信息化觀察網(wǎng)

０、引言

隨著5G網(wǎng)絡(luò)商用的正式落地，5G已經(jīng)引領(lǐng)著信息技術(shù)的新一代發(fā)展，正成為當(dāng)前信息化及互聯(lián)網(wǎng)的核心。5G網(wǎng)絡(luò)的三大應(yīng)用場景：增強移動寬帶、超可靠低時延通信、海量機器類通信也給各類客戶帶來了極致的通信體驗，5G的商業(yè)應(yīng)用及專網(wǎng)應(yīng)用的規(guī)模正在不斷擴大。然而，隨著5G的發(fā)展，其安全性也顯得越來越重要，尤其是需要一種可靠的機制來實現(xiàn)對5G網(wǎng)絡(luò)安全的監(jiān)測預(yù)警。

對于移動通信安全的監(jiān)測預(yù)警，4G時代主要集中在網(wǎng)絡(luò)側(cè)的應(yīng)用層，無法保證對全網(wǎng)絡(luò)安全的監(jiān)測。在5G時代，3GPP標準和5G PPP組織都提出了一些相關(guān)的解決方案，但是這些方案要么并不是專門用于安全監(jiān)測，要么只是一個個孤立的安全引擎，難以建立起系統(tǒng)的架構(gòu)，因此，本文提出了一種5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制，實現(xiàn)對5G安全的全面監(jiān)控。

1、傳統(tǒng)4G網(wǎng)絡(luò)的安全監(jiān)測技術(shù)

傳統(tǒng)的4G LTE的網(wǎng)絡(luò)架構(gòu)主要由UE（User Equipment，終端）、E-UTRAN（Evolved UMTS Terrestrial RadioAccess Network，演進的UMTS陸地?zé)o線接入網(wǎng)）、EPC（Evolved Packet Core，4G核心網(wǎng)絡(luò)）、外部網(wǎng)絡(luò)四部分組成。4G網(wǎng)絡(luò)的安全監(jiān)測主要集中在IP網(wǎng)絡(luò)側(cè)，圖1是4G網(wǎng)絡(luò)的安全監(jiān)測架構(gòu)。

圖1 4G網(wǎng)絡(luò)安全監(jiān)測架構(gòu)

為了實現(xiàn)對4G網(wǎng)絡(luò)的安全監(jiān)測，采取的措施主要是在IP網(wǎng)絡(luò)部署防火墻、WAF（Web Application Firewall，Web應(yīng)用防火墻）、IDS（Intrusion Detection System，入侵檢測系統(tǒng)）、IPS（Intrusion Prevention System，入侵防御系統(tǒng)）等設(shè)備。防火墻可以對流經(jīng)的網(wǎng)絡(luò)通信進行過濾，以避免攻擊；WAF工作在應(yīng)用層，通過執(zhí)行HTTP/HTTPS的安全策略為Web應(yīng)用提供保護；IDS通過對網(wǎng)絡(luò)、系統(tǒng)的監(jiān)測來發(fā)現(xiàn)各種攻擊企圖、行為、結(jié)果；IPS可以監(jiān)測網(wǎng)絡(luò)設(shè)備的傳輸行為。通過分析可知，傳統(tǒng)4G安全監(jiān)測方案都集中在IP網(wǎng)絡(luò)側(cè)，并不能對整個通信架構(gòu)的全流程進行安全監(jiān)測，具有很大的局限性。

2、3GPP中的5G安全監(jiān)測方案

在3GPP標準的5G網(wǎng)絡(luò)中，根據(jù)3GPP TS 23.503，基于服務(wù)的5G系統(tǒng)核心網(wǎng)參考架構(gòu)由AMF（Access and Mobility Management Function，接入與移動性管理功能），SMF（Session Management Function，會話管理功能），UPF（User Plane Function，用戶平面功能），UDR（Unified Data Repository，統(tǒng)一數(shù)據(jù)存儲功能），NEF（Network Exposure Function，網(wǎng)絡(luò)開放功能），NWDAF（Network Data Analytics Function，網(wǎng)絡(luò)數(shù)據(jù)分析功能），AF（Application Function，應(yīng)用功能），PCF（Policy Control Function，策略控制功能），CHF（Charging Function，計費功能）組成。圖2為基于服務(wù)的5G核心網(wǎng)架構(gòu)。

