吳 夏 宋仕斌 姜 山 王 毅 鄧力為

1(中國電信股份有限公司四川分公司 成都 610015)

2(四川公眾項目咨詢管理有限公司 成都 610058)

3(四川大學錦江學院 四川眉山 620860)

截至2022年初,中國聯(lián)通與中國電信建成了共享基站超過70萬站,累計節(jié)省網(wǎng)絡建設投資超2100億元,每年節(jié)約網(wǎng)絡運營成本約200億元,節(jié)電超100億kW·h,降低碳排放600萬t[1].然而,共建共享雙方共用的基站通過承載網(wǎng)的互聯(lián)鏈路實現(xiàn)互聯(lián)互通,增加了攻擊面.組網(wǎng)方式、業(yè)務路由、運營模式的隨之變化,也引發(fā)了網(wǎng)元身份假冒、非授權(quán)訪問、敏感數(shù)據(jù)泄露、跨網(wǎng)絡攻擊、端到端業(yè)務安全能力不平衡、安全事件協(xié)作響應不及時等新的網(wǎng)絡與信息安全風險.

1 5G共建共享網(wǎng)絡的安全威脅分析

5G基站共建共享主要分為基站側(cè)、傳輸側(cè)及核心網(wǎng),其中基站側(cè)完成共享,分別通過各自傳輸層接入各自核心網(wǎng),用戶體驗基本等同于自建網(wǎng)絡[2].5G技術(shù)在為用戶帶來更豐富的業(yè)務和更好的用戶體驗的同時,其面臨的安全問題不容忽視[3].

1.1 共享網(wǎng)絡基礎設施安全威脅

5G網(wǎng)絡基礎設施安全威脅主要包括共享基站的部署環(huán)境、硬件設備以及基站內(nèi)部軟件等.對于部署環(huán)境和硬件設施面臨的安全威脅是損壞設備周圍環(huán)境的溫度、煙霧等.如黑客破解基站密碼后,發(fā)起非授權(quán)登錄行為或者內(nèi)部人員登錄基站后執(zhí)行非授權(quán)訪問、越權(quán)訪問、非法上傳下載等惡意操作,從而破壞基站內(nèi)部文件和數(shù)據(jù),導致共享基站不可用.

1.2 共享無線空口安全威脅

共享基站和用戶終端間無線信號傳播帶來空口安全問題.攻擊者使用偽基站通過強信號來騙取合法用戶接入,從而對終端進行欺騙性攻擊,盜取用戶數(shù)據(jù)實施欺詐;基站發(fā)射區(qū)域內(nèi),非法用戶接收發(fā)射信號,然后通過偵聽、嗅探、破解等手段獲取基站的轉(zhuǎn)發(fā)數(shù)據(jù),造成信息泄露.

1.3 共享傳輸網(wǎng)絡安全威脅

共享基站用戶面、信令面數(shù)據(jù)傳輸通過以太網(wǎng)傳輸面臨安全威脅,包括泛洪攻擊、DDoS攻擊、畸形報文攻擊等會造成網(wǎng)絡堵塞或癱瘓而退服.目前針對傳輸網(wǎng)絡的安全方案主要通過配置防火墻過濾規(guī)則和ACL報文過濾功能進行泛洪攻擊防范和非法報文攻擊防范等.

1.4 管理面的安全威脅

管理面的安全威脅仍在于賬戶和密碼管理的健壯性,如弱密碼會增大暴力破解的成功率,導致攻擊者非法入侵基站.為滿足共建共享雙方對網(wǎng)絡的運營管理需求,引入了反拉終端向共享方開放網(wǎng)管能力.網(wǎng)管開放加大了網(wǎng)管賬號開通、賬號權(quán)限分配和管理的難度.

2 5G共建共享網(wǎng)絡的安全管理痛點分析

5G網(wǎng)絡存在已知的攻擊,但也存在大量的未知或者未披露的攻擊.導致這些災難的主要原因是缺少有效的檢測手段,無法準確地獲悉網(wǎng)絡究竟遭受了哪些攻擊.目前的解決方案能起到一定的安全防護作用,但仍存在諸多痛點問題.

2.1 可檢測、可響應能力明顯缺失

5G網(wǎng)絡共享方因單方面需要可能會在承建方基站實施優(yōu)化措施,這些措施可能造成資源傾斜或性能影響.

