5G用户级专网流量的采集方法、设备及存储介质与流程

本技术涉及互联网，尤其涉及一种5g用户级专网流量的采集方法、设备及存储介质。

背景技术：

1、随着5g与垂直行业的深度融合助力传统产业的转型升级，5g专网依托运营商的5g网络资源和边缘云资源为垂直行业数字化转型提供了强大的云网一体化基础，促进了5g网络与行业客户的生产、管理业务逐渐融合，也促使网络服务能力和业务应用转移到网络边缘，使得原来封闭的园区网络和运营商网络向着纵向开放转变。与此同时，攻击者更易利用网络的暴露面向网络发起攻击，而网络流量正是攻击行为的载体，使各企业防护的难度越来越高。在此背景下，除了传统的安全防护手段之外，运营商和5g专网客户均希望能够对于5g专网流量进行安全分析监测，更快发现威胁及进行威胁溯源，弥补其他安全工具的不足之处。

2、在现有技术中，图1为现有的网络流量采集方法的流程示意图；如图1所示，现有的网络流量采集方法，基于深度数据包检测(deep packet inspection，简称dpi)流量采集系统实现，包括：基于分光/镜像设备采集多个专网的移动网络流量，即部署区域内所有用户的流量，并将部署区域内所有用户的流量发送至汇聚分流设备，汇聚分流设备将基于ip地址对部署区域内所有用户的流量进行分流过滤；流量解析设备对分流过滤后的流量进行解析，生成原始扩展检测和响应(extended detection and response，简称xdr)；合成回填设备通过关联各接口话单进行关键数据回填生成最终xdr及文件，并基于各类应用平台进行包括信令流量分析和数据流量分析在内的安全分析。但是分光/镜像设备部署位置多为省市或地级市，所采集到的流量包括行业客户所在区域内的所有用户的流量，对于有独立流量分析需求的行业客户来说，无法准确获取到特定行业客户的相关流量。

3、而将采集到的所在区域内的所有用户的流量提供给目标行业客户，存在泄露其他客户数据的风险，因此难以实现基于目标行业客户的5g用户级专网流量进行安全分析监测；此外，基于所在区域内的所有用户的流量进行特定行业的安全分析监测需要处理的数据量庞大，现有技术存在基于流量进行安全分析的分析效率低的技术问题。

技术实现思路

1、本技术提供一种5g用户级专网流量的采集方法、设备及存储介质，用以解决基于流量进行安全分析的分析效率低的技术问题。

2、第一方面，本技术提供一种5g用户级专网流量的采集方法，该方法包括：

3、响应于目标行业客户的5g用户级专网流量的采集请求，获取目标行业客户对应的接入网元ip地址与核心网元ip地址；

4、判断目标行业客户是否满足预设条件；若是，则基于接入网元ip地址与核心网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量；

5、基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量。

6、可选地，判断目标行业客户是否满足预设条件，包括：

7、判断目标行业客户对应的接入网元是否为目标行业客户的专用接入网元；

8、若否，则判断目标行业客户对应的upf网元是否为目标行业客户的专用upf网元；

9、若否，则确定目标行业客户满足预设条件。

10、可选地，在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元是目标行业客户的专用upf网元时，方法还包括：

11、基于接入网元ip地址与upf网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量，将5g网元级流量确定为5g用户级专网流量。

12、可选地，在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元不是目标行业客户的专用upf网元时，方法还包括：

13、基于接入网元ip地址与upf网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量；

14、基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量。

15、可选地，在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元不是目标行业客户的专用upf网元时，基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量，包括：

16、基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对n4接口的5g网元级流量进行过滤；

17、将n1接口、n2接口、n3接口对应的5g网元级流量和过滤后的n4接口的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量；其中，n1接口为目标行业客户的用户终端与amf网元之间的接口，n2接口为接入网元与amf网元之间的接口，n3接口为接入网元与upf网元之间的接口；n4接口为upf网元与smf网元之间的接口。

18、可选地，基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量，包括：

19、基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对5g网元级流量进行过滤；

20、将过滤后的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量。

21、可选地，基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量，包括：

22、基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对n1接口、n2接口、n3接口和n4接口对应的5g网元级流量进行过滤；

23、将过滤后的n1接口、n2接口、n3接口和n4接口对应的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量；

24、其中，n1接口为目标行业客户的用户终端与amf网元之间的接口，n2接口为接入网元与amf网元之间的接口，n3接口为接入网元与upf网元之间的接口；n4接口为upf网元与smf网元之间的接口。

25、第二方面，本技术提供一种5g用户级专网流量的采集设备，包括：

26、获取模块，用于响应于目标行业客户的5g用户级专网流量的采集请求，获取目标行业客户对应的接入网元ip地址与核心网元ip地址；

27、处理模块，用于判断目标行业客户是否满足预设条件；若是，则基于接入网元ip地址与核心网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量；

28、确定模块，用于基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量。

29、可选地，判断模块还用于：

30、判断目标行业客户对应的接入网元是否为目标行业客户的专用接入网元；

31、若否，则判断目标行业客户对应的upf网元是否为目标行业客户的专用upf网元；

32、若否，则确定目标行业客户满足预设条件。

33、可选地，该设备还用于：

34、在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元是目标行业客户的专用upf网元时，基于接入网元ip地址与upf网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量，将5g网元级流量确定为5g用户级专网流量。

35、可选地，该设备还用于：

36、在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元不是目标行业客户的专用upf网元时，基于接入网元ip地址与upf网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量；

37、基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量。

38、可选地，该设备还用于：

39、在目标行业客户对应的接入网元是目标行业客户的专用接入网元，且对应的upf网元不是目标行业客户的专用upf网元时，基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对n4接口的5g网元级流量进行过滤；

40、将n1接口、n2接口、n3接口对应的5g网元级流量和过滤后的n4接口的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量；其中，n1接口为目标行业客户的用户终端与amf网元之间的接口，n2接口为接入网元与amf网元之间的接口，n3接口为接入网元与upf网元之间的接口；n4接口为upf网元与smf网元之间的接口。

41、可选地，确定模块还用于：

42、基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对5g网元级流量进行过滤；

43、将过滤后的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量。

44、可选地，确定模块还用于：

45、基于目标行业客户对应的用户识别码确定5g专网用户白名单列表，基于5g专网用户白名单列表对n1接口、n2接口、n3接口和n4接口对应的5g网元级流量进行过滤；

46、将过滤后的n1接口、n2接口、n3接口和n4接口对应的5g网元级流量，确定为目标行业客户对应的5g用户级专网流量；

47、其中，n1接口为目标行业客户的用户终端与amf网元之间的接口，n2接口为接入网元与amf网元之间的接口，n3接口为接入网元与upf网元之间的接口；n4接口为upf网元与smf网元之间的接口。

48、本技术的第三方面，提供了一种5g用户级专网流量的采集设备，包括：

49、处理器和存储器；

50、存储器存储计算机执行指令；

51、处理器执行存储器存储的计算机执行指令，使得5g用户级专网流量的采集设备执行第一方面中任一项的5g用户级专网流量的采集方法。

52、第四方面，本技术提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面中任一项的5g用户级专网流量的采集方法。

53、本技术提供的5g用户级专网流量的采集方法、设备及存储介质，通过响应于目标行业客户的5g用户级专网流量的采集请求，获取目标行业客户对应的接入网元ip地址与核心网元ip地址；判断目标行业客户是否满足预设条件；若是，则基于接入网元ip地址与核心网元ip地址，从目标行业客户所在区域的5g网络级流量中确定出目标行业客户对应的5g网元级流量；基于目标行业客户对应的用户识别码，从5g网元级流量中确定出目标行业客户对应的5g用户级专网流量；从而基于分光/镜像设备采集目标行业客户所在的省市或地市级区域内所有用户的5g网络级专网流量，根据目标行业客户对应的接入网元ip地址与核心网元ip地址建立5g专网白名单列表，从5g网络级流量中确定出目标行业客户对应的5g网元级流量；根据目标行业客户对应的用户识别码在合成回填模块增加5g专网白名单列表，从5g网元级流量中确定出5g用户级专网流量，根据5g用户级专网流量对目标行业客户进行安全分析，减少了分析数据的数据量，因此实现了提高基于流量进行安全分析的分析效率的技术效果。