CN117424710A - 管理未授权流量的方法及通信装置 - Google Patents

Abstract

本申请实施例提供了一种管理未授权流量的方法及通信装置。根据本申请，第一网元获取到安全态势态势感知模型和第一终端设备的第一时段的业务访问信息之后，可以根据安全态势感知模型和第一时段的业务访问信息确定，第一时段的业务访问信息对应的业务的流量是否属于未授权流量，从而实现网络及时识别第一终端设备访问的未授权流量。其中，安全态势感知模型是根据至少一个终端设备的业务访问信息得到的，至少一个终端设备的业务访问信息对应的业务的流量属于授权流量。

Description

管理未授权流量的方法及通信装置

技术领域

本申请实施例涉及通信领域，并且更具体的，涉及一种管理未授权流量的方法及通信装置。

背景技术

举例来说，第五代(5th generation，5G)网络每平方公里可以支持100万个终端设备同时连接，若其中的一个或多个终端设备被劫持，则被劫持的终端设备可能发起大流量拒绝服务攻击(denial of service，DoS)信息。若多个被劫持的终端设备都发起大流量DoS攻击信息，则可能引发信令风暴或分布式拒绝服务攻击(distributed denial ofservice，DDoS)，更严重的情况下，还可能超越，甚至击垮网络防御能力。或者被劫持的终端设备可能访问终端设备不允许访问的流量，从而影响其他终端设备访问授权流量。如果网络能够及时感知终端设备的未授权流量，并对终端设备的未授权流量进行管控，则可以避免网络遭受信令风暴或DDoS，保证网络中终端设备正确访问授权流量。

发明内容

本申请实施例提供一种管理未授权流量的方法及通信装置，以期实现网络及时感知终端设备的未授权流量。

第一方面，提供了一种管理未授权流量的方法，该方法可以由第一网元执行，或者，也可以由第一网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由第一网元执行为例进行说明。

该方法包括：第一网元获取安全态势感知模型，该安全态势感知模型是根据至少一个终端设备的业务访问信息得到的，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该第一网元获取第一终端设备的第一时段的业务访问信息；该第一网元根据该安全态势感知模型和该第一时段的业务访问信息，确定该第一时段的业务访问信息对应的第一业务的流量是否属于未授权流量。

基于上述技术方案，第一网元可以根据安全态势感知模型和第一终端设备的业务访问信息，确定第一业务的流量是否属于未授权流量，从而有利于实现网络及时识别第一终端设备的未授权流量。相比于现有的识别终端设备的未授权流量的方法，本申请实施例提供的方法的适用性更好。例如，通过比较第一终端设备的访问行为与提前定义的未授权访问行为识别未授权流量的方式中，由于不同终端设备的未授权访问行为千差万别，难以通过提前定义的方式定义终端设备的所有未授权访问行为，一旦某些未授权访问行为没有被提前定义，则无法通过比较第一终端设备的访问行为与提前定义的未授权访问行为识别未授权流量。通过比较第一终端设备的访问行为与提前定义的授权访问行为识别未授权流量的方式中，由于不同终端设备的授权访问行为难以通过明确的特征规则定义，进而难以通过比较第一终端设备的访问行为与提前定义的授权访问行为识别第一终端设备的未授权流量。而本申请实施例提供的方法，不需要提前定义终端设备的授权访问行为或未授权访问行为，且不论第一终端设备是什么样的访问行为，第一网元都可以根据安全态势感知模型和第一终端设备的业务访问信息确定第一终端设备访问的业务的流量是否属于未授权流量。

可以理解，第一网元也可以根据安全态势感知模型和第一时段的业务访问信息，确定第一业务的流量是否属于授权流量。

示例性的，该业务访问信息包括以下一项或多项：至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第一方面，在第一方面的某些实现方式中，该第一网元是用户面网元，该第一网元根据该安全态势感知模型和该第一时段的业务访问信息，确定该第一时段的业务访问信息对应的第一业务的流量是否属于异常流量，包括：在该第一网元接收来自会话管理网元的该第一终端设备的标识和该安全态势感知模型的标签的情况下，该第一网元根据该安全态势感知模型和该第一时段的业务访问信息，确定该第一业务的流量是否属于未授权流量。

基于上述技术方案，第一网元接收到第一终端设备的标识和安全态势感知模型的标签，则可以确定第一终端设备签约了该安全态势感知模型，进而第一网元根据安全态势感知模型识别第一终端设备访问的流量是否属于未授权流量，从而保证流量识别的准确性。例如，若第一终端设备未签约安全态势感知模型，则说明该安全态势感知模型不能用于识别第一终端设备的未授权流量，即使根据该安全态势感知模型得到了第一终端设备访问的流量的识别结果，该识别结果也可能是不准确的。

结合第一方面，在第一方面的某些实现方式中，该第一网元是用户面网元，该第一网元确定该第一业务的流量属于未授权流量，该方法还包括：该第一网元通过会话管理网元向策略控制网元发送第一事件标识，该第一事件标识用于标识检测到未授权流量的事件；该第一网元通过该会话管理网元接收来自该策略控制网元的流量管控规则；该第一网元根据该流量管控规则对该第一业务的流量进行管控。

基于上述技术方案，若第一网元确定第一终端设备访问的第一业务的流量属于未授权流量，则第一网元可以通过会话管理网元向策略控制网元发送第一事件标识，从而策略控制网元可以根据第一事件标识确定第一网元检测到未授权流量。进而，策略控制网元可以通过会话管理网元向用户面网元发送流量管控规则，使得用户面网元可以根据流量管控规则对未授权流量进行管控，从而可以保证网络的安全。例如，若第一网元可以根据流量管控规则对未授权流量进行阻断，则有利于阻断第一终端设备发起大流量拒绝服务(denial of service，DoS)攻击。

结合第一方面，在第一方面的某些实现方式中，该第一网元通过会话管理网元向策略控制网元发送第一事件标识，包括：该第一网元通过该会话管理网元向该策略控制网元发送该第一事件标识和该第一业务对应的应用检测信息，该应用检测信息用于确定该流量管控规则；该第一网元通过该会话管理网元接收来自该策略控制网元的流量管控规则，包括：该第一网元通过该会话管理网元接收来自该策略控制网元的该应用检测信息对应的流量管控规则。

基于上述技术方案，第一网元通过会话管理网元向策略控制网元发送应用检测信息，使得策略控制网元可以根据应用检测信息确定流量管控规则。例如，策略控制网元根据应用检测信息确定第一终端设备访问的目的地址是第一终端设备不允许访问的地址，则策略控制网元根据该应用检测信息确定的流量管控规则包括更新服务质量(quality ofservices，QoS)流的包过滤器。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一业务的未授权流量停止之后，该第一网元停止使用该流量管控规则。

基于上述技术方案，若第一网元确定第一业务的未授权流量停止，则第一网元可以停止使用流量管控规则，从而保证第一终端设备正常访问授权流量。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元获取该第一终端设备的第二时段的业务访问信息，该第二时段的业务访问信息与该第一业务对应，该第二时段在该第一时段之后；若该第一网元根据该安全态势感知模型和该第二时段的业务访问信息，确定该第一业务的流量属于授权流量，该第一网元确定该第一业务的未授权流量停止。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向该会话管理网元发送第二事件标识，该第二事件标识用于标识未检测到未授权流量的事件；该第一网元通过该会话管理网元接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则。

基于上述技术方案，第一网元确定未授权流量停止的情况下，可以通过会话管理网元向策略控制网元发送第二事件标识，从而策略控制网元可以根据第二事件标识确定未授权流量停止。进而，策略控制网元可以通过会话管理网元向用户面网元发送指示信息，以指示第一网元停止使用流量管控规则。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元通过该会话管理网元接收来自该策略控制网元的该第一事件标识和/或第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第一方面，在第一方面的某些实现方式中，该第一网元是用户面网元，该方法还包括：该第一网元向数据分析网元发送流量识别信息，该流量识别信息用于指示该第一终端设备访问的流量是否属于未授权流量，或者，用于指示该第一终端设备的访问行为是否属于未授权访问行为。

基于上述技术方案，数据分析网元可以根据接收的流量识别信息向策略控制网元发送第一事件标识，从而策略控制网元可以根据第一事件标识确定第一网元检测到未授权流量。进而，策略控制网元可以通过会话管理网元向用户面网元发送流量管控规则，使得用户面网元可以根据流量管控规则对未授权流量进行管控，从而可以保证网络的安全。

结合第一方面，在第一方面的某些实现方式中，该第一网元向数据分析网元发送流量识别结果，包括：该第一网元具备安全态势感知可视化报表功能的情况下，向该数据分析网元发送该流量识别信息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向该数据分析网元发送该第一时段的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元通过会话管理网元接收来自策略控制网元的流量管控规则；该第一网元根据该流量管控规则对该第一业务的流量进行管控。

基于上述技术方案，用户面网元可以根据流量管控规则对未授权流量进行管控，从而可以保证网络的安全。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元通过该会话管理网元接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则；该第一网元根据该指示信息停止使用该流量管控规则。

基于上述技术方案，第一网元可以根据指示信息停止使用流量管控规则，从而保证第一终端设备正常访问授权流量。

结合第一方面，在第一方面的某些实现方式中，该第一网元是数据分析网元，该第一网元确定该第一业务的流量属于未授权流量，该方法还包括：该第一网元向策略控制网元发送第一事件标识，该第一事件标识用于标识检测到未授权流量。

基于上述技术方案，第一网元向策略控制网元发送第一事件标识，从而策略控制网元可以根据第一事件标识确定第一网元检测到未授权流量。进而，策略控制网元可以通过会话管理网元向用户面网元发送流量管控规则，使得用户面网元可以根据流量管控规则对未授权流量进行管控，从而可以保证网络的安全。

结合第一方面，在第一方面的某些实现方式中，该第一网元向策略控制网元发送第一事件标识，包括：该第一网元向该策略控制网元发送该第一事件标识和以下一项或多项：该第一时段的业务访问信息对应的业务对应的应用检测信息，该第一终端设备的标识，该安全态势感知模型的标签，或，该第一时段的业务访问信息对应的业务的标识。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元获取该第一终端设备的第二时段的业务访问信息，该第二时段在该第一时段之后；该第一网元根据该安全态势感知模型和该第二时段的业务访问信息，确定该第二时段的业务访问信息对应的第二业务的流量属于授权流量；该第一网元向该策略控制网元发送第二事件标识，该第二事件标识用于标识未检测到未授权流量。

基于上述技术方案，第一网元向策略控制网元发送第二事件标识，从而策略控制网元可以根据第二事件标识确定未授权流量停止。进而，策略控制网元可以通过会话管理网元向用户面网元发送指示信息，以指示第一网元停止使用流量管控规则。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元接收来自该策略控制网元的订阅请求信息，该订阅请求信息包括以下一项或多项：该第一终端设备的标识，该第一业务的标识，该安全态势感知模型的标签，该第一事件标识，或，第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第一方面，在第一方面的某些实现方式中，该第一网元是数据分析网元，该方法还包括：该第一网元向策略控制网元发送流量统计信息，该流量统计信息用于确定是否对该第一时段的业务访问信息对应的业务的流量进行管控，该流量统计信息包括该第一终端设备的授权流量和/或未授权流量分布情况，或，该流量统计信息包括该第一终端设备的流量变化趋势。

基于上述技术方案，第一网元向策略控制网元发送流量统计信息，有利于策略控制网元根据流量统计信息确定第一终端设备是否即将访问未授权流量，从而策略控制网元可以在确定第一终端设备即将访问未授权流量的情况下，通过会话管理网元向用户面网元发送流量管控规则，使得用户面网元可以根据流量管控规则对未授权流量进行管控，从而可以保证网络的安全。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元接收来自该策略控制网元的订阅请求信息，该订阅请求信息包括以下一项或多项：该第一终端设备的标识，该第一业务的标识，或，该安全态势感知模型的标签。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取安全态势感知模型，包括：该第一网元接收来自安全态势感知功能网元的该安全态势感知模型。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：第一网元获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该第一网元向安全态势感知功能网元发送该至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型。

基于上述技术方案，第一网元将获取到的至少一个终端设备的业务访问信息发送给安全态势感知功能网元，从而使得安全态势感知功能网元可以根据至少一个终端设备的业务访问信息确定安全态势感知模型。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元接收来自该安全态势感知功能网元或数据分析网元的信息采集订阅信息，该信息采集订阅信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率该，至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该第一网元获取至少一个终端设备的业务访问信息，包括：该第一网元根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向该安全态势感知功能网元发送采集任务查询请求信息；该第一网元接收来自该安全态势感知功能网元的采用任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该第一网元获取至少一个终端设备的业务访问信息，包括：该第一网元根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该第一网元根据该采集参数获取该至少一个终端设备的业务访问信息，包括：当满足以下中的一项或多项时，该第一网元获取该终端设备的业务访问信息：该采集参数包括该至少一个终端设备的标识，或，该采集参数包括该至少一个终端设备访问的业务的标识。

结合第一方面，在第一方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该第一网元的位置信息，或该第一网元归属的公共陆地移动网络(public landmobile network，PLMN)的标识；该第一网元接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取至少一个终端设备的业务访问信息，包括：在该第一网元接收到来自会话管理网元的该至少一个终端设备的标识和该安全态势感知模型的标签的情况下，该第一网元获取该至少一个终端设备的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取安全态势感知模型，包括：该第一网元获取该至少一个终端设备的业务访问信息；该第一网元对该至少一个终端设备的业务访问信息进行人工智能训练得到该安全态势感知模型。

基于上述技术方案，若第一网元具备安全态势感知功能，则第一网元获取到至少一个终端设备的业务访问信息的情况下，可以对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取至少一个终端设备的业务访问信息，包括：该第一网元接收来自用户面网元的至少一个终端设备的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向第三网元发送信息采集订阅信息，该第三网元是该用户面网元或数据分析网元，该信息采集订阅信息包括采集参数：该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向网络存储功能网元发送请求消息，请求消息用于请求该第三网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知模型的标签，该第一网元的位置信息，或，该第一网元归属的PLMN的标识；该第一网元接收来自该网络存储功能网元的该第三网元的地址信息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元接收来自第三网元的采集任务查询请求信息，该第三网元是该用户面网元或数据分析网元；该第一网元网元向该第三网元发送采集任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第一方面，在第一方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一网元向网络存储功能网元发送注册信息，该注册信息包括以下一项或多项：该安全态势感知模型的标签，该第一网元的标识，该第一网元的互联网协议(internet protocol，IP)地址，该第一网元的全量域名，该第一网元的位置信息，或，该第一网元归属的PLMN的标识。

基于上述技术方案，第一网元将上述信息发送至网络存储功能网元，从而其他网元(例如用户面网元或数据分析网元)可以从网络存储功能网元获取到第一网元的地址信息。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取至少一个终端设备的业务访问信息，包括：该第一网元根据该安全态势感知模型对应的采集项采集该至少一个终端设备的业务访问信息。

结合第一方面，在第一方面的某些实现方式中，该第一网元获取第一终端设备的第一时段的业务访问信息，包括：该第一网元根据该安全态势感知模型对应的采集项，采集该第一时段的业务访问信息，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第一方面，在第一方面的某些实现方式中，该至少一个终端设备与该第一终端设备满足如下关系中的至少一项：该至少一个终端设备包括该第一终端设备，该至少一个终端设备与该第一终端设备是相同类型的终端设备，该至少一个终端设备的业务访问信息对应的业务与该第一时段的业务访问信息对应的业务相同。

第二方面，提供了一种管理未授权流量的方法，该方法可以由策略控制网元执行，或者，也可以由策略控制网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由策略控制网元执行为例进行说明。

该方法包括：策略控制网元接收来自第二网元的第一事件标识，该第一事件标识用于标识异常流量起始事件；该策略控制网元根据该第一事件标识，通过会话管理网元向用户面网元发送流量管控规则，该流量管控规则用于用于对第一终端设备访问的未授权流量进行管控。

第二方面及第二方面中任一种可能实现方式的有益效果可以参考上述第一方面。

结合第二方面，在第二方面的某些实现方式中，该策略控制网元接收来自第二网元的第一事件标识，包括：该策略控制网元接收来自该第二网元的该第一事件标识和以下一项或多项：该第一终端设备访问的业务对应的应用检测信息、该第一终端设备的标识、安全态势感知模型的标签、该第一终端设备访问的业务的标识，该应用检测信息用于确定该流量管控策略。

结合第二方面，在第二方面的某些实现方式中，该策略控制网元接收到该应用检测信息的情况下，该策略控制网元根据该第一事件标识向该会话管理网元发送异常流量管控策略，包括：该策略控制网元根据该第一事件标识，通过该会话管理网元向该用户面网元发送该应用检测信息对应的流量管控规则。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该策略控制网元接收来自该第二网元的第二事件标识，该第二事件标识用于标识未检测到未授权流量；该策略控制网元通过该会话管理网元向该用户面网元发送指示信息，该指示信息用于指示停止使用该流量管控规则。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该策略控制网元向该第二网元发送该第一事件标识和/或第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第二方面，在第二方面的某些实现方式中，该第二网元是会话管理网元，该方法还包括：该策略控制网元向该会话管理网元发送第一终端设备的标识和安全态势感知模型的标签，该安全态势感知模型的标签用于标识该安全态势感知模型，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该策略控制网元向该第二网元发送订阅请求信息，该订阅请求信息包括以下一项或多项：该第一终端设备的标识，业务标识，安全态势感知模型的标签，该第一事件标识，或，第二事件标识，该第二事件标识用于标识未检测到未授权流量，该安全态势感知模型的标签用于标识该安全态势感知模型，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量。

第三方面，提供了一种管理未授权流量的方法，该方法可以由会话管理网元执行，或者，也可以由会话管理网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由会话管理网元执行为例进行说明。

该方法包括：会话管理网元接收来自策略控制网元的流量管控规则；该会话管理网元向用户面网元发送该流量管控规则，该流量管控规则用于对第一终端设备访问的未授权流量进行管控。

第三方面及第三方面中任一种可能实现方式的有益效果可以参考上述第一方面。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：会话管理网元接收来自用户面网元的第一事件标识，该第一事件标识用于标识检测到未授权流量的事件；该会话管理网元向策略控制网元发送该第一事件标识；

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该会话管理网元接收来自该策略控制网元的该第一事件标识；该会话管理网元向该用户面网元发送该第一事件标识。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该会话管理网元接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则；该会话管理网元向该用户面网元发送该指示信息。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该会话管理网元接收来自用户面网元的第二事件标识，该第二事件标识用于标识未检测到未授权流量的事件；该会话管理网元向策略控制网元发送该第二事件标识；

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该会话管理网元接收来自该策略控制网元的该第二事件标识；该会话管理网元向该用户面网元发送该第二事件标识。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该会话管理网元接收来自该策略控制网元的该第一终端设备的标识和安全态势感知模型的标签，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量；该会话管理网元向该用户面网元发送该第一终端设备的标识和该安全态势感知模型的标签。

第四方面，提供了一种获取安全态势感知模型的方法，该方法可以由用户面网元执行，或者，也可以由用户面网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由用户面网元执行为例进行说明。

该方法包括：用户面网元获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该用户面网元向安全态势感知功能网元发送该至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型。

基于上述技术方案，第一网元将获取到的至少一个终端设备的业务访问信息发送给安全态势感知功能网元，从而使得安全态势感知功能网元可以根据至少一个终端设备的业务访问信息确定安全态势感知模型。

示例性的，该业务访问信息包括以下一项或多项：至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：该用户面网元接收来自该安全态势感知功能网元或数据分析网元的信息采集订阅信息，该信息采集订阅信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率该，至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该用户面网元获取至少一个终端设备的业务访问信息，包括：该用户面网元根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：该用户面网元向该安全态势感知功能网元发送采集任务查询请求信息；该用户面网元接收来自该安全态势感知功能网元的采用任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该用户面网元获取至少一个终端设备的业务访问信息，包括：该用户面网元根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第四方面，在第四方面的某些实现方式中，该用户面网元根据该采集参数获取该至少一个终端设备的业务访问信息，包括：当满足以下中的一项或多项时，该用户面网元获取该终端设备的业务访问信息：该采集参数包括该至少一个终端设备的标识，或，该采集参数包括该至少一个终端设备访问的业务的标识。

结合第四方面，在第四方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：该用户面网元向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该用户面网元的位置信息，或该用户面网元归属的公共陆地移动网络的标识；该用户面网元接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

结合第四方面，在第四方面的某些实现方式中，该用户面网元获取至少一个终端设备的业务访问信息，包括：在该用户面网元接收到来自会话管理网元的该至少一个终端设备的标识和该安全态势感知模型的标签的情况下，该用户面网元获取该至少一个终端设备的业务访问信息。

第五方面，提供了一种获取安全态势感知模型的方法，该方法可以由安全态势感知功能网元执行，或者，也可以由安全态势感知功能网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由安全态势感知功能网元执行为例进行说明。

该方法包括：安全态势感知功能网元获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该安全态势感知功能网元对该至少一个终端设备的业务访问信息进行人工智能训练，得到安全态势感知模型。

基于上述技术方案，安全态势感知功能网元通过对至少一个终端设备的业务访问信息进行人工智能训练，可以得到用于识别未授权流量的安全态势感知模型。从而当用户面网元或数据分析网元获取到该安全态势感知模型之后，可以根据该安全态势感知模型识别未授权流量，从而有利于实现网络及时识别终端设备访问的未授权流量。

示例性的，该业务访问信息包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第五方面，在第五方面的某些实现方式中，该安全态势感知功能网元获取至少一个终端设备的业务访问信息，包括：该安全态势感知功能网元接收来自用户面网元的至少一个终端设备的业务访问信息。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该安全态势感知功能网元向第三网元发送信息采集订阅信息，该第三网元是该用户面网元或数据分析网元，该信息采集订阅信息包括采集参数：该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该安全态势感知功能网元向网络存储功能网元发送请求消息，请求消息用于请求该第三网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识；该安全态势感知功能网元接收来自该网络存储功能网元的该第三网元的地址信息。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该安全态势感知功能网元接收来自第三网元的采集任务查询请求信息，该第三网元是该用户面网元或数据分析网元；该安全态势感知功能网元向该第三网元发送采集任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第五方面，在第五方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该安全态势感知功能网元向网络存储功能网元发送注册信息，该注册信息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的标识，该安全态势感知功能网元的IP地址，该安全态势感知功能网元的全量域名，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识。

