CN115348192A - 异常检测的方法、通信装置及通信系统 - Google Patents

Abstract

本申请提供一种异常检测的方法，该方法包括获取网络切片的重认证和/或撤销的数据，根据该数据获取用于判断该网络切片是否异常的信息。通过该方法，可以获取判断网络切片是否异常的信息，进而根据该信息，检测到该网络切片异常或受到攻击。

Description

异常检测的方法、通信装置及通信系统

技术领域

本申请涉及无线通信领域，具体涉及异常检测的方法、通信装置及通信系统。

背景技术

目前，关于网络切片的安全流程包括认证、授权和计费(authentication,authorization,and accounting,AAA)服务器(AAA server,AAA-S)触发的网络切片的重认证流程和撤销流程。其中，恶意AAA-S会发起网络切片的重认证，这会导致反复的重认证流程，使得网络资源被额外占用。恶意AAA-S也会发起网络切片的撤销，这会导致网络切片被恶意撤销，终端无法正常使用该网络切片。

因此，当出现异常的网络切片的重认证或撤销时，如何检测到该异常，是一个亟待解决的问题。

发明内容

本申请提供一种异常检测的方法，以检测异常的网络切片的重认证和/或撤销，从而保证网络的安全。

第一方面，本申请提供一种异常检测的方法，该方法可由网络数据分析功能实体执行，也可由配置于网络数据分析功能实体的部件(例如芯片或者电路)执行。该方法包括：网络数据分析功能实体获取网络切片的重认证和/或撤销的第一数据；所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息。

根据该方法，网络数据分析功能实体获取网络切片重认证和/或撤销请求的数据，并根据该数据获取用于判断所述网络切片是否异常的信息。根据该信息，可检测到异常，从而保证网络的安全和网络切片的业务体验。

在一种可能的实现方式中，所述第一数据包括：对于所述网络切片服务的第一终端设备，所述网络切片的重认证和/或撤销的次数。或者所述第一数据包括对于所述网络切片服务的第一终端设备，一个时间段内，所述网络切片的重认证和/或撤销的次数。

在一种可能的实现方式中，所述用于判断所述网络切片是否异常的信息包括：异常的终端设备的数量、异常的终端设备的列表、或者异常的终端设备数量与所述网络切片上注册的终端设备数量的比值。或者所述用于判断所述网络切片是否异常的信息包括：一个时间段内，异常的终端设备的数量、异常的终端设备的列表、或者异常的终端设备数量与所述网络切片上注册的终端设备数量的比值。

在一种可能的实现方式中，所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息包括：所述网络数据分析功能实体根据第一阈值和所述第一数据，获取所述用于判断所述网络切片是否异常的信息，所述第一阈值用于判断所述网络切片服务的终端设备是否异常。

在一种可能的实现方式中，所述网络数据分析功能实体根据第一阈值和所述第一数据，获取所述用于判断所述网络切片是否异常的信息包括：所述网络数据分析功能实体根据所述第一阈值和所述第一数据，确定所述第一终端设备异常；所述网络数据分析功能实体根据所述第一终端设备异常，获取所述用于判断所述网络切片是否异常的信息。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体获取所述网络切片的重认证和/或撤销的第二数据，所述第二数据包括对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；所述网络数据分析功能实体根据所述第二数据，获取对于所述网络切片服务的终端设备，所述网络切片的重认证和/或撤销的次数的所述第一阈值。其中，第二数据还可以包括对于所述网络切片服务的每个终端设备，所述网络切片的重认证和/或撤销的次数。

在一种可能的实现方式中，所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息包括：所述网络数据分析功能实体根据第一模型和所述第一数据，获取所述用于判断所述网络切片是否异常的信息，所述第一模型用于判断所述网络切片服务的终端设备是否异常。

在一种可能的实现方式中，所述网络数据分析功能实体根据第一模型和所述第一数据，获取所述用于判断所述网络切片是否异常的信息包括：所述网络数据分析功能实体根据所述第一模型和所述第一数据，确定所述第一终端设备异常；所述网络数据分析功能实体根据所述第一终端设备异常，获取所述用于判断所述网络切片是否异常的信息。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第二数据，所述第二数据包括对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；所述网络数据分析功能实体根据所述第二数据，获取所述第一模型。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体根据异常的终端设备数量，确定所述网络切片异常。

在一种可能的实现方式中，所述第一数据包括：一个或多个时间段内，所述网络切片的重认证和/或撤销的次数。

在一种可能的实现方式中，所述用于判断所述网络切片是否异常的信息包括单位时间段内所述网络切片的重认证和/或撤销的次数的第二阈值。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第二数据，所述第二数据包括第一时间段内，所述网络切片的重认证和/或撤销的次数；所述网络数据分析功能实体根据所述第二数据和所述第二阈值，确定所述网络切片异常。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体向服务消费者指示所述网络切片异常。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体向服务消费者指示向认证、授权和计费服务器确认是否发生攻击。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体根据所述网络切片异常的数据和攻击模型，确定所述网络切片受到攻击，所述攻击模型用于确定是否存在网络攻击。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体向服务消费者指示所述网络切片受到攻击。

在一种可能的实现方式中，所述用于判断所述网络切片是否异常的信息包括：对于所述网络切片服务的终端设备，所述网络切片的重认证和/或撤销的次数的所述第一阈值和异常的终端设备的数量的第三阈值，其中，所述第一阈值用于判断所述网络切片服务的终端设备是否异常，所述第三阈值用于判断所述网络切片是否异常。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体获取所述网络切片的重认证和/或撤销的第二数据，所述第二数据包括对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；所述网络数据分析功能实体根据所述第二数据，获取所述第一阈值。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体向服务消费者发送所述用于判断所述网络切片是否异常的信息。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体接收来自服务消费者请求对所述网络切片的重认证和/或撤销进行分析的消息。

在一种可能的实现方式中，所述消息包括指示对所述网络切片的重认证和/或撤销进行分析的信息。

在一种可能的实现方式中，所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第一数据包括：所述网络数据分析功能实体接收来自为所述网络切片的服务的接入和移动性管理功能实体上报的所述第一数据。

在一种可能的实现方式中，所述方法还包括：所述网络数据分析功能实体向为所述网络切片的服务的接入和移动性管理功能实体订阅所述第一数据。

第二方面，本申请提供一种异常检测的方法，该方法可由服务消费者执行，也可由配置于服务消费者的部件(例如芯片或者电路)执行。该方法包括：服务消费者向网络数据分析功能实体发送请求对网络切片的重认证和/或撤销进行分析的消息；所述服务消费者接收来自所述网络数据分析功能实体的用于判断所述网络切片是否异常的信息。

根据该方法，服务消费者通过向网络数据分析功能实体请求的方式获取用于判断所述网络切片是否异常的信息。根据该信息，可检测到异常，从而保证网络的安全和网络切片的业务体验。

在一种可能的实现方式中，所述用于判断所述网络切片是否异常的信息包括：异常的终端设备的数量、异常的终端设备的列表、或者异常的终端设备数量与所述网络切片上注册的终端设备数量的比值。或者所述用于判断所述网络切片是否异常的信息包括：一个时间段内，异常的终端设备的数量、异常的终端设备的列表、或者异常的终端设备数量与所述网络切片上注册的终端设备数量的比值。

在一种可能的实现方式中，所述方法还包括：所述服务消费者根据所述异常的终端设备数量与所述网络切片上注册的终端设备数量的比值，确定所述网络切片异常。

在一种可能的实现方式中，用于判断所述网络切片是否异常的信息包括：对于所述网络切片服务的终端设备，所述网络切片的重认证和/或撤销的次数的所述第一阈值和异常的终端设备的数量的第三阈值，其中，所述第一阈值用于判断所述网络切片服务的终端设备是否异常，所述第三阈值用于判断所述网络切片是否异常。

在一种可能的实现方式中，所述方法还包括：所述服务消费者获取对于所述网络切片服务的第一终端设备，所述网络切片的重认证和/或撤销的次数；所述服务消费者根据对于所述第一终端设备，所述网络切片的重认证和/或撤销的次数和所述第一阈值，确定所述第一终端设备异常；所述服务消费者根据异常的终端设备的数量和所述第三阈值，确定所述网络切片异常。

在一种可能的实现方式中，所述方法还包括：所述服务消费者根据来自认证、授权和计费服务器或网络切片认证和授权功能的网络切片分析指示，确定向所述网络数据分析功能实体请求对所述网络切片的重认证和/或撤销进行分析，其中，所述网络切片分析指示用于指示所述服务消费者向所述网络数据分析功能实体请求对所述网络切片的重认证和/或撤销进行分析；或者所述服务消费者根据来自统一数据管理功能实体或本地的网络切片分析信息，确定向所述网络数据分析功能实体请求对所述网络切片的重认证和/或撤销进行分析，所述网络切片分析信息用于指示是否对所述网络切片进行重认证和/或撤销的分析。

在一种可能的实现方式中，所述方法还包括：所述服务消费者向认证、授权和计费服务器或网络数据分析功能网元发送请求确认攻击是否存在的消息；所述服务消费者接收来自所述认证、授权和计费服务器或网络数据分析功能网元指示是否存在攻击的信息。

在一种可能的实现方式中，所述请求确认攻击是否存在的消息包异常时间段内所述网络切片重认证和/或撤销的次数。

第三方面，本申请提供一种异常检测的方法，该方法包括：获取网络切片重认证和/或撤销的次数的阈值；获取用于指示所述网络切片的重认证和/或撤销次数的信息；根据所述用于指示所述网络切片的重认证和/或撤销次数的信息和所述阈值，确定所述网络切片异常。

根据该方法，通过用于指示所述网络切片的重认证和/或撤销次数的信息和阈值，确定网络切片异常，从而能够保证网络的安全和网络切片的业务体验。

在一种可能的实现方式中，获取网络切片重认证和/或撤销的次数的阈值包括：接收来自认证、授权和计费服务器的所述网络切片重认证和/或撤销的次数的阈值。

在一种可能的实现方式中，获取用于指示所述网络切片的重认证和/或撤销次数的信息包括：监测所述网络切片重认证和/或撤销的次数；或者确定所述网络切片上注册终端设备减少的数量。

在一种可能的实现方式中，根据所述用于指示所述网络切片的重认证和/或撤销次数的信息和所述阈值，确定所述网络切片异常包括：当所述网络切片的重认证和/或撤销的次数超过所述阈值，确定所述网络切片异常；或者当所述网络切片上注册终端设备减少的数量大于所述网络切片撤销的次数的阈值，确定所述网络切片异常。

在一种可能的实现方式中，所述方法还包括：向认证、授权和计费服务器请求确认是否存在针对所述网络切片的攻击。

在一种可能的实现方式中，所述方法还包括：接收来自所述认证、授权和计费服务器指示存在或不存在针对所述网络切片的攻击的信息。

第四方面，本申请提供一种获取数据的方法，该方法包括：接入和移动性管理网元接收来自网络数据分析功能网元订阅网络切片重认证和/或撤销的数据的请求消息；所述接入和移动性管理网元向所述网络数据分析功能网元发送所述网络切片重认证和/或撤销的数据。

在一种可能的实现方式中，所述请求消息包括指示订阅对所述网络切片的重认证和/或撤销的数据的信息。

在一种可能的实现方式中，所述网络切片重认证和/或撤销的数据包括所述网络切片的重认证和/或撤销的次数，或者对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数。

在一种可能的实现方式中，所述网络切片重认证和/或撤销的数据包括所述网络切片上注册的终端设备的数量。

第五方面，本申请提供一种异常检测的装置，所述装置用于执行上述第一方面、第二方面或第三方面提供以及第一方面、第二方面或第三方面的任一可能的实现方式中的方法。具体地，所述装置可以包括用于执行第一方面、第二方面或第三方面提供的方法的模块。

第六方面，提供一种获取数据的装置，所述装置用于执行上述第四方面提供以及第四方面的任一可能的实现方式中的方法。具体地，所述装置可以包括用于执行第四方面提供的方法的模块。

第七方面，提供一种通信装置，所述装置包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面至第四方面中或第一方面至第四方面的任一种可能实现方式中的方法。可选地，该装置还包括存储器。可选地，该装置还包括通信接口，处理器与通信接口耦合，所述通信接口用于输入和/或输出信息。所述信息包括指令和数据中的至少一项。

在一种可能的实现方式中，该装置为芯片或芯片系统。当该装置为芯片或芯片系统时，所述通信接口可以是输入/输出接口可以是该芯片或芯片系统上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

第八方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被装置执行时，使得所述装置实现第一方面至第四方面中或第一方面至第四方面的任一种可能实现方式中的方法。

第九方面，提供一种包含指令的计算机程序产品，所述指令被计算机执行时使得装置实现第一方面至第四方面中或第一方面至第四方面中任一种可能实现方式中的方法。

第十方面，提供一种通信系统，包括以下一个或多个装置：执行上述第一方面或第一方面的任一种可能实现方式中的方法的装置、执行上述第二方面或第二方面的任一种可能实现方式中的方法的装置、执行上述第三方面或第三方面的任一种可能实现方式中的方法的装置或执行上述第四方面或第四方面的任一种可能实现方式中的方法的装置。

在一种可能的实现方式中，该系统还包括与所述装置连接的接入网设备、终端设备等。

附图说明

图1为本申请实施例适用的一种5G通信系统的示意图；

图2为本申请实施例适用的另一种5G通信系统的示意图；

图3为AAA-S触发的网络切片重认证流程图；

图4为AAA-S发起的网络切片撤销流程图；

图5为网络切片认证和授权流程图；

图6为服务消费者向NWDAF请求网络数据分析的流程图；

图7为服务消费者向NWDAF订阅网络数据分析的流程图；

图8为NWDAF从NF收集数据的流程图；

图9为NWDAF从OAM收集数据的流程图；

图10为本申请实施例提供的一种场景图；

图11为本申请实施例的一种异常检测方法的示意图；

图12为本申请实施例的一种异常检测方法的示意图；

图13为本申请实施例的另一种异常检测方法的示意图；

图14为本申请实施例的又一种异常检测方法的示意图；

图15为本申请实施例的又一种异常检测方法的示意图；

图16为本申请实施例的又一种异常检测方法的示意图；

图17为本申请实施例的又一种异常检测方法的示意图；

图18为本申请实施例提供的异常检测的装置的示意图；

图19为本申请实施例提供的异常检测的设备的示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

其中，在本申请实施例的描述中，术语“系统”和“网络”可被互换使用。“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。“示例性的”或者“例如”等词表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

除非有特别说明，本申请实施例提及“第一”、“第二”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度，并且“第一”、“第二”的描述也并不限定对象一定不同。

本申请实施例的技术方案可以应用于各种通信系统，例如第五代(5thgeneration，5G)移动通信系统、新无线(new radio，NR)系统、multefire网络、家庭基站网络、非3GPP如无线保真(wireless fidelityWIFI)接入的移动网络、宽带码分多址(wideband code division multiple access，WCDMA)网络、固移融合网络(固定接入网络接入移动网络)或者未来6G网络等通信系统。

以下，对本申请中的部分用语进行解释说明，以便于本领域技术人员理解。

1)终端设备，是一种具有无线收发功能的设备。终端设备可以经无线接入网(如，radio access network，RAN)与核心网或者互联网进行通信，与RAN交换语音和/或数据。

终端设备可以包括用户设备(user equipment，UE)、无线终端设备、移动终端设备、D2D终端设备、车联网(vehicle to everything，V2X)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、订户单元(subscriber unit)、订户站(subscriberstation)、移动站(mobile station)、远程站(remote station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(userterminal)、用户代理(user agent)或用户装备(user device)等。

例如，终端设备可以是手机，平板电脑，带无线收发功能的电脑，便携式、袖珍式、手持式、计算机内置的移动装置等。又例如，终端设备还可以是虚拟现实(virtualreality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、未来演进的公用陆地移动通信网络(public land mobilenetwork，PLMN)中的终端设备、或者V2X中的车辆设备、客户前置设备(customer premisesequipment，CPE)等等。再例如，终端设备还可以是个人通信业务(personal communicationservice，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digitalassistant，PDA)等设备。

作为示例而非限定，终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

本申请实施例对终端设备所采用的具体技术和具体设备形态不作限定。

2)无线接入网设备，是通信系统中用于将终端设备接入到无线网络的设备。无线接入网设备一般可以通过有线链路(例如光纤线缆)连接到核心网。无线接入网设备可以为RAN中的节点，又可以称为基站(base station)，还可以称为RAN节点(或设备)。

无线接入网设备可以包括基站、LTE系统或演进的LTE系统(LTE-Advanced，LTE-A)中的演进型基站(evolved NodeB，eNodeB)、5G通信系统中的下一代基站(next generationNodeB，gNB)、发送接收点(transmission reception point，TRP)、基带单元(base bandunit，BBU)、无线局域网(wireless local area networks，WLAN)中的接入点(accesspoint，AP)、接入回传一体化(integrated access and backhaul，IAB)节点、未来移动通信系统中的基站或WiFi系统中的接入节点等。无线接入网设备也可以是完成基站部分功能的模块或单元，例如集中式单元(central unit，CU)或者分布式单元(distributed unit，DU)。

例如，在一种网络结构中，无线接入网设备可以为CU节点、或DU节点、或为包括CU节点和DU节点的无线接入网设备。其中，CU节点用于支持无线资源控制(radio resourcecontrol，RRC)、分组数据汇聚协议(packet data convergence protocol，PDCP)、业务数据适配协议(service data adaptation protocol，SDAP)等协议；DU节点用于支持无线链路控制(radio link control，RLC)层协议、媒体接入控制(medium access control，MAC)层协议和物理层协议。

无线接入网设备和终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上；还可以部署在空中的飞机、气球和卫星上。本申请实施例对无线接入网设备和终端设备的应用场景不作限定。在本申请实施例中，无线接入网设备可以简称为接入网设备，如无特殊说明，下文中的接入网设备均指无线接入网设备。

本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不作限定。

3)核心网设备，是指为终端设备提供业务支持的核心网(core network，CN)中的设备。如图1所示，为本申请实施例适用的一种5G通信系统的示意图，5G核心网设备包括接入和移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)、策略控制功能(policy control function，PCF)、网络切片选择功能(network slice selection function，NSSF)、鉴权服务器功能(authentication server function，AUSF)、网络切片认证和授权功能(Network Slice-Specific Authentication and Authorization Function，NSSAAF)、统一数据管理功能(unified data management，UDM)、用户面功能(user plane function，UPF)、应用功能(application function，AF)等多个功能单元。

其中，AMF主要负责移动性管理、接入管理等服务。SMF主要负责会话管理、终端设备地址管理和分配、动态主机配置协议功能、用户面功能的选择和控制等。PCF主要负责为网络行为管理提供统一的策略框架、提供控制面功能的策略规则、获取与策略决策相关的注册信息等。NSSF主要负责选择为UE服务的网络切片实例的集合。AUSF主要负责对终端设备的认证功能等。NSSAAF主要支持网络切片的认证和授权。UDM主要负责存储网络中签约终端设备的签约数据、信任状(credential)和持久身份标识(subscriber permanentidentifier，SUPI)等。UPF主要负责对外连接到数据网络(data network，DN)以及用户面的数据包路由转发、报文过滤、执行服务质量(quality of service，QoS)控制相关功能等。AF主要负责向3GPP网络提供业务，如影响业务路由、与PCF之间交互以进行策略控制等。

各功能单元之间可以通过下一代网络(next generation，NG)接口进行通信，例如：N1为AMF与用户设备(user equipment，UE)之间的接口，用于向UE传递QoS控制规则等；N2为AMF与RAN之间的接口，用于传递核心网侧至RAN的无线承载控制信息等；N3为RAN与UPF间的接口，用于在RAN与UPF间传递用户面数据；N4为SMF与UPF之间的接口，用于控制面与用户面之间传递信息，包括控制面向用户面的转发规则、QoS控制规则、流量统计规则等的下发以及用户面的信息上报；N5为AF与PCF之间的接口，用于应用业务请求下发以及网络事件上报；N6为UPF与DN连接间的接口，用于在UPF与DN间传递用户面数据；N7为PCF与SMF之间的接口，用于下发协议数据单元(protocol data unit，PDU)会话粒度以及业务数据流粒度控制策略；N8为AMF与UDM间的接口，用于AMF向UDM获取接入与移动性管理相关签约数据与鉴权数据，以及AMF向UDM注册UE当前移动性管理相关信息等；N10为SMF与UDM间的接口，用于SMF向UDM获取会话管理相关签约数据，以及SMF向UDM注册UE当前会话相关信息等；N11为SMF与AMF之间的接口，用于传递RAN和UPF之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给RAN的无线资源控制信息等。

如图2所示，为本申请实施例适用的另一种5G通信系统的示意图。除了图1所示的功能单元外，该5G通信系统还可以包括网络能力开放功能(network exposure function，NEF)、网络存储功能(network repository function，NRF)。

其中，NEF主要负责开放网络能力和事件，从AF获取外部应用信息，以及将用于外部开放的信息存储在用户数据库(user data repository，UDR)中。

各功能单元之间可以使用服务化的接口进行通信，例如：NSSAAF对外提供的服务化接口为Nnssaaf；AUSF对外提供的服务化接口可以为Nausf；AMF对外提供的服务化接口可以为Namf；SMF对外提供的服务化接口可以为Nsmf；NSSF对外提供的服务化接口可以为Nnssf；NEF对外提供的服务化接口可以为Nnef；NRF对外提供的服务化接口可以为Nnrf；PCF对外提供的服务化接口可以为Npcf；UDM对外提供的服务化接口可以为Nudm；AF对外提供的服务化接口可以为Naf。

应注意，本申请实施例适用的5G通信系统还可以包括网络数据分析功能(networkdata analytics function，NWDAF)。NWDAF主要用于对各类网络数据的分析，网络数据包括从网络功能(network function，NF)收集的网络运行数据、从运维管理系统(operationadministration and maintenance，OAM)获取的终端和网络相关的统计数据或从第三方AF获取的应用数据。NWDAF生成的分析结果也会输出给NF、OAM或第三方AF。

上述5G通信系统还可以参考第三代合作伙伴计划(3rd generation partnershipproject，3GPP)23.501标准中的5G系统架构图中的描述，本申请实施例在此不作赘述。

应注意，上述功能单元可以称为网元或者功能实体，它们既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。可选的，上述功能单元可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的不同的功能模块，本申请实施例对此不作具体限定。

如图3所示，为AAA-S触发的网络切片重认证流程，该流程包括如下步骤。

S301：UE通过AMF在5G核心网注册。AMF的标识符(identifier，ID)作为UE的上下文被储存在了UDM中。

S302：AAA-S向NSSAAF发送重认证请求(例如re-authentication request，可简写为Re-Auth Request)消息。相应地，NSSAAF接收来自AAA-S的重认证请求消息。

其中，重认证请求用于请求对UE的一个网络切片进行重认证和/或重授权。重认证请求消息可以包括单网络切片选择支撑信息(single network slice selectionassistance information，S-NSSAI)和一般公共订阅标识符(generic publicsubscription identifier，GPSI)，该S-NSSAI用于标识请求进行重认证和/或重授权的网络切片，该GPSI用于标识重认证和/或重授权针对的UE。

AAA-S可以直接向NSSAAF发送Re-Auth Request消息，或者通过AAA-P向NSSAAF发送Re-Auth Request消息，即AAA-S向AAA-P发送Re-Auth Request消息，AAA-P将该Re-AuthRequest message发送给NSSAAF。在一个示例中，当AAA-P正在被使用，即AAA-S为第三方设备时，AAA-S通过AAA-P向NSSAAF发送Re-Auth Request消息。需要说明的是，当AAA-S为第三方设备时，AAA-S和NSSAAF通过AAA-P进行通信。

S303：NSSAAF向UDM请求服务于UE的AMF ID。相应地，UDM向NSSAAF提供为UE服务的AMF ID。

其中，NSSAAF可以通过Nudm_UE上下文管理服务(UE context managementservice，UECM)_Get(GPSI,AMF Registration)服务的操作向UDM请求服务于UE的AMF ID。

S304：NSSAAF请求相关AMF为UE重认证和/或重授权S-NSSAI。

其中，NSSAAF可以通过Nnssaaf_网络切片认证和授权(network slice specificauthentication and authorization，NSSAA)_Re-authenticationNotification服务的操作请求相关AMF为UE重认证和/或重授权。相关AMF可以为上述服务于UE的AMF。

S305：AMF从NSSAAF接收GPSI和S-NSSAI，并为该GPSI标识的UE和该S-NSSAI标识的网络切片触发NSSAA流程。

如图4所示，为AAA-S发起的网络切片撤销流程，该流程包括如下步骤。

S401：UE通过AMF在5G核心网注册。AMF ID作为UE的上下文被储存在了UDM中。

S402：AAA-S向NSSAAF发送撤销请求消息(例如AAA协议撤销授权请求，即AAAprotocol revoke authorization request，可简写为AAA protocol revoke AuthRequest)。相应地，NSSAAF接收来自AAA-S的撤销请求消息。

其中，撤销请求消息用于请求撤销对UE的一个网络切片的授权。撤销请求消息可以包括GPSI和S-NSSAI，该S-NSSAI用于标识撤销授权的网络切片，该GPSI用于标识撤销授权针对的UE。

