更新次数大于1000次,且位置更新次数较上周同期或平时均值有1倍以上增长的则判定CIy是疑似伪基站区域。
6)根据4)和5)中分析的区域到现场进行测试验证。
注:以上4)和5)统计中要排除异常IMEI引起的频繁位置更新,可将同一用户在同一小区内位置更新次数超过5次的用户排除。
三、 现网分析排查
1、
现网异常LAC分析
由于目前山东公司的A接口信令监测分析主要监控了济南本地网,本次主要针对济南地区2012年8月份的信令数据进行了分析。对现网正常位置更新的源LAC进行了统计,除了济南本地正常使用的LAC和周边相邻地区的LAC外,还有以下几个异常的LAC:
异常LAC 65534 0 171 65535 1556 正常位置更新次数 9210566 4287304 29555 15711 9528 表1 异常LAC统计表(8月10-22统计数据分析)
根据GSM规范,LAC的取值范围是1-65535,其中LAC=0和65534作为备用,手机在某次位置更新被拒绝,且拒绝原因是“Roaming not Allowed in this Location Area”等原因时,手机清除原来存储的LAI信息,随后以系统保留的LAC 65534的作为源LAC向网络发起正常位置更新(有个别手机也采用源LAC为0发起正常位置更新),因此对源LAC=0和源LAC=65534的情况,由于现网存在很多本地通异地漫游或在边界区域位置更新导致此问题出现,LAC=0和LAC=65534主要是现网业务导致,即使有伪基站使用0和65534的不规范LAC编码,由于无法和现网存在的正常业务区分,在分析时咱不考虑整两个LAC。
6 / 10
2、 现网异常CI分析
对其他三个LAC 171、65535和1556进行了分析,对使用TMSI发起位置更新的情况,在排除用户和IMEI异常频繁更新后,对符合上述原则的小区进行了筛选,目前初步确定的疑似区域如下:
BSC信LAC 令点 1067 1067 1067 1067 1067 1067 1067 1079 1079 1079 1043 1043 1043 1011 1011 1074 1084 1084 1084 1084 1084 1084 1048 1094 1051 1051 1051 21526 21526 21526 21526 21526 21526 21526 21439 21439 21439 25355 25355 25355 25345 25345 25356 21748 21748 21748 21748 21748 21748 21522 21745 21532 21532 21532 CI 6311 6313 基站名称 齐鲁国际 齐鲁国际 覆盖区域 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 银座商城 泉城广场科技馆 泉城广场科技馆 洪楼大润发 洪楼大润发 洪楼大润发 泺口通信城 泺口通信城 泺口通信城 万达广场 万达广场 大观园 市华联 市华联 市华联 和谐广场 和谐广场 和谐广场 历下大润发 马鞍山 银丰大厦 银丰大厦 财政学院 20221 惠尔大厦 20224 惠尔大厦 9511 11623 11629 11283 173 10471 413 18051 45512 45501 45501 13622 36921 36923 46069 45271 45271 45271 233 17931 6692 6691 17433 佛山苑 科技馆 科技馆 历城百货 洪楼分局 洪楼大润发 织布厂 通讯城 通讯城 万达广场 万达广场 大观园 嘉华购物广场 嘉华购物广场 小商品市场 银座和谐广场 银座和谐广场 银座和谐广场 纺织厅 社科院 银丰大厦 银丰大厦 财政学院 表2 济南现网主要伪基站疑似区域(8月10-22统计数据分析)
7 / 10
BSC信令点 1067 1011 1067 1011 1067 1067 1067 1067 1074 1067 1067 1067 1067 1067 1067 1067 1067 1067 1067 1067 LAC 21,526 25,345 21,526 25,345 21526 21526 21,526 21,526 25,356 21,526 21,526 21526 21526 21526 21526 21526 21526 21526 21526 21526 CI 6311 45501 20221 45502 11623 45564 11629 39842 6841 45587 45589 26311 14013 45258 20224 20012 30151 11 45588 10231 异常位置次数 9201 7723 4381 3419 2411 2391 2364 2024 1886 1348 1185 1128 986 984 759 758 756 737 710 700 异常位置更新IMSI号码数 8018 5532 3973 2714 2203 1798 2207 1812 1699 1091 1083 1088 817 714 694 707 595 672 665 590 表3 部分疑似区域的异常位置更新次数和IMSI号码数量 从以上区域可以看出,伪基站主要分布在:泉城路、泉城广场、银座商城、洪楼大润发、万达广场、大观园、马鞍山、银座和谐广场、市华联、通讯城等周边区域,上述区域的特点是靠近商业中心或商务中心等人流量比较大的区域,便于针对特定人群发送广告,从用户反映的垃圾短信广告内容主要是商业广告也说明了这一点;该区域的异常位置次数和IMSI号码数基本相当,也和实际测试中伪基站短信系统既判别IMSI又判别IMEI的情况基本吻合。目前用户收到的垃圾短信主要有:
“泉城路XX七夕约惠有情人!XX床品大型特卖会8.6日启动!心仪情侣装132元,XXX克拉钻震撼价23999起,XX黄金每克减17.7元!”
“泉城路XX暑期服饰1折起奥运T恤限量送,学生折上再9折。周末FANCL 20倍积分,山东少儿频道故事大王海选诚邀VIP适龄儿童相约XX!”
“6377元/平起!XX燕园78-90平两房101-126平三房火速开抢!2万抵5万,山东XXXX置业会盛大启动,园林开放在即66666101”
用户收到的发送垃圾短信的主叫号码不固定有1327925XXXX、1339190XXXX等,除了手机号还有行业端口号。
8 / 10
根据前期投诉有多个用户反映在马鞍山(8月5日)、泉城路百盛(8月18日)区域收到垃圾短信,经分析覆盖用户投诉区域的17931、6311等小区在也信令分析筛选的异常小区列表中。以17931小区为例,通过网管统计分析其位置更新趋势,可看出在8月5日用户投诉时间的位置更新次数较平时和周末同期有明显增长,峰值比平时高出1倍,说明当时小区的位置更新次数异常,应该是伪基站导致的。
图3 小区位置更新统计对比图
3、 后续处理建议
综合以上分析可知,伪基站发送垃圾短信主要是在人员密集地方部署伪基站,通过置基站发射功率等参数,使覆盖区域的GSM用户进行位置更新,获取用户信息(TMSI、IMSI等),之后模拟网络信令,伪造短信下发给用户,主叫号码可以随意设置。经在互联网搜索,已发现有伪基站短信系统的产品公开发售。如果任由伪基站发送短信的情况蔓延,将会给通信网络安全和信息安全保障造成严重的威胁,尤其是伪基站被不法分子利用来发送反动短信时,将会造成严重的政治影响。必须立即采取相关措施进行排查分析,联合相关部门进行打击。
一是,利用信令监测系统和网管系统对小区异常位置更新进行统计分析,确定现网的疑似伪基站发送短信情况和伪基站位置区域。并结合用户投诉情况,去现场捕捉和确认此类垃圾短信情况。
二是,到伪基站现场检测伪基站的BCCH广播频点,将伪基站的广播频点从现网的BA list列表中删除或采用厂家的双BA技术(部分厂家支持,目前伪基
9 / 10
站只有900M频点,可以强制用户小区重选时只选择到1800M小区),可以临时解决伪基站带来的干扰问题。但伪基站能够自动检测临区频点、并且可以随时修改频点和LAC,有的伪基站是流动式的,很难现场实时捕捉到伪基站信息。
三是,将此类问题反映到各省通信管理局、无委会、公安部门等,并配合以上部门查处和打击使用伪基站发送垃圾短信的相关人员。
10 / 10