2.2 整網(wǎng)安全情況無法感知、呈現(xiàn)度不足

5G共建共享網(wǎng)絡目前不具備網(wǎng)元網(wǎng)管安全配置核查風險的能力,現(xiàn)有的解決方案主要靠人力評估網(wǎng)絡優(yōu)化和用戶感知,成本高、效率低,主要是單點防御行為.對于外來攻擊,現(xiàn)有方案僅能被動防護,各自為戰(zhàn)缺乏協(xié)作,不具備網(wǎng)絡入侵檢測、異常行為分析、多網(wǎng)元關(guān)聯(lián)分析等高級威脅防御能力和安全策略自部署的能力,無法呈現(xiàn)整個網(wǎng)絡的安全狀態(tài)及其變化趨勢.

3 5G共建共享網(wǎng)絡可視化安全態(tài)勢感知模型

網(wǎng)絡安全態(tài)勢感知是對網(wǎng)絡安全狀態(tài)的一種持續(xù)認知過程,為安全決策提供支持[4].5G共建共享網(wǎng)絡的安全態(tài)勢感知架構(gòu)主要由入侵檢測、安全態(tài)勢分析、安全態(tài)勢感知呈現(xiàn)、安全檢測管理和策略響應等模塊構(gòu)成,5G共建共享網(wǎng)絡安全態(tài)勢感知邏輯架構(gòu)模型如圖1所示:

圖1 5G共建共享網(wǎng)絡安全態(tài)勢感知邏輯架構(gòu)模型

3.1 入侵檢測

入侵檢測系統(tǒng)(intrusion detection system, IDS)、防火墻、漏洞掃描等傳統(tǒng)防御技術(shù)無法提供智能高效的網(wǎng)絡安全分析和預測服務[5].態(tài)勢感知對入侵系統(tǒng)的關(guān)鍵文件篡改、權(quán)限提升等攻擊行為進行檢測.

3.2 安全態(tài)勢分析

網(wǎng)絡安全態(tài)勢感知主要是以網(wǎng)絡、網(wǎng)絡中的安全監(jiān)控設備與設備之間的日志、預告警作為基礎,對網(wǎng)絡系統(tǒng)進行實時動態(tài)化的綜合分析,旨在解決網(wǎng)絡安全問題[6].基于安全日志、操作日志、系統(tǒng)日志等進行審計,分析對系統(tǒng)的異常行為.

3.3 安全態(tài)勢感知呈現(xiàn)

安全態(tài)勢智能化展示通過網(wǎng)絡態(tài)勢感知、網(wǎng)絡態(tài)勢理解和網(wǎng)絡態(tài)勢預測生成的網(wǎng)絡安全綜合態(tài)勢,利用圖像、表格和統(tǒng)計模型實現(xiàn)數(shù)據(jù)可視化和態(tài)勢可視化[7].包括空口安全態(tài)勢、運維安全態(tài)勢、系統(tǒng)安全態(tài)勢、傳輸安全態(tài)勢和配置核查分析.通過安全配置核查基線值,對現(xiàn)網(wǎng)的網(wǎng)元安全配置項和具體參數(shù)值進行核查,將識別出來的缺陷在網(wǎng)管上可視化呈現(xiàn).

3.4 安全檢測管理

安全態(tài)勢感知利用系統(tǒng)實現(xiàn)數(shù)據(jù)的采集、數(shù)據(jù)分析、風險的評估[8];管理入侵檢測和異常行為分析的安全事件;對入侵檢測和異常行為分析的事件進行響應策略管理;管理入侵檢測和異常行為分析的檢測規(guī)則.

3.5 策略響應

安全態(tài)勢感知是指對威脅網(wǎng)絡安全狀態(tài)的各個要素進行分析計算,根據(jù)已有的數(shù)據(jù)信息進行自我推理和完善,實現(xiàn)未來整體網(wǎng)絡安全發(fā)展趨勢的預測[9].該安全態(tài)勢感知檢測到安全事件后,可以通過人工執(zhí)行響應策略,恢復安全事件.

