基于數(shù)字孿生的5G網(wǎng)絡(luò)安全推演

馬宇威，杜海濤，粟 栗，安寧宇

中國(guó)移動(dòng)通信有限公司研究院安全技術(shù)研究所，北京 100053

網(wǎng)絡(luò)安全是攻防雙方能力的較量與對(duì)抗。在當(dāng)前競(jìng)爭(zhēng)日益激烈的國(guó)際網(wǎng)絡(luò)空間安全博弈中，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全對(duì)抗形勢(shì)日趨嚴(yán)峻復(fù)雜。第五代移動(dòng)通信網(wǎng)（5G 網(wǎng)絡(luò)）作為重要的關(guān)鍵信息基礎(chǔ)設(shè)施，已經(jīng)大規(guī)模商用部署，一旦遭受黑客攻擊而導(dǎo)致網(wǎng)絡(luò)癱瘓其后果不堪設(shè)想[1]。同時(shí)，5G網(wǎng)絡(luò)作為新一代移動(dòng)通信技術(shù)，具有高速率、低時(shí)延和大連接等特性，其不僅適用于人與人之間的通信，還將擴(kuò)展到人與物、物與物之間的通信，從而實(shí)現(xiàn)萬物互聯(lián)[2]。大量異構(gòu)終端互聯(lián)，加之其自身的安全防護(hù)能力又參差不齊，一旦被黑客控制，形成信令風(fēng)暴攻擊核心網(wǎng)，易導(dǎo)致網(wǎng)絡(luò)癱瘓等嚴(yán)重后果[3]。此外，隨著5G 網(wǎng)絡(luò)中虛擬化、軟件定義網(wǎng)絡(luò)、邊緣計(jì)算等新技術(shù)、新架構(gòu)的應(yīng)用以及垂直行業(yè)應(yīng)用中的能力開放、核心網(wǎng)部分設(shè)備下沉園區(qū)部署等，使得網(wǎng)絡(luò)邊界變得泛化模糊、暴露面加大、互聯(lián)網(wǎng)側(cè)攻擊風(fēng)險(xiǎn)增加、集中管控功能面臨更多安全挑戰(zhàn)等，都加劇了傳統(tǒng)安全防護(hù)手段的難度，從接入網(wǎng)、承載網(wǎng)、核心網(wǎng)等都面臨不同程度的安全威脅[4-6]。

目前，針對(duì)5G網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，可采用添加網(wǎng)絡(luò)防火墻、信令防火墻等安全設(shè)備以及主備倒換、設(shè)備組Pool 等災(zāi)備手段進(jìn)行安全防護(hù)。此外，5G 網(wǎng)絡(luò)自身較之前的移動(dòng)通信網(wǎng)在安全方面已有增強(qiáng)，如：支持用戶面和信令面數(shù)據(jù)的加密和完整性保護(hù)；具有安全隔離與安全傳輸能力等。

但5G網(wǎng)絡(luò)仍面臨一些以往移動(dòng)通信網(wǎng)遺留的安全風(fēng)險(xiǎn)和潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，且針對(duì)這些風(fēng)險(xiǎn)的攻擊也無法完全避免，如：與其他通信網(wǎng)進(jìn)行互聯(lián)互通時(shí)，依舊可使用自身存在缺陷的Diameter信令協(xié)議，易遭受跨網(wǎng)攻擊。同時(shí)，安全設(shè)備的防護(hù)能力也和其安全策略的有效性與精準(zhǔn)性有關(guān)。

綜上，為了提高5G網(wǎng)絡(luò)的安全防護(hù)能力，可利用網(wǎng)絡(luò)安全推演的方式與方法，對(duì)5G網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)、攻擊方式以及降低相應(yīng)風(fēng)險(xiǎn)與攻擊影響的措施等進(jìn)行分析。

1 網(wǎng)絡(luò)安全推演方式分析

通常信息系統(tǒng)所有者利用網(wǎng)絡(luò)安全推演，來及時(shí)發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中存在的安全問題與薄弱環(huán)節(jié)，全面評(píng)估網(wǎng)絡(luò)的整體安全防護(hù)水平，檢驗(yàn)運(yùn)維管理人員的應(yīng)急響應(yīng)能力以及安全防護(hù)措施的有效性等。目前，進(jìn)行安全推演的主要方式有三種：一是直接在真實(shí)網(wǎng)絡(luò)環(huán)境中進(jìn)行安全推演；二是通過仿真技術(shù)搭建和真實(shí)環(huán)境近似的實(shí)驗(yàn)環(huán)境進(jìn)行安全推演；三是利用前期收集的多種信息進(jìn)行桌面安全推演。

