CN113727348A - 用户设备ue用户数据的检测方法、设备及存储介质 - Google Patents

用户设备ue用户数据的检测方法、设备及存储介质 Download PDF

Info

Publication number
CN113727348A
CN113727348A CN202010399394.8A CN202010399394A CN113727348A CN 113727348 A CN113727348 A CN 113727348A CN 202010399394 A CN202010399394 A CN 202010399394A CN 113727348 A CN113727348 A CN 113727348A
Authority
CN
China
Prior art keywords
abnormal
group
data
signaling
current period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010399394.8A
Other languages
English (en)
Other versions
CN113727348B (zh
Inventor
雒启明
吴云泽
刘重庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010399394.8A priority Critical patent/CN113727348B/zh
Priority to PCT/CN2020/128841 priority patent/WO2021227414A1/zh
Priority to EP20935831.6A priority patent/EP4145769A4/en
Priority to JP2022568671A priority patent/JP7434690B2/ja
Publication of CN113727348A publication Critical patent/CN113727348A/zh
Priority to US18/054,643 priority patent/US20230073813A1/en
Application granted granted Critical
Publication of CN113727348B publication Critical patent/CN113727348B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Social Psychology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了UE用户数据的检测方法、设备及存储介质,以该方法应用于中心检测节点设备为例,该方法包括:获取核心网信令数据;根据核心网信令数据确定异常UE,其中,异常UE是指行为异常的UE;根据异常UE确定异常群体特征,该异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式;中心检测节点设备向边缘检测节点设备发送异常群体特征。通过根据核心网信令数据确定异常UE,由于异常UE的数量小于数据面用户数量,因而基于异常UE确定的异常群体特征对待检测数据进行过滤之后,仅检测过滤后的数据,能够降低检测的数据量,提升检测效率和检测性能。

