CN115278685B

CN115278685B - 一种基于dpi技术的5g异常行为终端检测方法及电子设备

Info

Publication number: CN115278685B
Application number: CN202210882854.1A
Authority: CN
Inventors: 黄瑾男; 方权; 蔡本祥; 张林杰
Original assignee: Sino Telecom Technology Co inc
Current assignee: Sino Telecom Technology Co inc
Priority date: 2022-07-26
Filing date: 2022-07-26
Publication date: 2023-10-31
Anticipated expiration: 2042-07-26
Also published as: CN115278685A

Abstract

本发明涉及5G信令安全领域，特别是涉及一种基于DPI技术的5G异常行为终端检测方法及电子设备。其中一种基于DPI技术的5G异常行为终端检测方法包括：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息；读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。

Description

一种基于DPI技术的5G异常行为终端检测方法及电子设备

技术领域

本发明涉及5G信令安全领域，特别是涉及一种基于DPI技术的5G异常行为终端检测方法及电子设备。

背景技术

随着移动通信计数的发展，5G通信以更快的速率、更低的时延、更大的连接密度等优势逐渐成为未来的发展趋势。目前5G信号已经开始商用且在较大范围内有了部署，给用户提供了便利。与此同时，5G信号引入的新技术也一定程度上也面临新的安全问题，为应对新的基于5G信号的安全问题，其新的安全风险识别技术是不可缺少。比如由于物联网技术的引入，海量终端接入5G通讯网路将极大地提升流量的接入，而防护能力较弱的终端更易被攻击者利用而不知，给用户的使用带来较大的安全隐患。

发明内容

本发明的目的在于提供一种基于DPI的5G异常终端检测方法，通过DPI提取5G信令流量中的相关字段得出终端的相关行为，结合实际的异常终端情形，加入动态调整的阈值计算方法，可更准确有效地识别出异常的终端行为，准确识别出处于异常状态的终端以方便后续管理。

本发明所采用的技术方案为：

一方面，本申请提供一种基于DPI技术的5G异常行为终端检测方法，其中：包括：

于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息；

读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；

于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。

优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息具体包括：

通过DPI技术接收并读取N1/N2接口的信令流量；解析所述信令流量，并提取交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息；

根据所述交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息形成所述日志信息。

优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；

读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取特征数据组信息；根据所述特征数据组信息形成一哈希表；

根据所述哈希表形成K组所述日志数据；并于所述日志数据形成后释放哈希表资源，根据所述日志数据包含与所述特征数据组信息匹配的特征数据组平均值；

根据识别周期内特征数据组平均值形成终端于各哈希结点中识别周期内特征数据组更新值。

优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端，具体包括：

根据所述特征数据组更新值形成一组与所述特征数据组匹配的第一阈值组；

于所述特征数据组信息匹配所述特征数据组匹配的第一阈值组的状态下，认定当前终端为异常终端。

优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：

于所述特征数据组信息不匹配所述特征数据组匹配的第一阈值组的状态下，根据所述特征数据组更新值形成一组与所述特征数据组匹配的第二阈值组；

于所述特征数据组信息中至少一个数据匹配所述特征数据组匹配的第二阈值组的状态下，认定当前终端为疑似异常终端。

配置一与所述疑似异常终端匹配的疑似特征值；

将疑似异常终端的信息加入疑似异常终端表，并对所述疑似特征值做加1处理；

判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端。

优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端之前还包括：

监测所述疑似异常终端的状态，于所述疑似异常终端在第三预定时间为持续处于正常状态，则异常终端的疑似特征值减1；

于所述疑似异常终端的疑似特征值为0的状态下，于所述疑似异常终端表删除与所述疑似特征值为0的疑似异常终端信息。

于异常终端信息不在异常终端表状态下，将异常终端信息加入异常终端表；异常终端于异常终端列表中的异常特征值由初始值变成1，或者于异常终端信息在异常终端表状态下，异常终端于异常终端列表中的异常特征值加1；

持续监测所述异常终端的状态，于所述异常终端在第二预定时间为持续处于正常状态，则异常终端的异常特征值减1；

所述异常终端的异常特征值为0的状态下，于所述异常终端表删除与所述SUPI的特征值为0的异常终端信息。

另一方面，本申请再提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序，其中，所述处理器执行所述计算机程序时实现上述的任一项所述的一种基于DPI技术的5G异常行为终端检测方法。

