基于數字孿生的5G網絡安全推演

馬宇威，杜海濤，粟 栗，安寧宇

中國移動通信有限公司研究院安全技術研究所，北京 100053

網絡安全是攻防雙方能力的較量與對抗。在當前競爭日益激烈的國際網絡空間安全博弈中，針對關鍵信息基礎設施的網絡安全對抗形勢日趨嚴峻復雜。第五代移動通信網（5G 網絡）作為重要的關鍵信息基礎設施，已經大規模商用部署，一旦遭受黑客攻擊而導致網絡癱瘓其后果不堪設想[1]。同時，5G網絡作為新一代移動通信技術，具有高速率、低時延和大連接等特性，其不僅適用于人與人之間的通信，還將擴展到人與物、物與物之間的通信，從而實現萬物互聯[2]。大量異構終端互聯，加之其自身的安全防護能力又參差不齊，一旦被黑客控制，形成信令風暴攻擊核心網，易導致網絡癱瘓等嚴重后果[3]。此外，隨著5G 網絡中虛擬化、軟件定義網絡、邊緣計算等新技術、新架構的應用以及垂直行業應用中的能力開放、核心網部分設備下沉園區部署等，使得網絡邊界變得泛化模糊、暴露面加大、互聯網側攻擊風險增加、集中管控功能面臨更多安全挑戰等，都加劇了傳統安全防護手段的難度，從接入網、承載網、核心網等都面臨不同程度的安全威脅[4-6]。

目前，針對5G網絡的安全風險，可采用添加網絡防火墻、信令防火墻等安全設備以及主備倒換、設備組Pool 等災備手段進行安全防護。此外，5G 網絡自身較之前的移動通信網在安全方面已有增強，如：支持用戶面和信令面數據的加密和完整性保護；具有安全隔離與安全傳輸能力等。

但5G網絡仍面臨一些以往移動通信網遺留的安全風險和潛在的網絡安全風險，且針對這些風險的攻擊也無法完全避免，如：與其他通信網進行互聯互通時，依舊可使用自身存在缺陷的Diameter信令協議，易遭受跨網攻擊。同時，安全設備的防護能力也和其安全策略的有效性與精準性有關。

綜上，為了提高5G網絡的安全防護能力，可利用網絡安全推演的方式與方法，對5G網絡面臨的安全風險、攻擊方式以及降低相應風險與攻擊影響的措施等進行分析。

1 網絡安全推演方式分析

通常信息系統所有者利用網絡安全推演，來及時發現目標網絡中存在的安全問題與薄弱環節，全面評估網絡的整體安全防護水平，檢驗運維管理人員的應急響應能力以及安全防護措施的有效性等。目前，進行安全推演的主要方式有三種：一是直接在真實網絡環境中進行安全推演；二是通過仿真技術搭建和真實環境近似的實驗環境進行安全推演；三是利用前期收集的多種信息進行桌面安全推演。

采用真實網絡環境進行安全推演容易對網絡的穩定性、業務的連續性等產生影響；一旦網絡遭受攻擊而無法運行，將導致嚴重后果；且某些重要應用系統和具有破壞性的攻擊手段一般也不在真實環境下推演。而采用實驗網絡則無法與真實網絡環境保持高度一致，兩者具有一定的差異性；且與真實網絡之間沒有數據聯動，無法與真實網絡做到環境的同步更新，也無法直接將安全推演驗證后的安全防護策略及時更新至真實網絡中。采用桌面安全推演主要依靠場景設定和現場專家研判，不進行真實攻擊與防護，其真實性、可用性有待進一步加強[7-8]。

對于當前的5G網絡，基本都是運營商網絡、行業專網等生產網絡，需具備較高的可靠性、業務連續性等，很難直接利用現網進行安全推演。而搭建整套實驗環境難度大、成本高，且和真實網絡也具有一定的差異性。單純依靠傳統仿真技術會一定程度影響結果的有效性和準確性，也會增加結果部署的時間成本與應用難度。就目前而言，由于缺乏有效的實驗平臺，網絡安全推演不得不在真實網絡中的限定時間內進行，造成推演周期過長、網絡業務運行風險加大、實驗成本上升等多重困難。

