5G共建共享網絡可視化安全態勢感知研究

吳 夏 宋仕斌 姜 山 王 毅 鄧力為

1(中國電信股份有限公司四川分公司 成都 610015)

2(四川公眾項目咨詢管理有限公司 成都 610058)

3(四川大學錦江學院 四川眉山 620860)

截至2022年初,中國聯通與中國電信建成了共享基站超過70萬站,累計節省網絡建設投資超2100億元,每年節約網絡運營成本約200億元,節電超100億kW·h,降低碳排放600萬t[1].然而,共建共享雙方共用的基站通過承載網的互聯鏈路實現互聯互通,增加了攻擊面.組網方式、業務路由、運營模式的隨之變化,也引發了網元身份假冒、非授權訪問、敏感數據泄露、跨網絡攻擊、端到端業務安全能力不平衡、安全事件協作響應不及時等新的網絡與信息安全風險.

1 5G共建共享網絡的安全威脅分析

5G基站共建共享主要分為基站側、傳輸側及核心網,其中基站側完成共享,分別通過各自傳輸層接入各自核心網,用戶體驗基本等同于自建網絡[2].5G技術在為用戶帶來更豐富的業務和更好的用戶體驗的同時,其面臨的安全問題不容忽視[3].

1.1 共享網絡基礎設施安全威脅

5G網絡基礎設施安全威脅主要包括共享基站的部署環境、硬件設備以及基站內部軟件等.對于部署環境和硬件設施面臨的安全威脅是損壞設備周圍環境的溫度、煙霧等.如黑客破解基站密碼后,發起非授權登錄行為或者內部人員登錄基站后執行非授權訪問、越權訪問、非法上傳下載等惡意操作,從而破壞基站內部文件和數據,導致共享基站不可用.

1.2 共享無線空口安全威脅

共享基站和用戶終端間無線信號傳播帶來空口安全問題.攻擊者使用偽基站通過強信號來騙取合法用戶接入,從而對終端進行欺騙性攻擊,盜取用戶數據實施欺詐;基站發射區域內,非法用戶接收發射信號,然后通過偵聽、嗅探、破解等手段獲取基站的轉發數據,造成信息泄露.

1.3 共享傳輸網絡安全威脅

共享基站用戶面、信令面數據傳輸通過以太網傳輸面臨安全威脅,包括泛洪攻擊、DDoS攻擊、畸形報文攻擊等會造成網絡堵塞或癱瘓而退服.目前針對傳輸網絡的安全方案主要通過配置防火墻過濾規則和ACL報文過濾功能進行泛洪攻擊防范和非法報文攻擊防范等.

1.4 管理面的安全威脅

管理面的安全威脅仍在于賬戶和密碼管理的健壯性,如弱密碼會增大暴力破解的成功率,導致攻擊者非法入侵基站.為滿足共建共享雙方對網絡的運營管理需求,引入了反拉終端向共享方開放網管能力.網管開放加大了網管賬號開通、賬號權限分配和管理的難度.

2 5G共建共享網絡的安全管理痛點分析

5G網絡存在已知的攻擊,但也存在大量的未知或者未披露的攻擊.導致這些災難的主要原因是缺少有效的檢測手段,無法準確地獲悉網絡究竟遭受了哪些攻擊.目前的解決方案能起到一定的安全防護作用,但仍存在諸多痛點問題.

2.1 可檢測、可響應能力明顯缺失

5G網絡共享方因單方面需要可能會在承建方基站實施優化措施,這些措施可能造成資源傾斜或性能影響.

2.2 整網安全情況無法感知、呈現度不足

5G共建共享網絡目前不具備網元網管安全配置核查風險的能力,現有的解決方案主要靠人力評估網絡優化和用戶感知,成本高、效率低,主要是單點防御行為.對于外來攻擊,現有方案僅能被動防護,各自為戰缺乏協作,不具備網絡入侵檢測、異常行為分析、多網元關聯分析等高級威脅防御能力和安全策略自部署的能力,無法呈現整個網絡的安全狀態及其變化趨勢.