最后，本申请再提供一种计算机程序产品，其中，包括计算机可读代码，或者承载有计算机可读代码的可读存储介质，当计算机可读代码在电子设备的处理器中运行时，所述电子设备中的处理器执行用于实现上述任一项所述的一种基于DPI技术的5G异常行为终端检测方法。

与现有技术相比，本申请的有益效果是：

上述方法，通过DPI提取5G信令流量中的相关字段或程序得出终端的相关行为，结合实际的异常终端情形，加入动态调整的阈值计算方法，可更准确有效地识别出异常的终端行为。

附图说明

图1为本发明实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；

图2为本发明实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；

图3为本发明实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；

图4为本发明实施例提供的一种电子设备结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的技术思路是：由DPI模块接收并接收N1/N2接口的信令流量，解析信令并提取交互流程类型、流程状态、信令起止时间、永久用户标识、AMF_IP、是否属于开机流程等关键信息，生成日志；读取DPI解析生成的日志信息，统计一定时间段内，终端各交互流程类型的日志条数，当超过阈值时，判定为异常终端行为，输出判定结果；在阈值的选取上，结合终端过往行为使得判定的阈值为动态进行。动态设计定的方法包括：对于已有异常行为的终端，其后续仍有异常的可能性较大，因此通过设置异常特征值动态降低其对应的阈值；当用户多次被监测超出正常发起信令流程较高频次后，被判定为疑似异常终端，通过疑似特征值的结果判断是否为异常终端。具体地：

如图1所示，一种基于DPI技术的5G异常行为终端检测方法，其中，包括：

步骤S110、于获取到信令流量的状态下，根据所述信令流量分析形成与参考数据匹配的特征数据以及与所述特征数据匹配的日志信息；具体包括：

步骤S1101、通过DPI技术接收并读取N1/N2接口的信令流量；解析所述信令流量，并提取交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息；示意性地，采集UE和AMF之间的N1/N2接口流量，通过DPI的协议识别引擎处理，以源IP、目的IP、源端口、目的端口、四层协议类型为单位，生成包含交互流程类型、流程状态、起止时间戳、永久用户标识(SUPI)、AMF_IP、是否属于开机流程等信息；其中以源IP、目的IP、源端口、目的端口、四层协议类型为单位也可以理解为以五元组为单位，五元组分别为源IP、目的IP、源端口、目的端口、四层协议类型；

步骤S1102、根据所述交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息形成日志信息。

步骤S120、读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；具体包括：

如图2所示，步骤S1201、读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取特征数据组信息，其中特征数据组信息包含注册流程信息、网络接入流程信息、开机接入流程信息、业务连接流程信息、PDU请求流程信息；根据所述特征数据组信息形成一哈希表；

示意性地：读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取注册流程信息、网络接入流程信息、开机接入流程信息、业务连接流程信息、PDU请求流程信息；根据所述注册流程信息、网络接入流程信息、开机接入流程信息、业务连接流程信息、PDU请求流程信息形成一哈希表，所述哈希表包含M个结点；其中第一预定时间可为1小时，也可根据实际应用确定不同的时间，此处不作具体限制。

步骤S1202、根据所述哈希表形成K组所述日志数据；并于所述日志数据形成后释放哈希表资源，根据所述日志数据包含与所述特征数据组信息匹配的特征数据组平均值；

其中，

Xi为第i个结点中所述特征数据组信息；为识别周期内第i个结点中特征数据组信息平均值；M为所述哈希表中结点数量；

示意性地：根据所述哈希表形成K组所述日志数据，并于所述日志数据形成后释放哈希表资源，具体包括注册流程日志数平均值、识别周期内网络接入流程日志数平均值、识别周期内开机接入流程日志数平均值、识别周期内业务连接流程日志数平均值、识别周期内PDU请求流程日志数平均值；

其中：Ai为第i个结点中注册流程日志条数；为识别周期内第i个结点中注册流程日志数平均值；Bi为第i个结点中网络接入流程且非开机流程日志条数；/>为识别周期内第i个结点中网络接入流程日志数平均值；Ci为第i个结点中开机接入流程且属开机流程日志条数；/>为识别周期内第i个结点中开机接入流程日志数平均值；Di为第i个结点中业务连接流程的日志条数；/>为识别周期内第i个结点中业务连接流程日志数平均值；Ei为第i个结点中PDU请求流程的日志条数；/>为识别周期内第i个结点中PDU请求流程日志数平均值；M为所述哈希表中结点数量；

