[发明专利]一种5G专网的网络风险评估的方法和装置

权利要求书

1.一种5G专网的网络风险评估的方法和装置，其特征在于由专网动态风险识别模块、专网环境风险识别模块和专网综合风险评估模块组成；专网动态风险识别模块由专网数据采集解析子模块、专网数据关联子模块和专网风险识别子模块组成；专网风险识别子模块由信令安全识别器、数据安全识别器和网络安全识别器组成；专网环境风险识别模块由专网漏洞识别子模块和专网环境风险识别子模块组成；专网环境风险识别子模块由数据管控风险识别器、终端故障风险识别器和终端环境识别器组成；

专网数据采集解析子模块是在N3接口部署用户面信息采集设备，采集N3接口的全部信息作为用户面信息；在N4和N11接口部署信令面信息采集设备，采集N4和N11接口的全部信息作为信令面信息； 专网数据采集解析子模块通过分别在UPF网元侧部署用户面信息采集设备，在5G核心网侧部署信令面信息采集设备，收集用户面信息和信令面信息；

专网数据采集解析子模块识别用户面信息中的协议类型，来源数据接口、隧道号、源IP地址和端口号、目的IP地址和端口号、上下行流量、协议类型、设备类型、业务类型、设备版本信息和用户面载荷；

专网数据采集解析子模块识别信令面信息中的协议类型，来源数据接口、隧道号、用户永久标识符、通用公共用户标识、永久设备标识符、上下行协议流标识、5G小区信息、切片信息、基站信息和信令面载荷；

专网数据关联子模块根据信令面信息中用户永久标识符、通用公共用户标识、永久设备标识符、5G小区信息、切片信息、基站信息和隧道号之间的映射关系，以及用户面信息中的隧道号和源IP地址、目的IP地址、和用户面载荷之间的映射关系，通过隧道号将信令面中的用户永久标识符、通用公共用户标识、永久设备标识、5G小区信息、切片信息、基站信息回填至用户面信息中；完成关联回填后，专网数据关联子模块输出信令面日志和用户面日志；信令面日志包含原有信令面信息；用户面日志包含原有用户面信息，并包含用户永久标识符、通用公共用户标识、永久设备标识、5G小区信息、切片信息、基站信息；

专网数据关联子模块将信令面日志和用户面日志存储在hive数据库中；

信令安全识别器从hive数据库中获取信令面日志，并对关键字段进行信令安全风险研判；关键字段包括：源IP地址、目的IP地址、用户永久标识符、通用公共用户标识、永久设备标识符、信令载荷；关键字段组合成为风险研判规则，包括：用户永久标识符、通用公共用户标识和永久设备标识符的关联关系，作为机卡关系名单；将UPF地址定义为IP白名单，基站IP地址定义为IP白名单，会话管理功能SMF的IP地址定义为IP白名单、接入和移动管理功能AMF的IP地址定义为IP白名单；当关键字段中的用户永久标识符、通用公共用户标识和永久设备标识符与机卡关系名单不一致时，则判定为机卡分离风险；当关键字段中的源IP地址不在IP白名单当中时，则研判为“白名单”风险；当关键字段中的目的IP地址不在IP白名单当中时，则研判为“白名单”风险；当包含同一个用户永久标识符的信令面日志在间隔时间内解析数量超过阈值时，则判定为终端安全接入事件；间隔时间和阈值通过设定取得；信令安全识别器将识别到的安全事件输出为信令安全日志；

数据安全识别器从hive数据库中获取用户面面日志，并对关键字段进行数据安全风险研判；关键字段包括：工业互联网协议类型、源IP地址、目的IP地址、工业互联网协议解析出的字段；

数据安全识别器由预先设定的方式获取数据分类分级规则，数据分类分级规则中数据类别分为工业企业数据、工业互联网平台数据和工业互联网标识解析数据；工业企业数据分为研发域数据、生产域数据、运维域数据、管理域数据和外部数据；将工业互联网协议解析后的字段和数据分类完成映射关系，形成数据分类表；数据级别可分为三级，分别是工业一般数据、工业重要数据和工业核心数据，将数据分类表和数据级别表进行映射，形成完整的数据分类分级规则：

当用户面日志中携带工业互联网协议解析后的字段，且命中数据分类分级规则，数据安全识别器输出数据识别日志；数据识别日志包括识别时间、工业互联网协议名称、解析的字段、数据分类、数据分级、数据组数、数据个数；