Description

用户设备UE用户数据的检测方法、设备及存储介质
技术领域
本申请涉及通信领域,进一步涉及人工智能(Artificial Intelligence,AI)技术在通信领域中的应用,尤其涉及用户设备(user equipment,UE)用户数据的检测方法、设备及存储介质。
背景技术
第五代移动通信系统(fifth-generation,5G)网络带来的高带宽、低延时的优势,使得车联网、智能信号灯/路灯、远程医疗、远程施工具备实现基础,从而使得5G将伴随物联网(the internet of things,IoT)深入社会交通、医疗、教育、工业等各领域。与此同时,网络安全问题的影响也伴随着IoT的应用不再仅局限于经济领域,医疗、交通等IoT领域的网络安全问题越来越需要得到重视。由于5G基站部署密度高、海量机器类通信(massivemachine type of communication,mMTC)场景下UE海量接入、超可靠低时延(ultra-reliable and low latency communications,uRLLC)场景下业务高可用性等原因,5G网络攻击的风险和攻击造成的危害均大大提升,所以安全是5G和IoT大规模商用的前提,因此,对用户数据进行安全检测变得尤为重要。
发明内容
本申请实施例提供了一种UE用户数据的检测方法、设备及存储介质,以提高数据检测效率,技术方案如下:
第一方面,提供了一种用于检测数据的方法,以该方法应用于中心检测节点设备为例,该方法包括:中心检测节点设备获取核心网信令数据,示例性的,该核心网信令数据包括呼叫历史记录数据。中心检测节点设备根据核心网信令数据确定异常UE,该异常UE是指行为异常的UE。中心检测节点设备根据该异常UE确定异常群体特征,该异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式。中心检测节点设备向边缘检测节点设备发送该异常群体特征。
通过根据核心网信令数据确定异常UE,由于异常UE的数量小于数据面用户数量,因而基于异常UE确定的异常群体特征对待检测数据进行过滤之后,仅检测过滤获得的数据,能够降低检测的数据量,提升检测效率和检测性能。
在示例性实施例中,获取核心网信令数据,包括:获取当前周期的核心网信令数据;
所述根据所述核心网信令数据确定异常UE,包括:根据所述当前周期的核心网信令数据,提取所述当前周期的行为特征,所述行为特征为多个UE各自在通信过程中出现的行为特征;根据所述当前周期的行为特征,建立所述当前周期的UE画像,所述UE画像用于描述所述多个UE被划分为的至少一个UE群体,所述至少一个UE群体中的每个所述UE群体中的UE在行为特征上具有共性;将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,所述参考周期为所述当前周期之前的周期。
在示例性实施例中,所述当前周期的行为特征包括当前周期的时间指示、一个或多个用户标识、以及所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,所述信令分类计数数组是一个N维向量,所述N维向量中的向量i对应信令类别i,所述一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N;所述根据所述当前周期的行为特征,建立所述当前周期的UE画像,包括:根据所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对所述当前周期中的多个UE进行聚类从而得到聚类结果,所述聚类结果包括所述至少一个UE群体;将得到的聚类结果作为所述当前周期的UE画像。
在示例性实施例中,聚类结果包括至少两个UE群体,所述至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对所述至少两个UE群体中的任意一个选定的UE群体,所述选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,所述选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为所述选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,所述选定的UE群体的特征值是所述选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果;
所述将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,包括:从所述当前周期的各个UE群体中选择一个UE群体,针对所述选择出的UE群体执行以下处理,直至处理完所述当前周期的每个UE群体为止:
将所述选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到所述选择出的UE群体对应的特征值;将所述选择出的UE群体对应的特征值与所述参考周期的各个UE群体对应的特征值逐个进行比较,如果所述参考周期中不存在一个UE群体对应的特征值与所述选择出的UE群体对应的特征值的差值小于设定阈值,则确定所述选择出的UE群体中的UE为异常UE。
在示例性实施例中,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
在示例性实施例中,所述当前周期的行为特征还包括所述UE的信令总数、信令发送频率和接入时长中的至少一种特征。
第二方面,提供了一种UE用户数据的检测方法,该方法应用于边缘检测节点设备,包括:边缘检测节点设备接收中心检测节点设备发送的异常群体特征,所述异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式;所述边缘检测节点设备获取待检测数据;所述边缘检测节点设备基于所述异常群体特征对所述待检测数据进行过滤;所述边缘检测节点设备对过滤获得的数据进行检测。
在示例性实施例中,所述边缘检测节点设备基于所述异常群体特征对所述待检测数据进行过滤,包括:从所述待检测数据中筛选出符合所述异常群体特征的数据,将所述符合所述异常群体特征的数据作为所述过滤获得的数据。
在示例性实施例中,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
提供了一种UE用户数据的检测装置,所述装置包括:
获取模块,用于获取核心网信令数据;
第一确定模块,用于根据所述核心网信令数据确定异常UE,所述异常UE是指行为异常的UE;
第二确定模块,用于根据所述异常UE确定异常群体特征,所述异常群体特征包括所述异常UE进行通信所使用的标识或者用户数据传输方式;
发送模块,用于向边缘检测节点设备发送所述异常群体特征。
在示例性实施例中,所述获取模块,用于获取当前周期的核心网信令数据;
所述第一确定模块,用于根据所述当前周期的核心网信令数据,提取所述当前周期的行为特征,所述行为特征为多个UE各自在通信过程中出现的行为特征;根据所述当前周期的行为特征,建立所述当前周期的UE画像,所述UE画像用于描述所述多个UE被划分为的至少一个UE群体,所述至少一个UE群体中的每个所述UE群体中的UE在行为特征上具有共性;将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,所述参考周期为所述当前周期之前的周期。
在示例性实施例中,所述当前周期的行为特征包括所述当前周期的时间指示、一个或多个用户标识、以及所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,所述信令分类计数数组是一个N维向量,所述N维向量中的向量i对应信令类别i,所述一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N;
所述第一确定模块,用于根据所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对所述当前周期中的多个UE进行聚类从而得到聚类结果,所述聚类结果包括所述至少一个UE群体;将得到的聚类结果作为所述当前周期的UE画像。
在示例性实施例中,所述聚类结果包括至少两个UE群体,所述至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对所述至少两个UE群体中的任意一个选定的UE群体,所述选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,所述选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为所述选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,所述选定的UE群体的特征值是所述选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果;
所述第一确定模块,用于从所述当前周期的各个UE群体中选择一个UE群体,针对所述选择出的UE群体执行以下处理,直至处理完所述当前周期的每个UE群体为止:
将所述选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到所述选择出的UE群体对应的特征值;将所述选择出的UE群体对应的特征值与所述参考周期的各个UE群体对应的特征值逐个进行比较,如果所述参考周期中不存在一个UE群体对应的特征值与所述选择出的UE群体对应的特征值的差值小于设定阈值,则确定所述选择出的UE群体中的UE为异常UE。
在示例性实施例中,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
在示例性实施例中,所述当前周期的行为特征还包括所述UE的信令总数、信令发送频率和接入时长中的至少一种特征。
提供了一种UE用户数据的检测装置,所述装置包括:
接收模块,用于接收中心检测节点设备发送的异常群体特征,所述异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式;
获取模块,用于获取待检测数据;
过滤模块,用于基于所述异常群体特征对所述待检测数据进行过滤;
检测模块,用于对过滤获得的数据进行检测。
在示例性实施例中,所述过滤模块,用于从所述待检测数据中筛选出符合所述异常群体特征的数据,将所述符合所述异常群体特征的数据作为所述过滤获得的数据。
在示例性实施例中,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
还提供一种UE用户数据的检测设备,该设备包括:存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现上述第一方面任一所述的UE用户数据的检测方法。
