偽基站捕獲追蹤方法研究及應用

付曉東 李慧蓮 肖慧橋 吳凱洲

【摘 要】研究偽基站運行原理，利用核心網平臺信令數(shù)據(jù)分析，定位偽基站位置并進行追蹤，通過這種技術創(chuàng)新手段為公安機關、無線電管理委員會等政府部門提供大量有價值的線索。此外，還通過優(yōu)化手段降低用戶占用偽基站的機率，抑制偽基站對用戶的影響，給登錄過偽基站網絡的用戶及時發(fā)送短信防止用戶被騙，大大降低了偽基站對用戶的影響。

【關鍵詞】偽基站捕獲 信令數(shù)據(jù)分析 位置更新信令

doi：10.3969/j.issn.1006-1010.2016.06.011 中圖分類號：TN929.5 文獻標識碼：A 文章編號：1006-1010（2016）06-0047-06

引用格式：付曉東，李慧蓮，肖慧橋，等. 偽基站捕獲追蹤方法研究及應用[J]. 移動通信， 2016，40（6）： 47-52.

1 引言

當前大量偽基站發(fā)送垃圾短信給手機用戶，這在社會上引發(fā)了廣泛關注。偽基站強行向不特定人群推送賭博、招嫖、銷售假冒偽劣商品的垃圾短信，廣大手機用戶深受其害。偽基站嚴重干擾了運營商網絡，導致用戶手機脫離正常網絡，影響手機的正常通信，擾亂國家通訊秩序和社會公共秩序。2014年2月至6月，由中央網信辦牽頭，中宣部、工信部等9部門在全國范圍內部署開展打擊偽基站的專項行動，中國聯(lián)通成立了以集團公司副總經理為組長的專項整治領導小組。廣東聯(lián)通通過技術創(chuàng)新，利用核心網優(yōu)化平臺的業(yè)務數(shù)據(jù)，分析出偽基站附近的小區(qū)，以小區(qū)維度統(tǒng)計用戶數(shù)，根據(jù)用戶數(shù)變化情況可方便地定位偽基站的出現(xiàn)和消失，從而可方便地實現(xiàn)對偽基站的實時監(jiān)控和追蹤，為公安機關、無線電管理委員會等政府部門提供有價值的線索。

2 偽基站捕獲追蹤方法

分析偽基站的運行原理，提出了通過分析用戶前后兩次正常位置更新的LAC（位置區(qū)編碼）來判定用戶是否登錄過偽基站網絡。如果兩次的LAC相同且第一次位置更新成功，說明用戶登錄到過其他網絡，那么第二次登錄的小區(qū)就是偽基站附近的小區(qū)，即這個小區(qū)就是偽基站的位置。以小區(qū)維度統(tǒng)計用戶數(shù)，根據(jù)用戶數(shù)變化情況可方便地定位偽基站的出現(xiàn)和消失，從而可方便地實現(xiàn)對偽基站違法活動的實時監(jiān)控和追蹤，可準確定位疑似偽基站及作案人員的位置、活動軌跡，這是一種低成本、高時效的分析方法。

2.1 偽基站的通信原理

偽基站通過模擬運營商基站發(fā)送強大信號，偽基站的廣播網號、廣播頻率和現(xiàn)網相同，位置區(qū)設置和現(xiàn)網不同。由于其信號強度遠強于現(xiàn)網，當手機檢測到該偽基站的信號且信號很強時，用戶將與偽基站建立通信，交互信令。由于偽基站位置區(qū)LAC與原基站位置區(qū)LAC不同，手機就會觸發(fā)位置更新流程。偽基站根據(jù)GSM信令流程在信令中發(fā)送IMSI（國際移動用戶識別號）請求消息給手機，手機返回IMSI給偽基站，偽基站收到IMSI后，尋呼該用戶并發(fā)送短信。之后偽基站通過更換LAC，手機再次觸發(fā)位置更新流程，這次偽基站識別到用戶已經發(fā)送過短信就拒絕位置更新，拒絕原因值有12（Location Area Not Allowed，位置區(qū)不允許）、13（Roaming Not Allowed in This Location Area，不允許在本位置區(qū)漫游）、15（No Suitable Cells in Location Area，位置區(qū)內無合適小區(qū)），位置更新拒絕之后手機記錄偽基站的LAC到禁止的LAC列表，于是手機不再選擇偽基站網絡，再通過位置更新選回到正常網絡。

具體的過程為：手機重選到偽基站小區(qū)→向偽基站發(fā)起位置更新→偽基站位置更新成功→偽基站尋呼手機并向手機發(fā)送短信→偽基站更改位置區(qū)配置→手機發(fā)現(xiàn)LAC變更再次向偽基站發(fā)起位置更新→偽基站識別出該用戶發(fā)送過短信，對用戶的位置更新拒絕→手機重新進行運營商正常網絡小區(qū)重選→在運營商正常網絡中位置更新成功。此過程一般需要25s，在此期間會造成用戶無法主被叫，這將嚴重影響用戶的業(yè)務感知。

2.2 定位偽基站的方法

根據(jù)GSM移動性管理流程，用戶從一個LAC移動到另外一個LAC時，必須發(fā)起位置更新，位置更新類型為正常，即正常位置更新（其他還有周期性位置更新，定時器超時發(fā)起的周期性位置更新，手機開機發(fā)起的附著位置更新），如果LAC不發(fā)生變化，只可能發(fā)起周期性位置更新或者附著位置更新。

根據(jù)上述偽基站的運行原理，如果用戶第一次在某個LAC進行了位置更新且成功，在LAC未發(fā)生變化時不應該再在該LAC發(fā)起正常位置更新。也就是說，如果兩次位置更新的LAC相同且第一次位置更新成功，說明用戶登錄到其他網絡中過。根據(jù)當前國內各運營商之間互不漫游的情況，用戶不可能登錄到中國其他非歸屬運營商的網絡，因此用戶只可能是在偽基站網絡中登錄過。

如圖1所示，用戶某時刻在LAC1進行了正常位置更新且成功，過一段時間用戶又在LAC1進行正常位置更新，期間沒有在該運營商的其他位置區(qū)更新過。在兩次位置更新期間LAC并沒有發(fā)生變化，都是LAC1，發(fā)生這種情況只可能是用戶這期間登錄了其他網絡導致LAC發(fā)生了變化。而LAC發(fā)生變化有兩種情況，一是用戶登錄到了偽基站網絡，如圖1中偽LAC1，由于要騙取用戶登錄到偽基站，偽基站配置的LAC與當前運營商在該區(qū)域配置的LAC一定不相同，圖1中偽LAC1與LAC1一定不能相同。二是用戶手動選擇網絡登錄到其他運營商但登錄失敗需要再次回到歸屬運營商正常網絡，此種情況極少，可以通過統(tǒng)計次數(shù)排除在外。

根據(jù)上述原理，如果用戶A已經在LAC1進行正常位置更新且成功，接著下一次又在LAC1發(fā)起正常位置更新，說明用戶A這期間在偽基站網絡的偽LAC1更新過（正常位置更新只能是位置區(qū)發(fā)生變更時才發(fā)生），用戶A第二次在LAC1發(fā)生正常位置更新的小區(qū)就是偽基站附近的小區(qū)，即這個小區(qū)就是偽基站的位置。以小區(qū)維度統(tǒng)計這種用戶數(shù)，根據(jù)用戶數(shù)變化情況可方便地定位偽基站的出現(xiàn)和消失，從而可方便地實現(xiàn)對偽基站違法活動的實時監(jiān)控和追蹤，可準確定位疑似偽基站及作案人員的位置、活動軌跡。

2.3 方法的實現(xiàn)步驟

當前廣東聯(lián)通都采集了A接口的信令，這其中就包含了位置更新的信令記錄，利用這些信令記錄即可分析偽基站。

（1）獲取用戶兩次位置更新LAC相同的記錄

位置更新記錄一般包含時間、IMSI（根據(jù)TMSI關聯(lián)回填）、位置區(qū)、小區(qū)等信息，對這些記錄進行分析，條件為上一次位置更新類型為正常且成功，該次位置更新類型為正常，該條記錄的位置區(qū)和上一條記錄的位置區(qū)相同。兩次位置更新LAC相同的記錄如表1所示。

需要特別說明的是，表1中“上一次位置更新的LAC”這一列的LAC不能跟用戶終端本次位置更新時上報的OLD LAC（手機里存儲的上一次LAC，隨同本次位置更新消息上報）混淆，這是用戶終端在本次正常的位置更新之前的一次正常的位置更新而且是成功的位置區(qū)，是統(tǒng)計分析用戶的記錄信息得到并填入表1中的。

（2）統(tǒng)計各小區(qū)的用戶數(shù)和環(huán)比增長率

針對表1，以小區(qū)為維度按時段（比如5分鐘粒度）對不同用戶（由于有部分手機不滿足規(guī)范要求，不停向偽基站網絡發(fā)起更新，失敗后又回到正常網絡發(fā)起位置更新，因此為了更加準確，對用戶進行去重處理）進行統(tǒng)計，再得到小區(qū)某時段發(fā)生這種位置更新的用戶數(shù)，按每5分鐘統(tǒng)計相對前一時段的環(huán)比增長率。兩次位置更新LAC相同的記錄如表2所示：

