设备行为检测及阻隔处理方法、介质及电子设备与流程

本发明涉及通信技术领域，具体而言，涉及一种设备行为检测及阻隔处理方法、介质及电子设备。

背景技术：

在无线通信系统(如4g、5g等)中，通常是假设ue(userequipment，用户设备)总是依据通信协议的规定来执行信令流程，但是随着无线通信系统的逐渐开放，系统中不可避免地会出现非法设备，这些设备可能有意不按照通信协议的规定进行数据传输，进而会对整个无线通信系统的正常运行产生影响。

技术实现要素：

本发明的实施例提供了一种设备行为检测及阻隔处理方法、介质及电子设备，进而至少在一定程度上可以避免非法设备对无线通信系统的正常工作造成影响。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的设备行为检测方法，包括：检测用户设备与无线通信网络中的网络侧设备之间的交互行为；根据所述交互行为确定所述用户设备是否为非法设备；将确定的所述非法设备的标识信息发送至所述网络侧设备，以供所述网络侧设备对所述非法设备进行阻隔处理。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的阻隔处理方法，包括：获取无线通信网络中的非法设备的标识信息；若接收到所述非法设备发起的与接入所述无线通信网络相关的请求信令，则忽略所述请求信令；若检测到已与所述非法设备建立连接，则释放掉与所述非法设备之间的连接。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的阻隔处理方法，包括：获取无线通信网络中的非法设备的标识信息；若检测到已与所述非法设备建立连接，则释放掉与所述非法设备之间的非接入层连接，并通知基站释放掉与所述非法设备之间的rrc(radioresourcecontrol，无线资源控制)连接。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的设备行为检测装置，包括：检测单元，用于检测用户设备与无线通信网络中的网络侧设备之间的交互行为；确定单元，用于根据所述交互行为确定所述用户设备是否为非法设备；发送单元，用于将确定的所述非法设备的标识信息发送至所述网络侧设备，以供所述网络侧设备对所述非法设备进行阻隔处理。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：检测所述用户设备与所述网络侧设备之间的控制面协议行为；所述确定单元配置为：根据所述用户设备的信令行为，确定所述用户设备是否为非法设备。

在本发明的一些实施例中，基于前述方案，所述确定单元配置为：根据所述用户设备的信令行为，确定所述用户设备发送的信令的逻辑功能和/或执行时序是否异常；若所述用户设备发送的信令的逻辑功能和/或执行时序出现异常，则确定所述用户设备为非法设备。

在本发明的一些实施例中，基于前述方案，所述确定单元配置为：若所述用户设备反复发起随机接入请求，和/或反复发起rrc连接请求，和/或反复发起连接建立完成的消息，则确定所述用户设备发送的信令的逻辑功能和/或执行时序出现异常。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：通过安装在所述网络侧设备上的检测模块检测所述用户设备与所述网络侧设备之间的控制面协议行为。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：检测所述用户设备与所述网络侧设备之间的用户面协议行为；所述确定单元配置为：根据所述用户设备的用户面传输情况及所述用户设备的行为特征，确定所述用户设备是否为非法设备。

在本发明的一些实施例中，基于前述方案，所述确定单元配置为：若所述用户设备的用户面传输发生异常，且所述用户设备的行为特征为预定的行为特征，则确定所述用户设备为非法设备。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：检测所述用户设备与所述网络侧设备交互时的应用层行为；所述确定单元配置为：若所述用户设备的应用层行为属于预定行为，则确定所述用户设备为非法设备。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：通过安装在所述用户设备上的检测模块检测所述应用层行为。

在本发明的一些实施例中，基于前述方案，所述检测单元配置为：接收无线通信网络中的网络侧设备提供的所述用户设备与所述网络侧设备之间的交互行为，其中，所述交互行为包括所述用户设备发起的信令行为和数据传输行为。

在本发明的一些实施例中，基于前述方案，所述发送单元配置为：统计各个用户设备被确定为非法设备的次数；将在预定时长内被确定为非法设备的次数达到设定次数的用户设备的标识信息发送至所述网络侧设备。

在本发明的一些实施例中，基于前述方案，所述发送单元配置为：向所述网络侧设备发送包含有所述非法设备的标识信息的通知消息，其中，所述非法设备的标识信息包括所述非法设备的核心网标识和/或所述非法设备采用的空中接口的标识。

在本发明的一些实施例中，基于前述方案，所述发送单元配置为：将确定的一个非法设备的标识信息发送至所述网络侧设备，或将确定的多个非法设备的标识信息同时发送至所述网络侧设备。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的阻隔处理装置，包括：获取单元，用于获取无线通信网络中的非法设备的标识信息；第一处理单元，用于在接收到所述非法设备发起的与接入所述无线通信网络相关的请求信令时，忽略所述请求信令；第二处理单元，用于在检测到已与所述非法设备建立连接时，释放掉与所述非法设备之间的连接。

在本发明的一些实施例中，基于前述方案，所述请求信令包括：随机接入请求、rrc连接请求和连接建立完成消息。

在本发明的一些实施例中，基于前述方案，所述第一处理单元还用于：若所述非法设备通过专用的随机接入前导码和/或随机接入资源发起所述随机接入请求，则收回所述随机接入前导码和/或所述随机接入资源。

在本发明的一些实施例中，基于前述方案，所述第二处理单元配置为：根据所述非法设备的标识信息释放掉基站与所述非法设备之间的rrc连接；或根据核心网设备发送的释放指令，释放掉基站与所述非法设备之间的rrc连接。

根据本发明实施例的一个方面，提供了一种用于无线通信网络的阻隔处理装置，包括：获取单元，用于获取无线通信网络中的非法设备的标识信息；处理单元，用于在检测到已与所述非法设备建立连接时，释放掉与所述非法设备之间的非接入层连接，并通知基站释放掉与所述非法设备之间的rrc连接。

在本发明的一些实施例中，基于前述方案，所述的用于无线通信网络的阻隔处理装置，还包括：发送单元，用于将所述非法设备的标识信息发送至所述基站，以使所述基站对所述非法设备的接入过程进行控制。

根据本发明实施例的一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述实施例中所述的用于无线通信网络的设备行为检测方法，和/或用于无线通信网络的阻隔处理方法。

根据本发明实施例的一个方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述实施例中所述的用于无线通信网络的设备行为检测方法，和/或用于无线通信网络的阻隔处理方法。

在本发明的一些实施例所提供的技术方案中，通过检测用户设备与无线通信网络中的网络侧设备之间的交互行为，以根据该交互行为确定用户设备是否为非法设备，并将非法设备的标识信息发送至网络侧设备进行阻隔处理，使得在无线通信网络中，能够基于用户设备与网络侧设备之间的交互行为来有效确定非法设备，进而便于网络侧设备对非法设备进行阻隔处理，有效克服了非法设备对无线通信系统的恶意攻击，进而有利于避免非法设备对无线通信系统的正常工作造成影响。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

图1示出了可以应用本发明实施例的技术方案的示例性系统架构的示意图；

图2示意性示出了根据本发明的一个实施例的用于无线通信网络的设备行为检测方法的流程图；

图3示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理方法的流程图；

图4示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理方法的流程图；

图5示意性示出了根据本发明的一个实施例的无线通信网络中非法终端的检测及阻隔处理流程图；

图6示意性示出了根据本发明的一个实施例的对发起连接请求的非法设备进行阻隔处理的流程图；

图7示意性示出了根据本发明的一个实施例的对已经建立了端到端信令和数据连接的非法设备进行阻隔处理的流程图；

图8示意性示出了根据本发明的一个实施例的对已经建立了端到端信令和数据连接的非法设备进行阻隔处理的流程图；

图9示意性示出了根据本发明的一个实施例的用于无线通信网络的设备行为检测装置的框图；

图10示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理装置的框图；

图11示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理装置的框图；

图12示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本发明将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

图1示出了可以应用本发明实施例的技术方案的示例性系统架构100的示意图。

如图1所示，系统架构100可以包括用户设备101、接入网设备102和核心网设备103。其中，用户设备101可以是智能手机、平板电脑、便携式计算机、台式计算机等；接入网设备102可以是基站等；核心网设备103可以是4g核心网中的mme(mobilitymanagemententity，移动性管理实体)或者5g核心网中的amf(accessandmobilityfunction，接入和移动性功能实体)等。

应该理解，图1中的用户设备101、接入网设备102和核心网设备103的数目仅仅是示意性的。根据实现需要，可以具有任意数目的用户设备101、接入网设备102和核心网设备103。