步骤S1203、根据识别周期内特征数据组平均值形成终端于各哈希结点中识别周期内特征数据组更新值。

其中，为识别周期内第i个结点中特征数据组信息平均值；M为所述哈希表中结点数量；K为特征数据组的数量；Avg_X为特征数据组更新值；

示意性地：根据识别周期内注册流程日志数平均值、识别周期内网络接入流程日志数平均值、识别周期内开机接入流程日志数平均值、识别周期内业务连接流程日志数平均值、识别周期内PDU请求流程日志数平均值形成终端于各哈希结点中识别周期内注册流程日志数更新值、识别周期内网络接入流程日志数更新值、识别周期内开机接入流程日志数更新值、识别周期内业务连接流程日志数更新值、识别周期内PDU请求流程日志数更新值。

其中Avg_A为注册流程日志数更新值；Avg_B为网络接入流程日志数更新值；Avg_C为开机接入流程日志数更新值；Avg_D为业务连接流程日志数更新值；Avg_E为PDU请求流程日志数更新值；

步骤S130、于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。具体地：

如图3所示，步骤S1301、根据所述特征数据组更新值形成一组与所述特征数据组匹配的第一阈值组；

第一阈值组为：Avg_X+α*(Q_XMAX-P)；其中Q_XMAX为是识别周期内特征数据X对应的最大值；P为异常终端于异常终端列表中的异常特征值；P的初始值为0，a为系数，取值范围0至1之间，可以根据实际选取。

步骤S1302、于所述特征数据组信息匹配所述特征数据组匹配的第一阈值组的状态下，认定当前终端为异常终端；

示意性地：根据识别周期内注册流程日志数更新值形成识别周期内注册流程日志数第一阈值，于第i个结点中注册流程日志条数匹配注册流程日志数第一阈值的状态下形成注册流程第一异常值；其中：注册流程日志数第一阈值为Avg_A+α*(Q_AMAX-P)；于第i个结点中注册流程日志条数大于Avg_A+α*(Q_AMAX-P)的状态下，认定第i个结点中注册流程日志条数匹配注册流程日志数第一阈值；Q_AMAX为识别周期内注册流程日志数最大值，a为系数，P为异常终端于异常终端列表中的异常特征值；

根据识别周期内网络接入流程日志数更新值形成识别周期内网络接入流程日志数第一阈值，于第i个结点中网络接入流程且非开机流程日志条数匹配网络接入流程日志数第一阈值的状态下形成网络接入流程第一异常值；网络接入流程日志数第一阈值为Avg_B+α*(Q_BMAX-P)；于第i个结点中网络接入流程日志条数大于Avg_B+α*(Q_BMAX-P)的状态下，认定第i个结点中网络接入流程日志条数匹配网络接入流程日志数第一阈值；Q_BMAX为识别周期内网络接入流程日志数最大值，a为系数，P为异常终端于异常终端列表中的异常特征值；

根据识别周期内开机接入流程日志数更新值形成识别周期内开机接入流程日志数第一阈值，于第i个结点中开机接入流程且属开机流程日志条数匹配开机接入流程日志数第一阈值的状态下形成开机接入流程第一异常值；

开机接入流程日志数第一阈值为Avg_C+α*(Q_CMAX-P)；于第i个结点中开机接入流程日志条数大于Avg_C+α*(Q_CMAX-P)的状态下，认定第i个结点中开机接入流程日志条数匹配开机接入流程日志数第一阈值；Q_CMAX为识别周期内开机接入流程日志数最大值，a为系数，P为异常终端于异常终端列表中的异常特征值；

根据识别周期内业务连接流程日志数更新值形成识别周期内业务连接流程日志数第一阈值，于业务连接流程日志条数匹配业务连接流程日志数第一阈值的状态下形成业务连接流程第一异常值；

业务连接流程日志数第一阈值为Avg_D+α*(Q_DMAX-P)；于第i个结点中业务连接流程日志条数大于Avg_D+α*(Q_DMAX-P)的状态下，认定第i个结点中业务连接流程日志条数匹配业务连接流程日志数第一阈值；Q_DMAX为识别周期内业务连接流程日志数最大值，a为系数，P为异常终端于异常终端列表中的异常特征值；

根据识别周期内PDU请求流程日志数更新值形成识别周期内PDU请求流程日志数第一阈值，于PDU请求流程日志条数匹配PDU请求流程日志数第一阈值的状态下形成PDU请求流程第一异常值；

PDU请求流程日志数第一阈值为Avg_E+α*(Q_EMAX-P)；于第i个结点中PDU请求流程日志条数大于Avg_E+α*(Q_EMAX-P)的状态下，认定第i个结点中PDU请求流程日志条数匹配PDU请求流程日志数第一阈值；Q_EMAX为识别周期内PDU请求流程日志数最大值，a为系数，P为异常终端于异常终端列表中的异常特征值；

于获取到注册流程第一异常值、网络接入流程第一异常值、开机接入流程第一异常值、业务连接流程第一异常值、PDU请求流程第一异常值中任一值的状态下认定当前终端为异常终端。

上述方法，通过DPI提取5G信令流量中的相关字段得出终端的相关行为，结合实际的异常终端情形，加入动态调整的阈值计算方法，可更准确有效地识别出异常的终端行为。

作为进一步优选实施方案，上述的一种基于DPI技术的5G异常行为终端检测方法还包括：

步骤S1303、于所述特征数据组信息不匹配所述特征数据组匹配的第一阈值组的状态下，根据所述特征数据组更新值形成一组与所述特征数据组匹配的第二阈值组，其中，第二阈值组为Avg_X+α*Q_xmin；其中Q_xmin为是识别周期内特征数据X对应的最小值；

步骤S1304、于所述特征数据组信息中至少一个数据匹配所述特征数据组匹配的第二阈值组的状态下，认定当前终端为疑似异常终端。

示意性地：于未获取到注册流程第一异常值、网络接入流程第一异常值、开机接入流程第一异常值、业务连接流程第一异常值、PDU请求流程第一异常值中任一值的状态下；

根据识别周期内注册流程日志数更新值形成识别周期内注册流程日志数第二阈值，于第i个结点中注册流程日志条数匹配注册流程日志数第二阈值的状态下形成注册流程第二异常值；其中：

注册流程日志数第二阈值为Avg_A+α*Q_Amin；于第i个结点中注册流程日志条数大于Avg_A+α*Q_Amin的状态下，认定第i个结点中注册流程日志条数匹配注册流程日志数第二阈值；Q_Amin为识别周期内注册流程日志数最小值，a为系数；

根据识别周期内网络接入流程日志数更新值形成识别周期内网络接入流程日志数第二阈值，于第i个结点中网络接入流程且非开机流程日志条数匹配网络接入流程日志数第二阈值的状态下形成网络接入流程第二异常值；

网络接入流程日志数第二阈值为Avg_B+α*Q_Bmin；于第i个结点中网络接入流程日志条数大于Avg_B+α*Q_Bmin的状态下，认定第i个结点中网络接入流程日志条数匹配网络接入流程日志数第二阈值；Q_Bmin为识别周期内网络接入流程日志数最小值，a为系数；

根据识别周期内开机接入流程日志数更新值形成识别周期内开机接入流程日志数第二阈值，于第i个结点中开机接入流程且属开机流程日志条数匹配开机接入流程日志数第二阈值的状态下形成开机接入流程第二异常值；

开机接入流程日志数第二阈值为Avg_C+α*Q_Cmin；于第i个结点中开机接入流程日志条数大于Avg_C+α*Q_Cmin的状态下，认定第i个结点中开机接入流程日志条数匹配开机接入流程日志数第二阈值；Q_Cmin为识别周期内开机接入流程日志数最小值，a为系数；

根据识别周期内业务连接流程日志数更新值形成识别周期内业务连接流程日志数第二阈值，于业务连接流程日志条数匹配业务连接流程日志数第二阈值的状态下形成业务连接流程第二异常值；

业务连接流程日志数第二阈值为Avg_D+α*Q_Dmin；于第i个结点中业务连接流程日志条数大于Avg_D+α*Q_Dmin的状态下，认定第i个结点中业务连接流程日志条数匹配业务连接流程日志数第二阈值；Q_Dmin为识别周期内业务连接流程日志数最小值，a为系数；

根据识别周期内PDU请求流程日志数更新值形成识别周期内PDU请求流程日志数第二阈值，于PDU请求流程日志条数匹配PDU请求流程日志数第二阈值的状态下形成PDU请求流程第二异常值；

PDU请求流程日志数第二阈值为Avg_E+α*Q_Emin；于第i个结点中PDU请求流程日志条数大于Avg_E+α*Q_Emin的状态下，认定第i个结点中PDU请求流程日志条数匹配PDU请求流程日志数第二阈值；Q_Emin为识别周期内PDU请求流程日志数最小值，a为系数；

于获取到注册流程第二异常值、网络接入流程第二异常值、开机接入流程第二异常值、业务连接流程第二异常值、PDU请求流程第二异常值中任一值的状态下认定当前终端为疑似异常终端；

步骤S1305、配置一与所述疑似异常终端匹配的疑似特征值；疑似特征值的初始值为0；

步骤S1306、将疑似异常终端的信息加入疑似异常终端表，并对所述疑似特征值做加1处理；

进一步地，监测所述疑似异常终端的状态，于所述疑似异常终端在第三预定时间为持续处于正常状态，则异常终端的疑似特征值减1，直至所述疑似异常终端的疑似特征值为0的状态下，于所述疑似异常终端表删除与所述疑似特征值为0的疑似异常终端信息。其中第三预定时间可由用户自行设置，例如第三预定时间可为2小时。

步骤S1307、判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端。进一步地，疑似最大阈值可为5；

作为进一步优选实施方案，上述的一种基于DPI技术的5G异常行为终端检测方法，其中，还包括：

步骤S140、于当前终端为认定为异常终端的状态下输出异常终端信息；

步骤S150、于异常终端信息不在异常终端表状态下，将异常终端信息加入异常终端表；异常终端于异常终端列表中的异常特征值由初始值变成1，或者于异常终端信息在异常终端表状态下，异常终端于异常终端列表中的异常特征值加1。其中异常特征值的初始值为0；

步骤S160、持续监测所述异常终端的状态，于所述异常终端在第二预定时间为持续处于正常状态，则异常终端的异常特征值减1；第二预定时间可由用户自行设置。第二预定时间可为48小时。

于所述异常终端的异常特征值为0的状态下，于所述异常终端表删除与异常特征值为0的异常终端信息。

上述方法基于DPI技术对N1/N2接口的5G信令流量的识别提取生成的日志来分析，主要为结合实际的异常终端行为特征和场景，加入可疑终端行为阈值维度，设计了可由程序动态调整的阈值计算方法。本方法相比单纯设置阈值方式，可有效提高阈值设置上容错性，从而增加异常终端识别的准确度。

实施例二

本申请实施例提供了一种电子设备，如图4所示，本实施例提供了一种电子设备400，其包括：一个或多个处理器420；存储装置410，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器420运行，使得所述一个或多个处理器420实现：

于获取到信令流量的状态下，根据所述信令流量分析形成与参考数据匹配的特征数据以及与所述特征数据匹配的日志信息；

如图4所示，该电子设备400包括处理器420、存储装置410、输入装置430和输出装置440；电子设备中处理器420的数量可以是一个或多个，图4中以一个处理器420为例；电子设备中的处理器420、存储装置410、输入装置430和输出装置440可以通过总线或其他方式连接，图4中以通过总线450连接为例。

存储装置410作为一种计算机可读存储介质，可用于存储软件程序、计算机可运行程序以及模块单元，如本申请实施例中的基于相关运行环境的控制方法对应的程序指令。

存储装置410可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储装置410可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置410可进一步包括相对于处理器420远程设置的存储器，这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置430可用于接收输入的数字、字符信息或语音信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏、扬声器等设备。

实施例三

在一些实施例中，以上所描述的方法可以被实现为计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本公开的各个方面的计算机可读程序指令。具体地：

上述的计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言，以及常规的过程式编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims

1.一种基于DPI技术的5G异常行为终端检测方法，其特征在于：包括：

于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端；

其中，于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息具体包括：通过DPI技术接收并读取N1/N2接口的信令流量；解析所述信令流量，并提取交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息；根据所述交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息形成所述日志信息；

所述方法还包括：读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取特征数据组信息；根据所述特征数据组信息形成一哈希表；根据所述哈希表形成K组所述日志数据；并于所述日志数据形成后释放哈希表资源，根据所述日志数据包含与所述特征数据组信息匹配的特征数据组平均值；根据识别周期内特征数据组平均值形成终端于各哈希结点中识别周期内特征数据组更新值；

其中，于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端，具体包括：根据所述特征数据组更新值形成一组与所述特征数据组匹配的第一阈值组；于所述特征数据组信息匹配所述特征数据组匹配的第一阈值组的状态下，认定当前终端为异常终端。

2.根据权利要求1所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于，还包括：

3.根据权利要求2所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于，还包括：

配置一与所述疑似异常终端匹配的疑似特征值；

4.根据权利要求3所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于，还包括：判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端之前还包括：

5.根据权利要求2所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于，还包括：

6.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1～5中任一项所述的一种基于DPI技术的5G异常行为终端检测方法。

7.一种计算机可读存储介质，其特征在于，其上存储有计算机程序指令，所述计算机程序指令可被处理器执行以实现如权利要求1～5中任一项所述的一种基于DPI技术的5G异常行为终端检测方法。