【YD通讯标准】 移动伪基站网络侧监测技术要求

ICS35.100.05
中华人民共和国通信行业标准
YD/T3167-2016
移动伪基站网络侧监测技术要求Technicalrequirementsfor pseudo base station monitoringonnetwork-side2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件
术语和定义wwW.bzxz.Net
4缩略语·
5伪基站网络侧监测概述
6伪基站网络侧监测技术要求
附录A（资料性附录）移动伪基站原理及危害附录B（资料性附录）网络侧监测的异常LAC号次
附录C（资料性附录）移动伪基站现场定位作业方法建议YD/T3167-2016
YD/T3167-2016
本标准按照GB/T1.1-2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国移动通信集团公司、中国移动通信集团设计院有限公司、中国联合网络通信集团有限公司、华为技术有限公司、武汉烽火科技集团有限公司。本标准主要起草人：张滨、赵刚、孟德香、杜雪涛、李祥军、朱艳云、杜刚、刘利军、张晨
王馨裕、张、袁捷、冯运波、娄涛、檀鹏、朱安南、陈璟、叶猛。HiiKAoNiKAca
1范围
移动伪基站网络侧监测技术要求YD/T3167-2016
本标准规定了通过在GSM网络侧监测发现伪基站活动的具体技术要求，主要包括：监测的架构及流程、信令采集要求、数据处理、智能识别、预警分析、定位分析、活动规律分析、实时预警与追踪等内容。
本标准适用于对伪基站的网络侧监测2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。3GPPTS24.008移动无线接口层3规范（TechnicalSpecificationGroupCoreNetworkandTerminals;Mobile radio interfaceLayer3specification)3术语和定义
下列术语和定义适用于本文件。3.1
移动伪基站PseudoBasestation
非法使用运营商的频率，假冒运营商网络，伪装成运营商基站的假基站。它利用大功率发射信号和无线参数优选设置诱骗客户手机接入，收集客户信息同时可伪造任意发送号码强行向覆盖区内的手机发送不良信息。伪基站发送垃圾短信原理及危害参见附录A。4缩略语
下列缩略语适用于本文件。
Global Systemfor Mobile communicationGeographic Information SystemLocation Area Code
全球移动通信系统
地理信息系统
位置区编码
国际移动用户识别码
International MobileSubscriberIdentificationNumberTemporaryMobile SubscriberIdentityCell Identity
Base station controller
Mobile Switch Center
Drive Test
5伪基站网络侧监测概述
临时识别码
小区识别码
基站控制器
移动交换中心
本标准定义的伪基站网络侧监测技术是指在GSM网络侧监测骚扰用户的伪基站活动，通过监测实1
HiiKAoNiKAca
YD/T3167-2016
现对疑似伪基站活动的实时、准确预警，跟踪伪基站的影响程度和范围，并快速定位伪基站的位置，实时监控其动态。
5.1伪基站网络侧监测架构
伪基站网络侧监测是通过从GSM网络的BSC和MSC之间获取LAC位置更新相关信令，从外部获取包括网络工程参数表、网络邻区关系表等基础数据，结合基础数据及信令进行位置更新异常分析发现伪基站活动，并进行实时预警及定位（网络侧可监测到的异常LAC信号参见附录B）。伪基站网络侧监测的位置如图1所示。
GSM网络
MSC/VLR
伪基站网络侧监测系统
基础数据
图1伪基站网络侧监测系统位置
伪基站网络侧监测系统架构如图2所示。伪基站网络侧监测系统由三个功能模块构成：数据采集模块、数据处理与分析模块、实时预警与追踪模块。伪基站网络侧监测系统
实时预警与追踪
数据处理与分析
数据采集
图2伪基站网络侧监测系统架构
数据采集模块从现网获取信令并合成指定LAC话单：数据处理与分析对不断更新的LAC话单进行实时处理与分析：实时预警与追踪实现对伪基站活动的实时预警和定位追踪。5.2伪基站网络侧监测流程
伪基站网络侧监测流程如图3所示。HiiKAoNiKAca
从GSM网络侧获取信令数据
合成指定LAC信令话单
实时进行海量数据分析
是否有疑似伪基站活动？
