WO2022174780A1

WO2022174780A1 - DDoS攻击检测的方法和装置

Info

Publication number: WO2022174780A1
Application number: PCT/CN2022/076605
Authority: WO
Inventors: 孙陶然; 胡力; 吴义壮
Original assignee: 华为技术有限公司
Priority date: 2021-02-21
Filing date: 2022-02-17
Publication date: 2022-08-25
Also published as: CN114978559A

Abstract

本申请提供了一种DDoS攻击检测的方法和装置，该方法包括接收DDoS攻击检测请求，该DDoS攻击检测请求用于请求对第一网络设备的DDoS攻击检测，该DDoS攻击检测请求包括第一网络设备的信息和第一网络设备的潜在攻击设备的信息，潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的设备；获取待分析数据，该待分析数据包括第一网络设备与潜在攻击设备之间交互的数据量；根据待分析数据，检测对第一网络设备的DDoS攻击，实现检测网络设备的DDoS攻击的攻击来源，从而适应多种DDoS攻击检测场景，并提高检测DDoS攻击来源的精准度。

Description

DDoS攻击检测的方法和装置

本申请要求于2021年2月21日提交中国专利局、申请号为202110194841.0、申请名称为“DDoS攻击检测的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，更具体地，涉及一种DDoS攻击检测的方法和装置。

背景技术

分布式拒绝服务(Distributed Denial of Service)指利用大量合法的分布式服务器对目标发送请求，从而导致正常用户无法获得服务。具体地，DDoS就是利用处于不同位置的机器(如个人PC、手机、打印机、摄像头等)同时对目标发起大量攻击请求，或者一个攻击者控制位于不同位置的机器并利用这些机器同时对目标服务器拥塞而无法对外提供正常服务。由于攻击的出发点是分布在不同地方，这类攻击称为分布式拒绝服务攻击。

当前主要只能通过分析终端设备的异常行为来检测终端设备对应用功能发起的DDoS攻击的检测，而忽视了终端设备对其他设备发起攻击时的检测，也忽视了其它网元和设备作为DDoS攻击发起者，向其他设备和网元发起攻击的检测。

发明内容

本申请提供一种DDoS攻击检测的方法和装置，以检测所有网络设备的DDoS攻击来源，提高检测DDoS攻击来源的精准度。

第一方面，提供了一种DDoS攻击检测的方法，所述方法包括：接收DDoS攻击检测请求，所述DDoS攻击检测请求用于请求对第一网络设备的DDoS攻击检测，所述DDoS攻击检测请求包括所述第一网络设备的信息和潜在攻击设备的信息，所述潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的设备；获取待分析数据，所述待分析数据包括所述第一网络设备与所述潜在攻击设备之间交互的数据量；

基于上述技术方案，NWDAF可以根据请求设备的DDoS攻击检测请求，收集网络设备与其所有潜在攻击设备之间交互的数据量，从而检测网络设备的DDoS攻击来源，适应更多的DDoS攻击检测场景，并提高检测DDoS攻击来源的准确度。

结合第一方面，在第一方面的某些实现方式中，所述对所述第一网络设备的DDoS攻击的攻击检测结果包括对所述第一网络设备的DDoS攻击的攻击来源。

结合第一方面，在第一方面的某些实现方式中，根据对所述第一网络设备的DDoS攻击的攻击来源的不同，分别收集对于不同攻击来源的不同待分析数据

结合第一方面，在第一方面的某些实现方式中，根据对所述第一网络设备的DDoS攻击的攻击来源的不同和收集的不同攻击来源的待分析数据，分别对不同攻击来源是否存在攻击进行分析。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：发送所述攻击检测结果。

结合第一方面，在第一方面的某些实现方式中，所述第一网络设备为无线接入网RAN设备，所述接收DDoS攻击检测请求，包括：接收来自操作、管理和维护OAM所述DDoS攻击检测请求；所述获取待分析数据，包括：向所述OAM发送数据订阅请求；接收来自所述OAM所述RAN与所述潜在攻击设备之间交互的数据量向所述会话管理网元SMF发送数据订阅请求；接收来自所述SMF的与所述潜在攻击设备关联的会话的数据量。

基于该实现方式，NWDAF可以根据OAM的DDoS攻击检测请求，收集RAN与其所有潜在攻击设备之间交互的数据量，从而检测RAN的DDoS攻击来源，提高检测RAN的DDoS攻击来源的准确度。

结合第一方面，在第一方面的某些实现方式中，在所述接收DDoS攻击检测请求之前，所述方法还包括：接收来自所述OAM的分析日常数据请求，所述分析日常数据请求用于请求对所述RAN的日常数据进行分析；获取所述RAN的日常数据；根据所述RAN的日常数据，为所述RAN训练异常检测模型，所述异常检测模型用于检测所述RAN的数据是否异常。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：根据所述RAN的日常数据，确定数据异常阈值，所述数据异常阈值用于所述OAM或所述RAN确定所述RAN的数据是否异常。

基于该实现方式，NWDAF通过对RAN日常数据的分析得出RAN的数据异常阈值，更准确判断RAN的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第一方面，在第一方面的某些实现方式中，所述获取待分析数据之前，所述方法还包括：接收来自所述OAM的所述RAN的异常数据；根据所述异常数据和所述异常检测模型确定所述RAN是否遭受DDoS攻击；其中，在确定所述RAN遭受DDoS攻击时获取所述待分析数据。

基于该实现方式，NWDAF通过RAN日常数据为RAN训练异常检测模型，结合异常数据在分析DDoS攻击来源前准确判断RAN是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

结合第一方面，在第一方面的某些实现方式中，所述获取待分析数据之前，所述方法还包括：接收所述OAM的所述RAN的异常数据；根据所述异常数据和所述异常检测模型确定所述RAN是否遭受DDoS攻击；其中，在确定所述RAN遭受DDoS攻击时获取所述待分析数据。

结合第一方面，在第一方面的某些实现方式中，所述第一网络设备为移动性管理网元AMF，所述接收DDoS攻击检测请求，包括：接收来自所述AMF的所述DDoS攻击检测请求；所述获取待分析数据，包括：接收来自所述AMF的所述待分析数据。

基于该实现方式，NWDAF可以根据AMF的DDoS攻击检测请求，收集自身与其所有潜在攻击设备之间交互的数据量，从而检测AMF的DDoS攻击来源，提高检测AMF的DDoS攻击来源的准确度。

结合第一方面，在第一方面的某些实现方式中，在所述接收DDoS攻击检测请求之前，所述方法还包括：接收来自所述AMF的分析日常数据请求，所述分析日常数据请求用于请求对所述AMF的日常数据进行分析；获取所述AMF的日常数据；根据所述AMF的日常数据，为所述AMF训练异常检测模型，所述异常检测模型用于检测所述AMF的数据是否异常。

基于该实现方式，NWDAF通过对AMF日常数据的分析得出AMF的数据异常阈值，更准确判断AMF的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：根据所述AMF的日常数据，确定数据异常阈值，所述数据异常阈值用于所述AMF确定所述AMF的数据是否异常。

结合第一方面，在第一方面的某些实现方式中，所述获取待分析数据之前，所述方法还包括：接收来自所述AMF的所述AMF的异常数据；根据所述异常数据和所述异常检测模型确定所述AMF是否遭受DDoS攻击；其中，在确定所述AMF遭受DDoS攻击时获取所述待分析数据。

基于该实现方式，NWDAF通过AMF日常数据为AMF训练异常检测模型，结合异常数据在分析DDoS攻击来源前准确判断AMF是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

结合第一方面，在第一方面的某些实现方式中，所述第一网络设备为用户面网元UPF，所述接收DDoS攻击检测请求，包括：接收来自SMF的所述DDoS攻击检测请求；所述获取待分析数据，包括：向所述SMF发送数据订阅请求，；接收来自所述SMF的与所述潜在攻击对象之间与会话关联的数据量以及潜在攻击对象之间与会话参数关联的数据量。

基于该实现方式，NWDAF可以根据SMF的DDoS攻击检测请求，收集UPF与其所有潜在攻击设备之间交互的数据量，从而检测UPF的DDoS攻击来源，提高检测UPF的DDoS攻击来源的准确度。

结合第一方面，在第一方面的某些实现方式中，在所述接收DDoS攻击检测请求之前，所述方法还包括：接收所述SMF的分析日常数据请求，所述分析日常数据请求用于请求对所述UPF的日常数据进行分析；获取所述UPF的日常数据；根据所述UPF的日常数据，为所述UPF训练异常检测模型，所述异常检测模型用于检测所述UPF的数据是否异常。

基于该实现方式，NWDAF通过对UPF日常数据的分析得出UPF的数据异常阈值，更准确判断UPF的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：根据所述UPF的日常数据，确定数据异常阈值，所述数据异常阈值用于所述UPF确定所述UPF的数据是否异常。

结合第一方面，在第一方面的某些实现方式中，所述获取待分析数据之前，所述方法还包括：接收来自所述SMF所述UPF的所述UPF的异常数据；根据所述异常数据和所述异常检测模型确定所述UPF是否遭受DDoS攻击；其中，在确定所述UPF遭受DDoS攻击时获取所述待分析数据。

基于该实现方式，NWDAF通过UPF日常数据为UPF训练异常检测模型，结合异常数据在分析DDoS攻击来源前准确判断UPF是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

结合第一方面，在第一方面的某些实现方式中，所述DDoS攻击检测请求用于请求对所述第一网络设备的集合的DDoS攻击检测，所述接收DDoS攻击检测请求，包括：接收来自OAM所述第一网络设备的集合的所述DDoS攻击检测请求；所述获取待分析数据，包括：接收所述第一网络设备的集合中的每一个所述网络设备的所述待分析数据。

基于该实现方式，NWDAF可以根据第一网络设备的集合中的每一个网络设备的的其所有潜在攻击设备之间交互的数据量，从而检测第一网络设备的集合的DDoS攻击来源，提高检测第一网络设备的集合的DDoS攻击来源的准确度。

