CN111030876A - 一种基于DPI的NB-IoT终端故障定位方法和装置 - Google Patents

Abstract

本发明涉及NB‑IOT终端故障定位技术领域，提供了一种基于DPI的NB‑IoT终端故障定位方法和装置。方法包括以Attach Request消息作为xDR生成的开始标志，以Attach Complete作为xDR生成的结束标志的主事务，将信令消息的数据关联在一起，输出第一条xDR数据记录；以Downlink data消息作为xDR生成的开始标志，以Service Accept作为xDR生成的结束标志的主事务，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录，分析NB‑IoT终端的故障。本发明通过信令过程记录，提供了一套故障定位体系为用户线上问题识别及线下故障解决提供技术支撑。

Description

一种基于DPI的NB-IoT终端故障定位方法和装置

【技术领域】

本发明涉及NB-IOT终端故障定位技术领域，特别是涉及一种基于DPI的NB-IoT终端故障定位方法和装置。

【背景技术】

随着当前物联网技术的迅速发展，各行业智能化物联网设备的应用率不断增加，承载于无线网络之上的移动通信技术在提供丰富的行业应用的同时也面临着端到端业务实现流程复杂的问题，涉及终端、无线、传输、核心网、物联网基地多元协同，为客户感知提升带来巨大挑战，寻求有效的方法，确保物联网终端的正常运行成为客户的重点分析热点，因此从基于网络本身的质量管理向注重客户感知的端到端横向一体化质量保障机制转变，建立物联网端到端质量管理机制是确保客户业务感知的关键，是4G时代集中性能管理的重要应用之一。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

【发明内容】

本发明要解决的技术问题是提供一种基于DPI的NB-IoT终端故障定位方法，解决现有技术中缺少有效手段对NB-IoT问题定位的客观情况。

本发明进一步要解决的技术问题是在NB-IoT终端故障定位中，对于其业务接入侧可能发生的信令风暴，提供一种高可靠性的信令风暴评价方法。

本发明采用如下技术方案：

第一方面，本发明提供了一种基于DPI的NB-IoT终端故障定位方法，包括上报过程话单的DPI数据的整理和下控过程话单的DPI数据的整理，其中，上报过程话单的DPI数据的整理具体包括：

以Attach Request消息作为xDR生成的开始标志，以Attach Complete或AttachReject作为xDR生成的结束标志的主事务，通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录；

所述下控过程话单的DPI数据的整理具体包括：

以Downlink data消息作为xDR生成的开始标志，以Service Accept或DownlinkData Notification Failure作为xDR生成的结束标志的主事务，根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录；

根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障。

优选的，所述以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事，具体包括：

根据NB-IoT终端所发出的Context Release消息和/或Detach消息，确定NB-IoT终端目前是否处于Idle或Detach状态；

DPI设备在确定NB-IoT终端目前处于Idle或Detach状态时，获取SGW向MME发送的DDN消息，从而保证DPI设备只记录触发DDN消息情况下的，且以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事。

优选的，所述通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录，具体包括：

在内存中设置等待队列存储空间，信令消息先后抵达DPI设备后，若出现信令消息A无法匹配到其上一条信令消息B，则将当前获取到的信令消息A存入所述等待队列中，待可关联到的上一条消息B的信令消息C抵达，并进入过程信息列表后，从等待队列中将信令消息A取出，进一步与所述信令消息C进行关联分析，若关联成功则架构所述信令消息A添加到过程信息列表中，且为与所述信令消息C之后，并根据所述信令消息C的开始时间，对所述信令消息A的开始时间进行修正，以保证输出的xDR时间戳在正常时间范围内；

其中，所述过程信令列表在搜集到以Attach Request消息作为xDR生成的开始标志，以Attach Complete或Attach Reject作为主事务的xDR结束标志的信令消息后，用于生成所述第一xDR数据记录。

优选的，所述根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录，具体包括：

使用TE-ID将下行用户面数据和信令面DDN消息进行关联，使用TE-ID和S1AP-ID将S5/S8接口信令消息与S10/S11口信令消息关联，使用S1AP-ID将S1MME接口与S10/S11接口进行关联。

优选的，所述根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障，具体包括：

对于接口S1MME、S6a、S10和S11，对于其出现的错误码预先定义其问题环节是网络接入环节或者业务接入环节；

其中，在网络接入环节中，终端原因包括：非允许区域内使用、终端版本或模组问题、用户为非法用户、用户鉴权不通过、机卡分离、终端版本/模组问题、非允许区域内使用和未在HSS上开户/已销号中的一种或者多种；核心网原因包括：用户停机和AAA服务器分配用户IP失败；无线原因包括基站弱覆盖或板卡故障，造成空口信令失丢失，导致终端/网络侧没收到信令消息；

其中，在业务接入环节中，使用业务接入信息进行故障分析，将故障终端的业务数据与终端特征分析中的结论进行匹配，其中，终端特征分析中的结论包括：网络侧安全、网络侧接入、网络侧建立链接、业务侧网络安全、业务侧接入异常、业务侧企业服务异常、终端异常和业务不适用终端一项或者多项。

