一种物联网信令风暴攻击检测的方法及装置与流程

本发明涉及物联网技术领域，特别是涉及一种物联网信令风暴攻击检测的方法及装置。

背景技术：

在移动物联网中经常会由于被黑客攻击或物联网终端故障原因导致在接入侧产生海量的信令消息，这些信令消息往往会造成网络拥堵、延时，严重的可导致核心网元瘫痪，从而影响移动物联网的正常运营。

然而，现有技术中并没有一种有效的手段能够识别和确认移动物联网中受到信令风暴的攻击。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

技术实现要素：

本发明要解决的技术问题是现有技术中并没有一种有效的手段能够识别和确认移动物联网中受到信令风暴的攻击。

本发明进一步要解决的技术问题是提高识别的准确性，以及识别类型的丰富性。

本发明采用如下技术方案：

第一方面，提供了一种物联网信令风暴攻击检测的方法，在s1-mme、s10、s11和s6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，包括：

根据获取s10、s11和s6a接口的参数来对s1-mme接口的nas消息解密；

统计预设时间区间内，对应于mme网元、enb基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；

根据所述总评分确认当s1-mme接口是否遭受到信令风暴攻击。

优选的，所述根据获取s10、s11、s6a接口的参数来对s1-mme接口的nas消息解密，具体包括：

在s6a接口的diameter协议中的air消息和aia消息中提取imsi、autn、kasme，并建立imsi和autn的第一关联关系；

建立解密所需的第二关联结构，所述第二关联结构包括：autn、xres、rand、kasme、加密标识、完整保护算法标识、上行计数和下行计数；

从authenticationrequest消息中提取autn，并与mmeid和enbid建立第三关联关系；

提取epsintegrityalgorithm信息，并与所述mmeid、所述enbid和所述第三关联关系，更新所述加密标识；

通过mmeid、enbid和加密的nas消息，计算出autn，并通过计算出的autn在第二关联结构中找到相应kasme；

根据kasme推导knasme，进一步完成nas消息解密。

优选的，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：

统计时间区间内mme网元/enb基站/区域/终端的流量值，判断超过预设的第i低阈值、预设的第i中阈值或者预设的第i高阈值，并根据超过预设的第i低阈值、预设的第i中阈值和预设的第i高阈值分别给予20、15和10的评分；其中，流量值超过预设的第i低阈值便认为出现异常流量；

统计时间区间内mme网元/enb基站/区域/终端的attach消息条数，判断超过预设的第ii低阈值、预设的第ii中阈值或者预设的第ii高阈值，并根据超过预设的第ii低阈值、预设的第ii中阈值和预设的第ii高阈值分别给予10、7和4的评分；其中，attach消息条数超过预设的第ii低阈值便认为出现附着消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的authentication消息条数，判断超过预设的第iii低阈值、预设的第iii中阈值或者预设的第iii高阈值，并根据超过预设的第iii低阈值、预设的第iii中阈值和预设的第iii高阈值分别给予10、7和4的评分；其中，authentication消息条数超过预设的第iii低阈值便认为出现鉴权消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息条数，判断超过预设的第iv低阈值、预设的第iv中阈值或者预设的第iv高阈值，并根据超过预设的第iv低阈值、预设的第iv中阈值和预设的第iv高阈值分别给予10、7和4的评分；其中，e-rabsetup和dedicatedepsbearercontextactivation消息条数超过预设的第iv低阈值便认为出现激活消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息条数，判断超过预设的第v低阈值、预设的第v中阈值或者预设的第v高阈值，并根据超过预设的第v低阈值、预设的第v中阈值和预设的第v高阈值分别给予10、7和4的评分；其中，s1切出和s1切入消息条数超过预设的第v低阈值便认为出现切换消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的paging消息条数，判断超过预设的第vi低阈值、预设的第vi中阈值或者预设的第vi高阈值，并根据超过预设的第vi低阈值、预设的第vi中阈值和预设的第vi高阈值分别给予10、7和4的评分；其中，paging消息条数超过预设的第vi低阈值便认为出现寻呼消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的attach消息的成功率，判断超过预设的第vii低阈值、预设的第vii中阈值或者预设的第vii高阈值，并根据超过预设的第vii低阈值、预设的第vii中阈值和预设的第vii高阈值分别给予6、4和2的评分；其中，attach消息的成功率超过预设的第vii低阈值便认为出现附着成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的authentication消息的成功率，判断超过预设的第viii低阈值、预设的第viii中阈值或者预设的第viii高阈值，并根据超过预设的第viii低阈值、预设的第viii中阈值和预设的第viii高阈值分别给予6、4和2的评分；其中，authentication消息的成功率超过预设的第viii低阈值便认为出现鉴权成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息的成功率，判断超过预设的第ix低阈值、预设的第ix中阈值或者预设的第ix高阈值，并根据超过预设的第ix低阈值、预设的第ix中阈值和预设的第ix高阈值分别给予6、4和2的评分；其中，e-rabsetup和dedicatedepsbearercontextactivation消息的成功率超过预设的第ix低阈值便认为出现激活成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息的成功率，判断超过预设的第x低阈值、预设的第x中阈值或者预设的第x高阈值，并根据超过预设的第x低阈值、预设的第x中阈值和预设的第x高阈值分别给予6、4和2的评分；其中，s1切出和s1切入消息的成功率超过预设的第x低阈值便认为出现切换成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的paging消息的成功率，判断超过预设的第xi低阈值、预设的第xi中阈值或者预设的第xi高阈值，并根据超过预设的第xi低阈值、预设的第xi中阈值和预设的第xi高阈值分别给予6、4和2的评分；其中，s1切出和s1切入消息的成功率超过预设的第xi低阈值便认为出现寻呼成功率异常量；

其中，各项的合计总评分sum>=80表明s1-mme接口是否遭受到信令风暴攻击程度为高；65<=sum<80表明s1-mme接口是否遭受到信令风暴攻击程度为中；sum<65表明s1-mme接口是否遭受到信令风暴攻击程度为低。

优选的，所述统计时间区间内mme网元/enb基站/区域/终端的attach消息条数、统计时间区间内mme网元/enb基站/区域/终端的authentication消息条数、统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息条数、统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息条数、统计时间区间内mme网元/enb基站/区域/终端的paging消息条，具体包括：

通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志，根据xdr日志中proceduretype字段所包含的参数为attach、authentication、e-rabsetup、dedicatedepsbearercontextactivation、s1切出、s1切入或者paging进行识别；

并且，所述xdr日志中还携带业务流开始时间和业务流结束时间，用于为所述统计时间区间提供依据。

优选的，通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志，其中，所述xdr日志中携带machineiptype字段、mmeipaddr字段、enbipaddr字段、enbid字段、tai字段、ecgi字段、cellid字段、imsi字段、imei字段、msisdn字段中的一个或者多个；

其中，machineiptype字段和/或mmeipaddr字段用于识别mme网元；enbipaddr字段和/或enbid字段用于识别enb基站；tai字段、ecgi字段和/或cellid字段用于识别区域；imsi字段、imei字段或msisdn字段用于识别终端。

优选的，所述附着成功率、鉴权成功率、激活成功率、切换成功率、寻呼成功率，具体通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志中携带的status字段进行确定相应消息是否成功，并通过各自成功的消息数量除以各自总的消息数量得到相应成功率。

优选的，激活消息数量异常量，具体包括：

缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、nb-iot缺省承载激活信令风暴、nb-iot缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、apn的专用承载激活请求信令风暴、ms激活会话请求信令风暴中的一种或者多种；

切换消息数量异常量，具体包括：mme间切换出尝试信令风暴和mme间切换入尝试信令风暴。

优选的，信令风暴类型还包括：

跟踪区更新请求信令风暴、nb-iotmme内跟踪区更新请求信令风暴、跟踪区更新请求信令风暴。

优选的，具体为所述附着信令风暴、缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、nb-iot缺省承载激活信令风暴、nb-iot缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、apn的专用承载激活请求信令风暴、ms激活会话请求信令风暴、寻呼请求信令风暴、mme间切换出尝试信令风暴、mme间切换入尝试信令风暴，是根据构成总分的各子项的评分高低进行确定。

第二方面，本发明还提供了一种物联网信令风暴攻击检测的方法及装置，用于实现第一方面所述的物联网信令风暴攻击检测的方法，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被程序设置为执行第一方面所述的物联网信令风暴攻击检测的方法。

第三方面，本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，用于完成第一方面所述的物联网信令风暴攻击检测的方法。

