CellularLint: A Systematic Approach to Identify Inconsistent Behavior in Cellular Network Specifications

要約

近年、携帯電話ネットワークのセキュリティの精査にますます注目が集まっており、多くの場合、セキュリティの脆弱性は、基礎となるプロトコル設計記述の問題に起因すると考えられています。
これらのプロトコル設計仕様は、通常、数千ページにわたる膨大な文書であり、不正確さ、仕様不足、暗黙の仮定、内部矛盾が潜んでいる可能性があります。
進化する状況を考慮して、一連の自然言語処理技術を活用した、4G および 5G の規格内の不一致検出のための半自動フレームワークである CellularLint を紹介します。
私たちが提案する方法では、ドメインに適応した大規模言語モデルで改良された少数ショット学習メカニズムを使用します。
携帯電話ネットワーク プロトコルの膨大なコーパスで事前トレーニングされたこの方法により、CellularLint はさまざまなレベルのセマンティクスと実際の使用例での不一致を同時に検出できます。
そうすることで、CellularLint はプロトコル仕様の自動分析をスケーラブルな方法で大幅に進歩させます。
私たちの調査では、Non-Access Stratum (NAS) と 4G および 5G ネットワークのセキュリティ仕様に焦点を当て、最終的に 82.67% の精度で 157 件の不一致を発見しました。
オープンソースの実装と 17 の商用デバイスでこれらの矛盾を検証した結果、これらの矛盾が実際に設計上の決定に重大な影響を及ぼし、プライバシー、完全性、可用性、相互運用性に関する懸念につながる可能性があることを確認しました。

要約(オリジナル)

In recent years, there has been a growing focus on scrutinizing the security of cellular networks, often attributing security vulnerabilities to issues in the underlying protocol design descriptions. These protocol design specifications, typically extensive documents that are thousands of pages long, can harbor inaccuracies, underspecifications, implicit assumptions, and internal inconsistencies. In light of the evolving landscape, we introduce CellularLint–a semi-automatic framework for inconsistency detection within the standards of 4G and 5G, capitalizing on a suite of natural language processing techniques. Our proposed method uses a revamped few-shot learning mechanism on domain-adapted large language models. Pre-trained on a vast corpus of cellular network protocols, this method enables CellularLint to simultaneously detect inconsistencies at various levels of semantics and practical use cases. In doing so, CellularLint significantly advances the automated analysis of protocol specifications in a scalable fashion. In our investigation, we focused on the Non-Access Stratum (NAS) and the security specifications of 4G and 5G networks, ultimately uncovering 157 inconsistencies with 82.67% accuracy. After verification of these inconsistencies on open-source implementations and 17 commercial devices, we confirm that they indeed have a substantial impact on design decisions, potentially leading to concerns related to privacy, integrity, availability, and interoperability.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google