异常检测的方法和通信装置与流程
本技术实施例涉及通信领域,并且更具体地,涉及一种异常检测的方法和通信装置。
背景技术:
1、在(the 5th generation,5g)通信系统中,网络数据分析功能网元(network dataanalytics function,nwdaf)可以对终端设备在网络侧功能网元(例如,接入与移动管理功能网元、会话管理功能网元等)上产生的数据进行分析,识别终端设备的行为是否异常,例如,识别终端设备是否频繁接入或注册。在现有的方案中,nwdaf主要识别终端设备的接入和注册信息是否合规,从而识别终端设备是否为异常终端设备。而在接入和注册信息都合规的情况下,终端设备还有可能对其他终端设备造成干扰,例如,向其他终端设备发起异常呼叫,如何识别出此类异常终端设备成为亟待解决的问题。
技术实现思路
1、本技术实施例提供一种异常检测的方法及通信装置,使得分析网元可以有效地检测出异常终端设备。
2、第一方面,提供了一种异常检测的方法,该方法包括:接收来自第一网元的第一信息,该第一信息包括与终端设备相关的初始化协议sip消息的信息;基于该第一信息确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip拒接cancel消息以及sip挂断bye消息,该第一字段用于标识sip消息的发送方所使用的设备,该第二字段用于标识sip消息的接收方设备。
3、基于上述方案,根据与终端设备的相关的sip消息可以有效地识别出异常终端设备,避免对其他终端设备造成干扰。
4、结合第一方面,在第一方面的某些实现方式中,该方法还包括:根据该第一信息确定sip消息的统计信息;该基于该第一信息确定该终端设备是否异常,包括:基于该sip消息的统计信息确定该终端设备是否异常。
5、结合第一方面,在第一方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,目标地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
6、基于上述方案,根据与终端设备的相关的sip消息可以确定sip消息的统计信息,根据sip消息的统计信息可以有效地识别出异常终端设备,避免对其他终端设备造成干扰。
7、结合第一方面,在第一方面的某些实现方式中,第一分析网元接收来自该第一网元的该第一信息;该第一分析网元或第二分析网元基于该第一信息确定该终端设备是否异常,该第一分析网元为会话管理网元或第一网络数据分析功能网元,该第二分析网元为第二网络数据分析功能网元。
8、结合第一方面,在第一方面的某些实现方式中,该第一分析网元根据该第一信息确定sip消息的统计信息;该第一分析网元向该第二分析网元发送该sip消息的统计信息;该第二分析网元基于该sip消息的统计信息确定该终端设备是否异常。
9、结合第一方面,在第一方面的某些实现方式中,该第一网元为用户面网元或应用功能网元。
10、结合第一方面,在第一方面的某些实现方式中,接收来自该终端设备的会话建立请求;根据该会话建立请求向该第一网元发送指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
11、结合第一方面,在第一方面的某些实现方式中,向应用功能网元发送第三sip消息的该第二字段的信息,该第三sip消息的源地址为该终端设备的地址;接收来自该应用功能网元的至少一个终端设备的位置信息,该至少一个终端设备的位置信息是根据该第三sip消息的该第二字段发送的;更新该第一信息,该第一信息包括该至少一个终端设备的位置信息。
12、结合第一方面,在第一方面的某些实现方式中,基于该sip消息的统计信息确定第一参数的值;基于该第一参数的值与第一阈值的大小关系确定该终端设备是否异常,其中,该第一参数包括以下参数中的至少一个:sip bye消息的总数占sip invite消息的总数的比例,sip cancel消息的总数占sip invite消息的总数的比例,sip invite消息的总数,检测到sip消息的时间信息的离散度,该第一时长的离散度,该至少一个终端设备的位置信息的离散度。
13、结合第一方面,在第一方面的某些实现方式中,基于该第一参数的值与该第一阈值的大小关系,以及第一权重确定该终端设备是否异常,该第一权重包括该第一参数中的至少一个参数对应的权重。
14、第二方面,提供了一种异常检测的方法,该方法包括:第一网元确定终端设备的第一信息,该第一信息包括与该终端设备相关的初始化协议sip消息的信息;该第一网元向分析网元发送该第一信息,该第一信息用于确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip拒接cancel消息以及sip挂断bye消息,该第一字段用于标识sip消息的发送方所使用的设备,该第二字段用于标识sip消息的接收方设备。
15、基于上述方案,第一网元通过确定与该终端设备相关的初始化协议sip消息的信息,并向分析网元发送该sip消息的信息,可以使得分析网元根据与终端设备的相关的sip消息可以有效地识别出异常终端设备,避免对其他终端设备造成干扰。
16、结合第二方面,在第二方面的某些实现方式中,接收来自该分析网元的指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
17、结合第二方面,在第二方面的某些实现方式中,该第一网元为用户面网元或应用功能网元。
