[发明专利]用于基于数据分析的消息过滤的方法和装置

权利要求书

1.一种用于基于数据分析的消息过滤的装置，包括：

接收机，被配置为从第一安全区接收消息，所述第一安全区与所述装置被包括在其中的安全区不同；以及

至少一个处理核，被配置为确定是否对所述消息应用恢复动作，所述确定包括：

·基于第一准则进行第一验证以评估是否立即应用所述恢复动作，其中，所述第一准则包括以下中的至少一个：所述消息是否源自禁止节点；或者所述消息是否是禁止类型；或者最后支路安全故障是否发生；或者所述消息的订户类别是否与第一恢复动作相关，并且

仅在所述第一验证没有导致立即应用所述恢复动作的评估的情况下，

·基于第二准则进行第二验证以生成第一权重，以及基于第三准则进行第三验证以生成第二权重，并将所述第一权重和所述第二权重之和与预定义的触发器进行比较以执行所述确定，其中，所述第二准则包括以下中的至少一个：运营商特定的分数；或

者来自所述第一安全区的攻击历史，并且其中，所述第三准则包括以下中的至少一个：所述消息的格式；或者所述消息的长度；或者所述消息中的语法错误；或者所述消息中的因特网协议地址是否对于所述装置是未知的；或者所述消息是否包括在所述装置中罕见的信息元素、属性或扩展；或者在所述消息中是否存在通用漏洞披露CVE内容。

2.根据权利要求1所述的装置，其中，所述至少一个处理核进一步被配置为：如果所述第一权重和所述第二权重之和满足预定义的第一条件，则基于第四准则执行第四验证以生成第三权重，并将所述第一权重、所述第二权重和所述第三权重之和与第二阈值进行比较以执行所述确定。

3.根据权利要求2所述的装置，其中，所述至少一个处理核进一步被配置为：如果所述第一权重、所述第二权重和所述第三权重之和满足预定义的第二条件，则基于第五准则执行第五验证以生成第四权重，并将所述第一权重、所述第二权重、所述第三权重和所述第四权重之和与第三阈值进行比较以执行所述确定。

4.根据权利要求1-3中任一项所述的装置，其中，所述装置是边缘节点。

5.根据权利要求4所述的装置，其中，所述边缘节点包括在基于5G服务的架构中的安全边缘保护代理。

6.根据权利要求1-3中任一项所述的装置，其中，所述确定至少部分地基于机器学习过程。

7.根据权利要求6所述的装置，其中，所述机器学习过程包括聚类过程。

8.根据权利要求1-3中任一项所述的装置，其中，所述恢复动作包括以下中的至少一个：丢弃所述消息；或者丢弃所述消息的部分；或者对所述消息执行防病毒扫描；或者将所述消息标示给管理员；或者修改响应于所述消息而被发送的第二消息。

9.根据权利要求2所述的装置，其中，所述第四准则包括与所述消息所采取的路由有关的至少一个准则。

10.根据权利要求3所述的装置，其中，所述第五准则与因特网协议层有关并包括与以下中的至少一个有关的准则：探索或扫描结果；或者定时；或者托管；或者低层攻击；或者分组丢失信息；或者响应时间；或者边界网关协议信息；或者通用漏洞披露CVE内容。