JP7434690B2 - ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム - Google Patents

ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム Download PDF

Info

Publication number
JP7434690B2
JP7434690B2 JP2022568671A JP2022568671A JP7434690B2 JP 7434690 B2 JP7434690 B2 JP 7434690B2 JP 2022568671 A JP2022568671 A JP 2022568671A JP 2022568671 A JP2022568671 A JP 2022568671A JP 7434690 B2 JP7434690 B2 JP 7434690B2
Authority
JP
Japan
Prior art keywords
group
abnormal
data
signaling
period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022568671A
Other languages
English (en)
Other versions
JP2023525112A (ja
Inventor
ルオ、チミン
ウ、ユンゼ
リウ、チョンチン
Original Assignee
ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ・テクノロジーズ・カンパニー・リミテッド filed Critical ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Publication of JP2023525112A publication Critical patent/JP2023525112A/ja
Application granted granted Critical
Publication of JP7434690B2 publication Critical patent/JP7434690B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Social Psychology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本願は、2020年5月12日に中国国家知識産権局に提出された「METHOD AND DEVICE FOR DETECTING USER DATA OF USER EQUIPMENT UE,AND STORAGE MEDIUM」と題する中国特許出願第202010399394.8号への優先権を主張するものであり、この中国特許出願が全体として参照により本明細書に組み込まれる。
本願は通信分野に関するものであり、更には、通信分野における人工知能(Artificial Intelligence、AI)技術の適用、特に、ユーザ機器(user equipment、UE)のユーザデータを検出するための方法およびデバイス、並びに記憶媒体に関するものである。
第5世代(fifth-generation、5G)移動体通信システムネットワークの高帯域幅および低遅延という利点により、車両のインターネット、インテリジェントな信号灯/道路灯、遠隔医療、および遠隔工事の実装基盤が提供されている。従って、5Gは、モノのインターネット(internet of things、IoT)と共に、社会交通、ヘルスケア、教育、および産業などの様々な分野に深く適用されている。加えて、IoTの適用に伴い、ネットワークセキュリティの問題の影響が経済分野に限られたものではなくなっている。ヘルスケアおよび交通などのIoT分野におけるネットワークセキュリティの問題に対して更なる注意を払う必要がある。5G基地局の高展開密度のシナリオおよび大規模マシンタイプ通信(massive machine type communication、mMTC)のシナリオではUEアクセスが多く、且つ、超高信頼低遅延通信(ultra-reliable and low latency communications、uRLLC)のシナリオではサービスアベイラビリティが高いので、5Gネットワーク攻撃のリスクとその攻撃による被害とが大幅に増加する。従って、5GおよびIoTは、セキュリティの場合にのみ大規模に商業的に使用されている。従って、ユーザデータに対してセキュリティ検出を行うことが特に重要である。
本願の実施形態は、データ検出効率を改善するために、UEのユーザデータを検出するための方法およびデバイス、並びに記憶媒体を提供する。技術的解決策は以下の通りである。
第1態様によれば、データ検出方法が提供される。この方法を中央検出ノードデバイスに適用することが例として使用される。この方法は、中央検出ノードデバイスがコアネットワークシグナリングデータを取得する段階を含む。例えば、コアネットワークシグナリングデータは、通話履歴記録データを含む。中央検出ノードデバイスは、コアネットワークシグナリングデータに基づき異常なUEを決定する。異常なUEは、異常な挙動を伴うUEである。中央検出ノードデバイスは、異常なUEに基づき異常なグループ特徴を決定する。異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む。中央検出ノードデバイスは、異常なグループ特徴をエッジ検出ノードデバイスに送信する。
異常なUEは、コアネットワークシグナリングデータに基づき決定される。異常なUEの数がデータプレーンユーザの数より少ないので、異常なUEに基づき決定される異常なグループ特徴に基づき検出対象データがフィルタリングされた後、フィルタリング後に取得されるデータのみを検出して、検出対象データの量を削減し、検出効率および検出性能を改善する。
ある例示的な実施形態において、コアネットワークシグナリングデータを取得する段階は、現在の期間のコアネットワークシグナリングデータを取得する段階を含む。
前記コアネットワークシグナリングデータに基づき異常なUEを決定する前記段階は、前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出する段階であって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出する段階と、前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する段階であって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立する段階と、前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する段階であって、前記基準期間は、前記現在の期間よりも前の期間である、決定する段階とを含む。
ある例示的な実施形態において、前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さい。前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する前記段階は、前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得する段階であって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得する段階と、取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用する段階とを含む。
ある例示的な実施形態において、前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果である。
前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する前記段階は、前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理とを行う段階を含む。
ある例示的な実施形態では、前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む。
ある例示的な実施形態において、前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む。
第2態様によれば、UEのユーザデータを検出するための方法が提供される。この方法は、エッジ検出ノードデバイスに適用され、エッジ検出ノードデバイスが、中央検出ノードデバイスにより送信される異常なグループ特徴を受信する段階であって、前記異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、受信する段階と、前記エッジ検出ノードデバイスが検出対象データを取得する段階と、前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする段階と、前記エッジ検出ノードデバイスが、フィルタリング後に取得されるデータを検出する段階とを含む。
ある例示的な実施形態において、前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする前記段階は、前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得されるデータとして使用する段階を含む。
ある例示的な実施形態では、前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む。
UEのユーザデータを検出するための装置が提供される。この装置は、コアネットワークシグナリングデータを取得するように構成された取得モジュールと、前記コアネットワークシグナリングデータに基づき異常なUEを決定するように構成された第1決定モジュールであって、前記異常なUEは、異常な挙動を伴うUEである、第1決定モジュールと、前記異常なUEに基づき異常なグループ特徴を決定するように構成された第2決定モジュールであって、前記異常なグループ特徴は、通信を行うために前記異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、第2決定モジュールと、前記異常なグループ特徴をエッジ検出ノードデバイスに送信するように構成された送信モジュールとを含む。
ある例示的な実施形態において、前記取得モジュールは、現在の期間のコアネットワークシグナリングデータを取得するように構成されている。
前記第1決定モジュールは、前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出することであって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出することと、前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立することであって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立することと、前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定することであって、前記基準期間は、前記現在の期間よりも前の期間である、決定することとを行うように構成されている。
ある例示的な実施形態において、前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さい。
前記第1決定モジュールは、前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得することであって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得することと、取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用することとを行うように構成されている。
ある例示的な実施形態において、前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果である。
前記第1決定モジュールは、前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理とを行うように構成されている。
ある例示的な実施形態では、前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む。
ある例示的な実施形態において、前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む。
UEのユーザデータを検出するための装置が提供される。この装置は、中央検出ノードデバイスにより送信される異常なグループ特徴を受信するように構成された受信モジュールであって、前記異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、受信モジュールと、検出対象データを取得するように構成された取得モジュールと、前記異常なグループ特徴に基づき前記検出対象データをフィルタリングするように構成されたフィルタリングモジュールと、フィルタリング後に取得されるデータを検出するように構成された検出モジュールとを含む。
ある例示的な実施形態において、前記フィルタリングモジュールは、前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得されるデータとして使用するように構成されている。
ある例示的な実施形態では、前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む。
UEのユーザデータを検出するためのデバイスが更に提供される。このデバイスは、メモリおよびプロセッサを含み、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、第1態様の任意の例示的な実施形態における、UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される。
UEのユーザデータを検出するためのデバイスが更に提供される。このデバイスは、メモリおよびプロセッサを含み、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、第2態様の任意の例示的な実施形態における、UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される。
UEのユーザデータを検出するためのシステムが更に提供される。このシステムは、上述の2つのデバイスを含み、上述の2つのデバイスは、少なくとも1つのデバイスである。
コンピュータ可読記憶媒体が更に提供される。この記憶媒体は、少なくとも1つの命令を記憶し、命令は、第1態様または第2態様の任意の例示的な実施形態における、UEのユーザデータを検出するための方法を実装するために、プロセッサによりロードおよび実行される。