结合第一方面，在第一方面的某些实现方式中，在所述接收DDoS攻击检测请求之前，所述方法还包括：接收所述OAM的分析日常数据请求，所述分析日常数据请求用于请求对所述第一网络设备集合的日常数据进行分析；获取所述第一网络设备的集合的日常数据；根据所述第一网络设备的集合的日常数据，为所述第一网络设备的集合训练异常检测模型，所述异常检测模型用于检测所述第一网络设备的集合的数据是否异常。

基于该实现方式，NWDAF通过对第一网络设备的集合的日常数据的分析得出第一网络设备的集合的数据异常阈值，更准确判断第一网络设备的集合的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：据所述第一网络设备的集合的日常数据，确定数据异常阈值，所述数据异常阈值用于第一网络设备的集合确定所述第一网络设备的集合的数据是否异常。

结合第一方面，在第一方面的某些实现方式中，所述获取待分析数据之前，所述方法还包括：接收所述OAM的第一网络设备的集合的异常数据；根据所述异常数据和所述异常检测模型确定第一网络设备的集合是否遭受DDoS攻击；其中，在确定第一网络设备的集合遭受DDoS攻击时获取所述待分析数据。

基于该实现方式，NWDAF通过第一网络设备的集合的日常数据为第一网络设备的集合训练异常检测模型，结合异常数据在分析DDoS攻击来源前准确判断第一网络设备的集合是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

第二方面，提供了一种DDoS攻击检测的方法，所述方法包括：向NWDAF发送DDoS攻击检测请求，所述DDoS攻击检测请求用于请求对所述第一网络设备的DDoS攻击检测，所述DDoS攻击检测请求包括所述第一网络设备的信息和所述第一网络设备的潜在攻击设备的信息，所述潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的网元；接收所述NWDAF的获取待分析数据请求；根据所述请求收集所述待分析数据；向所述NWDAF发送所述待分析数据，所述待分析数据包括所述第一网络设备与所述潜在攻击设备之间交互的数据量，所述待分析数据用于检测对所述第一网络设备的DDoS攻击。

结合第二方面，在第二方面的某些实现方式中，所述对所述第一网络设备的DDoS攻击的攻击检测结果包括对所述第一网络设备的DDoS攻击的攻击来源。

结合第二方面，在第二方面的某些实现方式中，所述第一网络设备为RAN，所述方法由OAM执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：确定所述RAN的数据异常。

结合第二方面，在第二方面的某些实现方式中，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：向所述NWDAF发送分析日常数据的请求，所述分析日常数据请求用于请求所述NWDAF分析所述RAN的日常数据；向所述NWDAF发送所述RAN的日常数据，所述RAN的日常数据用于所述NWDAF为所述RAN训练异常检测模型，所述异常检测模型用于检测所述RAN的数据是否异常。

结合第二方面，在第二方面的某些实现方式中，在所述确定所述RAN的数据异常之前，所述方法还包括：接收所述NWDAF的数据异常阈值；所述确定所述RAN的数据异常包括：根据所述数据异常阈值确定所述RAN的数据是否异常。

基于该实现方式，NWDAF通过对RAN日常数据分析得出RAN的数据异常阈值，更准确判断RAN的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第二方面，在第二方面的某些实现方式中，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：在所述RAN的数据异常时向所述NWDAF发送所述RAN的异常数据，所述异常数据用于所述NWDAF确定所述RAN是否遭受DDoS攻击。

基于该实现方式，NWDAF通过结合异常数据和异常数据检测模型在分析DDoS攻击来源前准确判断RAN是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

结合第二方面，在第二方面的某些实现方式中，所述第一网络设备为AMF，所述方法由AMF执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：确定所述AMF的数据异常。

结合第二方面，在第二方面的某些实现方式中，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：向所述NWDAF发送所述AMF的日常数据，所述AMF的日常数据用于所述NWDAF为所述AMF训练异常检测模型，所述异常检测模型用于检测所述AMF的数据是否异常。

结合第二方面，在第二方面的某些实现方式中，在所述确定所述AMF的数据异常之前，所述方法还包括：接收所述NWDAF的数据异常阈值；所述确定所述AMF的数据异常包括：根据所述数据异常阈值确定所述AMF的数据是否异常。

基于该实现方式，NWDAF通过对AMF日常数据分析得出AMF的数据异常阈值，更准确判断AMF的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第二方面，在第二方面的某些实现方式中，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：在所述AMF的数据异常时向所述NWDAF发送所述AMF的异常数据，所述异常数据用于所述NWDAF确定所述AMF是否遭受DDoS攻击。

基于该实现方式，NWDAF通过结合异常数据和异常数据检测模型在分析DDoS攻击来源前准确判断AMF是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

结合第二方面，在第二方面的某些实现方式中，所述第一网络设备为UPF，所述方法由SMF执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：确定所述UPF的数据异常。

结合第二方面，在第二方面的某些实现方式中，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：向所述NWDAF发送所述UPF的日常数据，所述UPF的日常数据用于所述NWDAF为所述UPF训练异常检测模型，所述异常检测模型用于检测所述UPF的数据是否异常。

结合第二方面，在第二方面的某些实现方式中，在所述确定所述UPF的数据异常之前，所述方法还包括：接收所述NWDAF的数据异常阈值；向所述UPF发送所述数据异常阈值，所述数据异常阈值用于UPF确定所述UPF的数据是否异常；所述确定所述UPF的数据异常包括：根据所述UPF是否向所述SMF发送的数据异常信息确定所述UPF的数据是否异常。

基于该实现方式，NWDAF通过对UPF日常数据分析得出UPF的数据异常阈值，更准确判断UPF的数据是否发生异常，以便及时向NWDAF请求DDoS攻击检测，从而解决该异常。

结合第二方面，在第二方面的某些实现方式中，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：在所述UPF的数据异常时向所述NWDAF发送所述UPF的异常数据，所述异常数据用于所述NWDAF确定所述UPF是否遭受DDoS攻击。

基于该实现方式，NWDAF通过结合异常数据和训练异常检测模型在分析DDoS攻击来源前准确判断UPF是否遭受DDoS攻击，避免引起DDoS攻击检测请求的误触发。

第三方面，提供了一种提供了一种DDoS攻击检测的装置，所述装置用于执行上述第一方面和第二方面提供以及第一方面和第二方面的任一可能的实现方式中的方法。具体地，所述装置可以包括用于执行第一方面和第二方面提供的方法的模块。

第四方面，提供一种DDoS攻击检测的装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面和第二方面中任一种可能实现方式中的方法。可选地，该装置还包括存储器。可选地，该装置还包括通信接口，处理器与通信接口耦合，所述通信接口用于输入和/或输出信息。所述信息包括指令和数据中的至少一项。

在一种实现方式中，该装置为网络设备，如会话管理网元或者接入网设备。当该装置为设备时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该装置为芯片或芯片系统。当该装置为芯片或芯片系统时，所述通信接口可以是输入/输出接口可以是该芯片或芯片系统上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

可选地，所述收发器可以为收发电路。可选地，所述输入/输出接口可以为输入/输出电路。

第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被装置执行时，使得所述装置实现第一方面和第二方面以及第一方面和第二方面的任一可能的实现方式中的方法。

第六方面，提供一种包含指令的计算机程序产品，所述指令被计算机执行时使得装置实现第一方面和第二方面提供的方法。

附图说明

图1是适用于本申请实施例的网络结构的示意图。

图2(a)和图2(b)适用于本申请实施例的两种向NWDAF发送请求分析的请求方式的示意图。

图3(a)和图3(b)适用于本申请实施例的NWDAF的两种收集数据方式的示意图。

图4是根据本申请实施例提出的DDoS攻击检测方法的示意图。

图5示出了适用于本申请一实施例的DDoS攻击检测方法的一示意图。

图6示出了适用于本申请一实施例的DDoS攻击检测方法的又一示意图。

图7示出了适用于本申请一实施例的DDoS攻击检测方法的又一示意图。

图8示出了适用于本申请一实施例的DDoS攻击检测方法的又一示意图。

图9示出了适用于本申请一实施例的DDoS攻击检测方法的再一示意图。

图10示出了适用于本申请一实施例的DDoS攻击检测方法的再一示意图。

图11是本申请实施例提供的DDoS攻击检测的装置的示意性框图。

图12是本申请实施例提供的DDoS攻击检测的设备的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

为便于理解本申请实施例，首先结合图1详细说明适用于本申请实施例的网络架构。

图1是适用于本申请实施例提供的方法的网络架构的示意图。如图1所示，该网络架构例如是第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)定义的5G系统(the 5h generation system，5GS)。该网络架构可以分为接入网(access network，AN)和核心网(core network，CN)两部分。其中，接入网可用于实现无线接入有关的功能，接入网可以包含3GPP接入网(或者说3GPP接入技术)和非第三代合作伙伴计划(non-3GPP)接入网(或者说non-3GPP接入技术)。核心网主要包括以下几个关键逻辑网元：接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、策略控制功能(policy control function，PCF)网元和统一数据管理(unified data management，UDM)网元等。

下面对图1中示出的各网元做简单介绍：

1、用户设备(user equipment，UE)：可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。

终端设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例可以为：手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobile internet device，MID)、虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等。

此外，终端设备还可以是物联网(Internet of things，IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。IoT技术可以通过例如窄带(narrow band)NB技术，做到海量连接，深度覆盖，终端省电。

此外，终端设备还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。

应理解，终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。

2、接入网(access network，AN)：接入网可以为特定区域的授权用户提供入网功能，包含无线接入网(radio access network，RAN)设备和AN设备。RAN设备主要是3GPP网络无线网络设备，AN设备可以是non-3GPP定义的接入网设备。

接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：3GPP接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非3GPP(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，例如，5G系统中的接入网设备称为下一代基站节点(next generation Node Base station，gNB)或者RAN。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以无线保真(wireless fidelity，WiFi)中的接入点(access point，AP)为代表的空口技术、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等。接入网设备(AN设备)可以允许终端设备和3GPP核心网之间采用非3GPP技术互连互通。