基于上述技术方案，第一网元将上述信息发送至网络存储功能网元，从而其他网元(例如用户面网元或数据分析网元)可以从网络存储功能网元获取到第一网元的地址信息。

结合第五方面，在第五方面的某些实现方式中，该安全态势感知功能网元获取至少一个终端设备的业务访问信息，包括：该安全态势感知功能网元根据该安全态势感知模型对应的采集项采集该至少一个终端设备的业务访问信息。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该安全态势感知功能网元向用户面网元或数据分析网元发送该安全态势感知模型。

第六方面，提供了一种获取安全态势感知模型的方法，该方法可以由数据分析网元执行，或者，也可以由数据分析网元的组成部件(例如芯片或电路)执行，对此不作限定，为了便于描述，下面以由数据分析网元执行为例进行说明。

该方法包括：数据分析网元接收来自安全态势感知功能网元的采集参数，该采集参数用于获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型，该至少一个终端设备访问的流量属于正常流量，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该数据分析网元向用户面网元发送该采集参数。

基于上述技术方案，数据分析网元将采集参数发送至用户面网元，则用户面网元可以根据采集参数获取至少一个终端设备的业务访问信息，进而用户面网元将至少一个终端设备的业务访问信息发送至安全态势感知功能网元之后，安全态势感知功能网元通过对至少一个终端设备的业务访问信息进行人工智能训练，可以得到用于识别未授权流量的安全态势感知模型。从而当用户面网元或数据分析网元获取到该安全态势感知模型之后，可以根据该安全态势感知模型识别未授权流量，从而有利于实现网络及时识别终端设备访问的未授权流量。

结合第六方面，在第六方面的某些实现方式中，该数据分析网元接收来自安全态势感知功能网元的参集参数，包括：该数据分析网元接收来自该安全态势感知功能网元的信息采集订阅信息，该信息采集订阅信息包括该采集参数；该数据分析网元向用户面网元发送该采集参数，包括：该数据分析网元向该用户面网元发送该信息采集订阅信息。

结合第六方面，在第六方面的某些实现方式中，该方法还包括：该数据分析网元向该安全态势感知功能网元发送采集任务查询请求信息；该数据分析网元接收来自安全态势感知功能网元的采集参数，包括：该数据分析网元接收来自该安全态势感知功能网元的采集任务查询响应信息，该采集任务查询响应信息包括该采集参数。

结合第六方面，在第六方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第六方面，在第六方面的某些实现方式中，该方法还包括：该数据分析网元向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该数据分析网元的位置信息，或该安全态势感知功能网元归属的公共陆地移动网络的标识；该数据分析网元接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

第七方面，提供了一种通信装置，包括获取单元和处理单元，该获取单元用于获取安全态势感知模型，该安全态势感知模型是根据至少一个终端设备的业务访问信息得到的，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该获取单元还用于获取第一终端设备的第一时段的业务访问信息；该处理单元用于根据该安全态势感知模型和该第一时段的业务访问信息，确定该第一时段的业务访问信息对应的第一业务的流量是否属于未授权流量。

结合第七方面，在第七方面的某些实现方式中，该业务访问信息包括以下一项或多项：至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第七方面，在第七方面的某些实现方式中，在、接收来自会话管理网元的该第一终端设备的标识和该安全态势感知模型的标签的情况下，该处理单元用于根据该安全态势感知模型和该第一时段的业务访问信息，确定该第一业务的流量是否属于未授权流量。

结合第七方面，在第七方面的某些实现方式中，该通信装置还包括收发单元，该收发单元用于通过会话管理网元向策略控制网元发送第一事件标识，该第一事件标识用于标识检测到未授权流量的事件；该收发单元还用于通过该会话管理网元接收来自该策略控制网元的流量管控规则；该处理单元还用于根据该流量管控规则对该第一业务的流量进行管控。

结合第七方面，在第七方面的某些实现方式中，该收发单元具体用于通过该会话管理网元向该策略控制网元发送该第一事件标识和该第一业务对应的应用检测信息，该应用检测信息用于确定该流量管控规则；该收发单元具体用于通过该会话管理网元接收来自该策略控制网元的该应用检测信息对应的流量管控规则。

结合第七方面，在第七方面的某些实现方式中，该第一业务的未授权流量停止之后，该处理单元还用于停止使用该流量管控规则。

结合第七方面，在第七方面的某些实现方式中，该获取单元还用于获取该第一终端设备的第二时段的业务访问信息，该第二时段的业务访问信息与该第一业务对应，该第二时段在该第一时段之后；该处理单元还用于：若根据该安全态势感知模型和该第二时段的业务访问信息，确定该第一业务的流量属于授权流量，则确定该第一业务的未授权流量停止。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于通过该会话管理网元向该策略控制网元发送第二事件标识，该第二事件标识用于标识未检测到未授权流量的事件；该收发单元还用于通过该会话管理网元接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于通过该会话管理网元接收来自该策略控制网元的该第一事件标识和/或第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第七方面，在第七方面的某些实现方式中，该通信装置还包括收发单元，该收发单元用于向数据分析网元发送流量识别信息，该流量识别信息用于指示该第一终端设备访问的流量是否属于未授权流量，或者，用于指示该第一终端设备的访问行为是否属于未授权访问行为。

结合第七方面，在第七方面的某些实现方式中，该通信装置具备安全态势感知可视化报表功能的情况下，该收发单元用于向该数据分析网元发送该流量识别信息。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向该数据分析网元发送该第一时段的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于通过会话管理网元接收来自策略控制网元的流量管控规则；该处理单元还用于根据该流量管控规则对该第一业务的流量进行管控。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于通过该会话管理网元接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则；该处理单元还用于根据该指示信息停止使用该流量管控规则。

结合第七方面，在第七方面的某些实现方式中，该通信装置还包括收发单元，该收发单元用于向策略控制网元发送第一事件标识，该第一事件标识用于标识检测到未授权流量。

结合第七方面，在第七方面的某些实现方式中，该收发单元具体用于向该策略控制网元发送该第一事件标识和以下一项或多项：该第一时段的业务访问信息对应的业务对应的应用检测信息，该第一终端设备的标识，该安全态势感知模型的标签，或，该第一时段的业务访问信息对应的业务的标识。

结合第七方面，在第七方面的某些实现方式中，该获取单元还用于获取该第一终端设备的第二时段的业务访问信息，该第二时段在该第一时段之后；该处理单元还用于根据该安全态势感知模型和该第二时段的业务访问信息，确定该第二时段的业务访问信息对应的第二业务的流量属于授权流量；该收发单元还用于向该策略控制网元发送第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的订阅请求信息，该订阅请求信息包括以下一项或多项：终端设备的标识，业务标识，该安全态势感知模型的标签，该第一事件标识，或，第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第七方面，在第七方面的某些实现方式中，该通信装置还包括收发单元，该收发单元用于向策略控制网元发送流量统计信息，该流量统计信息用于确定是否对该第一时段的业务访问信息对应的业务的流量进行管控，该流量统计信息包括该第一终端设备的授权流量和/或未授权流量分布情况，或，该流量统计信息包括该第一终端设备的流量变化趋势。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的订阅请求信息，该订阅请求信息包括以下一项或多项：终端设备的标识，业务标识，或，该安全态势感知模型的标签。

结合第七方面，在第七方面的某些实现方式中，该获取单元包括收发单元，该收发单元用于接收来自安全态势感知功能网元的该安全态势感知模型。

结合第七方面，在第七方面的某些实现方式中，该获取单元还用于获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该收发单元还用于向安全态势感知功能网元发送该至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于接收来自该安全态势感知功能网元或数据分析网元的信息采集订阅信息，该信息采集订阅信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率该，至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该获取单元具体用于根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向该安全态势感知功能网元发送采集任务查询请求信息；该收发单元还用于接收来自该安全态势感知功能网元的采用任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该获取单元具体用于根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，当满足以下中的一项或多项时，该获取单元用于获取该终端设备的业务访问信息：该采集参数包括该至少一个终端设备的标识，或，该采集参数包括该至少一个终端设备访问的业务的标识。

结合第七方面，在第七方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该用户面网元的位置信息，或该用户面网元归属的公共陆地移动网络的标识；该收发单元还用于接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

结合第七方面，在第七方面的某些实现方式中，在接收到来自会话管理网元的该至少一个终端设备的标识和该安全态势感知模型的标签的情况下，该获取单元用于获取该至少一个终端设备的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，该获取单元包括处理单元，该获取单元用于获取该至少一个终端设备的业务访问信息；该处理单元用于对该至少一个终端设备的业务访问信息进行人工智能训练得到该安全态势感知模型。

结合第七方面，在第七方面的某些实现方式中，该获取单元包括收发单元，该收发单元用于接收来自用户面网元的至少一个终端设备的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向第三网元发送信息采集订阅信息，该第三网元是该用户面网元或数据分析网元，该信息采集订阅信息包括采集参数：该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送请求消息，请求消息用于请求该第三网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识；该收发单元还用于接收来自该网络存储功能网元的该第三网元的地址信息。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于接收来自第三网元的采集任务查询请求信息，该第三网元是该用户面网元或数据分析网元；该收发单元还用于向该第三网元发送采集任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第七方面，在第七方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第七方面，在第七方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送注册信息，该注册信息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的标识，该安全态势感知功能网元的IP地址，该安全态势感知功能网元的全量域名，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识。

结合第七方面，在第七方面的某些实现方式中，该获取单元具体用于根据该安全态势感知模型对应的采集项采集该至少一个终端设备的业务访问信息。

结合第七方面，在第七方面的某些实现方式中，该获取单元具体用于根据该安全态势感知模型对应的采集项，采集该第一时段的业务访问信息，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第七方面，在第七方面的某些实现方式中，该至少一个终端设备与该第一终端设备满足如下关系中的至少一项：该至少一个终端设备包括该第一终端设备，该至少一个终端设备与该第一终端设备是相同类型的终端设备，该至少一个终端设备的业务访问信息对应的业务与该第一时段的业务访问信息对应的业务相同。

第八方面，提供了一种通信装置，包括收发单元，该收发单元用于接收来自第二网元的第一事件标识，该第一事件标识用于标识异常流量起始事件；该收发单元还用于通过会话管理网元向用户面网元发送流量管控规则，该流量管控规则用于用于对第一终端设备访问的未授权流量进行管控。

结合第八方面，在第八方面的某些实现方式中，该收发单元具体用于接收来自该第二网元的该第一事件标识和以下一项或多项：该第一终端设备访问的业务对应的应用检测信息、该第一终端设备的标识、安全态势感知模型的标签、该第一终端设备访问的业务的标识，该应用检测信息用于确定该流量管控策略。

结合第八方面，在第八方面的某些实现方式中，该收发单元具体用于通过该会话管理网元向该用户面网元发送该应用检测信息对应的流量管控规则。

结合第八方面，在第八方面的某些实现方式中，该收发单元还用于接收来自该第二网元的第二事件标识，该第二事件标识用于标识未检测到未授权流量；该收发单元还用于通过该会话管理网元向该用户面网元发送指示信息，该指示信息用于指示停止使用该流量管控规则。

结合第八方面，在第八方面的某些实现方式中，该收发单元还用于向该第二网元发送该第一事件标识和/或第二事件标识，该第二事件标识用于标识未检测到未授权流量。

结合第八方面，在第八方面的某些实现方式中，该收发单元还用于向该会话管理网元发送第一终端设备的标识和安全态势感知模型的标签，该安全态势感知模型的标签用于标识该安全态势感知模型，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量。

结合第八方面，在第八方面的某些实现方式中，该收发单元还用于向该第二网元发送订阅请求信息，该订阅请求信息包括以下一项或多项：终端设备的标识，业务标识，安全态势感知模型的标签，该第一事件标识，或，第二事件标识，该第二事件标识用于标识未检测到未授权流量，该安全态势感知模型的标签用于标识该安全态势感知模型，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量。

第九方面，提供了一种通信装置，包括收发单元，该收发单元用于接收来自策略控制网元的流量管控规则；该收发单元还用于向用户面网元发送该流量管控规则，该流量管控规则用于对第一终端设备访问的未授权流量进行管控。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自用户面网元的第一事件标识，该第一事件标识用于标识检测到未授权流量的事件；该收发单元还用于向策略控制网元发送该第一事件标识。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的该第一事件标识；该收发单元还用于向该用户面网元发送该第一事件标识。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的指示信息，该指示信息用于指示停止使用该流量管控规则；该收发单元还用于向该用户面网元发送该指示信息。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自用户面网元的第二事件标识，该第二事件标识用于标识未检测到未授权流量的事件；该收发单元还用于向策略控制网元发送该第二事件标识。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的该第二事件标识；该收发单元还用于向该用户面网元发送该第二事件标识。

结合第九方面，在第九方面的某些实现方式中，该收发单元还用于接收来自该策略控制网元的该第一终端设备的标识和安全态势感知模型的标签，该安全态势感知模型用于确定该第一终端设备访问的流量是否属于未授权流量；该收发单元还用于向该用户面网元发送该第一终端设备的标识和该安全态势感知模型的标签。

第十方面，提供了一种通信装置，包括获取单元和收发单元，该获取单元用于获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该收发单元用于向安全态势感知功能网元发送该至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型。

结合第十方面，在第十方面的某些实现方式中，该业务访问信息包括以下一项或多项：至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第十方面，在第十方面的某些实现方式中，该收发单元还用于接收来自该安全态势感知功能网元或数据分析网元的信息采集订阅信息，该信息采集订阅信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率该，至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该获取单元具体用于根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第十方面，在第十方面的某些实现方式中，该收发单元还用于向该安全态势感知功能网元发送采集任务查询请求信息；该收发单元还用于接收来自该安全态势感知功能网元的采用任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该获取单元具体用于根据该采集参数获取该至少一个终端设备的业务访问信息。

结合第十方面，在第十方面的某些实现方式中，当满足以下中的一项或多项时，该获取单元用于获取该终端设备的业务访问信息：该采集参数包括该至少一个终端设备的标识，或，该采集参数包括该至少一个终端设备访问的业务的标识。

结合第十方面，在第十方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第十方面，在第十方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该用户面网元的位置信息，或该用户面网元归属的公共陆地移动网络的标识；该收发单元还用于接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

结合第十方面，在第十方面的某些实现方式中，在接收到来自会话管理网元的该至少一个终端设备的标识和该安全态势感知模型的标签的情况下，该获取单元用于获取该至少一个终端设备的业务访问信息。

第十一方面，提供了一种通信装置，包括获取单元和处理单元，该获取单元用于获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；该处理单元用于对该至少一个终端设备的业务访问信息进行人工智能训练，得到安全态势感知模型。

结合第十一方面，在第十一方面的某些实现方式中，该业务访问信息包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第十一方面，在第十一方面的某些实现方式中，该获取单元包括收发单元，该收发单元用于接收来自用户面网元的至少一个终端设备的业务访问信息。

结合第十一方面，在第十一方面的某些实现方式中，该收发单元还用于向第三网元发送信息采集订阅信息，该第三网元是该用户面网元或数据分析网元，该信息采集订阅信息包括采集参数：该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第十一方面，在第十一方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送请求消息，请求消息用于请求该第三网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识；该收发单元还用于接收来自该网络存储功能网元的该第三网元的地址信息。

结合第十一方面，在第十一方面的某些实现方式中，该收发单元还用于接收来自第三网元的采集任务查询请求信息，该第三网元是该用户面网元或数据分析网元；该收发单元还用于向该第三网元发送采集任务查询响应信息，该采集任务查询响应信息包括采集参数，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，至少一个业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征。

结合第十一方面，在第十一方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第十一方面，在第十一方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送注册信息，该注册信息包括以下一项或多项：该安全态势感知模型的标签，该安全态势感知功能网元的标识，该安全态势感知功能网元的IP地址，该安全态势感知功能网元的全量域名，该安全态势感知功能网元的位置信息，或，该安全态势感知功能网元归属的PLMN的标识。

结合第十一方面，在第十一方面的某些实现方式中，该获取单元具体用于根据该安全态势感知模型对应的采集项采集该至少一个终端设备的业务访问信息。

结合第十一方面，在第十一方面的某些实现方式中，该通信装置还包括收发单元，该收发单元还用于向用户面网元或数据分析网元发送该安全态势感知模型。

第十二方面，提供了一种通信装置，包括收发单元，该收发单元用于接收来自安全态势感知功能网元的采集参数，该采集参数用于获取至少一个终端设备的业务访问信息，该至少一个终端设备的业务访问信息用于确定安全态势感知模型，该至少一个终端设备访问的流量属于正常流量，该采集参数包括以下一项或多项：该安全态势感知模型的标签，该至少一个终端设备的标识，业务标识，抽样率，或，采集项，该采集项包括以下一项或多项：该至少一个业务的上行报文数，该至少一个业务的下行报文数，该至少一个业务的上行字节数，该至少一个业务的下行字节数，该至少一个业务的流数，该至少一个业务的上传速率，该至少一个业务的下载速率，该至少一个业务的业务访问时长，该至少一个业务的峰值速率，该至少一个业务的平均速率，该至少一个业务的业务峰值，该至少一个业务的包长统计特征，该至少一个业务的带宽统计特征，或，该至少一个业务的包到达时间差统计特征；该收发单元还用于向用户面网元发送该采集参数。

结合第十二方面，在第十二方面的某些实现方式中，该收发单元具体用于接收来自该安全态势感知功能网元的信息采集订阅信息，该信息采集订阅信息包括该采集参数；该收发单元具体用于向该用户面网元发送该信息采集订阅信息。

结合第十二方面，在第十二方面的某些实现方式中，该收发单元用于向该安全态势感知功能网元发送采集任务查询请求信息；该收发单元具体用于接收来自该安全态势感知功能网元的采集任务查询响应信息，该采集任务查询响应信息包括该采集参数。

结合第十二方面，在第十二方面的某些实现方式中，该采集任务查询请求信息包括该安全态势感知模型的标签。

结合第十二方面，在第十二方面的某些实现方式中，该收发单元还用于向网络存储功能网元发送请求消息，请求消息用于请求该安全态势感知功能网元的地址信息，该请求消息包括以下一项或多项：该安全态势感知功能网元的类型信息，该安全态势感知模型的标签，该数据分析网元的位置信息，或该安全态势感知功能网元归属的PLMN的标识；该收发单元还用于接收来自该网络存储功能网元的该安全态势感知功能网元的地址信息。

第十三方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面及第一方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为第一网元。当该通信装置为第一网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于第一网元中的芯片。当该通信装置为配置于第一网元中的芯片时，该通信接口可以是输入/输出接口。

可选的，该收发器可以为收发电路。可选的，该输入/输出接口可以为输入/输出电路。

第十四方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第二方面及第二方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为策略控制网元。当该通信装置为策略控制网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于策略控制网元中的芯片。当该通信装置为配置于策略控制网元中的芯片时，该通信接口可以是输入/输出接口。

第十五方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第三方面及第三方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为会话管理网元。当该通信装置为会话管理网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于会话管理网元中的芯片。当该通信装置为配置于会话管理网元中的芯片时，该通信接口可以是输入/输出接口。

第十六方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第四方面及第四方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为用户面网元。当该通信装置为用户面网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于用户面网元中的芯片。当该通信装置为配置于用户面网元中的芯片时，该通信接口可以是输入/输出接口。

第十七方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第五方面及第五方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为安全态势感知功能网元。当该通信装置为安全态势感知功能网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于安全态势感知功能网元中的芯片。当该通信装置为配置于安全态势感知功能网元中的芯片时，该通信接口可以是输入/输出接口。

第十八方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第六方面及第六方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为数据分析网元。当该通信装置为数据分析网元时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于数据分析网元中的芯片。当该通信装置为配置于数据分析网元中的芯片时，该通信接口可以是输入/输出接口。

第十九方面，提供了一种处理器，包括：输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号，并通过所述输出电路发射信号，使得所述处理器执行第一方面至第六方面中任一种可能实现方式中的方法。

在具体实现过程中，上述处理器可以为一个或多个芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第二十方面，提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以执行第一方面至第六方面中任一种可能实现方式中的方法。

可选的，所述处理器为一个或多个，所述存储器为一个或多个。

可选的，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

应理解，相关的数据交互过程例如发送业务访问信息可以为从处理器输出业务访问信息的过程，接收业务访问信息可以为处理器接收输入业务访问信息的过程。具体地，处理器输出的数据可以输出给发射器，处理器接收的输入数据可以来自接收器。其中，发射器和接收器可以统称为收发器。

上述第二十方面中的处理装置可以是一个或多个芯片。该处理装置中的处理器可以通过硬件来实现也可以通过软件来实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

第二十一方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述第一方面至第六方面中任一种可能实现方式中的方法。

第二十二方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得上述第一方面至第六方面中任一种可能实现方式中的方法被执行。

第二十三方面，提供了一种通信系统，包括前述的第一网元和策略控制网元，该第一网元用于执行上述第一方面及第一方面中任一种可能实现方式中的方法，该策略控制网元用于执行上述第二方面及第二方面中任一种可能实现方式中的方法。

可选的，该通信系统还包括前述的会话管理网元，该会话管理网元用于执行上述第三方面及第三方面中任一种可能实现方式中的方法。

可选的，该通信系统还包括前述的用户面网元，该用户面网元用于执行上述第四方面及第四方面中任一种可能实现方式中的方法。

可选的，该通信系统还包括前述的安全态势感知功能网元，该安全态势感知功能网元用于执行上述第五方面及第五方面中任一种可能实现方式中的方法。

可选的，该通信系统还包括前述的数据分析网元，该数据分析网元用于执行上述第六方面及第六方面中任一种可能实现方式中的方法。

附图说明

图1是适用于本申请实施例提供的方法的通信系统的示意图；

图2是本申请实施例提供的方法的示意性流程图；

图3是本申请实施例提供的方法的示意性流程图；

图4是本申请实施例提供的方法的示意性流程图；

图5是本申请实施例提供的方法的示意性流程图；

图6是本申请实施例提供的方法的示意性流程图；

图7是本申请实施例提供的方法的示意性流程图；

图8是本申请实施例提供的方法的示意性流程图；

图9是本申请实施例提供的方法的示意性流程图；

图10是本申请实施例提供的方法的示意性流程图；

图11是本申请实施例提供的通信装置的示意图；

图12是本申请另一实施例提供的通信装置的示意性框图；

图13是本申请实施例提供的一种芯片系统的示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long termevolution，LTE)系统、频分双工(frequency division duplex，FDD)系统、时分双工(timedivision duplex，TDD)、通用移动通信系统(universal mobile telecommunicationsystem，UMTS)、全球互联微波接入(worldwide interoperability for microwaveaccess，WiMAX)通信系统、第五代(5th generation，5G)系统或新无线(new radio，NR)、第六代(6th generation，6G)系统或未来的通信系统等。本申请中所述的5G移动通信系统包括非独立组网(non-standalone，NSA)的5G移动通信系统或独立组网(standalone，SA)的5G移动通信系统。通信系统还可以是公共陆地移动网络(public land mobile network，PLMN)、设备到设备(device to device，D2D)通信系统、机器到机器(machine to machine，M2M)通信系统、物联网(internet of things，IoT)通信系统、车联万物(vehicle toeverything，V2X)通信系统、无人机(uncrewed aerial vehicle，UAV)通信系统或者其他通信系统。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中，A,B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或技术方案不应被解释为比其他实施例或技术方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚地说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1是适用于本申请实施例的网络架构，如图1所示，该网络架构可以包括：

