以下参考网络链接
IMT-2020(5G)推进组联合发布《5G安全知识库》(附下载)
free5gc 开源代码 使用
NTA/NDR
- DPI, DFI: DPI是深度包检测,DFI是深度流检测
全流量分析的挑战
网元之间所面临的业务安全问题
调用逻辑异常,调用参数异常,调用频率异常
协议多样性
以下是整体网络结构
以下是控制面协议栈
以下是用户面协议栈: SDAP层是 5G 新加的
高并发性:
高并发运行下的数据包归属问题
参数结构复杂:
大量列表与字典嵌套的结构, 如何将这种复杂结构进行有效解析,并结构信息引入检测方法中,也是全流量分析的挑战之一, eg. UE 上下文
HTTP2流量分析
异常流量的检测可采用基于基线的检测方式:(YYR: 以前未涉及过此类领域, 没想过 信令也可以做异常检查, 也有异常检测的必要), 这个看似很高级, 暂时不研究了 !!!
为了形成网元的正常行为基线,需要以核心网的原始数据包为基础,从5G业务本身出发,找出数据中业务的关联关系,进而从原始数据包中形成行为基线
- 首先利用历史数据对正常网元业务进行还原,将还原后的信息加入基线中,
- 基线建好后,通过对偏离基线的流量进行筛选,可实现异常流量的识别