一种5G终端信令离群检测方法、系统、设备、存储介质与流程

本发明涉及网络安全性，具体涉及一种5g终端信令离群检测方法、系统、设备、存储介质。

背景技术：

1、5g网络的高速度、低延迟和高带宽等特点不仅可以提高用户的体验，同时也为终端设备带来更多的安全风险。攻击者可以利用5g网络的高速传输和高速响应能力，通过恶意软件、网络攻击等方式入侵终端设备，从而窃取用户的个人信息或控制终端设备。现有的安全机制和技术难以准确地检测和预防这些威胁。现有的终端异常行为检测技术只能检测到已知的攻击行为，而对于新型的攻击行为，由于缺乏经验数据支持，检测能力有限。

技术实现思路

1、发明目的：本发明的目的是提供一种5g终端信令离群检测方法、系统、设备、存储介质以解决背景技术中存在的问题。

2、技术方案：本发明所述的一种5g终端信令离群检测方法，包括以下步骤：

3、采集5g终端信令的5g数据；

4、对采集的数据进行降维预处理；

5、设定阈值，判断降维后的5g数据的大小；若降维后的5g数据大于设定阈值，采用基于密度的异常因子离群算法cof对5g终端信令检测；若降维后的5g数据小于设定阈值，采用基于平均距离的k最邻近离群算法knn对5g终端信令检测；

6、根据检测结果判断5g终端故障类型。

7、进一步的，采集5g终端信令的5g数据采集5g终端信令的5g数据：使用信令采集工具和设备对5g终端信令进行5g数据的采集。

8、进一步的，所述降维预处理包括以下步骤：

9、建立5g信令原始数据矩阵x＝{x1,x2,…,xn},x∈rd×n，x1为列向量，矩阵的每一行代表5g信令数据的一个属性字段；其中，rd×n代表d×n维的实数矩阵；

10、计算5g信令原始数据矩阵每一行的平均值对5g信令矩阵进行居中化处理其中，表示矩阵，由若干个组成。

11、根据5g信令原始数据矩阵的居中化处理结果，计算5g信令矩阵的协方差矩阵的特征值λ和特征向量w；

12、结合特征值λ，利用主成分分析法选择能够保留的总方差比例，公式如下：

13、

14、利用得到的总方差比例结合特征向量w计算5g信令原始数据矩阵降维后的数据矩阵c∈rr×n，其中，rr×n代表r×n维的实数矩阵；r代表最小维数。

15、计算原始5g信令数据的每一个数值在新的r维主成分子空间中的坐标，得到降维后的数据矩阵c∈rr×n，其中，rr×n代表r×n维的实数矩阵。

16、进一步的，设定阈值，判断降维后的5g数据的大小，包括以下步骤：

17、设定阈值范围：1000-5000条；

18、若降维后的5g数据大于设定阈值，采用异常因子离群算法cof对5g终端信令检测，具体如下:

19、对降维后的5g数据集合c，定义5g数据集合间距离数据集合间距离dist(a,b)的公式为：dist(a,b)＝min<dist(xi,yj)|xi∈a,yj∈b>，a∩b＝φ；a,b≠φ；

20、对5g数据集合a，定义5g数据集合最近邻:若在5g信令数据集合b存在数据点yj，在5g数据集合a存在数据点xi，使得数据点xi和yj之间的距离dist(xi,yj)等于集合a,b的集合间距离dist(a,b)，则数据点yj就是5g数据集合a的最近邻；

21、对5g数据集合b定义5g数据基于集合b的最近路径：设sbn-path表示给定一个5g数据集合，和另一个初始集合a＝<a1>，然后从b中找出a的集合最近邻加入到a中形成的集合最近邻的先后序列，公式定义如下：

22、sbn-path＝<a1,a2,…,ar>

23、其中，对于任意1≤i≤k-1,都满足ai+1是集合<a1,a2,…,ai>在集合<ai+1,ai+2,…,ak>的最近邻居；

24、对5g数据集合定义5g数据集合的最近轨迹dist(di)公式如下：

25、sbn-trail＝<d1,d2,…,dr-1>

26、其中，对于任意1≤i≤r-1,有di＝(ei,ai+1)，ei∈<a1,a2,…,ai>,且满足

27、dist(di)＝dist(ei,ai+1)＝dist(<a1,a2,…,ai>,<ai+1,ai+2,…,ar>)，并将dist(di)称为集合<a1,a2,…,ai>到集合<ai+1,ai+2,…,ar>的代价；

28、对5g数据集合定义5g数据集合的平均链距离：公式如下：

29、

30、其中，ac-distp(a1)表示集合之间可达的代价加权和。

31、基于上述定义，cof离群检测算法度量给定数据点a的离群因子的公式定义如下：

32、

33、其中，|nk(a)|为数据点a的k-邻域；cofk(·)值越大，表示偏离程度越大；

34、根据设定的阈值，将离群因子大于阈值的数据点标记为离群点即异常点，否则为正常点；

35、若降维后的5g数据小于设定阈值，采用基于平均距离的knn即k最邻近离群算法对5g终端信令检测，具体如下:

36、具体步骤如下：

37、计算降维后的数据集a＝{a1,a2,…,an},a∈rr×n中所有数据点之间的两两距离，从而得到数据点ai与其第k近邻中其他数据点aj之间的距离：

38、

39、根据每个数据点与其第k近邻之间的距离大小对所有的数据点进行降序排序；

40、求排序后的平均距离将dist(ai,aj)与进行比较，并对其进行标记；

41、

42、将标记为false的点记为离群点，存入故障数据库；

43、将离群点第p个数据点到它第k个最近的距离dk(p)进行判断，若判断该点为异常点，否则为正常点。

44、进一步的，根据检测结果判断5g终端故障类型，具体如下：将离群算法检测到的异常点存入故障数据库，将异常点的数据与故障数据库内该异常点存入之前的历史数据进行对比匹配，判断故障类型；其中，故障类型包括：恶意攻击、设备故障、网络问题。

