基于三維聯合檢測法的偽基站檢測系統方案設計

姚景朋，張立志，何旭萌

（國家數字交換系統工程技術研究中心 河南 鄭州　450000）

基于三維聯合檢測法的偽基站檢測系統方案設計

姚景朋，張立志，何旭萌

（國家數字交換系統工程技術研究中心 河南 鄭州450000）

偽基站的檢測是當今移動通信領域研究的一個熱點問題。針對已有的純參數檢測方法對偽裝性能好的偽基站檢測效果不佳的缺陷，本文從偽基站的工作原理出發分析，融合已有參數方法中采用的各類有效檢測參數，同時從異常信令和異常行為分析的角度提出一種基于三維聯合檢測的偽基站檢測系統設計方案，該方案的優勢在于更加全面充分利用了基站包含及提供的各類數據信息，進而為后續偽基站的檢測提供了一種可行的方法。

偽基站檢測；系統設計；異常參數；異常信令；異常行為

在移動通信系統中，基站是具有合法運營資質的電信網絡運營商部署的網絡基礎設施［1］，它是一個能夠接收和發送信號的固定電臺，是手機進行無線通信不可或缺的重要樞紐。自2013年以來，全國各地出現類似移動通信基站的“偽基站”，它不以用戶正常通信為目的［2］，是某些商家和個人建立起的出于自身利益的“偽基站”，使之成為當前實施電信詐騙手段中常用到的一種高科技設備［3］。目前，用偽基站發送垃圾短信已在全國造成泛濫局面，諸多詐騙案件都相繼被媒體曝光。偽基站結構簡單，組裝方便，發射功率大于公共基站，干擾了正常基站通信，占用了寶貴的網絡資源，給正常用戶及運營商帶來很大的煩惱，成為當今移動通信領域急需的重要問題。因此，急需一套完整的檢測系統來打擊這種違法行為。

當前的偽基站檢測方法主要是側重于運用區別于真實基站與偽基站的特征參數（如功率、異常LAC的位置更新統計和GSM系統參數C1、C2等）進行檢測。這類方法過于簡單，只適用于檢測參數設置較為極端的偽基站，對于偽裝性能好、參數特征不明顯的偽基站，其檢測效果不佳。針對上述不足，本文在綜合現有參數檢測的基礎上，增加了一系列的MNC、CID、CRO等系統參數，同時結合異常信令和異常行為分析，提出了一種基于三維聯合的偽基站檢測系統設計方案。

1　偽基站的工作原理

1.1工作原理

偽基站，顧名思義，就是“假基站”，它偽裝成公共移動運營商基站，以提取移動終端信息或與其進行信息傳遞的無線電收發信電臺。當前的偽基站都會配套一部專用的手機，通過這部手機可以在準備安裝偽基站的位置偵測偽基站可用的工作信道，然后將該信道填入控制軟件后，偽基站才能工作。這部專用手機搜索的信息就是當前小區BCCH廣播的鄰接小區BCCH信道。偽基站選取BCCH信號最弱的小區頻率并設置與現網的RXLEV_MIN，CRO等不同的參數，修改系統參數消息中的 T3212（注冊周期）為較小的值，增大小區選擇參數C1和小區重選參數C2的值。當C2連續5 s大于服務小區的C2值或者當鄰近小區的C1值超過當前小區C2值與小區重選滯后值之和連續5 s時，用戶手機進行小區重選。然后加大自身系統（偽基站 ）的發射功率，可迅速使覆蓋范圍內處于空閑狀態的終端重選到或切換到系統（偽基站）網絡內，在設置的注冊周期內通過讀取接入信道消息獲得各終端的注冊消息從中捕獲終端的IMSI，IMEI等信息［4］。如圖1、2所示。

圖1　BCCH的獲取

圖2　偽基站工作原理示意圖

1.2存在原因

目前市場上組裝銷售的偽基站設備大多都是針對GSM技術，這主要與GSM網絡普及率高，用戶數多，運營商的網管端在后臺沒有監視偽基站的告警項目以及GSM網絡的單向認證體系有關系，而偽基站實施電信攻擊的根本原因正是由于GSM網絡的單向認證體系，即只有網絡對終端的認證，而終端無法對網絡實施認證。GSM基站在與用戶終端通信的過程中，終端無法檢測網絡身份是否合法，無法判斷所接收到的網絡信令是否來自合法基站。這樣，手機終端只要接收到網絡發送的標準的通信信令，就會進行處理和響應，不去分辨信令的真偽，對于偽造或被篡改的信令也進行處理［5］。

2　偽基站檢測系統設計

2.1硬件設計

偽基站檢測系統包括控制筆記本、主控單元和偽終端3個部分組成，見圖3。由于目前國內的偽基站主要是GSM制式，其中GSM包括900 MHz和1 800 MHz兩個頻段。對于GSM手機來說，900 MHz和1 800 MHz的信道在選取蜂窩小區的時候沒有本質區別，不管是900 MHz頻段還是1 800 MHz頻段，手機只會選取一個信號強度最大的小區廣播信道，并且檢驗位置區參數，做下一步的處理。偽基站檢測系統的偽終端是根據現有正常GSM手機改裝而來。它是整個檢測系統的橋頭堡，是檢測系統與基站進行信息交互的工具。為了能夠讓偽終端能夠在偽基站的覆蓋范圍內駐留，需要對GSM協議進行修改，因而檢測終端需要進行必要的改裝，以使偽終端在不插SIM卡的情況下也能夠正常工作。同時，偽終端還要完成基帶數字信號的處理，信道編解碼功能。主控單元是以ARM9S3C2440芯片為核心，是整個檢測算法的運行平臺，同時也是控制筆記本和為終端進行信息傳遞的轉接板。它將控制筆記本的指令信息翻譯成偽終端能夠理解的信息，指導偽終端與基站進行信息交互。同時也將偽終端檢測到的信息傳遞回控制筆記本。主控單元通過網線與控制筆記本相連，它們之間進行網口通信，而與偽終端則通過串口通信。控制筆記本的功能包括對硬件的控制。在控制筆記本上運行著由C#程序編寫的控制顯示界面。通過指令的輸入，指導主控單元上的檢測算法進行相應信息的檢測，并將檢測結果顯示在控制界面上，如偽基站的參數，垃圾短信內容等內容。這其中包括GSM技術體制要求的對信號的全部處理流程。

圖3　偽基站檢測系統示意圖

圖4　偽基站檢測系統顯示界面

2.2算法設計

2.2.1偽基站特征

由偽基站的工作原理，我們可以得到偽基站較為顯著的4個特征：

1）與正常基站相比，C1、C2、T3212，CRO等值差異顯著；

2）手機接入時間較短，一般10～20 s后脫網。因此，偽基站會造成大量的位置更新。

3）沒有話音業務，并且存在大量相同長度短信業務。

4）基站的LAC值通常設置為邊界值。

偽基站的這些顯著特征也成為如何去偵測偽基站的突破口。

2.2.2基于三維聯合的偽基站檢測算法

當前，關于偽基站的檢測方法已經在諸多文獻中體現出來，大多都是基于參數的檢測方法，通過偽基站與正常基站的參數設置差別來尋找差異。但是僅僅基于參數可能不太準確，因此，本文又在參數檢測的基礎加入了異常信令和異常行為檢測，目的就是要提高偽基站檢測概率，因為不管用什么方法，偽基站的檢測最終都是個概率問題。

1）異常參數檢測

當前，如何有效地識別偽基站已成為研究偽基站的技術關鍵。只有及時、準確地發現偽基站，并將其定為靶向目標，才能對偽基站予以有效打擊。目前，關于偽基站的檢測方法可以歸結為3種：移動終端檢測法，運營商檢測法和無線電管理委員會的路測法。這3種方法都是基于GSM的參數檢測，主要是檢測網絡的C1，C2，CRO，LAC和CID等主要參數。其中，C1是小區選擇參數，C2是小區重選參數，CRO是小區重選偏置，LAC是位置區編號，CID是小區號。由于T3212值和RXLEV_MIN設置偏小，CRO設置極端，致使C2值通常在90以上。根據偽基站的這些特征，其參數檢測步驟如下：

首先，檢測周圍基站的常規系統參數，如C1，C2，CRO，T3212，接收功率等。通常，移動通信現網小區的CRO默認值是OdB，而偽基站的CRO設置較大，致使C2值通常在90以上［6］，同時T3212相較于正常基站設置比較小，便于手機頻繁的被吸入與踢出。

其次，檢測偽終端接收到的基站信號強度。通過獲取基站和偽終端的經緯度，可以計算出偽終端與所掃描到的基站的距離，從而推倒出該基站的發射功率。基站功率P，基站到手機的距離D與手機接收到的基站信號強度I有如下關系：

我們假設基站的功率在一定范圍之內，于是基站到手機的距離和基站的信號強度數值的絕對值會成正比，也就是說距離基站越遠，手機接收到的基站信號強度越小，其在數值上的絕對值越大。如果偽基站出現，偽基站的信號強度一般都會比正常基站要大，那么我們所計算出來的此偽基站距離與手機接收到的此偽基站信號強度數值的絕對值的比值往往要超出正常基站比值的范圍。此外，偽基站的LAC和CID是經常變化的，所以，偽基站與偽終端的距離和偽終端接收到的信號強度的絕對值的比值也是動態變化的。通過這一特征我們就可以檢測出大部分的偽基站信號［7］。

最后，統計異常LAC和位置更新次數。偽基站覆蓋范圍有限，同時會頻繁更換LAC，因此用戶占上偽基站信號后，將會在較短的時間重選回現網網絡，在現網就存在同一用戶在同一小區下短時間內連續位置更新的情況，造成位置更新次數的突發大量增加。此外，用戶從偽基站信號回到正常網絡位置更新時，上報的源LAC是偽基站的LAC，或者是0，65534，65535等異常LAC［8］。因此，統計異常位置更新次數較多的小區，初步確定可疑小區及其地理位置。

圖5　LAC更新回現網

以上的異常參數檢測法可以發現大多具有明顯特征的偽基站設備，但是實際上，隨著偽基站技術的改進，這些較為明顯的參數特征可以進行偽裝，使之與正常基站差別不大，因此偽裝之后的偽基站的查處難度較大，因此，在異常參數檢測的基礎上，本文又增加了異常信令檢測和異常行為檢測，以增加檢測精度。

2）異常信令檢測

由于空中接口極易受到侵犯，GSM系統為了保證通信安全，采取了特別的鑒權措施，鑒權是為了確認移動臺的合法性。鑒權中心為鑒權提供了三參數組（隨機數，響應和密鑰）。在用戶入網簽約時，用戶鑒權鍵連同IMSI一起分配給用戶，這樣每一個用戶均有唯一的鑒權鍵和IMSI。它們存儲于AUC數據庫和SIM卡中。當用戶發起入網請求時，MSC/VLR就向MS發送隨機數以及鑒權中心AUC內相同的鑒權鍵和鑒權算法，計算出符號響應，然后把符號響應回送給MSC/VLR，驗證其合法性。

但由于GSM的單向鑒權性，偽基站通過頻繁的位置更新吸入手機時，偽基站只是獲取了用戶手機的IMEI和IMSI，而沒有進行鑒權操作。偽基站忽略了手機發送的鑒權信息，直接同意手機接入就可以成功建立通信，從而開始電信攻擊。如圖6所示。

圖6　異常信令

因此，當我們用不帶SIM卡的偽終端進行基站檢測時，如果系統能夠檢測的到基站并且能夠駐留，那么這個基站一定是偽基站，因為沒有SIM卡的終端由于無法完成正常的鑒權流程，所以它無法被網絡認定為合法。為了比較合理的確定該基站是否是偽基站，可以偵測該基站的SDCCH信道。SDCCH信道用于在分配業務信道之前傳送有關信令，例如登記，鑒權等信令均在此信道上傳輸，所以可以監測此信道上是否有鑒權信息。

3）異常行為檢測

由于偽基站與公網斷開連接，因此，偽基站沒有語言業務，處于偽基站覆蓋范圍內的手機都無法進行正常的通信行為。但是手機一旦處于偽基站下，在無法進行通信的情況下，手機也會收到帶有任意號碼的短信，這些短信大多是廣告類型，甚至帶有欺詐性，它們是由偽基站下發的，這是偽基站相較于正常基站最明顯的異常行為。

偽基站下發短信一般都是通過SDCCH信道下發，因此，檢測系統監測分析基站的獨立專用控制信道信息，掃描它的所有時隙。由于偽基站下發的短信是群發，短信內容是一樣的，因此SDCCH信道時隙的數據長度和內容都是一樣的。掃描SDCCH的時隙，若發現所有時隙的長度和碼字都相同，可以確定所連接的基站是偽基站。

圖7　偽基站下發短信示意圖

3　結束語

在現有檢測工作的基礎上，優化現有的檢測算法。同時，為了提高檢測速度，需要利用串口服務器連接多個偽終端同時對周圍掃描到的基站進行并行檢測，以提高檢測效率，這對于流動型的偽基站來說更是必需的。這需要對現有的工作做進一步的改進，同時也需要合適的調度算法來指導偽終端的檢測行為，這些都是后續的研究工作。

偽基站與正常公網基站具有相同的功能，但是它造成頻率干擾，影響用戶正常通信，占用網絡資源，強行向用戶發送垃圾短信，對現網設備、現網用戶及社會造成了巨大負面的影響，因此，如何更加迅捷、高效、方便地偵測及定位偽基站仍將成為眾多研究者思考的問題。

［1］田野、劉斐、徐海東，等.新型偽基站安全分析研究［J］.電信工程技術與標準化，2013，8（8）:58-61.

［2］趙耀，袁忠良.非法架設公眾移動通信偽基站監管研究［J］.中國無線電，2013，8（8）:25-26.

［3］宋鳳忠.如何鑒別“偽基站”騙局—從湯唯受騙認識偽基站［J］.通信世界，2014（3）:17.

［4］趙恒，邵四清.偽基站系統的分析定位方法及解決建議（一）［J］.電信網技術，2011，7（3）:72-77.

［5］劉錦旭.淺析偽基站的主動識別與主動防御［J］.廣東通信技術，2014（2）:61-64.

［6］楊雪謹.淺析偽基站的工作原理和治理方法［J］.中國無線電，2014，3（3）:15-17.

［7］陳強，劉亮.基于智能手機的偽基站檢測方法［J］.通信安全與通信保密，2014（11）:131-134.

［8］葉炳基，董事.垃圾型偽基站和排查方法的探索［C］//中國通信學會無線及移動通信委員會.2014全國無線電及移動通信學術會議論文集.2014:484-487.

Design of the fake base station detection system based on three-dimension union detection method

YAO Jing-peng，ZHANG Li-zhi，HE Xu-meng
（National Digital Switching System Engineering&Technological Research Center，Zhengzhou 450000，China）

The detection of the fake base station is a hot issue in those days，in order to satisfy the requirement of more properly detecting the fake base stations and make up for the imperfection of the pure parameters detection，this paper firstly analyzes the working principle of the fake base station，then synthesizes the current parameters in present parameter detection methods and proposes the design of the fake base station detection system based on three-dimension union detection method from the point of unusual signal and unusual behavior.The advantage of this design is that it has made full use of the information providing by the base stations，and lay a foundation for the further research of the fake base station detection.

fake base station detection；system design；unusual parameters；unusual signal；unusual behavior

TN924+.3

A

1674-6236（2016）14-0052-04

2015-08-08稿件編號：201508036

姚景朋（1988—），男，河南信陽人，碩士。研究方向：無線與移動通信。