4 安全態(tài)勢感知功能實現(xiàn)路徑分析

態(tài)勢感知能夠適應當前5G共建共享網(wǎng)絡的安全形勢,基于態(tài)勢感知架構(gòu),運維人員可以隨時查看網(wǎng)絡系統(tǒng)的安全狀況,并根據(jù)處理建議制定響應策略,提升主動防御能力,避免系統(tǒng)遭受攻擊,實現(xiàn)韌性可信的5G網(wǎng)絡安全目標.收集網(wǎng)絡安全的安全態(tài)勢數(shù)據(jù)的脆弱性評估數(shù)據(jù)特征、威脅性評估數(shù)據(jù)特征、系統(tǒng)運行數(shù)據(jù)特征,實現(xiàn)數(shù)據(jù)特征的高效采集[10].基于成熟商用大數(shù)據(jù)平臺[11]態(tài)勢感知應用于5G共建共享網(wǎng)絡安全.能夠?qū)崟r檢測到網(wǎng)絡系統(tǒng)受到的攻擊或者惡意操作,管理界面呈現(xiàn)可視化感知.支持網(wǎng)元在運維面、系統(tǒng)面、網(wǎng)絡傳輸面和無線空口的安全事件檢測,覆蓋終端側(cè)的DDoS/DoS攻擊[12]等威脅類型.

4.1 空口安全態(tài)勢感知

空口安全態(tài)勢支持偽基站檢測,用戶上報檢測報告到共享基站,共享基站將用戶上報的檢測報告、同頻切換事件、配置等信息發(fā)送給mAOS,mAOS根據(jù)基站上報的數(shù)據(jù)進行分析,檢測基站是否受到偽基站影響,并根據(jù)檢測數(shù)據(jù)給出偽基站相應的信息,包括基站ID,CGI,PCI,TAC等信息,用戶可以在態(tài)勢感知界面上查詢偽基站檢測結(jié)果.

4.2 運維安全態(tài)勢感知

運維安全態(tài)勢基于規(guī)則和AI的檢測算法實時采集網(wǎng)管和網(wǎng)元的安全日志、操作日志等數(shù)據(jù),按照系統(tǒng)定義的檢測規(guī)則進行分析和預測.將識別出來的這些安全事件在網(wǎng)管上呈現(xiàn),并支持分析這些安全事件隨著時間變化的趨勢.不同類型日志信息攻擊屬性存在著較大的差異[13].運維安全態(tài)勢支持異常行為分析,其基本原理是基于網(wǎng)絡的日志進行審計,分析對系統(tǒng)的異常行為.

4.3 系統(tǒng)安全態(tài)勢感知

系統(tǒng)安全態(tài)勢根據(jù)產(chǎn)品OS日志和OS相關(guān)機制,按照系統(tǒng)定義的檢測規(guī)則進行分析和實時監(jiān)控,識別攻擊者對設備系統(tǒng)實施的攻擊行為.在系統(tǒng)中,有些任務需要在執(zhí)行一段時間之后根據(jù)業(yè)務邏輯判斷是否取消[14].將識別出來的這些安全事件在網(wǎng)管上呈現(xiàn),并支持分析這些安全事件隨著時間變化的趨勢.系統(tǒng)安全態(tài)勢支持異常行為分析,基于系統(tǒng)的OS日志等進行審計,分析對系統(tǒng)的異常行為.

4.4 網(wǎng)絡傳輸安全態(tài)勢感知

網(wǎng)絡傳輸安全態(tài)勢根據(jù)產(chǎn)品傳輸面各種報文類型的流量等信息,按照系統(tǒng)定義的檢測規(guī)則進行分析,識別攻擊者通過傳輸報文實施的攻擊行為.產(chǎn)品功能上也支持對傳統(tǒng)IT網(wǎng)絡環(huán)境使用的HTTP,FTP等協(xié)議的文件傳輸進行審計[15].網(wǎng)絡傳輸安全態(tài)勢支持防非法報文攻擊檢測,非法IP報文被包過濾特性識別后,基站會丟棄報文并緩存一部分報文的IP頭部信息,追蹤攻擊來源.網(wǎng)絡傳輸安全態(tài)勢支持防泛洪攻擊檢測,基站對傳輸接口上ARP/ICMP/SCTP等報文類型進行DoS檢測,追蹤攻擊來源.網(wǎng)絡傳輸安全態(tài)勢支持IPSEC重放攻擊檢測,IPSEC協(xié)議會根據(jù)設置的抗重放窗口,丟棄重放的攻擊報文,基站會緩存部分IPSEC的頭部信息,追蹤攻擊來源.傳輸網(wǎng)絡安全態(tài)勢支持ARP/ND欺騙攻擊檢測,系統(tǒng)對ARP/ND的欺騙報文進行檢測,并緩存一部分報文的MAC和IP信息,追蹤攻擊來源.

4.5 安全配置核查分析

安全配置核查支持網(wǎng)絡系統(tǒng)的脆弱性呈現(xiàn),能夠默認或手動核查并在界面呈現(xiàn)配置核查出的網(wǎng)管網(wǎng)元不安全風險項.依托安全大數(shù)據(jù)、威脅情報分析優(yōu)勢,實時監(jiān)測企業(yè)安全態(tài)勢[16].若發(fā)現(xiàn)存在不安全配置,給出明確的風險提示并建議修復,從而使運營商安全管理員可以獲得網(wǎng)元安全策略及配置的全景信息,進而對現(xiàn)網(wǎng)存在的不安全配置進行調(diào)整,降低網(wǎng)絡安全風險.

5 應用案例與功能驗證

本文采用可視化安全態(tài)勢感知模型及研究理論對5G共建共享網(wǎng)絡的網(wǎng)元/網(wǎng)管異常行為進行了分析、驗證.在監(jiān)測到攻擊中存在DDoS大流量帶寬攻擊和CC攻擊時,需要同時啟用DDoS清洗設備和高防設備[17].基于態(tài)勢感知,部署態(tài)勢感知組件,能夠呈現(xiàn)全網(wǎng)已知和未知威脅,實現(xiàn)整網(wǎng)安全感知.態(tài)勢感知是一種基于環(huán)境的、動態(tài)的、系統(tǒng)的洞悉安全風險的能力,可以全面地發(fā)現(xiàn)、識別安全威脅,并能準確分析、及時處理安全威脅的一種方式[18].

5.1 實驗硬件部署

態(tài)勢感知架構(gòu)以微服務的形式部署在網(wǎng)管上,基于態(tài)勢感知,部署態(tài)勢感知組件,能夠?qū)崿F(xiàn)全網(wǎng)快速檢測、響應和恢復能力.網(wǎng)管面向X86/ARM服務器交付部署,網(wǎng)管資源要求至少2個VM,單個VM內(nèi)存至少64GB,CPU至少8U.

5.2 軟件架構(gòu)設計

基于態(tài)勢感知的5G共建共享網(wǎng)絡安全解決方案軟件架構(gòu)如圖2所示.

圖2 5G共建共享網(wǎng)絡安全態(tài)勢感知軟件架構(gòu)

1) 網(wǎng)元部署態(tài)勢感知入侵檢測組件,集成在軟件包中,網(wǎng)管的每個VM均部署態(tài)勢感知檢測組件;

2) 網(wǎng)管上啟用流日志采集功能;

3) 網(wǎng)管上啟用安全配置核查功能,設置配置檢查參數(shù);

4) 基站上啟用泛洪報文攻擊防范功能,安全態(tài)勢感知功能才能進行泛洪報文攻擊感知;

5) 基站TCP/UDP端口掃描信息捕獲功能開啟后,安全態(tài)勢感知功能才能進行端口掃描行為的檢測.

5.3 5G網(wǎng)元/網(wǎng)管異常行為分析檢測流程

無線通信系統(tǒng)發(fā)展迅速,許多黑客利用網(wǎng)絡中的安全缺陷和漏洞攻擊網(wǎng)絡[19].5G網(wǎng)元網(wǎng)管異常行為分析的檢測流程及具體檢測方案為:1)網(wǎng)管和網(wǎng)元通過安全日志和操作日志,記錄攻擊者或者內(nèi)鬼(內(nèi)部運維人員)登錄網(wǎng)管和網(wǎng)元實施的操作行為,如賬號增刪、密碼修改、暴力破解等;2)網(wǎng)管和網(wǎng)元采用現(xiàn)有的日志上報機制,將日志、用戶列表上報網(wǎng)管;3)網(wǎng)管通過集成態(tài)勢感知的異常檢測分析組件,根據(jù)配置的檢測規(guī)則分析網(wǎng)管和網(wǎng)元的日志、用戶列表等信息,識別網(wǎng)管和網(wǎng)元是否有遭受攻擊行為;4)態(tài)勢感知異常檢測分析組件,將分析的結(jié)果通過安全態(tài)勢呈現(xiàn)給客戶;5)對于部分檢測事件,根據(jù)檢測規(guī)則的處理建議,檢測到異常后立即自動執(zhí)行處理建議中的策略響應,如對于暴力破解成功的賬號可以實施鎖定賬號,對于攻擊的源地址可以拉入黑名單.

