CN113225339B - 网络安全监测方法、装置、计算机设备及存储介质 - Google Patents
网络安全监测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113225339B CN113225339B CN202110494994.7A CN202110494994A CN113225339B CN 113225339 B CN113225339 B CN 113225339B CN 202110494994 A CN202110494994 A CN 202110494994A CN 113225339 B CN113225339 B CN 113225339B
- Authority
- CN
- China
- Prior art keywords
- signaling
- interface
- target
- data
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明实施例公开了一种网络安全监测方法、装置、设备及存储介质。其中,方法包括:实时采集目标网络的全接口信令流量数据;分别对各时刻采集到的全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;根据信令话单日志确定目标网络的实时监测参考数据;根据实时监测参考数据,在实时采集的全接口信令流量数据中监测异常场景流量数据。本发明实施例可以实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种网络安全监测方法、装置、计算机设备及存储介质。
背景技术
随着通信技术的发展,通信网络安全成为不可忽视的问题。尤其是近年来,随着5G(5th-Generation,第五代移动通信技术)网络的建设商用,5GC(5th-Generation Core,第五代移动通信技术核心网)网元虚拟化及能力开放特性,导致网络安全面临新的风险,包括信令安全、用户访问安全及网络部署环境的云安全问题。
在现有技术中,对信令安全的监测通常是基于网元级别的统计指标进行响应分析的,但是该方案有如下缺点:其一,统计指标基于核心网元,按照一定时间粒度进行统计并输出到集中网管,通常有5~60分钟延迟,无法做到实时监控;其二,网络中的设备通常由多家厂商提供,无法做到全网网元间的关联分析;其三,网元不具备信令存储的功能,所以无法对已经发生过的事件进行信令溯源,分析问题的根因非常困难。
发明内容
本发明实施例提供一种网络安全监测方法、装置、计算机设备及存储介质,以实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获。
第一方面,本发明实施例提供了一种网络安全监测方法,包括:
实时采集目标网络的全接口信令流量数据;
分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;
根据所述信令话单日志确定所述目标网络的实时监测参考数据;
根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
第二方面,本发明实施例还提供了一种网络安全监测装置,包括:
流量采集模块,用于实时采集目标网络的全接口信令流量数据;
日志生成模块,用于分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;
参考确定模块,用于根据所述信令话单日志确定所述目标网络的实时监测参考数据;
异常监测模块,用于根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
第三方面,本发明实施例还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所提供的网络安全监测方法。
第四方面,本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所提供的网络安全监测方法。
本发明实施例通过实时采集目标网络的全接口信令流量数据,从而生成各类型接口的信令话单日志,根据信令话单日志得到目标网络的实时监测参考数据,以根据实时监测参考数据对目标网络的全接口信令流量数据进行实时安全监测,从而定位到异常场景流量数据,实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获。
附图说明
图1为本发明实施例一提供的一种网络安全监测方法的流程图。
图2为本发明实施例二提供的一种网络安全监测方法的流程图。
图3为本发明实施例二提供的一种对全接口信令流量数据进行字段提取处理的流程示意图。
图4为本发明实施例三提供的一种网络安全监测装置的结构示意图。
图5为本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1是本发明实施例一提供的一种网络安全监测方法的流程图,本实施例可适用于对通信网络进行信令安全实时监测的情况,该方法可以由本发明实施例提供的网络安全监测装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在计算机设备中。相应的,如图1所示,该方法包括如下操作:
S110、实时采集目标网络的全接口信令流量数据。
其中,目标网络可以是需要进行信令安全监测的通信网络。全接口信令流量数据可以包括目标网络中的各个接口传输信令时产生的流量数据。
相应的,在目标网络的通信过程中可以进行信令传输,目标网络的各个接口传输信令时则可以产生流量数据,则可以对目标网络的全接口信令流量数据进行实时采集。
示例性的,目标网络可以是5GC网络,可以通过在5GC网络中部署流量采集探针,通过流量采集探针实时采集该5GC网络的全接口信令流量数据。
S120、分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志。
其中,字段提取处理可以是在全接口信令流量数据中获取需要的数据的操作。字段提取处理结果可以是通过字段提取处理,在全接口信令流量数据中获取到的数据。各类型接口可以包括目标网络中的各个接口。信令话单日志可以是记录在全接口信令流量数据的采集期间,各类型接口各自的信令传输情况的数据。
相应的,在对全接口信令流量数据进行采集的一段时间内,每次采集到全接口信令流量数据后,可以对其进行字段提取处理,得到的字段提取处理结果中可以包括任意需要的数据,可以是描述信令传输情况的数据。具体的,全接口信令流量数据中包括分别由各类型接口传输信令所产生的流量数据,则任意时刻采集的全接口信令流量数据对应的字段提取处理结果中,可以包括分别描述各类型接口在该时刻下的信令传输情况的数据。
进一步的,在各时刻采集的全接口信令流量数据对应的字段提取处理结果中,则可以包括分别描述各类型接口在该采集期间的各时刻下的信令传输情况的数据。根据字段提取处理结果分别生成各类型接口的信令话单日志,则任意类型接口的信令话单日志可以记录在全接口信令流量数据的采集期间,该类型接口的信令传输情况。
