JP6585136B2 - ワイヤレスネットワークにおけるシグナリング異常の検知および緩和 - Google Patents

ワイヤレスネットワークにおけるシグナリング異常の検知および緩和 Download PDF

Info

Publication number
JP6585136B2
JP6585136B2 JP2017201879A JP2017201879A JP6585136B2 JP 6585136 B2 JP6585136 B2 JP 6585136B2 JP 2017201879 A JP2017201879 A JP 2017201879A JP 2017201879 A JP2017201879 A JP 2017201879A JP 6585136 B2 JP6585136 B2 JP 6585136B2
Authority
JP
Japan
Prior art keywords
traffic analysis
analysis module
traffic
anomaly
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017201879A
Other languages
English (en)
Other versions
JP2018078546A5 (ja
JP2018078546A (ja
Inventor
カッリオラ アーポ
カッリオラ アーポ
ジャスティン オリヴァー イアン
ジャスティン オリヴァー イアン
ジャン クロード ミシェ ヨアン
ジャン クロード ミシェ ヨアン
ホルトマンス シルケ
ホルトマンス シルケ
アリ アマーナト
アリ アマーナト
クーレ ペッカ
クーレ ペッカ
Original Assignee
ノキア ソリューションズ アンド ネットワークス オサケユキチュア
ノキア ソリューションズ アンド ネットワークス オサケユキチュア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア ソリューションズ アンド ネットワークス オサケユキチュア, ノキア ソリューションズ アンド ネットワークス オサケユキチュア filed Critical ノキア ソリューションズ アンド ネットワークス オサケユキチュア
Publication of JP2018078546A publication Critical patent/JP2018078546A/ja
Publication of JP2018078546A5 publication Critical patent/JP2018078546A5/ja
Application granted granted Critical
Publication of JP6585136B2 publication Critical patent/JP6585136B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0284Traffic management, e.g. flow control or congestion control detecting congestion or overload during communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/10Scheduling measurement reports ; Arrangements for measurement reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0231Traffic management, e.g. flow control or congestion control based on communication conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0247Traffic management, e.g. flow control or congestion control based on conditions of the access network or the infrastructure network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/16Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
    • H04W28/18Negotiating wireless communication parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、ワイヤレス通信システムに関し、詳細には、無線アクセスネットワークにおけるシグナリング異常を検知および緩和するためのソリューションに関する。
モバイルネットワークにおけるユーザ機器(UE)の接続性は、UEと、基地局または(エボルブド)Node Bなどのアクセスノードとの間におけるエアインターフェースの機能しているコントロールプレーンに依存している。コントロールプレーンは、悪意あるまたは間違って構成されているUEによってもたらされる非典型的に高いシグナリング負荷によって過負荷になる場合がある。この過負荷状況は、いくつかの場合においては、シグナリングストームと呼ばれることがある。シグナリングストームは、シグナリングストームによって影響されるアクセスノードに大部分のUEが接続するのを効果的に防止することが可能である。シグナリングストームは、接続性を劣化させることに加えて、車車間通信などのセーフティークリティカルな通信に対して破壊的なインパクトをもたらす場合がある。モノのインターネット(IoT)のコンセプトの発展に伴って、ますます多くのマシンタイプの通信デバイスが市場に現れており、それらのすべてが適切にテストされているとは限らず、不規則に動作している場合がある。
シグナリングストームは、エアインターフェースのコントロールプレーンを混雑させるので、緩和するのは簡単ではない。システムのオペレータへのダメージは、停止状態(小さなエリアでの、または広いエリアでさえ)などのサービスの問題を含み得る。UEのベースバンドオペレーションは一般に、標準に準拠しているとみなされているが、これは、必ずしも当てはまるとは限らない。ベースバンド上で実行されるコンピュータプログラムは、悪意ある使用の影響を受けやすい場合があり、または極端なケースにおいては、UEが、モバイルネットワークを攻撃するのに必要な機能のみを実施する不正な無線送信機である場合がある。ソフトウェア無線(SDR)テクノロジーの広まりによって、後者のシナリオは、ますます可能になり、攻撃者にとっては、より利用可能になっている。少数の準拠していないUEによる有害なエアインターフェースアクティビティーに加えて、UE群のうちの大部分のシグナリングトラフィックが、たとえばアプリケーションレベルのマルウェアがUEを感染させている結果として、著しく増大するケースを考慮することが必要である。
本発明は、独立請求項の主題によって定義されている。いくつかの実施形態は、従属請求項において定義されている。
ある態様によれば、請求項13に記載の装置が提供されている。
ある実施形態においては、この装置は、少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリとを含み、プロセッサ、メモリ、およびコンピュータプログラムコードは、第1のトラフィック分析モジュールとして動作すること、ならびに、第2のローカルトラフィック分析モジュールから、または複数のローカルトラフィック分析モジュールに接続されている中央トラフィック分析モジュールから、構成パラメータを受信すること、受信された構成パラメータを使用することによって、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタすること、構成パラメータに基づいて、コントロールプレーンのシグナリング負荷をもたらしている異常を検知すること、および、前記検知することに応答して、異常を緩和するためのアクションをって、異常についての情報を中央トラフィック分析モジュールへ報告することをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、前記検知をもたらしたトラフィックを表すデータを中央トラフィック分析モジュールへ少なくとも伝送することによって前記報告することを実行することをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、検知された異常を別のローカルトラフィック分析モジュールに示すことをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、モニタされているトラフィックの少なくとも1つのメッセージに基づいて、前記異常をもたらしているデバイスを識別すること、および識別されたデバイスに関連付けられているトラフィックのうちの少なくともいくらかを中央トラフィック分析モジュールへルーティングすることをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、少なくとも、モニタされているトラフィックの少なくとも1つのメッセージに基づいて、前記異常をもたらしているデバイスを識別すること、および識別されたデバイスのトラフィックをコントロールすることを実行することによって、異常を緩和するための前記アクションを実行することをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、デバイスをブロックすること、1つのアクセスノードから別のアクセスノードへのデバイスのハンドオーバーをもたらすこと、デバイスとの通信を一時停止すること、デバイスがトラフィックをもたらすことを許可する一方でデバイスのトラフィックボリュームを低減すること、デバイスの所有者へメッセージを伝送すること、およびデバイスにおけるソフトウェアまたはファームウェアの更新をもたらすことというトラフィックコントロール機能のうちの少なくとも1つを実行することによって、識別されたデバイスのトラフィックを前記コントロールすることを実行することをこの装置に行わせるように構成されている。
ある実施形態においては、この装置は、無線アクセスネットワークのアクセスノードにおけるトラフィックをモニタするのに適している。
ある実施形態においては、請求項13の装置は、少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリとを含み、プロセッサ、メモリ、およびコンピュータプログラムコードは、中央トラフィック分析モジュールとして動作すること、ならびに、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタするように構成されている複数のローカルトラフィック分析モジュールとの通信接続を確立すること、第1のローカルトラフィック分析モジュールから、コントロールプレーンのシグナリング負荷をもたらしている異常についての情報を受信すること、受信された情報を分析し、その分析に基づいて、異常に関連したアクションを実行するか否かを決定すること、および、アクションを実行することを決定すると、別の中央トラフィック分析モジュールと、複数のローカルトラフィック分析モジュールのうちの少なくとも1つとのうちの少なくとも1つへの構成メッセージの伝送をもたらすことをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、受信された情報が異常の存在を示しているか否かを特定するためにマシン学習を少なくとも使用することによって前記分析することを実行することをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、異常を検知すると、異常を緩和するためのアクションを実行するためのコマンドを構成メッセージ内に含めて、複数のローカルトラフィック分析モジュールのうちの前記少なくとも1つへの構成メッセージの伝送をもたらすことをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、異常を検知すると、異常の特徴を構成メッセージ内に含めて、異常に関して前記その他の中央トラフィック分析モジュールに知らせることをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、異常を検知すると、異常をもたらしている端末デバイスを特定し、その端末デバイスのロケーションレジスタにおけるその端末デバイスの少なくとも1つのレジスタエントリーを修正することをこの装置に行わせるように構成されている。
ある実施形態においては、プロセッサ、メモリ、およびコンピュータプログラムコードは、複数のローカルトラフィック分析モジュールが無線アクセスネットワークにおけるモニタされているトラフィックから異常を検知するためにマシン学習を使用することを可能にする構成パラメータを複数のローカルトラフィック分析モジュールに提供することをこの装置に行わせるように構成されている。
ある実施形態においては、この装置は、無線通信能力をこの装置に提供する通信インターフェースをさらに含む。
以降では、添付の図面を参照しながら、好ましい実施形態を用いて、より詳細に本発明について記述する。
