本发明涉及通讯领域,尤其涉及一种伪基站定位方法及系统。
背景技术:
::近年来,伪基站事件频发,一些不法份子通过高科技仪器(如主机和笔记本电脑)构建短信群发器、短信发信机等平台,搜取以其为中心,一定半径范围内的手机卡信息。通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。伪基站的工作原理主要有以下两种:1)传统型伪基站,功能上只能得到用户的国际移动用户识别码(IMSI,InternationalMobileSubscriberIdentificationNumber),流程一般为:“伪基站小区重选->向伪基站发起位置更新->伪基站位置更新拒绝->手机重新进行现网小区重选->再次位置更新成功”,此过程至少需要3秒以上。2)新型伪基站,功能上能让用户驻留伪小区,下发短信,控制用户进出。流程一般为:“伪基站小区重选->向伪基站发起位置更新->伪基站位置更新接受->伪基站下发短信->伪基站变换位置区码(LAC,LocationAreaCode)->伪基站小区重选->向伪基站发起位置更新->伪基站位置更新拒绝->手机重新进行现网小区选择->再次位置更新成功”,此过程至少需要25秒以上。由于伪基站具有流动性、偶发性特征,并且基站同时入网的用户数据量巨大,传统的技术手段无法做到对伪基站的实时侦测、处置。最新型的伪基站具有成本低、功能强大、便携、低能耗等特点,使得伪基站流动性大大增强。一般是用户投诉的信息刚到不久,伪基站已经变换作案地点,传统的依赖客户投诉信息进行分析排查的手段,如告警和性能计数器,都是基于网元设备角度反映网络运行状况,无法反映每一个呼叫或事件的具体细节,即无法反映基于用 户粒度的网络情况,特别在排查伪基站事件这种基于信令内容筛选统计会显得束手无策或流程繁琐。然而,现有的分析排查手段已经无法及时准确的提供有效可靠的伪基站信息给公安部门,刑侦抓捕工作变的异常艰难。因而,如何准确实时的告警伪基站的相关信息成为亟待解决的问题。技术实现要素:有鉴于此,本发明实施例期望提供一种伪基站定位方法及系统,能准确实时的告警伪基站的相关信息。为达到上述目的,本发明实施例的技术方案是这样实现的:本发明实施例提供了一种伪基站定位方法,所述方法包括:按照指定时间切片获取信令数据;基于规则模型库对所述信令数据进行分布式处理;当分布式处理结果满足预设条件时,进行告警,并将分布式处理结果录入数据分析平台。优选地,所述将分布式处理结果录入数据分析平台之后,还包括:所述数据分析平台根据所述分布式处理结果,并结合信令数据,进行多维度数据分析以统计伪基站出现规律;根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库。优选地,所述基于规则模型库对所述信令数据进行分布式处理,包括:将每个时间切片的信令数据都转换成弹性分布式数据集RDD;基于规则模型库对预设时间内的信令数据流进行批处理分析。优选地,所述进行多维度数据分析,至少包括:基于用户、事件、时间、空间进行多维度分析,生成基于全网的伪基站干扰准实时热力图;按时间帧播放所述伪基站干扰热力图,根据流窜型伪基站可疑区域和轨迹,预测所述流窜型伪基站的下一活动地点。优选地,所述按照指定时间切片获取信令数据之前,所述方法还包括:分布式消息队列平台实时接收信令数据;将所述信令数据被按照自定义的方式存储于集群的各个节点;其中,所述自定义的方式为:将所述信令数据分成N类,其中N为正整数。优选地,所述分布式消息队列平台实时接收信令数据之前,所述方法还包括:在集群上搭建Zookeeper,以使所述分布式消息队列平台基于Zoopkeeper均衡负载。本发明实施例还提供了一种伪基站定位系统,所述系统包括分布式消息队列平台、流处理平台和数据分析平台;其中,所述分布式消息队列平台,用于实时接收信令数据;将所述信令数据被按照自定义的方式存储于集群的各个节点;其中,所述自定义的方式为:将所述信令数据分成N类,其中N为正整数:所述流处理平台,用于按照指定时间切片获取信令数据;基于规则模型库对所述信令数据进行分布式处理;当分布式处理结果满足预设条件时,进行告警,并将分布式处理结果录入数据分析平台;所述数据分析平台,用于根据所述分布式处理结果,并结合信令数据,进行多维度数据分析以统计伪基站出现规律;根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库。优选地,所述流处理平台,还用于:将每个时间切片的信令数据都转换成RDD;基于规则模型库对预设时间内的信令数据流进行批处理分析。