3 5G共建共享網絡可視化安全態勢感知模型

網絡安全態勢感知是對網絡安全狀態的一種持續認知過程,為安全決策提供支持[4].5G共建共享網絡的安全態勢感知架構主要由入侵檢測、安全態勢分析、安全態勢感知呈現、安全檢測管理和策略響應等模塊構成,5G共建共享網絡安全態勢感知邏輯架構模型如圖1所示:

圖1 5G共建共享網絡安全態勢感知邏輯架構模型

3.1 入侵檢測

入侵檢測系統(intrusion detection system, IDS)、防火墻、漏洞掃描等傳統防御技術無法提供智能高效的網絡安全分析和預測服務[5].態勢感知對入侵系統的關鍵文件篡改、權限提升等攻擊行為進行檢測.

3.2 安全態勢分析

網絡安全態勢感知主要是以網絡、網絡中的安全監控設備與設備之間的日志、預告警作為基礎,對網絡系統進行實時動態化的綜合分析,旨在解決網絡安全問題[6].基于安全日志、操作日志、系統日志等進行審計,分析對系統的異常行為.

3.3 安全態勢感知呈現

安全態勢智能化展示通過網絡態勢感知、網絡態勢理解和網絡態勢預測生成的網絡安全綜合態勢,利用圖像、表格和統計模型實現數據可視化和態勢可視化[7].包括空口安全態勢、運維安全態勢、系統安全態勢、傳輸安全態勢和配置核查分析.通過安全配置核查基線值,對現網的網元安全配置項和具體參數值進行核查,將識別出來的缺陷在網管上可視化呈現.

3.4 安全檢測管理

安全態勢感知利用系統實現數據的采集、數據分析、風險的評估[8];管理入侵檢測和異常行為分析的安全事件;對入侵檢測和異常行為分析的事件進行響應策略管理;管理入侵檢測和異常行為分析的檢測規則.

3.5 策略響應

安全態勢感知是指對威脅網絡安全狀態的各個要素進行分析計算,根據已有的數據信息進行自我推理和完善,實現未來整體網絡安全發展趨勢的預測[9].該安全態勢感知檢測到安全事件后,可以通過人工執行響應策略,恢復安全事件.

4 安全態勢感知功能實現路徑分析

態勢感知能夠適應當前5G共建共享網絡的安全形勢,基于態勢感知架構,運維人員可以隨時查看網絡系統的安全狀況,并根據處理建議制定響應策略,提升主動防御能力,避免系統遭受攻擊,實現韌性可信的5G網絡安全目標.收集網絡安全的安全態勢數據的脆弱性評估數據特征、威脅性評估數據特征、系統運行數據特征,實現數據特征的高效采集[10].基于成熟商用大數據平臺[11]態勢感知應用于5G共建共享網絡安全.能夠實時檢測到網絡系統受到的攻擊或者惡意操作,管理界面呈現可視化感知.支持網元在運維面、系統面、網絡傳輸面和無線空口的安全事件檢測,覆蓋終端側的DDoS/DoS攻擊[12]等威脅類型.

4.1 空口安全態勢感知

空口安全態勢支持偽基站檢測,用戶上報檢測報告到共享基站,共享基站將用戶上報的檢測報告、同頻切換事件、配置等信息發送給mAOS,mAOS根據基站上報的數據進行分析,檢測基站是否受到偽基站影響,并根據檢測數據給出偽基站相應的信息,包括基站ID,CGI,PCI,TAC等信息,用戶可以在態勢感知界面上查詢偽基站檢測結果.

4.2 運維安全態勢感知

運維安全態勢基于規則和AI的檢測算法實時采集網管和網元的安全日志、操作日志等數據,按照系統定義的檢測規則進行分析和預測.將識別出來的這些安全事件在網管上呈現,并支持分析這些安全事件隨著時間變化的趨勢.不同類型日志信息攻擊屬性存在著較大的差異[13].運維安全態勢支持異常行為分析,其基本原理是基于網絡的日志進行審計,分析對系統的異常行為.

4.3 系統安全態勢感知

系統安全態勢根據產品OS日志和OS相關機制,按照系統定義的檢測規則進行分析和實時監控,識別攻擊者對設備系統實施的攻擊行為.在系統中,有些任務需要在執行一段時間之后根據業務邏輯判斷是否取消[14].將識別出來的這些安全事件在網管上呈現,并支持分析這些安全事件隨著時間變化的趨勢.系統安全態勢支持異常行為分析,基于系統的OS日志等進行審計,分析對系統的異常行為.

4.4 網絡傳輸安全態勢感知

網絡傳輸安全態勢根據產品傳輸面各種報文類型的流量等信息,按照系統定義的檢測規則進行分析,識別攻擊者通過傳輸報文實施的攻擊行為.產品功能上也支持對傳統IT網絡環境使用的HTTP,FTP等協議的文件傳輸進行審計[15].網絡傳輸安全態勢支持防非法報文攻擊檢測,非法IP報文被包過濾特性識別后,基站會丟棄報文并緩存一部分報文的IP頭部信息,追蹤攻擊來源.網絡傳輸安全態勢支持防泛洪攻擊檢測,基站對傳輸接口上ARP/ICMP/SCTP等報文類型進行DoS檢測,追蹤攻擊來源.網絡傳輸安全態勢支持IPSEC重放攻擊檢測,IPSEC協議會根據設置的抗重放窗口,丟棄重放的攻擊報文,基站會緩存部分IPSEC的頭部信息,追蹤攻擊來源.傳輸網絡安全態勢支持ARP/ND欺騙攻擊檢測,系統對ARP/ND的欺騙報文進行檢測,并緩存一部分報文的MAC和IP信息,追蹤攻擊來源.

4.5 安全配置核查分析

安全配置核查支持網絡系統的脆弱性呈現,能夠默認或手動核查并在界面呈現配置核查出的網管網元不安全風險項.依托安全大數據、威脅情報分析優勢,實時監測企業安全態勢[16].若發現存在不安全配置,給出明確的風險提示并建議修復,從而使運營商安全管理員可以獲得網元安全策略及配置的全景信息,進而對現網存在的不安全配置進行調整,降低網絡安全風險.

5 應用案例與功能驗證

本文采用可視化安全態勢感知模型及研究理論對5G共建共享網絡的網元/網管異常行為進行了分析、驗證.在監測到攻擊中存在DDoS大流量帶寬攻擊和CC攻擊時,需要同時啟用DDoS清洗設備和高防設備[17].基于態勢感知,部署態勢感知組件,能夠呈現全網已知和未知威脅,實現整網安全感知.態勢感知是一種基于環境的、動態的、系統的洞悉安全風險的能力,可以全面地發現、識別安全威脅,并能準確分析、及時處理安全威脅的一種方式[18].

5.1 實驗硬件部署

態勢感知架構以微服務的形式部署在網管上,基于態勢感知,部署態勢感知組件,能夠實現全網快速檢測、響應和恢復能力.網管面向X86/ARM服務器交付部署,網管資源要求至少2個VM,單個VM內存至少64GB,CPU至少8U.

5.2 軟件架構設計

基于態勢感知的5G共建共享網絡安全解決方案軟件架構如圖2所示.

圖2 5G共建共享網絡安全態勢感知軟件架構

1) 網元部署態勢感知入侵檢測組件,集成在軟件包中,網管的每個VM均部署態勢感知檢測組件;

2) 網管上啟用流日志采集功能;

3) 網管上啟用安全配置核查功能,設置配置檢查參數;

4) 基站上啟用泛洪報文攻擊防范功能,安全態勢感知功能才能進行泛洪報文攻擊感知;

5) 基站TCP/UDP端口掃描信息捕獲功能開啟后,安全態勢感知功能才能進行端口掃描行為的檢測.