本发明在物联网核心侧s1-mme、s6a、s11、s10接口插入监测探针，采集并解析这些接口正常的信令消息，建立物联网信令风暴攻击识别模型，该算法模型原理主要是自学习网元、物联网企业平台、区域、基站、消息类型、物联网终端等维度的s1-mme接口附着、激活、鉴权、切换消息数量来设定合理的阈值，实时精确地检测物联网络中的信令风暴安全事件。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种物联网信令风暴攻击检测的系统架构模型图；

图2是本发明实施例提供的一种物联网信令风暴攻击检测的方法流程示意图；

图3是本发明实施例提供的一种物联网信令风暴攻击检测的方法中得到nas消息解密的流程示意图；

图4是本发明实施例提供的一种物联网信令风暴攻击检测的方法流程示意图；

图5是本发明实施例提供的一种物联网信令风暴攻击检测的装置结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的描述中，术语“内”、“外”、“纵向”、“横向”、“上”、“下”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作，因此不应当理解为对本发明的限制。

如图1所示，本发明在物联网核心侧s1-mme、s6a、s11、s10接口插入监测探针，采集并解析这些接口正常的信令消息，建立物联网信令风暴攻击识别模型，该算法模型原理主要是自学习网元、物联网企业平台、区域、基站、消息类型、物联网终端等维度的s1-mme接口附着、激活、鉴权、切换消息数量来设定合理的阈值，实时精确地检测物联网络中的信令风暴安全事件。

物联网信令风暴事件主要发生在省移动物联网络侧的s1-mme接口。

采集及分析的关键接口是s1-mme接口的信令消息，但由于s1-mme接口的nas消息通常是加密的，所以我们必需通过获取s10、s11、s6a接口的参数来对s1-mme接口的nas消息解密。

基于以上本装置需采集信令接口：s1-mme、s10、s11和s6a。

由于目前s1-mme、s10、s11和s6a各接口都是光链路，所以采集时，通过在各接口链路上布署分光器设备，镜像各接口的数据原始流量，并输出至采集及解析探针进行处理。

此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1

本发明实施例1提供了一种物联网信令风暴攻击检测的方法，在s1-mme、s10、s11和s6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，如图2所示，包括：

在步骤201中，根据获取s10、s11和s6a接口的参数来对s1-mme接口的nas消息解密。

在步骤202中，统计预设时间区间内，对应于mme网元、enb基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分。

在步骤203中，根据所述总评分确认当s1-mme接口是否遭受到信令风暴攻击。

本发明实施例在物联网核心侧s1-mme、s6a、s11、s10接口插入监测探针，采集并解析这些接口正常的信令消息，建立物联网信令风暴攻击识别模型，该算法模型原理主要是自学习网元、物联网企业平台、区域、基站、消息类型、物联网终端等维度的s1-mme接口附着、激活、鉴权、切换消息数量来设定合理的阈值，实时精确地检测物联网络中的信令风暴安全事件。

如图3所示，针对本发明实施例1中所涉及的所述根据获取s10、s11、s6a接口的参数来对s1-mme接口的nas消息解密，提供了一种具体的实现方式，包括：

在步骤301中，在s6a接口的diameter协议中的air消息和aia消息中提取imsi、autn、kasme，并建立imsi和autn的第一关联关系。

在步骤302中，建立解密所需的第二关联结构，所述第二关联结构包括：autn、xres、rand、kasme、加密标识、完整保护算法标识、上行计数和下行计数。

在步骤303中，从authenticationrequest消息中提取autn，并与mmeid和enbid建立第三关联关系。

在步骤304中，提取epsintegrityalgorithm信息，并与所述mmeid、所述enbid和所述第三关联关系，更新所述加密标识。

在步骤305中，通过mmeid、enbid和加密的nas消息，计算出autn，并通过计算出的autn在第二关联结构中找到相应kasme。

在步骤306中，根据kasme推导knasme，进一步完成nas消息解密。

进一步的，针对本发明实施例1中步骤202的评分过程，在本发明优选的实现方案，提供了一种全面考虑到各维度后的评分机制，具体的，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：

统计时间区间内mme网元/enb基站/区域/终端的流量值，判断超过预设的第i低阈值、预设的第i中阈值或者预设的第i高阈值，并根据超过预设的第i低阈值、预设的第i中阈值和预设的第i高阈值分别给予20、15和10的评分；其中，流量值超过预设的第i低阈值便认为出现异常流量；

统计时间区间内mme网元/enb基站/区域/终端的attach消息（即附着消息）条数，判断超过预设的第ii低阈值、预设的第ii中阈值或者预设的第ii高阈值，并根据超过预设的第ii低阈值、预设的第ii中阈值和预设的第ii高阈值分别给予10、7和4的评分；其中，attach消息条数超过预设的第ii低阈值便认为出现附着消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的authentication消息（即鉴权消息）条数，判断超过预设的第iii低阈值、预设的第iii中阈值或者预设的第iii高阈值，并根据超过预设的第iii低阈值、预设的第iii中阈值和预设的第iii高阈值分别给予10、7和4的评分；其中，authentication消息条数超过预设的第iii低阈值便认为出现鉴权消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息（对应激活消息）条数，判断超过预设的第iv低阈值、预设的第iv中阈值或者预设的第iv高阈值，并根据超过预设的第iv低阈值、预设的第iv中阈值和预设的第iv高阈值分别给予10、7和4的评分；其中，e-rabsetup和dedicatedepsbearercontextactivation消息条数超过预设的第iv低阈值便认为出现激活消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息（即切换消息）条数，判断超过预设的第v低阈值、预设的第v中阈值或者预设的第v高阈值，并根据超过预设的第v低阈值、预设的第v中阈值和预设的第v高阈值分别给予10、7和4的评分；其中，s1切出和s1切入消息条数超过预设的第v低阈值便认为出现切换消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的paging消息条数，判断超过预设的第vi低阈值、预设的第vi中阈值或者预设的第vi高阈值，并根据超过预设的第vi低阈值、预设的第vi中阈值和预设的第vi高阈值分别给予10、7和4的评分；其中，paging消息条数超过预设的第vi低阈值便认为出现寻呼消息异常量；

统计时间区间内mme网元/enb基站/区域/终端的attach消息的成功率，判断超过预设的第vii低阈值、预设的第vii中阈值或者预设的第vii高阈值，并根据超过预设的第vii低阈值、预设的第vii中阈值和预设的第vii高阈值分别给予6、4和2的评分；其中，attach消息的成功率超过预设的第vii低阈值便认为出现附着成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的authentication消息的成功率，判断超过预设的第viii低阈值、预设的第viii中阈值或者预设的第viii高阈值，并根据超过预设的第viii低阈值、预设的第viii中阈值和预设的第viii高阈值分别给予6、4和2的评分；其中，authentication消息的成功率超过预设的第viii低阈值便认为出现鉴权成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息的成功率，判断超过预设的第ix低阈值、预设的第ix中阈值或者预设的第ix高阈值，并根据超过预设的第ix低阈值、预设的第ix中阈值和预设的第ix高阈值分别给予6、4和2的评分；其中，e-rabsetup和dedicatedepsbearercontextactivation消息的成功率超过预设的第ix低阈值便认为出现激活成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息的成功率，判断超过预设的第x低阈值、预设的第x中阈值或者预设的第x高阈值，并根据超过预设的第x低阈值、预设的第x中阈值和预设的第x高阈值分别给予6、4和2的评分；其中，s1切出和s1切入消息的成功率超过预设的第x低阈值便认为出现切换成功率异常量；

统计时间区间内mme网元/enb基站/区域/终端的paging消息的成功率（即寻呼成功率），判断超过预设的第xi低阈值、预设的第xi中阈值或者预设的第xi高阈值，并根据超过预设的第xi低阈值、预设的第xi中阈值和预设的第xi高阈值分别给予6、4和2的评分；其中，s1切出和s1切入消息的成功率超过预设的第xi低阈值便认为出现寻呼成功率异常量；

其中，各项的合计总评分sum>=80表明s1-mme接口是否遭受到信令风暴攻击程度为高；65<=sum<80表明s1-mme接口是否遭受到信令风暴攻击程度为中；sum<65表明s1-mme接口是否遭受到信令风暴攻击程度为低。

其中，涉及的每一组低阈值、中阈值和高阈值，是通过机器学习的方法获得的一个动态值，是一个相对值。对于本发明实施例还提供了一种可选的配值方式，所述高阈值：大于动态基线值的30%；中阈值：大于动态基线值的10%；低阈值：等于动态基线值。除此以外，低阈值的确定方式还可以采用后面实施例2中所介绍的方式，具体详见本发明实施例2中相关确认信令风暴的描述内容。

对于上述的评分机制，用以下表1直观的进行表现，如下：

表1：

本发明实施例所提出的多维度打分的方式，能够将信令风暴对架构的影响进行直观的表现，能够起到更高容错性，避免因为个别节点自身计算资源不够用造成的数据拥塞，所引发的误报。如图4所示，为本发明实施例以一个较为完整的过程，将对s1-mme接口的nas消息解密得到xdr日志，以及根据xdr日志分析得到信令风暴类型的关系流程图。

在本发明实施例中，所述统计时间区间内mme网元/enb基站/区域/终端的attach消息条数、统计时间区间内mme网元/enb基站/区域/终端的authentication消息条数、统计时间区间内mme网元/enb基站/区域/终端的e-rabsetup和dedicatedepsbearercontextactivation消息条数、统计时间区间内mme网元/enb基站/区域/终端的s1切出和s1切入消息条数、统计时间区间内mme网元/enb基站/区域/终端的paging消息条，具体包括：

通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志，根据xdr日志中proceduretype字段所包含的参数为attach、authentication、e-rabsetup、dedicatedepsbearercontextactivation、s1切出、s1切入或者paging进行识别；

并且，所述xdr日志中还携带业务流开始时间和业务流结束时间，用于为所述统计时间区间提供依据。

在本发明实施例中，还提供了一典型的xdr日志结构，其中，s1-mme接口xdrlist如下表2所示：

表2：

进一步的，通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志，其中，所述xdr日志中携带machineiptype字段、mmeipaddr字段、enbipaddr字段、enbid字段、tai字段、ecgi字段、cellid字段、imsi字段、imei字段、msisdn字段中的一个或者多个；

其中，machineiptype字段和/或mmeipaddr字段用于识别mme网元；enbipaddr字段和/或enbid字段用于识别enb基站；tai字段、ecgi字段和/或cellid字段用于识别区域；imsi字段、imei字段或msisdn字段用于识别终端。

除此以外，所述附着成功率、鉴权成功率、激活成功率、切换成功率、寻呼成功率，具体通过对nas消息解密，并根据解密获得内容生成s1-mme接口的xdr日志中携带的status字段进行确定相应消息是否成功，并通过各自成功的消息数量除以各自总的消息数量得到相应成功率（如上表1所示）。

在本发明实施例中，为了达到更精准的信令风暴识别，对于所述s1-mme接口遭受到信令风暴攻击，还做了进一步的细化处理，具体表现为：

激活消息数量异常量，具体包括：

缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、nb-iot缺省承载激活信令风暴、nb-iot缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、apn的专用承载激活请求信令风暴、ms激活会话请求信令风暴中的一种或者多种；

切换消息数量异常量，具体包括：mme间切换出尝试信令风暴和mme间切换入尝试信令风暴。

其中，具体为所述附着信令风暴、缺省承载激活请求信令风暴、缺省承载激活成功信令风暴、nb-iot缺省承载激活信令风暴、nb-iot缺省承载激活失败信令风暴、专用承载激活请求信令风暴、专用承载激活成功信令风暴、apn的专用承载激活请求信令风暴、ms激活会话请求信令风暴、寻呼请求信令风暴、mme间切换出尝试信令风暴、mme间切换入尝试信令风暴，是根据构成总分的各子项的评分高低进行确定。例如：在总分达到了信令风暴范畴，进一步去分析各子项的评分，若子项的评分进一步满足达到相应高阈值，则信令风暴的类型便可归属为对应上述主题的信令风暴类型。

在本发明实施例中，信令风暴类型还包括：

跟踪区更新请求信令风暴、nb-iotmme内跟踪区更新请求信令风暴、跟踪区更新请求信令风暴。

实施例2

相比较实施例1而言，本发明实施例还提出了对于上述细化的信令风暴的验证方法，具体的待验证消息如下所示：

当确认信令风暴类型后，便可以用以下方法过程进行确认，具体的：

附着消息风暴检测算法

为今天当前5分钟粒度attach消息的条数>昨天当前5分钟粒度attach消息的条数*20，即以5分钟一个时间切片来统计attach消息的条数，当今天当前5分钟粒度attach消息的条数>昨天当前5分钟粒度attach消息的条数的20倍时，确认产生attach信令风暴告警。

缺省承载激活请求信令风暴检测算法

为今天当前5分钟粒度sm.actdefaultepsbearerrequest消息的条数>昨天当前5分钟粒度sm.actdefaultepsbearerrequest消息的条数*20；即以5分钟一个时间切片来统计sm.actdefaultepsbearerrequest消息的条数，当今天当前5分钟粒度sm.actdefaultepsbearerrequest消息的条数>昨天当前5分钟粒度sm.actdefaultepsbearerrequest消息的条数的20倍时，确认产生sm.actdefaultepsbearerrequest信令风暴告警。

缺省承载激活成功信令风暴检测算法

为今天当前5分钟粒度sm.actdefaultepsbeareraccept消息的条数>昨天当前5分钟粒度sm.actdefaultepsbeareraccept消息的条数*20；即以5分钟一个时间切片来统计sm.actdefaultepsbeareraccept消息的条数，当今天当前5分钟粒度sm.actdefaultepsbeareraccept消息的条数>昨天当前5分钟粒度sm.actdefaultepsbeareraccept消息的条数的20倍时，确认产生sm.actdefaultepsbeareraccept信令风暴告警。

nb-iot缺省承载激活信令风暴检测算法

为今天当前5分钟粒度nb.actdefaultepsbearerrequest消息的条数>昨天当前5分钟粒度nb.actdefaultepsbearerrequest消息的条数*20；即以5分钟一个时间切片来统计attach消息的条数，当今天当前5分钟粒度nb.actdefaultepsbearerrequest消息的条数>昨天当前5分钟粒度nb.actdefaultepsbearerrequest消息的条数的20倍时，确认产生nb.actdefaultepsbearerrequest信令风暴告警。

nb-iot缺省承载激活失败信令风暴检测算法

为今天当前5分钟粒度nb.actdefaultepsbearerfail消息的条数>昨天当前5分钟粒度nb.actdefaultepsbearerfail消息的条数*20；即以5分钟一个时间切片来统计nb.actdefaultepsbearerfail消息的条数，当今天当前5分钟粒度nb.actdefaultepsbearerfail消息的条数>昨天当前5分钟粒度nb.actdefaultepsbearerfail消息的条数的20倍时，确认产生nb.actdefaultepsbearerfail信令风暴告警。

专用承载激活请求信令风暴检测算法

为今天当前5分钟粒度sm.actdedicatedepsbearerrequest消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbearerrequest消息的条数*20；即以5分钟一个时间切片来统计sm.actdedicatedepsbearerrequest消息的条数，当今天当前5分钟粒度sm.actdedicatedepsbearerrequest消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbearerrequest消息的条数的20倍时，为产生sm.actdedicatedepsbearerrequest信令风暴告警。

专用承载激活成功信令风暴检测算法

为今天当前5分钟粒度sm.actdedicatedepsbeareraccept消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbeareraccept消息的条数*20；即以5分钟一个时间切片来统计sm.actdedicatedepsbeareraccept消息的条数，当今天当前5分钟粒度sm.actdedicatedepsbeareraccept消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbeareraccept消息的条数的20倍时，确认产生sm.actdedicatedepsbeareraccept信令风暴告警。

分apn的专用承载激活请求信令风暴检测算法

为今天当前5分钟粒度sm.actdedicatedepsbearerrequest._apn消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbearerrequest._apn消息的条数*20；即以5分钟一个时间切片来统计sm.actdedicatedepsbearerrequest._apn消息的条数，当今天当前5分钟粒度sm.actdedicatedepsbearerrequest._apn消息的条数>昨天当前5分钟粒度sm.actdedicatedepsbearerrequest._apn消息的条数的20倍时，确认产生sm.actdedicatedepsbearerrequest._apn信令风暴告警。

ms激活会话请求信令风暴检测算法

为今天当前5分钟粒度sm.attactpdpcontext消息的条数>昨天当前5分钟粒度sm.attactpdpcontext消息的条数*20；即以5分钟一个时间切片来统计sm.attactpdpcontext消息的条数，当今天当前5分钟粒度sm.attactpdpcontext消息的条数>昨天当前5分钟粒度sm.attactpdpcontext消息的条数的20倍时，确认产生sm.attactpdpcontext信令风暴告警。

寻呼请求信令风暴检测算法

为今天当前5分钟粒度mm.pagatt消息的条数>昨天当前5分钟粒度mm.pagatt消息的条数*20；即以5分钟一个时间切片来统计mm.pagatt消息的条数，当今天当前5分钟粒度mm.pagatt消息的条数>昨天当前5分钟粒度mm.pagatt消息的条数的20倍时，确认产生mm.pagatt信令风暴告警。

跟踪区更新请求信令风暴检测算法

为今天当前5分钟粒度mm.taurequest消息的条数>昨天当前5分钟粒度mm.taurequest消息的条数*20；即以5分钟一个时间切片来统计mm.taurequest消息的条数，当今天当前5分钟粒度mm.taurequest消息的条数>昨天当前5分钟粒度mm.taurequest消息的条数的20倍时，确认产生mm.taurequest信令风暴告警。

nb-iotmme内跟踪区更新请求信令风暴检测算法

为今天当前5分钟粒度nb.intrammetaurequest消息的条数>昨天当前5分钟粒度nb.intrammetaurequest消息的条数*20；即以5分钟一个时间切片来统计nb.intrammetaurequest消息的条数，当今天当前5分钟粒度nb.intrammetaurequest消息的条数>昨天当前5分钟粒度nb.intrammetaurequest消息的条数的20倍时，确认产生nb.intrammetaurequest信令风暴告警。

跟踪区更新请求信令风暴检测算法

为今天当前5分钟粒度mm.taurequest消息的条数>昨天当前5分钟粒度mm.taurequest消息的条数*20；即以5分钟一个时间切片来统计mm.taurequest消息的条数，当今天当前5分钟粒度mm.taurequest消息的条数>昨天当前5分钟粒度mm.taurequest消息的条数的20倍时，确认产生mm.taurequest信令风暴告警。

mme间切换出尝试信令风暴检测算法

为今天当前5分钟粒度ho.attoutintermme消息的条数>昨天当前5分钟粒度ho.attoutintermme消息的条数*20；即以5分钟一个时间切片来统计ho.attoutintermme消息的条数，当今天当前5分钟粒度ho.attoutintermme消息的条数>昨天当前5分钟粒度ho.attoutintermme消息的条数的20倍时，确认产生ho.attoutintermme信令风暴告警。

mme间切换入尝试信令风暴

为今天当前5分钟粒度ho.attincintermme消息的条数>昨天当前5分钟粒度ho.attincintermme消息的条数*20；即以5分钟一个时间切片来统计ho.attincintermme消息的条数，当今天当前5分钟粒度ho.attincintermme消息的条数>昨天当前5分钟粒度ho.attincintermme消息的条数的20倍时，确认产生ho.attincintermme信令风暴告警。

相比较而言，本发明在实施例2中所涉及的验证方法计算冗余度更高，适合于与本发明实施例1做配合完成，即在本发明实施例1评估出是哪一种信令风暴类型后，再通过实施例2进行验证，验证通过即发布相应信令风暴告警。

但是，不排除在计算资源允许的情况下，直接采用周期性的运行本发明实施例2所描述的计算过程，直接来对各信令风暴类型进行确定的实现方式。

实施例3

如图5所示，是本发明实施例的物联网信令风暴攻击检测的装置的架构示意图。本实施例的物联网信令风暴攻击检测的装置包括一个或多个处理器21以及存储器22。其中，图5中以一个处理器21为例。

处理器21和存储器22可以通过总线或者其他方式连接，图5中以通过总线连接为例。

存储器22作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序和非易失性计算机可执行程序，如实施例1中的物联网信令风暴攻击检测的方法。处理器21通过运行存储在存储器22中的非易失性软件程序和指令，从而执行物联网信令风暴攻击检测的方法。

存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器22可选包括相对于处理器21远程设置的存储器，这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述程序指令/模块存储在所述存储器22中，当被所述一个或者多个处理器21执行时，执行上述实施例1中的物联网信令风暴攻击检测的方法，例如，执行以上描述的图2和图3所示的各个步骤。

本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器（rom，readonlymemory）、随机存取存储器（ram，randomaccessmemory）、磁盘或光盘等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。