5GC网元服务异常检测原型
数据解析部分采用了Pyshark所提供的方法 。 tshark是wireshark下的解包工具 ， 而Pyshark是针对tshark的Python封装器 ， 利用Pyshark可以通过Python程序将数据包中各层的各个字段解析出来 。
在数据包中 ， HEADER帧与DATA帧有时是分开的 ， 由此会引发数据包的截断问题 ， 即header与body不在同一数据帧中 。 那么在提取参数结构之前 ， 首先需要解决参数的归属问题 。 使用http2streamid与tcpstreamid可以将同一请求的信息关联起来 。
为解决高并发下的数据包归属问题 ， 需要从解析后的数据集中提取用户信息 。 这里的用户信息主要是指用户设备在核心网中的身份标识 ， 根据3GPPTS23.502 ， 用户设备在核心网中的身份标识包括用户永久标识符（SUPI）、用户隐藏标识符（SUCI）、永久设备标识符（PEI）、5G全球唯一临时标识符（5G-GUTI）等 。 通过对已有数据集的分析处理 ， 用户设备的身份标识主要包含在请求的URL中的请求参数与响应参数中 。 因此 ， 在这几个字段下 ， 采用关键字符匹配的手段 ， 可提取出用户设备的身份标识 ， 并将其作为一项特征存储进数据集中 。
判断两次通信是否属于同一序列的一项重要标准为：这两次通信间是否存在“响应等待” 。 以核心网对用户设备的鉴权流程为例 ， 此流程的网元调用序列为AMF-AUSF-UDM-UDR ， 映射到数据包中体现为AMF向AUSF发起请求 ， AUSF向UDM发起请求 ， UDM向UDR发起请求 ， UDR向UDM返回响应 ， UDM向AUSF返回响应 ， AUSF向AMF返回响应 。 由此看来 ， 序列存在的一项关键特征为 ， 序列前置位的网元发送通信请求后 ， 不会立刻收到响应回复 ， 需要等待序列后置位的网元以序列逆序依次返回响应 。
***
5GC网元服务安全异常检测原型的核心技术在于参数结构提取算法、序列还原算法以及参数筛选模型 。 通过实验验证 ， 检测原型可以有效检测出5GC网元服务异常 。
在协议安全方面 ， 下一步还需要对N1、N2、N4接口协议可能存在的脆弱性进行分析和验证 。 此外 ， 尚需要将5GC的业务行为引入检测机制 ， 建立更细粒度的基线 。
盼望5GC作为万物互联的基础设施之一 ， 可以高效且安全地为大家提供便利 。
（辛冉系中国信息通信研究院安全研究所工程师 ， 高深、阮博男系绿盟科技集团股份有限公司安全研究员）

• 本文转自：光明网央视网消息：在贵州深山的大窝凼里有一个150人的团队|姜鹏：守护“中国天眼”的追星人
• 本文转自：中安在线中安在线、中安新闻客户端讯 日前|合肥高新创业园：科大校友驰骋创新沃野
• 本文转自：名城苏州近日|苏州合泉为因康合金提供温度控制方案
• 本文转自：名城苏州近日|卡塔罗精密通过ISO13485:2016管理体系认证
• 本文转自：陕西日报西安益迪惟科智能科技有限责任公司研发人员进行技术交流。|@科技工作者 秦创原喊你“e起创”
• 本文转自：中工网“可靠”的风电场 图为雷震山风电场工作人员正在巡查设备。|“可靠”的风电场
• 本文转自：文汇报▲东海大桥自动驾驶测试专用道管理措施昨起正式实施。|应用场景已在全市“多点开花”，上海自动驾驶新赛道提速扩容
• 本文转自：太原广播电视台沿街店铺的“伸舌头”经营、路面上堆放的垃圾、违规停放的车辆……这...|快递车装上摄像头！太原数字城管采集信息有了新渠
• 本文转自：广州日报慕思总部的智慧睡眠展厅慕思工业4.|慕思探索AI智慧睡眠系统3.0
• 本文转自：云南网近日|创新“智造”助力补链延链 云南弥渡引进项目见成效