本文來自微信公眾號“郵電設(shè)計(jì)技術(shù)”,作者/鄭濤、謝澤鋮、張曼君、陸勰、王姍姍。
5G與垂直行業(yè)的深度融合使得攻擊者更易利用網(wǎng)絡(luò)的暴露面發(fā)起攻擊,而網(wǎng)絡(luò)流量正是攻擊行為的載體,各企業(yè)防護(hù)的難度也越來越高。在此背景下,除了傳統(tǒng)的安全防護(hù)手段之外,運(yùn)營商和5G行業(yè)客戶均希望能夠?qū)?G流量進(jìn)行安全分析監(jiān)測,彌補(bǔ)其他安全工具的不足之處。通過主動監(jiān)測5G信令交互異常行為,對可能遭受的信令攻擊和終端異常等事件進(jìn)行預(yù)警,有助于全面掌握5G網(wǎng)絡(luò)的安全態(tài)勢,打造更加安全的5G網(wǎng)絡(luò)。
引言
自2019年商用以來,5G網(wǎng)絡(luò)已經(jīng)邁入高速發(fā)展期,各種現(xiàn)象級應(yīng)用層出不窮,5G用戶的單用戶流量跟4G用戶的單用戶流量相比有了極大的提升[1]。目前,5G網(wǎng)絡(luò)的接入流量、業(yè)務(wù)流量仍在持續(xù)大規(guī)模增加中。5G網(wǎng)絡(luò)與各種垂直行業(yè)的融合在深度和廣度上也都得到了大幅提升,這種深度融合使得原來封閉的園區(qū)網(wǎng)絡(luò)和運(yùn)營商網(wǎng)絡(luò)向著縱深開放轉(zhuǎn)變,攻擊者更易利用網(wǎng)絡(luò)的暴露面發(fā)起攻擊,而網(wǎng)絡(luò)流量正是攻擊行為的載體,使得各企業(yè)進(jìn)行安全防護(hù)的難度越來越高。
在此背景下,除了傳統(tǒng)的安全防護(hù)手段之外,運(yùn)營商和5G垂直行業(yè)客戶均希望能夠通過有效的流量監(jiān)測技術(shù)手段,對5G專網(wǎng)流量進(jìn)行安全分析監(jiān)測,以便更加快速地發(fā)現(xiàn)安全事件并進(jìn)行威脅溯源,彌補(bǔ)其他安全工具的不足之處。
0 1
傳統(tǒng)流量監(jiān)測技術(shù)簡介
網(wǎng)絡(luò)流量分析技術(shù)(Network Traffic Analysis,NTA)于2013年被首次提出,并且在2016年逐漸興起。2017年,NTA被Gartner評選為2017年十一大信息安全新興技術(shù)之一,同時也被認(rèn)為是5種檢測高級威脅的手段之一。在Gartner的定義里,NTA是以網(wǎng)絡(luò)流量為基礎(chǔ),應(yīng)用人工智能、大數(shù)據(jù)處理等先進(jìn)技術(shù),基于流量行為進(jìn)行實(shí)時分析并展示異常事件的客觀事實(shí)[2]。后來,隨著技術(shù)的發(fā)展,在NTA基礎(chǔ)上逐漸增加了檢測和響應(yīng)的功能,Gartner于2020年提出了NDR(Network Detection and Response)的概念,成為業(yè)界的主流。文獻(xiàn)[3]提出對無線網(wǎng)絡(luò)流量的分析和準(zhǔn)確預(yù)測是無線網(wǎng)絡(luò)管理與安全領(lǐng)域的重要研究內(nèi)容之一,在網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)控、流量趨勢分析、網(wǎng)絡(luò)優(yōu)化以及入侵檢測和異常檢測等方面發(fā)揮著重要作用,并介紹了DPI(Deep Packet Inspection)、DFI(Deep/Dynamic Flow Inspection)等典型的無線網(wǎng)絡(luò)流量分析的模型與常用流量分析方法。文獻(xiàn)[4]介紹了將DPI技術(shù)與DPF技術(shù)結(jié)合進(jìn)行全流量分析的方法。文獻(xiàn)[5]介紹了NetStream、Netflow、sFlow等基于端口的分析技術(shù)和基于DPI網(wǎng)絡(luò)探針等網(wǎng)絡(luò)流量的分析技術(shù)。文獻(xiàn)[6]介紹了5G場景下的全流量安全檢測與分析技術(shù),采集5G全流量、資產(chǎn)信息、漏洞信息、設(shè)備日志、安全事件等信息,進(jìn)行全網(wǎng)5G安全事件監(jiān)測分析、5G終端資產(chǎn)管理、漏洞管理、原始攻擊報(bào)文存儲、5G安全事件溯源及處置、5G安全威脅態(tài)勢感知等。