基于无线通信技术实现接入网络功能的接入网可以称为RAN。无线接入网能够负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。无线接入网为终端设备提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网例如可以包括但不限于：宏基站、微基站(也称为小站)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，WiFi系统中的AP、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G(如，NR)系统中的gNB或传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)，或者下一代通信6G系统中的基站等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

接入网可以为小区提供服务。终端设备可以通过接入网设备分配的传输资源(例如，频域资源，或者说，频谱资源)与小区通信。

3、AMF网元：主要用于移动性管理和接入管理等，如用户位置更新、用户注册网络、用户切换等。AMF还可用于实现移动性管理实体(mobility management entity，MME)中除会话管理之外的其它功能。例如，合法监听、或接入授权(或鉴权)等功能。

4、SMF网元：主要用于会话管理、UE的网际协议(Internet Protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，SMF主要用户负责移动网络中的会话管理，如会话建立、修改、释放等。具体功能例如可以包括为终端设备分配IP地址、选择提供报文转发功能的UPF等。

5、UPF网元：负责终端设备中用户数据的转发和接收。UPF网元可以从数据网络(data network，DN)接收用户数据，通过接入网设备传输给终端设备。UPF网元还可以通过接入网设备从终端设备接收用户数据，转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

6、数据网络(DN)：用于为用户提供数据服务的服务网络。例如，因特网(Internet)、第三方的业务网络、IP多媒体服务业务(IP multi-media service，IMS)网络等。

7、认证服务网元(authentication server function，AUSF)：主要用于用户鉴权等。

8、网络开放功能(network exposure function，NEF)网元：主要用于支持能力和事件的开放，如用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

9、网络存储网元((network function(NF)repository function，NRF)：用于保存网络功能实体以及其提供服务的描述信息，以及支持服务发现，网元实体发现等。

10、PCF网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息，负责获取与策略决策相关的用户签约信息等。

11、UDM网元：用于生成认证信任状，用户标识处理(如存储和管理用户永久身份等)，接入授权控制和签约数据管理等。

12、应用功能(application function，AF)网元：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策、与策略控制功能(PCF)交互、或者向网络侧提供第三方等。

13、网络切片认证和授权网元(network slice specific authentication and authorization function，NSSAAF)。

在图1所示的网络架构中，各网元之间可以通过图中所示的接口通信，部分接口可以采用服务化接口的方式实现。如图所示，UE和AMF之间可以通过N1接口进行交互，交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互，N2接口可以用于非接入层(non-access stratum，NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互，N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互，N4接口可以用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互，N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示，为了简洁，这里不一一详述。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network slice selection function，NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

为便于理解本申请实施例，首先对本申请中涉及到的术语做简单说明。

1、协议数据单元(protocol data unit，PDU)会话(PDU session)

5G核心网(5G corenet，5GC)支持PDU连接业务。PDU连接业务可以是指终端设备与DN之间交换PDU数据包的业务。PDU连接业务通过终端设备发起PDU会话的建立来实现。一个PDU会话建立后，也就是建立了一条终端设备和DN的数据传输通道。换句话说，PDU会话是UE级别的。每个终端设备可以建立一个或多个PDU会话。终端设备可以通过终端设备到DN之间建立的PDU会话，来访问DN。

2、网络数据分析功能(network data analytics function，NWDAF)

NWDAF是3GPP拟将人工智能(artificial intelligent，AI)引入5G网络，新增的一个网络功能(network function，NF)。NWDAF是一个数据感知分析网元，它以网络数据为基础对网络进行自动感知的分析，并参与到网络规划、建设、运维、网络优化、运营全生命周期中，使得网络已于维护和控制，提高网络资源使用效率，提高用户体验。具体来说，NWDAF可以从特定的网络功能(network function，NF)、网管系统(Operation Administration and Maintenance，OAM)和AF(Application Function，AF)收集特定的数据，并对该特定的数据进行智能分析得出分析结果，然后把分析结果按需发送给特定的NF、AF、OAM等。

请求NWDAF服务的消费者(NWDAF Service Consumer)可以向NWDAF请求分析，也可以向NWDAF订阅分析。

其中，请求分析是指NWDAF根据NWDAF Service Consumer在请求分析时携带的参数，向不同NF、AF和OAM收集不同时间段的数据并分析，最后将分析结果报告给NWDAF Service Consumer。订阅分析是指NWDAF根据NWDAF Service Consumer在订阅分析时携带的参数，每隔一段时间或在某个时间向不同NF、AF和OAM收集数据并分析，然后根据分析服务参数，在规定时间将分析结果报告给NWDAF Service Consumer或其他网元。

具体的，请求分析过程可分为以下两步，如图2(a)所示。

201A，NWDAF服务请求者(Service Consumer)向NWDAF发送请求分析请求。

具体地，NWDAF Service Consumer向NWDAF发送Nnwdaf_AnalyticsInfo_Request消息，向NWDAF请求分析，分析请求中包含参数如下所示。

Analytics ID(s)：用于定义分析请求的分析类型。比如网络切片分析，NF负载分析等。

时间戳：标识统计该数据的时间段。

Analytics Filter Information：指示需要报告的分析信息。比如NF标识等，用于缩小分析数据范围。

Target of Analytics Reporting：指示了分析的目标，比如一个用户设备(User Equipment，UE)、任意UE。

Analytics Reporting Information：返回的分析报告中包括的信息。具体信息如下所列。

Analytics target period：时间间隔，可以是过去时间，也可以是未来时间。过去的分析目标时间是统计信息的请求或订阅，未来的分析目标期间是预测的请求或订阅。当Analytics Reporting Parameters指示周期性报告模式时，时间间隔也可以表示为报告时间的正或负偏移，分别指示预测或统计信息的订阅。通过将开始时间和结束时间设置为相同的值，分析的使用者可以请求分析或订阅特定时间的分析，而不是一个时间间隔的分析。

Preferred level of accuracy of the analytics：指示希望的分析精确度。

Time when analytics information is needed：分析请求服务。指示分析报告的需要时间。如果到时间后，还没完成报告，会返回错误信息。

可选地，该Analytics Reporting Information参数还包括最大请求数和或请求最大用户永久标识(subscription permanent identifier，SUPI)数。

202A，NWDAF向NWDAF Service Consumer返回请求分析结果。

具体地，NWDAF通过向NWDAF Service Consumer发送Nnwdaf_AnalyticsInfo_-Request Response将分析结果报告给NWDAF Service Consumer。

订阅分析是指NWDAF Service Consumer向NWDAF订阅分析时，NWDAF可以根据分析类型和分析周期，每隔一段时间或在某个时间向不同NF和/或AF和/或OAM收集数据并分析，然后根据分析服务参数，在规定时间内将分析结果报告给NWDAF Service Consumer。具体地，该过程可分为以下两步，如图2(b)所示。

201B，NWDAF Service Consumer向NWDAF发送订阅分析请求。

具体地，NWDAF Service Consumer向NWDAF发送Nnwdaf_AnalyticsSubscrip-tion_Subscribe消息，订阅请求中除了包含与上述请求分析请求中相同的参数，还包括以下参数。

Analytics Reporting Parameters：基本报告参数，包括报告模式，最大报告数，报告持续时间，立即报告标志等。

Reporting Thresholds：返回分析结果的阈值，即达到阈值之后NWDAF会返回报告，匹配方向可以是小于阈值、大于阈值或与阈值相交，默认为与阈值相交。

Notification Target Address：指示分析结果的通知地址。

202B，NWDAF向NWDAF Service Consumer发送订阅数据结果。

具体地，NWDAF向NWDAF Service Consumer发送Nnwdaf_AnalyticsSubscription_-Notify消息，通知NWDAF Service Consumer分析结果。

NWDAF可以根据分析请求中的参数，向NF、OAM和AF收集数据。其中，NWDAF 向NF收集数据的过程如下，如图3(a)所示。

301A，NWDAF向NF发送订阅数据请求。

具体地，NWDAF向NF发送Nnf_EventExposure_Subscribe消息，向NF订阅数据，订阅消息中包含以下参数。

Event ID：指示订阅事件类型，比如UE Reachability、UE access and Mobility等

Target of Event Reporting：订阅目标，指示收集具体UE或PDU session为粒度收集数据。

Event Filter Information：事件过滤信息，比如兴趣范围(area of interest)、单网络切片选择支撑信息(single network slice selection assistance information，S-NSSAI)等，指定收集Target of Event Reporting中的哪些数据。

Event Reporting Information：事件报告信息，具体包括以下参数。

Event reporting mode：报告模式，例如最多报告数量、报告周期和定期报告、最多报告期限。

Maximum number of reports：指示事件订阅停止的最大报告数。

Maximum duration of reporting：指示事件订阅停止的最大时长。

Immediate reporting flag：事件提供者NF将订阅事件的当前状态立即通知消费者NF的标志。

Sampling ratio：受影响用户中采样比例，范围为1％..100％。

Group Reporting Guard Time：基于组的监控配置参数，表示组内UE相关的监控事件上报在发送给消费NF之前可以聚合的时间。

A Notification Target Address：订阅通知地址，指示订阅报告的通知地址。

An Expiry time：订阅超时事件，表示订阅者希望订阅保持为活动状态的时间。

302A，NF向NWDAF发送订阅数据结果。

具体地，NF向NWDAF发送Nnf_EventExposure_Notify消息，返回订阅数据。NF会根据订阅参数，每隔一段时间或收集一定数量的数据后，将数据报告给NWDAF。

NWDAF向OAM收集数据的流程如下，如图3(b)所示：

301B：NWDAF向OAM发送订阅数据请求。

302B：OAM通知NWDAF订阅成功。

303B：OAM准备数据。

304B：OAM通知NWDAF数据准备完毕，NWDAF通过文件传输协议(File Transfer Protocol，FTP)获得数据。

下面将结合附图详细介绍本申请提供的各实施例。

图4示出了适应于本申请一实施例的方法400的示意性交互图。以下结合各步骤，对方法100进行详细介绍。

401，NWDAF接收来自请求设备发送的DDoS攻击检测请求，该DDoS攻击检测请求用于请求NWDAF对第一网络设备的DDoS攻击检测。该DDoS攻击检测请求包括所述第一网络设备的信息和所述第一网络设备的潜在攻击设备的信息，所述潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的设备。

可选地，所述第一网络设备为除了NWDAF以外的设备，比如RAN，AMF，UPF或其他控制面网元。请求设备可以为第一网络设备，也可以是检测第一网络设备数据并连接第一网络设备与NWDAF的设备。比如，第一网络设备为RAN时，请求网元为OAM。又如，第一网络设备是AMF，请求设备为AMF。

应理解，该DDoS攻击检测请求可以为分析请求也可以为订阅请求。分析请求和订阅请求的具体过程如上文所述，为简洁，此处不一一赘述。

可选地，NWDAF接收来自请求设备发送的DDoS攻击检测请求之前，接收分析日常数据请求，所述分析日常数据请求用于请求对第一网络设备的日常数据进行分析。具体地，NWDAF获取该第一网络设备的日常数据，然后根据该日常数据，为第一网络设备训练异常检测模型，该异常检测模型用于检测第一设备的数据是否异常。

402，NWDAF获取待分析数据，该所述待分析数据包括所述第一网络设备与所述潜在攻击设备之间交互的数据量。

具体地，NWDAF根据第一网络设备的不同，向不同设备获取不同的待分析数据。

示例性的，当第一网络设备为RAN时，潜在攻击设备为UE、AMF、UPF。待分析包括除了RAN分别与UE、AMF、UPF之间交互的数据量，还包括与UE关联的会话的数据以及潜在攻击设备的标识信息，通过该交互的数据量和潜在攻击设备的标识信息判断RAN的DDoS攻击的攻击来源。

403，NWDAF根据所述待分析数据，检测对所述第一网络设备的DDoS攻击。

具体地，NWDAF针对不同的第一网络设备，根据收集的不同待分析数据，检测对该第一网络设备的DDoS攻击。

可选地，该方法还包括NWDAF发送攻击检测结果。具体实现中，若请求设备指定了攻击检测结果的通知对象，则NWDAF向该通知对象发送攻击检测结果，若未指出，则NWDAF将该攻击检测结果返回给请求设备。

下面将通过方法500-1000对方法400进行详细介绍。

图5示出了适用于本申请一实施例的方法500的示意性交互图。方法500主要介绍了上文所述的第一网络设备为RAN时，对RAN进行DDoS攻击检测的方案。

方法500包括以下步骤。

501，OAM确定RAN数据发生异常。

具体地，RAN每隔一段时间将自身数据主动上报给OAM，OAM通过预设阈值和RAN上报的数据确定RAN数据发生异常。

502，OAM向NWDAF发送DDoS攻击检测请求。

由于RAN与NWDAF间没有直接相连的接口，由OAM监测RAN的数据是否发生异常，在发生异常的情况下向NWDAF发送DDoS攻击检测消息，请求NWDAF对RAN进行DDoS攻击检测。

具体地，OAM通过向NWDAF发送包括参数：Analytics ID＝DDoS Attack；Target of Analytics Reporting＝any UE，any UPF and any AMF；Analytics Filter Information＝一个或多个Global RAN node ID的请求分析消息Nnwdaf_AnalyticsInfo_Request或订阅分析消息Nnwdaf_AnalyticsSubsciption_Subscribe，向NWDAF请求对RAN的DDoS攻击检测。其中，参数Target of Analytics Reporting指明若RAN受到DDoS攻击时可能的攻击来源，即潜在攻击设备。

作为一种可选的实施方式，执行步骤502之前，即在OAM向NWDAF发送DDoS攻击检测请求之前，OAM向NWDAF发送RAN的分析日常数据请求，NWDAF通过分析RAN日常数据向OAM发送分析结果，OAM通过分析结果确定RAN的数据是否发生异常。具体过程如下601-613。下面将结合图6对NWDAF分析RAN日常数据过程予以介绍。

601，OAM向NWDAF发送分析RAN的日常数据请求。

其中，OAM向NWDAF发送分析RAN的日常数据请求，该分析请求用于向NWDAF请求分析RAN的日常数据。具体地，OAM向NWDAF发送Nnwdaf_AnalyticsSubscription_Subscribe消息，该消息中包括参数：Analytics ID＝RAN Performance；Target of Analytics Reporting＝Global RAN node ID，通过参数指示NWDAF该分析请求以RAN为粒度，分析RAN的日常数据。

应理解，OAM向NWDAF发送分析RAN的日常数据请求以订阅分析的方式发送。

602，NWDAF向OAM订阅RAN的日常数据。

具体地，NWDAF根据分析请求向OAM订阅RAN的日常数据。其中，订阅的日常数据如下所示。

Global RAN Node ID：RAN的标识，用于确定数据收集的对象。

时间戳：标识统计该数据的时间段。

RAN收到来自UE的无线资源控制(radio resource control，RRC)消息的数量：在时间戳所示时间内，一个RAN收到的所有RRC消息的数量，包括RRC请求(request)消息和RRC响应(response)消息。如果UE通过RRC消息攻击RAN，来自UE的RRC消息数量会大幅增加。

数据的下行速率：对于每个RAN，数据从UPF到RAN的下行速率。如果UPF通过数据包攻击RAN，数据的下行速度会大幅度降低。

数据的上行速率：对于每个RAN，数据从UE到RAN的上行速率。如果UE通过数据包攻击RAN，数据的上行速度回大幅下降。

RAN收到来自AMF的消息数量：在时间戳所示时间内，一个RAN收到的所有来自AMF的消息数量。如果AMF通过控制面信令攻击RAN，来自AMF的消息数量会大幅增加。

RAN收到来自UE的NAS消息数量：在时间戳所示时间内，一个RAN收到的所有来自UE的非接入层(Non-Access Stratum，NAS)消息数量。如果UE通过NAS消息攻击RAN，RAN收到的NAS消息数量会大幅增加。

应理解，上述订阅的日常数据包括并不限于以上列出的数据，在以后的技术更替中，还可能出现其他的数据参数。

603，OAM向RAN订阅RAN的日常数据。

具体地，OAM基于NWDAF订阅RAN的日常数据，向RAN订阅该日常数据。

604，RAN向OAM上报RAN的日常数据。

具体地，RAN基于OAM的订阅，统计RAN的日常数据并向OAM上报。

605，OAM向NWDAF上报RAN的日常数据。

具体地，OAM向NWDAF上报RAN上报的日常数据。

606，NWDAF为RAN训练异常检测模型。

具体地，NWDAF根据来自OAM的数据，为RAN训练异常检测模型，该异常检测模型用于检测RAN的异常数据，并根据该数据计算数据发生异常的阈值，即数据异常阈值，用于当OAM或RAN统计的数据达到此阈值时，认定数据异常。

可选地，该异常检测模型可以为机器学习模型，同样用于检测RAN的异常数据，本申请对此模型名称不做限定。

607，NWDAF向OAM发送分析结果。

具体地，NWDAF将分析结果返回给OAM，分析结果包括数据异常阈值。OAM收到该分析结果后，保存该分析结果并监控RAN的数据，基于该数据异常阈值判断RAN的数据是否发生异常。

可选地，执行步骤608，OAM向RAN发送分析结果。

具体地，OAM收到分析结果后，将分析结果发送给RAN，让RAN监控自身的数据，并基于该数据异常阈值判断数据是否发生异常。

609，RAN向OAM上报RAN的日常数据。

具体地，RAN根据OAM的订阅，每隔一段时间统计数据并向OAM上报，上报不同时间段的相同类型的数据。

610，OAM向NWDAF上报RAN的日常数据。

具体地，OAM根据NWDAF的订阅，向NWDAF上报RAN的日常数据。

611，NWDAF为RAN更新异常检测模型。

具体地，NWDAF根据更新的日常数据更新异常检测模型和数据异常阈值。

612，NWDAF向OAM发送更新的分析结果。

具体地，NWDAF将更新的分析结果通知OAM，更新的分析结果包括更新的数据异常阈值。

可选地，OAM收到更新的分析结果后，执行步骤613。

613，OAM将该更新的分析结果发送给RAN让RAN监控数据并基于分析结果判断数据是否发生异常。在RAN确定数据异常的情况下，向OAM报告数据异常信息，并上报异常数据。OAM也会立即向NWDAF上报异常数据。

作为触发OAM向NWDAF发送DDoS攻击检测请求的另一种实现方式，可通过步骤503-505实现。

503，RAN确定自身数据发生异常。

具体地，RAN根据预设阈值确定自身数据发生异常。

可选的，RAN基于数据异常阈值确定自身数据发生异常。

504，RAN向OAM发送数据异常信息。

具体地，该数据异常信息包括异常数据。

505，OAM向NWDAF发送DDoS攻击检测请求。

具体地，OAM收到数据异常信息后立即向NWDAF发送DDoS攻击检测请求。

可选地，OAM向NWDAF发送DDoS攻击检测请求后，立即向NWDAF上报异常数据C或NWDAF发送DDoS攻击检测请求的同时向NWDAF上报异常数据。NWDAF根据该异常数据与RAN的异常检测模型判断RAN是否遭受DDoS攻击。

可选地，OAM向NWDAF发送DDoS攻击检测请求后，执行506-507，

506，OAM向NWDAF上报异常数据。

可选地，OAM向NWDAF发送DDoS攻击检测请求后，OAM向NWDAF立即上报自身收集的异常数据。可选地，NWDAF发送DDoS攻击检测请求的同时向NWDAF上报异常数据。

507，NWDAF根据异常数据和异常检测模型分析RAN是否遭受DDoS攻击。

508，NWDAF向OAM获取待分析数据。

具体地，NWDAF向OAM发送数据订阅请求，向OAM订阅待分析数据。该待分析数据包括RAN与其潜在攻击设备之间交互的数据量和潜在攻击来源的标识信息。NWDAF会针对不同的攻击来源收集不同的待分析数据，对于RAN的DDoS攻击，攻击来源可能来自用户面也可能来自控制面，用户面的攻击来源可以分为UE和UPF，控制面的攻击来源可以分为UE和AMF。

针对来自控制面UE的攻击，订阅的的待分析数据如下所示。

SUPI：UE的永久用户标识，用于标识发起攻击的UE。

时间戳：标识统计该数据的时间段。

收到每个UE发送的RRCSetupRequest数量：来自每个UE的RRCSetupRequest消息的数量，RRCSetupRequest用于建立UE和RAN之间的RRC连接，当UE不处于连接态时，可以使用此消息建立连接，与UE状态对比，判断UE是否发送了恶意消息。同时UE也可能通过发送大量RRCSetupRequest消息对RAN进行DDoS攻击。

收到每个UE发送的RRCResumeRequest数量：来自每个UE的RRCResumeRequest消息的数量，RRCResumeRequest用于恢复UE和RAN之间的RRC连接，当UE处于RRC inactive状态时，可以使用此消息恢复连接，与UE状态对比，判断UE是否发送了恶意消息。同时UE也可能通过发送大量RRCResumeRequest消息对RAN进行DDoS攻击。

收到每个UE发送的RRCReestablishRequest数量：来自每个UE的RRCReestablishRequest消息的数量，RRCReestablishRequest用于重新建立UE和RAN之间的RRC连接，当UE处于RRC connected状态时，UE的上下文发生了变化，导致RRC连接断开，可以使用此消息重新建立连接，与UE状态对比，判断UE是否发送了恶意消息。同时UE也可能通过发送大量RRCReestablishRequest消息对RAN进行DDoS攻击。

UE状态：UE的RRC状态，比如RRC connected或RRC inactive状态，与UE发送的RRC请求对比，判断UE是否发送了恶意消息。

收到每个UE发送的RRC响应数量：每个UE向RAN发送的RRC响应数量，与RAN向每个UE发送的RRC请求数量对比，可以判断UE是否发送了恶意响应消息。同时UE也可能通过发送大量RRC响应消息对RAN进行DDoS攻击。

向每个UE发送的RRC请求数量：RAN向每个UE发送的RRC请求数量，与每个UE向RAN发送的RRC响应数量对比，可以判断UE是否发送了恶意响应消息。

收到每个UE发送的NAS消息数量：每个UE向RAN发送的NAS消息数量，UE可能通过发送大量的NAS消息对RAN进行DDoS攻击。当DDoS攻击发生时，此数值可能会显著增加。

针对来自控制面AMF的攻击，订阅的的待分析数据如下所示。

AMF标识：用于标识发起攻击的AMF，此标识可以是AMF instance ID，也可以是5G-GUTI中的AMF identifier。

时间戳：标识统计该数据的时间段。

收到每个AMF发送的请求数量：每个AMF向RAN发送的请求消息数量，AMF可能会通过向RAN发送大量请求消息进行DDoS攻击，当攻击发起时，此数值可能会大幅度增加。

RAN向每个AMF发送的请求数量：与AMF发送的响应数量作对比，判断AMF是否发送了恶意消息。

收到每个AMF发送的响应数量：每个AMF向RAN发送的响应消息数量，AMF可能会通过向RAN发送大量响应消息进行DDoS攻击，当攻击发起时，此数值可能会大幅度增加。同时也可以和RAN向每个AMF发送的请求数量作对比，判断AMF是否发送了恶意消息。

每个RAN服务的UE数量：服务UE数量与AMF向RAN发送的请求数量呈一定的线性关系，当服务UE数量很少，但AMF向RAN发送的请求数量很多，AMF就可能存在异常。

针对来自用户面UE的攻击，订阅的的待分析数据如下所示。

SUPI：UE的永久用户标识，用于标识发起攻击的UE。

时间戳：标识统计该数据的时间段。

PDU Session ID：PDU会话标识，用于标识UE发起攻击使用的PDU会话。

每个PDU会话的上行数据流量：对于每个PDU会话，如果UE通过此PDU会话攻击RAN，那么此PDU会话的上行数据速率会很高。与从SMF收集的此类PDU会话平均上行速率作对比，判断此PDU会话上行数据是否异常。

针对来自用户面UPF的攻击，订阅的的待分析数据如下所示。

PDU Session ID：PDU会话标识，用于标识UPF发起攻击使用的PDU会话。

时间戳：标识统计该数据的时间段。

每个PDU会话的下行数据流量：对于每个PDU会话，如果UPF通过此PDU会话攻击RAN，那么此PDU会话的下行数据速率会很高。与从SMF收集的此类PDU会话平均下行速率作对比，判断此PDU会话下行数据是否异常。

509，OAM向RAN获取待分析数据。

具体地，OAM基于NWDAF对待分析数据的订阅，向RAN订阅该待分析数据。

510，RAN向OAM上报待分析数据。

具体地，RAN基于OAM的订阅，向OAM上报该待分析数据

511，OAM向NWDAF上报待分析数据。

具体地，OAM基于NAWDAF的订阅，向NWDAF上报该待分析数据。

512，NWDAF向SMF获取待分析数据。

具体地，NWDAF向SMF订阅待分析数据，该待分析数据包括与所述潜在攻击设备关联的会话的数据量和会话的标识，该待分析数据如下所示。

针对来自用户面UE的攻击，收集数据如下所示。

PDU Session ID：PDU session标识，用于标识UE发起攻击使用的PDU会话。

时间戳：标识统计该数据的时间段。

数据网络标识(data network name，DNN)和S-NSSAI：相同类型的PDU会话具有相同的DNN和S-NSSAI。

使用DNN和S-NSSAI建立的PDU Session的平均上行速率：对于使用相同DNN和S-NSSAI建立的PDU会话，SMF会统计它们的平均上行速率，与当前PDU会话的上行速率对比，判断此时PDU会话是否存在异常。

针对来自用户面UPF的攻击，收集数据如下所示

PDU Session ID：PDU会话标识，用于标识UPF发起攻击使用的PDU session。

时间戳：标识统计该数据的时间段。

DNN和S-NSSAI：相同类型的PDU session具有相同的DNN和S-NSSAI。

使用DNN和S-NSSAI建立的PDU Session的平均下行速率：对于使用相同DNN和S-NSSAI建立的PDU会话，SMF会统计它们的平均下行速率，与当前PDU会话的下行速率对比，判断此时PDU会话是否存在异常。

513，NWDAF根据待分析数据分析RAN遭受DDoS攻击的攻击来源。

具体地，NWDAF对收集的待分析数据进行分析，得出DDoS攻击的攻击来源。根据待分析数据的分类，控制面的分析具体到每个UE或每个AMF，用户面的分析具体到每个PDU session。

514，NWDAF向OAM发送分析结果。

具体地，NWDAF向OAM发送分析结果，OAM采取相应措施处理攻击。该分析结果包括以下信息。

SUPI：UE的用户标识，如果攻击是UE发起的，指示发起攻击的具体UE。

AMF instance ID：AMF实例标识，如果攻击是AMF发起的，指示发起攻击的具体AMF。

PDU Session ID：PDU会话标识，如果攻击是在用户面发起的，指示发起攻击的具体PDU会话。

Attack Level：攻击等级，指示可能存在攻击的级别。

Attack trend：攻击倾向，指示攻击发起方向，比如控制面UE或控制面AMF。

Confidence：分析可信度，对于以上分析的可信度，取决于收集数据的完善程度。

可选地，如果是用户面发起的攻击，NWDAF将分析报告报告给SMF。

基于上述方法500，当RAN的数据发生异常时，通过向NWDAF发送DDoS攻击检测请求，NWDAF向不同的网络设备或终端设备收集和分析数据，找出对RAN的DDoS攻击来源。

图7示出了适用于本申请一实施例的方法700的示意性交互图。方法700主要介绍了上文所述的第一网络设备为AMF时，对RAN进行DDoS攻击检测的方案。

方法700包括以下步骤。

701，AMF确定自身数据发生异常。

具体地，AMF通过预设阈值确定自身数据发生异常。

702，AMF向NWDAF发送DDoS攻击检测请求。

具体地，AMF监测自身数据是否发生异常，在发生异常的情况下向NWDAF发送 DDoS攻击检测消息，请求NWDAF对AMF进行DDoS攻击检测。

具体地，AMF通过向NWDAF发送包括参数：Analytics ID＝DDoS Attack；Target of Analytics Reporting＝any UE，any NF；Analytics Filter Information＝AMF instance ID的请求分析消息Nnwdaf_AnalyticsInfo_Request或订阅分析消息Nnwdaf_AnalyticsSubsciption_Subscribe，向NWDAF请求对AMF的DDoS攻击检测。其中，参数Target of Analytics Reporting指明若AMF受到DDoS攻击时可能的攻击来源，即潜在攻击设备。其中，NF包括除了AMF以外的所有控制面网元，例如SMF、PCF、UDM、NRF、NSSF、NSSAAF、NEF、NRF、AUSF，应理解，在以后的技术发展中，NF还可能包括其他的网元

作为一种可选的实施方式，执行步骤702之前，即在AMF向NWDAF发送DDoS攻击检测请求之前，AMF向NWDAF发送AMF的分析日常数据请求，NWDAF通过分析AMF日常数据向AMF发送分析结果，AMF通过分析结果确定自身数据是否发生异常。具体过程如下801-807。下面将结合图8对NWDAF分析RAN日常数据过程予以介绍。

801，AMF向NWDAF发送分析AMF的日常数据请求。

其中，AMF向NWDAF发送分析AMF的日常数据请求，该分析请求用于向NWDAF请求分析自身日常数据。具体地，OAM向NWDAF发送Nnwdaf_Analytics-Subscription_Subscribe消息，该消息中包括参数：Analytics ID＝AMF Performance；Target of Analytics Reporting＝AMF instance ID，通过参数指示NWDAF该分析请求以AMF为粒度，分析AMF的日常数据。

应理解，AMF向NWDAF发送分析AMF的日常数据请求以订阅分析的方式发送。

802，NWDAF向AMF订阅AMF的日常数据。

具体地，NWDAF根据分析请求向AMF订阅自身日常数据，相应地，AMF向NWDAF上报AMF的日常数据。其中订阅的日常数据如下所示。

AMF instance ID：AMF的标识，用于确定数据收集的对象

时间戳：包括开始时间和结束时间，用于标记收集数据的开始和结束时间。

AMF收到来自UE的注册请求消息的数量：在时间戳所示时间内，一个AMF收到的所有注册请求消息的数量，包括初始注册、周期注册、移动性注册，去注册请求。如果UE通过注册请求消息攻击AMF，来自UE的注册请求消息数量会大幅增加。

AMF收到来自UE的服务请求消息的数量：在时间戳所示时间内，一个AMF收到的所有服务请求消息的数量。如果UE通过服务请求消息攻击AMF，来自UE的服务请求消息数量会大幅增加。

AMF收到来自UE的PDU会话请求消息的数量：在时间戳所示时间内，一个AMF收到的所有PDU会话请求消息的数量，包括PDU会话建立请求，PDU会话释放请求和PDU会话修改请求。如果UE通过PDU会话请求消息攻击AMF，来自UE的PDU会话请求消息数量会大幅增加。

AMF收到来自其他NF的消息数量：在时间戳所示时间内，一个AMF收到的所有来自其他网元的消息数量，其他网元包括SMF，PCF，UDM，NRF，NSSF，NSSAAF，NEF，NRF，AUSF。如果其他网元对AMF进行攻击，来自其他网元的消息数量会大幅增加。

AMF收到来自UE的响应消息数量：在时间戳所示时间内，一个AMF收到的所有来自UE的响应消息数量。如果UE通过响应消息攻击AMF，AMF收到的响应消息数量会大幅增加。

AMF向NWDAF发送Nnf_EventExposure_Notify消息，通知NWDAF订阅成功，并返回订阅数据。AMF会根据订阅参数，每隔一段时间或收集一定数量的数据后，将数据报告给NWDAF。

803，NWDAF为AMF训练异常数据模型。

具体地，NWDAF根据来自AMF的日常数据，为AMF训练异常检测模型，该异常检测模型用于检测AMF的异常数据，并根据该数据计算数据发生异常的阈值，即数据异常阈值，用于当AMF收集的数据达到此阈值时，认定数据异常。

可选地，该异常检测模型可以为机器学习模型，同样用于检测AMF的异常数据，本申请对此模型名称不做限定。

804，NWDAF向AMF发送分析结果。

具体地，NWDAF将分析结果返回给AMF，分析结果包括数据异常阈值。AMF收到该分析结果后，保存该分析结果并监控RAN的数据，基于该数据异常阈值判断RAN的数据是否发生异常。

805，AMF向NWDAF上报AMF的日常数据。

具体地，AMF根据NWDAF的订阅，每隔一段时间统计数据并向NWDAF上报，更新不同时间段的相同类型数据。

806，NWDAF为AMF更新异常检测模型。

具体地，NWDAF根据AMF上报的更新数据更新机器学习模型和判断异常数据的阈值。

807，NWDAF向AMF发送更新的分析结果。

具体地，NWDAF将更新的分析结果返回给AMF，该更新的分析结果包括更新的数据异常阈值。

可选地，AMF向NWDAF发送DDoS攻击检测请求后，立即向NWDAF上报异常数据或NWDAF发送DDoS攻击检测请求的同时向NWDAF上报异常数据。NWDAF根据该异常数据与RAN的异常检测模型判断RAN是否遭受DDoS攻击。若遭受DDoS攻击则继续执行步骤703，否则执行步骤705。

703，NWDAF向AMF获取待分析数据。

具体地，NWDAF向AMF发送数据订阅请求，向AMF订阅待分析数据。该待分析数据包括AMF与其潜在攻击来源之间交互的数据量。NWDAF会针对不同的攻击来源订阅不同的数据，对于AMF的DDoS攻击，攻击来源可能来自UE，也可能来自其他网元。

针对来自UE的攻击，订阅的的待分析数据如下所示。

SUPI：UE的永久用户标识，用于标识发起攻击的UE。

时间戳：标识统计该数据的时间段。

来自每个UE的注册请求消息的数量：在时间戳所示时间内，一个AMF收到的每个UE发送的注册请求消息数量，包括初始注册、周期注册、移动性注册、去注册请求。如果一个UE通过注册请求消息攻击AMF，来自这个UE的注册请求消息数量会大幅增加。

来自每个UE的服务请求消息的数量：在时间戳所示时间内，一个AMF收到的每个UE发送的服务请求消息数量。如果一个UE通过服务请求消息攻击AMF，来自这个UE的服务请求消息数量会大幅增加。

来自每个UE的PDU会话请求消息的数量：在时间戳所示时间内，一个AMF收到的每个UE发送的PDU会话请求消息数量，包括PDU会话建立请求、PDU会话释放请求和PDU会话修改请求。如果一个UE通过PDU会话请求消息攻击AMF，来自这个UE的PDU会话请求消息数量会大幅增加。

来自每个UE的响应消息的数量：在时间戳所示时间内，一个AMF收到的每个UE发送的响应消息数量。如果一个UE通过响应消息攻击AMF，来自这个UE的响应消息数量会大幅增加。同时，与AMF向每个UE发送的请求消息数量对比，可以判断UE是否发送了恶意响应消息。

AMF向每个UE发送的请求消息数量：与来自每个UE的响应消息数量做对比，判断UE是否发送了恶意响应消息。

针对来自其他NF的攻击。订阅的的待分析数据如下所示。

NF instance ID：网元实例标识，指示具体哪个网元向AMF发起攻击。

时间戳：标识统计该数据的时间段。

每个NF向AMF发送的请求消息数量：在时间戳所示时间内，每个NF向此AMF发送的请求消息数量。如果NF通过请求消息对AMF发起攻击，来自NF的请求消息数量会大幅增加。

每个NF向AMF发送的响应消息数量：在时间戳所示时间内，每个NF向此AMF发送的响应消息数量。如果NF通过响应消息对AMF进行攻击，来自NF的响应消息数量会大幅增加。同时与AMF向每个NF发送的请求消息数量作对比，判断此NF是否发送了恶意消息。

AMF向每个NF发送的请求消息数量：在时间戳所示时间内，AMF向每个NF发送的请求消息数量。与每个NF发送的响应消息数量作对比，判断此NF是否发送了恶意响应消息。

704，NWDAF根据待分析数据分析AMF遭受DDoS攻击的攻击来源。

具体地，NWDAF通过对收集的数据进行分析，分析对AMF的具体攻击来源。根据收集数据的分类，针对UE的分析具体到每个UE，针对NF攻击分析具体分析到每个NF实例。

705，NWDAF向AMF发送分析结果。

具体地，NWDAF向AMF发送分析报告后，AMF采取相应措施处理异常情况。其中，该分析报告包括：

SUPI：UE的永久用户标识，如果攻击是UE发起的，指示发起攻击的具体UE。

NF instance ID：网元实例标识，如果攻击是NF发起的，指示发起攻击的具体NF

Attack level：攻击等级，指示可能存在攻击的级别。

在本申请实施例中，当除了AMF以外的其他控制面网元的数据发生异常时，其DDoS攻击的检测方法可参考上述方法700。与上述方法700中有所不同的是，其他控制面网元的潜在攻击设备为除了该其他控制面网元以外的其他控制面网元。其他控制面网元为SMF、PCF、UDM、NRF、NSSF、NSSAAF、NEF、NRF、AUSF。示例性地，当SMF数据发生异常时，其潜在攻击设备为AMF、PCF、UDM、NRF、NSSF、NSSAAF、NEF、NRF、AUSF。

图9示出了适用于本申请一实施例的方法900的示意性交互图。方法900主要介绍了上文所述的第一网络设备为UPF时，对UPF进行DDoS攻击检测的方案。

方法900包括以下步骤。

901，UPF确定自身数据发生异常。

具体地，UPF通过预设阈值确定自身数据发生异常。

902，UPF向SMF发送数据异常信息。

具体地，UPF向SMF报告数据异常信息，该数据异常信息包括异常数据。

903，SMF向NWDAF发送DDoS攻击检测请求。

由于UPF与NWDAF间没有直接相连的接口，由SMF监测UPF的数据是否发生异常，在发生异常的情况下向NWDAF发送DDoS攻击检测请求消息，请求NWDAF对UPF进行DDoS攻击检测。

具体地，SMF通过向NWDAF发送包括请求参数：Analytics ID＝DDoS Attack；Target of Analytics Reporting＝any UE，any AF；Analytics Filter Information＝UPF instance ID的请求分析消息Nnwdaf_AnalyticsInfo_Request或订阅分析消息Nnwdaf_AnalyticsSubsciption_Subscribe，向NWDAF请求对UPF的DDoS攻击检测。其中，参数Target of Analytics Reporting指明若UPF受到DDoS攻击时可能的攻击来源，即潜在攻击设备。

作为一种可选的实施方式，执行步骤903之前，即在SMF向NWDAF发送DDoS攻击检测请求之前，SMF向NWDAF发送UPF的分析日常数据请求，NWDAF通过分析UPF日常数据向UPF发送分析结果，UPF通过分析结果确定自身数据是否发生异常。具体过程如下1001-1011。下面将结合图10对NWDAF分析UPF日常数据过程予以介绍。

1001，SMF向NWDAF发送分析UPF的日常数据请求。

其中，SMF向NWDAF发送分析UPF的日常数据请求，该分析请求用于向NWDAF请求分析UPF的日常数据。具体地，OAM向NWDAF发送订阅分析消息Nnwdaf_AnalyticsSubscription_Subscribe，该消息中包括参数：Analytics ID＝UPF Performance；Target of Analytics Reporting＝UPF instance ID，通过参数指示NWDAF该分析请求以UPF为粒度，分析UPF的日常数据。

应理解，SMF向NWDAF发送分析UPF的日常数据请求以订阅分析的方式发送。

1002，NWDAF向SMF订阅UPF的日常数据。

具体地，NWDAF根据分析请求向SMF订阅关于UPF的日常数据。其中，请求的日常数据如下所示。

UPF instance ID：UPF的标识，用于确定数据收集的对象。

UPF的数据下行速率：对于每个UPF，数据从AF到UPF的下行速率。如果AF通过数据包攻击UPF，数据的下行速率会大幅度降低。

UPF的数据上行速率：对于每个UPF，数据从UE到UPF的上行速率。如果UE通过数据包攻击UPF，数据的上行速率会大幅度降低。

1003，SMF向UPF订阅UPF的日常数据。

具体地，SMF基于NWDAF的数据请求，向UPF订阅该日常数据。相应地，UPF向SMF上报UPF的日常数据。具体地，UPF基于SMF的订阅，统计自身的日常数据并向SMF上报。

1004，SMF向NWDAF上报UPF的日常数据。

具体地，SMF向NWDAF上报UPF上报的日常数据。

1005，NWDAF为UPF训练异常检测模型。

具体地，NWDAF根据来自SMF的数据，为UPF训练异常检测模型，该异常检测模型用于检测RAN的异常数据，并根据该数据计算数据发生异常的阈值，即数据异常阈值，用于当OAM或RAN统计的数据达到此阈值时，认定数据异常。

1006，NWDAF向SMF发送分析结果。

具体地，NWDAF将分析结果返回给SMF，分析结果包括判断异常数据的阈值。

1007，SMF向UPF发送分析结果。

具体地，SMF收到分析结果后，将分析结果发送给UPF，让UPF监控数据并基于分析结果判断数据异常。

1008，UPF向SMF上报UPF的日常数据。

具体地，UPF根据SMF的订阅，每隔一段时间统计数据并向SMF上报，更新不同时间段的相同类型数据。

1009，SMF向NWDAF上报UPF的日常数据。

1010，NWDAF更新异常检测模型。

具体地，NWDAF根据更新的数据更新异常检测模型和数据异常阈值。

1011，NWDAF向SMF发送更新的分析结果。

具体地，NWDAF将更新的分析结果通知SMF，更新的分析结果包括更新的阈值。

1012，SMF向UPF发送更新的分析结果。

具体地，SMF将更新的分析结果发送至UPF，使UPF基于该分析结果检测自身数据是否发生异常。

可选地，SMF向NWDAF发送DDoS攻击检测请求后，立即向NWDAF上报UPF上报的异常数据或NWDAF发送DDoS攻击检测请求的同时向NWDAF上报该异常数据。NWDAF根据该异常数据与UPF的异常检测模型判断UPF是否遭受DDoS攻击。若遭受DDoS攻击则继续执行步骤904，否则执行步骤908。

904，NWDAF向SMF获取待分析数据。

具体地，NWDAF向SMF发送数据订阅请求，向SMF订阅待分析数据。该待分析数据包括UPF与潜在攻击对象之间与会话关联的数据量、UPF与潜在攻击对象之间与会话参数关联的数据量、以及攻击对象的标识信息。其中SMF向UPF收集上述UPF与潜在攻击对象之间与会话关联的数据量，SMF收集上述UPF与潜在攻击对象之间与会话参数关联的数据量。

具体实现中，NWDAF会针对不同的攻击来源订阅不同的数据，对于UPF的DDoS攻击，攻击来源可能来自UE，也可能来自AF。

针对来自UE的攻击，收集的待分析数据如下所示。

时间戳：标识统计该数据的时间段。

DNN和S-NSSAI：相同类型的PDU会话具有相同的DNN和S-NSSAI。

每个PDU Session的上行速率：对于每个PDU会话，如果UE通过此PDU会话攻击RAN，那么此PDU会话的上行数据速率会很高。与从SMF收集的此类PDU会话平均上行速率作对比，判断此PDU会话上行数据是否异常。

针对来自AF的攻击，收集的待分析数据如下所示。

PDU Session ID：PDU会话标识，用于标识UPF发起攻击使用的PDU会话

时间戳：标识统计该数据的时间段。

DNN和S-NSSAI：相同类型的PDU会话具有相同的DNN和S-NSSAI

每个PDU Session的下行速率：对于每个PDU会话，如果AF通过此PDU会话攻击RAN，那么此PDU会话的下行数据速率会很高。与从SMF收集的此类PDU会话平均下行速率作对比，判断此PDU会话下行数据是否异常。

905，SMF向UPF获取待分析数据。

具体地，SMF基于NWDAF的订阅，向UPF收集每个PDU Session的下行速率和每个PDU Session的上行速率，其余参数都由SMF统计。相应地，UPF向SMF上报每个PDU Session的下行速率和每个PDU Session的上行速率。

906，SMF向NWDAF上报待分析数据。

具体地，SMF向NWDAF上报来自UPF的待分析数据为每个PDU Session的下行速率和每个PDU Session的上行速率和SMF自身收集的其他待分析数据。

907，NWDAF根据待分析数据分析UPF遭受DDoS攻击的攻击来源。

具体地，NWDAF对待分析数据进行分析得到UPF遭受DDoS攻击的攻击来源。根据收集数据的分类，针对UE的分析具体到每个PDU Session，针对AF的分析具体到每个PDU session。

908，NWDAF向SMF发送分析报结果。

具体地，NWDAF向SMF发送分析报结果，SMF根据该分析结果采取相应措施处理异常情况。其中，该分析报告包括如下所示的参数。

PDU Session ID：PDU会话标识，指示发起攻击的具体PDU会话。

Attack Level：攻击等级，指示可能存在攻击的级别。

本申请提出的方法除了适用于上述介绍的单个网络设备的DDoS攻击检测，同样适应于多个网络设备，即某种网络设备集合的DDoS攻击检测。具体过程可参考方法700。为了简洁，下面将以网络设备集合为AMF集合为例，针对与方法700的不同之处对该DDoS攻击检测方法进行简单介绍。

当OAM发现AMF集合(set)的数据发生异常时，向NWDAF发送发送DDoS攻击检测请求。具体地，OAM监测AMF set数据是否发生异常，在发生异常的情况下向NWDAF发送DDoS攻击检测消息，请求NWDAF对AMF set进行DDoS攻击检测。其中，该请求消息携带的参数Analytics Filter Information为AMF set instance ID。

作为一种可选的实施方式，在OAM向NWDAF发送DDoS攻击检测请求之前，OAM向NWDAF发送AMF set的分析日常数据请求，NWDAF通过分析AMF set的日常数据向OAM发送分析结果，OAM通过分析结果确定AMF set是否发生异常。具体过程参照801-807。

NWDAF根据向AMF set中每一个AMF订阅的待检测数据，分析AMF set的DDoS攻击的攻击来源，将分析结果发送给OAM，OAM根据该分析结果采取相应措施处理异常情况。

在本申请实施例中，当除了AMF set以外的其他控制面网元集合的数据发生异常时，其DDoS攻击的检测方法也可参考上述方法。与上述方法有所不同的是，其他控制面网元集合的潜在攻击设备为除了该其他控制面网元以外的其他控制面网元。其他控制面网元为SMF、PCF、UDM、NRF、NSSF、NSSAAF、NEF、NRF、AUSF。示例性地，当SMF set数据发生异常时，其潜在攻击设备为AMF、PCF、UDM、NRF、NSSF、NSSAAF、NEF、NRF、AUSF。

图11是本申请实施例提供的DDoS攻击检测的装置1100的示意性框图。如图所示，该装置1100可以包括：收发单元1110和处理单元1120。

在一种可能的设计中，该装置1100可以是上文方法实施例中的NWDAF，也可以是用于实现上文方法实施例中NWDAF的功能的芯片。

应理解，该通信装置1100可对应于根据本申请实施例的方法400至方法1000中的会话管理网元，该通信装置1100可以包括用于执行图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900和图10中的方法1000中的NWDAF执行的方法的单元。并且，该装置1100中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900和图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该装置1100可以是上文方法实施例中的网络设备如RAN、 AMF、SMF、UPF、OAM，也可以是用于实现上文方法实施例中网络设备的功能的芯片。

应理解，该装置1100可对应于根据本申请实施例的方法400至方法1000中的网络设备，该装置1100可以包括用于执行图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900和图10中的方法1000中的网络设备执行的方法的单元。并且，该装置1100中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900和图10中的方法1000的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该装置1100中的收发单元1110可对应于图12中示出的设备1200中的收发器1220，该装置1100中的处理单元1120可对应于图12中示出的设备1200中的处理器1210。

还应理解，当该通信装置1100为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1110用于实现装置1100的信号的收发操作，处理单元1120用于实现通信装置1100的信号的处理操作。

可选地，该通信装置1100还包括存储单元1130，该存储单元1130用于存储指令。

图12是本申请实施例提供一种DDoS攻击检测的设备1200。如图所示，该设备1200包括：至少一个处理器1210和收发器1220。该处理器1210与存储器耦合，用于执行存储器中存储的指令，以控制收发器1220发送信号和/或接收信号。可选地，该设备1200还包括存储器1230，用于存储指令。

应理解，上述处理器1210和存储器1230可以合成一个处理装置，处理器1210用于执行存储器1230中存储的程序代码来实现上述功能。具体实现时，该存储器1230也可以集成在处理器1210中，或者独立于处理器1210。

还应理解，收发器1220可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器1220还可以进一步包括天线，天线的数量可以为一个或多个。收发器1220有可以是通信接口或者接口电路。

当该设备1200为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由NWDAF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由NWDAF执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由OAM，SMF，AMF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由OAM，SMF，AMF执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由OAM，SMF，AMF执行的方法，或由OAM，SMF，AMF执行的方法，或由NWDAF执行的方法。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种分布式拒绝服务DDoS攻击检测的方法，其特征在于，包括：

接收DDoS攻击检测请求，所述DDoS攻击检测请求用于请求对第一网络设备的DDoS攻击检测，所述DDoS攻击检测请求包括所述第一网络设备的信息和潜在攻击设备的信息，所述潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的设备；

