Объект поиска относится к сетям беспроводной связи, а именно к способам обеспечения информационной безопасности абонентов беспроводных систем связи (такой как, например, GSM, UMTS, LTE, NR, Wi-Fi) [H04W 4/00, H04W 12/00, H04W 12/02, H04W 12/12, H04W 12/121, H04W 12/122, H04W 12/128, H04W 12/30, H04W 12/40, H04W 12/60, H04W 12/61, H04W 12/63, H04W 12/64, H04W 12/80, H04W 60/00, H04W 60/04]. Под атакой «отказ в обслуживании» (далее - DoS-атака), проводимой по радиоканалу, понимается любая атака, проводимая с использованием различных технических средств, с целью полного, либо частичного отказа в обслуживании атакуемой сети (абонентских устройств, базовой станции). Например, после успешного проведения такой атаки один или несколько элементов сети могут полностью потерять возможность соединения с базовой станцией или потеряют возможность использования существенной части заложенного оператором/разработчиками сети функционала (например, возможность осуществления обмена данными, доступа<; ресурсам сети, выполнения исходящих вызовов, отправки CMC-сообщений и т.д.). Подобные атаки могут проводиться злоумышленниками с помощью различных технических средств, например, с помощью виртуальных базовых станций, блокираторов.
Существует множество объективных исследований, в которых доказана уязвимость сетей 4G и 5G к атакам, выполняемых с помощью виртуальных базовых станций [S. Park, А. Shaik, R. Borgaonkar, А.С.Martin, and J. Seifert, "White-Stingray: Evaluating IMSI Catchers Detection Applications," [Электронный ресурс] // Workshop on Offensive Technologies. Oxford University, Department of Computer Science http://www.cs.ox.ac.uk/, 2017. URL: http://www.cs.ox.ac.uk/files/9192/paper-final-woot-imsi.pdf (дата обращения: 29.05.2023); H. Alrashede and R. A. Shaikh, "IMSI Catcher Detection Method for Cellular Networks," 2019 2nd International Conference on Computer Applications & Information Security (ICCAIS), Riyadh, Saudi Arabia, 2019, pp.1-6, doi: 10.1109/CAIS.2019.8769507; Задорожный A.A., Тихонюк А.И. Анализ известных мер по противодействию некоторым атакам в современных телекоммуникационных сетях. // Директор по безопасности, издательство ИД «Отраслевые ведомости» (Москва), 2023 №2. - С.72-76].
Под виртуальными базовыми станциями понимаются оборудование, которое может излучать различные служебные команды, соответствующие, а в некоторых случаях, абсолютно идентичные, командам легальных базовых станций операторов мобильной связи [Задорожный А.А., Тихонюк А.И. Анализ известных мер по противодействию некоторым атакам в современных телекоммуникационных сетях. // Директор по безопасности, издательство ИД «Отраслевые ведомости» (Москва), 2023 №2. - С. 72-76]. Виртуальные базовые станции, в свою очередь, можно классифицировать по решаемым с помощью них злоумышленниками задач, например:
- с целью перехвата идентификаторов (IMSI-catcher или IMSI-ловушки);
-с целью перехвата пользовательских данных (траффика, пользовательских данных, местоположения);
- с целью ухудшения/полного отказа в обслуживании абонентского устройства/группы абонентских устройств.
Кроме виртуальных базовых станций DoS-атаки могут быть осуществлены с помощью, так называемых блокираторов (англ. «jamming») или так называемых «спуфферов».
Известно, что ВВС для атак могут размещать на транспортном средстве.
Так, например, из открытых источников известна ВВС, размещенная на БПЛА (action-inti.com/imsi_catcher/348.html).
Атака типа «jamming» заключается в «зашумлении» канала связи, по которому элементы частной LTE-сети объекта (или LTE-сети мобильного оператора) осуществляют коммуникацию с базовой станцией 2 или между собой. Атаку можно отнести к физическому способу воздействия, поэтому она может приводить к полному нарушению работы сети или отключению от сети одного, двух или более элементов (в том числе, абонентских устройств), что может не сразу быть обнаружено.
Существуют различные виды такого оборудования. Такие которые, например, излучают помеху постоянно в определенном диапазоне, которые излучают помеху кратковременно и т.д. Кроме «jamming»-оборудования, DoS-атаки могут осуществляться и с помощью, так называемого «spoofing (спуфинг)» радиочастотного сигнала. Спуфинг-атака определяется, как атака, представляющая собой передачу ложного сигнала, по структуре соответствующего настоящему сигналу, в целях вызова сбоев (существенного ухудшения) в работе телекоммуникационной сети.
Очевидно, что DoS-атаки могут наносить существенный вред, особенно если с помощью них атакуются элементы сети, которые используются на различных режимных объектах, в том числе объектах критической информационной инфраструктуры, производственного сектора, государственных органов и т.д. Так, например, все больше абонентских устройств (IoT,IoTT) задействованы, в том числе, и на производствах.
Интернет вещей (IoT - Internet of Things) - это система, которая объединяет устройства в компьютерную сеть и позволяет им собирать, анализировать, обрабатывать и передавать данные другим объектам через программное обеспечение, приложения или технические устройства
Промышленный интернет вещей (IIoT - Industrial Internet of Things). Его применяют на производстве, складах, заводах и в лабораториях. Его задача - автоматизировать и упростить производственные процессы, снизить затраты на производстве и избежать убытков.
Примеры IIoT:
-датчики на оборудовании и станках, которые собирают данные об их работе и помогают предотвращать поломки, контролировать необходимость проведения замены, ремонта или технического обслуживания;
- системы климат-контроля, которые анализируют температуру и влажность, автоматически регулируют микроклимат в цехе или на складе;
- датчики на продукции и деталях, которые помогают в инвентаризации и выявлении брака;
системы удаленного управления производственным оборудованием, например, дистанционного запуска станков;
- датчики загрязнения, которые анализируют выбросы предприятия и следят за соблюдением экологических норм;
- маячки (метки) на транспорте, которые позволяют отслеживать груз в реальном времени;
датчики на системах автомобиля, помогающие отслеживать потребление бензина, износ двигателя, температуру в рефрижераторе и другие параметры.
DoS-атака на абонентские устройства, задействованные, например, в производстве, может привести к существенным негативным последствиям.
Кроме того, ухудшение связи/отказ вследствие DoS-атаки в обслуживании может приводить к серьезным финансовым потерям для мобильного оператора, поскольку абоненты не смогут получить доступ к услугам мобильной связи; также пользователи не смогут использовать важный функционал, предоставляемый мобильными операторами, например, экстренные вызовы.
Практически все организации и предприятия в настоящее время имеют в своем составе различное оборудование, устройства, компьютеры, объединенные в единую проводную и/или беспроводную корпоративную сеть, под управлением сервера организации (предприятия) и все большее внимание уделяется вопросам цифровой безопасности. В современных условиях централизации управления предприятием, применения высокотехнологичного оборудования, цифровизации процессов производства и управления становится актуальной защита вычислительных систем предприятия (организации) от внешних деструктивных воздействий или атак, например, DOS/DDOS-атак.
С появлением все более мощных вычислительных мощностей и высокоскоростных процессов обмена информации злоумышленники могут организовать масштабные действия, что приводит к увеличению количества атак и требует от системы безопасности более эффективной защиты. Злоумышленники постоянно разрабатывают новые методы и технику для проведения атак. Защита от атак - это важный аспект информационной безопасности, который позволяет предотвратить серьезные нарушения доступности, безопасности и конфиденциальности данных.
Существуют способы по противодействию ВБС. Один из них выбран за прототип - В патенте US 11070981 B21 предлагается метод выявление ВБС и защиты пользователей от возможного вмешательства ВБС в работе сети. Метод построен на том, что настоящая базовая станция (далее - БС) передает незашифрованный блок служебной информации (MIB), который перехватывается ВБС. Далее, ВБС передает скорректированную информацию на абонентское устройство (далее - АУ). В ответ АУ отсылает подтверждение настоящей БС в защищенном формате, которая могла бы перестраховаться и повторно отправить абонентскому устройству блок MIB, но уже теперь в защищенном формате. АУ сравнивает оба полученных MIB, если обнаруживаются расхождения, признает MIB, полученный в незащищенном формате, как MIB от ВБС.1(1 Information protection to detect fake base stations. US patent US 11070981 B2. [Электронный ресурс] // Официальный сайт Google Patents patents.google.com, 2012-2013. URL: https://patents.google.com/patent/US11070981B2/en (дата обращения: 22.03.2023).
Отрицательной стороной прототипа является сложность реализации, а именно -необходимо внесение изменений в аппаратно-программную часть как базовой станции так и абонентского устройства.
Задача изобретения состоит в устранении недостатков аналога и прототипа.
Технический результат изобретения заключается в повышении уровня информационной безопасности, за счет своевременного выявления и орудий атаки на беспроводную сеть.
Указанный технический результат достигается за счет того, что способ для выявления работы виртуальной базовой станции, находящейся в движении, характеризующийся тем, что для его реализации используют как минимум одно абонентское устройство, которое способно выявлять уровень среднего значения мощности принятых пилотных сигналов RSRP и/или качество принятых пилотных сигналов RSRQ всех базовых станций (одной или всех систем связи gsm/umts/lte/nr, всех операторов мобильной связи) производят постоянное измерение уровня RSRP и/или RSRQ для каждой базовой станции, высчитывает скорость изменения (увеличения или уменьшения) RSRP и/или RSRQ для каждой базовой станции и если скорость изменения RSRP и/или RSRQ для базовой станции на которую зафиксирована максимальная скорость изменения отличается от второй базовой станции по величине скорости изменения RSRP и/или RSRQ базовой станции более чем на 30% (исходя из экспериментов), полагают, что данная базовая станция является движущейся виртуальной базовой станции.
Очевидно, что измерения должны сравниваться, сделанные в одно и тоже время.
Предпочтительнее, чтобы абонентское устройство при этом находилось в «условно-неподвижном» состоянии (очевидно, что в случае нахождения абонентского устройства в руках или на теле человека, добиться полной неподвижности практически невозможно). Преимущественно, чтобы пользователь, например, не делал резких движений рукой, если в нем находится абонентское устройство. Не бежал, не ходил и т.д.
При этом, условную неподвижность, можно вычислять с помощью гироскопов или акселерометров (входят в состав практически всех современных смартфонов).
Преимущественно, для увеличения точности, лучше вычислять подобные ВБС с помощью нескольких абонентских устройств.
Также могут использоваться специально-изготовленные датчики (например, на базе смартфонов, модемов, и.т.д.), неподвижно размещаемых, например, внутри объекта или по его периметру (преимущественно, чтобы датчики размещались по периметру объекта для увеличения дальности выявления подобных ВБС).
Анализ полученной информации может происходить как на каждом абонентском устройстве (например, выполненный в виде смартфона), так и на аналитическом модуле (например, ПЭВМ). Тогда необходимо соединение проводным и/или беспроводным способом между абонентскими устройствами и аналитическим модулем (для того, чтобы передавать информацию сдатчиков на аналитический модуль).
Очевидно, что Уровень сигнала RSRP не будет постоянным даже в случае стационарности абонентских устройств, но он будет меняться в определенных пределах (как показывают эксперименты уменьшение и увеличение колеблется не более чем на 20-30%).
Очевидно, что если злоумышленник полностью подделает все параметры «легальной базовой станции», то RSRP и/или RSRQ все равно будет отличаться на каждом абонентском устройстве.
Если ВБС злоумышленника будет перемещаться.
Такое перемещение также вызовет резкое изменение RSRP и/или RSRQ на одном или нескольких абонентских устройств.
В случае появления «новых» базовых станций в районе (с новыми идентификаторами) в качестве данных о базовых станциях используется физический идентификатор соты (PCI), и/или код области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN)), также можо сделать вывод о появлении в районе ВБС.
Появление «новых» базовых станций + использования предложенного способа уменьшит вероятность «ложных срабатываний».
Для подтверждения выявления движущегося ВБС также используют данные о появившихся новых идентификаторов соты (PCI) и/или кода области отслеживания (ТАС) и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN).
Для увеличения дальности приема, абонентские устройства могут быть подняты на высоту.
Способ по любому из пунктов, отличающийся тем, что для увеличения дальности выявления (а это напрямую влияет на технический результат - чем на дальних расстояниях будет выявлена ВБС, тем большее время будет на реагирования на данную угрозу), преимущественно, поднятие абонентского устройства на высоту.
При этом такое поднятие может осуществляться, например, за счет мачт, летательных аппаратов (например, легче воздуха - дирижабль, аэростат и.т.д., БПЛА и др.).
В частности, абонентские устройства смонтированы стационарно и имеют постоянное питание.
В частности, аналитический модуль выполнен на базе электронного вычислительного устройства.
В качестве абонентских устройств может использоваться аппаратно-программный комплекс под названием «СОТА»2(2 Программное обеспечение СОТА // npocolibri URL: https://npocolibri.ru/sota/ (дата обращения: 27.05.2024).).
Аппаратно-программный комплекс СОТА предназначен для сбора технической информации о базовых станциях в сетях сотовой связи стандартов 2G, 3G, 4G, 5G.
Назначение комплекса аппаратно-программный комплекс СОТА:
Сбор параметров базовых станций операторов сотовой связи (в том числе RSRP, RSRQ);
Расчет местоположения базовых станций сотовой связи;
Анализ технической информации базовых станций сотовой связи;
Обеспечение безопасности использования сотовой связи.
В качестве аналитического модуля может использоваться ПЭВМ.
Аналитический модуль для сбора информации с датчиков может быть соединен с ними проводным или беспроводным способом.