采用真實(shí)網(wǎng)絡(luò)環(huán)境進(jìn)行安全推演容易對(duì)網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)的連續(xù)性等產(chǎn)生影響；一旦網(wǎng)絡(luò)遭受攻擊而無法運(yùn)行，將導(dǎo)致嚴(yán)重后果；且某些重要應(yīng)用系統(tǒng)和具有破壞性的攻擊手段一般也不在真實(shí)環(huán)境下推演。而采用實(shí)驗(yàn)網(wǎng)絡(luò)則無法與真實(shí)網(wǎng)絡(luò)環(huán)境保持高度一致，兩者具有一定的差異性；且與真實(shí)網(wǎng)絡(luò)之間沒有數(shù)據(jù)聯(lián)動(dòng)，無法與真實(shí)網(wǎng)絡(luò)做到環(huán)境的同步更新，也無法直接將安全推演驗(yàn)證后的安全防護(hù)策略及時(shí)更新至真實(shí)網(wǎng)絡(luò)中。采用桌面安全推演主要依靠場(chǎng)景設(shè)定和現(xiàn)場(chǎng)專家研判，不進(jìn)行真實(shí)攻擊與防護(hù)，其真實(shí)性、可用性有待進(jìn)一步加強(qiáng)[7-8]。

對(duì)于當(dāng)前的5G網(wǎng)絡(luò)，基本都是運(yùn)營(yíng)商網(wǎng)絡(luò)、行業(yè)專網(wǎng)等生產(chǎn)網(wǎng)絡(luò)，需具備較高的可靠性、業(yè)務(wù)連續(xù)性等，很難直接利用現(xiàn)網(wǎng)進(jìn)行安全推演。而搭建整套實(shí)驗(yàn)環(huán)境難度大、成本高，且和真實(shí)網(wǎng)絡(luò)也具有一定的差異性。單純依靠傳統(tǒng)仿真技術(shù)會(huì)一定程度影響結(jié)果的有效性和準(zhǔn)確性，也會(huì)增加結(jié)果部署的時(shí)間成本與應(yīng)用難度。就目前而言，由于缺乏有效的實(shí)驗(yàn)平臺(tái)，網(wǎng)絡(luò)安全推演不得不在真實(shí)網(wǎng)絡(luò)中的限定時(shí)間內(nèi)進(jìn)行，造成推演周期過長(zhǎng)、網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)加大、實(shí)驗(yàn)成本上升等多重困難。

因此，本文利用數(shù)字化仿真技術(shù)設(shè)計(jì)一套與真實(shí)5G網(wǎng)絡(luò)高度一致且有數(shù)據(jù)動(dòng)態(tài)交互的推演模型，并依此構(gòu)建實(shí)驗(yàn)平臺(tái)來進(jìn)行安全推演，以解決推演環(huán)境問題，進(jìn)而探索5G網(wǎng)絡(luò)抵御多種可能攻擊的有效防護(hù)手段。

2 安全推演模型

2.1 設(shè)計(jì)理念

依照數(shù)字孿生的相關(guān)定義，孿生體可通過實(shí)時(shí)或非實(shí)時(shí)的方式采集物理實(shí)體的真實(shí)數(shù)據(jù)并將其存儲(chǔ)，用以構(gòu)建數(shù)據(jù)模型，生成或更新孿生體。通過孿生體以可視化的方式去映射物理實(shí)體，以達(dá)到物理實(shí)體、孿生體及其交互的可視化[9-10]。同時(shí)，可借助人工智能、專家系統(tǒng)、大數(shù)據(jù)等實(shí)現(xiàn)對(duì)物理實(shí)體的全生命周期的分析、診斷和控制[11]。

數(shù)字孿生網(wǎng)絡(luò)是以數(shù)字化方式創(chuàng)建物理網(wǎng)絡(luò)實(shí)體的虛擬孿生體，且可與物理網(wǎng)絡(luò)實(shí)體之間進(jìn)行交互映射的網(wǎng)絡(luò)系統(tǒng)。其網(wǎng)絡(luò)由物理實(shí)體網(wǎng)絡(luò)、虛擬孿生網(wǎng)絡(luò)以及網(wǎng)絡(luò)間的交互部分共同組成。在孿生網(wǎng)絡(luò)體系中，物理網(wǎng)絡(luò)向?qū)\生網(wǎng)絡(luò)提供基礎(chǔ)數(shù)據(jù)；孿生網(wǎng)絡(luò)依據(jù)基礎(chǔ)數(shù)據(jù)、基礎(chǔ)模型等生成與物理網(wǎng)絡(luò)高度一致的孿生網(wǎng)絡(luò)實(shí)例；通過孿生網(wǎng)絡(luò)實(shí)例，驗(yàn)證安全推演需求，并將驗(yàn)證結(jié)果同步給物理網(wǎng)絡(luò)；物理網(wǎng)絡(luò)得到結(jié)果后進(jìn)行更新，又可將其基礎(chǔ)數(shù)據(jù)提供給孿生網(wǎng)絡(luò)，從而形成孿生交互，其過程如圖1所示[12]。

圖1 5G網(wǎng)絡(luò)推演示意圖Fig.1 Schematic diagram of 5G network deduction

2.2 總體設(shè)計(jì)