AAA-S可以直接向NSSAAF发送AAA protocol revoke Auth Request消息，或者通过AAA-P向NSSAAF发送AAA protocol revoke Auth Request消息，即AAA-S向AAA-P发送AAAprotocol revoke Auth Request消息，AAA-P将该AAA protocol revoke Auth Request消息发送给NSSAAF。在一个示例中，当AAA-P正在被使用，即AAA-S为第三方设备时，AAA-S通过AAA-P向NSSAAF发送AAA protocol revoke Auth Request消息。

S403：NSSAAF向UDM请求服务于UE的AMF ID。相应地，UDM向NSSAAF提供为UE服务的AMF ID。

其中，NSSAAF可以通过Nudm_UECM_Get(GPSI,AMF Registration)服务的操作向UDM请求服务于UE的AMF ID。

S404：NSSAAF请求相关AMF撤销对UE的S-NSSAI的授权。

其中，NSSAAF可以通过Nnssaaf_NSSAA_RevocationNotification服务的操作请求相关AMF撤销对UE的S-NSSAI的授权。相关AMF可以为上述服务于UE的AMF。

S405：NSSAAF向AAA-S发送撤销请求消息的响应消息。

其中，撤销请求消息的响应消息可以是AAA协议撤销授权响应消息，即AAAProtocol Revoke Authorization Response message。

S406：AMF从当前允许的网络切片选择支撑信息(network slice selectionassistance information，NSSAI)(即allowed NSSAI)中撤销S-NSSAI。

其中，AMF可以通过调用UE配置更新流程，为UE撤销S-NSSAI。

进一步的，AMF可以将新的allowed NSSAI提供给UE，和/或将包括被撤销授权的S-NSSAI的reject NSSAI提供给UE。

如图5所示，为网络切片认证和授权(即NSSAA)流程，该流程包括以下步骤。

S501：对于需要NSSAA的S-NSSAI，AMF触发NSSAA流程的开始。

具体的，AMF可以基于签约信息的更改或AAA-S的触发，开始NSSAA的流程。

S502：对于该S-NSSAI，如果AMF上没有用于可扩展认证协议(extensibleauthentication protocol，EAP)的UE的用户ID(即EAP ID)，AMF向UE请求EAP ID。相应地，UE接收来自AMF的用于请求EAP ID的消息。

其中，AMF可以通过向UE发送非接入层(non-access stratum，NAS)移动性管理(mobility management，MM)传输(即NAS MM transport)消息01向UE请求EAP ID。该NAS MMtransport消息包括该S-NSSAI。

S503：UE向AMF发送用于S-NSSAI认证的EAP ID。相应地，AMF接收来自UE的EAP ID。

其中，UE可以通过NAS MM transport消息02向AMF发送EAP ID。该NAS MMtransport消息02包括该S-NSSAI。

S504：AMF向NSSAAF发送EAP ID、GPSI和S-NSSAI。相应地，NSSAAF接收来自AMF的EAP ID、UE的GPSI和S-NSSAI。

其中，AMF可以通过Nnssaaf_NSSAA_Authenticate Request向NSSAAF发送EAP ID、GPSI和S-NSSAI。

S505：如果AAA-P存在(例如，由于AAA-S属于第三方),NSSAAF将EAP ID转发给AAA-P，否则，NSSAAF将EAP ID直接发送给AAA-S。

NSSAAF可以通过S-NSSAI路由到AAA-S,NSSAAF/AAA-P向AAA-S发送EAP ID、GPSI和S-NSSAI。AAA-S创建EAP ID和GPSI的关联，以便于AAA-S可以使用该关联触发撤销授权或重认证。AAA-S使用EAP ID和S-NSSAI来标识请求的是哪个UE和哪个网络切片的授权。

AAA-S接收到EAP ID后，可以根据EAP ID获知UE支持的EAP能力，并基于此能力选择EAP算法。该EAP算法用于AAA-S与UE交换用于认证和授权的信息(即EAP消息)。

S506-S511：AAA-S与UE进行EAP消息的交换。

这些步骤可以执行一次或多次。

具体的，AAA-S和UE可以通过S501-S505步骤中建立的连接传输EAP消息以完成互相的认证。

S512：EAP认证完成，AAA-S向NSSAAF/AAA-P发送EAP成功/失败消息、GPSI和S-NSSAI。相应地，NSSAAF/AAA-P接收来自AAA-S的EAP成功/失败消息、GPSI和S-NSSAI。

S513：NSSAAF向AMF发送EAP成功/失败消息(或信息)、S-NSSAI和GPSI。相应地，AMF接收来自NSSAAF的EAP成功/失败消息、S-NSSAI和GPSI。

其中，NSSAAF可以通过Nnssaaf_NSSAA_Authenticate响应消息向AMF发送EAP成功/失败消息、S-NSSAI和GPSI。

S514：AMF向UE发送EAP成功/失败消息(或信息)。UE接收来自AMF的EAP成功/失败消息(或信息)。

其中，AMF可以通过NAS MM transport消息向UE发送EAP成功/失败消息(或信息)。

S515：根据切片认证的结果，如果AMF需要向UE更新的allowed NSSAI或rejectedNSSAI，或者需要重分配AMF，AMF会触发UE配置更新流程。

应注意，S502、S503、S515为可选步骤。

上述网络切片的认证、重认证和撤销的流程还可以参考3GPP 33.501标准中的特定网络切片的认证和授权、AAA服务器触发的特定网络切片的重新认证和重新授权、以及AAA服务器触发的特定切片的授权撤销的相关描述，本申请实施例在此不作赘述。

如图6所示，为服务消费者向NWDAF请求网络数据分析的流程，该流程包括以下步骤。

S601：NWDAF服务消费者向NWDAF请求网络数据的分析。相应地，NWDAF接收来自NWDAF服务消费者的分析请求消息。

其中，NWDAF服务消费者可以是NF、OAM或者AF，它可以向NWDAF请求分析。NWDAF可以根据请求分析的类型和分析的周期，向不同的NF、OAM或AF收集不同时间段的数据，并进行分析，最后将分析结果报告给NWDAF服务消费者。

NWDAF服务消费者可以通过发送Nnwdaf_AnalyticsInfo_Request消息(或者说调用Nnwdaf_AnalyticsInfo_Request服务操作)，向NWDAF请求分析。

分析请求消息可以包括以下参数。

·分析ID(analytics ID(s))：用于定义请求的分析类型，比如网络切片的分析、NF负载的分析。

·分析过滤信息(analytics filter information)：指示需要报告的分析信息，例如S-NSSAI，NF标识等，用于进一步确定分析数据范围。

·分析报告的目标(target of analytics reporting)：指示分析的目标，比如一个UE、一组UE或任何UE。

·分析报告信息(analytics reporting information)：

-分析目标期间(analytics target period)：如时间间隔[开始结束]，可以是过去的开始时间和结束时间，或者是未来的开始时间和结束时间。如果是过去的时间，则是统计，如果是未来的时间，则是预测。

-分析的首选准确性水平(preferred level of accuracy of the analytics)。

S602：NWDAF向NWDAF服务消费者发送分析结果。相应地，NWDAF服务消费者接收来自NWDAF的分析结果。

其中，NWDAF可以通过Nnwdaf_AnalyticsInfo_Request Reponse消息(或者说调用Nnwdaf_AnalyticsInfo_Request Reponse服务操作)将分析结果报告提供给NWDAF服务消费者。

如图7所示，为服务消费者向NWDAF订阅网络数据分析的流程，该流程包括以下步骤。

S701：NWDAF服务消费者向NWDAF订阅网络数据的分析。相应地，NWDAF接收来自NWDAF服务消费者的分析订阅消息。

NWDAF服务消费者可以向NWDAF订阅分析，NWDAF可以根据分析类型和分析服务参数，每隔一段时间或在某个时间向不同NF、OAM或AF收集数据并分析，并根据分析服务参数，在规定时间将分析结果报告给NWDAF服务消费者。

NWDAF服务消费者可以通过发送Nnwdaf_AnalyticsSubscription_Subscribe消息(或者说调用Nnwdaf_AnalyticsSubscription_Subscribe服务操作)，向NWDAF订阅分析。

分析订阅消息除了可以包括S601中介绍的参数中，还可以包括通知目标地址(+通知关联ID)，用于关联此订阅和从NWDAF接收的通知。分析订阅消息中的分析报告信息还可以包括：

-分析报告参数(analytics reporting parameters)：包括报告模式，最大报告数，最大报告时长，立即报告标志等，可参考下述S801中的事件报告信息的描述。

-报告阈值(reporting thresholds)：返回分析结果的阈值，达到阈值之后NWDAF会返回报告。达到阈值可以包括小于阈值，大于阈值或与阈值相交。如果没有提供达到阈值的条件，则默认为与阈值相交。

S702：如果订阅成功，NWDAF向NWDAF服务消费者返回订阅成功的响应。

S703：NWDAF将分析结果通知给NWDAF服务消费者。相应地，NWDAF接收来自NWDAF的分析结果。

其中，NWDAF可以基于NWDAF服务消费者的订阅例如分析报告参数将分析结果通知给NWDAF服务消费者，换句话说当满足NWDAF服务消费者在订阅消息中携带的要求时，NWDAF将分析结果通知给NWDAF服务消费者。

NWDAF可以通过发送Nnwdaf_AnalyticsSubscription_Notify消息(或者说调用Nnwdaf_AnalyticsSubscription_Notify服务操作)向NWDAF服务消费者通知分析结果。

如图8所示，为NWDAF从NF收集数据的流程，该流程包括以下步骤：

S801：NWDAF向NF订阅数据。相应地，NF接收来自NWDAF的数据订阅消息。

其中，NWDAF可以通过发送Nnf_EventExposure_Subscribe消息(或者说调用Nnf_EventExposure_Subscribe服务操作)，向NF订阅数据。

数据订阅消息可以包括以下参数。

·事件ID(event ID)：指示订阅事件的类型，例如UE可达、UE接入和移动等。

·事件报告的目标(target of event reporting)：订阅目标，指示订阅UE或协议数据单元(protocol data unit，PDU)会话的相关数据。

·事件过滤信息(event filter information)：例如感兴趣的区域(area ofinterest)、S-NSSAI等，指定收集事件报告的目标的哪一类型的数据。

·通知目的地址(a notification target address)和通知关联ID(anotification correlation ID)：允许NWDAF将从NF接收的通知与此订阅关联。

·过期时间(an expiry time)：订阅超时时间，表示希望订阅保持为活动状态的时间。

·事件报告信息(event reporting information)：

-事件报告模式(event reporting mode)：例如报告最多数量的报告、定期报告和周期性(periodic reporting along with periodicity)、报告最长持续时间的报告。

其中，周期性可以是指报告的周期。

-可选的，最大报告数(maximum number of reports)：达到该最大报告数后事件订阅停止。

-可选的，最大报告时长(maximum duration of reporting)：达到该最大报告时长后事件订阅停止。

-可选的，立即报告标志(immediate reporting flag)：事件提供者NF将订阅事件的当前状态立即通知给消费者NF的标志。

S802：如果订阅成功，NF向NWDAF返回订阅成功的响应。

S803：NF将数据报告给NWDAF。相应地，NWDAF接收来自NF的数据。

其中，NF可以基于NWDAF的订阅例如事件报告信息将数据报告给NWDAF，换句话说当满足订阅消息中携带的要求时，NF将数据报告给NWDAF。

NF可以通过发送Nnf_EventExposure_Notify消息(或者说调用Nnf_EventExposure_Notify服务操作)向NWDAF报告数据。

如图9所示，为NWDAF从OAM收集数据的流程，该流程包括以下步骤：

S901：NWDAF向OAM订阅数据。

S902：如果订阅成功，OAM向NWDAF返回订阅成功的响应。

S903：OAM准备数据。

S904：OAM通知NWDAF数据准备完毕。

其中，NWDAF可以使用文件传输协议(file transfer protocol，FTP)获取来自OAM的数据。

上述服务消费者向NWDAF请求/订阅网络数据分析的流程以及NWDAF从NF/OAM收集数据的流程还可以参考3GPP 23.288标准中服务消费者向NWDAF请求/订阅网络数据分析以及NWDAF从NF/OAM收集数据的相关描述，本申请实施例在此不作赘述。

如图10所示，为本申请实施例提供的一种场景。该场景中恶意AAA-S会向NSSAAF发送其他AAA-S服务的网络切片的撤销请求，NSSAAF和AMF无法识别此消息的来源，会导致网络切片被恶意撤销，UE无法正常使用该网络切片。或者，恶意AAA-S会向NSSAAF发送其他AAA-S服务的网络切片的重认证请求，因反复的重认证流程会使网络资源被额外占用，影响网络切片的服务效率。换句话说，恶意AAA-S的攻击会导致网络切片重认证或撤销的异常，从而降低网络切片的业务体验，甚至会对网络切片造成拒绝服务(denial of service，DoS)攻击。

可以理解的是，AAA-S出现故障(例如被攻击)也会导致网络切片重认证或撤销的异常，进而降低网络切片的业务体验甚至引发DoS攻击。

为解决该问题，本申请实施例提出了异常检测的方法。需注意的是，本领域普通技术人员可知，随着通信网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图11所示，为本申请实施例的一种异常检测方法，该方法包括以下步骤。

S1101：NWDAF服务消费者向NWDAF发送网络切片重认证和/或撤销的分析订阅/请求消息03，向NWDAF订阅/请求网络切片重认证和/或撤销的分析。相应地，NWDAF接收来自NWDAF服务消费者的订阅/请求网络切片重认证和/或撤销分析的消息03。

该消息03可以包括以下参数。

·分析ID：定义请求的分析类型为网络切片的重认证和/或撤销的分析。

·分析过滤信息：指示此次分析针对的网络切片的标识信息，例如包括S-NSSAI。

·可选的，分析报告的目标：例如是特定UE或任何UE，如果是特定UE则包括该特定UE的标识信息，UE的标识信息例如可以是GPSI、国际移动用户识别码(internationalmobile subscriber identity，IMSI)或SUPI。下述UE的标识信息以SUPI为例，对此不作限定。

·可选的，通知目的地址(+通知关联ID)。

·分析目标期间：如时间间隔[开始结束]。

可以理解的是，消息03中还可以包括其他用于NWDAF对网络切片进行重认证和/或撤销分析的信息，其他信息可参考上述S601和S701中的描述，本申请实施例对此不作赘述。

在S1101之前，NWDAF服务消费者可以确定向NWDAF订阅/请求网络切片重认证和/或撤销的分析，具体可参考下述S1201中的描述。

S1102：NWDAF收集与网络切片重认证和/或撤销相关的数据。

示例性的，NWDAF向AMF收集网络切片重认证和/或撤销相关的数据的流程，可参考图8中的描述。

其中，NWDAF向AMF发送的网络切片重认证和/或撤销的数据订阅消息可以包括以下参数。

·事件ID：指示订阅事件的类型为网络切片重认证和/或撤销。

·可选的，事件报告的目标：特定UE或任何UE。

·事件过滤信息：S-NSSAI。

可以理解的是，数据订阅消息中还可以包括其他用于NWDAF收集与网络切片重认证和/或撤销相关的数据的信息，其他信息可参考上述S801中的描述，本申请实施例对此不作赘述。

AMF向NWDAF上报的数据可以包括以下信息中的一个或者多个：S-NSSAI、SUPI、UE网络切片的重认证和/或撤销的次数、注册在该网络切片上的UE的个数。其中，S-NSSAI标识了该上报的数据针对的网络切片，SUPI标识了该上报的数据针对的UE，UE网络切片的重认证的次数可以是分析目标期间内该SUPI标识的UE网络切片的重认证的次数，UE网络切片的撤销次数可以是分析目标期间内该SUPI标识的UE网络切片的撤销的次数，AMF上报的注册在该网络切片上的UE的个数可以是AMF所服务的注册在该网络切片上的UE的个数或者是该网络切片上注册的UE的总数。

应注意，NWDAF可以从OAM获取注册在网络切片的UE的个数。OAM上报的注册在网络切片的UE的个数可以是该网络切片上注册的UE的总数。

为更清楚地表述NWDAF从AMF/OAM获取的数据，以表1的形式说明该数据包括的信息。

表1

S1103：NWDAF进行网络切片重认证和/或撤销的分析。

示例性的，NWDAF接收来自该网络切片对应的一个或多个AMF上报的数据，统计分析目标期间内该网络切片的重认证和/撤销的总次数。可以理解的是，一个AMF所服务的在该网络切片上注册的UE的数量可能是网络切片上注册的UE的一部分，因此，从一个AMF获取的数据并不能反映整个网络切片的重认证和/撤销的情况。介于此，NWADF可以从该网络切片所对应的多个AMF处获取上报数据，并进行统计，分析出某一期间内的该网络切片的重认证和/或撤销的总次数。

进一步地，NWDAF可以分析出受攻击影响的UE。NWDAF分析受攻击影响的UE可以通过如下几种方式。

方式1：对AMF上报的多个数据进行统计，确定对于该网络切片服务的UE，重认证和/或撤销的正常数据。当其中一个UE(例如UE01)的数据异常时，确定UE01受攻击影响。

示例性的，AMF01上报了表2中单位时间内UE01和UE02网络切片重认证和/或撤销的次数，确定对于该网络切片服务的UE的正常数据。

表2

若NWDAF又接收到表3中的数据。

S-NSSAI

UE01

14：00～15：00

12

表3

根据表2中的数据，NDWDAF确定正常情况下，对于该网络切片服务的终端，单位时间内重认证和/或撤销的正常次数应小于等于6，则在14：00～15：00，UE01的数据超过了6，则认定UE01异常(或认定UE01受攻击影响)。在另一个示例中，NDWDAF确定正常情况下，对于该网络切片服务的终端，单位时间内重认证和/或撤销的正常次数应小于等于9(6的1.5倍)，该情况下，NWDAF根据预设规则，获知正常次数可和实际统计的次数有一定的偏差，则在14：00～15：00，UE01的数据超过了9，则认定UE01异常。

方式2：对AMF上报的多个数据进行模型训练，确定一个UE模型。将UE01的数据输入到UE模型，当UE模型的输出显示存在异常时，确定UE01受攻击影响。

其中，UE模型可以是针对网络切片下的一个或多个UE的算法(或称之为函数)，它可以通过多个单位时间内一个或多个UE的网络切片重认证/撤销的次数使用机器学习训练而成。该UE模型可以使用逻辑回归或支持向量网络(support vector machine，SVM)算法训练而成。该UE模型可以用于判断是否存在UE是否受攻击影响(或称之为UE是否异常)，以任意一个UE单位时间内的网络切片重认证/撤销的次数为输入，输出结果显示该UE是否受攻击影响。例如，UE模型模型表示为y1＝w1x1+w2x2+…+wtxt，其中w1至wt是训练得到的模型的值，x1到xt为输入数据，y1为数据输入后得到的输出，y值达到一定阈值时则认定UE受攻击影响，y值没有达到一定阈值时则认定没有受攻击影响。

示例性的，AMF01上报了表2中单位时间内UE01和UE02网络切片重认证和/或撤销的次数，训练出一个UE模型。NWDAF接收到表3中的数据后，将表3中的数据输入到该UE模型中，根据该UE模型的输出确定UE01是否收到攻击影响。

可以理解的是，本申请实施例对NWDAF分析受攻击影响的UE的方式不限定，任何可以使得NWDAF确定UE受攻击影响的方式都包括在本申请实施例的范围内。

S1104：NWDAF向NWDAF服务消费者发送分析结果。相应地，NWDAF服务消费者接收来自NWDAF的分析结果。

其中，NWDAF可以通过调用Nnwdaf_AnalyticsSubscription_Notify或Nnwdaf_AnalyticsInfo_Request响应服务操作向NWDAF服务消费者发送分析结果。

该分析结果可以包括S-NSSAI，还可以包括SUPI的列表、网络切片的重认证的次数、网络切片的撤销的次数、注册在该网络切片上的UE的个数、受攻击影响的UE的个数。其中，S-NSSAI标识了该分析结果针对的网络切片，SUPI的列表中包括了受攻击影响的UE，网络切片的重认证的次数可以是分析期间内该网络切片的重认证的总次数，网络切片的撤销的次数可以是分析期间内该网络切片的撤销的总次数，分析结果中的注册在该网络切片上的UE的个数可以是该网络切片上的注册UE的总数。

为更清楚地表述NWDAF上报的分析结果，以表5的形式说明该分析结果包括的信息。

表5

S1105-S1107：如果NWDAF服务消费者在S1101订阅了网络切片重认证和撤销分析的连续报告，NWDAF在收到AMF新数据的通知后进行新的分析，并将新的分析结果提供给NWDAF服务消费者。

S1105-S1107可参考S1102-S1104的相关描述，此处不作赘述。

S1108：服务消费者根据来自NWDAF的分析结果，采取相应的措施。

示例性的，若分析结果如表5所示，服务消费者(如AMF、)根据受攻击影响的UE的个数和注册UE个数的比例，向其他网元(如NSSAAF)请求对发起该S-NSSAI的撤销/重认证的AAA-S进行认证；或者服务消费者对该S-NSSAI的撤销/重认证的AAA-S进行认证；或者服务消费者(如AMF、NSSAAF)根据受攻击影响的UE的个数和注册UE个数的比例，拒绝该S-NSSAI的撤销/重认证；或者服务消费者(如AMF、NSSAAF)根据受攻击影响的UE的个数和注册UE个数的比例，指示AAA-S该S-NSSAI存在攻击/异常。

关于服务消费者在受攻击影响的UE的个数和注册UE个数的比例在什么范围内请求AAA-S进行认证，拒绝该S-NSSAI的撤销/重认证或指示AAA-S该S-NSSAI存在攻击/异常，可根据服务消费者上预设的规则或来自其他网元的指示确定，此处不作限定。

需说明的是，S1105-S1108为可选步骤。

在网络切片认证成功后，服务消费者向NWDAF请求对网络切片的重认证和/或撤销进行分析，NWDAF实时收集网络切片重认证和/或撤销请求的数据，并向服务消费者提供判断网络切片异常的条件。当恶意AAA-S发送网络切片重认证和/或撤销请求时，服务消费者可以根据该条件判断异常并执行相应的措施，保证了网络的安全和网络切片的业务体验，避免了DoS攻击。

在上述图11的基础上，本申请实施例提供一种异常检测的方法。该方法如图12所示，包括如下步骤。

S1201-S1203可参考S1101-S1103，此处不做赘述。

S1204：NWDAF向NWDAF服务消费者发送分析报告。相应地，NWDAF服务消费者接收来自NWDAF的分析报告。

该分析报告可以包括以下信息。

·S-NSSAI：指示发生异常的网络切片。

·时间戳：指示发生异常的时间段。

还可以包括以下信息中的一个或多个。

·SUPI：指示发生异常的UE。

·网络切片重认证次数：网络切片在单位时间内发生重认证的次数。

·网络切片撤销次数：网络切片在单位时间内发生撤销的次数。

·注册UE数量：网路切片上注册UE数量。

·异常UE数量：网络切片上异常UE的数量(即被攻击UE数量)。

·异常UE所占比例：网络切片上异常UE所占比例(即异常UE和注册UE数量的比值)

UE是否异常可以采用S1103中的方式进行判断，此处不做赘述。

S1205：恶意AAA-S向网络侧发送该网络切片的重认证和/或撤销的请求。

S1206：为该网络切片服务的AMF根据数据订阅请求，继续收集数据并上报给NWDAF。相应地，NWDAF接收来自为该网络切片服务的AMF继续上报的数据。

S1207：NWDAF根据为该网络切片服务的AMF的数据，继续生成分析报告并发送给NWDAF服务消费者，分析报告信息的类别可与S1204所述分析报告相同，信息的内容可不同。例如，时间戳指示的时间不同，异常UE的数量不同等。S1208：NWDAF服务消费者根据分析报告判断网络切片是否存在异常。

具体的，NWDAF服务消费者根据分析报告中的数据和预配置的阈值判断网络切片是否异常，当异常UE数量或异常UE所占比例超过AMF02中预配置的阈值时，则判定网络切片异常，比如异常UE数量阈值是100个，当异常UE数量超过100时，则判定网络切片异常；又比如，异常UE所占比例阈值是20％，当超过20％的UE异常时，则判定网络切片异常。

S1209：NWDAF服务消费者根据判断结果，采取相应的措施。

示例性的，如果确定网络切片异常，NWDAF服务消费者可以通知NSSAAF对该网络切片的重认证和/或撤销请求进行验证，确定请求是否来源于合法的AAA-S，若不是来源于合法的AAA-S，则可以丢弃该请求和/或进行告警；或者NWDAF服务消费者对该网络切片的重认证和/或撤销请求进行验证，确定请求是否来源于合法的AAA-S，若不是来源于合法的AAA-S，则可以丢弃该请求和/或进行告警；或者直接拒绝该网络切片的重认证和/或撤销的请求；或者指示AAA-S该网络切片存在攻击/异常。

如图13所示，为本申请实施例的另一种异常检测方法，该方法包括以下步骤。

S1301：AMF02确定向NWDAF订阅/请求网络切片重认证和/或撤销的分析。

其中，AMF02可以根据以下一个或多个触发条件，确定向NWDAF订阅/请求网络切片重认证和/或撤销的分析。

条件1为：AMF02接收的Nnssaaf_NSSAA_Authenticate响应消息中携带网络切片分析指示，指示AMF02是否向NWDAF订阅/请求网络切片重认证和/或撤销的分析。

示例性的，在网络切片认证成功后，AAA-S会在AAA protocol消息中携带网络切片分析指示。NSSAAF会在Nnssaaf_NSSAA_Authenticate响应消息中携带该网络切片分析指示。具体的，网络切片分析信息可以储存在AAA-S中，该信息可以指示是否对此网络切片进行网络切片重认证和/或撤销分析，也可以指示当网络切片上的注册人数达到一定数量时对此网络切片进行网络切片重认证和/或撤销分析。当网络切片认证成功后，AAA-S会根据此信息向AMF02发送网络切片分析指示，指示AMF02是否对该网络切片订阅/请求网络切片重认证和/或撤销的分析。进一步的，当该网络切片的注册人数达到一定数量时，AAA-S向AMF02发送网络切片分析指示。

或者，在网络切片认证成功后，NSSAAF会在Nnssaaf_NSSAA_Authenticate响应消息中携带网络切片分析指示，指示AMF02是否向NWDAF订阅/请求对网络切片的网络切片重认证和/或撤销的分析。具体的，网络切片分析信息可以储存在NSSAAF中，该信息可以指示是否对此网络切片进行网络切片重认证和/或撤销分析，也可以指示当网络切片上的注册人数达到一定数量时对此网络切片进行网络切片重认证和/或撤销分析。当收到网络切片认证成功的消息后，NSSAAF会根据此信息向AMF02发送网络切片分析指示，指示AMF02是否对该网络切片订阅/请求网络切片重认证和/或撤销的分析。进一步的，当该网络切片的注册人数达到一定数量时，NSSAAF向AMF发送网络切片分析指示。

条件2为：当AMF02向UDM请求UE签约信息时，AMF02接收来自UDM的网络切片分析信息。

示例性的，网络切片分析信息储存在UDM的UE的签约信息中，与签约信息中UE的已订阅的S-NSSAI绑定，该信息既可以和UE的一个特定的已订阅的S-NSSAI绑定，也可以和UE的多个或每个已订阅的S-NSSAI的绑定。该信息可以指示对UE的签约网络切片(即绑定的已订阅的S-NSSAI)是否进行网络切片重认证和/或撤销分析。

当AMF02向UDM请求UE签约信息时，UDM会将网络切片分析信息发送给AMF02，UDM具体可以通过Nudm_SDM_Get响应消息将网络切片分析信息提供给AMF02。同样地，AMF02已经向UDM订阅了UE的签约信息，UE的签约网络切片的网络切片分析信息改变时，UDM会向AM02F发送更新的网络切片分析信息，UDM具体可以通过调用Nudm_SDM_Notification服务向AMF02提供更新的网络切片分析信息。

在网络切片认证成功后，AMF02根据来自UDM的网络切片分析信息，判断是否向NWDAF订阅/请求网络切片重认证和/或撤销的分析。

条件3为：AMF02预配置了网络切片分析信息。

其中，该网络切片分析信息可以与AMF02服务的一个特定的S-NSSAI绑定，也可以和AMF02服务的多个或每个S-NSSAI的绑定。该信息可以指示对AMF02服务的网络切片是否进行网络切片重认证和/或撤销分析。

示例性的，在网络切片认证成功后，AMF02根据预配置的网络切片分析信息，判断是否向NWDAF订阅/请求网络切片重认证和/或撤销分析。

进一步地，在网络切片认证成功后，AMF02开始统计该网络切片上的注册UE数量。如果该网络切片上的注册UE数量骤减，则AMF02向NWDAF请求网络切片重认证和/或撤销分析。例如，当攻击发生时，大量用户被撤销，注册用户数量会出现骤减，此时AMF02会向NWDAF请求分析。

S1302：AMF02向NWDAF发送网络切片重认证和/或撤销的分析订阅/请求消息04，向NWDAF订阅/请求网络切片重认证和/或撤销分析。相应地，NWDAF接收来自AMF02的订阅/请求网络切片重认证和/或撤销分析的消息04。

该消息04可以包括以下参数。

·分析ID：定义请求的分析类型为网络切片的重认证和/或撤销的分析。

·可选的，分析报告的目标：任何UE。

·分析过滤信息：一个或多个S-NSSAI。

可以理解的是，AMF02可以针对一个S-NSSAI订阅/请求网络切片重认证和/或撤销分析，可以理解的是，AMF02可以服务多个网络切片，也可以为多个网络切片订阅/请求重认证和/或撤销分析，从而在消息04中包括多个S-NSSAI。

S1303：NWDAF根据消息04，向为分析针对的网络切片服务的AMF(包括AMF02)订阅数据。

示例性的，NWDAF向为该网络切片服务的AMF订阅数据的流程，可参考图8中的描述。

其中，NWDAF向为该网络切片服务的AMF发送的网络切片重认证和/或撤销的数据订阅消息，该消息包括的参数可以参考S1102中的描述，此处不作赘述。

S1304：为该网络切片服务的AMF根据数据订阅消息收集数据，并上报给NWDAF。相应地，NWDAF接收来自为该网络切片服务的AMF上报的数据。

其中，该数据可以包括以下信息。

·时间戳：指示该数据统计的时间段。

·可选的，SUPI：指示该数据属于哪一个UE。

·S-NSSAI：指示该数据属于哪一个网络切片。

·单位时间段内该网络切片撤销的次数，或者单位时间内对于一个UE使用该网络切片，收到撤销请求的次数。和/或

·单位时间段内该网络切片重认证的次数，或者单位时间内对于一个UE使用该网络切片，收到重认证请求的次数。为更清楚地表述NWDAF从AMF获取的数据，以表6和表7中AMF02上报UE02的数据为例说明该数据包括的信息。

表6

表7

其中，表6统计的是AMF02上的UE02的该网络切片重认证和/或撤销的次数，表7统计的是AMF02上该网络切片重认证和/或撤销的次数。

以AMF02为例，若AMF02统计的是UE02的网络切片重认证和/或撤销的次数，则在统计之前，AMF02根据数据订阅消息所包括的UE02的SUPI，确定统计针对的是UE02，或者AMF02根据数据订阅消息所包括的S-NSSAI，确定该S-NSSAI对应的UE包括UE02，进而在上报的数据中包括UE02的SUPI。

可替换的，NWDAF可以向OAM订阅数据，NWDAF接收来自OAM的上报，其中数据订阅请求中包括的内容可参考S1303中的描述，OAM上报的数据可参考S1304中的描述。其中，OAM可以从AMF处获取上报的数据。具体地，AMF可以自动将数据上报给OAM，在AMF入网时已经配置向OAM自动上报数据。

S1305：NWDAF根据接收的数据，对该网络切片进行网络切片重认证和/或撤销的分析。

示例性的，NWDAF通过以下方式，对该网络切片进行网络切片重认证和/或撤销的分析。

方式1：若为该网络切片服务的AMF(以AMF02和AMF03为例)统计的是该网络切片重认证和/或撤销的次数，则NWDAF可以计算出单位时间该网络切片重认证和/或撤销次数的总数，确定该网络切片单位时间内重认证和/或撤销次数的正常值。

例如：

表8

表8中，NWDAF将AMF02和AMF03上报的数据相加，进一步确定单位时间内该网络切片重认证的正常值为19～22。进一步的，NWDAF可以确定出该网络切片异常的阈值，该阈值可以是NWDAF根据多次分析计算得出，或者是根据预设规则确定的，例如预设规则规定大于正常值的最高值的1.5倍即为异常，根据该规则，NWDAF确定该网络切片异常的阈值为33。

方式2：若为该网络切片服务的AMF统计的是UE的网络切片重认证和/或撤销的次数，则NWDAF可以对单位时间一个或多个UE网络切片重认证和/或撤销次数及进行统计，确定UE单位时间内重认证和/或撤销次数的正常值。

以S1103的表2为例，NWDAF根据表2中的数据，确定单位时间内UE的正常值为4～6。进一步的，NWDAF可以确定UE异常的阈值，例如是9。

方式3：若为该网络切片服务的AMF统计的是UE的网络切片重认证和/或撤销的次数，NWDAF可以对单位时间UE网络切片重认证和/或撤销次数及进行模型训练，确定出一个UE模型，该模型可以判断UE是否异常。关于该UE模型，可参考S1103中的描述，此处不作赘述。

可以理解的是，随着数据的不断增多，上述的正常值/异常的阈值可以不断地进行更新。

通过S1301-S1305，NWDAF对某一网络切片进行了网络切片重认证和/或撤销的分析，确定了判断该网络切片的重认证和/或撤销次数异常的条件，后续当有恶意的AAA-S对该网络切片发起攻击时，NWDAF基于该判断条件，可以确定该网络切片的重认证和/或撤销次数异常，从而使得网络对此采取相应的措施。

S1306：恶意AAA-S向网络侧发送该网络切片的重认证和/或撤销的请求。

S1307：为该网络切片服务的AMF根据数据订阅请求，继续收集数据并上报给NWDAF。相应地，NWDAF接收来自为该网络切片服务的AMF继续上报的数据。

S1308：NWDAF根据S1305的分析确定数据是否存在异常。

在一个示例中，如S1305中方式1中所述，NWDAF确定该网络切片异常的阈值为33。当NWDAF在S1307中接收到如表9所示数据后，NWDAF将表9中的数据和该网络切片异常的阈值33进行比较，确定40大于33，因此确定表9中的数据异常，即该网络切片异常。

表9

在另一个示例中，如S1305中方式2所述，NWDAF确定出UE异常的阈值为9。当NWDAF在S1307中接收到如表10所示数据后，NWDAF将表10中的数据和异常的阈值9进行比较，确定10大于9，因此确定表10中的数据异常，即UE01异常。

表10

在又一个示例中，如S1305中方式3所述，NWDAF可以将表10中的数据输入至UE模型，根据该模型的输出结果确定表10中UE01 14点至15点的数据异常，即UE01异常。关于该UE模型，可参考S1305中的描述。

若确定数据存在异常，则可以进一步执行S1309a、S1309b～S1310b或者S1309c～S1310c。

若确定数据没有异常，则将S1307中接收的数据继续用于分析(例如用于异常的阈值的确定或模型训练)。NWDAF继续等待为该网络切片服务的AMF上报数据，直到发现数据异常。

S1309a：NWDAF向AMF02发送分析结果。相应地，AMF02接收来自NWDAF的分析结果。

该分析结果可以包括以下信息。

·时间戳：指示发生异常的时间段。

·可选的，SUPI：指示发生异常的UE。

·S-NSSAI：指示发生异常的网络切片。

·指示01：指示该网络切片异常。

S1309b：NWDAF根据该异常数据确定是否存在网络攻击。

示例性的，NWDAF通过以下方式，确定是否存在网络攻击。

方式1：NWDAF进一步确定该网络切片明显异常的阈值，超过该明显异常的阈值，则确定存在网络攻击。比如在S1305的方式1中，NWDAF可以进一步根据正常值为19～22，确定出该网络切片明显异常的阈值，例如是正常值的最高值的2倍即为明显异常，即超过44即为明显异常。

方式2：NWDAF确定异常的UE的数量达到一定阈值，则确定存在网络攻击。进一步的，NWDAF还可以确定明显异常的UE的数量达到一定阈值。比如在S1305的方式2中，NWDAF可以进一步根据UE01的正常值为4～6，确定出该UE01明显异常的阈值，例如是6的2倍即12，当UE01的数据超过了12，则确定UE01明显异常。

方式3：NWDAF将异常时间段内网络切片的数据(例如异常时间段内网络切片的重认证和/或撤销的次数)输入至攻击模型中，根据攻击模型的输出确定是否存在网络攻击。

该攻击模型可以为针对一个网络切片或整个网络的算法(或称之为函数)，它可以通过网络以往所受攻击的数据或者是多次模拟攻击训练而成。该攻击模型可以使用逻辑回归或SVM算法训练而成。例如，攻击模型表示为y2＝w1’x1’+w2’x2’+…+wt’xt’，其中w1’至wt’是训练得到的模型的值，x1’至xt’为输入数据，y2为数据输入后得到的输出，y2值达到一定阈值时则认定有攻击，y2值没有达到一定阈值时则认定没有攻击。

进一步的，在异常UE的数量低于一定阈值时，NWDAF将异常时间段内网络切片的数据输入至攻击模型中。

此外，该攻击模型可以体现攻击时的数据特性，使用该攻击模型进行判断，如果异常数据与此模型吻合，则能进一步确定数据异常是由攻击导致的。

若确定没有发生网络攻击，则NWDAF可以继续等待为该网络切片服务的AMF上报数据直到确认攻击发生，或者可以执行S1309a/S1309c；若确认攻击的确发生，则继续执行S1310b。