示例性的,对于目标网络为5GC网络,各类型接口可以包括N1接口、N2接口、N4接口、N5接口、N7接口、N8接口、N10接口、N11接口、N12接口、N14接口、N15接口、N16接口、N20接口、N21接口、N22接口、N24接口、N26接口、N28接口以及N40接口,则全接口信令流量数据中可以包括上述全部接口传输信令所产生的流量数据。对任意时段内的各时刻在5GC网络中采集到的全接口信令流量数据进行字段提取处理,例如可以是从中解析出上述各接口在该时刻的信令流量大小,则生成的信令话单日志中可以包括在该时段内各接口的信令流量情况。
S130、根据所述信令话单日志确定所述目标网络的实时监测参考数据。
其中,实时监测参考数据可以是用于描述各类型接口各自在网络安全环境下的各时刻的信令传输情况的数据。
相应的,信令话单日志记录了在全接口信令流量数据的采集期间,各类型接口各自的信令传输情况,在该采集期间可以包括目标网络处于安全环境的多个时刻,和/或时间段。因此,可以在信令话单日志中获取目标网络处于安全环境的时刻下,各类型接口各自的信令传输情况,从而获取用于描述该信令传输情况的数据,作为实时监测参考数据。
可选的,可以根据信令话单日志确定各类型接口在目标网络处于安全环境时各自的信令传输情况的规律性,根据该规律性可以预测出未来各时刻下,在目标网络均处于安全环境的情况下,各类型接口的信令传输情况,从而得到描述该情况的实时监测参考数据。
S140、根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
其中,异常场景流量数据可以是任意接口处于目标网络异常环境下传输信令时产生的流量数据。
相应的,由于实时监测参考数据可以描述各类型接口各自在网络安全环境下的各时刻的信令传输情况的数据,则任意接口处于目标网络异常环境下传输信令时,描述其信令传输情况的数据与实时监测参考数据之间会存在明显差异。因此,根据实时采集的全接口信令流量数据,可以得到描述各类型接口实时信令传输情况的数据,根据得到的该数据与实时监测参考数据,则可以确定全接口信令流量数据中的异常场景流量数据。进一步的,可以根据监测到的异常场景流量数据确定当前发生的异常事件以及情况,以进行网络安全分析。
可选的,在分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志之后,还包括:将全接口信令流量数据进行存储,例如可以是将全量PCAP包进行存储;相应的,在实时采集的所述全接口信令流量数据中监测异常场景流量数据,可以包括:获取存储的全接口信令流量数据,和/或获取其中的异常场景流量数据,以根据原始码流对异常事件溯源,为根因分析提供数据基础。
本发明实施例提供了一种网络安全监测方法,通过实时采集目标网络的全接口信令流量数据,从而生成各类型接口的信令话单日志,根据信令话单日志得到目标网络的实时监测参考数据,以根据实时监测参考数据对目标网络的全接口信令流量数据进行实时安全监测,从而定位到异常场景流量数据,实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获。
实施例二
图2为本发明实施例二提供的一种网络安全监测方法的流程图。本发明实施例以上述实施例为基础进行具体化,在本发明实施例中,给出了根据所述信令话单日志确定所述目标网络的实时监测参考数据的具体可选的实现方式。
如图2所示,本发明实施例的方法具体包括:
S210、实时采集目标网络的全接口信令流量数据。
S220、分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志。
在本发明的一个可选实施例中,对任一时刻采集到的所述全接口信令流量数据进行字段提取处理,可以包括:对所述全接口信令流量数据进行应用协议类型识别,并根据应用协议类型识别结果,确定所述全接口信令流量数据中的各类型接口信令流量数据;分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值;根据所述目标信令字段值分别生成所述各类型接口的当前时刻信令话单。
其中,应用协议类型识别可以是确定各类型接口传输信令从而生成信令流量数据时各自采用的协议类型的操作。应用协议类型识别结果可以是各类型接口传输信令从而生成信令流量数据时各自采用的协议类型。各类型接口信令流量数据可以是全接口信令流量数据中的各部分信令流量数据,分别由各类型接口传输信令而生成。对应类型协议解析处理可以是根据各类型接口信令流量数据对应的协议类型确定的解析操作,可以是分别对各类型接口信令流量数据进行解析的操作。目标信令字段值可以是用于描述各类型接口的信令传输情况的任意数据,可以根据需要确定。当前时刻信令话单可以是分别用于描述当前时刻的各类型接口的信令传输情况的话单数据,分别包括各类型接口对应的目标信令字段值。
相应的,目标网络中的各类型接口采用不同类型的应用协议进行信令传输,且在各类型接口传输信令所生产的信令流量数据中可以识别出其各自对应的协议类型。因此,针对任意时刻采集到的全接口信令流量数据,可以进行应用协议类型识别,以识别其中分别对应于不同应用协议类型的各部分信令流量数据,根据各部分信令流量数据对应的应用协议类型则可以分别确定出各类型接口信令流量数据。
进一步的,采用不同类型应用协议进行信令传输所生成的信令流量数据需要根据不同的解析方法进行解析,则可以根据应用协议类型识别结果,对各类型接口信令流量数据进行对应类型协议解析处理。协议解析处理结果中可以包括任意用于描述对应类型接口的信令传输情况的数据,从中可以提取目标信令字段值,从而根据目标信令字段值生成该类型接口的当前时刻信令话单。
示例性的,图3为本发明实施例提供的一种对全接口信令流量数据进行字段提取处理的流程示意图。如图3所示,在一个具体的例子中,若目标网络为5GC网络,可以通过收包及分发,接收从采集解析模块发过来的原始码流,识别应用协议,并按协议把对应的原始码流分发给协议解码模块,内部接口;可以通过NAS(Non-Access Stratum,非接入层)解密,针对N1N2接口的NAS层消息进行解密,输出N1N2接口的NAS层消息;可以通过鉴权信息获取,通过对N12接口的解析,获取用于NAS解密的密钥信息;可以通过解压缩HTTP/2(Hyper TextTransfer Protocol,超文本传输协议第2版)头,通过对压缩的HTTP/2解压,获取准确的HTTP/2的URL(Uniform Resource Locator,统一资源定位符);可以通过SBA(ServiceBased Architecture,服务化架构)服务化解析模块,解析SBA服务,根据URL识别消息类型和判断接口;可以通过协议解码模块,根据协议栈类型进行协议解析,同时调用IPv4/IPv6(Internet Protocol version 4/Internet Protocol version 6,互联网协议第四版/第六版)识别模块,解析不同的协议类型;可以通过关联信息提取,提取各个接口的关键流程,用于关联回填,输出对应的话单字段;可以通过合成、关联回填,经过协议解码后,对信令业务流程进行合成,形成完整的业务流,并根据信令流程之间的关联ID(Identity,序列号)进行关联回填,以准确解析出相应的字段,请按接口规范提取字段值;可以通过对应的原始码流组装,根据协议类型、流程类型组装成各个接口完整的信令流程。
