网络架构安全与网元交互安全:5G核心网网元服务异常检测( 二 )
5GC网元服务异常检测原型
数据解析部分采用了Pyshark所提供的方法 。tshark是wireshark下的解包工具 , 而Pyshark是针对tshark的Python封装器 , 利用Pyshark可以通过Python程序将数据包中各层的各个字段解析出来 。
在数据包中 , HEADER帧与DATA帧有时是分开的 , 由此会引发数据包的截断问题 , 即header与body不在同一数据帧中 。那么在提取参数结构之前 , 首先需要解决参数的归属问题 。使用http2 stream id与tcp stream id可以将同一请求的信息关联起来 。
为解决高并发下的数据包归属问题 , 需要从解析后的数据集中提取用户信息 。这里的用户信息主要是指用户设备在核心网中的身份标识 , 根据3GPP TS23.502 , 用户设备在核心网中的身份标识包括用户永久标识符(SUPI)、用户隐藏标识符(SUCI)、永久设备标识符(PEI)、5G全球唯一临时标识符(5G-GUTI)等 。通过对已有数据集的分析处理 , 用户设备的身份标识主要包含在请求的URL中的请求参数与响应参数中 。因此 , 在这几个字段下 , 采用关键字符匹配的手段 , 可提取出用户设备的身份标识 , 并将其作为一项特征存储进数据集中 。
判断两次通信是否属于同一序列的一项重要标准为:这两次通信间是否存在“响应等待” 。以核心网对用户设备的鉴权流程为例 , 此流程的网元调用序列为AMF-AUSF-UDM-UDR , 映射到数据包中体现为AMF向AUSF发起请求 , AUSF向UDM发起请求 , UDM向UDR发起请求 , UDR向UDM返回响应 , UDM向AUSF返回响应 , AUSF向AMF返回响应 。由此看来 , 序列存在的一项关键特征为 , 序列前置位的网元发送通信请求后 , 不会立刻收到响应回复 , 需要等待序列后置位的网元以序列逆序依次返回响应 。
* * *
5GC网元服务安全异常检测原型的核心技术在于参数结构提取算法、序列还原算法以及参数筛选模型 。通过实验验证 , 检测原型可以有效检测出5GC网元服务异常 。
在协议安全方面 , 下一步还需要对N1、N2、N4接口协议可能存在的脆弱性进行分析和验证 。此外 , 尚需要将5GC的业务行为引入检测机制 , 建立更细粒度的基线 。
盼望5GC作为万物互联的基础设施之一 , 可以高效且安全地为大家提供便利 。
(辛冉系中国信息通信研究院安全研究所工程师 , 高深、阮博男系绿盟科技集团股份有限公司安全研究员)
- 华为p50pro5g手机壳发布,5g网络将不再缺陷
- “智慧大脑”给燃气安全再上一道“阀”
- 联通网络“好服务”架起荷乡“数字桥”
- 360安全专家:网络攻击直达工业生产一线,亟需数字安全屏障
- 中国电信安徽六安分公司:挥洒汗水践行担当 确保千家万户网络通畅
- 贵港首张!影迅物流获得“网络货运”运营牌照
- 上海:电网安然度过首轮高温 加强监测保证运维安全
- 星途黄招根“星途启动‘双网共修’计划,打造无忧服务网络”
- 量子网络的非局域性得到实验检验
- 华为畅享50pro正式亮相,骁龙680芯片不支持5g网络