姚景朋，張立志，何旭萌

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 河南 鄭州　450000）

基于三維聯(lián)合檢測法的偽基站檢測系統(tǒng)方案設計

姚景朋，張立志，何旭萌

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 河南 鄭州450000）

偽基站的檢測是當今移動通信領(lǐng)域研究的一個熱點問題。針對已有的純參數(shù)檢測方法對偽裝性能好的偽基站檢測效果不佳的缺陷，本文從偽基站的工作原理出發(fā)分析，融合已有參數(shù)方法中采用的各類有效檢測參數(shù)，同時從異常信令和異常行為分析的角度提出一種基于三維聯(lián)合檢測的偽基站檢測系統(tǒng)設計方案，該方案的優(yōu)勢在于更加全面充分利用了基站包含及提供的各類數(shù)據(jù)信息，進而為后續(xù)偽基站的檢測提供了一種可行的方法。

偽基站檢測；系統(tǒng)設計；異常參數(shù)；異常信令；異常行為

在移動通信系統(tǒng)中，基站是具有合法運營資質(zhì)的電信網(wǎng)絡運營商部署的網(wǎng)絡基礎(chǔ)設施［1］，它是一個能夠接收和發(fā)送信號的固定電臺，是手機進行無線通信不可或缺的重要樞紐。自2013年以來，全國各地出現(xiàn)類似移動通信基站的“偽基站”，它不以用戶正常通信為目的［2］，是某些商家和個人建立起的出于自身利益的“偽基站”，使之成為當前實施電信詐騙手段中常用到的一種高科技設備［3］。目前，用偽基站發(fā)送垃圾短信已在全國造成泛濫局面，諸多詐騙案件都相繼被媒體曝光。偽基站結(jié)構(gòu)簡單，組裝方便，發(fā)射功率大于公共基站，干擾了正常基站通信，占用了寶貴的網(wǎng)絡資源，給正常用戶及運營商帶來很大的煩惱，成為當今移動通信領(lǐng)域急需的重要問題。因此，急需一套完整的檢測系統(tǒng)來打擊這種違法行為。

當前的偽基站檢測方法主要是側(cè)重于運用區(qū)別于真實基站與偽基站的特征參數(shù)（如功率、異常LAC的位置更新統(tǒng)計和GSM系統(tǒng)參數(shù)C1、C2等）進行檢測。這類方法過于簡單，只適用于檢測參數(shù)設置較為極端的偽基站，對于偽裝性能好、參數(shù)特征不明顯的偽基站，其檢測效果不佳。針對上述不足，本文在綜合現(xiàn)有參數(shù)檢測的基礎(chǔ)上，增加了一系列的MNC、CID、CRO等系統(tǒng)參數(shù)，同時結(jié)合異常信令和異常行為分析，提出了一種基于三維聯(lián)合的偽基站檢測系統(tǒng)設計方案。

1　偽基站的工作原理

1.1工作原理

偽基站，顧名思義，就是“假基站”，它偽裝成公共移動運營商基站，以提取移動終端信息或與其進行信息傳遞的無線電收發(fā)信電臺。當前的偽基站都會配套一部專用的手機，通過這部手機可以在準備安裝偽基站的位置偵測偽基站可用的工作信道，然后將該信道填入控制軟件后，偽基站才能工作。這部專用手機搜索的信息就是當前小區(qū)BCCH廣播的鄰接小區(qū)BCCH信道。偽基站選取BCCH信號最弱的小區(qū)頻率并設置與現(xiàn)網(wǎng)的RXLEV_MIN，CRO等不同的參數(shù)，修改系統(tǒng)參數(shù)消息中的 T3212（注冊周期）為較小的值，增大小區(qū)選擇參數(shù)C1和小區(qū)重選參數(shù)C2的值。當C2連續(xù)5 s大于服務小區(qū)的C2值或者當鄰近小區(qū)的C1值超過當前小區(qū)C2值與小區(qū)重選滯后值之和連續(xù)5 s時，用戶手機進行小區(qū)重選。然后加大自身系統(tǒng)（偽基站 ）的發(fā)射功率，可迅速使覆蓋范圍內(nèi)處于空閑狀態(tài)的終端重選到或切換到系統(tǒng)（偽基站）網(wǎng)絡內(nèi)，在設置的注冊周期內(nèi)通過讀取接入信道消息獲得各終端的注冊消息從中捕獲終端的IMSI，IMEI等信息［4］。如圖1、2所示。