可选的,不同类型接口对应的目标信令字段值可以不同。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,不同类型接口对应的目标信令字段值:
相应的,所述分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值,可以包括:对第一目标类型接口信令流量数据进行对应类型协议解析处理,提取第一目标信令字段值。
其中,第一目标类型接口信令流量数据可以是N1接口或N2接口,需要解析的信令流程可以包括Registration(注册)、De-registration(注销)、Service Request(服务请求)、PDU Session Establishment(Protocol Data Unit Session Establishment,协议数据单元会话建立)、PDU Session Modification(协议数据单元会话修改)、PDU SessionRelease(协议数据单元会话释放)、N2 HO Out(N2 based handover out,基于N2接口的切换出)、N2 HO In(基于N2接口的切换入)、Xn HO(Xn based handover,基于Xn接口的切换)、UE Context Release(User Equipment Context Release,用户终端上下文释放)、UECapability Info Indication(用户终端能力信息指示),提取第一目标信令字段值包括上述信令流程涉及的所有有效信元。
相应的,所述分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值,可以包括:对第二目标类型接口信令流量数据进行对应类型协议解析处理,提取第二目标信令字段值。
其中,第二目标类型接口信令流量数据可以是N8接口,需要解析的信令流程可以包括Nudm_UECM_Registration(Nudm_UE Context Management_Registration,UDM用户上下文注册)、Nudm_UECM_Deregistration(UDM用户上下文注销)、Nudm_SDM_Get(Nudm_Subscriber Data Management_Get,获取UDM用户签约数据)、Nudm_SDM_Subscribe(订阅UDM用户签约数据)、Nudm_SDM_Unsubscribe(退定UDM用户签约数据),提取第二目标信令字段值包括上述信令流程涉及的所有有效信元,可选的,可以仅输出PLMN(Public LandMobile Network,公共陆地移动网络)不等于460xx的漫游话单。
相应的,所述分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值,可以包括:对第三目标类型接口信令流量数据进行对应类型协议解析处理,提取第三目标信令字段值。
其中,第三目标类型接口信令流量数据可以是N40接口,需要解析的信令流程可以包括Nchf_ConvergedCharging_Create(创建CHR融合计费)、Nchf_ConvergedCharging_Update(更新CHR融合计费)、Nchf_ConvergedCharging_Release(释放CHR融合计费),提取第三目标信令字段值包括上述信令流程涉及的所有有效信元。
相应的,所述分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值,可以包括:对非第一目标类型接口信令流量数据进行对应类型协议解析处理,提取非特定目标信令字段值。
其中,非第一目标类型接口信令流量数据可以是除N1接口和N2接口的各接口,非特定目标信令字段值可以包括对各接口的输出信令消息计数,输出粒度以网元或网元类型或IP地址(Internet Protocol Address,网际协议地址)为基本单位,包括各接口信令正常量和各接口信令异常量。其中,各接口信令正常量可以包括各接口信令总量、各接口正常信令数量、各接口信令流量大小、各接口信令最大瞬时流量;各接口信令异常量可以包括各接口失败信令数量、各接口异常协议信令数量、各接口异常服务信令数量、各接口异常格式信令数量、各接口异常方向信令数据。非特定目标信令字段值还可以包括异常消息或失败消息,异常消息可以包括异常协议、异常服务、异常格式和异常方向。
S230、根据所述信令话单日志确定所述目标网络的实时监测参考数据。
在本发明的一个可选实施例中,S230具体可以包括:
S231、分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量。
其中,历史目标信令量可以是用于描述各类型接口在对全接口信令流量数据进行采集期间的任意历史时间段内的信令传输情况的数据。
相应的,可以根据需要预先确定历史目标信令量的具体内容,以及历史目标信令量对应的历史时间段,从而分别在各类型接口的信令话单日志中获取对应的数据。
可选的,不同类型接口对应的历史目标信令量可以不同。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,不同类型接口对应的历史目标信令量:
相应的,所述分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量,可以包括:在第一目标类型接口的信令话单日志中,获取第一历史目标信令量。
其中,第一目标类型接口信令流量数据可以是N1接口或N2接口,第一历史目标信令量可以包括预设历史时间段的各时刻对应的话单中的Registration、De-registration、Service Request、PDU Session Establishment、PDU Session Release、UE ContextRelease。
相应的,所述分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量,可以包括:在第二目标类型接口的信令话单日志中,获取第二历史目标信令量。
其中,第二目标类型接口信令流量数据可以是N8接口,第二历史目标信令量可以包括预设历史时间段的各时刻对应的话单中的UECM_Registration、UECM_Deregistration、SDM_Get、SDM_Subscribe、SDM_Unsubscribe。
相应的,所述分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量,可以包括:在非第一目标类型接口的信令话单日志中,获取非特定历史目标信令量。
其中,非第一目标类型接口信令流量数据可以是除N1接口和N2接口的各接口,非特定历史目标信令量可以包括预设历史时间段的各时刻对应的话单中的各接口信令正常量和各接口信令异常。其中,各接口信令正常量可以包括各接口信令总量、各接口正常信令数量、各接口信令流量大小、各接口信令最大瞬时流量;各接口信令异常量可以包括各接口失败信令数量、各接口异常协议信令数量、各接口异常服务信令数量、各接口异常格式信令数量、各接口异常方向信令数据。
S232、根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据。
其中,目标信令态势数据可以是用于描述各类型接口的各历史目标信令量各自的变化趋势的数据。
相应的,针对任意类型接口,可以根据其对应的各历史目标信令量以及各历史目标信令量对应的各历史时刻,生成目标信令态势数据,以根据目标信令态势数据得到各历史目标信令量随时间变化的趋势。
可选的,根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据,可以包括将各历史目标信令量中的异常值进行剔除,根据剩余各历史目标信令量生成目标信令态势数据。
具体的,由于在对全接口信令流量数据的采集期间会存在特殊时段,例如节假日,则特殊时段下的历史目标信令量会对非特殊时段内的历史目标信令量的变化趋势的规律性造成影响。因此可以将异常值剔除,并根据异常值剔除后的剩余各历史目标信令量生成目标信令态势数据,则目标信令态势数据可以反映各历史目标信令量的随时间变化趋势。
进一步可选的,可以通过孤立森林算法获取各历史目标信令量中的异常值。
示例性的,可以对采集期间的周末和节假日进行标记,其中,节假日可以包括中国法定节假日,例如可以包括元旦、春节、清明节、劳动节、端午节、国庆节和中秋节,以及其他国家引入节日,例如可以包括圣诞节、情人节、感恩节、父亲节、母亲节、狂欢节和愚人节;通过孤立森林算法获取时期各历史目标信令量中的异常值并剔除。
可选的,根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据,可以包括将各历史目标信令量中的异常值进行剔除,通过z-score算法对剩余各历史目标信令量进行平滑处理,根据平滑处理后的各历史目标信令量生成目标信令态势曲线。
具体的,剔除异常值并通过z-score算法平滑处理后得到的各历史目标信令量,可以是具有周期性的平滑数据,则可以根据该数据生成目标信令态势曲线,以通过目标信令态势曲线反映各类型接口的各历史目标信令量的随时间变化趋势。
可选的,可以根据不同的统计维度生成所述各类型接口的目标信令态势数据。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,不同的统计维度生成所述各类型接口的目标信令态势数据:
相应的,根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据,可以包括:根据第一历史目标信令量,按照第一统计维度生成第一目标类型接口的目标信令态势数据。
其中,第一目标类型接口信令流量数据可以是N1接口或N2接口,第一维度可以包括UE(User Equipment,用户设备)级别、CI(Cell Identity,小区)级别、TAC(TrackingArea Code,跟踪区码)级别、AMF(Access and Mobility Management Function,接入和移动性管理功能)核心网级别和全网级别中的至少一种维度。
相应的,根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据,可以包括:根据第二历史目标信令量,按照第二统计维度生成第二目标类型接口的目标信令态势数据。
其中,第二目标类型接口信令流量数据可以是N8接口,第二维度可以包括AMF核心网级别和/或UE级别维度。
相应的,根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据,可以包括:根据非特定历史目标信令量,按照第三统计维度生成非第一目标类型接口的目标信令态势数据。
其中,非第一目标类型接口信令流量数据可以是除N1接口和N2接口的各接口,第三统计维度可以包括网元级别维度。
S233、根据所述目标信令态势数据,分别对所述各类型接口的目标信令量进行实时预测处理。
其中,目标信令量可以是用于描述各类型接口在目标网络处于安全环境的情况下,当前时刻的信令传输情况的数据。实时预测处理可以是对当前时刻下各类型接口的目标信令量的数值进行预测的操作。
相应的,目标信令态势数据反映的各类型接口的各历史目标信令量的随时间变化趋势,则可以认为在目标网络处于安全环境的情况下,目标信令量可以继续以目标信令态势数据反映的趋势随时间变化。因此,可以在任意时刻根据目标信令态势数据对目标信令量进行实时预测处理,得到在目标网络处于安全环境的情况下,当前时刻的目标信令量。
可选的,可以结合各历史目标信令量中的异常值标识,通过ARIMA(Autoregressive Integrated Moving Average,差分自回归移动平均)模型对各目标信令态势数据激进行训练,获取当前时刻各类型接口的目标信令量的趋势值;根据趋势值以及各目标信令态势数据的周期性变化数据序列值,通过随机森林算法进行训练,生成最终各类型接口的目标信令量的当前时刻预测值。
S234、根据目标信令量实时预测处理结果,分别获取所述各类型接口的实时目标信令量阈值,将所述实时目标信令量阈值确定为实时监测参考数据。
其中,目标信令量实时预测处理结果可以是预测出的当前时刻下各目标信令量的值。实时目标信令量阈值可以是当前时刻,在目标网络处于安全环境下,各目标信令量可能出现的最大值。
相应的,根据目标信令态势数据中所呈现的目标信令量历史变化趋势,可以得到目标信令量实时预测处理结果,则可以根据目标信令量实时预测结果确定实时目标信令量阈值,作为实时监测参考数据。
可选的,实时目标信令量阈值可以包括各接口信令量监控阈值、信令风暴监测阈值和异常漫游监测阈值中的至少一种。
其中,各接口信令量监控阈值可以是若当前时刻目标网络处于安全环境下,各接口信令量可能出现的最大值。信令风暴监测阈值可以是若当前时刻目标网络处于安全环境下,第一目标类型接口的第一历史目标信令量可能出现的最大值。异常漫游监测阈值可以是若当前时刻目标网络处于安全环境下,第二目标类型接口的第二历史目标信令量可能出现的最大值。
相应的,各接口信令量监控阈值、信令风暴监测阈值和异常漫游监测阈值可以根据对应类型接口的目标信令态势数据确定。
示例性的,在目标网络为5GC网络的情况下,各接口信令量监控阈值可以根据具有第三维度的非第一目标类型接口的目标信令态势数据确定,非第一目标类型接口包括除N1接口和N2接口之外的各接口。信令风暴监测阈值可以根据具有第一维度的第一目标类型接口的目标信令态势数据确定,第一目标类型接口包括N1接口和N2接口。异常漫游监测阈值可以根据具有第二维度的第二目标类型接口的目标信令态势数据确定,第二目标类型接口包括N8接口。
可选的,根据目标信令量实时预测处理结果,分别获取所述各类型接口的实时目标信令量阈值,可以包括:获取目标信令量对应的预设系数,将目标信令量实时预测处理结果与预设系数的乘积确定为该目标信令量的实时目标信令量阈值。
其中,不同实时目标信令量阈值以及针对不同接口、不同维度的目标信令态势数据,可以对应于不同预设系数。预设系数可以根据实际监测情况预先设定,在此不做限定。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,不同实时目标信令量阈值以及针对不同接口、不同维度的目标信令态势数据,对应的不同预设系数:各接口信令量监控阈值针对N1接口和N2接口的预设系数为10,针对N33接口的预设系数为15,针对其他接口的预设系数为5;信令风暴监测阈值针对N1接口和N2接口的UE级别维度目标信令态势数据的预设系数为20,CI级别维度目标信令态势数据的预设系数为10,TAC级别维度目标信令态势数据的预设系数为5,AMF级别维度目标信令态势数据的预设系数为2,全网级别维度目标信令态势数据的预设系数为1.5;异常漫游监测阈值针对N8接口的UE级别维度目标信令态势数据的预设系数为20,AMF级别维度目标信令态势数据的预设系数为10。
在本发明的一个可选实施例中,所述根据所述信令话单日志确定所述目标网络的实时监测参考数据,还可以包括:根据所述各类型接口的所述信令话单日志,生成所述目标网络的当前时刻结构数据,将所述当前时刻结构数据确定为实时监测参考数据。
其中,当前时刻结构数据可以是描述目标网络在当前情况下的网络结构的数据。
相应的,根据信令话单日志中可以确定当前目标网络中各网元之间的信令传输情况,从而确定目标网络中的各网元以及网元之间的通信连接情况,生成目标网络的当前时刻结构数据。
示例性的,针对目标网络为5GC网络,可以根据5GC网络全部接口的信令消息计数,包括网元类型、IP地址、消息方向等信息,生成5GC网络拓扑结构图,作为当前时刻结构数据。
可选的,可以根据设定周期获取目标网络的当前时刻结构数据,以对目标网络的结构数据进行更新。当连续两个更新周期出现未知网元,且该网元有双向正常信令计数时,判断为新增网元,则可以在目标网络的当前时刻结构数据中将该网元加入到目标网络结构中;当原目标网络结构中的某个网元连续两个周期未出现时,判断为退网网元,则可以在目标网络的当前时刻结构数据中将该网元从目标网络结构中删除。
S240、根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
在本发明的一个可选实施例中,所述根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据,可以包括:根据实时采集的所述全接口信令流量数据,分别获取所述各类型接口的监测目标信令量;在确定所述各类型接口中存在目标类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标类型接口对应的部分信令流量数据确定为异常场景流量数据。
其中,监测目标信令量可以是当前时刻采集到的全接口信令流量数据进行字段提取处理得到的目标信令字段值。目标类型接口可以是任意监测目标信令量超过实时目标信令量阈值的接口。部分信令流量数据可以是当前时刻采集到的全接口信令流量数据中由目标类型接口生成的部分。
相应的,在实时采集的全接口信令流量数据中可以提取到监测目标信令量,其具体内容可以与各类型接口对应的信令话单日志中的内容对应,则根据信令话单日志确定的实时目标信令量阈值与监测目标信令量之间的大小关系,可以确定监测目标信令量是否为目标网络处于安全环境下产生的正常值。若任意监测目标信令量超过对应的实时目标信令量阈值,可以说明该监测目标信令量超过了目标网络处于安全环境下可能出现的最大值,则判断其对应的部分信令流量数据为对应的目标类型接口发生异常时采集到的,可以被确定为异常场景流量数据。
可选的,根据超过实时目标信令量阈值的监测目标信令量,还可以确定目标网络在该部分信令流量数据的采集时刻发生的异常类型。
具体的,由于不同的监测目标信令量可以从不同维度上描述信令传输情况,则根据出现异常的监测目标信令量,可以确定目标网络中的异常类型对应于该监测目标信令量所描述的情况。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,根据监测目标信令量确定目标网络异常类型的实施方式:
可选的,根据非第一目标类型接口对应的监测目标信令量以及实时目标信令量阈值,可以对网元异常流量进行监测。
具体的,网元出现故障、被非法控制都可能导致网元间的流量出现异常。非第一目标类型接口包括除N1接口和N2接口之外的各接口,可以根据各接口信令量监控阈值对各非第一目标类型接口的监测目标信令量进行判断,当任意接口的监测目标信令量超过阈值时判断为该接口流量异常,通过消息方向定位异常网元。
可选的,在目标网络为5GC网络时,根据第一目标类型接口对应的监测目标信令量以及实时目标信令量阈值,可以对信令风暴进行监测。
具体的,信令风暴是指网络收到的信令请求数量超过了网络各项信令资源的处理能力而导致网络服务拥塞甚至雪崩效应,进而引起网络不可用。第一目标类型接口包括N1接口和N2接口,可以根据信令风暴监测阈值对第一目标类型接口的监测目标信令量进行判断,当任意接口的监测目标信令量超过阈值时判断为发生信令风暴。可选的,可以进一步结合异常流量的分布情况,用排除法定位风暴来源。
可选的,在目标网络为5GC网络时,根据第二目标类型接口对应的监测目标信令量以及实时目标信令量阈值,可以对国际漫游信令进行监测。
具体的,第二目标类型接口包括N8接口。5GC网络中对于漫出用户,在归属地接口N8可以采集监测到漫游信息,则可以基于5GC网漫游业务访问信令趋势曲线,结合漫游伙伴白名单分析挖掘漫游场景下的异常情况。针对非法漫游地的监测,可以根据第二目标类型接口的监测目标信令量中的AMF PLMN信息,当AMF PLMN信息不在漫游伙伴白名单时,判定为非法漫游地。针对异常漫游的监测,可以根据异常漫游监测阈值对第二目标类型接口的监测目标信令量进行判断,当监测目标信令量超过阈值时判断为异常漫游用户、异常漫游AMF。
可选的,在5GC网络中还可以对AF(Application Function,应用功能)信令安全进行监测。
具体的,5G核心网引入网络开放能力,第三方AF可以通过与NEF(NetworkExposure Function,网络功能暴露)之间的N33接口接入到核心网络,对AF的安全监测是确保5G网络安全的重要一个环节,可以通过对N33接口的信令流量分析及信令消息深度检测,结合预设的AF白名单,监控AF网元的信令流量突变、协议异常网元进行预警,发现异常、非法接入的AF。针对非法AF的监测,可以通过实时监测到的AF网元IP/PORT(IP地址/端口号)信息,当网元信息不在预设的AF白名单中时,判定为非法AF。针对异常AF的监测,可以通过实时监测到的单位时间内AF级别N33接口信令量趋势曲线,并将监测数据与阈值进行对比,当统计周期内话单量计数超过阈值时判断为异常AF。
在本发明的一个可选实施例中,所述根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据,可以包括:根据实时采集的所述全接口信令流量数据,获取实时网元数据;在确定所述实时网元数据中存在未知网元数据不属于所述当前时刻结构数据的情况下,获取所述未知网元数据的至少一个关联类型接口的监测目标信令量;在确定所述关联类型接口中存在目标关联类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标关联类型接口对应的部分信令流量数据确定为异常场景流量数据,以及将所述未知网元数据确定为异常网元数据。
其中,实时网元数据可以是实时监测到的目标网络的网络结构中的网元。未知网元可以是不属于当前时刻结构数据的网元。关联类型接口可以是未知网元所采用的接口。异常网元数据可以是目标网络中的非法接入的网元。
相应的,非法接入的网元是指未经授权接入到网络中的设备,或者被黑客控制发出异常信令消息的设备。若任意网元不属于当前时刻结构数据,则说明在此前采集到的全接口信令流量数据中无法获取该网元进行信令传输所产生的信令流量数据,则无法确定该网元此前是否处于目标网络中,可以确定为未知网元。进而可以获取未知网元的关联类型接口的监测目标信令量,若其中存在超过对应的实时目标信令量阈值的监测目标信令量,可以说明该未知网元为异常网元数据。
示例性的,当存在网元的网元类型、IP地址、端口号等信息均不在当前时刻结构数据中,且该网元相关接口出现失败信令数量、异常协议信令数量、异常服务信令数量、异常格式信令数量、异常方向信令数据任一项超监控阈值时,判断该网元为非法接入网元。
在本发明的一个可选实施例中,在所述根据字段提取处理结果分别生成各类型接口的信令话单日志之后,还包括:根据所述各类型接口的所述信令话单日志,监测所述目标网络中的异常终端。
其中,异常终端可以包括非法终端和/或出现异常的合法终端。
相应的,网络中的非法终端由于终端或USIM卡(Universal Subscriber IdentityModule,全球用户识别卡)原因造成无法接入网络,从而会频繁的发起注册请求但由于鉴权流程不过导致注册失败,凭空浪费大量的无线及网络资源;另外还有一部分合法终端会因为自身或被黑客控制等原因反复的进行开关机、周期性的发送大量信令、反复切换等行为浪费网络资源。因此,需要根据各类型接口的信令话单日志监测出存在上述行为的异常终端。
示例性的,在目标网络为5GC网络的情况下,可以根据采集到的全接口信令流量数据对应的N1接口、N2接口、N40接口的信令话单日志中的失败消息,监测异常终端。
在本发明的一个可选实施例中,所述根据所述各类型接口的所述信令话单日志,监测所述目标网络中的异常终端,包括:
在第一类型接口的所述信令话单日志中获取注册信令字段值,根据所述注册信令字段值确定所述目标网络中的身份异常终端;
在所述各类型接口的所述信令话单日志中获取终端用户信令字段值,根据所述终端用户信令字段值确定所述目标网络中的行为异常终端。
其中,第一类型接口可以是信令传输中包括注册信令传输的接口。注册信令字段值可以是描述注册信令传输情况的字段值。身份异常终端可以是目标网络中的非法终端。终端用户信令字段值可以是描述任意用户终端的信令传输情况的字段值。行为异常终端可以是目标网络中出现异常的合法终端。
相应的,针对身份异常终端,可以在第一类型接口的信令话单日志中获取注册信令字段值,从而确定目标网络中的注册情况。若出现频繁、大量的重复注册请求,则可以确定存在身份异常终端。进一步的,可以根据注册信令字段值中的信息确定出身份异常终端。
针对行为异常终端,可以在各类型接口的信令话单日志中获取终端用户信令字段值,从而确定各终端用户的信令传输行为。若出现信令传输异常的情况,可以确定对应的用户终端行为异常。进一步的,可以根据终端用户信令字段值中的信息确定出行为异常终端。
示例性的,本发明实施例提供了在目标网络为5GC网络的情况下,对异常终端的监测:
针对身份异常终端,可以获取N1接口和N2接口的失败消息的话单字段值,当失败消息的信令流程为注册,且失败原因值为非法UE或非法ME(Mobile Equipment,移动设备)时,判定为非法终端。
针对行为异常终端,可以获取N1接口和N2接口的信令话单,在周期内,若某用户的上行消息次数大于0,注册请求次数大于0,且注册成功率等于0,判定为网络接入异常终端;当某用户的PDU Session Establishment请求次数大于0,且PDU Session Establishment成功率等于0,判定为业务连接异常终端;当某用户的注册请求次数大于5,且注册成功率不等于0,且去注册请求次数大于5,判定为反复入网/退网终端;周期内当某用户的上行消息次数大于20,且仅有上行标识等于1,判定为信令异常终端;当某用户的上行消息次数大于100,判定为信令量异常终端;周期内当某用户的使用流量大小大于100MB(可变),且仅有上行标识等于0,判定为流量异常终端;当某用户的从低阶网络接入请求次数大于10,判定为网络接入异常终端。
本发明实施例提供了一种网络安全监测方法,通过实时采集目标网络的全接口信令流量数据,从而生成各类型接口的信令话单日志,根据信令话单日志得到目标网络的实时监测参考数据,以根据实时监测参考数据对目标网络的全接口信令流量数据进行实时安全监测,从而定位到异常场景流量数据,实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获;进一步地,支持全接口流量协议的识别处理,实现对流量的采集、解析、还原和分析工作。
实施例三
图4为本发明实施例三提供的一种网络安全监测装置的结构示意图,如图4所示,所述装置包括:流量采集模块310、日志生成模块320、参考确定模块330和异常监测模块340。
其中,流量采集模块310,用于实时采集目标网络的全接口信令流量数据。
日志生成模块320,用于分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志。
参考确定模块330,用于根据所述信令话单日志确定所述目标网络的实时监测参考数据。
异常监测模块340,用于根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
在本发明实施例的一个可选实施方式中,日志生成模块,具体可以用于:对所述全接口信令流量数据进行应用协议类型识别,并根据应用协议类型识别结果,确定所述全接口信令流量数据中的各类型接口信令流量数据;分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值;根据所述目标信令字段值分别生成所述各类型接口的当前时刻信令话单。
在本发明实施例的一个可选实施方式中,参考确定模块,具体可以用于:分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量;根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据;根据所述目标信令态势数据,分别对所述各类型接口的目标信令量进行实时预测处理;根据目标信令量实时预测处理结果,分别获取所述各类型接口的实时目标信令量阈值,将所述实时目标信令量阈值确定为实时监测参考数据。
在本发明实施例的一个可选实施方式中,异常监测模块,具体可以用于:根据实时采集的所述全接口信令流量数据,分别获取所述各类型接口的监测目标信令量;在确定所述各类型接口中存在目标类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标类型接口对应的部分信令流量数据确定为异常场景流量数据。
在本发明实施例的一个可选实施方式中,参考确定模块,具体还可以用于:根据所述各类型接口的所述信令话单日志,生成所述目标网络的当前时刻结构数据,将所述当前时刻结构数据确定为实时监测参考数据。