Также аналитический модуль должен быть соединен с системой управления базовой станции для передачи команд по увеличению или уменьшения мощности для конкретной секторной антенны базовой станции.
В качестве абонентских устройств могут использоваться как специально-изготовленные устройства (датчики), так и любые абонентские устройства мобильной связи (например, смартфоны LTE, NR), при этом могут использоваться смартфоны. Датчики смонтированы стационарно и имеют постоянное питание.
Также получение информации о RSRP и/или RSRQ на все абонентские устройства, обслужтваемой базовой станцией, можно получить с помощью т.н. «отчетов об измерениях».
Такая информация RSRP и/или RSRQ всех абонентских устройств, может получаться базовой станцией и потом передаваться на аналитический модуль, а на аналитическом модуле уже делается вывод о выявлении ВБС.
Для получения отчетов об измерениях, содержащих нужные для системы параметры, базовая станция посылает RRC-сообщения подключенным абонентским устройствам. Такие сообщения содержат конфигурацию требуемых измерений, которая включает в себя множество параметров, среди которых имеется наиболее важная для целей выявления ВБС информация - несущие частоты, идентификаторы соседних сот, уровень и качество принимаемого от них сигнала.
Стандарты 3GPP требуют, чтобы отчеты об измерениях отправлялись конкретными датчиками только после успешного выполнения процедур безопасности. Таким образом, подобные сообщения шифруются, и неавторизованные абонентские устройства или анализаторы не смогут прочитать или изменить отчеты, отправленные аутентифицированным датчиком.
В соответствии с конфигурацией измерения отчет может дополнительно содержать измерения в обслуживающих и соседних ячейках с указанием физических идентификаторов ячеек (PCI), мощности принятого сигнала (RSRP), качества принятого сигнала (RSRQ), отношением сигнал/помеха (SINR).
Осуществление изобретения.
Сущностью изобретения является обеспечение защиты частных беспроводных сетей, в том числе мобильной связи, таких как LTE, NR-сетей, разворачиваемых на объектах (организаций, предприятий) от внешних воздействий (в том числе атак с использованием виртуальных базовых станций, находящихся в движении).
Данное изобретение может использовано также для защиты беспроводных сетей, развернутой на территории режимного объекта.
Под объектом в настоящем изобретении понимаются здания, сооружения, инженерные сети и прилегающая территория, отделенные (изолированные) от внешней территории. Главным отличительным признаком таких объектов считается наличие режима доступа на данный объект, то есть разрешение доступа на объект определенным лицам. Доступ осуществляется с помощью административно-организационных (с помощью сотрудников охраны) и технических (например, с использованием шлагбаумов, заборов, видеокамер) мер и внешнее воздействие на радиосеть объекта в этом случае возможна только с внешней территории, находящейся за пределами периметра объекта. Под радиосетью (беспроводной сетью) объекта понимается как частная (закрытая) радиосеть, оборудованная на объекте, так и радиосеть мобильного оператора.
В качестве абонентских устройств могут использоваться как специально-изготовленные устройства, так и любые аустройства мобильной связи (например, смартфоны LTE, NR), при этом могут использоваться смартфоны. Упомянутые датчики выполнены с возможностью ведения информационного обмена с одной или несколькими базовыми станциями мобильной связи различных поколений связи (GSM, UMTS, LTE, NR). Абонентские устройства могут быть смонтированы стационарно и иметь постоянное питание.
Аналитический модуль может быть выполнен на базе электронного вычислительного устройства, например, ПЭВМ, ноутбука и т.д. и может быть смонтирован как внутри объекта, так и вне его. К аналитическому модулю может быть подключен, по крайней мере, один модуль связи, выполненный с возможностью подключения аналитического модуля подключения к датчикам и/или к базовой станции.
В качестве примера АПК Сота, которая с помсщью ПО непрерывно мониторит RSRP и/или RSRQ всех базовых станций в локальном районе.
Под скоростью изменения уровня сигнала считаем изменение RSRP или RSRQ за определенное время (для того, чтобы избежать «ложных срабатываний» промежуток времени не должен быть очень маленький - исходя из экспериментов, более 0,5 сек). Далее с помощью ПО высчитывается изменение высчитывает скорость изменения (увеличения или уменьшения) RSRP и/или RSRQ для каждой базовой станции и ранжируется.
Также, для каждой из окружающих базовых станций (для идентификации используется -идентификатор соты (PCI), и/или код области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL - eUTRAN), и/или мобильный код страны (МСС), и/или мобильный код сети (MNC) ВЫЧИСЛЯЮТ диапазон изменения RSRP и/или RSRQ. Данная информация передается в аналитический модуль.
Так, например, если в период времени t+1 RSRP на базовую станцию «1» изменился на 60%, на базовую станцию «2» на 12%, на базовую станцию «3» на 8%, на базовую станцию «4» на 5%. При этом во время измерений абонентское устройство находилось в условно-неподвижном состоянии (можно определить с помощью акселерометра и/или гироскопа и/или модуля навигации). Для уменьшения ложных срабатываний необходимо, чтобы абонентское устройство было неподвижным (если находится в одежде или в вещах человека, чтобы он был неподвижен).
Так как скорость изменения данного параметра на базовую станции «1» выше, чем на базовой станции «2» более чем на 30%, считаем базовую станцию «1» - ВБС находящейся в движении.
Изобретение относится к сетям беспроводной связи. Технический результат заключается в повышении уровня информационной безопасности за счет своевременного выявления орудий атаки на беспроводную сеть. Способ выявления работы виртуальной базовой станции, находящейся в движении, характеризуется тем, что для его реализации используют как минимум одно абонентское устройство, которое способно выявлять уровень значения мощности принятых пилотных сигналов RSRP и/или качество принятых пилотных сигналов RSRQ базовых станций. Производят постоянное измерение уровня RSRP и/или RSRQ для каждой базовой станции в период времени ti, вычисляют скорость изменения RSRP и/или RSRQ для каждой базовой станции и осуществляют их ранжирование. Если в период времени ti+1 скорость изменения RSRP и/или RSRQ для базовой станции, для которой зафиксирована максимальная скорость изменения, отличается от второй базовой станции по величине скорости изменения RSRP и/или RSRQ более чем на 30 %, делают вывод, что базовая станция, для которой зафиксирована максимальная скорость изменения, является движущейся виртуальной базовой станцией. 8 з.п. ф-лы.
1. Способ выявления виртуальной базовой станции, находящейся в движении, характеризующийся тем, что используют как минимум одно абонентское устройство, которое способно выявлять уровень значения мощности принятых пилотных сигналов RSRP и/или качество принятых пилотных сигналов RSRQ базовых станций, при этом производят постоянное измерение уровня RSRP и/или RSRQ для каждой базовой станции в период времени ti, вычисляют скорость изменения RSRP и/или RSRQ для каждой базовой станции и осуществляют их ранжирование, и если в период времени ti+1 скорость изменения RSRP и/или RSRQ для базовой станции, для которой зафиксирована максимальная скорость изменения, отличается от второй базовой станции по величине скорости изменения RSRP и/или RSRQ более чем на 30 %, делают вывод, что базовая станция, для которой зафиксирована максимальная скорость изменения, является движущейся виртуальной базовой станцией.
2. Способ по п. 1, отличающийся тем, что абонентское устройство находится в неподвижном состоянии.
3. Способ по п. 2, отличающийся тем, что неподвижность абонентского устройства определяется с помощью гироскопа, и/или акселерометра, и/или модуля навигации.
4. Способ по п. 1, отличающийся тем, что осуществляется с помощью нескольких абонентских устройств.
5 Способ по п. 1, отличающийся тем, что для подтверждения выявления движущейся ВБС также используют данные идентификаторов соты (PCI), и/или кода области отслеживания (ТАС), и/или абсолютный номер нисходящего канала радиочастоты (EARFCN-DL).
6. Способ по п. 1, отличающийся тем, что абонентское устройство поднято на высоту.
7. Способ по п. 1, отличающийся тем, что абонентское устройство монтируют по периметру защищаемого объекта.
8. Способ по п. 6, отличающийся тем, что абонентское устройство поднято на высоту при помощи мачт.
9. Способ по п. 6, отличающийся тем, что абонентское устройство поднято на высоту с помощью летательных аппаратов.
| Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров | 1924 |
|
SU2021A1 |
| Электромагнитный прерыватель | 1924 |
|
SU2023A1 |
| Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров | 1924 |
|
SU2021A1 |
| US 8116763 B1, 14.02.2012 | |||
| СПОСОБ ПРОТИВОДЕЙСТВИЯ АТАКАМ ЗЛОУМЫШЛЕННИКОВ, НАПРАВЛЕННЫМ НА ПРОСЛУШИВАНИЕ ПЕЙДЖИНГОВЫХ СООБЩЕНИЙ, ПЕРЕДАВАЕМЫХ АБОНЕНТСКИМ УСТРОЙСТВАМ БЕСПРОВОДНОЙ СЕТИ СВЯЗИ | 2023 |
|
RU2818276C1 |
| CN 106792498 A, 31.05.2017. | |||