依據(jù)安全推演與數(shù)字孿生的技術(shù)思路與應(yīng)用方式，本文基于數(shù)字孿生的5G網(wǎng)絡(luò)安全推演模型總體思路設(shè)計(jì)為：將孿生網(wǎng)絡(luò)分為孿生網(wǎng)絡(luò)層與孿生應(yīng)用層，孿生應(yīng)用層設(shè)定推演場(chǎng)景，孿生網(wǎng)絡(luò)層生成推演場(chǎng)景并進(jìn)行安全推演，場(chǎng)景所需真實(shí)數(shù)據(jù)由物理網(wǎng)絡(luò)提供，而物理網(wǎng)絡(luò)所需推演結(jié)果由孿生應(yīng)用層通過孿生網(wǎng)絡(luò)層控制下發(fā)，構(gòu)建的推演場(chǎng)景與物理網(wǎng)絡(luò)形成邏輯閉環(huán)，具體模型如圖2所示。

依據(jù)推演模型，物理網(wǎng)絡(luò)層主要包括真實(shí)5G 網(wǎng)絡(luò)與5G蜜網(wǎng)系統(tǒng)，通過孿生南向接口與孿生網(wǎng)絡(luò)對(duì)接；孿生網(wǎng)絡(luò)層與孿生應(yīng)用層通過孿生北向接口對(duì)接；孿生網(wǎng)絡(luò)層主要包括蜜網(wǎng)數(shù)據(jù)中心、孿生數(shù)據(jù)中心以及場(chǎng)景-模型映射中心等；孿生應(yīng)用層主要包括人機(jī)交互系統(tǒng)與推演場(chǎng)景設(shè)計(jì)等應(yīng)用模塊。

在推演模型中，物理網(wǎng)絡(luò)的真實(shí)數(shù)據(jù)采集至孿生數(shù)據(jù)中心進(jìn)行處理，形成策略模型、配置模型以及網(wǎng)絡(luò)實(shí)體模型等。這些模型向?qū)\生應(yīng)用層能力開放，供設(shè)計(jì)推演場(chǎng)景使用。而蜜網(wǎng)中捕獲的攻擊數(shù)據(jù)會(huì)先采集至蜜網(wǎng)數(shù)據(jù)中心處理，再與孿生數(shù)據(jù)中心的數(shù)據(jù)結(jié)合，形成攻擊模型；在物理網(wǎng)絡(luò)中引入蜜網(wǎng)系統(tǒng)，可有效捕獲大量的攻擊數(shù)據(jù)，進(jìn)而對(duì)攻擊行為進(jìn)行更真實(shí)地刻畫、還原與建模。場(chǎng)景-模型映射中心在收到孿生應(yīng)用層下發(fā)的指令后，生成相應(yīng)場(chǎng)景的孿生網(wǎng)絡(luò)實(shí)例供推演使用。當(dāng)該場(chǎng)景完成推演后，可通過孿生網(wǎng)絡(luò)層向物理網(wǎng)絡(luò)下發(fā)推演結(jié)果，物理網(wǎng)絡(luò)依據(jù)推演結(jié)果更新相應(yīng)的安全業(yè)務(wù)。若該推演場(chǎng)景不再需要時(shí)，可執(zhí)行刪除操作，以釋放系統(tǒng)資源，從而實(shí)現(xiàn)孿生網(wǎng)絡(luò)實(shí)例的全生命周期管理[13]。

孿生網(wǎng)絡(luò)層需要采集物理網(wǎng)絡(luò)層中的運(yùn)營(yíng)數(shù)據(jù)和攻擊數(shù)據(jù)為生成的孿生網(wǎng)絡(luò)實(shí)例提供模型、數(shù)據(jù)支撐。其中，運(yùn)營(yíng)數(shù)據(jù)由5G 物理網(wǎng)絡(luò)提供，攻擊數(shù)據(jù)由5G 蜜網(wǎng)系統(tǒng)提供。運(yùn)營(yíng)數(shù)據(jù)包括：網(wǎng)絡(luò)拓?fù)?、網(wǎng)元配置、安全配置等信息；攻擊數(shù)據(jù)包括：互聯(lián)網(wǎng)攻擊流量和電信網(wǎng)攻擊流量。由于數(shù)據(jù)采集接口需要頻繁、高速進(jìn)行數(shù)據(jù)采集，為減少系統(tǒng)資源損耗，可以使用遠(yuǎn)程直接數(shù)據(jù)存取協(xié)議（remote direct memory access，RDMA），配合專用硬件設(shè)備進(jìn)行數(shù)據(jù)傳輸[12]。

由于控制下發(fā)接口數(shù)據(jù)交互頻率相對(duì)較低，且會(huì)與多設(shè)備系統(tǒng)進(jìn)行交互，可采用輕量級(jí)、易擴(kuò)展的Restful接口，并配合Json（javascript object notation）格式進(jìn)行推演結(jié)果的下發(fā)[14]。推演結(jié)果即為相關(guān)的安全策略，包括：網(wǎng)元安全配置、虛擬化安全配置、組件安全配置、防護(hù)設(shè)備安全配置、運(yùn)維管理系統(tǒng)安全配置等。

2.3 模型流程分析

2.3.1 蜜網(wǎng)采集流程

在整個(gè)蜜網(wǎng)系統(tǒng)中，用于捕獲攻擊流量的蜜罐部署在物理網(wǎng)絡(luò)中，而用于后臺(tái)分析的蜜網(wǎng)數(shù)據(jù)中心部署在孿生網(wǎng)絡(luò)中，從而使蜜網(wǎng)與孿生網(wǎng)絡(luò)產(chǎn)生數(shù)據(jù)聯(lián)動(dòng)，便于孿生網(wǎng)絡(luò)層創(chuàng)建攻擊模型[14]。

為了實(shí)時(shí)獲取攻擊數(shù)據(jù)并減少對(duì)CPU 資源的損耗，蜜網(wǎng)數(shù)據(jù)中心利用RDMA 協(xié)議及時(shí)將蜜罐捕獲的攻擊數(shù)據(jù)進(jìn)行采集，流程如圖3所示。雙方網(wǎng)絡(luò)先進(jìn)行RDMA 初始化操作，然后蜜網(wǎng)系統(tǒng)捕獲攻擊數(shù)據(jù)，提取數(shù)據(jù)并存入指定內(nèi)存區(qū)域中，利用RDMA的Write操作將數(shù)據(jù)傳遞給蜜網(wǎng)數(shù)據(jù)中心；蜜網(wǎng)數(shù)據(jù)中心從指定內(nèi)存中提取數(shù)據(jù)。

圖3 蜜網(wǎng)數(shù)據(jù)中心采集流程Fig.3 Honeynet data center collection process

2.3.2 攻擊模型生成

在孿生網(wǎng)絡(luò)中，可利用5G 網(wǎng)絡(luò)的正常數(shù)據(jù)流量與蜜網(wǎng)系統(tǒng)的攻擊數(shù)據(jù)流量聯(lián)動(dòng)構(gòu)建攻擊模型，用于場(chǎng)景的安全推演，其聯(lián)動(dòng)流程如圖4 所示。按照攻擊流量，蜜網(wǎng)數(shù)據(jù)中心提供攻擊數(shù)據(jù)，并基于ATT&CK（adversarial tactics，techniques，and common knowledge）攻擊框架的基礎(chǔ)數(shù)據(jù)建立攻擊庫(kù)。按照正常流量，孿生數(shù)據(jù)中心建立相關(guān)模型，生成孿生網(wǎng)絡(luò)實(shí)例，并利用攻擊圖技術(shù)生成該推演場(chǎng)景下的攻擊圖，與建立的攻擊庫(kù)聯(lián)動(dòng)生成該場(chǎng)景下的攻擊模型，以支撐安全推演[15-16]。

圖4 正常流量與攻擊流量聯(lián)動(dòng)圖Fig.4 Normal traffic and attack traffic linkage diagram

2.3.3 專家推演流程

在安全推演應(yīng)用中，當(dāng)某個(gè)場(chǎng)景生成的孿生網(wǎng)絡(luò)實(shí)例遇到攻擊時(shí)，利用專家系統(tǒng)可自發(fā)地查閱知識(shí)庫(kù)中的相關(guān)場(chǎng)景描述，對(duì)該場(chǎng)景面臨的安全風(fēng)險(xiǎn)進(jìn)行推演，最終形成可阻止或降低該攻擊影響的安全策略。

在推演開始前，專家系統(tǒng)知識(shí)庫(kù)按照推演場(chǎng)景進(jìn)行分類建立；推演時(shí)，專家系統(tǒng)依據(jù)輸入條件獲取該場(chǎng)景下的安全風(fēng)險(xiǎn)點(diǎn)以及當(dāng)前具備的安全防護(hù)能力，根據(jù)攻防知識(shí)庫(kù)和推理機(jī)導(dǎo)出應(yīng)對(duì)該攻擊的所有安全策略，并在孿生網(wǎng)絡(luò)中驗(yàn)證這些策略的防護(hù)有效性；推演完成后，專家系統(tǒng)更新知識(shí)庫(kù)中安全策略的優(yōu)先級(jí)等，形成優(yōu)化反饋，具體流程如圖5所示[17]。

圖5 專家推演流程圖Fig.5 Flow chart of expert deduction

2.4 模型技術(shù)分析

傳統(tǒng)的安全評(píng)估依靠自建環(huán)境或利用生產(chǎn)環(huán)境對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試。環(huán)境自建存在成本高、難以復(fù)用、靈活度差等問題，而利用生產(chǎn)環(huán)境存在限制多、危險(xiǎn)系數(shù)高等問題。

而基于數(shù)字孿生的推演模型可有效地對(duì)網(wǎng)絡(luò)進(jìn)行模擬，同時(shí)具備通用性、高效性以及直觀性等特點(diǎn)。

有效性：利用數(shù)字孿生技術(shù)，可將5G物理網(wǎng)絡(luò)看做是硬件資源、孿生網(wǎng)絡(luò)與真實(shí)數(shù)據(jù)的有機(jī)組合，并從接入網(wǎng)、核心網(wǎng)等進(jìn)行高度還原仿真。從而可利用孿生網(wǎng)絡(luò)保證推演結(jié)果的精準(zhǔn)性，向物理網(wǎng)絡(luò)提供有效地防護(hù)策略。

通用性：與5G物理網(wǎng)絡(luò)構(gòu)建技術(shù)相一致，利用虛擬化技術(shù)、軟件定義網(wǎng)絡(luò)等實(shí)現(xiàn)孿生5G核心網(wǎng)，便于依據(jù)真實(shí)場(chǎng)景動(dòng)態(tài)組網(wǎng)，既可用于運(yùn)營(yíng)商網(wǎng)絡(luò)的安全推演，又可用于面向垂直行業(yè)的專網(wǎng)安全推演。

高效性：推演過程由于在孿生網(wǎng)絡(luò)中進(jìn)行，可實(shí)現(xiàn)對(duì)物理網(wǎng)絡(luò)的無感知操作，提高推演效率。以抗分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊為例，在真實(shí)物理網(wǎng)絡(luò)中，為減少對(duì)業(yè)務(wù)系統(tǒng)的影響，一般需要在凌晨固定時(shí)間段內(nèi)進(jìn)行，容易產(chǎn)生測(cè)試時(shí)間不連續(xù)、周期過長(zhǎng)、環(huán)境變動(dòng)等問題。而在推演模型中，將抗DDoS 設(shè)備的策略加載至孿生網(wǎng)絡(luò)中可進(jìn)行連續(xù)、集中測(cè)試，提高效率、節(jié)約時(shí)間成本。

直觀性：通過孿生應(yīng)用層，可將推演場(chǎng)景以沙盤形式展示給用戶，使之直觀了解到網(wǎng)絡(luò)的運(yùn)行情況，面臨的安全風(fēng)險(xiǎn)以及安全防護(hù)措施及防御效果。

在推演模型的實(shí)現(xiàn)方面，終端與無線側(cè)通過專門的終端生成儀表或?qū)Ｓ梅抡嬖O(shè)備進(jìn)行終端與無線的模擬與仿真；核心網(wǎng)側(cè)相關(guān)設(shè)備，通過虛擬機(jī)或者容器自動(dòng)化鏡像的方式，在孿生環(huán)境創(chuàng)建真實(shí)實(shí)例，并利用Ⅰntel DPDK（data plane development kit，數(shù)據(jù)平面開發(fā)套件）等技術(shù)創(chuàng)建可編程協(xié)議棧，實(shí)現(xiàn)對(duì)數(shù)據(jù)的精細(xì)控制；對(duì)于用戶面數(shù)據(jù)、信令面數(shù)據(jù)可以通過深度報(bào)文檢測(cè)（deep packet inspection，DPⅠ）的方式或在用戶面功能（user plane function，UPF）核心交換機(jī)引流獲得；對(duì)于安全類設(shè)備，通過對(duì)接設(shè)備的接口進(jìn)行配置，對(duì)安全設(shè)備進(jìn)行控制指令的下發(fā)等。

3 推演場(chǎng)景設(shè)計(jì)與驗(yàn)證

3.1 推演場(chǎng)景設(shè)計(jì)

5G 網(wǎng)絡(luò)架構(gòu)如圖6 所示[6]，主要包括終端、接入網(wǎng)以及核心網(wǎng)；其中核心網(wǎng)還包括與其他通信網(wǎng)的互聯(lián)互通和與互聯(lián)網(wǎng)的互通等部分[18]。由于終端不屬于網(wǎng)絡(luò)側(cè)范疇，因此在設(shè)計(jì)推演場(chǎng)景時(shí)不考慮終端自身的安全風(fēng)險(xiǎn)，但需考慮終端向網(wǎng)絡(luò)側(cè)發(fā)起攻擊的安全風(fēng)險(xiǎn)。由圖可知，5G網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)可以分為四大類：接入網(wǎng)安全風(fēng)險(xiǎn)、核心網(wǎng)安全風(fēng)險(xiǎn)、互聯(lián)互通安全風(fēng)險(xiǎn)以及互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。

圖6 5G網(wǎng)絡(luò)架構(gòu)及推演場(chǎng)景示意圖Fig.6 Schematic diagram of 5G network architecture and deduction scenarios

依據(jù)安全風(fēng)險(xiǎn)對(duì)應(yīng)以下四類安全推演場(chǎng)景，每種場(chǎng)景具體分析如下：

（1）接入網(wǎng)場(chǎng)景

在海量連接應(yīng)用場(chǎng)景中，將有數(shù)以百億計(jì)的物聯(lián)網(wǎng)終端接入，一旦這些終端存在漏洞被入侵利用，會(huì)形成規(guī)模化的終端僵尸網(wǎng)絡(luò)，攻擊無線空口或整個(gè)5G網(wǎng)絡(luò)，可造成DDoS攻擊或信令風(fēng)暴[3]。

（2）核心網(wǎng)場(chǎng)景

具體可以分為兩類：一是新技術(shù)引入帶來的安全風(fēng)險(xiǎn)場(chǎng)景，如：實(shí)體網(wǎng)元變?yōu)樘摂M化軟件、物理資源共享、網(wǎng)絡(luò)安全邊界模糊、能力開放導(dǎo)致數(shù)據(jù)泄露等；另一是5G網(wǎng)絡(luò)自身存在安全風(fēng)險(xiǎn)的場(chǎng)景，如：4G/5G互操作導(dǎo)致網(wǎng)絡(luò)回落，網(wǎng)元間業(yè)務(wù)調(diào)用（邏輯、頻率、參數(shù)）異常，運(yùn)維管理系統(tǒng)自身存在安全漏洞等[18-20]。

（3）互聯(lián)互通場(chǎng)景

在5G 網(wǎng)絡(luò)環(huán)境下，不同移動(dòng)通信網(wǎng)間互聯(lián)互通依然可采用2G/4G 環(huán)境下的SS7（signaling system 7，7 號(hào)信令系統(tǒng)）和Diameter 信令協(xié)議。由于SS7 和Diameter協(xié)議在制定之初沒有考慮身份鑒權(quán)機(jī)制，一旦攻擊者接入到信令系統(tǒng)就有可能向其他運(yùn)營(yíng)商發(fā)送信令，造成非授權(quán)獲取用戶位置信息、強(qiáng)制用戶下線以及呼叫竊聽等[21-22]。

（4）互聯(lián)網(wǎng)場(chǎng)景

由于5G網(wǎng)絡(luò)架構(gòu)的ⅠT化、云化、虛擬化等，使5G網(wǎng)絡(luò)也會(huì)面臨來自互聯(lián)網(wǎng)的攻擊[18]，比較典型的有針對(duì)網(wǎng)絡(luò)層的DDoS 攻擊和針對(duì)應(yīng)用層的Web 攻擊場(chǎng)景。此外，5G網(wǎng)絡(luò)設(shè)備的地址大多具有ⅠPv6地址，因此需關(guān)注針對(duì)ⅠPv6 地址的DDoS 攻擊以及防護(hù)設(shè)備的檢測(cè)與處置能力。

3.2 環(huán)境搭建

為了對(duì)5G 網(wǎng)絡(luò)面臨的多種安全風(fēng)險(xiǎn)進(jìn)行推演，本文以安全推演模型為基礎(chǔ)，依托真實(shí)物理網(wǎng)絡(luò)環(huán)境搭建一套基于數(shù)字孿生的5G網(wǎng)絡(luò)安全推演平臺(tái)，具體組網(wǎng)如圖7所示。推演網(wǎng)絡(luò)整體由攻擊網(wǎng)絡(luò)、防御網(wǎng)絡(luò)、孿生網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、孿生應(yīng)用主機(jī)以及終端和接入網(wǎng)等組成。

圖7 推演平臺(tái)組網(wǎng)圖Fig7 Networking diagram of deduction platform

在推演平臺(tái)中，用戶終端通過接入網(wǎng)可連接5G 物理核心網(wǎng)或5G孿生核心網(wǎng)。孿生網(wǎng)絡(luò)與物理網(wǎng)絡(luò)通過專用交換機(jī)進(jìn)行孿生數(shù)據(jù)的交換，孿生應(yīng)用主機(jī)負(fù)責(zé)控制整個(gè)孿生體系，如：推演場(chǎng)景的設(shè)計(jì)、使用以及停用，物理網(wǎng)絡(luò)的數(shù)據(jù)采集，孿生網(wǎng)絡(luò)推演結(jié)果的下發(fā)等。攻擊網(wǎng)絡(luò)中部署有攻擊儀表與攻擊庫(kù)等，可對(duì)物理網(wǎng)絡(luò)或?qū)\生網(wǎng)絡(luò)發(fā)動(dòng)攻擊。防御網(wǎng)絡(luò)中部署有安全防護(hù)設(shè)備，可以向物理網(wǎng)絡(luò)和孿生網(wǎng)絡(luò)提供安全防護(hù)策略。物理核心網(wǎng)和孿生核心網(wǎng)各自都具有安全防護(hù)策略，兩個(gè)網(wǎng)絡(luò)的安全防護(hù)策略可通過孿生網(wǎng)專用交換機(jī)進(jìn)行同步、更新。

在物理網(wǎng)絡(luò)與孿生網(wǎng)絡(luò)中，均依據(jù)3GPP Release 16 相關(guān)標(biāo)準(zhǔn)對(duì)網(wǎng)元參數(shù)進(jìn)行設(shè)置[2]。孿生網(wǎng)絡(luò)服務(wù)器選擇與物理網(wǎng)絡(luò)相同型號(hào)的服務(wù)器進(jìn)行基礎(chǔ)環(huán)境搭建；孿生網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫(kù)以及虛擬化軟件等均與物理網(wǎng)絡(luò)保持一致。

3.3 場(chǎng)景推演

本節(jié)從每類場(chǎng)景中選擇一個(gè)攻擊風(fēng)險(xiǎn)點(diǎn)，在孿生網(wǎng)絡(luò)中進(jìn)行攻防推演，并將推演結(jié)果同步于物理網(wǎng)絡(luò)中以驗(yàn)證防護(hù)效果。

（1）接入網(wǎng)-信令風(fēng)暴攻擊

通過5G蜜網(wǎng)捕獲終端注冊(cè)請(qǐng)求，建立攻擊庫(kù)，利用信令儀表按攻擊庫(kù)模擬僵尸網(wǎng)絡(luò)發(fā)起注冊(cè)請(qǐng)求，造成接入網(wǎng)設(shè)備過載，產(chǎn)生信令風(fēng)暴攻擊。同時(shí)，利用專家系統(tǒng)形成本場(chǎng)景下的多種安全防護(hù)策略，并進(jìn)行推演驗(yàn)證，通過防御效果進(jìn)行評(píng)價(jià)，形成推演結(jié)論。在孿生網(wǎng)絡(luò)中的推演過程如表1所示。

表1 信令風(fēng)暴場(chǎng)景推演過程Table 1 Signaling storm scenario deduction process

將推演結(jié)果應(yīng)用于物理網(wǎng)絡(luò)后，網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)信令風(fēng)暴攻擊的效果如圖8所示，設(shè)備丟棄大量終端注冊(cè)請(qǐng)求，使CPU利用率維持在閾值之下，保障設(shè)備安全。

圖8 網(wǎng)絡(luò)應(yīng)對(duì)信令風(fēng)暴的過載處理機(jī)制Fig.8 Overload handling mechanism for networks to deal with signaling storms

（2）核心網(wǎng)-任意網(wǎng)元去注冊(cè)

通過5G 蜜網(wǎng)捕獲核心網(wǎng)中的網(wǎng)元去注冊(cè)請(qǐng)求，建立攻擊庫(kù)，利用信令儀表向核心網(wǎng)NRF（network function（NF）repository function，網(wǎng)絡(luò)存儲(chǔ)功能）發(fā)起對(duì)任意網(wǎng)元的去注冊(cè)請(qǐng)求，當(dāng)NRF響應(yīng)該請(qǐng)求后，造成網(wǎng)元下線，影響網(wǎng)絡(luò)正常功能[18-19]。同時(shí)，利用專家系統(tǒng)形成本場(chǎng)景下的多種安全防護(hù)策略，并進(jìn)行推演驗(yàn)證，通過防御效果進(jìn)行評(píng)價(jià)，形成推演結(jié)論。在孿生網(wǎng)絡(luò)中的推演過程如表2所示。

表2 網(wǎng)元去注冊(cè)場(chǎng)景推演過程Table 2 Deduction process of NF de-registration scenario

在物理網(wǎng)絡(luò)中，應(yīng)用推演結(jié)果前的攻擊效果如圖9所示，NRF 響應(yīng)去注冊(cè)請(qǐng)求，使網(wǎng)元去注冊(cè)成功。應(yīng)用推演結(jié)果后，由于訪問控制策略限制，NRF 未執(zhí)行去注冊(cè)請(qǐng)求，攻擊失敗，如圖10所示。

圖9 任意網(wǎng)元去注冊(cè)攻擊成功Fig.9 NF de-registration attack is successful

圖10 任意網(wǎng)元去注冊(cè)攻擊失敗Fig.10 NF de-registration attack is fail

（3）互聯(lián)互通-位置定位

通過5G 蜜網(wǎng)捕獲核心網(wǎng)中的信令面數(shù)據(jù)，建立攻擊庫(kù)，利用信令儀表模擬攻擊者接入SS7 信令系統(tǒng)，利用信令協(xié)議自身缺少鑒權(quán)機(jī)制的漏洞，向目標(biāo)用戶網(wǎng)絡(luò)發(fā)起位置查詢請(qǐng)求，非法獲取用戶位置信息。同時(shí)，利用專家系統(tǒng)形成本場(chǎng)景下的多種安全防護(hù)策略，并進(jìn)行推演驗(yàn)證，通過防御效果進(jìn)行評(píng)價(jià)，形成推演結(jié)論。在孿生網(wǎng)絡(luò)中的推演過程如表3所示。

表3 位置定位場(chǎng)景推演過程Table 3 Location positioning scenario deduction process

在物理網(wǎng)絡(luò)中，應(yīng)用推演結(jié)果前的攻擊效果如圖11所示（圖中手機(jī)號(hào)等攻擊信息為敏感信息，需進(jìn)行模糊處理），攻擊者成功獲取用戶的位置信息。應(yīng)用推演結(jié)果后，由于信令防火墻的攔截策略，攻擊者無法獲取用戶位置信息，如圖12所示。

圖11 利用SS7信令獲取用戶位置Fig.11 Using SS7 protocol to obtain user location

圖12 攔截SS7信令阻止獲取用戶位置Fig.12 Using SS7 protocol to prevent getting user location

（4）互聯(lián)網(wǎng)-DDoS攻擊

通過5G蜜網(wǎng)捕獲DDoS攻擊流量，建立攻擊庫(kù)，利用DDoS攻擊儀表模擬僵尸網(wǎng)絡(luò)發(fā)起正常業(yè)務(wù)請(qǐng)求，造成網(wǎng)絡(luò)設(shè)備過載，產(chǎn)生DDoS 攻擊。同時(shí)，利用專家系統(tǒng)形成本場(chǎng)景下的多種安全防護(hù)策略，并進(jìn)行推演驗(yàn)證，通過防御效果進(jìn)行評(píng)價(jià)，形成推演結(jié)論。在孿生網(wǎng)絡(luò)中的推演過程如表4所示。

表4 DDoS攻擊場(chǎng)景推演過程Table 4 DDoS attack scenario deduction process

將推演結(jié)果下發(fā)至物理網(wǎng)絡(luò)中，驗(yàn)證防護(hù)效果，如圖13 所示，抗DDoS 設(shè)備可以有效識(shí)別并丟棄攻擊流量，保護(hù)網(wǎng)絡(luò)正常運(yùn)行。

圖13 抗DDoS設(shè)備識(shí)別并丟棄攻擊流量Fig.13 Anti-DDoS devices identifying and dropping attack traffic

在場(chǎng)景1～4的安全推演及推演結(jié)果的同步過程中，物理網(wǎng)絡(luò)監(jiān)控大屏未出現(xiàn)網(wǎng)絡(luò)異常告警信息，如圖14所示，表明在孿生網(wǎng)絡(luò)中進(jìn)行攻防推演不會(huì)對(duì)物理網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生影響。

圖14 物理網(wǎng)絡(luò)運(yùn)行監(jiān)控Fig.14 Physical network operation monitoring

3.4 結(jié)果分析

利用孿生網(wǎng)絡(luò)進(jìn)行安全推演，可在不影響物理網(wǎng)絡(luò)正常使用的情況下對(duì)安全策略進(jìn)行反復(fù)調(diào)優(yōu)，形成最優(yōu)策略。在場(chǎng)景1中，若閾值設(shè)置過低則影響正常用戶的體驗(yàn)，過高則不利于保護(hù)網(wǎng)絡(luò)設(shè)備的安全；在場(chǎng)景3中，若攔截策略設(shè)置過多會(huì)影響用戶正?？缇W(wǎng)業(yè)務(wù)，過少則不能完全阻止攻擊者的攻擊；在場(chǎng)景4 中，配合物理網(wǎng)絡(luò)的正常業(yè)務(wù)流量模型進(jìn)行調(diào)優(yōu)，既可快速識(shí)別攻擊流量又可盡量減少對(duì)正常流量的誤判。

在場(chǎng)景2 中，利用孿生推演結(jié)果，通過在物理網(wǎng)絡(luò)中開啟NRF 白名單過濾機(jī)制，并將網(wǎng)元去注冊(cè)權(quán)限進(jìn)行有效限制，即可避免對(duì)任意網(wǎng)元的去注冊(cè)攻擊；一般攻擊者不會(huì)對(duì)自己已控制的網(wǎng)元進(jìn)行去注冊(cè)攻擊，而是利用其為跳板進(jìn)行后續(xù)攻擊。若在高安全環(huán)境的網(wǎng)絡(luò)中，可禁止對(duì)任何網(wǎng)元的去注冊(cè)操作，并開啟HTTPS加密傳輸和OAuth 2.0（open authentication，開放認(rèn)證）認(rèn)證機(jī)制以提高核心網(wǎng)安全性，防止信息泄露。

通過對(duì)多個(gè)場(chǎng)景進(jìn)行安全推演可知，物理網(wǎng)絡(luò)可直接利用孿生網(wǎng)絡(luò)中的推演結(jié)果，且均可以有效抵御網(wǎng)絡(luò)攻擊，兩者具有相同的防護(hù)效果，避免了在真實(shí)網(wǎng)絡(luò)中直接推演帶來的多種安全風(fēng)險(xiǎn)。

4 總結(jié)與展望

由于物理網(wǎng)絡(luò)和孿生網(wǎng)絡(luò)具有高度的一致性，在孿生網(wǎng)絡(luò)中進(jìn)行安全推演，既可保證推演結(jié)果的準(zhǔn)確性，又可減少對(duì)物理網(wǎng)絡(luò)正常運(yùn)行的影響與破壞，最大程度保證物理網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性與可靠性。

利用數(shù)字孿生技術(shù)賦能網(wǎng)絡(luò)安全推演，優(yōu)勢(shì)在于：可快速?gòu)?fù)現(xiàn)物理網(wǎng)絡(luò)真實(shí)狀態(tài)，從而保證推演結(jié)果準(zhǔn)確；可避免攻防推演過程中帶來的物理狀態(tài)的破壞，節(jié)省測(cè)試成本，便于重復(fù)測(cè)試；可構(gòu)建復(fù)雜、大型推演場(chǎng)景，對(duì)如：DDoS攻擊、漏洞與病毒等在大型網(wǎng)絡(luò)環(huán)境下的破壞力、傳播力等進(jìn)行推演與驗(yàn)證。

下一步，可將多種安全推演場(chǎng)景進(jìn)行有序編排組合，在孿生網(wǎng)絡(luò)中形成攻防對(duì)抗環(huán)境，便于開展5G網(wǎng)絡(luò)下的紅藍(lán)對(duì)抗演練。同時(shí)，也可利用安全度量模型，配合量化體系對(duì)場(chǎng)景面臨的安全風(fēng)險(xiǎn)進(jìn)行度量，對(duì)網(wǎng)絡(luò)全局的安全性進(jìn)行量化評(píng)估等。