优选的，在网络侧安全具体表现为信令风暴时，所述方法还包括：

根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密；

统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；

根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。

优选的，根据权利要求1所述的物联网信令风暴攻击检测的方法，其特征在于，所述根据获取S10、S11、S6a接口的参数来对S1-MME接口的NAS消息解密，具体包括：

在S6a接口的Diameter协议中的AIR消息和AIA消息中提取IMSI、AUTN、KASME，并建立IMSI和AUTN的第一关联关系；

建立解密所需的第二关联结构，所述第二关联结构包括：AUTN、XRES、RAND、KASME、加密标识、完整保护算法标识、上行计数和下行计数；

从Authentication request消息中提取AUTN，并与MMEID和ENBID建立第三关联关系；

提取EPS integrity algorithm信息，并与所述MMEID、所述ENBID和所述第三关联关系，更新所述加密标识；

通过MMEID、ENBID和加密的NAS消息，计算出AUTN，并通过计算出的AUTN在第二关联结构中找到相应KASME；

根据KASME推导KNASME，进一步完成NAS消息解密。

优选的，其特征在于，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：

统计时间区间内MME网元/eNB基站/区域/终端的流量值，判断超过预设的第I低阈值、预设的第I中阈值或者预设的第I高阈值，并根据超过预设的第I低阈值、预设的第I中阈值和预设的第I高阈值分别给予20、15和10的评分；其中，流量值超过预设的第I低阈值便认为出现异常流量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数，判断超过预设的第II低阈值、预设的第II中阈值或者预设的第II高阈值，并根据超过预设的第II低阈值、预设的第II中阈值和预设的第II高阈值分别给予10、7和4的评分；其中，Attach消息条数超过预设的第II低阈值便认为出现附着消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数，判断超过预设的第III低阈值、预设的第III中阈值或者预设的第III高阈值，并根据超过预设的第III低阈值、预设的第III中阈值和预设的第III高阈值分别给予10、7和4的评分；其中，Authentication消息条数超过预设的第III低阈值便认为出现鉴权消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息条数，判断超过预设的第IV低阈值、预设的第IV中阈值或者预设的第IV高阈值，并根据超过预设的第IV低阈值、预设的第IV中阈值和预设的第IV高阈值分别给予10、7和4的评分；其中，E-RAB Setup和Dedicated EPS Bearer ContextActivation消息条数超过预设的第IV低阈值便认为出现激活消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数，判断超过预设的第V低阈值、预设的第V中阈值或者预设的第V高阈值，并根据超过预设的第V低阈值、预设的第V中阈值和预设的第V高阈值分别给予10、7和4的评分；其中，S1切出和S1切入消息条数超过预设的第V低阈值便认为出现切换消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条数，判断超过预设的第VI低阈值、预设的第VI中阈值或者预设的第VI高阈值，并根据超过预设的第VI低阈值、预设的第VI中阈值和预设的第VI高阈值分别给予10、7和4的评分；其中，Paging消息条数超过预设的第VI低阈值便认为出现寻呼消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息的成功率，判断超过预设的第VII低阈值、预设的第VII中阈值或者预设的第VII高阈值，并根据超过预设的第VII低阈值、预设的第VII中阈值和预设的第VII高阈值分别给予6、4和2的评分；其中，Attach消息的成功率超过预设的第VII低阈值便认为出现附着成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息的成功率，判断超过预设的第VIII低阈值、预设的第VIII中阈值或者预设的第VIII高阈值，并根据超过预设的第VIII低阈值、预设的第VIII中阈值和预设的第VIII高阈值分别给予6、4和2的评分；其中，Authentication消息的成功率超过预设的第VIII低阈值便认为出现鉴权成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息的成功率，判断超过预设的第IX低阈值、预设的第IX中阈值或者预设的第IX高阈值，并根据超过预设的第IX低阈值、预设的第IX中阈值和预设的第IX高阈值分别给予6、4和2的评分；其中，E-RAB Setup和Dedicated EPS Bearer ContextActivation消息的成功率超过预设的第IX低阈值便认为出现激活成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息的成功率，判断超过预设的第X低阈值、预设的第X中阈值或者预设的第X高阈值，并根据超过预设的第X低阈值、预设的第X中阈值和预设的第X高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第X低阈值便认为出现切换成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息的成功率，判断超过预设的第XI低阈值、预设的第XI中阈值或者预设的第XI高阈值，并根据超过预设的第XI低阈值、预设的第XI中阈值和预设的第XI高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第XI低阈值便认为出现寻呼成功率异常量；

其中，各项的合计总评分sum>＝80表明S1-MME接口是否遭受到信令风暴攻击程度为高；65<＝sum<80表明S1-MME接口是否遭受到信令风暴攻击程度为中；sum<65表明S1-MME接口是否遭受到信令风暴攻击程度为低。

优选的，所述统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数、统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPS Bearer ContextActivation消息条数、统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条，具体包括：

通过对NAS消息解密，并根据解密获得内容生成S1-MME接口的XDR日志，根据XDR日志中Procedure Type字段所包含的参数为Attach、Authentication、E-RAB Setup、Dedicated EPS Bearer Context Activation、S1切出、S1切入或者Paging进行识别；

并且，所述XDR日志中还携带业务流开始时间和业务流结束时间，用于为所述统计时间区间提供依据。

第二方面，本发明还提供了一种基于DPI的NB-IoT终端故障定位装置，用于实现第一方面所述的基于DPI的NB-IoT终端故障定位方法，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，用于执行第一方面所述的基于DPI的NB-IoT终端故障定位方法。

第三方面，本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，用于完成第一方面所述的基于DPI的NB-IoT终端故障定位方法。

本发明中信令过程信息是指物联网终端，在上报业务数据、被企业或IOT平台下发控制指令(简称下控)、上报业务后释放连接等行为时，产生的多个接口的主要信令流程关联为一条完整的信令过程记录。该方法通过信令过程记录，定位NB-IoT类型终端与服务端交互过程中的故障环节，结合信令响应消息，确认故障问题原因，为用户线上问题识别及线下故障解决提供技术支撑。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的NB终端附着请求标准信令流程；

图2是本发明实施例提供的NB终端在Idle态接收数据的信令流程；

图3是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位方法流程示意图；

图4是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位情况示意图；

图5是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位中有关信令风暴攻击定位流程图；

图6是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位中有关信令风暴攻击定位流程图；

图7是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位中信令风暴定位流程示意图；

图8是本发明实施例提供的一种基于DPI的NB-IoT终端故障定位装置结构示意图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的描述中，术语“内”、“外”、“纵向”、“横向”、“上”、“下”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作，因此不应当理解为对本发明的限制。

物联网信令过程信息是指物联网终端，在上报业务数据、被企业或IoT平台下发控制指令(简称下控)、上报业务数据后释放连接等行为时，产生的多个核心网网元间接口的主要信令流程关联为一条完整的信令过程记录。

信令过程信息包括公有信息和多接口关联信息。公有信息是指各接口通用信息，如用户IMSI、MSISDN、IMEI(SV)等；多接口关联信息是指各接口的若干信令流程和用户面数据关联合成的记录，涉及接口有S1-MME、S6a、S10/S11、S5/S8。

1)上报过程话单

窄带物联网(Narrow Band Internet of Things,NB-IoT)终端上报业务数据时，需要先完成信令消息中的附着请求，附着成功接入到网络后，才可以正常发送业务数据。NB终端附着请求标准信令流程如图1所示。

上报过程话单，是以Attach Request消息作为xDR生成的开始标志，以AttachComplete或Attach Reject作为主事务的xDR结束标志，通过各接口信令消息中携带的IMSI、S1AP-ID、TE-ID等信元，将信令消息的数据关联在一起，输出一条xDR数据记录。

各网络接口及信令消息对应如下：

S1MME接口包含Attach Request、Authentication Request、Security ModeCommand等；

S6a接口包含Update Location Request、Authentication Information Request等；

S10/S11接口包含Create Session Request、Modify Request等；

S5/S8接口包含Create Session Request、Modify Request等。

从NB附着流程图中可看出，从Attach Request消息开始，至Attach Complete消息结束，整个过程设计多个接口和信令消息，因此从收到第一个Attach Request消息开始，需在内存中开辟“过程信息”消息列表进行等待，当采集程序检测到第二条可关联的消息时，加入此消息列表中，依次类推，直到检测到Attach Complete消息(流程结束并成功的标志)或Attach Reject消息(流程结束并失败的标志)或消息列表等待超时后，此消息在内存队列中判定为完成，并输出一条xDR话单。需设置“过程信息”消息列表队列，以满足实际操作中，并发多个Attach Request消息的情况。

在实际流量接入过程中，由于分流器配置规则、流量跨机房、跨网元、设备收发流量规则等原因，同一流程的不同接口流量经常不是按上图中的规范顺序到达采集设备，即：后一条信令消息优先到达采集程序。为解决这一问题，需在内存中设置“等待队列”空间，部分信令消息到达采集程序后，若无法匹配到其上一条信令消息，进入“等待队列”，待其可关联到的上一条消息到达，并进入“过程信息”列表后，将此条消息移出“等待队列”，加入“过程信息”列表，并对此条消息的开始时间进行修正，以保证输出的xDR时间戳在正常时间范围内。

2)下控过程话单

NB终端接收企业侧或IoT平台下发的指令数据时，若处于Idle状态，网络侧需寻呼终端，待终端重新与网络恢复连接且处于Connect状态时，将下发的指令数据发送给终端。NB终端在Idle态接收数据的信令流程如图2所示。

下控过程话单，是以S5/S8接口用户面数据消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为主事务的结束标志，通过各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti、五元组等信元，将用户面消息和信令面消息的数据关联在一起，输出一条xDR数据记录。

各网络接口及消息对应如下：

S5/S8接口包含GTP-U(用户面)协议中的下行(企业服务器至终端的数据方向)数据消息，GTP-C(信令面)协议中的Modify Bearer Request等。

S10/S11接口包含Downlike Data Notification(以下简称DDN)、Modify Bearer等。

S1MME接口包含Paging、Service Request等。

下控过程话单在输出时，除了会遇到上报话单相同的问题外，还需处理用户面与信令面消息关联的问题。在实际操作中，下行用户面数据量很大，部分省份下行流量可达到100Gbps以上，若全部处理会大大增加用户投资规模，所以为了增加程序处理性能，减少设备资源投入，不能记录全部的数据。当下行用户面数据到达SGW时，只有终端UE处于Idle或Detach状态时，SGW才会发送Downlike Data Notification消息通知MME，所以只记录会触发DDN消息的数据即可。

对于如何判断终端目前是否处于Idle或Detach状态，在本发明用UE ContextRelease和Detach这两个信令消息判断终端上一次业务完成后的状态并进行记录，若终端最后发送这两条消息，则必定进入Idle和Detach状态，否则终端处于连接状态。将终端当前状态记录后，在采集程序收到下行用户面数据时，首先匹配终端状态，若处于Idle或Detach状态，则触发下行过程话单开始流程，此条用户面数据进入“过程信息”列表，等待后续信令消息到达。

本发明使用TE-ID将下行用户面数据和信令面DDN消息进行关联，使用TE-ID和S1AP-ID将S5/S8接口信令消息与S10/S11口信令消息关联，再使用S1AP-ID将S1MME接口与S10/S11接口进行关联。达到多接口用户面与信令面数据生成一条完成的xDR记录的目的。

此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1:

本发明实施例1提供了一种基于DPI的NB-IoT终端故障定位方法，包括上报过程话单的DPI数据的整理和下控过程话单的DPI数据的整理，其中，上报过程话单的DPI数据的整理，如图3所示，具体包括：

在步骤101中，以Attach Request消息作为xDR生成的开始标志，以AttachComplete或Attach Reject作为xDR生成的结束标志的主事务，通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录。

所述下控过程话单的DPI数据的整理具体包括：

在步骤102中，以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事务，根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录。

在步骤103中，根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障。

本发明中信令过程信息是指物联网终端，在上报业务数据、被企业或IOT平台下发控制指令(简称下控)、上报业务后释放连接等行为时，产生的多个接口的主要信令流程关联为一条完整的信令过程记录。该方法通过信令过程记录，定位NB-IoT类型终端与服务端交互过程中的故障环节，结合信令响应消息，确认故障问题原因，为用户线上问题识别及线下故障解决提供技术支撑。

在本发明实施例中，所述以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事，具体包括：

根据NB-IoT终端所发出的Context Release消息和/或Detach消息，确定NB-IoT终端目前是否处于Idle或Detach状态；

DPI设备在确定NB-IoT终端目前处于Idle或Detach状态时，获取SGW向MME发送的DDN消息，从而保证DPI设备只记录触发DDN消息情况下的，且以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事。

在本发明实施例中，所述通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录，具体包括：

在内存中设置等待队列存储空间，信令消息先后抵达DPI设备后，若出现信令消息A无法匹配到其上一条信令消息B，则将当前获取到的信令消息A存入所述等待队列中，待可关联到的上一条消息B的信令消息C抵达，并进入过程信息列表后，从等待队列中将信令消息A取出，进一步与所述信令消息C进行关联分析，若关联成功则架构所述信令消息A添加到过程信息列表中，且为与所述信令消息C之后，并根据所述信令消息C的开始时间，对所述信令消息A的开始时间进行修正，以保证输出的xDR时间戳在正常时间范围内；

其中，所述过程信令列表在搜集到以Attach Request消息作为xDR生成的开始标志，以Attach Complete或Attach Reject作为主事务的xDR结束标志的信令消息后，用于生成所述第一xDR数据记录。

在本发明实施例中，所述根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录，具体包括：

使用TE-ID将下行用户面数据和信令面DDN消息进行关联，使用TE-ID和S1AP-ID将S5/S8接口信令消息与S10/S11口信令消息关联，使用S1AP-ID将S1MME接口与S10/S11接口进行关联。

在本发明实施例中，所述根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障，具体包括：

对于接口S1MME、S6a、S10和S11，对于其出现的错误码预先定义其问题环节是网络接入环节或者业务接入环节；

其中，在网络接入环节中，终端原因包括：非允许区域内使用、终端版本或模组问题、用户为非法用户、用户鉴权不通过、机卡分离、终端版本/模组问题、非允许区域内使用和未在HSS上开户/已销号中的一种或者多种；核心网原因包括：用户停机和AAA服务器分配用户IP失败；无线原因包括基站弱覆盖或板卡故障，造成空口信令失丢失，导致终端/网络侧没收到信令消息；相应的接口、错误码、错误描述、结论和定段关系呈现如下：

其中，在业务接入环节中，使用业务接入信息进行故障分析，将故障终端的业务数据与终端特征分析中的结论进行匹配，如图4所示，终端特征分析中的结论包括：网络侧安全、网络侧接入、网络侧建立链接、业务侧网络安全、业务侧接入异常、业务侧企业服务异常、终端异常和业务不适用终端一项或者多项。

