巴中网站建设培训班,宿迁建设局网站a类证查询,企业信息查询表去哪里查,域名ip查询大家读完觉得有帮助记得关注和点赞#xff01;#xff01;#xff01; 抽象 由于 5G 独立组网 #xff08;SA#xff09; 部署仍然有限#xff0c;并且用户设备 #xff08;UE#xff09; 制造商继续支持传统网络连接#xff0c;因此流氓基站 #xff08;RBS#xf…
大家读完觉得有帮助记得关注和点赞 抽象 由于 5G 独立组网 SA 部署仍然有限并且用户设备 UE 制造商继续支持传统网络连接因此流氓基站 RBS 攻击尤其是那些利用降级漏洞的攻击仍然是一个持续的威胁。 这项工作介绍了 ARGOS这是一个部署在近实时 RIC 中的全面 O-RAN 兼容入侵检测系统 IDS旨在实时检测 RBS 降级攻击这是以前在 O-RAN 环境中未探索过的领域。 该系统增强了 3GPP KPM 服务模型以实现更丰富的 UE 级遥测并具有自定义 xApp可应用无监督机器学习模型进行异常检测。 独特的是更新后的 KPM 服务模型对从调制解调器第 1 层 ML1 日志和直接从商用现货 COTS 用户部收集的测量报告中提取的跨层特征进行作。 为了在实际条件下评估系统性能使用 Open5GS、srsRAN 和 FlexRIC 实现了专用测试台并针对广泛的实际测量数据集进行了验证。 在评估的模型中变分自动编码器 VAE 实现了检测性能和效率的最佳平衡准确率达到 99.5%误报率仅为 0.6%系统开销最小。 索引术语 5G、O-RAN、xApps、ML、RBS、IDS 第一介绍 5G 移动网络的兴起代表了电信领域的重大转变通过更快的连接和最小的延迟为创新应用打开了大门。 随着电信行业接近 5G 采用的中间点越来越多的移动网络运营商 MNO尤其是亚洲和北美的移动网络运营商 MNO正专注于网络致密化和向 5G 核心独立组网 SA 架构过渡[1]. 这一转变旨在释放 5G SA 的全部潜力预计到 2030 年全球用户将达到 36 亿[2]. 尽管如此研究表明LTE 和早期的移动网络将继续在全球范围内使用这表明 5G SA 将在未来十年内与传统网络共存尤其是在用户设备与旧蜂窝技术保持兼容的情况下。 这引发了与老一代的向后兼容性问题这些老一代继续暴露遗留漏洞。 降级攻击利用这一点迫使设备通过安全性较低的传统网络连接从而损害连接的完整性。 此类攻击通常由攻击者使用流氓基站 RBS 进行RBS 充当国际移动用户身份 IMSI 捕获器[3,4,5,6,7,8]. 因此随着我们超越 5G 迈向 6G网络必须能够检测和分类其附近的恶意实体和流量。 从运营和安全角度来看5G 的一个关键进步是采用了软件定义的开放式无线接入网络 O-RAN 架构该架构将传统蜂窝基础设施的可编程性提升到了一个新的水平。 O-RAN 通过引入分散式模块化架构来促进开放性、互作性和可编程性从而重新定义了传统的单体式和供应商专有的 RAN如图 2 所示。 O-RAN 采用软件定义网络 SDN 的原则支持在整个 RAN 中实现集中控制和动态网络优化。 该架构的核心元素是位于控制平面的 RAN 智能控制器 RIC两者都支持模块化的“即插即用”应用程序也称为 xApp 和 rApp。 最近的研究越来越多地利用 RIC 进行网络优化以及入侵检测系统 IDS 和入侵防御系统 IPS 的实施以解决一系列攻击媒介。 然而之前的工作还没有通过提出符合当前和未来蜂窝网络部署和智能手机制造限制的实用解决方案来明确解决降级攻击。 此外许多现有研究依赖于合成数据或受限测量无法反映现有蜂窝网络部署的特征。 为了解决这些差距我们引入了阿尔戈斯11Argos Panoptes 是希腊神话中“无所不知”的巨人拥有一百只眼睛象征着永恒的警惕——反映了 ARGOS 对 RBS 威胁的持续监控。这是第一个与 O-RAN 集成的综合系统用于检测试图发起降级攻击的 RBS将 IDS xApp 与近乎实时 RIC NearRT-RIC 中增强的遥测收集机制相结合。 它收集从用户设备 UE 测量报告和调制解调器第 1 层数据中提取的各种物理层 PHY-layer 指标例如参考信号接收功率 RSRP、参考信号接收质量 RSRQ 和信干噪比 SINR并利用机器学习 ML 模型来检测周围区域内是否存在恶意小元。 此外为了解决受限的真实世界测量的局限性我们使用从美国两个主要城市的 10 多个地区收集的广泛真实数据集来评估我们的系统涵盖两个 MNO 和四个商用现货 COTS UE。 最后为了评估框架的性能我们使用 Open5GS 构建了一个自定义测试平台[9]、srsRAN[10]和 FlexRIC[11]作为核心网络和 O-RAN 基础设施的参考平台。 我们的系统实现了高达 99.5% 的准确率和 96.7% 的精度证明了其在长期检测流氓单元方面的可靠性和对误报的稳健性。 本文的其余部分组织如下 第 II 部分回顾了相关工作而第 III 部分提供了必要的背景。 第 IV 节概述了拟议 IDS 的威胁模型和架构设计。 第五节介绍了基准测试和实验结果而第六节详细介绍了贯穿整个工作中遵守的伦理考虑。 最后第 VII 节总结了本文并对未来的工作产生了影响。 第二相关工作 与前几代产品相比5G 引入了实质性的安全改进;但是它仍然继承了 LTE 等传统系统仍然存在的漏洞[12]启用各种攻击例如 IMSI Catching。 通过 RBS 实现的 IMSI 捕集器已在所有细胞代中得到广泛研究[13,5]. 这些攻击允许攻击者主动冒充合法基站促使 UE 以明文形式透露其 IMSI从而导致用户身份暴露、跟踪和定位[14,15,16]. 除了 IMSI 披露之外RBS 还促进了一系列威胁引起了学术界和标准化界的关注[13]. 第 3 代合作伙伴计划 3GPP 在其技术规范中引入了可选的 RBS 检测框架[17]并进一步针对此问题编写了完整的技术报告[18]. 该报告确定了关键的 RBS 威胁场景并介绍了缓解策略包括增强的 UE 测量报告。 但是这些提案缺乏具体的实现策略或集成到规范中的时间表。 对 LTE 等传统移动网络的持续依赖进一步放大了 RBS 带来的持续风险[19]. 这使得出价攻击成为可能将 UE 从 5G 降级到不太安全的世代并利用较弱的身份验证和加密协议[3,7,20]. 在[3]研究人员演示了商业网络上从 5G-SA 降级到 2G 的攻击。 同样地[7]揭示了 LTE 中的一个漏洞即 UE 在建立 RRC 安全性之前泄露其功能从而允许攻击者拦截和纵这些消息以启动降级。 鉴于当前防御措施的局限性最近的工作探索了 O-RAN 作为一条有前途的前进道路。 其架构激发了对利用 O-RAN 作为 IDS 基础的广泛研究[21,22,23,24,25,26,27,28,29]在 RAN 基础设施中实现智能威胁监控。 一个突出的例子是 5G-SPECTOR[21]一个针对第 3 层协议漏洞检测的框架利用安全审计和 xApp。 同样地[22]展示了一个 AI/ML 驱动的 IDS它也用作实时资源分配器。 在[23]作者提出了 RBS 的 UE 级检测方法是在 NearRT-RIC 中的信号稳定性指标上训练 ML 模型并将其分发回 UE。 相关的努力[27]重点介绍使用 UE 报告的信道质量指标 CQI 和 RSRP 值进行干扰检测并使用 Kolmogorov-Smirnov 测试来标记异常。[24]在 NearRT-RIC 安全模块中部署 IDS针对集成学习设置中的模型中毒攻击。[28]同样它使用嵌入在 xApp 中的跨域 AI 模型将来自 RAN 和传输网络的数据组合在一起。 将检测推向较低层 Det-RAN[26]在 gNB-DU 上提出了实时 IDS利用 IQ 样本和 CSI 等 PHY 层功能。 同时[25]专注于 Open Fronthaul O-FH 接口应用深度学习来检测和缓解 DDoS 攻击。 最后6G-XSec[29]推出两阶段 IDS将通过 xApp 进行无监督异常检测并将大型语言模型 LLM 相结合用于威胁解释。 尽管这些研究提供了对 IDS 的见解但没有一项研究明确关注检测 RBS尤其是在降级攻击的背景下。 此外它们缺乏实际实现依赖于模拟和人工数据集无法捕捉真实世界移动网络和 UE 行为的约束。 在这项工作中我们通过利用真实世界的设置在 O-RAN 中设计、实施和评估实时 IDS 系统来解决这些差距。 该系统使用直接从跨多个 MNO 的公共商业网络上运行的 COTS UE 收集的真实测量值进行评估。 该系统可准确检测给定区域内的恶意细胞提供实际实施方式推动 RBS 检测的持续研究。 图 1RRC 状态转换和测量报告。