本発明のいくつかの実施形態を適用することができるワイヤレス通信シナリオを示す図である。 通信システムの無線アクセスネットワークにおいてルーティングされているトラフィックにおける異常を検知および緩和するためのいくつかの実施形態の流れ図である。 通信システムの無線アクセスネットワークにおいてルーティングされているトラフィックにおける異常を検知および緩和するためのいくつかの実施形態の流れ図である。 本発明のある実施形態によるトラフィック分析モジュールの階層的なアレンジを示す図である。 無線アクセスネットワークにおける異常の検知および/または緩和の分散処理のためのいくつかの実施形態のシグナリング図である。 無線アクセスネットワークにおける異常の検知および/または緩和の分散処理のためのいくつかの実施形態のシグナリング図である。 無線アクセスネットワークにおける異常の検知および/または緩和の分散処理のためのいくつかの実施形態のシグナリング図である。 無線アクセスネットワークにおける異常の検知および/または緩和の分散処理のためのいくつかの実施形態のシグナリング図である。 本発明のいくつかの実施形態による装置の構造のブロック図である。 本発明のいくつかの実施形態による装置の構造のブロック図である。
以降の実施形態は、例示を行っている。本明細書は、本文のいくつかの場所において、「ある」実施形態、「一」実施形態、または「いくつかの」実施形態(単数又は複数)に言及している場合があるが、これは、それぞれの言及が同じ実施形態(単数又は複数)に対して行われているということ、または特定の特徴が単一の実施形態に適用するのみということを必ずしも意味していない。別々の実施形態の単一の特徴どうしを組み合わせて、その他の実施形態を提供することもできる。
記述されている実施形態は、基本的なワイドバンド符号分割多元接続(W−CDMA)に基づくユニバーサルモバイルテレコミュニケーションシステム(UMTS、3G)、ハイスピードパケットアクセス(HSPA)、ロングタームエボリューション(LTE)、LTE−Advanced、5Gシステム、および/または将来のシステムのうちの少なくとも1つにおけるものなどの無線システムにおいて実施されることが可能である。
しかしながら、それらの実施形態は、例として与えられているシステムに限定されず、当業者なら、必要な特性を伴って提供されるその他の通信システムにこのソリューションを適用することができる。適切な通信システムの一例は、上で列挙されている5Gシステムである。5Gは、多入力多出力(MIMO)マルチアンテナ伝送技術と、より小さなローカルエリアアクセスノードと連携して動作するマクロサイトを含む、LTEの現在のネットワーク展開よりも多くの基地局またはノード(いわゆる、スモールセルコンセプト)と、おそらくはまた、より良好なカバレッジおよび高められたデータレートのためにさまざまな無線テクノロジーを採用することとを用いるものとして構想されてきた。5Gは、それぞれが特定の使用事例および/またはスペクトルに関して最適化されている複数の無線アクセステクノロジー(RAT)から構成される可能性が高いであろう。5Gモバイル通信は、より広い範囲の使用事例と、ビデオストリーミング、拡張現実、データ共有の多様な方法、ならびに車両の安全、多様なセンサ、およびリアルタイムコントロールを含むさまざまな形態のマシンタイプアプリケーションを含む関連アプリケーションとを有するであろう。5Gは、複数の無線インターフェース、すなわち、6GHz未満、cmWave、およびmmWaveを有すること、そしてまた、LTEなどの既存のレガシーの無線アクセステクノロジーと統合可能であることが予想される。LTEとの統合は、少なくとも早い段階において、システムとして実施されることが可能であり、この場合、マクロカバレッジはLTEによって提供され、5G無線インターフェースアクセスは、LTEへのアグリゲーションによってスモールセルから生じる。言い換えれば、5Gは、RAT間のオペラビリティー(LTE−5Gなど)、およびRI間のオペラビリティー(6GHz未満−cmWave、6GHz未満−cmWave−mmWaveなど、無線インターフェース間のオペラビリティー)の両方をサポートするように計画されている。5Gネットワークにおいて使用されることになるとみなされているコンセプトのうちの1つは、ネットワークスライシングであり、このネットワークスライシングにおいては、複数の独立した専用の仮想サブネットワーク(ネットワークインスタンス)が、同じインフラストラクチャー内に作成されて、待ち時間、信頼性、スループット、およびモビリティーについてのさまざまな要件を有するサービスを稼働させることができる。
将来のネットワークは、サービスを提供するために動作可能にともに接続またはリンクされることが可能である「ビルディングブロックどうし」またはモジュールどうしへとネットワークノード機能を仮想化することを提案するネットワークアーキテクチャーコンセプトであるネットワーク機能仮想化(NFV)を利用するであろう可能性が最も高いということを理解されたい。仮想化されたネットワーク機能(VNF)は、カスタマイズされたハードウェアの代わりに標準的なまたは一般的なタイプのサーバを使用してコンピュータプログラムコードを実行する1つまたは複数の仮想マシンを含むことができる。クラウドコンピューティングまたはクラウドデータストレージを利用することも可能である。無線通信においては、これは、ノードオペレーションが、リモート無線ヘッドに動作可能に結合されているサーバ、ホスト、またはノードにおいて少なくとも部分的に実行されることを意味し得る。ノードオペレーションが、複数のサーバ、ノード、またはホストの間において分散されることになることも可能である。コアネットワークのオペレーションと基地局のオペレーションとの間における作業の分散は、LTEのものとは異なる場合があり、または存在しない場合さえあるということを理解されたい。おそらくは使用されることになるその他のいくつかのテクノロジーの進歩は、ソフトウェアデファインドネットワーキング(SDN)、ビッグデータ、およびオールIPであり、これらは、ネットワークが構築および管理されているあり方を変える可能性がある。
図1は、本発明のいくつかの実施形態を適用することができる通信システムの一例を示している。このシステムは、セル100、102を提供および管理する少なくとも1つのアクセスノード110、112を含むことができる。たとえば、セルは、たとえば、マクロセル、マイクロセル、フェムト、またはピコセルであることが可能である。別の観点から、セルは、アクセスノード110、112のカバレッジエリアまたはサービスエリアを定義することができる。アクセスノード110、112は、LTEおよびLTE−AにおけるようなエボルブドNode B(eNB)、IEEE802.11ベースのネットワーク(Wi−Fiもしくはワイヤレスローカルエリアネットワーク、WLAN)のアクセスポイント、または無線通信をコントロールすることおよびセル内の無線リソースを管理することが可能であるその他の任意の装置であることが可能である。5Gソリューションに関しては、実施態様は、上述のようなLTE−Aと同様であることが可能である。アクセスノード110、112は、基地局またはネットワークノードと呼ばれる場合がある。このシステムは、アクセスノードどうしの無線アクセスネットワークから構成されているセルラー通信システムであることが可能であり、それぞれのアクセスノードは、それぞれの1つまたは複数のセルをコントロールする。アクセスノードは、インターネットなどのその他のネットワークへのワイヤレスアクセスを端末デバイス120、121、122に提供することができる。いくつかのシナリオにおいては、1つまたは複数のローカルエリアアクセスノードをマクロセルアクセスノードのコントロールエリア内にアレンジすることができる。ローカルエリアアクセスノードは、マクロセル内に含まれ得るサブセル内にワイヤレスアクセスを提供することができる。サブセルの例は、マイクロセル、ピコセル、および/またはフェムトセルを含み得る。典型的には、サブセルは、マクロセル内にホットスポットを提供する。ローカルエリアアクセスノードのオペレーションは、アクセスノードによってコントロールされることが可能であり、そのアクセスノードのコントロールエリアの下にサブセルが提供される。
通信ネットワークにおける複数のアクセスノードのケースにおいては、それらのアクセスノードは、インターフェース150を用いて互いに接続されることが可能である。LTE仕様では、そのようなインターフェースをX2インターフェースまたはS1インターフェースと呼んでいる。IEEE802.11ネットワークにおいては、同様のインターフェースが、アクセスポイントどうしの間に提供される。インターフェース150は、アクセスノードに対して、互いに直接通信する能力を提供することができる。アクセスノードどうしの間におけるその他の通信方法も可能であり得る。アクセスノードはさらに、別のインターフェースを介してセルラー通信システムのコアネットワーク130へ接続されることが可能である。LTE仕様では、コアネットワークをエボルブドパケットコア(EPC)と指定しており、コアネットワークは、モビリティー管理モジュール(MME)132およびゲートウェイ(GW)ノード134を含むことができる。MMEは、複数のセルを包含しているトラッキングエリアにおける端末デバイスのモビリティーを取り扱うこと、そしてまた、端末デバイスとコアネットワーク130との間におけるシグナリング接続を取り扱うことが可能である。ゲートウェイノード134は、コアネットワーク130における、および端末デバイスへの/からのデータルーティングを取り扱うことができる。
図1の無線システムは、マシンタイプ通信(MTC)をサポートすることができる。MTCは、大量のMTC対応デバイス、たとえば、少なくとも1つの端末デバイス120〜122にサービスを提供することを可能にすることができる。少なくとも1つの端末デバイス120〜122は、MTCネットワークなどの無線通信ネットワークとのユーザ通信のために使用されるモバイル電話、スマートフォン、タブレットコンピュータ、ラップトップ、またはその他のデバイスを含むことができる。これらのデバイスは、MTCスキームと比較して、さらなる機能、たとえば、音声、ビデオ、および/またはデータの転送のための通信リンクを提供することができる。しかしながら、MTCの視点では、少なくとも1つの端末デバイス120〜122をMTCデバイスとして理解することができる。少なくとも1つの端末デバイス120〜122は、いくつかの例を挙げれば、位置、加速、および/または温度の情報を提供するセンサデバイスなどの別のMTC対応デバイスを含むこともできるということを理解する必要がある。したがって、本発明のいくつかの実施形態は、モノのインターネット(IoT:Internet of Things)システム、たとえば、ナローバンドIoT(NB−IoT)通信スキームをサポートする無線アクセステクノロジーに適用可能であり得る。
上述したように、無線アクセスネットワークにおけるシグナリングストームは、無線アクセスネットワークにおけるパフォーマンスの劣化、ならびにアクセスノード110、112の無線アクセスネットワークとコアネットワーク130とを含む通信システムのサービス能力をもたらす場合がある。無線アクセスネットワークにおけるシグナリングストームを検知するために、1つまたは複数のトラフィック分析モジュール140、142が、無線アクセスネットワークにおける、たとえば、アクセスノード110、112におけるトラフィックをモニタするように、およびそのトラフィックからシグナリングストームの署名を探し出すように構成されることが可能である。いくつかの実施形態においては、コアネットワーク130は、追加として(または代替として)、複数のローカルトラフィック分析モジュール140、142のための中央モジュールとしての役割を果たすように構成されているトラフィック分析モジュール136を含むことができる。モジュール136、140、142は、シグナリングストームを検知して、互いに連携して緩和し、したがってワイヤレス通信システムのパフォーマンスを改善するように構成されることが可能である。
図2および図3は、シグナリングストームを表す異常を検知するためのいくつかの実施形態を示している。図2は、ローカルトラフィック分析モジュール140、142において実行されるプロセスを示しており、図3は、中央トラフィック分析モジュール136において実行されるプロセスを示している。図2を参照すると、このプロセスは、第1のローカルトラフィック分析モジュールにおいて、第2のローカルトラフィック分析モジュールから、または複数のローカルトラフィック分析モジュールに接続されている中央トラフィック分析モジュールから、構成パラメータを受信するステップ(ブロック200)と、第1のトラフィック分析モジュールによって、マシン学習および受信された構成パラメータを使用することによって、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタするステップ(ブロック202)と、モニタされているトラフィックにおいて、構成パラメータに基づいて、コントロールプレーンのシグナリング負荷をもたらしている異常を検知するステップ(ブロック204)と、検知する前記ステップに応答して、異常を緩和するためのアクションをって、その異常についての情報を中央トラフィック分析モジュールへ報告するステップ(ブロック206)とを含むことができる。