S1310b：NWDAF向AMF02发送分析结果。相应地，AMF02接收来自NWDAF的分析结果。

该分析结果可以包括以下信息。

·时间戳：指示发生异常的时间段。

·可选的，SUPI：指示发生异常的UE。

·S-NSSAI：指示发生异常的网络切片。

·指示02：指示该网络切片受到攻击。

S1309c：NWDAF向AMF02发送异常分析结果。相应地，AMF02接收来自NWDAF的分析结果。

该分析结果包括以下信息。

·时间戳：指示发生异常的时间段。

·可选的，SUPI：指示发生异常的UE。

·S-NSSAI：指示发生异常的网络切片。

·指示03：指示AMF02向AAA-S确认攻击是否发生。

若分析结果中包括指示03，则该分析结果中可以携带以下两个参数中一个或多个，用于向AAA-S确认攻击是否存在。

·单位时间内对于此网络切片的重认证的次数。

·单位时间内对于此网络切片的撤销的次数。

进一步的，NWDAF可以根据向AAA-S确认攻击的阈值确定在该分析结果中包括指示信息03。

S1310c.AMF02根据指示03，向AAA-S确认攻击是否发生。相应地，AAA-S接收来自AMF02的攻击确认请求消息。

该攻击确认请求消息包括以下信息。

·时间戳：指示发生异常的时间段。

·S-NSSAI：指示发生异常的网络切片。

·单位时间内对于此网络切片的重认证的次数。和/或

·单位时间内对于此网络切片的撤销的次数。

其中，AMF02可以通过AAA-P向AAA-S发送攻击确认请求消息。

需要说明的是，上述NWDAF向AMF02发送分析结果可以包括：NWDAF可以先将分析结果发送给UDM，再由UDM转发给AMF02；或者NWDAF可以先将分析结果发送给使用此切片的AF，再由AF将分析结果转发给UDM，最后UDM将分析结果转发给AMF02。

S1311c：AAA-S将攻击确认请求消息中的信息与AAA-S上统计的数据对比，判断攻击是否存在。

示例性的，AAA-S对比时间戳指示时间范围内AAA-S发送的该网络切片重认证和/或撤销请求数量与攻击确认请求消息中AMF02收到的对于该网络切片的重认证和/或撤销请求次数。如果数量不一致或者数量差值超出一定范畴，则确认攻击发生，并向AMF02指示攻击发生；如果数量一致，则确认攻击没有发生，并向AMF02指示攻击没有发生。

在S1309c之前，该方法还可以包括以下两个步骤。

S1：AMF02向AAA-S发送S-NSSAI和指示04，指示AAA-S统计AAA-S对此S-NSSAI发送的重认证和/或撤销请求的数量。

其中AMF02可以通过AAA-P向AAA-S发送S-NSSAI和指示04。

需要注意的是，该步骤是可选的，如果AMF02是根据AAA-S发送的网络切片分析指示确定为此网络切片请求分析，则AMF02可以不向AAA-S发送S-NSSAI和指示04。如果AAA-S向AMF02发送了网络切片分析指示，则在发送该指示后，AAA-S可以立即开始统计对此网络切片发送的重认证和/或撤销请求数量，或者可以在接收AMF02的响应后，开始统计。

S2：AAA-S根据来自AMF02的指示04，统计发送的该网络切片的重认证和/或请求数量。

S1312：AMF02根据指示，采取相应的措施。

其中，AMF02可以根据来自NWDAF的指示01、指示02、指示03或者来自AAA-S指示攻击发生的指示，采取相应的措施。

示例性的，如果确定网络切片异常或受到攻击，AMF02可以通知NSSAAF对该网络切片的重认证和/或撤销请求进行验证，确定请求是否来源于合法的AAA-S，若不是来源于合法的AAA-S，则可以丢弃该请求和/或进行告警；或者AMF02对该网络切片的重认证和/或撤销请求进行验证，确定请求是否来源于合法的AAA-S，若不是来源于合法的AAA-S，则可以丢弃该请求和/或进行告警；或者直接拒绝该网络切片的重认证和/或撤销的请求；或者AMF02指示AAA-S该网络切片存在攻击/异常。

需要说明的是，该方法中AMF02的动作都可以替换为OAM执行。

在网络切片认证成功后，AMF向NWDAF请求对网络切片的重认证和/或撤销进行分析，NWDAF实时收集网络切片重认证和/或撤销请求的数据，确定了判断网络切片异常的条件。当恶意AAA-S发送网络切片重认证和/或撤销请求时，NWDAF可以根据该条件判断异常并通知给AMF。AMF获知网络切片异常并执行相应的措施，保证了网络的安全和网络切片的业务体验，避免了DoS攻击。

如图14所示，为本申请实施例的又一种异常检测方法，该方法包括以下步骤：

S1401-S1404可参考S1301-S1304，此处不作赘述。

S1405：NWDAF根据接收的数据，对该网络切片进行网络切片重认证和/或撤销的分析。

示例性的，NWDAF根据接收的数据确定单位时间内UE的网络切片重认证和/或撤销次数的阈值。即超过该阈值后，认定UE异常。以UE01为例，当UE01的单位时间内网络切片重认证和/或撤销次数超过该阈值，则认定该UE01异常。例如根据S1305中的方式2，NWDAF确定UE异常的阈值为9，根据表3中的数据，可确定UE01异常。

进一步地，NWDAF可以确定发生异常的UE数量的阈值，即超过该阈值后，认定网络切片异常。例如，该阈值可以为5，当根据上述单位时间内UE的网络切片重认证和/或撤销次数的阈值确定出的UE的异常数量超过5后，认定该网络切片异常。该阈值可以是NWDAF根据该网络切片的注册UE数确定的。例如该网络切片的注册UE数为15，根据预设的规则，当异常UE的数量超过注册UE数的1/3后，认定该网络切片异常。

S1406：NWDAF向AMF02返回分析结果。相应地，AMF02接收来自NWDAF的分析结果。

该分析结果可以包括以下信息。

·时间戳：指示分析结果适用的时间段。

·S-NSSAI：指示分析结果适用的网络切片。

·单位时间内UE的网络切片重认证次数的阈值。

·单位时间内UE的网络切片撤销次数的阈值。

·发生异常的UE数量的阈值。

其中，单位时间内UE的网络切片重认证次数的阈值和单位时间内UE的网络切片撤销次数的阈值为和/或的关系。

进一步地，该分析结果还可以包括以下两个信息中的一个。

·向NWDAF确认攻击是否存在的阙值：当异常UE数量大于发生异常的UE数量的阈值但小于此阈值时，则AMF02需要向NWDAF进一步确认攻击是否发生，当异常UE数量大于此阈值时，则AMF02不需要向NWDAF确认。

需要说明的是，当异常UE的数量大于此阈值时，即明显异常时，AMF02直接根据异常UE的数量确定攻击存在，无需向NWDAF确认。

·向AAA-S确认攻击是否存在的阙值：当异常UE的数量大于发生异常的UE数量的阈值但小于此阈值时，则AMF02向AAA-S进一步确认攻击是否发生；当异常UE的数量大于此阈值时，则AMF02不需要向AAA-S确认。

需要说明的是，当异常UE的数量大于此阈值时，即明显异常时，AMF02直接根据异常UE的数量确定攻击存在，无需向AAA-S确认。

当分析结果中包括向NWDAF确认攻击是否存在的阙值，进一步执行S1407～1410，S1411a～S1413a和S1414。

当分析结果中包括向AAA-S确认攻击是否存在的阙值，进一步执行S1407～1410，S1411b～S1412b和S1414。

当分析结果中未包括向NWDAF确认攻击是否存在的阙值和向AAA-S确认攻击是否存在的阙值，进一步执行S1407～1410和S1414。

S1407：AMF02收到分析结果后，继续向NWDAF上报数据，并根据分析结果中的阈值，实时检测，判断网络切片是否存在异常。

S1408：可选的，NWDAF根据AMF02上报的数据继续更新分析结果，并将更新后的分析结果返回给AMF02。相应地，AMF02接收来自NWDAF的更新后的分析结果。

需要说明的是，上述NWDAF向AMF02发送分析结果(或更新后的分析结果)可以包括：NWDAF可以先将分析结果发送给UDM，再由UDM转发给AMF02；或者NWDAF可以先将分析结果发送给使用此网络切片的AF，再由AF将分析结果转发给UDM，最后UDM将分析结果转发给AMF02。

S1409：恶意AAA-S向网络侧发送该网络切片的重认证和/或撤销的请求。

S1410：AMF02根据分析结果中的阈值和收集的数据，确定该网络切片存在异常。

S1411a：当AMF02发现网络切片异常后，AMF02根据异常数据和向NWDAF确认攻击是否存在的阙值，向NWDAF请求确认攻击是否存在(或称为请求确认AAA-S是否异常)。相应地，NWDAF接收来自AMF02的攻击确认请求消息(或称为AAA-S异常请求消息)。

示例性的，AMF02将异常数据上报给NWDAF，该异常数据例如可以是表9或表10中所示数据。

其中，攻击确认请求消息可以包括以下信息。

·分析ID：设置为恶意AAA-S检测

·可选的，分析报告的目标：任何UE

·分析过滤信息：一个或多个S-NSSAI。

S1412a：NWDAF根据攻击确认请求消息，将异常时间段内网络切片重认证和/或撤销的数据输入到攻击模型中，根据该攻击模型的输出确定是否存在网络攻击。

关于该攻击模型，可参考S1409c中的描述。

如果NWDAF确定攻击发生，则在S1413A中通知AMF02攻击发生，并将异常数据用于继续训练该攻击模型；如果NWDAF判断攻击没有发生，则在S1413A中通知AMF02攻击没有发生。

S1413a：NWDAF通知AMF02攻击确认的结果(或称为AAA-S异常确认的结果)，该结果指示攻击是否发生。

需要说明的是，NWDAF向AMF02发送攻击确认的结果可以包括：NWDAF可以先将该结果发送给UDM，再由UDM转发给AMF02；或者NWDAF可以先将该结果发送给使用此网络切片的AF，再由AF转发给UDM，最后UDM将该结果转发给AMF02。

S1411b：当AMF02发现网络切片异常后，AMF02根据异常数据和向AAA-S确认攻击是否存在的阙值，向AAA-S请求确认攻击是否存在。相应地，AAA-S接收来自AMF02的攻击确认请求消息。

其中，AMF02可以通过AAA-P向AAA-S发送攻击确认请求消息，该攻击确认请求消息可以包括以下。

·时间戳：指示发生异常的时间段。

·S-NSSAI。

·单位时间内该网络切片的重认证的次数。

·单位时间内该网络切片的撤销的次数。

其中，单位时间内该网络切片重认证次数的阈值和单位时间内该网络切片撤销次数的阈值为和/或的关系。

其中，这些信息可以在AMF02向AAA-S发送确认请求之前，由AMF02统计。具体的，AMF02可以通过向其他为该网络切片服务的AMF02收集单位时间内收到的该网络切片的重认证和/或撤销请求的次数，确定单位时间内该网络切片的重认证和/或撤销的次数。当然，AMF02也可以通过向NSSAAF请求等方式获取单位时间内该网络切片的重认证和/或撤销的次数，本申请实施例对此不作限定。

S1412b：AAA-S将确认请求中的数据与AAA-S上统计的数据对比，判断攻击是否存在。

如果确认攻击发生，AAA-S向AMF02指示攻击发生；如果确认攻击没有发生，并向AMF02指示攻击没有发生。

关于该步骤，可参考S1311c中的描述，此处不作赘述。

S1414：AMF02采取相应的措施。

其中，AMF02可以根据网络切片的异常、来自NWDAF的攻击确认的结果或者来自AAA-S指示攻击发生的指示，采取相应的措施。

关于该措施，可参考S1312中的描述，此处不作赘述。

需要说明的是，该方法中AMF02的动作都可以替换为OAM执行。

在网络切片认证成功后，AMF向NWDAF请求对网络切片的重认证和/或撤销进行分析，NWDAF实时收集网络切片重认证和/或撤销请求的数据，并向AMF提供判断网络切片异常的条件。当恶意AAA-S发送网络切片重认证和/或撤销请求时，AMF可以根据该条件判断异常并执行相应的措施，保证了网络的安全和网络切片的业务体验，避免了DoS攻击。

如图15所示，为本申请实施例的又一种异常检测方法，该方法包括以下步骤。

S1501：在一个UE的网络切片认证过程中，AAA-S将其预设的网络切片重认证和/或撤销频率发送给NSSAAF。相应地，NSSAAF接收来自AAA-S的预设的网络切片重认证和/或撤销频率。

其中，AAA-S可以通过AAA protocol消息将预设的网络切片重认证和/或撤销频率发送给NSSAAF。

示例性的，在预设的重认证和/或撤销频率更新时，AAA-S将其更新后的预设的网络切片重认证和/或撤销频率在网络切片认证中发送给AMF。

S1502：NSSAAF将预设的重认证和/或撤销频率发送给AMF。相应地，AMF接收来自NSSAAF的预设的重认证和/或撤销频率。

其中，AAA-S可以通过Nnssaaf_NSSAA_Authenticate Resp消息将预设的重认证和/或撤销频率发送给AMF。

S1503：在网络切片认证成功后，AMF根据以下一个触发条件，开始监测网络切片实际的重认证和/或撤销的频率和/或网络切片上的注册UE数量。

条件1：在网络切片认证成功后，AMF根据接收的网络切片监测指示，确定监测网络切片实际的重认证和/或撤销频率和/或网络切片上的注册UE数量。

具体的，AMF可以接收来自AAA-S的网络切片监测指示，指示AMF是否监测网络切片的实际的重认证和/或撤销频率和/或网络切片上的注册UE数量。其中，网络切片监测信息可以储存在AAA-S中，该信息可以指示此网络切片是否需要监测，也可以指示当网络切片上的注册人数达到一定数量时需要对此网络切片进行监测。当网络切片认证成功后，AAA-S根据此信息通过AAA protocol消息将网络切片监测指示发送给NSSAAF，NSSAAF通过Nnssaaf_NSSAA_Authenticate响应消息将网络切片监测指示转发给AMF，以指示AMF是否对该网络切片进行监测。

或者，AMF可以收到来自NSSAAF的网络切片监测指示，指示AMF是否监测网络切片的实际的重认证和/或撤销频率和/或网络切片上的注册UE数量。其中，网络切片监测信息可以储存在NSSAAF中，该信息可以指示是否对此网络切片进行监测，也可以指示当网络切片上的注册人数达到一定数量时对此网络切片进行监测。当网络切片认证成功后，NSSAAF根据此信息通过Nnssaaf_NSSAA_Authenticate响应消息向AMF发送网络切片监测指示，以指示AMF是否对该网络切片进行监测。

条件2：当AMF向UDM请求UE签约信息时，AMF接收来自UDM的网络切片监测信息。

示例性的，网络切片监测信息储存在UDM的UE的签约信息中，与签约信息中UE已订阅的S-NSSAI绑定，该信息既可以和UE的一个特定的已订阅的S-NSSAI绑定，也可以和UE的多个或每个已订阅的S-NSSAI的绑定。该信息可以指示是否对UE的签约网络切片进行监测。

当AMF向UDM请求UE签约信息时，UDM可以将网络切片监测信息通过Nudm_SDM_Get响应消息发送给AMF。同样地，AMF已经向UDM订阅了UE的签约信息，UE的签约网络切片的网络切片监测信息改变时，UDM可以通过调用Nudm_SDM_Notification服务向AMF发送更新的网络切片监测信息。

在网络切片认证成功后，AMF根据来自UDM的网络切片分析信息，判断是否监测该网络切片。

条件3：AMF预配置的网络切片监测信息。

其中，该网络切片监测信息可以与AMF服务的一个特定的S-NSSAI绑定，也可以和AMF02服务的多个或每个S-NSSAI的绑定。该信息可以指示对AMF服务的网络切片是否进行监测。

示例性的，在网络切片认证成功后，AMF根据预配置的网络切片监测信息，判断是否监测该网络切片。

S1504：恶意AAA-S向网络侧发送该网络切片的重认证和/或撤销的请求。

S1505：AMF监测到异常发生。

该异常情况可以是来自AAA-S的预设的网络切片的重认证和/或撤销频率与AMF监测的实际频率不一致或差值达到一定阈值，也可以是该网络切片上注册UE数量骤减(例如骤减的数量大于预设的网络切片的撤销的频率)。

进一步地，AMF可以根据异常频率(即AMF监测的实际频率)和正常频率(即预设的频率)的偏移量判断是否要向AAA-S确认攻击，也可以根据切片上注册UE数量骤减幅度判断是否要向AAA-S确认攻击。具体的，当偏移量过大或幅度过大时，不需要向AAA-S确认，反之，需要向AAA-S确认。

需要说明的是，当偏移量过大或幅度过大时，即明显异常时，AMF直接确定攻击存在，无需向AAA-S确认。

可选的，AMF根据S1505中的判断结果确定向AAA-S确认攻击，则进一步执行S1506a～S1507a和S1508，如果S1507中的AMF无需向AAA-S进一步确认，则执行S1508。

S1506a：AMF向AAA-S发送攻击确认请求，向AAA-S请求确认攻击是否存在。相应地，AAA-S接收来自AMF02的攻击确认请求消息。

其中，AMF可以通过AAA-P向AAA-S发送攻击确认请求消息，该攻击确认请求消息可以包括以下信息。

·时间戳：指示发生异常的时间段。

·S-NSSAI。

·单位时间内该网络切片的重认证的次数。

·单位时间内该网络切片的撤销的次数。

其中，单位时间内该网络切片重认证次数的阈值和单位时间内该网络切片撤销次数的阈值为和/或的关系。

其中，这些信息可以在AMF向AAA-S发送确认请求之前，由该AMF统计。具体可参考S1411b中的描述。

S1507a：AAA-S将确认请求中的数据与AAA-S上统计的数据对比，判断攻击是否存在。

如果确认攻击发生，AAA-S向AMF02指示攻击发生；如果确认攻击没有发生，并向AMF02指示攻击没有发生。

关于该步骤，可参考S1311c中的描述，此处不作赘述。

在S1506a之前，该方法还可以包括以下两个步骤。

S1：AMF向AAA-S发送S-NSSAI和指示04，指示AAA-S统计AAA-S对此S-NSSAI发送的重认证和/或撤销请求的数量。

S2：AAA-S根据来自AMF的指示04，统计发送的该网络切片的重认证和/或请求数量。

关于S1和S2，可参考图13中的描述。

S1508：AMF采取相应措施应对攻击。

其中，AMF可以根据S1505中的异常结果或者来自AAA-S指示攻击发生的指示，采取相应的措施。

关于该措施，可参考S1312中的描述，此处不作赘述。

需要说明的是，该方法中AMF的动作都可以替换为OAM执行。

在网络切片认证成功后，AMF开启对网络切片重认证和/或撤销的监测。当恶意AAA-S向网络切片发送网络切片重认证和/或撤销请求时，AMF可以监测到异常并执行相应的措施，保证了网络的安全和网络切片的业务体验，避免了DoS攻击。

在上述图11-15的基础上，本申请实施例提供又一种异常检测的方法。该方法如图16所示，包括以下步骤。

S1601：可选的，服务消费者向网络数据分析功能实体请求对网络切片的重认证和/或撤销进行分析。

示例性的，服务消费者向网络数据分析功能实体发送网络切片重认证和/或撤销的分析订阅/请求消息，具体可参考S1101和S1302中的描述。

在该步骤之前，服务消费者可以基于以下一个条件，确定向网络数据分析功能实体订阅/请求网络切片重认证和/或撤销的分析。

条件1：服务消费者接收网络切片分析指示，网络切片分析指示用于指示服务消费者向网络数据分析功能实体订阅/请求网络切片重认证和/或撤销的分析。

示例性的，服务消费者可以接收来自认证、授权和计费服务器或者网络切片认证和授权功能实体的网络切片分析指示。认证、授权和计费服务器可以根据自身存储的网络切片分析信息向服务消费者发送网络切片分析指示。网络切片认证和授权功能实体也可以根据自身存储的网络切片分析信息向服务消费者发送网络切片分析指示。

条件2：服务消费者接收来自统一数据管理功能实体的网络切片分析信息。

条件3：服务消费者预配置了网络切片分析信息。

其中，网络切片分析信息可以指示对某个网络切片进行网络切片重认证和/或撤销的分析，或者可以用于指示对某个终端设备的网络切片进行网络切片重认证和/或撤销的分析，或者用于指示对服务消费者上的每一个网络切片进行网络切片重认证和/或撤销的分析。换句话说，根据网络切片分析信息，可确定对某个网络切片进行网络切片重认证和/或撤销的分析。

关于服务消费者确定向网络数据分析功能实体订阅/请求网络切片重认证和/或撤销的分析，可参考S1301中的描述。

S1602：网络数据分析功能实体获取该网络切片的重认证和/或撤销的数据。

示例性的，网络数据分析功能实体向获知网络切片的重认证和/或撤销数据的功能实体订阅该数据。获知网络切片的重认证和/或撤销数据的功能实体可以是接入和移动性管理功能实体或者操作、管理和维护功能实体(下述以接入和移动性管理功能实体为例)。

网络数据分析功能实体可以订阅某一期间内的网络切片重认证和/或撤销的次数，或者单位时间内网络切片重认证和/或撤销的次数。该订阅可以针对一个或多个网络切片，或者可以针对在某个网络切片上的一个或多个终端设备。

根据网络数据分析功能实体的订阅，接入和移动性管理功能实体向网络数据分析功能实体上报网络切片的重认证和/或撤销的数据，例如可以一次性上报或者周期性上报，本申请实施例对上报的方式不作限定。该上报的数据可以为某个终端设备的某个网络切片重认证和/或撤销次数，也可以针对某个网络切片重认证和/或撤销次数。

关于网络数据分析功能实体获取该网络切片的重认证和/或撤销的数据，还可参考S1102、S1303和S1304、和S1307中的描述。

S1603：网络数据分析功能实体对该数据进行分析。

示例性的，网络数据分析功能实体根据获取的数据，分析出受攻击影响的终端设备，具体可参考S1103中的描述。

或者，网络数据分析功能实体可以根据获取的数据，确定判断网络切片的重认证和/或撤销异常的条件，即获取用于判断网络切片是否异常的信息。例如，网络数据分析功能实体可以确定网络切片单位时间内重认证和/或撤销次数的正常值，超过该正常值，则可判断网络切片的重认证和/或撤销次数异常。例如，网络数据分析功能实体可以确定某一终端设备单位时间内网络切片的重认证和/或撤销次数的正常值，超过该正常值，则该终端设备异常。例如，网络数据分析功能实体可以训练出一个终端设备的模型，该模型可以用于判断终端设备是否异常。其中，若终端设备存在异常，可确定网络切片的重认证和/或撤销异常。具体可参考S1305和S1308中的描述。

进一步的，网络数据分析功能实体还可以根据异常的数据确定是否存在网络攻击，具体可参考S1309b中的描述。

或者，网络数据分析功能实体可以确定终端设备单位时间内网络切片的重认证和/或撤销次数的阈值和发生异常的终端设备数量的阈值。若超过终端设备单位时间内网络切片的重认证和/或撤销次数的阈值，则可认定终端设备异常。若超过发生异常的终端设备数量的阈值，则可认定网络切片异常。具体可参考S1405中的描述。

又或者，网络数据分析功能实体可以将获取的数据输入至攻击模型中，根据攻击模型的输出可判断是否存在网络攻击。

需要说明的是，网络数据分析功能实体对该数据进行分析，目的可以是网络数据分析功能实体能够判断网络切片的重认证和/或撤销是否异常(或者说是否受到攻击)，或者是网络数据分析功能实体能够向服务消费者提供能够判断网络切片是否异常的信息。

S1604：可选的，网络数据分析功能实体向服务消费者发送对该数据进行分析的结果。

示例性的，网络数据分析功能实体可以在分析结果中指示服务消费者网络切片异常或者受到攻击，具体可参考S1309a或S1310b中的描述。

或者，网络数据分析功能实体可以在分析结果中包括判断网络切片是否异常的信息。例如，分析结果中包括在该网络切片上注册的终端设备的个数和受攻击影响的终端的个数，服务消费者基于受攻击影响的终端设备的个数和注册终端设备个数的比例，可确定网络切片是否异常，具体可参考S1104中的描述。例如，分析结果中包括向认证、授权和计费服务器确认攻击是否存在的指示，服务消费者基于该指示，可向认证、授权和计费服务器请求确认攻击是否存在，具体可参考S1309c中的描述。例如，分析结果中包括单位时间内终端设备的网络切片重认证和/或次数的阈值和发生异常的UE数量的阈值，服务消费者基于该两个阈值，可确认网络切片是否异常，具体可参考S1406中的描述。

S1605：可选的，服务消费者根据分析结果，采取相应的措施。

示例性的，服务消费者根据受攻击影响的终端设备的个数和注册的终端设备个数的比例，采取相应措施，具体可参考S1108中的描述。

或者，服务消费者根据向认证、授权和计费服务器确认攻击是否存在的指示，向认证、授权和计费服务器请求确认攻击是否存在，具体可参考S1310c、S1311c和S1312中的描述。

或者，服务消费者根据单位时间内终端设备的网络切片重认证和/或次数的阈值和发生异常的UE数量的阈值，在采集数据的过程中确定网络切片存在异常，采取相应的措施，具体可参考S1414中的描述。进一步的，服务消费者还可以根据分析结果中的指示，向认证、授权和计费服务器或网络分析功能实体请求确认攻击是否存在，具体可参考S1411a～S1413a或S1411b～1412b中的描述。

通过上述方法，服务消费者向网络分析功能实体请求对网络切片的重认证和/或撤销进行分析，网络分析功能实体获取网络切片重认证和/或撤销请求的数据，并向服务消费者发送该分析的结果。若服务消费者基于该分析结果确定存在网络切片的异常或攻击，采取相应的措施，保证了网络的安全和网络切片的业务体验，避免了DoS攻击。

在上述图15的基础上，本申请实施例提供又一种异常检测的方法。该方法如图17所示，包括如下步骤。

S1701：获取网络切片预设的重认证和/或撤销的信息。

在一个示例中，接入和移动性管理功能实体接收网络切片预设的重认证和/或撤销频率。该预设的重认证和/或撤销频率可以来源于认证、授权和计费服务器，在认证、授权和计费服务器并未发起重认证和/或撤销频率前提供给接入和移动性管理功能实体。该预设的重认证和/或撤销频率表示的是提前设置的单位时间内该网络切片重认证和/或撤销的次数。具体可参考S1701～1702中的描述。

在另一个示例中，网络切片认证和授权功能实体接收来自认证、授权和计费服务器的网络切片预设的重认证和/或撤销的频率。

需要说明的是，除了上述的频率，该预设的重认证和/或撤销的信息还可以是重认证和/或撤销发生的时间段等信息。

S1702：获取该网络切片实际的重认证和/或撤销的信息。

在一个示例中，接入和移动性管理功能实体监测网络切片实际的重认证和/或撤销的频率和/或网络切片上的注册终端设备的数量，即实际的重认证和/或撤销的信息包括实际的重认证和/或撤销的频率，和/或网络切片上的注册终端设备的数量。获取该信息的方式可以是接入和移动性管理功能实体监测。

其中，接入和移动性管理功能实体可以基于以下一个触发条件，获取该网络切片实际的重认证和/或撤销的信息。

条件1：接收网络切片监测指示，网络切片监测指示用于指示接入和移动性管理功能实体监测该网络切片的重认证和/或撤销。

示例性的，可以接收来自认证、授权和计费服务器或者网络切片认证和授权功能实体的网络切片监测指示。认证、授权和计费服务器可以根据自身存储的网络切片监测信息向接入和移动性管理功能实体发送网络切片监测指示。网络切片认证和授权功能实体也可以根据自身存储的网络切片监测信息向接入和移动性管理功能实体发送网络切片监测指示。

条件2：接收来自统一数据管理功能实体的网络切片监测信息。

条件3：预配置了网络切片监测信息。

其中，网络切片监测信息可以指示对某个网络切片的重认证和/或撤销进行监测，或者可以用于指示对某个终端设备的网络切片进行监测，或者用于指示对接入和移动性管理功能实体上的每一个网络切片进行监测。换句话说，根据网络切片监测信息，可确定对某个网络切片的重认证和/或撤销进行监测。

关于获取该网络切片实际的重认证和/或撤销的信息，可参考S1503中的描述。

在另一个示例中，网络切片认证和授权功能实体通过接收来自接入和移动性管理功能实体的该网络切片实际的重认证和/或撤销的信息获取该信息。

S1703：根据该网络切片预设的重认证和/或撤销的信息和该网络切片实际的重认证和/或撤销的信息，确定该网络切片存在异常。

示例性的，当该网络切片预设的重认证和/或撤销的频率和实际监测到的频率不一致或差值达到一定阈值时，确定该网络切片存在异常。或者，当该网络切片上注册的终端设备的数量骤减时，例如单位时间段内该网络切片上注册终端设备减少的数量大于预设的该网络切片撤销的频率，确定该网络切片存在异常。

进一步地，可以根据实际频率和预设频率的偏移量判断是否要向认证、授权和计费服务器确认攻击，也可以根据切片上注册UE数量骤减幅度判断是否要向认证、授权和计费服务器确认攻击。具体的，当偏移量过大或幅度过大时，不需要向认证、授权和计费服务器确认，反之，需要向认证、授权和计费服务器确认。向认证、授权和计费服务器确认攻击可参考S1506a～S1507a，此处不作赘述。

关于确定该网络切片存在异常，可参考S1505中的描述。

S1704：对该异常执行相应措施。

其中，可以根据S1703中确定的异常结果或者来自认证、授权和计费服务器指示攻击发生的指示，采取相应的措施。

关于该措施，可参考S1312中的描述，此处不作赘述。图18是本申请实施例提供的异常检测的装置1800的示意性框图。如图所示，该装置1800可以包括：收发单元1810和处理单元1820。

在一种可能的设计中，该装置1800可以是上文方法实施例中的NWDAF，也可以是用于实现上文方法实施例中NWDAF的功能的芯片。

应理解，该通信装置1800可对应于根据本申请实施例的图11至图17中任一项方法中的网络数据分析功能实体(如NWDAF)，该通信装置1800可以包括用于执行上述方法中的NWDAF执行的方法的单元。并且，该装置1800中的各单元用于实现图11至图17中任一项方法中的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该装置1800可以是上文方法实施例中的网络设备如AMF、OAM、AAA-S，也可以是用于实现上文方法实施例中网络设备的功能的芯片。

应理解，该装置1800可对应于根据本申请实施例图11至图17中任一项的方法中的网络设备，该装置1800可以包括用于执行上述方法中的网络设备执行的方法的单元。并且，该装置1800中的各单元用于实现图11至图17中任一项方法中的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该装置1800中的收发单元1810可对应于图19中示出的设备1900中的收发器1920，该装置1800中的处理单元1820可对应于图19中示出的设备1900中的处理器1910。

还应理解，当该通信装置1800为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1810用于实现装置1800的信号的收发操作，处理单元1820用于实现通信装置1800的信号的处理操作。

可选地，该通信装置1800还包括存储单元1830，该存储单元1830用于存储指令。

图19是本申请实施例提供一种异常检测的设备1900。如图所示，该设备1900包括：至少一个处理器1910和收发器1920。该处理器1910与存储器耦合，用于执行存储器中存储的指令，以控制收发器1920发送信号和/或接收信号。可选地，该设备1900还包括存储器1930，用于存储指令。

应理解，上述处理器1910和存储器1930可以合成一个处理装置，处理器1910用于执行存储器1930中存储的程序代码来实现上述功能。具体实现时，该存储器1930也可以集成在处理器1910中，或者独立于处理器1910。

还应理解，收发器1920可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器1920还可以进一步包括天线，天线的数量可以为一个或多个。收发器1920有可以是通信接口或者接口电路。

当该设备1900为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由NWDAF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由NWDAF执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由OAM，SMF，AMF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由AMF、OAM、AAA-S执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由NWDAF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由NWDAF执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由AMF、OAM、AAA-S执行的方法，或由AMF、OAM、AAA-S执行的方法，或由NWDAF执行的方法。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (28)

1.一种异常检测的方法，其特征在于，包括：

网络数据分析功能实体获取网络切片的重认证和/或撤销的第一数据；

所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息。

2.根据权利要求1所述的方法，其特征在于，所述第一数据包括：

对于所述网络切片服务的第一终端设备，所述网络切片的重认证和/或撤销的次数。

3.根据权利要求2所述的方法，其特征在于，所述用于判断所述网络切片是否异常的信息包括：

异常的终端设备的数量、异常的终端设备的列表、或者异常的终端设备数量与所述网络切片上注册的终端设备数量的比值。

4.根据权利要求3所述的方法，其特征在于，所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息包括：

所述网络数据分析功能实体根据第一阈值和所述第一数据，获取所述用于判断所述网络切片是否异常的信息，所述第一阈值用于判断所述网络切片服务的终端设备是否异常。

5.根据权利要求4所述的方法，其特征在于，所述网络数据分析功能实体根据第一阈值和所述第一数据，获取所述用于判断所述网络切片是否异常的信息包括：

所述网络数据分析功能实体根据所述第一阈值和所述第一数据，确定所述第一终端设备异常；

所述网络数据分析功能实体根据所述第一终端设备异常，获取所述用于判断所述网络切片是否异常的信息。

6.根据权利要求4或5所述的方法，其特征在于，还包括：

所述网络数据分析功能实体获取所述网络切片的重认证和/或撤销的第二数据，所述第二数据包括：对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；

所述网络数据分析功能实体根据所述第二数据，获取所述第一阈值。

7.根据权利要求3所述的方法，其特征在于，所述网络数据分析功能实体根据所述第一数据获取用于判断所述网络切片是否异常的信息包括：

所述网络数据分析功能实体根据第一模型和所述第一数据，获取所述用于判断所述网络切片是否异常的信息，所述第一模型用于判断所述网络切片服务的终端设备是否异常。

8.根据权利要求7所述的方法，其特征在于，所述网络数据分析功能实体根据第一模型和所述第一数据，获取所述用于判断所述网络切片是否异常的信息包括：

所述网络数据分析功能实体根据所述第一模型和所述第一数据，确定所述第一终端设备异常；

所述网络数据分析功能实体根据所述第一终端设备异常，获取所述用于判断所述网络切片是否异常的信息。

9.根据权利要求7或8所述的方法，其特征在于，还包括：

所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第二数据，所述第二数据包括：对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；

所述网络数据分析功能实体根据所述第二数据，获取所述第一模型。

10.根据权利要求2-9任一项所述的方法，其特征在于，还包括：

所述网络数据分析功能实体根据用于判断所述网络切片是否异常的信息，确定所述网络切片异常。

11.根据权利要求1所述的方法，其特征在于，所述第一数据包括：

一个或多个时间段内，所述网络切片的重认证和/或撤销的次数。

12.根据权利要求11所述的方法，其特征在于，所述用于判断所述网络切片是否异常的信息包括单位时间段内所述网络切片的重认证和/或撤销的次数的第二阈值。

13.根据权利要求12所述的方法，其特征在于，还包括：

所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第二数据，所述第二数据包括：第一时间段内，所述网络切片的重认证和/或撤销的次数；

所述网络数据分析功能实体根据所述第二数据和所述第二阈值，确定所述网络切片异常。

14.根据权利要求10或13所述的方法，其特征在于，还包括：

所述网络数据分析功能实体向服务消费者指示所述网络切片异常。

15.根据权利要求14所述的方法，其特征在于，还包括：

所述网络数据分析功能实体向服务消费者指示向认证、授权和计费服务器确认是否发生攻击。

16.根据权利要求10或13所述的方法，其特征在于，还包括：

所述网络数据分析功能实体根据所述网络切片异常的数据和攻击模型，确定所述网络切片受到攻击，所述攻击模型用于确定是否存在网络攻击。

17.根据权利要求16所述的方法，其特征在于，还包括：

所述网络数据分析功能实体向服务消费者指示所述网络切片受到攻击。

18.根据权利要求2所述的方法，其特征在于，所述用于判断所述网络切片是否异常的信息包括：

对于所述网络切片服务的终端设备，所述网络切片的重认证和/或撤销的次数的所述第一阈值和异常的终端设备的数量的第三阈值，其中，所述第一阈值用于判断所述网络切片服务的终端设备是否异常，所述第三阈值用于判断所述网络切片是否异常。

19.根据权利要求18所述的方法，其特征在于，还包括：

所述网络数据分析功能实体获取所述网络切片的重认证和/或撤销的第二数据，所述第二数据包括对于所述网络切片服务的一个或多个终端设备，所述网络切片的重认证和/或撤销的次数；

所述网络数据分析功能实体根据所述第二数据，获取所述第一阈值。

20.根据权利要求1-9、18或19中任一项所述的方法，其特征在于，还包括：

所述网络数据分析功能实体向服务消费者发送所述用于判断所述网络切片是否异常的信息。

21.根据权利要求1-20任一项所述的方法，其特征在于，还包括：

所述网络数据分析功能实体接收来自服务消费者请求对所述网络切片的重认证和/或撤销进行分析的消息。

22.根据权利要求21所述的方法，其特征在于，所述消息包括指示对所述网络切片的重认证和/或撤销进行分析的信息。

23.根据权利要求1-22任一项所述的方法，其特征在于，所述网络数据分析功能实体获取网络切片的重认证和/或撤销的第一数据包括：

所述网络数据分析功能实体接收来自为所述网络切片的服务的接入和移动性管理功能实体上报的所述第一数据。

24.根据权利要求23所述的方法，其特征在于，还包括：

所述网络数据分析功能实体向为所述网络切片的服务的接入和移动性管理功能实体订阅所述第一数据。

25.一种通信装置，其特征在于，所述装置包括处理器，所述处理器与存储器耦合：

所述处理器，用于执行所述至少一个存储器中存储的计算机程序或指令，以使得所述装置执行权利要求1至24中任一项所述的方法。

26.一种计算机可读存储介质，其特征在于，用于存储指令，当所述指令被执行时，使权利要求1至24中任一项所述的方法被实现。

27.一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述指令被运行时，使得权利要求1至24中任一项所述的方法被实现。

28.一种通信系统，其特征在于，所述通信系统包括用于执行如权利要求1至24中任一项所述方法的网络数据分析功能实体。

Images