CN114785617A - 一种5g网络应用层异常检测方法及系统 - Google Patents
一种5g网络应用层异常检测方法及系统 Download PDFInfo
- Publication number
- CN114785617A CN114785617A CN202210675755.6A CN202210675755A CN114785617A CN 114785617 A CN114785617 A CN 114785617A CN 202210675755 A CN202210675755 A CN 202210675755A CN 114785617 A CN114785617 A CN 114785617A
- Authority
- CN
- China
- Prior art keywords
- data
- application layer
- counter
- interface
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 18
- 238000007781 pre-processing Methods 0.000 claims abstract description 15
- 238000013480 data collection Methods 0.000 claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims description 26
- 238000012549 training Methods 0.000 claims description 18
- 230000011664 signaling Effects 0.000 claims description 11
- 238000001914 filtration Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 230000004931 aggregating effect Effects 0.000 claims description 5
- 230000009977 dual effect Effects 0.000 claims description 3
- 238000013136 deep learning model Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 3
- 239000013256 coordination polymer Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Software Systems (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Medical Informatics (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络通讯技术领域,具体涉及一种5G网络应用层异常检测方法及系统,系统包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;PM计数器按时间序列收集5G网络应用层的数据,并将数据输入到5G网络应用层数据收集与预处理模块对数据分别进行特征抽取;双智能单元基于不同类型的特征对预测模型和分析模型进行训练,并对不同类型的数据进行异常监测,当存在异常时,记录异常点并向安全管理工具报警。本发明利用应用层数据特征,训练深度学习模型进行攻击异常检测,可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
Description
技术领域
本发明属于网络通讯技术领域,具体涉及一种5G网络应用层异常检测方法及系统。
背景技术
NSA 5G部署采用的是4G EPC中使用的应用层信令协议,如Diameter等,如果攻击者接入互联网,就容易受到应用层DDoS攻击。
现有技术中,主要利用网络层信息训练机器学习模型,进行异常检测,但这使得利用应用层漏洞发起的攻击异常难以检测,同时加密技术的广泛应用导致现有技术存在对应用层攻击漏报的情况。
发明内容
基于此,本发明提供了一种5G网络应用层异常检测方法及系统,本发明利用人工智能技术,组合多个深度学习模型构建异常检测模型,可以主动检测应用层异常,其具体包含4个组成成分,PM计数器、5G网络应用层数据收集与预处理模块、双智能单元、安全管理工具。同时利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
本申请公开的一种5G网络应用层异常检测系统,包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;
所述PM计数器用于按时间序列收集5G网络应用层的至少一种类型的数据,并将所述数据输入到5G网络应用层数据收集与预处理模块;
所述5G网络应用层数据收集与预处理模块用于对所述至少一种类型的数据分别进行特征抽取;
所述双智能单元基于不同类型的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并向所述安全管理工具报警;
所述安全管理工具用于当接收到双智能单元的报警时,对所述异常点过滤并丢弃攻击流。
进一步的,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
进一步的,所述5G网络应用层数据收集与预处理模块进行特征抽取的方式包括:
时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合,生成多元时间序列的特征集合,,其中,为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
进一步的,所述特征为统计特征,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的多项。
进一步的,所述双智能单元对不同类型的数据进行异常监测的方式包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
本申请公开的一种5G网络应用层异常检测方法,包括如下步骤:
S100、按时间序列收集5G网络应用层的至少一种类型的数据;
