知財求人 - 知財ポータルサイト「IP Force」
特表2022-539901シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-09-13
(54)【発明の名称】シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体
(51)【国際特許分類】
H04W 12/122 20210101AFI20220906BHJP
H04W 48/06 20090101ALI20220906BHJP
H04W 12/72 20210101ALI20220906BHJP
H04L 41/0604 20220101ALI20220906BHJP
H04L 43/02 20220101ALI20220906BHJP
H04L 43/0882 20220101ALI20220906BHJP
H04L 47/2466 20220101ALI20220906BHJP
H04L 47/12 20220101ALI20220906BHJP
【FI】
H04W12/122
H04W48/06
H04W12/72
H04L41/0604
H04L43/02
H04L43/0882
H04L47/2466
H04L47/12
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022501309
(86)(22)【出願日】2020-08-22
(85)【翻訳文提出日】2022-01-26
(86)【国際出願番号】 CN2020110662
(87)【国際公開番号】W WO2021043012
(87)【国際公開日】2021-03-11
(31)【優先権主張番号】201910829015.1
(32)【優先日】2019-09-03
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
(71)【出願人】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【弁理士】
【氏名又は名称】野村 進
(72)【発明者】
【氏名】才 宇▲東▼
【テーマコード(参考)】
5K030
5K067
【Fターム(参考)】
5K030GA13
5K030JA10
5K030JL01
5K030JT09
5K030LC11
5K030LD20
5K030MB09
5K030MC08
5K067DD28
5K067EE02
5K067EE10
5K067EE16
(57)【要約】
本出願の実施形態は、シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体を提供し、ネットワーク技術の分野に属する。本方法は、トラフィック統計情報を取得するステップであって、トラフィック統計情報がトラフィック性能指標の統計および出力情報である、ステップと、トラフィック統計情報に基づいてシグナリングストームを検出するステップと、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得するステップであって、CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するステップであって、ターゲットUEが、シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、ターゲットUEに対してシグナリングブロッキングを実施するステップとを含む。シグナリングストームは、トラフィック統計情報を使用することによって検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。
【特許請求の範囲】
【請求項1】
シグナリングストームブロッキング方法であって、方法が、トラフィック統計情報を取得するステップであって、前記トラフィック統計情報がトラフィック性能指標の統計情報である、ステップと、
前記トラフィック統計情報に基づいてシグナリングストームを検出するステップと、
前記シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得するステップであって、前記CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するステップであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、
前記ターゲットUEに対してシグナリングブロッキングを実施するステップと
を含む、シグナリングストームブロッキング方法。
【請求項2】
前記ターゲットUEに対してシグナリングブロッキングを実施する前記ステップが、前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出するステップであって、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、
第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、前記第1の優先度が前記第2の優先度よりも高い、ステップと
を含む、請求項1に記載の方法。
【請求項3】
前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出する前記ステップが、前記ターゲットUEの国際移動体加入者識別番号IMSIを取得するステップと、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングするステップと、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するステップと
を含む、請求項2に記載の方法。
【請求項4】
前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項4に記載の方法。
【請求項6】
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定する前記ステップが、前記少なくとも1つのUEの前記CHRログから特徴を抽出するステップと、
前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、
ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別するステップと、
異常な挙動特徴シーケンスが識別されると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用するステップと
を含み、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される
請求項1から5のいずれか一項に記載の方法。
【請求項7】
異常挙動特徴シーケンスが識別されると、前記異常挙動特徴シーケンスに対応するUEを、前記ターゲットUEとして使用する前記ステップの後に、前記方法が、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるステップ
をさらに含む、請求項6に記載の方法。
【請求項8】
シグナリングブロッキングを前記ターゲットUEに対して実施する前記ステップが、前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するステップ
を含む、請求項1から7のいずれか一項に記載の方法。
【請求項9】
シグナリングストームブロッキング装置であって、前記装置は、トラフィック統計情報を取得するように構成される取得モジュールであって、前記トラフィック統計情報が、トラフィック性能指標の統計および出力情報である、取得モジュールと、
前記トラフィック統計情報に基づいてシグナリングストームを検出するように構成される検出モジュールであって、
前記取得モジュールが、前記シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得し、前記CHRログはユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ようにさらに構成される、検出モジュールと、
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するように構成される決定モジュールであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、決定モジュールと、
前記ターゲットUEに対してシグナリングブロッキングを実施するように構成されるブロッキングモジュールと
を備えるシグナリングストームブロッキング装置。
【請求項10】
前記ブロッキングモジュールが、前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出し、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、前記第1の優先度が前記第2の優先度よりも高い、ように構成される、請求項9に記載の装置。
【請求項11】
前記ブロッキングモジュールが、前記ターゲットUEの国際移動体加入者識別番号IMSIを取得し、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングし、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するように構成される、請求項10に記載の装置。
【請求項12】
前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
請求項9から11のいずれか一項に記載の装置。
【請求項13】
前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項12に記載の装置。
【請求項14】
前記決定モジュールが、前記少なくとも1つのUEの前記CHRログから特徴を抽出し、前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用し、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される、請求項9から13のいずれか一項に記載の装置。
【請求項15】
前記決定モジュールが、複数の異常な挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常な挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるようにさらに構成される、請求項14に記載の装置。
【請求項16】
前記ブロッキングモジュールが、前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理する、ように構成される、請求項9から15のいずれか一項に記載の装置。
【請求項17】
シグナリングストームブロッキングデバイスであって、前記デバイスが、メモリおよび少なくとも1つのプロセッサを備え、前記メモリが、少なくとも1つの命令を記憶し、前記少なくとも1つの命令が、請求項1から8のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記少なくとも1つのプロセッサによってロードおよび実行される、シグナリングストームブロッキングデバイス。