18、结合第二方面,在第二方面的某些实现方式中,该分析网元为会话管理网元或网络数据分析功能网元。
19、第三方面,提供了一种异常检测的方法,该方法包括:接收来自第一网元的第一信息,该第一信息包括初始化协议sip消息的统计信息,该sip消息的统计信息是根据与终端设备相关的sip消息的信息确定的;基于该第一信息确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip取消cancel消息以及sip bye消息,该第一字段用于标识sip消息的发送方设备,该第二字段用于标识sip消息的接收方设备。
20、基于上述方案,根据与终端设备的相关的sip消息可以确定sip消息的统计信息,根据sip消息的统计信息可以有效地识别出异常终端设备,避免对其他终端设备造成干扰。
21、结合第三方面,在第三方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,目标地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
22、结合第三方面,在第三方面的某些实现方式中,第一分析网元接收来自该第一网元的该第一信息;该第一分析网元或第二分析网元基于该第一信息确定该终端设备是否异常,该第一分析网元为会话管理网元或第一网络数据分析功能网元,该第二分析网元为该第一网络数据分析功能网元或第二网络数据分析功能网元。
23、其中,若由该第二分析网元确定该终端设备是否异常,该方法还包括该第一分析网元向该第二分析网元发送该终端设备的sip消息的统计信息。
24、结合第三方面,在第三方面的某些实现方式中,该第一网元包括用户面网元或应用功能网元。
25、结合第三方面,在第三方面的某些实现方式中,在接收来自第一网元的第一信息之前,接收来自该终端设备的会话建立请求;根据该会话建立请求向该第一网元发送指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
26、结合第三方面,在第三方面的某些实现方式中,在接收来自第一网元的第一信息之后,向应用功能网元发送第三sip消息的该第二字段的信息,该第三sip消息的源地址为该终端设备的地址;接收来自该应用功能网元的至少一个终端设备的位置信息,该至少一个终端设备的位置信息是根据该第三sip消息的该第二字段发送的;更新该第一信息,该第一信息包括该至少一个终端设备的位置信息。
27、结合第三方面,在第三方面的某些实现方式中,基于该sip消息的统计信息确定第一参数的值;基于该第一参数的值与第一阈值的大小关系确定该终端设备是否异常,其中,该第一参数包括以下参数中的至少一个:sip bye消息的总数占的sip invite消息的总数,sip cancel消息的总数占的sip invite消息的总数,sip invite消息的总数,检测到sip消息的时间的离散度,该第一时长的离散度,该至少一个终端设备的位置信息的离散度。
28、结合第三方面,在第三方面的某些实现方式中,基于该第一参数的值与该第一阈值的大小关系,以及第一权重确定该终端设备是否异常,该第一权重包括该第一参数中的至少一个参数对应的权重。
29、第四方面,提供了一种异常检测的方法,该方法包括:第一网元确定与终端设备相关的sip消息的信息;该第一网元根据该sip消息的信息确定终端设备的sip消息的统计信息,该sip消息的统计信息用于确定终端设备是否异常;该第一网元向分析网元发送该sip消息的统计信息;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip取消cancel消息以及sip bye消息,该第一字段用于标识sip消息的发送方设备,该第二字段用于标识sip消息的接收方设备。
30、基于上述方案,第一网元根据与终端设备的相关的sip消息可以确定sip消息的统计信息,通过向分析网元发送sip消息的统计信息可以使得分析网元有效地识别出异常终端设备,避免对其他终端设备造成干扰。
31、结合第四方面,在第四方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
32、结合第四方面,在第四方面的某些实现方式中,该分析网元为会话管理网元或网络数据分析功能网元。
33、结合第四方面,在第四方面的某些实现方式中,该第一网元包括用户面网元或应用功能网元。
34、结合第四方面,在第四方面的某些实现方式中,该第一网元接收来自分析网元的指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
35、第五方面,提供了一种通信装置,该装置包括收发单元和处理单元,该收发单元用于接收来自第一网元的第一信息,该第一信息包括与终端设备相关的初始化协议sip消息的信息;该处理单元,用于基于该第一信息确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip拒接cancel消息以及sip挂断bye消息,该第一字段用于标识sip消息的发送方所使用的设备,该第二字段用于标识sip消息的接收方设备。
36、结合第五方面,在第五方面的某些实现方式中,该处理单元还用于根据该第一信息确定sip消息的统计信息;该处理单元具体用于基于该sip消息的统计信息确定该终端设备是否异常。
37、结合第五方面,在第五方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
38、结合第五方面,在第五方面的某些实现方式中,该第一网元为用户面网元或应用功能网元。
39、结合第五方面,在第五方面的某些实现方式中,该收发单元还用于接收来自该终端设备的会话建立请求;根据该会话建立请求向该第一网元发送指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
40、结合第五方面,在第五方面的某些实现方式中,该收发单元还用于向应用功能网元发送第三sip消息的该第二字段的信息,该第三sip消息的源地址为该终端设备的地址;接收来自该应用功能网元的至少一个终端设备的位置信息,该至少一个终端设备的位置信息是根据该第三sip消息的该第二字段发送的;该处理单元还用于更新该第一信息,该第一信息包括该至少一个终端设备的位置信息。
41、结合第五方面,在第五方面的某些实现方式中,该处理单元具体用于基于该sip消息的统计信息确定第一参数的值;基于该第一参数的值与第一阈值的大小关系确定该终端设备是否异常,其中,该第一参数包括以下参数中的至少一个:sip bye消息的总数占sipinvite消息的总数的比例,sip cancel消息的总数占sip invite消息的总数的比例,sipinvite消息的总数,检测到sip消息的时间信息的离散度,该第一时长的离散度,该至少一个终端设备的位置信息的离散度。
42、结合第五方面,在第五方面的某些实现方式中,该处理单元具体用于基于该第一参数的值与该第一阈值的大小关系,以及第一权重确定该终端设备是否异常,该第一权重包括该第一参数中的至少一个参数对应的权重。
43、第六方面,提供了一种通信装置,该装置包括处理单元和收发单元,第一网元确定终端设备的第一信息,该第一信息包括与该终端设备相关的初始化协议sip消息的信息;该第一网元向分析网元发送该第一信息,该第一信息用于确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip拒接cancel消息以及sip挂断bye消息,该第一字段用于标识sip消息的发送方所使用的设备,该第二字段用于标识sip消息的接收方设备。
44、基于上述方案,第一网元通过确定与该终端设备相关的初始化协议sip消息的信息,并向分析网元发送该sip消息的信息,可以使得分析网元根据与终端设备的相关的sip消息可以有效地识别出异常终端设备,避免对其他终端设备造成干扰。
45、结合第六方面,在第六方面的某些实现方式中,接收来自该分析网元的指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
46、结合第六方面,在第六方面的某些实现方式中,该第一网元为用户面网元或应用功能网元。
47、结合第六方面,在第六方面的某些实现方式中,该分析网元为会话管理网元或网络数据分析功能网元。
48、第七方面,提供了一种通信装置,该装置包括收发单元和处理单元,该收发单元用于接收来自第一网元的初始化协议sip消息的统计信息,该sip消息的统计信息是根据与终端设备相关的sip消息的信息确定的;该处理单元用于基于该第一信息确定该终端设备是否异常;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip取消cancel消息以及sip bye消息,该第一字段用于标识sip消息的发送方设备,该第二字段用于标识sip消息的接收方设备。
49、结合第七方面,在第七方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,目标地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
50、结合第七方面,在第七方面的某些实现方式中,该通信装置为会话管理网元或网络数据分析功能网元。
51、结合第七方面,在第七方面的某些实现方式中,该第一网元包括用户面网元或应用功能网元。
52、结合第七方面,在第七方面的某些实现方式中,该收发单元还用于接收来自该终端设备的会话建立请求;根据该会话建立请求向该第一网元发送指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
53、结合第七方面,在第七方面的某些实现方式中,该收发单元还用于向应用功能网元发送第三sip消息的该第二字段的信息,该第三sip消息的源地址为该终端设备的地址;接收来自该应用功能网元的至少一个终端设备的位置信息,该至少一个终端设备的位置信息是根据该第三sip消息的该第二字段发送的;更新该第一信息,该第一信息包括该至少一个终端设备的位置信息。
54、结合第七方面,在第七方面的某些实现方式中,还处理单元具体用于基于该sip消息的统计信息确定第一参数的值;基于该第一参数的值与第一阈值的大小关系确定该终端设备是否异常,其中,该第一参数包括以下参数中的至少一个:sip bye消息的总数占的sipinvite消息的总数,sip cancel消息的总数占的sip invite消息的总数,sip invite消息的总数,检测到sip消息的时间的离散度,该第一时长的离散度,该至少一个终端设备的位置信息的离散度。
55、结合第七方面,在第七方面的某些实现方式中,该处理单元具体用于基于该第一参数的值与该第一阈值的大小关系,以及第一权重确定该终端设备是否异常,该第一权重包括该第一参数中的至少一个参数对应的权重。
56、第八方面,提供了一种通信装置,该装置包括收发单元和处理单元,该处理单元用于确定与终端设备相关的sip消息的信息;该处理单元还用于根据该sip消息的信息确定终端设备的sip消息的统计信息,该sip消息的统计信息用于确定终端设备是否异常;该第一网元向分析网元发送该sip消息的统计信息;其中,该sip消息的信息包括以下信息中的至少一项:sip消息的类型,sip消息的源地址,sip消息的目标地址,sip消息的第一字段的信息,sip消息的第二字段的信息,检测到sip消息的时间信息,该sip消息的类型包括sip邀请invite消息,sip取消cancel消息以及sip bye消息,该第一字段用于标识sip消息的发送方设备,该第二字段用于标识sip消息的接收方设备。
57、基于上述方案,第一网元根据与终端设备的相关的sip消息可以确定sip消息的统计信息,通过向分析网元发送sip消息的统计信息可以使得分析网元有效地识别出异常终端设备,避免对其他终端设备造成干扰。
58、结合第八方面,在第八方面的某些实现方式中,该sip消息的统计信息包括以下信息中的至少一项:类型相同的sip消息的总数,源地址相同且类型相同的sip消息的总数,目标地址相同且类型相同的sip消息的总数,源地址相同且第一字段不同的sip消息的数量,第一时长信息;其中,该第一时长由第一sip消息的时间信息以及第二sip消息的时间信息确定,该第一sip消息的源地址和该第二sip消息的目标地址相同,该第一sip消息的类型和该第二sip消息的类型不同。
59、结合第八方面,在第八方面的某些实现方式中,该分析网元为会话管理网元或网络数据分析功能网元。
60、结合第八方面,在第八方面的某些实现方式中,该第一网元包括用户面网元或应用功能网元。
61、结合第八方面,在第八方面的某些实现方式中,该第一网元接收来自分析网元的指示信息,该指示信息指示根据第一数据包检测规则pdr检测该sip消息。
62、第九方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面至第四方面及第一方面至第四方面中任一种可能实现方式中的方法。示例性地,该通信装置还包括存储器。该通信装置还包括通信接口,处理器与通信接口耦合。
63、第十方面,提供了一种处理器,包括:输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号,并通过所述输出电路发射信号,使得所述处理器执行以实现上述第一方面至第四方面及第一方面至第四方面中任一种可能实现方式中的方法。
64、在具体实现过程中,上述处理器可以为一个或多个芯片,输入电路可以为输入管脚,输出电路可以为输出管脚,处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的,输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的,且输入电路和输出电路可以是同一电路,该电路在不同的时刻分别用作输入电路和输出电路。本技术实施例对处理器及各种电路的具体实现方式不做限定。
65、第十一方面,提供了一种处理装置,包括处理器和存储器。该处理器用于读取存储器中存储的指令,并可通过接收器接收信号,通过发射器发射信号,以执行上述第一方面至第四方面及第一方面至第四方面中任一种可能实现方式中的方法。
66、示例性地,所述处理器为一个或多个,所述存储器为一个或多个。
67、示例性地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
68、在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,rom),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本技术实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
69、应理解,相关的数据交互过程例如发送指示信息可以为从处理器输出指示信息的过程,接收能力信息可以为处理器接收输入能力信息的过程。具体地,处理器输出的数据可以输出给发射器,处理器接收的输入数据可以来自接收器。其中,发射器和接收器可以统称为收发器。
70、上述第十一方面中的处理装置可以是一个或多个芯片。该处理装置中的处理器可以通过硬件来实现也可以通过软件来实现。当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于该处理器之外,独立存在。
71、第十二方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机以执行上述第一方面至第四方面及第一方面至第四方面中任一种可能实现方式中的方法。
72、第十三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得上述第一方面和第二方面中任一种可能实现方式中的方法被执行。
73、第十四方面,提供了一种通信系统,包括前述的第一网元以及与该第一网元通信的分析网元,其中,该第一网元为用户面网元或应用功能网元,该分析网元为会话管理网元或网络数据分析功能网元。
- 还没有人留言评论。精彩留言会获得点赞!