[发明专利]一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法

说明书

本发明公开了一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法，针对MTC网络中移动终端被攻击者劫持从而造成抢占资源或网络瘫痪的情况，在物理层对网络异常进行在线检测。即使攻击者劫持移动终端并利用其合法身份接入网络并发起攻击，本发明也能够根据物理接入信道的流量特性进行快速检测，并根据终端的身份标识定位到可疑设备，从而采取防御措施，不需要任何数据进行线下训练，且计算复杂度小。本发明根据3GPP流量到达模型、随机接入过程以及退避机制进行异常检测分析，并根据流量特性构建检验统计量以及选取阈值，可以灵活运用到现有的移动通信系统中，无需修改标准协议规定的信令流程。

技术领域

本发明属于移动通信系统安全性保护技术领域，具体涉及一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法。

背景技术

机器类型通信(MTC)是指几乎不需要人工干预的设备之间的通信，是第五代(5G)移动通信系统的三种典型场景之一。接入MTC网络的设备数量预计将超过10亿个数量级，并将涵盖智能家居，远程医疗和自动驾驶等各个方面。然而，MTC网络存在各种安全威胁，例如窃听，欺诈，分布式拒绝服务(DDoS)攻击等。对于此类具有大量接入设备的网络，DDoS攻击非常容易发起且后果严重，可能会耗尽无线资源，甚至导致整个网络瘫痪。而由于低成本MTC终端的安全保护功能薄弱，一些攻击者可能会劫持合法节点并使用其合法身份来欺骗基站(BS)，从而影响其他合法设备的接入或占用大量物理共享资源。

尽管BS采用了3GPP提出的基于身份验证和密钥协商(AKA)的方案进行用户身份验证，但它们无法检测出被攻击者劫持的合法设备。此外，对于零散传输方式下具有大量接入设备的MTC网络，基于密钥的上层认证可能不适用于低成本MTC终端。

在移动通信系统中，移动用户(图中UE)在进行数据传输前需要通过随机接入过程同基站建立连接。在基于竞争模式的随机接入过程中，从移动用户发送接入请求到接入完成前的基本信令交互流程如图1所示。从图1可以看出，移动用户发出随机接入请求时需通过竞争锁定无线资源用于后续数据传输，而此过程中可能存在攻击者劫持一些合法设备并利用其合法身份同其他用户进行竞争，以达到致使大量合法用户接入失败、无效占用无线资源乃至造成DDoS的目的。而由于攻击者的身份合法，利用AKA等上层身份认证机制无法对此类被劫持设备进行排查。随着移动通信技术发展到5G时代，5G移动通信系统对安全提出了更高的要求，且MTC通信场景接入设备数量大，通信时延要求高，针对此类由被劫持设备发起的DDoS攻击需快速及时地进行检测，并能够查找出攻击源头第一时间采取防御措施，否则将对整个网络造成不良影响。传统基于神经网络的检测方法需要线下训练阶段，且模型无法及时更新；而基于统计的检测方法则需要获得网络的流量统计模型，这对复杂的物联网通信场景是不现实的，特别是对于存在碰撞退避及重传的空口接入流量。

发明内容

针对现有技术中存在的问题，本发明提供了一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法，该方法针对空口接入流量，在通信网络底层对流量异常进行排查，能够快速检测出合法设备被攻击者劫持而发起的DDoS攻击。

为了解决上述技术问题，本发明通过以下技术方案予以实现：

一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法，包括以下步骤：

步骤1：基站在每个接入时隙后，获取每个接入时隙对应的前导码状态信息；

步骤2：基站根据移动终端执行的基于竞争模式的随机接入过程，指示竞争胜出的移动终端，并获取被指示移动终端反馈的ACK；

步骤3：基站根据每个历史接入时隙i产生冲突的接入设备数N_c[i]，估计当前接入时隙再次请求接入的设备数N_b；

所述当前接入时隙再次请求接入的设备数N_b为：

竞争未胜出的移动终端根据退避机制随机等待一段时间后，在当前接入时隙重新接入的设备数；