5.3 5G網元/網管異常行為分析檢測流程

無線通信系統發展迅速,許多黑客利用網絡中的安全缺陷和漏洞攻擊網絡[19].5G網元網管異常行為分析的檢測流程及具體檢測方案為:1)網管和網元通過安全日志和操作日志,記錄攻擊者或者內鬼(內部運維人員)登錄網管和網元實施的操作行為,如賬號增刪、密碼修改、暴力破解等;2)網管和網元采用現有的日志上報機制,將日志、用戶列表上報網管;3)網管通過集成態勢感知的異常檢測分析組件,根據配置的檢測規則分析網管和網元的日志、用戶列表等信息,識別網管和網元是否有遭受攻擊行為;4)態勢感知異常檢測分析組件,將分析的結果通過安全態勢呈現給客戶;5)對于部分檢測事件,根據檢測規則的處理建議,檢測到異常后立即自動執行處理建議中的策略響應,如對于暴力破解成功的賬號可以實施鎖定賬號,對于攻擊的源地址可以拉入黑名單.

5.4 安全配置核查檢測流程

網絡安全態勢感知工作能夠通過量化數值判斷網絡系統目前的安全狀態[20].安全配置核查靜態數據在Deployment界面完成核查操作,Deployment界面提供核查數據給態勢感知組件呈現.

1) 用戶打開整體態勢感知頁面,觸發配置核查數據獲取;

2) 態勢感知公共組件向網管請求配置核查結果數據,網管提供數據查詢接口;

3) 網管向Deployment請求配置核查結果數據,Deployment提供數據查詢接口;

4) Deployment按照接口條件返回配置核查結果記錄集;

5) 網管按照接口條件返回配置核查結果記錄集;

6) 態勢感知將配置核查數據結果按照整體態勢感知的要求進行呈現.

5.5 取證溯源分析能力驗證

本文實驗針對每個資產(網元/網管),先根據檢測到的攻擊事件按照事件風險等級(高、中、低、提示)、攻擊階段和可信度等因子利用轉移矩陣等算法進行計分,計算出每個資產的安全威脅度,再進行遞歸計算整網的風險評分.通過檢測算法將這些上下文操作進行關聯,形成惡意操作行為鏈,實現更有說服力的攻擊舉證和溯源,并為響應策略的制定提供依據.

5.6 實驗測試結果

基于態勢感知的5G共建共享網絡安全解決方案支持動態檢測和靜態核查,覆蓋運維、空口、系統和傳輸4大安全領域威脅場景,整體態勢測評結果如圖3所示.態勢感知利用AI檢測技術,結合用戶和實體行為分析(UEBA)檢測,能夠從海量數據中快速關聯出異常操作行為和網絡安全威脅.

圖3 5G共建共享網絡安全整體態勢測評結果

6 結 語

隨著5G共建共享網絡建設的投入力度日益增大,企業運營商等經受著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”雙重考驗,所面臨的網絡安全形勢日趨嚴峻.安全態勢感知基于大數據的架構平臺和AI的核心檢測模型能夠實現檢測分析、統籌指導、威脅預測一體化流程.結合大數據、人工智能等技術實現安全態勢感知模型的應用[21].隨著物聯網技術和5G移動通信技術網絡架構的快速發展,各類新型服務模式和業務不斷涌現[22].安全態勢感知應用于5G網絡,將聯合企業自主研發,以客戶需求和技術創新為驅動力,持續迭代升級,推出滿足客戶需求、適應市場發展的產品和服務.安全態勢分析展示模塊實時呈現攻防對抗的情況[23].安全態勢感知在5G共建共享網絡的實踐應用將推動網絡與信息安全領域實現商業模式轉型升級.規?；瘧煤笙嘈艑⒁云浼夹g和效益優勢推進5G共建共享網絡安全產業的快速發展.