一种基于DPI技术的5G异常行为终端检测方法及电子设备技术

本发明专利技术涉及5G信令安全领域，特别是涉及一种基于DPI技术的5G异常行为终端检测方法及电子设备。其中一种基于DPI技术的5G异常行为终端检测方法包括：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息；读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。常终端。常终端。

【技术实现步骤摘要】
一种基于DPI技术的5G异常行为终端检测方法及电子设备


[0001]本专利技术涉及5G信令安全领域，特别是涉及一种基于DPI技术的5G异常行为终端检测方法及电子设备。

技术介绍

[0002]随着移动通信计数的发展，5G通信以更快的速率、更低的时延、更大的连接密度等优势逐渐成为未来的发展趋势。目前5G信号已经开始商用且在较大范围内有了部署，给用户提供了便利。与此同时，5G信号引入的新技术也一定程度上也面临新的安全问题，为应对新的基于5G信号的安全问题，其新的安全风险识别技术是不可缺少。比如由于物联网技术的引入，海量终端接入5G通讯网路将极大地提升流量的接入，而防护能力较弱的终端更易被攻击者利用而不知，给用户的使用带来较大的安全隐患。

技术实现思路

[0003]本专利技术的目的在于提供一种基于DPI的5G异常终端检测方法，通过DPI提取5G信令流量中的相关字段得出终端的相关行为，结合实际的异常终端情形，加入动态调整的阈值计算方法，可更准确有效地识别出异常的终端行为，准确识别出处于异常状态的终端以方便后续管理。
[0004]本专利技术所采用的技术方案为：
[0005]一方面，本申请提供一种基于DPI技术的5G异常行为终端检测方法，其中：包括：
[0006]于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息；
[0007]读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；
[0008]于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。
[0009]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息具体包括：
[0010]通过DPI技术接收并读取N1/N2接口的信令流量；解析所述信令流量，并提取交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息；
[0011]根据所述交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息形成所述日志信息。
[0012]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；
[0013]读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取特征数据组信息；根据所述特征数据组信息形成一哈希表；
[0014]根据所述哈希表形成K组所述日志数据；并于所述日志数据形成后释放哈希表资源，根据所述日志数据包含与所述特征数据组信息匹配的特征数据组平均值；
[0015]根据识别周期内特征数据组平均值形成终端于各哈希结点中识别周期内特征数据组更新值。
[0016]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端，具体包括：
[0017]根据所述特征数据组更新值形成一组与所述特征数据组匹配的第一阈值组；
[0018]于所述特征数据组信息匹配所述特征数据组匹配的第一阈值组的状态下，认定当前终端为异常终端。
[0019]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：
[0020]于所述特征数据组信息不匹配所述特征数据组匹配的第一阈值组的状态下，根据所述特征数据组更新值形成一组与所述特征数据组匹配的第二阈值组；
[0021]于所述特征数据组信息中至少一个数据匹配所述特征数据组匹配的第二阈值组的状态下，认定当前终端为疑似异常终端。
[0022]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：
[0023]配置一与所述疑似异常终端匹配的疑似特征值；
[0024]将疑似异常终端的信息加入疑似异常终端表，并对所述疑似特征值做加1处理；
[0025]判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端。
[0026]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：判断所述疑似特征值是否大于疑似最大阈值，于所述疑似特征值大于疑似最大阈值的状态下将所述疑似异常终端设置为异常终端之前还包括：
[0027]监测所述疑似异常终端的状态，于所述疑似异常终端在第三预定时间为持续处于正常状态，则异常终端的疑似特征值减1；
[0028]于所述疑似异常终端的疑似特征值为0的状态下，于所述疑似异常终端表删除与所述疑似特征值为0的疑似异常终端信息。
[0029]优选地，上述的一种基于DPI技术的5G异常行为终端检测方法，其中：还包括：
[0030]于异常终端信息不在异常终端表状态下，将异常终端信息加入异常终端表；异常终端于异常终端列表中的异常特征值由初始值变成1，或者于异常终端信息在异常终端表状态下，异常终端于异常终端列表中的异常特征值加1；
[0031]持续监测所述异常终端的状态，于所述异常终端在第二预定时间为持续处于正常状态，则异常终端的异常特征值减1；
[0032]所述异常终端的异常特征值为0的状态下，于所述异常终端表删除与所述SUPI的特征值为0的异常终端信息。
[0033]另一方面，本申请再提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序，其中，所述处理器执行所述计算机程序时实现上述的任一项所述的一种基于DPI技术的5G异常行为终端检测方法。
[0034]最后，本申请再提供一种计算机程序产品，其中，包括计算机可读代码，或者承载有计算机可读代码的可读存储介质，当计算机可读代码在电子设备的处理器中运行时，所述电子设备中的处理器执行用于实现上述任一项所述的一种基于DPI技术的5G异常行为终端检测方法。
[0035]与现有技术相比，本申请的有益效果是：
[0036]上述方法，通过DPI提取5G信令流量中的相关字段或程序得出终端的相关行为，结合实际的异常终端情形，加入动态调整的阈值计算方法，可更准确有效地识别出异常的终端行为。
附图说明
[0037]图1为本专利技术实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；
[0038]图2为本专利技术实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；
[0039]图3为本专利技术实施例提供的一种基于DPI技术的5G异常行为终端检测方法流程示意图；
[0040]图4为本专利技术实施例提供的一种电子设备结构示意图。
具体实施方式
[0041]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于DPI技术的5G异常行为终端检测方法，其特征在于：包括：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息；读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端。2.根据权利要求1所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于：于获取到信令流量的状态下，根据所述信令流量分析形成与特征数据匹配的日志信息具体包括：通过DPI技术接收并读取N1/N2接口的信令流量；解析所述信令流量，并提取交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息；根据所述交互流程类型信息、流程状态信息、信令起止时间信息、永久用户标识信息、AMF_IP信息、是否属于开机流程信息形成所述日志信息。3.根据权利要求2所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于：读取所述日志信息，根据所述日志信息形成与当前终端匹配的日志数据；读取所述日志信息，以第一预定时间作为识别周期，读取识别周期内所述日志信息以获取特征数据组信息；根据所述特征数据组信息形成一哈希表；根据所述哈希表形成K组所述日志数据；并于所述日志数据形成后释放哈希表资源，根据所述日志数据包含与所述特征数据组信息匹配的特征数据组平均值；根据识别周期内特征数据组平均值形成终端于各哈希结点中识别周期内特征数据组更新值。4.根据权利要求3所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于：于所述日志数据匹配当前阈值的状态下认定当前终端为异常终端，具体包括：根据所述特征数据组更新值形成一组与所述特征数据组匹配的第一阈值组；于所述特征数据组信息匹配所述特征数据组匹配的第一阈值组的状态下，认定当前终端为异常终端。5.根据权利要求4所述的一种基于DPI技术的5G异常行为终端检测方法，其特征在于，还包括：于所述特征数据组信息不匹配所述特征数据组匹配的第一阈值组的状态下，根据所述特征数据组更新值形成一组与所述特征数据组匹配的第二阈值组；于所述特征数据组信息中至少一个...

【专利技术属性】
技术研发人员：黄瑾男，方权，蔡本祥，张林杰，
申请(专利权)人：上海欣诺通信技术股份有限公司，
类型：发明
国别省市：