数据监测系统、数据监测装置及数据监测方法制造方法及图纸

本公开涉及数据监测系统、装置及方法。数据监测装置包括现场可编程门阵列和存储器，现场可编程门阵列包括：缓存单元，反复执行将新采集到的数据写入到第一或第二缓存，并在写入完成时，将写入切换到第一、第二缓存中的另一方的操作；第一分析单元，与写入并行地，对第一或第二缓存中的另一方的数据进行分段分析取得特征分析结果；第二分析单元，对一个会话的特征分析结果进行行为分析，取得行为分析结果，进而，基于多个行为分析结果对各会话间的关联关系进行综合分析，取得综合分析结果；发送单元，将第一分析单元无法比对的异常数据和综合分析结果发送到后台监测服务器。根据本公开，能够实现高速的数据采集和强实时性的数据分析。分析。分析。

【技术实现步骤摘要】
数据监测系统、数据监测装置及数据监测方法


[0001]本公开涉及数据监测系统、数据监测装置及数据监测方法。更具体地，涉及5G核心网的网络开放功能接口的数据监测分析技术。

技术介绍

[0002]第五代移动通信网的核心网与之前的2G/3G/4G相比，增加了一个尤为特色的功能—网络功能开放(NEF，Network Exposure Function)。网络功能开放业务，是移动通信网络的核心网从之前的2G/3G/4G的封闭走向开放的结果，可以满足更多个性化的需求。
[0003]在5G网络架构中，网络功能开放提供的开放业务有：基础资源、增值业务、数据信息和运营支撑。5G网络功能开放对核心网的基础资源、增值业务、数据信息、运营支撑、用户数据增值业务、基础设施等进行能力适配、封装、编排，最后通过统一的接口面向第三方提供网络能力。
[0004]网络开放功能是面向核心网络之外第三方的业务，网络的安全一直是业内重点关注的问题。为了确保网络足够安全，必须进行有效的防范和强有力的监测，除了与网络开放功能相关的服务器在自身稳定性的基础上增强防范外，还可以通过部署相对独立的监测系统，对网络开放功能调用者的系列行为进行实时监测，从而及时发现异常行为，为网络的安全增加一道强有力的屏障。
[0005]目前，核心网架构上为了有效隔离网络资源与第三方调用者，采用NEF网关进行信息转接的处理方式，第三方调用者获取网络资源，必须通过NEF网关。为了确保第三方调用者访问过程中的网络安全，可以在NEF网关上部署一些必要的监控软件、软件防火墙、硬件防火墙等工具，但是如此构建网络系统，必然会大幅增加相关服务器的负荷，同时也会增加调用的时延和复杂性。在这种架构下，难以基于数据深度、时间维度、访问关联度而对访问异常进行更深层次的挖掘分析。
[0006]网络功能开放可以提供的业务及数据，都是在合法合规的范围内提供的，进而根据不同的授权级别提供合规范围内的不同层面的业务及数据。功能开放接口的访问具有瞬时数据流量的突发性、一定程度的不可以预测性以及第三方访问的随机性等特点。往往会出现第三方调用者的非法访问，甚至存在恶意攻击，对网络功能开放构成威胁。基于上述情况，在网络开放功能现成的架构上，建立一套高速、强实时、全方位的能快速进行不合规行为分析的监测系统是必要的。
[0007]当前，监测系统中使用较多的是“软探针+中心服务器”或者“硬探针+中心服务器”的架构。软探针是安装在服务器上的抓包软件，其对抓取到的数据进行较初级的分析或不分析，然后送到中心服务器进行集中处理；硬探针是对数据进行硬件高速采集，然后添加时间标签而传送到中心服务器进行集中处理。上述的处理架构及方式，基于软件采集和网络传输大量采集数据，在数据采集的时间精确度、分析的实时性上难以满足5G核心网的大数据、大流量的监测要求。

技术实现思路

[0008]公开的一个目的在于提供一种能够实现高速的数据采集和强实时性的数据分析的数据监测系统、数据监测装置以及数据监测方法。
[0009]在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
[0010]根据本公开的一个方面，提供一种数据监测装置，用于对第三方调用者经由5G核心网的网络功能开放接口调用系统服务器的网络资源时的数据进行监测，其中，所述数据监测装置包括现场可编程门阵列和存储器，所述现场可编程门阵列包括：数据采集单元，从所述网络功能开放接口采集数据；缓存单元，包括第一缓存和第二缓存，反复执行将所述数据采集单元新采集到的数据写入到所述第一缓存或所述第二缓存，并在向所述第一缓存或所述第二缓存的写入完成时，将写入切换到所述第一缓存或所述第二缓存中的另一方的操作；第一分析单元，与所述缓存单元进行的写入并行地，将非写入操作中的所述第一缓存或所述第二缓存的数据进行分段，通过多个分析模块对分段得到的数据段与预先存储的特征数据库中的特征项数据进行比对，在比对成功的情况下，以时间戳、信源地址和信宿地址为头部信息、以各数据段的比对结果的特征项为数据信息，作为特征分析结果而存储到所述存储器，在比对不成功的情况下，将所述非写入操作中的所述第一缓存或所述第二缓存中的数据加上时间戳作为异常数据而存储到所述存储器；第二分析单元，对所述存储器中的属于一个会话的特征分析结果与所述特征数据库中的行为特征数据进行比对，取得行为分析结果，进而，基于所述行为分析结果对各所述会话间的关联关系与所述特征数据库中的关联特征数据进行比对，取得综合分析结果，将所述行为分析结果和所述综合分析结果存储到所述存储器；以及发送单元，将所述存储器中的所述异常数据和所述综合分析结果发送到后台监测服务器。
[0011]根据本公开的另一方面，提供一种数据监测系统，其中，所述数据监测系统包括：至少一个上述数据监测装置；以及后台监测服务器，对来自所述数据监测装置的所述异常数据和所述综合分析结果进行进一步的分析。
[0012]根据本公开的另一方面，提供一种数据监测方法，用于对第三方调用者经由5G核心网的网络功能开放接口调用系统服务器的网络资源时的数据进行监测，其中，所述数据监测方法包括：数据采集步骤，从所述网络功能开放接口采集数据；缓存步骤，反复执行将所述数据采集单元新采集到的数据写入到第一缓存或第二缓存，并在向所述第一缓存或第二缓存的写入完成时，将写入切换到所述第一缓存或第二缓存中的另一方的操作；第一分析步骤，与所述缓存步骤中进行的写入并行地，将非写入操作中的所述第一缓存或所述第二缓存的数据进行分段，通过多个分析模块对分段得到的数据段与预先存储的特征数据库中的特征项数据进行比对，在比对成功的情况下，以时间戳、信源地址和信宿地址为头部信息、以各数据段的比对结果的特征项为数据信息，作为特征分析结果而存储到所述存储器，在比对不成功的情况下，将所述非写入操作中的所述第一缓存或所述第二缓存中的数据加上时间戳作为异常数据而存储到存储器；第二分析步骤，对所述存储器中的属于一个会话的特征分析结果与所述特征数据库中的行为特征数据进行比对，取得行为分析结果，进而，
基于所述行为分析结果对各所述会话间的关联关系与所述特征数据库中的关联特征数据进行比对，取得综合分析结果，将所述行为分析结果和所述综合分析结果存储到所述存储器；以及发送步骤，将所述存储器中的所述异常数据和所述综合分析结果发送到后台监测服务器。
[0013]根据本公开，提供能够实现高速的数据采集和强实时性的数据分析的数据监测系统、数据监测装置以及数据监测方法。
附图说明
[0014]构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
[0015]图1是示出5G核心网的网络架构的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据监测装置，用于对第三方调用者经由5G核心网的网络功能开放接口调用系统服务器的网络资源时的数据进行监测，其中，所述数据监测装置包括现场可编程门阵列和存储器，所述现场可编程门阵列包括：数据采集单元，从所述网络功能开放接口采集数据；缓存单元，包括第一缓存和第二缓存，反复执行将所述数据采集单元新采集到的数据写入到所述第一缓存或所述第二缓存，并在向所述第一缓存或所述第二缓存的写入完成时，将写入切换到所述第一缓存或所述第二缓存中的另一方的操作；第一分析单元，与所述缓存单元进行的写入并行地，将非写入操作中的所述第一缓存或所述第二缓存的数据进行分段，通过多个分析模块对分段得到的数据段与预先存储的特征数据库中的特征项数据进行比对，在比对成功的情况下，以时间戳、信源地址和信宿地址为头部信息、以各数据段的比对结果的特征项为数据信息，作为特征分析结果而存储到所述存储器，在比对不成功的情况下，将所述非写入操作中的所述第一缓存或所述第二缓存中的数据加上时间戳作为异常数据而存储到所述存储器；第二分析单元，对所述存储器中的属于一个会话的特征分析结果与所述特征数据库中的行为特征数据进行比对，取得行为分析结果，进而，基于多个所述行为分析结果对各所述会话间的关联关系与所述特征数据库中的关联特征数据进行比对，取得综合分析结果，将所述行为分析结果和所述综合分析结果存储到所述存储器；以及发送单元，将所述存储器中的所述异常数据和所述综合分析结果发送到后台监测服务器。2.根据权利要求1所述的数据监测装置，其中，所述数据监测装置是探针。3.根据权利要求1所述的数据监测装置，其中，所述数据监测装置还包括固态硬盘，用于存储采集数据、所述异常数据、所述特征分析结果、所述行为分析结果以及所述综合分析结果。4.根据权利要求1所述的数据监测装置，其中，所述第一分析单元的所述多个分析模块根据所述非写入操作中的所述第一缓存或所述第二缓存中的数据的长度和结构而调配启用。5.根据权利要求1所述的数据监测装置，其中，所述现场可编程门阵列还包括时间戳生成单元，生成所述时间戳。6.根据权利要求1所述的数据监测装置，其中，在所述第二分析单元中，按时间先后排列所述特征分析结果，对所述...

【专利技术属性】
技术研发人员：赵一荣，李金艳，李红祎，张蕾，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：