CN114465739A - 异常识别方法和系统、存储介质及电子装置 - Google Patents
异常识别方法和系统、存储介质及电子装置 Download PDFInfo
- Publication number
- CN114465739A CN114465739A CN202011134732.1A CN202011134732A CN114465739A CN 114465739 A CN114465739 A CN 114465739A CN 202011134732 A CN202011134732 A CN 202011134732A CN 114465739 A CN114465739 A CN 114465739A
- Authority
- CN
- China
- Prior art keywords
- target
- data
- terminal
- log
- recognition model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种异常识别方法和装置、系统、存储介质及电子装置,上述方法包括:通过日志系统从目标网元获取目标终端的第一数据,第一数据包括目标终端的第一终端描述信息以及目标终端的目标数据流的第一数据流描述信息;通过日志系统将第一数据输入至目标识别模型,并获取目标识别模型输出的第一识别结果,目标识别模型用于根据第一数据识别目标终端是否存在异常;在第一识别结果指示目标终端存在异常的情况下,通过日志系统向安全管理后台发送通知消息,通知消息用于指示目标终端存在异常。通过本发明,解决了相关技术中日志系统无法识别终端异常的技术问题,实现了日志系统对于终端的异常的识别。
Description
技术领域
本发明实施例涉及通信领域,具体而言,涉及一种异常识别方法和系统、存储介质及电子装置。
背景技术
随着5G大规模商用和万物互联时代的到来,网络中产生了更多的流量消耗,而且网络拓扑更加复杂、终端规模剧增,因此实现网络安全更加重要,一旦出现网络安全问题,可能会引发非常严重的后果。
目前,运营商和设备商面临着严峻的网络安全形势。相关技术中,通常在网络中部署防火墙设备对终端进行数据拦截,并部署日志系统(例如基于网络详细记录协议(IPDetailed Record,简称为IPDR)的日志系统)以实现终端信息与上网日志的关联,并将终端的上网日志进行存储,方便对终端进行溯源查询。但是该方式存在以下几个方面的缺陷:第一、日志系统缺乏事前的对终端以及终端产生的数据流中所存在的异常进行主动发现和通知的能力。日志系统属于溯源系统,虽然在发生由存在异常的终端所导致的网络安全问题后,可以在该日志系统中对终端的上网日志进行事后查阅分析,但是日志系统无法实现在发生网络问题之前进行异常的预判,进而安全部门无法提前得到通知,从而该方式无法在出现网络安全问题前对终端的上网行为进行控制,而此时存在异常的终端已经开始进行危险活动,从而严重影响了网络安全。第二、日志系统缺乏事后主动发现及上报能力:当出现网络安全问题,日志设备仅能被动的接收所有终端的上网日志并对其进行存储,而这些上网日志仅仅是原始记录,其中并没有任何标记或提示信息,从而安全部门无法根据日志系统中存储中的海量日志得知这些日志是否是异常日志,安全部门只能在发现网络中存在的完全问题后,再从日志系统中根据网络协议(Internet Protocol,简称为IP)地址进行溯源。第三、由于日志系统对于接收到的所有日志均进行存储,从而导致日志系统需要存储海量的日志数据,占用了大量的存储空间、导致了大量的存储资源的消耗。
针对相关技术中,日志系统无法识别终端异常的技术问题,尚未提出有效的技术方案。
发明内容
本发明实施例提供了一种异常识别方法和装置、存储介质及电子装置,以至少解决相关技术中日志系统无法识别终端异常的技术问题。
根据本发明的一个实施例,提供了一种异常识别,包括:通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
在一个示例性实施例中,在所述通过所述日志系统将所述第一数据输入至目标识别模型之后,所述方法还包括:获取所述目标识别模型输出的第二识别结果,其中,所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常;在所述第二识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统向安全管理后台发送所述通知消息,其中,所述通知消息还用于指示所述目标数据流存在异常。
在一个示例性实施例中,所述通过日志系统从目标网元获取目标终端的第一数据,包括:从第一网元获取所述第一终端描述信息,以及从用户面功能实体UPF获取所述第一数据流描述信息。
在一个示例性实施例中,所述从第一网元获取所述第一终端描述信息,包括以下至少之一:从接入管理功能实体AMF获取所述目标终端的接入数据;从会话管理功能实体SMF获取所述目标终端的会话描述信息;从策略控制功能实体PCF获取所述目标终端对应的策略信息;从统一数据管理功能实体UDM获取所述目标终端的签约信息;其中,所述从用户面功能实体UPF获取所述第一数据流描述信息,包括以下至少之一:从所述UPF获取所述目标数据流的持续时间,所述目标数据流的五元组信息,所述目标数据流的协议类型,所述目标数据流中携带的统一资源定位符URL,所述目标数据流对应的应用,所述数据流中数据包的数量,所述数据流中数据包的总长度。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下,所述方法还包括:通过所述日志系统对所述目标终端对应的第一日志添加标签,其中,所述标签用于指示所述第一日志存在异常;通过所述日志系统保存所述第一日志,以及将所述第一日志发送至所述安全管理后台。
在一个示例性实施例中,在所述通过所述日志系统向安全管理后台发送通知消息之后,所述方法还包括:获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果,其中,所述检测结果用于指示所述目标数据流存在异常;其中,所述方法还包括:通过所述日志系统对所述目标终端对应的第二日志添加标签,其中,所述标签用于指示所述第二日志存在异常,所述第二日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第二日志,以及将所述第二日志发送至所述安全管理后台;或者,通过所述日志系统从所述目标网元获取所述目标终端的第二数据,其中,所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息;通过所述日志系统将所述第二数据输入至所述目标识别模型,并获取所述目标识别模型输出的第三识别结果;在所述第三识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统对所述目标终端对应的第三日志添加标签,其中,所述标签用于指示所述第三日志存在异常,所述第三日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第三日志,以及将所述第三日志发送至所述安全管理后台。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下,所述方法还包括:在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值,以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下,通过所述日志系统对所述目标终端对应的日志进行过滤,以及不通过所述日志系统保存所述目标终端对应的日志。
在一个示例性实施例中,在所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果之前,所述方法还包括:通过网络数据分析功能NWDAF实体获取多个样本数据,其中,所述多个样本数据中的每个样本数据包括一个终端的终端描述信息,所述一个终端的数据流的数据流描述信息,以及所述一个终端的数据流对应的检测结果,所述检测结果是防火墙设备对所述一个终端的数据流进行检测得到的检测结果,所述检测结果用于指示所述一个终端的数据流是否存在异常;通过所述NWDAF实体使用所述多个样本数据对训练前的识别模型进行训练,得到训练完成后的识别模型,将所述训练完成后的识别模型确定为所述目标识别模型。
在一个示例性实施例中,所述日志系统包括网络详细记录协议IPDR日志系统,所述目标识别模型位于NWDAF实体中,其中,所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,包括:通过所述IPDR日志系统将所述第一数据发送至所述NWDAF实体,其中,所述NWDAF实体用于将接收到的所述第一数据输入至所述目标识别模型;通过所述IPDR日志系统从所述NWDAF实体中获取所述目标识别模型输出的所述第一识别结果。
根据本发明的另一个实施例,提供了一种异常识别装置,包括:第一获取模块,用于通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;第二获取模块,用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;通知模块,用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
根据本发明的另一个实施例,提供了一种异常识别系统,包括:日志系统和目标网元,其中,所述日志系统,用于从所述目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;所述日志系统,还用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;所述日志系统,还用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。因此,可以解决日志系统无法识别终端异常的技术问题,实现了日志系统对于终端的异常的识别,从而使日志系统可以在网络中发生安全问题之前对异常进行识别并通知给安全管理后台,提高了网络的安全性。
附图说明
图1是根据本发明实施例的一种异常识别方法的电子装置的硬件结构框图;
图2是根据本发明实施例的一种异常识别方法的网络架构图;
图3是根据本发明实施例的异常识别方法的流程图;
图4是根据本发明实施例中的NWDAF实体进行模型训练的示意图;
图5是根据本发明另一实施例的异常识别方法的流程图;
图6是根据本发明实施例的IPDR日志系统内部的业务数据流程示意图;
图7是根据本发明实施例的异常识别装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端、服务器、通信网络中的网元或者类似的运算装置中执行。以运行在电子装置上为例,图1是根据本发明实施例的一种异常识别方法的电子装置的硬件结构框图。如图1所示,电子装置可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述电子装置还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的异常识别方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至电子装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括无线网络,或是有线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本申请实施例可以运行于图2所示的网络架构中,如图2所示,核心网的网络架构中包括以下网元:网络数据分析功能(Network Data Analytics Function,简称为NWDAF)实体,IRDP日志系统,接入管理功能(Access Management Function,简称为AMF)实体,会话管理功能(Session Management Function,简称为SMF)实体,策略控制功能实体(PolicyControl Function,简称为PCF),统一数据管理功能(Unified Data Management,简称为UDM)实体,用户面功能(User Plane Function,简称为UPF)实体;其中,NWDAF实体可以通过3GPP标准定义的接口与AMF实体,SMF实体,PCF实体,UDM实体以及UPF实体等各个实体直接通信,订阅终端的相关数据。其中,各个实体也可以称为网元。
在本实施例中提供了一种运行于上述网络架构的异常识别方法,图3是根据本发明实施例的异常识别方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
步骤S304,通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
步骤S306,在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
通过本发明,通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。因此,可以解决日志系统无法识别终端异常的技术问题,实现了日志系统对于终端的异常的识别,从而使日志系统可以在网络中发生安全问题之前对异常进行识别并通知给安全管理后台,提高了网络的安全性。
在一个示例性实施例中,在所述通过所述日志系统将所述第一数据输入至目标识别模型之后,所述方法还包括:获取所述目标识别模型输出的第二识别结果,其中,所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常;在所述第二识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统向安全管理后台发送所述通知消息,其中,所述通知消息还用于指示所述目标数据流存在异常。
其中,目标识别模型根据输入的第一数据得到两个识别结果:第一识别结果和第二识别结果,第一识别结果用于指示目标终端是否存在异常,第二识别结果用于指示目标数据流是否存在异常。
在一个示例性实施例中,所述通过日志系统从目标网元获取目标终端的第一数据,包括:从第一网元获取所述第一终端描述信息,以及从用户面功能实体UPF获取所述第一数据流描述信息。
在上述实施例中,第一终端描述信息是与目标终端相关的信息,第一数据流描述信息是与目标数据流相关的信息。
在一个示例性实施例中,所述从第一网元获取所述第一终端描述信息,包括以下至少之一:从接入管理功能实体AMF获取所述目标终端的接入数据;从会话管理功能实体SMF获取所述目标终端的会话描述信息;从策略控制功能实体PCF获取所述目标终端对应的策略信息;从统一数据管理功能实体UDM获取所述目标终端的签约信息;其中,所述从用户面功能UPF实体获取所述数据流描述信息,包括以下至少之一:从所述UPF获取所述目标数据流的持续时间,所述目标数据流的五元组信息,所述目标数据流的协议类型,所述目标数据流中携带的统一资源定位符URL,所述目标数据流对应的应用,所述数据流中数据包的数量,所述数据流中数据包的总长度。
其中,可以通过日志系统从多个网元中获取终端的相关数据,例如从上述AMF实体,SMF实体,PCF,UDM实体以及UPF实体中的至少一个实体中获取到终端的相关数据,第一终端描述信息可以是从上述AMF实体,SMF实体,PCF,UDM实体以及UPF实体中的至少一个实体中获取到的数据。其中,目标终端的接入数据包括但不限于:目标终端的位置和/或目标终端的移动性;目标终端的会话描述信息包括但不限于目标终端的协议数据单元(Protocol Data Unit,简称为PDU)会话的相关信息,例如目标终端使用的无线接入技术(Radio Access Technology,简称为RAT),承载类型(Bear Type),PDU会话的激活时间中的至少之一;目标终端对应的策略信息包括但不限于用于对目标终端的业务进行控制和计费的策略信息;所述目标数据流的五元组信息包括目标数据流中的数据包的源IP地址、源端口、目的IP地址、目的端口和传输层协议;所述目标数据流对应的应用包括但不限于:所述目标数据流所属的应用。
需要说明的是,所述从用户面功能UPF实体获取所述第一数据流描述信息,还可以包括从UPF实体获取所述目标数据流的深度报文检测(Deep Packet Inspection,简称为DPI)特征。可选地,DPI特征可以是相关技术中采用DPI技术得到的相关特征,包括但不限于:所述目标数据流中的源IP地址、源端口、目的IP地址、目的端口和传输层协议,所述目标数据流的流出方向,所述目标终端访问的网站、资源内容、资源类型,
在一个示例性实施例中,在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下,所述方法还包括:通过所述日志系统对所述目标终端对应的第一日志添加标签,其中,所述标签用于指示所述第一日志存在异常;通过所述日志系统保存所述第一日志,以及将所述第一日志发送至所述安全管理后台。
在上述实施例中,日志系统在获取到目标识别模型输出的指示目标数据流存在异常的情况下,将接收到的目标终端对应的第一日志添加标签,并存储添加了标签的第一日志,以及将所述第一日志发送至所述安全管理后台,从而可以使安全管理平台根据第一日志及时采取安全控制措施。
在一个示例性实施例中,在所述通过所述日志系统向安全管理后台发送通知消息之后,所述方法还包括:获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果,其中,所述检测结果用于指示所述目标数据流存在异常;其中,所述方法还包括:通过所述日志系统对所述目标终端对应的第二日志添加标签,其中,所述标签用于指示所述第二日志存在异常,所述第二日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第二日志,以及将所述第二日志发送至所述安全管理后台;或者,通过所述日志系统从所述目标网元获取所述目标终端的第二数据,其中,所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息;通过所述日志系统将所述第二数据输入至所述目标识别模型,并获取所述目标识别模型输出的第三识别结果;在所述第三识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统对所述目标终端对应的第三日志添加标签,其中,所述标签用于指示所述第三日志存在异常,所述第三日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第三日志,以及将所述第三日志发送至所述安全管理后台。
需要说明的是,在上述实施例中,在获取到防火墙设备发送的用于指示所述目标数据流存在异常的检测结果后,通过日志系统对接收到的目标终端对应的所有后续日志,其中包括上述第二日志添加标签,并对后续日志添加标签后进行存储,以及将每个后续日志发送至所述安全管理后台,从而使安全管理后台及时的对目标终端的日志进行安全分析。或者,在上述实施例中,在获取到防火墙设备发送的用于指示所述目标数据流存在异常的检测结果后,通过日志系统再次对目标终端的相关数据,例如上述第二数据,以及获取目标识别模型输出的与第二数据对应的第三识别结果,即由目标识别模型再次对目标终端的相关数据进行识别判断,在第三识别结果指示目标数据流存在异常的情况下,通过日志系统对接收到的目标终端对应的所有后续日志,其中包括上述第三日志添加标签,并对后续日志添加标签后进行存储,以及将每个后续日志发送至所述安全管理后台,从而使安全管理后台及时的对目标终端的日志进行安全分析。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下,所述方法还包括:在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值,以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下,通过所述日志系统对所述目标终端对应的日志进行过滤,以及不通过所述日志系统保存所述目标终端对应的日志。
其中,第一预设置信度可以与第二预设置信度阈值相同或不相同。
其中,日志系统仅在识别到异常的情况下,存储对应终端的日志,以及过滤掉不存在异常的终端的日志,从而极大的节省了日志存储所需的存储空间。需要说明的是,在上述实施例中,目标数据流存在异常,则可以确定该目标数据流对应的目标终端存在异常。
在一个示例性实施例中,在所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果之前,所述方法还包括:通过网络数据分析功能NWDAF实体获取多个样本数据,其中,所述多个样本数据中的每个样本数据包括一个终端的终端描述信息,所述一个终端的数据流的数据流描述信息,以及所述一个终端的数据流对应的检测结果,所述检测结果是防火墙设备对所述一个终端的数据流进行检测得到的检测结果,所述检测结果用于指示所述一个终端的数据流是否存在异常;通过所述NWDAF实体使用所述多个样本数据对训练前的识别模型进行训练,得到训练完成后的识别模型,将所述训练完成后的识别模型确定为所述目标识别模型。
在上述实施例中,NWDAF实体可以从上述多个网元中获取至少一个终端的相关数据,例如从上述AMF实体,SMF实体,PCF,UDM实体以及UPF实体中的至少一个实体中获取到至少一个终端的终端描述信息以及数据流描述信息,其中,NWDAF实体用于以下至少之一:从接入管理功能实体AMF获取所述至少一个终端的接入数据;从会话管理功能实体SMF获取所述至少一个终端的会话描述信息;从策略控制功能实体PCF获取所述至少一个终端对应的策略信息;从统一数据管理功能实体UDM获取所述至少一个终端的签约信息。NWDAF实体还可以用于以下至少之一:从所述UPF获取所述至少一个终端的数据流的持续时间,所述至少一个终端的数据流的五元组信息,所述至少一个终端的数据流的协议类型,所述至少一个终端的数据流中携带的统一资源定位符URL,所述至少一个终端的数据流对应的应用,所述至少一个终端的数据流中数据包的数量,所述至少一个终端的数据流中数据包的总长度。NWDAF实体根据样本数据对训练前的识别模型进行训练,在训练完成后得到目标识别模型。
其中,上述实施例中的数据包的数量包括但不限于数据流在持续时间内的数据包的总数。例如,第一数据流描述信息中包括的数据包的数量可以是目标数据流在该目标数据流的持续时间内对应的数据包的总数。
在一个示例性实施例中,所述日志系统包括网络详细记录协议IPDR日志系统,所述目标识别模型位于NWDAF实体中,其中,所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,包括:通过所述IPDR日志系统将所述第一数据发送至所述NWDAF实体,其中,所述NWDAF实体用于将接收到的所述第一数据输入至所述目标识别模型;通过所述IPDR日志系统从所述NWDAF实体中获取所述目标识别模型输出的所述第一识别结果。
在上述实施例中,目标识别模型位于NWDAF实体中,IPDR日志系统通过与NWDAF实体的交互,获取到NWDAF实体中的目标识别模型输出的识别结果,从而实现了使IPDR日志系统能够得知目标终端以及目标数据流是否存在异常。
以下结合一示例对上述实施例中的异常识别方法进行解释说明,但不用于限定本发明实施例的技术方案。
本发明实施例可以应用在5G通信网络中,其中,如图2所示,在核心网中部署有NWDAF实体,NWDAF通过3GPP标准定义的接口与多个主网元直接通信,订阅终端的相关数据,其中,主网元包括但不限于以下网元:AMF实体,SMF实体,PCF,UDM实体以及UPF实体。
其中,NWDAF实体用于以下至少之一:
从AMF实体获取终端的接入数据,例如终端的位置,移动性等数据;
从SMF实体获取终端PDU会话的相关数据,例如RAT,承载类型,PDU会话的激活时间等;
从PCF实体获取终端的相关策略信息等;
从UDM实体获取终端的相关签约信息(包括但不限于套餐信息)等;
从UPF实体获取流记录,并从流记录中提取流的相关信息,例如持续时间,五元组,协议类型,URL,包数,包长,应用,DPI特征等;
从运营商级网络地址转换(Carrier Grade Network Address Translation,简称为CGNAT)获取NAT日志。
NWDAF实体根据从各个主网元获取到的数据确定出元数据,其中,包括但不限于:NWDAF实体对从各个主网元获取到的数据进行去重,将去重后的数据确定为一条元数据。其中,NWDAF实体可以对去重后的数据进行归一化处理,从而得到处理后的数据,将处理后的数据确定为目标终端对应的特征数据。
同时,NWDAF实体实时的获取防火墙设备(Firewall)的检测结果。其中,Firewall具有安全管控功能,用于判断终端产生的数据流是否正常,当Firewall检测到数据流异常后,将该数据流异常通知给NWDAF实体,由NWDAF实体将检测结果作为对应元数据的标签结果,每个元数据和对应的标签结果组成一个样本数据,多个样本数据组成了样本集。NWDAF实体通过使用样本集对识别模型进行训练,最终得到目标识别模型,该目标识别模型用于判断终端的数据流是否存在异常。
IPDR日志系统(或称为IPDR网元)通过实时的与NWDAF实体进行交互。其中,IPDR网元可以在目标数据流刚刚产生时,向NWDAF实体发送目标终端的终端描述信息和目标数据流的数据流描述信息,并从NWDAF实体获取目标识别模型输出的第一识别结果和第二识别结果,从而实现对目标终端以及目标数据流是否异常进行预判,如果存在异常,则IPDR网元可以主动的将该目标终端的所有后续日志打上异常标签,同时主动上报给安全部门(例如上述实施例中的安全管理后台),从而使IPDR网元具备事前的主动通知的能力。
其中,IPDR网元继续实时的与NWDAF实体进行交互,以及接收Firewall发送的实时信息。该实时信息中包括但不限于Firewall对目标数据流进行检测,在检测到目标数据流存在异常时返回的用于指示目标数据流存在异常的检测结果。IPDR网元可以获取NWDAF实体中的目标识别模型对目标数据流再次进行识别所得到的识别结果,从而实现联合Firewall的检测结果和目标识别模型的识别结果,判断目标数据流是否异常,如果存在异常,则可以主动的将该目标终端的所有后续日志打上异常标签,以及将目标终端的所有后续日志主动上报安全部门,从而使IPDR网元具备事后的主动分析能力。
以图2为例,在本发明实施例中,终端(User Equipment,简称为UE)的流量(例如上述实施例中的目标数据流)在数据平面进行传输,其中流量依次经过无线接入网(RadioAccess Network,简称为RAN)节点、UPF实体、Firewall最终到达域名(Domain Name,简称为DN)网络。其中,终端的所有流量均经过Firewall
其中,NWDAF实体通过网络开放功能(Network Exposure Function)实体采集Firewall的管控事件记录(其中,管控事件记录中包括上述实施例中的检测结果);并与控制面的主网元(例如AMF实体,SMF实体,PCF以及UDM实体等网元)通过串行总线接口(SerialBus Interface,简称为SBI)进行数据交互;NWDAF同时采集UPF实体产生的详细流日志记录,该详细流日志记录中保存有数据流的相关信息,包括但不限于上述实施例中的持续时间,五元组信息,协议类型,统一资源定位符URL,应用,数据包的数量,数据包的总长度。可选地,UPF实体可以通过采用私有的软采接口,或是直接使用硬件探针分析Gi口的流量进行识别从而得到数据流的流日志记录中所需的各项数据。
IPDR网元从SMF实体获取控制面数据,并从UPF实体获取详细流日志记录,采用终端的私网IP地址或者控制平面会话ID(Control Plane session ID,简称为CP-SEID)作为键字(key)对控制面数据和详细流日志记录进行关联,同时采集运营商级网络地址转换(Carrier Grade Network Address Translation,简称为CGNAT)实体的NAT日志,并使用终端的私网IP、私网PORT与UPF流记录(即上述实施例中的详细流日志记录)进行关联。同时IPDR网元从UDM实体,PCF实体,AMF实体等网元采集终端的其余数据。
图4是根据本发明实施例中的NWDAF实体进行模型训练的示意图。在本发明实施例中,在训练之前,Firewall根据检测略检测数据流是否异常,其中,检测策略包括但不限于以下至少之一:
攻击检测安全策略,用于检测单包攻击、扫描攻击和泛洪攻击异常;
DPI应用层识别策略,用于检测特征码匹配,协议解析,业务识别等异常;
入侵防御系统(Intrusion Prevent System,简称为IPS)功能策略,用于检测蠕虫、木马、僵尸网络、间谍软件、广告软件、CGI攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等异常;
URL匹配策略,用于进行数据过滤,文件过滤,病毒监控等。
如图4所示,在步骤1至步骤5中,核心网的各个主网元向NWDAF上报相关信息。NWDAF实体从核心网的各个主网元获取信息,并在步骤6中实时接收Firewall发送的安全事件记录(即上述实施例中的管控事件记录),当收到管控事件记录后,NWDAF实体将受管控的记录保存,并与从核心网的各个主网元获取到的信息进行关联。可选地,使用终端的私网地址,即根据受管控的记录中携带的终端私网地址,将管控事件记录与从核心网的各个主网元获取到的信息进行关联。其中,管控事件记录通过私网地址与从UPF实体获取到的流记录(例如持续时间,五元组,协议,URL,包数,包长,应用,DPI特征),从SMF实体获取到的PDU会话相关信息(例如RAT,Bear Type,私网地址,激活时间)等信息关联;并根据获取到终端的号码,然后再结合从AMF实体获取的位置、移动性等数据,从PCF实体获取的相关的策略信息等,以及从UDM实体获取的签约信息进行关联,得到样本数据,从而完善了样本数据的特征空间。
NWDAF实体根据样本数据对识别模型进行监督训练(如步骤7所示),从而得到最终的目标识别模型。其中,训练前的识别模型可以采用多种算法进行构建,包括但不限于:神经网络,支持向量机(Support Vector Machines,简称为SVM),决策树等分类算法。NWDAF实体将样本数据、识别模型的初始参数代入识别模型的损失函数,通过采用优化算法(包括但不限于梯度优化,核方法,主成分分析)等降维方法,最终获取到识别模型的最优参数。
其中,通过训练过程使识别模型具备以下功能:
一是根据终端描述信息和数据流描述信息识别终端是否存在异常。其中,识别模型根据样本数据以及样本数据中的标签结果,在标签结果为异常的样本数据中,发掘终端的签约信息(例如签约时间,地点,套餐类型,终端对用的用户年龄、性别、职业,终端的激活时间,激活的地点等多种特征)的内在规律,从而学习到预测终端描述信息是否存在异常的能力。例如物联网卡有固定的规律,如果某一物联网卡对应的数据中存在异常的位置区域、异常的时间段,则可以识别到物联网卡所在的设备存在异常(例如设备被劫持从而导致了该异常)。再例如,某位置区域的学生类用户的终端具有以下特征:在上课时间内终端的位置位于校园附近,在该时间内,终端的流量及行为一般不会有重大区别,如果出现某个终端持续大量的进行异常业务,则结合终端身份信息和流的信息,可以推测该终端可能是异常的终端。
二是根据终端描述信息和数据流描述信息识别数据流是否存在异常。其中,根据样本数据以及样本数据中的标签结果,从样本数据中的多种特征信息(例如五元组,包数,连接数,DPI特征,时间,位置)中发掘出内在规律。例如某终端突然的频繁访问域名系统(Domain Name System,简称为DNS),通过目标识别模型可以识别到该终端可能在进行DNS攻击、拒绝服务攻击(Denial of Service,简称为DOS)等。或者,某UE的端口频繁的访问不同目的IP的相同端口,则目标识别模型可识别到该行为是病毒或者黑客扫描行为。再例如直接通DPI特征,目标识别模型可以识别出一些非法应用(APP)以及五元组中的非法的目的IP等等。
目标识别模型由NWDAF实体实时运行并更新,可以供其他网元订阅查询识别结果。
图5是根据本发明另一实施例的异常识别方法的流程图,如图5所示,该方法包括两个阶段:
在阶段1,即异常会话流建立过程中,包括以下处理步骤:
在步骤1至步骤6中,核心网的各个主网元向IPDR日志上报相关信息。其中,在流会话建立初期IPDR日志系统从SMF实体、UPF实体接收相关信息,并通过终端的私网IP或者CP-SEID等字段进行关联,完成终端面与控制面的数据合并。IPDR还从主网元接收终端的位置信息,套餐信息,策略信息以及业务刚开始时的少数流信息等,将获取到的这些信息作为特征数据并上报给NWDAF实体,由NWDAF实体中的目标识别模型预测终端是否异常以及流是否异常,IPDR日志系统从NWDAF实体获取到目标识别模型输出的识别结果(如步骤7中所示);一旦NWDAF实体判断该终端或者流是异常的,则IPDR日志系统可以将该终端和日志上报给安全管理后台(如步骤8所示),即在安全事件爆发前尽快上报,从而减少风险。
在阶段2,异常会话流进行过程(即后续流在持续的过程)中,包括以下处理步骤:
在步骤9中,IPDR日志系统接收防火墙设备上报的安全事件;
IPDR日志系统可以订阅NWDAF实体收到的防火墙上报的安全事件,并直接对流进行标记,或者也可以通过对流进行采样,抽取流的特征数据,并上报给NWDAF实体以通过目标识别模型对流进行智能识别,从而判断流是否是异常的流(如步骤10中所示)。
在步骤11中,若查询到数据流异常,则IPDR日志系统则将该流的相关日志全部保存,后续可以主动将这些记录发送给安全管理后台,从而完成事后的主动上报。
其中,对于正常终端的流记录,NWDA实体中的目标识别模型同时输出对应的置信度,在置信度超过阈值的情况下,IPDR可以直接过滤相关的流日志,即不保存相关的流日志,从而节省了存储空间。
图6是根据本发明实施例的IPDR日志系统内部的业务数据流程示意图,其中包括:
步骤1、IPDR日志系统不断从业务主网元获取相关数据,然后将这些数据进行关联;
步骤2、对于初始的会话终端和数据,IPDR日志系统与NWDAF实体交互,从而判断终端及流数据是否是异常的;
步骤3、对于不存在异常的日志,进行过滤、不再保存;
步骤4、对于异常的终端及数据,事前上报给安全管理后台部门;
其中,步骤3和步骤4的执行顺序可以互换,即先执行步骤4、再执行步骤3;
步骤5、对存在异常的日志进行保存;
步骤6、事后将异常的日志进行上报;
步骤7、NWDA实体可以主动向IPDR系统查询相关日志。
通过上述实施例,提供了一种基于人工智能(Artificial Intelligence,简称为AI)的安全日志系统,通过赋予IPDR日志系统智能能力,可以在风险发生前,预判可能存在风险数据时,将问题日志提前通知给安全管理后台,从而具备事前风险发现通知的主动能力。并且,在风险发生后,能够对日志进行主动分析,从而标记出存在异常的日志,将存在异常的日志主动发现上报安全管理后台,可以使得安全问题提前暴露。该日志系统具备智能能力后,可以选择性的保存可疑数据(即存在异常的日志),过滤掉大量的不存在异常的日志,从而极大的减少存储成本。在上述实施例中,IPDR日志系统通过与NWDAF实体联动,IPDR日志系统可以通过智能预测能力主动提前预判终端是否异常,从而具备事前通知的能力;并且IPDR日志系统与NWDAF实体、Firewall联动,可以凭借NWDAF的目标识别模型进行判断数据流是否从而具备事后分析的能力;IPDR日志系统通过对日志的判断,将可信的没有安全问题的日志过滤,从而大大降低了存储的要求,对成本控制十分有效;上述实施例汇中所采用的从Firewall获取安全事件的方法,有效的获取到了大量的廉价的标签数据,极大的提高了识别模型的识别准确性,摆脱了人为参与的过程,降低了训练成本;各个主网元为识别模型提供了多维的特征空间(空间,时间,业务等等),丰富了识别模型的维度,覆盖了多种可能性,极大的提高了适合识别模型的泛化性能,避免了过拟合的问题;以及即使在某些局点,没有部署Firewall,IPDR日志系统依然可以使用NWDAF实体中已经集成发布的目标识别模型进行智能分析。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种移动异常的确定装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7是根据本发明实施例的异常识别装置的结构框图,如图7所示,该装置包括:
第一获取模块72,用于通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
第二获取模块74,用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
通知模块76,用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
通过本发明,通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。因此,可以解决日志系统无法识别终端异常的技术问题,实现了日志系统对于终端的异常的识别,从而使日志系统可以在网络中发生安全问题之前对异常进行识别并通知给安全管理后台,提高了网络的安全性。
在一个示例性实施例中,所述第二获取模块,还用于:获取所述目标识别模型输出的第二识别结果,其中,所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常;所述通知模块,还用于在所述第二识别结果指示所述目标数据流存在异常的情况下,向安全管理后台发送所述通知消息,其中,所述通知消息还用于指示所述目标数据流存在异常。
在一个示例性实施例中,所述第一获取模块,还用于:从第一网元获取所述第一终端描述信息,以及从用户面功能实体UPF获取所述第一数据流描述信息。
在一个示例性实施例中,所述第一获取模块,还用于以下至少之一:从接入管理功能实体AMF获取所述目标终端的接入数据;从会话管理功能实体SMF获取所述目标终端的会话描述信息;从策略控制功能实体PCF获取所述目标终端对应的策略信息;从统一数据管理功能实体UDM获取所述目标终端的签约信息。
在一个示例性实施例中,所述第一获取模块,还用于以下至少之一:从所述UPF获取所述目标数据流的持续时间,所述目标数据流的五元组信息,所述目标数据流的协议类型,所述目标数据流中携带的统一资源定位符URL,所述目标数据流对应的应用,所述数据流中数据包的数量,所述数据流中数据包的总长度。
在一个示例性实施例中,所述装置还包括处理模块,用于在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下,对所述目标终端对应的第一日志添加标签,其中,所述标签用于指示所述第一日志存在异常;保存所述第一日志,以及将所述第一日志发送至所述安全管理后台。
在一个示例性实施例中,在所述通过所述日志系统向安全管理后台发送通知消息之后,所述第二获取模块,还用于:获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果,其中,所述检测结果用于指示所述目标数据流存在异常;所述处理模块,还用于:对所述目标终端对应的第二日志添加标签,其中,所述标签用于指示所述第二日志存在异常,所述第二日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第二日志,以及将所述第二日志发送至所述安全管理后台;或者,所述第一获取模块,还用于从所述目标网元获取所述目标终端的第二数据,其中,所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息;所述第二获取模块,还用于:将所述第二数据输入至所述目标识别模型,并获取所述目标识别模型输出的第三识别结果;所述处理模块,还用于:在所述第三识别结果指示所述目标数据流存在异常的情况下,对所述目标终端对应的第三日志添加标签,其中,所述标签用于指示所述第三日志存在异常,所述第三日志的生成时间晚于所述第一日志的生成时间;保存所述第三日志,以及将所述第三日志发送至所述安全管理后台。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下,所述处理模块,还用于:在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值,以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下,对所述目标终端对应的日志进行过滤,以及不保存所述目标终端对应的日志。
在一个示例性实施例中,所述日志系统包括网络详细记录协议IPDR日志系统,所述目标识别模型位于NWDAF实体中,其中,所述第二获取模块,还用于:将所述第一数据发送至所述NWDAF实体,其中,所述NWDAF实体用于将接收到的所述第一数据输入至所述目标识别模型;从所述NWDAF实体中获取所述目标识别模型输出的所述第一识别结果。
在本发明的另一个实施例中,提供了一种异常识别系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。其中,该系统包括:日志系统和目标网元,其中,
所述日志系统,用于从所述目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
所述日志系统,还用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
所述日志系统,还用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
通过本发明,通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。因此,可以解决日志系统无法识别终端异常的技术问题,实现了日志系统对于终端的异常的识别,从而使日志系统可以在网络中发生安全问题之前对异常进行识别并通知给安全管理后台,提高了网络的安全性。
在一个示例性实施例中,在所述通过所述日志系统将所述第一数据输入至目标识别模型之后,所述日志系统,还用于:获取所述目标识别模型输出的第二识别结果,其中,所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常;在所述第二识别结果指示所述目标数据流存在异常的情况下,向安全管理后台发送所述通知消息,其中,所述通知消息还用于指示所述目标数据流存在异常。
在一个示例性实施例中,所述日志系统,还用于:从第一网元获取所述第一终端描述信息,以及从用户面功能实体UPF获取所述第一数据流描述信息。
在一个示例性实施例中,所述日志系统,还用于以下至少之一:从接入管理功能实体AMF获取所述目标终端的接入数据;从会话管理功能实体SMF获取所述目标终端的会话描述信息;从策略控制功能实体PCF获取所述目标终端对应的策略信息;从统一数据管理功能实体UDM获取所述目标终端的签约信息。
在一个示例性实施例中,所述日志系统,还用于以下至少之一:从所述UPF获取所述目标数据流的持续时间,所述目标数据流的五元组信息,所述目标数据流的协议类型,所述目标数据流中携带的统一资源定位符URL,所述目标数据流对应的应用,所述数据流中数据包的数量,所述数据流中数据包的总长度。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下,所述日志系统,还用于:对所述目标终端对应的第一日志添加标签,其中,所述标签用于指示所述第一日志存在异常;保存所述第一日志,以及将所述第一日志发送至所述安全管理后台。
在一个示例性实施例中,在所述通过所述日志系统向安全管理后台发送通知消息之后,所述日志系统,还用于:获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果,其中,所述检测结果用于指示所述目标数据流存在异常;对所述目标终端对应的第二日志添加标签,其中,所述标签用于指示所述第二日志存在异常,所述第二日志的生成时间晚于所述第一日志的生成时间;通过所述日志系统保存所述第二日志,以及将所述第二日志发送至所述安全管理后台;或者,从所述目标网元获取所述目标终端的第二数据,其中,所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息;将所述第二数据输入至所述目标识别模型,并获取所述目标识别模型输出的第三识别结果;在所述第三识别结果指示所述目标数据流存在异常的情况下,对所述目标终端对应的第三日志添加标签,其中,所述标签用于指示所述第三日志存在异常,所述第三日志的生成时间晚于所述第一日志的生成时间;保存所述第三日志,以及将所述第三日志发送至所述安全管理后台。
在一个示例性实施例中,在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下,所述日志系统,还用于:在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值,以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下,对所述目标终端对应的日志进行过滤,以及不保存所述目标终端对应的日志。
在一个示例性实施例中,所述系统还包括网络数据分析功能NWDAF实体,其中,在所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果之前,所述NWDAF实体用于:获取多个样本数据,其中,所述多个样本数据中的每个样本数据包括一个终端的终端描述信息,所述一个终端的数据流的数据流描述信息,以及所述一个终端的数据流对应的检测结果,所述检测结果是防火墙设备对所述一个终端的数据流进行检测得到的检测结果,所述检测结果用于指示所述一个终端的数据流是否存在异常;使用所述多个样本数据对训练前的识别模型进行训练,得到训练完成后的识别模型,将所述训练完成后的识别模型确定为所述目标识别模型。
在一个示例性实施例中,所述日志系统包括网络详细记录协议IPDR日志系统,所述目标识别模型位于NWDAF实体中,其中,所述IPDR日志系统,还用于:将所述第一数据发送至所述NWDAF实体,其中,所述NWDAF实体用于将接收到的所述第一数据输入至所述目标识别模型;从所述NWDAF实体中获取所述目标识别模型输出的所述第一识别结果。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种异常识别方法,其特征在于,包括:
通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
2.根据权利要求1所述的方法,其特征在于,在所述通过所述日志系统将所述第一数据输入至目标识别模型之后,所述方法还包括:
获取所述目标识别模型输出的第二识别结果,其中,所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常;
在所述第二识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统向安全管理后台发送所述通知消息,其中,所述通知消息还用于指示所述目标数据流存在异常。
3.根据权利要求1所述的方法,其特征在于,所述通过日志系统从目标网元获取目标终端的第一数据,包括:从第一网元获取所述第一终端描述信息,以及从用户面功能实体UPF获取所述第一数据流描述信息。
4.根据权利要求3所述的方法,其特征在于,所述从第一网元获取所述第一终端描述信息,包括以下至少之一:
从接入管理功能实体AMF获取所述目标终端的接入数据;
从会话管理功能实体SMF获取所述目标终端的会话描述信息;
从策略控制功能实体PCF获取所述目标终端对应的策略信息;
从统一数据管理功能实体UDM获取所述目标终端的签约信息;
其中,所述从用户面功能实体UPF获取所述第一数据流描述信息,包括以下至少之一:
从所述UPF获取所述目标数据流的持续时间,所述目标数据流的五元组信息,所述目标数据流的协议类型,所述目标数据流中携带的统一资源定位符URL,所述目标数据流对应的应用,所述数据流中数据包的数量,所述数据流中数据包的总长度。
5.根据权利要求2所述的方法,其特征在于,在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下,所述方法还包括:
通过所述日志系统对所述目标终端对应的第一日志添加标签,其中,所述标签用于指示所述第一日志存在异常;
通过所述日志系统保存所述第一日志,以及将所述第一日志发送至所述安全管理后台。
6.根据权利要求5所述的方法,其特征在于,在所述通过所述日志系统向安全管理后台发送通知消息之后,所述方法还包括:
获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果,其中,所述检测结果用于指示所述目标数据流存在异常;
其中,所述方法还包括:
通过所述日志系统对所述目标终端对应的第二日志添加标签,其中,所述标签用于指示所述第二日志存在异常,所述第二日志的生成时间晚于所述第一日志的生成时间;
通过所述日志系统保存所述第二日志,以及将所述第二日志发送至所述安全管理后台;或者,
通过所述日志系统从所述目标网元获取所述目标终端的第二数据,其中,所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息;
通过所述日志系统将所述第二数据输入至所述目标识别模型,并获取所述目标识别模型输出的第三识别结果;
在所述第三识别结果指示所述目标数据流存在异常的情况下,通过所述日志系统对所述目标终端对应的第三日志添加标签,其中,所述标签用于指示所述第三日志存在异常,所述第三日志的生成时间晚于所述第一日志的生成时间;
通过所述日志系统保存所述第三日志,以及将所述第三日志发送至所述安全管理后台。
7.根据权利要求2所述的方法,其特征在于,在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下,所述方法还包括:
在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值,以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下,通过所述日志系统对所述目标终端对应的日志进行过滤,以及不通过所述日志系统保存所述目标终端对应的日志。
8.根据权利要求1所述的方法,其特征在于,在所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果之前,所述方法还包括:
通过网络数据分析功能NWDAF实体获取多个样本数据,其中,所述多个样本数据中的每个样本数据包括一个终端的终端描述信息,所述一个终端的数据流的数据流描述信息,以及所述一个终端的数据流对应的检测结果,所述检测结果是防火墙设备对所述一个终端的数据流进行检测得到的检测结果,所述检测结果用于指示所述一个终端的数据流是否存在异常;
通过所述NWDAF实体使用所述多个样本数据对训练前的识别模型进行训练,得到训练完成后的识别模型,将所述训练完成后的识别模型确定为所述目标识别模型。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述日志系统包括网络详细记录协议IPDR日志系统,所述目标识别模型位于NWDAF实体中,其中,所述通过所述日志系统将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,包括:
通过所述IPDR日志系统将所述第一数据发送至所述NWDAF实体,其中,所述NWDAF实体用于将接收到的所述第一数据输入至所述目标识别模型;
通过所述IPDR日志系统从所述NWDAF实体中获取所述目标识别模型输出的所述第一识别结果。
10.一种异常识别装置,其特征在于,包括:
第一获取模块,用于通过日志系统从目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
第二获取模块,用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
通知模块,用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
11.一种异常识别系统,其特征在于,包括:日志系统和目标网元,其中,
所述日志系统,用于从所述目标网元获取目标终端的第一数据,其中,所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息;
所述日志系统,还用于将所述第一数据输入至目标识别模型,并获取所述目标识别模型输出的第一识别结果,其中,所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常;
所述日志系统,还用于在所述第一识别结果指示所述目标终端存在异常的情况下,通过所述日志系统向安全管理后台发送通知消息,其中,所述通知消息用于指示所述目标终端存在异常。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至9任一项中所述的方法。
13.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至9任一项中所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011134732.1A CN114465739A (zh) | 2020-10-21 | 2020-10-21 | 异常识别方法和系统、存储介质及电子装置 |
| PCT/CN2021/110355 WO2022083226A1 (zh) | 2020-10-21 | 2021-08-03 | 异常识别方法和系统、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011134732.1A CN114465739A (zh) | 2020-10-21 | 2020-10-21 | 异常识别方法和系统、存储介质及电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114465739A true CN114465739A (zh) | 2022-05-10 |
Family
ID=81291531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011134732.1A Pending CN114465739A (zh) | 2020-10-21 | 2020-10-21 | 异常识别方法和系统、存储介质及电子装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114465739A (zh) |
| WO (1) | WO2022083226A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114817912A (zh) * | 2022-06-15 | 2022-07-29 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
| CN115022155A (zh) * | 2022-05-24 | 2022-09-06 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN115278685A (zh) * | 2022-07-26 | 2022-11-01 | 上海欣诺通信技术股份有限公司 | 一种基于dpi技术的5g异常行为终端检测方法及电子设备 |
| CN116471546A (zh) * | 2023-03-29 | 2023-07-21 | 广州爱浦路网络技术有限公司 | 终端设备异常触发定位的处理方法、系统和存储介质 |
| TWI812491B (zh) * | 2022-09-27 | 2023-08-11 | 財團法人資訊工業策進會 | 資安威脅偵測及預警系統與方法 |
| CN116886380A (zh) * | 2023-07-24 | 2023-10-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115514672B (zh) * | 2022-09-19 | 2024-03-08 | 上海亿为科技有限公司 | 机柜扫描处理方法及系统 |
| CN116095750B (zh) * | 2023-01-13 | 2023-10-31 | 广州爱浦路网络技术有限公司 | 数据面转发方法、装置、电子设备及可读存储介质 |
| CN115996364B (zh) * | 2023-03-22 | 2023-06-30 | 北京首信科技股份有限公司 | 一种终端实时溯源定位的方法与设备 |
| CN116781546B (zh) * | 2023-06-26 | 2024-02-13 | 中国信息通信研究院 | 基于深度合成数据的异常检测方法和系统 |
| CN116503080B (zh) * | 2023-06-27 | 2023-09-19 | 成都普什信息自动化有限公司 | 基于大数据和防重用标签的造假点溯源方法、系统及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259194B (zh) * | 2016-12-28 | 2021-08-06 | 普天信息技术有限公司 | 网络故障预警方法及装置 |
| CN110830422B (zh) * | 2018-08-10 | 2022-04-01 | 中国移动通信有限公司研究院 | 一种终端行为数据处理方法及设备 |
| GB2577804B (en) * | 2018-10-03 | 2022-03-02 | Samsung Electronics Co Ltd | Improvements in and relating to telecommunications networks |
| CN111770490B (zh) * | 2019-04-02 | 2022-08-05 | 大唐移动通信设备有限公司 | 一种确定终端行为分析的方法和设备 |
-
2020
- 2020-10-21 CN CN202011134732.1A patent/CN114465739A/zh active Pending
-
2021
- 2021-08-03 WO PCT/CN2021/110355 patent/WO2022083226A1/zh unknown
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022155A (zh) * | 2022-05-24 | 2022-09-06 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN114817912A (zh) * | 2022-06-15 | 2022-07-29 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
| CN114817912B (zh) * | 2022-06-15 | 2022-11-04 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
| CN115278685A (zh) * | 2022-07-26 | 2022-11-01 | 上海欣诺通信技术股份有限公司 | 一种基于dpi技术的5g异常行为终端检测方法及电子设备 |
| CN115278685B (zh) * | 2022-07-26 | 2023-10-31 | 上海欣诺通信技术股份有限公司 | 一种基于dpi技术的5g异常行为终端检测方法及电子设备 |
| TWI812491B (zh) * | 2022-09-27 | 2023-08-11 | 財團法人資訊工業策進會 | 資安威脅偵測及預警系統與方法 |
| CN116471546A (zh) * | 2023-03-29 | 2023-07-21 | 广州爱浦路网络技术有限公司 | 终端设备异常触发定位的处理方法、系统和存储介质 |
| CN116471546B (zh) * | 2023-03-29 | 2024-01-02 | 广州爱浦路网络技术有限公司 | 终端设备异常触发定位的处理方法、系统和存储介质 |
| CN116886380A (zh) * | 2023-07-24 | 2023-10-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
| CN116886380B (zh) * | 2023-07-24 | 2024-02-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022083226A1 (zh) | 2022-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114465739A (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| US11316878B2 (en) | System and method for malware detection | |
| US10547674B2 (en) | Methods and systems for network flow analysis | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| US9860154B2 (en) | Streaming method and system for processing network metadata | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| US9749338B2 (en) | System security monitoring | |
| WO2019006412A1 (en) | CYBER SECURITY SYSTEM AND METHOD FOR DETECTING AND CORRELATING LOW INDICATORS FOR GENERATING STRONG INDICATORS | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| CN110365674B (zh) | 一种预测网络攻击面的方法、服务器和系统 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| Khandait et al. | IoTHunter: IoT network traffic classification using device specific keywords | |
| CN111641951A (zh) | 一种基于sa架构的5g网络apt攻击溯源方法及系统 | |
| CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
| CN111698168A (zh) | 消息处理方法、装置、存储介质及处理器 | |
| Sun et al. | IoT-IE: An information-entropy-based approach to traffic anomaly detection in Internet of Things | |
| CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
| CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
| Subburaj et al. | Discover Crypto-Jacker from Blockchain Using AFS Method | |
| CN115580546B (zh) | 一种数据订阅方法、装置、电子设备及可读存储介质 | |
| US11956255B1 (en) | Recognizing successful cyberattacks based on subsequent benign activities of an attacker |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |