WO2021232847A1

WO2021232847A1 - 网络攻击检测控制方法、装置、基站及计算机存储介质

Info

Publication number: WO2021232847A1
Application number: PCT/CN2021/074151
Authority: WO
Inventors: 葛冉浩; 吴风云
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-05-21
Filing date: 2021-01-28
Publication date: 2021-11-25
Also published as: CN113709083A

Abstract

一种网络攻击检测控制方法、装置、基站及计算机存储介质，其中的方法包括当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数(S101)；根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数(S102)；根据匹配项数和位置信息对各终端进行检测，根据检测结果对各终端的接入请求进行控制(S103)。

Description

网络攻击检测控制方法、装置、基站及计算机存储介质

技术领域

本发明实施例涉及通信领域，具体而言，涉及但不限于网络攻击检测控制方法、装置、基站及计算机存储介质。

背景技术

窄带物联网(Narrow Band Internet of Things，NB-IoT)是一种基于蜂窝的窄带物联网技术，支持低功耗设备在广域网的蜂窝数据连接，也被叫作低功耗广域网(LPWAN)。NB-IoT技术在物联网的应用日益广泛，由于其存在海量接入的终端用户，业务繁多，面临诸多的网络安全问题。

真实的NB-IoT终端根据自己所支持的频段和工作模式，通过小区搜索过程驻留到合适的小区，当终端需要发送上行数据的时候，就会发起随机接入流程以获取上行授权。根据相关协议，终端会从SIB2-NB系统信息中获取两个RSRP(Reference Signal Receiving Power，参考信号接收功率)阈值和小区的窄带物理随机接入信道(Narrow-band Physical Random Access Channel，NPRACH)配置信息，然后根据自己的RSRP测量值和两个阈值比较确定覆盖等级，并在确定的覆盖等级上选择合适的NPRACH资源发起随机接入先导序列(Random Access Preamble，后文简称Preamble)，然后正确地接受随机接入响应(Random Access Response，RAR)和发送Msg3，完成后续的随机接入流程。

但是，由于所有的NPRACH资源信息是通过广播信息下发，当有恶意的NB-IoT终端在NPRACH信道上一直发送Preamble，而对NB-IoT基站作出的随机接入响应不作出任何回应，而根据相关的标准协议，只要终端在NPRACH资源上发送Preamble，基站就会根据当前空口的资源情况对其作出RAR响应，这个时候就会出现窄带物理下行控制信道(Narrow-band Physical Downlink Control Channel，NPDCCH)、窄带物理下行共享信道(Narrow-band Physical Downlink Shared Channel，NPDSCH)以及窄带物理上行共享信道(Narrow-band Physical Uplink Shared Channel，NPUSCH)等空口资源被大量占用，造成无线网络的“恶意拥塞”情况。

在此背景下，对于处于空闲态的真实终端，当有上行数据需要发送或者收到寻呼消息时，便会发起随机接入请求。但是由于恶意终端发起的网络攻击，大量上下行空口资源被占用，导致信道资源浪费和基站NPRACH虚检的概率提高，加剧空口资源紧张。真实的NPRACH虚检是由无线环境的噪声、本小区NPUSCH上的业务对相邻子载波上NPRACH 的干扰、邻小区的业务干扰以及同频组网干扰造成的，这些都会对NPRACH产生干扰，也会引起NPRACH的误检。不过这些干扰都是偶发的，与这种故意为之的攻击，在发生频度上具有明显的不同。一些情形下的NPRACH检测算法只能过滤掉不具备特定规律的外界干扰噪声，对这种并不是外界干扰的基本无法过滤。最终导致真实终端调度延迟甚至长时间无法接入，增大终端的业务时延，同时也极大地浪费真实终端的电池电量。

发明内容

本发明实施例提供的网络攻击检测控制方法、装置及计算机存储介质，旨在至少在一定程度上解决相关的技术问题之一，包括一些情形下存在NB-IoT终端恶意发起NPrach网络攻击，资源被大量占用，造成NB-IoT小区接入网络拥塞的问题。

有鉴于此，本发明实施例提供一种网络攻击检测控制方法，包括：当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数；根据由真实特征参数联合形成的预设联合概率密度，与所述实时特征参数，确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数；根据所述匹配项数和所述位置信息对所述各终端进行检测，根据检测结果对所述各终端的接入请求进行控制。

