一種非法基站入侵的快速檢測(cè)與定位方法
【專利摘要】本發(fā)明提出了一種非法基站入侵的快速檢測(cè)與定位方法�����。該方法利用普通用戶手機(jī)上采集的基本網(wǎng)絡(luò)參數(shù)(LAC�,CI��,場(chǎng)強(qiáng)等)以及用戶業(yè)務(wù)行為,判斷參數(shù)變化及業(yè)務(wù)行為是否符合預(yù)設(shè)的各預(yù)警特征條件�,將符合特征條件的權(quán)重加總,根據(jù)該總權(quán)重判定當(dāng)前是否屬于一次非法基站入侵的預(yù)警�����;判斷預(yù)警成立后��,在用戶GPS開關(guān)打開情況下��,記錄當(dāng)前用戶所在位置的GPS經(jīng)緯度信息�,將一級(jí)預(yù)警信息傳遞給遠(yuǎn)程的中央處理單元;中央處理單元根據(jù)攻擊前LAC碼將多個(gè)終端的上報(bào)信息分類��,對(duì)歸于一類的預(yù)警信息進(jìn)行二次綜合報(bào)警分析����,判定是否滿足預(yù)設(shè)的各報(bào)警特征條件,將符合報(bào)警特征條件的權(quán)重加總���,根據(jù)總權(quán)重判定當(dāng)前是否屬于一次非法基站入侵報(bào)警����,判斷報(bào)警成立后,計(jì)算本次非法基站入侵時(shí)的非法基站位置并進(jìn)行實(shí)時(shí)報(bào)警��。
【專利說明】一種非法基站入侵的快速檢測(cè)與定位方法【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于無線網(wǎng)絡(luò)領(lǐng)域��,特別涉及非法基站入侵的快速檢測(cè)與定位方法��。
【背景技術(shù)】
[0002]目前的GSM移動(dòng)通信系統(tǒng)采用單向認(rèn)證的體制�����,即只有網(wǎng)絡(luò)對(duì)終端的認(rèn)證����,不需要終端對(duì)網(wǎng)絡(luò)的認(rèn)證?���!胺欠ɑ尽?也稱“偽基站”或“仿真基站”)設(shè)備就是利用了 GSM系統(tǒng)協(xié)議上的這一漏洞。其基本工作原理是���,通過仿真移動(dòng)通信無線基站系統(tǒng)及后臺(tái)分析系統(tǒng)�����,利用移動(dòng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)號(hào)(MNC)����、頻率資源等����,偽裝成合法基站的鄰區(qū),非法基站系統(tǒng)首先偵察當(dāng)前目標(biāo)區(qū)域的載頻信息�,然后不斷發(fā)射相同頻率的偽導(dǎo)頻、同步及尋呼信號(hào)����,尋呼一定范圍內(nèi)的目標(biāo)手機(jī)終端用戶,通過調(diào)整發(fā)射功率等�,讓目標(biāo)小區(qū)的手機(jī)切換或重選到GSM偽小區(qū)中。在GSM偽小區(qū)中��,通過MSC和BSC的信令模擬��,完成對(duì)目標(biāo)手機(jī)MSI (國際移動(dòng)用戶識(shí)別碼)�����、MEI (國際移動(dòng)設(shè)備識(shí)別碼)的偵碼和阻塞攻擊���、信息攻擊(如推送垃圾短信)等任務(wù)�。在完成任務(wù)后,再通過位置區(qū)更新失敗將手機(jī)退回到原來的所屬網(wǎng)絡(luò)��。
[0003]此外����,即使對(duì)于采用了雙向認(rèn)證的WCDMA移動(dòng)通信系統(tǒng),也存在一定的協(xié)議漏洞���,使得非法基站可以利用此漏洞在終端對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證之前就獲取到WCDMA移動(dòng)終端的IMSI和MEI信息�����,進(jìn)而進(jìn)行類似的信息攻擊�����。
[0004]由于在非法基站在參數(shù)上設(shè)置比較極端�,比如非法基站功率過大�����、LAC(位置區(qū)碼)的頻繁變化�、C2相關(guān)參數(shù)設(shè)置極端,附近用戶很容易重選到該仿真基站���,對(duì)網(wǎng)絡(luò)和用戶的使用造成很大影響�。非法基站的尺寸較小,可以安裝在路燈桿����、橋下等不易發(fā)覺的位置�,也可以放置在車上流動(dòng)使用,更是難以發(fā)現(xiàn)和追蹤�。
[0005]目前非法基站的檢測(cè)和定位主要有兩種辦法:
[0006]方法一:基于路測(cè)的空口信令分析。
[0007]專業(yè)網(wǎng)優(yōu)人員通過使用專用路測(cè)(Drive Test)設(shè)備在疑似非法基站區(qū)域(如用戶投訴垃圾短信和脫網(wǎng)現(xiàn)象較多的區(qū)域)進(jìn)行空口信令和參數(shù)的采集�,通過分析其空口信令的如下行為判定該區(qū)域是否存在非法基站。
[0008](I)連續(xù)2次位置更新����,I次正常位置更新,I次周期性或正常位置更新��;通常有I次是位置更新拒絕���;期間通常有2次身份識(shí)別過程�;獲取用戶的MSI和MEI信息��;如果手機(jī)用戶一直在偽小區(qū)附近����,也會(huì)出現(xiàn)手機(jī)在偽網(wǎng)脫網(wǎng)后重選到移動(dòng)網(wǎng)絡(luò)上頻繁發(fā)起正常位置更新的情況��。
[0009](2)通過一些參數(shù)可以區(qū)分���,如T3212,RXLEVACCESS_MIN, LAC, Cl (小區(qū)標(biāo)識(shí))等參數(shù)都與網(wǎng)絡(luò)上設(shè)置有很大出入��;偽小區(qū)的BCCH雖然和合法小區(qū)相同����,但LAC,Cl差別較大�����。
[0010](3)第一次位置更新拒絕�,拒絕原因是Remote not Allowed in thisLocationArea ;位置更新拒絕后,偽小區(qū)LAC不進(jìn)行記錄��,隨后以65534的LAC向網(wǎng)絡(luò)發(fā)起
位置更新���。
[0011]方法二:A接口信 令監(jiān)測(cè)分析����。[0012]由于手機(jī)從移動(dòng)到偽小區(qū)的位置更新過程是在非法基站上實(shí)現(xiàn)的,所以相關(guān)的信令消息無法在A 口呈現(xiàn)���;A 口上無法呈現(xiàn)手機(jī)從移動(dòng)到非法基站的位置更新失敗過程��,只能分析手機(jī)脫網(wǎng)后重選到網(wǎng)絡(luò)后發(fā)起的位置更新過程�����;手機(jī)在非法基站上位置更新拒絕后��,不記錄該LAC信息,隨后以系統(tǒng)默認(rèn)的LAC碼(一般是65534)向網(wǎng)絡(luò)發(fā)起周期性或正常位置更新��。所以當(dāng)監(jiān)測(cè)到有多個(gè)終端在較短時(shí)間內(nèi)先后發(fā)起從LAC = 65534的位置更新�,可以認(rèn)為這些終端所在區(qū)域受到了非法基站攻擊。
[0013]但這兩種方法都存在一定的缺陷:
[0014]方法一(路測(cè))的缺陷:1)路測(cè)成本高���、人力有限��,難以實(shí)現(xiàn)對(duì)全網(wǎng)�����、全天���、實(shí)時(shí)的測(cè)試���,僅能對(duì)重點(diǎn)區(qū)域或在出現(xiàn)用戶投訴等疑似現(xiàn)象后才能進(jìn)行;2)對(duì)固定布放的非法基站比較有效���,但無法跟蹤移動(dòng)狀態(tài)下的非法基站�,等了解到用戶投訴或指標(biāo)異常時(shí)�,非法基站已經(jīng)離開該區(qū)域,甚至無法對(duì)是否出現(xiàn)非法基站攻擊進(jìn)行確認(rèn)�,更無法定位出非法基站位置。
[0015]方法二(A 口信令監(jiān)測(cè))的缺陷:1)不是所有的從LAC = 65534到合法小區(qū)的位置更新都是從偽小區(qū)脫網(wǎng)后發(fā)起的��;2)通過A 口信令監(jiān)測(cè)發(fā)現(xiàn)非法基站需要使用周邊小區(qū)的連續(xù)趨勢(shì)才可定位和判斷���,和偽小區(qū)周邊的人流量有很大關(guān)系�;3)A 口缺乏被攻擊手機(jī)的準(zhǔn)確位置(僅能判斷出終端所處實(shí)際LAC區(qū)���,范圍太大)�����,難以實(shí)現(xiàn)精確定位�。
【發(fā)明內(nèi)容】
[0016]有鑒于此,本發(fā)明的目的是解決非法基站攻擊的快速實(shí)時(shí)檢測(cè)和定位�����,尤其是針對(duì)移動(dòng)狀態(tài)下的非法基站攻擊��,提出一種利用用戶終端進(jìn)行非法基站實(shí)時(shí)檢測(cè)和精確定位的方法���,有效實(shí)現(xiàn)非法基站(尤其是移動(dòng)狀態(tài)下的非法基站)的快速��、實(shí)時(shí)檢測(cè)和精確定位��。
[0017]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0018]一種測(cè)試終端和測(cè)試服務(wù)器之間的數(shù)據(jù)通信方法��,包括:
[0019]步驟(I):利用在終端上安裝的非法基站一級(jí)預(yù)警檢測(cè)軟件(或插件)監(jiān)測(cè)用戶使用終端的基本網(wǎng)絡(luò)參數(shù)(位置區(qū)碼(LAC),小區(qū)標(biāo)識(shí)(Cl)��,場(chǎng)強(qiáng)等)的變化和短信行為�����,基于非法基站的特征信息組合在該終端上進(jìn)行初步預(yù)警和定位�;
[0020]步驟(2):判斷預(yù)警成立后,將相關(guān)信息傳遞給遠(yuǎn)程的中央處理單元�;
[0021]步驟(3):中央處理單元利用多個(gè)終端的上報(bào)信息進(jìn)行二次綜合報(bào)警分析��,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置���,在判定報(bào)警成立后進(jìn)行實(shí)時(shí)報(bào)警。
[0022]進(jìn)一步�,所述步驟(I)為初步預(yù)警和定位,具體包括:
[0023](Ia)判定網(wǎng)絡(luò)基本參數(shù)的變化以及短信/彩信收發(fā)行為是否符合各預(yù)警特征條件(每個(gè)特征條件可預(yù)定義一個(gè)預(yù)警可信度權(quán)重���,取值0-1);
[0024](Ib)根據(jù)預(yù)定義時(shí)間窗T_atk2 (大于預(yù)警時(shí)間窗T_atk)內(nèi)所符合的特征條件數(shù)量和內(nèi)容�����,將符合的各特征條件的可信度權(quán)重相加�,計(jì)算得到當(dāng)前總的預(yù)警可信度等級(jí)��;
[0025](Ic)如果總的預(yù)警可信度等級(jí)大于一個(gè)設(shè)定門限��,則判定為一次非法基站入侵預(yù)
m.1=I �,
[0026](Id)在用戶GPS開關(guān)打開情況下,記錄當(dāng)前用戶所在位置的GPS經(jīng)緯度信息�;
[0027](Ie)將本次預(yù)警的時(shí)間窗T_atk內(nèi)的LAC連續(xù)變化過程中的首尾兩對(duì)LAC/CI分別定義為“攻擊前LAC/CI ”和“攻擊后LAC/CI ”,其他為“攻擊中LAC/CI ”���。
[0028]進(jìn)一步���,所述步驟(3)為二次綜合報(bào)警分析���,具體包括:
[0029](3a)在一個(gè)預(yù)定義的時(shí)間窗T_alarm內(nèi),中央處理單元收到的一級(jí)預(yù)警信息數(shù)量超過一個(gè)預(yù)定義的門限后���,啟動(dòng)綜合分析�����;
[0030](3b)中央處理單元按照用戶預(yù)警信息中攜帶的攻擊前LAC碼(或LAC/CI)對(duì)用戶預(yù)警進(jìn)行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預(yù)警歸為一組)�����;
[0031](3c)對(duì)歸為一組的預(yù)警信息進(jìn)行分析�,判斷是否滿足各報(bào)警特征條件(對(duì)每個(gè)特征條件可預(yù)定義一個(gè)報(bào)警可信度權(quán)重���,取值0-1);
[0032](3d)根據(jù)預(yù)設(shè)時(shí)間窗T_alarm內(nèi)所符合的特征條件數(shù)量和內(nèi)容,將符合的各特征條件的報(bào)警可信度權(quán)重相加�����,計(jì)算得到當(dāng)前總的報(bào)警可信度等級(jí);
[0033](3e)如果總的報(bào)警可信度等級(jí)大于一個(gè)設(shè)定門限����,則判定為一次非法基站入侵報(bào)
m.1=I ,
[0034](3f)將該組內(nèi)各用戶上報(bào)的Cl的經(jīng)緯度或GPS經(jīng)緯度信息���,計(jì)算其幾何中心位置��,即作為本次非法基站攻擊的非法基站位置�����。
[0035]進(jìn)一步�,所述步驟(Ia)中的各預(yù)警特征條件具體包括:
[0036](Ial) LAC在預(yù)警時(shí)間窗T_atk(窗長(zhǎng)為預(yù)定義��,如30秒)內(nèi)連續(xù)發(fā)生至少2次變化����;
[0037](la2) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中,其首尾兩次LAC相同(即 LAC_a = LAC_c)�����;
[0038](la3) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�����,有LAC屬于預(yù)定義的LAC黑名單中的特殊值;
[0039](la4) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�,有Cl屬于預(yù)定義的Cl黑名單中的特殊值;
[0040](la5)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)變化(如5秒��,可預(yù)定義)超過預(yù)定義門限(如50dBm)�����;
[0041](la6)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)(如5秒���,可預(yù)定義)平均值超過設(shè)定門限(如_40dBm)�;
[0042](la7)在該時(shí)間窗T_atk內(nèi)發(fā)生脫網(wǎng)行為��;
[0043](la8)在T_atk時(shí)間窗開始時(shí)刻之后的時(shí)間窗T_atk2范圍內(nèi)�,收到短信。
[0044]進(jìn)一步�,所述步驟(2)中的相關(guān)預(yù)警信息至少包括:
[0045]國際移動(dòng)用戶識(shí)別碼(MSI),國際移動(dòng)設(shè)備識(shí)別碼(MEI)���,預(yù)警發(fā)生日期����,時(shí)間窗T_atk的絕對(duì)起始時(shí)間��,攻擊前LAC/CI���,攻擊中LAC/CI����,攻擊后LAC/CI����,T_atk2時(shí)間窗內(nèi)的所有接收到的短信的短信發(fā)送端號(hào)碼,所符合的預(yù)警特征條件的編號(hào)��,經(jīng)緯度��,總預(yù)警可信度等級(jí)等���。
[0046]進(jìn)一步�,所述步驟(3c)中的報(bào)警特征條件具體包括:
[0047](3cl)組內(nèi)各用戶中����,其攻擊中LAC不屬于本地LAC的數(shù)量大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例;
[0048](3c2)組內(nèi)各用戶中�����,具有相同的攻擊中LAC的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例;[0049](3c3)組內(nèi)各用戶中�����,具有相同的攻擊中Cl的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例���;
[0050](3c4)該組用戶中收到來自相同發(fā)送號(hào)碼的短信數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例����。
[0051]以下將通過具體實(shí)施例結(jié)合附圖對(duì)本發(fā)明的目的及特性進(jìn)行詳細(xì)描述�����,這些具體實(shí)施例是說明性的�,不具有限制性��。
【專利附圖】
【附圖說明】
[0052]圖1為本發(fā)明的非法基站入侵的快速檢測(cè)和定位方法的結(jié)構(gòu)圖��;
[0053]圖2為本發(fā)明的非法基站入侵的快速檢測(cè)和定位方法的總體步驟流程圖�;
[0054]圖3為本發(fā)明的非法基站入侵的快速檢測(cè)和定位方法中用戶終端一級(jí)預(yù)警檢測(cè)軟件(插件)的結(jié)構(gòu)圖;
[0055]圖4為本發(fā)明的非法基站入侵的快速檢測(cè)和定位方法中的一級(jí)預(yù)警的詳細(xì)步驟流程圖�����;
[0056]圖5為本發(fā)明的非法基站入侵的快速檢測(cè)和定位方法中的二級(jí)報(bào)警的詳細(xì)步驟流程圖。
[0057]附圖中���,各標(biāo)號(hào)所代表的部件名稱如下:
[0058]100、中央處理單元��,200���、用戶終端�。
【具體實(shí)施方式】
[0059]為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下參照附圖并舉實(shí)施例,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明����。
[0060]如圖1所示,本發(fā)明中的非法基站入侵檢測(cè)與定位系統(tǒng)包括中央處理單元100和與之對(duì)應(yīng)并進(jìn)行信息交互的多個(gè)用戶終端200���,用戶終端200中包括第I用戶終端��、第2用
戶終端�����、第3用戶終端......第N用戶終端����。圖1中,用戶終端為N個(gè)���,其中NS 1�,其數(shù)量
根據(jù)系統(tǒng)部署的需要而定���,圖1所示僅作為說明之用���,不用于限定本
【發(fā)明內(nèi)容】
。
[0061]圖1中���,用戶終端200通過采集該終端上的網(wǎng)絡(luò)參數(shù)和業(yè)務(wù)收發(fā)信息并基于預(yù)設(shè)的特征條件進(jìn)行非法基站入侵預(yù)警的判斷�����,并將相關(guān)預(yù)警信息發(fā)送給遠(yuǎn)端的中央處理單元100���,中央處理單元100對(duì)用戶終端200所收集來的預(yù)警信息進(jìn)行接收并綜合處理分析��,以判定是否發(fā)生非法基站入侵���,并在判定報(bào)警成立后對(duì)非法基站進(jìn)行定位和報(bào)警。
[0062]如圖2所示�����,本發(fā)明的非法基站入侵檢測(cè)與定位方法實(shí)施例步驟包括:
[0063]步驟(I):利用在用戶終端上安裝的非法基站一級(jí)預(yù)警檢測(cè)軟件(或插件)監(jiān)測(cè)用戶使用終端時(shí)的基本網(wǎng)絡(luò)參數(shù)(位置區(qū)碼(LAC)��,小區(qū)標(biāo)識(shí)(Cl)���,場(chǎng)強(qiáng)等)的變化和短信/彩信收發(fā)行為,基于非法基站的特征信息組合在該終端上進(jìn)行初步預(yù)警和定位���;
[0064]步驟(2):判斷預(yù)警成立后�,用戶終端將相關(guān)信息傳遞給遠(yuǎn)程的中央處理單元����;
[0065]步驟(3):中央處理單元利用多個(gè)終端的上報(bào)信息進(jìn)行二次綜合報(bào)警分析,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置�,在判定報(bào)警成立后進(jìn)行實(shí)時(shí)報(bào)警���。
[0066]圖2為用戶終端上安裝的非法基站一級(jí)預(yù)警檢測(cè)軟件的結(jié)構(gòu)圖,主要包括:監(jiān)測(cè)模塊201���,預(yù)警特征條件判斷模塊202�����,預(yù)警判決模塊203���,上傳模塊204,下載模塊205�,存儲(chǔ)模塊206和位置信息采集模塊207。
[0067]現(xiàn)結(jié)合圖3和圖4��,對(duì)上述步驟(I)即一級(jí)預(yù)警算法的具體實(shí)現(xiàn)進(jìn)行進(jìn)一步闡述��。該步驟(I)進(jìn)一步包括以下步驟:
[0068]步驟(Ia):監(jiān)測(cè)模塊201實(shí)時(shí)采集的網(wǎng)絡(luò)基本參數(shù)(LAC��,Cl��,信號(hào)強(qiáng)度等)和短彩信收發(fā)行為并傳遞給預(yù)警特征條件判斷模塊202����。預(yù)警特征條件判斷模塊202基于預(yù)設(shè)的各預(yù)警特征條件進(jìn)行逐個(gè)判斷����,判斷當(dāng)前參數(shù)和業(yè)務(wù)行為特征是否滿足各預(yù)警特征條件���,并將判斷結(jié)果傳遞給預(yù)警判決模塊203�����。
[0069]其中下載模塊205會(huì)根據(jù)一定的觸發(fā)條件從中央處理單元100下載進(jìn)行預(yù)警特征條件判斷和預(yù)警判決所需的各種參數(shù)和設(shè)置(例如LAC黑名單�����、各預(yù)警特征條件的可信度權(quán)重等),并存儲(chǔ)在存儲(chǔ)模塊206中�,以便預(yù)警特征條件判斷模塊202和預(yù)警判決模塊203調(diào)用。
[0070]步驟(Ib):預(yù)警判決模塊203根據(jù)預(yù)定義時(shí)間窗T_atk2 ( 一般應(yīng)大于預(yù)警時(shí)間窗T_atk���,如I分鐘)內(nèi)所符合的特征條件數(shù)量和內(nèi)容���,將符合的各特征條件按照預(yù)設(shè)的可信度權(quán)重相加,計(jì)算得到當(dāng)前總的預(yù)警可信度等級(jí)���;
[0071]步驟(Ic):如果總的預(yù)警可信度等級(jí)大于一個(gè)設(shè)定門限���,則預(yù)警判決模塊203判定為一次非法基站入侵預(yù)警���,并通知位置信息采集模塊207 ;
[0072]步驟(Id):在用戶GPS開關(guān)打開情況下���,位置信息采集模塊207記錄當(dāng)前用戶所在位置的GPS經(jīng)緯度信息并傳遞給預(yù)警判決模塊203 �;
[0073]步驟(Ie):預(yù)警判決模塊203將本次預(yù)警的時(shí)間窗T_atk內(nèi)的LAC連續(xù)變化過程中的首尾兩對(duì)[AC/CI分別定義為“攻擊前LAC/CI ”和“攻擊后LAC/CI ”��,其他為“攻擊中LAC/CI” �;同時(shí)將本次預(yù)警的相關(guān)預(yù)警信息傳遞給上傳模塊204。
[0074]其中�,步驟(Ia)中所述的預(yù)警特征條件包括以下內(nèi)容:
[0075]a) LAC在某時(shí)間窗T_atk(窗長(zhǎng)為預(yù)定義,如30秒)內(nèi)連續(xù)發(fā)生至少2次變化���;
[0076]b) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�,其首尾兩次LAC相同(即 LAC_a = LAC_c)����;
[0077]c) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中,有LAC屬于預(yù)定義的LAC黑名單中的特殊值�����;
[0078]d) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中,有Cl屬于預(yù)定義的Cl黑名單中的特殊值�;
[0079]e)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)變化(如5秒,可預(yù)定義)超過預(yù)定義門限(如50dBm)��;
[0080]f)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)(如5秒��,可預(yù)定義)平均值超過設(shè)定門限(如_40dBm)����;
[0081]g)在該時(shí)間窗T_atk內(nèi)發(fā)生脫網(wǎng)行為;
[0082]h)在T_atk時(shí)間窗開始時(shí)刻之后的時(shí)間窗T_atk2(預(yù)定義�����,大于T_atk)范圍內(nèi)��,收到短信�;
[0083]每個(gè)條件都有一個(gè)由中央處理單元100預(yù)定義的可信度權(quán)重�����。
[0084]其中����,步驟(Ie)中的所述“相關(guān)預(yù)警信息”至少包括以下內(nèi)容:
[0085]國際移動(dòng)用戶識(shí)別碼(MSI)��,國際移動(dòng)設(shè)備識(shí)別碼(MEI)�,預(yù)警發(fā)生日期�,時(shí)間窗T_atk的絕對(duì)起始時(shí)間,攻擊前LAC/CI���,攻擊中LAC/CI���,攻擊后LAC/CI,T_atk2時(shí)間窗內(nèi)的所有接收到的短信的短信發(fā)送端號(hào)碼����,所符合的預(yù)警特征條件的編號(hào),經(jīng)緯度�����,總預(yù)警可信度等級(jí)等��。
[0086]步驟(2)中����,上傳模塊204將相關(guān)預(yù)警信息通過常規(guī)的各類數(shù)據(jù)傳輸通道(包括2G/3G/ffiFi等各種無線傳輸方式)傳遞給中央處理單元100��。
[0087]現(xiàn)結(jié)合圖5�����,對(duì)上述步驟(3)即二級(jí)綜合報(bào)警算法的具體實(shí)現(xiàn)進(jìn)行進(jìn)一步闡述��。該步驟(3)進(jìn)一步包括以下步驟:
[0088](3a)在一個(gè)預(yù)定義的時(shí)間窗T_alarm內(nèi)�����,中央處理單元100收到預(yù)定義數(shù)量的一級(jí)預(yù)警信息后�,觸發(fā)綜合分析��;
[0089](3b)中央處理單元100按照用戶預(yù)警信息中攜帶的攻擊前LAC碼(或LAC/CI)對(duì)用戶預(yù)警進(jìn)行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預(yù)警歸為一組)����;
[0090](3c)對(duì)歸為一組的預(yù)警信息進(jìn)行分析,判斷是否滿足如下報(bào)警特征條件(對(duì)每個(gè)特征條件可預(yù)定義一個(gè)報(bào)警可信度權(quán)重�����,取值0-1):
[0091]a)組內(nèi)各用戶中����,其攻擊中LAC不屬于本地LAC的數(shù)量大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例;
[0092]b)組內(nèi)各用戶中���,具有相同的攻擊中LAC的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例���;
[0093]c)組內(nèi)各用戶中,具有相同的攻擊中Cl的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例�����;
[0094]d)該組用戶中收到來自相同發(fā)送號(hào)碼的短信數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例�;
[0095](3d)根據(jù)T_alarm時(shí)間窗內(nèi)所符合的特征條件數(shù)量和內(nèi)容,將符合的各特征條件的報(bào)警可信度權(quán)重相加����,計(jì)算得到當(dāng)前總的報(bào)警可信度等級(jí);
[0096](3e)如果總的報(bào)警可信度等級(jí)大于設(shè)定門限���,則判定為一次非法基站報(bào)警��;
[0097](3f)將該組內(nèi)各用戶上報(bào)的Cl的經(jīng)緯度或GPS經(jīng)緯度信息�����,計(jì)算其幾何中心位置�,即作為本次非法基站攻擊的非法基站位置。
[0098]本發(fā)明提出的非法基站實(shí)時(shí)檢測(cè)與定位方法通過一級(jí)預(yù)警分析和二級(jí)綜合報(bào)警分析相結(jié)合�����,提高檢測(cè)的準(zhǔn)確率�;借助用戶GPS開關(guān)打開提供的GPS經(jīng)緯度信息有效避免A口信令監(jiān)測(cè)方法的誤判率高、無法精確定位的問題����,且本發(fā)明實(shí)現(xiàn)簡(jiǎn)便,可在大量普通終端上部署����,避免了路測(cè)方法較高的實(shí)施成本、較差的時(shí)效性���、檢測(cè)范圍有限等問題����。
[0099]以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改�����、等同替換�����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)��。
[0100]本發(fā)明申請(qǐng)書中未作詳細(xì)描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知的現(xiàn)有技術(shù)��。
【權(quán)利要求】
1.一種非法基站入侵的快速檢測(cè)與定位方法�����,其特征在于包括步驟如下: (1)利用在手機(jī)上安裝的非法基站一級(jí)預(yù)警檢測(cè)軟件(或插件)監(jiān)測(cè)用戶使用手機(jī)的基本網(wǎng)絡(luò)參數(shù)(位置區(qū)碼(LAC)���,小區(qū)標(biāo)識(shí)(Cl)��,場(chǎng)強(qiáng)等)的變化和短信/彩信收發(fā)行為�����,基于非法基站的特征信息組合在該手機(jī)上進(jìn)行初步預(yù)警和定位���; (2)判斷預(yù)警成立后,將相關(guān)預(yù)警信息傳遞給遠(yuǎn)程的中央處理單元�; (3)中央處理單元利用多個(gè)終端的上報(bào)信息進(jìn)行二次綜合報(bào)警分析,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置�����,在判定報(bào)警成立后進(jìn)行實(shí)時(shí)報(bào)警�����。
2.根據(jù)權(quán)利要求1所述的一種非法基站入侵的快速檢測(cè)與定位方法�,其特征在于所述步驟(1)包括: (Ia)判定網(wǎng)絡(luò)基本參數(shù)的變化以及短信/彩信收發(fā)行為是否符合各預(yù)警特征條件(每個(gè)特征條件可預(yù)定義一個(gè)預(yù)警可信度權(quán)重,取值O~I); (Ib)根據(jù)預(yù)定義時(shí)間窗T_atk2(大于預(yù)警時(shí)間窗1'_&丨10內(nèi)所符合的特征條件數(shù)量和內(nèi)容����,將符合的各特征條件的可信度權(quán)重相加���,計(jì)算得到當(dāng)前總的預(yù)警可信度等級(jí); (Ic)如果總的預(yù)警 可信度等級(jí)大于一個(gè)設(shè)定門限��,則判定為一次非法基站入侵預(yù)警�; (Id)在用戶GPS開關(guān)打開情況下�,記錄當(dāng)前用戶所在位置的GPS經(jīng)緯度信息; (Ie)將本次預(yù)警的時(shí)間窗T_atk內(nèi)的LAC連續(xù)變化過程中的首尾兩對(duì)LAC/CI分別定義為攻擊前LAC/CI和攻擊后LAC/CI��,其他為攻擊中LAC/CI����。
3.根據(jù)權(quán)利要求1所述的一種非法基站入侵的快速檢測(cè)與定位方法,其特征在于所述步驟⑶包括: (3a)在一個(gè)預(yù)定義的時(shí)間窗T_alarm內(nèi)���,中央處理單元收到的一級(jí)預(yù)警信息數(shù)量超過一個(gè)預(yù)定義的門限后��,啟動(dòng)綜合分析���; (3b)中央處理單元按照用戶預(yù)警信息中攜帶的攻擊前LAC碼(或LAC/CI)對(duì)用戶預(yù)警進(jìn)行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預(yù)警歸為一組); (3c)對(duì)歸為一組的預(yù)警信息進(jìn)行分析���,判斷是否滿足各報(bào)警特征條件(對(duì)每個(gè)特征條件可預(yù)定義一個(gè)報(bào)警可信度權(quán)重���,取值0-1); (3d)根據(jù)預(yù)設(shè)時(shí)間窗T_alarm內(nèi)所符合的特征條件數(shù)量和內(nèi)容�,將符合的各特征條件的報(bào)警可信度權(quán)重相加�,計(jì)算得到當(dāng)前總的報(bào)警可信度等級(jí); (3e)如果總的報(bào)警可信度等級(jí)大于一個(gè)設(shè)定門限����,則判定為一次非法基站入侵報(bào)警;(3f)將該組內(nèi)各用戶上報(bào)的Cl的經(jīng)緯度或GPS經(jīng)緯度信息��,計(jì)算其幾何中心位置���,SP作為本次非法基站攻擊的非法基站位置���。
4.根據(jù)權(quán)利要求2所述的一種非法基站入侵的快速檢測(cè)與定位方法,其特征在于所述步驟(Ia)中的各預(yù)警特征條件包括: (Ial)LAC在預(yù)警時(shí)間窗T_atk(窗長(zhǎng)為預(yù)定義�����,如30秒)內(nèi)連續(xù)發(fā)生至少2次變化����; (la2)LAC的上述連續(xù)多次變化中,其首尾兩次LAC相同����; (la3)LAC的上述連續(xù)多次變化中��,有LAC屬于預(yù)定義的LAC黑名單中的特殊值�; (la4)LAC的上述連續(xù)多次變化中�,有Cl屬于預(yù)定義的Cl黑名單中的特殊值; (la5)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)變化(如5秒,可預(yù)定義)超過預(yù)定義門限(如50dBm)�; (la6)信號(hào)強(qiáng)度(RxLev)在上述時(shí)間窗內(nèi)的短時(shí)(如5秒,可預(yù)定義)平均值超過設(shè)定門限(如_40dBm)���; (la7)在該時(shí)間窗T_atk內(nèi)發(fā)生脫網(wǎng)行為; (IaS)在T_atk時(shí)間窗開始時(shí)刻之后的時(shí)間窗T_atk2范圍內(nèi)���,收到短信��。
5.根據(jù)權(quán)利要求1所述的一種非法基站入侵的快速檢測(cè)與定位方法�,其特征在于所述步驟(2)中的相關(guān)預(yù)警信息至少包括: 國際移動(dòng)用戶識(shí)別碼(MSI)����,國際移動(dòng)設(shè)備識(shí)別碼(MEI),預(yù)警發(fā)生日期����,時(shí)間窗乙atk的絕對(duì)起始時(shí)間��,攻擊前LAC/CI���,攻擊中LAC/CI,攻擊后LAC/CI����,T_atk2時(shí)間窗內(nèi)的所有接收到的短信的短信發(fā)送端號(hào)碼,所符合的預(yù)警特征條件的編號(hào)�����,經(jīng)緯度�����,總預(yù)警可信度等級(jí)等����。
6.根據(jù)權(quán)利要求1所述的一種非法基站入侵的快速檢測(cè)與定位方法,其特征在于所述步驟(2)中的將相關(guān)預(yù)警信息傳遞給遠(yuǎn)程的中央處理單元的傳遞方式可以為手機(jī)上任意可訪問英特網(wǎng)的數(shù)據(jù)傳輸通道��。
7.根據(jù)權(quán)利要求3所述的一種非法基站入侵的快速時(shí)檢測(cè)與定位方法�,其特征在于所述步驟(3c)中的報(bào)警特征條件包括: (3cl)組內(nèi)各用戶中,其攻擊中LAC不屬于本地LAC的數(shù)量大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例��; (3c2)組內(nèi)各用戶中, 具有相同的攻擊中LAC的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例���; (3c3)組內(nèi)各用戶中�,具有相同的攻擊中Cl的用戶數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例���; (3c4)該組用戶中收到來自相同發(fā)送號(hào)碼的短信數(shù)大于設(shè)定門限或組內(nèi)用戶數(shù)的設(shè)定比例�����。
【文檔編號(hào)】H04W88/08GK103648096SQ201310688635
【公開日】2014年3月19日 申請(qǐng)日期:2013年12月11日 優(yōu)先權(quán)日:2013年12月11日
【發(fā)明者】李克, 紀(jì)占林, 宋曉勤, 汪淼 申請(qǐng)人:北京聯(lián)合大學(xué)