WO2023213133A1

WO2023213133A1 - 一种通信方法和装置

Info

Publication number: WO2023213133A1
Application number: PCT/CN2023/080431
Authority: WO
Inventors: 李卓明
Original assignee: 华为技术有限公司
Priority date: 2022-05-06
Filing date: 2023-03-09
Publication date: 2023-11-09
Also published as: CN117082564A

Abstract

本申请实施例提供了一种通信方法和装置，该方法包括：网络设备获取应用相关的第一数据，所述第一数据是根据第一应用报文流确定的；所述网络设备向终端设备发送第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流的应用对应的应用标识；所述网络设备向所述终端设备发送所述第一数据，所述第一数据用于确定第一模型的校正因子；所述网络设备接收来自所述终端设备的所述校正因子；所述网络设备根据所述校正因子，对所述第一模型进行调整。本申请实施例通过使用终端设备参与对网络设备中的第一模型进行调整，从而提高了模型的准确度，进而提高了应用模型进行应用检测的准确性。

Description

一种通信方法和装置

本申请要求于2022年5月6日提交中国专利局、申请号为202210488344.6、申请名称为“一种通信方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信领域，并且，更具体地，涉及用于应用检测的方法和装置。

背景技术

用户设备(user equipment，UE)通过移动网络连接到企业网或互联网等数据网络(data network，DN)中，访问DN中的应用服务器，进行业务通信，其中UE和应用服务器之间传递的某个应用的报文称为这个应用的报文流。运营商为了保障特定应用的业务质量(例如视频通话)，或者为了避免特定业务(例如P2P下载)占用过多网络资源影响其他业务，会检测终端设备的应用报文流对应什么应用，然后采取保障或控制的措施。现有技术通过预先设置应用对应的报文流描述(packet flow description，PFD)进行应用检测。

但是，当前在现实网络中，应用客户端或服务器经常升级，会导致PFD或应用的应用报文流统计特征发生变化，使用现有技术无法及时更新模型，会影响应用检测的准确性。

发明内容

本申请实施例提供一种用于应用检测的方法和装置。

第一方面，提供了一种用于应用检测的方法，其特征在于，包括：网络设备获取第一数据，所述第一数据是根据第一应用报文流确定的；所述网络设备向终端设备发送第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流对应的应用标识；所述网络设备向所述终端设备发送所述第一数据，所述第一数据用于确定第一模型的校正因子；所述网络设备接收来自所述终端设备的所述校正因子；所述网络设备根据所述校正因子对所述第一模型进行调整。

本申请中第一数据可以是终端设备某个应用的，也可以是某几个应用的数据。本申请中第一数据是根据第一应用报文流确定的，所述第一应用报文流是终端设备通过网络设备向应用服务器发送的或从应用服务器接收的一系列报文。

本申请中的网络设备可以是单个网元，示例性地，网络设备可以是网络数据分析功能网元、用户面功能网元；本申请中的网络设备也可以是多个网元集成在同一个实体设备上，示例性地，网络数据分析功能网元和用户面功能网元集成在同一实体网络设备上。

本申请中网络设备向终端设备发送第一数据可以一次性全部发完，也可以分成多次发送，本申请对此不做限定。

本申请中网络设备获得第一数据的方式可以是网络设备从其他设备中获取或者网络设备自身存储有相关数据。因为网络设备获得第一数据的方式对于本申请实施例的实现没有影响，因此本申请对此不做限定。

本申请通过将网络设备的第一数据和第一模型发送给对应的终端设备，终端设备可以得到第一数据对应的应用标识，得到第一模型的损失和梯度信息并发送给网络设备，网络设备对第一模型进行更新，从而，使得第一模型更加准确，进而使得使用第一模型进行的应用检测更加准确。

结合第一方面，在第一方面的某些实现方式中，所述网络设备是网络数据分析功能网元或用户面功能网元。

结合第一方面，在第一方面的某些实现方式中，所述第一数据包括：所述第一应用报文流的地址信息，和/或用于指示所述第一应用报文流的传输时段的时间戳。

所述网络设备根据第一应用报文流确定所述第一数据，在一种可能的实现方式中，所述网络设备根据第一应用报文流内的报文，确定所述第一应用报文流的地址信息；在另一种可能的实现方式中，所述网络设备根据第一应用报文流内的报文经过网络设备进行传输的时间，确定所述时间戳；在又一种可能的实现方式中，所述网络设备根据第一应用报文流内的报文，确定所述第一应用报文流的地址信息和所述时间戳。

结合第一方面，在第一方面的某些实现方式中，所述第一数据还包括：所述第一应用报文流的特征信息。

所述网络设备根据第一应用报文流确定所述第一数据，一种可能的实现为，所述网络设备根据第一应用报文流内的报文序列，确定所述第一应用报文流的特征信息。

其中，应用报文流的特征信息用于描述应用业务的收发报文模式。具体地，应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。应用报文流的地址信息是UE和应用服务器之间传递的某个应用的报文的源地址(IP地址或MAC地址)、目的地址(IP地址或MAC地址)、协议、源端口号、目的端口号中的全部或部分组合。具体地，UE侧的应用报文流的地址信息是指UE发送的业务流报文的源地址或UE接收的业务流报文的目的地址。具体的，用于指示所述第一应用报文流的传输时段的时间戳是终端设备和应用服务器直接接收和发送的第一应用报文流经过网络设备的时间。

结合第一方面，在第一方面的某些实现方式中，所述第一数据是经过所述网络设备加密后的数据。

本申请通过对第一数据加密，有效保护了用户的隐私，提高了安全性。

结合第一方面，在第一方面的某些实现方式中，所述第一模型是所述网络设备和所述终端设备进行纵向联邦学习的模型。

结合第一方面，在第一方面的某些实现方式中，所述校正因子包括：所述第一模型的梯度和/或损失。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述网络设备将第二数据输入调整后的所述第一模型，获得第一标识；所述第二数据是根据第二应用报文流确定的，所述第二数据包括第二应用报文流的特征信息。

本申请中第二数据是根据第二报文流确定的，所述第二报文流是终端设备通过网络设备向应用服务器发送的或从应用服务器接收的一系列报文。本申请通过使用调整后的第一模型进行应用检测，可以得到更加准确地检测结果，从而提高应用检测的精度。

在一种可能的实现方式中，所述第二应用报文流是所述第一应用报文流，所述第二应用报文流的特征信息是所述第一应用报文流的特征信息。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述网络设备确定所述第二应用报文流的特征信息和所述第一标识的第一对应关系。

本申请通过建立第一对应关系，可以在网络设备接收到同一应用的数据时快速识别应用的应用标识，从而减少了网络设备的计算量，提高了应用检测的效率。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述网络设备向用户面功能网元发送所述第一对应关系。

结合第一方面，在第一方面的某些实现方式中，所述网络设备根据所述第一对应关系确定所述第二应用报文流对应的第一报文流描述。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：如果在第一时段内接收到第三应用报文流，则根据所述第一报文流描述，将所述第一标识确定为所述第三应用报文流的应用标识，所述第一时段为所述第一应用关系的有效时段，所述第三应用报文流与所述第二应用报文流的地址信息相同。

需要说明的是，报文流描述包括应用报文流地址信息和应用标识的对应关系。网络设备根据第一对应关系确定第一报文流描述包括：网络设备在收发应用报文流的过程中获得应用报文流的特征信息和地址信息的对应关系；网络设备根据第一对应关系确定应用报文流的特征信息和应用标识的对应关系；两者叠加可以确定应用报文流描述。

本申请通过确定有效时间进一步提高了应用检测的准确性。

在一种可能的实现方式中，在得到第一对应关系之后，启动定时器；在所述定时器超时后，删除所述第一对应关系。

结合第一方面，在第一方面的某些实现方式中，所述第二数据还包括所述第二应用报文流的地址信息，所述第二应用报文流的地址信息包括所述第二应用报文流携带的终端设备的地址信息。

在一种可能的实现方式中，所述第二应用报文流是所述第一应用报文流，所述第二应用报文流的地址信息是所述第一应用报文流的地址信息。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述网络设备确定所述第二应用报文流的地址信息和所述第一标识的第二对应关系。

本申请通过建立第二对应关系，可以在网络设备接收到同一应用的数据时快速识别应用的应用标识，从而减少了网络设备的计算量，提高了应用检测的效率。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述网络设备向用户面功能网元发送所述第二对应关系。

结合第一方面，在第一方面的某些实现方式中，所述网络设备根据所述第二对应关系确定所述第二应用报文流的第二报文流描述，所述第二报文流描述包括所述终端设备的地址信息。

具体地，所述第二报文流描述包括所述第二对应关系。

在一种可能的实现中，所述第二报文流描述包括所述第二应用报文流的终端侧地址信息，所述第二应用报文流的服务器侧地址信息，和所述第一标识。

通过终端设备的地址信息，报文流描述可以针对特定的终端设备，从而提高应用检测的准确性。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：如果在第二时段内接收到第四应用报文流，则根据所述第二报文流描述，将所述第一标识确定为所述第四应用报文流的应用标识，所述第二时段为所述第二报文流描述的有效时段，所述第四应用报文流与所述第二应用报文流的地址信息相同。

