异常识别方法和系统、存储介质及电子装置制造方法及图纸

本发明专利技术实施例提供了一种异常识别方法和装置、系统、存储介质及电子装置，上述方法包括：通过日志系统从目标网元获取目标终端的第一数据，第一数据包括目标终端的第一终端描述信息以及目标终端的目标数据流的第一数据流描述信息；通过日志系统将第一数据输入至目标识别模型，并获取目标识别模型输出的第一识别结果，目标识别模型用于根据第一数据识别目标终端是否存在异常；在第一识别结果指示目标终端存在异常的情况下，通过日志系统向安全管理后台发送通知消息，通知消息用于指示目标终端存在异常。通过本发明专利技术，解决了相关技术中日志系统无法识别终端异常的技术问题，实现了日志系统对于终端的异常的识别。系统对于终端的异常的识别。系统对于终端的异常的识别。

【技术实现步骤摘要】
异常识别方法和系统、存储介质及电子装置


[0001]本专利技术实施例涉及通信领域，具体而言，涉及一种异常识别方法和系统、存储介质及电子装置。

技术介绍

[0002]随着5G大规模商用和万物互联时代的到来，网络中产生了更多的流量消耗，而且网络拓扑更加复杂、终端规模剧增，因此实现网络安全更加重要，一旦出现网络安全问题，可能会引发非常严重的后果。
[0003]目前，运营商和设备商面临着严峻的网络安全形势。相关技术中，通常在网络中部署防火墙设备对终端进行数据拦截，并部署日志系统(例如基于网络详细记录协议(IP Detailed Record，简称为IPDR)的日志系统)以实现终端信息与上网日志的关联，并将终端的上网日志进行存储，方便对终端进行溯源查询。但是该方式存在以下几个方面的缺陷：第一、日志系统缺乏事前的对终端以及终端产生的数据流中所存在的异常进行主动发现和通知的能力。日志系统属于溯源系统，虽然在发生由存在异常的终端所导致的网络安全问题后，可以在该日志系统中对终端的上网日志进行事后查阅分析，但是日志系统无法实现在发生网络问题之前进行异常的预判，进而安全部门无法提前得到通知，从而该方式无法在出现网络安全问题前对终端的上网行为进行控制，而此时存在异常的终端已经开始进行危险活动，从而严重影响了网络安全。第二、日志系统缺乏事后主动发现及上报能力：当出现网络安全问题，日志设备仅能被动的接收所有终端的上网日志并对其进行存储，而这些上网日志仅仅是原始记录，其中并没有任何标记或提示信息，从而安全部门无法根据日志系统中存储中的海量日志得知这些日志是否是异常日志，安全部门只能在发现网络中存在的完全问题后，再从日志系统中根据网络协议(Internet Protocol，简称为IP)地址进行溯源。第三、由于日志系统对于接收到的所有日志均进行存储，从而导致日志系统需要存储海量的日志数据，占用了大量的存储空间、导致了大量的存储资源的消耗。
[0004]针对相关技术中，日志系统无法识别终端异常的技术问题，尚未提出有效的技术方案。

技术实现思路

[0005]本专利技术实施例提供了一种异常识别方法和装置、存储介质及电子装置，以至少解决相关技术中日志系统无法识别终端异常的技术问题。
[0006]根据本专利技术的一个实施例，提供了一种异常识别，包括：通过日志系统从目标网元获取目标终端的第一数据，其中，所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息；通过所述日志系统将所述第一数据输入至目标识别模型，并获取所述目标识别模型输出的第一识别结果，其中，所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常；在所述第一识别结果指示所述目标终端存在异常的情况下，通过所述日志系统向安全管理后台发送通知消息，其中，所
述通知消息用于指示所述目标终端存在异常。
[0007]在一个示例性实施例中，在所述通过所述日志系统将所述第一数据输入至目标识别模型之后，所述方法还包括：获取所述目标识别模型输出的第二识别结果，其中，所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常；在所述第二识别结果指示所述目标数据流存在异常的情况下，通过所述日志系统向安全管理后台发送所述通知消息，其中，所述通知消息还用于指示所述目标数据流存在异常。
[0008]在一个示例性实施例中，所述通过日志系统从目标网元获取目标终端的第一数据，包括：从第一网元获取所述第一终端描述信息，以及从用户面功能实体UPF获取所述第一数据流描述信息。
[0009]在一个示例性实施例中，所述从第一网元获取所述第一终端描述信息，包括以下至少之一：从接入管理功能实体AMF获取所述目标终端的接入数据；从会话管理功能实体SMF获取所述目标终端的会话描述信息；从策略控制功能实体PCF获取所述目标终端对应的策略信息；从统一数据管理功能实体UDM获取所述目标终端的签约信息；其中，所述从用户面功能实体UPF获取所述第一数据流描述信息，包括以下至少之一：从所述UPF获取所述目标数据流的持续时间，所述目标数据流的五元组信息，所述目标数据流的协议类型，所述目标数据流中携带的统一资源定位符URL，所述目标数据流对应的应用，所述数据流中数据包的数量，所述数据流中数据包的总长度。
[0010]在一个示例性实施例中，在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下，所述方法还包括：通过所述日志系统对所述目标终端对应的第一日志添加标签，其中，所述标签用于指示所述第一日志存在异常；通过所述日志系统保存所述第一日志，以及将所述第一日志发送至所述安全管理后台。
[0011]在一个示例性实施例中，在所述通过所述日志系统向安全管理后台发送通知消息之后，所述方法还包括：获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果，其中，所述检测结果用于指示所述目标数据流存在异常；其中，所述方法还包括：通过所述日志系统对所述目标终端对应的第二日志添加标签，其中，所述标签用于指示所述第二日志存在异常，所述第二日志的生成时间晚于所述第一日志的生成时间；通过所述日志系统保存所述第二日志，以及将所述第二日志发送至所述安全管理后台；或者，通过所述日志系统从所述目标网元获取所述目标终端的第二数据，其中，所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息；通过所述日志系统将所述第二数据输入至所述目标识别模型，并获取所述目标识别模型输出的第三识别结果；在所述第三识别结果指示所述目标数据流存在异常的情况下，通过所述日志系统对所述目标终端对应的第三日志添加标签，其中，所述标签用于指示所述第三日志存在异常，所述第三日志的生成时间晚于所述第一日志的生成时间；通过所述日志系统保存所述第三日志，以及将所述第三日志发送至所述安全管理后台。
[0012]在一个示例性实施例中，在所述第一识别结果指示所述目标终端不存在异常、并且所述第二识别结果指示所述目标数据流不存在异常的情况下，所述方法还包括：在所述目标识别模型输出的所述第一识别结果对应的置信度大于第一预设置信度阈值，以及所述第二识别结果对应的置信度大于第二预设置信度阈值的情况下，通过所述日志系统对所述
目标终端对应的日志进行过滤，以及不通过所述日志系统保存所述目标终端对应的日志。
[0013]在一个示例性实施例中，在所述通过所述日志系统将所述第一数据输入至目标识别模型，并获取所述目标识别模型输出的第一识别结果之前，所述方法还包括：通过网络数据分析功能NWDAF实体获取多个样本数据，其中，所述多个样本数据中的每个样本数据包括一个终端的终端描述信息，所述一个终端的数据流的数据流描述信息，以及所述一个终端的数据流对应的检测结果，所述检测结果是防火墙设备对所述一个终端的数据流进行检测得到的检测结果，所述检测结果用于指示所述一个终端的数据流是否存在异常；通过所述NWDAF实体使用所述多个样本数据对训练前的识别模型进行训练，得到训练完成后的识别模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常识别方法，其特征在于，包括：通过日志系统从目标网元获取目标终端的第一数据，其中，所述第一数据包括所述目标终端的第一终端描述信息以及所述目标终端的目标数据流的第一数据流描述信息；通过所述日志系统将所述第一数据输入至目标识别模型，并获取所述目标识别模型输出的第一识别结果，其中，所述目标识别模型用于根据所述第一数据识别所述目标终端是否存在异常；在所述第一识别结果指示所述目标终端存在异常的情况下，通过所述日志系统向安全管理后台发送通知消息，其中，所述通知消息用于指示所述目标终端存在异常。2.根据权利要求1所述的方法，其特征在于，在所述通过所述日志系统将所述第一数据输入至目标识别模型之后，所述方法还包括：获取所述目标识别模型输出的第二识别结果，其中，所述目标识别模型还用于根据所述第一数据识别所述目标数据流是否存在异常；在所述第二识别结果指示所述目标数据流存在异常的情况下，通过所述日志系统向安全管理后台发送所述通知消息，其中，所述通知消息还用于指示所述目标数据流存在异常。3.根据权利要求1所述的方法，其特征在于，所述通过日志系统从目标网元获取目标终端的第一数据，包括：从第一网元获取所述第一终端描述信息，以及从用户面功能实体UPF获取所述第一数据流描述信息。4.根据权利要求3所述的方法，其特征在于，所述从第一网元获取所述第一终端描述信息，包括以下至少之一：从接入管理功能实体AMF获取所述目标终端的接入数据；从会话管理功能实体SMF获取所述目标终端的会话描述信息；从策略控制功能实体PCF获取所述目标终端对应的策略信息；从统一数据管理功能实体UDM获取所述目标终端的签约信息；其中，所述从用户面功能实体UPF获取所述第一数据流描述信息，包括以下至少之一：从所述UPF获取所述目标数据流的持续时间，所述目标数据流的五元组信息，所述目标数据流的协议类型，所述目标数据流中携带的统一资源定位符URL，所述目标数据流对应的应用，所述数据流中数据包的数量，所述数据流中数据包的总长度。5.根据权利要求2所述的方法，其特征在于，在所述第一识别结果指示所述目标终端存在异常和/或所述第二识别结果指示所述目标数据流存在异常的情况下，所述方法还包括：通过所述日志系统对所述目标终端对应的第一日志添加标签，其中，所述标签用于指示所述第一日志存在异常；通过所述日志系统保存所述第一日志，以及将所述第一日志发送至所述安全管理后台。6.根据权利要求5所述的方法，其特征在于，在所述通过所述日志系统向安全管理后台发送通知消息之后，所述方法还包括：获取防火墙设备发送的对所述目标数据流进行检测得到的检测结果，其中，所述检测结果用于指示所述目标数据流存在异常；其中，所述方法还包括：通过所述日志系统对所述目标终端对应的第二日志添加标签，其中，所述标签用于指
示所述第二日志存在异常，所述第二日志的生成时间晚于所述第一日志的生成时间；通过所述日志系统保存所述第二日志，以及将所述第二日志发送至所述安全管理后台；或者，通过所述日志系统从所述目标网元获取所述目标终端的第二数据，其中，所述第二数据中包括所述目标终端的第二终端描述信息以及所述目标数据流的第二数据流描述信息；通过所述日志系统将所述第二数据输入至所述目标识别模型，并获取所述目标识别模型输出的第三识别结果；在所述第三识别结果指示所述目标数据流存在异常的情况下，通过所述日志系统对所述目标终端对应的第三日志添加标签，其中，所述标签用于指示所述第三日志存在异常，所述第三日志的生成时间晚于所述第一日志的生成时间；通过所述日志系统保存所述第三日...

【专利技术属性】
技术研发人员：连超，江舟，刘建华，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：