圖1　BCCH的獲取

圖2　偽基站工作原理示意圖

1.2存在原因

目前市場上組裝銷售的偽基站設備大多都是針對GSM技術(shù)，這主要與GSM網(wǎng)絡普及率高，用戶數(shù)多，運營商的網(wǎng)管端在后臺沒有監(jiān)視偽基站的告警項目以及GSM網(wǎng)絡的單向認證體系有關(guān)系，而偽基站實施電信攻擊的根本原因正是由于GSM網(wǎng)絡的單向認證體系，即只有網(wǎng)絡對終端的認證，而終端無法對網(wǎng)絡實施認證。GSM基站在與用戶終端通信的過程中，終端無法檢測網(wǎng)絡身份是否合法，無法判斷所接收到的網(wǎng)絡信令是否來自合法基站。這樣，手機終端只要接收到網(wǎng)絡發(fā)送的標準的通信信令，就會進行處理和響應，不去分辨信令的真?zhèn)危瑢τ趥卧旎虮淮鄹牡男帕钜策M行處理［5］。

2　偽基站檢測系統(tǒng)設計

2.1硬件設計

偽基站檢測系統(tǒng)包括控制筆記本、主控單元和偽終端3個部分組成，見圖3。由于目前國內(nèi)的偽基站主要是GSM制式，其中GSM包括900 MHz和1 800 MHz兩個頻段。對于GSM手機來說，900 MHz和1 800 MHz的信道在選取蜂窩小區(qū)的時候沒有本質(zhì)區(qū)別，不管是900 MHz頻段還是1 800 MHz頻段，手機只會選取一個信號強度最大的小區(qū)廣播信道，并且檢驗位置區(qū)參數(shù)，做下一步的處理。偽基站檢測系統(tǒng)的偽終端是根據(jù)現(xiàn)有正常GSM手機改裝而來。它是整個檢測系統(tǒng)的橋頭堡，是檢測系統(tǒng)與基站進行信息交互的工具。為了能夠讓偽終端能夠在偽基站的覆蓋范圍內(nèi)駐留，需要對GSM協(xié)議進行修改，因而檢測終端需要進行必要的改裝，以使偽終端在不插SIM卡的情況下也能夠正常工作。同時，偽終端還要完成基帶數(shù)字信號的處理，信道編解碼功能。主控單元是以ARM9S3C2440芯片為核心，是整個檢測算法的運行平臺，同時也是控制筆記本和為終端進行信息傳遞的轉(zhuǎn)接板。它將控制筆記本的指令信息翻譯成偽終端能夠理解的信息，指導偽終端與基站進行信息交互。同時也將偽終端檢測到的信息傳遞回控制筆記本。主控單元通過網(wǎng)線與控制筆記本相連，它們之間進行網(wǎng)口通信，而與偽終端則通過串口通信?？刂乒P記本的功能包括對硬件的控制。在控制筆記本上運行著由C#程序編寫的控制顯示界面。通過指令的輸入，指導主控單元上的檢測算法進行相應信息的檢測，并將檢測結(jié)果顯示在控制界面上，如偽基站的參數(shù)，垃圾短信內(nèi)容等內(nèi)容。這其中包括GSM技術(shù)體制要求的對信號的全部處理流程。

圖3　偽基站檢測系統(tǒng)示意圖

圖4　偽基站檢測系統(tǒng)顯示界面

2.2算法設計

2.2.1偽基站特征

由偽基站的工作原理，我們可以得到偽基站較為顯著的4個特征：

1）與正?；鞠啾龋珻1、C2、T3212，CRO等值差異顯著；

2）手機接入時間較短，一般10～20 s后脫網(wǎng)。因此，偽基站會造成大量的位置更新。

3）沒有話音業(yè)務，并且存在大量相同長度短信業(yè)務。

4）基站的LAC值通常設置為邊界值。

偽基站的這些顯著特征也成為如何去偵測偽基站的突破口。

2.2.2基于三維聯(lián)合的偽基站檢測算法

當前，關(guān)于偽基站的檢測方法已經(jīng)在諸多文獻中體現(xiàn)出來，大多都是基于參數(shù)的檢測方法，通過偽基站與正?；镜膮?shù)設置差別來尋找差異。但是僅僅基于參數(shù)可能不太準確，因此，本文又在參數(shù)檢測的基礎(chǔ)加入了異常信令和異常行為檢測，目的就是要提高偽基站檢測概率，因為不管用什么方法，偽基站的檢測最終都是個概率問題。

1）異常參數(shù)檢測

當前，如何有效地識別偽基站已成為研究偽基站的技術(shù)關(guān)鍵。只有及時、準確地發(fā)現(xiàn)偽基站，并將其定為靶向目標，才能對偽基站予以有效打擊。目前，關(guān)于偽基站的檢測方法可以歸結(jié)為3種：移動終端檢測法，運營商檢測法和無線電管理委員會的路測法。這3種方法都是基于GSM的參數(shù)檢測，主要是檢測網(wǎng)絡的C1，C2，CRO，LAC和CID等主要參數(shù)。其中，C1是小區(qū)選擇參數(shù)，C2是小區(qū)重選參數(shù)，CRO是小區(qū)重選偏置，LAC是位置區(qū)編號，CID是小區(qū)號。由于T3212值和RXLEV_MIN設置偏小，CRO設置極端，致使C2值通常在90以上。根據(jù)偽基站的這些特征，其參數(shù)檢測步驟如下：

首先，檢測周圍基站的常規(guī)系統(tǒng)參數(shù)，如C1，C2，CRO，T3212，接收功率等。通常，移動通信現(xiàn)網(wǎng)小區(qū)的CRO默認值是OdB，而偽基站的CRO設置較大，致使C2值通常在90以上［6］，同時T3212相較于正?；驹O置比較小，便于手機頻繁的被吸入與踢出。

其次，檢測偽終端接收到的基站信號強度。通過獲取基站和偽終端的經(jīng)緯度，可以計算出偽終端與所掃描到的基站的距離，從而推倒出該基站的發(fā)射功率?；竟β蔖，基站到手機的距離D與手機接收到的基站信號強度I有如下關(guān)系：

我們假設基站的功率在一定范圍之內(nèi)，于是基站到手機的距離和基站的信號強度數(shù)值的絕對值會成正比，也就是說距離基站越遠，手機接收到的基站信號強度越小，其在數(shù)值上的絕對值越大。如果偽基站出現(xiàn)，偽基站的信號強度一般都會比正?；疽螅敲次覀兯嬎愠鰜淼拇藗位揪嚯x與手機接收到的此偽基站信號強度數(shù)值的絕對值的比值往往要超出正?；颈戎档姆秶?。此外，偽基站的LAC和CID是經(jīng)常變化的，所以，偽基站與偽終端的距離和偽終端接收到的信號強度的絕對值的比值也是動態(tài)變化的。通過這一特征我們就可以檢測出大部分的偽基站信號［7］。

最后，統(tǒng)計異常LAC和位置更新次數(shù)。偽基站覆蓋范圍有限，同時會頻繁更換LAC，因此用戶占上偽基站信號后，將會在較短的時間重選回現(xiàn)網(wǎng)網(wǎng)絡，在現(xiàn)網(wǎng)就存在同一用戶在同一小區(qū)下短時間內(nèi)連續(xù)位置更新的情況，造成位置更新次數(shù)的突發(fā)大量增加。此外，用戶從偽基站信號回到正常網(wǎng)絡位置更新時，上報的源LAC是偽基站的LAC，或者是0，65534，65535等異常LAC［8］。因此，統(tǒng)計異常位置更新次數(shù)較多的小區(qū)，初步確定可疑小區(qū)及其地理位置。

圖5　LAC更新回現(xiàn)網(wǎng)

以上的異常參數(shù)檢測法可以發(fā)現(xiàn)大多具有明顯特征的偽基站設備，但是實際上，隨著偽基站技術(shù)的改進，這些較為明顯的參數(shù)特征可以進行偽裝，使之與正?；静顒e不大，因此偽裝之后的偽基站的查處難度較大，因此，在異常參數(shù)檢測的基礎(chǔ)上，本文又增加了異常信令檢測和異常行為檢測，以增加檢測精度。

2）異常信令檢測

由于空中接口極易受到侵犯，GSM系統(tǒng)為了保證通信安全，采取了特別的鑒權(quán)措施，鑒權(quán)是為了確認移動臺的合法性。鑒權(quán)中心為鑒權(quán)提供了三參數(shù)組（隨機數(shù)，響應和密鑰）。在用戶入網(wǎng)簽約時，用戶鑒權(quán)鍵連同IMSI一起分配給用戶，這樣每一個用戶均有唯一的鑒權(quán)鍵和IMSI。它們存儲于AUC數(shù)據(jù)庫和SIM卡中。當用戶發(fā)起入網(wǎng)請求時，MSC/VLR就向MS發(fā)送隨機數(shù)以及鑒權(quán)中心AUC內(nèi)相同的鑒權(quán)鍵和鑒權(quán)算法，計算出符號響應，然后把符號響應回送給MSC/VLR，驗證其合法性。

但由于GSM的單向鑒權(quán)性，偽基站通過頻繁的位置更新吸入手機時，偽基站只是獲取了用戶手機的IMEI和IMSI，而沒有進行鑒權(quán)操作。偽基站忽略了手機發(fā)送的鑒權(quán)信息，直接同意手機接入就可以成功建立通信，從而開始電信攻擊。如圖6所示。

圖6　異常信令

因此，當我們用不帶SIM卡的偽終端進行基站檢測時，如果系統(tǒng)能夠檢測的到基站并且能夠駐留，那么這個基站一定是偽基站，因為沒有SIM卡的終端由于無法完成正常的鑒權(quán)流程，所以它無法被網(wǎng)絡認定為合法。為了比較合理的確定該基站是否是偽基站，可以偵測該基站的SDCCH信道。SDCCH信道用于在分配業(yè)務信道之前傳送有關(guān)信令，例如登記，鑒權(quán)等信令均在此信道上傳輸，所以可以監(jiān)測此信道上是否有鑒權(quán)信息。

3）異常行為檢測

由于偽基站與公網(wǎng)斷開連接，因此，偽基站沒有語言業(yè)務，處于偽基站覆蓋范圍內(nèi)的手機都無法進行正常的通信行為。但是手機一旦處于偽基站下，在無法進行通信的情況下，手機也會收到帶有任意號碼的短信，這些短信大多是廣告類型，甚至帶有欺詐性，它們是由偽基站下發(fā)的，這是偽基站相較于正?；咀蠲黠@的異常行為。

偽基站下發(fā)短信一般都是通過SDCCH信道下發(fā)，因此，檢測系統(tǒng)監(jiān)測分析基站的獨立專用控制信道信息，掃描它的所有時隙。由于偽基站下發(fā)的短信是群發(fā)，短信內(nèi)容是一樣的，因此SDCCH信道時隙的數(shù)據(jù)長度和內(nèi)容都是一樣的。掃描SDCCH的時隙，若發(fā)現(xiàn)所有時隙的長度和碼字都相同，可以確定所連接的基站是偽基站。

圖7　偽基站下發(fā)短信示意圖

3　結(jié)束語

在現(xiàn)有檢測工作的基礎(chǔ)上，優(yōu)化現(xiàn)有的檢測算法。同時，為了提高檢測速度，需要利用串口服務器連接多個偽終端同時對周圍掃描到的基站進行并行檢測，以提高檢測效率，這對于流動型的偽基站來說更是必需的。這需要對現(xiàn)有的工作做進一步的改進，同時也需要合適的調(diào)度算法來指導偽終端的檢測行為，這些都是后續(xù)的研究工作。

偽基站與正常公網(wǎng)基站具有相同的功能，但是它造成頻率干擾，影響用戶正常通信，占用網(wǎng)絡資源，強行向用戶發(fā)送垃圾短信，對現(xiàn)網(wǎng)設備、現(xiàn)網(wǎng)用戶及社會造成了巨大負面的影響，因此，如何更加迅捷、高效、方便地偵測及定位偽基站仍將成為眾多研究者思考的問題。

［1］田野、劉斐、徐海東，等.新型偽基站安全分析研究［J］.電信工程技術(shù)與標準化，2013，8（8）:58-61.

［2］趙耀，袁忠良.非法架設公眾移動通信偽基站監(jiān)管研究［J］.中國無線電，2013，8（8）:25-26.

［3］宋鳳忠.如何鑒別“偽基站”騙局—從湯唯受騙認識偽基站［J］.通信世界，2014（3）:17.

［4］趙恒，邵四清.偽基站系統(tǒng)的分析定位方法及解決建議（一）［J］.電信網(wǎng)技術(shù)，2011，7（3）:72-77.

［5］劉錦旭.淺析偽基站的主動識別與主動防御［J］.廣東通信技術(shù)，2014（2）:61-64.

［6］楊雪謹.淺析偽基站的工作原理和治理方法［J］.中國無線電，2014，3（3）:15-17.

［7］陳強，劉亮.基于智能手機的偽基站檢測方法［J］.通信安全與通信保密，2014（11）:131-134.

［8］葉炳基，董事.垃圾型偽基站和排查方法的探索［C］//中國通信學會無線及移動通信委員會.2014全國無線電及移動通信學術(shù)會議論文集.2014:484-487.

Design of the fake base station detection system based on three-dimension union detection method

YAO Jing-peng，ZHANG Li-zhi，HE Xu-meng
（National Digital Switching System Engineering&Technological Research Center，Zhengzhou 450000，China）

The detection of the fake base station is a hot issue in those days，in order to satisfy the requirement of more properly detecting the fake base stations and make up for the imperfection of the pure parameters detection，this paper firstly analyzes the working principle of the fake base station，then synthesizes the current parameters in present parameter detection methods and proposes the design of the fake base station detection system based on three-dimension union detection method from the point of unusual signal and unusual behavior.The advantage of this design is that it has made full use of the information providing by the base stations，and lay a foundation for the further research of the fake base station detection.

fake base station detection；system design；unusual parameters；unusual signal；unusual behavior

TN924+.3

A

1674-6236（2016）14-0052-04

2015-08-08稿件編號：201508036

姚景朋（1988—），男，河南信陽人，碩士。研究方向：無線與移動通信。