数据安全识别器从hive数据库中获取用户面日志，对关键字段进行数据传输异常行为研判，关键字段包括：源IP地址、目的IP地址，上下行流量、流量起止时间、用户永久标识符、应用层协议、协议解析字段、有效核载；关键字段组合成为风险研判规则；当数据识别日志中的数据级别为工业重要数据和工业核心数据时，表示这个数据流中有敏感数据明文传输，数据安全识别器触发敏感数据明文传输风险规则，判定为敏感数据明文传输风险；当用户面日志中同一个用户永久标识符的源IP地址或者目的IP地址不在数据流转基线内，则触发数据流转范围风险规则，判定为数据流转范围风险；数据流转范围基线通过设定获得；当用户面日志中同一个用户永久标识符的上下行流量产生时间不在数据流转时间基线内，则触发数据流转时间风险规则，判定为数据流转时间风险；数据流转时间基线通过设定获得；当用户面日志中同一个用户永久标识符的目的IP地址为非园区内IP地址基线，则触发数据外泄风险规则，判定为数据外泄风险；园区内IP地址基线通过设定获得；数据安全识别器将识别到的风险输出为数据风险日志；

网络风险识别器从hive数据库中获取用户面日志，对关键字段与网络爬虫获取的情报中心进行关联和比对，关键字段包括：源IP地址、目的IP地址，用户永久标识符、应用层协议、协议解析字段、有效核载；网络爬虫，定期获取国家互联网应急中心信息、腾讯威胁情报中心信息、奇安信威胁情报中心信息，所获取的信息内容包括：恶意IP、核载哈希、域名；当关键字段命中情报中心信息时，则研判为发生网络风险，根据匹配的网络风险类型不同分为网络行为攻击小类和恶意程序攻击小类；网络风险识别器将识别到的风险输出为网络风险日志；

专网风险识别子模块将信令安全日志、数据识别日志、数据风险日志和网络风险日志存入大数据hive中，以便进行数据建模、关联分析，然后按照专网动态风险评估模型建立异常分析指标：风险类型为5G专网风险，风险分类为数据安全，风险小类为数据传输异常行为时，风险特征为X1，风险权重为W1；风险类型为5G专网风险，风险分类为数据安全，风险小类为数据分类分级时，风险特征为X2，风险权重为W2；风险类型为5G专网风险，风险分类为信令风险，风险小类为信令安全事件时，风险特征为X3，风险权重为W3；风险类型为5G专网风险，风险分类为信令风险，风险小类为终端安全事件时，风险特征为X4，风险权重为W4；风险类型为5G专网风险，风险分类为网络风险，风险小类为网络行为攻击时，风险特征为X5，风险权重为W5；风险类型为5G专网风险，风险分类为网络风险，风险小类为恶意程序攻击时，风险特征为X6，风险权重为W6；

专网漏洞识别子模块从hive数据库中获取用户面面日志，对关键字段与网络爬虫获取的漏洞信息进行关联和比对，关键字段包括：设备硬件信息、中间件版本信息和开发依赖版本信息；网络爬虫定期获取国家信息安全漏洞共享平台和通用漏洞披露平台所公布的漏洞信息，漏洞信息包括：漏洞编号、漏洞类型、漏洞名称、漏洞涉及产品；专网漏洞识别子模块通过漏洞描述和影响范围、触发场景等与设备硬件信息、中间件版本信息、开发依赖版本信息等进行分析，识别终端、中间件、数据库等存在的漏洞信息，并形成专网终端漏洞库、专网中间件漏洞库和专网服务器漏洞库；专网终端漏洞库、专网中间件漏洞库和专网服务器漏洞库根据国家信息安全漏洞共享平台和通用漏洞披露平台所披露的漏洞情况分为高危漏洞、中危漏洞、低危漏洞；专网漏洞识别子模块将识别出的漏洞信息输出为专网漏洞日志；

数据管控风险识别器完成行业应用服务器的数据管控风险识别；数据管控风险识别器从hive数据库中获取用户面日志读取关键字段和获取行业应用服务器的日志进行风险研判，关键字段包括：源IP地址、目的IP地址、用户永久标识符、数据库执行操作类型；数据管控风险识别器通过事先设定在行业应用服务器的日志中的风险识别表来进行比对，风险识别表中设置了数据的级别，分为工业一般数据、工业重要数据和工业核心数据，风险识别表中数据级别不同所允许执行的操作类型不同，操作类型包括：查询、写入、导出、脱敏、批量查询和批量导出，每种操作类型设定执行次数阈值；

数据管控风险识别器先识别用户面日志中的数据库执行操作对象所对应的风险识别表中的数据级别；当用户面日志中的数据库执行操作对象所对应的风险识别表中的数据级别所允许执行的操作类型与用户面日志中的数据库执行操作类型不能对应时，则判定出现数据权限风险；当用户面日志中的数据库执行操作对象所对应的风险识别表中的数据级别所允许执行的操作类型与用户面日志中的数据库执行操作类型相符合时，出现操作类型的执行次数超出阈值的情况时则判定为出现数据共享风险；

数据管控风险识别器将数据权限风险和数据共享风险作为数据管控风险事件输出为数据管控风险日志；

终端故障风险识别器使用事先设定的设备终端故障风险评价规则表，设备终端故障风险评价规则表包括设备标识、设备价值、部件替换成本，是否发生离线、故障重要程度字段，故障重要程度分为低、中、高共三种；终端故障风险识别器从hive数据库读取用户面日志，并获取用户永久标识符、源IP地址和目的IP地址，将用户永久标识符、源IP地址和目的IP地址去重后填入风险评价规则表的设备标识字段，设备价值按照原始价格的10%每年进行折旧，设备价值和部件替换成本合计成为设备成本，部件替换成本为已发生的部件替换成本；设备成本按照差价等分法设置为低中高三档；发生离线的判定条件是：读取信令面日志，当终端发生N4接口PFCP Session Delete消息后连续2小时未产生PFCP Session Establish消息则判定终端离线；故障重要程度判定条件为：若终端极为重要不可发生离线，若离线则将直接威胁用户的生命财产安全或社会稳定、国家安全，此类风险权重高；若终端离线时间较短，造成一定程度的损失，但影响范围和程度受控，则此类风险权重居中，若终端可较长时间离线，且造成的影响可以忽略，则此类风险权重较低；

终端故障风险识别器将离线终端故障风险的设备价值和终端重要性输出为终端故障风险日志；

终端环境识别器通过事先设定5G小区信息映射表标明该5G小区所在园区位置，室内和室外环境；终端环境识别器从hive数据库读取用户面日志，获取5G小区信息、用户永久标识符，并与5G小区信息映射表进行关联比对，完成关联后输出终端环境日志；

专网环境风险识别子模块将专网漏洞日志、数据管控风险日志、终端故障风险日志和终端环境日志存入大数据hive中，以便进行数据建模、关联分析，然后按照专网环境风险评估模型建立异常分析指标：风险类型为专网环境风险，风险分类为终端漏洞风险，风险小类为高危风险时，风险特征为X7，风险权重为W7；风险类型为专网环境风险，风险分类为终端漏洞风险，风险小类为中危风险时，风险特征为X8，风险权重为W8；风险类型为专网环境风险，风险分类为终端漏洞风险，风险小类为低危风险时，风险特征为X9，风险权重为W9；风险类型为专网环境风险，风险分类为数据管控风险，风险小类为数据共享风险时，风险特征为X10，风险权重为W10；风险类型为专网环境风险，风险分类为数据管控风险，风险小类为数据权限风险时，风险特征为X11，风险权重为W11；风险类型为专网环境风险，风险分类为终端故障风险，风险小类为设备成本时，风险特征为X12，风险权重为W12；风险类型为专网环境风险，风险分类为终端故障风险，风险小类为设备重要程度时，风险特征为X13，风险权重为W13；风险类型为专网环境风险，风险分类为终端环境风险，风险小类为终端环境时，风险特征为X14，风险权重为W14；

由专网综合风险评估模块使用支持向量机SVM对采集到hive中的风险特征和风险权重进行分类训练；具体代入支持向量机的过程为：通过描述超平面，其中为超平面的法向量，代表风险权重，决定了超平面的方向；为超平面的特征，代表风险特征，b为位移项，决定了超平面与原点之间的距离；对于样本空间中的任意特征x到超平面的距离写为，寻找满足约束条件的参数w和b，使得γ最大化，

当样本数据集能正确划分，不论原来样本数据的标签是+1还是-1，的值均会是大于等于1的正数，引入拉格朗日因子将其转化成为对偶问题，则可以写成：

，用L（w，b，a）分别对w和b求偏导数，并另偏导数为0可得，；

对于等式约束可以直接使用拉格朗日因子求极值，对于不等式约束要满足KKT条件约束进行求解，模型对应的KKT条件为：，，；将W代入原函数可以得到，使用通用的二次规划算法求解，得到最终的专网特征分类器；将经过专网动态风险识别模块和专网环境风险识别模块特征选择后的风险特征向量输入专网特征分类器，得到风险特征向量对应的风险被分为的类别。