別の通信装置が提供される。この装置は、送受信機と、メモリと、プロセッサとを含む。送受信機、メモリ、およびプロセッサは、内部接続パスを通じて互いに通信し、メモリは、命令を記憶するように構成されており、プロセッサは、メモリに記憶される命令を実行することで、送受信機を制御して信号を受信するとともに送受信機を制御して信号を送信するように構成されており、メモリに記憶される命令をプロセッサが実行すると、プロセッサは、第1態様および第1態様の考えられる実装のいずれか1つにおける方法を行うことができ、または、プロセッサは、第2態様および第2態様の考えられる実装のいずれか1つにおける方法を行うことができる。
ある例示的な実施形態では、1つまたは複数のプロセッサが存在し、1つまたは複数のメモリが存在する。
ある例示的な実施形態において、メモリはプロセッサと一体化されてよく、またはメモリおよびプロセッサは別々に配置される。
特定の実装プロセスにおいて、メモリは、非一時的(non-transitory)メモリ、例えばリードオンリメモリ(read-only memory、ROM)であってよい。メモリおよびプロセッサは、同じチップに組み込まれてもよいし、異なるチップ上に配置されてもよい。本願の本実施形態では、メモリのタイプとメモリおよびプロセッサの配置方式とを限定しない。
コンピュータプログラム(製品)が提供される。このコンピュータプログラム(製品)は、コンピュータプログラムコードを含み、コンピュータプログラムコードがコンピュータにより実行されると、コンピュータは、上述の態様のいずれか1つにおける方法を行うことができる。
プロセッサを含むチップが提供される。このプロセッサは、メモリに記憶される命令をメモリから呼び出し、その命令を実行するように構成されており、その結果、チップが設置される通信デバイスが、上述の態様のいずれか1つにおける方法を行う。
入力インタフェースと、出力インタフェースと、プロセッサと、メモリとを含む別のチップが提供される。入力インタフェース、出力インタフェース、プロセッサ、およびメモリは、内部接続パスを通じて接続され、プロセッサは、メモリ内のコードを実行するように構成されており、このコードが実行されると、プロセッサは、上述の態様のいずれか1つにおける方法を行うように構成されている。
本願のある実施形態に係る、UEのユーザデータを検出するためのシステムのアーキテクチャの概略図である。
本願のある実施形態に係る中央検出ノードデバイスの構造の概略図である。
本願のある実施形態に係るエッジ検出ノードデバイスの構造の概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するための方法の概略的な相互作用図である。
本願のある実施形態に係る、異常なUEを決定するプロセスの概略図である。
本願のある実施形態に係るUEプロファイルの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るクラスタリングプロセスの概略図である。
本願のある実施形態に係るUEプロファイル比較の概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するプロセスの概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するプロセスの概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するための装置の構造の概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するための装置の構造の概略図である。
本願のある実施形態に係る、UEのユーザデータを検出するためのデバイスの構造の概略図である。
本願の実施形態で使用する用語は、本願の実施形態を説明するためにのみ使用され、本願を限定することを意図するものではない。
5Gネットワークの高帯域幅および低遅延という利点により、車両のインターネット、インテリジェントな信号灯/道路灯、遠隔医療、および遠隔工事の実装基盤が提供されている。しかしながら、5G基地局の高展開密度のシナリオおよびmMTCのシナリオではUEアクセスが多く、且つ、uRLLCシナリオではサービスアベイラビリティが高いので、5Gネットワーク攻撃のリスクとその攻撃による被害とが大幅に増加する。従って、ユーザデータに対してセキュリティ検出を行うことが特に重要である。
しかしながら、データプレーン上のトラフィックが多く、ユーザデータを検出するために多数のリソースを消費する必要がある。管理プレーン上のネットワーク帯域幅が制限されている場合は、全てのデータを管理プレーン上の中央検出ノードデバイスに送信して検出することができない。データプレーンは、ネットワークデバイスのパケット転送に使用され、管理プレーンは、コアネットワークデバイスの管理および保守に使用される。従って、通信システムでは、エッジ検出機能がデータプレーン上にローカルに展開される。すなわち、エッジ検出ノードデバイスが配置される。エッジ検出ノードデバイスは、データプレーン上のトラフィックが多いデータに対してセキュリティ検出を行う。その後、データプレーンは、検出結果を管理プレーン上の中央検出ノードデバイスに送信し、その結果、中央検出ノードデバイスは、包括的処理を実行する。
例えば、ユーザデータトラフィックが約300Gであり、且つ、エッジ検出ノードデバイスの処理能力が約6Gである場合は、ユーザデータトラフィックを一致させるために50台のエッジ検出ノードデバイスを展開する必要がある。しかしながら、コストの制約に起因して、ユーザが50台のエッジ検出ノードデバイスの展開を容認することができない可能性があり、その結果、検出対象トラフィックとエッジ検出ノードデバイスの検出能力との間に大きなギャップが生じる。従って、関連技術では、トラフィックに対してサンプリング検出を行うための方法が使用されている。しかしながら、この方法では、サンプルの歪みが大きく、検出を効果的に実行することができない。
データプレーン上の検出対象トラフィックがエッジ検出ノードデバイスの処理能力をはるかに超えるという問題を解決するために、本願のある実施形態は、UEのユーザデータを検出するための方法を提供する。この方法では、検出対象データの量を削減するために、データフィルタリングメカニズムを使用する。例えば、本願の本実施形態で提供する方法は、図1に示すシステムアーキテクチャに適用されてよい。図1に示すように、システムアーキテクチャは、UE、gNB、アクセス管理機能(access management function、AMF)、ユーザプラン機能(user plan function、UPF)、統合データノード(unified data node、UDN)、中央検出ノードデバイス、およびエッジ検出ノードデバイスを含む。
gNBは、5G無線ネットワークにおける基地局であり、AMFは、コアネットワークでシグナリング要求を処理するネットワークエレメントデバイスであり、UPFは、コアネットワークでUEにより生成されるユーザデータを処理するネットワークエレメントデバイスである。本願の本実施形態におけるネットワークエレメントまたはネットワークエレメントデバイスは、特定の処理機能を実装するロジックデバイスまたは物理デバイスである。UDNは、通話履歴記録(call history record、CHR)サーバとしてみなされてもよく、AMFネットワークエレメントのCHRデータを集約し、CHRデータを外部に伝送するための安全なファイル転送プロトコル(secure file transfer protocol、SFTP)サービスを提供するように構成されている。中央検出ノードデバイスは、サイバインテリジェントセキュリティ(cyber intelligent security、CIS)検出システムを含む。CIS検出システムは、ファイル転送プロトコル(file transfer protocol、FTP)プロトコルを使用することによりCHRデータをUDNから収集する。エッジ検出ノードデバイスは、人工知能エンジン(Artificial Intelligence Engine、AIE)を含み、AIEは、UPFのデータプレーン上のデータを光スプリッタ(図1に示すユーザデータの光スプリッタ)から取得して、脅威の分析および検出を行うように構成されている。
図2に示すように、中央検出ノードデバイスは、コレクタと、ビッグデータプラットフォームと、ハドゥープ分散ファイルシステム(hadoop distributed file system、HDFS)とを含む。コレクタは、外部ネットワークエレメントおよび別のデータソースからデータを収集する役割を担う。例えば、コレクタは、SFTPサービスを使用することによりUDNによって外部に伝送されるCHRデータ、すなわち、コアネットワークシグナリングデータを収集する。コレクタは、収集されたデータを解析し、その後、解析されたデータをビッグデータプラットフォームに送信する。ビッグデータプラットフォームは、コレクタにより送信されるデータを受信した後、データを記憶する、例えば、HDFSを使用することによりデータを記憶する。加えて、中央検出ノードデバイスは、アルゴリズムモデルを使用することによりデータを更に分析および検出し、異常なUEを見つける。異常なUEに基づき異常なグループ特徴を決定した後、異常なグループ特徴がエッジ検出ノードデバイスに送信される。
図3に示すように、エッジ検出ノードデバイスは、フロープローブおよびAIEを含む。光スプリッタは、コアネットワーク内のデータプレーン上のユーザデータをコピーし、そのユーザデータをフロープローブに送信するように構成されている。フロープローブは、トラフィック収集コンポーネントであり、トラフィックを光スプリッタのネットワークインタフェースカードから収集し、メタデータ(metadata)を抽出し、そのメタデータをAIEに送信する役割を担う。AIEは、エッジAI検出エンジンであり、フロープローブにより報告されるデータを分析および検出する。エッジ検出ノードデバイスは、中央検出ノードデバイスから異常なグループ特徴(例えばUE IP)を取得した後、異常なグループ特徴をフィルタリング条件として使用することにより、光スプリッタによって取得されるユーザデータをフィルタリングし、条件に合うユーザデータパケットを更なる検出のための入力データとして使用し、条件に合わないユーザデータパケットを破棄して、検出する必要があるデータの量を削減する。
例えば、シグナリングは、通信ネットワーク内の様々なデバイス間で転送される関連する制御情報であり、その結果、デバイスは、調整を通じて動作する。制御情報は、これらのデバイスのそれぞれの動作を説明し、関連デバイスに連続性(continuity)要件を提供するために使用される。ユーザデータは、UEにより生成されるサービス関連データであり、例えば、UEにより送信または受信されるデータである。
なお、図1から図3では、5Gネットワークシナリオを例として使用して、本願の本実施形態で提供するUEのユーザデータを検出するための方法の考えられる適用シナリオを説明する。本願の本実施形態で提供するUEのユーザデータを検出するための方法は、図1から図3に示すシナリオに限定されず、コアネットワークシグナリングデータが取得され得る別のネットワークシナリオも、本願の本実施形態で提供するユーザデータを検出するための方法に適用可能である。
図1に示すシステムアーキテクチャに関連して、図2に示す中央検出ノードデバイスと図3に示すエッジ検出ノードデバイスとが相互作用するプロセスを例として使用して、本願の本実施形態で提供するUEのユーザデータを検出するための方法を説明する。図4を参照すると、この方法は以下のプロセスを含む。
401:中央検出ノードデバイスがコアネットワークシグナリングデータを取得する。
図2に示すように、中央検出ノードデバイスは、コレクタを使用することにより外部ネットワークエレメントおよび別のデータソースからデータを収集してよい。例えば、コレクタは、SFTPサービスを使用することによりUDNによって外部に伝送されるCHRデータを収集して、コアネットワークシグナリングデータを取得する。コアネットワークシグナリングデータは、ユーザシグナリングデータと呼ばれる場合もある。本願の本実施形態では、コアネットワークシグナリングデータを取得する機会および回数を限定しない。例えば、コアネットワークシグナリングデータは、期間に基づき取得されてよい。例えば、現在の期間のコアネットワークシグナリングデータが取得される。本願の本実施形態では、コアネットワークシグナリングデータを取得する期間の長さを限定しない。例えば、15日間が1つの期間である。すなわち、15日ごとに1回、CHRデータをUDNから収集して、コアネットワークシグナリングデータを取得する。
402:中央検出ノードデバイスがコアネットワークシグナリングデータに基づき異常なUEを決定する。
オプションで、異常なUEは、正常な通信挙動を実行するUEとは挙動が異なるUEである。異常なUEは、挙動が怪しいUEであってもよいし、ハッカにより制御されるボットネット内のUEであってもよい。異常なUEは、通信システム全体に深刻なダメージを与える場合がある。例えば、異常なUEがハッカにより制御されるボットネット内のUEである場合は、ハッカがボットネット内の多数のUEを制御して、DDoS攻撃を開始する。従って、異常なUEのユーザデータに対してセキュリティ検出を行うことが特に重要である。
ある例示的な実施形態において、コアネットワークシグナリングデータに基づき異常なUEを決定する段階は、現在の期間のコアネットワークシグナリングデータに基づき現在の期間の挙動特徴を抽出する段階であって、挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出する段階と、現在の期間の挙動特徴に基づき現在の期間のUEプロファイルを確立する段階であって、UEプロファイルは、複数のUEを含む少なくとも1つのUEグループを記述するために使用され、少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立する段階と、現在の期間のUEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき異常なUEを決定する段階であって、基準期間は、現在の期間よりも前の期間である、決定する段階とを含む。例えば、異常なUEを決定するプロセスを図5に示すことができる。図5では、現在の期間の前の期間を基準期間として使用することを例として使用する。現在の期間のデータが前処理される。具体的には、現在の期間の挙動特徴は、現在の期間のコアネットワークシグナリングデータに基づき抽出される。
例えば、中央検出ノードデバイスは、各期間(例えば15分間)のコアネットワークシグナリングデータをUDNから取得した後、現在の期間のコアネットワークシグナリングデータに基づき現在の期間の挙動特徴を抽出する。挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である。現在の期間の挙動特徴は、限定されるわけではないが、以下を含む。
期間時点表示:期間時点表示は、データ収集期間が位置する特定の時間範囲を示すために使用される。例えば、期間時点表示は、データ収集期間が位置する示された時間範囲内の任意の時点である。すなわち、データ収集期間内の時点が期間時点として使用され、期間時点は、データ収集期間が位置する特定の時間範囲を示すために使用される。加えて、同じデータ収集期間の全ての挙動特徴が同じ期間時点表示を含む。データ収集期間が現在の期間であることが例として使用され、現在の期間の全ての挙動特徴が同じ期間時点表示を含む。オプションで、現在の期間の全ての挙動特徴に含まれる期間時点表示は、現在の期間の開始時点であり、現在の期間の開始時点は、現在の期間が位置する特定の時間範囲を示すために使用される。例えば、現在の期間の開始時点が2019年12月25日の12:00であり、終了時点が2019年12月26日の12:00である。従って、現在の期間が位置する特定の時間範囲を示すために使用される期間時点表示が2019年12月25日の12:00であり、2019-12-25:12:00として表される。代替的に、現在の期間の全ての挙動特徴に含まれる期間時点表示は、現在の期間の終了時点であり、現在の期間の終了時点は、現在の期間が位置する特定の時間範囲を示すために使用される。現在の期間の開始時点が2019年12月25日の12:00であり、且つ、終了時点が2019年12月26日の12:00であることを、引き続き例として使用する。従って、現在の期間が位置する特定の時間範囲を示すために使用される期間時点表示が2019年12月26日の12:00であり、2019-12-26:12:00として表される。
ユーザ識別子:例えば、国際移動電話加入者識別番号(international mobile subscriber identity、IMSI)がユーザデータ識別子として使用され、期間データがユーザの粒度である。
ユーザ識別子に対応するシグナリングカテゴリカウント配列:シグナリングカテゴリカウント配列は、UEにより送信される各タイプのシグナリング要求のカウントを示す。シグナリングカテゴリカウント配列は、N次元ベクトルであり、N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さい。例えば、シグナリングカテゴリカウント配列に含まれるシグナリングカテゴリの選択範囲は、以下に限定されるわけではないが、表1に示す53個のシグナリングカテゴリを含む。すなわち、シグナリングカテゴリカウント配列に含まれるベクトルが、指定されたシグナリングカテゴリセット内のシグナリングカテゴリであり、ベクトル値が、指定されたシグナリングカテゴリセット内のシグナリングカテゴリに対応するシグナリングカウントである。オプションで、指定されたシグナリングカテゴリセットに含まれるシグナリングカテゴリは、表1に示す53個のシグナリングカテゴリの幾つかまたは全てであり、または、表1における53個のシグナリングカテゴリ以外のシグナリングカテゴリを含んでよい。
例えば、UEの挙動特徴が、表2に示す情報を含む。表2における1列目の内容「"Attach":11,"Intra_USN_Intra_E-UTRAN-TAU":0」を例として使用する。ここで、"Attach":11は、"Attach"シグナリングのカウント値が11であることを示す。すなわち、ユーザ識別子が460030912121001であるUEは、2019-12-25:12:00の期間時点表示により示される期間内に11回の"Attach"シグナリングを生成する。
現在の期間の挙動特徴に基づき現在の期間のUEプロファイルを確立する段階は、以下に限定されるわけではないが、1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列に基づき現在の期間の複数のUEをクラスタリングして、クラスタリング結果を取得する段階であって、クラスタリング結果は、少なくとも1つのUEグループを含む、取得する段階と、取得されたクラスタリング結果を現在の期間のUEプロファイルとして使用する段階とを含む。図6に示すように、現在の期間の複数のUEをクラスタリングしてクラスタリング結果を取得し、取得されたクラスタリング結果を現在の期間のUEプロファイルとして使用する。クラスタリングは、データが幾つかの側面で類似しているデータメンバを分類および整理するプロセスである。クラスタリングは、そのような内部構造に使用される技術である。クラスタリング技術は通常、教師なし学習と呼ばれる。本願の本実施形態では、機械学習クラスタリングアルゴリズムを使用して、異常なグループ、すなわち、異常なUEを見つけてよい。例えば、クラスタリング結果内の特定の層をUEプロファイルとして使用してもよい。
本願の本実施形態では、クラスタリング方式を限定しない。以下では、KMeansアルゴリズムを例として使用することにより説明を提供する。K平均法クラスタリング(KMeans)は、パーティションおよびクラスタリングアルゴリズムである。データ点のセットおよび必要な数kのクラスタが与えられ、kはユーザにより指定され、k平均法アルゴリズムは、距離関数に基づきデータをk個のクラスタに繰り返し分割する。その後、各オブジェクトと各シードクラスタリング中心との間の距離が計算され、各オブジェクトは、そのオブジェクトに最も近いクラスタリング中心に割り当てられる。クラスタリング中心とそのクラスタリング中心に割り当てられるオブジェクトとが、1つのクラスタを表す。ひとたび全てのオブジェクトが割り当てられると、クラスタ内にあったオブジェクトに基づき、各クラスタのクラスタリング中心が再計算される。例えば、KMeansアルゴリズムのクラスタリングプロセスは、以下の幾つかのステップ、ステップ1からステップ10を含む。
ステップ1(Step1):中央検出ノードデバイスがK個のクラスタリング中心点を決定する。オプションで、K個のクラスタリング中心点は、中央検出ノードデバイスのユーザによりランダムに指定される。例えば、Kは3である。3つのクラスタリング中心点が、図7のA1、B1、およびC1として示されている。その後、中央検出ノードデバイスは、各UEのユーザ識別子に対応するシグナリングカテゴリカウント配列(略してデータ点と呼ばれる)について、データ点と3つのクラスタリング中心点との間の距離に基づき、データ点を最も近いクラスタリング中心点に分類する。
ステップ2(Step2):中央検出ノードデバイスが現在のデータ点分布位置に基づき3つのクラスタリング中心点の位置を調節する。調節された3つのクラスタリング中心点の位置は、図8のA2、B2、およびC2として示されている。
ステップ3(Step3):中央検出ノードデバイスが各データ点を再入力し、新しいクラスタリング中心点の位置に基づく分割を通じて、データ点が属するクラスタを取得する。3つの新しいクラスタリング中心の位置が、図9のA3、B3、およびC3として示されている。図8における調節されたクラスタリング中心点の位置に基づき、各データ点は、新しいクラスタリング中心点の位置に基づきクラスタリングされる。
ステップ4(Step4):ステップ1から3が繰り返される。中央検出ノードデバイスは、データクラスタリングの位置に基づきクラスタリング中心点の位置を継続的に調節し、その後、新しいクラスタリング中心点の位置に基づく再分割を通じて、データ点が属するクラスタを取得する。図10および図11に示すプロセスを例として使用する。3つのクラスタリング中心点の位置は、図9に示すA3、B3、およびC3に基づき調節された後、図10のA4、B4、およびC4として示されている。その後、3つのクラスタリング中心点の位置は、図11のA5、B5、およびC5として示されるように再調節される。
ステップ5(Step5):複数回の反復の後、クラスタリング中心点の位置およびデータ点分布が最終的に安定し、データ分布を満たすクラスタリング中心点の位置が取得され、データ点がクラスタリンググループに適切に分類される。図12に示す最終的なクラスタリング結果を例として使用してよい。図12では、最終的なクラスタリング結果内の3つのクラスタリング中心点が、図12のA6、B6、およびC6としてそれぞれ示されている。
上述のKMeansクラスタリングアルゴリズムの原理および動作プロセスに基づき、表2における現在の期間のUEが、KMeansアルゴリズムを使用することによりシグナリングカテゴリカウントに基づきクラスタリングされる。例えば、中央検出ノードデバイスは、UEに対応するコアネットワークシグナリングデータとクラスタリング中心点の位置とに基づきUEを2つのグループに分割し、これら2つのグループの挙動クラスタリング中心を見つける。任意の選択されたUEグループについては、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列が、選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列の平均値である。具体的には、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値である。例えば、T-1期間データの2つのクラスタリング結果が、以下の通りクラスタリング中心を使用することにより表される。ラベル「0」は、クラスタリング結果内の第1UEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列を表すために使用され、ラベル「1」は、第2UEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列を表すために使用される。
ラベル0:[14.335892514395393,0.0,0.0,0.0,0.0,0.0,1.0316698656429941,0.0,0.0,0.0,25.07581573896353,62.646833013435696,0.0,0.0,0.0,0.0,31.130518234165066,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0]。
ラベル1:[14.036862003780719,0.0,0.0,0.0,0.0,0.0,0.6729678638941399,0.0,0.0,0.0,22.689035816824196,55.18147448015123,0.0,0.0,0.0,0.0,29.207939508506616,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0]。
ラベルが「0」である第1UEグループに含まれるUEのユーザ識別子(IMSI)と、ラベルが「1」である第2UEグループに含まれるUEのユーザ識別子とが、それぞれ以下の通り示される。
ラベル0に対応するユーザ識別子:[460030912121001,460030912121002,460030912121003,460030912121004,460030912121005,460030912121006,460030912121007,460030912121008,460030912121009,460030912121010,460030912121011,460030912121012,460030912121013,460030912121014,460030912121015,460030912121016,460030912121017,460030912121018,460030912121019,460030912121020,460030912121021,460030912121022,460030912121023,460030912121024,460030912121025,460030912121026,460030912121027,460030912121028]。
ラベル1に対応するユーザ識別子:[460031912121001,460031912121002,460031912121003,460031912121004,460031912121005,460031912121006,460031912121007,460031912121008,460031912121009,460031912121010,460031912121011,460031912121012,460031912121013,460031912121014,460031912121015,460031912121016,460031912121017,460031912121018,460031912121019,460031912121020,460031912121021,460031912121022,460031912121023,460031912121024,460031912121025,460031912121026,460031912121027,460031912121028]。
UEプロファイルのクラスタリング中心のユーザシグナリングカテゴリカウント配列が、「シグナリングカテゴリカウント平均」を使用することにより表される。現在の期間のUEプロファイル内のラベル0に対応するクラスタリング結果を例として使用する。第1フィールド「14.335892514395393」が、シグナリングカテゴリのうち第1シグナリングカテゴリ"Attach"に対応する平均値に対応する。類推により、後続の対応するシーケンス内のシグナリングカテゴリを表3に示す。
上に示すように、クラスタリング結果は、少なくとも2つのUEグループを含み、少なくとも2つのUEグループの各々は、少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、選択されたUEグループの特徴値が、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果である。
中央検出ノードデバイスが現在の期間のUEプロファイルと基準期間内のUEプロファイルとを比較し、且つ、比較結果に基づき異常なUEを決定するプロセスは、限定されるわけではないが、以下を含む。中央検出ノードデバイスは、現在の期間の全てのUEグループの中から1つのUEグループを選択し、現在の期間の各UEグループが処理されるまで、選択されたUEグループに対して、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、選択されたUEグループに対応する特徴値を取得する処理と、選択されたUEグループに対応する特徴値と基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と選択されたUEグループに対応する特徴値との差が指定された閾値より小さいケースが基準期間に存在しない場合に、選択されたUEグループ内のUEが異常なUEであると判断する処理とを行う。
現在の期間のUEプロファイルと基準のUEプロファイルとが比較され、且つ、比較結果に基づき異常なUEが決定されるプロセスを例として使用する。図13に示すように、現在の期間(例えば時間t)のUEグループプロファイルが計算され、現在の期間のUEグループプロファイルと前の期間(例えば時間t-1)のUEグループプロファイルとの間のシグナリングカウントの変化が、比較を通じて取得される。クラスタリング中心がグループ挙動特徴の中心値を表し、且つ、クラスタリング中心の位置がグループ挙動特徴と共に変わるので、UEプロファイルのクラスタリング中心同士を比較することにより、異常なUEを見つけることができる。
