一種非法基站入侵的快速檢測與定位方法
【專利摘要】本發(fā)明提出了一種非法基站入侵的快速檢測與定位方法。該方法利用普通用戶手機上采集的基本網絡參數(LAC���,CI�����,場強等)以及用戶業(yè)務行為����,判斷參數變化及業(yè)務行為是否符合預設的各預警特征條件,將符合特征條件的權重加總��,根據該總權重判定當前是否屬于一次非法基站入侵的預警�;判斷預警成立后,在用戶GPS開關打開情況下�,記錄當前用戶所在位置的GPS經緯度信息,將一級預警信息傳遞給遠程的中央處理單元�;中央處理單元根據攻擊前LAC碼將多個終端的上報信息分類,對歸于一類的預警信息進行二次綜合報警分析�����,判定是否滿足預設的各報警特征條件����,將符合報警特征條件的權重加總�,根據總權重判定當前是否屬于一次非法基站入侵報警,判斷報警成立后�,計算本次非法基站入侵時的非法基站位置并進行實時報警。
【專利說明】一種非法基站入侵的快速檢測與定位方法【技術領域】
[0001]本發(fā)明屬于無線網絡領域����,特別涉及非法基站入侵的快速檢測與定位方法。
【背景技術】
[0002]目前的GSM移動通信系統(tǒng)采用單向認證的體制,即只有網絡對終端的認證��,不需要終端對網絡的認證��?����!胺欠ɑ尽?也稱“偽基站”或“仿真基站”)設備就是利用了 GSM系統(tǒng)協(xié)議上的這一漏洞�����。其基本工作原理是�����,通過仿真移動通信無線基站系統(tǒng)及后臺分析系統(tǒng)�����,利用移動網絡系統(tǒng)網號(MNC)���、頻率資源等��,偽裝成合法基站的鄰區(qū)�����,非法基站系統(tǒng)首先偵察當前目標區(qū)域的載頻信息���,然后不斷發(fā)射相同頻率的偽導頻�、同步及尋呼信號�,尋呼一定范圍內的目標手機終端用戶,通過調整發(fā)射功率等�,讓目標小區(qū)的手機切換或重選到GSM偽小區(qū)中。在GSM偽小區(qū)中�����,通過MSC和BSC的信令模擬���,完成對目標手機MSI (國際移動用戶識別碼)�、MEI (國際移動設備識別碼)的偵碼和阻塞攻擊����、信息攻擊(如推送垃圾短信)等任務����。在完成任務后���,再通過位置區(qū)更新失敗將手機退回到原來的所屬網絡。
[0003]此外�,即使對于采用了雙向認證的WCDMA移動通信系統(tǒng),也存在一定的協(xié)議漏洞�����,使得非法基站可以利用此漏洞在終端對網絡進行認證之前就獲取到WCDMA移動終端的IMSI和MEI信息��,進而進行類似的信息攻擊����。
[0004]由于在非法基站在參數上設置比較極端,比如非法基站功率過大���、LAC(位置區(qū)碼)的頻繁變化��、C2相關參數設置極端���,附近用戶很容易重選到該仿真基站,對網絡和用戶的使用造成很大影響��。非法基站的尺寸較小�����,可以安裝在路燈桿、橋下等不易發(fā)覺的位置���,也可以放置在車上流動使用��,更是難以發(fā)現和追蹤�。
[0005]目前非法基站的檢測和定位主要有兩種辦法:
[0006]方法一:基于路測的空口信令分析��。
[0007]專業(yè)網優(yōu)人員通過使用專用路測(Drive Test)設備在疑似非法基站區(qū)域(如用戶投訴垃圾短信和脫網現象較多的區(qū)域)進行空口信令和參數的采集���,通過分析其空口信令的如下行為判定該區(qū)域是否存在非法基站��。
[0008](I)連續(xù)2次位置更新���,I次正常位置更新,I次周期性或正常位置更新���;通常有I次是位置更新拒絕�����;期間通常有2次身份識別過程��;獲取用戶的MSI和MEI信息��;如果手機用戶一直在偽小區(qū)附近���,也會出現手機在偽網脫網后重選到移動網絡上頻繁發(fā)起正常位置更新的情況。
[0009](2)通過一些參數可以區(qū)分�,如T3212,RXLEVACCESS_MIN, LAC, Cl (小區(qū)標識)等參數都與網絡上設置有很大出入���;偽小區(qū)的BCCH雖然和合法小區(qū)相同�����,但LAC�����,Cl差別較大�。
[0010](3)第一次位置更新拒絕���,拒絕原因是Remote not Allowed in thisLocationArea ;位置更新拒絕后����,偽小區(qū)LAC不進行記錄,隨后以65534的LAC向網絡發(fā)起
位置更新�����。
[0011]方法二:A接口信 令監(jiān)測分析�。[0012]由于手機從移動到偽小區(qū)的位置更新過程是在非法基站上實現的,所以相關的信令消息無法在A 口呈現�;A 口上無法呈現手機從移動到非法基站的位置更新失敗過程,只能分析手機脫網后重選到網絡后發(fā)起的位置更新過程�����;手機在非法基站上位置更新拒絕后��,不記錄該LAC信息�,隨后以系統(tǒng)默認的LAC碼(一般是65534)向網絡發(fā)起周期性或正常位置更新。所以當監(jiān)測到有多個終端在較短時間內先后發(fā)起從LAC = 65534的位置更新����,可以認為這些終端所在區(qū)域受到了非法基站攻擊。
[0013]但這兩種方法都存在一定的缺陷:
[0014]方法一(路測)的缺陷:1)路測成本高�、人力有限,難以實現對全網�、全天、實時的測試,僅能對重點區(qū)域或在出現用戶投訴等疑似現象后才能進行���;2)對固定布放的非法基站比較有效,但無法跟蹤移動狀態(tài)下的非法基站��,等了解到用戶投訴或指標異常時�,非法基站已經離開該區(qū)域,甚至無法對是否出現非法基站攻擊進行確認����,更無法定位出非法基站位置。
[0015]方法二(A 口信令監(jiān)測)的缺陷:1)不是所有的從LAC = 65534到合法小區(qū)的位置更新都是從偽小區(qū)脫網后發(fā)起的�;2)通過A 口信令監(jiān)測發(fā)現非法基站需要使用周邊小區(qū)的連續(xù)趨勢才可定位和判斷,和偽小區(qū)周邊的人流量有很大關系��;3)A 口缺乏被攻擊手機的準確位置(僅能判斷出終端所處實際LAC區(qū)���,范圍太大)����,難以實現精確定位�����。
【發(fā)明內容】
[0016]有鑒于此,本發(fā)明的目的是解決非法基站攻擊的快速實時檢測和定位��,尤其是針對移動狀態(tài)下的非法基站攻擊�,提出一種利用用戶終端進行非法基站實時檢測和精確定位的方法,有效實現非法基站(尤其是移動狀態(tài)下的非法基站)的快速��、實時檢測和精確定位����。
[0017]本發(fā)明的技術方案是這樣實現的:
[0018]一種測試終端和測試服務器之間的數據通信方法,包括:
[0019]步驟(I):利用在終端上安裝的非法基站一級預警檢測軟件(或插件)監(jiān)測用戶使用終端的基本網絡參數(位置區(qū)碼(LAC)��,小區(qū)標識(Cl)���,場強等)的變化和短信行為��,基于非法基站的特征信息組合在該終端上進行初步預警和定位���;
[0020]步驟(2):判斷預警成立后,將相關信息傳遞給遠程的中央處理單元����;
[0021]步驟(3):中央處理單元利用多個終端的上報信息進行二次綜合報警分析,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置��,在判定報警成立后進行實時報警。
[0022]進一步��,所述步驟(I)為初步預警和定位����,具體包括:
[0023](Ia)判定網絡基本參數的變化以及短信/彩信收發(fā)行為是否符合各預警特征條件(每個特征條件可預定義一個預警可信度權重,取值0-1);
[0024](Ib)根據預定義時間窗T_atk2 (大于預警時間窗T_atk)內所符合的特征條件數量和內容����,將符合的各特征條件的可信度權重相加�����,計算得到當前總的預警可信度等級���;
[0025](Ic)如果總的預警可信度等級大于一個設定門限���,則判定為一次非法基站入侵預
m.1=I ,
[0026](Id)在用戶GPS開關打開情況下���,記錄當前用戶所在位置的GPS經緯度信息�����;
[0027](Ie)將本次預警的時間窗T_atk內的LAC連續(xù)變化過程中的首尾兩對LAC/CI分別定義為“攻擊前LAC/CI ”和“攻擊后LAC/CI ”��,其他為“攻擊中LAC/CI ”�����。
[0028]進一步��,所述步驟(3)為二次綜合報警分析���,具體包括:
[0029](3a)在一個預定義的時間窗T_alarm內����,中央處理單元收到的一級預警信息數量超過一個預定義的門限后���,啟動綜合分析�;
[0030](3b)中央處理單元按照用戶預警信息中攜帶的攻擊前LAC碼(或LAC/CI)對用戶預警進行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預警歸為一組)��;
[0031](3c)對歸為一組的預警信息進行分析�����,判斷是否滿足各報警特征條件(對每個特征條件可預定義一個報警可信度權重��,取值0-1);
[0032](3d)根據預設時間窗T_alarm內所符合的特征條件數量和內容,將符合的各特征條件的報警可信度權重相加����,計算得到當前總的報警可信度等級;
[0033](3e)如果總的報警可信度等級大于一個設定門限���,則判定為一次非法基站入侵報
m.1=I �,
[0034](3f)將該組內各用戶上報的Cl的經緯度或GPS經緯度信息�����,計算其幾何中心位置��,即作為本次非法基站攻擊的非法基站位置��。
[0035]進一步��,所述步驟(Ia)中的各預警特征條件具體包括:
[0036](Ial) LAC在預警時間窗T_atk(窗長為預定義���,如30秒)內連續(xù)發(fā)生至少2次變化;
[0037](la2) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�,其首尾兩次LAC相同(即 LAC_a = LAC_c);
[0038](la3) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�,有LAC屬于預定義的LAC黑名單中的特殊值�����;
[0039](la4) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中�,有Cl屬于預定義的Cl黑名單中的特殊值�����;
[0040](la5)信號強度(RxLev)在上述時間窗內的短時變化(如5秒����,可預定義)超過預定義門限(如50dBm);
[0041](la6)信號強度(RxLev)在上述時間窗內的短時(如5秒�,可預定義)平均值超過設定門限(如_40dBm);
[0042](la7)在該時間窗T_atk內發(fā)生脫網行為�;
[0043](la8)在T_atk時間窗開始時刻之后的時間窗T_atk2范圍內,收到短信��。
[0044]進一步���,所述步驟(2)中的相關預警信息至少包括:
[0045]國際移動用戶識別碼(MSI)��,國際移動設備識別碼(MEI)�,預警發(fā)生日期����,時間窗T_atk的絕對起始時間�����,攻擊前LAC/CI���,攻擊中LAC/CI,攻擊后LAC/CI�����,T_atk2時間窗內的所有接收到的短信的短信發(fā)送端號碼����,所符合的預警特征條件的編號����,經緯度,總預警可信度等級等�����。
[0046]進一步�,所述步驟(3c)中的報警特征條件具體包括:
[0047](3cl)組內各用戶中���,其攻擊中LAC不屬于本地LAC的數量大于設定門限或組內用戶數的設定比例;
[0048](3c2)組內各用戶中���,具有相同的攻擊中LAC的用戶數大于設定門限或組內用戶數的設定比例����;[0049](3c3)組內各用戶中�����,具有相同的攻擊中Cl的用戶數大于設定門限或組內用戶數的設定比例�;
[0050](3c4)該組用戶中收到來自相同發(fā)送號碼的短信數大于設定門限或組內用戶數的設定比例。
[0051]以下將通過具體實施例結合附圖對本發(fā)明的目的及特性進行詳細描述��,這些具體實施例是說明性的�����,不具有限制性����。
【專利附圖】
【附圖說明】
[0052]圖1為本發(fā)明的非法基站入侵的快速檢測和定位方法的結構圖;
[0053]圖2為本發(fā)明的非法基站入侵的快速檢測和定位方法的總體步驟流程圖����;
[0054]圖3為本發(fā)明的非法基站入侵的快速檢測和定位方法中用戶終端一級預警檢測軟件(插件)的結構圖��;
[0055]圖4為本發(fā)明的非法基站入侵的快速檢測和定位方法中的一級預警的詳細步驟流程圖�;
[0056]圖5為本發(fā)明的非法基站入侵的快速檢測和定位方法中的二級報警的詳細步驟流程圖����。
[0057]附圖中,各標號所代表的部件名稱如下:
[0058]100��、中央處理單元���,200�����、用戶終端���。
【具體實施方式】
[0059]為了使本發(fā)明的目的����、技術方案及優(yōu)點更加清楚明白,以下參照附圖并舉實施例���,對本發(fā)明作進一步詳細說明�。
[0060]如圖1所示,本發(fā)明中的非法基站入侵檢測與定位系統(tǒng)包括中央處理單元100和與之對應并進行信息交互的多個用戶終端200�,用戶終端200中包括第I用戶終端、第2用
戶終端����、第3用戶終端......第N用戶終端。圖1中��,用戶終端為N個���,其中NS 1�,其數量
根據系統(tǒng)部署的需要而定�����,圖1所示僅作為說明之用�����,不用于限定本
【發(fā)明內容】
���。
[0061]圖1中�����,用戶終端200通過采集該終端上的網絡參數和業(yè)務收發(fā)信息并基于預設的特征條件進行非法基站入侵預警的判斷����,并將相關預警信息發(fā)送給遠端的中央處理單元100,中央處理單元100對用戶終端200所收集來的預警信息進行接收并綜合處理分析����,以判定是否發(fā)生非法基站入侵,并在判定報警成立后對非法基站進行定位和報警�。
[0062]如圖2所示,本發(fā)明的非法基站入侵檢測與定位方法實施例步驟包括:
[0063]步驟(I):利用在用戶終端上安裝的非法基站一級預警檢測軟件(或插件)監(jiān)測用戶使用終端時的基本網絡參數(位置區(qū)碼(LAC)���,小區(qū)標識(Cl)�����,場強等)的變化和短信/彩信收發(fā)行為���,基于非法基站的特征信息組合在該終端上進行初步預警和定位;
[0064]步驟(2):判斷預警成立后��,用戶終端將相關信息傳遞給遠程的中央處理單元���;
[0065]步驟(3):中央處理單元利用多個終端的上報信息進行二次綜合報警分析�,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置�,在判定報警成立后進行實時報警。
[0066]圖2為用戶終端上安裝的非法基站一級預警檢測軟件的結構圖�����,主要包括:監(jiān)測模塊201�,預警特征條件判斷模塊202,預警判決模塊203�,上傳模塊204,下載模塊205�,存儲模塊206和位置信息采集模塊207。
[0067]現結合圖3和圖4�,對上述步驟(I)即一級預警算法的具體實現進行進一步闡述。該步驟(I)進一步包括以下步驟:
[0068]步驟(Ia):監(jiān)測模塊201實時采集的網絡基本參數(LAC���,Cl��,信號強度等)和短彩信收發(fā)行為并傳遞給預警特征條件判斷模塊202�����。預警特征條件判斷模塊202基于預設的各預警特征條件進行逐個判斷�����,判斷當前參數和業(yè)務行為特征是否滿足各預警特征條件��,并將判斷結果傳遞給預警判決模塊203�����。
[0069]其中下載模塊205會根據一定的觸發(fā)條件從中央處理單元100下載進行預警特征條件判斷和預警判決所需的各種參數和設置(例如LAC黑名單��、各預警特征條件的可信度權重等)�����,并存儲在存儲模塊206中���,以便預警特征條件判斷模塊202和預警判決模塊203調用����。
[0070]步驟(Ib):預警判決模塊203根據預定義時間窗T_atk2 ( 一般應大于預警時間窗T_atk���,如I分鐘)內所符合的特征條件數量和內容��,將符合的各特征條件按照預設的可信度權重相加���,計算得到當前總的預警可信度等級;
[0071]步驟(Ic):如果總的預警可信度等級大于一個設定門限����,則預警判決模塊203判定為一次非法基站入侵預警,并通知位置信息采集模塊207 �����;
[0072]步驟(Id):在用戶GPS開關打開情況下�,位置信息采集模塊207記錄當前用戶所在位置的GPS經緯度信息并傳遞給預警判決模塊203 ;
[0073]步驟(Ie):預警判決模塊203將本次預警的時間窗T_atk內的LAC連續(xù)變化過程中的首尾兩對[AC/CI分別定義為“攻擊前LAC/CI ”和“攻擊后LAC/CI ”��,其他為“攻擊中LAC/CI” �;同時將本次預警的相關預警信息傳遞給上傳模塊204。
[0074]其中�,步驟(Ia)中所述的預警特征條件包括以下內容:
[0075]a) LAC在某時間窗T_atk(窗長為預定義,如30秒)內連續(xù)發(fā)生至少2次變化�;
[0076]b) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中,其首尾兩次LAC相同(即 LAC_a = LAC_c)���;
[0077]c) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中���,有LAC屬于預定義的LAC黑名單中的特殊值���;
[0078]d) LAC的上述連續(xù)多次變化(如LAC_a — LAC_b — LAC_c)中,有Cl屬于預定義的Cl黑名單中的特殊值���;
[0079]e)信號強度(RxLev)在上述時間窗內的短時變化(如5秒���,可預定義)超過預定義門限(如50dBm);
[0080]f)信號強度(RxLev)在上述時間窗內的短時(如5秒���,可預定義)平均值超過設定門限(如_40dBm)��;
[0081]g)在該時間窗T_atk內發(fā)生脫網行為�;
[0082]h)在T_atk時間窗開始時刻之后的時間窗T_atk2(預定義����,大于T_atk)范圍內,收到短信���;
[0083]每個條件都有一個由中央處理單元100預定義的可信度權重�。
[0084]其中�,步驟(Ie)中的所述“相關預警信息”至少包括以下內容:
[0085]國際移動用戶識別碼(MSI)�����,國際移動設備識別碼(MEI)�,預警發(fā)生日期����,時間窗T_atk的絕對起始時間����,攻擊前LAC/CI,攻擊中LAC/CI��,攻擊后LAC/CI�����,T_atk2時間窗內的所有接收到的短信的短信發(fā)送端號碼�,所符合的預警特征條件的編號,經緯度��,總預警可信度等級等�����。
[0086]步驟(2)中,上傳模塊204將相關預警信息通過常規(guī)的各類數據傳輸通道(包括2G/3G/ffiFi等各種無線傳輸方式)傳遞給中央處理單元100���。
[0087]現結合圖5���,對上述步驟(3)即二級綜合報警算法的具體實現進行進一步闡述。該步驟(3)進一步包括以下步驟:
[0088](3a)在一個預定義的時間窗T_alarm內���,中央處理單元100收到預定義數量的一級預警信息后�,觸發(fā)綜合分析����;
[0089](3b)中央處理單元100按照用戶預警信息中攜帶的攻擊前LAC碼(或LAC/CI)對用戶預警進行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預警歸為一組);
[0090](3c)對歸為一組的預警信息進行分析�,判斷是否滿足如下報警特征條件(對每個特征條件可預定義一個報警可信度權重,取值0-1):
[0091]a)組內各用戶中�����,其攻擊中LAC不屬于本地LAC的數量大于設定門限或組內用戶數的設定比例�����;
[0092]b)組內各用戶中,具有相同的攻擊中LAC的用戶數大于設定門限或組內用戶數的設定比例��;
[0093]c)組內各用戶中�����,具有相同的攻擊中Cl的用戶數大于設定門限或組內用戶數的設定比例�;
[0094]d)該組用戶中收到來自相同發(fā)送號碼的短信數大于設定門限或組內用戶數的設定比例;
[0095](3d)根據T_alarm時間窗內所符合的特征條件數量和內容���,將符合的各特征條件的報警可信度權重相加���,計算得到當前總的報警可信度等級����;
[0096](3e)如果總的報警可信度等級大于設定門限,則判定為一次非法基站報警�;
[0097](3f)將該組內各用戶上報的Cl的經緯度或GPS經緯度信息,計算其幾何中心位置�,即作為本次非法基站攻擊的非法基站位置。
[0098]本發(fā)明提出的非法基站實時檢測與定位方法通過一級預警分析和二級綜合報警分析相結合����,提高檢測的準確率;借助用戶GPS開關打開提供的GPS經緯度信息有效避免A口信令監(jiān)測方法的誤判率高�、無法精確定位的問題�,且本發(fā)明實現簡便���,可在大量普通終端上部署��,避免了路測方法較高的實施成本���、較差的時效性、檢測范圍有限等問題�。
[0099]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內,所做的任何修改���、等同替換�����、改進等��,均應包含在本發(fā)明保護的范圍之內�����。
[0100]本發(fā)明申請書中未作詳細描述的內容屬于本領域專業(yè)技術人員公知的現有技術���。
【權利要求】
1.一種非法基站入侵的快速檢測與定位方法�,其特征在于包括步驟如下: (1)利用在手機上安裝的非法基站一級預警檢測軟件(或插件)監(jiān)測用戶使用手機的基本網絡參數(位置區(qū)碼(LAC)��,小區(qū)標識(Cl)�,場強等)的變化和短信/彩信收發(fā)行為,基于非法基站的特征信息組合在該手機上進行初步預警和定位�����; (2)判斷預警成立后��,將相關預警信息傳遞給遠程的中央處理單元�; (3)中央處理單元利用多個終端的上報信息進行二次綜合報警分析,判定是否發(fā)生非法基站攻擊行為以及發(fā)生的位置����,在判定報警成立后進行實時報警���。
2.根據權利要求1所述的一種非法基站入侵的快速檢測與定位方法��,其特征在于所述步驟(1)包括: (Ia)判定網絡基本參數的變化以及短信/彩信收發(fā)行為是否符合各預警特征條件(每個特征條件可預定義一個預警可信度權重��,取值O~I); (Ib)根據預定義時間窗T_atk2(大于預警時間窗1'_&丨10內所符合的特征條件數量和內容���,將符合的各特征條件的可信度權重相加��,計算得到當前總的預警可信度等級�����; (Ic)如果總的預警 可信度等級大于一個設定門限����,則判定為一次非法基站入侵預警����; (Id)在用戶GPS開關打開情況下,記錄當前用戶所在位置的GPS經緯度信息����; (Ie)將本次預警的時間窗T_atk內的LAC連續(xù)變化過程中的首尾兩對LAC/CI分別定義為攻擊前LAC/CI和攻擊后LAC/CI,其他為攻擊中LAC/CI�。
3.根據權利要求1所述的一種非法基站入侵的快速檢測與定位方法,其特征在于所述步驟⑶包括: (3a)在一個預定義的時間窗T_alarm內�����,中央處理單元收到的一級預警信息數量超過一個預定義的門限后,啟動綜合分析���; (3b)中央處理單元按照用戶預警信息中攜帶的攻擊前LAC碼(或LAC/CI)對用戶預警進行歸類(攻擊前LAC碼(或LAC/CI)相同的用戶預警歸為一組)�����; (3c)對歸為一組的預警信息進行分析��,判斷是否滿足各報警特征條件(對每個特征條件可預定義一個報警可信度權重����,取值0-1); (3d)根據預設時間窗T_alarm內所符合的特征條件數量和內容��,將符合的各特征條件的報警可信度權重相加�����,計算得到當前總的報警可信度等級�����; (3e)如果總的報警可信度等級大于一個設定門限���,則判定為一次非法基站入侵報警�����;(3f)將該組內各用戶上報的Cl的經緯度或GPS經緯度信息��,計算其幾何中心位置����,SP作為本次非法基站攻擊的非法基站位置�。
4.根據權利要求2所述的一種非法基站入侵的快速檢測與定位方法,其特征在于所述步驟(Ia)中的各預警特征條件包括: (Ial)LAC在預警時間窗T_atk(窗長為預定義���,如30秒)內連續(xù)發(fā)生至少2次變化��; (la2)LAC的上述連續(xù)多次變化中��,其首尾兩次LAC相同�����; (la3)LAC的上述連續(xù)多次變化中����,有LAC屬于預定義的LAC黑名單中的特殊值�����; (la4)LAC的上述連續(xù)多次變化中,有Cl屬于預定義的Cl黑名單中的特殊值����; (la5)信號強度(RxLev)在上述時間窗內的短時變化(如5秒,可預定義)超過預定義門限(如50dBm); (la6)信號強度(RxLev)在上述時間窗內的短時(如5秒�,可預定義)平均值超過設定門限(如_40dBm); (la7)在該時間窗T_atk內發(fā)生脫網行為�; (IaS)在T_atk時間窗開始時刻之后的時間窗T_atk2范圍內,收到短信�����。
5.根據權利要求1所述的一種非法基站入侵的快速檢測與定位方法����,其特征在于所述步驟(2)中的相關預警信息至少包括: 國際移動用戶識別碼(MSI),國際移動設備識別碼(MEI)���,預警發(fā)生日期�����,時間窗乙atk的絕對起始時間��,攻擊前LAC/CI����,攻擊中LAC/CI���,攻擊后LAC/CI�����,T_atk2時間窗內的所有接收到的短信的短信發(fā)送端號碼�,所符合的預警特征條件的編號�����,經緯度�,總預警可信度等級等。
6.根據權利要求1所述的一種非法基站入侵的快速檢測與定位方法�,其特征在于所述步驟(2)中的將相關預警信息傳遞給遠程的中央處理單元的傳遞方式可以為手機上任意可訪問英特網的數據傳輸通道。
7.根據權利要求3所述的一種非法基站入侵的快速時檢測與定位方法�����,其特征在于所述步驟(3c)中的報警特征條件包括: (3cl)組內各用戶中��,其攻擊中LAC不屬于本地LAC的數量大于設定門限或組內用戶數的設定比例; (3c2)組內各用戶中�����, 具有相同的攻擊中LAC的用戶數大于設定門限或組內用戶數的設定比例�����; (3c3)組內各用戶中����,具有相同的攻擊中Cl的用戶數大于設定門限或組內用戶數的設定比例; (3c4)該組用戶中收到來自相同發(fā)送號碼的短信數大于設定門限或組內用戶數的設定比例����。
【文檔編號】H04W88/08GK103648096SQ201310688635
【公開日】2014年3月19日 申請日期:2013年12月11日 優(yōu)先權日:2013年12月11日
【發(fā)明者】李克, 紀占林, 宋曉勤, 汪淼 申請人:北京聯合大學