还提供一种UE用户数据的检测设备,该设备包括:存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现上述第二方面任一所述的UE用户数据的检测方法。
还提供了一种UE用户数据的检测系统,该系统包括上述两种设备,上述两种设备的数量为至少一个。
还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如上第一方面或第二方面任一所述的UE用户数据的检测方法。
提供了另一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行第一方面或第一方面的任一种可能的实施方式中的方法,或者,使得该处理器执行第二方面或第二方面的任一种可能的实施方式中的方法。
作为一种示例性实施例,所述处理器为一个或多个,所述存储器为一个或多个。
作为一种示例性实施例,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
提供了一种计算机程序(产品),所述计算机程序(产品)包括:计算机程序代码,当所述计算机程序代码被计算机运行时,使得所述计算机执行上述各方面中的方法。
提供了一种芯片,包括处理器,用于从存储器中调用并运行所述存储器中存储的指令,使得安装有所述芯片的通信设备执行上述各方面中的方法。
提供另一种芯片,包括:输入接口、输出接口、处理器和存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过内部连接通路相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述各方面中的方法。
附图说明
图1为本申请实施例提供的UE用户数据的检测系统架构示意图;
图2为本申请实施例提供的中心检测节点设备的结构示意图;
图3为本申请实施例提供的边缘检测节点设备的结构示意图;
图4为本申请实施例提供的UE用户数据的检测方法交互示意图;
图5为本申请实施例提供的确定异常UE的过程示意图;
图6为本申请实施例提供的UE画像示意图;
图7为本申请实施例提供的聚类过程示意图;
图8为本申请实施例提供的聚类过程示意图;
图9为本申请实施例提供的聚类过程示意图;
图10为本申请实施例提供的聚类过程示意图;
图11为本申请实施例提供的聚类过程示意图;
图12为本申请实施例提供的聚类过程示意图;
图13为本申请实施例提供的UE画像比对示意图;
图14为本申请实施例提供的UE用户数据的检测过程示意图;
图15为本申请实施例提供的UE用户数据的检测过程示意图;
图16为本申请实施例提供的UE用户数据的检测装置结构示意图;
图17为本申请实施例提供的UE用户数据的检测装置结构示意图;
图18为本申请实施例提供的UE用户数据的检测设备结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的实施例进行解释,而非旨在限定本申请。
虽然5G网络带来的高带宽、低延时的优势,使得车联网、智能信号灯/路灯、远程医疗、远程施工具备实现基础,但由于5G基站部署密度高、mMTC场景下UE海量接入、uRLLC场景下业务高可用性等原因,5G网络攻击的风险和攻击造成的危害均大大提升,因此,对用户数据进行安全检测变得尤为重要。
然而,数据面流量巨大,进行用户数据检测需要耗费大量资源。如果管理平面的网络带宽有限,无法将全部数据发送到管理平面的中心检测节点设备进行检测。其中,数据面用于网络设备的报文转发,管理平面用于核心网设备的管理与维护。因此,通信系统在数据面本地部署边缘检测功能,即设置边缘检测节点设备,通过边缘检测节点设备对数据面大流量数据进行安全检测。之后,数据面将检测结果发送到管理平面的中心检测节点设备,以便于中心检测节点设备进行综合处理。
以一个约300G用户数据流量,边缘检测节点设备有6G左右的处理能力的场景为例,需要部署50台边缘检测节点设备才能匹配用户数据流量。而受成本限制,用户可能无法接受部署50台边缘检测节点设备,导致待检测流量与边缘检测节点设备的检测能力之间存在巨大差距。对此,相关技术采取了一种对流量使用抽样检测的方法,然而该方法会导致样本严重失真,无法达到有效检测的效果。
为解决数据面待检测流量远超过边缘检测节点设备处理能力的问题,本申请实施例提供了一种UE用户数据的检测方法,该方法采取了对数据进行过滤的机制,以减少检测的数据量。示例性地,本申请实施例提供的方法可应用于图1所示的系统架构中。如图1所示,该系统架构包括UE、gNB、访问管理功能单元(access manage function,AMF)、用户计划功能(user plan function,UPF)、统一数据节点(unified data node,UDN)、中心检测节点设备和边缘检测节点设备。
其中,gNB是5G无线网络中的基站,AMF是核心网中处理信令请求的网元设备,UPF是核心网中处理UE产生的用户数据的网元设备。本申请实施例中的网元或网元设备是指实现一定处理功能的逻辑设备或者物理设备。UDN也可以认为是呼叫历史记录(call historyrecord,CHR)服务器,用于汇聚AMF网元的CHR数据,提供安全文件传送协议(secret filetransfer protocol,SFTP)协议服务对外传输CHR数据。中心检测节点设备包括网络智能安全(cyber intelligene security,CIS)检测系统,CIS检测系统通过文件传输协议(filetransfer protocol,FTP)协议从UDN采集CHR数据。边缘检测节点设备包括人工智能引擎(Artificial Intelligence Engine,AIE),AIE用于从分光器(如图1中的用户数据分光棱镜)获取UPF数据面数据,进行威胁分析和检测。
如图2所示,中心检测节点设备包括采集器、大数据平台和分布式文件系统(hadoop distributed file system,HDFS)。其中,采集器负责采集外部网元及其他数据源的数据,例如,采集器采集UDN通过SFTP服务对外传输的CHR数据,也即核心网信令数据。采集器对采集的数据进行解析后发送给大数据平台。大数据平台接收采集器发送的数据后,对该数据进行存储,例如以HDFS来存储该数据。此外,中心检测节点设备还通过算法模型对数据进行分析检测,发现异常UE。基于该异常UE确定异常群体特征后,将异常群体特征发送给边缘检测节点设备。
如图3所示,边缘检测节点设备包括流探针和AIE。分光器用于复制核心网数据面用户数据发送给流探针。流探针是流量采集组件,负责采集分光器网卡上的流量,提取元数据(metadata)发送给AIE。AIE是一种边缘AI检测引擎,对流探针上报的数据进行分析检测。边缘检测节点设备从中心检测节点设备获取异常群体特征(如UE IP)后,将异常群体特征作为过滤条件对分光器获取的用户数据进行过滤,将符合条件的用户数据报文作为进一步检测的输入数据,丢弃不符合条件的用户数据报文,从而减少需要检测的数据量。
示例性地,信令是指为使通信网络中各种设备协调运作,在设备之间传递的有关控制信息,控制信息用来说明设备各自的运行情况,提出对相关设备的接续要求。用户数据是指UE产生的与业务相关的数据,例如UE发送或接收的数据。
需要说明的是图1至图3以5G网络场景为例对本申请实施例提供的UE用户数据的检测方法的可能应用场景进行说明。本申请实施例提供的UE用户数据的检测方法不限于图1至图3所示的场景,只要能够获取到核心网信令数据的其他网络场景也同样适用于本申请实施例提供的用户数据的检测方法。
结合图1所示的系统架构,以图2所示的中心检测节点设备和图3所示的边缘检测节点设备的交互过程为例,对本申请实施例提供的UE用户数据的检测方法进行说明。参见图4,该方法包括如下过程。
401,中心检测节点设备获取核心网信令数据。
如图2所示,中心检测节点设备可通过采集器采集外部网元及其他数据源的数据。例如,采集器采集UDN通过SFTP服务对外传输的CHR数据,得到核心网信令数据,该核心网信令数据也可以称为是用户信令数据。本申请实施例不对获取核心网信令数据的时机及次数进行限定,例如,可以按照周期来获取核心网信令数据,示例性地,获取当前周期的核心网信令数据。本申请实施例不对获取核心网信令数据的周期的长短进行限定,例如以15天为一个周期,也即每隔15天从UDN采集一次CHR数据,得到核心网信令数据。
402,中心检测节点设备根据核心网信令数据确定异常UE。
可选地,异常UE是指行为与进行正常通信行为的UE有差异的UE。异常UE可能是行为可疑的UE,或者可能是被黑客控制的僵尸网络中的UE。异常UE有可能会对整个通信系统造成严重破坏。例如,如果异常UE是被黑客控制的僵尸网络中的UE,那么黑客会控制僵尸网络中的大量UE发起DDoS攻击。因此对异常UE的用户数据进行安全检测是尤为重要的。
在示例性实施例中,根据核心网信令数据确定异常UE,包括:根据当前周期的核心网信令数据,提取当前周期的行为特征,该行为特征为多个UE各自在通信过程中出现的行为特征;根据当前周期的行为特征,建立当前周期的UE画像,UE画像用于描述多个UE被划分为的至少一个UE群体,该至少一个UE群体中的每个UE群体中的UE在行为特征上具有共性;将当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,参考周期为当前周期之前的周期。例如,该确定异常UE的过程可如图5所示。图5中,以当前周期的前一周期作为参考周期为例,其中,对当前周期数据预处理,也即根据当前周期的核心网信令数据,提取当前周期的行为特征。
示例性地,中心检测节点设备从UDN获取每个周期(例如15分钟)的核心网信令数据后,根据当前周期的核心网信令数据,提取当前周期的行为特征,该行为特征是多个UE各自在通信过程中出现的行为特征,当前周期的行为特征包括但不限于如下几种。
周期时间指示:该周期时间指示用于指示数据采集周期所处的具体时间范围。示例性地,该周期时间指示为所指示的数据采集周期所在时间范围内的任意时间,也即是将数据采集周期中的一个时间点作为周期时间,通过该周期时间来指示该数据采集周期所处的具体时间范围。此外,同一数据采集周期的各个行为特征所包括的周期时间指示相同。以数据采集周期是当前周期为例,当前周期的各个行为特征所包括的周期时间指示相同。可选地,该当前周期的各个行为特征所包括的周期时间指示是当前周期的起始时间,通过该当前周期的起始时间来指示当前周期所处的具体时间范围。例如,当前周期的起始时间是2019-12-25的12:00,结束时间是2019-12-26的12:00,则用来指示该当前周期所处的具体时间范围的周期时间指示为2019-12-25的12:00,表示成2019-12-25:12:00。或者,该当前周期的各个行为特征所包括的周期时间指示是当前周期的结束时间,通过该当前周期的结束时间来指示当前周期所处的具体时间范围。仍以当前周期的起始时间是2019-12-25的12:00,结束时间是2019-12-26的12:00为例,则用来指示该当前周期所处的具体时间范围的周期时间指示为2019-12-26的12:00,表示成2019-12-26:12:00。
