WO2013185489A1

WO2013185489A1 - 分析信令流量的方法及装置

Info

Publication number: WO2013185489A1
Application number: PCT/CN2013/071089
Authority: WO
Inventors: 钱莉; 陈焕华
Original assignee: 华为技术有限公司
Priority date: 2012-06-13
Filing date: 2013-01-29
Publication date: 2013-12-19
Also published as: US9763109B2; EP2717504A4; CN103490849A; EP2717504A1; US20140105032A1; EP2717504B1

Abstract

本发明实施例公开了一种分析信令流量的方法及装置，涉及无线通讯领域，能够对信令流量进行分析，并记录分析结果。本发明的方法包括：根据终端设备的用户面数据，获取终端设备在传输数据包的过程中所产生的信令的数量，用户面数据包括：终端设备传输数据包的时间间隔或终端设备所传输的每一个数据包的包长；分析终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果，分析结果包括：产生异常信令流量的终端设备的地址信息和/或影响信令流量的特征信息。

Description

分析信令流量的方法及装置本申请要求于 2 01 2 年 06 月 1 3 日提交中国专利局、申请号为 2 01 2 1 01 9 5 008 . 9 , 发明名称为 "分析信令流量的方法及装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通讯领域，尤其涉及一种分析信令流量的方法及装置。

背景技术

近几年， 3G 网络作为新一代蜂窝移动通讯技术得到了迅速的发展，其优势在于其较高的数据传输速率。数据传输速率提高使得通讯系统可以为用户提供更多的业务服务，对通讯产业带来的直接有益影响就是通讯终端产业的兴起，如智能手机、平板电脑等。

在通讯终端为用户提供业务服务时，需要通过无线网络传输一定数量的信令，通讯终端为用户提供业务服务越多，需要通过无线网络传输的信令也就越多，例如： 3G 网络为用户带来更多的业务服务的同时，在通讯系统中传输的信令也急剧增加，并且由于传统 IP应用及协议的设计由于没有充分考虑 3G网络协议的后续扩展，使得通讯系统中还会产生了大量额外的信令，从而形成信令风暴，这样会消耗大量的无线资源，增加通讯系统中的网元设备的通信及处理负载，甚至影响数据传输。

在现有的通讯系统的实际应用中，运营商需要实时的掌握通讯系统的运行状态，例如：运营商需要通过网侧服务器（如无线网络控制器（Radio Network Controller, RNC ) ) 获取网络中的空口流量值，从而监控通讯系统中的信令流量。

现有技术的问题在于，现有的网侧服务器只是监控了通讯系统中的信令流量，并没有对信令流量进行进一步的分析。由于缺乏对对信令流量进一步的分析，当产生异常信令流量时，运营商难以对异常信令流量采取更进一步的处理措施，即现有技术只对通讯系统中的信令流量进行监控而不进行分析，没有信令流量的分析结果，也就无法采取进一步的调控信令流量的手段来緩减或解决信令风暴对于通讯系统的影响。

发明内容

本发明的实施例提供一种分析信令流量的方法及装置，能够对信令流量进行分析，并获取分析结果。

为达到上述目的，本发明的实施例采用如下技术方案：

一方面，本发明的实施例提供一种分析信令流量的方法，包括：根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量，所述用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长；

分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果，所述分析结果包括：产生异常信令流量的终端设备的地址信息和 /或影响信令流量的特征信息。

另一方面，本发明的实施例提供一种分析信令流量的装置，包括：记录模块，用于根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量，所述用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长；分析模块，用于分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果，所述分析结果包括：产生异常信令流量的终端设备的地址信息和 /或影响信令流量的特征信息。

本发明实施例提供的分析信令流量的方法及装置，能够通过分析终端设备传输数据包时所产生的信令，确定该终端设备是否为异常信令流量的来源，同时还能够确定影响信令流量的数据包的特征信息。与现有技术相比，本发明能够对信令流量进行分析，并找到产生异常信令流量来源以及影响信令流量的特征信息。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图 la为本发明实施例 1提供的分析信令流量的方法的流程图；图 lb为本发明提供的具体实例的网络结构示意图；

图 2a为本发明实施例 2提供的分析信令流量的方法的流程图；图 2 b为本发明实施例 2提供的具体实例的结构示意图；

图 3为本发明实施例 3提供的分析信令流量的装置的结构示意图；图 4为本发明实施例 4提供的分析信令流量的装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

为使本发明技术方案的优点更加清楚，下面结合附图和实施例对本发明作详细说明。

实施例 1

本发明实施例提供一种分析信令流量的方法，如图 la所示，该方法包括：

步骤 101 , 根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量。

其中，用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长。具体的，在本实施例中，网侧服务器可以通过在通讯系统中的各个节点的网元接口上部署的探针，捕获到终端设备发送的数据包，例如：

如图 lb所示，为 WCDMA ( Wideband Code Division Multiple Access , 宽带码分多址）网络的网络架构，包含 GPRS ( General Packet Radio Service,通用分组无线业务 )网关支持节点（ Gateway GPRS Support Node, GGSN )、 GPRS服务支持节点（ Serving GPRS Support Node , SGSN )、无线网络控制器、基站、终端设备（UE ) 等基本网元。其中，终端设备发送的 IP数据包经过基站、无线网络控制器、 GPRS服务支持节点，直至汇聚到 GPRS网关支持节点，再传输至互联网。

现有技术中，运营商会在 GPRS网关支持节点与 GPRS服务支持节点之间的 Gn接口上，或在 GPRS服务支持节点与无线网络控制器之间的 Iu接口上部署探针，从而可以捕获终端设备发送的 IP数据包或获取信令流量。

步骤 102 , 分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果。

其中，分析结果包括：产生异常信令流量的终端设备的地址信息和 / 或影响信令流量的特征信息。

具体的，在本实施例中，网侧服务器可以分析终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果，例如：

网侧服务器可以通过阈值法确定终端设备在传输数据包的过程中所产生的信令的数量是否大于预设的阈值，从而确定终端设备是否产生了异常的信令流量。其中，预设的阈值可以由技术人员设定，也可以由网侧服务器根据通讯系统的运行情况自动设定，在此不做限定。同理，网侧服务器可以通过上述方法流程处理所有通讯系统中的终端设备，从而找到通讯系统中所有产生了异常的信令流量的终端设备，并记录该终端设备的 IP 地址。

再例如：网侧服务器可以获取终端设备所传输的数据包中的特征信息，并通过现有手段统计终端设备在传输具备同一种特征信息的数据包时的信令的产生情况，从而筛选出影响信令流量的特征信息。

本实施例提供的分析信令流量的方法，能够分析终端设备传输数据包时所产生的信令，确定该终端设备是否为异常信令流量的来源，同时还能够确定影响信令流量的数据包的特征信息。与现有技术相比，本发明能够对信令流量进行分析，并找到产生异常信令流量来源以及影响信令流量的特征信息。

实施例 2

本发明实施例提供一种分析信令流量的方法，如图 2a所示，该方法包括：

步骤 201 , 根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量。

其中，用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长。

在本实施例中，网侧服务器对终端设备在传输数据包的过程中所产生的信令的数量进行分析的具体方法可以包括两种： 1、步骤 202至步骤 205 的方法流程，目的在于确定产生异常信令流量的来源； 2、步骤 206至步骤 211的方法流程，目的在于获取影响信令流量的特征信息。其中，这二种分析的具体方法可以同时执行，也可以以一定的先后顺序执行，在此不做限定。并且，最终的分析结果可以包括：产生异常信令流量的终端设备的地址信息、影响信令流量的特征信息这二种或其中的任意一种。

步骤 202 , 检测在指定时间内流经所述无线网络控制器的信令的流量是否大于预设的流量阈值。

具体的，如图 lb所示，在现有的通讯系统中（如 3G网络），无线网络控制器是一种必不可少的设备，终端设备与网侧的数据交互以及信令的传输都需要经过无线网络控制器，所以现有技术中往往会在服务支持节点与无线网络控制器之间的 Iu接口上部署探针，从而可以获取在指定时间内流经无线网络控制器的信令的流量。当网侧服务器检测到在指定时间内流经无线网络控制器的信令的流量过大（如大于预设的流量阈值），则说明通讯系统当前的信令流量异常，需要进一步地通过后续步骤的流程进行分其中，若在指定时间内流经无线网络控制器的信令的流量不大于预设的流量阈值，则不作处理。

步骤 203 , 若在所述指定时间内流经所述无线网络控制器的信令的流量大于所述预设阈值，则获取在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量。

具体的，在本实施例中，网侧服务器可以通过已有的部署在通讯系统上的探针截获流经无线网络控制器的信令，并通过现有技术手段（如源地址查询）找到发送了这条信令的终端设备，从而获取在述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量

通讯系统中的一个无线网络控制器往往可以管理多个终端设备，这多个终端设备与网侧的数据交互以及信令传输都会经过该无线网络控制器。在步骤 202中，检测出该无线网络控制器当前的信令流量异常，则说明归属于该无线网络控制器的至少一个终端设备在传输数据包的过程中产生了异常信令流量，步骤 203至步骤 205所述的方法流程即为判定终端设备是否为异常信令流量的来源的过程。在本实施例中，网侧服务器可以对归属于该无线网络控制器所有移动终端以此执行步骤 203至步骤 205所述的方法流程，从而找到产生了异常信令流量的终端设备。

步骤 204 , 检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常。

其中，若在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量正常，则不作处理。

具体的，在本实施例中，检测信令的数量是否异常的方式可以有中，其中包括：

步骤 2041 ,检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否大于预设阈值，其中，若大于所述预设阈值，则所述信令数量异常。

其中，指定时间的长短可以由技术人员设定，也可以由网侧服务器根据通讯系统的运行情况自动设定，在此不做限定。

并列可选的，还可以根据其他常用的异常检测算法来检测信令数量是否异常：

步骤 2042 ,根据预设的异常检测算法，检测所述信令的数量是否异常。其中，异常检测算法包括：累积和（CUSUM )、小波变换（Wavelet transform ) 或卡尔曼（kalman)滤波中的任意一项。

具体的，在本实施例中，在网侧服务器上所运行的异常检测算法并不只限于此，还可以是任意本领域技术人员所熟知的异常检测算法。

步骤 205 , 若在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量异常，则记录所述终端设备的 IP地址。

具体的，在本实施例中，网侧服务器经过检测确定了终端设备在传输数据包的过程中所产生的信令的数量异常，则记录该终端设备的 IP地址，从而找到了产生异常信令流量的来源，以便于网侧服务器或技术人员根据异常信令流量的来源（终端设备）的 IP地址采取相应的措施解决或緩减异常信令流量对通讯系统带来的不利影响。本实施例只涉及分析异常信令流量的过程，解决或緩减异常信令流量对通讯系统带来的不利影响的具体实施方式可以是本领域技术人员所熟知的任意方式，在此不作赘述。

进一步可选的，在本实施例中，产生异常信令流量的原因不仅仅是终端设备，也可能是由于其他原因引起的，分析产生异常信令流量的原因的其中一种方法是对数据包的特征信息进行分析，并找出影响信令流量的特征信息，以便于网侧服务器或技术人员根据分析结果（影响信令流量的特征信息）对进一步处理异常信令流量，所以分析所述终端设备在传输数据包的过程中所产生的信令的数量的过程还可以包括：

步骤 206 , 获取特征信息。其中，特征信息包括终端设备所传输的数据包的 IP地址、数据包包长、源端口号中的任意一项。

具体的，在本实施例中，网侧服务器所要分析的特征信息并不只限于上述三种，还可以是数据包在 IP层、传输层、应用层等各个方面的特征信息，例如 IP层的 IP地址、数据包包长等，传输层源端口号等，应用层的协议头信息（如 HTTP Referer, HTTP Host ) 等。

步骤 207 , 根据所述终端设备在传输数据包的过程中所产生的信令的数量，确定产生了信令的数据包。

具体的，在本实施例中，网侧服务器可以通过现有技术手段来确定产生了信令的数据包，例如：网侧服务器根据每条信令中用于识别数据包的字符串来确定每条信令是终端设备在传输哪一个数据包时所产生的，从而确定在传输过程中产生了信令的数据包。具体的，在传输过程中产生了信令的数据包的原因有多种，例如：

在实际应用中，通讯系统会为每个终端设备分配一个无线资源控制 ( Radio Resource Control , RRC ) 状态机，并根据终端设备传输的最新一个数据包的情况（如数据包传输速率、数据包包长等），为终端设备设置相应的无线资源控制状态机上的状态，每一个无线资源控制状态机的状态对应分配一定的无线资源，即每一个终端设备所传输的数据包都有可能会导致终端设备的无线资源控制状态机的状态的切换。当终端设备的无线资源控制状态机的状态进行切换时，会产生一定数量的信令，例如：如图 2b所示，所示为某实际运营网络使用的无线资源控制状态机，其中， IDLE (空闲状态）态是通讯终端开机后的默认状态，不占用任何资源；而 DCH ( Dedicated CHannel, 专有信道）态和 FACH ( Forward Access CHannel, 前向接入信道）态则对应通讯终端在传输过程中占用一定的资源， DCH 态代表用户在高速数据传输过程中分配较多的无线资源，而 FACH态则代表用户在低速数据传输过程中分配较少的资源。当用户在各个无线资源控制状态机的状态之间切换时，通讯终端和无线网络控制器之间会产生一定数目的信令，而无线资源控制状态机相关信令是无线空口侧信令流量的主要来源。表 1为状态间转换所对应的信令数目。

表 1

步骤 208 , 获取待检测的特征信息。

具体的，在本实施例中，网侧服务器可以对每一个特征信息都执行步骤 209至步骤 211的流程，从而找到所有影响信令流量的特征信息。

其中，步骤 206和步骤 208所对应的方法流程可以与步骤 207所对应的方法流程同时执行，也可以以一定的先后顺序执行，在此不做限定。

步骤 209 , 记录在所述产生了信令的数据包之中，具有所述待检测的特征信息的数据包的数量。筛选，从中获取具有待检测的特征信息的数据包，并记录具有待检测的特征信息的数据包的数量。

步骤 210 , 检测所述具有所述待检 'J的特征信 , 的数据包的数量是否大于第二预设阈值。

其中，第二预设阈值可以由网侧服务器自动设定或由技术人员设定。若待检测的特征信息的数据包的数量不大于第二预设阈值，则待检测的特征信息不是影响信令流量的特征信息，不作处理。

步骤 211 , 若所述具有所述待检测的特征信息的数据包的数量大于所述第二预设阈值，则所述待检 'J的特征信息为影响信令流量的特征信息，记录所述待检测的特征信息。

当具有同一个特征信息的数据包在传输的过程中所引发产生的信令较多时，可以将该特征信息作为影响信令流量的特征信息，例如：

当终端设备在传输诸多具有相同目标端口号的数据包在传输过程中，产生了较多的信令，则说明目标端口号所指向的设备可能是引起异常信令流量的原因之一，需要网侧服务器或技术人员进行进一步地处理，比如：用户使用 3G智能手机上传数据时，智能手机向网侧所发送的数据包都具有相同的目标端口号，若此时检测出目标端口号为影响信令流量的特征信息，则说明这个通讯业务（上传数据）影响了信令流量。若发生了信令风暴，则运营商在找到异常信令流量的来源时，还能获取发生了信令风暴的原因（在本实例中，发生了信令风暴的原因即为：用户使用 3G智能手机上传数据）。使得本实施例中，网侧服务器通过分析信令流量的方法流程不仅可以找到异常信令流量的来源（终端设备），还能进一步分析并获取产生异常信令流量的原因，以便网侧服务器或技术人员能够通过其他技术手段，根据产生异常信令流量的来源以及原因进行进一步的处理。

本实施例只涉及分析特征信息的过程，解决或緩减异常信令流量对通讯系统带来的不利影响的具体实施方式可以是本领域技术人员所熟知的任意方式，在此不作赘述。

实施例 3

本发明实施例提供一种分析信令流量的装置，如图 3所示，该装置 300 包括：

记录模块 31 , 用于根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量.

分析模块 32 ,用于分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果。

本实施例提供的分析信令流量的装置，能够通过记录模块获取终端设备传输数据包时所产生的信令的数量，并通过分析模块确定该终端设备是否为异常信令流量的来源，同时还能够通过分析模块确定影响信令流量的数据包的特征信息。与现有技术相比，本发明能够对信令流量进行分析，并找到产生异常信令流量来源以及影响信令流量的特征信息。

实施例 4

本发明实施例提供一种分析信令流量的装置，如图 4所示，该装置 400 包括：

记录模块 41 , 用于根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量。

分析模块 42 ,用于分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果。

其中，所述分析模块 42包括：

流量检测单元 421 , 用于检测在指定时间内流经所述无线网络控制器的信令的流量是否大于预设的流量阈值。

信令数量统计单元 422 , 用于若在所述指定时间内流经所述无线网络控制器的信令的流量大于所述预设阈值，则获取在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量。异常检测单元 423 , 用于检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常。

其中，所述异常检测单元 423包括：

第一检测子单元 4231 ,用于检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否大于预设阈值，若大于所述预设阈值，则所述信令数量异常。

第二检测子单元 4232 , 用于根据预设的异常检测算法，检测所述信令的数量是否异常。

其中，异常检测算法包括：累积和（CUSUM )、小波变换（Wavelet transform ) 或卡尔曼（kalman)滤波中的任意一项。

地址记录单元 424 , 用于若在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量异常，则记录所述终端设备的 IP地址。

进一步的可选的，所述分析模块 42还包括：

特征信息获取单元 425 , 用于获取特征信息。

其中，特征信息包括：终端设备所传输的数据包的 IP地址、数据包包长、源端口号中的任意一项。

特征信息记录单元 426 , 用于记录影响信令流量的特征信息。

其中，所述特征信息记录单元 426包括：

第一选子单元 4261 ,用于根据所述终端设备在传输数据包的过程中所产生的信令的数量，确定产生了信令的数据包。

特征信息获取子单元 4262 , 用于获取待检测的特征信息。

第二筛选子单元 4263 , 用于记录在所述产生了信令的数据包之中，具有所述待检测的特征信息的数据包的数量。

第三检测子单元 4264 ,用于检测所述具有所述待检测的特征信息的数据包的数量是否大于第二预设阈值。

特征信息记录子单元 4265 ,用于若所述具有所述待检测的特征信息的数据包的数量大于所述第二预设阈值，则所述待检测的特征信息为影响信令流量的特征信息，记录所述待检 'J的特征信息。

本实施例提供的分析信令流量的装置，能够通过记录模块获取终端设备传输数据包时所产生的信令的数量，并通过分析模块确定该终端设备是否为异常信令流量的来源，同时还能够通过分析模块中的特征信息记录单元分析并确定影响信令流量的特征信息。与现有技术相比，本发明能够对信令流量进行分析，并找到产生异常信令流量来源以及影响信令流量的特征信息。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较筒单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体 ( Read-Only Memory , ROM ) 或随机存^ ^己忆体 ( Random Access Memory , RAM ) 等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

1、一种分析信令流量的方法，其特征在于，包括：

根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量，所述用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长；

2、根据权利要求 1所述的分析信令流量的方法，其特征在于，所述终端设备归属于一个无线网络控制器（RNC ), 所述分析结果为产生异常信令流量的终端设备的地址信息，所述分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果包括：

检测在指定时间内流经所述无线网络控制器的信令的流量是否大于预设阈值；

若在所述指定时间内流经所述无线网络控制器的信令的流量大于所述预设阈值，则获取在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量；

检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常；

若在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量异常，则记录所述终端设备的 IP地址。

3、根据权利要求 2所述的分析信令流量的方法，其特征在于，所述检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常包括：

检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否大于预设阈值，若大于所述预设阈值，则所述信令数量异常。

4、根据权利要求 2所述的分析信令流量的方法，其特征在于，所述检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常包括：

根据预设的异常检测算法，检测所述信令的数量是否异常，所述异常检测算法包括：累积和（ CUSUM )、小波变换（ Wavelet transform )或卡尔曼 (kalman)滤波中的任意一项。

5、根据权利要求 1所述的分析信令流量的方法，所述分析结果为影响信令流量的特征信息，所述分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果包括：

获取特征信息，所述特征信息包括：所述终端设备所传输的数据包的 IP地址、数据包包长、源端口号中的任意一项；

记录影响信令流量的特征信息。

6、根据权利要求 1或 5所述的分析信令流量的方法，其特征在于，所述记录影响信令流量的特征信息包括：

根据所述终端设备在传输数据包的过程中所产生的信令的数量，确定产生了信令的数据包；

获取待检测的特征信息；

记录在所述产生了信令的数据包之中，具有所述待检测的特征信息的数据包的数量；

检测所述具有所述待检测的特征信息的数据包的数量是否大于第二预设阈值；

若所述具有所述待检测的特征信息的数据包的数量大于所述第二预设阈值，则所述待检测的特征信息为影响信令流量的特征信息，记录所述待检测的特征信息。

7、一种分析信令流量的装置，其特征在于，包括：

记录模块，用于根据终端设备的用户面数据，获取所述终端设备在传输数据包的过程中所产生的信令的数量，所述用户面数据包括：终端设备传输数据包的时间间隔或所述终端设备所传输的每一个数据包的包长；分析模块，用于分析所述终端设备在传输数据包的过程中所产生的信令的数量，并获取分析结果，所述分析结果包括：产生异常信令流量的终端设备的地址信息和 /或影响信令流量的特征信息。

8、根据权利要求 7所述的分析信令流量的装置，其特征在于，所述终端设备归属于一个无线网络控制器，所述分析模块包括：

流量检测单元，用于检测在指定时间内流经所述无线网络控制器的信令的流量是否大于预设的流量阈值；

信令数量统计单元，用于若在所述指定时间内流经所述无线网络控制器的信令的流量大于所述预设阈值，则获取在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量；

异常检测单元，用于检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否异常；

地址记录单元，用于若在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量异常，则记录所述终端设备的 IP地址。

9、根据权利要求 8所述的分析信令流量的装置，其特征在于，所述异常检测单元包括：

第一检测子单元，用于检测在所述指定时间内所述终端设备在传输数据包的过程中所产生的信令的数量是否大于预设阈值，若大于所述预设阈值，则所述信令数量异常。

10、根据权利要求 8所述的分析信令流量的装置，其特征在于，所述异常检测单元包括：

第二检测子单元，用于根据预设的异常检测算法，检测所述信令的数量是否异常，所述异常检测算法包括：累积和、小波变换或卡尔曼滤波中的任意一项。

11、根据权利要求 7所述的分析信令流量的装置，其特征在于，所述分析模块包括：特征信息获取单元，用于获取特征信息，所述特征信息包括：所述终端设备所传输的数据包的 IP地址、数据包包长、源端口号中的任意一项；特征信息记录单元，用于记录影响信令流量的特征信息。

12、根据权利要求 7或 11所述的分析信令流量的装置，其特征在于，所述特征信息记录单元包括：

第一筛选子单元，用于根据所述终端设备在传输数据包的过程中所产生的信令的数量，确定产生了信令的数据包；

特征信息获取子单元，用于获取待检测的特征信息；

第二选子单元，用于记录在所述产生了信令的数据包之中，具有所述待检测的特征信息的数据包的数量；

第三检测子单元，用于检测所述具有所述待检测的特征信息的数据包的数量是否大于第二预设阈值；

特征信息记录子单元，用于若所述具有所述待检测的特征信息的数据包的数量大于所述第二预设阈值，则所述待检 'J的特征信息为影响信令流量的特征信息，记录所述待检测的特征信息。