识别异常终端的方法、装置、基站及存储介质与流程

1.本发明涉及通信技术领域，尤指一种识别异常终端的方法、装置、基站及存储介质。


背景技术：

2.在窄带物联网(nb-iot，narrow band internet of things)通信系统中，处于空闲态的终端在完成上行同步后，通过上行逻辑信道向基站发送无线链路连接请求(rrcconnectionrequest-nb)消息，该消息携带终端的初始标识、连接建立原因、终端的多tone支持能力以及终端的多载波支持能力等信息。无线链路连接请求消息对应于低层随机接入过程的msg3。
3.正常情况下，基站接收到无线链路连接请求消息后，进行相应的资源分配，然后通过下行逻辑信道向终端回复无线链路连接建立(rrcconnectionsetup-nb)消息，该消息对应于低层随机接入过程的msg4，其中携带有srb1的完整配置信息，包括phy/mac/rlc等各个实体的配置参数。终端收到无线链路连接建立消息，按照无线链路连接建立消息配置完srb1bis和srb1，通过上行逻辑信道在srb1bis上向基站回复无线链路连接建立完成(rrcconnectionsetupcomplete-nb)消息，至此无线链路连接建立完成。
4.当网络拥塞，不再有空闲资源等原因时，无线链路连接建立请求消息或无线链路连接恢复请求消息会被基站拒绝，此时基站会通过下行逻辑信道回复无线链路连接拒绝(rrcconnectionreject-nb)消息，当终端接收到无线链路连接拒绝消息后，协议36331规定终端会执行如下方式：
5.1、停止计时器t300；
6.2、如果计时器t302正在运行，停止t302；
7.3、重置mac；
8.4、除nb-iot外，启动定时器t302，定时器值设置为waittime；
9.5、如果终端是nb-iot终端，或者如果存在扩展等待时间(extendedwaittime)且ue支持延迟容忍访问(delay tolerant access)，那么将延长的等待时间转发至上层；
10.6、如果包含去优先化请求(deprioritisationreq)并且终端支持具有去优先化的无线链路连接拒绝，启动或重启定时器t325，并将定时器值设置为deprioritisationtimer信号；存储去优先化请求直到t325到期，定时器到期后终端继续对基站发送无线链路连接请求消息。
11.但是，在nb-iot通讯网络中，可能会存在某个或者某些终端因为自身问题或者网络问题，一直请求入网，一直连接失败的情况。在这种情况下，终端一直发送无线链路连接请求，而无线链路连接建立却一直失败。按照协议规定，在此种情况下，该终端可以一直请求入网，所以一旦发生这种情况，一方面会浪费nb-iot基站的空口资源，增加基站侧的cpu负荷，加重网络拥塞，影响网络接纳用户数。
12.同时，如果终端上的恶意软件频繁连接网络或者发起业务，也可对基站带来信令，
流量冲击，这也是nb-iot基站的空口需要考虑的一个因素。


技术实现要素：

13.本发明实施例提供了一种识别异常终端的方法、装置、基站及存储介质，达到了缓解网络拥塞，节省了nb-iot基站的空口资源，提高了网络质量。
14.本发明实施例提供了一种识别异常终端的方法，包括：
15.采集设定时间段内的与终端的通信数据；
16.根据与终端的通信数据通过自学习识别异常终端。
17.本发明实施例还提供一种识别异常终端的装置，包括：
18.采集模块，用于采集设定时间段内的与终端的通信数据；
19.识别模块，用于根据与终端的通信数据通过自学习识别异常终端。
20.本发明实施例还提供一种基站，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述识别异常终端的方法。
21.本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行所述识别异常终端的方法。
22.本发明实施例通过采集设定时间段内的与终端的通信数据；根据与终端的通信数据通过自学习识别异常终端；达到了缓解网络拥塞，节省nb-iot基站的空口资源，提高网络质量的目的。
23.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
24.图1为现有技术的无线链路连接建立的原理图；
25.图2为现有技术的现有技术的拒绝无线链路连接建立的原理图；
26.图3为本发明实施例的一种识别异常终端的方法的流程图；
