5G跨域态势感知与AI管控SaaS服务解决方案.pdf

252023.065G天地0 引言国家就加快 5G 发展多次强调要加快 5G 等新型基础设施建设，丰富 5G 技术应用场景。但由于 5G 引入网络功能虚拟化、网络切片、边缘计算等新技术，网络架构向云网融合、云边协同演进，给网络建设运行和业务应用带来新的安全挑战。本方案通过构建 5G 跨域态势感知，结合云端 AI 能力，总结行之有效的解决方案，服务自身的同时将能力SaaS化、产品化，对外提供服务，希望能够为 5G 跨域态势感知与 AI 管控 SaaS服务的长远发展提供有益的借鉴。1 研究背景1.1 技术背景与必要性5G 引入的新技术和新的网络架构，给网络建设运行和业务应用带来新的安全挑战。5G网变为C/U（控制面/用户面）分离，引入了SDN/NFV（软件定义网络/网络功能虚拟化）、虚拟化等新技术，使得网元设备形态发生变化，网元量陡增，采集接口升级，传统的数据采集部署存在滞后性等。5G+工业互联网在建设推进中，面临着跨域融的安全问题：如 SBA（面向业务的架构）、SDN/NFV 等新技术与工业互联网技术的融合，暴露面增大；IT/OT（操作技术）跨界融合，生产安全管理和网络安全管理的界限模糊，网络攻击可从 IT 层渗透到 OT 层，安全运营不足会导致工业控制系统中断、重要数据泄露等不良后果。为有效适应 5G 网络的发展，满足 5G 新特点及信息通信行业监管实际需求，需要建立新的流量牵引和采集机制，加强5G 网络的安全监管能力；同时将富余能力 SaaS 化并对外提供服务。1.2 行业痛点随着5G+工业互联网、工业上云的推进，网络日益开放，打破了传统工业封闭的生产环境，带来了严峻的安全挑战。（1）5G 应用引出新的跨域边界，网络隔离成为难点在满足 5G+工业互联网企业数字化转型需求的同时，也将企业网络从工厂内网延伸跨域到 5G 网。运营商需要结合工业用户的业务需求，为其提供量身定制的网络服务和网络隔离。（2）5G 新技术架构引出新的数据安全问题5G 网 络 MEC（Mobile Edge Computing）C/U 分 离 式，UPF 下沉到网络边缘，实现数据的本地分流。移动边缘计算平台（MEP）可收集、存储与其连接设备的敏感数据信息，使原本属于企业内网隔离的数据暴露于网络之中，存在数据非法越权访问、敏感数据泄露、恶意操作等风险，成为黑客的攻击目标；生产操作等相关数据一旦被滥用、篡改，可引发系统设备故障，导致生产安全事故，甚至威胁公众和国家安全。（3）5G 环境中大量非自主可控技术使得设备本身安全存在盲区MEP 包括定制化服务器、通用服务器、网络设备、安全设备等用于搭建平台的实体，涉及的安全风险包括但不限于设备配置缺陷、设备管理安全、设备安全漏洞；云化与 5G 虚5G 跨域态势感知与AI管控 SaaS 服务解决方案王新宽1 范学领2 张淏湜1 谢 敏31.中国移动江苏公司扬州分公司；2.西安交通大学；3.南京邮电大学摘要：随着 5G 网络的普及，应用场景不断丰富，5G 引入的新技术新网络架构与 5G+工业互联网、工业上云碰撞出了新的浪花，也给运营商和 ToB 客户的网络安全带来了新的挑战。提供一套 5G 跨域态势感知与 AI 管控SaaS 服务解决方案，包括 5G 跨域全流量数据采集、留存、序列分片 AI 分析管控、监测与回溯、5G AF 定向引流、企业侧精准牵引、SRv6 智能化 IPv6 引流与防护、工业企业 SaaS 化安全服务能力建设。关键词：5G 跨域态势感知；AI 管控；SaaS 服务；网络安全；5G+工业互联网262023.065G天地拟技术的应用带来更为复杂的安全风险，尤其 Docker 容器和Kubernetes（容器编排平台）等，传统的安全工具融合的滞后性导致安全风险。（4）5G 工业物联网终端大规模应用管控难度成倍增加5G 与工业互联网的融合使得海量工业终端接入工业互联网成为可能，但其终端的漏洞、后门等暴露在相对开放的 5G网中，容易被利用作为 DDoS（分布式拒绝服务）攻击源，形成规模化的僵尸网络。2 解决方案2.1 设计目标以打造面向企业 5G 安全全方位、立体化防控为目标，面向 5G 网络和宽带网络构建起一体化防护能力体系。结合现有5G 等暴露面系统和 IDC 系统能力，引入全流量留存、SRv6（Segment Routing）、AF（Application Function）引流等能力，打造面向 5G 行业赋能的 SaaS 平台，功能包括：（1）面向工业企业的 5G+固网跨域安全态势融合感知能力扩充新能力，构建 ToB（企业侧）边缘侧防护能力，并与云端 AI 能力整合，及时发现异常，降低风险。态势感知包括资产变化态势、安全攻击态势、跨境通联信息态势、工业互联网平台交互态势以及标识解析通联态势等，能有效提高工业控制系统整体信息安全，提高其自主安全把控能力。（2）面向异常行为的 5G 流量留存与回溯能力引入对工业企业5G流量全留存技术，实时进行流量分析，并智能关联相关接口和挖掘历史数据，助力企业实现异常行为“镜像留痕”回溯。（3）面向大规模 5G 物联网设备的 IPv6 地址 AI 化分流能力引入 SRv6 交换机、云端 AI，实现以 IPv6 为主体的智能分流，更容易实现端到端的“直达”，便于数据上传和指令下发。（4）基于号卡的 5G 专业设备定向牵引能力通过对 5G AF 功能改造和新建 UPF 并开发一套联动控制系统，打造面向 5G 指定号卡的流量定向牵引能力，将异常或需要保护的 5G 设备牵引到指定 UPF，即安全 SaaS 平台。（5）面向 5G 工业企业安全弹性选择的综合安全 SaaS 防护能力建设面向企业的 SaaS 化网络安全保障服务能力平台，提供安全诊断评估、安全预警、安全加固等相关核心技术，并以模块化方式提供服务，方便企业根据需求灵活选择。2.2 解决方案面向实现面向工业企业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析的服务体系，支撑制造资源泛在连接、弹性供给、高效配置的安全 SaaS 云平台。如图 1 所示。图 1 5G 跨域态势感知与 SaaS 服务方案示意图272023.065G天地（1）5G 恶意程序网安+数安+信安监测能力改造在原有 5G 全流量数据采集和 DPI 处理的基础上，加载网络安全检测特征库，具备面向网络安全事件检测发现能力。（2）5G 跨域全方位安全监测能力融合5G 跨域（包括 4G 和 CMNET 等）全方位安全监测，重在管道侧数据采集，监测点包括各接入口和各出口，如图 2 所示。图 2 5G 跨域监测采集点位图（3）5G 全流量留存+基于时间序列分片处理能力建设通过对指定的 5G UPF 进行流量分光，基于旁路的方式在网络出口处获取指定对象的 5G 网络流量包，初步搭建起全流量留存能力，并对留存的流量按照分钟颗粒度进行分片留存、分析、事件追踪回溯。（4）5G AF 定向引流+企业侧精准牵引能力建设在 5G 网络中有 NEF（Network Exposure Function）和 AF网元。流量牵引策略针对需求将网络中的特定人群、特定业务、特定区域的用户面流量牵引至特定 UPF 上，实现流量牵引。本研究包括基于修改用户签约数据的流量牵引技术和基于前端AF的流量牵引技术两种方式。基于前端AF的流量牵引技术，利用NEF提供的开放能力，实现流量牵引策略的下发和执行，是 5G 网络流量采集的趋势所向。如图 3 所示。本研究还整合了 BGP 引流能力，面向重点企业实现流量精确牵引监测覆盖，逻辑设计如图 4 所示。（5）工业企业 SaaS 化安全服务能力建设SaaS 化安全服务平台实底层采用安全数据湖设计，云化后为数据安全中台、网络安全中台提供安全数据分析结果和原始数据检索。其覆盖 6 大类 16 款安全产品及 1 款等保套餐，包含公有云、私有云、资源池，IDC 和专线等多个应用场景。如图 5 所示。此外，本方案还实现 SRv6 智能化 IPv6 引流+SRv6 源路由威胁防护能力。3 方案创新性（1）依托 5G AI 能力构建赋能垂直化行业应用依托现 AI、SaaS 能力，设计和整合实现了 5G 流量的“端到端”覆盖通过“层级化”的安全能力构建，实现面向垂直行业“行业化”的赋能能力。可提供 5G“云-网-边-端”一体化安全服务能力。如图 6 所示。（2）面向 5G 号卡的 AF 引流功能建设流量牵引策略与 5G 核心网交互，接收流量牵引管控后端下发的流量牵引策略，将流量牵引策略翻译为核心网元之间的信息发送给核心网，完成特定用户流量路径的重选，实现将特定用户群的上网数据牵引至特定UPF上并进行数据监管。如图 7 所示。图 3 5G AF 定向引流示意图图 4 BGP 引流示意图282023.065G天地（3）5G 跨域态势感知与安全信息融合5G 跨域态势感知以及全流量留存能力，实现分钟颗粒度分片、异常的检测规则、溯源追踪，具备了面向 5G 跨域管道侧的安全监测能力和溯源能力。面向互联网暴露面安全监测、IDC 监测，对网络安全监测能力统一整合，面向工业企业提供安全服务赋能。4 结束语提供一套5G跨域态势感知与AI管控SaaS服务解决方案，在充分利用了现有各系统的基础上，螺旋式迭代入新功能，实现了 5G 跨域全流量数据采集，借用云端 AI 能力对采集数据进行序列分片分析，实现包括 5G+工业互联网在内的跨域网络的监测与回溯；并能对外提供 SaaS 安全服务和 5G 号卡的AF 安全牵引；同时提供了 SRv6 智能化 IPv6 引流和 BGP 引流方案。部署半年来，响应及时、事件准确、处置高效，如防范图 5 SaaS 安全产品图谱图 6 垂直化行业应用图 7 5G 号卡的 AF 引流（下转第 38 页）382023.065G天地耗费，又能快速定位出故障点，减少故障排查问题的时间。为了对故障原因进一步分析，可接入网元设备的性能、告警数据，进行数据关联，这样对故障根因分析将会更加精准。2 实施成效该系统已在江苏 13 个地市应用推广，使用系统进行日常网络诊断分析，识别网络和业务隐患，通过趋势分析发现网络隐患，通过失败码偏离率等算法自动定位问题原因，网络分析效率提升 80%以上。通过对全路径分段探测数据进行分析，结合历史数据模型，对故障网元、故障节点等进行综合分析研判，按照原因值、网元等多维度进行密度聚类，分析各维度对质量裂化的贡献度，得出 5G 专网业务质差分析结果，将故障定位效率提升 85%以上。3 结束语本次研究与实现为 5G 专网网络质量主动探测提供了一种新的可行性解决方案，可以实现快速、准确的网络质量探测，满足 5G 专网网络服务质量的要求。未来，可以更多地改进相关技术并引入更多的人工智能算法，以更加准确、有效地探测 5G 专网网络质量，为 5G 专网网络稳定运行保驾护航。参考文献：1 江华，赖昕，白维学.基于 SNMP 网络拓扑动态呈现技术的设计与实现 J.物联网技术，2019，9（04）：46-48，54.2 沙莎.基于仿真技术的 5G 核心网络质量监测研究 J.信息技术与信息化，2020，2020（01）：135-137.3 杨琨琨，袁明，鲁冬林，侯彦睿.基于网络探测的服务器负载均衡技术研究J.网络新媒体技术，2014，3（04）：7-11.4 杜彦辉.网络服务探测技术研究 J.中国人民公安大学学报（自然科学版），2007，2007（01）：69-72.5 张涛，胡铭曾，云晓春，张玉.网络信息主动探测技术的研究与实现 J.计算机工程与应用，2004，2004（31）：17-20，43.作者简介：陶志平（1982），男，湖北省赤壁市人，工程师，硕士；研究方向：5GtoB及物联网网络质量监测及优化。（收稿日期：2023-02-14；责任编辑：赵明亮）安全事件 17 万次、数据安全风险 5 万次，避免损失超千万。本研究综合考虑未来技术与发展方向，具有一定的升级能力、后向兼容性和推广性。参考文献：1王映民，孙韶辉等，5G移动通信系统设计与标准详解，人