圖2基于服務(wù)的5G核心網(wǎng)架構(gòu)

5G網(wǎng)絡(luò)引入了網(wǎng)絡(luò)切片新技術(shù)，其是指通過網(wǎng)絡(luò)虛擬化技術(shù)，將網(wǎng)絡(luò)中的各類物理資源抽象成虛擬資源，并基于指定的網(wǎng)絡(luò)功能和特定的接入網(wǎng)技術(shù)，按需構(gòu)建端到端的邏輯網(wǎng)絡(luò)，提供一種或多種網(wǎng)絡(luò)服務(wù)。

由于網(wǎng)絡(luò)切片的存在，3GPP標準中通過NWDAF網(wǎng)元來實現(xiàn)安全監(jiān)測功能，NWDAF代表運營商管理的網(wǎng)絡(luò)分析邏輯功能。NWDAF為NF提供特定于片的網(wǎng)絡(luò)數(shù)據(jù)分析，NWDAF在網(wǎng)絡(luò)切片實例級別上向NF提供網(wǎng)絡(luò)分析信息（即負載級別信息），并且NWDAF不需要知道使用該片的當(dāng)前用戶。NWDAF將切片特定的網(wǎng)絡(luò)狀態(tài)分析信息通知給用戶它的NF，NF可以直接從NWDAF收集切片特定的網(wǎng)絡(luò)狀態(tài)分析信息。PCF和NSSF（Network Slice Selection Function，網(wǎng)絡(luò)切片選擇功能）都是網(wǎng)絡(luò)分析的消費者，PCF可以在其策略決策中使用該數(shù)據(jù)，NSSF可以使用NWDAF提供的負載級別信息進行切片選擇。

NWDAF可為5G核心網(wǎng)的NF（Network Function，網(wǎng)絡(luò)功能）和OAM（Operation Administration and Maintenance，操作維護管理）提供分析信息，可以是過去的統(tǒng)計信息，也可以是預(yù)測信息。從圖2可知，NWDAF可以根據(jù)對AMF、SMF、PCF、UDM、AF和OAM提供的事件訂閱來收集數(shù)據(jù)，從數(shù)據(jù)存儲庫檢索信息。檢索有關(guān)NF的信息，從而向使用者提供分析服務(wù)。NWDAF可以收集網(wǎng)絡(luò)通信的信令級信息，從而實現(xiàn)了信令級的監(jiān)測。

NF服務(wù)是NF（NF服務(wù)生產(chǎn)者）通過基于服務(wù)的接口向其他授權(quán)的NF（NF服務(wù)消費者）公開的一種能力。根據(jù)3GPP TS 23.288，NWDAF給其他NF提供的服務(wù)分為訂閱模式和請求模式兩種。

在訂閱模式下，NWDAF服務(wù)消費者通過調(diào)用Nnwdaf_AnalyticsSubscription_Subscribe/Nnwdaf_AnalyticsSubscription_Unsubscribe服務(wù)操作來訂閱或取消訂閱分析信息。當(dāng)訂閱信息時，NWDAF將向服務(wù)消費者通知分析信息，取消訂閱后將不再接收。NWDAF訂閱/取消流程如圖3所示。

圖3 NWDAF訂閱/取消流程圖

在請求模式下，NWDAF服務(wù)消費者可以調(diào)用Nnwdaf_AnalyticsInfo服務(wù)操作來請求分析信息，NWDAF收到請求后，確定是否需要觸發(fā)新數(shù)據(jù)收集，如果確定要收集，則以分析信息響應(yīng)NWDAF服務(wù)消費者。NWDAF請求流程如圖4所示。

圖4 NWDAF請求流程圖

NWDAF最初引入時,主要用于對網(wǎng)絡(luò)切片相關(guān)數(shù)據(jù)的分析,隨著5G標準的不斷發(fā)展，NWDAF獲取數(shù)據(jù)范圍不斷擴大，還可以從運營商OAM，AF，5G核心網(wǎng)網(wǎng)絡(luò)功能以及第三方應(yīng)用獲取數(shù)據(jù)?；谏鲜龅臄?shù)據(jù)收集，NWDAF進行數(shù)據(jù)分析，也可以將分析結(jié)果后提供給OAM，AF，5G核心網(wǎng)網(wǎng)絡(luò)功能以及第三方應(yīng)用。以NWDAF為核心的5G網(wǎng)絡(luò)智能化的通用框架如圖5所示。

圖5 5G網(wǎng)絡(luò)智能化的通用框架

３、5G PPP中的安全監(jiān)測網(wǎng)元

在5G安全監(jiān)測方面，歐洲5G PPP組織提出了5G-ENSURE計劃，安全監(jiān)測是此計劃的一個主要技術(shù)關(guān)注點。其一共提出了4個相關(guān)網(wǎng)元，即SatNav，PulSAR，通用收集器接口以及系統(tǒng)安全狀態(tài)存儲庫。

SatNav主要用于衛(wèi)星網(wǎng)絡(luò)監(jiān)測，主要目標是在5G集成衛(wèi)星和地面系統(tǒng)中提供偽實時監(jiān)控和威脅檢測。衛(wèi)星網(wǎng)絡(luò)監(jiān)測主要包括兩部分，客戶端功能以及服務(wù)器端功能，客戶端功能（例如5G-eNodeB，衛(wèi)星終端，UE）能夠從網(wǎng)絡(luò)組件中收集指標并將其發(fā)送到服務(wù)器端，此功能應(yīng)部署在每個網(wǎng)絡(luò)組件。服務(wù)器端功能（即安全監(jiān)視服務(wù)器），能夠配置客戶端功能部件以及提供消耗量指標的偽實時監(jiān)控。此功能應(yīng)部署在中央服務(wù)器。

PulSAR的目的是通過攻擊圖清晰地了解網(wǎng)絡(luò)攻擊的進程。PulSAR通過在5G網(wǎng)絡(luò)中生成攻擊圖來對網(wǎng)絡(luò)進行全面的風(fēng)險分析。它依賴于網(wǎng)絡(luò)的拓撲信息（防火墻規(guī)則、流矩陣、路由表、虛擬機放置等）以及來自物理和虛擬機的漏洞掃描信息。以枚舉從任何計算機到任何其他計算機的所有攻擊路徑。然后根據(jù)這些攻擊路徑的可能性和難度（使用度量標準，例如長度和所利用漏洞的CVSS難度）進行評分，并通過REST API呈現(xiàn)給用戶。

通用收集器接口旨在實現(xiàn)事件和日志之間的互操作性，以便允許在5G網(wǎng)絡(luò)內(nèi)部部署FastData技術(shù)。啟動器提供日志和事件的唯一格式。通用收集器接口可以從5G網(wǎng)絡(luò)元素以及組件收集數(shù)據(jù)，然后向授權(quán)方和參與方提供大量數(shù)據(jù)，包括與虛擬化，身份管理，通信協(xié)議/層/堆棧和某些特定特權(quán)升級有關(guān)的日志和事件。其還利用5G網(wǎng)絡(luò)內(nèi)部高效的FastData實施，以盡快發(fā)現(xiàn)網(wǎng)絡(luò)的安全性和效率問題。通用收集器接口由三個主要的軟件塊組成，分別是客戶端引擎軟件、服務(wù)器引擎軟件和服務(wù)軟件。

系統(tǒng)安全狀態(tài)存儲庫在一個可以可視化和分析的模型中捕獲系統(tǒng)狀態(tài)，以了解存在哪些威脅，并檢查設(shè)計是否符合要求。

4一種5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制

對于普通的安全場景來說，3GPP標準中規(guī)定的NWDAF就可以實現(xiàn)基本的安全監(jiān)測功能，但是其也有一定缺陷。一是其在5G核心網(wǎng)中，只適用于一般監(jiān)測，不利于功能擴展，如果將5G PPP的一些模塊加入將會導(dǎo)致系統(tǒng)結(jié)構(gòu)混亂，不利于管理；二是其主要輸出信息比較簡單，并未經(jīng)過復(fù)雜算法集成，僅靠一個網(wǎng)元難以進行，因此，借鑒5G網(wǎng)絡(luò)的SDN架構(gòu)，提出了一種新的5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制。