S200、对所述至少一种类型的数据分别进行特征抽取;
S300、基于不同类型数据抽取的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并报警;
S400、当记录异常点并报警时,对异常点过滤并丢弃攻击流。
进一步的,通过所述PM计数器进行所述至少一种类型的数据的收集,其中,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
进一步的,所述5G网络应用层数据收集与预处理模块进行特征的方式包括:
按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,根据每个类型的时间序列数据集合,生成多元时间序列的特征集合,,其中,为时间序列的数量,s为时间窗口大小,x代表一个滑动窗口内得到的统计特征向量。
进一步的,所述特征为统计特征,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的多项。
进一步的,所述基于训练的预测模型和分析模型对不同类型的数据进行异常监测包括:
接收所述不同类型的数据并将其输入到预测模型中,以便于所述预测模型生成所述不同类型的数据的输出序列;
将所述输出序列输入所述分析模型,以计算出重构误差RMSE分数;
本发明与现有技术相比,具有的有益效果是:
本发明利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
附图说明
图1为本发明一个实施例的5G网络应用层异常检测系统的结构框图;
图2为本发明一个实施例的5G网络应用层异常检测系统中预测模块的工作示意图。
图3是本发明一个实施例的5G网络应用层异常检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术发明进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请公开的一种5G网络应用层异常检测系统,如图1所示,部署于5G NSA网络下,系统包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具模块。
所述PM计数器用于收集5G网络应用层的数据,并将收集到的数据输入到5G网络应用层数据收集与预处理模块;所述PM计数器按时间序列收集数据;所述数据用于特征抽取;所述数据包括多个类型,具体可以包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量和接收失败的数量中的多项甚至全部,上述数据是通过PM计数器对带有时间序列的日志文件收集的时间序列数据,该日志文件记录于应用层的一个时间窗口内,同时该日志文件特定于MNO日志配置,可以根据网络流量密度手工定义。
在一些实施例中,PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的5G网络应用层的数据,收集与Diameter协议相关的5G网络应用层的数据可以更好地反应Diameter的信令特性,并且符合当前网络开放和基础设施共享的趋势。当存在多个对端应用程序时,PM计数器维护于每个对端应用程序,并收集对端应用程序之间交换的Diameter消息的统计数据。
在一些实施例中,PM计数器包括通用计数器和接口特定计数器,二者属于并列关系,共同收集所述接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量。通用计数器是一般类型的计数器,特定接口计数器用于收集每个特定接口中产生的数据,例如当HSS与多个MME通过S6a接口建立会话时,HSS会对每个MME维护一个S6a接口计数器。通用技术器和特定接口技术器收集的数据均是网络通信中的时间序列数据。
所述5G网络应用层数据收集与预处理模块用于对所述多个类型中的每个类型的数据进行特征抽取,所述特征用于每个类型的预测模型和分析模型训练,所述特征为统计特征;当PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的应用层统计数据。如图1所示,Diameter协议相关的应用层统计数据具体包括:
S6a接口:MME与HSS的信令接口,基于Diameter协议;
S6t:SCEF和HSS之间的信令接口;
S6m:HSS和MTC-IWF之间的接口;
Gx:PGW与PCRF设备之间的接口;
S5:本地SGW和PGW之间的接口;
S11:SGW与MME之间的接口;
S9:DEA与PCRF之间的接口;
MME:网络节点;
SGW:服务网关;
PGW:公用数据网网关;
HSS:归属用户服务器;
PCRF:策略与计费规则功能单元;
MTC-IWF:网络互通功能;
SCEF:服务能力暴露功能;
DEA:数据包网络分析;
CP:控制平面。
所述统计特征可以包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值和熵值中的一项或多项。如图2所示,特征抽取具体为:对于每个PM计数器p,按数据的类型记录每个类型的时间序列数据集合,其中代表PM计数器p在第i个时间序列的取值:
数据的类型包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量;按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,为了更好地刻画每个类型的时间序列的特性,根据每个类型的时间序列数据集合,提取每个时间窗口内的时间序列数据的特征,生成多元时间序列的特征集合,具体表示为:
该多元时间序列中每个元素由一组F维统计特征组成,每组统计特征在大小为s的滑动时间窗口内计算。
,F为统计特征的个数,本实施例中,统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值总计8个统计特征;该向量提供当前滑动窗口所覆盖的原始观察结果的统计特征,多元时间序列每个元素包含F维个统计特征,用作预测模型和分析模型模型训练。
所述双智能单元用于基于所述多个类型中的每个类型的特征对每个类型的预测模型和分析模型进行训练;基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点并向安全管理工具报警。通过这种方式,即在5G网络应用层网络中发现可能发生的异常,并及时响应处理。