目前國內(nèi)外安全企業(yè)已經(jīng)提供了多款網(wǎng)絡(luò)流量安全分析監(jiān)測類系統(tǒng),用于監(jiān)測和解決企業(yè)互聯(lián)網(wǎng)場景下IT網(wǎng)絡(luò)所面臨的安全問題。同時,NTA技術(shù)在移動通信網(wǎng)絡(luò)中也有應(yīng)用,一般用于分析基于HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)等傳統(tǒng)傳輸協(xié)議的用戶流量,進(jìn)行Web(World Wide Web)應(yīng)用攻擊、數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)惡意程序等安全攻擊事件的監(jiān)測和識別,適用于日常異常流量監(jiān)測、攻防演練等場景,如圖1所示,缺乏根據(jù)網(wǎng)絡(luò)流量特點(diǎn)及5G網(wǎng)絡(luò)業(yè)務(wù)特點(diǎn)進(jìn)行分析的信令流量監(jiān)測技術(shù)。
圖1傳統(tǒng)流量安全監(jiān)測流程
隨著5G網(wǎng)絡(luò)應(yīng)用場景的不斷擴(kuò)展以及5G網(wǎng)絡(luò)個性化安全需求的不斷增加,現(xiàn)有NTA技術(shù)和流量安全分析監(jiān)測類系統(tǒng)無法實(shí)現(xiàn)針對5G網(wǎng)絡(luò)特有的交互流量協(xié)議,如PFCP(Packet Forwarding Control Protocol)、NGAP(Protocol for NG Interface)等協(xié)議的識別、解析和威脅發(fā)現(xiàn),缺少針對5G網(wǎng)絡(luò)場景類交互異常和威脅感知的能力,無法滿足5G網(wǎng)絡(luò)場景的流量監(jiān)測需求。目前業(yè)內(nèi)多將信令消息用于DPI話單回填,對于基于5G特有的業(yè)務(wù)流程交互、5G信令特點(diǎn)進(jìn)行流量監(jiān)測的研究較少。因此,研究5G網(wǎng)絡(luò)場景下的信令流量監(jiān)測,對發(fā)現(xiàn)5G網(wǎng)絡(luò)威脅及進(jìn)行威脅溯源,提高5G網(wǎng)絡(luò)全網(wǎng)安全態(tài)勢感知能力,有著重要的意義。
0 2
5G信令流量安全監(jiān)測技術(shù)
不同于傳統(tǒng)的NTA流量分析技術(shù),5G信令流量安全監(jiān)測技術(shù)更多基于5G網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)和5G網(wǎng)絡(luò)的協(xié)議特點(diǎn)去做分析,例如5G網(wǎng)絡(luò)中N1/N2接口的NGAP協(xié)議、N3接口的GTP-U(GPRS Tunnelling Protocol for the User plane)協(xié)議、N4接口的PFCP協(xié)議等,并根據(jù)5G網(wǎng)絡(luò)用戶的特點(diǎn)和業(yè)務(wù)特點(diǎn)構(gòu)建流量分析模型,對5G網(wǎng)絡(luò)的安全監(jiān)測更有針對性。通過采集5G網(wǎng)絡(luò)N1(UE-AMF之間接口)、N2(RAN-AMF之間接口)、N4(UPF-SMF之間接口)、N8(AMF-UDM之間接口)、N10(SMF-UDM之間接口)、N11(AMF-SMF之間接口)、N12(AMF-AUSF之間接口)、N14(AMF-AMF之間接口)、N15(AMF-PCF之間接口)、N16(SMF-SMF之間接口)、N22(AMF-NSSF之間接口)、N26(AMF MME之間接口)、N28(PCF-CHF之間接口)、N29(SMF-NEF之間接口)、N32(SEPP-SEPP之間接口)、N33(AF-NEF之間接口)、N40(SMF-CHF之間接口)等信令交互接口的原始流量,運(yùn)用大數(shù)據(jù)、機(jī)器學(xué)習(xí)算法,按不同應(yīng)用協(xié)議識別處理、解析、還原和分析流量,對網(wǎng)絡(luò)安全事件進(jìn)行深度挖掘,從而分析網(wǎng)元間信令攻擊和可能遭受的網(wǎng)絡(luò)攻擊事件,對網(wǎng)絡(luò)安全態(tài)勢做出評估;并結(jié)合5G專網(wǎng)用戶特點(diǎn)和行為特征,識別異常終端設(shè)備,從而有效管控終端。
2.1技術(shù)架構(gòu)
5G網(wǎng)絡(luò)流量安全監(jiān)測的技術(shù)架構(gòu)如圖2所示。數(shù)據(jù)源為5G網(wǎng)絡(luò)中N1、N2、N4、N8、N10、N11、N12、N14、N15、N16、N22、N26、N28、N29、N32、N33、N40等接口的信令流量,涵蓋NGAP、PFCP、HTTP2、GTP等各類協(xié)議。數(shù)據(jù)采集解析包括流量采集、信息回填、協(xié)議識別、數(shù)據(jù)分類、數(shù)據(jù)存儲等,將采集的原始流量解析處理成全接口統(tǒng)計(jì)話單日志、N1N2話單日志、N4話單日志、異常XDR話單日志等,向上提供給信令流量監(jiān)測分析使用。信令流量監(jiān)測結(jié)合5G網(wǎng)絡(luò)特點(diǎn)及其流量特征,根據(jù)安全模型對信令面流量進(jìn)行異常流量檢測與分析,包括異常終端監(jiān)測、網(wǎng)元非法接入監(jiān)測、信令風(fēng)暴監(jiān)測、異常信令監(jiān)測、異常服務(wù)網(wǎng)元監(jiān)測等。
圖2 5G網(wǎng)絡(luò)信令流量安全監(jiān)測技術(shù)架構(gòu)
2.2關(guān)鍵特性
5G信令流量安全監(jiān)測關(guān)鍵特性可分為異常終端監(jiān)測、網(wǎng)元非法接入監(jiān)測、信令風(fēng)暴監(jiān)測、異常信令監(jiān)測和異常服務(wù)網(wǎng)元監(jiān)測這五大特性。
2.2.1異常終端監(jiān)測
5G網(wǎng)絡(luò)中的終端數(shù)量巨大、類型多樣,一些物聯(lián)網(wǎng)終端性能較低,安全防護(hù)能力弱,面臨著被黑客劫持從而攻擊網(wǎng)絡(luò)的風(fēng)險(xiǎn)。例如5G網(wǎng)絡(luò)中非法終端頻繁地發(fā)起注冊請求,但是由于鑒權(quán)流程不通過導(dǎo)致注冊失敗,憑空浪費(fèi)大量的無線及網(wǎng)絡(luò)資源;一部分合法終端可能因?yàn)樽陨砘虮缓诳涂刂频仍蚍磸?fù)進(jìn)行開關(guān)機(jī)、周期性地發(fā)送大量信令、反復(fù)切換等行為,浪費(fèi)網(wǎng)絡(luò)資源。
基于N1、N2接口的信令流量,通過對注冊流程的檢測和解析,識別來歷不明的非法終端,監(jiān)測頻繁發(fā)起網(wǎng)絡(luò)接入用戶、頻繁開關(guān)機(jī)用戶、頻繁發(fā)起連接業(yè)務(wù)請求用戶、信令交互量過大用戶、頻繁發(fā)起5G內(nèi)切換用戶、頻繁發(fā)起4G/5G切換用戶等;通過解析終端接入切片的信令消息,識別試圖接入非本終端簽約切片的異常終端行為,為運(yùn)營商及行業(yè)客戶提供發(fā)現(xiàn)異常終端的運(yùn)維手段。
2.2.2非法網(wǎng)元接入監(jiān)測
5G網(wǎng)絡(luò)為了給垂直行業(yè)客戶提供低時延、更個性化的服務(wù),將網(wǎng)絡(luò)能力和計(jì)算能力延伸到了網(wǎng)絡(luò)邊緣和用戶邊緣,但是下沉的UPF網(wǎng)元更靠近用戶側(cè),增加了網(wǎng)絡(luò)的暴露面,網(wǎng)元更容易被攻擊者控制和仿冒。為了監(jiān)測和防范此風(fēng)險(xiǎn),針對非運(yùn)營商登記資產(chǎn)進(jìn)行監(jiān)控,通過信令流量數(shù)據(jù)解析,主動探測5G網(wǎng)絡(luò)中的各網(wǎng)元,及時發(fā)現(xiàn)不屬于5G網(wǎng)絡(luò)的基站、UPF等非法網(wǎng)元,避免攻擊者仿冒5G網(wǎng)元向運(yùn)營商網(wǎng)絡(luò)及業(yè)務(wù)平臺發(fā)動攻擊。
2.2.3信令風(fēng)暴監(jiān)測
5G網(wǎng)絡(luò)中大量終端接入網(wǎng)絡(luò)時將產(chǎn)生大量的接入信令,尤其是大量物聯(lián)網(wǎng)用戶同時開機(jī)接入網(wǎng)絡(luò)時會產(chǎn)生大量接入網(wǎng)絡(luò)請求,一旦網(wǎng)絡(luò)收到的終端信令請求超過了網(wǎng)絡(luò)各項(xiàng)信令資源的處理能力,將會引發(fā)網(wǎng)絡(luò)擁塞以至于產(chǎn)生雪崩效應(yīng),導(dǎo)致網(wǎng)絡(luò)不可用。依據(jù)關(guān)鍵信令訪問量構(gòu)建信令風(fēng)暴模型,根據(jù)對N1N2話單的注冊流程、SR(Service Request)流程、PDU(Packet Data Unit)建立流程以及N4話單的會話流程和PFCP節(jié)點(diǎn)類信令流程的統(tǒng)計(jì)分析,監(jiān)測5G網(wǎng)元維度的信令負(fù)荷情況,發(fā)現(xiàn)基站、AMF、SMF等關(guān)鍵網(wǎng)元的信令風(fēng)暴,預(yù)警空口信令風(fēng)暴攻擊行為,避免5G網(wǎng)元被攻擊,影響客戶網(wǎng)絡(luò)質(zhì)量和業(yè)務(wù)正常運(yùn)行。
2.2.4異常信令監(jiān)測
由于5G網(wǎng)絡(luò)承載的業(yè)務(wù)重要性越來越高,對于黑客的吸引力也越來越大,攻擊者的攻擊能力和攻擊手段在不斷更新提升,要防止攻擊者通過構(gòu)造畸形消息、異常方向攻擊引發(fā)5G網(wǎng)絡(luò)設(shè)備處理異常,影響客戶網(wǎng)絡(luò)服務(wù)和業(yè)務(wù)運(yùn)行。通過對5G網(wǎng)絡(luò)信令流量的解析識別,根據(jù)各接口雙向的信令消息進(jìn)行智能關(guān)聯(lián)分析,發(fā)現(xiàn)交互過程中的協(xié)議異常、格式異常、方向異常、服務(wù)異常等行為,綜合判定疑似受攻擊的用戶及5G網(wǎng)元,識別通過構(gòu)造異常信令等方式發(fā)起信令攻擊的威脅。
2.2.5異常服務(wù)網(wǎng)元監(jiān)測
5G網(wǎng)絡(luò)中的物聯(lián)網(wǎng)終端、行業(yè)客戶的專網(wǎng)終端的位置較為固定,因此為其提供服務(wù)的AMF、SMF、UPF、gNB等網(wǎng)元也相對固定??紤]專網(wǎng)用戶的部署特點(diǎn),通過監(jiān)測信令流量中為固定位置終端提供服務(wù)的網(wǎng)元,可及時發(fā)現(xiàn)網(wǎng)元異常變更行為,從而進(jìn)一步挖掘出可能受到攻擊的5G網(wǎng)元。
2.3部署應(yīng)用
