5G网络安全监测预警机制浅析

０引言随着5G网络商用的正式落地，5G已经引领着信息技术的新一代发展，正成为当前信息化及互联网的核心。5G网络的三大应用场景：增强移动宽带、超可靠低时延通信、海量机器类通信也给各类客户带来了极致的通信体验，5G的商业应用及专网应用的规模正在不断扩大。然而，随着5G的发展，其安全性也显得越来越重要，尤其是需要一种可靠的机制来实现对5G网络安全的监测预警。对于移动通信安全的监测预警，4G时代主要集中在网络侧的应用层，无法保证对全网络安全的监测。在5G时代，3GPP标准和5GPPP组织都提出了一些相关的解决方案，但是这些方案要么并不是专门用于安全监测，要么只是一个个孤立的安全引擎，难以建立起系统的架构，因此，本文提出了一种5G网络安全监测预警机制，实现对5G安全的全面监控。1传统4G网络的安全监测技术传统的4GLTE的网络架构主要由UE（UserEquipment，终端）、E-UTRAN（EvolvedUMTSTerrestrialRadioAccessNetwork，演进的UMTS陆地无线接入网）、EPC（EvolvedPacketCore，4G核心网络）、外部网络四部分组成。4G网络的安全监测主要集中在IP网络侧，图1是4G网络的安全监测架构。图14G网络安全监测架构为了实现对4G网络的安全监测，采取的措施主要是在IP网络部署防火墙、WAF（WebApplicationFirewall，Web应用防火墙）、IDS（IntrusionDetectionSystem，入侵检测系统）、IPS（IntrusionPreventionSystem，入侵防御系统）等设备。防火墙可以对流经的网络通信进行过滤，以避免攻击；WAF工作在应用层，通过执行HTTP/HTTPS的安全策略为Web应用提供保护；IDS通过对网络、系统的监测来发现各种攻击企图、行为、结果；IPS可以监测网络设备的传输行为。通过分析可知，传统4G安全监测方案都集中在IP网络侧，并不能对整个通信架构的全流程进行安全监测，具有很大的局限性。23GPP中的5G安全监测方案在3GPP标准的5G网络中，根据3GPPTS23.503，基于服务的5G系统核心网参考架构由AMF（AccessandMobilityManagementFunction，接入与移动性管理功能），SMF（SessionManagementFunction，会话管理功能），UPF（UserPlaneFunction，用户平面功能），UDR（UnifiedDataRepository，统一数据存储功能），NEF（NetworkExposureFunction，网络开放功能），NWDAF（NetworkDataAnalyticsFunction，网络数据分析功能），AF（ApplicationFunction，应用功能），PCF（PolicyControlFunction，策略控制功能），CHF（ChargingFunction，计费功能）组成。图2为基于服务的5G核心网架构。图2基于服务的5G核心网架构5G网络引入了网络切片新技术，其是指通过网络虚拟化技术，将网络中的各类物理资源抽象成虚拟资源，并基于指定的网络功能和特定的接入网技术，按需构建端到端的逻辑网络，提供一种或多种网络服务。由于网络切片的存在，3GPP标准中通过NWDAF网元来实现安全监测功能，NWDAF代表运营商管理的网络分析逻辑功能。NWDAF为NF提供特定于片的网络数据分析，NWDAF在网络切片实例级别上向NF提供网络分析信息（即负载级别信息），并且NWDAF不需要知道使用该片的当前用户。NWDAF将切片特定的网络状态分析信息通知给用户它的NF，NF可以直接从NWDAF收集切片特定的网络状态分析信息。PCF和NSSF（NetworkSliceSelectionFunction，网络切片选择功能）都是网络分析的消费者，PCF可以在其策略决策中使用该数据，NSSF可以使用NWDAF提供的负载级别信息进行切片选择。