【請求項18】
コンピュータ可読記憶媒体であって、前記記憶媒体が、少なくとも1つの命令を記憶し、プロセッサが、請求項1から8のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記命令を、ロードおよび実行する、コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、参照によりその全文が本明細書に援用される、2019年9月3日に中国国家知識産権局に提出された、「SIGNALING STORM BLOCKING METHOD、APPARATUS、AND DEVICE、AND STORAGE MEDIUM」と題する、中国特許出願第201910829015.1号の優先権を主張する。
【0002】
本出願は、通信技術の分野に関し、通信技術の分野における人工知能(Artificial Intelligence、AI)の適用にさらに関し、特に、シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体に関する。
【背景技術】
【0003】
より多くの端末が存在し、データサービスが著しく成長し、かつサービス要件がますます多様化しているため、短い遅延、高速、および大量トラフィックに対する需要がある。ワイヤレスネットワークデバイス(例えば、モビリティマネージメントエンティティ機能(mobility management entity function、MME)または進化型基地局(evolved NodeB、eNodeB))によって受信された端末シグナリング要求の数が、ワイヤレスネットワークデバイスによる、すべてのシグナリングを処理する能力を超える場合、ネットワーク輻輳が生じられるか、またはアバランシェ効果さえも発生され、その結果として、ネットワークは利用できない。この状況は、シグナリングストームと呼ばれる。
【0004】
関連技術では、シグナリングストームをブロックするために、ワイヤレスネットワークデバイスに、中央処理装置(Central Processing Unit、CPU)リソース占有率閾値/単位時間当たりのシグナリング量閾値を設定することによってトラフィックが制御される。しかしながら、この制御方式は、シグナリング過負荷に対するシステム保護を提供するにすぎず、シグナリングストームをブロックする方式は的確ではなく、ブロッキング効果が不十分である。
【発明の概要】
【0005】
本出願の実施形態は、関連技術によってもたらされる問題を解決するために、シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体を提供する。技術的解決策は以下の通りである。
【課題を解決するための手段】
【0006】
第1の態様によれば、シグナリングストームブロッキング方法が提供される。本方法は、トラフィック統計情報を取得するステップであって、トラフィック統計情報がトラフィック性能指標の統計および出力情報である、ステップと、トラフィック統計情報に基づいてシグナリングストームを検出するステップと、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得するステップであって、CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するステップであって、ターゲットUEが、シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、ターゲットUEに対してシグナリングブロッキングを実施するステップとを含む。
【0007】
シグナリングストームは、トラフィック統計情報に基づいて検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。
【0008】
一例示的実施形態では、ターゲットUEに対してシグナリングブロッキングを実施するステップは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップであって、偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、第1の優先度が第2の優先度よりも高い、ステップとを含む。
【0009】
異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
【0010】
一例示的実施形態では、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップは、ターゲットUEの国際移動体加入者識別番号IMSIを取得するステップと、ターゲットUEのIMSIに基づいてターゲットUEをページングするステップと、ページング結果に基づいてターゲットUEにおける偽送信元を決定するステップとを含む。
【0011】
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。
【0012】
少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
【0013】
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
【0014】
一例示的実施形態では、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するステップは、少なくとも1つのUEのCHRログから特徴を抽出するステップと、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップと、異常な挙動特徴シーケンスが識別されると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用するステップとを含み、ニューラルネットワークモデルは、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される。
【0015】
一例示的実施形態では、異常挙動特徴シーケンスが識別されると、異常挙動特徴シーケンスに対応するUEを、ターゲットUEとして使用するステップの後に、本方法は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるステップ、をさらに含む。
【0016】
一例示的実施形態では、シグナリングブロッキングをターゲットUEに対して実施するステップは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するステップを含む。
【0017】
シグナリングストームブロッキング装置が、さらに提供される。その装置は、トラフィック統計情報を取得するように構成される取得モジュールであって、トラフィック統計情報が、トラフィック性能指標の統計および出力情報である、取得モジュールと、トラフィック統計情報に基づいてシグナリングストームを検出するように構成される検出モジュールであって、取得モジュールが、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログを取得し、CHRログはユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ようにさらに構成される、検出モジュールと、少なくとも1つのUEのCHRログに基づいてターゲットUEを決定するように構成される決定モジュールであって、ターゲットUEが、シグナリングストームの原因となるシグナリングを生成するUEである、決定モジュールと、ターゲットUEに対してシグナリングブロッキングを実施するように構成されるブロッキングモジュールとを含む。
【0018】
一例示的実施形態では、ブロッキングモジュールは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出し、偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、第1の優先度が第2の優先度よりも高い、ように構成される。
【0019】
一例示的実施形態では、ブロッキングモジュールは、ターゲットUEの国際移動体加入者識別番号IMSIを取得し、ターゲットUEのIMSIに基づいてターゲットUEをページングし、ページング結果に基づいてターゲットUEにおける偽送信元を決定するように構成される。
【0020】
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
【0021】
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
【0022】
一例示的実施形態では、決定モジュールは、少なくとも1つのUEのCHRログから特徴を抽出し、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用し、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される。
【0023】
一例示的実施形態では、決定モジュールは、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるようにさらに構成される。
【0024】
一例示的実施形態では、ブロッキングモジュールは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するように構成される。
【0025】
シグナリングストームブロッキングデバイスが、さらに提供され、本デバイスは、メモリおよび少なくとも1つのプロセッサを含む。メモリは、少なくとも1つの命令またはプログラムを記憶し、その少なくとも1つの命令またはプログラムは、前述のシグナリングストームブロッキング方法のいずれかを実装するために、少なくとも1つのプロセッサによってロードおよび実行される。
【0026】
コンピュータ可読記憶媒体が、さらに提供される。記憶媒体は、少なくとも1つの命令またはプログラムを記憶し、その命令またはプログラムは、前述のシグナリングストームブロッキング方法のいずれかを実装するために、プロセッサによってロードおよび実行される。
【0027】
別の通信装置が提供される。装置は、トランシーバ、メモリ、およびプロセッサを含む。トランシーバ、メモリおよびプロセッサは、内部接続経路を介して互いに通信する。メモリは、命令またはプログラムを記憶するように構成される。プロセッサは、信号を受信および送信するようにトランシーバを制御するために、メモリに記憶された命令またはプログラムを実行するように構成される。また、プロセッサがメモリに記憶された命令またはプログラムを実行すると、プロセッサは、前述の可能な実装形態のいずれか1つにおける方法を実施することを可能にされる。一実施形態では、プロセッサは、バスを介してメモリおよびトランシーバと通信してもよい。
【0028】
一例示的実施形態では、1つ以上のプロセッサがあり、1つ以上のメモリがある。