5.4 安全配置核查檢測流程

網(wǎng)絡安全態(tài)勢感知工作能夠通過量化數(shù)值判斷網(wǎng)絡系統(tǒng)目前的安全狀態(tài)[20].安全配置核查靜態(tài)數(shù)據(jù)在Deployment界面完成核查操作,Deployment界面提供核查數(shù)據(jù)給態(tài)勢感知組件呈現(xiàn).

1) 用戶打開整體態(tài)勢感知頁面,觸發(fā)配置核查數(shù)據(jù)獲取;

2) 態(tài)勢感知公共組件向網(wǎng)管請求配置核查結(jié)果數(shù)據(jù),網(wǎng)管提供數(shù)據(jù)查詢接口;

3) 網(wǎng)管向Deployment請求配置核查結(jié)果數(shù)據(jù),Deployment提供數(shù)據(jù)查詢接口;

4) Deployment按照接口條件返回配置核查結(jié)果記錄集;

5) 網(wǎng)管按照接口條件返回配置核查結(jié)果記錄集;

6) 態(tài)勢感知將配置核查數(shù)據(jù)結(jié)果按照整體態(tài)勢感知的要求進行呈現(xiàn).

5.5 取證溯源分析能力驗證

本文實驗針對每個資產(chǎn)(網(wǎng)元/網(wǎng)管),先根據(jù)檢測到的攻擊事件按照事件風險等級(高、中、低、提示)、攻擊階段和可信度等因子利用轉(zhuǎn)移矩陣等算法進行計分,計算出每個資產(chǎn)的安全威脅度,再進行遞歸計算整網(wǎng)的風險評分.通過檢測算法將這些上下文操作進行關(guān)聯(lián),形成惡意操作行為鏈,實現(xiàn)更有說服力的攻擊舉證和溯源,并為響應策略的制定提供依據(jù).

5.6 實驗測試結(jié)果

基于態(tài)勢感知的5G共建共享網(wǎng)絡安全解決方案支持動態(tài)檢測和靜態(tài)核查,覆蓋運維、空口、系統(tǒng)和傳輸4大安全領域威脅場景,整體態(tài)勢測評結(jié)果如圖3所示.態(tài)勢感知利用AI檢測技術(shù),結(jié)合用戶和實體行為分析(UEBA)檢測,能夠從海量數(shù)據(jù)中快速關(guān)聯(lián)出異常操作行為和網(wǎng)絡安全威脅.

圖3 5G共建共享網(wǎng)絡安全整體態(tài)勢測評結(jié)果

6 結(jié) 語

隨著5G共建共享網(wǎng)絡建設的投入力度日益增大,企業(yè)運營商等經(jīng)受著網(wǎng)絡攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”雙重考驗,所面臨的網(wǎng)絡安全形勢日趨嚴峻.安全態(tài)勢感知基于大數(shù)據(jù)的架構(gòu)平臺和AI的核心檢測模型能夠?qū)崿F(xiàn)檢測分析、統(tǒng)籌指導、威脅預測一體化流程.結(jié)合大數(shù)據(jù)、人工智能等技術(shù)實現(xiàn)安全態(tài)勢感知模型的應用[21].隨著物聯(lián)網(wǎng)技術(shù)和5G移動通信技術(shù)網(wǎng)絡架構(gòu)的快速發(fā)展,各類新型服務模式和業(yè)務不斷涌現(xiàn)[22].安全態(tài)勢感知應用于5G網(wǎng)絡,將聯(lián)合企業(yè)自主研發(fā),以客戶需求和技術(shù)創(chuàng)新為驅(qū)動力,持續(xù)迭代升級,推出滿足客戶需求、適應市場發(fā)展的產(chǎn)品和服務.安全態(tài)勢分析展示模塊實時呈現(xiàn)攻防對抗的情況[23].安全態(tài)勢感知在5G共建共享網(wǎng)絡的實踐應用將推動網(wǎng)絡與信息安全領域?qū)崿F(xiàn)商業(yè)模式轉(zhuǎn)型升級.規(guī)?；瘧煤笙嘈艑⒁云浼夹g(shù)和效益優(yōu)勢推進5G共建共享網(wǎng)絡安全產(chǎn)業(yè)的快速發(fā)展.