当故障NB终端符合正常行为特征时，我们使用CoAP协议的请求响应码判断故障原因，判断规则如下：

业务服务原因

请求方向为上行，即：终端发起请求，失败响应码>＝5.00或请求超时。

请求方向为下行，即：服务端发起请求，5.00<＝失败响应码>＝4.00

以上条件是或的关系，输出的结论示例如下：

业务成功率为XX％，服务器问题造成终端上报业务失败，失败响应码：【5.00】Internal Server Error服务器内部错误。

业务成功率为XX％，服务器请求错误造成下控终端业务失败，失败响应码：【4.00】Bad Request请求错误。

终端原因

请求方向为上行，即：终端发起请求，5.00<＝失败响应码>＝4.00

请求方向为下行，即：服务端发起请求，失败响应码>＝5.00或若请求超时。

以上条件是或的关系，输出的结论示例如下：

业务成功率为XX％，终端侧请求错误造成终端上报业务失败，失败响应码：【4.00】Bad Request请求错误。

业务成功率为XX％，终端侧问题造成下控终端业务失败，失败响应码：【5.00】Internal Server Error服务器内部错误。

实施例2：

在本发明实施例中，在网络侧安全具体表现为信令风暴时，所述方法还包括：在S1-MME、S10、S11和S6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，如图5所示，包括：

在步骤201中，根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密。

在步骤202中，统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分。

在步骤203中，根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。

本发明实施例在物联网核心侧S1-MME、S6a、S11、S10接口插入监测探针，采集并解析这些接口正常的信令消息，建立物联网信令风暴攻击识别模型，该算法模型原理主要是自学习网元、物联网企业平台、区域、基站、消息类型、物联网终端等维度的S1-MME接口附着、激活、鉴权、切换消息数量来设定合理的阈值，实时精确地检测物联网络中的信令风暴安全事件。

如图6所示，针对本发明实施例1中所涉及的所述根据获取S10、S11、S6a接口的参数来对S1-MME接口的NAS消息解密，提供了一种具体的实现方式，包括：

在步骤301中，在S6a接口的Diameter协议中的AIR消息和AIA消息中提取IMSI、AUTN、KASME，并建立IMSI和AUTN的第一关联关系。

在步骤302中，建立解密所需的第二关联结构，所述第二关联结构包括：AUTN、XRES、RAND、KASME、加密标识、完整保护算法标识、上行计数和下行计数。

在步骤303中，从Authentication request消息中提取AUTN，并与MMEID和ENBID建立第三关联关系。

在步骤304中，提取EPS integrity algorithm信息，并与所述MMEID、所述ENBID和所述第三关联关系，更新所述加密标识。

在步骤305中，通过MMEID、ENBID和加密的NAS消息，计算出AUTN，并通过计算出的AUTN在第二关联结构中找到相应KASME。

在步骤306中，根据KASME推导KNASME，进一步完成NAS消息解密。

进一步的，针对本发明实施例1中步骤202的评分过程，在本发明优选的实现方案，提供了一种全面考虑到各维度后的评分机制，具体的，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：

统计时间区间内MME网元/eNB基站/区域/终端的流量值，判断超过预设的第I低阈值、预设的第I中阈值或者预设的第I高阈值，并根据超过预设的第I低阈值、预设的第I中阈值和预设的第I高阈值分别给予20、15和10的评分；其中，流量值超过预设的第I低阈值便认为出现异常流量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息(即附着消息)条数，判断超过预设的第II低阈值、预设的第II中阈值或者预设的第II高阈值，并根据超过预设的第II低阈值、预设的第II中阈值和预设的第II高阈值分别给予10、7和4的评分；其中，Attach消息条数超过预设的第II低阈值便认为出现附着消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息(即鉴权消息)条数，判断超过预设的第III低阈值、预设的第III中阈值或者预设的第III高阈值，并根据超过预设的第III低阈值、预设的第III中阈值和预设的第III高阈值分别给予10、7和4的评分；其中，Authentication消息条数超过预设的第III低阈值便认为出现鉴权消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息(对应激活消息)条数，判断超过预设的第IV低阈值、预设的第IV中阈值或者预设的第IV高阈值，并根据超过预设的第IV低阈值、预设的第IV中阈值和预设的第IV高阈值分别给予10、7和4的评分；其中，E-RAB Setup和Dedicated EPSBearer Context Activation消息条数超过预设的第IV低阈值便认为出现激活消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息(即切换消息)条数，判断超过预设的第V低阈值、预设的第V中阈值或者预设的第V高阈值，并根据超过预设的第V低阈值、预设的第V中阈值和预设的第V高阈值分别给予10、7和4的评分；其中，S1切出和S1切入消息条数超过预设的第V低阈值便认为出现切换消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条数，判断超过预设的第VI低阈值、预设的第VI中阈值或者预设的第VI高阈值，并根据超过预设的第VI低阈值、预设的第VI中阈值和预设的第VI高阈值分别给予10、7和4的评分；其中，Paging消息条数超过预设的第VI低阈值便认为出现寻呼消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息的成功率，判断超过预设的第VII低阈值、预设的第VII中阈值或者预设的第VII高阈值，并根据超过预设的第VII低阈值、预设的第VII中阈值和预设的第VII高阈值分别给予6、4和2的评分；其中，Attach消息的成功率超过预设的第VII低阈值便认为出现附着成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息的成功率，判断超过预设的第VIII低阈值、预设的第VIII中阈值或者预设的第VIII高阈值，并根据超过预设的第VIII低阈值、预设的第VIII中阈值和预设的第VIII高阈值分别给予6、4和2的评分；其中，Authentication消息的成功率超过预设的第VIII低阈值便认为出现鉴权成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息的成功率，判断超过预设的第IX低阈值、预设的第IX中阈值或者预设的第IX高阈值，并根据超过预设的第IX低阈值、预设的第IX中阈值和预设的第IX高阈值分别给予6、4和2的评分；其中，E-RAB Setup和Dedicated EPS Bearer ContextActivation消息的成功率超过预设的第IX低阈值便认为出现激活成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息的成功率，判断超过预设的第X低阈值、预设的第X中阈值或者预设的第X高阈值，并根据超过预设的第X低阈值、预设的第X中阈值和预设的第X高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第X低阈值便认为出现切换成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息的成功率(即寻呼成功率)，判断超过预设的第XI低阈值、预设的第XI中阈值或者预设的第XI高阈值，并根据超过预设的第XI低阈值、预设的第XI中阈值和预设的第XI高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第XI低阈值便认为出现寻呼成功率异常量；

其中，各项的合计总评分sum>＝80表明S1-MME接口是否遭受到信令风暴攻击程度为高；65<＝sum<80表明S1-MME接口是否遭受到信令风暴攻击程度为中；sum<65表明S1-MME接口是否遭受到信令风暴攻击程度为低。

其中，涉及的每一组低阈值、中阈值和高阈值，是通过机器学习的方法获得的一个动态值，是一个相对值。对于本发明实施例还提供了一种可选的配值方式，所述高阈值：大于动态基线值的30％；中阈值：大于动态基线值的10％；低阈值：等于动态基线值。除此以外，低阈值的确定方式还可以采用后面实施例2中所介绍的方式，具体详见本发明实施例2中相关确认信令风暴的描述内容。

对于上述的评分机制，用以下表1直观的进行表现，如下：

表1：

本发明实施例所提出的多维度打分的方式，能够将信令风暴对架构的影响进行直观的表现，能够起到更高容错性，避免因为个别节点自身计算资源不够用造成的数据拥塞，所引发的误报。如图7所示，为本发明实施例以一个较为完整的过程，将对S1-MME接口的NAS消息解密得到XDR日志，以及根据XDR日志分析得到信令风暴类型的关系流程图。

在本发明实施例中，所述统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数、统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPS BearerContext Activation消息条数、统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条，具体包括：

通过对NAS消息解密，并根据解密获得内容生成S1-MME接口的XDR日志，根据XDR日志中Procedure Type字段所包含的参数为Attach、Authentication、E-RAB Setup、Dedicated EPS Bearer Context Activation、S1切出、S1切入或者Paging进行识别；

并且，所述XDR日志中还携带业务流开始时间和业务流结束时间，用于为所述统计时间区间提供依据。

在本发明实施例中，还提供了一典型的XDR日志结构，其中，S1-MME接口XDR List如下表2所示：

表2：

进一步的，通过对NAS消息解密，并根据解密获得内容生成S1-MME接口的XDR日志，其中，所述XDR日志中携带Machine IP TYPE字段、MME IP Addr字段、eNB IP Addr字段、eNBID字段、TAI字段、ECGI字段、Cell ID字段、IMSI字段、IMEI字段、MSISDN字段中的一个或者多个；

其中，Machine IP TYPE字段和/或MME IP Addr字段用于识别MME网元；eNB IPAddr字段和/或eNB ID字段用于识别eNB基站；TAI字段、ECGI字段和/或Cell ID字段用于识别区域；IMSI字段、IMEI字段或MSISDN字段用于识别终端。

除此以外，所述附着成功率、鉴权成功率、激活成功率、切换成功率、寻呼成功率，具体通过对NAS消息解密，并根据解密获得内容生成S1-MME接口的XDR日志中携带的Status字段进行确定相应消息是否成功，并通过各自成功的消息数量除以各自总的消息数量得到相应成功率(如上表1所示)。

在本发明实施例中，为了达到更精准的信令风暴识别，对于所述S1-MME接口遭受到信令风暴攻击，还做了进一步的细化处理，具体表现为：

激活消息数量异常量，具体包括：

缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、NB-IoT缺省承载激活信令风暴、NB-IoT缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、APN的专用承载激活请求信令风暴、MS激活会话请求信令风暴中的一种或者多种；

切换消息数量异常量，具体包括：MME间切换出尝试信令风暴和MME间切换入尝试信令风暴。

其中，具体为所述附着信令风暴、缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、NB-IoT缺省承载激活信令风暴、NB-IoT缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、APN的专用承载激活请求信令风暴、MS激活会话请求信令风暴、寻呼请求信令风暴、MME间切换出尝试信令风暴、MME间切换入尝试信令风暴，是根据构成总分的各子项的评分高低进行确定。例如：在总分达到了信令风暴范畴，进一步去分析各子项的评分，若子项的评分进一步满足达到相应高阈值，则信令风暴的类型便可归属为对应上述主题的信令风暴类型。

在本发明实施例中，信令风暴类型还包括：

跟踪区更新请求信令风暴、NB-IoT MME内跟踪区更新请求信令风暴、跟踪区更新请求信令风暴。

实施例3：

如图8所示，是本发明实施例的基于DPI的NB-IoT终端故障定位装置的架构示意图。本实施例的基于DPI的NB-IoT终端故障定位装置包括一个或多个处理器21以及存储器22。其中，图8中以一个处理器21为例。

