一種防御流動偽基站的軌跡識別方法研究

游爾青

【摘要】 根據偽基站的存在方式及其工作原理，利用話務信息管理系統后臺多維度對比匹配，實時剔出異常LAC，GIS軌跡描點跟蹤鎖定，軌跡預判實施堵截，沿路投放預警短信，由被動響應變為主動防御。

【關鍵詞】 異常LAC GIS描點 軌跡預判 預警推送

一、引言

隨著移動通信終端的普及，一種新型高科技犯罪——“偽基站”實施電信詐騙活動十分猖獗，嚴重擾亂國家信息安全秩序，造成人民重大財產損失。

“偽基站”即仿真基站，由一個接收信號天線、一臺發射信號的主機及一臺筆記本電腦組成，多數采用車載等方式流動作案。其利用GSM系統單向鑒權的安全漏洞，在人流密集的商圈通過發射廣播信息，吸引用戶駐留，竊取用戶的位置登記信息及相應的IMSI、IMEI等消息，使用戶脫離正規的運營商網絡形成“孤島”，受到偽基站冒充的任意號碼發起的電信業務攻擊。

“偽基站”作案具有發現滯后性、地點流動性、路線隨機性、設備隱蔽性、手法多樣性和追蹤盲目性等特點，導致現場抓捕“偽基站”作案實時性差，往往是群眾報案再出警，被動響應的方式難以精確打擊。

現在，我們根據偽基站的存在方式及其工作原理，利用其LAC值的設定與運營商網絡運行的基站設置的LAC值有很大區別這一特點，通過運營商網絡的信令交互實現位置更新數據實時采集，后臺程序多維度對比匹配，網頁平臺、終端App智能呈現的方式，實現GIS軌跡描點預判偽基站行進路線，預警信息主動推送的功能，由被動響應變為主動防御。

二、快速定位偽基站

偽基站定位原理：

現階段的偽基站還無法智能的模擬運營商網絡的真實LAC，且為減輕系統負荷，偽基站強迫用戶駐留的時間很短，強制推送完詐騙信息后會迅速將用戶踢出，導致位置更新數量異常。

被偽基站強制注冊的手機在脫離偽基站，返回運營商網絡時，會進行位置更新，而該位置更新信息中的源LAC參數，就是偽基站的LAC，且此位置更新后回到的運營商基站距偽基站最近。

利用用戶攜帶的偽基站的異常LAC信息與現網LAC數據庫做比對，識別偽基站，并進一步通過查看現網的CI信息，精確定位偽基站。

偽基站識別方式：

1、信息源提取：利用運營商的現有資源——話務信息管理平臺系統，收集、存儲和處理從核心網元送來的實時業務（RTT）報告，提取位置更新信息字段VLR_PREVIOUS_ LAC、VLR_REPORT_TIME、VLR_LAC、VLR_CI。由于利用了原有的平臺系統，信息源的提取無需增加信令監測平臺與信令分析開發成本投入，大量節省信令數據存儲空間，業務報告實時輸出，延時小，平均時長控制在2分鐘以內。

2、分布式大數據數據處理：面對高達上億條VLR數據業務量，采用Hadoop大數據處理平臺，高速運算和存儲，通過LAC對比和CI匹配方法，過濾出PRE_LAC為非本地運營商基站LAC的記錄，以“異常LAC統計”與“異常LAC詳單”為數據基礎，對“偽基站”進行初步判定及定位。

三、web平臺、APP數據呈現

后臺人員通過WEB平臺——偽基站定位系統，查詢LAC統計數據庫，實時獲得偽基站位置信息，平均定位時長為2分鐘。從WEB平臺能獲取信息如下：

1、單個PRE_LAC在特定時間段內出現的次數與增量。

2、根據所屬地市、區縣、PRE_LAC、LAC、時間等關鍵字段，查看滿足條件的數據詳單。

路測人員通過手機APP——偽基站獵手，內部調用手機網絡參數，查看當前手機所占信號的LAC和CI，通過聯網偽基站統計數據庫，與本地運營商網絡的LAC和CI進行匹配。通過LAC和CI的雙重匹配，若為偽基站，就推送/彈窗提示“您可能已經受到偽基站影響，以下收到的信息可能為偽基站下發信息，請注意”。

四、軌跡識別判斷行進路線

由于偽基站都是依附道路進行行駛，為了能夠直觀的顯示偽基站的運行路線，縮短人工判斷時間，利用GIS軌跡描點實現偽基站行進線路展現。

通過將CI小區經緯度信息與道路經緯度相關聯，可根據發生異常LAC更新的小區CI，將基站經緯度信息呈現于地理信息化軟件MapInfo上，從基站覆蓋位置與方向上縮小偽基站可能存在位置，準確關聯出偽基站行進的真實路線軌跡，并預判其行進方向。

1、以網絡側切換數據實現定位：根據話務統計管理信息平臺搜集的切換數據，使用加權平均算法計算出偽基站的實時經緯度坐標，判斷偽基站當前位置坐標。

2、GIS地圖描點偽基站位置：根據基站CI的經緯度，通過地圖坐標系，生成矢量數據，使用特定的圖標，通過地圖引擎在地圖上做描點。

3、匹配道路位置，由點及線：由基站位置映射到實際道路，路測打點，記錄道路上的點與基站的映射關系。通過測試，篩選出道路上的主服務小區，以及每段路對應的經緯度，將小區信息與道路經緯度關聯起來。

4、描繪偽基站歷史軌跡：利用發生異常LAC更新的小區CI與發生時間點，結合小區CI與道路經緯度對應關系，分析判斷偽基站的歷史位置，與地圖配合直觀顯示出偽基站的歷史行進線路。

5、預測偽基站行進方向：隱蔽性好，人流量大，使用手機人數較多的地方是偽基站駐留的首選。我們利用歷史軌跡和切換參數兩種數據，參考遺傳算法，計算預測偽基站行進軌跡，結合公安交通部門的道路監控系統，迅速定位路上的可疑車輛，便于公安部門實施堵截。

判斷步驟：

偽基站依附道路行駛，每到一個路口，只有4個選擇方向，只需要4個權值，根據地域特點動態調整搜索半徑R，提高搜索效率。如人口密集的城區設置搜索半徑值為2km。

以每個十字路口為圓心，根據搜索半徑R畫圓，道路X、Y、Z、K為分界線把一個圓形搜索區域分成ABCD四個區間，通過話務管理信息平臺實時采集搜索半徑范圍內的基站用戶數分布數據，得出每個區間的實時用戶數占比。

X= p（A）+ p（B）；Y= p（B）+ p（D）；Z= p（C）+ p（D）；K= p（A）+ p（C）

MAX（X，Y，Z，K）即為偽基站最有可能前進的方向。

五、主動推送短信預警

監測到偽基站行進路線，通過小區廣播投放偽基站預警信息，速度快，接收區域有針對性。

預警信息推送涉及推送時間、統計時長、統計區域范圍及異常位置更新次數幾個因素，我們運用正交實驗法確定預警信息推送參數的最佳參數組合。最終確定達到預警短信推送條件為：10：00-20：00時間段內，每3分鐘統計一次異常位置更新數量，在單一區縣范圍內，數量值達到50個，則系統自動下發預警。

六、應用效果

漳州地區作為試點應用，共協助公安機關打擊偽基站犯罪42起，繳獲設備43臺，破獲率達到91.3%。福建省漳州市檢察院偵查監督處運用我們的系統，在打擊整治偽基站工作中作出突出貢獻，被中央網絡安全和信息化領導工作小組辦公室授予“打擊整治偽基站專項行動先進集體”榮譽稱號。

七、結語

本文從偽基站的工作原理及存在方式進行研究，提出一種基于運營商話務管理信息系統的偽基站識別——定位——跟蹤——軌跡預判方法，移植性強，可封裝成行業應用，協助公安部門有力打擊偽基站犯罪。

參 考 文 獻

[1]吳偉陵、牛凱.《移動通信原理》.電子工業出版社. 2005-11第1版.

[2]孫鵬飛.《快速查找偽基站的方法研究》.電信技術，2015-05.

[3]吳金科、鄺志鴻、 戴勇、 王斌.《偽基站偵測追蹤新技術的研究及應用》.中國新通信，2014年02期