预警：小区信息、可疑LAC信
息、时间信息、位置更新信息
地图实时呈现伪基站活动位
置、路线及影响范围
图3伪基站网络侧监测流程
伪基站网络侧监测的流程步骤如下：YD/T3167-2016
a）伪基站网络侧监测系统从GSM网络BSC和MSC之间不断获取LAC位置更新相关信令；b）对信令数据进行LAC话单合成处理：c）以小区为单位，对海量的话单数据进行实时分析判断是否有异常情况；d）若发现有疑似伪基站活动，则进行实时预警，综合呈现出各种预警信息：小区信息、可疑IAC信息、时间信息、位置更新信息等：e）同时结合GIS地图信息，分析及呈现出伪基站的活动位置、影响范围及活动路线。6伪基站网络侧监测技术要求
6.1数据采集
（准）实时信令采集
（准）实时信令采集能够从GSM网络BSC和MSC之间获取位置更新相关的信令，并自动合成指定LAC话单。
LAC话单应包括如下字段：
开始时间：
结束时间（可选）：
源LAC：
目的LAC；
目的CI：
HiiKAoNiKAca
YD/T3167-2016
位置更新类型：
·正常位置更新；
·周期性位置更新；
·IMSI 附着。
位置更新执行结果：
·成功；
·失败。
TMSI（可选）；
IMSI（可选）。
为最大程度上确保疑似伪基站活动预警的实时性，LAC话单的更新周期应在20s~5min之间，建议为Imin。
信令采集也可以利用现有平台，如现网的信令监测平台（或协议处理机或信令采集系统）。6.1.2基础数据采集
伪基站网络侧监测系统需要从外部获取基础数据，基础数据包括网络工程参数表、网络邻区关系表，用于辅助伪基站活动的分析及实时预警与追踪的呈现。6.1.2.1网络工程参数表
网络工程参数表提供了小区的物理参数信息。对于移动伪基站网络侧监测系统监控到的小区，应提供如下字段：
小区中文名称。
经度。
一纬度。
区县。
一小区类型：
·4G。
一所属BSC（可选）。
所属MSC（可选）。
对于网络工程参数表应当不定期更新。6.1.2.2网络邻区关系表
网络邻区关系表提供了小区的邻区关系信息。对于移动伪基站网络侧监测系统监控到的小区，应至少提供如下字段：
小区中文名称：
TiiKAoiKAca
邻小区CI：
邻小区LAC：
邻小区名称。
上述网络工程参数应当不定期更新。6.2数据处理与分析
6.2.1数据处理
YD/T3167-2016
数据处理需对获取的LAC话单以小区为单位按照指定周期进行快速聚合与快速入库，确保实时预警数据的时效性。
6.2.2智能识别
监测系统能够按照一定的规则对每个小区进行位置更新次数的分析，以能够发现并为各小区设置独立合理的预警门限，提高预警准确性。智能识别的对象可选择：
小区位置更新次数的总数：迁入到该小区的位置更新总次数；小区位置更新的分LAC次数：每个LAC号迁入到该小区的位置更新次数，智能识别的结果可选择：
最大值：
均值。
智能识别需考虑的因素包括：
不同时段：以小时为单位，一天24个时段。小区所处本LAC的位置：
·LAC边缘区；
·LAC非边缘区。
6.2.3预警分析
预警分析能够对获取的数据进行实时分析，发现存在疑似伪基站活动的小区。预警分析中应考虑如下因素：
网络工程参数表：
网络邻区关系表：
智能识别结果。
应能够在收到LAC话单后，在指定时间（建议20s~2min），内完成疑似伪基站活动的预警，预警以受影响的小区为单位产生。
为保证预警信息的全面性，预警分析能够支持以下功能：能够分析出位置更新异常的小区：能够分析出位置更新异常的LAC号：能够分析出未知LAC号：
能够分析出疑似伪基站活动起止时间。预警分析要以指定的周期（可配置，建议20s~5min）持续进行，为保证实时性，建议尽量采用较短的时间周期。
HiiKAoNiKAca
YD/T3167-2016
6.2.4定位分析
定位分析能够网络侧实时监测结果，结合GIS引擎、网络工程参数表、网络邻区关系表，快速定位疑似伪基站的位置。
定位分析能够支持以下功能：
能够分析出哪些小区受同一伪基站影响：能够分析出小区受伪基站影响的程度：能够分析出伪基站位置：
结合GIS系统，自动调用相关地区地图，在地图上标注出伪基站的位置。定位分析应能够能够精确到街区级，要求每20s~5min之间（默认1min）定位一次，定位精度在200m～500m之间，以便为后续的现场侦测提供有利的引导。在定位分析中，为提高准确度，应考虑如下因素：-小区受影响程度：
受影响小区地理位置：
小区间的距离：
GIS图层中的道路信息。
6.2.5活动规律分析
活动规律能够通过挖掘历史数据，分析出伪基站的活动规律。分析结果包括但不限于：各时段告警次数：以小时为单位，统计一天24h内各时段的告警总次数—一各区域告警次数：
·以小时为单位，统计各区域内的告警次数：·以天为单位，统计各区域内的告警次数告警时长TOPN小区：
·以天为单位，统计出告警时长排名位于前N位的小区：·以周为单位，统计出告警时长排名位于前N位的小区。一告警次数TOPN小区：
·以天为单位，统计出告警次数排名位于前N位的小区；·以周为单位，统计出告警次数排名位于前N位的小区。一受影响程度较深TOPN小区：
·以天为单位，统计出受影响程度排名位于前N位的小区；·以周为单位，统计出受影响程度排名位于前N位的小区。一伪基站活动高发时段：
·以一天为分析周期，分析一天之中告警时长长、告警次数多、对小区影响较为严重的时间段：·以一周为分析周期，分析一天之中告警时长长、告警次数多、对小区影响较为严重的时间段一一伪基站活动高发区域：
·以一天为分析周期，分析伪基站出现较多的区域：以一周为分析周期，分析伪基站出现较多的区域。伪基站活动高发路线：
TiiKAoNiKAca
·以一天为分析周期，分析伪基站出现较多的道路；·以一周为分析周期，分析伪基站出现较多的道路6.3实时预警与追踪
6.3.1实时预警
实时预警能够对存在疑似伪基站活动的小区进行实时告警，告警信息应至少包括：小区名称：
可疑LAC号：
一开始时间：
当前更新频次
一未知LAC号：
持续时长。
还可以提供更多的辅助信息，如下：小区ID：
-结束时间：
更新频次阈值：
异常级别。
为提高预警信息的直观性和友好性，实时预警还应支持以下功能：a）能够直观标识不同的告警状态。告警状态分为：一未结束：
已结束。
b）能够直观标识不同的LAC号使用情况。LAC号使用情况包括：现网在用：
一一现网未使用。
YD/T3167-2016
c）能够直观动态显示告警信息中小区的位置更新频次情况，并进行实时更新。如以柱状图形式显示出当前时间点之前30min的小区位置更新频次。d）能够在动态图中直观标识不同位置更新频次状态。位置更新频次状态可按照设定规则进行判定包括：
异常状态：
一正常状态。
e）能够显示同一小区中所有LAC的位置更新频次情况。并能够标识不同的LAC号情况。实时预警能够按照指定的周期（可配置，默认1min），对告警信息进行更新。6.3.2定位追踪
定位追踪应能够将伪基站的位置、影响范围以及伪基站的历史路线在地图上呈现出来，以便用户更直观的观测到伪基站的情况。对伪基站进行现场定位的作业方法可参考附录C。定位追踪应：
a）能够标识出伪基站当前的位置；b）能够标识出伪基站的影响范围；7
YD/T3167-2016
c）能够标识出受影响小区的异常程度：d）能够呈现出指定时间段内（如30min）伪基站的历史轨迹；e）能够按照城市/区域/小区的范围在地图上呈现伪基站总体情况：f）能够按照城市/区域的范围呈现受伪基站影响小区的列表：g）支持地图的缩放功能，当选中受伪基站影响的小区时，能够以小区为中心点进行缩放：h）在选择受伪基站影响小区时，能够关联该小区的预警相关信息：i）能够显示指定区域内所有小区分布情况A.1伪基站发送垃圾短信原理
附录A
（资料性附录）
移动伪基站原理及危害
YD/T3167-2016
伪基站通常在人员密集区域部署，通过假冒运营商网号等方式，迫使覆盖区域的手机用户从正常的运营商网络切换到伪基站网络，然后通过模拟网络信令，伪造短信并下发给用户。以某运营商网络为例，现有2G/3G网络采用单向鉴权认证，即手机不鉴权网络的合法性，仅在网络侧对手机进行鉴权，导致手机无法有效辨别基站的真伪，伪基站设置某运营商网号，使用该运营商GSM频段，并设置更优的小区重选参数：当手机进入伪基站覆盖区域时，很容易通过位置更新切换到伪基站小区。其基本示意图如图A.1所示。手机
手机正常和网络通信
1.进入伪基站区域
伪基站
2．发起位置更新流程，并成功
3．向用户发送垃圾短信
4．伪基站LAC改变，重新位置更新5．位置更新失败
6.手机向公司网络发起位置更新正常基站
手机重新回到网络，正常通信
图A.1伪基站发送垃圾短信流程
一般情况下，为了降低被发现的机率，伪基站只会向手机发送一条短信，具体流程如下：步骤1）手机进入到伪基站覆盖范围时，自动重选接入到伪基站小区；步骤2）手机发送位置更新请求，伪基站接受请求，并下发位置更新成功消息（在此期间，伪基站也获取了用户的IMSI和IMEI）：
步骤3）伪基站按照短信被叫流程，向手机下发短消息：步骤4）伪基站主动变更LAC，通过广播消息告知已接入手机，触发手机再次位置更新：步骤5）本次位置更新被伪基站拒绝，手机位置更新失败，手机脱离伪基站：步骤6）手机重新位置更新，并切换回运营商网络。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。