第三3GPP/O-RAN 遥测机制 在本节中我们介绍了必要的背景介绍了 LTE/5G 网络的架构、支撑测量报告过程的遥测机制以及定义 O-RAN 的关键组件和接口。 III-A 系列蜂窝网络作
III-A1 号5G LTE 蜂窝网络 如图 1 所示5G 系统的架构由三个主要实体组成1 UE通常是配备通用用户身份模块 USIM 的智能手机该模块订阅商业网络并由称为订阅永久标识符 SUPI 的唯一用户标识符标识在 LTE 和更早几代中称为 IMSI;2 gNodeB gNB即在 RAN 内运行的 5G 基站它将 UE 连接到 MNO 的核心网络;3 5G 核心网络 5G-CN这是一种基于服务的架构 SBA可通过不同的网络功能 NF 实现身份验证、安全性和会话管理。 gNB 可以与 5G SA 架构中的 5G 核心网络 5G-CN 或 5G 非独立组网 NSA 架构中的 LTE 演进分组核心 EPC 连接。 UE 连接的初始过程从单元连接和网络注册开始。 UE 通过检测和解码附近 gNB 广播的系统信息块 SIB 消息来执行初始小区选择。 随后它通过物理随机访问通道 PRACH 发起随机访问以实现上行链路同步。 成功随机访问后无线电连接的建立、维护和释放由无线电资源控制 RRC 协议管理[30]. 为了建立 RRC 连接UE 会发送 RRCSetupRequest 消息。 如果 gNB 接受它将使用提供配置信息的 RRCSetup 消息进行响应。 然后握手以 RRCSetupComplete 消息完成。 RRC 建立后将启动非接入层 NAS 程序以促进 UE 向核心网络注册。 UE 与 5G-CN 中的接入和移动管理功能 AMF 或 EPC 中的移动管理实体 MME 交换 NAS 消息。 NAS 过程通过注册请求在 5G 中或附加请求在 LTE 中启动其中包含 UE 的临时 TMSI 或永久标识符例如 5G 中的订阅隐藏标识符 SUCI 或前几代中的 IMSI。 身份验证和安全过程如下涉及身份验证和密钥协议 AKA 协议。 身份验证成功后NAS 过程以 Registration Complete 或 Attach Complete 消息结束。 在 UE 和网络之间建立安全无线电连接后UE 将进入 RRC_Connected 状态。 在此状态下网络可以通过专用信令将系统信息传输到 UE主要使用 RRCReconfiguration 消息。 此过程用于通过配置各种参数来修改已建立的 RRC 连接[30]. 一旦 UE 成功确认重新配置过程它就会以 RRCReconfigurationComplete 消息进行响应以确认更改。 如果网络处于空闲状态UE 可以选择保持RRC_Inactive状态如图 1 所示而不是完全释放 RRC 连接并通过 RRC_Resume 过程恢复它。 在RRC_Resume过程中将交换 RRCResumeRequest、RRCResume 和 RRCResumeComplete 等消息。 III-A2 号UE 测量报告 成功建立 RRC 连接后网络可以指示 UE 通过 measConfig 信息元素 IE 执行特定测量通常在 RRCReconfiguration 中传达[30]如图 1 所示。 此 IE 定义 UE 应遵循的测量配置指定要监控的频率、信元或信号。 measConfig IE 也可能包含在 RRCResume 消息中。 测量配置可以指示 UE 执行通过 MeasObjectNR IE 定义的频内和频间 NR 测量以及无线接入技术 RAT 测量包括通过 MeasObjectEUTRA IE 的 E-UTRA LTE 测量和通过 MeasObjectUTRA-FDD 的 UTRA-FDD UMTS 测量IE 的。 根据配置测量可以基于同步信号/物理广播通道模块 SSB/PBCH 或通道状态信息参考信号 CSI-RS。 测量报告可以通过 reportInterval IE 配置为定期进行 或基于事件触发的条件。 此外网络可能会提供 UE 应优先考虑的特定单元格或应忽略的单元格的列表。 此外网络还指定要包含在报告中的无线电数量例如 RSRP、RSRQ 或 SINR。 通过这些配置Measurement Reporting 使 UE 能够为网络提供有关无线电环境的关键信息从而支持移动性管理、波束选择、切换和连接优化等功能。 图 2开放式无线接入网络 O-RAN 架构。 图 3即使 RBS 模拟合法小区的 PCI它也无法复制所有 UE 观察到的 RF 传播曲线。 这些测量结果通过 ARGOS 的增强型 KPM 服务模型传输到近实时 RIC其中专用的 xApp 利用经过训练的 ML 模型来检测异常。
III-B 型O-RAN 架构 图 2 说明了 O-RAN 架构突出显示了数据平面和控制平面。 下面我们概述了管理每个平面的关键架构原则。 III-B1 号O-RAN 数据平面 图 2 所示的 O-RAN 架构遵循 3GPP 分解模型[31]将 gNB 拆分为三个主要单元无线电单元 O-RU、分布式单元 O-DU 和中央单元 O-CU。 O-RU 位于前传天线附近用于处理 PHY 层作。 部署在网络边缘的 O-DU 和 O-CU 管理第 2 层和第 3 层。 O-DU 负责监督介质访问控制 MAC 和无线链路控制 RLC 功能而 O-CU 分为 O-CU-CP控制平面和 O-CU-UP用户平面处理 RRC 并将控制/用户流量转发到核心网络 AMF/UPF。 标准化接口连接这些组件F1 连接 O-DU 和 O-CUE1 连接 O-CU-CP 和 O-CU-UP。 III-B2 号O-RAN 控制平面 O-RAN 控制平面与数据平面不同以 RIC 为中心RIC 分为 NearRT-RIC 和非实时 RIC NonRT-RIC。 这些可编程组件提供集中式网络可见性支持闭环控制和编排 RAN作。 NearRT-RIC 的运行时间范围从 10 毫秒到 1 秒不等并托管称为 xApps 的模块化控制应用程序适用于不同的用例。 RIC 消息路由器 RMR 促进了 xApps 和其他内部组件之间的通信它确保了 NearRT-RIC 内的高效消息路由。 NearRT-RIC 通过 E2 接口直接与 O-DU 和 O-CU也称为 E2 节点连接允许实时遥测和控制。 交互由四个核心 E2 程序控制报告、插入、控制和策略。 每个 xApp 都实施在 E2 应用程序协议 E2AP 上分层的特定 E2 服务模型 E2SM。 NonRT-RIC 是服务管理和编排 SMO 框架的一部分运行时间更长超过 1 秒支持与 xApp 类似的控制应用程序称为 rApprApp 是更高级别的应用程序可生成影响整体网络行为的长期策略。 四ARGOS概览 在本节中我们概述了我们的系统所针对的威胁模型并介绍了 ARGOS 的架构概述详细介绍了 UE 遥测获取和采用的 ML 模型。 IV-A 型在 COTS UE 中利用 LTE 兼容性 这项工作中解决的威胁模型涉及利用纯文本 IMSI 的空中传输。 如第 III 节所述在 UE 和网络之间的初始 NAS 消息交换期间UE 会传输永久或临时标识符。 在事先没有交互或恶意的情况下网络可能会发出身份请求促使 UE 披露其永久标识符。 特别是在 LTE 网络中IMSI 的传输没有加密或完整性保护使对手能够拦截它。 这种行为使 IMSI 能够捕获攻击其中 RBS 伪装成合法信元广播具有更强信号或具有不同跟踪区域代码 TAC 的相同网络标识符从而欺骗 UE 相信它已进入新的跟踪区域。 RBS 可以广播与附近的合法信元不同的物理信元 ID PCI也可以通过重复使用相同的 PCI 来冒充有效信元来执行更复杂的攻击如图 3 所示。 一旦在 RBS 扎营UE 就会被迫披露其 IMSI在某些情况下甚至披露其 IMEI[3]启用后续用户跟踪和定位[13]. 此漏洞源于 3GPP 标准中的规范而不是实施缺陷因此无论供应商如何所有 LTE 兼容设备都容易受到攻击。 预计该问题将持续存在直到 UE 完全过渡到仅支持最新标准从而禁用前几代标准。 如[2]目前 5G-SA 的部署限制使得发布完全兼容 5G 的 UE 变得不可行。 因此UE 制造商和电信供应商之间的协调努力对于促进安全、现代标准的端到端采用至关重要。 在此期间我们建议 ARGOS 作为一种实用且可部署的解决方案以在现有网络环境中有效检测和缓解 RBS。 算法 1ARGOS 基于遥测的异常检测 1: 输入 Tu{([u],[u],[u],[u],[u],[u])}对于每个 UEu1,…,N;ML 模型;异常阈值τ 2: 输出每秒异常分数αu(t);MSE 每u 3:连接到 Near-RT RIC。 4:使用 KPM 服务模型订阅 E2 节点。 5: 为 u 做 6:循环缓冲区Bu←∅ 7: end 为 8: 而 true 则执行 9: 为 u 做 10: Bu←Tu 11: 如果 Bu 然后 1 秒的新遥测 12: Xu(t)←encoded(Bu) 13: X^u(t)←(Xu(t)) 14: αu(t)←小微电子(Xu(t),X^u(t)) 15: 如果 αu(t)τ 然后 16:异常 17: 还 18:合法 19: end if 20: end if 21: end 为 22: 如果 ∑u1N|Bu|≥10秒 然后 23: D←⋃u1NBu 24: ←火车(D) 25: τ←GetThreshold(,D) 26: end if 27: 结束 时间 IV-B 型ARGOS 架构 E2 Setup 过程用作体系结构的起点独立于任何特定的 xApp。 此过程在 E2 节点和 NearRT-RIC 之间建立应用程序级通信将任何先前的配置替换为最新商定的参数[32]. 重要的是在此阶段E2 节点公开了它们支持的遥测和控制功能的类型。 成功设置后xApp 可以查询有关连接的 E2 节点的信息并通过 E2 订阅过程启动遥测收集[33]如图 3 所示。ARGOS 仅使用 Report 程序该程序涉及 E2 RIC 指示消息其中包含来自 E2 节点的遥测数据定期发送或响应特定触发事件。 但是该系统可扩展以支持第 III 节中介绍的其余服务从而实现从 IDS 到 IPS 的转变。 为了从 E2 节点收集 xApp 级别的遥测数据我们采用了 3GPP 定义的最新关键性能测量 KPM 服务模型[34]. 最新服务模型中定义的多个 KPM 封装了来自 UE 的测量报告消息这些消息基于 measConfig IE包括 RSRP、RSRQ 和 SINR 等指标。 该模型由 ARGOS 扩展结合了频率内和频率间测量5G 和 LTE从而能够全面了解 UE 直接报告的所有相邻小区。 每个 E2 节点特别是处理 RRC 信令的 O-CU都会聚合每个 UE 的测量报告由 SUPI 或 SUCI 标识并为每个 UE 分配一个专用的内存缓冲区。 同样实施的 xApp 会维护自己的每个 UE 内存缓冲区以实现连续遥测处理。 O-CU 收到报告后将解析报告以提取每个单元的 RSRP、RSRQ 和 SINR 测量值。 累积一秒钟的遥测数据后数据被封装在 E2 RIC 指示消息中根据扩展的 KPM 服务模型进行结构化并通过 E2 接口发送到 xApp其中使用深度学习技术执行异常检测如图 3 所示。 在传递给模型进行评估之前收到的遥测数据会经过额外的处理以生成每秒向量。 如算法 1 所示每个每秒向量Tu对已知合法信元的存在与否进行编码这些信元由其绝对射频信道号 ARFCN fu 和 PCI cu). 它包括 RSRP ru、RSRQ qu 和 SINR su每个都独立归一化。该向量还记录与每个观测值关联的测量时间戳。 在推理过程中xApp 会评估每个每秒向量生成二进制异常判定以及相关的均方误差 MSE 值。 为了适应不断发展的网络行为该模型每 10 秒使用新积累的合法遥测数据重新训练一次。 算法 1 总结了遥测收集和预处理工作流程以及模型的推理和重新训练过程。 IV-C 型基于深度学习的 RBS 检测 为了确保与商业网络安全集成并遵守第 V 节和第 VI 节中概述的道德标准ARGOS 仅根据使用被动观测设置从商业 MNO 收集的合法、非恶意数据进行培训和测试。 鉴于没有标记的攻击数据我们的 xApp 使用四种无监督学习模型进行评估自动编码器、降噪自动编码器、变分自动编码器和隔离森林。 这些模型本质上适用于在训练期间只有良性模式可用的异常检测任务。 IV-C1 号自动编码器 自动编码器 AE 是人工神经网络旨在学习未标记数据的紧凑表示。 它们的架构包括一个编码函数用于将输入向量压缩到低维空间一个:ℝn→ℝp和重建原始向量的解码函数一个:ℝp→ℝn [35]. 总之这些函数旨在最大限度地减少重建误差使用公式 1 中的 MSE 损耗计算并通过反向传播进行优化以捕获输入数据分布。 具有高 MSE 值的向量被标记为异常表示潜在的异常值。 在 ARGOS 中异常阈值是在使用 99.9th来自训练数据集的 MSE 值的百分位数。 