5G信令流量安全監(jiān)測的適用場景廣泛,通過交換機(jī)鏡像或者分光器復(fù)制5G網(wǎng)絡(luò)信令流量的方式,將網(wǎng)絡(luò)流量引流后進(jìn)行分析監(jiān)測,可實(shí)時、快速地監(jiān)測到第2.2節(jié)提到的異常終端、非法網(wǎng)元接入、信令風(fēng)暴、異常信令、異常服務(wù)網(wǎng)元等各類網(wǎng)絡(luò)安全威脅。一方面可以為運(yùn)營商提供網(wǎng)絡(luò)安全監(jiān)測態(tài)勢預(yù)警,另一方面可以使行業(yè)客戶及時發(fā)現(xiàn)異常行為的終端,從而提升發(fā)現(xiàn)5G網(wǎng)絡(luò)威脅和態(tài)勢感知的能力。圖3給出了5G信令流量安全監(jiān)測的部署應(yīng)用示意。
圖3部署應(yīng)用示意
0 3
結(jié)束語
本文梳理了現(xiàn)有的流量安全監(jiān)測技術(shù)及其應(yīng)用場景,并對信令流量安全監(jiān)測技術(shù)架構(gòu)和關(guān)鍵特性進(jìn)行了介紹,通過加強(qiáng)5G網(wǎng)絡(luò)信令面流量的識別和解析能力,能夠有效擴(kuò)充對于信令攻擊的威脅發(fā)現(xiàn)能力、拓展5G安全監(jiān)測的維度。根據(jù)信令流量的靜態(tài)特征和動態(tài)特性,運(yùn)用大數(shù)據(jù)及智能檢測技術(shù),主動監(jiān)測5G信令交互異常并進(jìn)行深度挖掘和評估,對可能遭受的信令攻擊和終端異常等事件進(jìn)行預(yù)警,充分考慮了行業(yè)用戶和專網(wǎng)用戶的行為特點(diǎn),切實(shí)滿足了行業(yè)客戶和5G專網(wǎng)對于全流量檢測和態(tài)勢感知的需求,有助于全面掌握5G網(wǎng)絡(luò)的安全態(tài)勢,打造更加安全的5G網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]何麗華,王少波,程玉松,等.2G/4G/5G核心網(wǎng)融合組網(wǎng)架構(gòu)下信令監(jiān)測系統(tǒng)建設(shè)思路研究[J].數(shù)據(jù)通信,2021(3):26-28.
[2]中國信息通信研究院,F(xiàn)reeBuf咨詢.中國網(wǎng)絡(luò)流量監(jiān)測與分析產(chǎn)品研究報(bào)告(2020年)[EB/OL].[2023-05-04].http://www.caict.
ac.cn/kxyj/qwfb/ztbg/202009/P020200929395414861521.pdf.
[3]程定國,曾浩洋.無線通信網(wǎng)絡(luò)中流量分析技術(shù)綜述[J].電訊技術(shù),2023,63(3):441-447.
[4]王陳喜.基于網(wǎng)絡(luò)全流量行為分析的異常威脅檢測[C]//2022年西湖論劍·網(wǎng)絡(luò)安全大會——數(shù)字城市安全治理論壇論文集.杭州:《信息安全研究》雜志社,2022:105-107.
[5]周耀勝.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用及方案比較[J].現(xiàn)代電信科技,2009,39(7):62-67.
[6]王濤,潘樂榮,鄒初建.5G場景下的全流量安全檢測與分析[C]//2022年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽論文集.北京:《信息安全研究》雜志社,2022:66-69.
作者簡介
鄭濤,工程師,碩士,主要從事網(wǎng)絡(luò)與信息安全管理工作;
謝澤鋮,工程師,碩士,主要從事網(wǎng)絡(luò)與信息安全研究工作;
張曼君,高級工程師,博士,主要從事網(wǎng)絡(luò)與信息安全研究工作;
陸勰,工程師,碩士,主要從事網(wǎng)絡(luò)與信息安全研究工作;
王姍姍,工程師,博士,主要從事網(wǎng)絡(luò)與信息安全研究工作。