（3）得到偽基站附近小區(qū)的出現(xiàn)和消失時間

根據(jù)表2的數(shù)據(jù)，可設定判定規(guī)則，如果某小區(qū)的用戶數(shù)大于等于一定門限，同時環(huán)比增長率突然增大，則說明附近出現(xiàn)了偽基站；如果某小區(qū)的用戶數(shù)小于等于一定門限，同時環(huán)比增長率突然降低，說明附近的偽基站消失（關閉）；如果次數(shù)持續(xù)高位并且沒有降低，說明偽基站沒有消失。

通過篩選每5分鐘用戶數(shù)大于10的小區(qū)，再篩選環(huán)比增長率大于等于3以及用戶數(shù)小于10的小區(qū)，最后篩選環(huán)比增長率小于等于-0.6的小區(qū)，得到偽基站附近小區(qū)及其出現(xiàn)和消失的時間，如表3所示：

根據(jù)表3的統(tǒng)計結果可以判斷出偽基站的位置就在這小區(qū)附近，需要說明的是用戶數(shù)門限和環(huán)比增長率門限可根據(jù)經驗設定。

根據(jù)上面的方法，利用位置更新信令記錄數(shù)據(jù)，對編號為20857的LAC進行了分析，其中在2014年8月1日9：00：00這一時刻該LAC附近有處于活動狀態(tài)的偽基站的小區(qū)，如表4所示。

得到上述信息后，利用目前國內使用最廣泛的偽基站偵測設備對廣州火車東站附近的偽基站進行驗證，結果在廣州火車東站出入口處，成功地偵測到了偽基站，如圖2所示：

這種偽基站的定位方法已申請發(fā)明專利并已公開。

2.4 與其他偽基站定位方法進行比較

（1）前LAC分析方法

用戶每次位置更新時都會上報手機記錄的前一次LAC，由于偽基站要讓已經接收短信的用戶回到正常網絡，通過變更LAC讓用戶再次位置更新，這次就拒絕用戶的位置更新。通常位置更新被拒絕的原因值有三種，即12、13、15，對于原因值12，手機會清除前LAC和TMSI等，因此手機上報的前一次LAC就為備用值65534；如果為原因值為13、15，則不會清除前LAC，上報的前一次LAC為偽基站的LAC。此方法就是通過統(tǒng)計小區(qū)中正常位置更新上報的前LAC為65534或者為非現(xiàn)網基站的LAC的次數(shù)多少來判定是否有偽基站。

實際上，現(xiàn)網中有很多用戶位置更新失敗后上報的前LAC都是65534，這種方法統(tǒng)計了很多沒有登錄過偽基站網絡的用戶，因此準確度低。由于需要識別現(xiàn)網疑似偽基站周圍的LAC來判定偽基站網絡的LAC，而且現(xiàn)網LAC變化帶來的基礎數(shù)據(jù)維護工作量大，因此該方法準確度低、復雜度高、維護量大。

（2）位置更新次數(shù)變化分析法

一般來說，如果偽基站出現(xiàn)，那么用戶登錄到偽基站后短時間又會回到正常網絡，因此偽基站附近的小區(qū)的正常位置更新次數(shù)就會增加。此方法就是根據(jù)小區(qū)的位置更新次數(shù)的突然增加來判定有偽基站的出現(xiàn)。

小區(qū)的位置更新次數(shù)增加，有多方面的原因。一方面是偽基站出現(xiàn)，另一方面，LAC邊界如果有小區(qū)故障，那么周邊小區(qū)也可能出現(xiàn)位置更新次數(shù)變化，人流變化也會影響小區(qū)的位置更新次數(shù)的。同時每個小區(qū)的正常位置更新次數(shù)差異大，處于LAC邊界的小區(qū)位置更新次數(shù)較多、基數(shù)大，這種情況下對于位置更新次數(shù)變化敏感度低，因此這種方法準確度也低。

（3）偽基站綁定號碼跟蹤法

通過前LAC分析法或正常位置更新次數(shù)變化等方法獲取疑似偽基站附近小區(qū)，再對小區(qū)中正常位置更新的用戶號碼進行分析，獲取放在偽基站旁的手機號碼。該號碼主要用于測試現(xiàn)網的頻率、LAC、小區(qū)等信息，該號碼隨著偽基站移動，利用號碼的活動軌跡就能追蹤偽基站。

偽基站綁定的手機號碼如果發(fā)生變化，則分析會變得困難，而且很容易被犯罪分子識破，一旦被識破，綁定的號碼就會經常變更，這樣跟蹤起來就很困難。

本文提出的判斷方法，一是判斷條件與偽基站配置的位置區(qū)無關，二是判斷條件與偽基站配置的位置更新拒絕原因值無關，三是判斷條件與現(xiàn)網LAC配置無關，該方法是一種低成本、高時效的分析方法。