1、用户设备(user equipment，UE)：可以称为终端设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理器(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其他处理设备、车载设备、无人机、可穿戴设备、5G网络中的终端设备或演进的PLMN中的终端设备等，本申请实施例对此并不限定。

2、接入网(access network，AN)：为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的接入网络技术包括：第三代(3rd generation，3G)系统中采用的无线接入网技术、第四代(4th generation，4G)系统中采用的无线接入网技术、或下一代无线接入网(next generation radio access network，NG-RAN)技术(如5G系统中采用的无线接入技术等)。

基于无线通信技术实现接入网络功能的接入网可以称为无线接入网络(radioaccess network，RAN)。无线接入网能够管理无线资源，为终端提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网设备例如可以是基站(NodeB)、演进型基站(evolved NodeB，eNB或eNodeB)、5G移动通信系统中的下一代基站节点(next generation Node Base station，gNB)、未来移动通信系统中的基站或wifi无线热点系统中的接入点(access point，AP)等，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该无线接入网设备可以为中继站、接入点、车载设备、无人机、可穿戴设备以及5G网络中的网络设备或者演进PLMN中的网络设备等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

3、接入管理网元：主要用于移动性管理和接入管理、负责在用户设备与策略控制功能(policy control function，PCF)网元间传递用户策略等，可以用于实现移动性管理实体(mobile management entity，MME)功能中除会话管理之外的其他功能。例如，接入授权(鉴权)的功能。

在5G通信系统中，接入管理网元可以是接入和移动性管理功能(access andmobility management function，AMF)网元。在未来通信系统中，接入管理网元可以是AMF网元，或者，还可以有其他的名称，本申请不做限定。

4、会话管理网元：主要用于会话管理、用户设备的互联网协议(Internetprotocol，IP)地址的分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通信等。

在本申请实施例中，会话管理网元支持接收安全态势感知相关的信息，并支持将安全态势感知相关的信息发送至用户面网元，安全态势感知相关的信息包括以下一项或多项：用户签约或配置的安全态势感知模型的标签，用于标识检测到未授权流量的第一事件标识，用于标识未检测到未授权流量的第二事件标识，或，流量管控策略。会话管理网元也支持从用户面网元接收第一事件标识或第二事件标识，并支持将接收到的第一事件标识或第二事件标识发送至策略控制网元。关于会话管理网元的更多功能描述，可以参考下文方法实施例中的描述。

在5G通信系统中，会话管理网元可以是会话管理功能(session managementfunction，SMF)网元。在未来通信系统中，会话管理网元可以是SMF网元，或者，还可以有其他的名称，本申请不做限定。

5、用户面网元：用于分组路由和转发、用户面数据的服务质量(quality ofservices，QoS)处理、完成用户面数据转发、基于会话/流级的计费统计，带宽限制功能等。

在5G通信系统中，用户面网元可以是用户面功能(user plane function，UPF)网元。在未来通信系统中，用户面网元可以是UPF网元，或者，还可以有其他名称，本申请不做限定。

示例性的，UPF可以包括协议数据单元(protocol data unit，PDU)会话锚点UPF(PDU session anchor UPF，PSA-UPF)和中间UPF(intermediate UPF，I-UPF)。

其中，PSA-UPF为支持PDU会话锚点功能的UPF，是通过N6接口与DN连接的UPF，负责核心网与数据网络之间的数据传输；(R)AN与PSA-UPF之间的所有UPF都称为I-UPF。

如图1所示，本申请实施例中的PSA-UPF包括安全态势感知模块，安全态势感知模块用于采集用户的业务访问信息，并支持将采集到的业务访问信息发送至安全态势感知功能(security situational awareness function，SSAF)网元。安全态势感知模块还用于根据获取到的安全态势感知模型对特定用户和/或业务的流量进行识别和分析，从而感知用户访问的流量是否属于未授权流量。安全态势感知模块还用于向策略控制网元上报用于标识第一事件标识，并基于会话管理网元下发的流量管控规则对未授权流量进行管控。关于安全态势感知模块的更多功能描述，可以参考下文方法实施例中的描述。

一种可能的实现方式中，本申请实施例提供的PSA-UPF包括安全态势感知模块可以理解为，PSA-UPF具备安全态势感知模块的功能。

6、数据网络网元：用于提供传输数据的网络。

在5G通信系统中，数据网络网元可以是数据网络(data network，DN)网元。在未来通信系统中，数据网络网元可以是DN网元，或者，还可以有其他名称，本申请不做限定。

7、网络存储功能(network repository function，NRF)实体：用于保存网络功能实体以及其提供服务的描述信息，以及支持服务发现、网元实体发现等。

7、策略控制网元：用于通过统一的策略框架指导网络的行为，为控制面功能网元(例如AMF，SMF网元等)提供策略规则信息等。

在本申请实施例中，策略控制网元还用于生成对未授权流量进行管控的流量管控策略，以及支持对用户是否使能安全态势感知能力进行签约处理。用户是否使能安全态势感知能力指的是，是否能使用安全态势感知模型识别用户的未授权流量。若用户使能安全态势感知能力，则能使用安全态势感知模型识别用户的未授权流量，若用户未使能安全态势感知能力，则不能使用安全态势感知模型识别用户的未授权流量关于策略控制网元的更多功能描述，可以参考下文方法实施例中的描述。

在4G通信系统中，该策略控制网元可以是策略和计费规则功能(policy andcharging rules function，PCRF)网元。在5G通信系统中，该策略控制网元可以是策略控制功能(policy control function，PCF)网元。在未来通信系统中，该策略控制网元可以是PCF网元，或者，还可以有其他名称，本申请不做限定。

8、网络数据分析功能(network data analysis function，NWDAF)网元：可用于收集来自网元、AF以及运维管理系统(operation administration and maintenance，OAM)侧的数据，并通过机器学习、人工智能等方案对数据进行分析，并反馈于网元、AF等进行网络或业务配置优化，从而提供更好的网络质量与业务体验。

例如，NWDAF网元可以基于从用户面网元或其他网元接收的指定用户或业务的业务访问信息，确定用户访问的流量是否属于未授权流量。NWDAF网元也可以支持呈现用户的流量分布信息，流量分布信息可以查询授权流量和未授权流量的分布。NWDAF也支持将用户的流量分布信息发送给策略控制网元、会话管理网元、或用户面网元。

9、安全态势感知功能(security situational awareness function，SSAF)网元：用于对用户的业务访问信息进行训练或学习，生成用于对特定用户和/或业务的流量进行识别和分析的安全态势感知模型。关于SSAF网元的更多功能描述，可以参考下文方法实施例中的描述。

需要说明是，图1以SSAF网元独立部署为例进行说明，本申请实施例并不限定SSAF网元是否独立部署。例如，SSAF网元可以部署在NWDAF网元内，即由NWDAF网元实现SSAF网元的部分功能或全部功能，例如，由NWDAF网元实现生成安全态势感知模型的功能。SSAF网元部署在NWDAF网元内可以理解为，SSAF网元与NWDAF网元合设。或者，SSAF网元可以部署在PSA-UPF内，即由PSA-UPF网元实现SSAF网元的部分功能或全部功能，例如，由PSA-UPF网元实现生成安全态势感知功能模型的功能。SSAF网元部署在PSA-UPF内可以理解为，SSAF网元与PSA-UPF合设。

可选的，SSAF网元也可以与核心网中的其他网元合设。例如，SSAF网元可以与管理数据分析功能(management data analysis function，MDAF)网元合设。

在图1所示的架构中，各个网元之间的接口名称及功能如下：

1、N1：AMF与UE之间的接口，可以用于向UE传递QoS控制规则等。

2、N2：AMF与RAN之间的接口，可以用于传递核心网侧至RAN的无线承载控制信息等。

3、N3：RAN与UPF之间的接口，用于传递RAN与UPF间的上下行用户面数据。

4、N4：SMF与UPF之间的接口，可以用于控制面与用户面之间传递信息，包括控制面向用户面的转发规则、QoS控制规则、流量统计规则等的下发以及用户面的信息上报。

5、N6：UPF与DN之间的接口，用于传递UPF与DN之间的上下行用户数据流。

6、N7：SMF与PCF之间的接口，用于传递用户策略等。

7、N9：UPF和UPF之间的用户面接口，用于传递UPF间的上下行用户数据流。

8、N14：AMF与AMF之间的接口，用于传递UE上下文等。

9、N15：AMF与PCF之间的接口，用于传递接入网发现策略、用户路由选择策略等。

10、服务化的接口Nnwdaf、Nssaf、Nnf分别为上述NWDAF网元、SSAF网元和安全态势感知模块提供的服务化接口，用于调用相应的服务化操作。

应理解，上述应用于本申请实施例的网络架构仅是举例说明，适用于本申请实施例的网络架构并不局限于此，任何能够实现上述各网元的功能的网络架构都适用于本申请实施例。

还应理解，图1所示的AMF、SMF、UPF、PCF、NWDAF、SSAF等可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以是各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其他的网络中采用其他命名的可能。例如，在6G网络中，上述各个网络中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

举例来说，5G网络每平方公里可以支持100万个终端设备同时连接，若其中的一个或多个终端设备被劫持，则被劫持的终端设备可能发起大流量拒绝服务攻击(denial ofservice，DoS)信息。若多个被劫持的终端设备都发起大流量DoS攻击信息，则可能引发信令风暴或分布式拒绝服务攻击(distributed denial of service，DDoS)，更严重的情况下，还可能超越，甚至击垮网络防御能力。或者被劫持的终端设备可能访问终端设备不允许访问的流量，从而影响其他终端设备访问授权流量。如果能够及时感知终端设备的未授权流量，并对终端设备的未授权流量进行管控，则可以避免网络遭受信令风暴或DDoS，保证网络中终端设备正确访问授权流量。

有鉴于此，本申请实施例提供一种管理未授权流量的方法，以期能够及时识别终端设备的未授权流量。

图2示出了本申请实施例提供的管理未授权流量的方法的示意性流程图，该方法200可以包括以下步骤：

S210，第一网元获取安全态势感知模型#1。

示例性的，第一网元是用户面网元或数据分析网元。用户面网元包括如图1所示的安全态势感知功能模块，或者，由用户面网元实现安全态势感知功能模块的功能。

安全态势感知模型#1是根据至少一个终端设备的业务访问信息得到的，该至少一个终端设备的业务访问信息对应的业务的流量属于授权流量，或者说该至少一个终端设备的业务访问信息对应的访问行为属于授权访问行为。

授权流量指的是终端设备被允许访问的流量，或者是终端设备签约的流量，或者是终端设备历史经常访问的流量，本申请对此不做限定。示例性的，授权流量可以是终端设备的归属运营商授权终端设备访问的流量，或者，是终端设备与归属运营商签约的流量。又示例性的，授权流量可以是终端设备根据终端设备的类型确定的被允许访问的流量。例如，终端设备是车联网用户，则终端设备被允许访问的流量包括车联网业务的流量。授权流量也可以称为正常流量，授权访问行为也可以称为正常访问行为。

其中，终端设备的类型可以按照终端设备使用的业务划分，或者，按照终端设备的等级划分，或者，按照终端设备所处的位置划分，或者，按照终端设备的能力划分，或者，按照终端设备的移动速度划分等，本申请实施例对此不作限定。

至少一个终端设备的业务访问信息是至少一个终端设备在预设时长内的业务访问信息。预设时长可以是1分钟、1刻钟、1小时或1天等。

业务访问信息包括以下一项或多项：至少一个业务的上行报文数，至少一个业务的下行报文数，至少一个业务的上行字节数，至少一个业务的下行字节数，至少一个业务的流数，至少一个业务的上传速率，至少一个业务的下载速率，至少一个业务的业务访问时长，至少一个业务的峰值速率，至少一个业务的平均速率，至少一个业务的业务峰值，至少一个业务的包长统计特征，至少一个业务的带宽统计特征，或，至少一个业务的包到达时间差统计特征。

其中，至少一个业务的包长统计特征包括以下一项或多项：至少一个业务的上行数据包的包长统计特征，至少一个业务的下行数据包的包长统计特征。例如，包长统计特征可以包括以下一项或多项：平均包长，最大包长，或，最小包长。

至少一个业务的带宽统计特征包括以下一项或多项：至少一个业务使用的上行带宽的统计特征，至少一个业务使用的下行带宽的统计特征。例如，带宽统计特征可以包括以下一项或多项：平均带宽，最大带宽，或，最小带宽。

至少一个业务的包到达时间差统计特征包括以下一项或多项：至少一个业务的上行数据包的包到达时间差统计特征，至少一个业务的下行数据包的包到达时间差统计特征。例如，包到达时间差统计特征可以包括以下一项或多项：平均包到达时间差，最大包到达时间差，或，最小包到达时间差。

本申请实施例对安全态势感知模型#1的类型不做限定。

示例性的，安全态势感知模型#1与第一类型的终端设备对应。在此情况下，用于确定安全态势感知模型#1的至少一个终端设备的业务访问信息是终端设备粒度的，且至少一个终端设备都是第一类型的终端设备。例如，当按照终端设备使用的业务划分终端设备的类型时，第一类型的终端设备可以是使用车联网业务的终端设备。

在至少一个终端设备的业务访问信息是终端设备粒度的情况下，以至少一个终端设备中的终端设备#1为例，终端设备#1的业务访问信息包括以下一项或多项：终端设备#1不同的七层应用的流量分布情况，终端设备#1访问的不同业务的上行报文数，终端设备#1访问的不同业务的下行报文数，终端设备#1访问的不同业务的上行字节数，终端设备#1访问的不同业务的下行字节数，终端设备#1访问的不同业务的流数，终端设备#1访问的不同业务的上传速率，终端设备#1访问的不同业务的下载速率，终端设备#1访问的不同业务的峰值速率，终端设备#1访问的不同业务的平均速率，终端设备#1访问的不同业务的业务峰值，终端设备#1访问的不同业务的访问时长，终端设备#1的包长统计特征，终端设备#1的带宽统计特征，终端设备#1的包到达时间差统计特征。

其中，终端设备#1不同的七层应用的流量分布情况包括以下一项或多项：终端设备#1基于超文本传输协议(hyper text transfer protocol，HTTP)访问的流量在终端设备#1访问的总的流量中的比例，终端设备#1基于安全套接字层超文本传输协议(hypertext transfer protocol over secure socket layer)访问的流量在终端设备#1访问的总的流量中的比例，终端设备#1基于快速用户数据报协议(user datagram protocol，UDP)互联网连接(quick UDP Internet connection，QUIC)协议访问的流量在终端设备#1访问的总的流量中的比例。或者，终端设备#1不同的七层应用的流量分布情况包括以下一项或多项：终端设备#1访问的域名系统(domain name system，DNS)的流量在终端设备#1访问的总的流量中的比例，终端设备#1访问的视频流量在终端设备#1访问的总的流量中的比例，终端设备#1进行网页浏览的流量在终端设备#1访问的总的流量中的比例，终端设备#1进行基于IP的语音传输(voice over internt protocol)产生的流量在终端设备#1访问的总的流量中的比例，终端设备#1进行点对点(point to point，P2P)业务产生的流量在终端设备#1访问的总的流量中的比例。

终端设备#1的包长统计特征包括以下一项或多项：终端设备#1发送的上行数据包的包长统计特征，终端设备#1接收的下行数据包的包长统计特征，终端设备#1发送的不同业务的上行数据包的包长统计特征，终端设备#1接收的不同业务的下行数据包的包长统计特征。例如，终端设备#1发送的上行数据包的包长统计特征可以包括：终端设备#1发送的上行数据包的平均包长，终端设备#1发送的上行数据包的最大包长，或，终端设备#1发送的上行数据包的最小包长。

终端设备#1的带宽统计特征包括以下一项或多项：终端设备#1使用的上行带宽的统计特征，终端设备#1使用的下行带宽的统计特征，终端设备#1访问的不同业务使用的上行带宽的统计特征，终端设备#1访问的不同业务使用的下行带宽的统计特征。例如，终端设备#1使用的上行带宽的统计特征可以包括：终端设备#1使用的平均上行带宽，终端设备#1使用的最大上行带宽，或，终端设备#1使用的最小上行带宽。

终端设备#1的包到达时间差统计特征包括以下一项或多项：终端设备#1发送的上行数据包的到达时间差统计特征，终端设备#1接收的下行数据包的到达时间差统计特征，终端设备#1发送的不同业务的上行数据包的到达时间差统计特征，终端设备#1接收的不同业务的下行数据包的到达时间差统计特征。例如，终端设备#1接收的不同业务的下行数据包的到达时间差统计特征可以包括：终端设备#1接收的业务#1的下行数据包的平均到达时间差，终端设备#1接收的业务#2的下行数据包的平均到达时间差，终端设备#1接收的业务#3的下行数据包的平均到达时间差。

示例性的，安全态势感知模型#1与业务#1对应。在此情况下，用于确定安全态势感知模型#1的至少一个终端设备的业务访问信息，是至少一个终端设备访问的业务#1的业务访问信息。

以至少一个终端设备中的终端设备#1为例，终端设备#1访问的业务#1的业务访问信息包括以下一项或多项：业务#1的上行报文数，业务#1的下行报文数，业务#1的上行字节数，业务#1的下行字节数，业务#1的流数，业务#1的上传速率，业务#1的下载速率，业务#1的业务访问时长，业务#1的峰值速率，业务#1的平均速率，业务#1的业务峰值，业务#1的包长统计特征，业务#1的带宽统计特征，或，业务#1的包到达时间差统计特征。

其中，业务#1的包长统计特征包括以下一项或多项：业务#1的上行数据包的包长统计特征，业务#1的下行数据包的包长统计特征。

业务#1的带宽统计特征包括以下一项或多项：业务#1使用的上行带宽的统计特征，业务#1使用的下行带宽的统计特征。

业务#1的包到达时间差统计特征包括以下一项或多项：业务#1的上行数据包的到达时间差统计特征，业务#1的下行数据包的到达时间差统计特征。

可选的，业务#1的上行报文数包括以下一项或多项：上行传输控制协议(transmission control protocol，TCP)报文数，上行用户数据报协议(user datagramprotocol，UDP)报文数，上行域名系统(domain name system，DNS)报文数，上行因特网控制报文协议(internet control message protocol，ICMP)报文数，上行应用类型报文数。业务#1的下文报文数包括以下一项或多项：下行TCP报文数，下行UDP报文数，下行DNS报文数，下行ICMP报文数，下行应用类型报文数。

示例性的，安全态势感知模型#1与第一类型的终端设备和业务#1对应。在此情况下，用于确定安全态势感知模型#1的至少一个终端设备的业务访问信息，是至少一个终端设备访问的业务#1的业务访问信息，且至少一个终端设备都是第一类型的终端设备。

本申请实施例对第一网元获取安全态势感知模型#1的方式不做限定。

示例性的，第一网元接收来自安全态势感知功能网元的安全态势感知模型#1，安全态势感知模型#1是由安全态势感知功能网元对至少一个终端设备的业务访问信息进行人工智能训练得到的。安全态势感知功能网元得到安全态势感知模型#1的更多描述可以参考下文方法800中的S820。

可选的，第一网元还接收来自安全态势感知功能网元的安全态势感知模型#1的标签。安全态势感知模型#1的标签用于标识安全态势感知模型#1，安全态势感知模型#1的标签可以是一串数字或字符串类型的标识(identifier，ID)，本申请实施例对此不做限定。

示例性的，第一网元对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。例如，第一网元与安全态势感知功能网元合设的情况下，或者说，第一网元具有安全态势感知功能网元的功能的情况下，第一网元可以对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。第一网元进行人工智能训练得到安全态势感知模型#1的更多描述可以参考下文方法800中S820。

可选的，在S210中，第一网元还可以获取安全态势感知模型#2，安全态势感知模型#2与第二类型的终端设备对应，或者，安全态势感知模型#2与第二业务对应，或者，安全态势感知模型与第二类型的终端设备和业务#2对应。第二类型与第一类型不同，或，业务#2与业务#1不同。

S220，第一网元获取第一终端设备的第一时段的业务访问信息。

至少一个终端设备包括第一终端设备，或者，至少一个终端设备与第一终端设备是相同类型的终端设备，或者，至少一个终端设备的业务访问信息对应的业务与第一时段的业务访问信息对应的业务相同。

第一时段的时长与上述预设时长相等。示例性的，若安全态势感知模型#1用于识别第一终端设备访问的任意业务的未授权流量，则第一时段的起始时刻可以是第一终端设备开始访问任意业务的时刻，或者，是第一终端设备访问任意业务的过程中的任意时刻。若安全态势感知模型#1用于识别第一终端设备访问的业务#1的未授权流量，则第一时段的起始时刻可以是第一终端设备访问业务#1的起始时刻，或者可以是第一终端设备访问业务#1的过程中的任意时刻。业务#1为任意业务中的一个。

需要说明的是，若安全态势感知模型与第一类型的终端设备对应，则第一时段的业务访问信息是终端设备粒度的，第一时段的业务访问信息包括第一终端设备在第一时段访问的不同业务的业务访问信息。若安全态势感知模型#1与业务#1对应，则第一时段的业务访问信息包括第一终端设备在第一时段访问的业务#1的业务访问信息。

本申请实施例对第一网元获取第一时段的业务访问信息的方式不做限定。

示例性的，若第一网元具有采集终端设备的业务访问信息的功能，例如第一网元是用户面网元，则第一网元采集第一时段的业务访问信息。

可选的，若安全态势感知模型#1与第一类型的终端设备对应，则第一网元确定第一终端设备是第一类型的终端设备，和/或，第一终端设备签约了安全态势感知模型#1的情况下，第一网元采集第一时段的业务访问信息。第一终端设备签约了安全态势感知模型#1包括：第一终端设备的归属运营商为第一终端设备配置了安全态势感知模型#1，和/或，第一终端设备订阅了安全态势感知模型#1。

可选的，若安全态势感知模型#1与业务#1对应，则第一网元确定第一终端设备的业务#1签约了安全态势感知模型#1的情况下，第一网元采集第一终端设备访问的业务#1在第一时段的业务访问信息。