用户标识:例如,使用国际移动用户识别码(international mobile subscriberidentity,IMSI)作为用户数据标识,周期数据以用户为粒度。
用户标识对应的信令分类计数数组:代表该UE发送的每种类型信令请求的计数。信令分类计数数组是一个N维向量,N维向量中的向量i对应信令类别i,一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N。例如,信令分类计数数组中包括的信令类别的选取范围包括但不限于如下表1所示的53种信令类别。换句话说,信令分类计数数组中包括的向量为指定信令类别集合中的各信令类别,而向量值为指定信令类别集合中的各信令类别对应的信令计数。可选地,指定信令类别集合中包括的信令类别为表1所示的53种信令类别中的部分或全部,也可以包含表1中53种信令类别之外的其他信令类别。
表1
Figure BDA0002488865590000071
Figure BDA0002488865590000081
示例性地,UE的行为特征包括如表2所示的信息。以表2中的第一行内容““Attach”:11,“Intra_USN_Intra_E-UTRAN-TAU”:0,”为例,其中“Attach”:11代表“Attach”这个信令的计数值为11。也就是说,用户标识为460030912121001的UE在周期时间指示为2019-12-25:12:00所指示的周期内,产生了11个“Attach”信令。
表2
Figure BDA0002488865590000091
Figure BDA0002488865590000101
根据当前周期的行为特征,建立当前周期的UE画像,包括但不限于根据一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对当前周期中的多个UE进行聚类从而得到聚类结果,聚类结果包括至少一个UE群体,将得到的聚类结果作为当前周期的UE画像。如图6所示,对当前周期的多个UE进行聚类从而得到聚类结果,将得到的聚类结果作为当前周期的UE画像。其中,聚类是一个将数据集中在某些方面相似的数据成员进行分类组织的过程,聚类就是一种发现这种内在结构的技术,聚类技术经常被称为无监督学习。在本申请实施例中,可使用机器学习聚类算法找出异常行为群体,即异常UE。示例性地,也可以将聚类结果中的特定层作为UE画像。
本申请实施例不对聚类方式进行限定,接下来,以KMeans算法为例进行说明。k均值聚类(KMeans)是一种划分聚类算法。给定一个数据点集合和需要的聚类数目k,k由用户指定,k均值算法根据某个距离函数反复将数据分入k个聚类中。然后计算每个对象与各个种子聚类中心之间的距离,将每个对象分配给距离该对象最近的聚类中心。聚类中心以及分配给该聚类中心的对象就代表一个聚类。一旦全部对象都被分配了,每个聚类的聚类中心会根据聚类中已有的对象被重新计算。示例性地,KMeans算法的聚类过程包括Step1至Step10如下几步。
步骤1(Step 1):该中心检测节点设备确定K个聚类中心点。可选地,K个聚类中心点是中心检测节点设备的使用者随机指定的。以K为3为例,3个聚类中心点如图7中的A1、B1和C1所示。之后,针对每个UE的用户标识对应的信令分类计数数组(简称为数据点),中心检测节点设备根据该数据点分别与三个聚类中心点距离,将该数据点划分给距离最近的聚类中心点。
步骤2(Step 2):该中心检测节点设备根据当前数据点分布位置,调整三个聚类中心点位置,调整后的三个聚类中心点位置如图8中的A2、B2和C2所示。
步骤3(Step3):该中心检测节点设备重新输入每个数据点,根据新的聚类中心点位置,划分数据点归属的聚类。三个新的聚类中心的位置如图9中的A3、B3和C3所示,是在图8所示的调整后的聚类中心点位置基础上,对每个数据点根据新的聚类中心点位置进行聚类。
步骤4(Step4):重复上述step1~3,该中心检测节点设备不断根据数据聚类位置调整聚类中心点位置,再根据新的聚类中心点位置,重新划分数据点所属聚类。该过程如图10和图11所示为例。三个聚类中心点的位置在图9所示的A3、B3和C3基础上,调整后,如图10中的A4、B4和C4所示。之后,三个聚类中心点的位置又调整为如图11的A5、B5和C5所示。
步骤5(Step5):经过多轮迭代,最终聚类中心点位置与数据点分布稳定,得到符合数据分布情况的聚类中心点位置,数据点划分聚类群体合理,该最终的聚类结果可如图12所示为例。图12中,最终聚类结果的三个聚类中心点分别为图12中的A6、B6和C6所示。
根据以上KMeans聚类算法原理与运算过程,根据信令分类计数,使用KMeans算法对上述表2所示的当前周期的UE进行聚类。例如,中心检测节点设备根据UE对应的核心网信令数据、以及聚类中心点位置,将UE分为两个群体,并找到两个群体的行为聚类中心。针对任意一个选定的UE群体,该选定的UE群体的聚类中心对应的信令分类计数数组为该选定的UE群体中所有用户标识对应的信令分类计数数组的平均值。具体地,一个选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值。例如,T-1周期数据的两个聚类结果以聚类中心表示如下所示。其中,采用标签“0”代表聚类结果中的第一个UE群体的聚类中心对应的信令分类计数数组,采用标签“1”代表第二个UE群体的聚类中心对应的信令分类计数数组。
标签0:[14.335892514395393,0.0,0.0,0.0,0.0,0.0,1.0316698656429941,0.0,0.0,0.0,25.07581573896353,62.646833013435696,0.0,0.0,0.0,0.0,31.130518234165066,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0]
标签1:[14.036862003780719,0.0,0.0,0.0,0.0,0.0,0.6729678638941399,0.0,0.0,0.0,22.689035816824196,55.18147448015123,0.0,0.0,0.0,0.0,29.207939508506616,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0]
上述标签为“0”的第一个UE群体中包含的UE的用户标识(IMSI)和标签为“1”的第二个UE群体中包含的UE的用户标识分别如下所示:
标签0对应的用户标识:[460030912121001,460030912121002,460030912121003,460030912121004,460030912121005,460030912121006,460030912121007,460030912121008,460030912121009,460030912121010,460030912121011,460030912121012,460030912121013,460030912121014,460030912121015,460030912121016,460030912121017,460030912121018,460030912121019,460030912121020,460030912121021,460030912121022,460030912121023,460030912121024,460030912121025,460030912121026,460030912121027,460030912121028]
标签1对应的用户标识:[460031912121001,460031912121002,460031912121003,460031912121004,460031912121005,460031912121006,460031912121007,460031912121008,460031912121009,460031912121010,460031912121011,460031912121012,460031912121013,460031912121014,460031912121015,460031912121016,460031912121017,460031912121018,460031912121019,460031912121020,460031912121021,460031912121022,460031912121023,460031912121024,460031912121025,460031912121026,460031912121027,460031912121028]。
UE行为画像的聚类中心的用户信令分类计数数组使用“信令分类计数平均值”表示。以上述当前周期的UE画像中的标签0对应的聚类结果为例,第一个字段“14.335892514395393”对应信令分类中第一个信令种类“Attach”的平均值,以此类推后续对应顺序的信令种类分别如下面的表3所示:
表3
Figure BDA0002488865590000111
Figure BDA0002488865590000121
如上所示,聚类结果包括至少两个UE群体,至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对该至少两个UE群体中的任意一个选定的UE群体,该选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,该选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为该选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,该选定的UE群体的特征值是该选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果。中心检测节点设备将当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE的过程包括但不限于:中心检测节点设备从当前周期的各个UE群体中选择一个UE群体,针对选择出的UE群体执行以下处理,直至处理完当前周期的每个UE群体为止:
将选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到选择出的UE群体对应的特征值;将选择出的UE群体对应的特征值与参考周期的各个UE群体对应的特征值逐个进行比较,如果参考周期中不存在一个UE群体对应的特征值与选择出的UE群体对应的特征值的差值小于设定阈值,则确定选择出的UE群体中的UE为异常UE。
以将当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE的过程为例,如图13所示,计算当前周期(例如t时刻)的UE群体画像,比较当前周期的UE群体画像与前一周期(例如t-1时刻)的UE群体画像之间的信令计数变化。由于聚类中心代表了群体行为特征的中心值,聚类中心会随着群体行为特征进行位置偏移,因而通过比较UE画像的聚类中心,能够找出异常UE。
例如,中心检测节点设备从当前周期的各个UE群体中选择一个UE群体,将选择出的UE群体的聚类中心对应的信令分组计数数组包含的N个向量值进行求和得到选择出的UE群体对应的特征值。例如,针对选择出的一个UE群体为上述标签为0的聚类结果包含的UE群体,该UE群体的聚类中心对应的信令分类计数数组为[14.335892514395393,0.0,0.0,0.0,0.0,0.0,1.0316698656429941,0.0,0.0,0.0,25.07581573896353,62.646833013435696,0.0,0.0,0.0,0.0,31.130518234165066,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0],该UE群体的聚类中心对应的信令分类计数数组中包含的所有向量值的求和结果为134.2207294,也即是该UE群体对应的特征值为134.2207294。采用同样的方法,处理前一周期的各个UE群体对应的特征值。之后,中心检测节点设备将选择出的UE群体对应的特征值与前一周期的各个UE群体对应的特征值逐个进行比较。如果前一周期中不存在一个UE群体对应的特征值与该选择出的UE群体对应的特征值的差值小于设定阈值,则该中心检测节点设备确定该选择出的UE群体中的UE为异常UE,输出该异常UE的用户标识或IP。
本申请实施例不对阈值大小进行限定,可基于经验设置。例如,以阈值为50%为例,处理当前周期Center_nodes_T(T时刻,待检测周期)的标签为1的聚类结果中的各UE群体的中心点各字段,得到的累加和为“241.7882789”。处理前一周期Center_nodes_T-1时刻的标签为0的聚类结果中的各UE群体的中心点各字段,得到的累加和“134.2207294”。由于“241.7882789”大于“134.2207294”,且“241.7882789”与“134.2207294”之间的差值超过50%的阈值,则判定当前周期Center_nodes_T的标签为1的聚类结果中的各UE群体中的UE为异常群体,该异常群体内的全部UE均为异常UE。
需要说明的是,以上仅以当前周期的行为特征包括用于指示当前周期的周期时间、用户标识和用户信令分类计数为例,对得到UE画像的过程进行举例说明。除此之外,该当前周期的行为特征还包括UE的信令总数、信令发送频率和接入时长中的至少一种特征。本申请实施例不对当前周期的行为特征进行限定,无论是哪些行为特征,均可参考上述根据用户信令分类计数对UE进行聚类的过程。
403,中心检测节点设备根据异常UE确定异常群体特征。
中心检测节点设备确定异常UE后,将能够标识该UE的特征作为异常群体特征,其中,该异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式。例如,将异常群体内的全部UE确定为异常UE后,将异常UE进行通信所使用的IMSI和IP作为异常UE的异常群体特征。
需要说明的是,异常群体特征包括异常UE的网际协议IP、端口、协议类型及IMSI中的至少一种,以上仅以IMSI和IP进行举例说明,本申请实施例不对异常群体特征进行限定。
404,中心检测节点设备将异常群体特征发送至边缘检测节点设备。
中心检测节点设备得到异常群体特征后,将该异常群体特征发送给边缘检测节点设备,用于边缘检测节点设备对待检测数据进行过滤,对过滤获得的数据进行检测。
针对周期性采集核心网信令数据,确定出异常群体特征后,可以将每个周期确定出的异常群体特征即时发送给边缘检测节点设备,以使得边缘检测节点设备能够据此对待检测数据进行过滤,以降低检测的数据量。
405,边缘检测节点设备接收中心检测节点设备发送的异常群体特征。
边缘检测节点设备接收到中心检测节点设备发送的异常群体特征后,可将该异常群体特征进行存储,以在每次检测时,获取该异常群体特征。
关于边缘检测节点设备存储异常群体特征的方式,本申请实施例不进行限定。示例性地,针对中心检测节点设备周期性发送的异常群体特征,可以按照周期存储每次接收到的异常群体特征,也可以将当前周期的异常群体特征覆盖前一周期的异常群体特征,即边缘检测节点设备仅存储最新的异常群体特征。
406,边缘检测节点设备获取待检测数据。
例如,如图3所示,边缘检测节点设备通过流探针采集分光器网卡上的流量,提取元数据(metadata),得到待检测数据。示例性地,边缘检测节点设备可以实时的获取待检测数据,也可以周期性的获取待检测数据,本申请实施例不对边缘检测节点设备获取待检测数据的时机及频率进行限定。
407,边缘检测节点设备基于异常群体特征对待检测数据进行过滤。
在接收到中心检测节点设备发送的异常群体特征后,边缘检测节点设备基于异常群体特征对待检测数据进行过滤,过滤方式包括但不限于:从待检测数据中筛选出符合异常群体特征的数据,将符合异常群体特征的数据作为过滤获得的数据。
以异常群体特征包括异常UE的IP为例,边缘检测节点设备获取到待检测数据后,将待检测数据中IP与该异常UE的IP一致的待检测数据作为过滤获得的数据。
需要说明的是,针对异常群体特征包括两个以上的特征的情况,边缘检测节点设备在基于异常群体特征对待检测数据进行过滤时,包括但不限于如下两种过滤方式。
过滤方式一:将同时符合所有异常群体特征的待检测数据作为过滤获得的数据。
例如,异常群体特征包括异常UE的IP和端口号,则边缘检测节点设备获取到待检测数据后,将待检测数据中IP与该异常UE的IP一致,且端口号与异常UE的端口号一致的待检测数据作为过滤获得的数据。
过滤方式二:将符合异常群体特征中的任一特征的待检测数据作为过滤获得的数据。
例如,异常群体特征包括异常UE的IP和端口号,则边缘检测节点设备获取到待检测数据后,将待检测数据中IP与该异常UE的IP一致的待检测数据作为过滤获得的数据,将待检测数据中端口号与异常UE的端口号一致的待检测数据作为过滤获得的数据。此种方式下,有些过滤获得的数据是IP与该异常UE的IP一致,但端口号与异常UE的端口号不一致。也有些过滤获得的数据是IP与该异常UE的IP不一致,但端口号与异常UE的端口号一致。还有些过滤获得的数据是IP与该异常UE的IP一致,且端口号与异常UE的端口号一致。该种过滤方式二比过滤方式一中过滤获得的数据量会多一些,检测范围更广。
但是,无论是上述哪种过滤方式,由于针对的都是异常UE的异常群体特征,因而检测的数据量均少于检测全部的待检测数据的数据量。采用上述哪种过滤方式,本申请实施例对此不进行限定,可以根据场景需求来设置。
408,边缘检测节点设备对过滤获得的数据进行检测。
示例性地,边缘检测节点设备对过滤获得的数据进行检测,包括但不限于采用安全检测算法来检测该过滤获得的数据,从而确定该过滤获得的数据是否安全。例如,安全检测算法包括但不限于C&C通道检测算法以及挖矿算法等。
例如,如图3所示,边缘检测节点设备通过流探针采集分光器网卡上的流量,提取元数据(metadata),得到待检测数据后,将待检测数据发送给AIE。AIE是一种边缘AI检测引擎,对流探针上报的数据进行分析检测。在接收到中心检测节点设备发送的异常群体特征后,该AIE从待检测数据中筛选出符合异常群体特征的数据,将符合异常群体特征的数据作为过滤获得的数据,对过滤获得的数据进行检测。
综上所述,以图14所示的中心检测节点设备和边缘检测节点设备的交互过程为例,该用于检测数据的方法包括如下过程。
141、中心检测节点设备采集核心网信令数据,包括信令流程总量,信令流程分类计数、信令发送频率、终端接入时长。例如从信令面获取信令面检测数据,得到核心网信令数据。
142、中心检测节点设备对当前周期的核心网信令数据进行画像建模,与上一周期UE画像进行比较,确定异常行为UE群体。
143、边缘检测系统启动,此时没有中心检测节点设备下发异常行为群体特征IP作为过滤条件,待检测流量从数据面输入,则边缘检测节点设备获取到待检测数据流。
144,边缘检测节点设备对数据流进行采样抽检。
145,将检测结果上报中心检测节点设备。
146、中心检测节点设备对信令面数据进行分析检测,发现信令面异常行为UE群体,得到的异常群体特征为异常UE的IP,以异常UE的IP列表形式为例,该异常群体特征为IP地址为1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4,5.5.5.5。
147、中心检测节点设备向边缘检测节点设备发送异常UE的IP列表。
148、边缘检测节点设备对全部数据面报文根据异常UE的IP列表进行过滤,不在异常UE的IP列表中的报文被丢弃。即边缘检测节点设备只抓取UE的IP为1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4,5.5.5.5的报文,生成metadata,进行安全检测。
149、边缘检测节点设备向中心检测节点设备发送检测结果。
可选地,在图1所示的系统架构下,该用于检测数据的过程如图15所示。151,UDN将核心网信令数据上报给中心检测节点设备,或者中心检测节点设备的采集器采集UDN的核心网信令数据。152,中心检测节点设备进行信令数据检测,找到异常行为群体,例如参见上述图4所示的402和403步骤,得到异常群体特征。在将异常群体特征发送给边缘检测节点设备之前,153,边缘检测节点设备从分光器获取到输入的待检测数据面流量,即得到待检测数据。154,如果流量过大,超过边缘检测节点设备的检测处理性能,则边缘检测节点设备进行随机抽检。155,边缘检测节点设备向中心检测节点设备上报检测结果。156,中心检测节点设备得到异常群体特征后,向边缘检测节点设备发送该异常群体特征。157,边缘检测节点设备接收到异常群体特征后,如果从分光器又获取到输入的待检测数据面流量,即得到待检测数据,则执行158。158,边缘检测节点设备针对信令面异常特征即异常群体特征对待检测数据进行过滤,如图4所示的407步骤。159,边缘检测节点设备检测过滤后的数据,得到检测结果之后,向中心检测节点设备上报检测结果。需要说明的是,边缘检测节点设备在上述155和159过程中向中心检测节点设备上报的检测结果,可用于中心检测节点设备对核心网中的网络设备进行管理和维护。
由于中心检测节点设备向边缘检测节点设备下发异常群体特征是一种检测的“反馈”机制。边缘检测场景下,能够使用的资源非常有限,针对全流量检测往往很困难,因此,通过这种“反馈”机制能够在能接受的检出率降低的情况下,极大提升检测效率,节约成本。也就是说,由于使用机器学习聚类算法找到信令面异常行为群体,异常群体数量远小于数据面用户数量。边缘检测节点设备使用信令异常特征过滤掉大部分用户数据,提升处理效率和性能。例如,以100万用户或IoT设备中有1万个被用于僵尸网络计算,预计可过滤掉99%流量,相当于性能提升99倍。
