G.O.S.S.I.P 阅读推荐 2024-02-23 5G-Spector

继续NDSS 2024之旅，今天我们的推荐论文又是来自G.O.S.S.I.P的老朋友——OSU的温昊煌（大家可以数数过去这几天他已经发表了多少四大安全会议论文了），在这篇名为5G-SPECTOR: An O-RAN Compliant Layer-3 Cellular Attack Detection Service的论文中，作者为我们展示了一个面向Open Radio Access Network（O-RAN）的5G网络攻击检测系统。

随着5G技术的快速发展，移动通信网络正变得更加智能和高效。然而，这也带来了新的安全挑战，如何有效检测和防范移动网络中的攻击行为成为亟待解决的问题。在过去几年里，移动安全的学术研究中发现了针对移动网络设备协议的各种漏洞。这些漏洞可以在软件定义无线电（SDR）上实现，并且可以让攻击者传输或伪造恶意的网络信令以侵犯用户隐私以及网络安全。然而，这些问题仍然存在于5G（甚至未来的）移动网络标准中并且很难通过修改标准的方式来解决。

下图描述了几种常见的移动网络威胁模型。实际上，攻击者能轻松利用各种硬件设备和开源软件来攻击现实中的移动网络和用户设备。基于市场上出售的软件定义无线电（SDR）以及开源的5G软件（如OpenAirInterface也就是OAI），攻击者能轻松构建一个运行恶意代码的5G伪基站或者用户设备，从而对5G网络中的其他合法用户和网络设施发起攻击。

O-RAN是本文的核心技术概念之一，它是一种开放式无线接入网络架构，旨在实现网络设备和软件的互操作性和可替换性。与之前的封闭且臃肿的移动网络架构不同，5G以及未来的移动网络将会面向O-RAN，并且朝着更智能和和开放标准的网络架构迁移。具体来说，O-RAN的一大革新在于实现了网络数据面和控制面的分离，其设计灵感来自软件定义网络（SDN）。其中控制面逻辑被集成到RAN智能控制器（RIC）中，它作为一个独立的可编程组件，从单一视角管理RAN节点。

由于上层的应用服务（如关键性能测量和流量导向应用）可以被开发并集成到RIC上，成为“即插即用”的xApps，可以想像，未来的移动网络中会存在像手机应用市场一样的App Store，而它能让网络运营商下载模块化的应用来实现特定的管理功能。不同类型的xApp配备了特定的E2服务模型（E2SMs），定义了它们与RAN节点的通信方式。基于这种设计，复杂的分析和服务（例如异常检测，网络优化等）可以作为xApps被模块化地集成到RIC中，用于各种网络监控和控制功能。深度学习和AI的相关应用也能部署到对应的RIC上实现智能化的网络管理和控制。

O-RAN的开放性和灵活性为安全研究人员提供了广阔的创新空间。针对移动安全社区在过去发现的威胁与安全问题，本文作者设计并实现了5G-Spector，作为首个面向O-RAN架构的攻击检测系统。其目标在于能让5G网络的运营者能够轻松地将用于入侵检测系统（IDS）的逻辑集成到模块化的xApp中，从而实现对网络中的动态流量进行分析并且实时检测出恶意的攻击行为。

5G-Spector的系统实现主要有两个创新点：

1. 一种用于细粒度安全分析的安全数据流MobiFlow：现有的O-RAN服务模型（Service Model）并不能采集适用于安全分析的数据。因此，MobiFlow通过抓取设备和基站通信过程中的信令（RRC和NAS层）以及状态机的转换信息，来支持分析层实现细粒度的精准安全分析。

2. 基于MobiFlow的数据流、作为控制面层的xApp——MobieXpert：MobieXpert是一个基于P-BEST语言的xApp，具有高度的可编程性，使网络运营商能够编写规则以检测各种攻击行为。这种灵活性使得5G-Spector能够应对当前和未来的攻击威胁。

下图展示了5G-Spector的一个具体应用场景。基于移动网络RRC协议中的弱点，移动网络中可能存在从恶意的用户设备（SDR）对基站发起的DDoS攻击。网络运营者可以通过P-BEST编写对应的入侵检测规则来动态地从网络流量中识别出这种DDoS攻击模式。

作者通过一些系列的实验来验证5G-Spector的检测和系统性能以及在现实移动网络系统部署的可行性。首先，作者搭建了一个开源的移动网络（基于OpenAirInterface5G），并复现了7种不同的攻击以及它们的变体。通过模拟的方式（排除底层不稳定信号的影响），这些攻击被一一重现；然后作者在5G-Spector系统中编写了对应的攻击检测规则，结果表明5G-Spector能够稳定且有效地检测到所有攻击实例。

除了模拟的攻击复现，作者还利用SDR搭建了一个真实的移动网络环境（如下图），并在其中部署5G-Spector，通过端到端且无线的方式复现了上述的数种攻击。

在其中的一个具体攻击场景中（下图），两台Android手机通过作者搭建的移动网络接入到互联网，并通过两个Zoom进行视频通讯。接下来，通过复现对基站的DDoS攻击，模拟攻击成功让两台手机与基站的连接断开，导致视频通信中断（下图右）。与此同时，5G-Spector集成的攻击检测规则实时地报告了这一攻击的出现（下图左）。关于这个实验，欢迎访问 https://www.5gsec.com/post/5g-spector-demo 观看完整的demo视频。

作者基于开源的移动网络软件（OpenAirInterface）搭建了一个端到端的LTE或5G基站，并且通过SD-RAN实现了O-RAN的RIC控制器和xApps。5G-Spector目前的实现基于上述环境，而且已经开源（在 https://github.com/5GSEC/5G-Spector 即可获取代码）。另外，5G-Spector的artifact已经通过了NDSS的Artifact Evaluation（available, functional, and reproducible）。欢迎尝试和部署！

通过已开源的代码和artifact，你可以：

1. 搭建一个（基于O-RAN架构的）5G网络——通过模拟的方式（不需要任何硬件支持）或基于现成的SDR（例如USRP B210）。

2. 在LTE或5G网络上运行5G-Spector并复现实验结果。

3. 基于SD-RAN平台开发更多有趣的O-RAN xApp应用。

若想要了解更多作者关于5G安全研究项目的详细内容，欢迎访问他们的5G安全研究网站!

https://5gsec.com

---

论文：https://web.cse.ohio-state.edu/~wen.423/papers/5G-Spector-NDSS24.pdf
工具：https://github.com/5GSEC/5G-Spector

作者简介：温昊煌现为俄亥俄州立大学（OSU）计算机科学与工程系的博士候选人（Ph.D. candidate），师从林志强教授（Prof. Zhiqiang Lin）。他主要研究兴趣为移动平台与移动网络（5G）的安全与隐私。他的相关研究成果已发表在国际顶级的信息安全学术会议上，包括USENIX Security, CCS, NDSS, PETS, RAID等。
个人主页：https://web.cse.ohio-state.edu/~wen.423/

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2024-02-23 5G-Spector