例如，若第一网元获取到第一终端设备的标识与安全态势感知模型#1的关联关系，则第一网元可以确定第一终端设备签约了安全态势感知模型#1。例如，第一网元中预配置第一终端设备的标识与安全态势感知模型#1的关联关系，或者，第一网元通过会话管理网元接收来自策略控制网元的第一终端设备的标识与安全态势感知模型#1的标签，则第一网元确定第一终端设备的标识与安全态势感知模型#1具有关联关系。第一网元接收的第一终端设备的标识与安全态势感知模型#1的标签，可以包含于第一终端设备的签约信息中，或，包含于第一终端设备的第一业务的签约信息中。第一终端设备的标识可以是以下一项或多项：国际移动用户识别码(international mobile subscriber identity，IMSI)，国际移动设备识别码(international mobile equipment identity，IMEI)，用户永久标识(subscription permanent identifier，SUPI)，通用公共用户标识(generic publicsubscription identifier，GPSI)，IP五元组等。

第一网元采集第一时段的业务访问信息的更多描述可以参考下文方法300中的S305。

示例性的，若第一网元不具有采集终端设备的业务访问信息的功能，例如第一网元是数据分析网元，则第一网元可以接收来自用户面网元的第一时段的业务访问信息。

S230，第一网元根据安全态势感知模型#1和第一时段的业务访问信息，确定第一业务的流量是否属于未授权流量。

第一业务是第一时段的业务访问信息对应的业务。示例性的，若第一时段的业务访问信息包括第一终端设备在第一时段访问的不同业务的业务访问信息，则第一业务包括第一终端设备在第一时段访问的不同业务。例如，第一终端设备在第一时段访问的业务包括业务#1、业务#2和业务#3，则第一业务包括业务#1、业务#2和业务#3。或者，若第一时段的业务访问信息包括第一终端设备在第一时段访问的业务#1的业务访问信息，则第一业务包括业务#1。

未授权流量指的是授权流量以外的流量，例如，未授权流量指的是终端设备不允许访问的流量，或者是终端设备未签约的流量，或者是终端设备历史不经常访问的流量，或者是终端设备不期望访问的流量，本申请对此不做限定。示例性的，未授权流量可以是终端设备的归属运营商未授权终端设备访问的流量，或者，是终端设备的归属运营商禁止终端设备访问的流量。又示例性的，未授权流量可以是终端设备根据终端设备的类型确定的不允许访问的流量。例如，终端设备是车联网用户，则终端设备不允许访问除车联网业务的流量以外的流量。未授权流量也可以称为异常流量。

第一网元将第一时段的业务访问信息作为输入参数输入安全态势感知模型#1，进而安全态势感知模型#1的输出结果用于指示第一业务的流量是否属于未授权流量。例如，若安全态势感知模型#1的输出结果为“是”、“异常”或者“1”，则表示第一业务的流量属于未授权流量；若安全态势感知模型#1的输出结果为“否”“正常”或者“0”，则表示第一业务的流量属于授权流量。安全态势感知模型#1的输出结果还可以是其他形式，本申请实施例对此不做限定。

可以理解，第一业务的流量属于未授权流量，则第一终端设备访问第一业务的访问行为是未授权访问行为。第一业务的流量属于授权流量，则第一终端设备访问第一业务的访问行为是授权访问行为。未授权访问行为也可以称为异常访问行为。

可选的，第一网元根据安全态势感知模型#1和第一时段的业务访问信息，确定第一业务的流量是否属于未授权流量之前，若第一时段的业务访问信息不满足安全态势感知模型#1对输入参数的要求，则第一网元对第一时段的业务访问信息进行处理之后，输入安全态势感知模型#1。

例如，安全态势感知模型#1的输入参数包括以下多项：终端设备访问的业务#1的上行报文数和下行报文数，终端设备访问业务#1的访问时长，终端设备访问的业务#2的上行报文数和下行报文数，终端设备访问业务#2的访问时长。第一网元获取的第一时段的业务访问信息包括以下多项：第一终端设备访问的业务#1的上行报文数和下行报文数，第一终端设备访问业务#1的访问时长，第一终端设备访问的业务#2的上行报文数，第一终端设备访问业务#2的访问时长。第一时段的业务访问信息与安全态势感知模型#1的输入参数相比，缺少第一终端设备访问的业务#2的下行报文数，即第一时段的业务访问信息不满足安全态势感知模型#1对输入参数的要求。在此情况下，第一网元在第一时段的业务访问信息中补充第一终端设备访问的业务#2的下行报文数之后，将第一时段的业务访问信息输入根据安全态势感知模型#1。例如，第一网元补充的第一终端设备访问的业务#2的下行报文数可以是以下中的任一种：特定值，例如根据经验或第一终端设备的历史业务访问信息设定的值；第一终端设备访问的不同业务(例如业务#1和业务#2)的下行报文数的均值；业务#2的上行报文数。

可选的，若安全态势感知模型#1与第一类型的终端设备对应，则第一网元确定第一终端设备是第一类型的终端设备，和/或，第一终端设备签约了安全态势感知模型#1的情况下，第一网元根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

可选的，若安全态势感知模型#1与业务#1对应，则第一网元确定第一终端设备的业务#1签约了安全态势感知模型#1的情况下，第一网元根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

在本申请实施例中，第一网元可以根据安全态势感知模型和第一终端设备的业务访问信息，确定第一业务的流量是否属于未授权流量，从而有利于实现网络及时识别第一终端设备的未授权流量。相比于现有的识别终端设备的未授权流量的方法，本申请实施例提供的方法的适用性更好。例如，通过比较第一终端设备的访问行为与提前定义的未授权访问行为识别未授权流量的方式中，由于不同终端设备的未授权访问行为千差万别，难以通过提前定义的方式定义终端设备的所有未授权访问行为，一旦某些未授权访问行为没有被提前定义，则无法通过比较第一终端设备的访问行为与提前定义的未授权访问行为识别未授权流量。通过比较第一终端设备的访问行为与提前定义的授权访问行为识别未授权流量的方式中，由于不同终端设备的授权访问行为难以通过明确的特征规则定义，进而难以通过比较第一终端设备的访问行为与提前定义的授权访问行为识别第一终端设备的未授权流量。而本申请实施例提供的方法，不需要提前定义终端设备的授权访问行为或未授权访问行为，且不论第一终端设备是什么样的访问行为，第一网元都可以根据安全态势感知模型和第一终端设备的业务访问信息确定第一终端设备访问的业务的流量是否属于未授权流量。

下面结合图3、图4或图5，以第一网元是用户面网元为例，说明本申请实施例提供的管理未授权流量的方法。需要说明的是，图3、图4或图5中的UE#1是图2中所述第一终端设备的示例，UPF是图2中所述用户面网元的示例，PCF是图2中所述策略控制网元的示例，SMF是图2中所述会话管理网元的示例，NWDAF是图2中所述数据分析网元的示例。此外，可以理解的是，本申请所述的方法不仅适用于5G通信系统，其他类型的通信系统也可以参考本申请所述的方法，本申请实施例对此不再赘述。

结合图2，图3示出了本申请实施例提供的管理未授权流量的方法的示意性流程图。图3所示的方法300可以包括以下步骤：

S301，UPF获取安全态势感知模型#1。

S301可以参考上文方法200中的S210。

S302，UE#1发起PDU会话建立或PDU会话更新。

例如，UE#1发起PDU会话建立的流程包括：UE#1向AMF发送PDU会话建立请求(PDUsession establishment request)消息，AMF根据PDU会话建立请求消息向SMF发送SMF服务化接口_PDU会话_创建会话管理(session management，SM)上下文请求(Nsmf_PDUSession_CreateSMContext resquest)服务。

例如，UE#1发起PDU会话更新的流程包括：UE#1向AMF发送PDU会话修改请求(PDUsession modification request)消息，AMF根据PDU会话修改请求消息向SMF发送SMF服务化接口_PDU会话_更新会话管理上下文请求(Nsmf_PDUSession_UpdateSMContextrequest)服务。

可选的，方法300还包括S303。

S303，SMF获取UE#1的标识和安全态势感知模型#1的标签。

UE#1的标识可以参考上文方法200中的S220。

例如，SMF获取UE#1的标识和安全态势感知模型#1的标签的流程包括：SMF通过PCF服务化接口_会话管理策略控制_创建请求(Npcf_SMPolicyControl_Create request)服务向PCF请求UE#1签约的安全态势感知模型的标签；PCF通过PCF服务化接口_会话管理策略控制_创建响应(Npcf_SMFPolicyControl_Create response)服务向SMF发送UE#1的标识和UE#1签约的安全态势感知模型#1的标签。

例如，SMF获取UE#1的标识和安全态势感知模型#1的标签的流程包括：SMF通过PCF服务化接口_会话管理策略控制_更新通知请求(Npcf_SMFPolicyControl_UpdateNotifyrequest)服务向PCF请求UE#1签约的安全态势感知模型的标签；PCF通过PCF服务化接口_会话管理策略控制_更新通知响应(Npcf_SMPolicyControl_UpdateNotify response)服务向SMF发送UE#1的标识和UE#1签约的安全态势感知模型#1的标签。

示例性的，SMF获取的UE#1的标识和安全态势感知模型#1的标签携带在UE#1的签约信息中，即SMF接收来自PCF的UE#1的签约信息，UE#1的签约信息包括UE#1的标识和安全态势感知模型#1的标签。

可选的，PCF向SMF发送UE#1的标识和至少一个安全态势感知模型的标签。该至少一个安全态势感知模型是UE#1签约的安全态势感知模型，即该至少一个安全态势感知模型用于识别UE#1的未授权流量。或者，该至少一个安全态势感知模型是UE#1当前访问的业务签约的安全态势感知模型，即该至少一个安全态势感知模型用于识别UE#1当前访问的业务的未授权流量。该至少一个安全态势感知模型包括安全态势感知模型#1。UE#1签约的安全态势感知模型包括：UE#1的归属运营商为UE#1配置的安全态势感知模型，和/或，UE#1订阅的安全态势感知模型。安全态势感知模型的标签用于标识安全态势感知模型，安全态势感知模型的标签可以是一串数字或字符串类型的ID，本申请实施例对此不做限定。不同安全态势感知模型的标签不同。

需要说明的是，在UE#1签约了至少一个安全态势感知模型的情况下，可以说UE#1使能安全态势感知能力，或者说UE#1具备安全态势感知能力。UE#1使能安全态势感知能力，表示网络可以使用安全态势感知模型识别UE#1访问的未授权流量。

可选的，方法300还包括：PCF向SMF发送第一事件标识和/或第二事件标识。第一事件标识用于标识检测到未授权流量的事件。检测到未授权流量的事件也可以称为未授权流量起始事件，或者称为异常流量起始事件(abnormal traffic start event)，例如，第一事件标识可以表示为“ANTST”。下文实施例中以检测到未授权流量的事件称为异常流量起始事件为例进行说明。第二事件标识用于标识未检测到未授权流量的事件。未检测到未授权流量的事件也可以称为未授权流量停止事件，或者称为异常流量停止事件(abnormaltraffic stop event)，例如，第二事件标识可以表示为“ANTSP”。下文实施例中以未检测到未授权流量的事件称为异常流量停止事件为例进行说明。

示例性的，PCF向SMF发送的第一事件标识和/或第二事件标识可以携带在策略控制请求触发(policy control request triggers)信元中，即异常流量起始事件和/或异常流量停止事件可以触发策略控制请求。策略控制请求触发信元包含于PCF服务化接口_会话管理策略控制_创建响应服务中，或包含于PCF服务化接口_会话管理策略控制_更新通知响应服务中。

可选的，PCF向SMF发送的第一事件标识和/或第二事件标识与UE#1的签约信息携带在同一条消息中，或者，携带在不同的消息中，本申请实施例对此不做限定。

S304，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

例如，SMF通过N4会话建立请求(N4 session establishment request)消息或N4会话修改请求(N4 session modification request)消息向UPF发送UE#1的标识和安全态势感知模型#1的标签。

例如，SMF向UPF发送的N4会话建立请求消息是数据包转发控制协议(packetforwarding control protocol，PFCP)会话建立请求(PFCP session establishmentrequest)消息，PFCP会话建立请求消息可以包括安全态势感知人工智能(artificialintelligence，AI)模型标签(security situational awareness AI model ID，SSAModelID)信元，SSAModelID信元中包括安全态势感知模型#1的标签。可以理解，SSAModelID信元还可以用于标识UE#1的PDU会话可以访问的业务的标识。例如，SSAModelID信元包括的安全态势感知模型#1的标签所标识的安全态势感知模型#1与业务#1对应，则表示SSAModelID信元还用于标识UE#1的PDU会话可以访问的业务#1的标识。又例如，安全态势感知模型#1的标签所标识的安全态势感知模型#1与第一类型的终端设备对应，第一类型的终端设备是使用车联网业务的终端设备，则表示SSAModelID信元还用于标识UE#1的PDU会话可以访问全部车联网业务。SSAModelID信元所标识的业务是UE#1的支持安全态势感知的业务。

示例性的，SMF向UPF发送UE#1的签约信息，UE#1的签约信息包括UE#1的标识和安全态势感知模型#1的标签。

可选的，若SMF接收到来自PCF的第一事件标识和/或第二事件标识，则方法300还包括：SMF向UPF发送第一事件标识和/或第二事件标识。例如，SMF通过N4会话建立请求消息或N4会话修改请求消息向UPF发送第一事件标识和/或第二事件标识。例如，第一事件标识和/或第二事件标识携带在N4会话建立请求消息包括的报告触发(reporting triggers)信元中，或者，第一事件标识和/或第二事件标识携带在N4会话修改请求消息包括的报告触发信元中。

例如，报告触发信元可以包括ANTST字段和/或ANTSP字段。若报告触发信元中的ANTST字段置为1，表示指示UPF在检测到异常流量起始事件时向PCF上报第一事件标识。ANTST字段置为1时，可以理解为，报告触发信元包括第一事件标识。若报告触发信息中的ANTSP字段置为1，表示指示UPF在检测到异常流量停止事件时向PCF上报第二事件标识。可以理解，UPF向PCF上报过异常流量起始事件之后，才可能在检测到异常流量停止事件时向PCF上报异常流量停止事件。ANTSP字段置为1，可以理解为，报告触发信元包括第二事件标识。

可选的，SMF还向UPF发送用量上报规则(usage report rule，URR)标识(identifier，ID)，该URR ID与异常流量起始事件和异常流量停止事件对应。

可选的，UPF接收到来自SMF的N4会话建立请求消息之后，还可以向SMF发送N4会话建立响应(N4 session establishment response)消息。或者，UPF接收到来自SMF的N4会话修改请求消息之后，还可以向SMF发送N4会话修改响应(N4 session modificationresponse)消息。

进一步地，UE#1发起的PDU会话建立流程或PDU会话修改流程执行完成之后，UE#1进行业务访问。

S305，UPF采集UE#1的第一时段的业务访问信息。

业务访问信息的描述可以参考上文方法200中的S210。

UPF根据安全态势感知模型#1对应的采集项，采集UE#1的第一时段的业务访问信息。安全态势感知模型#1的采集项用于获取至少一个终端设备的业务访问信息，至少一个终端设备的业务访问信息用于确定安全态势感知模型#1。安全态势感知模型#1对应的采集项包括以下一项或多项：至少一个业务的上行报文数，至少一个业务的下行报文数，至少一个业务的上行字节数，至少一个业务的下行字节数，至少一个业务的流数，至少一个业务的上传速率，至少一个业务的下载速率，至少一个业务的业务访问时长，至少一个业务的峰值速率，至少一个业务的平均速率，至少一个业务的业务峰值，至少一个业务的包长统计特征，至少一个业务的带宽统计特征，或，至少一个业务的包到达时间差统计特征。采集项的更多描述可以参考上文方法200的S210中对业务访问信息的描述。

例如，安全态势感知模型#1对应的采集项包括以下多项：终端设备发送的不同业务的上行报文数，终端设备接收的不同业务的下行报文数，终端设备的发送上行数据包的包长统计特征，终端设备发送的下行数据包的包长统计特征。相应的，UPF根据上述采集项采集的第一时段的业务访问信息包括以下一项或多项：UE#1在第一时段发送的不同业务的上行报文数，UE#1在第一时段接收的不同业务的下行报文数，UE#1在第一时段发送的上行数据包的包长统计特征，UE#1在第一时段接收的下行数据包的包长统计特征。

例如，安全态势感知模型#1对应的采集项包括以下多项：业务#1的上行TCP报文数，业务#1的下行TCP报文数，业务#1的下行数据包的包到达时间差统计特征。相应的，UPF根据上述采集项采集的第一时段的业务访问信息包括以下一项或多项：UE#1在第一时段发送的业务#1的上行TCP报文数，UE#1在第一时段接收的业务#1的下行TCP报文数，UE#1在第一时段接收的业务#1的下行数据包的包到达时间差统计特征。

应理解，UPF采集的第一时段的业务访问信息可能与安全态势感知模型#1对应的采集项不匹配。例如，安全态势感知模型#1对应的采集项包括终端设备访问的业务#1的上行报文数，但UE#1在第一时段没有发送业务#1的上行报文，则UPF不能采集到UE#1访问业务#1的上行报文数。

还应理解，若UPF根据安全态势感知模型#1对应的采集项确定采集UE#1访问的任意业务的业务访问信息，则第一时段的起始时刻可以是UE#1开始访问任意业务的时刻，或者是UE#1访问任意业务的过程中的任意时刻。若UPF根据安全态势感知模型#1的标签确定采集UE#1访问的业务#1的业务访问信息，则第一时段的起始时刻可以是UE#1开始访问业务#1的时刻，或者是UE#1访问业务#1的过程中的任意时刻。

本申请实施例对UPF确定安全态势感知模型#1对应的采集项的方式不做限定。

示例性的，UPF根据本地配置信息确定安全态势感知模型#1对应的采集项。例如，UPF的本地配置信息包括安全态势感知模型#1对应的采集项，且UPF的本地配置信息不包括其他安全态势感知模型对应的采集项，则UPF将本地配置信息包括的采集项确定为安全态势感知模型#1对应的采集项。又例如，UPF的本地配置信息包括多个安全态势感知模型的标签和多个采集项的对应关系，则UPF确定安全态势感知模型#1对应的采集项是该对应关系中与安全态势感知模型#1的标签对应的采集项。若安全态势感知模型#1是UPF进行人工智能训练得到的，则安全态势感知模型#1的标签预配置在UPF中。若安全态势感知模型#1是UPF从安全态势感知功能网元接收的，则安全态势感知模型#1的标签是从安全态势感知功能网元接收的。

示例性的，UPF接收来自安全态势感知功能网元或数据分析网元的安全态势感知模型#1对应的采集项。例如，安全态势感知功能网元或数据分析网元向UPF发送信息采集订阅信息，信息采集订阅信息包括安全态势感知模型#1的标签和安全态势感知模型#1对应的采集项。

可选的，若安全态势感知模型#1与第一类型的终端设备对应，则UPF确定UE#1是第一类型的终端设备，和/或，UE#1签约了安全态势感知模型#1的情况下，UPF采集第一时段的业务访问信息。

其中，UPF可以根据本地配置信息确定安全态势感知模型#1与第一类型的终端设备对应，例如，本地配置信息包括安全态势感知模型#1的标签与第一类型标识的对应关系，第一类型标识用于标识第一类型的终端设备。或者，UPF接收到安全态势感知模型#1的标签和第一类型标识的情况下，确定安全态势感知模型#1与第一类型的终端设备对应。本申请实施例对第一类型标识不作限定，例如，当按照终端设备使用的业务划分终端设备的类型时，第一类型标识可以是第一类型的终端设备使用的业务的标识。当按照终端设备的位置划分终端设备的类型时，第一类型标识可以是第一类型的终端设备所在的位置的位置信息。

UPF可以根据UE#1的签约信息、UE#1访问的业务、UE#1的位置、UE#1的能力、UE#1的移动速度等确定UE#1的类型。例如，若终端设备的类型是按照终端设备使用的业务划分的，则UPF可以根据UE#1访问的业务确定UE#1的类型。例如，第一类型的终端设备是使用车联网业务的终端设备，则UE#1访问的业务是车联网业务时，UPF确定UE#1是第一类型的终端设备。

若UPF获取到UE#1的标识与安全态势感知模型#1的标签的关联关系，则UPF确定UE#1签约了安全态势感知模型#1。例如，UPF接收到来自SMF的UE#1的标识和安全态势感知模型#1的标签，则UPF确定UE#1签约了安全态势感知模型#1。

可选的，若安全态势感知模型#1与业务#1对应，则第一网元确定UE#1的业务#1签约了安全态势感知模型#1的情况下，UPF采集第一时段的业务访问信息。

S306，UPF确定第一业务的流量是否属于未授权流量。

UPF根据安全态势感知模型#1和第一时段的业务访问信息，确定第一业务的流量是否属于未授权流量。第一业务是第一时段的业务访问信息对应的业务。

S306可以参考上文方法200中的S230。

可选的，若UPF确定第一业务的流量属于未授权流量，则方法300还包括S307至S311。

S307，UPF向SMF发送第一事件标识。

例如，UPF通过N4会话报告请求(N4 session report request)消息向SMF发送第一事件标识。例如，UPF向SMF发送的N4会话报告请求消息是PFCP会话报告请求消息#1，第一事件标识可以携带在PFCP会话报告请求消息#1中的用量报告触发(usage reporttrigger)信元中。例如，用量报告触发信元可以包括ANTST字段，若用量报告触发信元中的ANTST置为1，表示指示UPF检测到了异常流量起始事件。ANTST字段置为1时，可以理解为，用量报告触发信元包括第一事件标识。

可选的，UPF还向SMF发送第一业务对应的应用检测信息(application detectioninformation)。应用检测信息用于确定对第一业务的未授权流量进行管控的流量管控规则，例如，应用检测信息包括以下一项或多项：源IP地址及其掩码，目的IP地址及其掩码，层4(layer 4，L4)层协议ID，应用(application)ID，流信息(flow information)，数据包检测规则(packet detection rule，PDR)标识，应用实例(instance)ID。

例如，UPF通过PFCP会话报告请求消息#1向SMF发送第一事件标识和应用检测信息，应用检测信息可以携带在PFCP会话报告请求消息#1的用量报告(usage report)信元中。用量报告信元中还包括URR ID。可选的，若SMF向UPF发送了与异常流量起始事件对应的URR ID，则用量报告信元中的URR ID是与异常流量起始事件对应的URR ID。

