偽基站原理及其偵測定位方法

付旭輪

摘 要：所謂“偽基站”設備就是由無線單元和筆記本電腦組成的一套無線通信系統(tǒng)，偽基站是假冒運營商現(xiàn)網(wǎng)通信網(wǎng)絡，進行一系列參數(shù)設置，如信號強度、位置區(qū)等，引導手機在其覆蓋區(qū)域內(nèi)重選進入其系統(tǒng)的一種非法基站。偽基站影響了移動運營商網(wǎng)絡安全、降低了客戶感知，引起客戶大量投訴，并越來越突出。通過信令監(jiān)測系統(tǒng)，可以發(fā)現(xiàn)偽基站，從而達到治理的目的。

關鍵詞：偽基站；信令監(jiān)測；垃圾短息

偽基站原理

“偽基站”是指可以通過簡單的設備組裝來實現(xiàn)運營商通信系統(tǒng)一些功能的高科技設備，他可以設定發(fā)射和運營商的普通基站一樣的頻率信號，造成運營商客戶的手機重選到偽基站的小區(qū)內(nèi)。當終端重選至偽基站的小區(qū)后，發(fā)現(xiàn)服務小區(qū)的LAC號改變了，終端在偽基站覆蓋內(nèi)發(fā)起位置更新，從而被偽基站獲取客戶信息，并向客戶發(fā)定制短信。當客戶離開偽基站覆蓋區(qū)域后，再次重選至運營商網(wǎng)絡。在“偽基站”信號覆蓋范圍內(nèi)，手機用戶無法正常接打電話、收發(fā)短信。所以，偽基站投入后，手機用戶并接入后，偽基站就會完全冒充成運營商的網(wǎng)絡，對用戶手機可以任意的提取信息和發(fā)送短信等。

偽基站與運營商基站差異

運營商的移動通信系統(tǒng)（GSM）中只有網(wǎng)絡對手機的認證，手機不會對網(wǎng)絡進行特征。所以當無線參數(shù)滿足一定條件時如C1和C2，手機用戶將重選進入偽基站小區(qū)內(nèi)。偽基站系統(tǒng)先檢測所在區(qū)域的運營商載波信息，然后進行自學習，模擬運營商的網(wǎng)絡連續(xù)發(fā)射相同頻率的假的無線信號，尋呼這個區(qū)域內(nèi)的手機用戶，在這之后調(diào)整發(fā)射功率等，這樣就可以誘導該區(qū)域內(nèi)的手機重選接入到偽基站的小區(qū)中。在偽基站的小區(qū)中，它會通過IMSI獲取的命令，來要求手機上報IMSI，這樣就可以對手機的IMSI，IMEI進行獲取、并給手機發(fā)送信息等。

我們需要利用運營商與偽基站的LAC不同來作為關鍵點來實現(xiàn)偽基站定位的，那么我們首先要獲得偽基站的LAC，那我們怎么獲得呢。手機從運營商網(wǎng)絡到偽基站是脫離了現(xiàn)網(wǎng)的，我們無法監(jiān)控信令流程。但是從偽基站到運營商網(wǎng)絡所做的位置更新我們是能看到的，這時手機攜帶的原LAC就是偽基站的LAC。所以我們就獲得了偽基站的LAC。

手機從偽基站的小區(qū)出來并在現(xiàn)網(wǎng)做重選時，手機會做一次跨位置區(qū)重選后的位置更新，在這個位置更新消息中我們可以提取到信令中源LAC就是偽基站自身設置的LAC號，根據(jù)網(wǎng)絡設置的不同攜帶回來的原LAC，也有可能是0、65534、65535等異常的LAC號。

由于需要讓手機重選入偽基站后做位置更新，所以偽基站設置的LAC號是與運營商網(wǎng)絡的LAC號不一樣的，偽基站周邊的小區(qū)會出來比原來多很多的位置更新消息，位置更新的次數(shù)會遠超過其他正常的小區(qū)。

另外根據(jù)我們的測試和研究發(fā)現(xiàn)，存在大量OLAC不為65534的偽基站影響的手機位置更新。具體情況如下：根據(jù)GSM 04.08規(guī)范，位置更新拒絕原因值分別可以是11、12、13等；當拒絕原因為11時（Cause value（11）：PLMN not allowed），手機將PLMN ID存儲到相關的禁止列表內(nèi)，當有一個不同的運營商網(wǎng)絡出現(xiàn)時手機才會進行重選，這就造成了手機脫網(wǎng)很長時間，對手機的影響較大，他不會采用此方法。偽基站的位置更新拒絕原因一般采用Cause value 12：Location Area not allowed和Cause value 13：Roaming not allowed in this location area。當拒絕原因為13時（Cause value ：（13）Roaming not allowed in this location area），手機將會在新的LAI中發(fā)起位置更新請求。

另外一種情況，當有已經(jīng)進入過偽基站并重選回現(xiàn)網(wǎng)的終端，再次進入到偽基站時，偽基站會直接發(fā)送位置更新拒絕消息（偽基站不會讓一個終端重復的進入或發(fā)短信，以免引起用戶警覺或是投訴，這樣容易被發(fā)現(xiàn)）。如果拒絕原因值為13，終端返回現(xiàn)網(wǎng)時，上報的OLAC編號（現(xiàn)網(wǎng)的編號，如：12470）等于DLAC編號，形成OLAC=DLAC=現(xiàn)網(wǎng)LAC編號的現(xiàn)象。

3 偽基站判定算法

第一部分：對偽基站采取LAC區(qū)=非移動現(xiàn)用LAC的情況進行分析：

1）統(tǒng)計監(jiān)測范圍內(nèi)發(fā)生切換業(yè)務的源和目的LAC，匯總生成“LAC總表”（這樣就包括了本省份LAC以及周邊省份的LAC信息）。

2）統(tǒng)計發(fā)生正常位置更新的源LAC信息，匯總生成“源LAC總表”。

3）對比“LAC總表”與“源LAC總表”，將“源LAC總表”中存在而“LAC總表”中不存在的LAC做為“疑似偽基站的LAC區(qū)表”。

4）將“疑似偽基站的LAC區(qū)表”信息做為源LAC區(qū)對發(fā)生正常位置更新的信息進行調(diào)取查詢，輸出以下字段 OLAC LAC CI 偽基站是否采用移動現(xiàn)網(wǎng)LAC編號、位置更新次數(shù)、偽基站類型。

5）統(tǒng)計時間最小粒度為5分鐘，并且以“偽基站為源LAC的位置更新次數(shù)”設置門限，暫定該位置更新次數(shù)5分鐘內(nèi)大于100次的為疑似偽基站在表格中輸出，門限值可通過后臺設定。

第二部分：對偽基站采取LAC區(qū)=移動現(xiàn)用LAC的情況進行分析：

1）通過統(tǒng)計現(xiàn)網(wǎng)發(fā)生主被叫業(yè)務的LAC信息，匯總生成“LAC總表”。

2）每日定時間點對前24小時的切換業(yè)務進行統(tǒng)計，輸出“LAC總表”中各LAC的“相鄰LAC關系列表-from切換”（通過切換業(yè)務來定鄰區(qū)關系）。

3）每5分鐘對“LAC總表”中的LAC進行正常位置更新信息分析，輸出各LAC的“相鄰LAC關系列表-from正常位置更新”（通過正常位置更新業(yè)務來定鄰區(qū)關系）。

4）對比“相鄰LAC關系列表-from切換”與“相鄰LAC關系列表-from正常位置更新”，將“相鄰LAC關系列表-from正常位置更新”鄰區(qū)個數(shù)包含且大于“相鄰LAC關系列表-from切換”鄰區(qū)個數(shù)的LAC做為“疑似偽基站的LAC區(qū)表”。

如上表1和表2所示，LAC=2兩張相鄰LAC關系列表完全相同，則判斷為正常LAC。而LAC=1、3“相鄰LAC關系列表-from正常位置更新”鄰區(qū)個數(shù)包含且大于“相鄰LAC關系列表-from切換”鄰區(qū)個數(shù)，因此將LAC=1、3做為“疑似偽基站的LAC區(qū)表”（通過兩表對比才能確定偽基站的LAC并且同時獲取了偽基站工作時當時周邊的相鄰LAC）。

5）將“疑似偽基站的LAC區(qū)表”信息做為源LAC區(qū)、以上兩表對比后與“相鄰LAC關系列表-from切換”相異的鄰區(qū)（如上表中標紅的LAC）做為目的LAC，對正常位置更新的信息進行調(diào)取查詢，輸出 OLAC LAC CI 偽基站是否采用移動現(xiàn)網(wǎng)LAC編號、位置更新次數(shù)、偽基站類型。

參考文獻：

[1]趙恒，邵四清.偽基站系統(tǒng)的分析定位方法及解決建議[J].電信網(wǎng)技術，2011，7：54-56.

[2]韓斌杰.GSM原理及其網(wǎng)絡優(yōu)化[M].機械工業(yè)出版社.2009，ISBN：9787111091110.

[3]丁有志，田崢濤，唐燁基.基于偽基站的CDMA移動通信系統(tǒng)對抗技術研究[J].通信對抗，2008，06：105-109.

[4]百度文庫，GSM網(wǎng)絡無線參數(shù)優(yōu)化調(diào)整原理.https：∥wenku.baidu.com/view/fc61618271fe910ef12df80f.htm.