5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制淺析

０引言隨著5G網(wǎng)絡(luò)商用的正式落地，5G已經(jīng)引領(lǐng)著信息技術(shù)的新一代發(fā)展，正成為當(dāng)前信息化及互聯(lián)網(wǎng)的核心。5G網(wǎng)絡(luò)的三大應(yīng)用場(chǎng)景：增強(qiáng)移動(dòng)寬帶、超可靠低時(shí)延通信、海量機(jī)器類(lèi)通信也給各類(lèi)客戶(hù)帶來(lái)了極致的通信體驗(yàn)，5G的商業(yè)應(yīng)用及專(zhuān)網(wǎng)應(yīng)用的規(guī)模正在不斷擴(kuò)大。然而，隨著5G的發(fā)展，其安全性也顯得越來(lái)越重要，尤其是需要一種可靠的機(jī)制來(lái)實(shí)現(xiàn)對(duì)5G網(wǎng)絡(luò)安全的監(jiān)測(cè)預(yù)警。對(duì)于移動(dòng)通信安全的監(jiān)測(cè)預(yù)警，4G時(shí)代主要集中在網(wǎng)絡(luò)側(cè)的應(yīng)用層，無(wú)法保證對(duì)全網(wǎng)絡(luò)安全的監(jiān)測(cè)。在5G時(shí)代，3GPP標(biāo)準(zhǔn)和5GPPP組織都提出了一些相關(guān)的解決方案，但是這些方案要么并不是專(zhuān)門(mén)用于安全監(jiān)測(cè)，要么只是一個(gè)個(gè)孤立的安全引擎，難以建立起系統(tǒng)的架構(gòu)，因此，本文提出了一種5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制，實(shí)現(xiàn)對(duì)5G安全的全面監(jiān)控。1傳統(tǒng)4G網(wǎng)絡(luò)的安全監(jiān)測(cè)技術(shù)傳統(tǒng)的4GLTE的網(wǎng)絡(luò)架構(gòu)主要由UE（UserEquipment，終端）、E-UTRAN（EvolvedUMTSTerrestrialRadioAccessNetwork，演進(jìn)的UMTS陸地?zé)o線(xiàn)接入網(wǎng)）、EPC（EvolvedPacketCore，4G核心網(wǎng)絡(luò)）、外部網(wǎng)絡(luò)四部分組成。4G網(wǎng)絡(luò)的安全監(jiān)測(cè)主要集中在IP網(wǎng)絡(luò)側(cè)，圖1是4G網(wǎng)絡(luò)的安全監(jiān)測(cè)架構(gòu)。圖14G網(wǎng)絡(luò)安全監(jiān)測(cè)架構(gòu)為了實(shí)現(xiàn)對(duì)4G網(wǎng)絡(luò)的安全監(jiān)測(cè)，采取的措施主要是在IP網(wǎng)絡(luò)部署防火墻、WAF（WebApplicationFirewall，Web應(yīng)用防火墻）、IDS（IntrusionDetectionSystem，入侵檢測(cè)系統(tǒng)）、IPS（IntrusionPreventionSystem，入侵防御系統(tǒng)）等設(shè)備。防火墻可以對(duì)流經(jīng)的網(wǎng)絡(luò)通信進(jìn)行過(guò)濾，以避免攻擊；WAF工作在應(yīng)用層，通過(guò)執(zhí)行HTTP/HTTPS的安全策略為Web應(yīng)用提供保護(hù)；IDS通過(guò)對(duì)網(wǎng)絡(luò)、系統(tǒng)的監(jiān)測(cè)來(lái)發(fā)現(xiàn)各種攻擊企圖、行為、結(jié)果；IPS可以監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的傳輸行為。通過(guò)分析可知，傳統(tǒng)4G安全監(jiān)測(cè)方案都集中在IP網(wǎng)絡(luò)側(cè)，并不能對(duì)整個(gè)通信架構(gòu)的全流程進(jìn)行安全監(jiān)測(cè)，具有很大的局限性。