27.图4为本发明实施例的所述根据与终端的通信数据通过自学习识别异常终端的流程图；
28.图5为本发明实施例的所述对所述样本向量进行聚类形成业务模板的流程图；
29.图6为本发明实施例的所述对每一类应用数据按其特性进行划分来形成业务模板的流程图；
30.图7为本发明实施例的特性和参考值的关系图；
31.图8为本发明实施例的所述根据业务模板来识别异常终端的流程图；
32.图9为本发明实施例的所述对异常终端的行为限制的流程图；
33.图10为本发明实施例的所述通过根据此时的网络状况进行判断来决定是否对该普通异常终端的接入行为进行限制的流程图；
34.图11为本发明实施例的一种识别异常终端的装置的结构图。
具体实施方式
35.下文中将结合附图对本发明的实施例进行详细说明。
36.在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
37.如图1所示，正常情况下，基站enodeb接收到无线链路连接请求消息后，进行相应的资源分配，然后通过下行逻辑信道向终端ue回复无线链路连接建立(rrcconnectionsetup-nb)消息，该消息对应于低层随机接入过程的msg4，其中携带有srb1的完整配置信息，包括phy/mac/rlc等各个实体的配置参数。终端收到无线链路连接建立消息，按照无线链路连接建立消息配置完srb1bis和srb1，通过上行逻辑信道在srb1bis上向基站回复无线链路连接建立完成(rrcconnectionsetupcomplete-nb)消息，至此无线链路连接建立完成。
38.如图2所示，当网络拥塞，不再有空闲资源等原因时，无线链路连接建立请求消息或无线链路连接恢复请求消息会被基站拒绝，此时基站会通过下行逻辑信道回复无线链路连接拒绝(rrcconnectionreject-nb)消息。
39.但是，在nb-iot通讯网络中，可能会存在某个或者某些终端因为自身问题或者网络问题，一直请求入网，一直连接失败的情况。在这种情况下，终端一直发送无线链路连接请求，而无线链路连接建立却一直失败。按照协议规定，在此种情况下，该终端可以一直请求入网，所以一旦发生这种情况，一方面会浪费nb-iot基站的空口资源，增加基站侧的cpu负荷，加重网络拥塞，影响网络接纳用户数。
40.同时，如果终端上的恶意软件频繁连接网络或者发起业务，也可对基站带来信令，流量冲击，这也是nb-iot基站的空口需要考虑的一个因素。
41.针对上述情况，本发明实施例提出一种识别异常终端的方法，通过为基站增加了自学习功能，对异常终端进行相应的识别、存储和处理，通过限制终端的行为，为用户营造良好的网络环境。
42.如图3所示，本发明实施例的识别异常终端的方法，包括：
43.步骤101，采集设定时间段内的与终端的通信数据。
44.其中，所述终端通常为nb-iot终端，与终端的通信数据包括与终端通信的nb-iot应用数据，所述nb-iot应用数据能够是各种业务数据，比如路灯控制业务的数据、电表读数上报业务的数据、水表读数上报业务的数据、大学宿舍空调远程控制业务的数据或者停车信息上报业务的数据。所述设定时间段能够是一周、一个月或者半年。
45.步骤102，根据与终端的通信数据通过自学习识别异常终端。
46.其中，通过增加了自学习功能，对异常终端进行相应的识别、存储和处理，通过限制终端的行为，为用户营造良好的网络环境。
47.如图4所示，在一实施例中，所述根据与终端的通信数据通过自学习识别异常终端，包括：
48.步骤201，将所述与终端的通信数据生成样本向量。
49.在一实施例中，所述生成样本向量是通过将所述与终端的通信数据进行向量化处理后生成的。
50.其中，所述向量化处理的示例为：比如选取三个业务特性：两次申请入网的时间间隔、上行数据量和下行数据量，将这三个业务特性分别作为特征向量的三个分量，再从所述与终端的通信数据中实时提取这三个业务特性对应的数据值。例如从所述与终端的通信数据中针对所述三个业务特性提取了各自提取了5次数据，每一个业务特性的5次数据就构成特征向量的一个列分量，最终向量化处理后则得到一个3行5列的矩阵。
51.步骤202，对所述样本向量进行聚类形成业务模板。
52.步骤203，根据业务模板来识别异常终端。
53.在一实施例中，所述聚类的算法是机器学习下非监督学习的聚类算法。
54.如图5所示，在一实施例中，所述对所述样本向量进行聚类形成业务模板，包括：
55.步骤301，将所述与终端的通信数据中的具有相同业务属性的应用数据分类聚在一起。