45、本发明所述的一种5g终端信令离群检测系统，其特征在于，包括：

46、数据采集模块：采集5g终端信令的5g数据；

47、预处理模块：用于对采集的数据进行降维预处理；

48、算法模块：用于设定阈值，判断降维后的5g数据的大小；若降维后的5g数据大于设定阈值，采用异常因子离群算法cof对5g终端信令检测；若降维后的5g数据小于设定阈值，采用基于平均距离的knn即k最邻近离群算法对5g终端信令检测；

49、判断模块：用于根据检测结果与故障数据库内的历史数据匹配判断5g终端故障类型。

50、进一步的，数据采集模块中，使用信令采集工具和设备进行5g信令数据的采集。

51、进一步的，预处理模块中，包括以下步骤：

52、建立5g信令原始数据矩阵x＝{x1,x2,…,xn},x∈rd×n，x1为列向量，矩阵的每一行代表5g信令数据的一个属性字段；其中，rd×n代表d×n维的实数矩阵；

53、计算5g信令原始数据矩阵每一行的平均值对5g信令矩阵进行居中化处理其中，表示矩阵，由若干个组成。

54、根据5g信令原始数据矩阵的居中化处理结果，计算5g信令矩阵的协方差矩阵的特征值λ和特征向量w；

55、结合特征值λ，利用主成分分析法选择能够保留的总方差比例，公式如下：

56、

57、利用得到的总方差比例结合特征向量w计算5g信令原始数据矩阵降维后的数据矩阵c∈rr×n，其中，rr×n代表r×n维的实数矩阵；r代表最小维数。

58、计算原始5g信令数据的每一个数值在新的r维主成分子空间中的坐标，得到降维后的数据矩阵c∈rr×n，其中，rr×n代表r×n维的实数矩阵。

59、进一步的，算法模块中，包括以下步骤：

60、设定阈值范围：1000-5000条；

61、若降维后的5g数据大于设定阈值，采用异常因子离群算法cof对5g终端信令检测，具体如下:

62、对降维后的5g数据集合c，定义5g数据集合间距离数据集合间距离dist(a,b)的公式为：dist(a,b)＝min<dist(xi,yj)|xi∈a,yj∈b>，a∩b＝φ；a,b≠φ；

63、对5g数据集合a，定义5g数据集合最近邻:若在5g信令数据集合b存在数据点yj，在5g数据集合a存在数据点xi，使得数据点xi和yj之间的距离dist(xi,yj)等于集合a,b的集合间距离dist(a,b)，则数据点yj就是5g数据集合a的最近邻；

64、对5g数据集合b定义5g数据基于集合b的最近路径：设sbn-path表示给定一个5g数据集合，和另一个初始集合a＝<a1>，然后从b中找出a的集合最近邻加入到a中形成的集合最近邻的先后序列，公式定义如下：

65、sbn-path＝<a1,a2,…,ar>

66、其中，对于任意1≤i≤k-1,都满足ai+1是集合<a1,a2,…,ai>在集合<ai+1,ai+2,…,ak>的最近邻居；

67、对5g数据集合定义5g数据集合的最近轨迹dist(di)公式如下：

68、sbn-trail＝<d1,d2,…,dr-1>

69、其中，对于任意1≤i≤r-1,有di＝(ei,ai+1)，ei∈<a1,a2,…,ai>,且满足

70、dist(di)＝dist(ei,ai+1)＝dist(<a1,a2,…,ai>,<ai+1,ai+2,…,ar>)，并将dist(di)称为集合<a1,a2,…,ai>到集合<ai+1,ai+2,…,ar>的代价；

71、对5g数据集合定义5g数据集合的平均链距离：公式如下：

72、

73、其中，ac-distp(a1)表示集合之间可达的代价加权和。

74、基于上述定义，cof离群检测算法度量给定数据点a的离群因子的公式定义如下：

75、

76、其中，|nk(a)|为数据点a的k-邻域；cofk(·)值越大，表示偏离程度越大；

77、根据设定的阈值，将离群因子大于阈值的数据点标记为离群点即异常点，否则为正常点；

78、若降维后的5g数据小于设定阈值，采用基于平均距离的knn即k最邻近离群算法对5g终端信令检测，具体如下:

79、具体步骤如下：

80、计算降维后的数据集a＝{a1,a2,…,an},a∈rr×n中所有数据点之间的两两距离，从而得到数据点ai与其第k近邻中其他数据点aj之间的距离：

81、

82、根据每个数据点与其第k近邻之间的距离大小对所有的数据点进行降序排序；

83、求排序后的平均距离将dist(ai,aj)与进行比较，并对其进行标记；

84、

85、将标记为false的点记为离群点，存入故障数据库；

86、将离群点第p个数据点到它第k个最近的距离dk(p)进行判断，若判断该点为异常点，否则为正常点。

87、进一步的，判断模块中，具体如下：将异常点存入故障数据库，将异常点的数据与故障数据库内的历史数据进行对比匹配，判断故障类型；其中，故障类型包括：恶意攻击、设备故障、网络问题。

88、本发明所述的一种设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现任一项所述的一种5g终端信令离群检测方法。

89、本发明所述的一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时任一项所述的一种5g终端信令离群检测方法。

90、有益效果：与现有技术相比，本发明具有如下显著优点：本发明根据数据量的大小判断使用哪种离群检测算法，能够处理密度不均匀的数据集，对噪声和异常值的鲁棒性较强。