因此，本文利用數字化仿真技術設計一套與真實5G網絡高度一致且有數據動態交互的推演模型，并依此構建實驗平臺來進行安全推演，以解決推演環境問題，進而探索5G網絡抵御多種可能攻擊的有效防護手段。

2 安全推演模型

2.1 設計理念

依照數字孿生的相關定義，孿生體可通過實時或非實時的方式采集物理實體的真實數據并將其存儲，用以構建數據模型，生成或更新孿生體。通過孿生體以可視化的方式去映射物理實體，以達到物理實體、孿生體及其交互的可視化[9-10]。同時，可借助人工智能、專家系統、大數據等實現對物理實體的全生命周期的分析、診斷和控制[11]。

數字孿生網絡是以數字化方式創建物理網絡實體的虛擬孿生體，且可與物理網絡實體之間進行交互映射的網絡系統。其網絡由物理實體網絡、虛擬孿生網絡以及網絡間的交互部分共同組成。在孿生網絡體系中，物理網絡向孿生網絡提供基礎數據；孿生網絡依據基礎數據、基礎模型等生成與物理網絡高度一致的孿生網絡實例；通過孿生網絡實例，驗證安全推演需求，并將驗證結果同步給物理網絡；物理網絡得到結果后進行更新，又可將其基礎數據提供給孿生網絡，從而形成孿生交互，其過程如圖1所示[12]。

圖1 5G網絡推演示意圖Fig.1 Schematic diagram of 5G network deduction

2.2 總體設計

依據安全推演與數字孿生的技術思路與應用方式，本文基于數字孿生的5G網絡安全推演模型總體思路設計為：將孿生網絡分為孿生網絡層與孿生應用層，孿生應用層設定推演場景，孿生網絡層生成推演場景并進行安全推演，場景所需真實數據由物理網絡提供，而物理網絡所需推演結果由孿生應用層通過孿生網絡層控制下發，構建的推演場景與物理網絡形成邏輯閉環，具體模型如圖2所示。

依據推演模型，物理網絡層主要包括真實5G 網絡與5G蜜網系統，通過孿生南向接口與孿生網絡對接；孿生網絡層與孿生應用層通過孿生北向接口對接；孿生網絡層主要包括蜜網數據中心、孿生數據中心以及場景-模型映射中心等；孿生應用層主要包括人機交互系統與推演場景設計等應用模塊。

在推演模型中，物理網絡的真實數據采集至孿生數據中心進行處理，形成策略模型、配置模型以及網絡實體模型等。這些模型向孿生應用層能力開放，供設計推演場景使用。而蜜網中捕獲的攻擊數據會先采集至蜜網數據中心處理，再與孿生數據中心的數據結合，形成攻擊模型；在物理網絡中引入蜜網系統，可有效捕獲大量的攻擊數據，進而對攻擊行為進行更真實地刻畫、還原與建模。場景-模型映射中心在收到孿生應用層下發的指令后，生成相應場景的孿生網絡實例供推演使用。當該場景完成推演后，可通過孿生網絡層向物理網絡下發推演結果，物理網絡依據推演結果更新相應的安全業務。若該推演場景不再需要時，可執行刪除操作，以釋放系統資源，從而實現孿生網絡實例的全生命周期管理[13]。

孿生網絡層需要采集物理網絡層中的運營數據和攻擊數據為生成的孿生網絡實例提供模型、數據支撐。其中，運營數據由5G 物理網絡提供，攻擊數據由5G 蜜網系統提供。運營數據包括：網絡拓撲、網元配置、安全配置等信息；攻擊數據包括：互聯網攻擊流量和電信網攻擊流量。由于數據采集接口需要頻繁、高速進行數據采集，為減少系統資源損耗，可以使用遠程直接數據存取協議（remote direct memory access，RDMA），配合專用硬件設備進行數據傳輸[12]。

由于控制下發接口數據交互頻率相對較低，且會與多設備系統進行交互，可采用輕量級、易擴展的Restful接口，并配合Json（javascript object notation）格式進行推演結果的下發[14]。推演結果即為相關的安全策略，包括：網元安全配置、虛擬化安全配置、組件安全配置、防護設備安全配置、運維管理系統安全配置等。

2.3 模型流程分析

2.3.1 蜜網采集流程

在整個蜜網系統中，用于捕獲攻擊流量的蜜罐部署在物理網絡中，而用于后臺分析的蜜網數據中心部署在孿生網絡中，從而使蜜網與孿生網絡產生數據聯動，便于孿生網絡層創建攻擊模型[14]。

為了實時獲取攻擊數據并減少對CPU 資源的損耗，蜜網數據中心利用RDMA 協議及時將蜜罐捕獲的攻擊數據進行采集，流程如圖3所示。雙方網絡先進行RDMA 初始化操作，然后蜜網系統捕獲攻擊數據，提取數據并存入指定內存區域中，利用RDMA的Write操作將數據傳遞給蜜網數據中心；蜜網數據中心從指定內存中提取數據。

圖3 蜜網數據中心采集流程Fig.3 Honeynet data center collection process

2.3.2 攻擊模型生成

在孿生網絡中，可利用5G 網絡的正常數據流量與蜜網系統的攻擊數據流量聯動構建攻擊模型，用于場景的安全推演，其聯動流程如圖4 所示。按照攻擊流量，蜜網數據中心提供攻擊數據，并基于ATT&CK（adversarial tactics，techniques，and common knowledge）攻擊框架的基礎數據建立攻擊庫。按照正常流量，孿生數據中心建立相關模型，生成孿生網絡實例，并利用攻擊圖技術生成該推演場景下的攻擊圖，與建立的攻擊庫聯動生成該場景下的攻擊模型，以支撐安全推演[15-16]。

圖4 正常流量與攻擊流量聯動圖Fig.4 Normal traffic and attack traffic linkage diagram

2.3.3 專家推演流程

在安全推演應用中，當某個場景生成的孿生網絡實例遇到攻擊時，利用專家系統可自發地查閱知識庫中的相關場景描述，對該場景面臨的安全風險進行推演，最終形成可阻止或降低該攻擊影響的安全策略。

在推演開始前，專家系統知識庫按照推演場景進行分類建立；推演時，專家系統依據輸入條件獲取該場景下的安全風險點以及當前具備的安全防護能力，根據攻防知識庫和推理機導出應對該攻擊的所有安全策略，并在孿生網絡中驗證這些策略的防護有效性；推演完成后，專家系統更新知識庫中安全策略的優先級等，形成優化反饋，具體流程如圖5所示[17]。

圖5 專家推演流程圖Fig.5 Flow chart of expert deduction

2.4 模型技術分析

傳統的安全評估依靠自建環境或利用生產環境對網絡進行測試。環境自建存在成本高、難以復用、靈活度差等問題，而利用生產環境存在限制多、危險系數高等問題。

而基于數字孿生的推演模型可有效地對網絡進行模擬，同時具備通用性、高效性以及直觀性等特點。

有效性：利用數字孿生技術，可將5G物理網絡看做是硬件資源、孿生網絡與真實數據的有機組合，并從接入網、核心網等進行高度還原仿真。從而可利用孿生網絡保證推演結果的精準性，向物理網絡提供有效地防護策略。

通用性：與5G物理網絡構建技術相一致，利用虛擬化技術、軟件定義網絡等實現孿生5G核心網，便于依據真實場景動態組網，既可用于運營商網絡的安全推演，又可用于面向垂直行業的專網安全推演。

高效性：推演過程由于在孿生網絡中進行，可實現對物理網絡的無感知操作，提高推演效率。以抗分布式拒絕服務（distributed denial of service，DDoS）攻擊為例，在真實物理網絡中，為減少對業務系統的影響，一般需要在凌晨固定時間段內進行，容易產生測試時間不連續、周期過長、環境變動等問題。而在推演模型中，將抗DDoS 設備的策略加載至孿生網絡中可進行連續、集中測試，提高效率、節約時間成本。

直觀性：通過孿生應用層，可將推演場景以沙盤形式展示給用戶，使之直觀了解到網絡的運行情況，面臨的安全風險以及安全防護措施及防御效果。

在推演模型的實現方面，終端與無線側通過專門的終端生成儀表或專用仿真設備進行終端與無線的模擬與仿真；核心網側相關設備，通過虛擬機或者容器自動化鏡像的方式，在孿生環境創建真實實例，并利用Ⅰntel DPDK（data plane development kit，數據平面開發套件）等技術創建可編程協議棧，實現對數據的精細控制；對于用戶面數據、信令面數據可以通過深度報文檢測（deep packet inspection，DPⅠ）的方式或在用戶面功能（user plane function，UPF）核心交換機引流獲得；對于安全類設備，通過對接設備的接口進行配置，對安全設備進行控制指令的下發等。

3 推演場景設計與驗證

3.1 推演場景設計

5G 網絡架構如圖6 所示[6]，主要包括終端、接入網以及核心網；其中核心網還包括與其他通信網的互聯互通和與互聯網的互通等部分[18]。由于終端不屬于網絡側范疇，因此在設計推演場景時不考慮終端自身的安全風險，但需考慮終端向網絡側發起攻擊的安全風險。由圖可知，5G網絡面臨的安全風險可以分為四大類：接入網安全風險、核心網安全風險、互聯互通安全風險以及互聯網安全風險。

圖6 5G網絡架構及推演場景示意圖Fig.6 Schematic diagram of 5G network architecture and deduction scenarios

依據安全風險對應以下四類安全推演場景，每種場景具體分析如下：

（1）接入網場景

在海量連接應用場景中，將有數以百億計的物聯網終端接入，一旦這些終端存在漏洞被入侵利用，會形成規?；慕K端僵尸網絡，攻擊無線空口或整個5G網絡，可造成DDoS攻擊或信令風暴[3]。

（2）核心網場景

具體可以分為兩類：一是新技術引入帶來的安全風險場景，如：實體網元變為虛擬化軟件、物理資源共享、網絡安全邊界模糊、能力開放導致數據泄露等；另一是5G網絡自身存在安全風險的場景，如：4G/5G互操作導致網絡回落，網元間業務調用（邏輯、頻率、參數）異常，運維管理系統自身存在安全漏洞等[18-20]。

（3）互聯互通場景

在5G 網絡環境下，不同移動通信網間互聯互通依然可采用2G/4G 環境下的SS7（signaling system 7，7 號信令系統）和Diameter 信令協議。由于SS7 和Diameter協議在制定之初沒有考慮身份鑒權機制，一旦攻擊者接入到信令系統就有可能向其他運營商發送信令，造成非授權獲取用戶位置信息、強制用戶下線以及呼叫竊聽等[21-22]。

（4）互聯網場景

由于5G網絡架構的ⅠT化、云化、虛擬化等，使5G網絡也會面臨來自互聯網的攻擊[18]，比較典型的有針對網絡層的DDoS 攻擊和針對應用層的Web 攻擊場景。此外，5G網絡設備的地址大多具有ⅠPv6地址，因此需關注針對ⅠPv6 地址的DDoS 攻擊以及防護設備的檢測與處置能力。

3.2 環境搭建

為了對5G 網絡面臨的多種安全風險進行推演，本文以安全推演模型為基礎，依托真實物理網絡環境搭建一套基于數字孿生的5G網絡安全推演平臺，具體組網如圖7所示。推演網絡整體由攻擊網絡、防御網絡、孿生網絡、物理網絡、孿生應用主機以及終端和接入網等組成。

圖7 推演平臺組網圖Fig7 Networking diagram of deduction platform

在推演平臺中，用戶終端通過接入網可連接5G 物理核心網或5G孿生核心網。孿生網絡與物理網絡通過專用交換機進行孿生數據的交換，孿生應用主機負責控制整個孿生體系，如：推演場景的設計、使用以及停用，物理網絡的數據采集，孿生網絡推演結果的下發等。攻擊網絡中部署有攻擊儀表與攻擊庫等，可對物理網絡或孿生網絡發動攻擊。防御網絡中部署有安全防護設備，可以向物理網絡和孿生網絡提供安全防護策略。物理核心網和孿生核心網各自都具有安全防護策略，兩個網絡的安全防護策略可通過孿生網專用交換機進行同步、更新。

在物理網絡與孿生網絡中，均依據3GPP Release 16 相關標準對網元參數進行設置[2]。孿生網絡服務器選擇與物理網絡相同型號的服務器進行基礎環境搭建；孿生網絡操作系統、數據庫以及虛擬化軟件等均與物理網絡保持一致。

3.3 場景推演

本節從每類場景中選擇一個攻擊風險點，在孿生網絡中進行攻防推演，并將推演結果同步于物理網絡中以驗證防護效果。

（1）接入網-信令風暴攻擊

通過5G蜜網捕獲終端注冊請求，建立攻擊庫，利用信令儀表按攻擊庫模擬僵尸網絡發起注冊請求，造成接入網設備過載，產生信令風暴攻擊。同時，利用專家系統形成本場景下的多種安全防護策略，并進行推演驗證，通過防御效果進行評價，形成推演結論。在孿生網絡中的推演過程如表1所示。

表1 信令風暴場景推演過程Table 1 Signaling storm scenario deduction process

將推演結果應用于物理網絡后，網絡設備應對信令風暴攻擊的效果如圖8所示，設備丟棄大量終端注冊請求，使CPU利用率維持在閾值之下，保障設備安全。

圖8 網絡應對信令風暴的過載處理機制Fig.8 Overload handling mechanism for networks to deal with signaling storms

（2）核心網-任意網元去注冊

通過5G 蜜網捕獲核心網中的網元去注冊請求，建立攻擊庫，利用信令儀表向核心網NRF（network function（NF）repository function，網絡存儲功能）發起對任意網元的去注冊請求，當NRF響應該請求后，造成網元下線，影響網絡正常功能[18-19]。同時，利用專家系統形成本場景下的多種安全防護策略，并進行推演驗證，通過防御效果進行評價，形成推演結論。在孿生網絡中的推演過程如表2所示。

表2 網元去注冊場景推演過程Table 2 Deduction process of NF de-registration scenario

在物理網絡中，應用推演結果前的攻擊效果如圖9所示，NRF 響應去注冊請求，使網元去注冊成功。應用推演結果后，由于訪問控制策略限制，NRF 未執行去注冊請求，攻擊失敗，如圖10所示。

圖9 任意網元去注冊攻擊成功Fig.9 NF de-registration attack is successful

圖10 任意網元去注冊攻擊失敗Fig.10 NF de-registration attack is fail

（3）互聯互通-位置定位

通過5G 蜜網捕獲核心網中的信令面數據，建立攻擊庫，利用信令儀表模擬攻擊者接入SS7 信令系統，利用信令協議自身缺少鑒權機制的漏洞，向目標用戶網絡發起位置查詢請求，非法獲取用戶位置信息。同時，利用專家系統形成本場景下的多種安全防護策略，并進行推演驗證，通過防御效果進行評價，形成推演結論。在孿生網絡中的推演過程如表3所示。