例えば、中央検出ノードデバイスは、現在の期間の全てのUEグループの中から1つのUEグループを選択し、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、選択されたUEグループに対応する特徴値を取得する。例えば、選択されたUEグループが、ラベルが0であるクラスタリング結果に含まれるUEグループである場合は、UEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列は、[14.335892514395393,0.0,0.0,0.0,0.0,0.0,1.0316698656429941,0.0,0.0,0.0,25.07581573896353,62.646833013435696,0.0,0.0,0.0,0.0,31.130518234165066,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0,0.0]である。UEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれる全てのベクトル値の合計計算結果が、134.2207294である。すなわち、UEグループに対応する特徴値は、134.2207294である。同じ方法を使用して、前の期間の全てのUEグループに対応する特徴値を処理する。その後、中央検出ノードデバイスは、選択されたUEグループに対応する特徴値と前の期間の全てのUEグループに対応する特徴値とを1つずつ比較する。あるUEグループに対応する特徴値と選択されたUEグループに対応する特徴値との差が指定された閾値より小さいケースが前の期間に存在しない場合に、中央検出ノードデバイスは、選択されたUEグループ内のUEが異常なUEであると判断し、異常なUEのユーザ識別子またはIPを出力する。
本願の本実施形態では閾値の値を限定せず、経験に基づき設定してよい。例えば、閾値は50%である。現在の期間Center_nodes_T(時間t、検出対象期間)でラベルが1であるクラスタリング結果内の全てのUEグループの中心点の全てのフィールドを処理して、合計「241.7882789」を取得する。前の期間Center_nodes_T-1時間でラベルが0であるクラスタリング結果内の全てのUEグループの中心点の全てのフィールドを処理して、合計「134.2207294」を取得する。「241.7882789」が「134.2207294」より大きく、且つ、「241.7882789」と「134.2207294」との差が閾値50%を超えるので、現在の期間Center_nodes_Tでラベルが1であるクラスタリング結果内の各UEグループ内のUEが異常なグループであり、異常なグループ内の全てのUEが異常なUEであると判断する。
なお、以上では、現在の期間を示すために使用される期間時点と、ユーザ識別子と、ユーザシグナリングカテゴリカウントとが現在の期間の挙動特徴に含まれる例を使用することにより、UEプロファイルを取得するプロセスの例示的な説明を提供した。
加えて、現在の期間の挙動特徴は、UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む。本願の本実施形態では、現在の期間の挙動特徴を限定しない。任意の挙動特徴については、ユーザシグナリングカテゴリカウントに基づきUEをクラスタリングする上述のプロセスを参照されたい。
403:中央検出ノードデバイスが異常なUEに基づき異常なグループ特徴を決定する。
中央検出ノードデバイスは、異常なUEを決定した後、そのUEを識別できる特徴を異常なグループ特徴として使用する。異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む。例えば、異常なグループ内の全てのUEが異常なUEとして決定された後、通信を行うために異常なUEにより使用されるIMSIおよびIPが、異常なUEの異常なグループ特徴として使用される。
なお、異常なグループ特徴は、異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、およびIMSIのうちの少なくとも1つを含む。以上では、IMSIおよびIPを例として使用することにより説明を提供した。本願の本実施形態では、異常なグループ特徴を限定しない。
404:中央検出ノードデバイスが異常なグループ特徴をエッジ検出ノードデバイスに送信する。
異常なグループ特徴を取得した後、中央検出ノードデバイスは、異常なグループ特徴をエッジ検出ノードデバイスに送信し、その結果、エッジ検出ノードデバイスは、検出対象データをフィルタリングし、フィルタリング後に取得されるデータを検出する。
コアネットワークシグナリングデータを周期的に収集することにより異常なグループ特徴が決定された後、各期間の決定された異常なグループ特徴がエッジ検出ノードデバイスに直ちに送信されてよく、その結果、エッジ検出ノードデバイスは、異常なグループ特徴に基づき検出対象データをフィルタリングして、検出対象データの量を削減することができる。
405:エッジ検出ノードデバイスが、中央検出ノードデバイスにより送信される異常なグループ特徴を受信する。
エッジ検出ノードデバイスは、中央検出ノードデバイスにより送信される異常なグループ特徴を受信した後、異常なグループ特徴を記憶して、検出のたびに異常なグループ特徴を取得してよい。
本願の本実施形態では、エッジ検出ノードデバイスが異常なグループ特徴を記憶する方式を限定しない。例えば、中央検出ノードデバイスにより周期的に送信される異常なグループ特徴については、その都度受信される異常なグループ特徴が期間に基づき記憶されてもよいし、現在の期間の異常なグループ特徴が前の期間の異常なグループ特徴をカバーしてもよい。すなわち、エッジ検出ノードデバイスは、最新の異常なグループ特徴のみを記憶する。
406:エッジ検出ノードデバイスが検出対象データを取得する。
例えば、図3に示すように、エッジ検出ノードデバイスは、フロープローブを使用することにより光スプリッタのネットワークインタフェースカードからトラフィックを収集し、メタデータ(metadata)を抽出して、検出対象データを取得する。例えば、エッジ検出ノードデバイスは、検出対象データをリアルタイムで取得してもよいし、検出対象データを周期的に取得してもよい。本願の本実施形態では、エッジ検出ノードデバイスが検出対象データを取得する機会および頻度を限定しない。
407:エッジ検出ノードデバイスが異常なグループ特徴に基づき検出対象データをフィルタリングする。
エッジ検出ノードデバイスは、中央検出ノードデバイスにより送信される異常なグループ特徴を受信した後、異常なグループ特徴に基づき検出対象データをフィルタリングする。フィルタリング方式は、以下に限定されるわけではないが、検出対象データの中から異常なグループ特徴を満たすデータを選択し、異常なグループ特徴を満たすデータを、フィルタリング後に取得されるデータとして使用することを含む。
例えば、異常なグループ特徴は、異常なUEのIPを含む。エッジ検出ノードデバイスは、検出対象データを取得した後、IPが検出対象データ内の異常なUEのIPと同じである検出対象データを、フィルタリング後に取得されるデータとして使用する。
なお、異常なグループ特徴が少なくとも2つの特徴を含み、且つ、エッジ検出ノードデバイスが異常なグループ特徴に基づき検出対象データをフィルタリングする場合は、フィルタリング方式が、限定されるわけではないが、以下の2つのフィルタリング方式を含む。
フィルタリング方式1:全ての異常なグループ特徴を満たす検出対象データが、フィルタリング後に取得されるデータとして使用される。
例えば、異常なグループ特徴は、異常なUEのIPおよびポート番号を含む。エッジ検出ノードデバイスは、検出対象データを取得した後、IPが異常なUEのIPと同じであり、且つ、ポート番号が検出対象データ内の異常なUEのポート番号と同じである検出対象データを、フィルタリング後に取得されるデータとして使用する。
フィルタリング方式2:異常なグループ特徴のうち任意の特徴を満たす検出対象データが、フィルタリング後に取得されるデータとして使用される。
例えば、異常なグループ特徴は、異常なUEのIPおよびポート番号を含む。エッジ検出ノードデバイスは、検出対象データを取得した後、IPが検出対象データ内の異常なUEのIPと同じである検出対象データを、フィルタリング後に取得されるデータとして使用し、ポート番号が検出対象データ内の異常なUEのポート番号と同じである検出対象データを、フィルタリング後に取得されるデータとして使用する。このように、フィルタリング後に取得される一部のデータは、IPが異常なUEのIPと同じであるが、ポート番号が異常なUEのポート番号とは異なるデータである。加えて、フィルタリング後に取得される一部のデータは、IPが異常なUEのIPとは異なるが、ポート番号が異常なUEのポート番号と同じであるデータである。加えて、フィルタリング後に取得される一部のデータは、IPが異常なUEのIPと同じであるが、ポート番号が異常なUEのポート番号と同じであるデータである。フィルタリング方式1と比較して、フィルタリング方式2では、より大量のデータがフィルタリング後に取得され、検出範囲がより広い。
しかしながら、これらのフィルタリング方式の各々では、異常なUEの異常なグループ特徴に基づきフィルタリングが行われるので、検出対象データの量が、全ての検出対象データを検出するデータ量より少ない。本願の本実施形態では特定のフィルタリング方式を限定せず、シナリオ要件に基づき設定してよい。
エッジ検出ノードデバイスは、フィルタリング後に取得されるデータを検出する。
例えば、エッジ検出ノードデバイスは、以下に限定されるわけではないが、フィルタリング後に取得されるデータをセキュリティ検出アルゴリズムに基づき検出することを含め、フィルタリング後に取得されるデータを検出して、フィルタリング後に取得されるデータが安全であるかどうかを判断する。例えば、セキュリティ検出アルゴリズムは、以下に限定されるわけではないが、C&Cチャネル検出アルゴリズムおよびマイニングアルゴリズムを含む。
例えば、図3に示すように、エッジ検出ノードデバイスは、フロープローブを使用することにより光スプリッタのネットワークインタフェースカードからトラフィックを収集し、メタデータ(metadata)を抽出して、検出対象データを取得し、検出対象データをAIEに送信する。AIEは、エッジAI検出エンジンであり、フロープローブにより報告されるデータを分析および検出する。AIEは、中央検出ノードデバイスにより送信される異常なグループ特徴を受信した後、検出対象データの中から異常なグループ特徴を満たすデータを選択し、異常なグループ特徴を満たすデータを、フィルタリング後に取得されるデータとして使用し、フィルタリング後に取得されるデータを検出する。
結論として、中央検出ノードデバイスとエッジ検出ノードデバイスとが図14で相互作用するプロセスを例として使用する。データ検出方法は以下のプロセスを含む。
141:中央検出ノードデバイスが、シグナリング手順の総数、シグナリングカテゴリカウント、シグナリング送信頻度、および端末アクセス持続時間を含む、コアネットワークシグナリングデータを収集する。例えば、シグナリングプレーン検出対象データをシグナリングプレーンから取得して、コアネットワークシグナリングデータを取得する。
142:中央検出ノードデバイスが現在の期間のコアネットワークシグナリングデータのプロファイルをモデル化し、そのプロファイルと前の期間のUEプロファイルとを比較し、異常なUEグループを決定する。
143:エッジ検出システムを開始する。この場合は、異常なグループの特徴IPを配信する中央検出ノードデバイスがないことをフィルタリング条件として使用する。データプレーンから検出対象トラフィックが入力され、エッジ検出ノードデバイスが検出対象データストリームを取得する。
144:エッジ検出ノードデバイスがデータストリームをサンプリングする。
145:検出結果を中央検出ノードデバイスに報告する。
146:中央検出ノードデバイスがシグナリングプレーン検出対象データを分析および検出して、シグナリングプレーン上の異常なUEグループを見つける。取得された異常なグループ特徴が、異常なUEのIPである。異常なUEのIPリスト形式を例として使用する。異常なグループ特徴は、IPアドレス1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4、および5.5.5.5である。
147:中央検出ノードデバイスが異常なUEのIPリストをエッジ検出ノードデバイスに送信する。
148:エッジ検出ノードデバイスが異常なUEのIPリストに基づき全てのデータプレーンパケットをフィルタリングし、異常なUEのIPリストにないパケットを破棄する。すなわち、エッジ検出ノードデバイスは、UEのIPが1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4、および5.5.5.5であるパケットのみをキャプチャし、メタデータを生成し、セキュリティ検出を行う。
149:エッジ検出ノードデバイスが検出結果を中央検出ノードデバイスに送信する。
オプションで、図1に示すシステムアーキテクチャにおいて、データ検出プロセスを図15に示す。151:UDNがコアネットワークシグナリングデータを中央検出ノードデバイスに報告する、または、中央検出ノードデバイスのコレクタがUDNのコアネットワークシグナリングデータを収集する。152:中央検出ノードデバイスがシグナリングデータを検出して、異常なグループを見つける。例えば、図4に示すステップ402および403を参照すると、異常なグループ特徴が取得される。異常なグループ特徴がエッジ検出ノードデバイスに送信される前に、153が行われる。153:エッジ検出ノードデバイスが、入力された検出対象データプレーントラフィックを光スプリッタから取得する、すなわち、検出対象データを取得する。154:トラフィックが非常に多く、エッジ検出ノードデバイスの検出処理性能を超える場合は、エッジ検出ノードデバイスがランダムサンプリングを行う。155:エッジ検出ノードデバイスが検出結果を中央検出ノードデバイスに報告する。156:異常なグループ特徴を取得した後、中央検出ノードデバイスが異常なグループ特徴をエッジ検出ノードデバイスに送信する。157:異常なグループ特徴を受信した後、入力された検出対象データプレーントラフィックを光スプリッタから取得した場合、すなわち、検出対象データを取得した場合は、エッジ検出ノードデバイスが158を行う。158:図4のステップ407に示すように、エッジ検出ノードデバイスがシグナリングプレーンの異常な特徴、すなわち、異常なグループ特徴に基づき検出対象データをフィルタリングする。159:フィルタリング後に取得されるデータを検出した後、検出結果を取得するために、エッジ検出ノードデバイスが検出結果を中央検出ノードデバイスに報告する。なお、上述のプロセス155および159でエッジ検出ノードデバイスにより中央検出ノードデバイスに報告される検出結果は、コアネットワーク内のネットワークデバイスを管理および維持するために中央検出ノードデバイスにより使用されてよい。
中央検出ノードデバイスが異常なグループ特徴をエッジ検出ノードデバイスに配信することは、検出の「フィードバック」メカニズムである。エッジ検出シナリオでは、使用され得るリソースの数が非常に限られており、完全なトラフィックを検出することが通常は難しい。従って、「フィードバック」メカニズムは、検出効率を大幅に改善し、容認可能な検出率が低下したときにコストを削減するために使用され得る。すなわち、機械学習クラスタリングアルゴリズムを使用してシグナリングプレーン上の異常なグループを見つけるので、異常なグループの数がデータプレーン上のユーザの数よりはるかに少ない。エッジ検出ノードデバイスは、シグナリングの異常な特徴に基づきほとんどのユーザデータをフィルタで除去して、処理効率および性能を改善する。例えば、100万のユーザまたはIoTデバイスのうち1万のユーザまたはIoTデバイスがボットネット内のコンピューティングに使用される場合は、99%のトラフィックがフィルタで除去され得ると推定され、これは性能が99倍改善されることに相当する。