获取待分析数据，所述待分析数据包括所述第一网络设备与所述潜在攻击设备之间交互的数据量；

根据所述待分析数据，检测对所述第一网络设备的DDoS攻击。
根据权利要求1所述的方法，其特征在于，所述对所述第一网络设备的DDoS攻击的攻击检测结果包括对所述第一网络设备的DDoS攻击的攻击来源。
根据权利要求2所述的方法，其特征在于，所述方法还包括：发送所述攻击检测结果。
根据权利要求1或2所述的方法，其特征在于，所述第一网络设备为无线接入网RAN设备，所述接收DDoS攻击检测请求，包括：

接收来自操作、管理和维护OAM所述DDoS攻击检测请求；

所述获取待分析数据，包括：

向所述OAM发送数据订阅请求；

接收来自所述OAM所述RAN与所述潜在攻击设备之间交互的数据量；

向所述会话管理网元SMF发送数据订阅请求；

接收来自所述SMF的与所述潜在攻击设备关联的会话的数据量。
根据权利要求4所述的方法，其特征在于，在所述接收DDoS攻击检测请求之前，所述方法还包括：

接收来自所述OAM的分析日常数据请求，所述分析日常数据请求用于请求对所述RAN的日常数据进行分析；

获取所述RAN的日常数据；

根据所述RAN的日常数据，为所述RAN训练异常检测模型，所述异常检测模型用于检测所述RAN的数据是否异常。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

根据所述RAN的日常数据，确定数据异常阈值，所述数据异常阈值用于确定所述RAN的数据是否异常。
根据权利要求5或6所述的方法，其特征在于，所述获取待分析数据之前，所述方法还包括：

接收来自所述OAM的所述RAN的异常数据；

根据所述异常数据和所述异常检测模型确定所述RAN是否遭受DDoS攻击；

其中，在确定所述RAN遭受DDoS攻击时获取所述待分析数据。
根据权利要求1或2所述的方法，其特征在于，所述第一网络设备为移动性管理网元AMF，所述接收DDoS攻击检测请求，包括：

接收来自所述AMF的所述DDoS攻击检测请求；

所述获取待分析数据，包括：

接收来自所述AMF的所述待分析数据。
根据权利要求8所述的方法，其特征在于，在所述接收DDoS攻击检测请求之前，所述方法还包括：

接收来自所述AMF的分析日常数据请求，所述分析日常数据请求用于请求对所述AMF的日常数据进行分析；

获取所述AMF的日常数据；

根据所述AMF的日常数据，为所述AMF训练异常检测模型，所述异常检测模型用于检测所述AMF的数据是否异常。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

根据所述AMF的日常数据，确定数据异常阈值，所述数据异常阈值用于所述AMF确定所述AMF的数据是否异常。
根据权利要求9或10所述的方法，其特征在于，所述获取待分析数据之前，所述方法还包括：

接收来自所述AMF的所述AMF的异常数据；

根据所述异常数据和所述异常检测模型确定所述AMF是否遭受DDoS攻击；

其中，在确定所述AMF遭受DDoS攻击时获取所述待分析数据。
根据权利要求1或2所述的方法，其特征在于，所述第一网络设备为用户面网元UPF，所述接收DDoS攻击检测请求，包括：

接收来自SMF的所述DDoS攻击检测请求；

所述获取待分析数据，包括：

向所述SMF发送数据订阅请求；

接收来自所述SMF的与所述潜在攻击对象之间与会话关联的数据量以及潜在攻击对象之间与会话参数关联的数据量。
根据权利要求12所述的方法，其特征在于，在所述接收DDoS攻击检测请求之前，所述方法还包括：

接收来自所述SMF的分析日常数据请求，所述分析日常数据请求用于请求对所述UPF的日常数据进行分析；

获取所述UPF的日常数据；

根据所述UPF的日常数据，为所述UPF训练异常检测模型，所述异常检测模型用于检测所述UPF的数据是否异常。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

根据所述UPF的日常数据，确定数据异常阈值，所述数据异常阈值用于所述UPF确定所述UPF的数据是否异常。
根据权利要求13或14所述的方法，其特征在于，所述获取待分析数据之前，所述方法还包括：

接收来自所述SMF的所述UPF的异常数据；

根据所述异常数据和所述异常检测模型确定所述UPF是否遭受DDoS攻击；

其中，在确定所述UPF遭受DDoS攻击时获取所述待分析数据。
根据权利要求1或2所述的方法，其特征在于，所述DDoS攻击检测请求用于请求对所述第一网络设备的集合的DDoS攻击检测，所述接收DDoS攻击检测请求，包括：

接收来自所述OAM的所述DDoS攻击检测请求；

所述获取待分析数据，包括：

接收来自所述第一网络设备的集合中的每一个所述网络设备的所述待分析数据。
根据权利要求16所述的方法，其特征在于，在所述接收DDoS攻击检测请求之前，所述方法还包括：

接收来自所述OAM的分析日常数据请求，所述分析日常数据请求用于请求对所述第一网络设备集合的日常数据进行分析；

获取所述第一网络设备的集合的日常数据；

根据所述第一网络设备的集合的日常数据，为所述第一网络设备的集合训练异常检测模型，所述异常检测模型用于检测所述第一网络设备的集合的数据是否异常。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

根据所述第一网络设备的集合的日常数据，确定数据异常阈值，所述数据异常阈值用于第一网络设备的集合确定所述第一网络设备的集合的数据是否异常。
根据权利要求17或18所述的方法，其特征在于，所述获取待分析数据之前，所述方法还包括：

接收来自所述OAM的第一网络设备的集合的异常数据；

根据所述异常数据和所述异常检测模型确定第一网络设备的集合是否遭受DDoS攻击；

其中，在确定第一网络设备的集合遭受DDoS攻击时获取所述待分析数据。
一种DDoS攻击检测的方法，其特征在于，包括：

向NWDAF发送DDoS攻击检测请求，所述DDoS攻击检测请求用于请求对所述第一网络设备的DDoS攻击检测，所述DDoS攻击检测请求包括所述第一网络设备的信息和所述第一网络设备的潜在攻击设备的信息，所述潜在攻击设备为可能对所述第一网络设备发起DDoS攻击的网元；

接收来自所述NWDAF的获取待分析数据请求；

根据所述请求收集所述待分析数据；

向所述NWDAF发送所述待分析数据，所述待分析数据包括所述第一网络设备与所述潜在攻击设备之间交互的数据量，所述待分析数据用于检测对所述第一网络设备的DDoS攻击。
根据权利要求20所述的方法，其特征在于，所述对所述第一网络设备的DDoS攻击的攻击检测结果包括对所述第一网络设备的DDoS攻击的攻击来源。
根据权利要求20或21所述的方法，其特征在于，所述第一网络设备为RAN，所述方法由OAM执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：确定所述RAN的数据异常。
根据权利要求22所述的方法，其特征在于，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：

向所述NWDAF发送分析日常数据的请求，所述分析日常数据请求用于请求所述NWDAF分析所述RAN的日常数据；

向所述NWDAF发送所述RAN的日常数据，所述RAN的日常数据用于所述NWDAF为所述RAN训练异常检测模型，所述异常检测模型用于检测所述RAN的数据是否异常。
根据权利要求23所述的方法，其特征在于，在所述确定所述RAN的数据异常之前，所述方法还包括：

接收来自所述NWDAF的数据异常阈值；

所述确定所述RAN的数据异常包括：

根据所述数据异常阈值确定所述RAN的数据是否异常。
根据权利要求23或24所述的方法，其特征在于，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：

在所述RAN的数据异常时向所述NWDAF发送所述RAN的异常数据，所述异常数据用于所述NWDAF确定所述RAN是否遭受DDoS攻击。
根据权利要求20或21所述的方法，其特征在于，所述第一网络设备为AMF，所述方法由AMF执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：

确定所述AMF的数据异常。
根据权利要求26所述的方法，其特征在于，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：

向所述NWDAF发送所述AMF的日常数据，所述AMF的日常数据用于所述NWDAF为所述AMF训练异常检测模型，所述异常检测模型用于检测所述AMF的数据是否异常。
根据权利要求27所述的方法，其特征在于，在所述确定所述AMF的数据异常之前，所述方法还包括：

接收来自所述NWDAF的数据异常阈值；

所述确定所述AMF的数据异常包括：

根据所述数据异常阈值确定所述AMF的数据是否异常。
根据权利要求27或28所述的方法，其特征在于，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：

在所述AMF的数据异常时向所述NWDAF发送所述AMF的异常数据，所述异常数据用于所述NWDAF确定所述AMF是否遭受DDoS攻击。
根据权利要求20或21所述的方法，其特征在于，所述第一网络设备为UPF，所述方法由OAM执行，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：

确定所述UPF的数据异常。
根据权利要求30所述的方法，其特征在于，在所述向NWDAF发送DDoS攻击检测请求之前，所述方法还包括：

向所述NWDAF发送所述UPF的日常数据，所述UPF的日常数据用于所述NWDAF为所述UPF训练异常检测模型，所述异常检测模型用于检测所述UPF的数据是否异常。
根据权利要求31所述的方法，其特征在于，在所述确定所述UPF的数据异常之前，所述方法还包括：

接收来自所述NWDAF的数据异常阈值；

向所述UPF发送所述数据异常阈值，所述数据异常阈值用于UPF确定所述UPF的数据是否异常；

所述确定所述UPF的数据异常包括：

根据所述数据异常阈值确定所述UPF的数据是否异常。
根据权利要求31或32所述的方法，其特征在于，在所述向所述NWDAF发送待分析数据之前，所述方法还包括：

在所述UPF的数据异常时向所述NWDAF发送所述UPF的异常数据，所述异常数据用于所述NWDAF确定所述UPF是否遭受DDoS攻击。
一种DDoS攻击检测的装置，其特征在于，包括用于实现如权利要求1至33中任一项所述的方法的单元。
一种DDoS攻击检测的装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机指令，以使得所述装置执行：如权利要求1至33中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被计算机执行时，以使得实现如权利要求1至33中任一项所述的方法。