本發明屬于移動通信系統網絡安全技術領域，涉及一種針對網絡攻擊的安全性識別方法；所述方法包括終端開機后在本地記錄該終端的軌跡信息；基站記錄所有接入該基站的終端的軌跡信息；響應于周期性觸發或疑似攻擊觸發，終端請求其接入的基站以加密的方式提供該基站小區指定時間范圍內的軌跡信息；終端將請求獲取的軌跡信息與本地保存的軌跡信息進行比較；計算軌跡信息的匹配度，當匹配度不滿足閾值時則識別出終端遭受到攻擊；本發明比較終端本地存儲的軌跡信息與基站所存儲的軌跡信息的匹配度，識別出終端是否受到網絡攻擊；當識別出基站為偽基站或者中繼基站時，則強制永久BAR掉當前小區，強制該終端選擇其他小區；本發明能有效識別攻擊。

技術領域

本發明屬于移動通信系統網絡安全技術領域，特別是4G/5G移動通信系統，具體涉及一種針對網絡攻擊的安全性識別方法。

背景技術

當前的移動通信系統，因為其空口資源的開放性，使通過空口進行安全性攻擊成為了可能。而針對終端的攻擊更是攻擊者攻擊的重點。

目前已經識別到的攻擊方式有：攻擊者通過高功率吸引周圍UE駐留，隨之攻擊者對終端下發虛假的網絡消息進行“偽基站”攻擊；攻擊者通過類似中繼的方式，獲取并中轉UE和網絡之間的明文消息，在中轉之前攻擊者惡意修改消息內容的“中間人”攻擊等。

這些攻擊極大地威脅著廣大用戶和運營商的業務安全，一旦出現，就會造成極大的嚴重后果。

而無論以上哪種針對空口的攻擊方式，均具備以下幾個特點：

1、攻擊消息的不易識別性。因為攻擊的信令都是以正常消息的格式存在的。攻擊者要么依據信令的規則，篡改信令交互中明文部分的消息內容；要么惡意更改某些密文信令的發送時機。這樣，被攻擊端很難識別哪些消息來自于攻擊者哪些消息來自于正常的交互實體。而無法識別攻擊也就無法針對性進行防護，這對于現有的無線網絡將是很大的安全性漏洞。

2、攻擊端功能的不完備性：攻擊端可以偽裝成“中繼者”或者“偽基站”，假裝自己是無線系統中的某一個合法實體。但其實際僅僅是為了某些特定的攻擊而存在的，因此其模擬實現的僅僅是基站或者終端的部分功能，而非真正的合法實體的完備功能。所以，這就決定了攻擊端所參與的信令交互過程是片段化的。

3、攻擊端的孤立性：攻擊端可以偽裝成“中繼者”或者“偽基站”，但其獲得的僅僅是和被攻擊端的同步，而并不能像真正的無線網絡中的實體具備和其他多個實體之間的網狀的連接。因此，其具有孤立性。這就決定了其攻擊過程中雖然獲取了被攻擊端的大量信息，但其無法獲取被攻擊端全部的軌跡信息。

發明內容

本發明針對現有技術所存在的終端或者網絡均難以識別當前處于攻擊的核心問題。即本發明的核心目的就是，使被攻擊端可主動識別當前是否處于攻擊中。

本發明采用的技術方案包括：

一種針對網絡攻擊的安全性識別方法，所述方法包括：

終端開機后，在本地記錄該終端的軌跡信息；

基站記錄所有接入該基站的終端的軌跡信息；

響應于周期性觸發或者疑似攻擊觸發，終端請求其接入的基站以加密的方式提供該基站小區指定時間范圍內的軌跡信息；

終端將請求獲取的軌跡信息與本地保存的軌跡信息進行比較；

計算比較軌跡信息的匹配度后，當匹配度低于閾值時，則識別出終端遭受到攻擊。

進一步的，所述在本地記錄該終端的軌跡信息包括各駐留小區的特征信息；終端駐留小區時間戳；終端初始接入駐留小區的時間戳以及網絡釋放連接的時間戳；在駐留小區內終端發生特殊事件以及對應當時終端的C-RNTI以及對應的時間戳記錄。