具体的，所述第四应用报文流的终端侧的地址信息和所述第二应用报文流的终端侧的地址信息相同，并且所述第四应用报文流的应用服务器侧的地址信息和所述第二应用报文流的应用服务器侧的地址信息相同。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：如果在第二时段内接收到第四数据，则根据所述第二对应关系，将所述第一标识确定为所述第四数据的应用标识，所述第二时段为所述第一应用关系的有效时段，所述第四数据包括所述第二应用报文流的特征信息和所述第二应用报文流的地址信息。

本申请通过确定有效时间和比对终端侧的地址信息进一步提高了应用检测的准确性。

在一种可能的实现方式中，在得到第二对应关系之后，启动定时器；在所述定时器超时后，删除所述第二对应关系。

第二方面，提供了一种用于应用检测的方法，其特征在于，包括：终端设备接收来自网络设备的第一数据，所述第一数据是所述网络设备根据第一应用报文流确定的；所述终端设备接收来自网络设备的第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流对应的应用标识；所述终端设备根据所述第一数据确定第一标识；所述终端设备根据所述第一标识确定校正因子，所述校正因子用于调整所述第一模型；所述终端设备向所述网络设备发送所述校正因子。

本申请中，终端设备所述终端设备可以根据第一数据和第一标识确定第一模型的校正因子。

在一种可能的实现方式中，终端设备获取第一模型，终端设备根据接收到的第一数据找到对应的本地应用活动信息从而确定应用标识，终端设备根据第一数据和应用标识，计算第一模型的损失和梯度。

在另一种可能的实现方式中，终端设备获取第一模型的部分模型，终端设备根据接收到的第一数据找到对应的本地应用活动信息从而确定应用标识，终端设备根据第一数据和应用标识，计算第一模型的部分模型的损失和梯度。进一步地，网络设备还可以将自身计算的网络设备侧部分模型的梯度因子信息加密发送给相应的终端设备，终端设备也可以根据网络设备计算的梯度因子信息和终端设备自身计算的梯度因子信息更新UE的业务流特征模型。

其中，应用活动信息是各个APP在终端设备上运行状态的信息，具体的，应用活动信息包括在各个时间点或时间段内，APP进行通信时使用的网络接口的IP地址和端口信息，APP的电量消耗，APP是否在前台运行(即是否前台亮屏)。

本申请通过终端设备根据第一数据和第一标识，可以得到第一模型或第一模型的部分模型的损失和梯度信息并发送给网络设备，网络设备对第一模型进行更新，从而，使得第一模型更加准确，进而使得使用第一模型进行的应用检测更加准确。

结合第二方面，在第二方面的某些实现方式中，所述第一数据是经过所述网络设备加密的数据。

结合第二方面，在第二方面的某些实现方式中，所述第一数据包括：所述第一应用报文流的地址信息，和/或用于指示所述第一应用报文流的传输时段的时间戳。

具体的，所述第一应用报文流的地址信息是所述第一应用报文流的服务器侧地址和/或第一应用报文流的终端侧地址。

结合第二方面，在第二方面的某些实现方式中，所述第一数据还包括：所述第一应用报文流的特征信息。

结合第二方面，在第二方面的某些实现方式中，所述终端设备基于所述第一数据得到第一标识包括：所述终端设备确定第一特征，所述第一特征是所述终端设备和所述网络设备数据共有的特征；所述终端设备根据所述第一特征确定与第一数据对应的第二数据，所述第二数据包括第一标识。

结合第二方面，在第二方面的某些实现方式中，所述第一特征包括：所述第一数据的传输时段的时间戳和/或所述第一应用报文流的地址信息。

示例性地，所述第二数据是与第一特征匹配概率最大的应用的应用标识。具体的，可以选择应用活动信息中某个APP使用的网络接口的IP地址和端口信息与第一数据中的终端侧应用报文流的地址信息相同，并且应用活动信息中这个APP的电量消耗和/或前台亮屏时间与第一数据中的时间戳匹配。

结合第二方面，在第二方面的某些实现方式中，根据所述第一标识得到所述校正因子包括：若所述终端设备接收所述第一模型，则所述终端设备根据所述第一标识和所述第一应用报文流的特征信息确定所述第一模型的所述校正因子；或者若所述终端设备接收所述第一模型的部分，则所述终端设备根据所述第一标识和所述第一特征确定所述第一模型的所述校正因子。

第三方面，提供了一种用于应用检测的方法，其特征在于，包括：网络设备获取的第一数据，所述第一数据是根据第一应用报文流确定的；所述网络设备向终端设备发送所述第一数据；所述网络设备接收来自所述终端设备第一标识，所述第一标识是所述终端设备根据所述第一数据确定的应用标识；所述网络设备根据所述第一数据和所述第一标识，对所述第一模型进行调整，所述第一模型用于确定所述应用对应的应用标识。

本申请通过将网络设备的第一数据发送给对应的终端设备，终端设备可以得到第一数据对应的应用标识并发送给网络设备，网络设备根据第一数据和应用标识对第一模型进行更新，从而，使得第一模型更加准确，进而使得使用第一模型进行的应用检测更加准确。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述网络设备根据调整后的所述第一模型，得到第二标识。

本申请通过使用调整后的第一模型进行应用检测，可以得到更加准确地检测结果，从而提高应用检测的精度。

结合第三方面，在第三方面的某些实现方式中，所述网络设备是网络数据分析功能网元或用户面功能网元。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述网络设备得到应用报文流的特征信息和所述第二标识的第一对应关系或应用报文流的地址信息和所述第二标识的第二对应关系。

本申请通过建立第一对应关系或第二对应关系，可以在网络设备接收到同一应用的数据时快速识别应用的应用标识，从而减少了网络设备的计算量，提高了应用检测的效率。

结合第三方面，当所述网络设备是网络数据分析功能网元时，所述网络设备向用户面功能网元发送所述第一对应关系或所述第二对应关系。

结合第三方面，在第三方面的某些实现方式中，所述应用报文流描述包括所述终端设备的地址信息。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：确定所述第一对应关系或所述第二对应关系的有效时间。

本申请通过确定有效时间进一步提高了应用检测的准确性。

在一种可能的实现方式中，在得到第一对应关系或第二对应关系之后，启动定时器；在所述定时器超时后，删除所述第一对应关系。

结合第三方面，在第三方面的某些实现方式中，所述第一数据是经过所述网络设备加密后的数据。

结合第三方面，在第三方面的某些实现方式中，所述第一数据包括：所述第一应用报文流的地址信息，和/或用于指示所述第一应用报文流的传输时段的时间戳。

结合第三方面，在第三方面的某些实现方式中，所述第一数据还包括：所述第一应用报文流的特征信息。

结合第三方面，在第三方面的某些实现方式中，所述第一模型是所述网络设备和所述终端设备进行纵向联邦学习的模型。

第四方面，提供了一种用于应用检测的方法，其特征在于，包括：终端设备接收来自网络设备的第一数据，所述第一数据是根据第一应用报文流确定的；所述终端设备确定第一标识，所述第一标识是所述第一应用报文流对应的应用标识；所述终端设备向所述网络设备发送第一标识。

本申请通过终端设备接收第一信息得到第一标识，并将第一标识发送给网络设备，使得网络设备可以更新第一模型，从而，提高应用检测的准确性。

结合第四方面，在第四方面的某些实现方式中，所述第一数据是经过所述网络设备加密的数据。

结合第四方面，在第四方面的某些实现方式中，所述第一数据包括：应用报文流的地址信息或时间戳中的至少一项；或者，应用报文流的地址信息或时间戳中的至少一项和应用报文流的特征信息。

结合第四方面，在第四方面的某些实现方式中，所述终端设备确定第一标识包括：所述终端设备确定第一特征，所述第一特征是所述终端设备和所述网络设备数据共有的特征；所述终端设备根据所述第一特征确定与第一数据对应的第二数据，所述第二数据包括第一标识。

结合第四方面，在第四方面的某些实现方式中，所述第一特征包括：时间戳和/或地址信息。

第五方面，提供了一种用于应用检测的系统，其特征在于，包括：第一网络设备和第二网络设备；所述第一网络设备用于获取并向所述第二网络设备发送应用相关的第一数据，所述第一数据是根据第一应用报文流确定的；所述第一网络设备用于向第二网络设备发送第一模型或第一模型的部分，所述第一模型用于确定所述应用对应的应用标识；所述第二网路设备用于接收并向所述终端设备发送所述第一数据和所述第一模型或所述第一模型的部分，所述第一数据用于确定第一模型的校正因子；所述第二网络设备还用于接收并向所述第一网络设备发送所述校正因子；所述第一网络设备还用于根据所述校正因子调整所述第一模型。

结合第五方面，在第五方面的某些实现方式中，所述第一网络设备还用于使用调整过的所述第一模型得到第一标识。

结合第五方面，在第五方面的某些实现方式中，所述第一网络设备还用于得到应用报文流的特征信息和所述第一标识的第一对应关系或应用报文流的地址信息和所述第一标识的第二对应关系。

结合第五方面，在第五方面的某些实现方式中，所述第一网络设备还用于向所述第二网络设备发送所述第一对应关系或所述第二对应关系。

结合第五方面，在第五方面的某些实现方式中，所述第一网络设备还用于确定所述第一对应关系或所述第二对应关系的有效时间。

结合第五方面，在第五方面的某些实现方式中，所述第一网络设备是网络数据分析功能网元；所述第二网络设备是用户面功能网元。

第六方面，提供了一种通信装置，包括：处理模块，用于获取应用相关的第一数据，所述第一数据是根据第一应用报文流确定的；收发模块，用于向终端设备发送所述第一数据和第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流对应的应用标识，所述第一数据用于确定第一模型的校正因子；所述收发模块，还用于接收来自所述终端设备的所述校正因子；所述处理模块，还用于根据所述校正因子对所述第一模型进行调整。

结合第六方面，在第六方面的某些实现方式中，所述第一数据包括：所述第一应用报文流的地址信息，和/或用于指示所述第一应用报文流的传输时段的时间戳。

结合第六方面，在第六方面的某些实现方式中，所述第一数据还包括：所述第一应用报文流的特征信息。

结合第六方面，在第六方面的某些实现方式中，所述第一数据是经过所述网络设备加密后的数据。

结合第六方面，在第六方面的某些实现方式中，所述第一模型是所述网络设备和所述终端设备进行纵向联邦学习的模型。

结合第六方面，在第六方面的某些实现方式中，所述校正因子包括：所述第一模型的梯度和/或损失。

结合第六方面，在第六方面的某些实现方式中，所述收发模块，还用于获取第二数据所述第二数据是根据第二应用报文流确定的，所述第二数据包括所述第二应用报文流的特征信息；所述处理模块，还用于将所述第二数据输入调整后的所述第一模型，得到第一标识。

结合第六方面，在第六方面的某些实现方式中，所述处理模块还用于确定所述第二应用报文流的特征信息和所述第一标识的第一对应关系。

结合第六方面，在第六方面的某些实现方式中，所述收发模块还用于向用户面功能网元发送所述第一对应关系。

结合第六方面，在第六方面的某些实现方式中，所述收发模块还用于向用户面功能网元发送所述第一对应关系向用户面功能网元发送所述第一对应关系。

结合第六方面，在第六方面的某些实现方式中，所述处理模块还用于确定所述第二数据的报文流描述，所述报文流描述包括所述第一对应关系。

结合第六方面，在第六方面的某些实现方式中，所述处理模块还用于根据所述第一对应关系确定所述第二应用报文流对应的第一报文流描述。

结合第六方面，在第六方面的某些实现方式中，所述收发模块，还用于在第一时段接收到第三应用报文流；所述处理模块，根据所述第一报文流描述，将所述第一标识确定为所述第三应用报文流的应用标识，所述第一时段为所述第一应用关系的有效时段，所述第三应用报文流与所述第二应用报文流的地址信息相同。

结合第六方面，在第六方面的某些实现方式中，所述处理模块还用于确定所述第二应用报文流的地址信息和所述第一标识的第二对应关系。

结合第六方面，在第六方面的某些实现方式中，所述收发模块还用于向用户面功能网元发送所述第二对应关系。

结合第六方面，在第六方面的某些实现方式中，所述处理模块还用于根据所述第二对应关系确定所述第二应用报文流对应的第二报文流描述。

结合第六方面，在第六方面的某些实现方式中，所述收发模块，还用于在第二时段内接收到第四应用报文流；所述处理模块，根据所述第二报文流描述，将所述第一标识确定为所述第四应用报文流的应用标识，所述第二时段为所述第二报文流描述的有效时段，所述第四应用报文流与所述第二应用报文流的地址信息相同。

第七方面，提供了一种通信装置，包括：收发模块，用于接收来自网络设备的第一数据和第一模型或者所述第一模型的部分，所述第一数据是根据第一应用报文流确定的，所述第一模型用于确定所述应用对应的应用标识，所述第一数据用于确定第一模型的校正因子；所述处理模块，用于根据所述第一应用报文流确定第一标识并根据所述第一标识和所述第一特征确定校正因子，所述校正因子用于调整所述第一模型；所述收发模块，还用于向所述网络设备发送所述校正因子。

结合第七方面，在第七方面的某些实现方式中，所述第一数据是经过所述网络设备加密的数据。

结合第七方面，在第七方面的某些实现方式中，所述第一数据包括：所述第一应用报文流的地址信息，和/或用于指示所述第一应用报文流的传输时段的时间戳。

结合第七方面，在第七方面的某些实现方式中，所述第一数据还包括：所述第一应用报文流的特征信息。

结合第七方面，在第七方面的某些实现方式中，根据所述第一数据得到所述第一标识包括：所述处理模块根据所述第一数据确定第一特征，所述第一特征是所述终端设备和所述网络设备数据共有的特征；所述处理模块根据所述第一特征确定与第一数据对应的第二数据，所述第二数据包括第一标识。

结合第七方面，在第七方面的某些实现方式中，所述第一特征包括：所述第一应用报文流的传输时段的时间戳和/或所述第一应用报文流的地址信息。

结合第七方面，在第七方面的某些实现方式中，根据所述第一标识得到所述校正因子包括：若所述收发模块接收所述第一模型，则所述处理模块根据所述第一标识和所述第一应用报文流的特征信息得到所述第一模型的所述校正因子；若所述接收模块接收所述第一模型的部分，则所述处理模块根据所述第一标识和所述第一特征得到所述第一模型的所述校正因子。

第八方面，提供了一种通信设备，包括，处理器，存储器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得该通信设备执行第一或第二或第三或第四方面及其各种可能实现方式中的通信方法。

一种可能的实现方式，所述处理器为一个或多个，所述存储器为一个或多个。

一种可能的实现方式，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

可选的，该通信设备还包括，发射机(发射器)和接收机(接收器)。

第九方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述第一方面或第二方面或第三方面或第四方面中任一种可能实现方式中的方法。

第十方面，提供了一种计算机可读介质，所述计算机可读介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面或第二方面或第三方面或第四方面中任一种可能实现方式中的方法。

第十一方面，提供了一种芯片系统，包括存储器和处理器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得安装有该芯片系统的通信设备执行上述第一方面或第二方面或第三方面或第四方面中任一种可能实现方式中的方法。

其中，该芯片系统可以包括用于发送信息或数据的输入电路或者接口，以及用于接收信息或数据的输出电路或者接口。

附图说明

图1是本申请实施例应用场景的系统示意图。

图2是本申请实施例的系统结构示意图。

图3是本申请实施例的应用报文流特征模型示意图。

图4是本申请实施例中一优化应用报文流特征模型的方法流程图。

图5是本申请实施例中一优化应用报文流特征模型的方法流程图。

图6是本申请实施例中一应用检测的方法流程图。

图7是本申请实施例中再一应用检测的方法流程图。

图8是本申请实施例中另一应用检测的方法流程图。

图9是本申请实施例中另一应用检测的方法流程图。

图10是本申请实施例中通信装置的一例的示意性框图。

图11是本申请实施例中通信装置的一例的示意性框图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统或新无线(new radio，NR)等。

本申请实施例以5G网络系统为例进行说明，需要说明的是本申请同样可以应用于现有的4G网络系统，也可以适用于未来的6G等网络系统，本申请对此不作限制。

以5G系统为例，图1是本申请应用的网络系统示意图。其中包括网络数据分析网元、接入和移动管理网元、会话管理网元、策略控制网元和切片接入控制网元。另外，该系统的正常运行期间还会和终端设备、接入网(access network，AN)设备、用户面网元、网络切片选择网元等进行交互。

下面分别对上述设备或网元进行介绍。

接入和移动管理网元：主要用于移动网络中的终端的附着、移动性管理、跟踪区更新流程，接入管理网元终结了非接入层(non access stratum，NAS)消息、完成注册管理、连接管理以及可达性管理、分配跟踪区域列表(track area list，TA list)以及移动性管理等，并且透明路由会话管理(session management，SM)消息到会话管理网元。在5G通信系统中，接入管理网元可以是接入与移动性管理功能(access and mobility management function，AMF)。

会话管理网元：主要用于移动网络中的会话管理，如会话建立、修改、释放。具体功能如为终端分配互联网协议(internet protocol，IP)地址、选择提供报文转发功能的用户面网元等。在5G通信系统中，会话管理网元可以是会话管理功能(session management function，SMF)。

策略控制网元：包含用户签约数据管理功能、策略控制功能、计费策略控制功能、服务质量(quality of service，QoS)控制等。在5G通信系统中，策略控制网元可以是策略控制功能(policy control function，PCF)。需要指出实际网络中PCF还可能按照层次或按功能分为多个实体，例如全局PCF和切片内的PCF，或者会话管理PCF(session management PCF，SM-PCF)和接入管理PCF(access management PCF，AM-PCF)。

网络切片选择网元：主要用于为终端的业务选择合适的网络切片。在5G通信系统中，网络切片选择网元可以是网络切片选择功能(network slice selection function，NSSF)网元。

统一数据管理网元：负责管理终端的签约信息。在5G通信系统中，统一数据管理网元可以是统一数据管理(unified data management，UDM)。

数据分析网元：从各个网络功能(network function，NF，即AMF、SMF、PCF等)，可以通过网络开发功能(network exposure function，NEF)或直接从应用功能(application function，AF)，以及从运行管理和维护(operation administration and maintenance，OAM)系统收集数据并进行分析和预测。在5G通信系统中，数据分析网元可以是网络数据分析功能(network data analytics function，NWDAF)。在本申请实施例中，NWDAF还可以向上述各个网络功能，AF或OAM输出推荐值。

用户面网元：主要负责对用户报文进行处理，如转发、计费、合法监听等。用户面网元也可以称为协议数据单元(protocol data unit，PDU)会话锚点(PDU session anchor，PSA)。在5G通信系统中，用户面网元可以是用户面功能(user plane function，UPF)。UPF可以通过类似服务化的接口直接和NWDAF通信，也可以通过其他途径，例如通过SMF或者和NWDAF之间的私有接口或内部接口，和NWDAF通信。

服务化使得5G核心网形成一个扁平化的架构，通过控制面的信令总线，同一个网络切片的控制面网络功能实体之间可以通过NRF相互发现对方，获得对方的访问地址信息，然后可以通过控制面信令总线直接相互通信。

除了上述服务化的控制面网络功能实体外，本申请实施例还涉及下列设备或网元：

终端设备：是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。终端设备有时也可以称为用户设备(user equipment，UE)、移动台和远方站等，本申请的实施例对终端设备所采用的具体技术、设备形态以及名称不做限定。

接入网AN(access network)设备：用于负责终端设备的无线侧接入，可能的部署形态包括：集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)的分离场景以及单站点场景。其中，在分离场景中，CU支持无线资源控制(radio resource control，RRC)、分组数据汇聚协议(packet data convergence protocol，PDCP)、业务数据适配协议(service data adaptation protocol，SDAP)等协议；DU主要支持无线链路控制层(radio link control，RLC)、媒体接入控制层(media access control，MAC)和物理层协议。在单站点场景中，单站点可以包括(new radio Node，gNB)、演进型节点B(evolved Node B， eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station,BTS)、家庭基站、基带单元(base band unit，BBU)等。

图2是本申请实施例的系统结构图。如图2所示，本申请实施例中，NWDAF网元会和UE进行联邦学习。NWDAF网元和UE进行联邦学习时，NWDAF网元从UPF网元收集应应用报文流的特征信息和地址信息，作为NWDAF网元侧的训练数据。UE将本地存储的应用活动信息作为UE侧的训练数据。联邦学习代理(federated learning proxy，FL Proxy)网元获得各个用户同意UE参与联邦学习的授权，另外FL Proxy网元作为AF网元连接NWDAF网元和各个UE之间的数据通道，在联邦学习过程中交换模型训练的中间数据。

NWDAF分为模型训练逻辑功能(model training logical function，MTLF)和分析推理逻辑功能(analytics logical function，AnLF)两个部分。NWDAF网元具有MTLF功能和AnLF功能中的至少一个功能，因此本申请中MTLF可以是独立的网元，也可以是网元中的功能单元。同理，AnLF可以是独立的网元，也可以是网元中的功能单元。MTLF根据收集的数据训练模型，模型训练完成后，向一到多个AnLF分发训练好的模型。在上述解决方案中，MTLF使用上述大量数据预先进行机器学习训练，得到各种应用的应用报文流的统计特征与其应用标识对应的模型，然后将这个模型分发到AnLF。AnLF向各个网元提供分析服务，根据UPF提供的待识别流的统计特征，使用模型进行推理，输出对应的应用类型。

联邦学习(Federated Learning)：又名联合学习，联盟学习。联邦学习是一个机器学习框架，能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下，进行数据使用和机器学习建模。联邦学习各个参与方各自建模，自有数据不出本地,而后联邦系统可以通过加密机制下的模型参数交换方式,即在不违反数据隐私法规情况下,建立一个虚拟的共有模型。这个虚拟模型就好像大家把数据聚合在一起建立的最优模型一样。但是在建立虚拟模型的时候,数据本身不移动,也不泄露隐私和影响数据合规。根据联邦学习所使用数据在各参与方的不一样分布状况，能够将联邦学习划分为横向联邦学习(horizontal federated learning,HFL)和纵向联邦学习(vertical federated learning,VFL)。其中，横向联邦学习中不一样参与方的数据有较大的特征的重叠，但数据样本，即特征所属的样本的重叠度不高。纵向联邦学习中不一样参与方的数据样本有较大的重叠，但样本特征的重叠度不高。纵向联邦学习算法有利于各方之间合作，使用各自的特有数据特征，共同创建更增强大的模型。

通过联邦学习，NWDAF网元可以随着应用的变化及时更新模型，获得了更加准确地应用报文流特征模型，从而提高应用检测的准确性。

UPF网元能够用于检测UE与应用服务器之间的应用报文流。UPF网元内部包括特征检测模块，特征检测模块用于获取并输出应用报文流的特征信息。UPF网元将应用报文流的特征信息发送给NWDAF网元。NWDAF网元中包括应用报文流特征模型，应用报文流特征模型能够根据待检测应用报文流的特征信息确定对应的App ID。

其中，应用报文流的特征信息用于描述应用业务的收发报文模式。具体地，应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。

在另一种可能的实现方式中，UPF网元中储存有应用标识(application identifier，App ID)对应的报文流描述(packet flow description，PFD)，其中App ID对应的PFD是能够实现应用报文流检测的信息的集合，其包括：PFD标识PFD ID，以及协议、服务器侧IP(因特网协议)地址和端口号组成的三元组；或者要匹配的统一资源定位符(uniform resource locator，URL)的重要部分，示例性地，该URL的重要部分是主机名或者匹配的标准域名(full qualified domain name，FQDN)。

示例性地，应用提供商的AF网元会将一个或多个App ID对应的PFD提供给报文流描述功能(packet flow description function，FPFD)网元，其中PFDF网元一般内置在NEF网元中，PFDF网元会通过SMF网元把App ID对应的PFD设置到UPF网元上。

UPF网元内部包括快速检测模块和特征检测模块，其中快速检测模块能够根据报文流描述(packet flow description，PFD)识别应用报文流对应的应用标识，对于不能匹配PFD的应用报文流(即没有对应的PFD的应用报文流，又称为待检测应用报文流)，由特征检测模块获取并输出待检测应用报文流的特征信息和待检测应用报文流的地址信息。

UPF网元将待检测应用报文流的特征信息和待检测应用报文流的地址信息发送给NWDAF网元。NWDAF网元中包括应用报文流特征模型，并根据应用报文流特征模型向PFDF网元或SMF网元或UPF网元提供分析服务。应用报文流特征模型能够根据待检测应用报文流的特征信息确定对应的App ID，NWDAF网元、PFDF网元、SMF网元、UPF网元中的至少一个网元根据App ID和待检测应用报文流的地址信息生成PFD并安装到UPF网元上，后续UPF网元根据PFD就可以使用快速检测模块对上述应用报文流进行应用检测。

利用UPF中的快速检测模块对应用报文流进行检测，可以避免对每条应用报文流都进行复杂的模型匹配检测，大大减少了运算量和处理时间，提高了用户面设备的处理性能。

图3是本申请实施例的应用报文流特征模型示意图。NWDAF和UE进行联邦学习，NWDAF获得应用报文流特征模型。这个模型是一个深度神经网络，其输入侧是一些特征参数，其中一部分特征是NWDAF持有的，另一部分特征由UE持有，还有一部分特征是双方共有的，双方共有的特征可以用于联邦学习过程中各方的样本对齐。通过联邦学习可以获得更多特征维度的模型，相比于较少维度的模型，具有更好的准确性。这个深度神经网络的各层神经元都有一些参数，其中包括通过联邦学习由大量样本训练来确定的最佳权重参数。其输出侧是运营商关注的一些应用，除这些关注的应用外的其他应用都会被认为属于“其它应用”。通过联邦学习获得这个模型后，通过在输入侧输入应用报文流的特征信息，就能够在输出侧得到应用报文流匹配的应用标识，即运营商关注的某个应用，或者属于“其它应用”(例如APP ID为others)。

图4是本申请实施例中另一优化应用报文流特征模型的方法流程图。

S410，网络设备获取第一应用报文流特征模型，该应用报文流特征模型可以根据输入的应用报文流的特征信息得到对应的App ID。

在一种可能的实现方式中，运营商在网络设备中预先设定了第一应用报文流特征模型。

在另一种可能的实现方式中，网络设备根据网络设备收集的训练数据进行初始训练得到第一业务数据模型。

S420，UE向网络设备发送第一请求信息，第一请求信息用于请求该UE在网络设备上对应的数据样本，第一请求信息包括UE标识信息，示例性地，UE标识信息是UE的用户永久标识(subscription permanent identifier，SUPI)。

在一种可能的实现方式中，UE使用网络设备的公共密钥加密上述信息，这样除了网络设备外，其它无关实体都无法解密上述信息，从而保护了用户隐私。

S430，网络设备接收第一请求信息，根据第一请求信息中的UE标识信息从本地训练数据中查找UE相关的样本数据，即所述第一数据。该样本数据的用户ID都为UE的标识(例如UE#1)，该样本数据包括各个时间片内UE侧的应用报文流的地址信息，应用报文流的特征信息，以及网络设备从UE接收或向UE发送应用报文流的时间片所对应的时间戳。其中，应用报文流的地址信息是UE和应用服务器之间传递的某个应用的报文的源地址(IP地址或MAC地址)、目的地址(IP地址或MAC地址)、协议、源端口号、目的端口号中的全部或部分组合。具体的，UE侧的应用报文流的地址信息是指UE发送的应用报文流报文的源地址或UE接收的应用报文流报文的目的地址。其中应用报文流的特征信息用于描述业务的收发报文模式。具体的，应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。

S440，网络设备向UE发送第一响应信息，第一响应信息包括UE对应的数据样本。在一种可能的实现方式中，第一响应信息还包括应用报文流特征模型参数。

在一种可能的实现方式中，第一响应信息可以包括UE在一个时间段内一个或多个应用报文流所对应的数据样本，也可以包括UE在多个时间段内一个或多个应用报文流所对应的数据样本。

在一种可能的实现方式中，网络设备通过UE的公共密钥加密后将第一响应信息发送给UE，这样除了UE外，其它无关实体都无法解密第一响应信息，从而保护了UE的用户隐私。

应用报文流特征模型参数用于UE生成第一应用报文流特征模型。

在一种可能的实现方式中，应用报文流特征模型参数包括第一应用报文流特征模型的全部参数，UE本身没有应用报文流特征模型，根据应用报文流特征模型参数生成第一应用报文流特征模型。

在另一种可能的实现方式中，UE本身具有应用报文流特征模型，应用报文流特征模型参数包括应用报文流特征模型的最新权重参数，UE根据应用报文流特征模型参数将应用报文流特征模型更新为第一应用报文流特征模型。

在一种可能的实现方式中，UE本身具有应用报文流特征模型的完整模型，这时UE对应的数据样本包括各个时间片内UE侧的应用报文流的地址信息，应用报文流的特征信息，以及时间片对应的时间戳。

在另一种可能的实现方式中，UE本身具有应用报文流特征模型的部分模型，这时UE 对应的数据样本只包括各个时间片内UE侧的应用报文流的地址信息和/或时间戳。

S450，UE接收第一响应信息，根据第一响应信息生成第一应用报文流特征模型并进行根据UE对应的数据样本从UE的本地数据中找到对应的应用活动信息。应用活动信息包括各个APP的电量消耗、各个APP是否在前台亮屏、各个APP使用的网络接口的IP地址和端口信息，各个APP的收发流量中的一个或多个。

S460，UE根据应用活动信息和样本数据分析出样本数据对应的样本标签，样本标签包括样本数据对应的App ID。

具体地，UE通过分析对齐样本数据中的应用活动信息，得到对齐样本数据对应的概率最大的应用是哪一个，并判断其是否为运营商关注的某个应用，或者属于“其它应用”，从而得到对齐样本数据的样本标签(即模型输出侧的APP ID)。

S470，UE根据样本数据和样本标签，利用第一应用报文流特征模型得到梯度因子信息。梯度因子信息用于校正第一应用报文流特征模型，梯度因子信息包括第一应用报文流特征模型的梯度和损失。

在一种可能的实现方式中，UE本身具有应用报文流特征模型的完整模型，这时UE根据样本数据和样本标签，计算应用报文流特征模型的完整模型的梯度因子信息。

在另一种可能的实现方式中，UE本身具有应用报文流特征模型的部分模型，这时UE根据样本数据和样本标签，只计算应用报文流特征模型的部分模型的梯度因子信息。

S480，UE将梯度因子信息发送给网络设备。

在一种可能的实现方式中，UE将梯度因子信息加密后发送给网络设备。

因为只发送了模型的梯度因子，并不包含UE安装了什么应用，什么时间段使用了什么应用等能够反映用户习惯的信息，所以用户的隐私得到了保护。

S490，网络设备根据梯度因子信息更新第一应用报文流特征模型，具体地，网络设备使用梯度因子更新模型的权重参数。

在一种可能的实现方式中，UE本身具有应用报文流特征模型的完整模型，这时网络设备根据参与联邦学习的UE发来的梯度因子信息更新第一应用报文流特征模型。

在另一种可能的实现方式中，UE本身具有应用报文流特征模型的部分模型，网络设备本身具有应用报文流特征模型的网络设备侧部分模型，网络设备首先根据发送给UE的样本数据对应的应用报文流的特征信息，计算网络设备侧部分模型的梯度因子信息，网络设备根据参与联邦学习的UE发来的梯度因子信息和自身计算的网络设备侧部分模型的梯度因子信息一起更新第一应用报文流特征模型。类似的，网络设备还可以将自身计算的网络设备侧部分模型的梯度因子信息进一步加密发送给相应的UE，UE也可以根据网络设备计算的梯度因子信息和UE自身计算的梯度因子信息更新UE的应用报文流特征模型。如果UE根据梯度因子信息更新自身的应用报文流特征模型，那么在后续联邦学习过程中，网络设备向UE发送第一响应信息(步骤S440)中可以不包含应用报文流特征模型参数。

应理解，本申请实施例中，UE与网络设备之间的通信可以是通过其它设备实现。

在一种可能的实现方式中，UE和网络设备通过AF进行通信，AF可以是安装在网络设备中的。

在另一种可能的实现方式中，UE和网络设备通过FL Proxy进行通信，UE和网络设备都是登记在FL Proxy中可以进行联邦学习的设备，FL Proxy可以是安装在网络设备中的。

应理解，本申请实施例中，网络设备和UE都只是示意性的，实际进行联邦学习时，有大量的UE参与，这些UE共用网络设备中的第一应用报文流特征模型，上述S480中，网络设备可以根据所有与其进行联邦学习的UE发送的梯度因子信息进行模型更新。

应理解，上述步骤仅仅是一轮模型更新训练，实际上网络设备可以经过多轮训练得到更加准确的应用报文流特征模型，甚至在网络设备在进行后续用应用报文流特征模型进行分析服务时也能进行应用报文流特征模型的更新训练。每轮更新后的应用报文流特征模型可以作为下轮模型更新训练的初始应用报文流特征模型。

通过这样的在线学习，应用版本升级等引起的变化，会被很快通过联邦学习反映到应用报文流特征模型中，从而提高了应用报文流特征模型的准确性。

S510，网络设备获取第一应用报文流特征模型，该应用报文流特征模型可以根据输入的应用报文流的特征信息得到对应的App ID。

S520，UE向网络设备发送第一请求信息，第一请求信息用于请求该UE在网络设备上对应的数据样本，第一请求信息包括UE标识信息，示例性地，UE标识信息是UE的用户永久标识(subscription permanent identifier，SUPI)。

S530，网络设备接收第一请求信息，根据第一请求信息中的UE标识信息从本地训练数据中查找UE相关的样本数据。该样本数据的用户ID都为UE的标识(例如UE#1)，该样本数据包括各个时间片内UE的应用报文流的地址信息，应用报文流的特征信息，以及时间片对应的时间戳。网络设备还将样本数据输入第一应用报文流特征模型得到计算结果，该计算结果为第一应用报文流特征模型得到的样本数据对应的应用标识。网络设备将各个时间片内UE侧应用报文流的地址信息和/或时间片对应的时间戳作为发送给UE的样本数据，即UE对应的数据样本。

其中，应用报文流的地址信息是UE和应用服务器之间传递的某个应用的报文的源地址(IP地址或MAC地址)、目的地址(IP地址或MAC地址)、协议、源端口号、目的端口号中的全部或部分组合。具体的，UE侧的应用报文流的地址信息是指UE发送的应用报文流报文的源地址或UE接收的应用报文流报文的目的地址。其中应用报文流的特征信息用于描述业务的收发报文模式。具体的，应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。

S540，网络设备向UE发送第一响应信息，第一响应信息包括UE对应的数据样本。

S550，UE接收第一响应信息，根据UE对应的数据样本从UE的本地数据中找到对应的应用活动信息。应用活动信息包括各个APP的电量消耗、各个APP是否在前台亮屏、各个APP使用的网络接口的IP地址和端口信息，各个APP的收发流量中的一个或多个。

S560，UE根据应用活动信息和样本数据分析出样本数据对应的样本标签，样本标签包括样本数据对应的App ID。

具体地，UE通过分析对齐样本数据中的应用活动信息，得到对齐样本数据对应的概率最大的应用是哪一个，并判断其是否为运营商关注的某个应用，或者属于“其它应用”，从而得到对齐样本数据的样本标签(即模型输出侧的APP ID)。其中，概率最大的应用可以选择应用活动信息中某个APP使用的网络接口的IP地址和端口信息与样本数据中的UE侧应用报文流的地址信息相同，并且应用活动信息中这个APP的电量消耗和/或前台亮屏时间与样本数据中的时间戳匹配。

S570，UE向网络设备发送样本标签。

在一种可能的实现方式中，UE将样本标签加密后发送给网络设备。

S580，网络设备根据计算结果和样本标签得到梯度因子信息。

S590，网络设备根据梯度因子信息更新第一应用报文流特征模型，具体地，网络设备使用梯度因子更新模型的权重参数。

应理解，本申请实施例中，网络设备和UE都只是示意性的，实际进行联邦学习时，有大量的UE参与，这些UE共用网络设备中的第一应用报文流特征模型，上述S580中，网络设备可以根据所有与其进行联邦学习的UE发送的梯度因子信息进行模型更新。

图6是本申请实施例中一应用检测的方法流程图。在获得可以通过联邦学习进行持续更新的应用报文流特征模型后，将该应用报文流特征模型应用在后续的分析服务中。本申请实施例中，应用于分析服务的应用报文流特征模型位于NWDAF网元。

S610，NWDAF确定范围内的UPF。

在一种可能的实现方式中，NWDAF根据自身的服务范围，确定范围内的UPF。

在另一种可能的实现方式中，PFDF向NWDAF发送分析订阅请求，具体的可以是PFD分析订阅请求，其中携带的参数可以指定网络范围，NWDAF根据分析订阅请求确定范围内的UPF。

S620，UPF收到某个应用的应用报文流中的报文，即所述第二应用报文流。

S630，因为UPF根据应用报文流中的报文的地址信息，无法匹配到已经设置的PFD，所以UPF进行报文流特征检测。UPF根据报文获得应用报文流的特征信息，即所述第二应用报文流的特征信息，其中应用报文流的特征信息用于描述业务的收发报文模式。具体的，应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。

S640，UPF向NWDAF发送第一信息，第一信息包括应用报文流的特征信息。

S650，NWDAF根据应用报文流的特征信息，使用应用报文流特征模型，确定应用报文流匹配的应用标识，即所述第一对应关系。

S660，NWDAF向UPF发送第二信息，第一信息包括应用报文流匹配的应用标识。

本申请实施例中，NWDAF还与UE进行在线的联邦学习，更新应用报文流特征模型。在此过程中，NWDAF从SMF、UPF等网元收集训练数据，其中包括UE的SUPI，UE建立的PDU会话信息、为UE分配的IP地址、UE的MAC地址，应用报文流收发流量大小变化样式，另外还包括每个应用报文流的起始时间、终止时间、承载协议、安全保护机制、报文序列中各个报文的长度、各个报文的发送间隔、每个时间片内的应用报文流的收发流量大小。UE从本地记录中获得应用活动信息，其中包括各个应用收发报文的时间，收发报文的{源IP地址，源端口，协议，目的IP地址，目的端口}五元组信息或UE的MAC地址信息，各个应用在各个时间片内的收发流量大小。UE使用时间戳信息，地址五元组信息或MAC地址信息，时间片内应用收发报文的时间和流量大小来进行样本对齐。其中，NWDAF与UE进行在线的联邦学习，更新应用报文流特征模型的具体步骤可以参见图4或图5，不再赘述。

本申请实施例中，将提取的应用报文流的特征信息放入应用报文流特征模型中进行处理，可以检测出应用报文流对应的应用名称，因为本身申请实施例中的应用报文流特征模型一直在更新优化，所以让检测出来的结果不受应用版本升级等引起的变化的影响，使得检测的结果更加准确。

图7是本申请实施例中另一应用检测的方法流程图。本申请实施例中，NWDAF网元中包括可以通过联邦学习进行持续更新的应用报文流特征模型，将该应用报文流特征模型应用在后续的分析服务中。其中，NWDAF与UE进行在线的联邦学习，更新应用报文流特征模型的具体步骤可以参见图4或图5，不再赘述。

应理解，本申请实施例针对的情况是UPF中储存的PFD无法直接匹配UPF接收到的应用报文流，若UPF中储存的PFD可以直接匹配UPF接收到的应用报文流则直接检测出应用标识，本申请实施例对此不作赘述。

S710，NWDAF确定范围内的UPF。

S720，UPF收到某个应用的应用报文流中的报文。

S730，UPF确定无法直接检测出应用报文流对应的应用标识。具体地，UPF的快速检测模块根据自身储存的PFD对应用报文流中的报文进行快速检测，无法检测到与报文匹配的PFD，将这个应用报文流作为待检测应用报文流，交给UPF中的特征检测模块进行处理。

S740，UPF进行报文流特征检测。具体地，UPF的特征检测模块根据报文获得待检测应用报文流的特征信息和待检测应用报文流的地址信息，其中待检测应用报文流的特征信息用于描述业务的收发报文模式，待检测应用报文流的地址信息用于描述报文收发源、目的信息中的至少一个。具体的，待检测应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。待检测应用报文流的地址信息包括承载协议、报文的源端口号、报文的目的端口号、报文的源IP地址、报文的目的IP地址，地址信息还可以包括源MAC地址和目的MAC地址，其中，承载协议、报文的源端口号、报文的目的端口号、报文的源IP地址、报文的目的IP地址以五元组的形式存在。。

S750，UPF向NWDAF发送第一信息，第一信息包括待检测应用报文流的特征信息、地址信息。

S760，NWDAF根据第一信息得到待检测应用报文流匹配的应用标识。NWDAF将待检测应用报文流的特征信息输入应用报文流特征模型得到待检测应用报文流匹配的应用标识。

S770，NWDAF根据待检测应用报文流匹配的应用标识、地址信息和UE的通信分析结果生成待检测应用报文流匹配的PFD和PFD的老化时间。

具体地，NWDAF可以从自身的本地数据中获得UE的通信特征分析，根据这个UE的通信特征分析，预测UE承载待检测应用报文流的PDU会话的持续时间，为这个PFD确定一个老化时间。等老化时间到期后，UPF会删除这个PFD，这样可以保证应用因为版本升级等发生变化后，UPF能及时更新最新的PFD。

在一种可能的实现方式中，NWDAF还可以扩展PFD，在PFD中新增加UE ID的信息，确保生成的这个PFD在UPF上只用于匹配这个UE的应用报文流，进一步提高应用检测的准确性。

在另一种可能的实现方式中，NWDAF还可以扩展PFD，在PFD中新增加终端设备的地址信息，确保生成的这个PFD在UPF上只用于匹配这个UE使用这个终端设备的地址进行发送和接收的应用报文流报文，进一步提高应用检测的准确性。

S780，NWDAF向UPF发送第二信息，第二信息包括PFD和PFD的老化时间。具体地，NWDAF通过PFDF或者通过PFDF和SMF将第二信息发送给UPF，本申请对此不做限制。

S790，UPF使用PFD处理上述应用的后续报文。如果PFD是经过扩展携带UE标识的PFD，那么UPF只在后续该UE的PDU会话承载的应用报文流使用这个PFD进行匹配，具体地，UPF通过N4接口从SMF获得PDU会话对应的UE标识，并根据UE标识使用携带相同UE标识的PFD对这个PDU会话承载的应用报文流进行匹配。如果PFD中包含终端设备的地址信息，那么UPF在后续应用报文流的终端侧接收的报文的目的地址和这个地址信息匹配时，或者在后续应用报文流的终端侧发送的报文的源地址和这个地址信息匹配时，才使用这个PFD进行匹配。如果PFD还有对应的老化时间，UPF在设置该PFD后，启动老化定时器，定时器到期后清除这个PFD。UPF将上述应用报文流的后续报文匹配到PFD，由快速检测模型执行处理。

本申请实施例除了应用更新的应用报文流特征模型提高检测结果的准确性外，还引入了UE ID和老化时间进一步提高了检测的准确性，此外，本申请实施例还使用应用报文流特征模型确定匹配的应用标识，并利用应用标识和应用报文流的地址信息，生成PFD，从而避免通过对整个应用报文流报文执行特征匹配来检测应用，提高了UPF的处理性能。

图8是本申请实施例中另一应用检测的方法流程图。本申请实施例中，NWDAF网元中包括可以通过联邦学习进行持续更新的应用报文流特征模型，将该应用报文流特征模型应用在后续的分析服务中。

S810，NWDAF确定范围内的UPF。

在另一种可能的实现方式中，PFDF向NWDAF发送分析订阅请求，具体地，分析订阅请求可以是PFD分析订阅请求，其中携带的参数可以指定网络范围。NWDAF根据分析订阅请求确定范围内的UPF。NWDAF还可以通过未知应用报文流事件订阅，从UPF收集向PFDF提供分析服务所需要的数据。

S820，UPF收到某个应用的应用报文流中的报文。

S830，UPF确定无法直接检测出应用报文流对应的应用标识。具体地，UPF的快速检测模块根据自身储存的PFD对应用报文流中的报文进行快速检测，无法检测到与报文匹配的PFD，将这个应用报文流作为待检测应用报文流，交给UPF中的特征检测模块进行处理。

S840，UPF进行报文流特征检测。具体地，UPF的特征检测模块根据报文获得待检测应用报文流的特征信息和待检测应用报文流的地址信息，其中待检测应用报文流的特征信息用于描述业务的收发报文模式，待检测应用报文流的地址信息用于描述报文收发源、目的信息中的至少一个。具体的，待检测应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制、应用报文流收发流量大小变化样式中的至少一种。待检测应用报文流的地址信息包括承载协议、报文的源端口号、报文的目的端口号、报文的源IP地址、报文的目的IP地址，地址信息还可以包括源MAC地址和目的MAC地址，其中，承载协议、报文的源端口号、报文的目的端口号、报文的源IP地址、报文的目的IP地址以五元组的形式存在。

S850，UPF向NWDAF发送第一信息，第一信息包括待检测应用报文流的特征信息和地址信息。这个步骤也可以认为是NWDAF从UPF收集未知应用报文流事件，其中事件报告中包含应用报文流的特征信息。

S860，NWDAF根据第一信息得到待检测应用报文流匹配的应用标识。

NWDAF将待检测应用报文流的特征信息输入应用报文流特征模型得到待检测应用报文流匹配的应用标识。

S870，NWDAF向PFDF发送第二信息，第二信息包括待检测应用报文流匹配的应用标识和待检测应用报文流的地址信息。NWDAF将待检测应用报文流匹配的应用标识，待检测应用报文流的地址信息，以及可选的老化时间作为分析服务的输出，发送给PFDF。

S880，PFDF根据第二信息得到待检测应用报文流对应的PFD。PFDF根据待检测应用报文流匹配的应用标识和待检测应用报文流的地址信息生成这个应用的应用报文流对应的PFD。

在一种可能的实现方式中，PFDF还可以根据NWDAF分析服务输出中包含的老化时间，为生成的PFD设置有效定时器。

S890，PFDF向UPF发送第三信息，第三信息包括待检测应用报文流对应的PFD，将PFD更新到UPF上，具体地，PFDF直接将更新后的PFD发到UPF上或PFDF通过SMF将更新后的PFD发到UPF上，本申请对此不做限制。

在一种可能的实现方式中，PFDF还将PFD的有效定时器也发送到UPF上。

S8100，UPF使用PFD处理上述应用的后续报文。UPF将上述应用报文流的后续报文匹配到PFD，由快速检测模型执行处理。

在一种可能的实现方式中，PFDF在PFD的有效定时器过期后，发消息通知UPF删除相应的PFD。

在另一种可能的实现方式中，UPF在PFD有效定时器过期后，UPF删除对应的PFD。

本申请实施例中，NWDAF还与UE进行在线的联邦学习，更新应用报文流特征模型。在此过程中，NWDAF从SMF、UPF等网元收集训练数据，其中包括UE的SUPI，UE建立的PDU会话信息、为UE分配的IP地址、UE的MAC地址，应用报文流收发流量大小变化样式，另外还包括每个应用报文流的起始时间、终止时间、承载协议、安全保护机制、报文序列中各个报文的长度、各个报文的发送间隔、每个时间片内的应用报文流的收发流量大小。UE从本地记录中获得应用活动信息，其中包括各个应用收发报文的时间，收发报文的{源IP地址，源端口，协议，目的IP地址，目的端口}五元组信息或UE的MAC地址信息，各个应用在各个时间片内的收发流量大小。UE使用时间戳信息，地址五元组信息或MAC地址信息，时间片内应用收发报文的时间和流量大小来进行样本对齐。其中， NWDAF与UE进行在线的联邦学习，更新应用报文流特征模型的具体步骤可以参见图4或图5，不再赘述。

本申请实施例除了应用更新的应用报文流特征模型提高检测结果的准确性外，还使用应用报文流特征模型确定匹配的应用标识，并利用应用标识和应用报文流的地址信息，生成PFD，从而避免通过对整个应用报文流报文执行特征匹配来检测应用，提高了UPF的处理性能。

图9是本申请实施例中另一应用检测的方法流程图。本申请实施例中，NWDAF网元中包括可以通过联邦学习进行持续更新的应用报文流特征模型，将该应用报文流特征模型应用在后续的分析服务中。

S910，NWDAF确定范围内的UPF。

在另一种可能的实现方式中，PFDF向NWDAF发送分析订阅请求，具体的可以是PFD分析订阅请求，其中携带的参数可以指定网络范围。，NWDAF根据分析订阅请求确定范围内的UPF。

S920，UPF收到某个应用的应用报文流中的报文。

S930，UPF确定无法直接检测出应用报文流对应的应用标识。具体地，UPF的快速检测模块根据自身储存的PFD对应用报文流中的报文进行快速检测，无法检测到与报文匹配的PFD，将这个应用报文流作为待检测应用报文流，交给UPF中的特征检测模块进行处理。

S940，UPF进行报文流特征检测。具体地，UPF的特征检测模块根据报文获得待检测应用报文流的特征信息和待检测应用报文流的地址信息，其中待检测应用报文流的特征信息用于描述业务的收发报文模式，待检测应用报文流的地址信息用于描述报文收发源、目的信息中的至少一个。具体的，待检测应用报文流的特征信息包括所述应用报文流的报文序列中各个报文的发送方向(即接收或发送)、各个报文的长度、各个报文的发送间隔、各个报文的安全保护机制中的至少一种。待检测应用报文流的地址信息包括承载协议、服务器侧的端口号和IP地址。

S950，UPF向NWDAF发送第一信息，第一信息包括待检测应用报文流的特征信息。

S960，NWDAF根据第一信息得到待检测应用报文流对应的应用标识。NWDAF将待检测应用报文流的特征信息输入应用报文流特征模型得到待检测应用报文流匹配的应用标识。

S970，NWDAF向UPF发送第二信息，第二信息包括待检测应用报文流对应的应用标识、待检测应用报文流匹配的应用标识和UE的通信分析结果。

S980，UPF生成待检测应用报文流匹配的PFD和PFD的老化时间。具体地，UPF根据待检测应用报文流匹配的应用标识和待检测应用报文流的地址信息生成这个应用的应用报文流对应的PFD。UPF还可以根据UE的通信分析结果中的通信预测信息，比如PDU会话的持续时间预测值，为这个PFD确定一个老化时间。等老化时间到期后，UPF会删除这个PFD，这样可以保证应用因为版本升级等发生变化后，UPF能及时更新最新的PFD。

S990，UPF使用PFD处理上述应用的后续报文。UPF将上述应用报文流的后续报文匹配到PFD，由快速检测模型执行处理。

图10为本申请实施例提供的通信装置10的示意图，如图10所示，该装置10可以为参与应用流特征信息模型更新的设备，例如，上述UE、网络设备，也可以为芯片或电路，比如可设置于上述参与应用流特征信息模型更新设备的芯片或电路。

该装置10可以包括处理器11(即，处理单元的一例)和存储器12。该存储器12用于存储指令，该处理器11用于执行该存储器12存储的指令，以使该装置10实现如图5中对应的方法中更新应用流特征信息模型的设备执行的步骤。

进一步的，该装置10还可以包括输入口13(即，通信单元的一例)和输出口14(即，通信单元的另一例)。进一步的，该处理器11、存储器12、输入口13和输出口14可以通过内部连接通路互相通信，传递控制和/或数据信号。该存储器12用于存储计算机程序，该处理器11可以用于从该存储器12中调用并运行该计算计程序，以控制输入口13接收信号，控制输出口14发送信号，完成上述方法中终端设备的步骤。该存储器12可以集成在处理器11中，也可以与处理器11分开设置。

一种可能的实现方式，若该通信装置10为通信设备，该输入口13为接收器，该输出口14为发送器。其中，接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时，可以统称为收发器。

一种可能的实现方式，若该通信装置10为芯片或电路，该输入口13为输入接口，该输出口14为输出接口。

作为一种实现方式，输入口13和输出口14的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器11可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器11、输入口13和输出口14功能的程序代码存储在存储器12中，通用处理器通过执行存储器12中的代码来实现处理器11、输入口13和输出口14的功能。

其中，通信装置10中各模块或单元可以用于执行上述方法中更新应用流特征信息模型的设备(例如，网络设备)所执行的各动作或处理过程，这里，为了避免赘述，省略其详细说明。

该装置10所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

图11为本申请实施例提供的通信装置20的示意图，如图11所示，该装置20可以为参与应用检测的设备，例如，NWDAF网元、UPF网元，也可以为芯片或电路，比如可设置于上述参与应用检测设备的芯片或电路。

该装置20可以包括处理器21(即，处理单元的一例)和存储器22。该存储器22用于存储指令，该处理器21用于执行该存储器22存储的指令，以使该装置20实现如图6-8中对应的方法中应用检测的设备执行的步骤。

进一步的，该装置20还可以包括输入口23(即，通信单元的一例)和输出口24(即，通信单元的另一例)。进一步的，该处理器21、存储器22、输入口23和输出口24可以通过内部连接通路互相通信，传递控制和/或数据信号。该存储器22用于存储计算机程序，该处理器21可以用于从该存储器22中调用并运行该计算计程序，以控制输入口23接收信号，控制输出口24发送信号，完成上述方法中终端设备的步骤。该存储器22可以集成在处理器21中，也可以与处理器21分开设置。

一种可能的实现方式，若该通信装置20为通信设备，该输入口23为接收器，该输出口24为发送器。其中，接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时，可以统称为收发器。

一种可能的实现方式，若该通信装置20为芯片或电路，该输入口23为输入接口，该输出口24为输出接口。

作为一种实现方式，输入口23和输出口24的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器21可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器21、输入口23和输出口24功能的程序代码存储在存储器22中，通用处理器通过执行存储器22中的代码来实现处理器21、输入口23和输出口24的功能。

其中，通信装置20中各模块或单元可以用于执行上述方法中应用检测的设备(例如，NWDAF网元)所执行的各动作或处理过程，这里，为了避免赘述，省略其详细说明。

该装置20所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，包括：

网络设备获取第一数据，所述第一数据是根据第一应用报文流确定的；

所述网络设备向终端设备发送第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流的应用对应的应用标识；

所述网络设备向所述终端设备发送所述第一数据；

所述网络设备接收来自所述终端设备的校正因子，所述校正因子是根据所述第一数据确定的；

所述网络设备根据所述校正因子对所述第一模型进行调整。
根据权利要求1所述的方法，其特征在于，所述网络设备是网络数据分析功能网元或用户面功能网元。
根据权利要求1或2所述的方法，其特征在于，所述第一数据包括：

所述第一应用报文流的地址信息，和/或

用于指示所述第一应用报文流的传输时段的时间戳。
根据权利要求3所述的方法，其特征在于，所述第一数据还包括：

所述第一应用报文流的特征信息。
根据权利要求1至4中任一项所述的方法，其特征在于，所述第一数据是经过所述网络设备加密后的数据。
根据权利要求1至5中任一项所述的方法，其特征在于，所述第一模型是所述网络设备和所述终端设备进行纵向联邦学习的模型。
根据权利要求1至6中任一项所述的方法，其特征在于，所述校正因子包括：

所述第一模型的梯度和/或损失。
根据权利要求1至7中任一项所述的方法，其特征在于，所述方法还包括：

所述网络设备将第二数据输入调整后的所述第一模型，获得第一标识；

所述第二数据是根据第二应用报文流确定的，所述第二数据包括所述第二应用报文流的特征信息。
根据权利要求8所述的方法，其特征在于，所述方法还包括：

所述网络设备确定所述第二应用报文流的特征信息和所述第一标识的第一对应关系。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述网络设备向用户面功能网元发送所述第一对应关系。
根据权利要求9或10所述的方法，其特征在于，所述方法还包括：

所述网络设备根据所述第一对应关系确定所述第二应用报文流对应的第一报文流描述。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

如果在第一时段内接收到第三应用报文流，则根据所述第一报文流描述，将所述第一标识确定为所述第三应用报文流对应的应用标识，所述第一时段为所述第一应用关系的有效时段，所述第三应用报文流的地址信息与所述第二应用报文流的地址信息相同。
根据权利要求8所述的方法，其特征在于，所述第二数据还包括所述第二应用报文流的地址信息，所述第二应用报文流的地址信息包括所述第二应用报文流携带的终端设备的地址信息。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述网络设备确定所述第二应用报文流的地址信息和所述第一标识的第二对应关系。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述网络设备向用户面功能网元发送所述第二对应关系。
根据权利要求14或15所述的方法，其特征在于，所述方法还包括：

所述网络设备根据所述第二对应关系确定第二报文流描述，所述第二报文流描述包括所述终端设备的地址信息。
一种通信方法，其特征在于，包括：

终端设备接收来自网络设备的第一数据，所述第一数据是根据第一应用报文流确定的；

所述终端设备接收来自网络设备的第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流的应用对应的应用标识；

所述终端设备根据所述第一数据确定第一标识；

所述终端设备根据所述第一标识确定校正因子，所述校正因子用于调整所述第一模型；

所述终端设备向所述网络设备发送所述校正因子。
根据权利要求17所述的方法，其特征在于，所述第一数据是经过所述网络设备加密的数据。
根据权利要求17或18所述的方法，其特征在于，所述第一数据包括：

所述第一应用报文流的地址信息，和/或

用于指示所述第一应用报文流的传输时段的时间戳。
根据权利要求19所述的方法，其特征在于，所述第一数据还包括：

所述第一应用报文流的特征信息。
根据权利要求17至20所述的方法，其特征在于，所述终端设备根据所述第一数据得到所述第一标识包括：

所述终端设备根据所述第一数据确定第一特征，所述第一特征是所述终端设备数据和所述网络设备数据共有的特征；

所述终端设备根据所述第一特征确定与第一数据对应的第二数据，所述第二数据包括所述第一标识。
根据权利要求21所述的方法，其特征在于，所述第一特征包括：

所述时间戳和/或所述第一应用报文流的地址信息。
根据权利要求20所述的方法，其特征在于，根据所述第一标识得到所述校正因子包括：

若所述终端设备接收所述第一模型，则所述终端设备根据所述第一标识和所述第一应用报文流的特征信息确定所述第一模型的所述校正因子；或者

若所述终端设备接收所述第一模型的部分，则所述终端设备根据所述第一标识和所述第一特征确定所述第一模型的所述校正因子。
一种通信装置，其特征在于，包括：

处理模块，用于获取应用相关的第一数据，所述第一数据是根据第一应用报文流确定的；

收发模块，用于向终端设备发送所述第一数据和第一模型或者所述第一模型的部分，所述第一模型用于确定所述第一应用报文流应用对应的应用标识，所述第一数据用于确定第一模型的校正因子；

所述收发模块，还用于接收来自所述终端设备的所述校正因子；

所述处理模块，还用于根据所述校正因子对所述第一模型进行调整。
根据权利要求24所述的装置，其特征在于，

所述收发模块，还用于获取第二数据；

所述处理模块，还用于将所述第二数据输入调整后的所述第一模型，得到第一标识。
一种通信装置，其特征在于，包括：

收发模块，用于接收来自网络设备的第一数据、第一模型或者所述第一模型的部分，所述第一数据是根据第一应用报文流确定的，所述第一模型用于确定所述第一应用报文流应用对应的应用标识，所述第一数据用于确定第一模型的校正因子；

处理模块，用于根据所述第一数据得到第一标识并根据所述第一标识和所述第一特征得到校正因子，所述校正因子用于调整所述第一模型；

所述收发模块，还用于向所述网络设备发送所述校正因子。
根据权利要求26所述的装置，其特征在于，根据所述第一数据得到所述第一标识包括：

所述处理模块根据所述第一数据确定第一特征，所述第一特征是所述终端设备和所述网络设备数据共有的特征；

所述处理模块根据所述第一特征确定与第一数据对应的第二数据，所述第二数据包括所述第一应用的应用标识。
根据权利要求26或27所述的装置，其特征在于，根据所述第一标识得到所述校正因子包括：

若所述收发模块接收所述第一模型，则所述处理模块根据所述第一标识和所述第一应用报文流的特征信息得到所述第一模型的所述校正因子；

若所述接收模块接收所述第一模型的部分，则所述处理模块根据所述第一标识和所述第一特征得到所述第一模型的所述校正因子。
一种通信系统，其特征在于，包括：第一网络设备和第二网络设备；

所述第一网络设备用于获取并向所述第二网络设备发送应用相关的第一数据，所述第一数据是根据第一应用报文流确定的；

所述第一网络设备用于向第二网络设备发送第一模型或第一模型的部分，所述第一模型用于确定所述应用对应的应用标识；

所述第二网路设备用于接收并向所述终端设备发送所述第一数据和所述第一模型或所述第一模型的部分，所述第一数据用于确定第一模型的校正因子；所述第二网络设备还用于接收并向所述第一网络设备发送所述校正因子；

所述第一网络设备还用于根据所述校正因子调整所述第一模型。
根据权利要求29所述的系统，其特征在于，所述第一网络设备还用于使用调整过的所述第一模型得到第一标识。
根据权利要求30所述的系统，其特征在于，所述第一网络设备还用于得到应用报文流的特征信息和所述第一标识的第一对应关系或应用报文流的地址信息和所述第一标识的第二对应关系。
根据权利要求31所述的系统，其特征在于，所述第一网络设备还用于向所述第二网络设备发送所述第一对应关系或所述第二对应关系。
根据权利要求31或32所述的系统，其特征在于，所述第一网络设备还用于确定所述第一对应关系或所述第二对应关系的有效时间。
根据权利要求29至33中任一项所述的系统，其特征在于，所述第一网络设备是网络数据分析功能网元；所述第二网络设备是用户面功能网元。
一种通信装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机程序，以使得所述通信装置执行权利要求1至16中任一项所述的通信方法。
一种通信装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机程序，以使得所述通信装置执行权利要求17至23中任一项所述的通信方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至23中任意一项所述的通信方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序，当所述计算机程序被运行时，使得计算机执行如权利要求1至23中任意一项所述的通信方法。
一种芯片系统，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片系统的通信设备执行如权利要求1至23中任意一项所述的通信方法。
一种通信系统，其特征在于，包括如权利要求35所述的通信装置，如权利要求36所述的通信装置。