骗性攻击,盗取用户数据实施欺诈;基站发射区域内,非法用户接收发射信号,然后通过侦听、嗅探、破解等手段获取基站的转发数据,造成信息泄露.

1.3 共享传输网络安全威胁

共享基站用户面、信令面数据传输通过以太网传输面临安全威胁,包括泛洪攻击、DDoS攻击、畸形报文攻击等会造成网络堵塞或瘫痪而退服.目前针对传输网络的安全方案主要通过配置防火墙过滤规则和ACL报文过滤功能进行泛洪攻击防范和非法报文攻击防范等.

1.4 管理面的安全威胁

管理面的安全威胁仍在于账户和密码管理的健壮性,如弱密码会增大暴力破解的成功率,导致攻击者非法入侵基站.为满足共建共享双方对网络的运营管理需求,引入了反拉终端向共享方开放网管能力.网管开放加大了网管账号开通、账号权限分配和管理的难度.

2 5G共建共享网络的安全管理痛点分析

5G网络存在已知的攻击,但也存在大量的未知或者未披露的攻击.导致这些灾难的主要原因是缺少有效的检测手段,无法准确地获悉网络究竟遭受了哪些攻击.目前的解决方案能起到一定的安全防护作用,但仍存在诸多痛点问题.

2.1 可检测、可响应能力明显缺失

5G网络共享方因单方面需要可能会在承建方基站实施优化措施,这些措施可能造成资源倾斜或性能影响.

2.2 整网安全情况无法感知、呈现度不足

5G共建共享网络目前不具备网元网管安全配置核查风险的能力,现有的解决方案主要靠人力评估网络优化和用户感知,成本高、效率低,主要是单点防御行为.对于外来攻击,现有方案仅能被动防护,各自为战缺乏协作,不具备网络入侵检测、异常行为分析、多网元关联分析等高级威胁防御能力和安全策略自部署的能力,无法呈现整个网络的安全状态及其变化趋势.

3 5G共建共享网络可视化安全态势感知模型

网络安全态势感知是对网络安全状态的一种持续认知过程,为安全决策提供支持[4].5G共建共享网络的安全态势感知架构主要由入侵检测、安全态势分析、安全态势感知呈现、安全检测管理和策略响应等模块构成,5G共建共享网络安全态势感知逻辑架构模型如图1所示:

图1 5G共建共享网络安全态势感知逻辑架构模型

3.1 入侵检测

入侵检测系统(intrusion detection system, IDS)、防火墙、漏洞扫描等传统防御技术无法提供智能高效的网络安全分析和预测服务[5].态势感知对入侵系统的关键文件篡改、权限提升等攻击行为进行检测.

3.2 安全态势分析

网络安全态势感知主要是以网络、网络中的安全监控设备与设备之间的日志、预告警作为基础,对网络系统进行实时动态化的综合分析,旨在解决网络安全问题[6].基于安全日志、操作日志、系统日志等进行审计,分析对系统的异常行为.

3.3 安全态势感知呈现

安全态势智能化展示通过网络态势感知、网络态势理解和网络态势预测生成的网络安全综合态势,利用图像、表格和统计模型实现数据可视化和态势可视化[7].包括空口安全态势、运维安全态势、系统安全态势、传输安全态势和配置核查分析.通过安全配置核查基线值,对现网的网元安全配置项和具体参数值进行核查,将识别出来的缺陷在网管上可视化呈现.

3.4 安全检测管理

安全态势感知利用系统实现数据的采集、数据分析、风险的评估[8];管理入侵检测和异常行为分析的安全事件;对入侵检测和异常行为分析的事件进行响应策略管理;管理入侵检测和异常行为分析的检测规则.

3.5 策略响应

安全态势感知是指对威胁网络安全状态的各个要素进行分析计算,根据已有的数据信息进行自我推理和完善,实现未来整体网络安全发展趋势的预测[9].该安全态势感知检测到安全事件后,可以通过人工执行响应策略,恢复安全事件.

4 安全态势感知功能实现路径分析

态势感知能够适应当前5G共建共享网络的安全形势,基于态势感知架构,运维人员可以随时查看网络系统的安全状况,并根据处理建议制定响应策略,提升主动防御能力,避免系统遭受攻击,实现韧性可信的5G网络安全目标.收集网络安全的安全态势数据的脆弱性评估数据特征、威胁性评估数据特征、系统运行数据特征,实现数据特征的高效采集[10].基于成熟商用大数据平台[11]态势感知应用于5G共建共享网络安全.能够实时检测到网络系统受到的攻击或者恶意操作,管理界面呈现可视化感知.支持网元在运维面、系统面、网络传输面和无线空口的安全事件检测,覆盖终端侧的DDoS/DoS攻击[12]等威胁类型.

4.1 空口安全态势感知

空口安全态势支持伪基站检测,用户上报检测报告到共享基站,共享基站将用户上报的检测报告、同频切换事件、配置等信息发送给mAOS,mAOS根据基站上报的数据进行分析,检测基站是否受到伪基站影响,并根据检测数据给出伪基站相应的信息,包括基站ID,CGI,PCI,TAC等信息,用户可以在态势感知界面上查询伪基站检测结果.

4.2 运维安全态势感知

运维安全态势基于规则和AI的检测算法实时采集网管和网元的安全日志、操作日志等数据,按照系统定义的检测规则进行分析和预测.将识别出来的这些安全事件在网管上呈现,并支持分析这些安全事件随着时间变化的趋势.不同类型日志信息攻击属性存在着较大的差异[13].运维安全态势支持异常行为分析,其基本原理是基于网络的日志进行审计,分析对系统的异常行为.

4.3 系统安全态势感知

系统安全态势根据产品OS日志和OS相关机制,按照系统定义的检测规则进行分析和实时监控,识别攻击者对设备系统实施的攻击行为.在系统中,有些任务需要在执行一段时间之后根据业务逻辑判断是否取消[14].将识别出来的这些安全事件在网管上呈现,并支持分析这些安全事件随着时间变化的趋势.系统安全态势支持异常行为分析,基于系统的OS日志等进行审计,分析对系统的异常行为.

4.4 网络传输安全态势感知

网络传输安全态势根据产品传输面各种报文类型的流量等信息,按照系统定义的检测规则进行分析,识别攻击者通过传输报文实施的攻击行为.产品功能上也支持对传统IT网络环境使用的HTTP,FTP等协议的文件传输进行审计[15].网络传输安全态势支持防非法报文攻击检测,非法IP报文被包过滤特性识别后,基站会丢弃报文并缓存一部分报文的IP头部信息,追踪攻击来源.网络传输安全态势支持防泛洪攻击检测,基站对传输接口上ARP/ICMP/SCTP等报文类型进行DoS检测,追踪攻击来源.网络传输安全态势支持IPSEC重放攻击检测,IPSEC协议会根据设置的抗重放窗口,丢弃重放的攻击报文,基站会缓存部分IPSEC的头部信息,追踪攻击来源.传输网络安全态势支持ARP/ND欺骗攻击检测,系统对ARP/ND的欺骗报文进行检测,并缓存一部分报文的MAC和IP信息,追踪攻击来源.

4.5 安全配置核查分析

安全配置核查支持网络系统的脆弱性呈现,能够默认或手动核查并在界面呈现配置核查出的网管网元不安全风险项.依托安全大数据、威胁情报分析优势,实时监测企业安全态势[16].若发现存在不安全配置,给出明确的风险提示并建议修复,从而使运营商安全管理员可以获得网元安全策略及配置的全景信息,进而对现网存在的不安全配置进行调整,降低网络安全风险.

5 应用案例与功能验证

本文采用可视化安全态势感知模型及研究理论对5G共建共享网络的网元/网管异常行为进行了分析、验证.在监测到攻击中存在DDoS大流量带宽攻击和CC攻击时,需要同时启用DDoS清洗设备和高防设备[17].基于态势感知,部署态势感知组件,能够呈现全网已知和未知威胁,实现整网安全感知.态势感知是一种基于环境的、动态的、系统的洞悉安全风险的能力,可以全面地发现、识别安全威胁,并能准确分析、及时处理安全威胁的一种方式[18].

5.1 实验硬件部署

态势感知架构以微服务的形式部署在网管上,基于态势感知,部署态势感知组件,能够实现全网快速检测、响应和恢复能力.网管面向X86/ARM服务器交付部署,网管资源要求至少2个VM,单个VM内存至少64GB,CPU至少8U.

5.2 软件架构设计

基于态势感知的5G共建共享网络安全解决方案软件架构如图2所示.

图2 5G共建共享网络安全态势感知软件架构

1) 网元部署态势感知入侵检测组件,集成在软件包中,网管的每个VM均部署态势感知检测组件;

2) 网管上启用流日志采集功能;

3) 网管上启用安全配置核查功能,设置配置检查参数;

4) 基站上启用泛洪报文攻击防范功能,安全态势感知功能才能进行泛洪报文攻击感知;

5) 基站TCP/UDP端口扫描信息捕获功能开启后,安全态势感知功能才能进行端口扫描行为的检测.

5.3 5G网元/网管异常行为分析检测流程

无线通信系统发展迅速,许多黑客利用网络中的安全缺陷和漏洞攻击网络[19].5G网元网管异常行为分析的检测流程及具体检测方案为:1)网管和网元通过安全日志和操作日志,记录攻击者或者内鬼(内部运维人员)登录网管和网元实施的操作行为,如账号增删、密码修改、暴力破解等;2)网管和网元采用现有的日志上报机制,将日志、用户列表上报网管;3)网管通过集成态势感知的异常检测分析组件,根据配置的检测规则分析网管和网元的日志、用户列表等信息,识别网管和网元是否有遭受攻击行为;4)态势感知异常检测分析组件,将分析的结果通过安全态势呈现给客户;5)对于部分检测事件,根据检测规则的处理建议,检测到异常后立即自动执行处理建议中的策略响应,如对于暴力破解成功的账号可以实施锁定账号,对于攻击的源地址可以拉入黑名单.

5.4 安全配置核查检测流程

网络安全态势感知工作能够通过量化数值判断网络系统目前的安全状态[20].安全配置核查静态数据在Deployment界面完成核查操作,Deployment界面提供核查数据给态势感知组件呈现.

1) 用户打开整体态势感知页面,触发配置核查数据获取;

2) 态势感知公共组件向网管请求配置核查结果数据,网管提供数据查询接口;

3) 网管向Deployment请求配置核查结果数据,Deployment提供数据查询接口;

4) Deployment按照接口条件返回配置核查结果记录集;

5) 网管按照接口条件返回配置核查结果记录集;

6) 态势感知将配置核查数据结果按照整体态势感知的要求进行呈现.

5.5 取证溯源分析能力验证

本文实验针对每个资产(网元/网管),先根据检测到的攻击事件按照事件风险等级(高、中、低、提示)、攻击阶段和可信度等因子利用转移矩阵等算法进行计分,计算出每个资产的安全威胁度,再进行递归计算整网的风险评分.通过检测算法将这些上下文操作进行关联,形成恶意操作行为链,实现更有说服力的攻击举证和溯源,并为响应策略的制定提供依据.

5.6 实验测试结果

基于态势感知的5G共建共享网络安全解决方案支持动态检测和静态核查,覆盖运维、空口、系统和传输4大安全领域威胁场景,整体态势测评结果如图3所示.态势感知利用AI检测技术,结合用户和实体行为分析(UEBA)检测,能够从海量数据中快速关联出异常操作行为和网络安全威胁.

图3 5G共建共享网络安全整体态势测评结果

6 结 语

随着5G共建共享网络建设的投入力度日益增大,企业运营商等经受着网络攻击的“外部威胁”及内部人员信息泄露的“内部威胁”双重考验,所面临的网络安全形势日趋严峻.安全态势感知基于大数据的架构平台和AI的核心检测模型能够实现检测分析、统筹指导、威胁预测一体化流程.结合大数据、人工智能等技术实现安全态势感知模型的应用[21].随着物联网技术和5G移动通信技术网络架构的快速发展,各类新型服务模式和业务不断涌现[22].安全态势感知应用于5G网络,将联合企业自主研发,以客户需求和技术创新为驱动力,持续迭代升级,推出满足客户需求、适应市场发展的产品和服务.安全态势分析展示模块实时呈现攻防对抗的情况[23].安全态势感知在5G共建共享网络的实践应用将推动网络与信息安全领域实现商业模式转型升级.规模化应用后相信将以其技术和效益优势推进5G共建共享网络安全产业的快速发展.