3 應用實踐

3.1 全省偽基站分布及特征分析

利用偽基站捕獲追蹤系統(tǒng)對全省偽基站進行分析。從統(tǒng)計結果看，基本上每天出現(xiàn)過偽基站的小區(qū)有2217個，占全網的2.3%。特別指出，出現(xiàn)過偽基站的小區(qū)數(shù)為2217個不代表偽基站有2217個，一般一個偽基站會影響多個小區(qū)，偽基站在各地市占比分布如圖3所示：

通過對偽基站的觀察和分析，發(fā)現(xiàn)偽基站的出現(xiàn)和消失有如下特征：

（1）60%的偽基站地點較固定，基本每天都存在，如火車站、汽車站、口岸。

（2）部分偽基站只在周末或者工作日非工作時段的忙時出現(xiàn)，如商場。

（3）少部分偽基站只在某一時刻出現(xiàn)，一般在1～3小時內消失，這種為流動性偽基站。隨著國家打擊力度越來越強，流動性偽基站將會越來越多。

（4）偽基站集中在火車站、長途汽車站、大型購物中心、商場、口岸、碼頭、城中村、節(jié)假日期間的熱點場所。

掌握了上述特征，在偽基站治理和打擊行動中將會更有針對性，可大大提升打擊偽基站的效率。

3.2 應用效果

目前偽基站捕獲追蹤系統(tǒng)已在全省上線，可實時對全省偽基站進行實時監(jiān)控和追蹤，為公安機關等政府部門在深圳、汕頭、廣州等地的打擊整治偽基站專項行動提供了大量有價值的線索。專項行動已取得顯著成效，對于發(fā)現(xiàn)的偽基站，及時通過優(yōu)化手段降低用戶占用偽基站的機率，抑制偽基站對用戶的影響，同時給登錄過偽基站的用戶及時發(fā)送短信防止其被騙。在2014年的國家打擊偽基站的專項行動中，該追蹤系統(tǒng)配合公安機關等部門偵破案件6起，搗毀18個犯罪團伙，繳獲偽基站設備25套。在2015年春節(jié)兩會的專項監(jiān)控治理中，定期對全省的疑似偽基站進行篩查，并按照總部的要求，安排重點場所的現(xiàn)場測試，累計發(fā)現(xiàn)偽基站線索4個，協(xié)助警方搗毀偽基站窩點1處。

4 結束語

作為國家基礎電信運營商，中國聯(lián)通重視偽基站帶來的社會危害，積極發(fā)揮技術優(yōu)勢，配合國家有關部門，對利用偽基站實施的各類違法犯罪行為進行堅決的打擊。站在切實維護國家正常通訊秩序、維護廣大手機用戶根本利益、維護國家安全和社會穩(wěn)定的高度，認識到打擊偽基站的重要性，及時發(fā)現(xiàn)偽基站，為政府部門提供有價值的線索，積極履行國家基礎電信運營商的社會責任。

參考文獻：

[1] 韓彬杰，張建斌. GSM原理及其網絡優(yōu)化[M]. 北京： 機械工業(yè)出版社， 2009.

[2] 張威. GSM網絡優(yōu)化—原理與工程[M]. 北京： 人民郵電出版社， 2006.

[3] 3GPP TS 25.331. Radio Resource Control （RRC） Protocol Specification[S]. 2000.

[4] 張長剛，孫保紅，李猛. WCDMA無線網絡規(guī)劃原理與實踐[M]. 北京： 人民郵電出版社， 2005.

[5] 姜波. WCDMA關鍵技術詳解[M]. 北京： 人民郵電出版社， 2008.

[6] 王有為，徐志宇，夏國忠. WCDMA特殊場景覆蓋規(guī)劃與優(yōu)化[M]. 北京： 人民郵電出版社， 2011.

[7] Arunabha Ghosh， Jun Zhang， Jeffrey G Andrews， et al. LTE權威指南[M]. 李莉，孫成功，王向云，譯. 北京： 人民郵電出版社， 2012.

[8] 竇中兆，雷湘. WCDMA系統(tǒng)原理與無線網絡優(yōu)化[M]. 北京： 清華大學出版社， 2009.

[9] 程鴻雁，朱晨鳴，王太峰，等. LTE FDD網絡規(guī)劃與設計[M]. 北京： 人民郵電出版社， 2013.

[10] 3GPP TR 21.905. 3rd Generation Partnership Project； Technical Specification Group Services and System Aspects； Vocabulary for 3GPP Specifications （Release 6）[S]. 2004.★