本发明实施例还提供一种网络攻击检测控制装置，包括：获取模块，用于获取发起接入请求的各终端位置信息和实时特征参数；联合判决条件模块，用于根据由真实特征参数联合形成的预设联合概率密度，与所述实时特征参数，确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数；检测控制模块，用于根据所述匹配项数和所述位置信息对所述各终端进行检测，根据检测结果对各终端的接入请求进行控制。

本发明实施例还提供一种基站，所述基站包括处理器、存储器及通信总线；其中，所述通信总线用于实现处理器和存储器之间的连接通信；所述处理器用于执行存储器中存储的一个或者多个程序，以实现如上所述的网络攻击检测控制方法的步骤。

本发明实施例还提供一种计算机存储介质，存储有一个或者多个程序，其中，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上所述的网络攻击检测控制方法的步骤。

本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本发明说明书中的记载变得显而易见。

附图说明

图1是本发明实施例一提供的网络攻击检测控制的流程图；

图2是本发明实施例一提供的基于位置信息对终端进行初步检测判断的流程图；

图3是本发明实施例二提供的网络攻击检测控制的流程图；

图4是本发明实施例三提供的网络攻击检测装置的结构框图；

图5是本发明实施例三提供的网络攻击检测装置的定位模块的功能流程图；

图6是本发明实施例三提供的网络攻击检测装置的联合判决条件模块的功能流程图；

图7是本发明实施例三提供的网络攻击检测装置的调度模块的功能流程图；

图8是本发明实施例三提供的网络攻击检测装置的通知模块的功能流程图；

图9是本发明实施例四提供的基站的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例一：

对于处于空闲态的真实终端，当有上行数据需要发送或者收到寻呼消息时，便会发起随机接入请求。但是由于恶意终端发起的网络攻击，大量上下行空口资源被占用，导致信道资源浪费和基站NPRACH虚检的概率提高，加剧空口资源紧张。真实的NPRACH虚检是由无线环境的噪声、本小区NPUSCH上的业务对相邻子载波上NPRACH的干扰、邻小区的业务干扰以及同频组网干扰造成的，这些都会对NPRACH产生干扰，也会引起NPRACH的误检。不过这些干扰都是偶发的，与这种故意为之的攻击，在发生频度上具有明显的不同。这种NPrach网络攻击造成的基站大量NPrach虚检与真实的虚检最大的不同是，它是模仿真实终端在NPrach资源上发送Preamble，对基站的RAR响应不做出响应而造成的；普通NPRACH检测算法只能过滤掉不具备特定规律的外界干扰噪声，对这种并不是外界干扰的基本无法过滤。最终导致真实终端调度延迟甚至长时间无法接入，增大终端的业务时延。

有鉴于此，本发明实施例提供一种网络攻击检测控制方法，如图1所示，该网络攻击检测控制方法包括：

S101：当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数。

在本发明实施例中，基站检测到接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数，则基站需先确定接入网是否异常，一个实施方式中，当接入网的接入性能参数值小于预设门限值，确定接入网异常；其中该接入性能参数值包括但不限于真实接入比例，信道资源利用率和虚检概率；例如，根据接入网的接入次数和真实完成接入次数，当真实接入次数的比例小于预设门限值，确定接入网异常；例如NB-IoT基站通过检测NPRACH的接入次数与真实完成接入次数的对比，基站自检系统发现真实接入的比例不足一定门限值(如70％左右)，这个时候系统判断NPRACH的误检率过高，此时可获取发起接入请求的各终端位置信息和实时特征参数；其中当真实接入比例低于30％的门限值，粗略判断可能为恶意终端发起的接入攻击。

一个实施方式中，当信道资源利用率或虚检概率低于预设阈值时，确定接入网异常，当然，还根据真实接入比例、资源利用率和虚检概率中的至少两种参数确定接入网是否异常，例如当接入性能比例小于70％，信道资源利用率低于50％时，确定接入网异常。

