[发明专利]一种构建面向5G通信系统的网元异常检测模型的方法

说明书

本发明提供了一种构建面向5G通信系统的网元异常检测模型的方法，包括按照以下步骤训练5G通信系统中任意一种类型的网元对应的异常检测模型：A1、获取该类型的网元对应的信令序列集，其包括多个样本，每个样本为该类型的网元根据5G通信协议在正常通信过程中收发信令的信令类型按发生的时间顺序排列而成的收发信令序列；A2、根据5G通信协议下该类型的网元所可能发送信令的发送信令类型总数量配置隐马尔可夫模型中隐状态的数量，得到初始的隐马尔可夫模型；A3、利用信令序列集对初始的隐马尔可夫模型的参数进行多次迭代估计至收敛，得到该类型的网元对应的异常检测模型。

技术领域

本发明涉及移动通信领域，具体来说涉及移动通信中的攻击检测领域，更具体地说，涉及一种构建面向5G通信系统的网元异常检测模型的方法。

背景技术

随着无线通信技术的发展，无线通信网络所涉及的设备已涵盖智能手机、智能家居、远程医疗和自动驾驶等各个方面。然而，无线通信网络中，存在各种安全威胁，如非法拦截信令、非法伪造信令、分布式拒绝服务(DDoS)攻击等攻击行为。

为了对攻击行为进行防御，无线攻击检测及防御机制已经成为无线网络技术中的重点。常见的攻击检测系统如图1所示，主要包括信息收集、信息分析、知识库以及控制器对应的模块。信息收集模块主要负责收集目标系统运行的数据信息，并将其传递给信息分析模块进行数据分析。知识库则是根据目标系统历史正常运行数据信息建立的行为档案库或是攻击检测规则集合等，为信息分析模块提供判断依据。信息分析模块主要负责将收集到的系统运行的数据信息与系统历史正常运行数据信息进行对比分析，以检测出攻击行为；一旦检测出了攻击行为，则立即向控制器发送报警信息，控制器则会根据报警信息产生控制动作发送给目标系统，以及时将攻击行为所造成的影响控制到最小。

下面对其中的信息收集模块和信息分析模块进行详细介绍。由于针对不同的研究目标场景，其目标系统、知识库的构建与控制器存在较大的差异，且不是本发明技术设计的关键所在，因此，这里不对其做详细说明。

信息收集模块所收集的信息主要来源有如下几种：目标系统中的日志文件、目录文件、网络服务进程等。日志文件主要用于检查目标系统中是否有异常活动。目录文件是由于攻击者很多时候为了隐藏自己的活动行为，将系统中的日志文件进行修改、替换或者删除操作，攻击者的活动轨迹会暴露在日志文件中，所以攻击者会尝试删除或修改掉日志文件，因此，需要检查目录文件中是否有异常操作。因为目录文件包括了日志文件，如果日志文件被改动可以在目录文件发现。而上述信息都是来源于目标系统中的设备主机上，一般是对目标系统中的重要设备进行日志文件目录文件的采集。而网络服务进程数据来源于目标系统中的网络交互数据，通过收集网络中各节点间的收发数据包，并提取其特征检查是否有异常的进程特征。

信息分析模块主要包括三种分析方法，分别是：

一、基于模型匹配的分析方法，其是根据已知攻击行为特征建立的知识库，与目前收集到的信息数据特征进行匹配，如果与某种攻击行为特征匹配成功，则说明目标系统正遭受该种攻击，否则，视为安全。可以看出，该种方法准确率高，但是攻击检测仅限于目前知识库已知的攻击，对于知识库未知的攻击行为则毫无检测能力。为了应对未知攻击，提出第二种分析方法。

二、基于行为特征的分析方法，提出了该方法，其通过对检测用户设备行为特征，从而推测出攻击者的意图。如密码猜测攻击时，用户发起验证的行为频率会急剧增加。该方法为发现用户的异常行为提供参考，而对于攻击者的一些隐蔽行为检出率不高，如伪造信令。为此，提出第三种分析方法。