基于大數(shù)據(jù)的偽基站準(zhǔn)實(shí)時(shí)監(jiān)控方法的研究

閆慧，韓增輝，呂傳祝

(1 中移在線服務(wù)有限公司山東分公司，濟(jì)南 250022；2 中國移動(dòng)通信集團(tuán)山東有限公司，濟(jì)南 250001）

基于大數(shù)據(jù)的偽基站準(zhǔn)實(shí)時(shí)監(jiān)控方法的研究

閆慧1，韓增輝2，呂傳祝2

(1 中移在線服務(wù)有限公司山東分公司，濟(jì)南 250022；2 中國移動(dòng)通信集團(tuán)山東有限公司，濟(jì)南 250001）

本文基于大數(shù)據(jù)分析對偽基站的監(jiān)測進(jìn)行了更進(jìn)一步的研究，對目前流動(dòng)式偽基站研發(fā)了手機(jī)APP快速跟蹤定位，提出全新的監(jiān)測和治理的新方法。依托大數(shù)據(jù)分析平臺(tái)，建立了偽基站準(zhǔn)實(shí)時(shí)監(jiān)控及分析的應(yīng)用，為偽基站排查工作的常態(tài)化奠定基礎(chǔ)。通過對信令數(shù)據(jù)的分析，實(shí)現(xiàn)對偽基站的準(zhǔn)實(shí)時(shí)定位以及偽基站移動(dòng)軌跡的描繪，同時(shí)根據(jù)偽基站的移動(dòng)軌跡確定其活動(dòng)規(guī)律及與偽基站具有相同活動(dòng)規(guī)律的偽基站使用者的移動(dòng)號(hào)碼信息，從而獲取疑似偽基站使用者的手機(jī)號(hào)碼信息，提升了用戶感知。

偽基站；手機(jī)APP；掌上大數(shù)據(jù)

1 研究背景

1.1 偽基站治理的必要性

非法生產(chǎn)、銷售、使用“偽基站”設(shè)備，不僅破壞正常電信秩序，更影響電信運(yùn)營商正常運(yùn)營活動(dòng)，危害公共安全，擾亂市場秩序，而且嚴(yán)重影響用戶手機(jī)使用，損害公民財(cái)產(chǎn)權(quán)益，侵犯公民隱私，社會(huì)危害性嚴(yán)重。偽基站已經(jīng)在社會(huì)安全、用戶體驗(yàn)、網(wǎng)絡(luò)通信等多方面帶來了很大的危害，原有偽基站的排查監(jiān)測方法已不適于對新形式下的偽基站作案手段的監(jiān)測打擊。偽基站利用了GSM單向鑒權(quán)的隱患，通過監(jiān)聽獲取GSM小區(qū)的BCCH頻率并進(jìn)行偽裝，放大發(fā)射功率，將目標(biāo)用戶被騙進(jìn)入偽基站系統(tǒng)，獲取手機(jī)的IMSI和TMSI?？梢匀我庠O(shè)置信息的發(fā)送號(hào)碼（如假冒運(yùn)營商客服號(hào)碼、銀行客服號(hào)碼、政務(wù)信息專用號(hào)碼等）發(fā)送大量違法信息，極易引發(fā)詐騙等其它治安或刑事案件。

隨著偽基站設(shè)備的多樣化，傳統(tǒng)的偽基站排查識(shí)別手段在準(zhǔn)確性、全面性、實(shí)時(shí)性、分析能力等方面遇到了較大問題，已不能滿足小型化、易移動(dòng)偽基站的排查識(shí)別要求。因此，需開發(fā)更加實(shí)時(shí)的技術(shù)手段，以及時(shí)發(fā)現(xiàn)偽基站當(dāng)前的大體位置及運(yùn)行軌跡，再利用掃描設(shè)備實(shí)施現(xiàn)場掃描、抓捕。為強(qiáng)化偽基站治理技術(shù)支撐能力，研發(fā)了基于大數(shù)據(jù)的偽基站準(zhǔn)實(shí)時(shí)監(jiān)控及分析應(yīng)用系統(tǒng)，通過對偽基站設(shè)備的實(shí)時(shí)定位、軌跡描繪、嫌疑人號(hào)碼篩選，對全省疑似偽基站受害用戶軌跡實(shí)施每5 min粒度監(jiān)測分析，從而實(shí)現(xiàn)了對偽基站的快速定位與精確打擊。

1.2 非法偽基站的工作原理

由于2G網(wǎng)絡(luò)采用單向鑒權(quán)認(rèn)證，即手機(jī)不鑒權(quán)網(wǎng)絡(luò)的合法性，僅在網(wǎng)絡(luò)側(cè)對手機(jī)進(jìn)行鑒權(quán)，導(dǎo)致手機(jī)無法有效辨別基站的真?zhèn)巍位驹O(shè)置中國移動(dòng)網(wǎng)號(hào)，并設(shè)置更優(yōu)的小區(qū)重選參數(shù)；當(dāng)手機(jī)進(jìn)入偽基站覆蓋區(qū)域時(shí)，很容易通過位置更新重選到偽基站小區(qū)。

具體流程為手機(jī)進(jìn)入到偽基站覆蓋范圍時(shí)，自動(dòng)重選接入到偽基站小區(qū)→手機(jī)發(fā)送位置更新請求，偽基站接受請求，并下發(fā)位置更新成功消息（在此期間，偽基站也獲取了用戶的IMSI 和IMEI）→偽基站按照短信被叫流程，向手機(jī)下發(fā)短消息→偽基站主動(dòng)變更LAC，通過廣播消息告知已接入手機(jī)，觸發(fā)手機(jī)再次位置更新→本次位置更新被偽基站拒絕，且通知手機(jī)不再接入偽基站LAC，手機(jī)位置更新失敗，脫離偽基站→手機(jī)重新位置更新，切換回移動(dòng)網(wǎng)絡(luò)。

1.3 目前偽基站的行為特點(diǎn)

偽基站具有流動(dòng)性強(qiáng)且可以隨意更改發(fā)送號(hào)碼等行為特征：具備小區(qū)短信設(shè)備的功能；不需要支付任何費(fèi)用；可實(shí)現(xiàn)短信發(fā)送不限量，短信內(nèi)容可以自己隨便寫，自行選擇發(fā)送短信的條數(shù)且沒有上限；設(shè)備體積小，可實(shí)現(xiàn)車載；發(fā)送半徑約為0～500m；無需知道潛在客戶的手機(jī)號(hào)碼；自行編輯發(fā)送內(nèi)容及被顯示號(hào)碼；主要發(fā)送地點(diǎn)在人員密集區(qū)；靈活自主地選擇目標(biāo)客戶群及發(fā)送時(shí)間、發(fā)布量、發(fā)布內(nèi)容等。

1.4 問題難點(diǎn)及解決方案

現(xiàn)階段，主要解決的問題是在現(xiàn)有的研發(fā)成果和技術(shù)基礎(chǔ)上，通過對信令數(shù)據(jù)的源LAC進(jìn)行分析，實(shí)現(xiàn)對偽基站的準(zhǔn)實(shí)時(shí)定位以及偽基站移動(dòng)軌跡的描繪；對偽基站設(shè)備進(jìn)行預(yù)警、跟蹤、分析，為偽基站治理工作提供支撐；做到準(zhǔn)確、全面的識(shí)別偽基站、實(shí)時(shí)監(jiān)控偽基站的動(dòng)態(tài)、深入了解分析偽基站的影響，解決發(fā)現(xiàn)困難、定位困難和監(jiān)測困難的3個(gè)困難點(diǎn)。

（1）利用MC口的實(shí)時(shí)信令分析，能第一時(shí)間從網(wǎng)絡(luò)側(cè)感知到偽基站的存在，并根據(jù)基站的位置信息確定偽基站的大體位置。

（2）分析位置更新信令中的源LAC是否與現(xiàn)網(wǎng)的LAC一致，來判斷是否存在偽基站，同時(shí)借助大數(shù)據(jù)技術(shù)對偽基站進(jìn)行實(shí)時(shí)分析識(shí)別，能在第一時(shí)間發(fā)現(xiàn)偽基站的位置。

（3）通過GIS軌跡描繪、軌跡比對識(shí)別偽基站攜帶者，能有效識(shí)別出偽基站使用者所攜帶的測試用手機(jī)的相關(guān)信息，為抓捕提供有力的證據(jù)。

2 偽基站識(shí)別的監(jiān)控原理

偽基站識(shí)別原理： 通過大數(shù)據(jù)流處理的方式準(zhǔn)實(shí)時(shí)地對位置信令進(jìn)行分析，將位置信令中源LAC不在省內(nèi)LAC列表和省際邊界LAC列表中的記錄進(jìn)行分類匯總，通過分析異常LAC出現(xiàn)的時(shí)間、具體地點(diǎn)和受影響小區(qū)來確定疑似偽基站的活動(dòng)區(qū)域，然后將活動(dòng)區(qū)域進(jìn)行串聯(lián)，獲取偽基站的活動(dòng)軌跡，找出與偽基站活動(dòng)軌跡相同的疑似號(hào)碼。

2.1 偽基站識(shí)別處理流程

偽基站識(shí)別處理流程為MC信令作為源數(shù)據(jù)，借用Streams流處理技術(shù)將源LAC不在本地LAC列表的消息導(dǎo)入Kafka隊(duì)列，并通過Flume框架技術(shù)落地為文件，再使用Gbase Loader工具導(dǎo)入數(shù)據(jù)倉庫。

使用Gbase Loader工具導(dǎo)入數(shù)據(jù)倉庫，每隔10 s入庫一次，提高了數(shù)據(jù)的實(shí)時(shí)性，入庫的明細(xì)數(shù)據(jù)可繼續(xù)加工處理，分析疑似偽基站攜帶者，偽基站攜帶者運(yùn)行軌跡等。識(shí)別處理流程如圖1所示。

除了后臺(tái)實(shí)時(shí)的處理流程，同時(shí)也制定了完善的聯(lián)動(dòng)機(jī)制，大數(shù)據(jù)中心基于大數(shù)據(jù)位置更新信令數(shù)據(jù)進(jìn)行分析，形成疑似偽基站識(shí)別模型。完成疑似偽基站識(shí)別、疑似偽基站攜帶者的識(shí)別、高危受害用戶的識(shí)別與查詢，方便網(wǎng)絡(luò)人員及時(shí)獲取偽基站的相關(guān)位置，以及后續(xù)的處理。

圖1 偽基站處理流程

圖2 識(shí)別技術(shù)模型

2.2 偽基站識(shí)別技術(shù)模型

利用從大數(shù)據(jù)平臺(tái)實(shí)時(shí)獲取小區(qū)位置更新事件流，將位置信令中的源LAC不在省內(nèi)LAC列表和省際邊界LAC列表中的記錄進(jìn)行分類匯總，通過分析異常LAC出現(xiàn)的時(shí)間、具體地點(diǎn)和受影響小區(qū)來確定疑似偽基站的活動(dòng)區(qū)域。同時(shí)按照預(yù)定時(shí)間片段（5 min為粒度）進(jìn)行偽基站的分類匯總，給出小區(qū)覆蓋區(qū)域下是否存在偽基站及偽基站的疑似程度（高、中、低），最終將判斷結(jié)果分發(fā)至相應(yīng)的模塊然后將活動(dòng)區(qū)域進(jìn)行串聯(lián)，獲取偽基站的活動(dòng)軌跡。識(shí)別技術(shù)模型如圖2所示。

2.3 偽基站識(shí)別功能架構(gòu)

利用大數(shù)據(jù)實(shí)現(xiàn)了偽基站識(shí)別、GIS實(shí)時(shí)監(jiān)控、告警管理及偽基站影響多維度分析等四大核心模塊，實(shí)現(xiàn)了偽基站可識(shí)別、可監(jiān)控、可分析，如圖3所示。

3 偽基站識(shí)別系統(tǒng)的應(yīng)用

本系統(tǒng)依托大數(shù)據(jù)平臺(tái)，增加了“偽基站識(shí)別分析和手機(jī)APP偽基站跟蹤”兩大模塊，在該功能模塊中主要包括“高頻受害用戶軌跡分析”、“疑似偽基站查詢”、“高頻被干擾小區(qū)排名”、“高頻受害用戶分析”等13個(gè)功能點(diǎn)。

3.1 高頻受害用戶軌跡分析，鎖定偽基站短信發(fā)送區(qū)域

將受害用戶經(jīng)過的小區(qū)，在地圖上按照時(shí)間順序串聯(lián)起來，形成偽基站受害用戶分析軌跡圖。

3.2 監(jiān)測偽基站信息，查詢疑似偽基站

（1）自助分析偽基站查詢。每隔5 min，將上個(gè)5min的明細(xì)數(shù)據(jù)輕度匯聚；按照偽基站的LAC及所在基站的LAC、Cell、經(jīng)緯度等信息進(jìn)行聚組，并提供Cell吸入的用戶數(shù)、用戶進(jìn)入時(shí)間等信息，根據(jù)這些數(shù)據(jù)可判斷偽基站所在的區(qū)域及影響用戶數(shù)，為現(xiàn)場抓捕提供依據(jù)。

（2）手機(jī)APP“偽基站”告警。開發(fā)手機(jī)APP，實(shí)時(shí)提醒網(wǎng)絡(luò)人員，有助于及時(shí)發(fā)現(xiàn)偽基站。

3.3 分析仿真基站，完善監(jiān)測的精準(zhǔn)度

省內(nèi)多處交通要道及市區(qū)路口部署了仿真基站，由于仿真基站LAC屬于移動(dòng)網(wǎng)外LAC，移動(dòng)用戶由仿真基站回到移動(dòng)公司網(wǎng)絡(luò)時(shí)會(huì)產(chǎn)生位置區(qū)更新，這部分位置區(qū)更新和偽基站產(chǎn)生的位置更新均屬于移動(dòng)網(wǎng)外LAC，如不加區(qū)分，會(huì)影響偽基站的判斷與排查。

圖3 識(shí)別功能架構(gòu)

為避免對偽基站排查工作受到影響，某省運(yùn)營商收集了全省仿真基站的LAC，并在交換側(cè)異常位置區(qū)更新中將這部分LAC下的位置更新數(shù)據(jù)剔除，保證系統(tǒng)中呈現(xiàn)的異常位置區(qū)更新數(shù)據(jù)全部為偽基站引發(fā)的數(shù)據(jù)。排查偽基站過程中，利用后臺(tái)數(shù)據(jù)指導(dǎo)現(xiàn)場排查，根據(jù)產(chǎn)生異常位置更新的小區(qū)確定偽基站范圍與運(yùn)動(dòng)軌跡，現(xiàn)場人員使用測試手機(jī)定位CI為“10”的偽基站，鎖定偽基站CI后，根據(jù)測試手機(jī)信號(hào)強(qiáng)度變化來判斷距離偽基站的距離遠(yuǎn)近。再根據(jù)偽基站車輛一般為外地牌照、流動(dòng)速度慢、在人流密集區(qū)發(fā)送等特點(diǎn)，抓捕就相對容易。

3.4 提升技術(shù)檢測手段，圈定重點(diǎn)監(jiān)控區(qū)域

對選定的疑似重點(diǎn)監(jiān)控區(qū)域，作為重點(diǎn)監(jiān)測對象。點(diǎn)擊“偽基站片區(qū)查詢”菜單，可以點(diǎn)擊“區(qū)域信息”中的已經(jīng)保存的區(qū)域查看該區(qū)域下是否存在偽基站； 也可點(diǎn)擊“打開”，開啟繪制功能，繪制某個(gè)區(qū)域后，可保存供后期查看。

3.5 違法取證管理，查詢偽基站攜帶數(shù)據(jù)

根據(jù)大數(shù)據(jù)分析出的數(shù)據(jù)，能夠按選定的時(shí)間LAC區(qū)域的偽基站活動(dòng)情況，實(shí)現(xiàn)定制查詢?nèi)蝿?wù)，查詢到偽基站攜帶數(shù)據(jù)、提供影響用戶的明細(xì)。

結(jié)合偽基站的時(shí)間、活動(dòng)軌跡，形成偽基站的時(shí)間、活動(dòng)基站明細(xì)，查詢對應(yīng)偽基站下的受干擾用戶，形成受干擾用戶的時(shí)間和活動(dòng)基站的明細(xì)，對受干擾用戶中，一段時(shí)間內(nèi)時(shí)間和活動(dòng)基站匹配度達(dá)到某個(gè)設(shè)定值的用戶作為偽基站的疑似攜帶者，建立偽基站和疑似攜帶者的對應(yīng)關(guān)系。

4 實(shí)施效果

系統(tǒng)于2016年4月起完成建設(shè)并推廣使用，日監(jiān)控分析高頻受害用戶數(shù)（超過1 000次）達(dá)1 000余個(gè)，高頻被干擾小區(qū)（影響用戶超過100戶）9萬余個(gè)，配合向公安提供受偽基站影響用戶數(shù)據(jù)達(dá)100萬余個(gè)。

截至目前，通過本方法某運(yùn)營商對“偽基站”實(shí)施主動(dòng)發(fā)現(xiàn)、監(jiān)測、定位共現(xiàn)場成功排查偽基站270余次，破獲偽基站案件100余起，繳獲設(shè)備100余部，較去年同期成功破獲增幅110.4%，打擊效果明顯。

經(jīng)濟(jì)效益方面，通過軌跡比對所識(shí)別出來的使用者的號(hào)碼信息，對獲偽基站案件提供更加有力的手段，破獲案件數(shù)大幅提升，同時(shí)縮減了對偽基站案件的分析時(shí)間及所需成本。

社會(huì)效益方面，首先，偽基站治理水平的提升，有效減少了客戶投訴，維護(hù)了用戶的合法權(quán)益；其次，有效抵制了不良手機(jī)文化的傳播，對創(chuàng)建良好的社會(huì)環(huán)境起到積極有效的作用。

Research on quasi real time monitoring method of pseudo base station based on large data

YAN Hui1, HAN Zeng-hui2, LV Chuan-zhu2
(1 Mobile Online Service Co., Ltd. Shandong Branch, Ji'nan 250022,China; 2 China Mobile Group Shandong Co., Ltd., Ji'nan 250001, China)

Based on large data analysis of the pseudo base station for further research, the current mobile pseudo base station developed a mobile phone APP fast tracking and positioning, and put forward a new method of monitoring and management. Relying on large data analysis platform, the pseudo base station to establish a quasi real time monitoring and analysis of the application, as the basis for the normalization of pseudo base station investigation. Through the analysis of the signaling data, realize the quasi realtime positioning of the pseudo base station and drawing pseudo base station movement, at the same time according to the user's mobile number pseudo base station information mobile trajectory pseudo base station to determine its activity patterns and has the same activity and pseudo base, in order to obtain the information of mobile phone number of suspected pseudo base users, enhance the user perception.

pseudo base station; mobile phone APP; big data

TN918

A

1008-5599（2016）12-0022-04

2016-11-24