在本发明实施例中，终端在NPrach资源上发送Preamble，进而发起接入请求，获取各终端的实时特征参数是基站采集终端的实时特征参数，该实时特征参数包括但不限于TA、频偏以及信噪比(Sinr)；而获取接入请求各终端的位置信息可以是基站主动测量定位终端位置，也可以是终端主动上报位置信息。例如基站通过测量终端TA(Timing Advance，TA)识别距离，然后与邻小区采用三角定位法，共同定位终端位置；一个实施方式中，基站通过高层网元通知服务小区和邻小区发起定位测量指令，终端在NPRACH信道上发送上行信息，服务小区和邻小区通过测量终端的上行信号到达不同基站天线端口的时间差，定位终端的具体位置。在一个实施方式中，也可以终端主动上报位置信息，进而基站获取各终端的位置信息；例如各终端在发起接入请求时，携带各终端的位置信息，进而基站接收各终端的位置信息。

S102：根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数。

在本发明实施例中，获取各终端的实时特征参数，结合预设联合联合概率密度，确定各终端是否符合对应的判决条件，其中预设联合概率密度是由真实终端(即非恶意终端)的真实特征参数联合形成的，预设联合概率密度可以是基站预先存储的，如基站存储了长期采集真实终端的特征参数，进行统计学习得到的多种联合概率密度谱；也可以是基站基于当前发起接入请求，且作出回应的真实终端的真实特征参数计算得到的多种联合概率密度谱。

在一个实施方式中，基站统计真实终端的真实特征参数落入分段区间概率，计算得到多种预设联合概率密度谱；如TA、频偏以及信噪比(Sinr)等特征参数，按小区分覆盖等级统计真实NPRACH接入的TA、Sinr和频偏落入分段区间概率，学习出真实接入终端的联合概率谱密度，针对终端不同特征参数的多种组合，形成不同的联合概率密度谱，如TA、频偏联合概率谱，频偏、Sinr联合概率谱以及TA、频偏、Sinr联合概率谱。可以理解的是，基站对于不同的特征参数TA、Sinr和频偏都维护了一张区间分配表，按小区覆盖等级，对不同的特征参数，统计在周期范围落在区间范围的次数，该周期是后台可配参数；统计周期范围内，终端接入TA、Sinr和频偏落在各个区间的概率；即落在各个区间的次数除以统计周期内的总次数，

表示第j个覆盖等级(如三个覆盖等级，CEL0，CEL1，CEL2，则j≤3)，第i个区间测量统计单位时间内成功接入终端上报的TA估计值分布统计表概率密度值；

表示第j个覆盖等级，第i个区间测量统计单位时间内成功接入用户上报的频偏估计值分布统计表概率密度值；

表示第j个覆盖等级，第i个区间测量统计单位时间内成功接入用户上报的Sinr估计值分布统计表概率密度值；针对不同的特征参数，再根据真实终端统计计算得到各个区间的概率密度值之后，计算不同特征参数的联合概率密度谱；比如TA和Sinr的联合概率密度

为当前接入TA区间i范围的概率密度

和

的乘积，

其它联合概率密度计算类似；可以理解的是，每种预设联合概率密度谱都有对应的判决条件，且该判决条件可以不同。

在本发明实施例中，S102步骤包括但不限于：计算终端的各实时特征参数组合的各联合概率，该联合概率包括至少三种，将各联合概率与对应的预设联合概率密度谱进行比较，确定各终端不符合联合判决条件的匹配项数。例如各实时特征参数为TA、Sinr和频偏，计算得到第一

联合概率，第一

联合概率以及第一

联合概率，预设联合概率密度谱分别为第二

联合概率谱，第二

联合概率谱以及第二

联合概率谱，分别将各第一联合概率与各第二联合概率谱进行比较，假设第一

联合概率不符合对应的判决条件，第一

联合概率符合对应的判决条件以及第一

联合概率符合对应的判决条件，则确定不符合联合判断条件的匹配项数为2；当然当全部符合时，则匹配项数为0。

需要说明的是，由于预设联合概率密度谱是统计真实终端的真实特征参数落入分段区间概率并计算得到，因此在本发明实施例中，当联合概率落在对应的预设联合概率密度谱的预设低概率区间，确定不符合联合判决条件，例如，第一

联合概率落入低于预设联合概率密度的30％概率区域，确定第一

联合概率不符合判决条件；其中该预设低概率区间可以根据智能统计的真实终端数量不同而不同，其还可以根据实际情况进行灵活调整。

S103：根据匹配项数和位置信息对各终端进行检测，根据检测结果对各终端的接入请求进行控制。

在本发明实施例中，在一个实施方式中，在S102步骤之前，还包括通过终端的位置信息对终端是否恶意发起NPRACH网络攻击进行初步检测判断，如图2所示：

S201：根据终端的位置信息，确定终端在同一位置区域内发起接入请求；

S202：当终端发起接入次数超过阈值时，将终端作为可疑终端，降低可疑终端的调度优先级。

在本发明实施例中，首先判断终端是否在同一位置区域内发起接入请求，如是，则进一步判断发起接入次数，如是，则将该终端视为可疑终端。其中该同一位置区域可以是同一位置处，也可以是某一位置及其该位置附近位置，如以某一位置点为中心，半径为1000米的圆形位置区域。即由于物联网的特性，大多数终端一个月很可能只发送一次数据，则同一位置区域内终端频繁发起接入请求的终端视为可疑终端，进而降低该位置终端调度优先级，而不在同一位置频繁发起接入请求的终端初步视为真实终端。

值得注意的是，仅通过位置信息来对终端进行判断，可能会造成同一位置区域的真实终端误判，导致真实终端与真实的恶意终端调度优先级同时降低；也可能存在终端未能定位，进而无法对终端进行判断的情况，因此本发明实施例中，还根据不符合联合判决条件的匹配项数进一步对终端进行检测判断，可分为以下三种情况：

情况一：当根据位置信息确定某终端为可疑终端，确定匹配项数为0时，将该可疑终端作为真实终端；通过位置信息和发起接入请求的次数确定某个终端为可疑终端后，但该可疑终端全部符合判决条件时，则表示该终端被误判为可疑终端，此时将可疑终端作为真实终端，并恢复该真实终端的调度优先级。当然，当根据位置信息确定某终端初步为真实终端，且匹配项数为0，则该终端为真实终端。

情况二：将匹配项数等于1的终端作为可疑终端；在一个实施方式中，即无论通过位置信息和发起接入请求的次数确定某个终端为非可疑终端还是可疑终端，对于匹配项个数等于1个的终端将其判决为可疑终端，降低该可疑终端的优先级，值得注意的是，若该可疑终端已根据位置信息降低调度优先级后，无需再次降低优先级，当然在其他实施方式中，也可以在已降低优先级的基础上，继续降低调度优先级。

在一个实施方式中，当根据位置信息确定某终端为可疑终端，同时确定匹配项数等于1时，将该可疑终端确定为恶意终端，进而限制恶意终端的接入请求。

情况三：将匹配项数大于等于2的终端作为恶意终端；即无论通过位置信息和发起接入请求的次数确定某个终端为非可疑终端还是可疑终端，对于匹配项个数大于等于2个的终端将其判决为恶意终端，进而限制恶意终端的接入请求。

在本发明实施例中，检测确定为恶意终端时，可以是在一段时间内直接限制其接入请求，该限制时间段可以根据当前资源剩余率进行灵活调整，例如当资源剩余率高，则限制时间短一点，资源剩余率低，则限制时间长一点。还可以根据某终端的位置信息和匹配项数确定该终端的限制时间长短，例如当根据位置信息确定某终端为可疑终端，且匹配项数大于等于2，则该终端的限制时间段为A，当根据位置信息确定某终端为可疑终端，且匹配项数等于1，则该终端的限制时间段为B(A>B)。

检测确定为可疑终端时，采用预设调度规则对该可疑终端的接入请求进行调度；其中该预设调度规则包括但不限于轮询调度、随机调度、间隔调度，其中轮询调度为基站按照调度优先级依次进行调度接入请求，随机调度为基站随机选择可疑终端进行调度，间隔调度为基站每间隔一个调度优先级进行调度，或基站每间隔一个空闲时间段调度，通过部分选择调度，最大可能地减少被误判的真实终端得不到调度情况。

可以理解的是，确定发起接入请求的终端包括可疑终端时，将基站对应的服务器小区状态标识为坏小区，通知后台管理系统，通知包括但不限于消息通知，以使得后台管理系统发出告警消息，通知后台管理人员注意；在一些实施例中，当服务小区状态标识为坏小区后，基站可广播通知各终端，进而真实终端可根据实际情况减少接入该基站的接入请求。

本发明实施例提供的网络攻击检测控制方法，通过实时测量的终端特征参数信息，结合基站内部存储的长期采集真实终端的特征参数，进行统计学习得到的多种联合概率密度谱，使用定位算法及联合概率密度检测智能判决终端是否为恶意终端和可疑终端，对于判决为恶意终端直接限制其接入请求，可疑终端则降低其调度优先级，采用轮训、随机或者间隔等调度算法，进行部分选择调度，最大限度以减少真实终端的误判率；与一些情形相比，除了能够滤除TA、频偏在过滤范围外的虚检，还能够滤除TA、频偏取值范围内虚检以及恶意终端的发起NPRACH网络攻击，达到了有效控制基站接入网络拥塞问题，在有恶意终端发起NPRACH网络攻击的情况下，提高了真实终端的接入概率，缩短了业务时延，改善网络质量。

实施例二：

为了便于理解，本发明实施例以一个较为具体的例子对网络攻击检测控制方法进行说明，如图3所示，该网络攻击检测控制方法包括：

S301：当接入网的接入性能参数值小于预设门限值，确定接入网异常。

在本发明实施例中，当基站通过检测NPRACH的接入次数与真实完成接入次数的对比，基站自检系统发现真实接入的比例不足一定门限值，如当真实接入比例低于40％的门限值，粗略判断可能为恶意终端发起的接入攻击，确定接入网异常。

S302：获取发起接入请求的各终端位置信息。

基站侧通过测量终端TA识别距离，然后与邻小区采用三角定位法，共同定位终端位置；在一些实施例中，也可以从接入请求中提取各终端的位置信息。

S303：根据终端的位置信息，确定终端在同一位置区域内发起接入请求。

通过定位的位置信息判断是否同一位置区域内终端发起NPRACH接入请求。

S304：当终端发起接入次数超过阈值时，将终端作为可疑终端，降低该终端的调度优先级。

统计计算同一位置终端发送Preamble频率，当超过既定阈值情况下，如发起接入次数超过3次，将该终端初步作为可疑终端，降低该终端调度优先级。

S305：根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数。

对于那些未能定位的终端以及真实终端误判的情况，基站根据长期采集真实终端不同的真实特征参数，持续统计学习得到的多种组合的联合概率密度谱，该真实特征参数包括终端TA、频偏及Sinr；通过采集终端的实时测量参数，该实时测量参数也包括终端TA、频偏及Sinr，计算其不同实时特征参数组合的联合概率，与基站统计学习得到的多张联合概率密度谱进行比较，对于落在预设低概率区间的终端不符合联合判决条件，同时记录匹配项数，即对应终端不满足联合判决的条件的项数。

S306：结合位置信息和匹配项数确定各终端类型，对各终端进行接入请求进行控制。

对于匹配项个数大于等于两个的终端将其判决为恶意终端；当匹配项个数只有一个的终端，且当前终端之前被误判为可疑终端，则将其判决为恶意终端；当匹配项个数为0，且确定当前终端之前被误判为可疑终端，则判决为真实终端，恢复其调度优先级。

对于确认为恶意终端，则在一段时间内直接限制其接入请求；对于那些可疑终端降低调度优先级，可以采用不同的调度优化算法，例如轮询调度、随机调度、间隔调度等，部分选择调度，最大可能地减少被误判的真实终端得不到调度情况。

实施例三：

本发明实施例还提供一种网络攻击检测控制装置，用于实现上述各实施例中的网络攻击检测控制方法，如图4所示，其中，该网络攻击检测控制装置包括：获取模块401、联合判决条件模块402、检测控制模块403。

获取模块401，用于获取发起接入请求的各终端位置信息和实时特征参数；

联合判决条件模块402，用于根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数；

检测控制模块403，用于根据匹配项数和位置信息对各终端进行检测，根据检测结果对各终端的接入请求进行控制。

在本发明实施例中，该获取模块401包括定位模块，该定位模块用于定位终端具体位置，统计计算同一位置区域终端发送Preamble频率，当超过既定阈值情况下，降低该位置终端调度优先级，优先调度其他位置终端，并做好记录。如图5所示，该定位模块的功能流程如下：

S501：根据NPRACH接入性能参数、资源利用率以及虚检概率判断，确定接入网异常，通过高层网元通知服务小区和邻小区发起定位测量指令。

S502：NB-IoT终端在NPRACH信道上发送上行信息。

S503：服务小区和邻小区通过测量终端的上行信号到达不同基站天线端口的时间差，定位终端的具体位置。

S504：判决条件，服务小区统计同一位置终端发起接入次数，判断是否超过既定阈值，如果超过既定阈值，不符合判决条件的终端直接进入联合判决条件模块402进行二次判决。

S505：符合判决条件的终端，将该位置的终端标记为可疑终端，做好记录，并送入检测控制模块403中的调度模块进行处理；

S506：不符合判决条件的终端直接进入联合判决条件模块402进行二次判决。

在本发明实施例中，联合判决条件模块402可以在定位模块的基础上进一步确定可疑终端，还可以用于处理那些未能定位的终端以及真实终端误判的情况，如图6所示，该联合判决条件模块402的功能流程如下：

S601：获取上下文，统计汇总服务小区接入的终端信息。

S602：根据海量真实终端现场NPRACH接入信息，不断持续统计学习，按小区分覆盖等级统计真实NPRACH接入的TA、Sinr和频偏落入分段区间概率，计算其预设联合概率密度谱。

S603：根据终端实时测量值，联合基站智能统计学习的联合概率谱密度谱判决是否符合判决门限。通过采集终端的实时测量参数，计算其不同特征参数组合的联合概率，与基站统计学习得到的多张联合概率密度谱进行比较，对于联合概率落在联合概率密度谱的低概率区间的终端不符合联合判决条件；在本发明实施例中，不符合联合概率门限的接入视为虚检，同时统计当前虚检概率，再根据虚检概率对NPRACH检测的门限进行自动调整，例如虚检概率相比之前增大，则提高该NPRACH检测的门限。

S604：对于符合判决门限的终端，判断当前终端是否之前被误判，如果是则恢复其调度优先级，否则不进行处理。

S605：对于不合符判决门限的终端，认为存在恶意终端对基站发起网络攻击，送入检测控制模块403中的调度算法模块进行下一步处理。

在本发明实施例中，检测控制模块403包括调度模块，如图7所示，该调度模块的功能流程如下：

S701：获取上下文，统计服务小区接入终端的各项检测结果数据。

S702：判决条件，综和前述定位检测结果和联合概率谱密度检测的统计结果，对于匹配大于等于两项的终端，判断其为恶意终端，对于满足仅匹配一项的终端，结合定位监测结果，判断其为恶意终端或可疑终端；

S703：对于恶意终端，将在一段时间内限制其接入请求。

S704：对于可疑终端，调整调度优先级，送入低优先级调度队列，送入下一级调度器进行进一步处理；

S705：二级调度器，调度被降低优先级的可疑终端；采取不同的调度算法优化终端调度，这些算法包括但不仅限于轮询调度算法、随机调度算法、间隔调度算法等，目的为了最大限度保证真实终端得到调度，保证业务成功率。

在本发明实施例的一些示例中，网络攻击检测控制装置还包括通知模块，用于出现恶意攻击现象，自动通知后台管理系统；如图8所示，该通知模块的流程如下：

S801：当服务小区发现处于被可疑终端攻击状态，将异常消息通知基站高层网元；

S802：收到对应小区的异常消息，将该服务小区状态标记为坏小区，并通知后台管理系统，后台管理系统收到异常消息，发出告警消息，通知后台管理人员注意。

实施例四：

本发明实施例还提供了一种基站，参见图9所示，其包括处理器901、存储器902及通信总线903，其中：

通信总线903用于实现处理器901和存储器902之间的连接通信；

处理器901用于执行存储器902中存储的一个或者多个计算机程序，以实现如下步骤：

当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数；

根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数；

根据匹配项数和位置信息对各终端进行检测，根据检测结果对各终端的接入请求进行控制。

值得注意的是，为了不累赘说明，在本实施例中并未完全阐述各实施例中的所有示例，应当明确的是，各实施例中的所有示例均适用于本实施例。

本发明实施例还提供一种计算机存储介质，存储有一个或者多个程序，其中，一个或者多个程序可被一个或者多个处理器执行，以实现如实施例一至二中的拍摄方法的步骤。

该计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory，随机存取存储器)、ROM(Read-Only Memory，只读存储器)、EEPROM(Electrically Erasable Programmable read only memory，带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory，光盘只读存储器)，数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。

根据本发明实施例提供的网络攻击检测控制方法、装置、基站以及计算机存储介质，通过当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数；根据由真实特征参数联合形成的预设联合概率密度，与实时特征参数，确定各终端不符合预设联合概率密度对应联合判决条件的匹配项数；根据匹配项数和位置信息对各终端进行检测，根据检测结果对各终端的接入请求进行控制；在某些实施过程中，通过终端位置，测量终端的实时特征参数，结合基站联合概率密度，对各终端进行检测，进而智能判断出终端是否为恶意终端，并对其接入请求进行控制；与一些情形中只能过滤掉不具备特定规律的外界干扰噪声相比，本发明实施例实时提供的网络攻击检测控制方法，能够对恶意攻击进行判断，在有恶意终端发起NPrach网络攻击的情况下，通过对接入请求的控制提高真实终端的接入概率，进而缩短了业务时延，改善网络质量。

可见，本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。

此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。所以，本发明不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

一种网络攻击检测控制方法，包括：

当接入网异常时，获取发起接入请求的各终端位置信息和实时特征参数；

根据由真实特征参数联合形成的预设联合概率密度，与所述实时特征参数，确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数；

根据所述匹配项数和所述位置信息对所述各终端进行检测，根据检测结果对所述各终端的接入请求进行控制。
如权利要求1所述的网络攻击检测控制方法，所述获取发起接入请求的各终端位置信息和实时特征参数之前，还包括：

当所述接入网的接入性能参数值小于预设门限值，确定所述接入网异常。
如权利要求1所述的网络攻击检测控制方法，所述确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数之前，还包括：

根据所述终端的位置信息，确定所述终端在同一位置区域内发起接入请求；

当所述终端发起接入次数超过阈值时，将所述终端作为可疑终端，降低所述可疑终端的调度优先级。
如权利要求3所述的网络攻击检测控制方法，其中，所述根据由真实特征参数联合形成的预设联合概率密度，与所述实时特征参数，确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数包括：

计算终端的各所述实时特征参数组合的各联合概率，所述联合概率包括至少三种；

将所述各联合概率与对应的所述预设联合概率密度谱进行比较，确定各终端不符合所述联合判决条件的匹配项数。
如权利要求4所述的网络攻击检测控制方法，其中，所述确定各终端不符合所述联合判决条件的匹配项数包括：

统计真实终端的真实特征参数落入分段区间概率，计算得到多种所述预设联合概率密度谱；

当所述联合概率落在对应的所述预设联合概率密度谱的预设低概率区间，确定不符合所述联合判决条件。
如权利要求1-5任一项所述的网络攻击检测控制方法，其中，所述根据所述匹配项数和所述位置信息对所述各终端进行检测，包括：

当根据位置信息确定某终端为可疑终端，确定所述匹配项数为0时，将所述可疑终端作为真实终端；

将所述匹配项数大于等于2的终端作为所述恶意终端；

将所述匹配项数等于1的终端作为所述可疑终端；

或，当根据位置信息确定某终端为可疑终端，确定所述匹配项数为1时，将该可疑终端作为恶意终端。
如权利要求6所述的网络攻击检测控制方法，其中，所述根据检测结果对各终端的接入请求进行控制，包括：

限制所述恶意终端的接入请求；

恢复所述真实终端的调度优先级；

降低所述可疑终端的调度优先级，采用预设调度规则对所述可疑终端的接入请求进行调度。
如权利要求1所述的网络攻击检测控制方法，所述根据检测结果对各终端的接入请求进行控制之后，还包括：

确定发起接入请求的终端包括可疑终端时，将服务小区状态标识为坏小区，通知后台管理系统，以使得所述后台管理系统发出告警消息。
一种基站，包括处理器、存储器及通信总线；其中，

所述通信总线用于实现处理器和存储器之间的连接通信；

所述处理器用于执行存储器中存储的一个或者多个程序，以实现如权利要求1至8中任一项所述的网络攻击检测控制方法的步骤。
一种网络攻击检测控制装置，包括：

获取模块，用于获取发起接入请求的各终端位置信息和实时特征参数；

联合判决条件模块，用于根据由真实特征参数联合形成的预设联合概率密度，与所述实时特征参数，确定各终端不符合所述预设联合概率密度对应联合判决条件的匹配项数；

检测控制模块，用于根据所述匹配项数和所述位置信息对所述各终端进行检测，根据检测结果对所述各终端的接入请求进行控制。
一种计算机存储介质，存储有一个或者多个程序，其中，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至8中任一项所述的网络攻击检测控制方法中的步骤。