偽基站原理及其偵測定位方法

付旭輪

摘 要：所謂“偽基站”設備就是由無線單元和筆記本電腦組成的一套無線通信系統，偽基站是假冒運營商現網通信網絡，進行一系列參數設置，如信號強度、位置區等，引導手機在其覆蓋區域內重選進入其系統的一種非法基站。偽基站影響了移動運營商網絡安全、降低了客戶感知，引起客戶大量投訴，并越來越突出。通過信令監測系統，可以發現偽基站，從而達到治理的目的。

關鍵詞：偽基站；信令監測；垃圾短息

偽基站原理

“偽基站”是指可以通過簡單的設備組裝來實現運營商通信系統一些功能的高科技設備，他可以設定發射和運營商的普通基站一樣的頻率信號，造成運營商客戶的手機重選到偽基站的小區內。當終端重選至偽基站的小區后，發現服務小區的LAC號改變了，終端在偽基站覆蓋內發起位置更新，從而被偽基站獲取客戶信息，并向客戶發定制短信。當客戶離開偽基站覆蓋區域后，再次重選至運營商網絡。在“偽基站”信號覆蓋范圍內，手機用戶無法正常接打電話、收發短信。所以，偽基站投入后，手機用戶并接入后，偽基站就會完全冒充成運營商的網絡，對用戶手機可以任意的提取信息和發送短信等。

偽基站與運營商基站差異

運營商的移動通信系統（GSM）中只有網絡對手機的認證，手機不會對網絡進行特征。所以當無線參數滿足一定條件時如C1和C2，手機用戶將重選進入偽基站小區內。偽基站系統先檢測所在區域的運營商載波信息，然后進行自學習，模擬運營商的網絡連續發射相同頻率的假的無線信號，尋呼這個區域內的手機用戶，在這之后調整發射功率等，這樣就可以誘導該區域內的手機重選接入到偽基站的小區中。在偽基站的小區中，它會通過IMSI獲取的命令，來要求手機上報IMSI，這樣就可以對手機的IMSI，IMEI進行獲取、并給手機發送信息等。

我們需要利用運營商與偽基站的LAC不同來作為關鍵點來實現偽基站定位的，那么我們首先要獲得偽基站的LAC，那我們怎么獲得呢。手機從運營商網絡到偽基站是脫離了現網的，我們無法監控信令流程。但是從偽基站到運營商網絡所做的位置更新我們是能看到的，這時手機攜帶的原LAC就是偽基站的LAC。所以我們就獲得了偽基站的LAC。

手機從偽基站的小區出來并在現網做重選時，手機會做一次跨位置區重選后的位置更新，在這個位置更新消息中我們可以提取到信令中源LAC就是偽基站自身設置的LAC號，根據網絡設置的不同攜帶回來的原LAC，也有可能是0、65534、65535等異常的LAC號。

由于需要讓手機重選入偽基站后做位置更新，所以偽基站設置的LAC號是與運營商網絡的LAC號不一樣的，偽基站周邊的小區會出來比原來多很多的位置更新消息，位置更新的次數會遠超過其他正常的小區。

另外根據我們的測試和研究發現，存在大量OLAC不為65534的偽基站影響的手機位置更新。具體情況如下：根據GSM 04.08規范，位置更新拒絕原因值分別可以是11、12、13等；當拒絕原因為11時（Cause value（11）：PLMN not allowed），手機將PLMN ID存儲到相關的禁止列表內，當有一個不同的運營商網絡出現時手機才會進行重選，這就造成了手機脫網很長時間，對手機的影響較大，他不會采用此方法。偽基站的位置更新拒絕原因一般采用Cause value 12：Location Area not allowed和Cause value 13：Roaming not allowed in this location area。當拒絕原因為13時（Cause value ：（13）Roaming not allowed in this location area），手機將會在新的LAI中發起位置更新請求。

另外一種情況，當有已經進入過偽基站并重選回現網的終端，再次進入到偽基站時，偽基站會直接發送位置更新拒絕消息（偽基站不會讓一個終端重復的進入或發短信，以免引起用戶警覺或是投訴，這樣容易被發現）。如果拒絕原因值為13，終端返回現網時，上報的OLAC編號（現網的編號，如：12470）等于DLAC編號，形成OLAC=DLAC=現網LAC編號的現象。

3 偽基站判定算法

第一部分：對偽基站采取LAC區=非移動現用LAC的情況進行分析：

1）統計監測范圍內發生切換業務的源和目的LAC，匯總生成“LAC總表”（這樣就包括了本省份LAC以及周邊省份的LAC信息）。

2）統計發生正常位置更新的源LAC信息，匯總生成“源LAC總表”。

3）對比“LAC總表”與“源LAC總表”，將“源LAC總表”中存在而“LAC總表”中不存在的LAC做為“疑似偽基站的LAC區表”。

4）將“疑似偽基站的LAC區表”信息做為源LAC區對發生正常位置更新的信息進行調取查詢，輸出以下字段 OLAC LAC CI 偽基站是否采用移動現網LAC編號、位置更新次數、偽基站類型。

5）統計時間最小粒度為5分鐘，并且以“偽基站為源LAC的位置更新次數”設置門限，暫定該位置更新次數5分鐘內大于100次的為疑似偽基站在表格中輸出，門限值可通過后臺設定。

第二部分：對偽基站采取LAC區=移動現用LAC的情況進行分析：

1）通過統計現網發生主被叫業務的LAC信息，匯總生成“LAC總表”。

2）每日定時間點對前24小時的切換業務進行統計，輸出“LAC總表”中各LAC的“相鄰LAC關系列表-from切換”（通過切換業務來定鄰區關系）。

3）每5分鐘對“LAC總表”中的LAC進行正常位置更新信息分析，輸出各LAC的“相鄰LAC關系列表-from正常位置更新”（通過正常位置更新業務來定鄰區關系）。

4）對比“相鄰LAC關系列表-from切換”與“相鄰LAC關系列表-from正常位置更新”，將“相鄰LAC關系列表-from正常位置更新”鄰區個數包含且大于“相鄰LAC關系列表-from切換”鄰區個數的LAC做為“疑似偽基站的LAC區表”。

如上表1和表2所示，LAC=2兩張相鄰LAC關系列表完全相同，則判斷為正常LAC。而LAC=1、3“相鄰LAC關系列表-from正常位置更新”鄰區個數包含且大于“相鄰LAC關系列表-from切換”鄰區個數，因此將LAC=1、3做為“疑似偽基站的LAC區表”（通過兩表對比才能確定偽基站的LAC并且同時獲取了偽基站工作時當時周邊的相鄰LAC）。

5）將“疑似偽基站的LAC區表”信息做為源LAC區、以上兩表對比后與“相鄰LAC關系列表-from切換”相異的鄰區（如上表中標紅的LAC）做為目的LAC，對正常位置更新的信息進行調取查詢，輸出 OLAC LAC CI 偽基站是否采用移動現網LAC編號、位置更新次數、偽基站類型。

參考文獻：

[1]趙恒，邵四清.偽基站系統的分析定位方法及解決建議[J].電信網技術，2011，7：54-56.

[2]韓斌杰.GSM原理及其網絡優化[M].機械工業出版社.2009，ISBN：9787111091110.

[3]丁有志，田崢濤，唐燁基.基于偽基站的CDMA移動通信系統對抗技術研究[J].通信對抗，2008，06：105-109.

[4]百度文庫，GSM網絡無線參數優化調整原理.https：∥wenku.baidu.com/view/fc61618271fe910ef12df80f.htm.