在本发明实施例的一个可选实施方式中,异常监测模块,具体还可以用于:根据实时采集的所述全接口信令流量数据,获取实时网元数据;在确定所述实时网元数据中存在未知网元数据不属于所述当前时刻结构数据的情况下,获取所述未知网元数据的至少一个关联类型接口的监测目标信令量;在确定所述关联类型接口中存在目标关联类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标关联类型接口对应的部分信令流量数据确定为异常场景流量数据,以及将所述未知网元数据确定为异常网元数据。
在本发明实施例的一个可选实施方式中,所述装置还可以包括:异常终端监测模块,用于根据所述各类型接口的所述信令话单日志,监测所述目标网络中的异常终端。
在本发明实施例的一个可选实施方式中,异常终端监测模块,具体可以用于:在第一类型接口的所述信令话单日志中获取注册信令字段值,根据所述注册信令字段值确定所述目标网络中的身份异常终端;在所述各类型接口的所述信令话单日志中获取终端用户信令字段值,根据所述终端用户信令字段值确定所述目标网络中的行为异常终端。
上述装置可执行本发明任意实施例所提供的种网络安全监测方法,具备执行种网络安全监测方法相应的功能模块和有益效果。
本发明实施例提供了一种网络安全监测装置,通过实时采集目标网络的全接口信令流量数据,从而生成各类型接口的信令话单日志,根据信令话单日志得到目标网络的实时监测参考数据,以根据实时监测参考数据对目标网络的全接口信令流量数据进行实时安全监测,从而定位到异常场景流量数据,实现对通信网络的信令安全实时监测和全接口关联分析,以及对异常场景下的部分信令数据的精准捕获。
实施例四
图5为本发明实施例四提供的一种计算机设备的结构示意图。图5示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图5显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于:一个或者多个处理器16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,实现本发明实施例所提供的网络安全监测方法:实时采集目标网络的全接口信令流量数据;分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;根据所述信令话单日志确定所述目标网络的实时监测参考数据;根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现本发明实施例所提供的网络安全监测方法:实时采集目标网络的全接口信令流量数据;分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;根据所述信令话单日志确定所述目标网络的实时监测参考数据;根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (11)
1.一种网络安全监测方法,其特征在于,包括:
实时采集目标网络的全接口信令流量数据;
分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;
根据所述信令话单日志确定所述目标网络的实时监测参考数据;
根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据;
所述在实时采集的所述全接口信令流量数据中监测异常场景流量数据,还包括:获取存储的全接口信令流量数据,和/或获取其中的异常场景流量数据,以根据原始码流对异常事件溯源,为根因分析提供数据基础。
2.根据权利要求1所述的方法,其特征在于,对任一时刻采集到的所述全接口信令流量数据进行字段提取处理,包括:
对所述全接口信令流量数据进行应用协议类型识别,并根据应用协议类型识别结果,确定所述全接口信令流量数据中的各类型接口信令流量数据;
分别对所述各类型接口信令流量数据进行对应类型协议解析处理,并在协议解析处理结果中提取目标信令字段值;
根据所述目标信令字段值分别生成所述各类型接口的当前时刻信令话单。
3.根据权利要求1所述的方法,其特征在于,所述根据所述信令话单日志确定所述目标网络的实时监测参考数据,包括:
分别在所述各类型接口的所述信令话单日志中,获取所述各类型接口的历史目标信令量;
根据所述历史目标信令量,分别生成所述各类型接口的目标信令态势数据;
根据所述目标信令态势数据,分别对所述各类型接口的目标信令量进行实时预测处理;
根据目标信令量实时预测处理结果,分别获取所述各类型接口的实时目标信令量阈值,将所述实时目标信令量阈值确定为实时监测参考数据。
4.根据权利要求3所述的方法,其特征在于,所述根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据,包括:
根据实时采集的所述全接口信令流量数据,分别获取所述各类型接口的监测目标信令量;
在确定所述各类型接口中存在目标类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标类型接口对应的部分信令流量数据确定为异常场景流量数据。
5.根据权利要求3所述的方法,其特征在于,所述根据所述信令话单日志确定所述目标网络的实时监测参考数据,还包括:
根据所述各类型接口的所述信令话单日志,生成所述目标网络的当前时刻结构数据,将所述当前时刻结构数据确定为实时监测参考数据。
6.根据权利要求5所述的方法,其特征在于,所述根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据,包括:
根据实时采集的所述全接口信令流量数据,获取实时网元数据;
在确定所述实时网元数据中存在未知网元数据不属于所述当前时刻结构数据的情况下,获取所述未知网元数据的至少一个关联类型接口的监测目标信令量;
在确定所述关联类型接口中存在目标关联类型接口的所述监测目标信令量超过所述实时目标信令量阈值的情况下,将所述全接口信令流量数据中与所述目标关联类型接口对应的部分信令流量数据确定为异常场景流量数据,以及将所述未知网元数据确定为异常网元数据。
7.根据权利要求1所述的方法,其特征在于,在所述根据字段提取处理结果分别生成各类型接口的信令话单日志之后,还包括:
根据所述各类型接口的所述信令话单日志,监测所述目标网络中的异常终端。
8.根据权利要求7所述的方法,其特征在于,所述根据所述各类型接口的所述信令话单日志,监测所述目标网络中的异常终端,包括:
在第一类型接口的所述信令话单日志中获取注册信令字段值,根据所述注册信令字段值确定所述目标网络中的身份异常终端;
在所述各类型接口的所述信令话单日志中获取终端用户信令字段值,根据所述终端用户信令字段值确定所述目标网络中的行为异常终端。
9.一种网络安全监测装置,其特征在于,包括:
流量采集模块,用于实时采集目标网络的全接口信令流量数据;
日志生成模块,用于分别对各时刻采集到的所述全接口信令流量数据进行字段提取处理,根据字段提取处理结果分别生成各类型接口的信令话单日志;
参考确定模块,用于根据所述信令话单日志确定所述目标网络的实时监测参考数据;
异常监测模块,用于根据所述实时监测参考数据,在实时采集的所述全接口信令流量数据中监测异常场景流量数据;
所述异常监测模块,还用于:获取存储的全接口信令流量数据,和/或获取其中的异常场景流量数据,以根据原始码流对异常事件溯源,为根因分析提供数据基础。
10.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一所述的网络安全监测方法。
11.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任一所述的网络安全监测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110494994.7A CN113225339B (zh) | 2021-05-07 | 2021-05-07 | 网络安全监测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110494994.7A CN113225339B (zh) | 2021-05-07 | 2021-05-07 | 网络安全监测方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113225339A CN113225339A (zh) | 2021-08-06 |
CN113225339B true CN113225339B (zh) | 2023-04-07 |
Family
ID=77091523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110494994.7A Active CN113225339B (zh) | 2021-05-07 | 2021-05-07 | 网络安全监测方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113225339B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114339767B (zh) * | 2021-12-30 | 2024-04-05 | 恒安嘉新(北京)科技股份公司 | 一种信令检测方法、装置、电子设备及存储介质 |
CN115278685B (zh) * | 2022-07-26 | 2023-10-31 | 上海欣诺通信技术股份有限公司 | 一种基于dpi技术的5g异常行为终端检测方法及电子设备 |
TWI820973B (zh) | 2022-10-18 | 2023-11-01 | 財團法人資訊工業策進會 | 資訊安全預警裝置以及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021073114A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7769875B1 (en) * | 2004-08-03 | 2010-08-03 | Juniper Networks, Inc. | Managing a network flow using application classification information and active signaling relay |
CN105704755B (zh) * | 2014-11-24 | 2021-03-05 | 中兴通讯股份有限公司 | 一种信令监控方法及系统 |
CN106326461B (zh) * | 2016-08-30 | 2019-07-30 | 杭州东方通信软件技术有限公司 | 一种基于网络信令记录的实时处理保障方法及系统 |
US11159542B2 (en) * | 2019-03-21 | 2021-10-26 | Microsoft Technology Licensing, Llc | Cloud view detection of virtual machine brute force attacks |
-
2021
- 2021-05-07 CN CN202110494994.7A patent/CN113225339B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021073114A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113225339A (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
CN107992398B (zh) | 一种业务系统的监控方法和监控系统 | |
US10812314B2 (en) | Methods and apparatuses for pushing a message | |
CN111124819B (zh) | 全链路监控的方法和装置 | |
CN107370806B (zh) | Http状态码监控方法、装置、存储介质和电子设备 | |
CN105376335B (zh) | 一种采集数据上传方法和装置 | |
CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
CN109656574B (zh) | 交易时延度量方法、装置、计算机设备及存储介质 | |
CN105052076B (zh) | 一种基于云计算的网元管理系统及网元管理方法 | |
CN113923057A (zh) | 卫星测运控平台的数据处理方法、装置、电子设备及介质 | |
CN110928934A (zh) | 一种用于业务分析的数据处理方法和装置 | |
CN111290696A (zh) | 一种应用程序组件的流控方法及装置 | |
CN111930709A (zh) | 数据存储方法、装置、电子设备和计算机可读介质 | |
CN113225351A (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
CN110995538B (zh) | 网络数据采集方法、装置、系统、设备及存储介质 | |
CN113505260A (zh) | 人脸识别方法、装置、计算机可读介质及电子设备 | |
CN111884883A (zh) | 一种用于业务接口的快速审计处理方法 | |
CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 | |
CN111935316B (zh) | 一种前端设备目录获取方法及装置 | |
CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
CN113839948A (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
CN108075932B (zh) | 一种数据监控方法和装置 | |
CN113259254B (zh) | 一种微服务消息请求处理方法、系统、装置、设备及介质 | |
KR101702583B1 (ko) | XMPP(Extensible Messaging and Presence Protocol)를 이용한 네트워크 성능 모니터링 시스템 및 그 모니터링 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |