CN107959944B - 无线网络中的信令异常的检测和减轻 - Google Patents
无线网络中的信令异常的检测和减轻 Download PDFInfo
- Publication number
- CN107959944B CN107959944B CN201710970628.8A CN201710970628A CN107959944B CN 107959944 B CN107959944 B CN 107959944B CN 201710970628 A CN201710970628 A CN 201710970628A CN 107959944 B CN107959944 B CN 107959944B
- Authority
- CN
- China
- Prior art keywords
- analysis module
- traffic analysis
- traffic
- anomaly
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 43
- 230000011664 signaling Effects 0.000 title claims abstract description 42
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims abstract description 268
- 238000004891 communication Methods 0.000 claims abstract description 57
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000009471 action Effects 0.000 claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 7
- 230000006870 function Effects 0.000 claims description 27
- 230000000903 blocking effect Effects 0.000 claims description 12
- 230000015654 memory Effects 0.000 description 35
- 238000004590 computer program Methods 0.000 description 29
- 238000010801 machine learning Methods 0.000 description 20
- 238000002955 isolation Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 9
- 230000006641 stabilisation Effects 0.000 description 5
- 238000011105 stabilization Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000007781 signaling event Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/10—Scheduling measurement reports ; Arrangements for measurement reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0284—Traffic management, e.g. flow control or congestion control detecting congestion or overload during communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0231—Traffic management, e.g. flow control or congestion control based on communication conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0247—Traffic management, e.g. flow control or congestion control based on conditions of the access network or the infrastructure network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及无线网络中的信令异常的检测和减轻。本文档公开了用于检测和减轻诸如无线通信系统的无线电接入网络中的信令风暴之类的异常的解决方案。根据一方面,公开了一种方法,包括:在第一局部业务分析模块中从第二局部业务分析模块或从连接到多个局部业务分析模块的中央业务分析模块接收配置参数;由第一业务分析模块通过使用接收到的配置参数来监视无线通信系统的无线电接入网络中的业务;在所监视的业务中在配置参数的基础上检测引起控制平面信令负载的异常;以及响应于所述检测,采取减轻异常的动作并向中央业务分析模块报告关于异常的信息。
Description
技术领域
本发明涉及无线通信系统,并且特别地涉及用于检测和减轻无线电接入网络中的信令异常的解决方案。
背景技术
移动网络中的用户设备(UE)连接性取决于UE与诸如基站或(演进)节点B之类的接入节点之间的空中接口的作用控制平面。控制平面可能由于由恶意或不正确配置的UE所引起的非典型高信令负载而变得过载。该过载条件在一些情况下可以被称为信令风暴(signalling storm)。信令风暴可能有效地防止大部分UE连接到受信令风暴影响的接入节点。除了使连接性降级之外,信令风暴可能会对安全性关键的通信(诸如车辆到车辆通信)产生破坏性的影响。随着物联网(IoT)概念的发展,越来越多的机器类型通信设备出现在市场上,并且所有这些设备都可能未被恰当地测试,并且不稳定地操作。
减轻信令风暴并非不重要的,因为它们使空中接口的控制平面拥塞。对系统的运营商的损害可以包括服务问题,诸如在小区域或甚至广区域中的中断。UE的基带操作通常被认为是符合标准的,但不一定是这种情况。在基带上执行的计算机程序可能易受恶意使用,或者在极端情况下,UE可能是仅实现攻击移动网络所需的功能的流氓无线电发送器。软件定义无线电(SDR)技术的扩散使得后一种场景越来越成为可能,并且对于攻击者更可利用。除了由几个不符合UE的有害空中接口活动之外,有必要考虑其中UE群体的大部分的信令业务例如由于应用级恶意软件感染了UE而显著增加的情况。
发明内容
本发明由独立权利要求的主题来限定。在从属权利要求中限定了一些实施例。
根据一方面,提供了如权利要求13中规定的装置。
在实施例中,所述装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,其中处理器、存储器和计算机程序代码被配置为使得所述装置作为第一业务分析模块进行操作,并且:从第二局部业务分析模块或从连接到多个局部业务分析模块的中央业务分析模块接收配置参数;通过使用接收到的配置参数来监视无线通信系统的无线电接入网络中的业务;在配置参数的基础上检测引起控制平面信令负载的异常;并且响应于所述检测,采取减轻异常的动作并向中央业务分析模块报告关于异常的信息。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置通过至少将表示引起了所述检测的业务的数据发送到中央业务分析模块来执行所述报告。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置向另一个局部业务分析模块指示检测到的异常。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置:在所监视的业务的至少一个消息的基础上标识引起所述异常的设备;并将与所标识的设备相关联的业务中的至少一些路由到中央业务分析模块。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置通过执行至少以下操作来执行减轻异常的所述动作:在所监视的业务的至少一个消息的基础上标识引起所述异常的设备;以及控制所标识的设备的业务。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置通过执行以下业务控制功能中的至少一个来执行所述控制所标识的设备的业务:阻止设备、使得设备从一个接入节点切换到另一个接入节点、暂停与设备的通信、减少设备的业务量同时允许设备引起业务、向设备的拥有者发送消息、以及引起在设备处的软件或固件更新。
在实施例中,所述装置适于监视无线电接入网络的接入节点中的业务。
在实施例中,权利要求13的装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,其中处理器、存储器和计算机程序代码被配置为使得所述装置作为中央业务分析模块进行操作,并且:建立与被配置为监视无线通信系统的无线电接入网络中的业务的多个局部业务分析模块的通信连接;从第一局部业务分析模块接收关于引起控制平面信令负载的异常的信息;分析接收到的信息,并在分析的基础上确定是否要执行与异常相关的动作;并且当确定要执行动作时,使得配置消息发送到多个局部业务分析模块中的至少一个和另一个中央业务分析模块中的至少一个。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置通过至少使用机器学习来确定接收到的信息是否指示异常的存在来执行所述分析。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置当检测到异常时在配置消息中包括执行减轻异常的动作的命令,并且使得配置消息发送到多个局部业务分析模块中的所述至少一个。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置当检测到异常时在配置消息中包括异常的特性,并且关于异常通知所述另一个中央业务分析模块。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置当检测到异常时确定引起异常的终端设备,并修改终端设备的位置寄存器中的终端设备的至少一个寄存器条目。
在实施例中,处理器、存储器和计算机程序代码被配置为使得所述装置向多个局部业务分析模块提供配置参数,其使得多个局部业务分析模块能够使用机器学习来从无线电接入网络中的所监视的业务检测异常。
在实施例中,所述装置还包括为所述装置提供无线电通信能力的通信接口。
附图说明
在下文中,将参考附图通过优选实施例更详细地描述本发明,其中
图1图示了本发明的一些实施例可以应用于的无线通信场景;
图2和图3图示了用于检测和减轻在通信系统的无线电接入网络中路由的业务中的异常的一些实施例的流程图;
图4图示了根据本发明的实施例的业务分析模块的层次布置;
图5至图8图示了用于无线电接入网络中的异常的检测和/或减轻的分布式处理的一些实施例的信令图;以及
图9和图10图示了根据本发明的一些实施例的装置的结构的框图。
具体实施方式
以下实施例是例示。虽然本说明书可以在文本的若干位置中引用“一”、“一个”或“一些”实施例,但是这并不一定意味着每个引用都是针对相同的(一个或多个)实施例,或者特定的特征仅适用于单个实施例。不同实施例的单个特征也可以被组合以提供其他实施例。
所描述的实施例可以在无线电系统中实现,诸如在以下中的至少一个中:基于基本宽带码分多址(W-CDMA)的通用移动电信系统(UMTS,3G)、高速分组接入(HSPA)、长期演进(LTE)、LTE高级、5G系统、和/或未来的系统。
然而,实施例不限于作为示例给出的系统,但是本领域技术人员可以将解决方案应用于提供有必要性质的其他通信系统。合适的通信系统的一个示例是5G系统,如上文列出的。5G已经被设想为使用多输入多输出(MIMO)多天线传输技术,比目前的LTE网络部署更多的基站或节点(所谓的小小区概念),包括与较小局域接入节点协作地操作的宏站点,并且也可能采用各种无线电技术以得到更好的覆盖和增强的数据速率。5G可能将由多于一个无线电接入技术(RAT)构成,每个无线电接入技术针对某些用例和/或频谱最优化。5G移动通信将具有更广范围的用例和相关应用,包括视频流送、增强现实、不同方式的数据共享和各种形式的机器类型应用,包括车辆安全性、不同的传感器和实时控制。预期5G具有多个无线电接口,即低于6GHz、cmWave和mmWave,并且还可与现有的传统无线电接入技术(诸如LTE)集成。至少在早期阶段中可以实现与LTE的集成作为系统,其中由LTE提供宏覆盖并且5G无线电接口接入通过聚合到LTE而来自小小区。换句话说,5G计划支持RAT间可操作性(诸如LTE-5G)和RI间可操作性(无线电接口间可操作性,诸如低于6GHz-cmWave、低于6GHz-cmWave-mmWave)两者。被认为在5G网络中使用的概念之一是网络分片,其中可以在同一基础结构内创建多个独立和专用的虚拟子网络(网络实例)来运行对延时、可靠性、吞吐量和移动性具有不同要求的服务。
应当理解,未来的网络将最有可能利用作为网络架构概念的网络功能虚拟化(NFV),其提出将网络节点功能虚拟化为可以被操作地连接或链接在一起以提供服务的“构建块”或模块。虚拟化网络功能(VNF)可以包括一个或多个虚拟机,其使用标准或通用类型服务器而不是定制硬件来运行计算机程序代码。也可以利用云计算或云数据存储。在无线电通信中,这可能意味着至少部分地在操作地耦合到远程无线电头端的服务器、主机或节点中执行节点操作。还可能的是,节点操作将分布在多个服务器、节点或主机之间。还应当理解,核心网络操作和基站操作之间的劳动力的分布可以与LTE的分布不同或者甚至不存在。可能使用的一些其他技术进步是软件定义联网(SDN)、大数据和全IP,这可能改变构造和管理网络的方式。
图1图示了本发明的一些实施例可以应用于的通信系统的示例。该系统可以包括提供和管理小区100、102的至少一个接入节点110、112。小区例如可以是例如宏小区、微小区、毫微微小区或微微小区。从另一观点出发,小区可以定义接入节点110、112的覆盖区域或服务区域。接入节点110、112可以是作为LTE和LTE-A中的演进节点B(eNB)、基于IEEE802.11的网络(Wi-Fi或无线局域网WLAN)的接入点、或能够控制无线电通信并管理小区内的无线电资源的任何其他装置。对于5G解决方案,实现可能类似于LTE-A,如上所述。接入节点110、112可以被称为基站或网络节点。系统可能是由接入节点的无线电接入网络构成的蜂窝通信系统,每个接入节点控制相应的小区或多个小区。接入节点可以向终端设备120、121、122提供对诸如互联网之类的其他网络的无线接入。在一些场景中,一个或多个局域接入节点可以被布置在宏小区接入节点的控制区域内。局域接入节点可以提供可以被包含在宏小区内的子小区内的无线接入。子小区的示例可以包括微小区、微微小区和/或毫微微小区。通常,子小区在宏小区内提供热点。局域接入节点的操作可以由在其控制区域下提供子小区的接入节点控制。
在通信网络中的多个接入节点的情况下,接入节点可以利用接口150彼此连接。LTE规范将这样的接口称为X2或S1接口。在IEEE 802.11网络中,在接入点之间提供类似的接口。接口150可以为接入节点提供彼此直接通信的能力。接入节点之间的其他通信方法也可以是可能的。接入节点可以进一步经由另一接口连接到蜂窝通信系统的核心网络130。LTE规范将核心网络指定为演进分组核心(EPC),并且核心网络可以包括移动性管理模块(MME)132和网关(GW)节点134。MME可以处理终端设备在包含多个小区的追踪区域中的移动性并且还处理终端设备和核心网络130之间的信令连接。网关节点134可以处理核心网络130中的以及去向/来自终端设备的数据路由。
图1的无线电系统可以支持机器类型通信(MTC)。MTC可以使得能够为诸如至少一个终端设备120至122之类的大量的具有MTC能力的设备提供服务。至少一个终端设备120至122可以包括移动电话、智能电话、平板计算机、膝上型电脑、或用于与无线电通信网络(诸如MTC网络)的用户通信的其他设备。这些设备可以提供与MTC方案相比更多的功能,诸如用于语音、视频和/或数据传送的通信链路。然而,在MTC视角中,至少一个终端设备120至122可以被理解为MTC设备。需要理解的是,至少一个终端设备120至122还可以包括另一个具有MTC能力的设备,诸如提供位置、加速度和/或温度信息的传感器设备,举几个示例。因此,本发明的一些实施例可以适用于物联网(IoT)系统,例如支持窄带IoT(NB-IoT)通信方案的无线电接入技术。
如上所述,无线电接入网络中的信令风暴可能引起包括接入节点110、112的无线电接入网络和核心网络130的通信系统的服务能力和无线电接入网络中的性能降级。为了检测无线电接入网络中的信令风暴,一个或多个业务分析模块140、142可以被配置为监视无线电接入网络中(例如接入节点110、112中)的业务,并且搜索来自业务的信令风暴的签名。在一些实施例中,核心网络130还可以(或替代地)包括被配置为用作用于多个局部业务分析模块140、142的中央模块的业务分析模块136。模块136、140、142可以被配置为检测并彼此协作减轻信令风暴,由此改进无线通信系统的性能。
图2和图3图示了用于检测表示信令风暴的异常的一些实施例。图2图示了在局部业务分析模块140、142中执行的过程,并且图3图示了在中央业务分析模块136中执行的过程。参考图2,过程可以包括:在第一局部业务分析模块中从第二局部业务分析模块或从连接到多个局部业务分析模块的中央业务分析模块接收(框200)配置参数;由第一业务分析模块通过使用机器学习和接收到的配置参数来监视(框202)无线通信系统的无线电接入网络中的业务;在所监视的业务中在配置参数的基础上检测(框204)引起控制平面信令负载的异常;以及响应于所述检测,采取(框206)减轻异常的动作并向中央业务分析模块报告关于异常的信息。
参考图3,过程可以包括:在中央业务分析模块中提供(框300)与被配置为监视无线通信系统的无线电接入网络中的业务的多个局部业务分析模块的通信连接;在中央业务分析模块中从第一局部业务分析模块接收(框302)关于引起控制平面信令负载的异常的信息;分析(框304)接收到的信息并在分析的基础上确定是否要执行与异常相关的动作;以及在确定要在中央业务分析模块中执行动作时,使得(框306)配置消息发送到多个局部业务分析模块中的至少一个和另一个中央业务分析模块中的至少一个。
如上面结合图1至图3所描述的,信令风暴的检测和减轻被组织成使得业务分析模块136、140、142在多个层次级别上提供。局部业务分析模块140、142可以直接连接到或至少接近于路由针对异常正被分析的业务的所监视的接口。局部业务分析模块140、142可以被配置为从接口捕获业务并且处理它以用于异常的检测。处理可以包括在接收到的配置参数的基础上分析所捕获的业务。局部业务分析模块140、142可以与在核心网络130中提供的中央业务分析模块136通信。中央业务分析模块136可以从多个局部业务分析模块并且在一些实施例中从其他中央业务分析模块收集信息,并且利用可用的较高信息量来构建系统行为的特性的大局。因此,中央业务分析模块可以具有可用的更多信息以支持异常的检测和选择恰当的对策。
图4图示了层次的实施例。参考图4,可以在无线电接入网络420中提供多个局部业务分析模块410、412、414、416,例如使得局部业务分析模块被连接到或被包括在无线电接入网络420的每个接入节点中。局部业务分析模块410至416可以形成层次的最低级别。中央业务分析模块400、402、404可以被提供在核心网络中或被连接到核心网络130。例如,(一个或多个)中央业务分析模块400、402、404可以操作地与MME 132或网关134有关地提供。每个中央业务分析模块400至404可以连接到在较低层次级别上提供的多个业务分析模块。中央业务分析模块在图4中被分类为两个层次级别。中央业务分析模块402和404分别连接到局部业务分析模块410、412和414、416。他们402、404也可以彼此通信。在较高层次级别上,中央业务分析模块400可以连接到较低级别中央业务分析模块402、404。在一些实施例中,中央业务分析模块仅在一个层次级别上提供。
局部业务分析模块可以被分组成使得与同一中央业务分析模块402或404通信的所有局部业务分析模块可以被分组在一起。局部业务分析模块可以与至少在组内的其他局部业务分析模块但也可选地与另一组的局部业务分析模块直接通信。
如图4所示,业务分析模块被布置在多个层次级别上,使得较高层次级别上的业务分析模块具有关于业务特性、系统的其他部分中的操作、以及异常的签名的可用的更多信息。中央业务分析模块还可以被提供有比局部业务分析模块更多的处理能力和/或存储器资源。
上述网络虚拟化提供了在基站站点上执行仅模拟信号处理并在任意位置中执行任何数字通信的可能性。这也意味着单个物理处理实体(例如,服务器计算机或多个连接的服务器或云计算系统)可以执行一个或多个业务分析模块400至416的处理任务。虚拟化还使得能够在任何接口、实例或位置处在任何时间实例化业务分析。由于可以在中央位置处执行多个远距离定位的基站的业务的数字处理,所以可以在不将任何激活或控制信号传送到这些远距离的基站站点的情况下执行针对接入节点中的任何一个的业务的业务分析的实例化。
在实施例中,局部业务分析模块连接到接入节点或接入节点的接口,并且局部业务分析模块可以从接口和/或从接入节点捕获业务数据。局部业务分析模块可以通过使用机器学习来将业务数据用于学习业务的特性,并且用于提供关于在其层次级别上的动作的致动的预测和/或决定。在做出异常的检测和反作用异常的决定后,局部业务分析模块可以向接入节点输出关于决定的命令。命令可以指令接入节点暂停(suspend)或阻止引起异常的某个用户设备(UE)。
通常,机器学习可以被描述为在没有被明确编程的情况下学习的能力。机器学习可以包含可以从本发明的实施例的上下文中的可用数据、业务数据来学习并基于本发明的实施例的上下文中的可用数据、业务数据来做出预测的算法。算法可以通过从接收到的配置参数和业务数据构建模型来操作,以便做出数据驱动的预测或决定,而不是遵循严格静态的程序指令。机器学习在如下意义上与计算统计相关(并且可能与其重叠):它们两者都集中于通过使用计算机来做出预测。机器学习通常在其中设计和编程明确算法是不可靠的一些计算任务中采用。在数据分析的领域内,机器学习是用于设计帮助预测的复杂模型和算法的方法。
局部业务分析模块可以将由局部业务分析模块所采取的数据和/或决定上传到所连接的中央业务分析模块。该链接与到其他局部业务分析模块的链接一起允许中央业务分析模块具有整个网络的以及其可通过连接访问的所有局部业务分析模块的聚合视图。关于该接口的下行链路,中央业务分析模块可以通过提供配置参数来控制或配置局部业务分析模块。发送到不同局部业务分析模块的配置参数潜在地非常不同,这例如取决于不同局部业务分析模块的不同操作环境。
中央业务分析模块可以连接到其他中央业务分析模块,以便关于共同策略进行协商,以用于处理异常、用于关于动作的过程咨询较高级别中央业务分析模块、或用于其他目的。
局部业务分析模块之间的例如经由接口150的直接链接可以使得能够实现在局部区域中对由局部业务分析模块所采取的决定的快速响应、对引起异常的UE的快速标识等。该链路直接允许在局部业务分析模块之间的快速信息交换,而不用等待中央业务分析模块协调来自所有局部业务分析模块的所有信息。例如,如果局部业务分析模块遭受信令风暴,则其可以决定触发将信令风暴的源切换到具有高容量和接受额外信令负载的能力的另一接入节点。可以通过相关联的局部业务分析模块之间的快速协商来执行切换决定和执行,并且异常可以快速地传送到能够维持高信令负载而没有服务性能方面的降级的接入节点。在切换之后,信令风暴的引起可以在中央业务分析模块的协调下减轻。
业务分析模块之间的所有通信可以例如通过经由使用一个或多个加密密钥来加密通信而被保护。
现在让我们参考图5至图8的信令图来描述根据本发明的一些实施例的业务分析模块400至416之间的协作。图5至图8图示了用于在业务分析模块之间分布责任的一些实施例。
参考图5,在步骤500中,中央业务分析模块402向其控制的(一个或多个)局部业务分析模块提供配置参数。在图5中,配置参数被发送到模块410,但是相同或不同的配置参数可以在中央业务分析模块412的控制下被发送到其他局部业务分析模块412。配置参数可以使得能够实现局部业务分析模块410的机器学习算法以检测异常,并且为此目的,配置参数可以包括以下参数中的至少一些:已知异常的特性、用于在异常的检测中使用的一个或多个阈值、所监视的业务的分组报头中的内容的黑名单或白名单、复杂度(计算的)、资源消耗、定时参数。已知异常的特性可以包括已知异常的定时相关特性、由已知异常使用的分组大小、已知异常的(一个或多个)源地址、由已知异常使用的协议、由已知异常使用的业务简档(profile)、已知异常的传输频率简档、已知异常的数据传输和信令之间的比率、已知异常的(一个或多个)已知源的(一个或多个)设备类型、已知异常的单独源简档,诸如预付费订阅类型等。
在步骤500中接收到配置参数后,局部业务分析模块可以开始监视接入节点或接入节点的接口中的业务(框502)。业务分析可以包括其中机器学习算法构建表示正常条件下的接入节点和/或接口中的业务的局部业务模型的学习阶段。当已经执行足够的学习量时,算法能够检测业务中的异常。根据一方面,机器学习算法的操作即使在有能力检测异常之后也是不断学习的。
在实施例中,局部业务分析模块被配置为监视控制平面业务和/或用户平面业务。
在实施例中,局部业务分析模块410可以在业务监视中采用以下功能或参数:一个或多个数据(量)计数器、用于测量延迟的时间戳、所连接的UE的数量、用于控制平面事件的计数器、和/或网络定时器。分析可以通过标识所服务的UE的设备制造商或设备类型、设备模型、设备操作系统、设备软件/固件版本来进一步增强。这样的标识可以在分析中利用UE的已知操作签名进行交叉检查。这可以使得能够检测某个UE容易发生的某些异常。业务分析模块可以例如从传送的消息的5元组(源/目标网际协议地址,端口号)标识引起业务的应用。此外,分析可以通过标识所服务的UE的用户和/或用户的组织来增强。标识可以基于传送的内容类型、UE标识符、订户标识符、原型类型等而做出。典型的标识符可以包括国际移动设备标识(IMEI)、国际移动订户标识(IMSI)或移动台国际订户目录号(MSISDN)。
业务监视的另外的实施例可以包括监视跨无线电接入网络中的多个协议层的业务。例如,局部业务分析模块可以监视介质访问控制层上的和较高协议层(例如无线电资源控制层或无线电链路控制层)上的业务。这提供了无线电接入网络中的多个协议层上的异常的检测。在另一个实施例中,(一个或多个)局部业务分析模块可以监视无线电接入网络的多个逻辑或物理实体中的业务。参考诸如第二代或第三代蜂窝系统的较旧演进版本,局部业务分析模块可以监视接入节点中的和基站控制器(第二代)或无线电网络控制器(第三代)中的业务。在其他实施例中,监视可以以另一种方式分布以监视无线电接入网络的不同逻辑或物理实体。在又另一个实施例中,局部业务分析模块可以被配置为出于检测异常的目的而解密无线电接入网络中的业务。
在框204中,局部业务分析模块检测异常。异常可以从在学习阶段期间从先前分析的数据集学到的从正常平均行为的任何偏离而标识。作为示例,如果与数据事件或整体业务量相比,信令事件的数量通常增加,则可以将对应的数据流设置为更详细的检查。事件的定时可以针对发现引起频繁重新连接或另一类型的不当行为的实现给出另一强烈的提示。作为另一示例,可以存在从过去的信令事件序列偏离的新的信令事件序列。
当检测到异常时,局部业务分析模块可以将异常报告给中央业务分析模块。报告可以指定检测到的异常,例如信令风暴,并且另外包括在其基础上做出检测的数据(步骤504)。当接收到报告时,中央业务分析模块可以对接收到的数据执行其自身的分析(框506)。中央业务分析模块402可以由于不同类型的可用训练数据而执行不同类型的学习阶段,并且另外它可以采用在中央业务分析模块400至404之间共享的集体知识。通常,中央业务分析模块可以具有更智能的机器学习能力,并且因此它可以执行对异常的更可靠的检测。从一个观点出发,局部业务分析模块可以检测所监视业务中的可疑行为,例如通过标识与可疑业务相关联的UE来标识业务,利用指示该业务是可疑的标签来标记业务,并且将包括该标签的报告(并且在一些实施例中,将可疑业务)输出到中央业务分析模块。
在步骤504之后,局部业务分析模块410可以继续将与检测到的异常相关联的数据路由到中央业务分析模块,使得可以在中央业务分析模块中更可靠地执行异常的存在或不存在的验证。例如,局部业务分析模块可以标识与在其基础上检测到异常的业务数据相关联的一个或多个UE,并且仅将与该(一个或多个)UE相关联的业务路由到中央业务分析模块402。
当在框506中确定异常存在于连接到局部业务分析模块410的接入节点的业务中时,中央业务分析模块可以发起减轻异常的对策。这可以包括标识异常的源并暂停或限制源的操作。
对策可以取决于异常类型而涉及一些动作,例如阻止UE,引起UE从一个接入节点切换到另一个接入节点,暂停与UE的通信,减少UE的业务量同时允许UE引起业务,向UE的拥有者发送消息,以及引起在UE处的软件或固件更新。一些动作可能发生在接入节点上,而另一些将需要人机交互和服务团队。
在实施例中,当检测到异常并确定适当的对策时,中央业务分析模块可以直接配置局部业务分析模块或相关联的接入节点来应用对策(步骤510)。当在步骤510中接收到配置时,局部业务分析模块可以通过例如确定相关UE并通过控制与UE相关联的业务将对策集中于UE来执行对策(框512)。在实施例中,例如,在从模块410的接入节点切换到模块412的接入节点被包括在该对策中的事件中,中央业务分析模块另外可以在步骤510中配置另一个局部业务分析模块来执行对策。然后,模块410、412两者可以独立地或彼此协作地执行框512。
在一个实施例中,局部业务分析模块410和/或中央业务分析模块412可以向其他局部业务分析传达减轻和/或异常模式的细节作为“预防”过程的一部分。这使得能够共享异常及其签名的知识,并改进其他模块中的机器学习能力。当接收到关于异常的信息(例如,其签名或检测到异常的条件)时,局部业务分析模块412可以使其机器学习算法适配成更好地检测异常(框508)。
在对策的实施例中,中央业务分析模块402还可以引起对引起异常的所标识UE的寄存器的更新和/或改变。寄存器可以包括UE的归属位置寄存器(HLR)或访问者位置寄存器(VLR)中的条目。这些条目可以涉及阻止或暂停通过无线电接入网络为UE提供的服务。暂停可以涉及降低UE的数据速率或其他使用限制。
图6图示了分布式异常检测和减轻的另一个实施例。在本实施例中,局部业务分析模块410捕获业务并执行业务的监视。然而,在本实施例中,局部业务分析模块410不一定执行异常检测(框204)。作为代替,局部业务分析模块可以将至少一些所捕获的业务转发到中央业务分析模块402以用于分析(步骤504)。局部业务分析模块410可以根据某些规则仅捕获一部分的业务。例如,规则可以包括仅监视流级别信息(诸如一个或多个数据流的数据速率)、仅监视分组报头而不是有效载荷部分等。
当在步骤504中从(一个或多个)局部业务分析模块410接收到业务数据(控制平面和/或用户平面)时,中央业务分析模块可以采用机器学习和/或模式检测算法并且尝试发现业务数据中的异常(框506)。当在框506中检测到异常时,中央业务分析模块402可以在步骤600中与另外(一个或多个)业务分析模块404共享关于该检测的信息。步骤600可以包括关于要采取以减轻异常的对策进行协商,如何以及在哪些数据的基础上检测到异常,和/或从其他(一个或多个)中央业务分析模块404的观点的检测到的异常实际上是否为异常的协商。当检测到异常时,例如,可以以上述方式进行对策的配置。
在图5和图6的实施例中,局部业务分析模块在某个级别上执行对业务数据的分析,但在中央业务分析模块的严格控制下执行对策。在一些场景中,对异常的出现的更加迅速的响应可能是有利的。图7图示了其中局部业务分析模块410可以在检测到异常时自主地执行初步对策的实施例。在进一步利用更多的知识研究中央业务分析模块中的异常之后,初步对策可以被调谐为更好地应对或减轻异常。参考图7,局部业务分析模块可以以上述方式监视无线电接入网络中的控制/用户平面业务。在框700中,局部业务分析模块410检测异常。代替对异常的初步检测,框700可以包括触发局部业务分析模块410中的对策选择功能的检测。对策选择功能可以选择适合于检测到的异常的对策。该功能可以采用关于异常自身的信息、以及另外关于接入节点的操作条件的其他信息。其他信息可以包括以下条件中的至少一个:接入节点的当前业务负载、接入节点的能力、至少一个相邻接入节点的当前业务负载、至少一个相邻接入节点的能力、接入节点和/或至少一个相邻接入节点的可用容量。在可用信息的基础上,该功能可以在框512中标识引起异常的(一个或多个)UE并且开始控制所标识的(一个或多个)UE的业务。控制可以包括以下初步对策中的至少一个:阻止设备、隔离设备、引起设备相邻接入节点的切换、暂停与设备的通信、减少设备的业务量同时允许设备引起业务、向设备的拥有者发送消息、以及引起在设备处的软件或固件更新。关于切换,接入节点之一可以专用于处理检测到的异常,并且切换可以被触发到具有这样的特殊能力的接入节点。特殊能力可以包括在异常的检测中的更好处理能力、使以受控方式维持的业务负载降低为低以使得还有处理异常的容量、和/或其他能力。关于设备的阻止和隔离,可以减少或甚至完全阻止设备与无线电接入网络的连接性。在实施例中,隔离可以指阻止数据平面连接性,同时允许控制平面连接性。在另一个实施例中,通过调整设备的无线电资源控制配置和/或非接入层(NAS)配置来减少控制平面连接性。
同时,局部业务分析模块可以向中央业务分析模块通知检测到的异常,并且在一些实施例中,提供诸如附加业务数据的附加数据以供中央业务分析模块使用(步骤504)。在步骤504中,局部业务分析模块410还可以关于异常通知相邻的(一个或多个)局部业务分析模块412。这使得其他(一个或多个)局部业务分析模块412能够在(一个或多个)UE被切换到相邻(一个或多个)接入节点的情况下针对异常进行准备(框702)。另外,其他局部业务分析模块可以在其自身的机器学习算法中采用关于异常的信息,由此使得能够实现对异常的更高效的检测。
在框704中,中央业务分析模块可以分析从局部业务分析模块接收到的信息,并且在一些实施例中,关于异常与其他中央业务分析模块400、404进行协商。协商可以包括关于减轻异常的对策的信息的交换。框704还可以包括选择对策并确定减轻异常的配置参数。在步骤706中,中央业务分析模块可以向(一个或多个)局部业务分析模块410、412发送重新配置消息,由此至少配置局部业务分析模块来调整在框512中执行的控制功能。以这种方式,对异常的快速响应可以通过在框700和512中做出局部决定来实现,并且减轻异常的可能的更多的最优解决方案可以通过使用中央业务分析模块402的更好的检测和对策选择能力来导出。
图8更详细地图示了图7的过程。参考图8,当局部业务分析模块410和中央业务分析模块402已被初始化时,局部业务分析模块410可以聚合并分析在其中无线电接入网络中的信令是正常的条件下捕获的业务数据(步骤800和802),并将数据和/或分析的结果报告给中央业务分析模块402(步骤802)。中央业务分析模块402可以通过使用其机器学习算法以及从其他源收集的可用的配置参数和数据来分析数据(框806),并在步骤808中与其他中央接入节点400、404同步其对正常操作条件的理解。在步骤808中在中央业务分析模块400至404之间传送的实际信息可以包括机器学习算法的状态、指示预测质量的一个或多个度量、当前负载、异常的状态(例如恶意攻击、故障UE等)训练数据、业务数据或与异常相关的其他数据以用于分析。以这种方式,业务分析模块可以构建对正常操作条件的特性、正常业务特性和在网络中发生的正常事件的共同理解:在局部业务分析模块410、412的局部级别上以及在中央业务分析模块400至404的全局或区域级别上。
在步骤810中,出现异常。异常可能是由恶意或故障的UE 120引起的信令风暴。通过使用其机器学习和业务监视功能以及正常特性的知识以及可选地异常的共享知识,局部业务分析模块410在框812中检测到信令风暴。当检测到异常时,局部业务分析模块410可以在从其检测到异常的一个或多个消息的基础上标识UE 120。在步骤814中,局部业务分析模块发起初步减轻措施以至少部分地阻止UE 120的操作。在步骤816中,局部业务分析模块410向其他(一个或多个)局部业务分析模块和中央业务分析模块402报告该检测以及可选地与该检测、异常、所标识的UE等相关的数据。在框818中,在步骤816中接收到的信息的基础上,中央业务分析模块可以独立地或与其他中央业务分析模块400、404协作地分析数据和情况,并且确定用于对抗异常的最优化的隔离规则。在实施例中,中央业务分析模块400至404之一是关于最优化的隔离规则做出最终决定的主模块。然后,从模块通过相应地配置相关联的(一个或多个)局部模块来应用该隔离规则。在其他实施例中,中央业务分析模块在决定做出中采用另一层次。当选择最优化的隔离规则后,中央业务分析模块可以通过发送定义最优化的隔离规则的(一个或多个)重新配置消息来在步骤820中将最优化的隔离规则配置到局部业务分析模块。
当在步骤820中接收到最优化的隔离规则时,局部业务分析模块可以将最优化的隔离规则与当前应用的阻止功能(在步骤814中执行)进行比较,并重新配置阻止功能以符合步骤822中的最优化的隔离规则。例如,如果初步阻止功能采用UE 120的业务的暂停并且最优化的隔离规则指示UE 120应被断开,则局部业务分析模块410可以将相关联的接入节点配置为与UE断开。在最优化的隔离规则之后,异常可能减少并且在无线电接入网络中业务状态正常化(步骤823)。局部业务分析模块可以通过使用监视和机器学习功能来检测正常化的业务。如果仍然存在盛行的一些阻止功能,则局部业务分析模块410可以逐渐地开始废除(dismantle)阻止功能(步骤824)并向中央业务分析模块报告状态的稳定化(步骤826)。在实施例中,局部业务分析模块还可以将业务数据路由到中央业务分析模块,使得中央业务分析模块402可以通过分析业务数据来验证稳定化。在中央业务分析模块已经赞同操作的稳定化之后,中央业务分析模块可以在步骤828中通过向(一个或多个)局部业务分析模块410、412发送重新配置消息来移除在步骤820中实现的隔离规则。中央业务分析模块还可以关于稳定化以及在一些实施例中关于如何达到稳定化的任何信息通知其他中央业务分析模块(步骤830)。例如,中央业务分析模块可以共享关于异常和引起了稳定化的隔离规则的信息,这使得能够共享关于正确对策的知识以供将来在类似情况下使用。
图9图示了被配置为执行以上与局部业务分析模块有关地描述的功能的装置。装置可以是包括电子电路的电子设备。装置可以包括诸如至少一个处理器的处理电路10和包括计算机程序代码(软件)22的至少一个存储器20,其中至少一个存储器和计算机程序代码(软件)利用至少一个处理器被配置为使得装置执行用于执行业务分析和执行减轻功能的实施例中的任何一个。
存储器20可以使用任何合适的数据存储技术来实现,诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。存储器可以包括用于存储用于业务分析的配置数据的配置数据库24。配置数据可以包括在框200中接收的配置参数、以及可选地可以在异常的检测、减轻、与其他业务分析模块的协作等中有用的其他配置参数。
装置还可以包括通信接口(TX/RX)26,其包括用于根据一个或多个通信协议实现通信连接性的硬件和/或软件。通信接口可以为装置提供通信能力,以例如接收包括控制平面数据(信令数据)或数据平面数据(有效载荷数据)的业务数据,与其他业务分析模块进行通信,并使得能够实现其他类型的通信。通信接口26可以包括到装置被包括在其中或者装置连接到其的接入节点的硬件接口。硬件接口可以连接到接入节点的接口。可以使用硬件接口来捕获业务数据以用于分析。硬件接口可以是单向接口,使得装置仅能够通过硬件接口接收业务数据。另外,通信接口26可以包括用于与(一个或多个)接入节点和/或其他业务分析模块的通信的另一个双向接口。双向接口可以提供网际协议(IP)连接性。
处理电路10可以包括被配置为根据上述实施例中的任何一个执行业务分析和减轻的业务分析电路18。业务分析电路18可以包括异常检测电路14,其被配置为执行所捕获的业务数据的分析。例如,电路14可以根据配置参数通过执行框202和204或框502或框812来分析业务数据。当检测到异常时,异常检测电路14可以将异常的通知并且在一些实施例中将所标识的异常源输出到减轻电路15,所述减轻电路15被配置为减轻异常。取决于实施例,异常的检测可以使得业务分析电路通过通信接口26将异常报告给一个或多个其他业务分析模块。取决于实施例,减轻电路15可以通过采用上述减轻选项(例如隔离规则)中的任何一个独立地或在中央业务分析模块的控制下执行减轻。
业务分析电路18还可以包括重新配置电路12,所述重新配置电路12被配置为根据配置数据库24和/或通过通信接口26接收到的配置参数来配置电路14和15的操作。例如,当另一个局部业务分析模块向装置报告检测到的新的异常的特性时,重新配置电路12可以利用接收到的特性重新配置异常检测电路,使得异常检测电路14具有检测新异常的更好的能力。
图10图示了被配置为执行以上与中央业务分析模块有关地描述的功能的装置。装置可以是包括电子电路的电子设备。装置可以包括诸如至少一个处理器的处理电路50以及包括计算机程序代码(软件)62的至少一个存储器60,其中至少一个存储器和计算机程序代码(软件)利用至少一个处理器被配置为使得装置执行用于执行业务分析、执行减轻功能、以及与其他中央业务分析模块协作的实施例中的任何一个。
存储器60可以使用任何合适的数据存储技术来实现,诸如基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。存储器可以包括用于存储用于业务分析的配置数据的配置数据库64。配置数据可以包括在异常的检测、减轻、与其他业务分析模块的协作等中使用的配置参数。
装置还可以包括通信接口(TX/RX)66,其包括用于根据一个或多个通信协议实现通信连接性的硬件和/或软件。例如,通信接口可以包括能够提供网际协议连接性的网络适配器。通信接口66可以向装置提供通信能力,例如以与其他业务分析模块进行通信并使得能够实现其他类型的通信。
处理电路50可以包括业务分析电路58,其被配置为根据与中央业务分析模块有关地描述的上述实施例中的任何一个执行业务分析和减轻。业务分析电路58可以包括异常检测电路54,所述异常检测电路54被配置为执行从一个或多个局部业务分析模块接收到的业务数据的分析。异常检测电路54可以采用与异常检测电路14不同的算法和/或不同的配置参数。当检测到异常时,异常检测电路54可以将异常的通知并且在一些实施例中将所标识的异常源输出到减轻电路55,所述减轻电路55被配置为减轻异常。减轻电路55可以在异常的减轻中控制局部业务分析模块,例如,如结合图8的步骤818-828所描述的。
处理电路50还可以包括策略协商电路52,所述策略协商电路52被配置为连接到其他中央业务分析模块并且在一些实施例中连接到核心网络的其他模块和/或其他核心网络,例如,在步骤808、830中。例如,策略协商电路52可以在检测到异常时连接到其他模块,并在异常的减轻中关于策略进行协商。当在协商中达成结论时,策略协商电路52可以控制减轻电路55通过在减轻中控制(一个或多个)局部业务分析模块来应用策略。
如本申请中所使用的,术语“电路”是指以下中的所有:(a)仅硬件电路实现,诸如仅在模拟和/或数字电路中的实现,以及(b)电路和软件(和/或固件)的组合,诸如(如适用的):(i)(一个或多个)处理器的组合或(ii)(一个或多个)处理器/软件的一部分,包括(一个或多个)数字信号处理器、软件和(一个或多个)存储器,其一起工作以使得装置执行各种功能,以及(c)诸如(一个或多个)微处理器或(一个或多个)微处理器的一部分的电路,其需要软件或固件来操作,即使软件或固件不物理地存在。“电路”的该定义适用于该术语在本申请中的所有使用。作为另一示例,如本申请中所使用的,术语“电路”还将覆盖仅处理器(或多个处理器)或处理器的部分及它(或它们)附带的软件和/或固件的实现。术语“电路”还将覆盖(例如并且如果适用于特定元件)用于移动电话的基带集成电路或应用处理器集成电路或服务器、蜂窝网络设备或另一网络设备中的类似集成电路。
在实施例中,结合图2至图8所描述的过程中的至少一些可以由包括用于执行所描述的过程中的至少一些的对应部件的装置来执行。用于执行过程的一些示例部件可以包括以下中的至少一个:检测器、处理器(包括双核和多核处理器)、数字信号处理器、控制器、接收器、发送器、编码器、解码器、存储器、RAM、ROM、软件、固件、显示器、用户接口、显示电路、用户接口电路、用户接口软件、显示软件、电路、天线、天线电路和电路。在实施例中,至少一个处理器、存储器和计算机程序代码形成处理部件,或包括用于根据图2至图8的实施例中的任何一个或其操作来执行一个或多个操作的一个或多个计算机程序代码部分。
本文描述的技术和方法可以通过各种方式来实现。例如,这些技术可以以硬件(一个或多个设备)、固件(一个或多个设备)、软件(一个或多个模块)或其组合来实现。对于硬件实现,实施例的(一个或多个)装置可以实现在一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行本文描述的功能的其他电子单元、或其组合内。对于固件或软件,实现可以通过执行本文描述的功能的至少一个芯片组(例如过程、功能等)的模块来执行。软件代码可以存储在存储器单元中并由处理器执行。存储器单元可以在处理器内或在处理器的外部实现。在后一种情况下,其可以经由各种方式通信地耦合到处理器,如在本领域中已知的。另外,本文描述的系统的组件可以通过附加组件重新布置和/或补充,以便促进关于其描述的各方面等的实现,并且它们不限于在给出的图中阐述的精确配置,如本领域技术人员将理解的。
如所描述的实施例也可以以由计算机程序或其部分所定义的计算机过程的形式执行。可以通过执行包括对应指令的计算机程序的至少一部分来执行结合图2至图8描述的方法的实施例。计算机程序可以采用源代码形式、目标代码形式、或采用某个中间形式,并且其可以存储在可以是能够携带程序的任何模块或设备的某种载体中。例如,计算机程序可以存储在可由计算机或处理器读取的计算机程序分发介质上。例如,计算机程序介质可以例如是但不限于记录介质、计算机存储器、只读存储器、电载波信号、电信信号和软件分发包。计算机程序介质可以是非暂时介质。用于执行如所示和描述的实施例的软件的编码完全在本领域普通技术人员的范围内。
上述实施例适用于监视在无线电接入网络和/或核心网络处可用的任何控制和/或用户平面业务。业务可以包括例如机器对机器(M2M)类型的业务,其可以被认为是通过使得联网设备能够在没有人类手动帮助的情况下交换信息并执行动作的任何技术生成的。未来的M2M或IoT设备可以被设计为非常功率高效的,并且因此具有有限的能力。这些设备可以支持与其他设备(诸如具有用户接口的蜂窝电话)相比低级(或甚至没有)认证和授权过程。M2M设备可以在没有附接到无线电接入网络和/或核心网络的先前过程的情况下向网络发送业务。M2M设备可能较不频繁地发送非常少量的数据。由于大量的这样的设备,M2M业务的总量可能很高。
尽管上面已经根据附图参考示例描述了本发明,但是显然本发明不限于此,而是可以在所附权利要求的范围内以若干种方式进行修改。因此,所有的词语和表达应当被宽泛地解释,并且它们旨在说明而不是限制实施例。对于本领域技术人员将显而易见的是,随着技术的进步,本发明概念可以以各种方式实现。此外,对于本领域技术人员清楚的是,所描述的实施例可以但不需要以各种方式与其他实施例组合。
Claims (8)
1.一种用于无线网络中的信令异常的检测和减轻的方法,包括:
在第一局部业务分析模块中从第二局部业务分析模块或从连接到多个局部业务分析模块的中央业务分析模块接收(200)配置参数;
由第一局部业务分析模块通过使用接收到的配置参数来监视(202)无线通信系统的无线电接入网络中的业务;
由第一局部业务分析模块在所监视的业务中在配置参数的基础上检测(204)引起控制平面信令负载的异常;
由第一局部业务分析模块通过直接链路与另一局部业务分析模块交换关于另一接入节点采取额外控制平面信令的容量和能力的信息;
响应于所述检测和所述交换,由第一局部业务分析模块采取减轻异常的动作(206)并向中央业务分析模块报告关于异常的信息;
由第一局部业务分析模块在所监视的业务的至少一个消息的基础上标识引起所述异常的设备;以及
由第一局部业务分析模块将与所标识的设备相关联的业务中的至少一些路由到中央业务分析模块。
2.根据权利要求1所述的方法,其中所述报告包括将表示引起了所述检测的业务的数据发送到中央业务分析模块。
3.根据权利要求1或2所述的方法,还包括向另一个局部业务分析模块指示检测到的异常。
4.根据权利要求1或2所述的方法,其中减轻异常的所述动作包括:
控制所标识的设备的业务。
5.根据权利要求4所述的方法,其中,所述控制所标识的设备的业务包括以下业务控制功能中的至少一个:阻止设备、使得设备从一个接入节点切换到另一个接入节点、暂停与设备的通信、减少设备的业务量同时允许设备引起业务、向设备的拥有者发送消息、以及引起在设备处的软件或固件更新。
6.根据权利要求1或2所述的方法,其中第一局部业务分析模块监视无线电接入网络的接入节点中的业务。
7.一种用于无线网络中的信令异常的检测和减轻的装置,包括用于执行任一前述权利要求1至6的方法的步骤的部件。
8.一种可由计算机读取的分发介质,存储程序指令,所述程序指令当被加载到装置中时,执行根据任一前述权利要求1至6的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP16194372.5 | 2016-10-18 | ||
EP16194372.5A EP3313114B1 (en) | 2016-10-18 | 2016-10-18 | Detection and mitigation of signalling anomalies in wireless network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107959944A CN107959944A (zh) | 2018-04-24 |
CN107959944B true CN107959944B (zh) | 2020-12-18 |
Family
ID=57184312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710970628.8A Active CN107959944B (zh) | 2016-10-18 | 2017-10-18 | 无线网络中的信令异常的检测和减轻 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10602396B2 (zh) |
EP (1) | EP3313114B1 (zh) |
JP (1) | JP6585136B2 (zh) |
CN (1) | CN107959944B (zh) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10123232B2 (en) * | 2014-07-22 | 2018-11-06 | Parallel Wireless, Inc. | Signaling storm reduction from radio networks |
EP3399780B1 (en) * | 2017-05-02 | 2022-03-16 | Nxp B.V. | Adjusting an intelligent transportation system (its) broadcast transmission parameter |
US11323884B2 (en) | 2017-06-27 | 2022-05-03 | Allot Ltd. | System, device, and method of detecting, mitigating and isolating a signaling storm |
US10904929B2 (en) * | 2017-11-09 | 2021-01-26 | Uniraja Ou | Secure communication system |
US10887781B2 (en) * | 2018-01-26 | 2021-01-05 | Cisco Technology, Inc. | Machine learning-based approach to network planning using observed patterns |
WO2019222947A1 (zh) * | 2018-05-23 | 2019-11-28 | 浙江大学 | 一种基于网络流量的无线摄像头检测及定位方法 |
CN110535808B (zh) * | 2018-05-24 | 2021-03-30 | 华为技术有限公司 | 一种设备监控、去注册方法及装置 |
US11038775B2 (en) * | 2018-08-10 | 2021-06-15 | Cisco Technology, Inc. | Machine learning-based client selection and testing in a network assurance system |
EP3847792A1 (en) * | 2018-09-07 | 2021-07-14 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for detection of abnormal ue behavior |
CN111355603A (zh) * | 2018-12-20 | 2020-06-30 | 福建雷盾信息安全有限公司 | 一种计算机流量分析方法 |
US10958585B2 (en) | 2018-12-31 | 2021-03-23 | Juniper Networks, Inc. | Methods and apparatus for facilitating fault detection and/or predictive fault detection |
US11012336B2 (en) * | 2019-02-26 | 2021-05-18 | Intel Corporation | Techniques to monitor control plane network traffic |
JP7156501B2 (ja) * | 2019-03-28 | 2022-10-19 | 日本電気株式会社 | 無線通信監視システム、無線通信異常情報提示方法および無線通信異常情報提示プログラム |
US11265336B2 (en) * | 2019-03-28 | 2022-03-01 | Red Hat, Inc. | Detecting anomalies in networks |
CN111918280B (zh) * | 2019-05-07 | 2022-07-22 | 华为技术有限公司 | 一种终端信息的处理方法、装置及系统 |
EP3748562A1 (en) | 2019-05-08 | 2020-12-09 | EXFO Solutions SAS | Timeline visualization & investigation systems and methods for time lasting events |
EP3783856B1 (en) * | 2019-08-20 | 2023-01-18 | Allot Ltd | System, device, and method of detecting, mitigating and isolating a signaling storm |
CN112448894B (zh) * | 2019-09-03 | 2022-08-19 | 华为技术有限公司 | 阻断信令风暴的方法、装置、设备及存储介质 |
CN112654047A (zh) * | 2019-09-25 | 2021-04-13 | 中兴通讯股份有限公司 | 识别异常终端的方法、装置、基站及存储介质 |
RU2737229C1 (ru) * | 2019-11-25 | 2020-11-26 | Общество с ограниченной ответственностью "ПОСЕЙДОН" | Способ защиты систем управления транспортных средств от вторжений |
CN113727348B (zh) * | 2020-05-12 | 2023-07-11 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备、系统及存储介质 |
WO2021260630A1 (en) * | 2020-06-25 | 2021-12-30 | Nokia Technologies Oy | Rogue network function detection and isolation in a communication network |
US11775278B1 (en) * | 2020-11-18 | 2023-10-03 | Union Pacific Railroad Company | Systems and methods for automated traffic control update |
US20220286470A1 (en) * | 2021-03-05 | 2022-09-08 | At&T Intellectual Property I, L.P. | Facilitation of network protection for 5g or other next generation network |
CN113382039B (zh) * | 2021-05-07 | 2023-01-13 | 中国科学院信息工程研究所 | 一种基于5g移动网络流量分析的应用识别方法和系统 |
WO2022244157A1 (ja) * | 2021-05-19 | 2022-11-24 | ソニーグループ株式会社 | 情報処理装置、情報処理プログラム、及び情報処理システム |
US12069069B2 (en) * | 2021-06-14 | 2024-08-20 | Mellanox Technologies Ltd. | Network devices assisted by machine learning |
WO2023285864A1 (en) * | 2021-07-15 | 2023-01-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Detecting anomalous behaviour in an edge communication network |
CN113660678A (zh) * | 2021-08-13 | 2021-11-16 | 西安海润通信技术有限公司 | 一种基于安卓终端的5g互联网业务监测方法 |
WO2023072435A1 (en) * | 2021-10-27 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | False cell detection in a wireless communication network |
TWI791322B (zh) * | 2021-11-10 | 2023-02-01 | 財團法人資訊工業策進會 | 流量控制伺服器及流量控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101142766A (zh) * | 2005-03-29 | 2008-03-12 | Lg电子株式会社 | 用于管理网络节点过载的方法和其系统 |
WO2008030170A1 (en) * | 2006-09-05 | 2008-03-13 | Telefonaktiebolaget L M Ericsson (Publ) | Name-address management and routing in communication networks |
CN101453346A (zh) * | 2007-12-07 | 2009-06-10 | 西安电子科技大学 | Ims体系中的多点分层式会议的控制方法 |
CN101686498A (zh) * | 2008-09-28 | 2010-03-31 | 上海华为技术有限公司 | 一种实现负载转移的方法及装置 |
CN103188728A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 一种网络拥塞控制方法及系统 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6266531B1 (en) * | 1998-07-01 | 2001-07-24 | Ericsson Inc. | System and method for adaptive thresholds for cell load sharing |
US20030165124A1 (en) * | 1998-12-30 | 2003-09-04 | Vladimir Alperovich | System and method for performing handovers based upon local area network conditions |
JP2004207839A (ja) | 2002-12-24 | 2004-07-22 | Nec Corp | 無線リソース管理システムとその方法及びそれに用いる管理装置、基地局及び端末 |
CN101541041A (zh) * | 2009-04-23 | 2009-09-23 | 华为技术有限公司 | 负载分担方法、装置及系统 |
US9049603B2 (en) * | 2010-03-01 | 2015-06-02 | Nec Corporation | Wireless station, determination apparatus, wireless communication system, determination method, and storage medium |
WO2012027888A1 (zh) | 2010-08-31 | 2012-03-08 | 中兴通讯股份有限公司 | 一种抑制信令风暴的方法和系统 |
JP5471997B2 (ja) * | 2010-09-16 | 2014-04-16 | 富士通株式会社 | 無線基地局及び制御装置並びに異常検出方法 |
US8711791B2 (en) | 2010-12-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Denial of service (DoS) attack prevention through random access channel resource reallocation |
US8700027B2 (en) * | 2011-02-11 | 2014-04-15 | Alcatel Lucent | Method and apparatus for network analysis |
US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
US9119075B2 (en) * | 2011-03-17 | 2015-08-25 | Nec Corporation | Communication system, base station, and countermeasure method against cyber attack |
US8873398B2 (en) * | 2011-05-23 | 2014-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing EPC in a cloud computer with openflow data plane |
US9204329B2 (en) * | 2011-07-21 | 2015-12-01 | Movik Networks | Distributed RAN information collection, consolidation and RAN-analytics |
US8984581B2 (en) * | 2011-07-27 | 2015-03-17 | Seven Networks, Inc. | Monitoring mobile application activities for malicious traffic on a mobile device |
US9585054B2 (en) * | 2012-07-19 | 2017-02-28 | Interdigital Patent Holdings, Inc. | Method and apparatus for detecting and managing user plane congestion |
WO2015123836A1 (en) * | 2014-02-20 | 2015-08-27 | Telefonaktiebolaget L M Ericsson (Publ) | Traffic management in the mobile network |
WO2015124326A1 (en) | 2014-02-20 | 2015-08-27 | Markport Limited | Enhanced traffic management during signaling storms |
US20150333998A1 (en) * | 2014-05-15 | 2015-11-19 | Futurewei Technologies, Inc. | System and Method for Anomaly Detection |
US9900801B2 (en) * | 2014-08-08 | 2018-02-20 | Parallel Wireless, Inc. | Congestion and overload reduction |
US10484405B2 (en) * | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
US9544812B2 (en) * | 2015-01-30 | 2017-01-10 | Alcatel Lucent | System and method for mitigating network congestion using fast congestion detection in a wireless radio access network (RAN) |
US20160234899A1 (en) * | 2015-02-11 | 2016-08-11 | Express Imaging Systems, Llc | Luminaire with adjustable illumination pattern |
US10326640B2 (en) * | 2015-02-12 | 2019-06-18 | Netscout Systems Texas, Llc | Knowledge base radio and core network prescriptive root cause analysis |
US20160294660A1 (en) * | 2015-03-31 | 2016-10-06 | Alcatel-Lucent Usa Inc. | Method And Apparatus For Improved Traffic Monitoring In Wireless Communication Systems |
US10772023B2 (en) * | 2016-04-14 | 2020-09-08 | At&T Mobility Ii Llc | Management of mobility traffic flows in mobile cellular networks |
-
2016
- 2016-10-18 EP EP16194372.5A patent/EP3313114B1/en active Active
-
2017
- 2017-10-17 US US15/785,915 patent/US10602396B2/en active Active
- 2017-10-18 CN CN201710970628.8A patent/CN107959944B/zh active Active
- 2017-10-18 JP JP2017201879A patent/JP6585136B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101142766A (zh) * | 2005-03-29 | 2008-03-12 | Lg电子株式会社 | 用于管理网络节点过载的方法和其系统 |
WO2008030170A1 (en) * | 2006-09-05 | 2008-03-13 | Telefonaktiebolaget L M Ericsson (Publ) | Name-address management and routing in communication networks |
CN101453346A (zh) * | 2007-12-07 | 2009-06-10 | 西安电子科技大学 | Ims体系中的多点分层式会议的控制方法 |
CN101686498A (zh) * | 2008-09-28 | 2010-03-31 | 上海华为技术有限公司 | 一种实现负载转移的方法及装置 |
CN103188728A (zh) * | 2011-12-29 | 2013-07-03 | 中兴通讯股份有限公司 | 一种网络拥塞控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3313114B1 (en) | 2021-06-09 |
JP6585136B2 (ja) | 2019-10-02 |
US20180109975A1 (en) | 2018-04-19 |
US10602396B2 (en) | 2020-03-24 |
CN107959944A (zh) | 2018-04-24 |
EP3313114A1 (en) | 2018-04-25 |
JP2018078546A (ja) | 2018-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107959944B (zh) | 无线网络中的信令异常的检测和减轻 | |
US11582589B2 (en) | Wireless network policy manager for a service mesh | |
US10715408B2 (en) | Methods and apparatus for capturing and/or using packets to facilitate fault detection | |
Panwar et al. | A survey on 5G: The next generation of mobile communication | |
US11381594B2 (en) | Denial of service detection and mitigation in a multi-access edge computing environment | |
EP3298814B1 (en) | System and method for faked base station detection | |
Dezfouli et al. | A review of software-defined WLANs: Architectures and central control mechanisms | |
US9509628B2 (en) | Managing devices in a heterogeneouus network | |
CN108353327B (zh) | X2协议可编程性 | |
US10178593B2 (en) | Self-organizing customer premises network | |
US20200053567A1 (en) | Security architecture for machine type communications | |
US20220030117A1 (en) | Systems and methods to enable programmable xhaul transport | |
Neves et al. | Future mode of operations for 5G–The SELFNET approach enabled by SDN/NFV | |
EP2761950A1 (en) | Communication terminal, network component, base station and method for communicating | |
Alam et al. | IoT virtualization: A survey of software definition & function virtualization techniques for internet of things | |
Liyanage et al. | Leveraging LTE security with SDN and NFV | |
US20230217385A1 (en) | Communication Method, Communication Apparatus, Terminal Device, and User Plane Network Element | |
US11546204B2 (en) | Out-of-band monitoring and provisioning | |
Yungaicela-Naula et al. | Misconfiguration in O-RAN: Analysis of the impact of AI/ML | |
GB2596417A (en) | Radio resource parameter configuration | |
Mahmoud et al. | 5G Vulnarabilities from Security Operation Center's Perspective | |
Vardhan | Research on Cybersecurity Threats and Solutions in RATs and C-RAN 5G Network | |
Kakadia et al. | Self organizing networks (SON) | |
Wani et al. | Open RAN: A concise overview | |
de Oca | SDMN Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |