CN114785617A - 一种5g网络应用层异常检测方法及系统 - Google Patents

一种5g网络应用层异常检测方法及系统 Download PDF

Info

Publication number
CN114785617A
CN114785617A CN202210675755.6A CN202210675755A CN114785617A CN 114785617 A CN114785617 A CN 114785617A CN 202210675755 A CN202210675755 A CN 202210675755A CN 114785617 A CN114785617 A CN 114785617A
Authority
CN
China
Prior art keywords
data
application layer
counter
interface
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210675755.6A
Other languages
English (en)
Other versions
CN114785617B (zh
Inventor
曾黎明
王立强
吴军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Beirong Lihe Technology Co.,Ltd.
Original Assignee
Beijing Jinhuichuang Enterprise Management Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jinhuichuang Enterprise Management Co ltd filed Critical Beijing Jinhuichuang Enterprise Management Co ltd
Priority to CN202210675755.6A priority Critical patent/CN114785617B/zh
Publication of CN114785617A publication Critical patent/CN114785617A/zh
Application granted granted Critical
Publication of CN114785617B publication Critical patent/CN114785617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Software Systems (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络通讯技术领域,具体涉及一种5G网络应用层异常检测方法及系统,系统包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;PM计数器按时间序列收集5G网络应用层的数据,并将数据输入到5G网络应用层数据收集与预处理模块对数据分别进行特征抽取;双智能单元基于不同类型的特征对预测模型和分析模型进行训练,并对不同类型的数据进行异常监测,当存在异常时,记录异常点并向安全管理工具报警。本发明利用应用层数据特征,训练深度学习模型进行攻击异常检测,可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。

Description

一种5G网络应用层异常检测方法及系统
技术领域
本发明属于网络通讯技术领域,具体涉及一种5G网络应用层异常检测方法及系统。
背景技术
NSA 5G部署采用的是4G EPC中使用的应用层信令协议,如Diameter等,如果攻击者接入互联网,就容易受到应用层DDoS攻击。
现有技术中,主要利用网络层信息训练机器学习模型,进行异常检测,但这使得利用应用层漏洞发起的攻击异常难以检测,同时加密技术的广泛应用导致现有技术存在对应用层攻击漏报的情况。
发明内容
基于此,本发明提供了一种5G网络应用层异常检测方法及系统,本发明利用人工智能技术,组合多个深度学习模型构建异常检测模型,可以主动检测应用层异常,其具体包含4个组成成分,PM计数器、5G网络应用层数据收集与预处理模块、双智能单元、安全管理工具。同时利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
本申请公开的一种5G网络应用层异常检测系统,包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;
所述PM计数器用于按时间序列收集5G网络应用层的至少一种类型的数据,并将所述数据输入到5G网络应用层数据收集与预处理模块;
所述5G网络应用层数据收集与预处理模块用于对所述至少一种类型的数据分别进行特征抽取;
所述双智能单元基于不同类型的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并向所述安全管理工具报警;
所述安全管理工具用于当接收到双智能单元的报警时,对所述异常点过滤并丢弃攻击流。
进一步的,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
进一步的,所述5G网络应用层数据收集与预处理模块进行特征抽取的方式包括:
对于每个PM计数器p,按数据的类型记录时间序列数据集合
Figure 258509DEST_PATH_IMAGE001
Figure 990842DEST_PATH_IMAGE002
,其中,
Figure 43111DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure 886302DEST_PATH_IMAGE004
为时间序列的数量;
时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合
Figure 340418DEST_PATH_IMAGE001
,生成多元时间序列的特征集合
Figure 384597DEST_PATH_IMAGE005
Figure 45867DEST_PATH_IMAGE006
,其中,
Figure 568115DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
进一步的,所述特征为统计特征,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的多项。
进一步的,所述双智能单元对不同类型的数据进行异常监测的方式包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
当所述重构误差RMSE分数超过给定阈值
Figure 266950DEST_PATH_IMAGE007
,将相应类型的数据及其对应的输出序列标记为异常。
本申请公开的一种5G网络应用层异常检测方法,包括如下步骤:
S100、按时间序列收集5G网络应用层的至少一种类型的数据;
S200、对所述至少一种类型的数据分别进行特征抽取;
S300、基于不同类型数据抽取的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并报警;
S400、当记录异常点并报警时,对异常点过滤并丢弃攻击流。
进一步的,通过所述PM计数器进行所述至少一种类型的数据的收集,其中,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
进一步的,所述5G网络应用层数据收集与预处理模块进行特征的方式包括:
对于每个PM计数器p,按数据的类型记录时间序列数据集合
Figure 216451DEST_PATH_IMAGE001
Figure 243313DEST_PATH_IMAGE002
,其中,
Figure 959465DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure 122593DEST_PATH_IMAGE004
为时间序列的数量;
按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合
Figure 367630DEST_PATH_IMAGE001
,生成多元时间序列的特征集合
Figure 881788DEST_PATH_IMAGE005
Figure 870472DEST_PATH_IMAGE006
,其中,
Figure 888107DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
进一步的,所述特征为统计特征,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的多项。
进一步的,所述基于训练的预测模型和分析模型对不同类型的数据进行异常监测包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
当所述重构误差RMSE分数超过给定阈值
Figure 710569DEST_PATH_IMAGE007
,将相应类型的数据及其对应的输出序列标记为异常。
本发明与现有技术相比,具有的有益效果是:
本发明利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
附图说明
图1为本发明一个实施例的5G网络应用层异常检测系统的结构框图;
图2为本发明一个实施例的5G网络应用层异常检测系统中预测模块的工作示意图。
图3是本发明一个实施例的5G网络应用层异常检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术发明进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请公开的一种5G网络应用层异常检测系统,如图1所示,部署于5G NSA网络下,系统包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具模块。
所述PM计数器用于收集5G网络应用层的数据,并将收集到的数据输入到5G网络应用层数据收集与预处理模块;所述PM计数器按时间序列收集数据;所述数据用于特征抽取;所述数据包括多个类型,具体可以包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量和接收失败的数量中的多项甚至全部,上述数据是通过PM计数器对带有时间序列的日志文件收集的时间序列数据,该日志文件记录于应用层的一个时间窗口内,同时该日志文件特定于MNO日志配置,可以根据网络流量密度手工定义。
在一些实施例中,PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的5G网络应用层的数据,收集与Diameter协议相关的5G网络应用层的数据可以更好地反应Diameter的信令特性,并且符合当前网络开放和基础设施共享的趋势。当存在多个对端应用程序时,PM计数器维护于每个对端应用程序,并收集对端应用程序之间交换的Diameter消息的统计数据。
在一些实施例中,PM计数器包括通用计数器和接口特定计数器,二者属于并列关系,共同收集所述接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量。通用计数器是一般类型的计数器,特定接口计数器用于收集每个特定接口中产生的数据,例如当HSS与多个MME通过S6a接口建立会话时,HSS会对每个MME维护一个S6a接口计数器。通用技术器和特定接口技术器收集的数据均是网络通信中的时间序列数据。
所述5G网络应用层数据收集与预处理模块用于对所述多个类型中的每个类型的数据进行特征抽取,所述特征用于每个类型的预测模型和分析模型训练,所述特征为统计特征;当PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的应用层统计数据。如图1所示,Diameter协议相关的应用层统计数据具体包括:
S6a接口:MME与HSS的信令接口,基于Diameter协议;
S6t:SCEF和HSS之间的信令接口;
S6m:HSS和MTC-IWF之间的接口;
Gx:PGW与PCRF设备之间的接口;
S5:本地SGW和PGW之间的接口;
S11:SGW与MME之间的接口;
S9:DEA与PCRF之间的接口;
MME:网络节点;
SGW:服务网关;
PGW:公用数据网网关;
HSS:归属用户服务器;
PCRF:策略与计费规则功能单元;
MTC-IWF:网络互通功能;
SCEF:服务能力暴露功能;
DEA:数据包网络分析;
CP:控制平面。
所述统计特征可以包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的一项或多项。如图2所示,特征抽取具体为:对于每个PM计数器p,按数据的类型记录每个类型的时间序列数据集合
Figure 571078DEST_PATH_IMAGE001
,其中
Figure 238820DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值:
Figure 501174DEST_PATH_IMAGE002
其中
Figure 494537DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure 452129DEST_PATH_IMAGE004
时间序列的数量,
数据的类型包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量;按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,为了更好地刻画每个类型的时间序列的特性,根据每个类型的时间序列数据集合
Figure 313775DEST_PATH_IMAGE001
,提取每个时间窗口内的时间序列数据的特征,生成多元时间序列的特征集合
Figure 306002DEST_PATH_IMAGE005
,具体表示为:
Figure 204687DEST_PATH_IMAGE006
Figure 42718DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
该多元时间序列中每个元素由一组F维统计特征组成,每组统计特征在大小为s的滑动时间窗口内计算。
每个元素由一组F维统计特征组成具体为:每个元素
Figure 317842DEST_PATH_IMAGE008
,可以表示为向量:
Figure 289209DEST_PATH_IMAGE009
,F为统计特征的个数,本实施例中,统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值总计8个统计特征;该向量提供当前滑动窗口所覆盖的原始观察结果的统计特征,多元时间序列每个元素包含F维个统计特征,用作预测模型和分析模型模型训练。
所述双智能单元用于基于所述多个类型中的每个类型的特征对每个类型的预测模型和分析模型进行训练;基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点并向安全管理工具报警。通过这种方式,即在5G网络应用层网络中发现可能发生的异常,并及时响应处理。
所述双智能单元包括预测模块和分析异常检测模块;其中,预测模块用于基于LSTM深度学习模型对每个类型的数据的所述特征对每个类型的预测模型进行训练,通过对端应用程序历史时间序列输入的时间序列数据,预测在未来一段时间内的对端应用程序的输入的时间序列数据;如图2所示,预测模块预测时间序列数据的方式具体为:将多元时间序列
Figure 624375DEST_PATH_IMAGE005
转换为输入序列X和输出序列Y组成的数据集,其中,输入序列X,其长度定义为lb;输出序列Y其长度定义为pf;本实施例中,lbpf的值均设置为3,预测PM计数器在未来3个时间序列内的总数。
分析异常检测模块用于根据输出序列Y,训练分析模型。所述分析模型用于异常检测,所述分析模型为自编码器,自编码器可以学习最小重构误差,更好地在潜在空间中准确表示离群值,构成无监督的训练方式,根据输出序列Y,训练分析模型。对于所述自编码器输入所述输出序列Y,训练所述自编码器计算最小重构误差,其中,重构误差为RMSE分数,利用RMSE定义异常分数,对每个类型的时间序列数据分析效果较好。
在上述条件下,基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点,具体为:输入所述长度的参数和最小重构误差的阈值
Figure 556559DEST_PATH_IMAGE007
,接收数据并将其输入到预测模型中;生成该接收数据的输出序列;该接收数据的输出序列经由训练完毕的自编码器,计算重构误差RMSE分数;如果重构误差RMSE分数超过给定阈值
Figure 760007DEST_PATH_IMAGE007
,该接收数据的输出序列则被标记为潜在的、即将发生的异常。例如,输入数据为z,对于测试数据z中的每条数据
Figure 726826DEST_PATH_IMAGE010
,利用预测模型输出预测输出值
Figure 967315DEST_PATH_IMAGE011
;对预测模型预测输出值计算RMSE分数;如果RMSE分数大于阈值
Figure 777008DEST_PATH_IMAGE007
,则将
Figure 393934DEST_PATH_IMAGE012
插入异常值队列;返回异常值队列。
安全管理工具用于当接收到双智能单元的报警,对每个类型的数据的异常点过滤并丢弃攻击流;具体为:根据每个类型的数据的异常值队列定位异常点,对异常点过滤并丢弃攻击流。
利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
如图3所示,本申请公开的一种5G网络应用层异常检测方法,包括如下步骤:
S100、按时间序列收集5G网络应用层的数据;所述数据用于特征抽取;所述数据包括多个类型,具体包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量,上述数据是通过PM计数器对带有时间序列的日志文件收集的时间序列数据,该日志文件记录于应用层的一个时间窗口内,同时该日志文件特定于MNO日志配置,可以根据网络流量密度手工定义。本实施例中,按时间序列收集5G网络应用层的数据为按时间序列收集与Diameter协议相关的应用层统计数据,收集与Diameter协议相关的应用层统计数据可以更好地反应Diameter的信令特性,并且符合当前网络开放和基础设施共享的趋势;当存在多个对端应用程序时,PM计数器维护于每个对端应用程序,并收集对端应用程序之间交换的Diameter消息的统计数据。
如图1所示,Diameter协议相关的应用层统计数据具体包括:S6a接口:MME与HSS的信令接口,基于Diameter协议;
S6t:SCEF和HSS之间的信令接口;
S6m:HSS和MTC-IWF之间的接口;
Gx:PGW与PCRF设备之间的接口;
S5:本地SGW和PGW之间的接口;
S11:SGW与MME之间的接口;
S9:DEA与PCRF之间的接口;
MME:网络节点;
SGW:服务网关;
PGW:公用数据网网关;
HSS:归属用户服务器;
PCRF:策略与计费规则功能单元;
MTC-IWF:网络互通功能;
SCEF:服务能力暴露功能;
DEA:数据包网络分析;
CP:控制平面。
PM计数器包括通用计数器和接口特定计数器,二者属于并列关系;通用计数器是一般类型的计数器;特定接口计数器用于收集每个特定接口中产生的数据,例如当移动性管理实体(HSS)与多个归属签约用户服务器(MME)通过S6a接口建立会话时,HSS会对每个MME维护一个S6a接口计数器;通用技术器和特定接口技术器收集的数据均是网络通信中的时间序列数据。
S200、对所述多个类型中的每个类型的数据进行特征抽取,所述特征用于每个类型的预测模型训练,所述特征为统计特征;当PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的应用层统计数据,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值;特征抽取具体为:对于每个PM计数器p,按数据的类型记录每个类型的时间序列数据集合
Figure 339893DEST_PATH_IMAGE001
,其中
Figure 751283DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值:
Figure 658059DEST_PATH_IMAGE002
其中
Figure 203310DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure 879142DEST_PATH_IMAGE004
为时间序列的数量。
数据的类型包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量;按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,为了更好地刻画每个类型的时间序列的特性,根据每个类型的时间序列数据
Figure 727012DEST_PATH_IMAGE001
,提取每个时间窗口内的时间序列数据的特征生成多元时间序列的特征集合
Figure 245718DEST_PATH_IMAGE005
,具体表示为:
Figure 204447DEST_PATH_IMAGE006
Figure 265944DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
该多元时间序列中每个元素由一组F维统计特征组成,每组统计特征在大小为s的滑动时间窗口内计算。
每个元素由一组F维统计特征组成具体为:每个元素
Figure 143770DEST_PATH_IMAGE008
,可以表示为向量:
Figure 25138DEST_PATH_IMAGE009
,F为统计特征的个数,本实施例中,统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值总计8个统计特征;该向量提供当前滑动窗口所覆盖的原始观察结果的统计特征,多元时间序列每个元素包含F维个统计特征,用作预测模型和分析模型模型训练。
S300、基于所述多个类型中的每个类型的特征对每个类型的预测模型和分析模型进行训练;基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点并向安全管理工具报警;通过这种方式,即在5G网络应用层网络中发现可能发生的异常,并及时响应处理;基于LSTM深度学习模型对每个类型的数据的所述特征对预测模型进行训练,通过对端应用程序历史时间序列输入的时间序列数据,预测在未来一段时间内的对端应用程序的输入的时间序列数据;具体为:将多元时间序列
Figure 643683DEST_PATH_IMAGE005
转换为输入序列X和输出序列Y组成的数据集,其中,输入序列X,其长度定义为
Figure 559686DEST_PATH_IMAGE013
;输出序列Y其长度定义为
Figure 483780DEST_PATH_IMAGE014
;本实施例中,
Figure 242657DEST_PATH_IMAGE013
Figure 277609DEST_PATH_IMAGE014
的值均设置为3,预测PM计数器在未来3个时间序列内的总数。
根据输出序列Y,训练分析模型,所述分析模型用于异常检测,所述分析模型为自编码器,自编码器可以学习最小重构误差,更好地在潜在空间中准确表示离群值,构成无监督的训练方式,根据输出序列Y,训练分析模型,所述分析模型用于异常检测,所述分析模型为自编码器具体为:输入所述输出序列Y,训练所述自编码器计算最小重构误差,其中,重构误差为RMSE分数,利用RMSE定义异常分数,对每个类型的时间序列分析效果较好。
在上述条件下,所述在异常发生之前主动检测异常,当存在监测异常时,记录异常点,具体为:输入所述长度的参数和最小重构误差的阈值
Figure 48119DEST_PATH_IMAGE007
,接收数据并将其输入到预测模型中;生成该接收数据的输出序列;该接收数据的输出序列经由训练完毕的自编码器,计算重构误差RMSE分数;如果重构误差RMSE分数超过给定阈值
Figure 267748DEST_PATH_IMAGE007
,该接收数据的输出序列则被标记为潜在的、即将发生的异常;例如,输入数据为z,对于测试数据z中的每条数据
Figure 858129DEST_PATH_IMAGE010
,利用预测模型输出预测输出值
Figure 821406DEST_PATH_IMAGE011
;对预测模型预测输出值计算RMSE分数;如果RMSE分数大于阈值
Figure 712002DEST_PATH_IMAGE007
,则将
Figure 102532DEST_PATH_IMAGE012
插入异常值队列;返回异常值队列。
S400、当记录异常点并报警时,执行适当的预防和缓解措施,对异常点过滤并丢弃攻击流;具体为:根据异常值队列定位异常点,对异常点过滤并丢弃攻击流。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。

Claims (10)

1.一种5G网络应用层异常检测系统,其特征在于,包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;
所述PM计数器用于按时间序列收集5G网络应用层的至少一种类型的数据,并将所述数据输入到5G网络应用层数据收集与预处理模块;
所述5G网络应用层数据收集与预处理模块用于对所述至少一种类型的数据分别进行特征抽取;
所述双智能单元基于不同类型的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并向所述安全管理工具报警;
所述安全管理工具用于当接收到双智能单元的报警时,对所述异常点过滤并丢弃攻击流。
2.根据权利要求1所述的一种5G网络应用层异常检测系统,其特征在于,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
3.根据权利要求1所述的一种5G网络应用层异常检测系统,其特征在于,所述5G网络应用层数据收集与预处理模块进行特征抽取的方式包括:
对于每个PM计数器p,按数据的类型记录时间序列数据集合
Figure DEST_PATH_IMAGE001
Figure DEST_PATH_IMAGE002
,其中,
Figure DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure DEST_PATH_IMAGE004
为时间序列的数量;
按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合
Figure 638989DEST_PATH_IMAGE001
,生成多元时间序列的特征集合
Figure DEST_PATH_IMAGE005
Figure DEST_PATH_IMAGE006
,其中,
Figure 493812DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
4.根据权利要求3所述的一种5G网络应用层异常检测系统,其特征在于,所述特征为统计特征,所述统计特征包括均值、方差、标准差、最大值、最小值和熵值中的多项。
5.根据权利要求4所述的一种5G网络应用层异常检测系统,其特征在于,所述双智能单元对不同类型的数据进行异常监测的方式包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
当所述重构误差RMSE分数超过给定阈值
Figure DEST_PATH_IMAGE007
,将相应类型的数据及其对应的输出序列标记为异常。
6.一种5G网络应用层异常检测方法,其特征在于,包括如下步骤:
S100、按时间序列收集5G网络应用层的至少一种类型的数据;
S200、对所述至少一种类型的数据分别进行特征抽取;
S300、基于不同类型数据抽取的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并报警;
S400、当记录异常点并报警时,对异常点过滤并丢弃攻击流。
7.根据权利要求6所述的一种5G网络应用层异常检测方法,其特征在于,通过所述PM计数器进行所述至少一种类型的数据的收集,其中,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
8.根据权利要求6所述的一种5G网络应用层异常检测方法,其特征在于,所述5G网络应用层数据收集与预处理模块进行特征的方式包括:
对于每个PM计数器p,按数据的类型记录时间序列数据集合
Figure 7970DEST_PATH_IMAGE001
Figure 619824DEST_PATH_IMAGE002
,其中,
Figure 903037DEST_PATH_IMAGE003
代表PM计数器p在第i个时间序列的取值,
Figure 928762DEST_PATH_IMAGE004
时间序列的数量;
按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合
Figure 664637DEST_PATH_IMAGE001
,生成多元时间序列的特征集合
Figure 129117DEST_PATH_IMAGE005
Figure 516104DEST_PATH_IMAGE006
,其中,
Figure 712731DEST_PATH_IMAGE004
为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
9.根据权利要求8所述的一种5G网络应用层异常检测方法,其特征在于,所述特征为统计特征,所述统计特征包括均值、方差、标准差、最大值、最小值和熵值中的多项。
10.根据权利要求9所述的一种5G网络应用层异常检测方法,其特征在于,所述基于训练的预测模型和分析模型对不同类型的数据进行异常监测包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
当所述重构误差RMSE分数超过给定阈值
Figure 935901DEST_PATH_IMAGE007
,将相应类型的数据及其对应的输出序列标记为异常。
CN202210675755.6A 2022-06-15 2022-06-15 一种5g网络应用层异常检测方法及系统 Active CN114785617B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210675755.6A CN114785617B (zh) 2022-06-15 2022-06-15 一种5g网络应用层异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210675755.6A CN114785617B (zh) 2022-06-15 2022-06-15 一种5g网络应用层异常检测方法及系统

Publications (2)