図3を参照すると、このプロセスは、中央トラフィック分析モジュールにおいて、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタするように構成されている複数のローカルトラフィック分析モジュールとの通信接続を提供するステップ(ブロック300)と、中央トラフィック分析モジュールにおいて、第1のローカルトラフィック分析モジュールから、コントロールプレーンのシグナリング負荷をもたらしている異常についての情報を受信するステップ(ブロック302)と、受信された情報を分析し、その分析に基づいて、異常に関連したアクションを実行するか否かを決定するステップ(ブロック304)と、中央トラフィック分析モジュールにおいて、アクションを実行することを決定すると、別の中央トラフィック分析モジュールと、複数のローカルトラフィック分析モジュールのうちの少なくとも1つとのうちの少なくとも1つへの構成メッセージの伝送をもたらすステップ(ブロック306)とを含むことができる。
図1〜図3に関連して上述したように、シグナリングストームの検知および緩和は、トラフィック分析モジュール136、140、142が複数の階層レベルで提供されるように編成される。ローカルトラフィック分析モジュール140、142は、異常を探して分析されているトラフィックをルーティングするモニタされているインターフェースに直接、または少なくともその近くに接続されることが可能である。ローカルトラフィック分析モジュール140、142は、インターフェースからトラフィックを取り込むように、および異常の検知のためにそのトラフィックを処理するように構成されることが可能である。その処理は、受信された構成パラメータに基づく取り込まれたトラフィックの分析を含むことができる。ローカルトラフィック分析モジュール140、142は、コアネットワーク130内に提供されている中央トラフィック分析モジュール136と通信することができる。中央トラフィック分析モジュール136は、複数のローカルトラフィック分析モジュールから、およびいくつかの実施形態においては、その他の中央トラフィック分析モジュールから情報を収集すること、ならびに利用可能なさらに大量の情報を用いて、システム行動の特徴の全体像を構築することが可能である。したがって、中央トラフィック分析モジュールは、異常の検知および適切な対策を選択することのためにサポートするための利用可能なさらに多くの情報を有することができる。
図4は、階層のある実施形態を示している。図4を参照すると、複数のローカルトラフィック分析モジュール410、412、414、416が、無線アクセスネットワーク420内に提供されることが可能であり、たとえば、それによってローカルトラフィック分析モジュールは、無線アクセスネットワーク420のそれぞれのアクセスノードに接続されるか、またはそれぞれのアクセスノード内に含まれる。ローカルトラフィック分析モジュール410〜416は、階層の最も低いレベルを形成することができる。中央トラフィック分析モジュール(単数又は複数)400、402、404は、コアネットワーク内に提供されること、またはコアネットワーク130に接続されることが可能である。中央トラフィック分析モジュール400、402、404は、たとえば、MME132またはゲートウェイ134と接続して動作可能に提供されることが可能である。それぞれの中央トラフィック分析モジュール400〜404は、より低い階層レベルで提供されている複数のトラフィック分析モジュールに接続することができる。中央トラフィック分析モジュールは、図4においては2つの階層レベルへと分類されている。中央トラフィック分析モジュール402および404は、ローカルトラフィック分析モジュール410、412および414、416にそれぞれ接続している。それら402、404は、互いに通信することもできる。より高い階層レベルでは、中央トラフィック分析モジュール400が、より低いレベルの中央トラフィック分析モジュール402、404に接続されることが可能である。いくつかの実施形態においては、中央トラフィック分析モジュールは、1つの階層レベルでのみ提供される。
ローカルトラフィック分析モジュールは、同じ中央トラフィック分析モジュール402または404と通信するすべてのローカルトラフィック分析モジュールがともにグループ化されることが可能であるようにグループ化されることが可能である。ローカルトラフィック分析モジュールは、少なくともそのグループ内のその他のローカルトラフィック分析モジュールと直接通信することができるが、任意選択で別のグループのローカルトラフィック分析モジュールと直接通信することもできる。
図4において示されているように、トラフィック分析モジュールは、複数の階層レベルでアレンジされており、それによって、より高い階層レベルのトラフィック分析モジュールは、トラフィックの特徴、システムのその他の部分におけるオペレーション、および異常の署名についての利用可能なさらに多くの情報を有する。中央トラフィック分析モジュールは、ローカルトラフィック分析モジュールよりも多くの処理キャパシティーおよび/またはメモリリソースを提供されることも可能である。
上述のネットワーク仮想化は、アナログ信号処理のみが基地局サイト上で実行されて、いかなるデジタル通信も任意のロケーションにおいて実行されるという可能性を提供する。これはまた、単一の物理的な処理エンティティー、たとえばサーバコンピュータ、または複数の接続されているサーバもしくはクラウドコンピューティングシステムが、1つまたは複数のトラフィック分析モジュール400〜416の処理タスクを実行することができるということを意味する。この仮想化は、また、任意の時点での任意のインターフェース、インスタンス、またはロケーションにおけるトラフィック分析のインスタンス化を可能にする。複数の離れて配置されている基地局のトラフィックのデジタル処理が中央ロケーションにおいて実行されることが可能であるので、いかなるアクティブ化信号または制御信号もこれらの離れた基地局サイトへ転送することなく、アクセスノードのうちの任意の1つのトラフィックに関するトラフィック分析のインスタンス化が実行されることが可能である。
ある実施形態においては、ローカルトラフィック分析モジュールは、アクセスノード、またはアクセスノードのインターフェースに接続されており、ローカルトラフィック分析モジュールは、インターフェースから、および/またはアクセスノードからトラフィックデータを取り込むことができる。ローカルトラフィック分析モジュールは、マシン学習を使用することによってトラフィックの特徴を学習するために、ならびにその階層レベルでのアクションの作動に関する予測および/または決定を提供するためにトラフィックデータを使用することができる。異常の検知および異常に対抗するという決定を行うと、ローカルトラフィック分析モジュールは、その決定に関するコマンドをアクセスノードへ出力することができる。そのコマンドは、異常をもたらしている特定のユーザ機器(UE)を一時停止またはブロックするようアクセスノードに指示することができる。
一般には、マシン学習は、明示的にプログラムされずに学習を行う能力として記述されることが可能である。マシン学習は、利用可能なデータ、本発明の実施形態のコンテキストにおいてはトラフィックデータから学習を行うこと、およびそれらのデータに基づいて予測を行うことが可能であるアルゴリズムを包含することができる。そのアルゴリズムは、厳密に静的なプログラム命令に従うよりもむしろ、データ駆動型の予測または決定を行うために、受信された構成パラメータおよびトラフィックデータからモデルを構築することによって動作することができる。マシン学習は、コンピュータ統計学に関連しており(およびコンピュータ統計学と重なる場合があり)、それは、それらの両方が、コンピュータの使用によって予測を行うことに焦点を合わせているという意味においてである。マシン学習は一般に、明示的なアルゴリズムを設計およびプログラムすることが実現不可能であるコンピューティングタスクの範囲内で採用される。データ分析の分野内では、マシン学習は、予測に役立つ複雑なモデルおよびアルゴリズムを考案するために使用される方法である。
ローカルトラフィック分析モジュールは、そのローカルトラフィック分析モジュールによって取られたデータおよび/または決定を、接続されている中央トラフィック分析モジュールへアップロードすることができる。このリンクは、その他のローカルトラフィック分析モジュールへのリンクとともに、中央トラフィック分析モジュールが、ネットワーク全体の、およびその中央トラフィック分析モジュールがそれらの接続を介してアクセスを有するすべてのローカルトラフィック分析モジュールの集約されたビューを有することを可能にする。このインターフェースのダウンリンクに関して、中央トラフィック分析モジュールは、構成パラメータを提供することによってローカルトラフィック分析モジュールをコントロールまたは構成することができる。別々のローカルトラフィック分析モジュールへ送信される構成パラメータどうしは、たとえば別々のローカルトラフィック分析モジュールの別々の動作環境に応じて、潜在的に非常に異なる。
中央トラフィック分析モジュールは、異常を取り扱うための共通のポリシーに関して交渉するために、行動方針に関してさらに高いレベルの中央トラフィック分析モジュールに相談するために、またはその他の目的で、その他の中央トラフィック分析モジュールに接続することができる。
たとえばインターフェース150を介した、ローカルトラフィック分析モジュールどうしの間における直接リンクは、ローカルトラフィック分析モジュールによって取られた決定に対するローカルエリアにおける迅速な対応、異常をもたらしているUEの迅速な識別などを可能にすることができる。このリンクは、すべてのローカルトラフィック分析モジュールからのすべての情報を中央トラフィック分析モジュールが調整するのを待たずに直接ローカルトラフィック分析モジュールどうしの間において素早く情報をやり取りすることを可能にする。たとえば、ローカルトラフィック分析モジュールがシグナリングストームに苛まれている場合には、そのローカルトラフィック分析モジュールは、そのシグナリングストームのソースを、追加のシグナリング負荷を引き受ける高いキャパシティーおよび能力を有する別のアクセスノードへハンドオーバーすることをトリガーするよう決定することができる。そのハンドオーバーの決定および実行は、関連付けられているローカルトラフィック分析モジュールどうしの間における素早い交渉を通じて行われることが可能であり、異常は、サービスパフォーマンスにおける劣化を伴わずに高いシグナリング負荷に耐えることができるアクセスノードへ素早く移されることが可能である。ハンドオーバーの後に、シグナリングストームの原因は、中央トラフィック分析モジュールの調整のもとで緩和されることが可能である。
トラフィック分析モジュールどうしの間におけるすべての通信は、たとえば1つまたは複数の暗号化キーを使用することによってそれらの通信を暗号化することにより、保護されることが可能である。
次いで、図5〜図8のシグナリング図を参照しながら本発明のいくつかの実施形態によるトラフィック分析モジュール400〜416の間における連携について記述しよう。図5〜図8は、トラフィック分析モジュールどうしの間において義務を分散するためのいくつかの実施形態を示している。
図5を参照すると、中央トラフィック分析モジュール402は、ステップ500において、自分がコントロールするローカルトラフィック分析モジュール(単数又は複数)に構成パラメータを提供する。図5においては、構成パラメータは、モジュール410へ送信されているが、同じまたは異なる構成パラメータが、中央トラフィック分析モジュール412のコントロールのもとでその他のローカルトラフィック分析モジュール412へ送信されることも可能である。構成パラメータは、ローカルトラフィック分析モジュール410のマシン学習アルゴリズムが異常を検知することを可能にすることができ、その目的から、構成パラメータは、既知の異常の特徴、異常の検知において使用するための1つまたは複数のしきい値、モニタされているトラフィックのパケットヘッダ内のコンテンツのブラックリストまたはホワイトリスト、複雑さ(計算上の)、リソースの消費、タイミングパラメータというパラメータのうちの少なくともいくつかを含むことができる。既知の異常の特徴は、既知の異常のタイミング関連の特徴、既知の異常によって使用されるパケットサイズ、既知の異常のソースアドレス(単数又は複数)、既知の異常によって使用されるプロトコル、既知の異常によって使用されるトラフィックプロフィール(profile)、既知の異常の伝送周波数プロフィール、既知の異常のシグナリングとデータ伝送との間における比率、既知の異常の既知のソース(単数又は複数)のデバイスタイプ(単数又は複数)、既知の異常の個々のソースのプロフィール、たとえば、プリペイドサブスクリプションタイプなどを含むことができる。
ステップ500において構成パラメータを受信すると、ローカルトラフィック分析モジュールは、アクセスノード、またはそのアクセスノードのインターフェースにおけるトラフィックをモニタすることを開始することができる(ブロック502)。トラフィック分析は、学習段階を含むことができ、学習段階では、マシン学習アルゴリズムは、正常な状況のもとでのアクセスノードおよび/またはインターフェースにおけるトラフィックを表すローカルトラフィックモデルを構築する。十分な量の学習が実行された場合には、アルゴリズムは、トラフィックにおける異常を検知することができる。ある態様によれば、マシン学習アルゴリズムのオペレーションは、異常を検知できるようになった後でさえ学習を継続することである。
ある実施形態においては、ローカルトラフィック分析モジュールは、コントロールプレーントラフィックおよび/またはユーザプレーントラフィックをモニタするように構成されている。
ある実施形態においては、ローカルトラフィック分析モジュール410は、トラフィックモニタリングにおいて、1つまたは複数のデータ(ボリューム)カウンタ、遅延を測定するためのタイムスタンプ、接続されているUEの数、コントロールプレーンイベントのためのカウンタ、および/またはネットワークタイマーという機能またはパラメータを採用することができる。分析は、サービス提供されているUEのデバイスメーカーまたはデバイスタイプ、デバイスモデル、デバイスオペレーティングシステム、デバイスソフトウェア/ファームウェアバージョンを識別することによって、さらに高められることが可能である。そのような識別は、分析においてUEの既知の使用可能な署名とクロスチェックされることが可能である。これは、特定のUEが陥りやすい特定の異常の検知を可能にすることができる。トラフィック分析モジュールは、たとえば、転送されているメッセージの5タプル(ソース/ターゲットインターネットプロトコルアドレス、ポート番号)から、トラフィックをもたらしているアプリケーションを識別することができる。さらに、分析は、サービス提供されているUEのユーザ、および/またはそのユーザの組織を識別することによって、高められることが可能である。識別は、転送されているコンテンツのタイプ、UE識別子、サブスクライバー識別子、プロトタイプのタイプなどに基づいて行われることが可能である。典型的な識別子は、国際移動体装置識別番号(IMEI)、国際移動体サブスクライバー識別番号(IMSI)、または移動局国際サブスクライバーディレクトリ番号(MSISDN)を含むことができる。
トラフィックモニタリングのさらなる実施形態は、無線アクセスネットワークにおける複数のプロトコルレイヤにわたってトラフィックをモニタすることを含むことができる。たとえば、ローカルトラフィック分析モジュールは、メディアアクセスコントロールレイヤ上で、およびより高いプロトコルレイヤ、たとえば、無線リソースコントロールレイヤまたは無線リンクコントロールレイヤ上でトラフィックをモニタすることができる。これは、無線アクセスネットワークにおける複数のプロトコルレイヤ上での異常の検知を提供する。別の実施形態においては、ローカルトラフィック分析モジュール(単数又は複数)は、無線アクセスネットワークの複数の論理的なまたは物理的なエンティティーにおけるトラフィックをモニタすることができる。第2世代または第3世代のセルラーシステムなどのさらに古い進化バージョンを参照すると、ローカルトラフィック分析モジュールは、アクセスノードにおける、および基地局コントローラ(第2世代)または無線ネットワークコントローラ(第3世代)におけるトラフィックをモニタすることができる。その他の実施形態においては、モニタリングは、無線アクセスネットワークのさまざまな論理的なまたは物理的なエンティティーをモニタすることへ別の様式で分散されることが可能である。さらに別の実施形態においては、ローカルトラフィック分析モジュールは、異常を検知する目的で無線アクセスネットワークにおけるトラフィックを解読するように構成されることが可能である。
ブロック204において、ローカルトラフィック分析モジュールは、異常を検知する。異常は、学習段階中に、以前に分析されたデータセットから学習された正常な平均的な行為からの何らかの逸脱から識別されることが可能である。一例として、シグナリングイベントの数が、データイベントまたはトラフィックボリューム全体と比較して全般的に増大している場合には、対応するデータストリームをより詳細な検査へセットすることができる。イベントのタイミングは、頻繁な再接続または別のタイプの不正行為をもたらす実施態様を発見するための別の強力なヒントを与える場合がある。別の例として、シグナリングイベントの過去のシーケンスから逸脱しているシグナリングイベントの新たなシーケンスが存在する場合がある。
異常を検知すると、ローカルトラフィック分析モジュールは、その異常を中央トラフィック分析モジュールへ報告することができる。その報告は、検知された異常、たとえばシグナリングストームを指定すること、そしてさらに、その検知が行われた際に基づいたデータを含むことが可能である(ステップ504)。その報告を受信すると、中央トラフィック分析モジュールは、受信されたデータに関する自分自身の分析を実行することができる(ブロック506)。中央トラフィック分析モジュール402は、異なるタイプの利用可能なトレーニングデータに起因して異なるタイプの学習段階を実行しておくことが可能であり、加えて、中央トラフィック分析モジュール400〜404の間において共有されている共同の知識を採用することができる。一般に、中央トラフィック分析モジュールは、よりインテリジェントなマシン学習能力を有することができ、したがって、異常のさらに信頼できる検知を実行することができる。ある観点からは、ローカルトラフィック分析モジュールは、モニタされているトラフィックにおいて疑わしい行動を検知し、そのトラフィックを、たとえば疑わしいトラフィックに関連付けられているUEを識別することによって、識別し、そのトラフィックが疑わしいということを示すタグを用いてそのトラフィックにタグ付けし、そのタグを含む報告を、およびいくつかの実施形態においては疑わしいトラフィックを、中央トラフィック分析モジュールへ出力することができる。
ステップ504の後に、ローカルトラフィック分析モジュール410は、検知された異常に関連付けられているデータを中央トラフィック分析モジュールへ引き続きルーティングすることができ、それによって異常の有無の検証は、中央トラフィック分析モジュールにおいてさらなる信頼性を伴って実行されることが可能である。たとえば、ローカルトラフィック分析モジュールは、異常が検知された際に基づいたトラフィックデータに関連付けられている1つまたは複数のUEを識別し、それらのUEに関連付けられているトラフィックのみを中央トラフィック分析モジュール402へルーティングすることができる。
ローカルトラフィック分析モジュール410に接続されているアクセスノードのトラフィックにおいて異常が存在しているということをブロック506において特定すると、中央トラフィック分析モジュールは、異常を緩和するための対策を開始することができる。これは、異常のソースの識別と、ソースのオペレーションを一時停止または制限することとを含むことができる。
対策は、異常のタイプに応じて、ある範囲のアクション、たとえば、UEをブロックすること、1つのアクセスノードから別のアクセスノードへのUEのハンドオーバーをもたらすこと、UEとの通信を一時停止すること、UEがトラフィックをもたらすことを許可する一方でUEのトラフィックボリュームを低減すること、UEの所有者へメッセージを伝送すること、およびUEにおけるソフトウェアまたはファームウェアの更新をもたらすことを含むことができる。それらのアクションのうちのいくつかは、アクセスノード上で生じることが可能であり、その他のアクションは、人間の対話およびサービスチームを必要とすることになる。
ある実施形態においては、異常を検知して、適切な対策を特定すると、中央トラフィック分析モジュールは、対策を適用するようにローカルトラフィック分析モジュールまたは関連付けられているアクセスノードを直接構成することができる(ステップ510)。ステップ510において構成を受信すると、ローカルトラフィック分析モジュールは、たとえば、関係のあるUEを特定し、そのUEに関連付けられているトラフィックをコントロールすることによってそのUEに対策の焦点を合わせることにより、対策を実行することができる(ブロック512)。ある実施形態においては、中央トラフィック分析モジュールはさらに、ステップ510において、たとえば、モジュール410のアクセスノードからモジュール412のアクセスノードへのハンドオーバーが対策に含まれている場合には、対策を実行するように別のローカルトラフィック分析モジュールを構成することができる。次いでモジュール410、412は両方とも、独立して、または互いに連携して、ブロック512を実行することができる。
一実施形態においては、ローカルトラフィック分析モジュール410および/または中央トラフィック分析モジュール412は、緩和および/または異常パターンの詳細を、「注入」プロセスの一環としてその他のローカルトラフィック分析へ通信することができる。これは、異常およびそれらの異常の署名の知識を共有することを可能にし、その他のモジュールにおけるマシン学習能力を改善する。異常についての情報、たとえば、その異常の署名、またはその異常が検知された際の状況を受信すると、ローカルトラフィック分析モジュール412は、異常をよりよく検知するように自分のマシン学習アルゴリズムを適合させることができる(ブロック508)。
対策のある実施形態においては、中央トラフィック分析モジュール402は、異常をもたらしている識別されたUEのレジスタに対して更新および/または変更をもたらすこともできる。そのレジスタは、UEのホームロケーションレジスタ(HLR)またはビジターロケーションレジスタ(VLR)内のエントリーを含むことができる。これらのエントリーは、無線アクセスネットワークによってUEに提供されているサービスをブロックまたは一時停止することに関連する場合がある。一時停止は、UEのデータレートを低減すること、またはその他の使用制限を含むことができる。
図6は、分散された異常検知および緩和の別の実施形態を示している。この実施形態においては、ローカルトラフィック分析モジュール410は、トラフィックを取り込んで、トラフィックのモニタリングを実行する。しかしながら、この実施形態においては、ローカルトラフィック分析モジュール410は、異常検知(ブロック204)を必ずしも実行しない。その代わりに、ローカルトラフィック分析モジュールは、取り込まれたトラフィックのうちの少なくともいくらかを、分析のために中央トラフィック分析モジュール402へ転送することができる(ステップ504)。ローカルトラフィック分析モジュール410は、特定のルールに従ってトラフィックの一部のみを取り込むことができる。たとえば、それらのルールは、1つまたは複数のデータストリームのデータレートなどのフローレベルの情報のみをモニタすること、ペイロード部分の代わりにパケットヘッダのみをモニタすることなどを含むことができる。
ステップ504においてローカルトラフィック分析モジュール(単数又は複数)410からトラフィックデータ(コントロールプレーンおよび/またはユーザプレーン)を受信すると、中央トラフィック分析モジュールは、マシン学習および/またはパターン検知アルゴリズムを採用して、トラフィックデータにおける異常の発見を試みることができる(ブロック506)。ブロック506において異常を検知すると、中央トラフィック分析モジュール402は、ステップ600において、検知に関する情報を別のトラフィック分析モジュール(単数又は複数)404と共有することができる。ステップ600は、異常を緩和するために取られるべきである対策に関して交渉すること、どのようにしておよびどのデータに基づいて異常が検知されたか、ならびに/または、検知された異常が実際にその他の中央トラフィック分析モジュール(単数又は複数)404の観点から異常であるか否かの交渉を含むことができる。異常を検知すると、対策の構成は、たとえば上述の様式で進行することが可能である。
図5および図6の実施形態においては、ローカルトラフィック分析モジュールは、何らかのレベルでトラフィックデータの分析を実行するが、中央トラフィック分析モジュールの厳密なコントロールのもとで対策を実行する。いくつかのシナリオにおいては、異常の発生に対するさらに迅速化された対応が有利である場合がある。図7は、ローカルトラフィック分析モジュール410が、異常を検知すると自律的に予備的な対策を実行することができるある実施形態を示している。より多くの知識を伴って中央トラフィック分析モジュールにおける異常をさらに学んだ後には、予備的な対策は、異常にさらによく対処するようにまたは異常を緩和するように調整されることが可能である。図7を参照すると、ローカルトラフィック分析モジュールは、上述の様式で無線アクセスネットワークにおけるそのコントロール/ユーザプレーントラフィックをモニタすることができる。ブロック700において、ローカルトラフィック分析モジュール410は、異常を検知する。異常の予備的な検知の代わりに、ブロック700は、ローカルトラフィック分析モジュール410において対策選択機能をトリガーする検知を含むことができる。対策選択機能は、検知された異常に適している対策を選択することができる。この機能は、異常そのものについての情報、そしてさらに、アクセスノードの動作状況についてのその他の情報を採用することができる。その他の情報は、アクセスノードの現在のトラフィック負荷、アクセスノードの能力、少なくとも1つの近隣のアクセスノードの現在のトラフィック負荷、少なくとも1つの近隣のアクセスノードの能力、アクセスノードおよび/または少なくとも1つの近隣のアクセスノードの利用可能なキャパシティーという状況のうちの少なくとも1つを含むことができる。利用可能な情報に基づいて、この機能は、ブロック512において、異常をもたらしているUE(単数又は複数)を識別し、その識別されたUE(単数又は複数)のトラフィックをコントロールすることを開始することができる。そのコントロールすることは、デバイスをブロックすること、デバイスを隔離すること、近隣のアクセスノードへのデバイスのハンドオーバーをもたらすこと、デバイスとの通信を一時停止すること、デバイスがトラフィックをもたらすことを許可する一方でデバイスのトラフィックボリュームを低減すること、デバイスの所有者へメッセージを伝送すること、およびデバイスにおけるソフトウェアまたはファームウェアの更新をもたらすことという予備的な対策のうちの少なくとも1つを含むことができる。ハンドオーバーに関して、アクセスノードのうちの1つは、検知された異常を取り扱うことの専用であることが可能であり、ハンドオーバーは、そのような特別な能力を有しているアクセスノードに対してトリガーされることが可能である。それらの特別な能力は、異常の検知におけるさらに良好な処理能力、異常を取り扱うためのキャパシティーが残っているように、コントロールされた様式で低く保持されているさらに低いトラフィック負荷、および/またはその他の能力を含むことができる。デバイスをブロックすることおよび隔離することに関しては、無線アクセスネットワークとのデバイスの接続を低減することが可能であり、または完全にブロックすることさえ可能である。ある実施形態においては、隔離とは、データプレーン接続をブロックする一方でコントロールプレーン接続を許可することを指す場合がある。別の実施形態においては、コントロールプレーン接続は、デバイスの無線リソースコントロール構成および/または非アクセス層(NAS)構成を調節することによって低減される。
その一方で、ローカルトラフィック分析モジュールは、検知された異常を中央トラフィック分析モジュールに知らせること、およびいくつかの実施形態においては、中央トラフィック分析モジュールによって使用するためのさらなるトラフィックデータなどのさらなるデータを提供することが可能である(ステップ504)。ローカルトラフィック分析モジュール410は、ステップ504において異常に関して近隣のローカルトラフィック分析モジュール(単数又は複数)412に知らせることもできる。これは、その他のローカルトラフィック分析モジュール(単数又は複数)412が、UE(単数又は複数)が近隣のアクセスノード(単数又は複数)へハンドオーバーされるケースにおいて異常に備えることを可能にする(ブロック702)。加えて、その他のローカルトラフィック分析モジュールは、自分自身のマシン学習アルゴリズムにおいて異常についての情報を採用し、それによって、異常のさらに効率的な検知を可能にすることができる。
ブロック704において、中央トラフィック分析モジュールは、ローカルトラフィック分析モジュールから受信された情報を分析すること、およびいくつかの実施形態においては、異常に関してその他の中央トラフィック分析モジュール400、404と交渉することが可能である。その交渉は、異常を緩和するための対策に関する情報のやり取りを含むことができる。ブロック704は、対策を選択すること、および異常を緩和する構成パラメータを特定することを含むこともできる。ステップ706において、中央トラフィック分析モジュールは、再構成メッセージをローカルトラフィック分析モジュール(単数又は複数)410、412へ伝送し、それによって、ブロック512において実行されたコントロール機能を調節するように少なくともローカルトラフィック分析モジュールを構成することができる。この様式においては、ブロック700および512においてローカルの決定を行うことによって、異常への素早い対応を実現することができ、中央トラフィック分析モジュール402のさらに良好な検知および対策選択能力を使用することによって、異常を緩和するための可能なさらに多くの最適なソリューションを得ることができる。
図8は、図7の手順をさらに詳細に示している。図8を参照すると、ローカルトラフィック分析モジュール410および中央トラフィック分析モジュール402が初期化されている場合には、ローカルトラフィック分析モジュール410は、無線アクセスネットワークにおけるシグナリングが正常である状況のもとで取り込まれたトラフィックデータを集約および分析すること(ステップ800および802)、ならびにそのデータおよび/または分析の結果を中央トラフィック分析モジュール402へ報告すること(ステップ802)が可能である。中央トラフィック分析モジュール402は、そのデータを、自分のマシン学習アルゴリズム(ブロック806)、ならびにその他のソースから収集された利用可能な構成パラメータおよびデータを使用することによって分析し、ステップ808において、正常な動作状況についての自分の理解をその他の中央アクセスノード400、404と同期化することができる。ステップ808において中央トラフィック分析モジュール400〜404の間で転送される実際の情報は、マシン学習アルゴリズムの状態、予測の質を示す1つまたは複数のメトリック、現在の負荷、異常のステータス(たとえば、悪意ある攻撃、機能不良のUEなど)、トレーニングデータ、トラフィックデータ、または、異常に関連したその他のデータを分析のために含むことができる。この様式においては、トラフィック分析モジュールは、正常な動作状況の特徴、正常なトラフィックの特徴、および、ネットワークにおいて生じる正常なイベントについての共通の理解を、ローカルなレベルではローカルトラフィック分析モジュール410、412において、およびグローバルなまたは地域のレベルでは中央トラフィック分析モジュール400〜404において作り上げることができる。
ステップ810において、異常が現れる。この異常は、悪意あるまたは機能不良のUE120によってもたらされたシグナリングストームである可能性がある。ローカルトラフィック分析モジュール410は、自分のマシン学習およびトラフィックモニタリング機能ならびに正常な特徴の知識を、および任意選択で、異常についての共有されている知識を使用することによって、ブロック812においてシグナリングストームを検知する。異常を検知すると、ローカルトラフィック分析モジュール410は、異常が検知された1つまたは複数のメッセージに基づいてUE120を識別することができる。ステップ814において、ローカルトラフィック分析モジュールは、UE120のオペレーションを少なくとも部分的にブロックするための予備的な緩和策を開始する。ステップ816において、ローカルトラフィック分析モジュール410は、検知を、および任意選択で、検知、異常、識別されたUEなどに関連したデータを、その他のローカルトラフィック分析モジュール(単数又は複数)および中央トラフィック分析モジュール402へ報告する。ブロック818においては、ステップ816において受信された情報に基づいて、中央トラフィック分析モジュールは、独立して、またはその他の中央トラフィック分析モジュール400、404と連携してデータおよび状況を分析し、異常に対抗するための最適化された隔離ルールを特定することができる。ある実施形態においては、中央トラフィック分析モジュール400〜404のうちの1つが、最適化された隔離ルールに関する最終的な決定を行うマスターモジュールである。スレーブモジュールが次いで、関連付けられているローカルモジュール(単数又は複数)をしかるべく構成することによって、隔離ルールを適用する。その他の実施形態においては、中央トラフィック分析モジュールは、意思決定において別の階層を採用する。最適化された隔離ルールを選択すると、中央トラフィック分析モジュールは、最適化された隔離ルールを定義する再構成メッセージ(単数又は複数)を伝送することによって、ステップ820においてローカルトラフィック分析モジュールに対する最適化された隔離ルールを構成することができる。
ステップ820において、最適化された隔離ルールを受信すると、ローカルトラフィック分析モジュールは、最適化された隔離ルールを、(ステップ814において実行された)現在適用されているブロッキング機能と比較すること、およびステップ822において、最適化された隔離ルールに準拠するようにブロッキング機能を再構成することが可能である。たとえば、予備的なブロッキング機能が、UE120のトラフィックの一時停止を採用しており、かつ最適化された隔離ルールが、UE120が接続解除されなければならないということを示している場合には、ローカルトラフィック分析モジュール410は、関連付けられているアクセスノードを、UEから接続解除するように構成することができる。最適化された隔離ルールの後に、異常は減少することが可能であり、トラフィックステータスは、無線アクセスネットワークにおいて正常化する(ステップ823)。ローカルトラフィック分析モジュールは、モニタリングおよびマシン学習機能を使用することによって、正常化されたトラフィックを検知することができる。優勢であるいくつかのブロッキング機能が依然として存在する場合には、ローカルトラフィック分析モジュール410は、ブロッキング機能を廃止することを徐々に開始すること(ステップ824)、およびステータスの安定を中央トラフィック分析モジュールへ報告すること(ステップ826)が可能である。ある実施形態においては、ローカルトラフィック分析モジュールは、トラフィックデータを中央トラフィック分析モジュールへルーティングすることもでき、それによって中央トラフィック分析モジュール402は、トラフィックデータを分析することによって安定を検証することができる。オペレーションの安定に関して中央トラフィック分析モジュールが合意した後に、中央トラフィック分析モジュールは、ステップ828において再構成メッセージをローカルトラフィック分析モジュール(単数又は複数)410、412へ伝送することによって、ステップ820において実施された隔離ルールを除去することができる。中央トラフィック分析モジュールは、安定に関して、およびいくつかの実施形態においては、どのようにして安定に達したかについての任意の情報に関して、その他の中央トラフィック分析モジュールに知らせることもできる(ステップ830)。たとえば、中央トラフィック分析モジュールは、異常についての情報、および安定をもたらした隔離ルールを共有することができ、これは、将来の同様の状況において使用するための正しい対策に関する知識の共有を可能にする。
図9は、ローカルトラフィック分析モジュールに関連して上述した機能を実行するように構成されている装置を示している。この装置は、電子回路を含む電子デバイスであることが可能である。この装置は、少なくとも1つのプロセッサなどの処理回路10と、コンピュータプログラムコード(ソフトウェア)22を含む少なくとも1つのメモリ20とを含むことができ、その少なくとも1つのメモリおよびコンピュータプログラムコード(ソフトウェア)は、少なくとも1つのプロセッサとともに、トラフィック分析を行うための、および緩和機能を実行するための実施形態のうちのいずれか1つを実行することをこの装置に行わせるように構成されている。
メモリ20は、半導体ベースのメモリデバイス、フラッシュメモリ、磁気メモリデバイスおよびシステム、光メモリデバイスおよびシステム、固定されたメモリおよび取り外し可能なメモリなど、任意の適切なデータストレージテクノロジーを使用して実装されることが可能である。このメモリは、トラフィック分析のための構成データを格納するための構成データベース24を含むことができる。構成データは、ブロック200において受信された構成パラメータを、および任意選択で、異常の検知、緩和、その他のトラフィック分析モジュールとの連携などにおいて役立つ場合があるその他の構成パラメータを含むことができる。
この装置は、1つまたは複数の通信プロトコルに従って通信接続を実現するためのハードウェアおよび/またはソフトウェアを含む通信インターフェース(TX/RX)26をさらに含むことができる。通信インターフェースは、たとえば、コントロールプレーンデータ(シグナリングデータ)またはデータプレーンデータ(ペイロードデータ)を含むトラフィックデータを受信し、その他のトラフィック分析モジュールと通信し、その他のタイプの通信を可能にするための通信能力をこの装置に提供することができる。通信インターフェース26は、この装置が含まれている、またはこの装置が接続されているアクセスノードへのハードウェアインターフェースを含むことができる。ハードウェアインターフェースは、アクセスノードのインターフェースに接続することができる。ハードウェアインターフェースは、分析のためにトラフィックデータを取り込む目的で使用されることが可能である。ハードウェアインターフェースは、一方向のインターフェースであることが可能であり、それによってこの装置は、ハードウェアインターフェースを通じてトラフィックデータを受信することのみが可能である。加えて、通信インターフェース26は、アクセスノードおよび/またはその他のトラフィック分析モジュールとの通信のための別の双方向のインターフェースを含むことができる。この双方向のインターフェースは、インターネットプロトコル(IP)接続を提供することができる。
処理回路10は、上述の実施形態のうちのいずれか1つに従ってトラフィック分析および緩和を実行するように構成されているトラフィック分析回路18を含むことができる。トラフィック分析回路18は、取り込まれたトラフィックデータの分析を実行するように構成されている異常検知回路14を含むことができる。回路14は、たとえば、ブロック202および204またはブロック502またはブロック812を実行することによって、構成パラメータに従ってトラフィックデータを分析することができる。異常を検知すると、異常検知回路14は、異常の通知を、およびいくつかの実施形態においては、異常の識別されたソースを、異常を緩和するように構成されている緩和回路15へ出力することができる。実施形態に応じて、異常の検知は、通信インターフェース26を通じて1つまたは複数のその他のトラフィック分析モジュールへ異常を報告することをトラフィック分析回路に行わせることができる。実施形態に応じて、緩和回路15は、上述の緩和オプション(たとえば、隔離ルール)のうちのいずれか1つを、独立して、または中央トラフィック分析モジュールのコントロールのもとで採用することによって、緩和を実行することができる。
トラフィック分析回路18は、構成データベース24、および/または通信インターフェース26を通じて受信された構成パラメータに従って回路14および15のオペレーションを構成するように構成されている再構成回路12をさらに含むことができる。たとえば、別のローカルトラフィック分析モジュールが、検知された新たな異常の特徴をこの装置へ報告した場合には、再構成回路12は、受信された特徴を用いて異常検知回路を再構成することができ、それによって異常検知回路14は、新たな異常を検知するさらに良好な能力を有する。
図10は、中央トラフィック分析モジュールに関連して上述した機能を実行するように構成されている装置を示している。この装置は、電子回路を含む電子デバイスであることが可能である。この装置は、少なくとも1つのプロセッサなどの処理回路50と、コンピュータプログラムコード(ソフトウェア)62を含む少なくとも1つのメモリ60とを含むことができ、その少なくとも1つのメモリおよびコンピュータプログラムコード(ソフトウェア)は、少なくとも1つのプロセッサとともに、トラフィック分析を行うための、緩和機能を実行するための、およびその他の中央トラフィック分析モジュールと連携するための実施形態のうちのいずれか1つを実行することをこの装置に行わせるように構成されている。
メモリ60は、半導体ベースのメモリデバイス、フラッシュメモリ、磁気メモリデバイスおよびシステム、光メモリデバイスおよびシステム、固定されたメモリおよび取り外し可能なメモリなど、任意の適切なデータストレージテクノロジーを使用して実装されることが可能である。このメモリは、トラフィック分析のための構成データを格納するための構成データベース64を含むことができる。構成データは、異常の検知、緩和、その他のトラフィック分析モジュールとの連携などにおいて使用される構成パラメータを含むことができる。
この装置は、1つまたは複数の通信プロトコルに従って通信接続を実現するためのハードウェアおよび/またはソフトウェアを含む通信インターフェース(TX/RX)66をさらに含むことができる。通信インターフェースは、たとえば、インターネットプロトコル接続を提供することができるネットワークアダプタを含むことができる。通信インターフェース66は、たとえば、その他のトラフィック分析モジュールと通信し、その他のタイプの通信を可能にするための通信能力をこの装置に提供することができる。
処理回路50は、中央トラフィック分析モジュールに関連して記述されている上述の実施形態のうちのいずれか1つに従ってトラフィック分析および緩和を実行するように構成されているトラフィック分析回路58を含むことができる。トラフィック分析回路58は、1つまたは複数のローカルトラフィック分析モジュールから受信されたトラフィックデータの分析を実行するように構成されている異常検知回路54を含むことができる。異常検知回路54は、異常検知回路14とは異なるアルゴリズムおよび/または異なる構成パラメータを採用することができる。異常を検知すると、異常検知回路54は、異常の通知を、およびいくつかの実施形態においては、異常の識別されたソースを、異常を緩和するように構成されている緩和回路55へ出力することができる。緩和回路55は、たとえば図8のステップ818〜828に関連して記述されているような、異常の緩和においてローカルトラフィック分析モジュールをコントロールすることができる。
処理回路50は、たとえばステップ808、830において、その他の中央トラフィック分析モジュールに、ならびにいくつかの実施形態においては、コアネットワークのその他のモジュールおよび/またはその他のコアネットワークに接続するように構成されているポリシー交渉回路52をさらに含むことができる。たとえば、ポリシー交渉回路52は、異常を検知するとその他のモジュールに接続し、異常の緩和におけるポリシーに関して交渉することができる。交渉において結論に達すると、ポリシー交渉回路52は、緩和においてローカルトラフィック分析モジュールをコントロールすることによってポリシーを適用するように緩和回路55をコントロールすることができる。
本出願において使用される際には、「回路」という用語は、(a)ハードウェアのみの回路実施態様、たとえば、アナログ回路および/またはデジタル回路のみにおける実施態様、ならびに(b)回路とソフトウェア(および/またはファームウェア)との組合せ、たとえば(適用可能な場合には)、さまざまな機能を装置に実行させるためにともに機能する(i)プロセッサ(単数又は複数)の組合せ、または(ii)デジタル信号プロセッサ(単数又は複数)、ソフトウェア、およびメモリ(単数又は複数)を含むプロセッサ(単数又は複数)/ソフトウェアの部分、ならびに(c)オペレーションのためにソフトウェアまたはファームウェアを必要とする(たとえそのソフトウェアまたはファームウェアが物理的に存在していなくても)回路、たとえばマイクロプロセッサ(単数又は複数)、またはマイクロプロセッサ(単数又は複数)の部分のうちのすべてを指す。「回路」のこの定義は、本出願におけるこの用語のすべての使用に当てはまる。さらなる例として、本出願において使用される際には、「回路」という用語はまた、単にプロセッサ(もしくは複数のプロセッサ)、またはプロセッサの部分ならびにその(もしくはそれらの)付随するソフトウェアおよび/もしくはファームウェアの実施態様をカバーすることになる。「回路」という用語はまた、例として、および特定の要素に適用可能な場合には、ベースバンド集積回路、またはモバイル電話用のアプリケーションプロセッサ集積回路、またはサーバ、セルラーネットワークデバイス、もしくは別のネットワークデバイスにおける同様の集積回路をカバーすることになる。
ある実施形態においては、図2〜図8に関連して記述されているプロセスのうちの少なくともいくつかは、それらの記述されているプロセスのうちの少なくともいくつかを実行するための対応する手段を含む装置によって実行されることが可能である。それらのプロセスを実行するためのいくつかの例示的な手段は、検知器、プロセッサ(デュアルコアプロセッサおよびマルチコアプロセッサを含む)、デジタル信号プロセッサ、コントローラ、受信機、送信機、エンコーダ、デコーダ、メモリ、RAM、ROM、ソフトウェア、ファームウェア、ディスプレイ、ユーザインターフェース、ディスプレイ回路、ユーザインターフェース回路、ユーザインターフェースソフトウェア、ディスプレイソフトウェア、回路、アンテナ、アンテナ回路、および回路のうちの少なくとも1つを含むことができる。ある実施形態においては、少なくとも1つのプロセッサ、メモリ、およびコンピュータプログラムコードは、図2〜図8の実施形態のうちのいずれか1つまたはそのオペレーションに従って1つまたは複数のオペレーションを実行するために、処理手段を形成するか、または1つもしくは複数のコンピュータプログラムコード部分を含む。
本明細書において記述されている技術および方法は、さまざまな手段によって実施されることが可能である。たとえば、これらの技術は、ハードウェア(1つもしくは複数のデバイス)、ファームウェア(1つもしくは複数のデバイス)、ソフトウェア(1つもしくは複数のモジュール)、またはそれらの組合せで実施されることが可能である。ハードウェア実施態様に関しては、実施形態の装置(単数又は複数)は、1つもしくは複数の特定用途向け集積回路(ASICs)、デジタル信号プロセッサ(DSPs)、デジタル信号処理デバイス(DSPDs)、プログラマブルロジックデバイス(PLDs)、フィールドプログラマブルゲートアレイ(FPGAs)、プロセッサ、コントローラ、マイクロコントローラ、マイクロプロセッサ、本明細書において記述されている機能を実行するように設計されているその他の電子ユニット、またはそれらの組合せの中に実装されることが可能である。ファームウェアまたはソフトウェアに関しては、実施態様は、本明細書において記述されている機能を実行する少なくとも1つのチップセットのモジュール(たとえば、プロシージャー、関数など)を通じて実行されることが可能である。ソフトウェアコードは、メモリユニットに格納されてプロセッサによって実行されることが可能である。メモリユニットは、プロセッサ内に、またはプロセッサの外部に実装されることが可能である。後者のケースにおいては、メモリユニットは、当技術分野において知られているようなさまざまな手段を介してプロセッサへ通信可能に結合されることが可能である。加えて、本明細書において記述されているシステムのコンポーネントは、それに関して記述されているさまざまな態様などの達成を容易にするために、アレンジし直されること、および/またはさらなるコンポーネントによって補完されることが可能であり、当業者なら理解するであろうが、それらは、与えられている図において示されている正確な構成には限定されない。
記述されている実施形態は、コンピュータプログラムまたはその部分によって定義されるコンピュータプロセスの形態で実行されることも可能である。図2〜図8に関連して記述されている方法の実施形態は、対応する命令を含むコンピュータプログラムの少なくとも1つの部分を実行することによって実行されることが可能である。コンピュータプログラムは、ソースコードの形態、オブジェクトコードの形態、または何らかの中間の形態であることが可能であり、また、何らかの種類の搬送手段に格納されることが可能であり、その搬送手段は、プログラムを搬送することができる任意のモジュールまたはデバイスであることが可能である。たとえば、コンピュータプログラムは、コンピュータまたはプロセッサによって読み取ることができるコンピュータプログラム配布メディア上に格納されることが可能である。コンピュータプログラムメディアは、例として、たとえば記録メディア、コンピュータメモリ、読み取り専用メモリ、電気搬送信号、テレコミュニケーション信号、およびソフトウェア配布パッケージであることが可能であるが、それらには限定されない。コンピュータプログラムメディアは、非一時的メディアであることが可能である。示され記述されている実施形態を実行するためのソフトウェアのコーディングは、十分に当技術分野における標準的な技術者の範囲内にある。
上述の実施形態は、無線アクセスネットワークおよび/またはコアネットワークにおいて利用可能である任意のコントロールプレーントラフィックおよび/またはユーザプレーントラフィックをモニタすることに適用可能である。トラフィックは、たとえば、ネットワーク接続されているデバイスどうしが人間の手動による支援を伴わずに情報をやり取りしてアクションを実行することを可能にする任意のテクノロジーによってもたらされているとみなされることが可能であるマシンツーマシン(M2M)タイプのトラフィックを含むことができる。将来のM2MデバイスまたはIoTデバイスは、非常に電力効率がよくなるように設計される可能性があり、したがって、限られた能力を有する可能性がある。これらのデバイスは、ユーザインターフェースを伴うセルラー電話などのその他のデバイスと比べて、低いレベルの認証および承認手順をサポートする可能性がある(または認証および承認手順をサポートしない可能性さえある)。M2Mデバイスは、無線アクセスネットワークおよび/またはコアネットワークへの接続の事前の手順を伴わずにトラフィックをネットワークへ送信することができる。M2Mデバイスは、非常に少量のデータをまれに送信する場合がある。膨大な数のそのようなデバイスに起因して、M2Mトラフィックの総量は高くなる場合がある。
添付の図面に従って例を参照しながら本発明について上述してきたが、本発明は、それには限定されず、添付の特許請求の範囲の範疇内でいくつかの方法で修正されることが可能であるということは明らかである。したがって、すべての言葉および表現は、広く解釈されるべきであり、それらの言葉および表現は、実施形態を限定することではなく、例示することを意図されている。テクノロジーが進歩するにつれて、本発明のコンセプトはさまざまな方法で実施されることが可能であるということは、当業者にとって明らかであろう。さらに、記述されている実施形態は、さまざまな方法でその他の実施形態と組み合わされることが可能であるが、それが必要とされているわけではないということは、当業者にとって明らかである。
10 処理回路
12 再構成回路
14 異常検知回路
15 緩和回路
18 トラフィック分析回路
20 メモリ
22 コンピュータプログラムコード(ソフトウェア)
24 構成データベース
26 通信インターフェース
50 処理回路
52 ポリシー交渉回路
54 異常検知回路
55 緩和回路
58 トラフィック分析回路
60 メモリ
62 コンピュータプログラムコード(ソフトウェア)
64 構成データベース
66 通信インターフェース
100 セル
102 セル
110 アクセスノード
112 アクセスノード
120 端末デバイス
121 端末デバイス
122 端末デバイス
130 コアネットワーク
132 モビリティー管理モジュール
134 ゲートウェイノード
136 中央トラフィック分析モジュール
140 ローカルトラフィック分析モジュール
142 ローカルトラフィック分析モジュール
150 インターフェース
400 中央トラフィック分析モジュール
402 中央トラフィック分析モジュール
404 中央トラフィック分析モジュール
410 ローカルトラフィック分析モジュール
412 ローカルトラフィック分析モジュール
414 ローカルトラフィック分析モジュール
416 ローカルトラフィック分析モジュール
420 無線アクセスネットワーク

Claims (12)

  1. 第1のローカルトラフィック分析モジュールにおいて、第2のローカルトラフィック分析モジュールから、または複数のローカルトラフィック分析モジュールに接続されている中央トラフィック分析モジュールから、構成パラメータを受信するステップと、
    前記第1のローカルトラフィック分析モジュールによって、前記受信された構成パラメータを使用することによって、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタするステップと、
    前記モニタされているトラフィックにおいて、前記構成パラメータに基づいて、コントロールプレーンのシグナリング負荷をもたらしている異常を検知するステップと、
    検知する前記ステップに応答して、前記異常を緩和するためのアクションをって、前記異常についての情報を前記中央トラフィック分析モジュールへ報告するステップと
    を含
    前記第1のローカルトラフィック分析モジュールにおいて、
    前記モニタされているトラフィックの少なくとも1つのメッセージに基づいて、前記異常をもたらしているデバイスを識別するステップと、
    前記識別されたデバイスに関連付けられているトラフィックのうちの少なくともいくらかを前記中央トラフィック分析モジュールへルーティングするステップとをさらに含む、
    方法。
  2. 報告する前記ステップが、前記検知をもたらしたトラフィックを表すデータを前記中央トラフィック分析モジュールへ伝送するステップを含む、請求項1に記載の方法。
  3. 前記検知された異常を別のローカルトラフィック分析モジュールに示すステップをさらに含む、請求項1または2に記載の方法。
  4. 前記異常を緩和するための前記アクションが、
    前記モニタされているトラフィックの少なくとも1つのメッセージに基づいて、前記異常をもたらしているデバイスを識別するステップと、
    前記識別されたデバイスのトラフィックをコントロールするステップとを含む、請求項1からまでのいずれかに記載の方法。
  5. 前記識別されたデバイスの前記トラフィックをコントロールする前記ステップが、前記デバイスをブロックすること、1つのアクセスノードから別のアクセスノードへの前記デバイスのハンドオーバーをもたらすこと、前記デバイスとの通信を一時停止すること、前記デバイスがトラフィックをもたらすことを許可する一方で前記デバイスのトラフィックボリュームを低減すること、前記デバイスの所有者へメッセージを伝送すること、および前記デバイスにおけるソフトウェアまたはファームウェアの更新をもたらすことというトラフィックコントロール機能のうちの少なくとも1つを含む、請求項に記載の方法。
  6. 前記第1のローカルトラフィック分析モジュールが、前記無線アクセスネットワークのアクセスノードにおけるトラフィックをモニタする、請求項1からまでのいずれかに記載の方法。
  7. 中央トラフィック分析モジュールにおいて、ワイヤレス通信システムの無線アクセスネットワークにおけるトラフィックをモニタするように構成されている複数のローカルトラフィック分析モジュールとの通信接続を提供するステップと、
    前記中央トラフィック分析モジュールにおいて、第1のローカルトラフィック分析モジュールから、コントロールプレーンのシグナリング負荷をもたらしている異常についての情報を受信するステップと、
    前記受信された情報を分析し、前記分析に基づいて、前記異常に関連したアクションを実行するか否かを決定するステップと、
    前記中央トラフィック分析モジュールにおいて、前記アクションを実行することを決定すると、別の中央トラフィック分析モジュールと、前記複数のローカルトラフィック分析モジュールのうちの少なくとも1つとのうちの少なくとも1つへの構成メッセージの伝送をもたらすステップと
    を含
    分析する前記ステップが、前記受信された情報が前記異常の存在を示しているか否かを特定するためにマシン学習を使用するステップを含み、
    前記異常を検知すると、前記異常をもたらしている端末デバイスを特定し、前記端末デバイスのロケーションレジスタにおける前記端末デバイスの少なくとも1つのレジスタエントリーを修正するステップをさらに含む、
    方法。
  8. 前記異常を検知すると、前記異常を緩和するためのアクションを実行するためのコマンドを前記構成メッセージ内に含めて、前記複数のローカルトラフィック分析モジュールのうちの前記少なくとも1つへの前記構成メッセージの伝送をもたらすステップをさらに含む、請求項に記載の方法。
  9. 前記異常を検知すると、前記異常の特徴を前記構成メッセージ内に含めて、前記異常に関して前記その他の中央トラフィック分析モジュールに知らせるステップをさらに含む、請求項に記載の方法。
  10. 前記複数のローカルトラフィック分析モジュールが前記無線アクセスネットワークにおけるモニタされているトラフィックから異常を検知するためにマシン学習を使用することを可能にする構成パラメータを前記複数のローカルトラフィック分析モジュールに提供するステップをさらに含む、請求項からまでのいずれかに記載の方法。
  11. 請求項1から10までのいずれかに記載の方法のステップを実行するための手段を含む装置。
  12. コンピュータプログラムであって、プログラム命令を含み、前記プログラム命令が、装置内にロードされた場合に、請求項1から10までのいずれかに記載の方法を前記装置に実行させる、コンピュータプログラム。
JP2017201879A 2016-10-18 2017-10-18 ワイヤレスネットワークにおけるシグナリング異常の検知および緩和 Expired - Fee Related JP6585136B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP16194372.5A EP3313114B1 (en) 2016-10-18 2016-10-18 Detection and mitigation of signalling anomalies in wireless network
EP16194372 2016-10-18

Publications (3)

Publication Number Publication Date
JP2018078546A JP2018078546A (ja) 2018-05-17
JP2018078546A5 JP2018078546A5 (ja) 2019-04-18
JP6585136B2 true JP6585136B2 (ja) 2019-10-02

Family

ID=57184312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017201879A Expired - Fee Related JP6585136B2 (ja) 2016-10-18 2017-10-18 ワイヤレスネットワークにおけるシグナリング異常の検知および緩和

Country Status (4)

Country Link
US (1) US10602396B2 (ja)
EP (1) EP3313114B1 (ja)
JP (1) JP6585136B2 (ja)
CN (1) CN107959944B (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10123232B2 (en) * 2014-07-22 2018-11-06 Parallel Wireless, Inc. Signaling storm reduction from radio networks
EP3399780B1 (en) * 2017-05-02 2022-03-16 Nxp B.V. Adjusting an intelligent transportation system (its) broadcast transmission parameter
US11323884B2 (en) 2017-06-27 2022-05-03 Allot Ltd. System, device, and method of detecting, mitigating and isolating a signaling storm
US10904929B2 (en) * 2017-11-09 2021-01-26 Uniraja Ou Secure communication system
US10887781B2 (en) * 2018-01-26 2021-01-05 Cisco Technology, Inc. Machine learning-based approach to network planning using observed patterns
KR102260271B1 (ko) * 2018-05-23 2021-06-02 저지앙 대학 네트워크 트래픽을 기반으로 한 무선 카메라 감지 및 위치 결정 방법
CN110535808B (zh) * 2018-05-24 2021-03-30 华为技术有限公司 一种设备监控、去注册方法及装置
US11038775B2 (en) * 2018-08-10 2021-06-15 Cisco Technology, Inc. Machine learning-based client selection and testing in a network assurance system
US12108315B2 (en) * 2018-09-07 2024-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for detection of abnormal UE behavior
CN111355603A (zh) * 2018-12-20 2020-06-30 福建雷盾信息安全有限公司 一种计算机流量分析方法
US10958585B2 (en) 2018-12-31 2021-03-23 Juniper Networks, Inc. Methods and apparatus for facilitating fault detection and/or predictive fault detection
US11012336B2 (en) * 2019-02-26 2021-05-18 Intel Corporation Techniques to monitor control plane network traffic
WO2020195052A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 無線通信監視システム、無線通信異常情報提示方法および非一時的なコンピュータ可読媒体
US11265336B2 (en) * 2019-03-28 2022-03-01 Red Hat, Inc. Detecting anomalies in networks
CN111918280B (zh) * 2019-05-07 2022-07-22 华为技术有限公司 一种终端信息的处理方法、装置及系统
EP3748562A1 (en) 2019-05-08 2020-12-09 EXFO Solutions SAS Timeline visualization & investigation systems and methods for time lasting events
CA3090037C (en) * 2019-08-20 2023-08-08 Allot Communications Ltd. System, device, and method of detecting, mitigating and isolating a signaling storm
CN112448894B (zh) * 2019-09-03 2022-08-19 华为技术有限公司 阻断信令风暴的方法、装置、设备及存储介质
CN112654047A (zh) * 2019-09-25 2021-04-13 中兴通讯股份有限公司 识别异常终端的方法、装置、基站及存储介质
RU2737229C1 (ru) * 2019-11-25 2020-11-26 Общество с ограниченной ответственностью "ПОСЕЙДОН" Способ защиты систем управления транспортных средств от вторжений
CN113727348B (zh) * 2020-05-12 2023-07-11 华为技术有限公司 用户设备ue用户数据的检测方法、设备、系统及存储介质
WO2021260630A1 (en) * 2020-06-25 2021-12-30 Nokia Technologies Oy Rogue network function detection and isolation in a communication network
US11775278B1 (en) * 2020-11-18 2023-10-03 Union Pacific Railroad Company Systems and methods for automated traffic control update
US20220286470A1 (en) * 2021-03-05 2022-09-08 At&T Intellectual Property I, L.P. Facilitation of network protection for 5g or other next generation network
CN113382039B (zh) * 2021-05-07 2023-01-13 中国科学院信息工程研究所 一种基于5g移动网络流量分析的应用识别方法和系统
WO2022244157A1 (ja) * 2021-05-19 2022-11-24 ソニーグループ株式会社 情報処理装置、情報処理プログラム、及び情報処理システム
US12069069B2 (en) 2021-06-14 2024-08-20 Mellanox Technologies Ltd. Network devices assisted by machine learning
US20240171979A1 (en) * 2021-07-15 2024-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Detecting anomalous behaviour in an edge communication network
CN113660678A (zh) * 2021-08-13 2021-11-16 西安海润通信技术有限公司 一种基于安卓终端的5g互联网业务监测方法
WO2023072435A1 (en) * 2021-10-27 2023-05-04 Telefonaktiebolaget Lm Ericsson (Publ) False cell detection in a wireless communication network
TWI791322B (zh) * 2021-11-10 2023-02-01 財團法人資訊工業策進會 流量控制伺服器及流量控制方法

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6266531B1 (en) * 1998-07-01 2001-07-24 Ericsson Inc. System and method for adaptive thresholds for cell load sharing
US20030165124A1 (en) * 1998-12-30 2003-09-04 Vladimir Alperovich System and method for performing handovers based upon local area network conditions
JP2004207839A (ja) 2002-12-24 2004-07-22 Nec Corp 無線リソース管理システムとその方法及びそれに用いる管理装置、基地局及び端末
KR20060105447A (ko) * 2005-03-29 2006-10-11 엘지전자 주식회사 네트워크 노드의 과부하 관리 방법 및 시스템
US9264355B2 (en) * 2006-09-05 2016-02-16 Telefonaktiebolaget L M Ericsson (Publ) Name-address management and routing in communication networks
CN101453346B (zh) * 2007-12-07 2011-06-29 西安电子科技大学 Ims体系中的多点分层式会议的控制方法
CN101686498B (zh) * 2008-09-28 2013-02-27 上海华为技术有限公司 一种实现负载转移的方法及装置
CN101541041A (zh) * 2009-04-23 2009-09-23 华为技术有限公司 负载分担方法、装置及系统
WO2011108376A1 (ja) * 2010-03-01 2011-09-09 日本電気株式会社 無線局、決定装置、無線通信システム、決定方法、および記憶媒体
WO2012027888A1 (zh) 2010-08-31 2012-03-08 中兴通讯股份有限公司 一种抑制信令风暴的方法和系统
JP5471997B2 (ja) * 2010-09-16 2014-04-16 富士通株式会社 無線基地局及び制御装置並びに異常検出方法
US8711791B2 (en) 2010-12-20 2014-04-29 Telefonaktiebolaget L M Ericsson (Publ) Denial of service (DoS) attack prevention through random access channel resource reallocation
US8700027B2 (en) * 2011-02-11 2014-04-15 Alcatel Lucent Method and apparatus for network analysis
US9026644B2 (en) * 2011-03-10 2015-05-05 Verizon Patent And Licensing Inc. Anomaly detection and identification using traffic steering and real-time analytics
US9119075B2 (en) * 2011-03-17 2015-08-25 Nec Corporation Communication system, base station, and countermeasure method against cyber attack
US8873398B2 (en) * 2011-05-23 2014-10-28 Telefonaktiebolaget L M Ericsson (Publ) Implementing EPC in a cloud computer with openflow data plane
US9204329B2 (en) * 2011-07-21 2015-12-01 Movik Networks Distributed RAN information collection, consolidation and RAN-analytics
US8984581B2 (en) * 2011-07-27 2015-03-17 Seven Networks, Inc. Monitoring mobile application activities for malicious traffic on a mobile device
CN103188728B (zh) * 2011-12-29 2018-07-31 中兴通讯股份有限公司 一种网络拥塞控制方法及系统
US9585054B2 (en) * 2012-07-19 2017-02-28 Interdigital Patent Holdings, Inc. Method and apparatus for detecting and managing user plane congestion
WO2015124326A1 (en) 2014-02-20 2015-08-27 Markport Limited Enhanced traffic management during signaling storms
US10231242B2 (en) * 2014-02-20 2019-03-12 Telefonaktiebolaget Lm Ericsson (Publ) Traffic management in the mobile network
US20150333998A1 (en) * 2014-05-15 2015-11-19 Futurewei Technologies, Inc. System and Method for Anomaly Detection
US9900801B2 (en) * 2014-08-08 2018-02-20 Parallel Wireless, Inc. Congestion and overload reduction
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
US9544812B2 (en) * 2015-01-30 2017-01-10 Alcatel Lucent System and method for mitigating network congestion using fast congestion detection in a wireless radio access network (RAN)
US20160234899A1 (en) * 2015-02-11 2016-08-11 Express Imaging Systems, Llc Luminaire with adjustable illumination pattern
US10326640B2 (en) * 2015-02-12 2019-06-18 Netscout Systems Texas, Llc Knowledge base radio and core network prescriptive root cause analysis
US20160294660A1 (en) * 2015-03-31 2016-10-06 Alcatel-Lucent Usa Inc. Method And Apparatus For Improved Traffic Monitoring In Wireless Communication Systems
US10772023B2 (en) * 2016-04-14 2020-09-08 At&T Mobility Ii Llc Management of mobility traffic flows in mobile cellular networks

Also Published As

Publication number Publication date
US20180109975A1 (en) 2018-04-19
US10602396B2 (en) 2020-03-24
EP3313114A1 (en) 2018-04-25
CN107959944B (zh) 2020-12-18
CN107959944A (zh) 2018-04-24
JP2018078546A (ja) 2018-05-17
EP3313114B1 (en) 2021-06-09

Similar Documents

Publication Publication Date Title
JP6585136B2 (ja) ワイヤレスネットワークにおけるシグナリング異常の検知および緩和
US11582589B2 (en) Wireless network policy manager for a service mesh
US11381594B2 (en) Denial of service detection and mitigation in a multi-access edge computing environment
Dezfouli et al. A review of software-defined WLANs: Architectures and central control mechanisms
CN108353327B (zh) X2协议可编程性
US10735957B2 (en) Context preparation
US10178593B2 (en) Self-organizing customer premises network
US20220030117A1 (en) Systems and methods to enable programmable xhaul transport
Neves et al. Future mode of operations for 5G–The SELFNET approach enabled by SDN/NFV
US10645616B2 (en) Cloud based access network
Alam et al. IoT virtualization: A survey of software definition & function virtualization techniques for internet of things
Liyanage et al. Leveraging LTE security with SDN and NFV
EP4381807A1 (en) User equipment trajectory-assisted handover
Mamolar et al. Autonomic protection of multi-tenant 5G mobile networks against UDP flooding DDoS attacks
US20170180190A1 (en) Management system and network element for handling performance monitoring in a wireless communications system
Ramirez-Perez et al. SDN meets SDR in self-organizing networks: Fitting the pieces of network management
KR20210130786A (ko) 예측적인, 캐시된, 및 코스트-효율적인 데이터 전송
US11546204B2 (en) Out-of-band monitoring and provisioning
EP4192134A1 (en) Communication method, communication apparatus, terminal device and user plane network element
Yungaicela-Naula et al. Misconfiguration in O-RAN: Analysis of the impact of AI/ML
Shoji et al. Bring your own network—A network management technique to mitigate the impact of signaling traffic on network resource utilization
KR101767472B1 (ko) Sdn 기반의 제어기의 데이터 경로 변경 방법
US12058034B2 (en) System and method for analytics backed software defined network failure detection and synchronization
US20240073715A1 (en) Systems and methods for obtaining data for network analytics from a non-3gpp interworking function
WO2024210781A1 (en) Determining legitimate target cells for user equipment (ue) mobility operations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180903

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20181203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190304

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20190304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190805

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190904

R150 Certificate of patent or registration of utility model

Ref document number: 6585136

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees