Способ для выявления работы виртуальной базовой станции с помощью летательного аппарата Российский патент 2025 года по МПК H04W12/00 

Объект поиска относится к сетям беспроводной связи, а именно к способам обеспечения информационной безопасности абонентов беспроводных систем связи (такой как, например, GSM, UMTS, LTE, NR, Wi-Fi) [H04W 4/00, H04W 12/00, H04W 12/02, H04W 12/12, H04W 12/121, H04W 12/122, H04W 12/128, H04W 12/30, H04W 12/40, H04W 12/60, H04W 12/61, H04W 12/63, H04W 12/64, H04W 12/80, H04W 60/00, H04W 60/04]. Под атакой «отказ в обслуживании» (далее - DoS-атака), проводимой по радиоканалу, понимается любая атака, проводимая с использованием различных технических средств, с целью полного, либо частичного отказа в обслуживании атакуемой сети (абонентских устройств, базовой станции). Например, после успешного проведения такой атаки один или несколько элементов сети могут полностью потерять возможность соединения с базовой станцией или потеряют возможность использования существенной части заложенного оператором/разработчиками сети функционала (например, возможность осуществления обмена данными, доступа к ресурсам сети, выполнения исходящих вызовов, отправки CMC-сообщений и.т.д.). Подобные атаки могут проводиться злоумышленниками с помощью различных технических средств, например, с помощью виртуальных базовых станций, блокираторов.

Существует множество объективных исследований, в которых доказана уязвимость сетей 4G и 5G к атакам, выполняемых с помощью виртуальных базовых станций [S. Park, А. Shaik, R. Borgaonkar, А.С. Martin, and J. Seifert, "White-Stingray: Evaluating IMSI Catchers Detection Applications," [Электронный ресурс] // Workshop on Offensive Technologies. Oxford University, Department of Computer Science http://www.cs.ox.ac.uk/, 2017. URL: http://www.cs.ox.ac.uk/files/9192/paper-final-woot-imsi.pdf (дата обращения: 29.05.2023); H. Alrashede and R.A. Shaikh, "IMSI Catcher Detection Method for Cellular Networks," 2019 2nd International Conference on Computer Applications & Information Security (ICCAIS), Riyadh, Saudi Arabia, 2019, pp. 1-6, doi: 10.1109/CAIS.2019.8769507; Задорожный A.A., Тихонюк А.И. Анализ известных мер по противодействию некоторым атакам в современных телекоммуникационных сетях. // Директор по безопасности, издательство ИД «Отраслевые ведомости» (Москва), 2023 № 2. - С. 72-76].

Под виртуальными базовыми станциями понимаются оборудование, которое может излучать различные служебные команды, соответствующие, а в некоторых случаях, абсолютно идентичные, командам легальных базовых станций операторов мобильной связи [Задорожный А.А., Тихонюк А.И. Анализ известных мер по противодействию некоторым атакам в современных телекоммуникационных сетях. // Директор по безопасности, издательство ИД «Отраслевые ведомости» (Москва), 2023 № 2. - С. 72-76]. Виртуальные базовые станции, в свою очередь, можно классифицировать по решаемым с помощью них злоумышленниками задач, например:

- с целью перехвата идентификаторов (IMSI-catcher или IMSI-ловушки);

- с целью перехвата пользовательских данных (траффика, пользовательских данных, местоположения);

- с целью ухудшения/полного отказа в обслуживании абонентского устройства/группы абонентских устройств.

Кроме виртуальных базовых станций DoS-атаки могут быть осуществлены с помощью, так называемых блокираторов (англ. «jamming») или так называемых «спуфферов». Известно, что ВБС для атак могут размещать на транспортном средстве.

Так, например, из открытых источников известна ВБС, размещенная на БПЛА (action-inti.com/imsi_catcher/348.html).

Атака типа «jamming» заключается в «зашумлении» канала связи, по которому элементы частной LTE-сети объекта (или LTE-сети мобильного оператора) осуществляют коммуникацию с базовой станцией 2 или между собой. Атаку можно отнести к физическому способу воздействия, поэтому она может приводить к полному нарушению работы сети или отключению от сети одного, двух или болee элементов (в том числе, абонентских устройств), что может не сразу быть обнаружено.

Существуют различные виды такого оборудования. Такие которые, например, излучают помеху постоянно в определенном диапазоне, которые излучают помеху кратковременно и т.д. Кроме «jamming»-оборудования, DoS-атаки могут осуществляться и с помощью, так называемого «spoofing (спуфинг)» радиочастотного сигнала. Спуфинг-атака определяется, как атака, представляющая собой передачу ложного сигнала, по структуре соответствующего настоящему сигналу, в целях вызова сбоев (существенного ухудшения) в работе телекоммуникационной сети.

Очевидно, что DoS-атаки могут наносить существенный вред, особенно если с помощью них атакуются элементы сети, которые используются на различных режимных объектах, в том числе объектах критической информационной инфраструктуры, производственного сектора, государственных органов и т.д. Так, например, все больше абонентских устройств (IoT, IоТТ) задействованы, в том числе, и на производствах.

Интернет вещей (IoT - Internet of Things) - это система, которая объединяет устройства в компьютерную сеть и позволяет им собирать, анализировать, обрабатывать и передавать данные другим объектам через программное обеспечение, приложения или технические устройства

Промышленный интернет вещей (IIoT - Industrial Internet of Things). Его применяют на производстве, складах, заводах и в лабораториях. Его задача - автоматизировать и упростить производственные процессы, снизить затраты на производстве и избежать убытков.

Примеры MoT:

- датчики на оборудовании и станках, которые собирают данные об их работе и помогают предотвращать поломки, контролировать необходимость проведения замены, ремонта или технического обслуживания;

- системы климат-контроля, которые анализируют температуру и влажность, автоматически регулируют микроклимат в цехе или на складе;

- датчики на продукции и деталях, которые помогают в инвентаризации и выявлении брака;

системы удаленного управления производственным оборудованием, например, дистанционного запуска станков;

- датчики загрязнения, которые анализируют выбросы предприятия и следят за соблюдением экологических норм;

- маячки (метки) на транспорте, которые позволяют отслеживать груз в реальном времени;

датчики на системах автомобиля, помогающие отслеживать потребление бензина, износ двигателя, температуру в рефрижераторе и другие параметры.

DoS-атака на абонентские устройства, задействованные, например, в производстве, может привести к существенным негативным последствиям.

Кроме того, ухудшение связи/отказ вследствие DoS-атаки в обслуживании может приводить к серьезным финансовым потерям для мобильного оператора, поскольку абоненты не смогут получить доступ к услугам мобильной связи; также пользователи не смогут использовать важный функционал, предоставляемый мобильными операторами, например, экстренные вызовы.

Практически все организации и предприятия в настоящее время имеют в своем составе различное оборудование, устройства, компьютеры, объединенные в единую проводную и/или беспроводную корпоративную сеть, под управлением сервера организации (предприятия) и все большее внимание уделяется вопросам цифровой безопасности. В современных условиях централизации управления предприятием, применения высокотехнологичного оборудования, цифровизации процессов производства и управления становится актуальной защита вычислительных систем предприятия (организации) от внешних деструктивных воздействий или атак, например, DOS/DDOS-атак.

С появлением все более мощных вычислительных мощностей и высокоскоростных процессов обмена информации злоумышленники могут организовать масштабные действия, что приводит к увеличению количества атак и требует от системы безопасности более эффективной защиты. Злоумышленники постоянно разрабатывают новые методы и технику для проведения атак. Защита от атак - это важный аспект информационной безопасности, который позволяет предотвратить серьезные нарушения доступности, безопасности и конфиденциальности данных.

Существуют способы по противодействию ВБС. Один из них выбран за прототип - В патенте US 11070981 B2¹(¹ Information protection to detect fake base stations. US patent US 11070981 B2. [Электронный ресурс] // Официальный сайт Google Patents patents.google.com, 2012-2013. URL: https://patente.google.com/patent/US11070981B2/en (дата обращения: 22.03.2023).) предлагается метод выявление ВБС и защиты пользователей от возможного вмешательства ВБС в работе сети. Метод построен на том, что настоящая базовая станция (далее - БС) передает незашифрованный блок служебной информации (MIB), который перехватывается ВБС. Далее, ВБС передает скорректированную информацию на абонентское устройство (далее - АУ). В ответ АУ отсылает подтверждение настоящей БС в защищенном формате, которая могла бы перестраховаться и повторно отправить абонентскому устройству блок MIB, но уже теперь в защищенном формате. АУ сравнивает оба полученных MIB, если обнаруживаются расхождения, признает MIB, полученный в незащищенном формате, как MIB от ВБС.

Отрицательной стороной прототипа является сложность реализации, а именно - необходимо внесение изменений в аппаратно-программную часть как базовой станции так и абонентского устройства.

Задача изобретения состоит в устранении недостатков аналога и прототипа.

Технический результат изобретения заключается в повышении уровня информационной безопасности, за счет своевременного выявления и орудий атаки на беспроводную сеть.

Указанный технический результат достигается за счет того, что способ для выявления работы виртуальной базовой станции с помощью летательного аппарата, характеризующийся тем, что для его реализации используют как минимум одно абонентское устройство, которое способно выявлять физический идентификатор соты (PCI) и/или код области отслеживания (ТАС) и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN)) (одной или всех систем связи gsm/umts/lte/nr, всех операторов мобильной связи), абонентское устройство с помощью привязного аэростата или привязного дирижабля и/или привязного воздушного шара поднимают на высоту более 50 метров, проводят режим адаптации, а именно - производят сбор PCI и/или ТАС и/или EARFCN в течении не менее 30 мин и в случае, если в последующем (после проведения режима адаптации) выявляют новый PCI и/или ТАС и/или EARFCN или фиксируют два одинаковых PCI с разными ТАС или два одинаковых PCI на разной частоте полагают, что в районе появилась ВБС.

Преимущественно, для увеличения темности, лучше вычислять подобные ВБС с помощью нескольких абонентских устройств.

Также могут использоваться специально-изготовленные датчики (например, на базе смартфонов, модемов, и т.д.), неподвижно размещаемых, например, внутри объекта или по его периметру (преимущественно, чтобы датчики размещались по периметру объекта для увеличения дальности выявления подобных ВБС).

Анализ полученной информации может происходить как на каждом абонентском устройстве (например, выполненный в виде смартфона), так и на аналитическом модуле (например, ПЭВМ). Тогда необходимо соединение проводным и/или беспроводным способом между абонентскими устройствами и аналитическим модулем (для того, чтобы передавать информацию сдатчиков на аналитический модуль).

В случае появления «новых» базовых станций в районе (с новыми идентификаторами) в качестве данных о базовых станциях используется физический идентификатор соты (PCI), и/или код области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN)), также можно сделать вывод о появлении в районе ВБС.

Поднятие на высоту с помощью привязного аэростата или дирижабля даст возможность увеличить по площади район выявления ВБС. Так, эксперименты, проведенные автором показали, что при поднятия абонентского устройства на высоту 100 метров, количество выявляемых базовых станций увеличилось более чем в 10 раз (15 против 160). Очевидно, что чем больший по времени будет проводиться режим адаптации, тем меньшее количество ложных срабатываний будет фиксироваться (эксперименты показали, что такое время адаптации не должно быть менее получаса). Преимущественно, чтобы время адаптации было более 24 часа (изменение колебаний аэростата, связанное с силой ветра + мощность базовых станций может колебаться в ночное и дневное время).

В частности, аналитический модуль выполнен на базе электронного вычислительного устройства.

В качестве абонентских устройств может использоваться аппаратно-программный комплекс под названием «СОТА»²(² Программное обеспечение СОТА // npocolibri URL: https://npocolibri.ru/sota/ (дата обращения: 27.05.2024).).

Аппаратно-программный комплекс СОТА предназначен для сбора технической информации о базовых станциях в сетях сотовой связи стандартов 2G, 3G, 4G, 5G.

Назначение комплекса аппаратно-программный комплекс СОТА:

• Сбор параметров базовых станций операторов сотовой связи (в том числе всех возможных данных о близлежайших базовых стациях);

• Расчет местоположения базовых станций сотовой связи;

• Анализ технической информации базовых станций сотовой связи;

• Обеспечение безопасности использования сотовой связи.

В качестве аналитического модуля может использоваться ПЭВМ.

Аналитический модуль для сбора информации с датчиков может быть соединен с ними проводным или беспроводным способом.

В качестве абонентских устройств могут использоваться как специально-изготовленные устройства (датчики), так и любые абонентские устройства мобильной связи (например, смартфоны LTE, NR), при этом могут использоваться смартфоны. Датчики смонтированы стационарно и имеют постоянное питание.

Осуществление изобретения.

Сущностью изобретения является обеспечение защиты частных беспроводных сетей, в том числе мобильной связи, таких как LTE, NR-сетей, разворачиваемых на объектах (организаций, предприятий) от внешних воздействий (в том числе атак с использованием виртуальных базовых станций, находящихся в движении).

Данное изобретение может использовано также для защиты беспроводных сетей, развернутой на территории режимного объекта.

Привязной аэростат или дирижабли или воздушный шар фиксируют на территории режимного объекта.

Под объектом в настоящем изобретении понимаются здания, сооружения, инженерные сети и прилегающая территория, отделенные (изолированные) от внешней территории. Главным отличительным признаком таких объектов считается наличие режима доступа на данный объект, то есть разрешение доступа на объект определенным лицам. Доступ осуществляется с помощью административно-организационных (с помощью сотрудников охраны) и технических (например, с использованием шлагбаумов, заборов, видеокамер) мер и внешнее воздействие на радиосеть объекта в этом случае возможна только с внешней территории, находящейся за пределами периметра объекта. Под радиосетью (беспроводной сетью) объекта понимается как частная (закрытая) радиосеть, оборудованная на объекте, так и радиосеть мобильного оператора.

В качестве абонентских устройств могут использоваться как специально-изготовленные устройства, так и любые устройства мобильной связи (например, смартфоны LTE, NR), при этом могут использоваться смартфоны. Упомянутые датчики выполнены с возможностью ведения информационного обмена с одной или несколькими базовыми станциями мобильной связи различных поколений связи (GSM, UMTS, LTE, NR).

Абонентские устройства могут быть смонтированы стационарно и иметь постоянное питание.

Аналитический модуль может быть выполнен на базе электронного вычислительного устройства, например, ПЭВМ, ноутбука и т.д. и может быть смонтирован как внутри объекта, так и вне его. К аналитическому модулю может быть подключен, по крайней мере, один модуль связи, выполненный с возможностью подключения аналитического модуля подключения к датчикам и/или к базовой станции.

В течении 24 часов производят режим адаптации - сбор данных о всех ближайших базовых станциях идентификатор соты (PCI), и/или код области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN), и/или мобильный код страны (МСС), и/или мобильный код сети (MNC).

Данные заносятся в аналитический модуль.

Далее комплекс встает на «боевой режим».

В случае выявления ранее не фиксировавшегося(РСI), и/или код области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN), и/или мобильный код страны (МСС), и/или мобильный код сети (MNC) или фиксации двух одинаковых PCI с разными ТАС или двух одинаковых PCI на разной частоте (злоумышленник может подделаться под легальную базовую станцию), информируется служба безопасности.

Информирование может происходить с помощью штатного модема в абонентском устройстве или использования дополнительного модуля связи.

Использование привязных аэростатов или дирижаблей или воздушных шаров позволит функционировать данной системе (а значит и обеспечивать повышенный уровень информационной безопасности) длительное время - несколько недель (что также благотворно скажется на тех результат).

Изобретение относится к сетям беспроводной связи. Технический результат заключается в повышении уровня информационной безопасности за счет своевременного выявления орудий атаки на беспроводную сеть. Такой результат достигается тем, что используют как минимум одно абонентское устройство, которое способно выявлять PCI, и/или ТАС, и/или EARFCN, абонентское устройство с помощью привязного аэростата или привязного дирижабля и/или привязного воздушного шара поднимают на высоту более 50 метров, проводят режим адаптации, а именно производят сбор данных о всех ближайших базовых станциях, включающих мобильный код страны (МСС), и/или мобильный код сети (MNC), и/или PCI, и/или ТАС, и/или EARFCN, в течение не менее 30 мин и анализируют полученные данные, в случае если в последующем выявляют новый мобильного код страны (МСС), и/или мобильный код сети (MNC), и/или PCI, и/или ТАС, и/или EARFCN или фиксируют два одинаковых PCI с разными ТАС или два одинаковых PCI на разных частотах, то полагают, что в районе появилась виртуальная базовая станция. 1 з.п. ф-лы.

1. Способ для выявления работы виртуальной базовой станции с помощью абонентского устройства, характеризующийся тем, что для его реализации используют как минимум одно абонентское устройство, которое способно выявлять PCI, и/или ТАС, и/или EARFCN, абонентское устройство с помощью привязного аэростата или привязного дирижабля и/или привязного воздушного шара поднимают на высоту более 50 метров, проводят режим адаптации, а именно производят сбор данных о всех ближайших базовых станциях, включающих мобильный код страны (МСС), и/или PCI, и/или ТАС, и/или EARFCN, в течение не менее 30 мин и анализируют полученные данные, в случае если в последующем выявляют новый мобильный код страны (МСС), и/или PCI, и/или ТАС, и/или EARFCN или фиксируют два одинаковых PCI с разными ТАС или два одинаковых PCI на разных частотах, то полагают, что в районе появилась виртуальная базовая станция.

2. Способ по п. 1, отличающийся тем, что осуществляется с помощью нескольких абонентских устройств.