Publication Number Publication Date
CN114785617A true CN114785617A (zh) 2022-07-22
CN114785617B CN114785617B (zh) 2022-11-15

Family

ID=82422129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210675755.6A Active CN114785617B (zh) 2022-06-15 2022-06-15 一种5g网络应用层异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN114785617B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116805275A (zh) * 2023-08-21 2023-09-26 中国标准化研究院 一种基于数据分析的公共机构能耗智能监管系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111526096A (zh) * 2020-03-13 2020-08-11 北京交通大学 智融标识网络状态预测与拥塞控制系统
CN111756719A (zh) * 2020-06-17 2020-10-09 哈尔滨工业大学 SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN111885059A (zh) * 2020-07-23 2020-11-03 清华大学 一种工业网络流量异常检测定位的方法
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN112966714A (zh) * 2021-02-02 2021-06-15 湖南大学 一种边缘时序数据异常检测和网络可编程控制方法
CN113162939A (zh) * 2021-04-26 2021-07-23 上海工程技术大学 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质
US20220174083A1 (en) * 2020-11-27 2022-06-02 GIST (Gwangju Institute of Science and Technology) Method and device for detecting malicious activity over encrypted secure channel

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN111526096A (zh) * 2020-03-13 2020-08-11 北京交通大学 智融标识网络状态预测与拥塞控制系统
CN111756719A (zh) * 2020-06-17 2020-10-09 哈尔滨工业大学 SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法
CN111885059A (zh) * 2020-07-23 2020-11-03 清华大学 一种工业网络流量异常检测定位的方法
US20220174083A1 (en) * 2020-11-27 2022-06-02 GIST (Gwangju Institute of Science and Technology) Method and device for detecting malicious activity over encrypted secure channel
CN112966714A (zh) * 2021-02-02 2021-06-15 湖南大学 一种边缘时序数据异常检测和网络可编程控制方法
CN113162939A (zh) * 2021-04-26 2021-07-23 上海工程技术大学 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116805275A (zh) * 2023-08-21 2023-09-26 中国标准化研究院 一种基于数据分析的公共机构能耗智能监管系统
CN116805275B (zh) * 2023-08-21 2023-11-21 中国标准化研究院 一种基于数据分析的公共机构能耗智能监管系统

Also Published As

Publication number Publication date
CN114785617B (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
CN111652496B (zh) 基于网络安全态势感知系统的运行风险评估方法及装置
CN110011999B (zh) 基于深度学习的IPv6网络DDoS攻击检测系统及方法
CN102957579B (zh) 一种网络异常流量监测方法及装置
CN107040517B (zh) 一种面向云计算环境的认知入侵检测方法
CN111541661A (zh) 基于因果知识的电力信息网络攻击场景重构方法及系统
CN105553998A (zh) 一种网络攻击异常检测方法
CN111092862A (zh) 一种用于对电网终端通信流量异常进行检测的方法及系统
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN113676343B (zh) 电力通信网故障源定位方法及装置
CN111698209A (zh) 一种网络异常流量检测方法及装置
CN107517205A (zh) 基于概率的智能变电站网络异常流量检测模型构建方法
CN116684878B (zh) 一种5g信息传输数据安全监测系统
CN114785617B (zh) 一种5g网络应用层异常检测方法及系统
CN111181930A (zh) DDoS攻击检测的方法、装置、计算机设备及存储介质
CN105827611B (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统
Dalmazo et al. Expedite feature extraction for enhanced cloud anomaly detection
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN115372816A (zh) 基于数据分析的配电开关设备运行故障预测系统及方法
CN116915582A (zh) 一种通信终端故障根因诊断分析方法及装置
CN113645215A (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
Bienias et al. Architecture of anomaly detection module for the security operations center
CN116155581A (zh) 一种基于图神经网络的网络入侵检测方法与装置
CN115150248A (zh) 网络流量异常检测方法、装置、电子设备和存储介质
CN117346743A (zh) 一种基于机器学习模型的水情遥测站智能监测巡检系统
Hu et al. Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240513

Address after: Room 101, 1st Floor, Building 4, No. 3 Huayuan Road, Haidian District, Beijing, 100080

Patentee after: Beijing Beirong Lihe Technology Co.,Ltd.

Country or region after: China

Address before: 101207 No. 16, xiongerzhaixiang East Road, Pinggu District, Beijing

Patentee before: Beijing jinhuichuang Enterprise Management Co.,Ltd.

Country or region before: China