56.其中，比如，所述与终端的通信数据中的具有相同业务的应用数据中包括有：路灯控制业务的数据、电表读数上报业务的数据、水表读数上报业务的数据、大学宿舍空调远程控制业务的数据和停车信息上报业务的数据；就按照各自具有的相同业务属性把路灯控制业务的数据分成第一类业务的数据聚在一起，把电表读数上报业务的数据分成第二类业务的数据聚在一起，把水表读数上报业务的数据分成第三类业务的数据聚在一起，把大学宿舍空调远程控制业务的数据分成第四类业务的数据聚在一起，把停车信息上报业务的数据分成第五类业务的数据聚在一起。
57.步骤302，对每一类应用数据按其特性进行划分来形成业务模板。
58.如图6所示，在一实施例中，所述对每一类应用数据按其特性进行划分来形成业务模板，包括：
59.步骤401，选取所述每一类应用数据的特性。
60.其中，选取应用数据的特性，该特性能够是终端所使用的该应用数据的某个业务特性或某些业务特性，比如可以是终端申请入网的时间与上次申请入网的时间间隔、每次终端通信业务的上行数据量或下行数据量等。
61.步骤402，给选取的每个特性设定一个对应的参考值，所有的特性与其各自对应的参考值就构成了业务模板，所述业务模板中每一类应用数据的所有的特性与其各自对应的参考值就构成了一类业务模型。
62.其中，每个业务特性对应一个参考值，比如终端每次申请入网的时间间隔为1天，此时业务特性为终端申请入网的时间间隔，特性的参考值为1天。在进行机器学习的过程中，可以根据需要选择一个或者多个业务特性进行聚类划分来选定各自对应的参考值。如图7所示，[特性0,特性1,...,特性n]为选择的业务特性，[m0,m1,...,mn]为每个特性对应的参考值。
[0063]
在一实施例中，所述参考值包括初始值和震荡因子。
[0064]
其中，如果设置参考值的初始值和震荡因子，则可以根据实际经验或业务模型的特点进行设置。比如对于某个业务类型，当设置的初始值为1，震荡因子为0.8，则当该特性的参考值在初始值*震荡因子～1/震荡因子*初始值的范围内，即0.8*1～1/0.8*1范围内的终端在该特性标准下归为一类。当然，也可以完全不设置初始值和震荡因子，完全利用相关的聚类算法进行设定参考值。
[0065]
在一实施例中，通过采集不同的设定时间段内的与终端的通信数据，所述识别异常终端的方法能够反复循环多次。
[0066]
这样，通过不断的机器学习，随着采集的通信数据的更新，系统能自动对特性的参考值或震荡因子进行调整。
[0067]
当存在多个特性时，每个特性输出的结论可能存在不同，比如一个特性的输出结论为归为一类，另一个特性的输出结论为不归为一类。此时可继续跟踪该终端的通信数据，继续学习，进一步解析该终端的通信数据的特性。经过一段时间的机器学习，系统输出聚类划分结果，形成业务模板，在同一业务模板下，终端的行为具有相似性和可识别性。
[0068]
另外，在已经积累了大量作为样本的采集的设定时间段内的与终端的通信数据情况下，可以认为待分类的特性已经全面，此时可以采用有监督学习分类。在一定范围内保持对聚类后的业务模板的更新，对数据库中没有出现过的新数据采用有监督分类的算法预测，并更新模板，使模板适用于新样本，即泛化能力。
[0069]
其中，有监督分类就是将之前聚类后的业务模板作为训练样本，当新的数据到来时，通过已有的训练样本去训练得到一个最优模型，同时给新数据添加上特定的标签。比如当选取简单的knn最邻近分类算法时,一个所述终端在设定时间段内的通信数据作为新的样本，计算新样本与所有训练样本的距离，从中选取与新样本距离最近的k个已知训练样本，根据少数服从多数的投票法则，将新样本与k个最邻近样本中所属类别占比较多的归为一类，所述k为大于1的正整数，k的取值能够根据具体情况而设定。
[0070]
如图8所示，所述根据业务模板来识别异常终端，包括：
[0071]
步骤501，对接入的每个终端进行业务识别，如果存在某个终端或某些终端的通信数据不归属于所述业务模板中的任何一类业务模型时，则将该终端标记为异类异常终端。
[0072]
其中，通信数据不归属于所述业务模板中的业务模型为该通信数据的特性和对应的参考值分别和该业务模型中的特性和对应的参考值不相符合。
[0073]
步骤502，当终端的通信数据归属于业务模板中的一类应用业务模型时，该终端为正常的业务模型终端；对正常业务模型的终端，当其无线链路请求在超出设定的时限后依然无法接入的情况下，将该终端标记为普通异常终端。
[0074]
其中，超出设定的时限通常设定为90秒以上。
[0075]
在一实施例中，把识别出的所述异类异常终端和普通异常终端实时保存。
[0076]
在一实施例中，所述根据业务模板来识别异常终端，还包括：
[0077]
对终端在一个tau(tracking area update,跟踪区更新)周期内或者两次网络附着之间，每个终端应该对应一个tmsi(temporary mobile subscriber identity,临时移动用户识别码)。tmsi的设置是为了防止非法个人或团体通过监听无线路径上的信令而窃取imsi(international mobile subscriber identity，国际移动用户识别码)或跟踪用户位置，是移动通信中为了保证imsi的安全而在vlr内分配给用户的一个临时的用户识别号码，用来临时代替imsi在空口中进行传递。tmsi只在一个位置区的某一段时间内有效，所以在此期间，同一个tmsi应该对应相同的业务模型，所以当一个tmsi对应不同的业务模型时，该终端就存在异常，就应该将其标记为异类异常终端。
[0078]
其中，终端在一个tau更新周期内或者两次网络附着之间，每个终端应该对应一个tmsi，所以在此期间，同一个tmsi应该对应相同的业务模型，所以当一个tmsi对应不同的业
务模型时，该终端存在异常，将其标记为异类异常终端。当存在tmsi恶意接入时，rrc连接建立成功率的统计将大幅度下降，对网络指标造成严重破坏，此时的rrc连接建立成功率的统计容易造成误导。系统通过学习，能有效识别tmsi恶意接入的情况，将恶意攻击的终端标记为异类异常终端。从而就减少了tmsi恶意接入的概率，rrc连接建立成功率的统计将更为正常，统计精度更高。
[0079]
在一实施例中，在形成业务模板前，对接入异常的终端进行随机接入跟踪诊断，如果在给定的时间段内，该终端仍然未接入成功，则直接将该终端标记为普通异常终端。
[0080]
其中，所述接入异常的终端通常是:超过设定的时间而没有接入基站的移动终端，就作为接入异常的终端，超过设定的时间能够设定为90秒以上，而所述给定的时间段能够设定为100秒以上。
[0081]
在一实施例中，所述识别异常终端后，还包括：
[0082]
对异常终端的行为限制。
[0083]
如图9所示，在一实施例中，所述对异常终端的行为限制，包括：
[0084]
步骤601，对于异类异常终端，通过下发无线链路拒绝消息拒绝所述异类异常终端的任何接入行为。
[0085]
其中，所述接入通常是异类异常终端接入基站的行为，此时下发的无线链路拒绝消息可携带无穷大的延迟时间delaytime,使终端此后不再发起任何接入行为；无线链路拒绝消息也可以携带特定的拒绝原因通知终端此后不要再发起任何接入行为。
[0086]
步骤602，对于普通异常终端，通过根据此时的网络状况进行判断，决定是否对该普通异常终端的接入行为进行限制。
[0087]
其中，所述普通异常终端是通过网络来同基站进行接入的。
[0088]
如图10所示，所述通过根据此时的网络状况进行判断，决定是否对该普通异常终端的接入行为进行限制，包括：
[0089]
步骤701，在此时网络拥塞的条件下，给所述普通异常终端下发无线链路拒绝消息。
[0090]
其中，如果此时大量的终端需要接入基站，网络负荷较高，由此网络拥塞判断条件给出的结论是网络拥塞，则需要给普通异常终端下发无线链路拒绝消息给该终端。具体的网络拥塞的判断条件由具体条件而定。
[0091]
在一实施例中，所述下发的无线链路拒绝消息携带设定的延迟时间。
[0092]
其中，所述下发的无线链路拒绝消息携带设定的延迟时间delaytime，使终端在延迟时间之后再次发起接入申请，以此来缓解网络拥塞状况。当终端收到的无线链路拒绝消息携带延迟时间delaytime时，终端就知道此时网络拥塞，由于自身多次接入失败而被暂时限制接入，需等待延迟时间delaytime后再次发送无线链路连接请求消息来发起无线链路连接请求。
[0093]
步骤702，如果在延迟时间之后，网络依然处在网络拥塞的条件下，则在再次收到该终端的无线链路连接请求消息时，继续下发所述无线链路拒绝消息。
[0094]
在一实施例中，所述识别异常终端后，还包括：
[0095]
把识别出来的异常终端进行信息共享。
[0096]
其中，通常进行信息共享的方式是将本基站存储的识别出来的异常终端通过如3g
模块或者4g模块这样的信息交互模块实时或者定时发送给邻近的基站，进行基站间的信息交互与共享，使邻近基站内巩固对异常终端的行为进行所述的限制处理。同时，邻近基站存储的异常终端也发送给本基站处理。通过邻近基站间的信息交互，可以提高识别、存储异常终端的效率，避免不同基站重复识别、存储同一个异常终端带来的资源浪费。
[0097]
综上所述，该异常终端的识别方法成本低，不需要增加额外的硬件设备，实现容易，操作方便，维护便利。在功能上，该发明实施例可以有效缓解网络拥塞，降低基站的cpu负荷，同时无线链路建立成功率的统计也会更加精确。另外，当网络遭遇外部异常终端攻击时，基站也可以有效识别并加以制止。
[0098]
如图11所示，本发明实施例还提供一种识别异常终端的装置，包括：
[0099]
采集模块71，用于采集设定时间段内的与终端的通信数据；
[0100]
识别模块72，用于根据与终端的通信数据通过自学习识别异常终端。
[0101]
在一实施例中，所述识别模块还用于将所述与终端的通信数据生成样本向量，对所述样本向量进行聚类形成业务模板以及根据业务模板来识别异常终端。
[0102]
在一实施例中，所述识别模块还用于将所述与终端的通信数据中的具有相同业务属性的应用数据分类聚在一起和对每一类应用数据按其特性进行划分来形成业务模板。
[0103]
在一实施例中，所述识别模块还用于选取所述每一类应用数据的特性和给选取的每个特性设定一个对应的参考值，所有的特性与其各自对应的参考值就构成了业务模板，所述业务模板中每一类应用数据的所有的特性与其各自对应的参考值就构成了一类业务模型。
[0104]
在一实施例中，所述识别模块还用于对接入的每个终端进行业务识别，如果存在某个终端或某些终端的通信数据不归属于所述业务模板中的任何一类业务模型时，则将该终端标记为异类异常终端；还用于当终端的通信数据归属于业务模板中的一类应用业务模型时，该终端为正常的业务模型终端；对正常业务模型的终端，当其无线链路请求在超出设定的时限后依然无法接入的情况下，将该终端标记为普通异常终端。
[0105]
在一实施例中，所述识别异常终端的装置，还包括保存模块；
[0106]
所述保存模块用于把识别出的所述异类异常终端和普通异常终端实时保存。
[0107]
在一实施例中，所述识别异常终端的装置，还包括限制模块；
[0108]
所述限制模块用于对异常终端的行为限制。
[0109]
在一实施例中，所述限制模块还用于对于异类异常终端，通过下发无线链路拒绝消息拒绝所述异类异常终端的任何接入行为；还用于对于普通异常终端，通过根据此时的网络状况进行判断，决定是否对该普通异常终端的接入行为进行限制。
[0110]
在一实施例中，所述限制模块还用于在此时网络拥塞的条件下，给所述普通异常终端下发无线链路拒绝消息；还用于如果在延迟时间之后，网络依然处在网络拥塞的条件下，则在再次收到该终端的无线链路连接请求消息时，继续下发所述无线链路拒绝消息。
[0111]
在一实施例中，所述识别异常终端的装置，还包括共享模块；
[0112]
所述共享模块用于把识别出来的异常终端进行信息共享。
[0113]
综上所述，识别异常终端的装置成本低，不需要增加额外的硬件设备，实现容易，操作方便，维护便利。在功能上，该发明实施例可以有效缓解网络拥塞，降低基站的cpu负荷，同时无线链路建立成功率的统计也会更加精确。另外，当网络遭遇外部异常终端攻击
时，基站也可以有效识别并加以制止。
[0114]
本发明实施例还提供一种基站，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述识别异常终端的方法。
[0115]
其中，本发明的实施例为基站增加了自学习功能，对异常终端进行相应的识别、存储和处理，通过限制终端的行为，为用户营造良好的网络环境。克服了现有技术中存在的异常终端持续请求入网，浪费基站的空口资源，加重网络拥塞的问题和缺陷。
[0116]
本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行所述识别异常终端的方法。
[0117]
在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，readonlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0118]
本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号。