23GPP中的5G安全監(jiān)測(cè)方案在3GPP標(biāo)準(zhǔn)的5G網(wǎng)絡(luò)中，根據(jù)3GPPTS23.503，基于服務(wù)的5G系統(tǒng)核心網(wǎng)參考架構(gòu)由AMF（AccessandMobilityManagementFunction，接入與移動(dòng)性管理功能），SMF（SessionManagementFunction，會(huì)話(huà)管理功能），UPF（UserPlaneFunction，用戶(hù)平面功能），UDR（UnifiedDataRepository，統(tǒng)一數(shù)據(jù)存儲(chǔ)功能），NEF（NetworkExposureFunction，網(wǎng)絡(luò)開(kāi)放功能），NWDAF（NetworkDataAnalyticsFunction，網(wǎng)絡(luò)數(shù)據(jù)分析功能），AF（ApplicationFunction，應(yīng)用功能），PCF（PolicyControlFunction，策略控制功能），CHF（ChargingFunction，計(jì)費(fèi)功能）組成。圖2為基于服務(wù)的5G核心網(wǎng)架構(gòu)。圖2基于服務(wù)的5G核心網(wǎng)架構(gòu)5G網(wǎng)絡(luò)引入了網(wǎng)絡(luò)切片新技術(shù)，其是指通過(guò)網(wǎng)絡(luò)虛擬化技術(shù)，將網(wǎng)絡(luò)中的各類(lèi)物理資源抽象成虛擬資源，并基于指定的網(wǎng)絡(luò)功能和特定的接入網(wǎng)技術(shù)，按需構(gòu)建端到端的邏輯網(wǎng)絡(luò)，提供一種或多種網(wǎng)絡(luò)服務(wù)。由于網(wǎng)絡(luò)切片的存在，3GPP標(biāo)準(zhǔn)中通過(guò)NWDAF網(wǎng)元來(lái)實(shí)現(xiàn)安全監(jiān)測(cè)功能，NWDAF代表運(yùn)營(yíng)商管理的網(wǎng)絡(luò)分析邏輯功能。NWDAF為NF提供特定于片的網(wǎng)絡(luò)數(shù)據(jù)分析，NWDAF在網(wǎng)絡(luò)切片實(shí)例級(jí)別上向NF提供網(wǎng)絡(luò)分析信息（即負(fù)載級(jí)別信息），并且NWDAF不需要知道使用該片的當(dāng)前用戶(hù)。NWDAF將切片特定的網(wǎng)絡(luò)狀態(tài)分析信息通知給用戶(hù)它的NF，NF可以直接從NWDAF收集切片特定的網(wǎng)絡(luò)狀態(tài)分析信息。PCF和NSSF（NetworkSliceSelectionFunction，網(wǎng)絡(luò)切片選擇功能）都是網(wǎng)絡(luò)分析的消費(fèi)者，PCF可以在其策略決策中使用該數(shù)據(jù)，NSSF可以使用NWDAF提供的負(fù)載級(jí)別信息進(jìn)行切片選擇。NWDAF可為5G核心網(wǎng)的NF（NetworkFunction，網(wǎng)絡(luò)功能）和OAM（OperationAdministrationandMaintenance，操作維護(hù)管理）提供分析信息，可以是過(guò)去的統(tǒng)計(jì)信息，也可以是預(yù)測(cè)信息。從圖2可知，NWDAF可以根據(jù)對(duì)AMF、SMF、PCF、UDM、AF和OAM提供的事件訂閱來(lái)收集數(shù)據(jù)，從數(shù)據(jù)存儲(chǔ)庫(kù)檢索信息。檢索有關(guān)NF的信息，從而向使用者提供分析服務(wù)。NWDAF可以收集網(wǎng)絡(luò)通信的信令級(jí)信息，從而實(shí)現(xiàn)了信令級(jí)的監(jiān)測(cè)。NF服務(wù)是NF（NF服務(wù)生產(chǎn)者）通過(guò)基于服務(wù)的接口向其他授權(quán)的NF（NF服務(wù)消費(fèi)者）公開(kāi)的一種能力。根據(jù)3GPPTS23.288，NWDAF給其他NF提供的服務(wù)分為訂閱模式和請(qǐng)求模式兩種。在訂閱模式下，NWDAF服務(wù)消費(fèi)者通過(guò)調(diào)用Nnwdaf_AnalyticsSubscription_Subscribe/Nnwdaf_AnalyticsSubscription_Unsubscribe服務(wù)操作來(lái)訂閱或取消訂閱分析信息。當(dāng)訂閱信息時(shí)，NWDAF將向服務(wù)消費(fèi)者通知分析信息，取消訂閱后將不再接收。NWDAF訂閱/取消流程如圖3所示。