所述双智能单元包括预测模块和分析异常检测模块;其中,预测模块用于基于LSTM深度学习模型对每个类型的数据的所述特征对每个类型的预测模型进行训练,通过对端应用程序历史时间序列输入的时间序列数据,预测在未来一段时间内的对端应用程序的输入的时间序列数据;如图2所示,预测模块预测时间序列数据的方式具体为:将多元时间序列转换为输入序列X和输出序列Y组成的数据集,其中,输入序列X,其长度定义为lb;输出序列Y其长度定义为pf;本实施例中,lb和pf的值均设置为3,预测PM计数器在未来3个时间序列内的总数。
分析异常检测模块用于根据输出序列Y,训练分析模型。所述分析模型用于异常检测,所述分析模型为自编码器,自编码器可以学习最小重构误差,更好地在潜在空间中准确表示离群值,构成无监督的训练方式,根据输出序列Y,训练分析模型。对于所述自编码器输入所述输出序列Y,训练所述自编码器计算最小重构误差,其中,重构误差为RMSE分数,利用RMSE定义异常分数,对每个类型的时间序列数据分析效果较好。
在上述条件下,基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点,具体为:输入所述长度的参数和最小重构误差的阈值,接收数据并将其输入到预测模型中;生成该接收数据的输出序列;该接收数据的输出序列经由训练完毕的自编码器,计算重构误差RMSE分数;如果重构误差RMSE分数超过给定阈值,该接收数据的输出序列则被标记为潜在的、即将发生的异常。例如,输入数据为z,对于测试数据z中的每条数据,利用预测模型输出预测输出值;对预测模型预测输出值计算RMSE分数;如果RMSE分数大于阈值,则将插入异常值队列;返回异常值队列。
安全管理工具用于当接收到双智能单元的报警,对每个类型的数据的异常点过滤并丢弃攻击流;具体为:根据每个类型的数据的异常值队列定位异常点,对异常点过滤并丢弃攻击流。
利用应用层数据特征,训练深度学习模型进行攻击异常检测。该方法可以较好地丰富攻击在应用层表现出的特性,克服了仅使用网络层信息进行异常检测的局限性,减少了传统方法对应用层攻击异常检测的漏报情况。
如图3所示,本申请公开的一种5G网络应用层异常检测方法,包括如下步骤:
S100、按时间序列收集5G网络应用层的数据;所述数据用于特征抽取;所述数据包括多个类型,具体包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量,上述数据是通过PM计数器对带有时间序列的日志文件收集的时间序列数据,该日志文件记录于应用层的一个时间窗口内,同时该日志文件特定于MNO日志配置,可以根据网络流量密度手工定义。本实施例中,按时间序列收集5G网络应用层的数据为按时间序列收集与Diameter协议相关的应用层统计数据,收集与Diameter协议相关的应用层统计数据可以更好地反应Diameter的信令特性,并且符合当前网络开放和基础设施共享的趋势;当存在多个对端应用程序时,PM计数器维护于每个对端应用程序,并收集对端应用程序之间交换的Diameter消息的统计数据。
如图1所示,Diameter协议相关的应用层统计数据具体包括:S6a接口:MME与HSS的信令接口,基于Diameter协议;
S6t:SCEF和HSS之间的信令接口;
S6m:HSS和MTC-IWF之间的接口;
Gx:PGW与PCRF设备之间的接口;
S5:本地SGW和PGW之间的接口;
S11:SGW与MME之间的接口;
S9:DEA与PCRF之间的接口;
MME:网络节点;
SGW:服务网关;
PGW:公用数据网网关;
HSS:归属用户服务器;
PCRF:策略与计费规则功能单元;
MTC-IWF:网络互通功能;
SCEF:服务能力暴露功能;
DEA:数据包网络分析;
CP:控制平面。
PM计数器包括通用计数器和接口特定计数器,二者属于并列关系;通用计数器是一般类型的计数器;特定接口计数器用于收集每个特定接口中产生的数据,例如当移动性管理实体(HSS)与多个归属签约用户服务器(MME)通过S6a接口建立会话时,HSS会对每个MME维护一个S6a接口计数器;通用技术器和特定接口技术器收集的数据均是网络通信中的时间序列数据。
S200、对所述多个类型中的每个类型的数据进行特征抽取,所述特征用于每个类型的预测模型训练,所述特征为统计特征;当PM计数器为与Diameter协议相关的PM计数器,用于收集与Diameter协议相关的应用层统计数据,所述统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值;特征抽取具体为:对于每个PM计数器p,按数据的类型记录每个类型的时间序列数据集合,其中代表PM计数器p在第i个时间序列的取值:
数据的类型包括:接收对端应用程序的发送请求的数量、接收的响应的数量、发送成功的数量、发送失败的数量、接收成功的数量、接收失败的数量;按时间窗口滑动聚合同一个时间窗口内的每个类型的时间序列数据,为了更好地刻画每个类型的时间序列的特性,根据每个类型的时间序列数据,提取每个时间窗口内的时间序列数据的特征生成多元时间序列的特征集合,具体表示为:
该多元时间序列中每个元素由一组F维统计特征组成,每组统计特征在大小为s的滑动时间窗口内计算。
,F为统计特征的个数,本实施例中,统计特征包括均值、方差、标准差、75th百分点、95th百分点、最大值、最小值、熵值总计8个统计特征;该向量提供当前滑动窗口所覆盖的原始观察结果的统计特征,多元时间序列每个元素包含F维个统计特征,用作预测模型和分析模型模型训练。
S300、基于所述多个类型中的每个类型的特征对每个类型的预测模型和分析模型进行训练;基于训练的预测模型和分析模型对每个类型的数据进行异常监测,当存在监测异常时,记录异常点并向安全管理工具报警;通过这种方式,即在5G网络应用层网络中发现可能发生的异常,并及时响应处理;基于LSTM深度学习模型对每个类型的数据的所述特征对预测模型进行训练,通过对端应用程序历史时间序列输入的时间序列数据,预测在未来一段时间内的对端应用程序的输入的时间序列数据;具体为:将多元时间序列转换为输入序列X和输出序列Y组成的数据集,其中,输入序列X,其长度定义为;输出序列Y其长度定义为;本实施例中,和的值均设置为3,预测PM计数器在未来3个时间序列内的总数。