这种方法可以最大限度地降低合法向量被错误标记为异常误报的可能性同时保持对可疑模式的敏感性。 AE 非常适合所讨论的问题因为它们能够学习每秒测量的基本模式捕获细胞的典型组合及其相关的信号特征。 通过重建这些向量AE 可以有效地对正常的遥测行为进行建模从而能够检测指示异常的偏差。 鉴于由于反射和其他传播效应而存在测量噪声我们将基线 AE 扩展为包括去噪 AE 和变分 AE它们通过学习稳健的潜在表示来提高泛化并减少过拟合。 IV-C2 号降噪 - 自动编码器 去噪自动编码器 DAE 是 AE 的更强大的变体用于纠错。 在 ARGOS 中DAE 与标准 AE 共享相同的架构关键区别在于输入训练向量被高斯噪声破坏。 然后训练模型以重建原始的无噪声向量。 噪声过程由函数建模T:X→X哪里T(x)xε和ε从高斯分布中采样μT(0,σ2). 这种方法帮助网络避免了对输入的记忆迫使它学习数据集的核心特征。 IV-C3 号变分自动编码器 与 DAE 类似变分自动编码器 VAE 与标准 AE 具有相同的架构但以变分贝叶斯 VB 方法的数学框架为基础。 在 VAE 中编码器将每个输入向量映射到潜在空间中的高斯分布由均值向量参数化μ和一个标准差向量σ. 然后从此分布中采样一个潜在向量解码器尝试重建原始输入。 损失函数结合了重建损失 MSE 和 Kullback-Leibler KL 发散损失如公式 2 所示它通过鼓励潜在空间匹配先验分布来正则化潜在空间。 这种概率公式有助于防止过度拟合并提高泛化。 IV-C4 号隔离林 隔离林是一种基于二叉树的成熟异常检测算法。 核心思想是异常很少且不同可以用更少的分区来隔离。 该算法通过随机选择一个属性以及其最小范围和最大范围之间的拆分值来递归构建隔离树。 异常分数是从路径长度得出的因为异常通常需要较少的分割来隔离。 但是隔离林假设异常很少且在特征空间中有所不同这可能会限制具有细微或高密度异常的数据集的性能。 V实验评价 本节介绍了所提议框架的实验评估详细介绍了已部署的软件和硬件组件以及从系统和 ML 模型角度对 ARGOS 进行的性能分析。 V-A符合 ARGOS O-RAN 标准的测试台 为了评估所提出的系统部署了一个符合 O-RAN 标准的受控测试台包括 5G SA、LTE、5G-CN/EPC 和 NearRT-RIC 组件。 所有基于软件的组件都部署在同一x86_64 Ubuntu 22.04.4 LTS 主机中配备 8 个第 11 代英特尔酷睿 i7-1195G7 2.90 GHz、32.0 GiB RAM 和 1.0 TB 磁盘容量。 该测试台利用 srsRAN 24.10 版本、srsUE 23.11 版本、Open5GS Release-17 的最新版本和 FlexRIC 的 br-flexric 分支的最新版本来相应地仿真真实世界的 gNB 5G-RAN、ENB LTE RAN、5G-CN/EPC 和 NearRT-RIC 行为。 已部署网络的 RU 前端托管在 2 个 Ettus Research 通用软件无线电外围设备 USRP X310 SDR 设备中。 使用一个 Pixel 5 COTS UE配备一个 sysmocom SIM 卡该卡使用与 5G SA 部署匹配的 PLMN 标识符进行编程。 ARGOS 的核心组件即我们基于 ML 的 xApp通过 FlexRIC 集成到 NearRT-RIC 中支持 Python 和 C 实现。 CU 和 NearRT-RIC 之间的通信是通过标准化的 E2 接口建立的而 FlexRIC 的内部 E42 接口则促进了 xApp 和 RIC 控制器之间的通信。 使用 srsRAN 提供的文件配置的测试平台[36]用于演示 RBS 降级攻击的可行性。 此设置支持主动 UE 测量报告并支持切换从而促进单元间移动紧密复制实际部署。 一旦对抗性 eNB 变为活动状态它就会模拟合法网络的 PLMN ID 和 PCI同时以更高的信号强度传输。 UE 连接到对抗性 eNB 并暴露其 IMSI从而成功泄露其身份证明了攻击的可行性和简单性。 度量方程准确性(TPTN)/(TPFPTNFN)精度TP/(TPFP)召回TP/(TPFN)F1 分数2⋅精度⋅召回/(精度召回)
表 I用于 ML 模型评估的性能指标。
V-B真实世界的数据收集 为了确保在受控测试台条件之外的真实性该系统使用直接从不同 MNO 运营的商业网络收集的真实数据进行评估。 在 2025 年的三个月期间在波士顿和旧金山的 10 个城市地区的不同时间收集了 5G 和 LTE 测量值。 该数据集涵盖美国两大主要移动网络运营商旨在捕获测量报告机制的真实行为。 使用有根的 COTS UE 进行数据收集包括两台 Google Pixel 5 设备、一台 LG Velvet 5G 和一台 OnePlus 8 5G均配备了 Network Signal Guru NSG 等测量工具[37]. 设备在连接到商业网络时通过这些区域移动。 记录的数据后来使用 Qualcomm 的 QXDM 进行分析[38]提取低级 Modem 和第 1 层指标。 我们的数据集总共包括 22,626 秒的遥测和 232,810 个 NSG-QXDM 数据点每个点都捕获了详细的每单元测量值包括相邻单元的 PCI、RSRP、RSRQ 和 SINR。 除了标准测量报告外我们还整合了通过 QXDM 获得的调制解调器第 1 层 ML1 信元测量结果如图 4 所示。 与传统的测量报告不同ML1 数据提供相邻小区信号稳定性的高频采样从而提供更精细的时间分辨率。 ML1 数据的解析方式与标准 Measurement Reports 类似因为它们共享相同的底层结构。 因此ARGOS 使用的遥测向量保持一致的格式同时通过额外的测量进行丰富从而提高数据集的粒度。 但是ML1 数据的主要限制是它们永远不会通过无线 OTA 传输到 gNB并且只能在 UE 端访问。 由于作员配置的测量报告通常是稀疏的或事件触发的因此 ML1 数据通过提供更连续和详细的测量流显著提高了 UE 行为的可观察性。 我们主张将 ML1 数据集成到 O-RAN 控制回路中以支持更准确、更及时的异常检测。 图 4通过 QXDM 捕获的 UE 调制解调器第 1 层 ML1 信元测量值。
V-CRogue Cell 包含 ARGOS 的性能是使用良性和恶意蜂窝网络流量进行评估的。 由于数据集仅包含合法数据因此通过选择有效单元格在训练期间将其排除并在推理期间重新引入它来模拟两种类型的 RBS 策略即对手 1 A1 和对手 2 A2。 这种方法允许通过利用真实的细胞行为对我们的系统进行真实评估无需生成合成数据。 A1 不复制现有细胞的 PCI。 因此在推理过程中重新引入的细胞保留了其身份使我们能够评估模型检测以前无法识别的细胞的能力。 A2 通过复制合法单元的 PCI 来执行更复杂的攻击导致在推理过程中重新引入的单元与现有的合法单元共享相同的 PCI。 在 A2 的情况下复制的 PCI 在以前不存在的多个每秒遥测向量中重新出现从而产生不寻常的单元组合。 该模型既根据测量报告中的异常共现模式也根据其基于信号特征检测异常的能力进行评估因为 A2 实例尽管共享相同的 PCI但相对于与相邻单元一起学习的功率水平将至少表现出轻微的功率差异。 V-D 型性能评估 为了评估我们的解决方案我们首先比较集成到 ARGOS 中的 ML 模型的性能然后评估它们对 RIC 平台的系统级影响。 为了评估 ML 模型的性能我们使用表 I 中定义的四个标准分类指标。 在表 I 中值 TP 代表真阳性TN 代表真阴性FP 代表假阳性FN 代表假阴性。 Accuracy 提供总体正确性度量而 Precision 强调所有标记实例中真实异常的比例。 Recall 捕获模型检测所有实际异常的能力F1-Score 提供 Recall 和 Precision 之间的调和平均值这对于不平衡的数据集特别有价值。 在此阶段需要提到的是在现实条件下如果特定附近存在流氓小区无论其 PCI 或信号特性如何UE ML1 和测量报告都会每秒以高频率反映其存在因此发送到 xApp 的每秒遥测向量也会如此。 因此我们认为那些每秒 vector 是异常的其中重新引入的 rogue cell 出现次数超过一定次数而其余 vector 被认为是合法的。 更具体地说如图 5 所示我们根据重新引入的单元格至少出现 2 次、3 次或 4 次的秒异常检测来评估 ML 模型我们将该阈值定义为每秒流氓细胞计数。 很明显在所有 AE 变体中当每秒 Rogue Cell 计数≥3. 如图 5 所示VAE 在此条件下的性能最高准确率达到 99.5%精度达到 97.7%召回率达到 99.5%F1 评分达到 98.1%误报率 FPR 低至 0.6%。 AE 和 DAE 也表现出强大的性能分别实现了 98.6% 和 98.3% 的准确率同时将 FPR 值保持在 1.9% 以下。 相比之下隔离森林在所有评估指标中都表现不佳最大准确率为 84.6%这表明随机属性选择对于捕获测量报告行为中的时间模式而言是次优的。 对于每秒恶意单元计数阈值≥2这些型号实现了最高的精度VAE 达到 100%。 但是其余指标的性能下降这表明虽然这些模型在避免误报方面非常有效但它们难以正确分类存在稀疏流氓单元的秒。 这会导致 Accuracy 下降因为此类向量经常被错误分类为合法向量。 相反对于阈值≥4召回率达到峰值所有非法秒数都被正确识别为异常但代价是 FPR 更高。 根据此分析阈值≥3提供最平衡的性能同时保持高精度和低 FPR。 对于特定的作目标系统可以配置替代阈值具体取决于 Precision 和 Recall 之间的期望权衡。 此外我们还评估了 ARGOS 对控制平面的影响特别关注 NearRT-RIC。 为此我们评估了所有已实现的 ML 模型的训练和推理时间以及 CPU 和内存开销如表 II 所示。 评估是使用 2000 秒的训练和 500 秒的推理输入数据集执行的这些数据集来自同一区域并使用主机上的单个 CPU 内核执行。 如表 II 所示VAE 在所有 AE 变体中实现了最低的训练81.99 秒和推理0.27 秒时间使其适用于实时系统。 相比之下Isolation Forest 的训练时间最快0.44 秒但推理时间最长11.59 秒将其计算负担转移到推理上。 在 CPU 利用率方面所有 AE 都占据了单个内核的大约 65-68%而隔离森林高达 99.16%这是其推理持续时间较长的原因。 最后在内存开销方面隔离林的使用率最高为 548 MB仅略高于 AE 的峰值 528 MB。 一每秒欺诈单元计数≥2. 二每秒欺诈单元计数≥3. 三每秒欺诈单元计数≥4. 图 5跨流氓单元外观阈值的 ML 模型推理性能。
型火车推断处理器 %内存MBAE109.500.2865.20527.20大158.680.2867.16527.24VAE系列81.990.2767.25528.72如果0.4411.5999.16548.23
表 IINear-RT RIC 中 xApp ML 模型的系统性能。
六道德考虑 出于道德考虑和适用的法律框架必须阐明我们的孤立测试台实验和实际测量中使用的方法。 所有涉及无线传输的主动 RBS 攻击场景都仅在我们隔离的测试台环境中进行确保不会干扰正在运行的商业网络。具体来说来自 srsRAN 基站和 UE 的所有射频传输都被限制在屏蔽电波暗室中。 此外户外测量期间的所有数据收集程序都严格遵守道德准则。 无源网络监控和数据收集仅使用我们自己的设备进行每个设备都配备了有效的 SIM 卡。 将 COTS UE 连接到实时运营商网络并记录 RRC 和 PHY 层消息的过程反映了标准 UE 行为不会中断正常的网络作。 这项研究完全符合参与的无线运营商的服务条款不会引起任何道德问题。 七结论和未来工作 在这项工作中我们介绍了 ARGOS这是第一个全面的符合 O-RAN 标准的系统用于检测试图降级攻击的 RBS直接部署在近实时 RIC 中。ARGOS 集成了扩展的 KPM 服务模型和具有基于 ML 的异常检测功能的自定义 xApp。 它通过仅根据 UE ML1 日志和测量报告对遥测数据进行分类实现对给定区域内的 RBS 威胁的实时识别。 拟议的 3GPP KPM 服务模型扩展允许更丰富的 UE 和 E2 节点衍生遥测从而增强检测能力。 为了在受控和真实条件下验证 ARGOS我们构建了一个专用测试平台来验证威胁模型并辅以跨商业网络的真实测量数据。 在评估的模型中变分自动编码器实现了最佳性能准确率为 99.5%误报率仅为 0.6%。 此外我们的系统表现出较低的 CPU 和内存开销使其非常适合在生产 O-RAN 环境中部署。 作为未来的工作我们的目标是扩展系统以涵盖更广泛的攻击并进一步增强 KPM 服务模型以支持更丰富的遥测。 除了异常检测之外我们还计划在 RAN 中探索基于 ML 的资源优化并通过与 SMO 级别的 rApp 集成来实现协作决策。
