一种异常终端接入检测方法及装置与流程

本发明涉及一种异常终端接入检测方法及装置。

背景技术：

1、运营商在边缘计算中心对异常终端接入的检测，通常采用在边缘计算中心采部署dpi(deep packet inspection，深度包检测)系统的方式，对核心网信令进行采集，首先需建立网络正常行为的模型，当发现被检测数据的实时行为模型与正常行为模型出现偏差时，即认为被检测数据存在异常。

2、单纯在运营商网络侧通过部署dpi系统的方式对异常终端接入进行检测，其准确率取决于终端接入阈值的设置，而准确的终端接入阈值数据往往掌握在企业用户手中，由于现有的异常终端接入检测技术无法提供一个安全的检测环境，企业用户会因为数据安全问题不将阈值数据公开，运营商也会因数据安全问题而不将用户数据发送给企业，使得检测过程中没有准确的经验数据与用户数据进行对比而导致误报率大。

技术实现思路

1、本发明所要解决的技术问题是针对现有技术的上述不足，提供一种异常终端接入检测方法及装置，通过可信执行环境保障企业公开的终端接入经验数据以及运营商的用户数据的安全性，以解决现有的异常终端接入检测技术中无法提供安全的检测环境从而无法将用户数据与与准确的经验数据进行对比导致误报率大的问题。

2、第一方面，本发明提供一种异常终端接入检测方法，应用于异常终端检测节点，包括：

3、所述tee接收深度包检测dpi系统节点发送的第一加密数据，其中，所述第一加密数据中包括目标终端的接入信息；

4、所述tee接收企业节点发送的第二加密数据，其中，所述第二加密数据中包括目标终端接入经验数据；

5、所述tee将所述目标终端的接入信息与所述目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常。

6、优选地，所述tee接收深度包检测dpi系统节点发送的第一加密数据之前，还包括：

7、所述tee生成第一密钥对以及第二密钥对，其中，所述第一密钥对中包括第一公钥以及第一私钥，所述第二密钥对中包括第二公钥以及第二私钥；

8、所述tee将所述第一公钥发送至深度包检测dpi系统节点，以使所述深度包检测dpi系统节点根据所述第一公钥将目标终端的接入信息加密并生成第一加密数据；

9、所述tee将所述第二公钥发送至企业节点，以使所述企业节点根据所述第二公钥将经验数据加密并生成第二加密数据；

10、所述tee将所述目标终端的接入信息与所述目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常之前，还包括：

11、所述tee根据所述第一私钥对所述第一加密信息进行解密以获取所述目标终端的接入信息；

12、所述tee根据所述第二私钥对所述二加密信息进行解密以获取所述目标终端接入经验数据。

13、优选地，所述目标终端的接入信息包括所述目标终端的卡号、目标接入行为以及目标接入行为的发生时间；

14、所述目标终端接入经验数据包括所述目标终端的卡号、目标接入行为、目标接入行为的经验时间段以及对应经验时间段内目标接入行为阈值。

15、优选地，所述tee将所述目标终端的接入信息与所述目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常，包括：

16、所述tee判断所述目标终端在所述目标接入行为的经验时间段内进行所述目标接入行为的次数是否超过所述目标接入行为阈值，若是，则所述目标终端的接入信息异常，否则，所述目标终端的接入信息正常。

17、优选地，响应于所述目标终端的接入信息异常，所述tee生成报警信息；

18、所述tee生成报警信息之后，还包括：

19、所述tee使用所述第一私钥对所述报警信息进行加密以获取第三加密信息；

20、所述tee使用所述第二私钥对所述报警信息进行加密以获取第四加密信息；

21、所述tee将所述第三加密信息发送至所述深度包检测dpi系统节点，以使所述深度包检测dpi系统节点根据所述第一公钥对所述第三加密信息进行解密后获取所述报警信息；

22、所述tee将所述第四加密信息发送至所述企业节点，以使所述企业节点根据所述第二公钥对所述第四加密信息进行解密后获取所述报警信息。

23、优选地，还包括：

24、所述tee删除所述目标终端的接入信息以及所述目标终端接入经验数据。

25、第二方面，本发明还提供一种异常终端接入检测方法，应用于深度包检测dpi系统节点，包括：

26、将第一加密数据发送至异常终端检测节点中的可信执行环境tee，以使所述tee在接收到所述第一加密数据以及企业节点发送的第二加密数据后，将所述第一加密数据中的目标终端的接入信息与所述第二加密数据中的目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常。

27、优选地，所述将第一加密数据发送至异常终端检测节点中的可信执行环境tee之前，还包括：

28、从核心网n4接口采集核心网信令；

29、根据所述核心网信令统计所述目标终端的接入信息；

30、接收所述tee发送的所述第一公钥；

31、根据所述第一公钥将所述目标终端的接入信息加密并生成所述第一加密数据。

32、优选地，还包括：

33、接收所述tee发送的第三加密信息，其中，所述第三加密信息中包括报警信息；

34、使用所述第一公钥对所述第三加密信息进行解密以获取所述报警信息。

35、第三方面，本发明还提供一种异常终端接入检测装置，设置于异常终端检测节点预先配置的可信执行环境tee中，包括：

36、第一加密接收模块，用于接收深度包检测dpi系统节点发送的第一加密数据，其中，所述第一加密数据中包括目标终端的接入信息；

37、第二加密接收模块，与所述第一加密接收模块连接，用于接收企业节点发送的第二加密数据，其中，所述第二加密数据中包括目标终端接入经验数据；

38、对比模块，与所述第二加密接收模块连接，用于将所述目标终端的接入信息与所述目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常。

39、第四方面，本发明还提供一种异常终端接入检测装置，设置于深度包检测dpi系统节点，包括：

40、加密发送模块，用于将第一加密数据发送至异常终端检测节点中的可信执行环境tee，以使所述tee在接收到所述第一加密数据以及企业节点发送的第二加密数据后，将所述第一加密数据中的目标终端的接入信息与所述第二加密数据中的目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常。

41、第五方面，本发明还提供一种异常终端接入检测装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以实现如上述第一方面所述的异常终端接入检测方法，或实现如上述第二方面所述的异常终端接入检测方法。

42、本发明提供的异常终端接入检测方法及装置，在异常终端检测节点预先配置有可信执行环境tee，首先所述tee接收深度包检测dpi系统节点发送的第一加密数据，其中，所述第一加密数据中包括目标终端的接入信息，再由所述tee接收企业节点发送的第二加密数据，其中，所述第二加密数据中包括目标终端接入经验数据，最终所述tee将所述目标终端的接入信息与所述目标终端接入经验数据进行对比以确定所述目标终端的接入信息是否异常，由于本发明在异常终端接入检测的过程中通过可信执行环境保障企业公开的终端接入经验数据的安全性，解决了现有的异常终端接入检测技术中无法提供安全的检测环境从而无法将用户数据与与准确的经验数据进行对比导致误报率大的问题。