优选地,所述数据分析平台,还用于:基于用户、事件、时间、空间进行多维度分析,生成基于全网的伪基站干扰准实时热力图;按时间帧播放所述伪基站干扰热力图,根据流窜型伪基站可疑区域和轨迹,预测所述流窜型伪基站的下一活动地点。优选地,所述分布式消息队列平台,还用于:在集群上搭建Zookeeper,以使所述分布式消息队列平台基于Zoopkeeper均衡负载。本发明实施例所提供的基于SparkStreaming流技术的伪基站定位方法及系统,按照指定时间切片获取信令数据;基于规则模型库对所述信令数据进行分布式处理;当分布式处理结果满足预设条件时,进行告警,并将分布式处理结果录入数据分析平台;所述数据分析平台根据所述分布式处理结果,并结合信令数据,进行多维度数据分析以统计伪基站出现规律;根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库。如此,能准确实时的告警伪基站的相关信息,提高侦测伪基站的准确性。附图说明图1为本发明实施例提供的伪基站定位方法的实现流程图一;图2为本发明实施例提供的伪基站定位方法的实现流程图二;图3为本发明实施例提供的伪基站定位方法的实现流程图三;图4为本发明实施例提供的伪基站定位系统的组成结构示意图。具体实施方式本发明提出了一种基于SparkStreaming流技术的伪基站定位方法及系统。为了更好地理解本发明,首先介绍一下SparkStreaming流技术。SparkStreaming是建立在Spark上的实时计算框架,SparkStreaming的优势在于:能运行在100+的结点上,并达到秒级延迟。Sparkstreaming的工作流程如下:接收到实时数据后,给数据分批次,然后传给SparkEngine处理,最后生成该批次的结果。SparkStreaming的基本原理是:将输入数据流以时间片(秒级)为单位进行拆分,然后以类似批处理的方式处理每个时间片数据。SparkStreaming是将流式计算分解成一系列短小的批处理作业。SparkStreaming把实时输入数据流 以时间片Δt(如1秒)为单位切分成块;SparkStreaming会把每块数据作为一个弹性分布式数据集(RDD,ResilientDistributedDatasets),并使用RDD操作处理每一小块数据;每个块都会生成一个SparkJob处理,最终结果也返回多块。下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。图1为本发明实施例提供的伪基站定位方法的实现流程图一,如图1所示,所述方法主要包括以下步骤:步骤101:按照指定时间切片获取信令数据。这里,所述时间切片的长度Δt的值可根据实际情况进行设定,例如,所述Δt的值可以是500毫秒。优选地,所述按照指定时间切片获取信令数据之前,所述方法还包括:分布式消息队列平台实时接收信令数据;将所述信令数据被按照自定义的方式存储于集群的各个节点。其中,所述自定义的方式为:将所述信令数据分成N类,其中N为正整数。具体地,将信令数据分类成为若干个话题,如入网用户信息、入网基站来源、入网用户位置、用户事件类型(如主叫、紧急呼叫、被叫、视频主叫、视频被叫、发短信、收短信、切入、切出、BSC内切换、正常位置更新、周期性位置更新、IMSI附着、IMSI分离、寻呼、补充业务、短信状态报告、业务重建、手机状态报告)。上述BSC是BaseStationController的简称,其中文名称为基站控制器。步骤102:基于规则模型库对所述信令数据进行分布式处理。优选地,所述基于规则模型库对所述信令数据进行分布式处理,可以包括:将每个时间切片的信令数据都转换成弹性分布式数据集(RDD,ResilientDistributedDatasets);基于规则模型库对预设时间内的信令数据流进行批处理分析。这里,所述规则模型库可以包括:1)被伪基站位置更新拒绝(由于原因12、13)时,移动终端会删除伪基站的位置区识别码(LAI,LocationAreaIdentity)和临时识别码(TMSI,Temporary MobileSubscriberIdentity),然后在现网以65534或0的LAI和IMSI在现网进行位置更新;2)被伪基站位置更新拒绝(由于原因15)时,移动终端会使用伪基站分配的LAI和TMSI在现网进行位置更新。3)移动终端伪基站信号变弱或消失,然后移动终端重新搜索频点入现网,再次位置更新时携带更新前的一个LAI和TMSI(伪基站分配)。上述原因12、原因13、原因15均为通信系统中伪基站的位置更新拒绝原因,具体的,原因12是指“LocationAreanotallowed”,中文意思是指“位置区域不允许”;原因13是指“Roamingnotallowedinthislocationarea”,中文意思是指“本地区内不允许漫游”;原因15是指“NoSuitableCellsInLocationArea”中文意思是指“在位置区没有合适的小区”。当然,伪基站的位置更新拒绝原因还有很多,在此不再赘述。基于规则模型库对所述信令数据进行分布式处理,具体可以包括:步骤103:当分布式处理结果满足预设条件时,进行告警,并将分布式处理结果录入数据分析平台。具体地,可通过设定相关的告警门限值,当分布式处理结果满足相应的告警门限值时,即可触发进行告警。上述步骤101、102、103的执行主体均可为流处理平台。优选地,所述流处理平台是基于SparkStreaming流技术的处理平台。优选地,所述分布式消息队列平台实时接收信令数据之前,所述方法还可以包括:在集群上搭建Zookeeper,以使所述分布式消息队列平台基于Zoopkeeper均衡负载。具体地,以使所述分布式消息队列平台基于Zoopkeeper均衡基站与流处理平台之间的负载。本实施例中所述伪基站定位方法,将用户位置事件数据和SparkStreaming流处理技术结合,先从海量数据中筛选伪基站出现的关键信息,然后基于用户、 事件、时间、空间进行多维分析,实现能像天气云图一样准实时的显示和告警伪基站活动热点。如此,基于规则模型库批处理时间窗口内部数据,能实现低延迟告警,进而解决现有技术手段不能实时侦测伪基站的问题。图2为本发明实施例提供的伪基站定位的实现流程图二,如图2所示,该流程主要包括以下步骤:步骤201:信令数据按照指定的队列方式分话题存储于分布式消息队列平台。具体地,可通过步骤201,即通过存储于分布式消息队列平台的话题数据统计基站实时在网人数;然后建立MC口清单表,并将所有的MC口数据导入到第一流处理平台。其中,MC口是指移动交换中心(MSC,MobileSwitchingCenter)与媒体网关(MGW,MediaGateway)间的接口。具体的,所述第一处理平台是指基于SparkStreaming流技术的流处理平台。步骤202:按照指定时间切片获取信令数据。具体的,基于SparkStreaming流技术的流处理平台把信令数据按照时间切片Δt为单位切分成块,把每块数据作为一个RDD,并使用RDD操作处理每一小块数据;每个小块都会生成一个SparkJob处理,最终结果也返回多块。具体的,对于话题数据(Topic_Data)来说,当前时间切片(如500ms)的数据为完整的信令数据,包括:入网号码、开始时间、结束时间、协议、事件类型、编码类别、MSC信令点编码、BSC信令点编码、当前位置区、当前小区或者服务区代码(SAC,ServiceAreaCode)、源位置区、源小区、目的位置区、目的小区、开始位置区、开始小区、结束位置区、结束小区、目的无线网络控制区识别码(RNCID,RadioNetworkControllerIdentity)、主叫号码、被叫号码、主叫IMSI、被叫IMSI、主叫IMEI、被叫IMEI、事件结果、切出请求原因、切出开始时间、切出响应时间、切入开始时间、切入响应时间、切出状态、切入状态、位置更新状态、切换标志、振铃时间、应答时间、通话时长。具体地,可通过步骤202获得基站在网人数以及在网基站等数据,通过预定规则,识别异常基站;还可通过步骤202还可以建立正常位置更新临时表,筛选事件为正常位置更新的记录。步骤203:将每一个时间切片的信令数据都转换成RDD,然后对数据流的进行实时流的批处理分析。具体地,所述进行批处理分析,可以包括:按照信令数据格式和分隔符,按时间切片获取各类话题数据。所述话题可以是:主叫、紧急呼叫、被叫、视频主叫、视频被叫、发短信、收短信、切入、切出、BSC内切换、正常位置更新、周期性位置更新、IMSI附着、IMSI分离、寻呼、补充业务、短信状态报告、业务重建、手机状态报告。具体地,可通过步骤203获得的异常基站数据,得到用户掉落移动基站的信令数据以及重新入网的信令数据,通过这些信令数据中基站地理位置信息,获得伪基站范围;还可通过步骤203建立正常位置更新临时表,筛选源LAC不为规划LAC的事件。步骤204:分布式处理结果满足预设条件时,输出结果数据,并触发告警。本实施例中所述伪基站定位方法,通过存储于分布式消息队列平台的话题数据统计基站实时在网人数;然后建立MC口清单表;获得基站在网人数以及在网基站等数据,通过预定规则,识别异常基站;得到用户掉落移动基站的信令数据以及重新入网的信令数据,通过这些信令数据中基站地理位置信息,获得伪基站范围。如此,能实时侦测伪基站。图3为本发明实施例提供的伪基站定位方法的实现流程图三,如图3所示,所述方法主要包括以下步骤:步骤301:根据分布式处理结果,并结合信令数据,进行多维度数据分析以统计伪基站出现规律。这里,所述分布式处理结果可以是实施例一中流处理平台的分布式处理结果,所述信令数据可以分布式消息队列平台获取的信令数据。优选地,所述进行多维度数据分析,至少可以包括:基于用户、事件、时间、空间进行多维度分析,生成基于全网的伪基站干扰准实时热力图;按时间帧播放所述伪基站干扰热力图,根据流窜型伪基站可疑区域和轨迹,预测所述流窜型伪基站的下一活动地点。具体地,所述进行多维度数据分析,可以包括但不限于以下几种:1)基于小时、日、月多时间粒度的统计汇总,包括受害用户清单、被干扰小区清单、伪基站LAC清单等报表;2)公安伪基站、驻点伪基站、流窜伪基站干扰事件分类;3)根据用户投诉信息查找投诉事件具体发生的事件和地点,验证投诉事件真实有效性;4)计算高频受害用户轨迹,查询基于某时间段的单用户或多用户位置运动轨迹,同时标记轨迹中伪基站事件点,用于分析排查是否为伪基站;5)对正在发生伪基站干扰事件的热点区域、新增的伪基站干扰区域、消失的伪基站干扰区域进行分析,以便于对突发群体伪基站事件进行告警。步骤302:根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库。优选地,所述规则模型库可存储于流处理平台的本地存储器中、或存储于云服务器中。上述步骤301、步骤302的执行主体均可为数据分析平台。本实施例中所述伪基站定位方法,数据分析平台基于用户、事件、时间、空间进行多维分析,实现能像天气云图一样准实时的显示和告警伪基站活动热点、以及分析伪基站活动的轨迹趋势,预测下一个犯罪活动区域;并且,根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库,提高了侦测的准确性。图4为本发明实施例提供的伪基站定位系统的组成结构示意图,如图4所 示,所述系统包括分布式消息队列平台41、流处理平台42和数据分析平台43;其中,所述分布式消息队列平台41,用于实时接收信令数据;将所述信令数据被按照自定义的方式存储于集群的各个节点;所述流处理平台42,用于按照指定时间切片获取信令数据;基于规则模型库对所述信令数据进行分布式处理;当分布式处理结果满足预设条件时,进行告警,并将分布式处理结果录入数据分析平台43;所述数据分析平台43,用于根据所述分布式处理结果,并结合信令数据,进行多维度数据分析以统计伪基站出现规律;根据多维度数据分析结果,调节所述规则模型库的参数,以反向完善所述规则模型库。其中,所述自定义的方式为:将所述信令数据分成N类,其中N为正整数:优选地,所述流处理平台42,还用于:将每个时间切片的信令数据都转换成RDD;基于规则模型库对预设时间内的信令数据流进行批处理分析。优选地,所述数据分析平台43,还用于:基于用户、事件、时间、空间进行多维度分析,生成基于全网的伪基站干扰准实时热力图;按时间帧播放所述伪基站干扰热力图,根据流窜型伪基站可疑区域和轨迹,预测所述流窜型伪基站的下一活动地点。优选地,所述分布式消息队列平台41,还用于:在集群上搭建Zookeeper,以使所述分布式消息队列平台基于Zoopkeeper均衡负载。本发明实施例提供伪基站定位系统,系统通过将收集到的各个基站的实时数据存储于分布式消息队列平台,流处理平台充当消息队列消费者角色,分组消费消息队列中各话题数据,即利用Spark批处理技术,对MC口历史全量用户行为信息进行ETL流程,筛选原位置区为异常LAC的正常位置更新事件信息进行汇总统计,关联用户资料和基站地理位置信息,可以得到多维度的事件 统计,从而判定伪基站主要活动区域以及受害用户群。利用Sparkstreaming流处理技术,对MC口实时信息进行判定筛选,然后以分钟或小时级时间颗粒进行汇总,利用地理信息系统(GIS,GeographicInformationSystem)系统进行热力点分析,可以有效地得出伪基站干扰区域和轨迹,从而预测伪基站的下一活动地点。通过系统设定相关的告警门限值,实时数据汇总统计后触发门限即可实现伪基站出现告警功能。同时数据分析平台能够存储流处理历史数据,完成离线多维度分析统计,优化基站网络安全。在本发明所提供的几个实施例中,应该理解到,所揭露的方法、设备和系统,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本发明实施例上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。当前第1页1 2 3 当前第1页1 2 3