在5G網(wǎng)絡(luò)中，為了解決現(xiàn)有網(wǎng)絡(luò)固有的功能擴展性差、個性定制化困難、基礎(chǔ)設(shè)施成本居高不下的矛盾，于是引入了以SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）技術(shù)為基礎(chǔ)的5G網(wǎng)絡(luò)架構(gòu)，SDN是一種數(shù)據(jù)控制分離、軟件可編程的新興網(wǎng)絡(luò)體系結(jié)構(gòu)。采用了集中式的控制平面和分布式的轉(zhuǎn)發(fā)平面，控制平面利用開發(fā)的控制—轉(zhuǎn)發(fā)通信接口對轉(zhuǎn)發(fā)平面上的網(wǎng)絡(luò)設(shè)備進行集中控制，同時提高了靈活的可編程能力。

5G中的SDN典型體系架構(gòu)分為應(yīng)用層、控制層、網(wǎng)絡(luò)基礎(chǔ)設(shè)施層3個層面。網(wǎng)絡(luò)基礎(chǔ)設(shè)施層又叫數(shù)據(jù)轉(zhuǎn)發(fā)層，由各種轉(zhuǎn)發(fā)設(shè)備組成，可以實現(xiàn)網(wǎng)絡(luò)狀態(tài)收集、存儲、發(fā)送功能?？刂茖舆B接著應(yīng)用層以及基礎(chǔ)設(shè)施層，通過基礎(chǔ)設(shè)施層的交換設(shè)備可以實現(xiàn)報告網(wǎng)絡(luò)狀態(tài)等功能，同時與應(yīng)用層通過各種API進行連接，實現(xiàn)各種形式的服務(wù)訪問。應(yīng)用層主要是滿足各類用戶的服務(wù)需求而開發(fā)的各類商業(yè)應(yīng)用，這些應(yīng)用程序依托控制器控制基礎(chǔ)設(shè)施層的轉(zhuǎn)發(fā)設(shè)備，實現(xiàn)動態(tài)接入控制、服務(wù)器負載均衡、資源調(diào)度等功能。SDN典型架構(gòu)如圖5所示。

圖5 SDN典型架構(gòu)

在前面的標準中，為了實現(xiàn)安全監(jiān)測預(yù)警功能，往往只是從核心網(wǎng)中添加一個個離散的互不關(guān)聯(lián)的模塊，并沒有形成一個系統(tǒng)的安全監(jiān)測預(yù)警系統(tǒng)。因此，基于5G網(wǎng)絡(luò)的SDN架構(gòu)進行了擴充，提出了一種將安全監(jiān)測與網(wǎng)絡(luò)通信松耦合的系統(tǒng)，通過單獨的安全監(jiān)測預(yù)警機制，將安全監(jiān)測架構(gòu)與5G網(wǎng)絡(luò)架構(gòu)融合起來，從基礎(chǔ)設(shè)施層到控制層再到應(yīng)用層，實現(xiàn)全流程全信息，同時適用于商用5G和專用5G網(wǎng)絡(luò)的安全監(jiān)測預(yù)警機制。此機制突破了傳統(tǒng)的僅關(guān)注于應(yīng)用層監(jiān)測的局限，實現(xiàn)了信令級的監(jiān)測。

圖6一種5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警架構(gòu)

一種5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警架構(gòu)，主要由普通網(wǎng)絡(luò)域和安全監(jiān)測域兩大部分組成，普通網(wǎng)絡(luò)域與經(jīng)典SDN架構(gòu)基本相同，而安全監(jiān)測域與SDN架構(gòu)一樣，一共分為三層：

（1）安全監(jiān)測應(yīng)用層：根據(jù)5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警的需求，開發(fā)的相應(yīng)的安全應(yīng)用SAPP，以直觀化的方式向客戶實時顯示網(wǎng)絡(luò)安全狀態(tài)并進行預(yù)警。同時繼承4G網(wǎng)絡(luò)中的防火墻、WAF、IDS、IPS等安全技術(shù)，在應(yīng)用層層面進行全面的安全監(jiān)測。安全應(yīng)用層與監(jiān)測控制層通過安全接口進行通信，可以接收監(jiān)測控制層傳來的狀態(tài)信息。

（2）監(jiān)測控制層：監(jiān)測控制層與普通網(wǎng)絡(luò)域的控制層同級，主要由監(jiān)測單元、預(yù)警單元、擴展單元、等模塊組成，監(jiān)測單元通過采集普通網(wǎng)絡(luò)域的控制層的狀態(tài)數(shù)據(jù)（包括信令級信息），然后通過預(yù)警單元進行預(yù)測，通過一定概率算法等預(yù)計網(wǎng)絡(luò)安全狀態(tài)，在應(yīng)用層進行顯示。擴展單元主要是添加一些安全監(jiān)測新功能，如安全攻擊路線計算、特殊場景的安全監(jiān)測等，便于進行擴展，具有低成本、快速迭代、軟件開放性等優(yōu)勢。

（3）安全監(jiān)測設(shè)備層：主要部署安全監(jiān)測所需要的設(shè)備，接受控制層下發(fā)的控制指令，并根據(jù)指令完成監(jiān)測的相關(guān)任務(wù)。

這種5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制，具有廣泛的適用性，不僅可以應(yīng)用于大規(guī)模的商用5G網(wǎng)絡(luò)，而且對于小范圍的專用5G網(wǎng)絡(luò)同樣適用。在商用網(wǎng)絡(luò)中，可以根據(jù)實際安全需要，按需部署，既可以僅側(cè)重于應(yīng)用層等某一層的監(jiān)測，也可以擴展到全層次的監(jiān)測，既可以監(jiān)測某一段小網(wǎng)絡(luò)，也可以在上層擴展到大網(wǎng)。對于專用5G網(wǎng)絡(luò)，其安全監(jiān)測的需求較高，尤其是軍民融合專網(wǎng)，可分為普通域和高安全域，其安全監(jiān)測預(yù)警總體結(jié)構(gòu)如圖7所示。

圖7軍民融合5G專網(wǎng)安全監(jiān)測預(yù)警總體結(jié)構(gòu)

在此系統(tǒng)中，終端側(cè)植入安全監(jiān)測探針進行底層監(jiān)測，安全應(yīng)用SAPP進行應(yīng)用層監(jiān)測預(yù)警；網(wǎng)絡(luò)側(cè)將普通域與高安全域通過防火墻隔離過濾，監(jiān)測預(yù)警單元實現(xiàn)控制層監(jiān)測功能，同時DN側(cè)加入IDS、IPS、WAF等安全監(jiān)測功能。這種機制從基礎(chǔ)設(shè)施層、控制層、應(yīng)用層全層次，從終端、傳輸、網(wǎng)絡(luò)全系統(tǒng)實現(xiàn)了5G網(wǎng)絡(luò)的監(jiān)測預(yù)警功能。

５、結(jié)語

本文首先對4G網(wǎng)絡(luò)的安全監(jiān)測技術(shù)進行了介紹，然后詳細分析了3GPP標準中網(wǎng)絡(luò)監(jiān)測的網(wǎng)元NWDAF及5G PPP中的4個相關(guān)引擎，指出了目前在安全監(jiān)測預(yù)警中存在的問題及局限性。在此基礎(chǔ)上，根據(jù)5G SDN架構(gòu)，提出了一種安全監(jiān)測域與普通網(wǎng)絡(luò)域松耦合的網(wǎng)絡(luò)安全監(jiān)測預(yù)警架構(gòu)，其具有低成本、快速迭代、軟件開放性等優(yōu)勢，也有廣泛的適用性。采用該架構(gòu)的5G網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制，能夠為5G安全監(jiān)測提供一個參考方向。