NWDAF可为5G核心网的NF（NetworkFunction，网络功能）和OAM（OperationAdministrationandMaintenance，操作维护管理）提供分析信息，可以是过去的统计信息，也可以是预测信息。从图2可知，NWDAF可以根据对AMF、SMF、PCF、UDM、AF和OAM提供的事件订阅来收集数据，从数据存储库检索信息。检索有关NF的信息，从而向使用者提供分析服务。NWDAF可以收集网络通信的信令级信息，从而实现了信令级的监测。NF服务是NF（NF服务生产者）通过基于服务的接口向其他授权的NF（NF服务消费者）公开的一种能力。根据3GPPTS23.288，NWDAF给其他NF提供的服务分为订阅模式和请求模式两种。在订阅模式下，NWDAF服务消费者通过调用Nnwdaf_AnalyticsSubscription_Subscribe/Nnwdaf_AnalyticsSubscription_Unsubscribe服务操作来订阅或取消订阅分析信息。当订阅信息时，NWDAF将向服务消费者通知分析信息，取消订阅后将不再接收。NWDAF订阅/取消流程如图3所示。图3NWDAF订阅/取消流程图在请求模式下，NWDAF服务消费者可以调用Nnwdaf_AnalyticsInfo服务操作来请求分析信息，NWDAF收到请求后，确定是否需要触发新数据收集，如果确定要收集，则以分析信息响应NWDAF服务消费者。NWDAF请求流程如图4所示。图4NWDAF请求流程图NWDAF最初引入时,主要用于对网络切片相关数据的分析,随着5G标准的不断发展，NWDAF获取数据范围不断扩大，还可以从运营商OAM，AF，5G核心网网络功能以及第三方应用获取数据。基于上述的数据收集，NWDAF进行数据分析，也可以将分析结果后提供给OAM，AF，5G核心网网络功能以及第三方应用。以NWDAF为核心的5G网络智能化的通用框架如图5所示。图55G网络智能化的通用框架３5GPPP中的安全监测网元在5G安全监测方面，欧洲5GPPP组织提出了5G-ENSURE计划，安全监测是此计划的一个主要技术关注点。其一共提出了4个相关网元，即SatNav，PulSAR，通用收集器接口以及系统安全状态存储库。SatNav主要用于卫星网络监测，主要目标是在5G集成卫星和地面系统中提供伪实时监控和威胁检测。卫星网络监测主要包括两部分，客户端功能以及服务器端功能，客户端功能（例如5G-eNodeB，卫星终端，UE）能够从网络组件中收集指标并将其发送到服务器端，此功能应部署在每个网络组件。服务器端功能（即安全监视服务器），能够配置客户端功能部件以及提供消耗量指标的伪实时监控。此功能应部署在中央服务器。PulSAR的目的是通过攻击图清晰地了解网络攻击的进程。PulSAR通过在5G网络中生成攻击图来对网络进行全面的风险分析。它依赖于网络的拓扑信息（防火墙规则、流矩阵、路由表、虚拟机放置等）以及来自物理和虚拟机的漏洞扫描信息。以枚举从任何计算机到任何其他计算机的所有攻击路径。然后根据这些攻击路径的可能性和难度（使用度量标准，例如长度和所利用漏洞的CVSS难度）进行评分，并通过RESTAPI呈现给用户。通用收集器接口旨在实现事件和日志之间的互操作性，以便允许在5G网络内部部署FastData技术。启动器提供日志和事件的唯一格式。通用收集器接口可以从5G网络元素以及组件收集数据，然后向授权方和参与方提供大量数据，包括与虚拟化，身份管理，通信协议/层/堆栈和某些特定特权升级有关的日志和事件。其还利用5G网络内部高效的FastData实施，以尽快发现网络的安全性和效率问题。通用收集器接口由三个主要的软件块组成，分别是客户端引擎软件、服务器引擎软件和服务软件。系统安全状态存储库在一个可以可视化和分析的模型中捕获系统状态，以了解存在哪些威胁，并检查设计是否符合要求。4一种5G网络安全监测预警机制对于普通的安全场景来说，3GPP标准中规定的NWDAF就可以实现基本的安全监测功能，但是其也有一定缺陷。一是其在5G核心网中，只适用于一般监测，不利于功能扩展，如果将5GPPP的一些模块加入将会导致系统结构混乱，不利于管理；二是其主要输出信息比较简单，并未经过复杂算法集成，仅靠一个网元难以进行，因此，借鉴5G网络的SDN架构，提出了一种新的5G网络安全监测预警机制。在5G网络中，为了解决现有网络固有的功能扩展性差、个性定制化困难、基础设施成本居高不下的矛盾，于是引入了以SDN（SoftwareDefinedNetwork，软件定义网络）技术为基础的5G网络架构，SDN是一种数据控制分离、软件可编程的新兴网络体系结构。采用了集中式的控制平面和分布式的转发平面，控制平面利用开发的控制—转发通信接口对转发平面上的网络设备进行集中控制，同时提高了灵活的可编程能力。5G中的SDN典型体系架构分为应用层、控制层、网络基础设施层3个层面。网络基础设施层又叫数据转发层，由各种转发设备组成，可以实现网络状态收集、存储、发送功能。控制层连接着应用层以及基础设施层，通过基础设施层的交换设备可以实现报告网络状态等功能，同时与应用层通过各种API进行连接，实现各种形式的服务访问。应用层主要是满足各类用户的服务需求而开发的各类商业应用，这些应用程序依托控制器控制基础设施层的转发设备，实现动态接入控制、服务器负载均衡、资源调度等功能。SDN典型架构如图5所示。图5SDN典型架构在前面的标准中，为了实现安全监测预警功能，往往只是从核心网中添加一个个离散的互不关联的模块，并没有形成一个系统的安全监测预警系统。因此，基于5G网络的SDN架构进行了扩充，提出了一种将安全监测与网络通信松耦合的系统，通过单独的安全监测预警机制，将安全监测架构与5G网络架构融合起来，从基础设施层到控制层再到应用层，实现全流程全信息，同时适用于商用5G和专用5G网络的安全监测预警机制。此机制突破了传统的仅关注于应用层监测的局限，实现了信令级的监测。图6一种5G网络安全监测预警架构一种5G网络安全监测预警架构，主要由普通网络域和安全监测域两大部分组成，普通网络域与经典SDN架构基本相同，而安全监测域与SDN架构一样，一共分为三层：（1）安全监测应用层：根据5G网络安全监测预警的需求，开发的相应的安全应用SAPP，以直观化的方式向客户实时显示网络安全状态并进行预警。同时继承4G网络中的防火墙、WAF、IDS、IPS等安全技术，在应用层层面进行全面的安全监测。安全应用层与监测控制层通过安全接口进行通信，可以接收监测控制层传来的状态信息。（2）监测控制层：监测控制层与普通网络域的控制层同级，主要由监测单元、预警单元、扩展单元、等模块组成，监测单元通过采集普通网络域的控制层的状态数据（包括信令级信息），然后通过预警单元进行预测，通过一定概率算法等预计网络安全状态，在应用层进行显示。扩展单元主要是添加一些安全监测新功能，如安全攻击路线计算、特殊场景的安全监测等，便于进行扩展，具有低成本、快速迭代、软件开放性等优势。（3）安全监测设备层：主要部署安全监测所需要的设备，接受控制层下发的控制指令，并根据指令完成监测的相关任务。这种5G网络安全监测预警机制，具有广泛的适用性，不仅可以应用于大规模的商用5G网络，而且对于小范围的专用5G网络同样适用。在商用网络中，可以根据实际安全需要，按需部署，既可以仅侧重于应用层等某一层的监测，也可以扩展到全层次的监测，既可以监测某一段小网络，也可以在上层扩展到大网。对于专用5G网络，其安全监测的需求较高，尤其是军民融合专网，可分为普通域和高安全域，其安全监测预警总体结构如图7所示。图7军民融合5G专网安全监测预警总体结构在此系统中，终端侧植入安全监测探针进行底层监测，安全应用SAPP进行应用层监测预警；网络侧将普通域与高安全域通过防火墙隔离过滤，监测预警单元实现控制层监测功能，同时DN侧加入IDS、IPS、WA