S308，SMF向PCF发送第一事件标识。

SMF接收到来自UPF的第一事件标识之后，将第一事件标识发送至PCF。

可选的，若SMF接收到来自UPF的应用检测信息，则SMF还向PCF发送应用检测信息。

例如，SMF通过PCF服务化接口_会话管理策略控制_更新请求(Npcf_SMPolicyControl_Update request)服务向PCF发送第一事件标识，或者发送第一事件标识和应用检测信息。

S309，PCF向SMF发送流量管控规则。

PCF接收到来自SMF的第一事件标识之后，根据第一事件标识确定UPF检测到异常流量起始事件，则PCF向SMF发送流量管控规则流量管控规则用于对第一业务的未授权流量进行管控。

流量管控规则包括以下一项或多项：对UE#1访问的流量进行阻断；减小QoS流的最大比特率(maximum bit rate，MBR)；释放PDU会话并且对UE#1采用会话管理回退定时器(SMback-off timer)，在定时器超时之前不允许UE#1接入；更新QoS流的数据包过滤器(packetfilter)，拒绝错误的业务数据流(service data flow，SDF)；对UE#1访问的流量进行特殊计费处理。

可选的，若PCF接收到来自SMF的应用检测信息，则PCF向SMF发送应用检测信息对应的流量管控规则，即PCF向SMF发送流量管控规则和应用检测信息。

可以理解，PCF向SMF发送的应用检测信息对应的流量管控规则，是PCF根据应用检测信息确定的。例如，PCF根据应用检测信息确定第一业务包括业务#1，则PCF向确定该应用检测信息对应的流量管控规则包括业务#1对应的流量管控规则。例如，业务#1对应的流量管控规则包括：对业务#1的流量进行阻断。又例如，PCF根据应用检测信息确定UE#1访问的目的地址是UE#1不允许访问的地址，则PCF确定与该应用检测信息对应的流量管控规则包括更新QoS流的包过滤器。

例如，PCF通过PCF服务化接口_会话管理策略控制_更新响应(Npcf_SMPolicyControl_Update response)服务向SMF发送流量管控规则，或者发送流量管控规则和应用检测信息。

S310，SMF向UPF发送流量管控规则。

SMF接收到来自PCF的流量管理规则之后，向UPF发送流量管理规则。

可选的，若SMF接收到来自PCF的流量管控规则和应用检测信息，则SMF向UPF发送流量管控规则和应用检测信息。

例如，SMF通过N4会话修改请求消息向UPF发送异流量管控规则，或者发送流量管控规则和应用检测信息。

S311，UPF对第一业务的流量进行管控。

UPF接收到来自SMF的流量管控规则之后，则根据流量管控规则对UE#1访问的第一业务的流量进行管控。例如，流量管控规则包括对UE#1访问的流量进行阻断，则UPF对UE#1访问的第一业务的流量进行阻断。又例如，流量管控规则包括降低UE#1访问第一业务时使用的带宽，则UPF降低UE#1访问第一业务时使用的带宽。

可选的，UPF接收到来自SMF的流量管控规则和应用检测信息之后，可以根据应用检测信息确定流量管控规则用于对UE#1访问的第一业务的流量进行管控。例如，UE#1同时访问第一业务和第二业务，则UPF可以根据应用检测信息确定该流量管控规则用于对UE#1访问的第一业务的流量进行管控，而不是对UE#1访问的第二业务的流量进行管控。

可选的，方法300还包括S312至S318中的一个或多个步骤。

S312，UPF采集UE#1的第二时段的业务访问信息。

第二时段的业务访问信息与第一业务对应。第二时段的第一时段的时长可以是1秒、1分钟、5分钟、30分钟或1小时等。第二时段的时长与第一时段的时长相同，或者不同，本申请实施例对此不做限定。第二时段在第一时段之后，第二时段与第一时段的时间连续，例如，第一时段是2022年1月1日8:00至2022年1月1日8:01，第二时段是2022年1月1日8:01至2022年1月1日8:02，或者，第二时段与第一时段的时间不连续，例如，第一时段是2022年1月1日8:00至2022年1月1日8:01，第二时段是2022年1月1日8:10至2022年1月1日8:11。例如，若UPF接收到的异常流量管控规则包括释放PDU会话且对UE#1采用SM back-off timer，则第二时段起始时刻可以是定时器超时之后的某个时刻。

UPF采集第二时段的业务访问信息的方式与采集第一时段的业务访问信息的方式相同，此处不再赘述。

可以理解，若UE#1在第二时段未访问第一业务，则UPF无法采集到第二时段的业务访问信息。

S313，UPF确定第一业务的流量是否属于未授权流量。

UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务流量是否属于未授权流量。

S313可以参考上文方法200中的S230。

若UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于授权流量，则方法300继续执行S318，或者执行S313至S318。

若UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于未授权流量，则UPF继续根据流量管控规则对第一业务的流量进行管控，并且可以继续采集UE#1访问的第一业务的业务访问信息，例如采集UE#1的第三时段的业务访问信息，第三时段的业务访问信息与第一业务对应，并根据第三时段的业务访问信息和安全态势感知模型#1确定第一业务的流量是否属于未授权流量。

S314，UPF向SMF发送第二事件标识。

若UPF确定第一业务的未授权流量停止，则UPF向SMF发送第二事件标识。

示例性的，若UPF未采集到第二时段的业务访问信息，则UPF确定第一业务的未授权流量停止。

示例性的，若UPF采集到第二时段的业务访问信息，则UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于授权流量时，UPF确定第一业务的未授权流量停止。

可选的，若UPF至少连续两次识别第一业务的流量属于授权流量，则UPF确定第一业务的未授权流量停止。例如，UPF根据安全态势感知模型#1和第二时段的业务访问信息确定第一业务的流量属于授权流量，并且根据安全态势感知模型#1和第三时段的业务访问信息确定第一业务的流量属于授权流量，则UPF确定第一业务的未授权流量停止。第三时段在第二时段之后。

可选的，UPF还向SMF发送第一业务对应的应用检测信息。

例如，UPF通过N4会话报告请求消息向SMF发送第二事件标识。例如，UPF向SMF发送的N4会话报告请求消息是PFCP会话报告请求消息#2，第二事件标识可以携带在PFCP会话报告请求消息#2中的用量报告触发信元中。例如，用量报告触发信元可以包括ANTSP字段，若用量报告触发信元中的ANTSP置为1，表示UPF检测到了异常流量停止事件。ANTSP字段置为1时，可以理解为，用量报告触发信元包括第二事件标识。

需要说明的是，UPF通过PFCP会话报告请求消息#2向SMF发送第二事件标识时，PFCP会话报告请求消息#2包括的URR ID与PFCP会话报告请求消息#1包括的URR ID相同。例如，SMF向UPF发送了与异常流量起始事件和异常流量停止事件对应的URR ID，则PFCP会话报告请求消息#2包括与异常流量起始事件和异常流量停止事件对应的URR ID。PFCP会话报告请求消息#2包括的URR ID可以携带在用量报告信元中。

S315，SMF向PCF发送第二事件标识。

SMF接收到来自UPF的第二事件标识之后，将第二事件标识发送至PCF。

可选的，若SMF接收到来自UPF的应用检测信息，则SMF还向PCF发送应用检测信息。

例如，SMF通过PCF服务化接口_会话管理策略控制_更新请求服务向PCF发送第二事件标识，或者发送第二事件标识和应用检测信息。

S316，PCF向SMF发送指示信息。

PCF接收到来自SMF的第二事件标识之后，根据第二事件标识确定UPF检测到异常流量停止事件，则PCF向SMF发送第指示信息，指示信息用于指示停止使用流量管控规则。

示例性的，指示信息包括会话管理策略，该会话管理策略用于管理第一业务的授权流量。该会话管理策略与UE#1发生未授权访问行为之前使用会话管理策略相同，或者不同，本申请实施例对此不做限定。可选的，若PCF接收到来自SMF的应用检测信息，则指示信息包括的会话管理策略可以是应用检测信息对应的会话管理策略，即指示信息包括会话管理策略和应用检测信息。

例如，PCF通过PCF服务化接口_会话管理策略控制_更新响应服务向SMF发送指示信息。

S317，SMF向UPF发送指示信息。

SMF接收到来自PCF的指示信息之后，向UPF发送指示信息。

示例性的，指示信息包括会话管理策略。

可选的，指示信息还包括应用检测信息。

S318，UPF停止使用流量管控规则。

示例性的，若UPF确定第一业务的未授权流量停止，则UPF停止使用流量管控规则。例如流量管控规则包括对UE#1访问的流量进行阻断，则UPF停止阻断UE#1访问的第一业务的流量。UPF停止使用流量管控规则之后，若UE#1继续访问第一业务，则UPF可以根据UE#1发生未授权访问行为之前使用的会话管理策略对UE#1访问的第一业务的流量进行管理。UPF确定第一业务的未授权流量停止的方式可以参考上文S314。

示例性的，若UPF向SMF发送了第二事件标识，则UPF接收到来自SMF的指示信息之后，根据指示信息的指示停止使用流量管控规则。

可选的，若UPF接收到的指示信息包括应用检测信息，则UPF可以根据应用检测信息确定指示信息用于指示停止使用应用检测信息对应的流量管控规则。

可选的，若指示信息包括会话管理策略，则在UE#1继续访问第一业务的情况下，UPF根据该会话管理策略对UE#1访问的第一业务的流量进行管理。

可选的，若UPF接收到的指示信息包括应用检测信息和会话管理策略，则UPF可以根据应用检测信息确定该会话管理策略用于对UE#1访问的第一业务的流量进行管理。例如，UE#1同时访问第一业务和第二业务，则UPF可以根据应用检测信息确定该流会话管理策略用于对UE#1访问的第一业务的流量进行管控，而不是对UE#1访问的第二业务的流量进行管理。

应理解，图3所示的方法中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S301可以在S302之前执行，也可以在S304之后执行，或者在S302至S304之间执行。

在本申请实施例中，UPF获取到安全态势感知模型#1之后，可以根据安全态势感知模型#1和UE#1的业务访问信息，确定UE#1访问的业务流量是否属于未授权流量，从而有利于实现网络及时感知UE#1的未授权流量。

此外，若UPF确定UE#1访问的流量属于未授权流量，则UPF可以通过第一事件标识向PCF上报异常流量起始事件，从而PCF可以在根据第一事件标识确定UPF检测到异常流量起始事件的情况下，通过SMF向UPF发送流量管控规则，使得UPF可以根据流量管控规则对UE#1访问的未授权流量进行管控，从而可以保证网络的安全。例如，若UPF可以根据流量管控规则对UE#1访问的未授权流量进行阻断，则有利于阻断UE#1发起大流量DoS攻击。

进一步地，若UPF确定UE#1的未授权流量停止，例如，UPF确定UE#1访问的流量属于授权流量，则UPF可以停止使用流量管控规则，从而保证UE#1的授权业务访问行为的正确执行。

结合图2，图4示出了本申请实施例提供的管理未授权流量的方法的示意性流程图。图4所示的方法400可以包括以下步骤：

S401，PCF向NWDAF发送订阅请求信息。

订阅请求信息包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，至少一个安全态势感知模型的标签，第一事件标识，或，第二事件标识。

若订阅请求信息包括至少一个终端设备的标识，则订阅请求信息用于订阅至少一个终端设备的标识所标识的终端设备的流量识别结果。若订阅请求信息包括至少一个业务的标识，则订阅请求信息用于订阅至少一个业务的标识所标识的业务的流量识别结果。若订阅请求信息包括至少一个类型标识，则订阅请求信息用于订阅至少一个类型标识所标识的一类终端设备的流量识别结果。若订阅请求信息包括至少一个安全态势感知模型的标签，则订阅请求信息用于订阅根据该至少一个安全态势感知模型得到的流量识别结果。若订阅请求信息包括第一事件标识，则订阅请求信息用于指示检测到异常流量起始事件时，向PCF上报第一事件标识。若订阅请求信息包括第二事件标识，则订阅请求信息用于指示检测到异常流量停止事件时，向PCF上报第二事件标识。流量识别结果包括识别到未授权流量或识别到授权流量。

例如，PCF通过NWDAF服务化接口_分析订阅_订阅(Nnwdaf_AnalyticsSubscription_Subscribe)服务向NWDAF发送订阅请求信息。或者，PCF通过NWDAF服务化接口_分析信息_请求(Nnwdaf_AnalyticsInfo_Request)服务向NWDAF发送订阅请求信息。

S402，NWDAF向UPF发送请求消息#1。

请求消息#1包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

若请求消息#1包括至少一个终端设备的标识，则请求消息#1用于请求至少一个终端设备的标识所标识的终端设备的流量识别结果。若请求消息#1包括至少一个业务的标识，则请求消息#1用于请求至少一个业务的标识所标识的业务的流量识别结果。若请求消息#1包括至少一个类型标识，则请求消息#1用于请求至少一个类型标识所标识的一类终端设备的流量识别结果。若请求消息#1包括至少一个安全态势感知模型的标签，则请求消息#1用于订阅根据该至少一个安全态势感知模型得到的流量识别结果。

示例性的，若NWDAF接收到来自PCF的订阅请求信息，则NWDAF可以根据订阅请求信息向UPF发送请求消息#1。例如，NWDAF接收的订阅请求信息包括UE#1的标识，则NWDAF向UPF发送的请求消息#1可以包括UE#1的标识。

需要说明的是，S401和S402是可选的步骤。

S403，UPF获取安全态势感知模型#1。

S403可以参考上文方法200中的S210。

S404，UE#1发起PDU会话建立或PDU会话更新。

S405，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S406，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

S407，UPF采集UE#1的第一时段的业务访问信息。

S408，UPF确定第一业务的流量是否属于未授权流量。

S404至S408可以参考方法300中的S302至S306。

可选的，若UPF使能了安全态势感知可视化报表功能，或者说，UPF具备安全态势感知可视化报表功能，则UPF采集UE#1的第一时段的业务访问信息，并根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。UPF具备安全态势感知可视化报表功能指的是，UPF支持呈现终端设备在一定的时间段内产生的未授权流量，UPF还可以支持呈现终端设备产生的未授权流量访问的服务器地址、端口分布等，UPF还支持呈现终端设备的业务访问信息。例如，终端设备在一定的时间段内产生的未授权流量可以包括以下一项或多项：终端设备发送的上行字节数，终端设备接收的下行字节数，终端设备发送的上行数据包的数量、终端设备接收的下行数据包的数量，或，终端设备产生的流数。

可选的，若UPF接收到来自NWDAF的请求消息#1，则UPF采集UE#1的第一时段的业务访问信息，并根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

可选的，若UPF接收到来自NWDAF的请求消息#1，且请求消息#1包括UE#1的标识，则UPF采集UE#1的第一时段的业务访问信息，并根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

可选的，若UPF接收到来自NWDAF的请求消息#1，且请求消息#1包括第一业务的标识，则UPF采集UE#1的第一时段的业务访问信息，并根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

可选的，若UPF接收到来自NWDAF的请求消息#1，且请求消息#1包括安全态势感知模型#1的标签，则UPF采集UE#1的第一时段的业务访问信息，并根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

S409，UPF向NWDAF发送流量识别信息#1。

流量识别信息#1用于指示UE#1访问的流量是否属于未授权流量，或者用于指示UE#1的访问行为是否属于未授权访问行为。

若UPF根据安全态势感知模型#1和第一时段的业务访问信息，确定第一业务的流量属于授权流量，则UPF向NWDAF发送的流量识别信息#1用于指示UE#1访问的流量属于授权流量，或者，用于指示UE#1的访问行为属于授权访问行为。若UPF根据安全态势感知模型#1和第一时段的业务访问信息，确定第一业务的流量属于未授权流量，则UPF向NWDAF发送的流量识别信息#1用于指示UE#1访问的流量属于未授权流量，或者，用于指示UE#1的访问行为属于未授权访问行为。

可选的，UPF确定第一业务的流量属于未授权流量的情况下，向NWDAF发送流量识别信息#1。

可选的，UPF还向NWDAF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项用于确定对第一业务的未授权流量进行管控的流量管控规则。

S410，NWDAF向PCF发送第一事件标识。

若NWDAF接收到的流量识别信息#1用于指示UE#1访问的流量属于未授权流量，或者用于指示UE#1的访问行为属于未授权访问行为，则NWDAF向PCF发送第一事件标识。NWDAF接收的来自PCF的订阅请求信息包括第一事件标识，或者，NWDAF中预配置第一事件标识。

可选的，NWDAF还向PCF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项是UPF向NWDAF发送的。

例如，NWDAF通过NWDAF服务化接口_分析订阅_通知(Nnwdaf_AnalyticsSubscription_Notify)服务向PCF发送第一事件标识。或者，PCF通过NWDAF服务化接口_分析信息_请求响应(Nnwdaf_AnalyticsInfo_Request Response)服务向PCF发送第一事件标识。

S411，PCF向SMF发送流量管控规则。

PCF接收到来自NWDAF的第一事件标识之后，根据第一事件标识向SMF发送流量管控规则，流量管控规则用于对第一业务的未授权流量进行管控。流量管控规则的更多描述可以参考上文方法300中的S309。

一种可能的实现方式中，若PCF向NWDAF订阅了UE#1的流量识别结果，则PCF接收到第一事件标识之后，确定UE#1访问的流量属于未授权流量，进而PCF向SMF发送与UE#1对应的流量管控规则。

另一种可能的实现方式中，若PCF向NWDAF订阅了第一业务的流量识别结果，则PCF接收到第一事件标识之后，确定第一业务的流量属于未授权流量，进而PCF向SMF发送与第一业务对应的流量管控规则。

再一种可能的实现方式中，若PCF向NWDAF订阅了根据安全态势感知模型#1得到的流量识别结果，则PCF接收到第一事件标识之后，确定根据安全态势感知模型#1识别到未授权流量，进而PCF向SMF发送与安全态势感知模型#1对应的流量管控规则。例如，安全态势感知模型#1与业务#1对应，则安全态势感知模型#1对应的流量管控规则是与业务#1对应的流量管控规则。

可选的，若PCF还接收到以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识，则PCF根据接收到的信息向SMF发送流量管控规则。例如，PCF接收到UE#1的标识，则PCF向SMF发送UE#1对应的流量管控规则。例如，PCF接收到第一业务对应的应用检测信息，则PCF向SMF发送应用检测信息对应的流量管控规则。应用检测信息对应的流量管控规则可以参考上文方法300中的S309。

可选的，PCF还向SMF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项是NWDAF向PCF发送的。

S412，SMF向UPF发送流量管控规则。

SMF接收到来自PCF的流量管理规则之后，向UPF发送流量管理规则。

可选的，SMF还向UPF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项是PCF向SMF发送的。

S413，UPF对第一业务的流量进行管控。

可选的，若UPF还接收到以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识，则UPF根据接收到的信息确定流量管控规则用于对第一业务的流量进行管控。例如，UPF为UE#1和UE#2提供服务，则UPF接收到UE#1的标识之后，根据UE#1的标识确定流量管控规则用于对UE#1的流量进行管控，UE#1的流量包括UE#1访问的第一业务的流量。

S413的更多描述可以参考上文方法300中的S311。

可选的，方法400还包括S414至S420中的一个或多个步骤。

S414，UPF采集UE#1的第二时段的业务访问信息。

S415，UPF确定第一业务的流量是否属于未授权流量。

S414和S415可以参考上文方法300中的S312和S313。

S416，UPF向NWDAF发送流量识别信息#2。

流量识别信息#2用于指示UE#1访问的流量是否属于未授权流量，或者用于指示UE#1的访问行为是否属于未授权访问行为。

若UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于授权流量，则UPF向NWDAF发送的流量识别信息#2用于指示UE#1访问的流量属于授权流量，或者，用于指示UE#1的访问行为属于授权访问行为。若UPF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于未授权流量，则UPF向NWDAF发送的流量识别信息#2用于指示UE#1访问的流量属于未授权流量，或者，用于指示UE#1的访问行为属于未授权访问行为。

可选的，UPF确定第一业务的流量属于授权流量的情况下，向NWDAF发送流量识别信息#2。

可选的，若UPF未采集到第二时段的业务访问信息，则UPF确定第一业务的未授权流量停止，进而UPF向NWDAF发送的流量识别信息#2可以用于指示UE#1访问的未授权流量停止。

可选的，UPF还向NWDAF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。

S417，NWDAF向PCF发送第二事件标识。

若NWDAF接收到的流量识别信息#2用于指示UE#1访问的流量属于未授权流量，或者用于指示UE#1的访问行为属于未授权访问行为，或者用于指示UE访问的未授权流量停止，则NWDAF向PCF发送第二事件标识。NWDAF接收的来自PCF的订阅请求信息包括第二事件标识，或者，NWDAF中预配置第二事件标识，

可选的，NWDAF还向PCF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。

例如，NWDAF通过NWDAF服务化接口_分析订阅_通知服务向PCF发送第二事件标识。或者，PCF通过NWDAF服务化接口_分析信息_请求响应服务向PCF发送第二事件标识。

S418，PCF向SMF发送指示信息。

PCF接收到来自NWDAF的第二事件标识之后，根据第二事件标识向SMF发送指示信息，指示信息用于指示停止使用流量管控规则。

示例性的，指示信息包括会话管理策略，该会话管理策略用于管理第一业务的授权流量。该会话管理策略与UE#1发生未授权访问行为之前使用会话管理策略相同，或者不同，本申请实施例对此不做限定。

例如，若PCF向NWDAF订阅了UE#1的流量识别结果，则PCF接收到第二事件标识之后，确定UE#1访问的未授权流量停止量，进而PCF向SMF发送的指示信息可以包括与UE#1对应的会话管理策略。

或者，若PCF向NWDAF订阅了第一业务的流量识别结果，则PCF接收到第二事件标识之后，确定第一业务的未授权流量停止，进而PCF向SMF发送的指示信息可以包括与第一业务对应的会话管理策略。

或者，若PCF向NWDAF订阅了根据安全态势感知模型#1得到的流量识别结果，则PCF接收到第二事件标识之后，确定UPF根据安全态势感知模型#1识别到授权流量，进而PCF向SMF发送的指示信息包括与安全态势感知模型#1对应的会话管理策略。例如，安全态势感知模型#1与业务#1对应，则安全态势感知模型#1对应的会话管理策略是与业务#1对应的会话管理策略。

可选的，若PCF还接收到以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识，则PCF根据接收到的信息确定会话管理策略。例如，PCF接收到UE#1的标识，则PCF向SMF发送UE#1对应的会话管理策略。例如，PCF接收到第一业务对应的应用检测信息，则PCF向SMF发送应用检测信息对应的会话管理策略。

可选的，指示信息还包括以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项是NWDAF向PCF发送的。

S419，SMF向UPF发送指示信息。

SMF接收到来自PCF的指示信息之后，向UPF发送指示信息。

S420，UPF停止使用流量管控规则。

UPF接收到来自SMF的指示信息之后，根据指示信息的指示停止使用流量管控规则。

可选的，若UPF接收到的指示信息包括以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识，则UPF可以停止使用上述信息对应的流量管控规则。例如，指示信息包括UE#1的标识，则UPF停止使用UE#1对应的流量管控规则。

可选的，若指示信息包括会话管理策略，则在UE#1继续访问第一业务的情况下，UPF根据该会话管理策略对UE#1访问的第一业务的流量进行管理。

可选的，若UPF接收到的指示信息包括会话管理策略和以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识，则UPF可以根据接收到的信息确定该会话管理策略用于对UE#1访问的第一业务的流量进行管理。例如，UPF为UE#1和UE#2提供服务，则UPF接收到UE#1的标识之后，根据UE#1的标识确定会话管理策略用于对UE#1的流量进行管理，UE#1的流量包括UE#1访问的第一业务的流量。

应理解，图4所示的方法中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S401和S402可以在S403之前执行，也可以在S406之后执行，或者在S403至S406之间执行。

在本申请实施例中，UPF获取到安全态势感知模型#1之后，可以根据安全态势感知模型#1和UE#1的业务访问信息，确定UE#1访问的业务流量是否属于未授权流量，从而有利于实现网络及时感知UE#1的未授权流量。

此外，UPF可以根据流量识别结果向NWDAF发送流量识别信息，从而NWDAF可以根据流量识别信息向PCF发送第一事件标识，从而PCF可以在根据第一事件标识确定UPF检测到异常流量起始事件的情况下，通过SMF向UPF发送流量管控规则，使得UPF可以根据流量管控规则对UE#1访问的未授权流量进行管控，从而可以保证网络的安全。例如，若UPF可以根据流量管控规则对UE#1访问的未授权流量进行阻断，则有利于阻断UE#1发起大流量DoS攻击。或者，NWDAF可以根据流量识别信息向PCF发送第二事件标识，从而PCF可以在根据第二事件标识确定UPF检测到异常流量停止事件的情况下，通过SMF向UPF发送指示信息，以指示UPF可以使用流量管控规则，从而保证UE#1的授权业务访问行为的正确执行。

结合图2，图5示出了本申请实施例提供的管理未授权流量的方法的示意性流程图。图5所示的方法500可以包括以下步骤：

S501，PCF向NWDAF发送订阅请求信息。

订阅请求信息包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

S501的更多描述可以参考上文方法400中的S401。

S502，NWDAF向UPF发送请求消息#1。

请求消息#1包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

S502的更多描述可以参考上文方法400中的S402。

S503，UPF获取安全态势感知模型#1。

S503可以参考上文方法200中的S210。

S504，UE#1发起PDU会话建立或PDU会话更新。

S505，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S506，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

S507，UPF采集UE#1的第一时段的业务访问信息。

S508，UPF确定第一业务的流量是否属于未授权流量。

S504至S508可以参考上文方法300中的S302至S306。S507和S508还可以参考上文方法400中的S407和S408。

S509，UPF向NWDAF发送流量识别信息#1和第一时段的业务访问信息。

流量识别信息#1的描述可以参考上文方法400中的S409。

需要说明的是，在执行方法500的过程中，S507至S509可以重复执行多次，即UPF可以多次采集UE#1的业务访问信息，并且根据UE#1的业务访问信息和安全态势感知模型#1识别UE#1访问的流量之后，向NWDAF发送流量识别信息。

S510，NWDAF向PCF发送流量统计信息。

流量统计信息包括以下一项或多项：UE#1的授权流量分布情况，UE#1的未授权流量分布情况，或，UE#1的流量变化趋势。UE#1的授权流量分布情况也可以称为整机的授权流量分布情况，UE#1的未授权流量分布情况也可以称为整机的未授权流量分布情况，UE#1的流量变化趋势也可以称为整机的流量变化趋势。

流量统计信息是NWDAF根据接收的至少一个流量识别信息和至少一个业务访问信息确定的，至少一个流量识别信息包括流量识别信息#1，至少一个业务访问信息包括第一时段的业务访问信息。可选的，至少一个流量识别信息和至少一个业务访问信息是NWDAF在预设周期内接收到的。例如，预设周期是1小时、1天或1周等。

其中，UE#1的未授权流量分布情况包括以下一项或多项：UE#1的标识，UE#1访问的未授权流量对应的业务，UE#1访问的未授权流量对应的时段、UE#1访问的未授权流量对应的业务访问信息。例如，UE#1的未授权流量分布情况如表1所示。

表1 UE#1的未授权流量分布情况

UE#1的授权流量分布情况包括以下一项或多项：UE#1的标识，UE#1访问的授权流量对应的业务，UE#1访问的授权流量对应的时段、UE#1访问的授权流量对应的业务访问信息。

UE#1的流量变化趋势指的是UE#1访问的未授权流量对应的流量数随着时间的变化。其中，未授权流量对应的流量数包括以下一项或多项：未授权流量对应的字节数，未授权流量对应的数据包数量，或，未授权流量对应的流数。

可选的，方法500还包括S511至S513。

S511，PCF向SMF发送流量管控规则。

PCF接收到来自NWDAF的流量统计信息之后，若根据流量统计信息确定UE#1即将访问未授权流量，则PCF向SMF发送流量管控规则。流量管控规则的更多描述可以参考上文方法300中的S309。

例如，流量统计信息包括UE#1的未授权流量分布情况，UE#1的未授权流量分布情况如表1所示，假设时段#1是8:00至9:00，则PCF可以确定UE#1可能在每天的8:00至9:00访问未授权流量，且未授权流量是业务#1的流量，进而PCF可以在8:00之前，或者在8:00至9:00之间，向SMF发送业务#1对应的流量管控规则。

可选的，PCF还向SMF发送以下一项或多项：UE#1的标识，业务标识，或时间信息。时间信息用于指示使用流量管控规则的时段。

S512，SMF向UPF发送流量管控规则。

SMF接收到来自PCF的流量管理规则之后，向UPF发送流量管理规则。

可选的，SMF还向UPF发送以下一项或多项：UE#1的标识，业务标识，或时间信息。上述一项或多项是PCF向SMF发送的。

S513，UPF对UE#1访问的流量进行管控。

UPF根据接收到的流量管控规则对UE#1访问的流量进行管控。例如，若UPF只接收到流量管控规则，则UPF可以根据流量管控规则对UE#1访问的所有流量进行管控。又例如，若UPF接收到流量管控规则和业务#1的标识，则UPF可以根据流量管控规则对UE#1访问的业务#1的流量进行管控。

可选的，若UPF还接收到时间信息，则UPF在时间信息指示的时段内使用该流量管控规则对UE#1访问的流量进行管控。

可选的，方法500还包括S514至S516。

S514，PCF向SMF发送指示信息。

PCF通过SMF向UPF发送流量管控规则之后，若根据流量统计信息确定UE#1访问的未授权流量即将停止，则PCF向SMF发送指示信息，指示信息用于指示停止使用流量管控规则。示例性的，指示信息包括会话管理策略，该会话管理策略用于管理UE#1访问的授权流量。

可选的，指示信息还包括以下一项或多项：UE#1的标识，或，业务标识。

例如，流量统计信息包括UE#1的未授权流量分布情况，UE#1的未授权流量分布情况如表1所示，假设时段#1是8:00至9:00，则PCF可以确定UE#1访问的未授权流量在9:00停止，且未授权流量是业务#1的流量，进而PCF可以在9:00，或者在9:00之后，向SMF发送指示信息，指示信息可以包括业务#1的标识，用于指示停止使用业务#1对应的流量管控规则，或者用于指示停止使用流量管控规则对业务#1的流量进行管控。

S515，SMF向UPF发送指示信息。

SMF接收到来自PCF的指示信息之后，向UPF发送指示信息。

S516，UPF停止使用流量管控规则。

UPF接收到来自SMF的指示信息之后，根据指示信息的指示停止使用流量管控规则。

可选的，若UPF接收到的指示信息包括以下一项或多项：UE#1的标识，或，业务标识，则UPF可以停止使用上述信息对应的流量管控规则。例如，指示信息包括业务#1的标识，则UPF停止使用业务#1对应的流量管控规则，或者停止使用流量管控规则对业务#1的流量进行管控。

可选的，若指示信息包括会话管理策略，则UPF可以根据该会话管理策略对UE#1访问的授权流量进行管理。

可选的，若UPF接收到的指示信息包括会话管理策略和以下一项或多项：UE#1的标识，或，业务标识，则UPF可以根据接收到的信息确定该会话管理策略用于对UE#1访问的授权流量进行管理。例如，UPF为UE#1和UE#2提供服务，则UPF接收到UE#1的标识之后，根据UE#1的标识确定会话管理策略用于对UE#1的流量进行管理。

应理解，图5所示的方法中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S501可以在S504之前执行，也可以在S508之后执行，或者在S504至S508之间执行。

在本申请实施例中，UPF获取到安全态势感知模型#1之后，可以根据安全态势感知模型#1和UE#1的业务访问信息，确定UE#1访问的业务流量是否属于未授权流量，从而有利于实现网络及时感知UE#1的未授权流量。

此外，UPF可以根据流量识别结果向NWDAF发送流量识别信息和业务访问信息，从而NWDAF可以根据接收到的至少一个流量识别信息和至少一个业务访问信息，向PCF发送流量统计信息，从而PCF可以在根据流量统计信息确定UE#1即将访问未授权流量的情况下，通过SMF向UPF发送流量管控规则，使得UPF可以根据流量管控规则对UE#1访问的未授权流量进行管控，从而可以保证网络的安全。例如，若UPF可以根据流量管控规则对UE#1访问的未授权流量进行阻断，则有利于阻断UE#1发起大流量DoS攻击。

进而，PCF还可以在根据流量统计信息确定UE#1访问的未授权流量即将停止的情况下，通过SMF向UPF发送指示信息，以指示UPF可以使用流量管控规则，从而保证UE#1的授权业务访问行为的正确执行。

下面结合图6和图7，以图2中的第一网元是数据分析网元为例，说明本申请实施例提供的管理未授权流量的方法。需要说明的是，图6和图7中的UE#1是图2中所述的第一终端设备的示例，UPF是图2中所述用户面网元的示例，PCF是图2中所述策略控制网元的示例，SMF是图2中所述会话管理网元的示例，NWDAF是图2中所述数据分析网元的示例。此外，可以理解的是，本申请所述的方法不仅适用于5G通信系统，其他类型的通信系统也可以参考本申请所述的方法，本申请实施例对此不再赘述。

结合图2，图6示出了本申请实施例提供的管理未授权流量的方法的示意性流程图。图6所示的方法600可以包括以下步骤：

S601，NWDAF获取安全态势感知模型#1。

S601可以参考上文方法200中的S210。

S602，PCF向NWDAF发送订阅请求信息。

S602可以参考上文方法400中的S401。

S603，NWDAF向UPF发送请求消息#2。

请求消息#2包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

若请求消息#2包括至少一个终端设备的标识，则请求消息#2用于请求至少一个终端设备的标识所标识的终端设备的业务访问信息。若请求消息#2包括至少一个业务的标识，则请求消息#2用于请求至少一个业务的标识所标识的业务的业务访问信息。若请求消息#2包括至少一个类型标识，则请求消息#2用于请求至少一个类型标识所标识的一类终端设备的业务访问信息。若请求消息#2包括至少一个安全态势感知模型的标签，则请求消息#2用于请求至少一个安全态势感知模型对应的终端设备和/或业务的业务访问信息。

示例性的，若NWDAF接收到来自PCF的订阅请求信息，则NWDAF可以根据订阅请求信息向UPF发送请求消息#2。例如，NWDAF接收到的订阅请求信息包括UE#1的标识，则NWDAF向UPF发送的请求消息#1可以包括UE#1的标识。

示例性的，NWDAF根据获取到的安全态势感知模型#1的标签，向UPF发送请求消息#2。例如，请求消息#2包括安全态势感知模型#1的标签。或者，若安全态势感知模型#1对应业务#1对应，请求消息#2可以包括业务#2的标识。

需要说明的是，S602和S603是可选的步骤。

S604，UE#1发起PDU会话建立或PDU会话更新。

S605，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S606，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

S604至S606可以参考上文方法300中的S302至S304。

S607，UPF采集UE#1的第一时段的业务访问信息。

业务访问信息的描述可以参考上文方法200中的S210。

示例性的，UPF接收到UE#1的标识和安全态势感知模型#1的标签的情况下，根据安全态势感知模型#1的标签确定安全态势感知模型#1对应的采集项，并根据该采集项采集UE#1的第一时段的业务访问信息。

示例性的，若UPF接收到来自NWDAF的请求消息#2，则UPF可以根据请求消息#2确定是否采集UE#1的第一时段的业务访问信息。例如，若请求消息#2包括UE#1的标识，则UPF确定采集UE#1的第一时段的业务访问信息。例如，若请求消息#2包括第一业务的标识，则确定UPF采集UE#1的第一时段的业务访问信息。例如，若请求消息#2包括安全态势感知模型#1的标签，则UPF在接收到来自SMF的UE#1的标识和安全态势感知模型#1的标签的情况下，确定采集UE#1的第一时段的业务访问信息。

示例性的，若UPF中预配置UE#1的标识与安全态势感知模型#1的标签的关联关系，则UPF根据安全态势感知模型#1的标签确定安全态势感知模型#1对应的采集项，并根据该采集项采集UE#1的第一时段的业务访问信息。

更多UPF采集第一时段的业务访问信息的描述可以参考上文方法300中的S305。

S608，UPF向NWDAF发送第一时段的业务访问信息。

可选的，UPF还向NWDAF发送安全态势感知模型#1的标签和/或第一业务对应的应用检测信息。第一业务与第一时段的业务访问信息对应，第一业务的描述可以参考上文方法300中的S306。第一业务对应的应用检测信息的描述可以参考上文方法300中的S307。

S609，NWDAF确定第一业务的流量是否属于未授权流量。

示例性的，若NWDAF仅获取到安全态势感知模型#1，则NWDAF接收到第一时段的业务访问信息之后，根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

示例性的，若NWDAF获取到多个安全态势感知模型#1，则NWDAF还接收到安全态势感知模型#1的标签的情况下，确定根据安全态势感知模型#1和第一时段的业务访问信息确定第一业务的流量是否属于未授权流量。

S609的更多描述可以参考上文方法200中的S230。

可选的，若NWDAF确定第一业务的流量属于未授权流量，则方法600还包括S610至S613。

S610，NWDAF向PCF发送第一事件标识。

NWDAF接收的来自PCF的订阅请求信息包括第一事件标识，或者，NWDAF中预配置第一事件标识。

可选的，NWDAF还向PCF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标识，或，第一业务的标识。上述一项或多项是UPF向NWDAF发送的。

NWDAF向PCF发送第一事件标识的方式可以参考上文方法400中的S410。

S611，PCF向SMF发送流量管控规则。

S612，SMF向UPF发送流量管控规则。

S613，UPF对第一业务的流量进行管控。

S611至S613可以参考上文方法400中的S411至S413。

可选的，方法600还包括S614至S620中的一个或多个步骤。

S614，UPF采集UE#1的第二时段的业务访问信息。

S614可以参考上文方法300中的S312。

S615，UPF向NWDAF发送第二时段的业务访问信息。

可选的，UPF还向NWDAF发送安全态势感知模型#1的标签和/或第一业务对应的应用检测信息。

S616，NWDAF确定第一业务的流量是否属于未授权流量。

NWDAF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量是否属于未授权流量。

S616可以参考上文方法200中的S230。

S617，NWDAF向PCF发送第二事件标识。

NWDAF接收的来自PCF的订阅请求信息包括第二事件标识，或者，NWDAF预配置第二标识。

示例性的，若NWDAF根据安全态势感知模型#1和第二时段的业务访问信息，确定第一业务的流量属于授权流量，则NWDAF向PCF发送第二事件标识。

示例性的，若NWDAF未接收到来自UPF的第二时段的业务访问信息，则NWDAF可以向PCF发送第二事件标识。

可选的，NWDAF还向PCF发送以下一项或多项：第一业务对应的应用检测信息，安全态势感知模型#1的标签，UE#1的标签，或，第一业务的标识。

NWDAF向PCF发送第二事件标识的方式可以参考上文方法400中的S417。

S618，PCF向SMF发送指示信息。

S619，SMF向UPF发送指示信息。

S620，UPF停止使用流量管控规则。

S618至S620可以参考上文方法400中的S418至S420。

应理解，图6所示的方法中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S601可以在S604之前执行，也可以在S608之后执行，或者在S604至S608之间执行。

在本申请实施例中，NWDAF获取到安全态势感知模型#1，以及接收到来自UPF的UE#1的业务访问信息之后，可以根据安全态势感知模型#1和UE#1的业务访问信息，确定UE#1访问的业务流量是否属于未授权流量，从而有利于实现网络及时感知UE#1的未授权流量。

此外，若NWDAF确定UE#1访问的流量属于未授权流量，则NWDAF可以向PCF发送第一事件标识，从而PCF可以在根据第一事件标识确定NWDAF检测到异常流量起始事件的情况下，通过SMF向UPF发送流量管控规则，使得UPF可以根据流量管控规则对UE#1访问的未授权流量进行管控，从而可以保证网络的安全。例如，若UPF可以根据流量管控规则对UE#1访问的未授权流量进行阻断，则有利于阻断UE#1发起大流量DoS攻击。

进一步地，若NWDAF确定UE#1的未授权流量停止，例如，NWDAF确定UE#1访问的流量属于授权流量，则NWDAF可以向PCF发送第二事件标识，从而PCF可以在根据第二事件标识确定NWDAF检测到异常流量停止事件的情况下，通过SMF向UPF发送指示信息，以指示UPF可以使用流量管控规则，从而保证UE#1的授权业务访问行为的正确执行。

结合图2，图7示出了本申请实施例提供的管理未授权流量的方法的示意性流程图。

图7所示的方法700可以包括以下步骤：

S701，NWDAF获取安全态势感知模型#1。

S701可以参考上文方法200中的S210。

S702，PCF向NWDAF发送订阅请求信息。

订阅请求信息包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

S702的更多描述可以参考上文方法400中的S401。

S703，NWDAF向UPF发送请求消息#2。

请求消息#2包括以下一项或多项：至少一个终端设备的标识，至少一个业务的标识，至少一个类型标识，或，至少一个安全态势感知模型的标签。

S703的更多描述可以参考上文方法600中的S603。

S704，UE#1发起PDU会话建立或PDU会话更新。

S705，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S706，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

S704至S706可以参考上文方法300中的S302至S304。

S707，UPF采集UE#1的第一时段的业务访问信息。

S707可以参考上文方法600中的S607。

S708，UPF向NWDAF发送第一时段的业务访问信息。

S709，NWDAF确定第一业务的流量是否属于未授权流量。

第一业务与第一时段的业务访问信息对应，第一业务的描述可以参考上文方法300中的S306。

S709可以参考上文S609中的描述。

需要说明的是，在执行方法700的过程中，S707至S709可以重复执行多次，即UPF可以多次采集UE#1的业务访问信息，并且将UE#1的业务访问信息发送至NWDAF。相应的，NWDAF可以根据接收到的UE#1的业务访问信息和安全态势感知模型#1识别UE#1访问的流量是否属于未授权流量。

S710，NWDAF向PCF发送流量统计信息。

流量统计信息是NWDAF根据至少一个业务访问信息和该至少一个业务访问信息对应的业务的流量识别结果确定的，至少一个业务访问信息包括第一时段的业务访问信息。可选的，至少一个流量业务访问信息是NWDAF在预设周期内接收到的。例如，预设周期是1小时、1天或1周等。

流量统计信息的更多描述可以参考上文方法500中的S510。

可选的，方法700还包括S711至S713。

S711，PCF向SMF发送流量管控规则。

S712，SMF向UPF发送流量管控规则。

S713，UPF对UE#1访问的流量进行管控。

S711至S713可以参考上文方法500中的S511至S513。

可选的，方法700还包括S714至S716。

S714，PCF向SMF发送指示信息。

S715，SMF向UPF发送指示信息。

S716，UPF停止使用流量管控规则。

S714至S716可以参考上文方法500中的S514至S516。

应理解，图7所示的方法中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S701可以在S704之前执行，也可以在S708之后执行，或者在S704至S708之间执行。

在本申请实施例中，NWDAF获取到安全态势感知模型#1，以及接收到来自UPF的UE#1的业务访问信息之后，可以根据安全态势感知模型#1和UE#1的业务访问信息，确定UE#1访问的业务流量是否属于未授权流量，从而有利于实现网络及时感知UE#1的未授权流量。

此外，NWDAF可以根据至少一个业务访问信息和至少一个业务访问信息对应的业务的流量识别结果，向PCF发送流量统计信息，从而PCF可以在根据流量统计信息确定UE#1即将访问未授权流量的情况下，通过SMF向UPF发送流量管控规则，使得UPF可以根据流量管控规则对UE#1访问的未授权流量进行管控，从而可以保证网络的安全。例如，若UPF可以根据流量管控规则对UE#1访问的未授权流量进行阻断，则有利于阻断UE#1发起大流量DoS攻击。

进而，PCF还可以在根据流量统计信息确定UE#1访问的未授权流量即将停止的情况下，通过SMF向UPF发送指示信息，以指示UPF可以使用流量管控规则，从而保证UE#1的授权业务访问行为的正确执行。

图8示出了本申请实施例提供的获取安全态势感知模型的方法的示意性流程图。根据图8所示的方法，可以获取到上文实施例中用于识别未授权流量的安全态势感知模型#1。如图8所示，方法800可以包括以下步骤：

S810，安全态势感知功能网元获取至少一个终端设备的业务访问信息。

至少一个终端设备的业务访问信息对应的业务的流量属于授权流量，授权流量的描述可以参考上文方法200中的S210。

至少一个终端设备的业务访问信息是至少一个终端设备在预设时长内的业务访问信息。预设时长可以是1分钟、1刻钟、1小时或1天等。

示例性的，至少一个终端设备的业务访问信息是终端设备粒度的，且至少一个终端设备都是第一类型的终端设备。例如，当按照终端设备使用的业务划分终端设备的类型时，第一类型的终端设备可以是使用车联网业务的终端设备。

示例性的，至少一个终端设备的业务访问信息是至少一个终端设备访问业务#1的业务访问信息。

示例性的，至少一个终端设备的业务访问信息是至少一个终端设备访问业务#1的业务访问信息，且至少一个终端设备都是第一类型的终端设备。

更多关于至少一个终端设备的业务访问信息的描述可以参考上文方法200中的S210。

本申请实施例对安全态势感知功能网元获取至少一个终端设备的业务访问信息的方式不做限定。

示例性的，安全态势感知功能网元接收来自用户面网元的至少一个终端设备的业务访问信息。至少一个终端设备的业务访问信息是用户面网元根据采集参数采集得到的。用户面网元获取采集参数，以及根据采集参数采集至少一个终端设备的业务访问信息的更多描述可以参考下文方法900或方法1000。

示例性的，若安全态势感知功能网元与用户面网元合设，则用户面网元采集到至少一个终端设备的业务访问信息之后，安全态势感知功能网元可以直接获取到至少一个终端设备的业务访问信息。换句话说，安全态势感知功能网元与用户面网元之间不需要进行交互的情况下，安全态势感知功能网元可以获取到用户面网元采集的至少一个终端设备的业务访问信息。在安全态势感知功能网元与用户面网元合设的情况下，也可以说至少一个终端设备的业务访问信息是安全态势感知功能网元采集得到的。

在安全态势感知功能网元与用户面网元合设的情况下，用户面网元可以根据采集参数采集至少一个终端设备的业务访问信息。采集参数是根据用户面网元中预配置的信息和/或用户通过用户界面(user interface，UI)输入的指令确定的，采集参数包括以下一项或多项：安全态势感知模型#1的标签，至少一个终端设备的标识，业务标识，抽样率，或，安全态势感知模型#1对应的采集项，采集项可以参考上文方法200中的S210。用户面网元根据采集参数采集至少一个终端设备的业务访问信息的更多描述可以参考下文方法900或方法1000。

S820，安全态势感知功能网元对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。

安全态势感知功能网元获取到的至少一个终端设备的业务访问信息满足预设的数量阈值之后，对至少一个终端设备的业务访问信息进行人工智能训练。例如，将一个终端设备在指定时长内的业务访问信息作为一个训练样本，假设预设的数量阈值是100，则在至少一个终端设备的业务访问信息可以被处理为至少100个训练样本的情况下，安全态势感知功能网元对该至少100个训练样本进行人工智能训练。

至少一个终端设备的业务访问信息被处理为至少100个训练样本的一个示例为：至少一个终端设备的业务访问信息包括100个终端设备的业务访问信息，且每个终端设备的业务访问信息是终端设备在指定时长内的业务访问信息，则该至少一个终端设备的业务访问信息按照终端设备粒度拆分之后得到100个训练样本。

或者，至少一个终端设备的业务访问信息被处理为至少100个训练样本的一个示例为：至少一个终端设备的业务访问信息包括50个终端设备的业务访问信息，且每个终端设备的业务访问信息可以被拆分成与两个时间段对应的业务访问信息，每个时间段的时长等于指定时长，也就是说，每个终端设备的业务访问信息按照时间段拆分之后可以得到2个训练样本，因此，该至少一个终端设备的业务访问信息按照终端设备粒度和时间段拆分之后得到100个训练样本。

可选的，在安全态势感知功能网元对至少一个终端设备的业务访问信息进行人工智能训练之前，若根据至少一个终端设备的业务访问信息得到的训练样本中包括不符合训练样本格式的训练样本，则安全态势感知功能网元对不符合训练样本格式的训练样本进行处理，得到符合训练样本格式的训练样本。

例如，满足训练样本格式的训练样本包括以下多项：终端设备访问的业务#1的上行报文数和下行报文数，终端设备访问业务#1的访问时长，终端设备访问的业务#2的上行报文数和下行报文数，终端设备访问业务#2的访问时长。根据至少一个终端设备的业务访问信息得到的训练样本#1包括以下多项：终端设备#1访问的业务#1的上行报文数和下行报文数，终端设备#1访问业务#1的访问时长，终端设备#1访问的业务#2的上行报文数，终端设备#1访问业务#2的访问时长。训练样本#1与满足训练样本格式的训练样本相比，缺少终端设备#1访问的业务#2的下行报文数，在此情况下，安全态势感知功能网元在训练样本#1中补充终端设备#1访问的业务#2的下行报文数之后，得到符合训练样本格式的训练样本#1。例如，安全态势感知功能网元补充的终端设备#1访问的业务#2的下行报文数可以是以下中的任一种：特定值，例如根据经验或终端设备#1的历史业务访问信息设定的值；终端设备#1访问的不同业务(例如包括业务#1和业务#2)的下行报文数的均值；业务#2的上行报文数。

示例性的，安全态势感知功能网元可以采用机器学习(machine learning，ML)的算法或深度学习(deep learning)的算法，对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。机器学习的算法可以包括随机森林算法或决策树算法等，深度学习的算法可以包括卷积神经网络(convolutional neural network，CNN)或循环神经网络(recurrent neural network，RNN)等，本申请实施例对此不做限定。

示例性的，在安全态势感知功能网元对至少一个终端设备的业务访问信息进行人工智能训练之后，若经过测试集和验证集确认训练得到的模型的精确度和/或召回率满足预设条件，则将训练得到的模型作为安全态势感知模型#1。其中，测试集是根据至少一个终端设备的业务访问信息得到的训练样本中用于训练模型的训练样本，验证集是根据至少一个终端设备的业务访问信息得到的训练样本中用于验证模型的精确度的训练样本，测试集是根据至少一个终端设备的业务访问信息得到的训练样本中用于计算模型的召回率的训练样本。

在本申请实施例中，安全态势感知功能网元通过对至少一个终端设备的业务访问信息进行人工智能训练，可以得到用于识别未授权流量的安全态势感知模型。从而当用户面网元或数据分析网元获取到该安全态势感知模型之后，可以根据该安全态势感知模型识别未授权流量，从而有利于实现网络及时识别终端设备访问的未授权流量。

下面结合图9和图10，详细说明本申请实施例提供的获取安全态势感知模型的方法。需要说明的是，图9或图10中的UE#1是图8中所述至少一个终端设备包括的终端设备的示例，UPF是图8所述用户面网元的示例，SSAF是图8中所述安全态势感知功能网元的示例。此外，可以理解的是，本申请所述的方法不仅适用于5G通信系统，其他类型的通信系统也可以参考本申请所述的方法，本申请实施例对此不再赘述。

结合图8，图9示出了本申请实施例提供的获取安全态势感知模型的方法的示意性流程图，图9所示的方法900可以包括以下步骤：

一种可能的实现方式中，方法900可以包括S901至S904。

S901，SSAF向NRF发送请求消息#3。

请求消息#3用于请求UPF的地址信息，UPF的地址信息包括以下一项或多项：UPF的ID、UPF的IP地址，或，UPF的全量域名(fully qualified domain name，FQDN)。请求消息#3可以包括以下一项或多项：至少一个安全态势感知模型的标签，SSAF的位置信息，SSAF所在的PLMN#1的标识，终端设备的标识，类型标识，或，业务标识。

若请求消息#3包括至少一个安全态势感知模型的标签，则请求消息#3用于请求支持采集用于获取至少一个安全态势感知模型的业务访问信息的UPF的地址信息。例如，至少一个安全态势感知模型中的安全态势感知模型#1与业务#1对应，则请求消息#3可以用于请求支持采集业务#1对应的业务访问信息的UPF的地址信息。若请求消息#3包括SSAF的位置信息，则请求消息#3用于请求与SSAF部署在同一位置的UPF的地址信息。例如，SSAF的位置信息指示SSAF部署在区域A，则请求消息#3用于请求部署在区域A的UPF的地址信息。若请求消息#3包括PLMN#1的标识，则请求消息#3用于请求归属于PLMN#1的UPF的地址信息。若请求消息#3包括终端设备的标识，则请求消息#3用于请求支持采集终端设备的标识所标识的终端设备的业务访问信息的UPF的地址信息。若请求消息#3包括业务标识，则请求消息#3用于请求支持采集业务标识所标识的业务对应的业务访问信息的UPF的地址信息。若请求消息#3包括类型标识，则请求消息#3用于请求支持采集类型标识所标识的一类终端设备的业务访问信息的UPF的地址信息。

示例性的，SSAF可以根据用户输入的指令和/或预配置的信息向NRF发送请求消息#3，用户输入的指令是用户通过用户界面输入的。例如，用户输入的指令包括至少一个安全态势感知模型的标签，则SSAF向NRF发送的请求消息可以包括至少一个安全态势感知模型的标签。又例如，用户输入的指令包括业务#1的标识，则SSAF根据业务#1的标识和本地配置信息确定与业务#1对应的安全态势感知模型#1的标签，进而SSAF向NRF发送的请求消息#3可以包括安全态势感知模型#1的标签。

例如，SSAF可以通过NRF服务化接口_网络功能(network function，NF)查询_请求(Nnrf_NFDiscovery_Resquest)服务向NRF发送请求消息#3。

S902，NRF向SSAF发送UPF的地址信息。

NRF接收到来自SSAF的请求消息#3之后，查询符合要求的UPF，并将查询到的UPF的地址信息发送至SSAF。例如，请求消息#3包括业务#1的标识，则NRF查询支持采集业务#1对应的业务访问信息的UPF，并将该UPF的地址信息发送至SSAF。

例如，NRF可以通过NRF服务化接口_NF查询_响应(Nnrf_NFDiscovey_Response)服务向SSAF发送UPF的地址信息。

需要说明的是，S901和S902是可选的步骤。例如，若SSAF中预配置UPF的地址信息，则方法900不执行S901和S902。

S903，SSAF向UPF发送信息采集订阅信息。

SSAF获取到UPF的地址信息之后，根据UPF的地址信息向UPF发送信息采集订阅信息。

信息采集订阅信息包括以下一项或多项：至少一个安全态势感知模型的标签，终端设备的标识，业务标识，类型标识，抽样率，或，采集项。信息采集订阅信息包括的上述一项或多项可以称为采集参数。

若信息采集订阅信息包括至少一个安全态势感知模型的标签，则信息采集订阅信息用于订阅用于获取至少一个安全态势感知模型的业务访问信息。例如，至少一个安全态势感知模型中的安全态势感知模型#1与业务#1对应，则信息采集订阅信息可以用于订阅业务#1对应的业务访问信息。若信息采集订阅信息包括终端设备的标识，则信息采集订阅信息用于订阅终端设备的标识所标识的终端设备的业务访问信息。若信息采集订阅信息包括业务标识，则信息采集订阅信息用于订阅业务标识所标识的业务对应的业务访问信息。若信息采集订阅信息包括类型标识，则信息采集订阅信息用于订阅类型标识所标识的一类终端设备的业务访问信息。若信息采集订阅信息包括抽样率和/或采集项，则指示UPF按照抽样率和/或采集项采集信息采集订阅信息所订阅的业务访问信息。

可以理解，若信息采集订阅信息包括多个安全态势感知模型的标签，则信息采集订阅信息可以包括多个安全态势感知模型的标签与上述参数之间的对应关系。例如，信息采集订阅信息包括安全态势感知模型#1的标签和安全态势感知模型#2的标签，以及包括安全态势感知模型#1的标签与业务#1的标识和采集项#1的对应关系，以及包括安全态势感知模型#2与业务#2的标识和采集项#2的对应关系。

示例性的，SSAF可以根据用户输入的指令和/或预配置的信息向NRF发送信息采集订阅信息。

例如，用户输入的指令包括至少一个安全态势感知模型的标签，则SSAF向NRF发送的信息采集订阅信息可以包括至少一个安全态势感知模型的标签。可选的，SSAF还可以根据本地预配置的信息确定与每个安全态势感知模型的标签对应的一个或多个参数，并将确定的参数携带在信息采集订阅信息中。

又例如，用户输入的指令包括业务#1的标识，则SSAF根据业务#1的标识和本地配置信息确定与业务#1对应的安全态势感知模型#1的标签，进而SSAF向UPF发送的信息采集订阅信息可以包括安全态势感知模型#1的标签。可选的，信息采集订阅信息还包括业务#1的标识。

可选的，方法900还包括S904。

S904，UPF向SSAF发送信息采集订阅响应信息。

UPF接收到来自SSAF的信息采集订阅信息之后，可以向SSAF发送信息采集订阅响应信息。

另一种可能的实现方式中，方法900可以包括S905至S910。

S905，SSAF向NRF发送注册信息。

注册信息包括以下一项或多项：SSAF的类型信息，SSAF的地址信息，SSAF的位置信息，SSAF所在的PLMN#1的标识，或，SSAF支持的安全态势感知模型的标签。SSAF的类型信息用于指示SSAF是具备安全态势感知功能的网元。SSAF的地址信息包括以下一项或多项：SSAF的ID，SSAF的IP地址，或SSAF的FQDN。

例如，SSAF可以通过NRF服务化接口_NF管理_NF注册请求(Nnrf_NFManagement_NFRegister Resquest)服务向NRF发送注册信息。

S906，NRF向SSAF发送注册响应信息。

NRF接收到来自SSSF的注册信息之后，向SSFA发送注册响应信息。

例如，NRF可以通过NRF服务化接口_NF管理_NF注册响应(Nnrf_NFManagement_NFRegister Response)服务向SSAF发送注册响应信息。

需要说明的是，S905和S906是可选的步骤，SSAF的地址信息、SSAF的位置信息、SSAF所在的PLMN#1的标识、或SSAF支持的安全态势感知模型的标签可以预配置在NRF中。

S907，UPF向NRF发送请求消息#4。

请求消息#4用于请求SSAF的地址信息，请求消息#4包括以下一项或多项：SSAF的类型信息，至少一个安全态势感知模型的标签，UPF的位置信息，或，UPF所在的PLMN#2的标识。

若请求消息#4包括SSAF的类型信息，则请求消息#4用于请求具备安全态势感知功能的网元的地址信息。若请求消息#4包括至少一个安全态势感知模型的标签，则请求消息#3用于请求支持该至少一个安全态势感知模型的SSAF的地址信息。若请求消息#4包括UPF的位置信息，则请求消息#3用于请求与UPF部署在同一位置的SSAF的地址信息。例如，UPF的位置信息指示UPF部署在区域A，则请求消息#4用于请求部署在区域A的SSAF的地址信息。若请求消息#4包括PLMN#2的标识，则请求消息#4用于请求归属于PLMN#2的SSAF的地址信息。

例如，UPF可以通过NRF服务化接口_NF查询_请求服务向NRF发送请求消息#4。

S908，NRF向UPF发送SSAF的地址信息。

NRF接收到来自UPF的请求消息#4之后，查询符合要求的SSAF，并将查询到的SSAF的地址信息发送至UPF。例如，请求消息#4包括PLMN#2的标识，则NRF查询归属于PLMN#2的SSAF，并将该SSAF的地址信息发送至UPF。

例如，NRF可以通过NRF服务化接口_NF查询_响应服务向UPF发送SSAF的地址信息。

需要说明的是，S907和S908是可选的步骤。例如，若UPF中预配置SSAF的地址信息，则方法900不执行S907和S908。

S909，UPF向SSAF发送采集任务查询请求信息。

采集任务查询请求信息用于请求SSAF下发采集任务，该采集任务包括：采集用于获取至少一个安全态势感知模型的业务访问信息。

可选的，采集任务查询请求信息包括至少一个安全态势感知模型的标签。

S910，SSAF向UPF发送采集任务查询响应信息。

SSAF接收到来自UPF的采集任务查询请求信息之后，向UPF发送采集任务查询响应信息，采集任务查询响应信息用于向UPF指示采集任务

采集任务查询响应信息包括以下一项或多项：至少一个安全态势感知模型的标签，终端设备的标识，业务标识，类型标识，抽样率，或，采集项。采集任务查询响应信息包括的上述一项或多项可以称为采集参数。

若采集任务查询响应信息包括至少一个安全态势感知模型的标签，则采集任务查询响应信息指示的采集任务包括采集用于获取至少一个安全态势感知模型的业务访问信息。例如，至少一个安全态势感知模型中的安全态势感知模型#1与业务#1对应，则采集任务包括采集业务#1对应的业务访问信息。若采集任务查询响应信息包括终端设备的标识，则采集任务查询响应信息指示的采集任务包括采集终端设备的标识所标识的终端设备的业务访问信息。若采集任务查询响应信息包括业务标识，则采集任务查询响应信息指示的采集任务包括采集业务标识所标识的业务对应的业务访问信息。若采集任务查询响应信息包括类型标识，则采集任务查询响应信息指示的采集任务包括采集该类型标识所标识的一类终端设备的业务访问信息。若采集任务查询响应信息包括抽样率和/或采集项，则指示UPF按照抽样率和/或采集项执行采集任务。

可以理解，若采集任务查询响应信息包括多个安全态势感知模型的标签，则采集任务查询响应信息可以包括多个安全态势感知模型的标签与上述参数之间的对应关系。例如，采集任务查询响应信息包括安全态势感知模型#1的标签和安全态势感知模型#2的标签，以及包括安全态势感知模型#1的标签与业务#1的标识和采集项#1的对应关系，以及包括安全态势感知模型#2与业务#2的标识和采集项#2的对应关系。

示例性的，SSAF可以根据用户输入的指令和/或预配置的信息向NRF发送采集任务查询响应信息。

例如，用户输入的指令包括至少一个安全态势感知模型的标签，则SSAF向NRF发送的采集任务查询响应信息可以包括至少一个安全态势感知模型的标签。可选的，SSAF还可以根据本地预配置的信息确定与每个安全态势感知模型的标签对应的一个或多个参数，并将确定的参数携带在信息采集订阅信息中。

又例如，用户输入的指令包括业务#1的标识，则SSAF根据业务#1的标识和本地配置信息确定与业务#1对应的安全态势感知模型#1的标签，进而SSAF向UPF发送的采集任务查询响应信息可以包括安全态势感知模型#1的标签。可选的，采集任务查询响应信息还包括业务#1的标识。

UPF接收到信息采集订阅信息或采集任务查询响应信息之后，在至少一个终端设备访问业务的过程中，UPF可以根据信息采集订阅信息或采集任务查询响应信息包括的采集参数采集至少一个终端设备的业务访问信息，并将采集的业务访问信息发送至SSAF。方法900以UPF采集UE#1的业务访问信息为例，说明UPF如何根据采集参数采集UE#1的业务访问信息。

S911，UE#1发起PDU会话建立或PDU会话更新。

S912，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S913，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

S911至S913可以参考上文方法300中的S302至S304。

进一步地，UE#1发起的PDU会话建立流程或PDU会话修改流程执行完成之后，UE#1进行业务访问。

S914，UPF采集UE#1的业务访问信息。

示例性的，若UPF接收到来自SMF的UE#1的标识和安全态势感知模型#1的标签，则UPF可以根据安全态势感知模型#1对应的采集项，采集UE#1在指定时长内的业务访问信息。

示例性的，若UPF接收到来自SSAF的信息采集订阅信息，则UPF根据信息采集订阅信息包括的采集参数确定SSAF是否订阅了UE#1的业务访问信息。

例如，当满足以下中的一项或多项时，UPF确定SSAF订阅了UE#1的业务访问信息：信息采集订阅信息包括UE#1的标识，信息采集订阅信息包括UE#1当前访问的业务#1的标识，信息采集订阅信息包括UE#1签约的安全态势感知模型#1的标签，或，UE#1的类型是信息采集订阅信息包括的类型标识所标识的类型。

进而，若SSAF订阅了UE#1的业务访问信息，则UPF根据信息采集订阅信息包括的采集参数采集UE#1在指定时长内的业务访问信息。例如，若信息采集订阅信息包括安全态势感知模型#1对应的采集项，则UPF根据信息采集订阅信息包括的采集项采集UE#1的业务访问信息。或者，若信息采集订阅信息不包括安全态势感知模型#1对应的采集项，则UPF根据本地配置信息确定安全态势感知模型#1对应的采集项之后，根据该采集项采集UE#1的业务访问信息。UPF根据本地配置信息确定安全态势感知模型#1对应的采集项的方式可以参考上文方法300中的S305。

示例性的，若UPF接收到来自SSAF的采集任务查询响应信息，则UPF根据采集任务查询响应信息确定采集任务是否包括采集UE#1的业务访问信息。

例如，当满足以下中的一项或多项时，UPF确定采集任务查询响应信息指示的采集任务包括采集UE#1的业务访问信息：采集任务查询响应信息包括UE#1的标识，采集任务查询响应信息包括UE#1当前访问的业务#1的标识，采集任务查询响应信息包括UE#1签约的安全态势感知模型#1的标签，或，UE#1的类型是采集任务查询响应信息包括的类型标识所标识的类型。

进而，若采集任务查询响应信息指示的采集任务包括采集UE#1的业务访问信息，则UPF根据采集任务查询响应信息包括的采集参数采集UE#1在指定时长内的业务访问信息。例如，若采集任务查询响应信息包括安全态势感知模型#1对应的采集项，则UPF根据采集任务查询响应信息包括的采集项采集UE#1的业务访问信息。或者，若采集任务查询响应信息不包括安全态势感知模型#1对应的采集项，则UPF根据本地配置信息确定安全态势感知模型#1对应的采集项之后，根据该采集项采集UE#1的业务访问信息。

UPF根据安全态势感知模型#1对应的采集项采集UE#1的业务访问信息的方式，可以参考上文方法300中的S305。

S915，UPF向SSAF发送UE#1的业务访问信息。

可选的，UPF还向SSAF发送安全态势感知模型#1的标签。

S916，SSAF获得安全态势感知模型#1。

SSAF对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。至少一个终端设备的业务访问信息包括UE#1的业务访问信息。

可选的，若SSAF还接收到安全态势感知模型#1的标签，则SSAF根据安全态势感知模型#1的标签，确定UE#1的业务访问信息用于获取安全态势感知模型#1。

S916的更多描述可以参考上文方法800中的S820。

可选的，方法900还包括S917。

S917，SSAF向UPF发送安全态势感知模型#1。

在本申请实施例中，SSAF可以向UPF发送信息采集订阅信息，或者根据接收的来自UPF的采集任务查询请求信息向UPF发送采集任务查询响应信息，从而UPF可以根据信息采集订阅信息或采集任务查询响应信息，采集用于获取安全态势感知模型#1的至少一个终端设备的业务访问信息，并将采集到的信息发送至SSAF。进而，SSAF可以对至少一个终端设备的业务访问信息进行人工智能训练，得到用于识别UE#1访问的未授权流量的安全态势感知模型#1。此外，若SSAF将该安全态势感知模型#1发送至UPF，则UPF可以根据该安全态势感知模型#1识别UE#1访问的未授权流量，从而有利于实现网络及时识别UE#1访问的未授权流量。

结合图8，图10示出了本申请实施例提供的获取安全态势感知模型的方法的示意性流程图，图10所示的方法1000可以包括以下步骤：

一种可能的实现方式中，方法1000可以包括S1001至S1004。

S1001，SSAF向NRF发送请求消息#5。

请求消息#5用于请求NWDAF的地址信息，NWDAF的地址信息包括以下一项或多项：NWDAF的ID，NWDAF的IP地址，或，NWDAF的FQDN。请求消息#5可以包括以下一项或多项：至少一个安全态势感知模型的标签，SSAF的位置信息，SSAF所在的PLMN#1的标识，终端设备的标识，类型标识，或，业务标识。

S1001的更多描述可以参考上文方法900中的S901。

S1002，NRF向SSAF发送NWDAF的地址信息。

NRF接收到来自SSAF的请求消息#5之后，查询符合要求的NWDAF，并将查询到的NWDAF的地址信息发送至SSAF。例如，请求消息#5包括业务#1标识，则NRF查询支持采集业务#1对应的业务访问信息的NWDAF，并将NWDAF的地址信息发送至SSAF。

需要说明的是，S1001和S1002是可选的步骤。例如，若SSAF中预配置NWDAF的地址信息，则方法1000不执行S1001和S1002。

S1003，SSAF向NWDAF发送信息采集订阅信息#1。

SSAF获取到NWDAF的地址信息之后，根据NWDAF的地址信息向NWDAF发送信息采集订阅信息#1。

信息采集订阅信息#1包括以下一项或多项：至少一个安全态势感知模型的标签，终端设备的标识，业务标识，类型标识，抽样率，或，采集项。

S1003的更多描述可以参考上文方法900中的S903。

可选的，NWDAF接收到信息采集订阅信息#1之后，还可以向SSAF发送信息采集订阅响应信息#1。

S1004，NWDAF向UPF发送信息采集订阅信息#2。

信息采集订阅信息#2包括：至少一个安全态势感知模型的标签，至少一个安全态势感知模型对应的采集项。信息采集订阅信息#2还包括以下一项或多项：至少一个安全态势感知模型对应的终端设备的标识，至少一个安全态势感知模型对应的业务的标识，至少一个安全态势感知模型对应的终端设备的类型标识，或，抽样率。信息采集订阅信息#2包括的上述一项或多项可以称为采集参数，

示例性的，NWDAF根据接收到的信息采集订阅信息#1向UPF发送信息采集订阅信息#2。例如，信息采集订阅信息#1包括：安全态势感知模型#1标签，安全态势感知模型#1对应的采集项，安全态势感知模型#1对应的业务#1的标识，则NWDAF根据信息采集订阅信息#1向UPF发送信息采集订阅信息#2，即NWDAF将信息采集订阅信息#1包括的信息携带在信息采集订阅信息#2中发送至UPF。

示例性的，NWDAF根据信息采集订阅信息#1和本地配置信息向UPF发送信息采集订阅信息#2。例如，信息采集订阅信息#1包括安全态势感知模型#1的标签，则NWDAF根据安全态势感知模型#1的标签和本地配置信息，确定安全态势感知模型#1对应的采集项和业务#1的标识，然后，NWDAF将安全态势感知模型#1标签、安全态势感知模型#1对应的采集项和业务#1的标识携带在在信息采集订阅信息#2中发送至UPF。

可选的，UPF接收到信息采集订阅信息#2之后，还可以向NWDAF发送信息采集订阅响应信息#2。

另一种可能的实现方式中，方法1000可以包括S1005至S1011。

S1005，SSAF向NRF发送注册信息。

S1006，NRF向SSAF发送注册响应信息。

S1005和S1006可以参考上文方法900中的S905和S906。

S1007，NWDAF向NRF发送请求消息#6。

请求消息#6用于请求SSAF的地址信息，请求消息#6包括以下一项或多项：SSAF的类型信息，至少一个安全态势感知模型的标签，NWDAF的地址信息，或，NWDAF所在的PLMN#3的标识。

S1007的更多描述可以参考上文方法900中的S907。

S1008，NRF向NWDAF发送SSAF的地址信息。

NRF接收到来自NWDAF的请求消息#6之后，查询符合要求的SSAF，并将查询到的SSAF的地址信息发送至NWDAF。例如，请求消息#6包括PLMN#3的标识，则NRF查询归属于PLMN#3的SSAF，并将该SSAF的地址信息发送至NWDAF。

例如，NRF可以通过NRF服务化接口_NF查询_响应服务向NWDAF发送SSAF的地址信息。

需要说明的是，S1007和S1008是可选的步骤。例如，若NWDAF中预配置SSAF的地址信息，则方法1000不执行S1007和S1008。

S1009，NWDAF向SSAF发送采集任务查询请求信息。

S1010，SSAF向NWDAF发送采集任务查询响应信息。

S1009和S1010可以参考上文方法900中的S909和S910。

S1011，NWDAF向UPF发送信息采集订阅信息#2。

信息采集订阅信息#2的描述可以参考上文S1004。

示例性的，NWDAF根据接收到的采集任务查询响应信息向UPF发送采集信息订阅信息#2。例如，采集任务查询响应信息包括：安全态势感知模型#1的标签，安全态势感知模型#1对应的采集项，安全态势感知模型#1对应的业务#1的标识，则NWDAF根据采集任务查询响应信息向UPF发送信息采集订阅信息#2，即NWDAF将采集任务查询响应信息包括的信息携带在信息采集订阅信息#2中发送至UPF。

示例性的，NWDAF根据采集任务查询响应信息和本地配置信息向UPF发送信息采集订阅信息#2。例如，采集任务查询响应信息包括安全态势感知模型#1的标签，则NWDAF根据安全态势感知模型#1的标签和本地配置信息，确定安全态势感知模型#1对应的采集项和业务#1的标识，然后，NWDAF将安全态势感知模型#1的标识、安全态势感知模型#1对应的采集项和业务#1的标识携带在信息采集订阅信息#2中发送至UPF。

可选的，UPF接收到信息采集订阅信息#2之后，还可以向NWDAF发送信息采集订阅响应信息#2。

UPF接收到来自NWDAF的信息采集订阅信息#2之后，在至少一个终端设备访问业务的过重中，UPF可以根据信息采集订阅信息#2包括的采集参数采集指示一个终端设备的业务访问信息，并将采集的业务访问信息发送至SSAF。方法1000以UPF采集UE#1的业务访问信息为例，说明UPF如何根据采集参数采集UE#1的业务访问信息。

S1012，UE#1发起PDU会话建立或PDU会话更新。

S1013，SMF获取UE#1的标识和安全态势感知模型#1的标签。

S1014，SMF向UPF发送UE#1的标识和安全态势感知模型#1的标签。

进一步地，UE#1发起的PDU会话建立流程或PDU会话修改流程执行完成之后，UE#1进行业务访问。

S1015，UPF采集UE#1的业务访问信息。

示例性的，若UPF接收到来自SMF的UE#1的标识和安全态势感知模型#1的标签，则UPF可以根据安全态势感知模型#1对应的采集项，采集UE#1在指定时长内的业务访问信息。

示例性的，若UPF接收到来自NWDAF的信息采集订阅信息#2，则UPF根据信息采集订阅信息#2包括的采集参数确定NWDAF是否订阅了UE#1的业务访问信息。进而，若SSAF订阅了UE#1的业务访问信息，则UPF根据信息采集订阅信息包括的采集参数采集UE#1在指定时长内的业务访问信息。

S1015的更多描述可以参考上文方法900中的S914。

S1016，UPF向NWDAF发送UE#1的业务访问信息。

可选的，UPF还向SSAF发送安全态势感知模型#1的标签。

S1017，NWDAF向SSAF发送UE#1的业务访问信息。

可选的，NWDAF还向SSAF发送安全态势感知模型#1的标签。

S1018，SSAF获得安全态势感知模型#1。

SSAF对至少一个终端设备的业务访问信息进行人工智能训练得到安全态势感知模型#1。至少一个终端设备的业务访问信息包括UE#1的业务访问信息。

可选的，若SSAF还接收到安全态势感知模型#1的标签，则SSAF根据安全态势感知模型#1的标签，确定UE#1的业务访问信息用于获取安全态势感知模型#1。

S1018的更多描述可以参考上文方法800中的S820。

可选的，方法1000还包括S1019。

S1019，SSAF向NWDAF发送安全态势感知模型#1。

在本申请实施例中，SSAF可以向NWDAF发送信息采集订阅信息#1，或者根据接收的来自NWDAF的采集任务查询请求信息向NWDAF发送采集任务查询响应信息，使得NWDAF可以根据信息采集订阅信息#1或采集任务查询响应信息向UPF发送信息采集订阅信息#2，从而UPF可以根据信息采集订阅信息#2采集用于获取安全态势感知模型#1的至少一个终端设备的业务访问信息，并将采集到的信息通过NWDAF发送至SSAF。进而，SSAF可以对至少一个终端设备的业务访问信息进行人工智能训练，得到用于识别UE#1访问的未授权流量的安全态势感知模型#1。此外，若SSAF将该安全态势感知模型#1发送至NWDAF，则NWDAF可以根据该安全态势感知模型#1识别UE#1访问的未授权流量，从而有利于实现网络及时识别UE#1访问的未授权流量。

以上结合图2至图10详细说明了本申请实施例提供的方法。以下，结合图11至图13详细说明本申请实施例提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图11是本申请实施例提供的通信装置1100的示意性框图。如图11所示，该通信装置1100可以包括：收发单元1110和处理单元1120。

在一种可能的设计中，该通信装置1100可以是上文方法实施例中的第一网元，也可以是实现上文方法实施例中第一网元的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法200中的第一网元，该通信装置1100可以包括用于执行图2中的方法200中的第一网元执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图2中的方法200的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的UPF，也可以是用于实现上文方法实施例中UPF的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法300、方法400、方法500、方法600、方法700、方法900或方法1000中的UPF，该通信装置1100可以包括用于执行图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000中的UPF执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的PCF，也可以是用于实现上文方法实施例中PCF的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法300、方法400、方法500、方法600、方法700、方法900或方法1000中的PCF，该通信装置1100可以包括用于执行图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000中的PCF执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的SMF，也可以是用于实现上文方法实施例中SMF的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法300、方法400、方法500、方法600、方法700、方法900或方法1000中的SMF，该通信装置1100可以包括用于执行图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000中的SMF执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图9中的方法900或图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的NWDAF，也可以是用于实现上文方法实施例中NWDAF的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法400、方法500、方法600、方法700、方法900或方法1000中的UPF，该通信装置1100可以包括用于执行图3中的方法300、图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700或图10中的方法1000中的NWDAF执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700或图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的安全态势感知功能网元，也可以是用于实现上文方法实施例中安全态势感知功能网元的功能的芯片。

应理解，该通信装置1100可对应于本申请实施例方法800中的安全态势感知功能网元，或者对应于方法900或方法1000中的SSAF，该通信装置1100可以包括用于执行图8中的方法800中的安全态势感知功能网元执行的方法的单元，或者，用于执行图9中的方法900或图10中的方法1000中的SSAF执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图8中的方法800、图9中的方法900或图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该通信装置1100中的收发单元1110可对应于图12中示出的通信设备1200中的收发器1220，该通信装置1100中的处理单元1120可对应于图12中示出的通信设备1200中的处理器1210。

还应理解，当该通信装置1100为芯片时，该芯片包括收发单元。可选的，该芯片还可以包括处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1110用于实现通信装置1100的信号的收发操作，处理单元1120用于实现通信装置1100的信号的处理操作。可选的，收发单元1110组成获取单元，或者说收发单元1110可以称为获取单元。可选的，收发单元1110和处理单元1120组成获取单元。

可选的，该通信装置1100还包括存储单元1130，该存储单元1130用于存储指令。

图12是本申请实施例提供的装置1200的示意性框图。如图12所示，该装置1200包括：至少一个处理器1210。该处理器1210与存储器耦合，用于执行存储器中存储的指令，以执行图2、图3、图4、图5、图6、图7、图8、图9或图10所述的方法。可选的，该装置1200还包括收发器1220，该处理器1210与存储器耦合，用于执行存储器中存储的指令，以控制收发器1220发送信号和/或接收信号，例如，处理器1210可以控制收发器1220发送业务访问信息和/或接收业务访问信息。可选的，该装置1200还包括存储器1230，用于存储指令。

应理解，上述处理器1220和存储器1230可以合成一个处理装置，处理器1220用于执行存储器1230中存储的程序代码来实现上述功能。具体实现时，该存储器1230也可以集成在处理器1210中，或者独立于处理器1210。

还应理解，收发器1220可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器1220还可以进一步包括天线，天线的数量可以为一个或多个。收发器1220又可以是通信接口或者接口电路。

当该装置1200为芯片时，该芯片包括收发单元和处理单元，其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

图13是本申请实施例的一种芯片系统的示意图。这里的芯片系统也可为电路组成的系统。图13所示的芯片系统1300包括：逻辑电路1310以及输入/输出接口(input/outputinterface)1320，所述逻辑电路用于与输入接口耦合，通过所述输入/输出接口传输数据(例如业务访问信息)，以执行图2、图3、图4、图5、图6、图7、图8、图9或图10所述的方法。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机寄存器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得计算机执行图2、图3、图4、图5、图6、图7、图8、图9或图10所示实施例中的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图2、图3、图4、图5、图6、图7、图8、图9或图10所示实施例中的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，该系统包括前述的第一网元和策略控制网元。可选的，该系统还包括前述的用户面网元。可选的，该系统还包括前述的数据分析网元。可选的，该系统还包括前述的安全态势感知功能网元。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读信息介质向另一个计算机可读存储介质传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其他的形式。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (29)

1.一种管理未授权流量的方法，其特征在于，包括：

第一网元获取安全态势感知模型，所述安全态势感知模型是根据至少一个终端设备的业务访问信息得到的，所述至少一个终端设备的业务访问信息对应的业务的流量属于授权流量；

所述第一网元获取第一终端设备的第一时段的业务访问信息；

所述第一网元根据所述安全态势感知模型和所述第一时段的业务访问信息，确定所述第一时段的业务访问信息对应的第一业务的流量是否属于未授权流量。

2.根据权利要求1所述的方法，其特征在于，所述业务访问信息包括以下一项或多项：至少一个业务的上行报文数，所述至少一个业务的下行报文数，所述至少一个业务的上行字节数，所述至少一个业务的下行字节数，所述至少一个业务的流数，所述至少一个业务的上传速率，所述至少一个业务的下载速率，所述至少一个业务的业务访问时长，所述至少一个业务的峰值速率，所述至少一个业务的平均速率，所述至少一个业务的业务峰值，所述至少一个业务的包长统计特征，所述至少一个业务的带宽统计特征，或，所述至少一个业务的包到达时间差统计特征。

3.根据权利要求1或2所述的方法，其特征在于，所述第一网元是用户面网元，

所述第一网元根据所述安全态势感知模型和所述第一时段的业务访问信息，确定所述第一时段的业务访问信息对应的第一业务的流量是否属于异常流量，包括：

在所述第一网元接收到来自会话管理网元的所述第一终端设备的标识和所述安全态势感知模型的标签的情况下，所述第一网元根据所述安全态势感知模型和所述第一时段的业务访问信息，确定所述第一业务的流量是否属于未授权流量。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一网元是用户面网元，所述第一网元确定所述第一业务的流量属于未授权流量，所述方法还包括：

所述第一网元通过会话管理网元向策略控制网元发送第一事件标识，所述第一事件标识用于标识检测到未授权流量的事件；

所述第一网元通过所述会话管理网元接收来自所述策略控制网元的流量管控规则；

所述第一网元根据所述流量管控规则对所述第一业务的流量进行管控。

5.根据权利要求4所述的方法，所述第一网元通过会话管理网元向策略控制网元发送第一事件标识，包括：

所述第一网元通过所述会话管理网元向所述策略控制网元发送所述第一事件标识和所述第一业务对应的应用检测信息，所述应用检测信息用于确定所述流量管控规则；

所述第一网元通过所述会话管理网元接收来自所述策略控制网元的流量管控规则，包括：

所述第一网元通过所述会话管理网元接收来自所述策略控制网元的所述应用检测信息对应的流量管控规则。

6.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一网元是用户面网元，所述方法还包括：

所述第一网元向数据分析网元发送流量识别信息，所述流量识别信息用于指示所述第一终端设备访问的流量是否属于未授权流量，或者，用于指示所述第一终端设备的访问行为是否属于未授权访问行为。

7.根据权利要求6所述的方法，其特征在于，所述第一网元向数据分析网元发送流量识别信息，包括：

所述第一网元具备安全态势感知可视化报表功能的情况下，向所述数据分析网元发送所述流量识别信息。

8.根据权利要求6或7所述的方法，其特征在于，所述方法还包括：

所述第一网元向所述数据分析网元发送所述第一时段的业务访问信息。

9.根据权利要求6至8中任一项所述的方法，其特征在于，所述方法还包括：

所述第一网元通过会话管理网元接收来自策略控制网元的流量管控规则；

所述第一网元根据所述流量管控规则对所述第一业务的流量进行管控。

10.根据权利要求1或2所述的方法，其特征在于，所述第一网元是数据分析网元，所述第一网元确定所述第一业务的流量属于未授权流量，所述方法还包括：

所述第一网元向策略控制网元发送第一事件标识，所述第一事件标识用于标识检测到未授权流量的事件。

11.根据权利要求10所述的方法，其特征在于，所述第一网元向策略控制网元发送第一事件标识，包括：

所述第一网元向所述策略控制网元发送所述第一事件标识和以下一项或多项：所述第一业务对应的应用检测信息，所述第一终端设备的标识，所述安全态势感知模型的标签，或，所述第一业务的标识。

12.根据权利要求10或11所述的方法，其特征在于，所述方法还包括：

所述第一网元接收来自所述策略控制网元的订阅请求信息，所述订阅请求信息包括以下一项或多项：所述第一终端设备的标识，所述第一业务的标识，所述安全态势感知模型的标签，所述第一事件标识，或，第二事件标识，所述第二事件标识用于标识未检测到未授权流量的事件。

13.根据权利要求1或2所述的方法，其特征在于，所述第一网元是数据分析网元，所述方法还包括：

所述第一网元向策略控制网元发送流量统计信息，所述流量统计信息用于确定是否对所述第一业务的流量进行管控，所述流量统计信息包括所述第一终端设备的授权流量和/或未授权流量分布情况，或，所述流量统计信息包括所述第一终端设备的流量变化趋势。

14.根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述第一网元接收来自所述策略控制网元的订阅请求信息，所述订阅请求信息包括以下一项或多项：所述第一终端设备的标识，所述第一业务的标识，或，所述安全态势感知模型的标签。

15.根据权利要求1至14中任一项所述的方法，其特征在于，所述第一网元获取安全态势感知模型，包括：

所述第一网元接收来自安全态势感知功能网元的所述安全态势感知模型。

16.根据权利要求1至14中任一项所述的方法，其特征在于，所述第一网元获取安全态势感知模型，包括：

所述第一网元获取所述至少一个终端设备的业务访问信息；

所述第一网元对所述至少一个终端设备的业务访问信息进行人工智能训练得到所述安全态势感知模型。

17.根据权利要求1至16中任一项所述的方法，其特征在于，所述第一网元获取第一终端设备的第一时段的业务访问信息，包括：

所述第一网元根据所述安全态势感知模型对应的采集项，采集所述第一时段的业务访问信息，所述采集项包括以下一项或多项：所述至少一个业务的上行报文数，所述至少一个业务的下行报文数，所述至少一个业务的上行字节数，所述至少一个业务的下行字节数，所述至少一个业务的流数，所述至少一个业务的上传速率，所述至少一个业务的下载速率，所述至少一个业务的业务访问时长，所述至少一个业务的峰值速率，所述至少一个业务的平均速率，所述至少一个业务的业务峰值，所述至少一个业务的包长统计特征，所述至少一个业务的带宽统计特征，或，所述至少一个业务的包到达时间差统计特征。

18.一种管理未授权流量方法，其特征在于，包括：

策略控制网元接收来自第二网元的第一事件标识，所述第一事件标识用于标识检测到未授权流量的事件；

所述策略控制网元根据所述第一事件标识，通过会话管理网元向用户面网元发送流量管控规则，所述流量管控规则用于对第一终端设备访问的未授权流量进行管控。

19.根据权利要求18所述的方法，其特征在于，所述策略控制网元接收来自第二网元的第一事件标识，包括：

所述策略控制网元接收来自所述第二网元的所述第一事件标识和以下一项或多项：所述第一终端设备访问的业务对应的应用检测信息、所述第一终端设备的标识、安全态势感知模型的标签、所述第一终端设备访问的业务的标识，所述应用检测信息用于确定所述流量管控策略。

20.根据权利要求19所述的方法，其特征在于，所述策略控制网元接收到所述应用检测信息的情况下，所述策略控制网元根据所述第一事件标识向所述会话管理网元发送异常流量管控策略，包括：

所述策略控制网元根据所述第一事件标识，通过所述会话管理网元向所述用户面网元发送所述应用检测信息对应的流量管控规则。

21.根据权利要求18至20中任一项所述的方法，其特征在于，所述第二网元是会话管理网元，所述方法还包括：

所述策略控制网元向所述会话管理网元发送第一终端设备的标识和安全态势感知模型的标签，所述安全态势感知模型的标签用于标识所述安全态势感知模型，所述安全态势感知模型用于确定所述第一终端设备访问的流量是否属于未授权流量。

22.根据权利要求18至21中任一项所述的方法，其特征在于，所述方法还包括：

所述策略控制网元向所述第二网元发送订阅请求信息，所述订阅请求信息包括以下一项或多项：所述第一终端设备的标识，业务标识，安全态势感知模型的标签，所述第一事件标识，或，第二事件标识，所述第二事件标识用于标识未检测到未授权流量，所述安全态势感知模型的标签用于标识所述安全态势感知模型，所述安全态势感知模型用于确定所述第一终端设备访问的流量是否属于未授权流量。

23.一种通信装置，其特征在于，包括用于实现如权利要求1至17中任一项所述的方法的单元。

24.一种通信装置，其特征在于，包括用于实现如权利要求18至22中任一项所述的方法的单元。

25.一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现如权利要求1至17中任一项所述的方法，或者以实现如权利要求18至22中任一项所述的方法。

26.根据权利要求25所述的通信装置，其特征在于，还包括所述存储器。

27.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被执行时，以使得如权利要求1至17中任一项所述的方法被执行，或者以使得如权利要求18至22中任一项所述的方法被执行。

28.一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1至17中任一项所述的方法，或者执行如权利要求18至22中任一项所述的方法。

29.一种系统，其特征在于，所述系统包括第一网元和策略控制网元，所述第一网元用于执行如权利要求1至17中任一项所述的方法，所述策略控制网元用于执行如权利要求18至22中任一项所述的方法。