处理器21和存储器22可以通过总线或者其他方式连接，图8中以通过总线连接为例。

存储器22作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序和非易失性计算机可执行程序，如实施例1中的基于DPI的NB-IoT终端故障定位方法。处理器21通过运行存储在存储器22中的非易失性软件程序和指令，从而执行基于DPI的NB-IoT终端故障定位方法。

存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器22可选包括相对于处理器21远程设置的存储器，这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述程序指令/模块存储在所述存储器22中，当被所述一个或者多个处理器21执行时，执行上述实施例1中的基于DPI的NB-IoT终端故障定位方法，例如，执行以上描述的图3、图5和图6所示的各个步骤。

值得说明的是，上述装置和系统内的模块、单元之间的信息交互、执行过程等内容，由于与本发明的处理方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random AccessMemory)、磁盘或光盘等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于DPI的NB-IoT终端故障定位方法，其特征在于，包括上报过程话单的DPI数据的整理和下控过程话单的DPI数据的整理，其中，上报过程话单的DPI数据的整理具体包括：

以Attach Request消息作为xDR生成的开始标志，以Attach Complete或AttachReject作为xDR生成的结束标志的主事务，通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录；

所述下控过程话单的DPI数据的整理具体包括：

以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink DataNotification Failure作为xDR生成的结束标志的主事务，根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录；

根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障。

2.根据权利要求1所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，所述以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink DataNotification Failure作为xDR生成的结束标志的主事，具体包括：

根据NB-IoT终端所发出的Context Release消息和/或Detach消息，确定NB-IoT终端目前是否处于Idle或Detach状态；

DPI设备在确定NB-IoT终端目前处于Idle或Detach状态时，获取SGW向MME发送的DDN消息，从而保证DPI设备只记录触发DDN消息情况下的，且以Downlink data消息作为xDR生成的开始标志，以Service Accept或Downlink Data Notification Failure作为xDR生成的结束标志的主事。

3.根据权利要求1所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，所述通过各接口信令消息中携带的IMSI、S1AP-ID和TE-ID信元，将信令消息的数据关联在一起，输出第一条xDR数据记录，具体包括：

在内存中设置等待队列存储空间，信令消息先后抵达DPI设备后，若出现信令消息A无法匹配到其上一条信令消息B，则将当前获取到的信令消息A存入所述等待队列中，待可关联到的上一条消息B的信令消息C抵达，并进入过程信息列表后，从等待队列中将信令消息A取出，进一步与所述信令消息C进行关联分析，若关联成功则架构所述信令消息A添加到过程信息列表中，且为与所述信令消息C之后，并根据所述信令消息C的开始时间，对所述信令消息A的开始时间进行修正，以保证输出的xDR时间戳在正常时间范围内；

其中，所述过程信令列表在搜集到以Attach Request消息作为xDR生成的开始标志，以Attach Complete或Attach Reject作为主事务的xDR结束标志的信令消息后，用于生成所述第一xDR数据记录。

4.根据权利要求1所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，所述根据各接口信令消息中携带的IMSI、S1AP-ID、TE-ID、Guti和五元组信元，将用户面消息和信令面消息的数据关联在一起，输出第二条xDR数据记录，具体包括：

使用TE-ID将下行用户面数据和信令面DDN消息进行关联，使用TE-ID和S1AP-ID将S5/S8接口信令消息与S10/S11口信令消息关联，使用S1AP-ID将S1MME接口与S10/S11接口进行关联。

5.根据权利要求1-4任一所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，所述根据所述第一条xDR数据记录和第二条xDR数据记录，分析NB-IoT终端的故障，具体包括：

对于接口S1MME、S6a、S10和S11，对于其出现的错误码预先定义其问题环节是网络接入环节或者业务接入环节；

其中，在网络接入环节中，终端原因包括：非允许区域内使用、终端版本或模组问题、用户为非法用户、用户鉴权不通过、机卡分离、终端版本/模组问题、非允许区域内使用和未在HSS上开户/已销号中的一种或者多种；核心网原因包括：用户停机和AAA服务器分配用户IP失败；无线原因包括基站弱覆盖或板卡故障，造成空口信令失丢失，导致终端/网络侧没收到信令消息；

其中，在业务接入环节中，使用业务接入信息进行故障分析，将故障终端的业务数据与终端特征分析中的结论进行匹配，其中，终端特征分析中的结论包括：网络侧安全、网络侧接入、网络侧建立链接、业务侧网络安全、业务侧接入异常、业务侧企业服务异常、终端异常和业务不适用终端一项或者多项。

6.根据权利要求5所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，在网络侧安全具体表现为信令风暴时，所述方法还包括：

根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密；

统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；

根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。

7.根据权利要求6所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，根据权利要求1所述的物联网信令风暴攻击检测的方法，其特征在于，所述根据获取S10、S11、S6a接口的参数来对S1-MME接口的NAS消息解密，具体包括：

在S6a接口的Diameter协议中的AIR消息和AIA消息中提取IMSI、AUTN、KASME，并建立IMSI和AUTN的第一关联关系；

建立解密所需的第二关联结构，所述第二关联结构包括：AUTN、XRES、RAND、KASME、加密标识、完整保护算法标识、上行计数和下行计数；

从Authentication request消息中提取AUTN，并与MMEID和ENBID建立第三关联关系；

提取EPS integrity algorithm信息，并与所述MMEID、所述ENBID和所述第三关联关系，更新所述加密标识；

通过MMEID、ENBID和加密的NAS消息，计算出AUTN，并通过计算出的AUTN在第二关联结构中找到相应KASME；

根据KASME推导KNASME，进一步完成NAS消息解密。

8.根据权利要求6所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，其特征在于，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：

统计时间区间内MME网元/eNB基站/区域/终端的流量值，判断超过预设的第I低阈值、预设的第I中阈值或者预设的第I高阈值，并根据超过预设的第I低阈值、预设的第I中阈值和预设的第I高阈值分别给予20、15和10的评分；其中，流量值超过预设的第I低阈值便认为出现异常流量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数，判断超过预设的第II低阈值、预设的第II中阈值或者预设的第II高阈值，并根据超过预设的第II低阈值、预设的第II中阈值和预设的第II高阈值分别给予10、7和4的评分；其中，Attach消息条数超过预设的第II低阈值便认为出现附着消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数，判断超过预设的第III低阈值、预设的第III中阈值或者预设的第III高阈值，并根据超过预设的第III低阈值、预设的第III中阈值和预设的第III高阈值分别给予10、7和4的评分；其中，Authentication消息条数超过预设的第III低阈值便认为出现鉴权消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息条数，判断超过预设的第IV低阈值、预设的第IV中阈值或者预设的第IV高阈值，并根据超过预设的第IV低阈值、预设的第IV中阈值和预设的第IV高阈值分别给予10、7和4的评分；其中，E-RAB Setup和Dedicated EPS Bearer ContextActivation消息条数超过预设的第IV低阈值便认为出现激活消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数，判断超过预设的第V低阈值、预设的第V中阈值或者预设的第V高阈值，并根据超过预设的第V低阈值、预设的第V中阈值和预设的第V高阈值分别给予10、7和4的评分；其中，S1切出和S1切入消息条数超过预设的第V低阈值便认为出现切换消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条数，判断超过预设的第VI低阈值、预设的第VI中阈值或者预设的第VI高阈值，并根据超过预设的第VI低阈值、预设的第VI中阈值和预设的第VI高阈值分别给予10、7和4的评分；其中，Paging消息条数超过预设的第VI低阈值便认为出现寻呼消息异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Attach消息的成功率，判断超过预设的第VII低阈值、预设的第VII中阈值或者预设的第VII高阈值，并根据超过预设的第VII低阈值、预设的第VII中阈值和预设的第VII高阈值分别给予6、4和2的评分；其中，Attach消息的成功率超过预设的第VII低阈值便认为出现附着成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息的成功率，判断超过预设的第VIII低阈值、预设的第VIII中阈值或者预设的第VIII高阈值，并根据超过预设的第VIII低阈值、预设的第VIII中阈值和预设的第VIII高阈值分别给予6、4和2的评分；其中，Authentication消息的成功率超过预设的第VIII低阈值便认为出现鉴权成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPSBearer Context Activation消息的成功率，判断超过预设的第IX低阈值、预设的第IX中阈值或者预设的第IX高阈值，并根据超过预设的第IX低阈值、预设的第IX中阈值和预设的第IX高阈值分别给予6、4和2的评分；其中，E-RAB Setup和Dedicated EPS Bearer ContextActivation消息的成功率超过预设的第IX低阈值便认为出现激活成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息的成功率，判断超过预设的第X低阈值、预设的第X中阈值或者预设的第X高阈值，并根据超过预设的第X低阈值、预设的第X中阈值和预设的第X高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第X低阈值便认为出现切换成功率异常量；

统计时间区间内MME网元/eNB基站/区域/终端的Paging消息的成功率，判断超过预设的第XI低阈值、预设的第XI中阈值或者预设的第XI高阈值，并根据超过预设的第XI低阈值、预设的第XI中阈值和预设的第XI高阈值分别给予6、4和2的评分；其中，S1切出和S1切入消息的成功率超过预设的第XI低阈值便认为出现寻呼成功率异常量；

其中，各项的合计总评分sum>＝80表明S1-MME接口是否遭受到信令风暴攻击程度为高；65<＝sum<80表明S1-MME接口是否遭受到信令风暴攻击程度为中；sum<65表明S1-MME接口是否遭受到信令风暴攻击程度为低。

9.根据权利要求8所述的基于DPI的NB-IoT终端故障定位方法，其特征在于，所述统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数、统计时间区间内MME网元/eNB基站/区域/终端的E-RAB Setup和Dedicated EPS Bearer Context Activation消息条数、统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数、统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条，具体包括：

通过对NAS消息解密，并根据解密获得内容生成S1-MME接口的XDR日志，根据XDR日志中Procedure Type字段所包含的参数为Attach、Authentication、E-RAB Setup、DedicatedEPS Bearer Context Activation、S1切出、S1切入或者Paging进行识别；

并且，所述XDR日志中还携带业务流开始时间和业务流结束时间，用于为所述统计时间区间提供依据。

10.一种基于DPI的NB-IoT终端故障定位装置，其特征在于，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，用于执行权利要求1-9任一所述的基于DPI的NB-IoT终端故障定位方法。

Images