圖3NWDAF訂閱/取消流程圖在請(qǐng)求模式下，NWDAF服務(wù)消費(fèi)者可以調(diào)用Nnwdaf_AnalyticsInfo服務(wù)操作來(lái)請(qǐng)求分析信息，NWDAF收到請(qǐng)求后，確定是否需要觸發(fā)新數(shù)據(jù)收集，如果確定要收集，則以分析信息響應(yīng)NWDAF服務(wù)消費(fèi)者。NWDAF請(qǐng)求流程如圖4所示。圖4NWDAF請(qǐng)求流程圖NWDAF最初引入時(shí),主要用于對(duì)網(wǎng)絡(luò)切片相關(guān)數(shù)據(jù)的分析,隨著5G標(biāo)準(zhǔn)的不斷發(fā)展，NWDAF獲取數(shù)據(jù)范圍不斷擴(kuò)大，還可以從運(yùn)營(yíng)商O(píng)AM，AF，5G核心網(wǎng)網(wǎng)絡(luò)功能以及第三方應(yīng)用獲取數(shù)據(jù)。基于上述的數(shù)據(jù)收集，NWDAF進(jìn)行數(shù)據(jù)分析，也可以將分析結(jié)果后提供給OAM，AF，5G核心網(wǎng)網(wǎng)絡(luò)功能以及第三方應(yīng)用。以NWDAF為核心的5G網(wǎng)絡(luò)智能化的通用框架如圖5所示。圖55G網(wǎng)絡(luò)智能化的通用框架３5GPPP中的安全監(jiān)測(cè)網(wǎng)元在5G安全監(jiān)測(cè)方面，歐洲5GPPP組織提出了5G-ENSURE計(jì)劃，安全監(jiān)測(cè)是此計(jì)劃的一個(gè)主要技術(shù)關(guān)注點(diǎn)。其一共提出了4個(gè)相關(guān)網(wǎng)元，即SatNav，PulSAR，通用收集器接口以及系統(tǒng)安全狀態(tài)存儲(chǔ)庫(kù)。SatNav主要用于衛(wèi)星網(wǎng)絡(luò)監(jiān)測(cè)，主要目標(biāo)是在5G集成衛(wèi)星和地面系統(tǒng)中提供偽實(shí)時(shí)監(jiān)控和威脅檢測(cè)。衛(wèi)星網(wǎng)絡(luò)監(jiān)測(cè)主要包括兩部分，客戶(hù)端功能以及服務(wù)器端功能，客戶(hù)端功能（例如5G-eNodeB，衛(wèi)星終端，UE）能夠從網(wǎng)絡(luò)組件中收集指標(biāo)并將其發(fā)送到服務(wù)器端，此功能應(yīng)部署在每個(gè)網(wǎng)絡(luò)組件。服務(wù)器端功能（即安全監(jiān)視服務(wù)器），能夠配置客戶(hù)端功能部件以及提供消耗量指標(biāo)的偽實(shí)時(shí)監(jiān)控。此功能應(yīng)部署在中央服務(wù)器。PulSAR的目的是通過(guò)攻擊圖清晰地了解網(wǎng)絡(luò)攻擊的進(jìn)程。PulSAR通過(guò)在5G網(wǎng)絡(luò)中生成攻擊圖來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行全面的風(fēng)險(xiǎn)分析。它依賴(lài)于網(wǎng)絡(luò)的拓?fù)湫畔ⅲǚ阑饓σ?guī)則、流矩陣、路由表、虛擬機(jī)放置等）以及來(lái)自物理和虛擬機(jī)的漏洞掃描信息。以枚舉從任何計(jì)算機(jī)到任何其他計(jì)算機(jī)的所有攻擊路徑。然后根據(jù)這些攻擊路徑的可能性和難度（使用度量標(biāo)準(zhǔn)，例如長(zhǎng)度和所利用漏洞的CVSS難度）進(jìn)行評(píng)分，并通過(guò)RESTAPI呈現(xiàn)給用戶(hù)。通用收集器接口旨在實(shí)現(xiàn)事件和日志之間的互操作性，以便允許在5G網(wǎng)絡(luò)內(nèi)部部署FastData技術(shù)。啟動(dòng)器提供日志和事件的唯一格式。通用收集器接口可以從5G網(wǎng)絡(luò)元素以及組件收集數(shù)據(jù)，然后向授權(quán)方和參與方提供大量數(shù)據(jù)，包括與虛擬化，身份管理，通信協(xié)議/層/堆棧和某些特定特權(quán)升級(jí)有關(guān)的日志和事件。其還利用5G網(wǎng)絡(luò)內(nèi)部高效的FastData實(shí)施，以盡快發(fā)現(xiàn)網(wǎng)絡(luò)的安全性和效率問(wèn)題。通用收集器接口由三個(gè)主要的軟件塊組成，分別是客戶(hù)端引擎軟件、服務(wù)器引擎軟件和服務(wù)軟件。系統(tǒng)安全狀態(tài)存儲(chǔ)庫(kù)在一個(gè)可以可視化和分析的模型中捕獲系統(tǒng)狀態(tài)，以了解存在哪些威脅，并檢查設(shè)計(jì)是否符合要求。4一種5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制對(duì)于普通的安全場(chǎng)景來(lái)說(shuō)，3GPP標(biāo)準(zhǔn)中規(guī)定的NWDAF就可以實(shí)現(xiàn)基本的安全監(jiān)測(cè)功能，但是其也有一定缺陷。一是其在5G核心網(wǎng)中，只適用于一般監(jiān)測(cè)，不利于功能擴(kuò)展，如果將5GPPP的一些模塊加入將會(huì)導(dǎo)致系統(tǒng)結(jié)構(gòu)混亂，不利于管理；二是其主要輸出信息比較簡(jiǎn)單，并未經(jīng)過(guò)復(fù)雜算法集成，僅靠一個(gè)網(wǎng)元難以進(jìn)行，因此，借鑒5G網(wǎng)絡(luò)的SDN架構(gòu)，提出了一種新的5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制。在5G網(wǎng)絡(luò)中，為了解決現(xiàn)有網(wǎng)絡(luò)固有的功能擴(kuò)展性差、個(gè)性定制化困難、基礎(chǔ)設(shè)施成本居高不下的矛盾，于是引入了以SDN（SoftwareDefinedNetwork，軟件定義網(wǎng)絡(luò)）技術(shù)為基礎(chǔ)的5G網(wǎng)絡(luò)架構(gòu)，SDN是一種數(shù)據(jù)控制分離、軟件可編程的新興網(wǎng)絡(luò)體系結(jié)構(gòu)。采用了集中式的控制平面和分布式的轉(zhuǎn)發(fā)平面，控制平面利用開(kāi)發(fā)的控制—轉(zhuǎn)發(fā)通信接口對(duì)轉(zhuǎn)發(fā)平面上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中控制，同時(shí)提高了靈活的可編程能力。5G中的SDN典型體系架構(gòu)分為應(yīng)用層、控制層、網(wǎng)絡(luò)基礎(chǔ)設(shè)施層3個(gè)層面。網(wǎng)絡(luò)基礎(chǔ)設(shè)施層又叫數(shù)據(jù)轉(zhuǎn)發(fā)層，由各種轉(zhuǎn)發(fā)設(shè)備組成，可以實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)收集、存儲(chǔ)、發(fā)送功能。控制層連接著應(yīng)用層以及基礎(chǔ)設(shè)施層，通過(guò)基礎(chǔ)設(shè)施層的交換設(shè)備可以實(shí)現(xiàn)報(bào)告網(wǎng)絡(luò)狀態(tài)等功能，同時(shí)與應(yīng)用層通過(guò)各種API進(jìn)行連接，實(shí)現(xiàn)各種形式的服務(wù)訪問(wèn)。應(yīng)用層主要是滿(mǎn)足各類(lèi)用戶(hù)的服務(wù)需求而開(kāi)發(fā)的各類(lèi)商業(yè)應(yīng)用，這些應(yīng)用程序依托控制器控制基礎(chǔ)設(shè)施層的轉(zhuǎn)發(fā)設(shè)備，實(shí)現(xiàn)動(dòng)態(tài)接入控制、服務(wù)器負(fù)載均衡、資源調(diào)度等功能。SDN典型架構(gòu)如圖5所示。圖5SDN典型架構(gòu)在前面的標(biāo)準(zhǔn)中，為了實(shí)現(xiàn)安全監(jiān)測(cè)預(yù)警功能，往往只是從核心網(wǎng)中添加一個(gè)個(gè)離散的互不關(guān)聯(lián)的模塊，并沒(méi)有形成一個(gè)系統(tǒng)的安全監(jiān)測(cè)預(yù)警系統(tǒng)。因此，基于5G網(wǎng)絡(luò)的SDN架構(gòu)進(jìn)行了擴(kuò)充，提出了一種將安全監(jiān)測(cè)與網(wǎng)絡(luò)通信松耦合的系統(tǒng)，通過(guò)單獨(dú)的安全監(jiān)測(cè)預(yù)警機(jī)制，將安全監(jiān)測(cè)架構(gòu)與5G網(wǎng)絡(luò)架構(gòu)融合起來(lái)，從基礎(chǔ)設(shè)施層到控制層再到應(yīng)用層，實(shí)現(xiàn)全流程全信息，同時(shí)適用于商用5G和專(zhuān)用5G網(wǎng)絡(luò)的安全監(jiān)測(cè)預(yù)警機(jī)制。此機(jī)制突破了傳統(tǒng)的僅關(guān)注于應(yīng)用層監(jiān)測(cè)的局限，實(shí)現(xiàn)了信令級(jí)的監(jiān)測(cè)。圖6一種5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警架構(gòu)一種5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警架構(gòu)，主要由普通網(wǎng)絡(luò)域和安全監(jiān)測(cè)域兩大部分組成，普通網(wǎng)絡(luò)域與經(jīng)典SDN架構(gòu)基本相同，而安全監(jiān)測(cè)域與SDN架構(gòu)一樣，一共分為三層：（1）安全監(jiān)測(cè)應(yīng)用層：根據(jù)5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警的需求，開(kāi)發(fā)的相應(yīng)的安全應(yīng)用SAPP，以直觀化的方式向客戶(hù)實(shí)時(shí)顯示網(wǎng)絡(luò)安全狀態(tài)并進(jìn)行預(yù)警。同時(shí)繼承4G網(wǎng)絡(luò)中的防火墻、WAF、IDS、IPS等安全技術(shù)，在應(yīng)用層層面進(jìn)行全面的安全監(jiān)測(cè)。安全應(yīng)用層與監(jiān)測(cè)控制層通過(guò)安全接口進(jìn)行通信，可以接收監(jiān)測(cè)控制層傳來(lái)的狀態(tài)信息。（2）監(jiān)測(cè)控制層：監(jiān)測(cè)控制層與普通網(wǎng)絡(luò)域的控制層同級(jí)，主要由監(jiān)測(cè)單元、預(yù)警單元、擴(kuò)展單元、等模塊組成，監(jiān)測(cè)單元通過(guò)采集普通網(wǎng)絡(luò)域的控制層的狀態(tài)數(shù)據(jù)（包括信令級(jí)信息），然后通過(guò)預(yù)警單元進(jìn)行預(yù)測(cè)，通過(guò)一定概率算法等預(yù)計(jì)網(wǎng)絡(luò)安全狀態(tài)，在應(yīng)用層進(jìn)行顯示。擴(kuò)展單元主要是添加一些安全監(jiān)測(cè)新功能，如安全攻擊路線(xiàn)計(jì)算、特殊場(chǎng)景的安全監(jiān)測(cè)等，便于進(jìn)行擴(kuò)展，具有低成本、快速迭代、軟件開(kāi)放性等優(yōu)勢(shì)。（3）安全監(jiān)測(cè)設(shè)備層：主要部署安全監(jiān)測(cè)所需要的設(shè)備，接受控制層下發(fā)的控制指令，并根據(jù)指令完成監(jiān)測(cè)的相關(guān)任務(wù)。這種5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制，具有廣泛的適用性，不僅可以應(yīng)用于大規(guī)模的商用5G網(wǎng)絡(luò)，而且對(duì)于小范圍的專(zhuān)用5G網(wǎng)絡(luò)同樣適用。在商用網(wǎng)絡(luò)中，可以根據(jù)實(shí)際安全需要，按需部署，既可以?xún)H側(cè)重于應(yīng)用層等某一層的監(jiān)測(cè)，也可以擴(kuò)展到全層次的監(jiān)測(cè)，既可以監(jiān)測(cè)某一段小網(wǎng)絡(luò)，也可以在上層擴(kuò)展到大網(wǎng)。對(duì)于專(zhuān)用5G網(wǎng)絡(luò)，其安全監(jiān)測(cè)的需求較高，尤其是軍民融合專(zhuān)網(wǎng)，可分為普通域和高安全域，其安全監(jiān)測(cè)預(yù)警總體結(jié)構(gòu)如圖7所示。圖7軍民融合5G專(zhuān)網(wǎng)安全監(jiān)測(cè)預(yù)警總體結(jié)構(gòu)在此系統(tǒng)中，終端側(cè)植入安全監(jiān)測(cè)探針進(jìn)行底層監(jiān)測(cè)，安全應(yīng)用SAPP進(jìn)行應(yīng)用層監(jiān)測(cè)預(yù)警；網(wǎng)絡(luò)側(cè)將普通域與高安全域通過(guò)防火墻隔離過(guò)濾，監(jiān)測(cè)預(yù)警單元實(shí)現(xiàn)控制層監(jiān)測(cè)功能，同時(shí)DN側(cè)加入IDS、IPS、WA