表3 位置定位場景推演過程Table 3 Location positioning scenario deduction process

在物理網絡中，應用推演結果前的攻擊效果如圖11所示（圖中手機號等攻擊信息為敏感信息，需進行模糊處理），攻擊者成功獲取用戶的位置信息。應用推演結果后，由于信令防火墻的攔截策略，攻擊者無法獲取用戶位置信息，如圖12所示。

圖11 利用SS7信令獲取用戶位置Fig.11 Using SS7 protocol to obtain user location

圖12 攔截SS7信令阻止獲取用戶位置Fig.12 Using SS7 protocol to prevent getting user location

（4）互聯網-DDoS攻擊

通過5G蜜網捕獲DDoS攻擊流量，建立攻擊庫，利用DDoS攻擊儀表模擬僵尸網絡發起正常業務請求，造成網絡設備過載，產生DDoS 攻擊。同時，利用專家系統形成本場景下的多種安全防護策略，并進行推演驗證，通過防御效果進行評價，形成推演結論。在孿生網絡中的推演過程如表4所示。

表4 DDoS攻擊場景推演過程Table 4 DDoS attack scenario deduction process

將推演結果下發至物理網絡中，驗證防護效果，如圖13 所示，抗DDoS 設備可以有效識別并丟棄攻擊流量，保護網絡正常運行。

圖13 抗DDoS設備識別并丟棄攻擊流量Fig.13 Anti-DDoS devices identifying and dropping attack traffic

在場景1～4的安全推演及推演結果的同步過程中，物理網絡監控大屏未出現網絡異常告警信息，如圖14所示，表明在孿生網絡中進行攻防推演不會對物理網絡的正常運行產生影響。

圖14 物理網絡運行監控Fig.14 Physical network operation monitoring

3.4 結果分析

利用孿生網絡進行安全推演，可在不影響物理網絡正常使用的情況下對安全策略進行反復調優，形成最優策略。在場景1中，若閾值設置過低則影響正常用戶的體驗，過高則不利于保護網絡設備的安全；在場景3中，若攔截策略設置過多會影響用戶正?？缇W業務，過少則不能完全阻止攻擊者的攻擊；在場景4 中，配合物理網絡的正常業務流量模型進行調優，既可快速識別攻擊流量又可盡量減少對正常流量的誤判。

在場景2 中，利用孿生推演結果，通過在物理網絡中開啟NRF 白名單過濾機制，并將網元去注冊權限進行有效限制，即可避免對任意網元的去注冊攻擊；一般攻擊者不會對自己已控制的網元進行去注冊攻擊，而是利用其為跳板進行后續攻擊。若在高安全環境的網絡中，可禁止對任何網元的去注冊操作，并開啟HTTPS加密傳輸和OAuth 2.0（open authentication，開放認證）認證機制以提高核心網安全性，防止信息泄露。

通過對多個場景進行安全推演可知，物理網絡可直接利用孿生網絡中的推演結果，且均可以有效抵御網絡攻擊，兩者具有相同的防護效果，避免了在真實網絡中直接推演帶來的多種安全風險。

4 總結與展望

由于物理網絡和孿生網絡具有高度的一致性，在孿生網絡中進行安全推演，既可保證推演結果的準確性，又可減少對物理網絡正常運行的影響與破壞，最大程度保證物理網絡業務的連續性與可靠性。

利用數字孿生技術賦能網絡安全推演，優勢在于：可快速復現物理網絡真實狀態，從而保證推演結果準確；可避免攻防推演過程中帶來的物理狀態的破壞，節省測試成本，便于重復測試；可構建復雜、大型推演場景，對如：DDoS攻擊、漏洞與病毒等在大型網絡環境下的破壞力、傳播力等進行推演與驗證。

下一步，可將多種安全推演場景進行有序編排組合，在孿生網絡中形成攻防對抗環境，便于開展5G網絡下的紅藍對抗演練。同時，也可利用安全度量模型，配合量化體系對場景面臨的安全風險進行度量，對網絡全局的安全性進行量化評估等。