根据输出序列Y,训练分析模型,所述分析模型用于异常检测,所述分析模型为自编码器,自编码器可以学习最小重构误差,更好地在潜在空间中准确表示离群值,构成无监督的训练方式,根据输出序列Y,训练分析模型,所述分析模型用于异常检测,所述分析模型为自编码器具体为:输入所述输出序列Y,训练所述自编码器计算最小重构误差,其中,重构误差为RMSE分数,利用RMSE定义异常分数,对每个类型的时间序列分析效果较好。
在上述条件下,所述在异常发生之前主动检测异常,当存在监测异常时,记录异常点,具体为:输入所述长度的参数和最小重构误差的阈值,接收数据并将其输入到预测模型中;生成该接收数据的输出序列;该接收数据的输出序列经由训练完毕的自编码器,计算重构误差RMSE分数;如果重构误差RMSE分数超过给定阈值,该接收数据的输出序列则被标记为潜在的、即将发生的异常;例如,输入数据为z,对于测试数据z中的每条数据,利用预测模型输出预测输出值;对预测模型预测输出值计算RMSE分数;如果RMSE分数大于阈值,则将插入异常值队列;返回异常值队列。
S400、当记录异常点并报警时,执行适当的预防和缓解措施,对异常点过滤并丢弃攻击流;具体为:根据异常值队列定位异常点,对异常点过滤并丢弃攻击流。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。
Claims (10)
1.一种5G网络应用层异常检测系统,其特征在于,包括PM计数器、5G网络应用层数据收集与预处理模块、双智能单元和安全管理工具;
所述PM计数器用于按时间序列收集5G网络应用层的至少一种类型的数据,并将所述数据输入到5G网络应用层数据收集与预处理模块;
所述5G网络应用层数据收集与预处理模块用于对所述至少一种类型的数据分别进行特征抽取;
所述双智能单元基于不同类型的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并向所述安全管理工具报警;
所述安全管理工具用于当接收到双智能单元的报警时,对所述异常点过滤并丢弃攻击流。
2.根据权利要求1所述的一种5G网络应用层异常检测系统,其特征在于,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
4.根据权利要求3所述的一种5G网络应用层异常检测系统,其特征在于,所述特征为统计特征,所述统计特征包括均值、方差、标准差、最大值、最小值和熵值中的多项。
6.一种5G网络应用层异常检测方法,其特征在于,包括如下步骤:
S100、按时间序列收集5G网络应用层的至少一种类型的数据;
S200、对所述至少一种类型的数据分别进行特征抽取;
S300、基于不同类型数据抽取的特征对预测模型和分析模型进行训练,基于训练的预测模型和分析模型对不同类型的数据进行异常监测,当存在监测异常时,记录异常点并报警;
S400、当记录异常点并报警时,对异常点过滤并丢弃攻击流。
7.根据权利要求6所述的一种5G网络应用层异常检测方法,其特征在于,通过所述PM计数器进行所述至少一种类型的数据的收集,其中,所述PM计数器包括特定接口计数器和通用计数器,所述特定接口计数器用于收集S6a接口中产生的数据,所述通用计数器用于收集除S6a接口以外的接口产生的数据,其中,所述S6a接口为移动性管理实体与归属签约用户服务器的信令接口。
9.根据权利要求8所述的一种5G网络应用层异常检测方法,其特征在于,所述特征为统计特征,所述统计特征包括均值、方差、标准差、最大值、最小值和熵值中的多项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210675755.6A CN114785617B (zh) | 2022-06-15 | 2022-06-15 | 一种5g网络应用层异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210675755.6A CN114785617B (zh) | 2022-06-15 | 2022-06-15 | 一种5g网络应用层异常检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114785617A true CN114785617A (zh) | 2022-07-22 |
CN114785617B CN114785617B (zh) | 2022-11-15 |
Family
ID=82422129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210675755.6A Active CN114785617B (zh) | 2022-06-15 | 2022-06-15 | 一种5g网络应用层异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114785617B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116805275A (zh) * | 2023-08-21 | 2023-09-26 | 中国标准化研究院 | 一种基于数据分析的公共机构能耗智能监管系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111526096A (zh) * | 2020-03-13 | 2020-08-11 | 北京交通大学 | 智融标识网络状态预测与拥塞控制系统 |
CN111756719A (zh) * | 2020-06-17 | 2020-10-09 | 哈尔滨工业大学 | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及系统 |
CN112966714A (zh) * | 2021-02-02 | 2021-06-15 | 湖南大学 | 一种边缘时序数据异常检测和网络可编程控制方法 |
CN113162939A (zh) * | 2021-04-26 | 2021-07-23 | 上海工程技术大学 | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统 |
CN113364752A (zh) * | 2021-05-27 | 2021-09-07 | 鹏城实验室 | 一种流量异常检测方法、检测设备及计算机可读存储介质 |
US20220174083A1 (en) * | 2020-11-27 | 2022-06-02 | GIST (Gwangju Institute of Science and Technology) | Method and device for detecting malicious activity over encrypted secure channel |
-
2022
- 2022-06-15 CN CN202210675755.6A patent/CN114785617B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及系统 |
CN111526096A (zh) * | 2020-03-13 | 2020-08-11 | 北京交通大学 | 智融标识网络状态预测与拥塞控制系统 |
CN111756719A (zh) * | 2020-06-17 | 2020-10-09 | 哈尔滨工业大学 | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
US20220174083A1 (en) * | 2020-11-27 | 2022-06-02 | GIST (Gwangju Institute of Science and Technology) | Method and device for detecting malicious activity over encrypted secure channel |
CN112966714A (zh) * | 2021-02-02 | 2021-06-15 | 湖南大学 | 一种边缘时序数据异常检测和网络可编程控制方法 |
CN113162939A (zh) * | 2021-04-26 | 2021-07-23 | 上海工程技术大学 | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统 |
CN113364752A (zh) * | 2021-05-27 | 2021-09-07 | 鹏城实验室 | 一种流量异常检测方法、检测设备及计算机可读存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116805275A (zh) * | 2023-08-21 | 2023-09-26 | 中国标准化研究院 | 一种基于数据分析的公共机构能耗智能监管系统 |
CN116805275B (zh) * | 2023-08-21 | 2023-11-21 | 中国标准化研究院 | 一种基于数据分析的公共机构能耗智能监管系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114785617B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111652496B (zh) | 基于网络安全态势感知系统的运行风险评估方法及装置 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN102957579B (zh) | 一种网络异常流量监测方法及装置 | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
CN105553998A (zh) | 一种网络攻击异常检测方法 | |
CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
CN113676343B (zh) | 电力通信网故障源定位方法及装置 | |
CN111698209A (zh) | 一种网络异常流量检测方法及装置 | |
CN107517205A (zh) | 基于概率的智能变电站网络异常流量检测模型构建方法 | |
CN116684878B (zh) | 一种5g信息传输数据安全监测系统 | |
CN114785617B (zh) | 一种5g网络应用层异常检测方法及系统 | |
CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
CN105827611B (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
Dalmazo et al. | Expedite feature extraction for enhanced cloud anomaly detection | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN115372816A (zh) | 基于数据分析的配电开关设备运行故障预测系统及方法 | |
CN116915582A (zh) | 一种通信终端故障根因诊断分析方法及装置 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
Bienias et al. | Architecture of anomaly detection module for the security operations center | |
CN116155581A (zh) | 一种基于图神经网络的网络入侵检测方法与装置 | |
CN115150248A (zh) | 网络流量异常检测方法、装置、电子设备和存储介质 | |
CN117346743A (zh) | 一种基于机器学习模型的水情遥测站智能监测巡检系统 | |
Hu et al. | Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240513 Address after: Room 101, 1st Floor, Building 4, No. 3 Huayuan Road, Haidian District, Beijing, 100080 Patentee after: Beijing Beirong Lihe Technology Co.,Ltd. Country or region after: China Address before: 101207 No. 16, xiongerzhaixiang East Road, Pinggu District, Beijing Patentee before: Beijing jinhuichuang Enterprise Management Co.,Ltd. Country or region before: China |