在本发明的一个实施例中，可以设置检测模块(如设置在用户设备101上、网络侧设备上或网络侧设备以外的实体上)来检测用户设备101与网络侧设备(包括接入网设备102和核心网设备103)之间的交互行为，并根据该交互行为确定用户设备101是否为非法设备，并将确定的非法设备的标识信息发送至网络侧设备，以供网络侧设备对非法设备进行阻隔处理。比如接入网设备102在接收到非法设备发起的随机接入请求、rrc连接请求和连接建立完成消息等时，可以忽略这些信息；并且若已经与非法设备建立了连接，则可以释放掉与非法设备之间的rrc连接。再如核心网设备103在与非法设备建立了连接之后，可以释放掉与非法设备之间的nas(non-accessstratum，非接入层)连接。可见，本发明实施例的技术方案有效克服了非法设备对无线通信系统的恶意攻击，有利于避免非法设备对无线通信系统的正常工作造成影响。

以下对本发明实施例的技术方案的实现细节进行详细阐述：

图2示意性示出了根据本发明的一个实施例的用于无线通信网络的设备行为检测方法的流程图，该设备行为检测方法可以由检测模块来执行。参照图2所示，该设备行为检测方法至少包括步骤s210至步骤s230，详细介绍如下：

在步骤s210中，检测用户设备与无线通信网络中的网络侧设备之间的交互行为。

在本发明的一个实施例中，用户设备与网络侧设备之间的交互行为包括用户设备与网络侧设备之间的控制面协议行为、用户面协议行为，以及用户设备与所述网络侧设备交互时的应用层行为。

在本发明的一个实施例中，可以通过安装在网络侧设备上的检测模块检测用户设备与网络侧设备之间的控制面协议行为和用户面协议行为。并通过安装在用户设备上的检测模块检测应用层行为。

在本发明的一个实施例中，也可以依托于网络侧设备以外的实体来检测用户设备与网络侧设备之间的交互行为，在这种情况下，检测模块需要接收网络侧设备向其提供的用户设备与网络侧设备之间的交互行为，比如该交互行为可以包括用户设备发起的信令行为和数据传输行为。

继续参照图2所示，在步骤s220中，根据所述交互行为确定所述用户设备是否为非法设备。

在本发明的一个实施例中，若检测的交互行为是用户设备与网络侧设备之间的控制面协议行为，那么可以根据用户设备的信令行为，确定用户设备是否为非法设备。比如，可以根据用户设备的信令行为，确定用户设备发送的信令的逻辑功能和/或执行时序是否异常；如果用户设备发送的信令的逻辑功能和/或执行时序出现异常，则确定用户设备为非法设备。

在本发明的一个实施例中，若用户设备反复发起随机接入请求，和/或反复发起rrc连接请求，和/或反复发起连接建立完成的消息，则确定所述用户设备发送的信令的逻辑功能和/或执行时序出现异常。

在本发明的一个实施例中，若检测的交互行为是用户设备与网络侧设备之间的用户面协议行为，那么可以根据用户设备的用户面传输情况及所述用户设备的行为特征，确定用户设备是否为非法设备。比如若用户设备的用户面传输发生异常，且用户设备的行为特征为预定的行为特征(比如可以根据预定的行为特征构建一个非法设备特征库)，则确定用户设备为非法设备。

在本发明的一个实施例中，用户面传输发生异常可以是5g空中接口用户面以及5g核心网用户面的gtp(gprstunnellingprotocol，gprs隧道协议)隧道中发生的用户面传输异常。预定的行为特征可以是rlc(radiolinkcontrol，无线链路层控制协议)层不遵守滑动窗口和序列号限制，或者可以是pdcp(packetdataconvergenceprotocol，分组数据汇聚协议)层协议行为异常，如发送端没有启动重复发送机制而接收端一次或者多次收到了重复的数据包等。

在本发明的一个实施例中，若检测的交互行为是用户设备与网络侧设备交互时的应用层行为，那么若用户设备的应用层行为属于预定行为，则确定用户设备为非法设备。比如，可以根据应用层的非法行为构建一个非法设备特征库，若检测到用户设备的应用层行为属于该非法设备特征库内的行为，则确定用户设备为非法设备。再如，可以收集非法设备的各种行为特征，以形成机器学习模型的训练样本，然后通过该训练样本来训练机器学习模型，最后通过训练后的机器学习模型来识别非法设备，如将待识别用户设备的行为特征输入至训练好的机器学习模型中，然后通过机器学习模型的输出来确定该待识别用户设备是否为非法设备。其中，应用层的非法行为可以是通过防火墙、杀毒软件或其他方式检测用户设备中的某个应用程序存在的不安全行为，如恶意窃取数据、暴利获取相关权限、数据传输异常等。

继续参照图2所示，在步骤s230中，将确定的所述非法设备的标识信息发送至所述网络侧设备，以供所述网络侧设备对所述非法设备进行阻隔处理。

在本发明的一个实施例中，可以向网络侧设备发送包含有非法设备的标识信息的通知消息，以将确定的非法设备的标识信息发送至网络侧设备。其中，非法设备的标识信息包括非法设备的核心网标识和/或非法设备采用的空中接口的标识。

在本发明的一个实施例中，核心网标识可以是s-tmsi(systemarchitectureevolution-temporarymobilesubscriberidentity，系统架构演进-临时移动用户识别码)/5g-s-tmsi，imsi(internationalmobilesubscriberidentity，国际移动用户识别码)，imei(internationalmobileequipmentidentity，国际移动设备识别码)，ms-isdn(mobilestation-integratedservicedigitalnetwork，移动台-综合业务数字网)等；空中接口的标识可以是c-rnti(cell-radionetworktemporaryidentifier，小区无线网络临时标识)等。

在本发明的一个实施例中，在将确定的非法设备的标识信息发送至网络侧设备时，可以逐个将非法设备的标识信息发送至网络侧设备，或者将确定的多个非法设备的标识信息同时发送至网络侧设备。

在本发明的一个实施例中，在将确定的非法设备的标识信息发送至网络侧设备时，可以统计各个用户设备被确定为非法设备的次数，然后将在预定时长内被确定为非法设备的次数达到设定次数的用户设备的标识信息发送至网络侧设备。即在该实施例中，并非检测到用户设备为非法设备就直接将该用户设备的标识信息发送至网络侧设备进行阻隔处理，而是在多次检测到用户设备为非法设备时再进行处理，进而可以确保检测结果的准确性，避免偶然因素导致检测到的非法设备不准确的问题。

图2所示实施例的技术方案使得在无线通信网络中，能够基于用户设备与网络侧设备之间的交互行为来有效确定非法设备，进而便于网络侧设备对非法设备进行阻隔处理，有效克服了非法设备对无线通信系统的恶意攻击，进而有利于避免非法设备对无线通信系统的正常工作造成影响。

图3示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理方法的流程图，该阻隔处理方法可以由接入网设备来执行，接入网设备可以是lte网络中的enb(evolvednodeb，演进型基站)或者5gnr(newradio)中的gnb，也可以是未来无线通信网络中的接入网网元。参照图3所示，该阻隔处理方法至少包括步骤s310至步骤s330，详细介绍如下：

在步骤s310中，获取无线通信网络中的非法设备的标识信息。

在本发明的一个实施例中，接入网设备可以接收检测模块发送的非法设备的标识信息，即检测模块在检测出非法设备之后，将非法设备的标识信息发送至接入网设备。此外，接入网设备也可以接收核心网设备发送的非法设备的标识信息，比如核心网设备在获取到检测模块检测出的非法设备的标识信息之后，可以将该非法设备的标识信息发送给接入网设备。

在步骤s320中，若接收到所述非法设备发起的与接入所述无线通信网络相关的请求信令，则忽略所述请求信令。

在本发明的一个实施例中，非法设备发起的与接入无线通信网络相关的请求信令包括：随机接入请求、rrc连接请求和连接建立完成消息。忽略请求信令可以是不响应请求信令，如不针对请求信令进行资源分配。

在本发明的一个实施例中，若非法设备通过专用的随机接入前导码和/或随机接入资源发起随机接入请求，则在忽略该随机接入请求的同时，还可以收回该随机接入前导码和/或所述随机接入资源，以将这些随机接入资源和/或随机接入前导码分配给正常的用户设备，避免了非法设备耗费较多的无线资源，提高了资源的利用效率。其中，随机接入资源可以包括时域资源和频域资源。

在步骤s330中，若检测到已与所述非法设备建立连接，则释放掉与所述非法设备之间的连接。

在本发明的一个实施例中，在释放掉与非法设备之间的连接时，一方面可以直接根据非法设备的标识信息释放掉基站与非法设备之间的rrc连接，另一方面也可以根据核心网设备发送的释放指令来释放基站与非法设备之间的rrc连接。即接入网设备在释放掉与非法设备之间的连接时，既可以根据非法设备的标识信息自主决定释放掉基站与非法设备之间的rrc连接，也可以根据接入网设备下发的释放指令还进行释放。

图3所示实施例的技术方案使得在无线通信网络中，接入网设备能够根据非法设备的信息对非法设备进行阻隔处理，有效克服了非法设备对无线通信系统的恶意攻击，进而有利于避免非法设备对无线通信系统的正常工作造成影响。此外，图3所示实施例的技术方案也适用于与4g和5g网元存在接口的其他网元，比如支持ec(edgecomputing，边缘计算)的网元以及支持网络能力开放的应用服务器(如af，即applicationfunction)，本发明实施例的技术方案也适用于能够为其他终端服务的终端基站一体化节点如5g网络引入的iab(integratedaccessandbackhaul，集成接入和回程)节点。

图4示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理方法的流程图，该阻隔处理方法可以由核心网设备(如mme、amf等)来执行。参照图4所示，该阻隔处理方法至少包括步骤s410至步骤s420，详细介绍如下：

在步骤s410中，获取无线通信网络中的非法设备的标识信息。

在本发明的一个实施例中，核心网设备可以接收检测模块发送的非法设备的标识信息，即检测模块在检测出非法设备之后，将非法设备的标识信息发送至核心网设备。

在本发明的一个实施例中，核心网设备在获取到非法设备的标识信息之后，还可以将非法设备的标识信息发送至基站，以使基站对非法设备的接入过程进行控制，比如基站在接收到非法设备发送的随机接入请求、rrc连接请求或连接建立完成消息时，可以忽略这些信息。

在步骤s420中，若检测到已与所述非法设备建立连接，则释放掉与所述非法设备之间的非接入层连接，并通知基站释放掉与所述非法设备之间的rrc连接。

图4所示实施例的技术方案使得在无线通信网络中，核心网设备能够根据非法设备的信息对非法设备进行阻隔处理，有效克服了非法设备对无线通信系统的恶意攻击，进而有利于避免非法设备对无线通信系统的正常工作造成影响。此外，图4所示实施例的技术方案也适用于与4g和5g网元存在接口的其他网元，比如支持ec的网元以及支持网络能力开放的应用服务器，本发明实施例的技术方案也适用于能够为其他终端服务的终端基站一体化节点如5g网络引入的iab节点。

以下结合图5至图8对本发明实施例的技术方案的实现细节进行详细阐述：

如图5所示，本发明实施例的技术方案主要是改变现有4g和5g通信标准规范中终端总是依据通信协议规定来执行信令流程的假设，当非法ue检测模块(如设置在4g或5g基站或者核心网网元mme/amf上的探针等)检测到ue触发了不依据协议流程的行为时，网络侧设备能够在不同的协议层阻断该ue，从而避免非法ue对无线通信系统造成影响。其中，图5中所示的upf即为用户端口功能实体(userportfunction)，smf即为业务管理点(servicemanagementpoint)，nef即为网元功能(networkelementfunction)。非法ue检测模块在检测出非法ue之后，可以将包含非法ue标识信息的阻隔参数发送给无线侧设备(即无线接入网侧设备)，以便于基站进行无线侧阻隔；并且也可以将包含非法ue标识信息的阻隔参数发送给核心网设备，以便于核心网设备进行核心网阻隔；此外还可以将包含非法ue标识信息的阻隔参数发送到云端进行存储，以便于核心网网元或接入网网元从云端获取该阻隔参数，并根据该阻隔参数对非法ue进行阻隔处理。以下从非法ue检测模块、无线侧阻隔和核心网阻隔三个方面分别进行说明：

非法ue检测模块的处理过程：

在本发明的一个实施例中，非法ue检测模块可以根据ue的控制面协议行为、用户面协议行为和应用层行为来检测非法ue。

其中，控制面协议行为包括nas和rrc信令以及基于其他接口的信令行为。由于3gpp规范为ue信令规定了逻辑功能和执行时序，因此若存在ue发送的信令不符合规定，则可以确定该ue为非法ue，比如若某ue反复发起随机接入请求，反复发起rrc连接请求，反复发起连接建立完成消息，则可以确定该ue为非法ue。在检测ue的控制面协议行为时，可以通过在如基站、amf或者其他网元安装探针来进行检测，并且可以检测某个网络区域的所有ue或者随机抽取的部分ue，或者检测网络侧以及云端根据大数据分析选定的疑似ue。

用户面协议行为包括接入网协议行为以及核心网协议行为，其中接入网的用户面协议栈为phy(portphysicallayer，端口物理层)/mac(mediaaccesscontrol，媒体接入控制)/rlc(radiolinkcontrol，无线链路控制)/pdcp(packetdataconvergenceprotocol，分组数据汇聚层协议)/sdap(servicedataadaptationprotocol，服务数据适配协议)，在核心网段，用户面协议栈为l1/l2/ip(internetprotocol，网络协议)/udp(userdatagramprotocol，用户数据报协议)/gtp-u(gprstunnelprotocoluserplane，gprs通道协议-用户面)。任何用户面传输发生异常，且特征匹配了非法ue特征的情况，都可以由检测模块进行检测。

应用层行为的检测可以在af执行，或者通过在终端安装应用层检测模块来执行。

在本发明的一个实施例中，如果需要依托4g和5g接入网以及核心网网元以外的实体如af来进行非法ue检测，则需要4g和5g网络支持能力开放，提供相应的参数给af，如特定终端的信令和数据行为信息，以便于af根据该参数来进行非法ue检测。

值得注意的是，以上检测可以基于概率进行，具体来说，由于检测可能存在误检，因此并不是每次只要检测到ue可能非法就进行阻隔，而是可以设置一个门限值，当多次检测到某个ue可能非法时，再对该ue进行阻隔处理。

在本发明的一个实施例中，非法ue检测模块在检测到非法ue之后，可以向4g/5g网络通知对一批终端进行阻隔，比如某一个或者多个小区下面的ue，甚至是一个ta(trackingarea，跟踪区)下的ue，那么4g和5g网络中的网元需要增加新的功能来支持这种成批释放。

在本发明的一个实施例中，4g和5g网元需要支持非法ue检测模块的通知或者命令，命令的参数可以包括但不限于ue的标识。其中，ue的标识包括核心网标识、空中接口标识或者是ue当前分配的ip地址等任何可以标识ue的参数。

无线侧阻隔的过程：

在本发明的一个实施例中，对ue进行无线侧阻隔处理可以适用于ue进行初始接入，以及建立核心网信令或者数据连接的阶段，也可以适用于ue已经建立了端到端的信令或者数据连接的阶段，具体说明如下：

1、对于初始接入的ue，如果检测到非法攻击，比如同一个终端反复发起随机接入请求，同一个终端反复发起rrc连接请求，同一个终端反复发起连接建立完成消息，则可以确定该终端非法。此时，基站针对不同情况，可以采取如下的阻隔措施：

若同一终端反复发起随机接入请求，则可以忽略其rach(randomaccesschannel，随机接入信道)请求消息，不进行回应。并且如果ue发起请求时采用的是专用的rachpreamble和资源，则收回这些资源，分配给其他ue，避免非法ue占用过多资源。

若同一终端反复发起连接请求，则基站可以不进行处理。在本发明的一个实施例中，如图6所示，对发起连接请求的非法设备进行阻隔处理可以包括步骤s601，核心网向无线接入网预配置阻隔信息；步骤s602，无线接入网侧接收到空闲态非法设备发起的连接建立请求；步骤s603，基站根据所配置的阻隔信息忽略非法设备的连接建立请求。

若同一终端反复发起连接建立完成消息，则基站可以不进行处理，并在基站侧的上下文中标注该终端非法。

2、对于已经建立了端到端信令和数据连接的ue，如果判断该ue非法，则基站可以释放与ue相关的无线侧信令和数据连接。

在本发明的一个实施例中，如图7所示，对已经建立了端到端信令和数据连接的非法设备进行阻隔处理可以包括步骤s701，核心网根据所配置的阻隔信息释放与非法设备之间的nas连接及会话；步骤s702，基站根据所配置的阻隔信息释放与非法设备之间的rrc连接。需要说明的是，在此之前，核心网和无线接入网可以从云端获取到非法设备标识等阻隔信息，以便于根据该阻隔信息来进行阻隔处理。

在本发明的一个实施例中，基站还可以收集非法ue的攻击时间和非法ue的标识信息，并汇报给核心网设备。

核心网阻隔的过程：

在本发明的一个实施例中，对ue进行核心网阻隔处理适用于已经建立了端到端信令和数据连接的情况，在这种情况下，需要拆除核心网信令和数据连接以及无线侧信令和数据连接。

在本发明的一个实施例中，如图8所示，对已经建立了端到端信令和数据连接的非法设备进行阻隔处理可以包括步骤s801，核心网根据所配置的阻隔信息释放与非法设备之间的nas连接及会话；步骤s802，核心网向无线接入网发送释放连接指令；步骤s803，基站根据核心网发送的释放连接指令释放与非法设备之间的rrc连接。需要说明的是，在此之前，核心网可以从云端获取到非法设备标识等阻隔信息，但是无线接入网无需获取该阻隔信息。

在本发明的一个实施例中，在检测到非法ue并阻隔该ue之后，还可以永久或者在一定的定时器规定时间内禁止该ue再次接入到无线通信系统中。此外，网络侧设备还可以在系统信息中广播或者在rrc连接释放过程中为终端配置阻断的参数，非法终端依此获知在多长时间里无法接入无线通信系统。

在本发明的一个实施例中，网络侧设备还可以在as(accessstratum，接入层)层记录阻断的配置信息，如5gc(5gcore，5g核心网)为终端分配的5g-s-tmsi或者终端的imei信息；如果as层阻断无效，则终端可以在nas实体(即核心网实体，如mme或amf)被拒绝；终端也可以在应用层被拒绝，如果应用层服务器af能够获取到非法ue的标识，则可以将非法ue的标识信息提供给核心网网元，核心网网元可以根据非法ue的标识信息决定是否禁止该ue再次注册到无线通信系统。

以下介绍本发明的装置实施例，可以用于执行本发明上述实施例中的用于无线通信网络的设备行为检测方法及用于无线通信网络的阻隔处理方法。对于本发明装置实施例中未披露的细节，请参照本发明上述的方法实施例。

图9示意性示出了根据本发明的一个实施例的用于无线通信网络的设备行为检测装置的框图。

参照图9所示，根据本发明的一个实施例的用于无线通信网络的设备行为检测装置900，包括：检测单元902、确定单元904和发送单元906。

其中，检测单元902用于检测用户设备与无线通信网络中的网络侧设备之间的交互行为；确定单元904用于根据所述交互行为确定所述用户设备是否为非法设备；发送单元906用于将确定的所述非法设备的标识信息发送至所述网络侧设备，以供所述网络侧设备对所述非法设备进行阻隔处理。

在本发明的一个实施例中，检测单元902配置为：检测所述用户设备与所述网络侧设备之间的控制面协议行为；确定单元904配置为：根据所述用户设备的信令行为，确定所述用户设备是否为非法设备。

在本发明的一个实施例中，确定单元904配置为：根据所述用户设备的信令行为，确定所述用户设备发送的信令的逻辑功能和/或执行时序是否异常；若所述用户设备发送的信令的逻辑功能和/或执行时序出现异常，则确定所述用户设备为非法设备。

在本发明的一个实施例中，确定单元904配置为：若所述用户设备反复发起随机接入请求，和/或反复发起rrc连接请求，和/或反复发起连接建立完成的消息，则确定所述用户设备发送的信令的逻辑功能和/或执行时序出现异常。

在本发明的一个实施例中，检测单元902配置为：通过安装在所述网络侧设备上的检测模块检测所述用户设备与所述网络侧设备之间的控制面协议行为。

在本发明的一个实施例中，检测单元902配置为：检测所述用户设备与所述网络侧设备之间的用户面协议行为；确定单元904配置为：根据所述用户设备的用户面传输情况及所述用户设备的行为特征，确定所述用户设备是否为非法设备。

在本发明的一个实施例中，确定单元904配置为：若所述用户设备的用户面传输发生异常，且所述用户设备的行为特征为预定的行为特征，则确定所述用户设备为非法设备。

在本发明的一个实施例中，检测单元902配置为：检测所述用户设备与所述网络侧设备交互时的应用层行为；确定单元904配置为：若所述用户设备的应用层行为属于预定行为，则确定所述用户设备为非法设备。

在本发明的一个实施例中，检测单元902配置为：通过安装在所述用户设备上的检测模块检测所述应用层行为。

在本发明的一个实施例中，发送单元906配置为：统计各个用户设备被确定为非法设备的次数；将在预定时长内被确定为非法设备的次数达到设定次数的用户设备的标识信息发送至所述网络侧设备。

在本发明的一个实施例中，检测单元902配置为：接收无线通信网络中的网络侧设备提供的所述用户设备与所述网络侧设备之间的交互行为，其中，所述交互行为包括所述用户设备发起的信令行为和数据传输行为。

在本发明的一个实施例中，发送单元906配置为：向所述网络侧设备发送包含有所述非法设备的标识信息的通知消息，其中，所述非法设备的标识信息包括所述非法设备的核心网标识和/或所述非法设备采用的空中接口的标识。

在本发明的一个实施例中，发送单元906配置为：将确定的一个非法设备的标识信息发送至所述网络侧设备，或将确定的多个非法设备的标识信息同时发送至所述网络侧设备。

图10示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理装置的框图。

参照图10所示，根据本发明的一个实施例的用于无线通信网络的阻隔处理装置1000，包括：获取单元1002、第一处理单元1004和第二处理单元1006。

其中，获取单元1002用于获取无线通信网络中的非法设备的标识信息；第一处理单元1004用于在接收到所述非法设备发起的与接入所述无线通信网络相关的请求信令时，忽略所述请求信令；第二处理单元1006用于在检测到已与所述非法设备建立连接时，释放掉与所述非法设备之间的连接。

在本发明的一个实施例中，所述请求信令包括：随机接入请求、rrc连接请求和连接建立完成消息。

在本发明的一个实施例中，所述第一处理单元1004还用于：若所述非法设备通过专用的随机接入前导码和/或随机接入资源发起所述随机接入请求，则收回所述随机接入前导码和/或所述随机接入资源。

在本发明的一个实施例中，所述第二处理单元1006配置为：根据所述非法设备的标识信息释放掉基站与所述非法设备之间的rrc连接；或根据核心网发送的释放指令，释放掉基站与所述非法设备之间的rrc连接。

图11示意性示出了根据本发明的一个实施例的用于无线通信网络的阻隔处理装置的框图。

参照图11所示，根据本发明的一个实施例的用于无线通信网络的阻隔处理装置1100，包括：获取单元1102和处理单元1104。

其中，获取单元1102用于获取无线通信网络中的非法设备的标识信息；处理单元1104用于在检测到已与所述非法设备建立连接时，释放掉与所述非法设备之间的非接入层连接，并通知基站释放掉与所述非法设备之间的rrc连接。

在本发明的一个实施例中，所述的用于无线通信网络的阻隔处理装置1100还包括：发送单元，用于将所述非法设备的标识信息发送至所述基站，以使所述基站对所述非法设备的接入过程进行控制。

图12示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图12示出的电子设备的计算机系统1200仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图12所示，计算机系统1200包括中央处理单元(centralprocessingunit，cpu)1201，其可以根据存储在只读存储器(read-onlymemory，rom)1202中的程序或者从存储部分1208加载到随机访问存储器(randomaccessmemory，ram)1203中的程序而执行各种适当的动作和处理。在ram1203中，还存储有系统操作所需的各种程序和数据。cpu1201、rom1202以及ram1203通过总线1204彼此相连。输入/输出(input/output，i/o)接口1205也连接至总线1204。

以下部件连接至i/o接口1205：包括键盘、鼠标等的输入部分1206；包括诸如阴极射线管(cathoderaytube，crt)、液晶显示器(liquidcrystaldisplay，lcd)等以及扬声器等的输出部分1207；包括硬盘等的存储部分1208；以及包括诸如lan(localareanetwork，局域网)卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至i/o接口1205。可拆卸介质1211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1210上，以便于从其上读出的计算机程序根据需要被安装入存储部分1208。

特别地，根据本发明的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1209从网络上被下载和安装，和/或从可拆卸介质1211被安装。在该计算机程序被中央处理单元(cpu)1201执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本发明实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasableprogrammablereadonlymemory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compactdiscread-onlymemory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。