加えて、中央検出ノードデバイスにより配信される受信された異常なグループ特徴(例えば、構成または機械学習を通じて取得されるIP、プロトコル種別、およびポート番号などの条件)に基づきエッジ検出ノードデバイスがまずフィルタリングを行った後、フィルタリング後に取得されるデータについて、本願の本実施形態で提供する方法は、フィルタリング後に取得されるデータに対するセキュリティ検出の実行をサポートするだけでなく、フィルタリング後に取得されるデータに対する他の検出の実行もサポートする。本願の本実施形態では、検出方式および検出内容を限定しない。例えば、フィルタリング後に取得されるデータのトラフィックに対してキー検出を行うプロセスがある。
本願の本実施形態で提供する方法において、中央検出ノードデバイスは、コアネットワークシグナリングデータに基づき異常なUEを決定する。異常なUEの数がデータプレーン上のユーザの数より少ないので、異常なグループ特徴が異常なUEに基づき決定された後、異常なグループ特徴は、エッジ検出ノードデバイスに送信される。従って、エッジ検出ノードデバイスは、検出対象データをフィルタリングした後、フィルタリング後に取得されるデータのみを検出して、検出対象データの量を削減し、検出効率および検出性能を改善する。
本願のある実施形態は、UEのユーザデータを検出するための装置を提供する。この装置は、図4に示す実施形態で中央検出ノードデバイスにより実行される機能を実行するように構成されている。図16を参照すると、この装置は、取得モジュール1601と、第1決定モジュール1602と、第2決定モジュール1603と、送信モジュール1604とを含む。
取得モジュール1601は、コアネットワークシグナリングデータを取得するように構成されている。コアネットワークシグナリングデータは、以下に限定されるわけではないが、通話履歴記録データを含む。例えば、取得モジュール1601により実行される機能については、図4に示す実施形態のステップ401を参照されたい。
第1決定モジュール1602は、コアネットワークシグナリングデータに基づき異常なUEを決定するように構成されている。異常なUEは、異常な挙動を伴うUEである。例えば、第1決定モジュール1602により実行される機能については、図4に示す実施形態のステップ402を参照されたい。
第2決定モジュール1603は、異常なUEに基づき異常なグループ特徴を決定するように構成されている。異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む。例えば、第2決定モジュール1603により実行される機能については、図4に示す実施形態のステップ403を参照されたい。
送信モジュール1604は、異常なグループ特徴をエッジ検出ノードデバイスに送信するように構成されている。例えば、送信モジュール1604により実行される機能については、図4に示す実施形態のステップ404を参照されたい。
ある例示的な実施形態において、取得モジュール1601は、現在の期間のコアネットワークシグナリングデータを取得するように構成されている。
第1決定モジュール1602は、現在の期間のコアネットワークシグナリングデータに基づき現在の期間の挙動特徴を抽出することであって、挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出することと、現在の期間の挙動特徴に基づき現在の期間のUEプロファイルを確立することであって、UEプロファイルは、複数のUEを含む少なくとも1つのUEグループを記述するために使用され、少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立することと、現在の期間のUEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき異常なUEを決定することであって、基準期間は、現在の期間よりも前の期間である、決定することとを行うように構成されている。
ある例示的な実施形態において、現在の期間の挙動特徴は、現在の期間の時点表示、1つまたは複数のユーザ識別子、および1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、シグナリングカテゴリカウント配列は、N次元ベクトルであり、N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さい。
第1決定モジュール1602は、1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列に基づき現在の期間の複数のUEをクラスタリングして、クラスタリング結果を取得することであって、クラスタリング結果は、少なくとも1つのUEグループを含む、取得することと、取得されたクラスタリング結果を現在の期間のUEプロファイルとして使用することとを行うように構成されている。
ある例示的な実施形態において、クラスタリング結果は、少なくとも2つのUEグループを含み、少なくとも2つのUEグループの各々は、少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、選択されたUEグループの特徴値が、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果である。
第1決定モジュール1602は、現在の期間の全てのUEグループの中から1つのUEグループを選択し、現在の期間の各UEグループが処理されるまで、選択されたUEグループに対して、選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、選択されたUEグループに対応する特徴値を取得する処理と、選択されたUEグループに対応する特徴値と基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と選択されたUEグループに対応する特徴値との差が指定された閾値より小さいケースが基準期間に存在しない場合に、選択されたUEグループ内のUEが異常なUEであると判断する処理とを行うように構成されている。
ある例示的な実施形態では、異常なUEの指定された情報が、異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む。
ある例示的な実施形態において、現在の期間の挙動特徴は、UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む。
本願の本実施形態で提供する装置は、コアネットワークシグナリングデータに基づき異常なUEを決定する。異常なUEの数がデータプレーン上のユーザの数より少ないので、異常なグループ特徴が異常なUEに基づき決定された後、異常なグループ特徴は、エッジ検出ノードデバイスに送信される。従って、エッジ検出ノードデバイスは、検出対象データをフィルタリングした後、フィルタリング後に取得されるデータのみを検出して、検出対象データの量を削減し、検出効率および検出性能を改善する。
本願のある実施形態は、UEのユーザデータを検出するための装置を提供する。この装置は、図4に示す実施形態でエッジ検出ノードデバイスにより実行される機能を実行するように構成されている。図17を参照すると、この装置は、受信モジュール1701と、取得モジュール1702と、フィルタリングモジュール1703と、検出モジュール1704とを含む。
受信モジュール1701は、中央検出ノードデバイスにより送信される異常なグループ特徴を受信するように構成されており、異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む。例えば、受信モジュール1701により実行される機能については、図4に示す実施形態のステップ405を参照されたい。
取得モジュール1702は、検出対象データを取得するように構成されている。例えば、取得モジュール1702により実行される機能については、図4に示す実施形態のステップ406を参照されたい。
フィルタリングモジュール1703は、異常なグループ特徴に基づき検出対象データをフィルタリングするように構成されている。例えば、フィルタリングモジュール1703により実行される機能については、図4に示す実施形態のステップ407を参照されたい。
検出モジュール1704は、フィルタリング後に取得されるデータを検出するように構成されている。例えば、検出モジュール1704により実行される機能については、図4に示す実施形態のステップ408を参照されたい。
ある例示的な実施形態において、フィルタリングモジュール1703は、検出対象データの中から異常なグループ特徴を満たすデータを選択し、異常なグループ特徴を満たすデータを、フィルタリング後に取得されるデータとして使用するように構成されている。
ある例示的な実施形態では、異常なUEの指定された情報が、異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、およびIMSIのうちの少なくとも1つを含む。
本願の本実施形態で提供する装置は、中央検出ノードデバイスにより送信される異常なグループ特徴を受信する。異常なグループ特徴は、異常なUEに基づき取得され、異常なUEの数がデータプレーン上のユーザの数より少ない。従って、検出対象データが異常なグループ特徴に基づきフィルタリングされた後、フィルタリング後に取得されるデータのみを検出して、検出対象の数を削減し、検出効率および検出性能を改善する。
なお、図16または図17で提供する装置がこの装置の機能を実装する場合は、上述の機能モジュールへの分割が説明のための例として使用されるに過ぎない。実際の適用では、上述の機能は、要件に基づき完了するために複数の異なる機能モジュールに割り当てられてよい。すなわち、デバイスの内部構造を複数の異なる機能モジュールに分割して、上述の説明における全てまたは幾つかの機能を実装する。加えて、実施形態で提供する装置は、方法の実施形態と同じ概念に属する。具体的な実装プロセスについては、方法の実施形態を参照されたい。ここでは、詳細について改めて説明しない。
図18は、本願のある実施形態に係る、UEのユーザデータを検出するためのデバイス1800のハードウェア構造の概略図である。図18におけるUEのユーザデータを検出するためのデバイス1800は、図4に示す実施形態の方法における、中央検出ノードデバイスまたはエッジ検出ノードデバイスにより行われる対応するステップを行ってよい。
図18に示すように、UEのユーザデータを検出するためのデバイス1800は、プロセッサ1801と、メモリ1802と、ネットワークインタフェース1803と、バス1806とを含む。ネットワークインタフェース1803は、無線または有線の方式で実装されてよく、具体的には、ネットワークインタフェースカードであってよい。プロセッサ1801、メモリ1802、およびネットワークインタフェース1803は、バス1806を通じて接続される。
ネットワークインタフェース1803は、送信機および受信機を含んでよい。例えば、UEのユーザデータを検出するためのデバイス1800が中央検出ノードデバイスである場合は、ネットワークインタフェース1803は、コアネットワークシグナリングデータを受信して異常なグループ特徴をエッジ検出ノードデバイスに送信する、すなわち、図4に示す実施形態における401および404の処理ステップを行うように構成されている。別の例として、UEのユーザデータを検出するためのデバイス1800がエッジ検出ノードデバイスである場合は、ネットワークインタフェース1803は、中央検出ノードデバイスにより送信される異常なグループ特徴を受信し、図4に示す実施形態における405の処理ステップを行うように構成されている。プロセッサ1801は、図4に示す実施形態における406から408の処理関連ステップを行うように構成されている。
メモリ1802は、オペレーティングシステム18021とプログラム18022とを含み、プログラム、コード、または命令を記憶するように構成されている。プロセッサ1801またはハードウェアデバイスがプログラム、コード、または命令を実行すると、方法の実施形態におけるUEのユーザデータを検出するためのデバイス1800に関連する処理プロセスが完了されてよい。オプションで、メモリ1802は、リードオンリメモリ(英語:Read-only Memory、略してROM)およびランダムアクセスメモリ(英語:Random Access Memory、略してRAM)を含んでよい。ROMは、基本入出力システム(英語:Basic Input/Output System、略してBIOS)または埋め込みシステムを含む。RAMは、アプリケーションおよびオペレーティングシステムを含む。UEのユーザデータを検出するためのデバイス1800を実行する必要がある場合は、ROMに固定されたBIOSまたは埋め込みシステム内のブートシステムブートローダを使用して、UEのユーザデータを検出するためのデバイス1800をブートして、UEのユーザデータを検出するためのデバイス1800が正常な実行状態に入るように誘導する。UEのユーザデータを検出するためのデバイス1800が正常な実行状態に入った後、RAM内のアプリケーションおよびオペレーティングシステムが実行され、方法の実施形態におけるUEのユーザデータを検出するためのデバイス1800に関連する処理プロセスを完了する。
図18が示すのは、UEのユーザデータを検出するためのデバイス1800の簡略化された設計のみであることを理解することができる。実際の適用において、UEのユーザデータを検出するためのデバイス1800は、任意の数のインタフェース、プロセッサ、またはメモリを含んでよい。例えば、図18に示すように、UEのユーザデータを検出するためのデバイス1800は、入力デバイス1804とディスプレイ1805とを更に含む。入力デバイス1804は、検出関連命令を入力するように構成されてよく、ディスプレイ1805は、検出関連命令を表示するように構成されてよく、データ検出結果を更に表示してよい。
上述のプロセッサは、中央処理装置(Central Processing Unit、CPU)であってもよいし、別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application-specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field-programmable gate array、FPGA)もしくは別のプログラマブルロジックデバイス、ディスクリートゲートもしくはトランジスタロジックデバイス、またはディスクリートハードウェアコンポーネントなどであってもよいことを理解されたい。汎用プロセッサは、マイクロプロセッサであってもよいし、任意の従来のプロセッサなどであってもよい。なお、プロセッサは、高度縮小命令セットコンピューティングマシン(advanced RISC machine、ARM)アーキテクチャをサポートするプロセッサであってよい。
更に、任意選択的な実施形態において、メモリは、リードオンリメモリおよびランダムアクセスメモリを含み、命令およびデータをプロセッサに提供してよい。メモリは、不揮発性ランダムアクセスメモリを更に含んでよい。例えば、メモリは、デバイスタイプに関する情報を更に記憶してよい。
メモリは、揮発性メモリまたは不揮発性メモリであってもよいし、揮発性メモリおよび不揮発性メモリの両方を含んでもよい。不揮発性メモリは、リードオンリメモリ(read-only memory、ROM)、プログラマブルリードオンリメモリ(programmable ROM、PROM)、消去可能プログラマブルリードオンリメモリ(erasable PROM、EPROM)、電気的消去可能プログラマブルリードオンリメモリ(electrically EPROM、EEPROM)、またはフラッシュメモリであってよい。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(random access memory、RAM)であってよい。限定ではなく例として、多くの形式のRAM、例えば、スタティックランダムアクセスメモリ(static RAM、SRAM)、ダイナミックランダムアクセスメモリ(dynamic random access memory、DRAM)、シンクロナスダイナミックランダムアクセスメモリ(synchronous DRAM、SDRAM)、ダブルデータレートシンクロナスダイナミックランダムアクセスメモリ(double data rate SDRAM、DDR SDRAM)、エンハンスドシンクロナスダイナミックランダムアクセスメモリ(enhanced SDRAM、ESDRAM)、シンクリンクダイナミックランダムアクセスメモリ(synchlink DRAM、SLDRAM)、およびダイレクトラムバスランダムアクセスメモリ(direct rambus RAM、DR RAM)が利用可能である。
コンピュータ可読記憶媒体が更に提供される。この記憶媒体は、少なくとも1つの命令を記憶し、命令は、上述の実施形態のいずれか1つにおける、UEのユーザデータを検出するための方法を実装するために、プロセッサによりロードおよび実行される。
本願は、コンピュータプログラムを提供する。コンピュータプログラムがコンピュータにより実行されると、プロセッサまたはコンピュータが、上述の方法の実施形態における対応するステップおよび/または手順を行ってよい。
プロセッサを含むチップが提供される。このプロセッサは、メモリに記憶される命令をメモリから呼び出し、その命令を実行するように構成されており、その結果、チップが設置される通信デバイスが、上述の態様のいずれか1つにおける方法を行う。
入力インタフェースと、出力インタフェースと、プロセッサと、メモリとを含む別のチップが提供される。入力インタフェース、出力インタフェース、プロセッサ、およびメモリは、内部接続パスを通じて接続され、プロセッサは、メモリ内のコードを実行するように構成されており、このコードが実行されると、プロセッサは、上述の態様のいずれか1つにおける方法を行うように構成されている。
データ検出システムが提供される。このシステムは、中央検出ノードデバイスとエッジ検出ノードデバイスとを含む。中央検出ノードデバイスおよびエッジ検出ノードデバイスがUEのユーザデータを検出するプロセスについては、図4に示す関連ステップを参照されたい。ここでは、詳細について改めて説明しない。
上述の実施形態の全てまたは幾つかが、ソフトウェア、ハードウェア、ファームウェア、またはその任意の組み合わせを使用することにより実装されてよい。これらの実施形態を実装するためにソフトウェアが使用される場合は、これらの実施形態の全てまたは幾つかがコンピュータプログラム製品の形で実装されてよい。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータ命令がコンピュータ上でロードおよび実行されると、本願に係る手順または機能の全てまたは一部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってよいる。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に伝送されてもよい。例えば、コンピュータ命令は、あるウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに有線(例えば同軸ケーブル、光ファイバ、またはデジタル加入者線)または無線(例えば赤外線、電波、またはマイクロ波)の方式で伝送されてよい。コンピュータ可読記憶媒体は、コンピュータからアクセス可能な任意の使用可能媒体、または、1つまたは複数の使用可能媒体を統合したサーバもしくはデータセンタなどのデータ記憶デバイスであってよい。使用可能媒体は、磁気媒体(例えばフロッピディスク、ハードディスク、または磁気テープ)、光媒体(例えばDVD)、または半導体媒体(例えばソリッドステートディスク(Solid State Disk)などであってよい。
上述の特定の実装では、本願の目的、技術的解決策、および有益な効果が更に詳細に説明されている。上述の説明は、本願の特定の実装に過ぎず、本願の保護範囲を限定すること意図するものではないことを理解されたい。本願の技術的解決策に基づき行われる修正、同等の置き換え、または改良などはいずれも、本願の保護範囲に入るものとする。
[他の考えられる項目]
(項目1)
ユーザ機器UEのユーザデータを検出するための方法であって、
中央検出ノードデバイスがコアネットワークシグナリングデータを取得する段階と、
前記コアネットワークシグナリングデータに基づき異常なUEを決定する段階であって、前記異常なUEは、異常な挙動を伴うUEである、決定する段階と、
前記異常なUEに基づき異常なグループ特徴を決定する段階であって、前記異常なグループ特徴は、通信を行うために前記異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、決定する段階と、
前記中央検出ノードデバイスが前記異常なグループ特徴をエッジ検出ノードデバイスに送信する段階と
を備える方法。
(項目2)
前記コアネットワークシグナリングデータを取得する段階は、
現在の期間のコアネットワークシグナリングデータを取得する段階
を有し、
前記コアネットワークシグナリングデータに基づき異常なUEを決定する前記段階は、
前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出する段階であって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出する段階と、
前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する段階であって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立する段階と、
前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する段階であって、前記基準期間は、前記現在の期間よりも前の期間である、決定する段階と
を有する、
項目1に記載の方法。
(項目3)
前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さく、
前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する前記段階は、
前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得する段階であって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得する段階と、
取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用する段階と
を含む、
項目2に記載の方法。
(項目4)
前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果であり、
前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する前記段階は、
前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、
前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、
前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理と
を実行する段階を含む、
項目3に記載の方法。
(項目5)
前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む、項目1から4のいずれか一項に記載の方法。
(項目6)
前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む、項目3から5のいずれか一項に記載の方法。
(項目7)
ユーザ機器UEのユーザデータを検出するための方法であって、
前記エッジ検出ノードデバイスが検出対象データを取得する段階と、
前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする段階と、
前記エッジ検出ノードデバイスが、フィルタリング後に取得される前記データを検出する段階と
を備える方法。
(項目8)
前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする前記段階は、
前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得されるデータとして使用する段階
を有する、項目7に記載の方法。
(項目9)
前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む、項目7または8に記載の方法。
(項目10)
ユーザ機器UEのユーザデータを検出するための装置であって、
コアネットワークシグナリングデータを取得するように構成された取得モジュールと、
前記コアネットワークシグナリングデータに基づき異常なUEを決定するように構成された第1決定モジュールであって、前記異常なUEは、異常な挙動を伴うUEである、第1決定モジュールと、
前記異常なUEに基づき異常なグループ特徴を決定するように構成された第2決定モジュールであって、前記異常なグループ特徴は、通信を行うために前記異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、第2決定モジュールと、
前記異常なグループ特徴をエッジ検出ノードデバイスに送信するように構成された送信モジュールと
を備える装置。
(項目11)
前記取得モジュールは、現在の期間のコアネットワークシグナリングデータを取得するように構成されており、
前記第1決定モジュールは、
前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出することであって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出することと、
前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立することであって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立することと、
前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定することであって、前記基準期間は、前記現在の期間よりも前の期間である、決定することと
を行うように構成されている、
項目10に記載の装置。
(項目12)
前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さく、
前記第1決定モジュールは、
前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得することであって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得することと、
取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用することと
を行うように構成されている、
項目11に記載の装置。
(項目13)
前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果であり、
前記第1決定モジュールは、前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、
前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、
前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理と
を実行するように構成されている、
項目12に記載の装置。
(項目14)
前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む、項目10から13のいずれか一項に記載の装置。
(項目15)
前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む、項目12から14のいずれか一項に記載の装置。
(項目16)
ユーザ機器UEのユーザデータを検出するための装置であって、
中央検出ノードデバイスにより送信される異常なグループ特徴を受信するように構成された受信モジュールであって、前記異常なグループ特徴は、通信を行うために異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、受信モジュールと、
検出対象データを取得するように構成された取得モジュールと、
前記異常なグループ特徴に基づき前記検出対象データをフィルタリングするように構成されたフィルタリングモジュールと、
フィルタリング後に取得されるデータを検出するように構成された検出モジュールと
を備える装置。
(項目17)
前記フィルタリングモジュールは、前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得されるデータとして使用するように構成されている、項目16に記載の装置。
(項目18)
前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコルIP、ポート、プロトコル種別、および国際移動電話加入者識別番号IMSIのうちの少なくとも1つを含む、項目16または17に記載の装置。
(項目19)
ユーザ機器UEのユーザデータを検出するためのデバイスであって、前記デバイスは、
メモリおよびプロセッサを備え、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、項目1から6のいずれか一項における、ユーザ機器UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される、
デバイス。
(項目20)
ユーザ機器UEのユーザデータを検出するためのデバイスであって、前記デバイスは、
メモリおよびプロセッサを備え、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、項目7から9のいずれか一項における、ユーザ機器UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される、
デバイス。
(項目21)
ユーザ機器UEのユーザデータを検出するためのシステムであって、項目19に記載の少なくとも1つのデバイスと、項目20に記載の少なくとも1つのデバイスとを備えるシステム。
(項目22)
コンピュータ可読記憶媒体であって、前記記憶媒体は、少なくとも1つの命令を記憶し、前記命令は、項目1から9のいずれか一項に記載の、ユーザ機器UEのユーザデータを検出するための方法を実装するために、プロセッサによりロードおよび実行される、コンピュータ可読記憶媒体。

Claims (19)

  1. ユーザ機器(UE)のユーザデータを検出するための方法であって、
    中央検出ノードデバイスがコアネットワークシグナリングデータを取得する段階と、
    前記コアネットワークシグナリングデータに基づき異常なUEを決定する段階であって、前記異常なUEは、異常な挙動を伴うUEである、決定する段階と、
    前記異常なUEに基づき異常なグループ特徴を決定する段階であって、前記異常なグループ特徴は、通信を行うために前記異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、決定する段階と、
    前記中央検出ノードデバイスが前記異常なグループ特徴をエッジ検出ノードデバイスに送信する段階と
    を備え、
    コアネットワークシグナリングデータを取得する前記段階は、
    現在の期間のコアネットワークシグナリングデータを取得する段階
    を有し、
    コアネットワークシグナリングデータに基づき異常なUEを決定する前記段階は、
    前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出する段階であって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出する段階と、
    前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する段階であって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立する段階と、
    記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する段階であって、前記基準期間は、前記現在の期間よりも前の期間である、決定する段階と
    を有し、
    前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さく、
    前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立する前記段階は、
    前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得する段階であって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得する段階と、
    取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用する段階と
    を含む、方法。
  2. 前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果であり、
    前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定する前記段階は、
    前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、
    前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、
    前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理と
    を実行する段階を含む、
    請求項に記載の方法。
  3. 前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコル(IP)、ポート、プロトコル種別、および国際移動電話加入者識別番号(IMSI)のうちの少なくとも1つを含む、請求項1または2に記載の方法。
  4. 前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む、請求項1または2に記載の方法。
  5. 前記異常なグループ特徴は、ユーザデータを検出するように構成されている、請求項1から4のいずれか一項に記載の方法。
  6. 前記エッジ検出ノードデバイスが、前記中央検出ノードデバイスにより送信された前記異常なグループ特徴を取得する段階
    前記エッジ検出ノードデバイスが検出対象データを取得する段階と、
    前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする段階と、
    前記エッジ検出ノードデバイスが、フィルタリング後に取得されるデータを検出する段階と
    、更に備える
    請求項1から5のいずれか一項に記載の方法。
  7. 前記エッジ検出ノードデバイスが前記異常なグループ特徴に基づき前記検出対象データをフィルタリングする前記段階は、
    前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得される前記データとして使用する段階
    を有する、請求項に記載の方法。
  8. 前記エッジ検出ノードデバイスが異常なグループ特徴を取得する段階は、
    前記エッジ検出ノードデバイスが前記異常なグループ特徴を受信する段階
    を有する、請求項またはに記載の方法。
  9. ユーザ機器(UE)のユーザデータを検出するための装置であって、
    コアネットワークシグナリングデータを取得するように構成された取得モジュールと、
    前記コアネットワークシグナリングデータに基づき異常なUEを決定するように構成された第1決定モジュールであって、前記異常なUEは、異常な挙動を伴うUEである、第1決定モジュールと、
    前記異常なUEに基づき異常なグループ特徴を決定するように構成された第2決定モジュールであって、前記異常なグループ特徴は、通信を行うために前記異常なUEにより使用される識別子またはユーザデータ伝送モードを含む、第2決定モジュールと、
    前記異常なグループ特徴をエッジ検出ノードデバイスに送信するように構成された送信モジュールと
    を備え、
    前記取得モジュールは、現在の期間のコアネットワークシグナリングデータを取得するように構成されており、
    前記第1決定モジュールは、
    前記現在の期間の前記コアネットワークシグナリングデータに基づき前記現在の期間の挙動特徴を抽出することであって、前記挙動特徴は、通信プロセスにおける複数のUEの各々の挙動特徴である、抽出することと、
    前記現在の期間の前記挙動特徴に基づき前記現在の期間のUEプロファイルを確立することであって、前記UEプロファイルは、前記複数のUEを含む少なくとも1つのUEグループを記述するために使用され、前記少なくとも1つのUEグループの各々におけるUEが同じ挙動特徴を有する、確立することと、
    前記現在の期間の前記UEプロファイルと基準期間のUEプロファイルとを比較し、比較結果に基づき前記異常なUEを決定することであって、前記基準期間は、前記現在の期間よりも前の期間である、決定することと
    を行うように構成されており、
    前記現在の期間の前記挙動特徴は、前記現在の期間の時点表示、1つまたは複数のユーザ識別子、および前記1つまたは複数のユーザ識別子の各々に対応するシグナリングカテゴリカウント配列を含み、前記シグナリングカテゴリカウント配列は、N次元ベクトルであり、前記N次元ベクトル内のベクトルiがシグナリングカテゴリiに対応し、前記1つまたは複数のユーザ識別子のうち第1ユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記第1ユーザ識別子のシグナリングカテゴリiのシグナリングカウント値であり、Nの値が自然数であり、iの値が0より大きくNより小さく、
    前記第1決定モジュールは、
    前記1つまたは複数のユーザ識別子の各々に対応する前記シグナリングカテゴリカウント配列に基づき前記現在の期間の前記複数のUEをクラスタリングして、クラスタリング結果を取得することであって、前記クラスタリング結果は、前記少なくとも1つのUEグループを含む、取得することと、
    取得された前記クラスタリング結果を前記現在の期間の前記UEプロファイルとして使用すること
    を行うように構成されている、装置。
  10. 前記クラスタリング結果は、少なくとも2つのUEグループを含み、前記少なくとも2つのUEグループの各々は、前記少なくとも2つのUEグループのうち任意の選択されたUEグループについてクラスタリング中心を有し、前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列がN次元ベクトルであり、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列内のベクトルiのベクトル値が、前記選択されたUEグループ内の全てのユーザ識別子に対応するシグナリングカテゴリカウント配列内のベクトルiのベクトル値の平均値であり、前記選択されたUEグループの特徴値が、前記選択されたUEグループの前記クラスタリング中心に対応する前記シグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計計算結果であり、
    前記第1決定モジュールは、前記現在の期間の全てのUEグループの中から1つのUEグループを選択し、前記現在の期間の各UEグループが処理されるまで、前記選択されたUEグループに対して、
    前記選択されたUEグループのクラスタリング中心に対応するシグナリングカテゴリカウント配列に含まれるN個のベクトル値の合計を計算して、前記選択されたUEグループに対応する特徴値を取得する処理と、
    前記選択されたUEグループに対応する前記特徴値と前記基準期間の全てのUEグループに対応する特徴値とを1つずつ比較し、あるUEグループに対応する特徴値と前記選択されたUEグループに対応する前記特徴値との差が指定された閾値より小さいケースが前記基準期間に存在しない場合に、前記選択されたUEグループ内のUEが異常なUEであると判断する処理と
    を実行するように構成されている、
    請求項に記載の装置。
  11. 前記異常なUEの指定された情報が、前記異常なUEのインターネットプロトコル(IP)、ポート、プロトコル種別、および国際移動電話加入者識別番号(IMSI)のうちの少なくとも1つを含む、請求項9または10に記載の装置。
  12. 前記現在の期間の前記挙動特徴は、前記UEのシグナリング総量、シグナリング送信頻度、およびアクセス持続時間における少なくとも1つの特徴を更に含む、請求項9または10に記載の装置。
  13. ユーザ機器UEのユーザデータを検出するためのシステムであって、
    請求項9から12のいずれか一項に記載の前記装置と、
    前記エッジ検出ノードデバイスと
    を備え、
    前記エッジ検出ノードデバイスが、
    検出対象データおよび前記送信モジュールにより送信された前記異常なグループ特徴を取得するように構成された取得モジュールと
    前記異常なグループ特徴に基づき前記検出対象データをフィルタリングするように構成されたフィルタリングモジュールと、
    フィルタリング後に取得されるデータを検出するように構成された検出モジュールと
    を備える、システム
  14. 前記フィルタリングモジュールは、前記検出対象データの中から前記異常なグループ特徴を満たすデータを選択し、前記異常なグループ特徴を満たす前記データを、前記フィルタリング後に取得されるデータとして使用するように構成されている、請求項13に記載のシステム
  15. 前記エッジ検出ノードデバイスが、前記異常なグループ特徴を受信するように構成された受信モジュールを更に備える、請求項13または14に記載のシステム
  16. ユーザ機器(UE)のユーザデータを検出するためのデバイスであって、前記デバイスは、
    メモリおよびプロセッサを備え、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、請求項1からのいずれか一項における、ユーザ機器UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される、
    デバイス。
  17. ユーザ機器UEのユーザデータを検出するためのデバイスであって、前記デバイスは、
    メモリおよびプロセッサを備え、前記メモリは、少なくとも1つの命令を記憶し、前記少なくとも1つの命令は、請求項からのいずれか一項における、ユーザ機器UEのユーザデータを検出するための方法を実装するために、前記プロセッサによりロードおよび実行される、
    デバイス。
  18. ユーザ機器UEのユーザデータを検出するためのシステムであって、請求項16に記載の少なくとも1つのデバイスと、請求項17に記載の少なくとも1つのデバイスとを備えるシステム。
  19. プロセッサに、請求項1からのいずれか一項に記載の、または、請求項からのいずれか一項に記載の、ユーザ機器UEのユーザデータを検出するための方法を実装させるための、コンピュータプログラム。
JP2022568671A 2020-05-12 2020-11-13 ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム Active JP7434690B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202010399394.8A CN113727348B (zh) 2020-05-12 2020-05-12 用户设备ue用户数据的检测方法、设备、系统及存储介质
CN202010399394.8 2020-05-12
PCT/CN2020/128841 WO2021227414A1 (zh) 2020-05-12 2020-11-13 用户设备ue用户数据的检测方法、设备及存储介质

Publications (2)

Publication Number Publication Date
JP2023525112A JP2023525112A (ja) 2023-06-14
JP7434690B2 true JP7434690B2 (ja) 2024-02-21

Family

ID=78526342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022568671A Active JP7434690B2 (ja) 2020-05-12 2020-11-13 ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム

Country Status (5)

Country Link
US (1) US20230073813A1 (ja)
EP (1) EP4145769A4 (ja)
JP (1) JP7434690B2 (ja)
CN (1) CN113727348B (ja)
WO (1) WO2021227414A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114501419B (zh) * 2021-12-30 2023-05-12 中国联合网络通信集团有限公司 信令数据处理方法、装置和存储介质
CN115278685B (zh) * 2022-07-26 2023-10-31 上海欣诺通信技术股份有限公司 一种基于dpi技术的5g异常行为终端检测方法及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008537385A (ja) 2005-03-31 2008-09-11 ルーセント テクノロジーズ インコーポレーテッド 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置
JP2009520447A (ja) 2005-12-19 2009-05-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置
WO2017154012A1 (en) 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
JP2019537366A (ja) 2016-11-08 2019-12-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 障害のあるデバイスの負荷からの保護

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572691B (zh) * 2008-04-30 2013-10-02 华为技术有限公司 一种入侵检测方法、系统和装置
CN105868243A (zh) * 2015-12-14 2016-08-17 乐视网信息技术(北京)股份有限公司 信息处理方法及装置
US10154435B2 (en) * 2016-10-01 2018-12-11 Intel Corporation Systems, methods, and devices for coexistence of heterogeneous bandwidth communications
EP3313114B1 (en) * 2016-10-18 2021-06-09 Nokia Solutions and Networks Oy Detection and mitigation of signalling anomalies in wireless network
US10171993B2 (en) * 2017-05-05 2019-01-01 Nokia Technologies Oy Identity request control for user equipment
CN110650034B (zh) * 2018-06-26 2021-08-31 华为技术有限公司 一种信息处理方法及装置
CN109361660B (zh) * 2018-09-29 2021-09-03 武汉极意网络科技有限公司 异常行为分析方法、系统、服务器及存储介质
CN110096362B (zh) * 2019-04-24 2023-04-14 重庆邮电大学 一种基于边缘服务器协作的多任务卸载方法
CN110225067B (zh) * 2019-07-24 2021-08-24 上海戎磐网络科技有限公司 一种物联网安全预警系统
CN110661861A (zh) * 2019-09-19 2020-01-07 北京邮电大学 一种智慧后勤业务系统
CN111091278B (zh) * 2019-12-04 2023-09-08 湃方科技(天津)有限责任公司 机械设备异常检测的边缘检测模型构建方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008537385A (ja) 2005-03-31 2008-09-11 ルーセント テクノロジーズ インコーポレーテッド 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置
JP2009520447A (ja) 2005-12-19 2009-05-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置
WO2017154012A1 (en) 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
JP2019537366A (ja) 2016-11-08 2019-12-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 障害のあるデバイスの負荷からの保護

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CATT, SAMSUNG,Update abnormal behaviour analytics,3GPP TSG SA WG2#133 S2-1906093,フランス,3GPP,2019年05月16日

Also Published As

Publication number Publication date
JP2023525112A (ja) 2023-06-14
EP4145769A4 (en) 2023-10-25
CN113727348A (zh) 2021-11-30
EP4145769A1 (en) 2023-03-08
WO2021227414A1 (zh) 2021-11-18
CN113727348B (zh) 2023-07-11
US20230073813A1 (en) 2023-03-09

Similar Documents

Publication Publication Date Title
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
CN109861953B (zh) 一种异常用户识别方法及装置
US10547618B2 (en) Method and apparatus for setting access privilege, server and storage medium
EP2725512A1 (en) System and method for malware detection using multi-dimensional feature clustering
CN114465739A (zh) 异常识别方法和系统、存储介质及电子装置
JP7434690B2 (ja) ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム
CN105917632A (zh) 用于电信中的可扩缩分布式网络业务分析的方法
US10965553B2 (en) Scalable unsupervised host clustering based on network metadata
CN108768695B (zh) Kqi的问题定位方法及装置
US20160269428A1 (en) Data processing
US9800662B2 (en) Generic network trace with distributed parallel processing and smart caching
CN115039379A (zh) 使用分类器层级确定设备属性的系统和方法
WO2017140710A1 (en) Detection of malware in communications
WO2024007615A1 (zh) 模型训练方法、装置及相关设备
US11621950B2 (en) Data processing methods, servers, client devices and media for security authentication
Yuan et al. Insight of Anomaly Detection with NWDAF in 5G
US20230208730A1 (en) Classification of Traffic Data Per Application Type
CN114640599A (zh) 意图的冲突处理方法、装置、存储介质及计算机程序产品
CN113691483B (zh) 异常用户设备的检测方法、装置、设备及存储介质
CN110198294B (zh) 安全攻击检测方法及装置
Li et al. FusionTC: Encrypted App Traffic Classification Using Decision‐Level Multimodal Fusion Learning of Flow Sequence
US20200059482A1 (en) Adaptive anomaly detection for computer systems
CN109922083A (zh) 一种网络协议流量控制系统
CN115118782A (zh) 数据控制方法、装置、电子设备及计算机可读存储介质
CN116708013B (zh) 一种DDoS防护方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240116

R150 Certificate of patent or registration of utility model

Ref document number: 7434690

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150