【0029】
一例示的実施形態では、メモリは、プロセッサと一体化されてもよいし、またはプロセッサから独立して配置される。
【0030】
具体的な実装プロセスでは、メモリは、読み出し専用メモリ(read-only memory、ROM)などの、非一時的(non-transitory)メモリであってもよい。メモリおよびプロセッサは、1つのチップに統合されてもよいし、または異なるチップに別々に配置されてもよい。メモリの種類、ならびにメモリおよびプロセッサが配置される方式は、本出願の本実施形態では限定されない。
【0031】
コンピュータプログラム(製品)が提供される。コンピュータプログラム(製品)は、コンピュータプログラムコードを含む。コンピュータプログラムコードがコンピュータ上で動作させられると、コンピュータは、前述の態様における方法を実施することを可能にされる。
【0032】
チップが提供される。チップは、チップが設置された通信デバイスが前述の態様における方法を実施するように、メモリに記憶された命令またはプログラムを呼び出して動作させるように構成されたプロセッサを含む。
【0033】
入力インターフェース、出力インターフェース、プロセッサ、およびメモリを含む、別のチップが提供される。入力インターフェース、出力インターフェース、プロセッサ、およびメモリは、内部接続経路を介して互いに接続される。プロセッサは、メモリ内のコードを実行するように構成される。コードが実行されると、プロセッサは、前述の態様における方法を実施するように構成される。
【図面の簡単な説明】
【0034】
【図1】本出願の一例示的実施形態による、通信システムの構造の概略図である。
【図2】本出願の一例示的実施形態による、実装環境の概略図である。
【図3】本出願の一例示的実施形態による、シグナリングストームブロッキング方法のフローチャートである。
【図4】本出願の一実施形態による、シグナリングストーム検出プロセスの概略図である。
【図5】本出願の一実施形態による、ターゲットUE決定プロセスの概略図である。
【図6】本出願の一実施形態による、UE関連付けプロセスの概略図である。
【図7】本出願の一実施形態による、シグナリングストームブロッキングプロセスの概略図である。
【図8】本出願の一実施形態による、シグナリングストームブロッキング装置の構造の概略図である。
【図9】本出願の一実施形態による、シグナリングストームブロッキングデバイスの構造の概略図である。
【発明を実施するための形態】
【0035】
本出願の実施態様において使用される用語は、本出願の具体的な実施形態を説明するために使用されているにすぎず、本出願を限定することは意図されていない。
【0036】
より多くの端末が存在し、データサービスが著しく成長しており、かつサービス要件がますます多様化しているため、短い遅延、高速、および大量トラフィックに対する需要がある。ワイヤレスネットワークデバイス(例えば、MMEまたはeNodeB)によって受信された端末シグナリング要求の数が、ワイヤレスネットワークデバイスによる、すべてのシグナリングを処理する能力を超える場合、ネットワーク輻輳が生じられるか、またはアバランシェ効果さえも発生され、その結果として、ネットワークは利用できない。この状況は、シグナリングストームと呼ばれる。
【0037】
関連技術では、ユーザの正常なサービスに対する潜在的なシグナリングストームの影響を低減するために、ワイヤレスネットワークデバイスに、CPUリソース使用率閾値/単位時間当たりのシグナリング量閾値が設定され、CPU使用率および単位時間当たりに受信されるシグナリングメッセージの数、または単位時間当たりに受信されるサービスデータ量がカウントされ、統計データおよび設定されたCPUリソース使用率閾値/単位時間当たりのシグナリング量閾値に基づいて、トラフィック制御がトリガされるか否かが判定される。トラフィック制御は、2つの制御方式、すなわち、開ループ制御および閉ループ制御を含むが、これらに限定されない。
【0038】
制御方式1:開ループ制御
図1に示される通信システムは、説明のための一例として使用される。通信システムは、いくつかの種類のデバイス、すなわち、ユーザ機器(user equipment、UE)、eNodeB、MME、サービングゲートウェイ(serving gateway、SGW)、および運用支援システム(operation support system、OSS)を含む。
図1に示される通信システムは、説明のための一例として使用される。通信システムは、いくつかの種類のデバイス、すなわち、ユーザ機器(user equipment、UE)、eNodeB、MME、サービングゲートウェイ(serving gateway、SGW)、および運用支援システム(operation support system、OSS)を含む。
【0039】
eNodeBは、ユニバーサル移動通信技術のロングタームエボリューション(long term evolution、LTE)ネットワークにおける無線基地局であり、LTE無線アクセスネットワークにおけるネットワーク要素でもある。eNodeBは、無線リソース管理(radio resource management、RRM)機能、ならびにインターネットプロトコル(internet protocol、IP)のヘッダ圧縮およびユーザデータフロー暗号化、UEがアタッチされるときのMME選択、ページング情報のスケジューリングおよび送信、ブロードキャスト情報のスケジューリングおよび送信、eNodeB測定の設定および提供、などの機能を含む。
【0040】
MMEは、LTEネットワークのネットワーク要素である。MME、SGW、およびパブリックデータネットワークゲートウェイ(public data network gateway、PGW)は、4Gコアネットワークと総称される。MMEは、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)プロトコルのLTEアクセスネットワークにおける重要な制御ノードであり、中継の実施を含めて、アイドルモードにあるUEを特定すること、およびUEのページングプロセスを担当する。要するに、MMEは、アクセス制御、モビリティ管理、アタッチおよびデタッチ、セッション管理、ならびにSGWおよびPGW選択などの機能を含むシグナリング処理を担当する。
【0041】
SGWの主要な機能は、以下、すなわち、eNodeB間のハンドオーバ中、SGWがローカルアンカーとして機能し、eNodeBの並べ替え機能の完了を支援することを含む。3GPPの異なるアクセスシステム間のハンドオーバ中、SGWはモビリティアンカとして機能し、並べ替え機能も有する。SGWは、合法的傍受機能を実施し、データパケットをルーティングおよび転送し、アップリンクおよびダウンリンクトランスポート層のパケットをマークする。アイドル状態では、SGWはダウンリンクパケットをバッファリングし、ネットワークによってトリガされるサービス要求を開始する。SGWは、オペレータ間の課金などに使用される。
【0042】
OSSは、運用支援および準備、サービス遂行、サービス保証、ならびにサービス利用の機能を有する。
【0043】
また、UEとeNodeBとの間にはUuインターフェースがある。eNodeBとMMEとの間には、通常S1-Cと呼ばれる、制御プレーンインターフェースがある。eNodeBとSGWとの間には、通常S1-Uと呼ばれる、ユーザプレーンインターフェースがある。図1に示される通信システムにおいて、制御プレーン上のデータフローが過負荷にされ、UEがDDoSを引き起こす場合は、以下のいくつかのケースを含むが、これらに限定されない。
【0044】
1.UEからeNodeBへのアップリンクシグナリング(UE->eNodeB):UEによって発生する大量のアクセスエアインターフェースシグナリングがeNodeBの過負荷を引き起こす。
【0045】
2.eNodeBからMMEへのアップリンクシグナリング(eNodeB->MME):eNodeBが過剰なシグナリングを送信し、MMEの過負荷を引き起こす。
【0046】
3.MMEからeNodeBへのダウンリンクシグナリング(MME->eNodeB):MMEが過剰なシグナリングを配信し、eNodeBの過負荷を引き起こす。
【0047】
4.eNodeB間のシグナリング(eNodeB <->eNodeB):eNodeB間の過剰なシグナリングまたはデータが、ピアeNodeBの過負荷をもたらす。
【0048】
5.UEからMMEへのアップリンクシグナリング(UE->MME):UEによって発生する大量の過剰なシグナリングがMMEの過負荷を引き起こす。
【0049】
ユーザプレーン上のデータフローが過負荷にされ、UEがDDoSを引き起こす場合は、以下のいくつかの場合を含むが、これらに限定されない。
【0050】
1.UEからeNodeBへのアップリンクサービスデータ(UE->eNodeB):UEによって発生する大量のアップリンクエアインターフェースデータがeNodeBの過負荷を引き起こす。
【0051】
2.eNodeBからSGWへのアップリンクサービスデータ(eNodeB->SGW):eNodeBが過剰なデータを送信し、SGWの過負荷を引き起こす。
【0052】
3.SGWからeNodeBへのダウンリンクサービスデータ(SGW->eNodeB):SGWが過剰なデータを配信し、eNodeBの過負荷を引き起こす。
【0053】
4.eNodeB間のサービスデータ(eNodeB <->eNodeB):eNodeB間の過剰なシグナリングまたはデータが、ピアeNodeBの過負荷をもたらす。
【0054】
前述の過負荷の場合、開ループ制御は、受信されたシグナリングメッセージの数または受信されたサービスデータ量に基づいてトラフィックを制御することである。例えば、開ループ制御は、ランダムアクセスプリアンブル(random access preamble)、無線リソース制御(radio resource control、RRC)接続要求(connection request)、ハンドオーバ要求(handover request)、RRC接続再確立要求(connection reestablishment request)、ページング(Paging)、またはダウンリンクデータボリューム(downlink data volume)に基づくトラフィック制御を含むが、これに限定されない。例えば、以下のいくつかの開ループ制御の場合が、説明のために使用される。
【0055】
MME過負荷に基づくトラフィック制御
MME過負荷に基づくトラフィック制御の場合、トラフィック制御は、CPU過負荷メッセージを使用することによって開始されてもよい。例えば、MMEが過負荷のとき、eNodeBは、OVERLOAD START(過負荷開始)メッセージを使用することによって、トラフィック制御を開始するように指示され、アクセスされるUEの数が、RRCアクセス理由に基づいて制限される。MME過負荷が解消された後、eNodeBは、OVERLOAD STOP(過負荷停止)メッセージを使用することによって、トラフィック制御を停止するように指示される。プロトコルにおける関連原理については、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)技術サポート(Technical support、TS)36.413(R9/R10)を参照されたい。
MME過負荷に基づくトラフィック制御の場合、トラフィック制御は、CPU過負荷メッセージを使用することによって開始されてもよい。例えば、MMEが過負荷のとき、eNodeBは、OVERLOAD START(過負荷開始)メッセージを使用することによって、トラフィック制御を開始するように指示され、アクセスされるUEの数が、RRCアクセス理由に基づいて制限される。MME過負荷が解消された後、eNodeBは、OVERLOAD STOP(過負荷停止)メッセージを使用することによって、トラフィック制御を停止するように指示される。プロトコルにおける関連原理については、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)技術サポート(Technical support、TS)36.413(R9/R10)を参照されたい。
【0056】
ランダムアクセスに基づくトラフィック制御
ランダムアクセスに基づくトラフィック制御の目的は、大量のランダムにアクセスされたUEによって生じるeNodeB過負荷を軽減することである。大量のランダムアクセスメッセージは、高いシステム負荷を引き起こし、システムリセットなどの問題をもたらす。ランダムアクセスベースのトラフィック制御の場合、過負荷を制御するために、CPU閾値に基づいてランダムアクセスが拒否されてもよい。
ランダムアクセスに基づくトラフィック制御の目的は、大量のランダムにアクセスされたUEによって生じるeNodeB過負荷を軽減することである。大量のランダムアクセスメッセージは、高いシステム負荷を引き起こし、システムリセットなどの問題をもたらす。ランダムアクセスベースのトラフィック制御の場合、過負荷を制御するために、CPU閾値に基づいてランダムアクセスが拒否されてもよい。
【0057】
初期RRCアクセスメッセージに基づくトラフィック制御
初期RRCアクセスメッセージ(Connection Request)は、手順の開始メッセージ、例えば、eNodeBとMMEとの間のS1 HANDOVER REQUEST(ハンドオーバ要求)、またはeNodeB間のX2 HANDOVER REQUEST(ハンドオーバ要求)である。初期RRCアクセスメッセージに基づくトラフィック制御の場合、初期アクセスメッセージが正常に処理された後、後続する一連の関連処理がトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、毎秒の要求数、CPU使用率、メッセージ優先度などを使用することによって、初期RRCアクセスメッセージに基づいて、トラフィックが制御されてもよい。
初期RRCアクセスメッセージ(Connection Request)は、手順の開始メッセージ、例えば、eNodeBとMMEとの間のS1 HANDOVER REQUEST(ハンドオーバ要求)、またはeNodeB間のX2 HANDOVER REQUEST(ハンドオーバ要求)である。初期RRCアクセスメッセージに基づくトラフィック制御の場合、初期アクセスメッセージが正常に処理された後、後続する一連の関連処理がトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、毎秒の要求数、CPU使用率、メッセージ優先度などを使用することによって、初期RRCアクセスメッセージに基づいて、トラフィックが制御されてもよい。
【0058】
ページングに基づくトラフィック制御
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
【0059】
制御方式2:閉ループ制御
閉ループ制御は、CPU占有率に基づいてトラフィックを制御することである。トラフィック制御解決策は、初期アクセスの拒否、または低優先度サービスの切り替えを含む。
閉ループ制御は、CPU占有率に基づいてトラフィックを制御することである。トラフィック制御解決策は、初期アクセスの拒否、または低優先度サービスの切り替えを含む。
【0060】
シグナリング過負荷に対するシステム保護を提供するために、いくつかの制御方式の各々においてCPU/シグナリング閾値が使用されることを知ることは困難ではない。しかしながら、第5世代(fifth-generation、5G)移動通信システムでは、基地局が高密度で配置され、大量マシンタイプ通信(massive machine type communication、mMTC)シナリオにおいて大量のUEがアクセスされ、超高信頼・低遅延通信(ultra-reliable and low latency communication、URLLC)シナリオにおいてサービスは可用性が高い。その結果、ハッカーは、ボットネットを形成するために大量のUEを制御する傾向がある。ボットネットは、ネットワーク要素のリソースを連続的に占有し、その結果として、事業者ネットワークに対して分散型サービス妨害攻撃(distributed denial of service attack、DDoS)を実施する。DDoSに起因して発生するシグナリングストームに関して、前述の制御方式はDDoS検出を支援しない。その結果、シグナリングストームをブロックする方式は的確ではなく、ブロッキング効果が不十分である。
【0061】
したがって、本出願の実施形態は、シグナリングストームブロッキング方法を提供する。本方法では、トラフィック統計情報に基づいてシグナリングストームが検出される。シグナリングストームが検出されると、UEの呼履歴記録(call history record、CHR)ログに基づいて、シグナリングストームの原因となるシグナリングを生成する、ターゲットUEが決定される。次いで、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。例えば、シグナリングストームブロッキング方法は、図2に示される実装環境に適用される。実装環境は、無線アクセスネットワーク(radio access network、RAN)およびコア(core)ネットワークを含む。コアネットワークとRANとの間には、バックホール(backhaul)がある。
【0062】
RANは、UEとコアネットワークとの間の接続を提供する。RANアーキテクチャは、ユーザプレーンを確立することを目的とされる。ユーザプレーンを確立するためには、シグナリングプレーンが確立される必要がある。RANアーキテクチャでは、5G基地局(gNode)は、UEへのシグナリング接続を確立し、コアネットワークにシグナリングを送信し、デジタルサーバを確立するように構成される。図2に示されるように、RANは、2つの論理ユニット、すなわち、集中型ユニット(centralized unit、CU)、および分散型ユニット(distributed unit、DU)を含む。CUおよびDUは、gNodeの内部構造であり、シナリオおよび要件に基づいて、一緒にまたは別々に配置されてもよい。CUは、パケットデータ収束プロトコル(packet data convergence protocol、PDCP)およびRRC機能を有する。DUは、5Gに新たに導入された論理ネットワーク要素であり、L2およびL1機能を有する。
【0063】
コアネットワークは、アクセスおよびモビリティ管理ネットワーク要素(access and mobility management function、AMF)、ユーザプレーン機能(user plane function、UPF)、ならびに統合データ管理(unified data management、UDM)などのデバイスを含む。
【0064】
図2に示されるように、実装環境は、3つのアプリケーションシナリオ、すなわち、高度モバイルブロードバンド(enhanced mobile broadband、eMBB)を提供するリソースユニット(resource unit、RU)、大量マシンタイプ通信(massive machine type communication、mMTC)、および超高信頼・低遅延通信(ultra-reliable and low latency communication、URLLC)をさらに含む。5Gに基づいて進化したアーキテクチャは、モバイルアクセスネットワークとインターネットサービスとを深く融合するモバイルエッジコンピューティング(mobile edge computing、MEC)技術をさらに有する。一態様では、MECは、ユーザエクスペリエンスを向上させ、帯域幅リソースを節約することができる。別の態様では、サードパーティのアプリケーション統合を提供するために、計算能力がモバイルエッジノードに沈められ、それによって、モバイルエッジの入り口におけるサービス革新のための無限の可能性を提供する。また、コアネットワークは、インターネット(Internet)、モノのインターネット(Internet of Things,IoT)プラットフォーム、および車両のインターネットにさらに接続されてもよい。
【0065】
図2に示されるように、実装環境は、サイバーセキュリティインテリジェンスシステム(cybersecurity intelligence system、CIS)をさらに含む。CISとインターネットとの間には、フロープローブがさらに接続され、フロープローブがインターネットのトラフィックイメージを検出する。CISは、国際移動体加入者識別番号(international mobile subscriber identity、IMSI)をコアネットワークに配信してもよく、コアネットワークは、一時的移動体加入者識別番号(temporary mobile subscriber identity、TMSI)をRANに配信してもよい。
【0066】
一例として、図2に示される実装環境を使用して、本出願の一実施形態は、シグナリングストームブロッキング方法を提供する。本方法では、CISによってシグナリングストームをブロックするプロセスが、一例として使用される。基地局およびコアネットワークデバイスは、シグナリングログおよびトラフィック統計情報をCISに報告してもよく、フロープローブもまた、UEの警報ログなどのメタデータ(metadata)をCISに報告してもよい。CISは、受信されたデータに基づいてシグナリングストームを検出、すなわちDDoSを検出する。シグナリングストームを検出した後、CISは、シグナリングストームの原因となるシグナリングを生成する、ターゲットUEをさらに決定し、シグナリングストームをブロックするために、ターゲットUEに対してシグナリングブロッキングを実施する。図3を参照すると、本方法は、以下のステップ301~305を含む。
【0067】
301.トラフィック統計情報を取得し、トラフィック統計情報はトラフィック性能指標の統計および出力情報である。
【0068】