此外,边缘检测节点设备根据接收到的中心检测节点设备下发的异常群体特征(如IP、协议类型、端口等通过配置或者机器学习到的条件),先进行过滤后,对于过滤后的数据,本申请实施例提供的方法除了支持对过滤后的数据进行安全检测,还支持对过滤后的数据进行其他检测,本申请实施例不对检测的方式及检测的内容进行限定。例如,对过滤后的数据流量进行重点检测的过程。
本申请实施例提供的方法,通过中心检测节点设备根据核心网信令数据确定异常UE,由于异常UE的数量小于数据面用户数量,因而基于异常UE确定的异常群体特征之后,将该异常群体特征发送给边缘检测节点设备,使得边缘检测节点设备对待检测数据进行过滤之后,仅检测过滤后的数据,能够降低检测的数据量,提升检测效率和检测性能。
本申请实施例提供了一种UE用户数据的检测装置,该装置用于执行上述图4所示实施例中的中心检测节点设备所执行的功能。参见图16,该装置包括获取模块1601、第一确定模块1602、第二确定模块1603和发送模块1604。
获取模块1601,用于获取核心网信令数据,核心网信令数据包括但不限于呼叫历史记录数据。例如,该获取模块1601所执行的功能可参见上述图4所示实施例中的步骤401。
第一确定模块1602,用于根据核心网信令数据确定异常UE,异常UE是指行为异常的UE。例如,该第一确定模块1602所执行的功能可参见上述图4所示实施例中的步骤402。
第二确定模块1603,用于根据异常UE确定异常群体特征,异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式。例如,该第二确定模块1603所执行的功能可参见上述图4所示实施例中的步骤403。
发送模块1604,用于向边缘检测节点设备发送异常群体特征。例如,该发送模块1604所执行的功能可参见上述图4所示实施例中的步骤404。
在示例性实施例中,在示例性实施例中,获取模块1601,用于获取当前周期的核心网信令数据;
第一确定模块1602,用于根据当前周期的核心网信令数据,提取当前周期的行为特征,行为特征为多个UE各自在通信过程中出现的行为特征;根据当前周期的行为特征,建立当前周期的UE画像,UE画像用于描述多个UE被划分为的至少一个UE群体,至少一个UE群体中的每个UE群体中的UE在行为特征上具有共性;将当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,参考周期为当前周期之前的周期。
在示例性实施例中,当前周期的行为特征包括当前周期的时间指示、一个或多个用户标识、以及一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,信令分类计数数组是一个N维向量,N维向量中的向量i对应信令类别i,一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N;
第一确定模块1602,用于根据一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对当前周期中的多个UE进行聚类从而得到聚类结果,聚类结果包括至少一个UE群体;将得到的聚类结果作为当前周期的UE画像。
在示例性实施例中,聚类结果包括至少两个UE群体,至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对至少两个UE群体中的任意一个选定的UE群体,选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,选定的UE群体的特征值是选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果;
第一确定模块1602,用于从当前周期的各个UE群体中选择一个UE群体,针对选择出的UE群体执行以下处理,直至处理完当前周期的每个UE群体为止:
将选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到选择出的UE群体对应的特征值;将选择出的UE群体对应的特征值与参考周期的各个UE群体对应的特征值逐个进行比较,如果参考周期中不存在一个UE群体对应的特征值与选择出的UE群体对应的特征值的差值小于设定阈值,则确定选择出的UE群体中的UE为异常UE。
在示例性实施例中,异常UE的指定信息包括异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
在示例性实施例中,当前周期的行为特征还包括UE的信令总数、信令发送频率和接入时长中的至少一种特征。
本申请实施例提供的装置,通过根据核心网信令数据确定异常UE,由于异常UE的数量小于数据面用户数量,因而基于异常UE确定的异常群体特征之后,将该异常群体特征发送给边缘检测节点设备,使得边缘检测节点设备对待检测数据进行过滤之后,仅检测过滤后的数据,能够降低检测的数据量,提升检测效率和检测性能。
本申请实施例提供了一种UE用户数据的检测装置,该装置用于执行上述图4所示实施例中的边缘检测节点设备所执行的功能。参见图17,该装置包括:
接收模块1701,用于接收中心检测节点设备发送的异常群体特征,异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式。例如,该接收模块1701所执行的功能可参见上述图4所示实施例中的步骤405。
获取模块1702,用于获取待检测数据。例如,该获取模块1702所执行的功能可参见上述图4所示实施例中的步骤406。
过滤模块1703,用于基于异常群体特征对待检测数据进行过滤。例如,该过滤模块1703所执行的功能可参见上述图4所示实施例中的步骤407。
检测模块1704,用于对过滤获得的数据进行检测。例如,该检测模块1704所执行的功能可参见上述图4所示实施例中的步骤408。
在示例性实施例中,过滤模块1703,用于从待检测数据中筛选出符合异常群体特征的数据,将符合异常群体特征的数据作为过滤获得的数据。
在示例性实施例中,异常UE的指定信息包括异常UE的网际协议IP、端口、协议类型及IMSI中的至少一种。
本申请实施例提供的装置,通过接收中心检测设备发送的异常群体特征,而该异常群体特征是基于异常UE得到的,异常UE的数量小于数据面用户数量,因而基于异常群体特征对待检测数据进行过滤之后,仅检测过滤后的数据,能够降低检测的数据量,提升检测效率和检测性能。
应理解的是,上述图16或17提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图18为本申请实施例的UE用户数据的检测设备1800的硬件结构示意图。图18所示的UE用户数据的检测设备1800可以执行上述图4所示实施例的方法中的中心检测节点设备或边缘检测节点设备执行的相应步骤。
如图18所示,UE用户数据的检测设备1800包括处理器1801、存储器1802、网络接口1803和总线1806。其中网络接口1803可以通过无线或有线的方式实现,具体来讲可以是网卡。上述处理器1801、存储器1802和网络接口1803通过总线1806连接。
网络接口1803可以包括发送器和接收器,例如,UE用户数据的检测设备1800为中心检测节点设备时,网络接口1803用于接收核心网信令数据以及向边缘检测节点设备发送群体异常特征,也即是执行上述图4所示实施例中401和404的处理步骤。又例如,UE用户数据的检测设备1800为边缘检测节点设备时,网络接口1803用于接收中心检测节点设备发送的群体异常特征,执行上述图4所示实施例中405的处理步骤。处理器1801用于执行上述图4所示实施例中406-408的处理相关步骤。
存储器1802包括操作系统18021和程序代码18022,用于存储程序、代码或指令,当处理器1801或硬件设备执行这些程序、代码或指令时可以完成方法实施例中涉及UE用户数据的检测设备1800的处理过程。可选的,存储器1802可以包括只读存储器(英文:Read-onlyMemory,缩写:ROM)和随机存取存储器(英文:Random Access Memory,缩写:RAM)。其中,ROM包括基本输入/输出系统(英文:Basic Input/Output System,缩写:BIOS)或嵌入式系统;RAM包括应用程序和操作系统。当需要运行UE用户数据的检测设备1800时,通过固化在ROM中的BIOS或者嵌入式系统中的bootloader引导系统进行启动,引导用于检测数据的设备1800进入正常运行状态。在UE用户数据的检测设备1800进入正常运行状态后,运行在RAM中的应用程序和操作系统,从而,完成方法实施例中涉及UE用户数据的检测设备1800的处理过程。
可以理解的是,图18仅仅示出了UE用户数据的检测设备1800的简化设计。在实际应用中,UE用户数据的检测设备1800可以包含任意数量的接口,处理器或者存储器。例如,如图18所示,该UE用户数据的检测设备1800还包括输入设备1804和显示器1805。该输入设备1804可用于输入检测相关的指令,显示器1805可用于显示该检测相关的指令,还可以显示数据检测结果。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advanced RISC machines,ARM)架构的处理器。
进一步地,在一种可选的实施例中,上述存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。
还提供了一种计算机可读存储介质,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现如上任一所述的UE用户数据的检测方法。
本申请提供了一种计算机程序,当计算机程序被计算机执行时,可以使得处理器或计算机执行上述方法实施例中对应的各个步骤和/或流程。
提供了一种芯片,包括处理器,用于从存储器中调用并运行所述存储器中存储的指令,使得安装有所述芯片的通信设备执行上述各方面中的方法。
提供另一种芯片,包括:输入接口、输出接口、处理器和存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过内部连接通路相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述各方面中的方法。
提供了一种用于检测数据的系统,该系统包括中心检测节点设备和边缘检测节点设备,该中心检测节点设备和边缘检测节点设备执行UE用户数据的检测过程可参见上述图4所示的相关步骤,此处不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk)等。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。

Claims (22)

1.一种用户设备UE用户数据的检测方法,其特征在于,所述方法包括:
中心检测节点设备获取核心网信令数据;
根据所述核心网信令数据确定异常UE,所述异常UE是指行为异常的UE;
根据所述异常UE确定异常群体特征,所述异常群体特征包括所述异常UE进行通信所使用的标识或者用户数据传输方式;
所述中心检测节点设备向边缘检测节点设备发送所述异常群体特征。
2.根据权利要求1所述的方法,其特征在于,所述获取核心网信令数据,包括:
获取当前周期的核心网信令数据;
所述根据所述核心网信令数据确定异常UE,包括:
根据所述当前周期的核心网信令数据,提取所述当前周期的行为特征,所述行为特征为多个UE各自在通信过程中出现的行为特征;
根据所述当前周期的行为特征,建立所述当前周期的UE画像,所述UE画像用于描述所述多个UE被划分为的至少一个UE群体,所述至少一个UE群体中的每个所述UE群体中的UE在行为特征上具有共性;
将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,所述参考周期为所述当前周期之前的周期。
3.根据权利要求2所述的方法,其特征在于,所述当前周期的行为特征包括所述当前周期的时间指示、一个或多个用户标识、以及所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,所述信令分类计数数组是一个N维向量,所述N维向量中的向量i对应信令类别i,所述一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N;
所述根据所述当前周期的行为特征,建立所述当前周期的UE画像,包括:
根据所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对所述当前周期中的多个UE进行聚类从而得到聚类结果,所述聚类结果包括所述至少一个UE群体;
将得到的聚类结果作为所述当前周期的UE画像。
4.根据权利要求3所述的方法,其特征在于,所述聚类结果包括至少两个UE群体,所述至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对所述至少两个UE群体中的任意一个选定的UE群体,所述选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,所述选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为所述选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,所述选定的UE群体的特征值是所述选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果;
所述将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,包括:
从所述当前周期的各个UE群体中选择一个UE群体,针对所述选择出的UE群体执行以下处理,直至处理完所述当前周期的每个UE群体为止:
将所述选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到所述选择出的UE群体对应的特征值;
将所述选择出的UE群体对应的特征值与所述参考周期的各个UE群体对应的特征值逐个进行比较,如果所述参考周期中不存在一个UE群体对应的特征值与所述选择出的UE群体对应的特征值的差值小于设定阈值,则确定所述选择出的UE群体中的UE为异常UE。
5.根据权利要求1-4任一所述的方法,其特征在于,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
6.根据权利要求3-5任一所述的方法,其特征在于,所述当前周期的行为特征还包括所述UE的信令总数、信令发送频率和接入时长中的至少一种特征。
7.一种用户设备UE用户数据的检测方法,其特征在于,所述方法包括:
边缘检测节点设备接收中心检测节点设备发送的异常群体特征,所述异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式;
所述边缘检测节点设备获取待检测数据;
所述边缘检测节点设备基于所述异常群体特征对所述待检测数据进行过滤;
所述边缘检测节点设备对过滤获得的数据进行检测。
8.根据权利要求7所述的方法,其特征在于,所述边缘检测节点设备基于所述异常群体特征对所述待检测数据进行过滤,包括:
从所述待检测数据中筛选出符合所述异常群体特征的数据,将所述符合所述异常群体特征的数据作为所述过滤获得的数据。
9.根据权利要求7或8所述的方法,其特征在于,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
10.一种用户设备UE用户数据的检测装置,其特征在于,所述装置包括:
获取模块,用于获取核心网信令数据;
第一确定模块,用于根据所述核心网信令数据确定异常UE,所述异常UE是指行为异常的UE;
第二确定模块,用于根据所述异常UE确定异常群体特征,所述异常群体特征包括所述异常UE进行通信所使用的标识或者用户数据传输方式;
发送模块,用于向边缘检测节点设备发送所述异常群体特征。
11.根据权利要求10所述的装置,其特征在于,所述获取模块,用于获取当前周期的核心网信令数据;
所述第一确定模块,用于根据所述当前周期的核心网信令数据,提取所述当前周期的行为特征,所述行为特征为多个UE各自在通信过程中出现的行为特征;根据所述当前周期的行为特征,建立所述当前周期的UE画像,所述UE画像用于描述所述多个UE被划分为的至少一个UE群体,所述至少一个UE群体中的每个所述UE群体中的UE在行为特征上具有共性;将所述当前周期的UE画像与参考周期的UE画像进行比对,根据比对结果确定异常UE,所述参考周期为所述当前周期之前的周期。
12.根据权利要求11所述的装置,其特征在于,所述当前周期的行为特征包括所述当前周期的时间指示、一个或多个用户标识、以及所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,所述信令分类计数数组是一个N维向量,所述N维向量中的向量i对应信令类别i,所述一个或多个用户标识中的第一用户标识对应的信令分类计数数组中向量i的向量值为第一用户标识的信令类别i的信令计数值,其中N取值为自然数,i的取值大于0小于N;
所述第一确定模块,用于根据所述一个或多个用户标识中的每个用户标识分别对应的信令分类计数数组,对所述当前周期中的多个UE进行聚类从而得到聚类结果,所述聚类结果包括所述至少一个UE群体;将得到的聚类结果作为所述当前周期的UE画像。
13.根据权利要求12所述的装置,其特征在于,所述聚类结果包括至少两个UE群体,所述至少两个UE群体中的每个UE群体分别具有一个聚类中心,针对所述至少两个UE群体中的任意一个选定的UE群体,所述选定的UE群体的聚类中心对应的信令分类计数数组是一个N维向量,所述选定的UE群体的聚类中心对应的信令分类计数数组中向量i的向量值为所述选定的UE群体中所有用户标识对应的信令分类计数数组中向量i的向量值的平均值,所述选定的UE群体的特征值是所述选定的UE群体的聚类中心对应的信令分类计数数组中包含的N个向量值的求和结果;
所述第一确定模块,用于从所述当前周期的各个UE群体中选择一个UE群体,针对所述选择出的UE群体执行以下处理,直至处理完所述当前周期的每个UE群体为止:
将所述选择出的UE群体的聚类中心对应的信令分类计数数组包含的N个向量值进行求和得到所述选择出的UE群体对应的特征值;将所述选择出的UE群体对应的特征值与所述参考周期的各个UE群体对应的特征值逐个进行比较,如果所述参考周期中不存在一个UE群体对应的特征值与所述选择出的UE群体对应的特征值的差值小于设定阈值,则确定所述选择出的UE群体中的UE为异常UE。
14.根据权利要求10-13任一所述的装置,其特征在于,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
15.根据权利要求12-14任一所述的装置,其特征在于,所述当前周期的行为特征还包括所述UE的信令总数、信令发送频率和接入时长中的至少一种特征。
16.一种用户设备UE用户数据的检测装置,其特征在于,所述装置包括:
接收模块,用于接收中心检测节点设备发送的异常群体特征,所述异常群体特征包括异常UE进行通信所使用的标识或者用户数据传输方式;
获取模块,用于获取待检测数据;
过滤模块,用于基于所述异常群体特征对所述待检测数据进行过滤;
检测模块,用于对过滤获得的数据进行检测。
17.根据权利要求16所述的装置,其特征在于,所述过滤模块,用于从所述待检测数据中筛选出符合所述异常群体特征的数据,将所述符合所述异常群体特征的数据作为所述过滤获得的数据。
18.根据权利要求16或17所述的装置,其特征在于,所述异常UE的指定信息包括所述异常UE的网际协议IP、端口、协议类型及国际移动用户识别码IMSI中的至少一种。
19.一种用户设备UE用户数据的检测设备,其特征在于,所述设备包括:
存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现权利要求1-6中任一所述的用户设备UE用户数据的检测方法。
20.一种用户设备UE用户数据的检测设备,其特征在于,所述设备包括:
存储器及处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现权利要求7-9任一所述的用户设备UE用户数据的检测方法。
21.一种用户设备UE用户数据的检测系统,其特征在于,所述系统包括:至少一个所述权利要求19所述的设备以及至少一个所述权利要求20所述的设备。
22.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1-9中任一所述的用户设备UE用户数据的检测方法。
CN202010399394.8A 2020-05-12 2020-05-12 用户设备ue用户数据的检测方法、设备、系统及存储介质 Active CN113727348B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202010399394.8A CN113727348B (zh) 2020-05-12 2020-05-12 用户设备ue用户数据的检测方法、设备、系统及存储介质
PCT/CN2020/128841 WO2021227414A1 (zh) 2020-05-12 2020-11-13 用户设备ue用户数据的检测方法、设备及存储介质
EP20935831.6A EP4145769A4 (en) 2020-05-12 2020-11-13 METHOD AND DEVICE FOR DETECTING USER DATA OF USER EQUIPMENT (UE), AND STORAGE MEDIUM
JP2022568671A JP7434690B2 (ja) 2020-05-12 2020-11-13 ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム
US18/054,643 US20230073813A1 (en) 2020-05-12 2022-11-11 Method and Device for Detecting User Data of User Equipment UE, and Storage Medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010399394.8A CN113727348B (zh) 2020-05-12 2020-05-12 用户设备ue用户数据的检测方法、设备、系统及存储介质

Publications (2)

Publication Number Publication Date
CN113727348A true CN113727348A (zh) 2021-11-30
CN113727348B CN113727348B (zh) 2023-07-11

Family

ID=78526342

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010399394.8A Active CN113727348B (zh) 2020-05-12 2020-05-12 用户设备ue用户数据的检测方法、设备、系统及存储介质

Country Status (5)

Country Link
US (1) US20230073813A1 (zh)
EP (1) EP4145769A4 (zh)
JP (1) JP7434690B2 (zh)
CN (1) CN113727348B (zh)
WO (1) WO2021227414A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115278685A (zh) * 2022-07-26 2022-11-01 上海欣诺通信技术股份有限公司 一种基于dpi技术的5g异常行为终端检测方法及电子设备

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114501419B (zh) * 2021-12-30 2023-05-12 中国联合网络通信集团有限公司 信令数据处理方法、装置和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009132552A1 (zh) * 2008-04-30 2009-11-05 华为技术有限公司 一种入侵检测方法、系统和装置
WO2017101506A1 (zh) * 2015-12-14 2017-06-22 乐视控股(北京)有限公司 信息处理方法及装置
US20180109975A1 (en) * 2016-10-18 2018-04-19 Nokia Solutions And Networks Oy Detection and Mitigation of Signalling Anomalies in Wireless Network
CN109361660A (zh) * 2018-09-29 2019-02-19 武汉极意网络科技有限公司 异常行为分析方法、系统、服务器及存储介质
CN110096362A (zh) * 2019-04-24 2019-08-06 重庆邮电大学 一种基于边缘服务器协作的多任务卸载方法
CN110650034A (zh) * 2018-06-26 2020-01-03 华为技术有限公司 一种信息处理方法及装置
CN111091278A (zh) * 2019-12-04 2020-05-01 湃方科技(天津)有限责任公司 机械设备异常检测的边缘检测模型构建方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230450A1 (en) 2005-03-31 2006-10-12 Tian Bu Methods and devices for defending a 3G wireless network against a signaling attack
US8965334B2 (en) 2005-12-19 2015-02-24 Alcatel Lucent Methods and devices for defending a 3G wireless network against malicious attacks
EP3427437A4 (en) 2016-03-10 2019-10-23 Telefonaktiebolaget LM Ericsson (PUBL) DDOS DEFENSE IN A PACKAGED NETWORK
US10154435B2 (en) * 2016-10-01 2018-12-11 Intel Corporation Systems, methods, and devices for coexistence of heterogeneous bandwidth communications
CN109952783B (zh) 2016-11-08 2022-04-05 瑞典爱立信有限公司 故障设备负载保护
US10171993B2 (en) * 2017-05-05 2019-01-01 Nokia Technologies Oy Identity request control for user equipment
CN110225067B (zh) * 2019-07-24 2021-08-24 上海戎磐网络科技有限公司 一种物联网安全预警系统
CN110661861A (zh) * 2019-09-19 2020-01-07 北京邮电大学 一种智慧后勤业务系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009132552A1 (zh) * 2008-04-30 2009-11-05 华为技术有限公司 一种入侵检测方法、系统和装置
WO2017101506A1 (zh) * 2015-12-14 2017-06-22 乐视控股(北京)有限公司 信息处理方法及装置
US20180109975A1 (en) * 2016-10-18 2018-04-19 Nokia Solutions And Networks Oy Detection and Mitigation of Signalling Anomalies in Wireless Network
CN110650034A (zh) * 2018-06-26 2020-01-03 华为技术有限公司 一种信息处理方法及装置
CN109361660A (zh) * 2018-09-29 2019-02-19 武汉极意网络科技有限公司 异常行为分析方法、系统、服务器及存储介质
CN110096362A (zh) * 2019-04-24 2019-08-06 重庆邮电大学 一种基于边缘服务器协作的多任务卸载方法
CN111091278A (zh) * 2019-12-04 2020-05-01 湃方科技(天津)有限责任公司 机械设备异常检测的边缘检测模型构建方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115278685A (zh) * 2022-07-26 2022-11-01 上海欣诺通信技术股份有限公司 一种基于dpi技术的5g异常行为终端检测方法及电子设备
CN115278685B (zh) * 2022-07-26 2023-10-31 上海欣诺通信技术股份有限公司 一种基于dpi技术的5g异常行为终端检测方法及电子设备

Also Published As

Publication number Publication date
EP4145769A1 (en) 2023-03-08
CN113727348B (zh) 2023-07-11
EP4145769A4 (en) 2023-10-25
WO2021227414A1 (zh) 2021-11-18
US20230073813A1 (en) 2023-03-09
JP2023525112A (ja) 2023-06-14
JP7434690B2 (ja) 2024-02-21

Similar Documents

Publication Publication Date Title
CN109284380B (zh) 基于大数据分析的非法用户识别方法及装置、电子设备
CN111935223B (zh) 基于5g和云计算的物联网设备处理方法及云计算中心
CN108768695B (zh) Kqi的问题定位方法及装置
CN114465739A (zh) 异常识别方法和系统、存储介质及电子装置
CN104270275A (zh) 一种异常原因的辅助分析方法、服务器以及智能设备
CN107222511B (zh) 恶意软件的检测方法及装置、计算机装置及可读存储介质
CN113727348B (zh) 用户设备ue用户数据的检测方法、设备、系统及存储介质
CN112949739A (zh) 一种基于智能流量分类的信息传输调度方法及系统
CN111552246A (zh) 应用于智慧园区的设备生产线调度方法及云计算服务器
CN111177469A (zh) 人脸检索方法及人脸检索装置
CN112688822A (zh) 基于多点协同的边缘计算故障或安全威胁监测系统与方法
CN112437163A (zh) 基于区块链及大数据的通信处理方法及系统
CN113645305A (zh) 一种物联网数据的传输节点确定方法及系统
CN113691483B (zh) 异常用户设备的检测方法、装置、设备及存储介质
CN112232290B (zh) 数据聚类方法、服务器、系统以及计算机可读存储介质
CN116821777B (zh) 一种新型基础测绘数据整合方法及系统
CN112215287B (zh) 基于距离的多节聚类方法和装置、存储介质及电子装置
CN117336033A (zh) 流量的拦截方法、装置、存储介质及电子设备
CN112087450A (zh) 一种异常ip识别方法、系统及计算机设备
CN111698321A (zh) 物联网设备数据同步方法、装置及控制中心
CN113472640B (zh) 一种智能网关信息处理方法及系统
CN115664992A (zh) 网络运行数据的处理方法、装置、电子设备及介质
CN112468509A (zh) 一种基于深度学习技术的流量数据自动检测方法及装置
CN114520774B (zh) 基于智能合约的深度报文检测方法及装置
CN113254318B (zh) 设备标识信息确定方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Dong Qiming

Inventor after: Wu Yunze

Inventor after: Liu Zhongqing

Inventor before: Luo Qiming

Inventor before: Wu Yunze

Inventor before: Liu Zhongqing

GR01 Patent grant
GR01 Patent grant