基于数字孪生的5G网络安全推演

马宇威，杜海涛，粟 栗，安宁宇

中国移动通信有限公司研究院安全技术研究所，北京 100053

网络安全是攻防双方能力的较量与对抗。在当前竞争日益激烈的国际网络空间安全博弈中，针对关键信息基础设施的网络安全对抗形势日趋严峻复杂。第五代移动通信网（5G 网络）作为重要的关键信息基础设施，已经大规模商用部署，一旦遭受黑客攻击而导致网络瘫痪其后果不堪设想[1]。同时，5G网络作为新一代移动通信技术，具有高速率、低时延和大连接等特性，其不仅适用于人与人之间的通信，还将扩展到人与物、物与物之间的通信，从而实现万物互联[2]。大量异构终端互联，加之其自身的安全防护能力又参差不齐，一旦被黑客控制，形成信令风暴攻击核心网，易导致网络瘫痪等严重后果[3]。此外，随着5G 网络中虚拟化、软件定义网络、边缘计算等新技术、新架构的应用以及垂直行业应用中的能力开放、核心网部分设备下沉园区部署等，使得网络边界变得泛化模糊、暴露面加大、互联网侧攻击风险增加、集中管控功能面临更多安全挑战等，都加剧了传统安全防护手段的难度，从接入网、承载网、核心网等都面临不同程度的安全威胁[4-6]。

目前，针对5G网络的安全风险，可采用添加网络防火墙、信令防火墙等安全设备以及主备倒换、设备组Pool 等灾备手段进行安全防护。此外，5G 网络自身较之前的移动通信网在安全方面已有增强，如：支持用户面和信令面数据的加密和完整性保护；具有安全隔离与安全传输能力等。

但5G网络仍面临一些以往移动通信网遗留的安全风险和潜在的网络安全风险，且针对这些风险的攻击也无法完全避免，如：与其他通信网进行互联互通时，依旧可使用自身存在缺陷的Diameter信令协议，易遭受跨网攻击。同时，安全设备的防护能力也和其安全策略的有效性与精准性有关。

综上，为了提高5G网络的安全防护能力，可利用网络安全推演的方式与方法，对5G网络面临的安全风险、攻击方式以及降低相应风险与攻击影响的措施等进行分析。

1 网络安全推演方式分析

通常信息系统所有者利用网络安全推演，来及时发现目标网络中存在的安全问题与薄弱环节，全面评估网络的整体安全防护水平，检验运维管理人员的应急响应能力以及安全防护措施的有效性等。目前，进行安全推演的主要方式有三种：一是直接在真实网络环境中进行安全推演；二是通过仿真技术搭建和真实环境近似的实验环境进行安全推演；三是利用前期收集的多种信息进行桌面安全推演。

采用真实网络环境进行安全推演容易对网络的稳定性、业务的连续性等产生影响；一旦网络遭受攻击而无法运行，将导致严重后果；且某些重要应用系统和具有破坏性的攻击手段一般也不在真实环境下推演。而采用实验网络则无法与真实网络环境保持高度一致，两者具有一定的差异性；且与真实网络之间没有数据联动，无法与真实网络做到环境的同步更新，也无法直接将安全推演验证后的安全防护策略及时更新至真实网络中。采用桌面安全推演主要依靠场景设定和现场专家研判，不进行真实攻击与防护，其真实性、可用性有待进一步加强[7-8]。

对于当前的5G网络，基本都是运营商网络、行业专网等生产网络，需具备较高的可靠性、业务连续性等，很难直接利用现网进行安全推演。而搭建整套实验环境难度大、成本高，且和真实网络也具有一定的差异性。单纯依靠传统仿真技术会一定程度影响结果的有效性和准确性，也会增加结果部署的时间成本与应用难度。就目前而言，由于缺乏有效的实验平台，网络安全推演不得不在真实网络中的限定时间内进行，造成推演周期过长、网络业务运行风险加大、实验成本上升等多重困难。

因此，本文利用数字化仿真技术设计一套与真实5G网络高度一致且有数据动态交互的推演模型，并依此构建实验平台来进行安全推演，以解决推演环境问题，进而探索5G网络抵御多种可能攻击的有效防护手段。

2 安全推演模型

2.1 设计理念

依照数字孪生的相关定义，孪生体可通过实时或非实时的方式采集物理实体的真实数据并将其存储，用以构建数据模型，生成或更新孪生体。通过孪生体以可视化的方式去映射物理实体，以达到物理实体、孪生体及其交互的可视化[9-10]。同时，可借助人工智能、专家系统、大数据等实现对物理实体的全生命周期的分析、诊断和控制[11]。

数字孪生网络是以数字化方式创建物理网络实体的虚拟孪生体，且可与物理网络实体之间进行交互映射的网络系统。其网络由物理实体网络、虚拟孪生网络以及网络间的交互部分共同组成。在孪生网络体系中，物理网络向孪生网络提供基础数据；孪生网络依据基础数据、基础模型等生成与物理网络高度一致的孪生网络实例；通过孪生网络实例，验证安全推演需求，并将验证结果同步给物理网络；物理网络得到结果后进行更新，又可将其基础数据提供给孪生网络，从而形成孪生交互，其过程如图1所示[12]。

图1 5G网络推演示意图Fig.1 Schematic diagram of 5G network deduction

2.2 总体设计

依据安全推演与数字孪生的技术思路与应用方式，本文基于数字孪生的5G网络安全推演模型总体思路设计为：将孪生网络分为孪生网络层与孪生应用层，孪生应用层设定推演场景，孪生网络层生成推演场景并进行安全推演，场景所需真实数据由物理网络提供，而物理网络所需推演结果由孪生应用层通过孪生网络层控制下发，构建的推演场景与物理网络形成逻辑闭环，具体模型如图2所示。

依据推演模型，物理网络层主要包括真实5G 网络与5G蜜网系统，通过孪生南向接口与孪生网络对接；孪生网络层与孪生应用层通过孪生北向接口对接；孪生网络层主要包括蜜网数据中心、孪生数据中心以及场景-模型映射中心等；孪生应用层主要包括人机交互系统与推演场景设计等应用模块。

在推演模型中，物理网络的真实数据采集至孪生数据中心进行处理，形成策略模型、配置模型以及网络实体模型等。这些模型向孪生应用层能力开放，供设计推演场景使用。而蜜网中捕获的攻击数据会先采集至蜜网数据中心处理，再与孪生数据中心的数据结合，形成攻击模型；在物理网络中引入蜜网系统，可有效捕获大量的攻击数据，进而对攻击行为进行更真实地刻画、还原与建模。场景-模型映射中心在收到孪生应用层下发的指令后，生成相应场景的孪生网络实例供推演使用。当该场景完成推演后，可通过孪生网络层向物理网络下发推演结果，物理网络依据推演结果更新相应的安全业务。若该推演场景不再需要时，可执行删除操作，以释放系统资源，从而实现孪生网络实例的全生命周期管理[13]。

孪生网络层需要采集物理网络层中的运营数据和攻击数据为生成的孪生网络实例提供模型、数据支撑。其中，运营数据由5G 物理网络提供，攻击数据由5G 蜜网系统提供。运营数据包括：网络拓扑、网元配置、安全配置等信息；攻击数据包括：互联网攻击流量和电信网攻击流量。由于数据采集接口需要频繁、高速进行数据采集，为减少系统资源损耗，可以使用远程直接数据存取协议（remote direct memory access，RDMA），配合专用硬件设备进行数据传输[12]。

由于控制下发接口数据交互频率相对较低，且会与多设备系统进行交互，可采用轻量级、易扩展的Restful接口，并配合Json（javascript object notation）格式进行推演结果的下发[14]。推演结果即为相关的安全策略，包括：网元安全配置、虚拟化安全配置、组件安全配置、防护设备安全配置、运维管理系统安全配置等。

2.3 模型流程分析

2.3.1 蜜网采集流程

在整个蜜网系统中，用于捕获攻击流量的蜜罐部署在物理网络中，而用于后台分析的蜜网数据中心部署在孪生网络中，从而使蜜网与孪生网络产生数据联动，便于孪生网络层创建攻击模型[14]。

为了实时获取攻击数据并减少对CPU 资源的损耗，蜜网数据中心利用RDMA 协议及时将蜜罐捕获的攻击数据进行采集，流程如图3所示。双方网络先进行RDMA 初始化操作，然后蜜网系统捕获攻击数据，提取数据并存入指定内存区域中，利用RDMA的Write操作将数据传递给蜜网数据中心；蜜网数据中心从指定内存中提取数据。

图3 蜜网数据中心采集流程Fig.3 Honeynet data center collection process

2.3.2 攻击模型生成

在孪生网络中，可利用5G 网络的正常数据流量与蜜网系统的攻击数据流量联动构建攻击模型，用于场景的安全推演，其联动流程如图4 所示。按照攻击流量，蜜网数据中心提供攻击数据，并基于ATT&CK（adversarial tactics，techniques，and common knowledge）攻击框架的基础数据建立攻击库。按照正常流量，孪生数据中心建立相关模型，生成孪生网络实例，并利用攻击图技术生成该推演场景下的攻击图，与建立的攻击库联动生成该场景下的攻击模型，以支撑安全推演[15-16]。

图4 正常流量与攻击流量联动图Fig.4 Normal traffic and attack traffic linkage diagram

2.3.3 专家推演流程

在安全推演应用中，当某个场景生成的孪生网络实例遇到攻击时，利用专家系统可自发地查阅知识库中的相关场景描述，对该场景面临的安全风险进行推演，最终形成可阻止或降低该攻击影响的安全策略。

在推演开始前，专家系统知识库按照推演场景进行分类建立；推演时，专家系统依据输入条件获取该场景下的安全风险点以及当前具备的安全防护能力，根据攻防知识库和推理机导出应对该攻击的所有安全策略，并在孪生网络中验证这些策略的防护有效性；推演完成后，专家系统更新知识库中安全策略的优先级等，形成优化反馈，具体流程如图5所示[17]。

图5 专家推演流程图Fig.5 Flow chart of expert deduction

2.4 模型技术分析

传统的安全评估依靠自建环境或利用生产环境对网络进行测试。环境自建存在成本高、难以复用、灵活度差等问题，而利用生产环境存在限制多、危险系数高等问题。

而基于数字孪生的推演模型可有效地对网络进行模拟，同时具备通用性、高效性以及直观性等特点。

有效性：利用数字孪生技术，可将5G物理网络看做是硬件资源、孪生网络与真实数据的有机组合，并从接入网、核心网等进行高度还原仿真。从而可利用孪生网络保证推演结果的精准性，向物理网络提供有效地防护策略。

通用性：与5G物理网络构建技术相一致，利用虚拟化技术、软件定义网络等实现孪生5G核心网，便于依据真实场景动态组网，既可用于运营商网络的安全推演，又可用于面向垂直行业的专网安全推演。

高效性：推演过程由于在孪生网络中进行，可实现对物理网络的无感知操作，提高推演效率。以抗分布式拒绝服务（distributed denial of service，DDoS）攻击为例，在真实物理网络中，为减少对业务系统的影响，一般需要在凌晨固定时间段内进行，容易产生测试时间不连续、周期过长、环境变动等问题。而在推演模型中，将抗DDoS 设备的策略加载至孪生网络中可进行连续、集中测试，提高效率、节约时间成本。

直观性：通过孪生应用层，可将推演场景以沙盘形式展示给用户，使之直观了解到网络的运行情况，面临的安全风险以及安全防护措施及防御效果。

在推演模型的实现方面，终端与无线侧通过专门的终端生成仪表或专用仿真设备进行终端与无线的模拟与仿真；核心网侧相关设备，通过虚拟机或者容器自动化镜像的方式，在孪生环境创建真实实例，并利用Ⅰntel DPDK（data plane development kit，数据平面开发套件）等技术创建可编程协议栈，实现对数据的精细控制；对于用户面数据、信令面数据可以通过深度报文检测（deep packet inspection，DPⅠ）的方式或在用户面功能（user plane function，UPF）核心交换机引流获得；对于安全类设备，通过对接设备的接口进行配置，对安全设备进行控制指令的下发等。

3 推演场景设计与验证

3.1 推演场景设计

5G 网络架构如图6 所示[6]，主要包括终端、接入网以及核心网；其中核心网还包括与其他通信网的互联互通和与互联网的互通等部分[18]。由于终端不属于网络侧范畴，因此在设计推演场景时不考虑终端自身的安全风险，但需考虑终端向网络侧发起攻击的安全风险。由图可知，5G网络面临的安全风险可以分为四大类：接入网安全风险、核心网安全风险、互联互通安全风险以及互联网安全风险。

图6 5G网络架构及推演场景示意图Fig.6 Schematic diagram of 5G network architecture and deduction scenarios

依据安全风险对应以下四类安全推演场景，每种场景具体分析如下：

（1）接入网场景

在海量连接应用场景中，将有数以百亿计的物联网终端接入，一旦这些终端存在漏洞被入侵利用，会形成规模化的终端僵尸网络，攻击无线空口或整个5G网络，可造成DDoS攻击或信令风暴[3]。

（2）核心网场景

具体可以分为两类：一是新技术引入带来的安全风险场景，如：实体网元变为虚拟化软件、物理资源共享、网络安全边界模糊、能力开放导致数据泄露等；另一是5G网络自身存在安全风险的场景，如：4G/5G互操作导致网络回落，网元间业务调用（逻辑、频率、参数）异常，运维管理系统自身存在安全漏洞等[18-20]。

（3）互联互通场景

在5G 网络环境下，不同移动通信网间互联互通依然可采用2G/4G 环境下的SS7（signaling system 7，7 号信令系统）和Diameter 信令协议。由于SS7 和Diameter协议在制定之初没有考虑身份鉴权机制，一旦攻击者接入到信令系统就有可能向其他运营商发送信令，造成非授权获取用户位置信息、强制用户下线以及呼叫窃听等[21-22]。

（4）互联网场景

由于5G网络架构的ⅠT化、云化、虚拟化等，使5G网络也会面临来自互联网的攻击[18]，比较典型的有针对网络层的DDoS 攻击和针对应用层的Web 攻击场景。此外，5G网络设备的地址大多具有ⅠPv6地址，因此需关注针对ⅠPv6 地址的DDoS 攻击以及防护设备的检测与处置能力。

3.2 环境搭建

为了对5G 网络面临的多种安全风险进行推演，本文以安全推演模型为基础，依托真实物理网络环境搭建一套基于数字孪生的5G网络安全推演平台，具体组网如图7所示。推演网络整体由攻击网络、防御网络、孪生网络、物理网络、孪生应用主机以及终端和接入网等组成。

图7 推演平台组网图Fig7 Networking diagram of deduction platform

在推演平台中，用户终端通过接入网可连接5G 物理核心网或5G孪生核心网。孪生网络与物理网络通过专用交换机进行孪生数据的交换，孪生应用主机负责控制整个孪生体系，如：推演场景的设计、使用以及停用，物理网络的数据采集，孪生网络推演结果的下发等。攻击网络中部署有攻击仪表与攻击库等，可对物理网络或孪生网络发动攻击。防御网络中部署有安全防护设备，可以向物理网络和孪生网络提供安全防护策略。物理核心网和孪生核心网各自都具有安全防护策略，两个网络的安全防护策略可通过孪生网专用交换机进行同步、更新。

在物理网络与孪生网络中，均依据3GPP Release 16 相关标准对网元参数进行设置[2]。孪生网络服务器选择与物理网络相同型号的服务器进行基础环境搭建；孪生网络操作系统、数据库以及虚拟化软件等均与物理网络保持一致。

3.3 场景推演

本节从每类场景中选择一个攻击风险点，在孪生网络中进行攻防推演，并将推演结果同步于物理网络中以验证防护效果。

（1）接入网-信令风暴攻击

通过5G蜜网捕获终端注册请求，建立攻击库，利用信令仪表按攻击库模拟僵尸网络发起注册请求，造成接入网设备过载，产生信令风暴攻击。同时，利用专家系统形成本场景下的多种安全防护策略，并进行推演验证，通过防御效果进行评价，形成推演结论。在孪生网络中的推演过程如表1所示。

表1 信令风暴场景推演过程Table 1 Signaling storm scenario deduction process

将推演结果应用于物理网络后，网络设备应对信令风暴攻击的效果如图8所示，设备丢弃大量终端注册请求，使CPU利用率维持在阈值之下，保障设备安全。

图8 网络应对信令风暴的过载处理机制Fig.8 Overload handling mechanism for networks to deal with signaling storms

（2）核心网-任意网元去注册

通过5G 蜜网捕获核心网中的网元去注册请求，建立攻击库，利用信令仪表向核心网NRF（network function（NF）repository function，网络存储功能）发起对任意网元的去注册请求，当NRF响应该请求后，造成网元下线，影响网络正常功能[18-19]。同时，利用专家系统形成本场景下的多种安全防护策略，并进行推演验证，通过防御效果进行评价，形成推演结论。在孪生网络中的推演过程如表2所示。

表2 网元去注册场景推演过程Table 2 Deduction process of NF de-registration scenario

在物理网络中，应用推演结果前的攻击效果如图9所示，NRF 响应去注册请求，使网元去注册成功。应用推演结果后，由于访问控制策略限制，NRF 未执行去注册请求，攻击失败，如图10所示。

图9 任意网元去注册攻击成功Fig.9 NF de-registration attack is successful

图10 任意网元去注册攻击失败Fig.10 NF de-registration attack is fail

（3）互联互通-位置定位

通过5G 蜜网捕获核心网中的信令面数据，建立攻击库，利用信令仪表模拟攻击者接入SS7 信令系统，利用信令协议自身缺少鉴权机制的漏洞，向目标用户网络发起位置查询请求，非法获取用户位置信息。同时，利用专家系统形成本场景下的多种安全防护策略，并进行推演验证，通过防御效果进行评价，形成推演结论。在孪生网络中的推演过程如表3所示。

表3 位置定位场景推演过程Table 3 Location positioning scenario deduction process

在物理网络中，应用推演结果前的攻击效果如图11所示（图中手机号等攻击信息为敏感信息，需进行模糊处理），攻击者成功获取用户的位置信息。应用推演结果后，由于信令防火墙的拦截策略，攻击者无法获取用户位置信息，如图12所示。

图11 利用SS7信令获取用户位置Fig.11 Using SS7 protocol to obtain user location

图12 拦截SS7信令阻止获取用户位置Fig.12 Using SS7 protocol to prevent getting user location

（4）互联网-DDoS攻击

通过5G蜜网捕获DDoS攻击流量，建立攻击库，利用DDoS攻击仪表模拟僵尸网络发起正常业务请求，造成网络设备过载，产生DDoS 攻击。同时，利用专家系统形成本场景下的多种安全防护策略，并进行推演验证，通过防御效果进行评价，形成推演结论。在孪生网络中的推演过程如表4所示。

表4 DDoS攻击场景推演过程Table 4 DDoS attack scenario deduction process

将推演结果下发至物理网络中，验证防护效果，如图13 所示，抗DDoS 设备可以有效识别并丢弃攻击流量，保护网络正常运行。

图13 抗DDoS设备识别并丢弃攻击流量Fig.13 Anti-DDoS devices identifying and dropping attack traffic

在场景1～4的安全推演及推演结果的同步过程中，物理网络监控大屏未出现网络异常告警信息，如图14所示，表明在孪生网络中进行攻防推演不会对物理网络的正常运行产生影响。

图14 物理网络运行监控Fig.14 Physical network operation monitoring

3.4 结果分析

利用孪生网络进行安全推演，可在不影响物理网络正常使用的情况下对安全策略进行反复调优，形成最优策略。在场景1中，若阈值设置过低则影响正常用户的体验，过高则不利于保护网络设备的安全；在场景3中，若拦截策略设置过多会影响用户正常跨网业务，过少则不能完全阻止攻击者的攻击；在场景4 中，配合物理网络的正常业务流量模型进行调优，既可快速识别攻击流量又可尽量减少对正常流量的误判。

在场景2 中，利用孪生推演结果，通过在物理网络中开启NRF 白名单过滤机制，并将网元去注册权限进行有效限制，即可避免对任意网元的去注册攻击；一般攻击者不会对自己已控制的网元进行去注册攻击，而是利用其为跳板进行后续攻击。若在高安全环境的网络中，可禁止对任何网元的去注册操作，并开启HTTPS加密传输和OAuth 2.0（open authentication，开放认证）认证机制以提高核心网安全性，防止信息泄露。

通过对多个场景进行安全推演可知，物理网络可直接利用孪生网络中的推演结果，且均可以有效抵御网络攻击，两者具有相同的防护效果，避免了在真实网络中直接推演带来的多种安全风险。

4 总结与展望

由于物理网络和孪生网络具有高度的一致性，在孪生网络中进行安全推演，既可保证推演结果的准确性，又可减少对物理网络正常运行的影响与破坏，最大程度保证物理网络业务的连续性与可靠性。

利用数字孪生技术赋能网络安全推演，优势在于：可快速复现物理网络真实状态，从而保证推演结果准确；可避免攻防推演过程中带来的物理状态的破坏，节省测试成本，便于重复测试；可构建复杂、大型推演场景，对如：DDoS攻击、漏洞与病毒等在大型网络环境下的破坏力、传播力等进行推演与验证。

下一步，可将多种安全推演场景进行有序编排组合，在孪生网络中形成攻防对抗环境，便于开展5G网络下的红蓝对抗演练。同时，也可利用安全度量模型，配合量化体系对场景面临的安全风险进行度量，对网络全局的安全性进行量化评估等。