トラフィック統計情報は、ユーザ挙動分析、ネットワーク傾向分析、キャパシティプランニング、障害位置特定、および別の態様に適用されてもよい。本出願の本実施形態で提供される方法では、シグナリングストームがブロックされる前に、トラフィック統計情報が最初に取得される。トラフィック統計情報を取得する方法は、本出願の本実施形態では限定されない。例えば、図2に示されるように、基地局とコアネットワークデバイスの両方が、CISにトラフィック統計情報を報告してもよく、CISは、基地局とコアネットワークデバイスによって報告されたトラフィック統計情報に基づいて、シグナリングストームを検出してもよい。この場合、CISによって取得されたトラフィック統計情報は、基地局によって報告される、基地局のトラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。
【0069】
基地局のトラフィック統計ログ、およびコアネットワークのトラフィック統計ログは、オンラインのUEの総数、各状態のUEの数などを含むが、これらに限定されない。また、基地局がRRCプロトコルを使用し、コアネットワークがNASプロトコルを使用するので、基地局およびコアネットワークデバイスによって報告されるトラフィック統計ログは、異なるプロトコルから選択されるログ特徴フィールド、例えば、CPU使用率、シグナリング手順カウント、アタッチ要求の数、サービス要求の数、シグナリング頻度、およびアクセスされたUEの数である。トラフィック統計ログの内容は、本出願の本実施形態では限定されない。
【0070】
また、基地局およびコアネットワークデバイスによる、トラフィック統計情報を報告する機会は、本出願の本実施形態では限定されず、基地局およびコアネットワークデバイスは、定期的にまたはリアルタイムでトラフィック統計情報を報告してもよい。トラフィック統計情報を取得した後、CISは、リアルタイムまたは定期的にシグナリングストームを検出することができる。
【0071】
302.トラフィック統計情報に基づいて、シグナリングストームを検出する。
【0072】
一例示的実施形態では、CISによって取得されたトラフィック統計情報が比較的大量の内容を含むので、本出願の本実施形態で提供される方法では、シグナリングストームがトラフィック統計情報に基づいて検出されるとき、トラフィック統計情報の前処理が支援される。次いで、シグナリングストームが、前処理されたデータに基づいて検出される。本出願の本実施形態では、前処理方式は限定されない。例えば、前処理は、フォーマット変換、文字変換、フィールド縮小などを含むが、これらに限定されない。例えば、前処理されたデータが以下の表1に示される。
【0073】
【表1】
【0074】
表1では、前処理されたデータは、CPU負荷値、シグナリング手順の数、シグナリング手順グループカウント、オンラインのUEの総数、各状態におけるUEの数、認証手順カウント、および成功した認証の数を含む。各データの詳細な説明については、上記の表1を参照されたい。HSSは、呼び出し/セッションを処理するように構成されたIMSネットワークエンティティを支援する、主要なユーザデータベースである。HSSは、ユーザプロファイルを含み、ユーザの本人認証および認可を実施し、ユーザの物理的位置に関する情報を提供してもよい。
【0075】
一例示的実施形態では、シグナリングストームがトラフィック統計情報に基づいて検出されることは、以下、すなわち、シグナリングストームがアイソレーションフォレストおよび時系列予測を介した、トラフィック統計情報に基づいて検出されることを含むが、これに限定されない。例えば、データが前処理される場合、シグナリングストームは、アイソレーションフォレストおよび時系列予測を介して前処理されたデータに基づいて検出される。
【0076】
アイソレーションフォレスト(isolation forest,iForest)は、高速異常検出方法であり、線形時間複雑度および高精度を有し、ネットワークセキュリティにおける攻撃検出に使用されてもよい。iForestは、連続的な数値データ(continuous numerical data)の異常検出に適用可能であり、異常は、高密度群から比較的遠いまばらに分布する点として理解され得る、「より分離される可能性の高い(more likely to be separated)隔離された点」と定義される。iForestを説明するために統計を使用すると、データ空間において、まばらな分布領域は、この領域におけるデータ発生の確率が非常に低いことを示し、したがって、この領域内に入るデータは異常であると考えられ得る。例えば、図4に示されるように、隔離されたフォレストを介した、トラフィック統計情報に基づいて、異常検出が実施された後、異常なネットワーク要素および正常なネットワーク要素が決定される。異常なネットワーク要素は、シグナリングストームによって攻撃されたネットワーク要素である。例えば、図4に示されるように、正常なネットワーク要素に関しては、CPU使用率は50%であり、シグナリング手順カウントでは、アタッチ要求(attach REQ)の数は10000未満であり、サービス要求(Service request)の数は8000未満であり、シグナリング頻度は100000未満であり、アクセスされたUEの数は50未満である。しかしながら、シグナリングストームに起因して、異常なネットワーク要素に関しては、CPU使用率は90%に達し、シグナリング手順カウントでは、アタッチ要求(attach REQ)の数は100000より多く、サービス要求(Service request)の数は80000より多く、シグナリング頻度は1000000より多く、アクセスされたUEの数は200よりも多い。
【0077】
303.シグナリングストームが検出されると、少なくとも1つのUEのCHRログであって、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、CHRログを取得する。
【0078】
CHRログは、ユーザの呼処理で発生する問題を記録するために使用され、障害理由を特定するために使用されてもよい。例えば、CHRログの内容は、UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスなどの1つ以上の情報を含むが、これらに限定されない。本出願の本実施形態で提供される方法では、シグナリングストームの原因となるシグナリングを生成するターゲットUEは、CHRログに基づいて特定される。したがって、シグナリングストームが検出されると、UEのCHRログが取得される。本出願の本実施形態では、UEの数は限定されない。UEのCHRログを取得する方式は、本出願の本実施形態で限定されない。例えば、図2に示されるように、基地局およびコアネットワークデバイスは、UEのCHRログをCISに報告してもよく、少なくとも1つのUEが存在する。例えば、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
【0079】
また、一例示的実施形態では、フロープローブは、UEの警報ログをCISに報告してもよい。一例示的実施形態では、少なくとも1つのUEの、CISによって取得されるCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
【0080】
304.少なくとも1つのUEのCHRログに基づいて、シグナリングストームの原因となるシグナリングを生成するUEである、ターゲットUEを決定する。
【0081】
一例示的実施形態では、ネットワーク要素が攻撃されていることが検出され、シグナリングストームが検出されるとき、少なくとも1つのUEのCHRログに基づいてターゲットUEが決定されることは、少なくとも1つのUEのCHRログから特徴を抽出するステップと、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップと、異常な挙動特徴シーケンスが識別されると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用するステップとを含み、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される。
【0082】
ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別するステップの前に、本方法は、UEの挙動特徴シーケンスを識別するために使用されるニューラルネットワークモデルを取得するステップをさらに含む。ニューラルネットワークモデルを取得するプロセスおよびニューラルネットワークモデルの種類は、本出願の本実施形態では限定されない。例えば、図5に示されるように、CISがCHRログを取得する例が使用される。CHRログは、ログファイルを使用することによって、ユーザの関連情報を記録する。UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、シグナリング手順シーケンス、および帯域幅などの特徴は、CHRログから特徴を抽出することによって取得されてもよい。
【0083】
初期ニューラルネットワークモデルは、履歴期間において取得されたCHRログから抽出された特徴に基づいて訓練されてもよく、履歴期間の長さは、シナリオまたは経験に基づいて設定されてもよい。履歴期間の長さは、本出願の本実施形態では限定されない。例えば、履歴期間は、履歴の1週間である。特徴は、履歴の1週間におけるCHRログから抽出され、初期ニューラルネットワークモデルに入力される。初期ニューラルネットワークモデルは、基準期間における、正常なUEの挙動特徴シーケンスを学習する。基準期間は、シナリオまたは経験に基づいて設定されてもよい。例えば、基準期間は5分である。正常なUEのシグナリング手順を学習するプロセスは、オンラインで訓練されてもよい。例えば、初期ニューラルネットワークモデルは、隠れマルコフモデル(hidden Markov model、HMM)であってもよい。HMMの基本的な考え方は、大量の正常なUEのシグナリング手順シーケンスを学習することによって、UEシグナリング手順シーケンス状態マシンを確立し、状態遷移確率を計算することによって異常なUEを識別することである。シーケンス状態マシンは、いくつかの状態、すなわち、シーケンス異常、パケット技術異常、時間挙動異常、および手順技術異常を含む。
【0084】
シグナリングストームが検出されると、CHRログが取得された後、少なくとも1つのUEのCHRログから特徴が抽出され、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスが取得される。解析を介して取得された各UEの挙動特徴シーケンスが、訓練されたニューラルネットワークモデルに入力され、オンライン検出が、ニューラルネットワークモデルに基づいて実施される。一例としてHMMを使用して、HMMは、UEが正常なUEであるか悪意のあるUEであるかを判定するために、UEの挙動特徴シーケンスが正常であるか否かを識別する。悪意のあるUEは、シグナリングストームの原因となるシグナリングを生成するUE、すなわちターゲットUEである。例えば、挙動特徴シーケンスが正常な手順を満たすUEは正常なUEであり、挙動特徴シーケンスが正常な手順を満たさないUEは悪意のあるUEである。例えば、5分間の、UEに対応する挙動特徴シーケンスが、サービス要求(12:00:14)-->サービス要求(12:00:15)-->CN init detach(12:03:15)-->サービス要求(12:03:20)である場合、挙動特徴シーケンスは、正常なUEに対応する挙動特徴シーケンスである。あるいは、UEに対応する挙動特徴シーケンスが、attach(12:05:06)-->TAU(12:05:07)-->TAU(12:05:07)-->TAU(12:05:08)-->attach(12:05:10)-->detach(12:05:15)-->TAU(12:05:33)-->detach(12:05:44)である場合、この挙動特徴は、5分以内にUEが頻繁にアタッチおよびデタッチされることを示す。したがって、この挙動特徴シーケンスは、異常なUEに対応する異常な挙動特徴シーケンスである。
【0085】
異常なUEに対応する異常な挙動特徴シーケンスが検出された後、異常なUEのセキュリティイベント、例えば、悪意のあるUEの付加価値サービスが、続いてさらに決定されてもよく、セキュリティイベントが端末にプッシュされる。
【0086】
例えば、異常挙動特徴シーケンスが識別されると、異常挙動特徴シーケンスに対応するUEを、ターゲットUEとして使用するステップの後に、本方法は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるステップ、をさらに含む。
【0087】
図6に示されるように、シグナリングストームが検出される場合、決定されたターゲットUEの特徴は、図6にある、異常なUEのグループ画像の内容であり、異常なUEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスを含む。シグナリングストームが検出される場合、シグナリングストームによって攻撃されるコアネットワークのシグナリングDDoS攻撃の重要な特徴は、アクセスされるUEの数の増加、手順カウント増加、手順グループカウント増加、および手順グループカウント割合を含む。悪意のあるUEのシグナリングプレーン特徴は、異常なUEのグループ画像およびコアネットワークのシグナリングDDoS攻撃の重要な特徴に基づいて取得されてもよい。シグナリングプレーン上の悪意のあるUEのIMSIを取得するために、異常なUEのグループ画像およびコアネットワークのシグナリングDDoS攻撃の重要な特徴に基づいて、悪意のあるUEが決定される。また、警報されたUEのIPは、フロープローブによって報告された警報ログに基づいて決定されてもよい。シグナリングプレーン上の悪意のあるUEのIMSIが取得された後、CHRログはIPとIMSIとの間の関係を記録するので、制御およびコマンド(C&C)トラフィック検出結果に基づいて、C&CにおけるIPおよびIMSIクエリを介して、データプレーンC&Cにおける悪意のあるUEのIMSIが取得される(すなわち、悪意のあるUEのIMSIは、CC UE IPクエリを介して取得される)。悪意のあるUEのIMSIは、シグナリングプレーン上の悪意のあるUEのIMSIをデータプレーンC&C内の悪意のあるUEのIMSIと関連付けることによって決定される。
【0088】
図6では、フロープローブがUEの警報情報を報告することのみが一例として使用されていることに留意されたい。UEの、フロープローブによって報告される、警報情報を、CISが取得しない場合、図6の第2のステップの実行は省略されてもよく、悪意のあるUEのIMSIは、第1および第2のステップを使用することによって直接決定される。
【0089】
305.ターゲットUEに対してシグナリングブロッキングを実施する。
【0090】
一例示的実施形態では、シグナリングブロッキングがターゲットUEに対して実施されることは、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理することを含む。
【0091】
セキュリティイベントのブロッキングポリシーは、本出願の本実施形態では限定されない。例えば、セキュリティイベントを監視した後、運用および保守監視従業員が、セキュリティイベント内のターゲットUEをブロックするためのブロッキングコマンドを手動で配信するように、カプセル化されたセキュリティイベントがプッシュされる。
【0092】
別の例示的実施形態では、コアネットワークのブロッキングインターフェースが呼び出されてもよく、例えば、ブロッキングインターフェースは図2に示されるインターフェース6であってもよい。コアネットワークのインターフェース6は、ブロッキングを実施するためにIMSIをコアネットワークに配信するために呼び出される。コアネットワークは、IMSIとTMSIとの間の関係に基づいて、エアインターフェースブロッキングのための無線基地局に、シグナリングストームの原因となるシグナリングを生成するターゲットUEのTMSIを配信する。
【0093】
また、異なるセキュリティイベントは異なるブロッキングポリシーを有してもよい。シグナリングストームの原因となるシグナリングを生成するターゲットUEは、DDoSのための偽送信元の場合があるので、この種類のターゲットUEのブロッキング優先度は、より高くする必要がある。したがって、本出願の本実施形態は、異なるブロッキング優先度を使用することによって異なる種類のターゲットUEをブロックするステップを含む。例えば、シグナリングブロッキングがターゲットUEに対して実施されることは、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップであって、偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、第1の優先度が第2の優先度よりも高い、ステップとを含む。
【0094】
一例示的実施形態では、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出するステップは、ターゲットUEのIMSIを取得するステップと、ターゲットUEのIMSIに基づいてターゲットUEをページングするステップと、ページング結果に基づいてターゲットUEにおける偽送信元を決定するステップとを含む。例えば、ターゲットUEがターゲットUEのIMSIに基づいてページングされるとき、ページング結果がページング成功である場合、ターゲットUEは非偽送信元であり、またはページング結果がページング失敗である場合、ターゲットUEは偽送信元である。
【0095】
結論として、本出願の本実施形態で提供される方法によれば、シグナリングストームが、トラフィック統計情報を使用することによって検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。また、異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
【0096】
前述のシグナリングストームブロッキングプロセスについては、図7を参照されたい。図7に示されるように、CISが実行主体であることが、一例として使用され、シグナリングストームブロッキングプロセスは、ステップ71から76を含む。ステップ71で、CISは、トラフィック統計/CHRログを取得し、DDoSを検出するために必要な入力データを取得するために、トラフィック統計/CHRログのデータを前処理する。ステップ72で、CISは、DDoS検出結果を取得するために、ニューラルネットワークモデルを使用することによってDDoSを検出、すなわち、シグナリングストームが発生されるか否かを監視する。ステップ73で、CISは、シグナリングストームを検出すると、シグナリングストームの原因となるシグナリングを生成するターゲットUE、すなわち悪意のあるUEを決定するために、シグナリングストームのシグナリング特徴およびUEのCHRログに基づいて、UEの関連付け分析を実施する。また、例えば、CISは、悪意のあるUEにおける偽送信元を決定するために、悪意のあるUEにおける偽送信元をさらに検出してもよい。ステップ74で、CISは、セキュリティイベントのブロッキングポリシーに基づいて、シグナリングブロッキングを実施するために、シグナリングストームに関する情報および悪意のあるUEに関する情報を、DDoSセキュリティイベントとして処理する。例えば、ステップ75で、CISは、ブロッキング動作を実施するために、コアネットワークのリンケージインターフェースを自動的に呼び出すか、または、ステップ76で、CISは、イベント報告を介して、セキュリティイベントを運用および保守監視端にプッシュし、シグナリングストームをブロックするブロッキング動作を実施するために、運用および保守監視従業員がコアネットワークのリンケージインターフェースを手動で呼び出す。
【0097】
本出願の実施形態で提供されるシグナリングストームブロッキング方法を説明するために、本出願の本実施形態では図2に示されるシステムのみが例として使用されているが、本出願の実施形態で提供される方法が適用されるシナリオは限定されないことに留意されたい。図2に示されるシステムおよび図2に示されるシステムのプロトコルに加えて、本方法は、他のプロトコル間の相互作用にさらに適用されてもよい。言い換えれば、本出願の実施形態で提供される方法のプロトコルは、柔軟に拡張されてもよい。
【0098】
本出願の一実施形態は、シグナリングストームブロッキング装置をさらに提供する。図8を参照すると、シグナリングストームブロッキング装置は、取得モジュール801と、検出モジュール802と、決定モジュール803と、ブロッキングモジュール804とを含む。
【0099】
取得モジュール801は、トラフィック統計情報を取得し、トラフィック統計情報はトラフィック性能指標の統計および出力情報である、ように構成される。
【0100】
検出モジュール802は、トラフィック統計情報に基づいて、シグナリングストームを検出するように構成される。
【0101】
取得モジュール801は、シグナリングストームが検出されると、少なくとも1つのユーザ機器UEの呼履歴記録CHRログであって、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、CHRログを取得するように構成される。
【0102】
決定モジュール803は、少なくとも1つのUEのCHRログに基づいて、シグナリングストームの原因となるシグナリングを生成するUEであるターゲットUEを決定するように構成される。
【0103】
ブロッキングモジュール804は、ターゲットUEに対してシグナリングブロッキングを実施するように構成される。
【0104】
一例示的実施形態では、ブロッキングモジュール804は、ターゲットUEにおける偽送信元を、ターゲットUEにおける偽送信元を取得するために、検出し、偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、第1の優先度が第2の優先度よりも高い、ように構成される。
【0105】
一例示的実施形態では、ブロッキングモジュール804は、ターゲットUEの国際移動体加入者識別番号IMSIを取得し、ターゲットUEのIMSIに基づいてターゲットUEをページングし、ページング結果に基づいてターゲットUEにおける偽送信元を決定するように構成される。
【0106】
一例示的実施形態では、トラフィック統計情報は、基地局の、基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含む。少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
【0107】
一例示的実施形態では、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む。
【0108】
一例示的実施形態では、決定モジュール803は、少なくとも1つのUEのCHRログから特徴を抽出し、抽出された特徴に基づく解析を介して、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、異常な挙動特徴シーケンスに対応するUEをターゲットUEとして使用し、ニューラルネットワークモデルが、正常なUEに対応する挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される。
【0109】
一例示的実施形態では、決定モジュール803は、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、複数の異常挙動特徴シーケンスに対応するターゲットUEを関連付けるようにさらに構成される。
【0110】
一例示的実施形態では、ブロッキングモジュール804は、シグナリングストームに関する情報およびターゲットUEに関する情報をセキュリティイベントとして、セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するように構成される。
【0111】
本出願の本実施形態で提供される装置によれば、シグナリングストームが、トラフィック統計情報を使用することによって検出される。シグナリングストームが検出されると、シグナリングストームの原因となるシグナリングを生成するターゲットUEが、UEのCHRログに基づいて決定され、ターゲットUEに対してシグナリングブロッキングが実施される。このようにして、シグナリングストームがより正確にブロックされ、ブロッキング効果が改善される。
【0112】
また、異なる優先度を使用することによってブロッキングを実施するために、決定されたターゲットUEが偽送信元であるか否かが、さらに判定され、それによってブロッキング効果をさらに改善する。
【0113】
図8で提供される装置がその装置の機能を実装するとき、前述の機能モジュールへの分割は、単に説明のための例として使用されるにすぎないことを理解されたい。実際の適用に際しては、前述の機能は、要件に基づいて実装用の様々な機能モジュールに割り振られてもよい。言い換えれば、デバイスは、上記の機能のすべてまたは一部を実装するために、内部構造に関して、異なる機能モジュールに分割される。また、前述の実施形態で提供される装置、および方法の実施形態は、同じ考えに属する。装置の具体的な実装プロセスについては、方法の実施形態を参照されたい。詳細は、本明細書では再び説明されない。
【0114】
図9を参照すると、本出願の一実施形態は、シグナリングストームブロッキングデバイス900をさらに提供する。図9に示されるシグナリングストームブロッキングデバイス900は、前述のシグナリングストームブロッキング方法における動作を実施するように構成される。シグナリングストームブロッキングデバイス900は、メモリ901、プロセッサ902、およびインターフェース903を含む。メモリ901、プロセッサ902、およびインターフェース903は、バス904を介して接続される。
【0115】
メモリ901は、少なくとも1つの命令を記憶し、その少なくとも1つの命令は、前述のシグナリングストームブロッキング方法を実装するために、プロセッサ902によってロードおよび実行される。
【0116】
インターフェース903は、ネットワーク内の他のデバイスとの通信に使用される。インターフェース903は、ワイヤレスまたは有線方式で通信を実装してもよい。例えば、インターフェース903は、ネットワークアダプタであってもよい。
【0117】
図9は、シグナリングストームブロッキングデバイス900の単純化された設計を示すにすぎないことを理解されたい。実際の適用では、シグナリングストームブロッキングデバイスは、任意の数のインターフェース、プロセッサまたはメモリを含んでもよい。また、プロセッサは、中央処理装置(Central Processing Unit、CPU)であってもよく、あるいは別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processing、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(field-programmable gate array、FPGA)もしくは別のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、またはディスクリートハードウェアコンポーネントなどであってもよい。汎用プロセッサは、マイクロプロセッサまたは任意の従来のプロセッサなどであってもよい。プロセッサは、高度な縮小命令セットコンピューティングマシン(advanced RISC machines、ARM)アーキテクチャを支援するプロセッサであってもよいことに留意されたい。
【0118】
さらに、任意選択の実施形態では、メモリは、読み出し専用メモリおよびランダムアクセスメモリを含み、プロセッサに命令およびデータを供給してもよい。メモリは、不揮発性ランダムアクセスメモリをさらに含んでよい。例えば、メモリは、デバイスの種類に関する情報をさらに記憶してもよい。
【0119】
メモリは、揮発性メモリもしくは不揮発性メモリであってもよく、または、揮発性メモリと不揮発性メモリの両方を含んでもよい。不揮発性メモリは、読み出し専用メモリ(read-only memory(read-only memory、ROM)、プログラマブル読み出し専用メモリ(programmable ROM、PROM)、消去可能プログラマブル読み出し専用メモリ(erasable PROM、EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(electrically EPROM、EEPROM)、またはフラッシュメモリであってもよい。揮発性メモリは、外部キャッシュとして使用される、ランダムアクセスメモリ(random access memory、RAM)であってもよい。限定ではなく例として、多くの形態のRAM、例えば、スタティックランダムアクセスメモリ(static RAM、SRAM)、ダイナミックランダムアクセスメモリ(dynamic random access memory、DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM、SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM、DDR SDRAM)、拡張シンクロナス・ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM、ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM、SLDRAM)、およびダイレクト・ラムバス・ランダム・アクセス・メモリ(direct rambus RAM,DR RAM)が利用可能である。
【0120】
図9で提供されるデバイスが、デバイスの機能を実装するとき、具体的な実装プロセスについては、方法の実施形態を参照されたい、ということを理解されたい。詳細は、本明細書では再び説明されない。
【0121】
コンピュータ可読記憶媒体が、さらに提供される。記憶媒体は、少なくとも1つの命令を記憶し、その命令は、前述の方法の実施形態のいずれか1つにおける、シグナリングストームブロッキング方法を実装するために、プロセッサによってロードおよび実行される。
【0122】
本出願は、コンピュータプログラムを提供する。コンピュータプログラムがコンピュータによって実行されると、プロセッサまたはコンピュータは、前述の方法の実施形態における対応する動作および/または手順を実施することを可能にされてもよい。
【0123】
前述の実施形態のすべてまたは一部は、ソフトウェア、ハードウェア、ファームウェア、またはこれらの任意の組合せを使用することによって実装されてもよい。ソフトウェアが実施形態を実装するために使用されるとき、前述の実施形態のすべてまたは一部は、コンピュータプログラム製品の形態で実装されてもよい。コンピュータプログラム製品は、1つ以上のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータにロードされて実行されると、本出願による手順または機能がすべてまたは部分的に生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、またはあるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタへ、有線(例えば、同軸ケーブル、光ファイバ、デジタル加入者線)方式、またはワイヤレス(例えば、赤外線、無線、マイクロ波)方式で、送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、または1つ以上の使用可能な媒体を統合した、サーバもしくはデータセンタなどのデータ記憶デバイスであってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピー(登録商標)ディスク、ハードディスク、または磁気テープ)、光学媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートディスク(Solid State Disk))などであってもよい。
【0124】
前述の説明は、本出願の実施形態であるが、本出願を限定することは意図されていない。本出願の原理から逸脱することなく行われた変更、均等な置換、または改良などはいずれも、本出願の保護範囲内に含まれるものとする。
【符号の説明】
【0125】
6 インターフェース
801 取得モジュール
802 検出モジュール
803 決定モジュール
804 ブロッキングモジュール
900 シグナリングストームブロッキングデバイス
901 メモリ
902 プロセッサ
903 インターフェース
904 バス
801 取得モジュール
802 検出モジュール
803 決定モジュール
804 ブロッキングモジュール
900 シグナリングストームブロッキングデバイス
901 メモリ
902 プロセッサ
903 インターフェース
904 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【手続補正書】
【提出日】2022-01-26
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
シグナリングストームブロッキング方法であって、方法が、トラフィック統計情報を取得するステップであって、前記トラフィック統計情報がトラフィック性能指標の統計および出力情報である、ステップと、
前記トラフィック統計情報に基づいてシグナリングストームを検出するステップと、
前記シグナリングストームが検出されると、少なくとも1つのユーザ機器、UE、の呼履歴記録、CHR、ログを取得するステップであって、前記CHRログが、ユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ステップと、
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するステップであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、ステップと、
前記ターゲットUEに対してシグナリングブロッキングを実施するステップと
を含む、シグナリングストームブロッキング方法。
【請求項2】
前記ターゲットUEに対してシグナリングブロッキングを実施する前記ステップが、前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出するステップであって、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEである、ステップと、
第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施するステップであって、前記第1の優先度が前記第2の優先度よりも高い、ステップと
を含む、請求項1に記載の方法。
【請求項3】
前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出する前記ステップが、前記ターゲットUEの国際移動体加入者識別番号、IMSI、を取得するステップと、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングするステップと、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するステップと
を含む、請求項2に記載の方法。
【請求項4】
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定する前記ステップが、前記少なくとも1つのUEの前記CHRログから特徴を抽出するステップと、
前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得するステップと、
ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別するステップと、
異常な挙動特徴シーケンスが識別されると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用するステップと
を含み、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される
請求項1から3のいずれか一項に記載の方法。
【請求項5】
異常挙動特徴シーケンスが識別されると、前記異常挙動特徴シーケンスに対応するUEを、前記ターゲットUEとして使用する前記ステップの後に、前記方法が、複数の異常挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるステップ
をさらに含む、請求項3に記載の方法。
【請求項6】
シグナリングブロッキングを前記ターゲットUEに対して実施する前記ステップが、前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理するステップ
を含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、またはコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項7に記載の方法。
【請求項9】
シグナリングストームブロッキング装置であって、トラフィック統計情報を取得するように構成される取得モジュールであって、前記トラフィック統計情報が、トラフィック性能指標の統計および出力情報である、取得モジュールと、
前記トラフィック統計情報に基づいてシグナリングストームを検出するように構成される検出モジュールであって、
前記取得モジュールが、前記シグナリングストームが検出されると、少なくとも1つのユーザ機器、UEの呼履歴記録、CHR、ログを取得し、前記CHRログはユーザの呼処理で発生する問題を記録するために使用されるログファイルである、ようにさらに構成される、検出モジュールと、
前記少なくとも1つのUEの前記CHRログに基づいてターゲットUEを決定するように構成される決定モジュールであって、前記ターゲットUEが、前記シグナリングストームの原因となるシグナリングを生成するUEである、決定モジュールと、
前記ターゲットUEに対してシグナリングブロッキングを実施するように構成されるブロッキングモジュールと
を備えるシグナリングストームブロッキング装置。
【請求項10】
前記ブロッキングモジュールが、前記ターゲットUEにおける偽送信元を、前記ターゲットUEにおける前記偽送信元を取得するために、検出し、前記偽送信元が、偽アドレスを使用することによって通信を実施するUEであり、第1の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける前記偽送信元に対してシグナリングブロッキングを実施し、第2の優先度のブロッキングポリシーを使用することによって、前記ターゲットUEにおける非偽送信元に対してシグナリングブロッキングを実施し、前記第1の優先度が前記第2の優先度よりも高い、ように構成される、請求項9に記載の装置。
【請求項11】
前記ブロッキングモジュールが、前記ターゲットUEの国際移動体加入者識別番号、IMSI、を取得し、前記ターゲットUEの前記IMSIに基づいて前記ターゲットUEをページングし、ページング結果に基づいて前記ターゲットUEにおける前記偽送信元を決定するように構成される、請求項10に記載の装置。
【請求項12】
前記決定モジュールが、前記少なくとも1つのUEの前記CHRログから特徴を抽出し、前記抽出された特徴に基づく解析を介して、前記少なくとも1つのUEにおける、各UEに対応する挙動特徴シーケンスを取得し、ニューラルネットワークモデルを使用することによって、前記少なくとも1つのUEにおける、各UEに対応する前記挙動特徴シーケンスを識別し、異常な挙動特徴シーケンスを識別すると、前記異常な挙動特徴シーケンスに対応するUEを前記ターゲットUEとして使用し、前記ニューラルネットワークモデルが、正常なUEに対応する前記挙動特徴シーケンスを使用することによって、訓練を介して取得される、ように構成される、請求項9から11のいずれか一項に記載の装置。
【請求項13】
前記決定モジュールが、複数の異常な挙動特徴シーケンスに対応するターゲットUEが存在するとき、前記複数の異常な挙動特徴シーケンスに対応する前記ターゲットUEを関連付けるようにさらに構成される、請求項12に記載の装置。
【請求項14】
前記ブロッキングモジュールが、前記シグナリングストームに関する情報および前記ターゲットUEに関する情報をセキュリティイベントとして、前記セキュリティイベントのブロッキングポリシーに基づいてシグナリングブロッキングを実施するために、処理する、ように構成される、請求項9から13のいずれか一項に記載の装置。
【請求項15】
前記トラフィック統計情報が、基地局の、前記基地局によって報告される、トラフィック統計ログ、およびコアネットワークの、コアネットワークデバイスによって報告される、トラフィック統計ログのうちの1つ以上を含み、前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、前記基地局によって報告される、シグナリングログ、および前記少なくとも1つのUEの、前記コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む、
請求項9から14のいずれか一項に記載の装置。
【請求項16】
前記少なくとも1つのUEの前記CHRログが、前記少なくとも1つのUEの、フロープローブによって報告される、警報ログをさらに含む、請求項15に記載の装置。
【請求項17】
シグナリングストームブロッキングデバイスであって、メモリおよび少なくとも1つのプロセッサを備え、前記メモリが、少なくとも1つの命令を記憶し、前記少なくとも1つの命令が、請求項1から8のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記少なくとも1つのプロセッサによってロードおよび実行される、シグナリングストームブロッキングデバイス。
【請求項18】
コンピュータ可読記憶媒体であって、前記記憶媒体が、少なくとも1つの命令を記憶し、プロセッサが、請求項1から8のいずれか一項に記載のシグナリングストームブロッキング方法を実装するために、前記命令を、ロードおよび実行する、コンピュータ可読記憶媒体。
【請求項19】
コンピュータに請求項1から8のいずれか一項に記載の方法を実行させるプログラム。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0062
【補正方法】変更
【補正の内容】
【0062】
ページングメッセージに基づくトラフィック制御
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
ページングメッセージは、手順の開始メッセージである。ページングメッセージが正常に処理された後、大勢のユーザがネットワークにアクセスするようにトリガされ、システム全体に大きなオーバヘッドを引き起こす。したがって、ページングメッセージに基づくトラフィック制御の場合、シグナリング手順の開始段階でトラフィックが制御され、それによってシステム負荷を最初から低減するために、CPU閾値およびサービス優先度に基づいて、トラフィックが制御されてもよい。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0084
【補正方法】変更
【補正の内容】
【0084】
CHRログは、ユーザの呼処理で発生する問題を記録するために使用され、障害理由を特定するために使用されてもよい。例えば、CHRログの内容は、UEの、アクセス時間、アクセス期間、手順カウント、手順グループカウント、およびシグナリング手順シーケンスなどの1つ以上の情報を含むが、これらに限定されない。本出願の本実施形態で提供される方法では、シグナリングストームの原因となるシグナリングを生成するターゲットUEは、CHRログに基づいて特定される。したがって、シグナリングストームが検出されると、UEのCHRログが取得される。本出願の本実施形態では、UEの数は限定されない。UEのCHRログを取得する方式は、本出願の本実施形態で限定されない。例えば、図2に示されるように、基地局およびコアネットワークデバイスは、UEのCHRログをCISに報告してもよく、少なくとも1つのUEが存在する。例えば、少なくとも1つのUEのCHRログは、少なくとも1つのUEの、基地局によって報告される、シグナリングログ、および少なくとも1つのUEの、コアネットワークデバイスによって報告される、シグナリングログのうちの1つ以上を含む。
【国際調査報告】