检测网络攻击的方法和通信装置制造方法及图纸

本申请提供一种检测网络攻击的方法和通信装置，在该方法中，NWDAF网元向NRF网元订阅网络功能(例如，UPF)的状态的改变。当黑客篡改了某个网络功能的实例信息之后，NRF网元会接收到来自于该网络功能的NF状态更新消息，NF状态更新消息中携带该网络功能的改变后的实例信息。NRF网元向NWDAF网元通知该网络功能的实例信息的改变。进一步地，NWDAF网元通过调用与NSSMF/OAM之间的管理服务，判断NSSMF/OAM上保存的该网络功能的实例信息，与该网络功能的改变后的实例信息是否一致。如果不一致，则可以确定该网络功能可能面临网络攻击的安全风险。确定该网络功能可能面临网络攻击的安全风险。确定该网络功能可能面临网络攻击的安全风险。

【技术实现步骤摘要】
检测网络攻击的方法和通信装置


[0001]本申请涉及网络安全
更具体地，涉及一种检测网络攻击的方法和通信装置。

技术介绍

[0002]第五代(the 5th generation,5G)移动通信系统的业务多样性决定了5G网络需要满足超大宽带、海量连接以及超可靠超低时延等需求。为了应对这些新业务和新应用，需要一个更敏捷、更智能以及更弹性的网络。例如多接入边缘计算(multi
‑
edge computing,MEC)作为5G网络的关键技术，可以在移动网络边缘提供网络、计算和存储能力，由于更靠近终端和用户，可以更好地提供超低时延、超大带宽以及高实时性能力。
[0003]但是，5G网络在越来越走向敏捷和开放的同时，也面临着越来越大的安全风险，如何识别和检测出潜在的安全风险尤为重要。

技术实现思路

[0004]本申请提供一种检测网络攻击的方法和通信装置，可以检测出网络是否受到攻击，进而有利于通过采用相应的措施来避免网络面临的安全风险。
[0005]第一方面，提供了一种检测网络攻击的方法，该方法包括：
[0006]NWDAF网元接收来自于NRF网元的NF状态通知消息，所述NF状态通知消息用于通知第一网络功能的实例信息的更新，所述NF状态通知消息包含第一网络功能的第一实例信息，第一实例信息为第一网络功能的更新后的实例信息；
[0007]NWDAF网元根据第一实例信息，确定第一网络功能是否受到攻击。
[0008]在本申请的技术方案中，NWDAF网元接收来自于NRF网元的NF状态通知消息，该NF状态通知消息用于通知第一网络功能的实例信息的改变。NWDAF网元根据第一网络功能的实例信息的改变，可以快速检测或识别出第一网络功能是否可能面临网络攻击，进而有利于通过采用相应的措施来避免网络可能面临的安全风险。
[0009]结合第一方面，在第一方面的某些实现方式中，NWDAF网元根据第一实例信息，确定第一网络功能是否受到攻击，包括：
[0010]NWDAF网元从OAM或NSSMF网元获取第一网络功能的第二实例信息，第二实例信息为所述OAM或NSSMF网元保存的第一网络功能的实例信息；
[0011]在第一实例信息与第二实例信息不一致的情况下，NWDAF网元确定第一网络功能受到攻击。
[0012]在该实施例中，NWDAF网元在接收到第一网络功能的实例信息发生改变的通知的情况下，NWDAF网元获取OAM/NSSMF网元保存的第一网络功能的实例信息，并将OAM/NSSMF网元保存的第一网络功能的实例信息与改变后的第一网络功能的实例信息进行比较，在两者不一致的情况下，确定第一网络功能可能受到网络攻击。
[0013]结合第一方面，在第一方面的某些实现方式中，第一实例信息包括第一网络切片
的信息，第一网络切片为更新后的第一网络功能所服务的网络切片；
[0014]NWDAF网元根据第一实例信息，确定第一网络功能是否受到攻击，包括：
[0015]NWDAF网元从NRF网元获取第一网络切片的第一信息，第一信息指示NRF网元发现的第一网络切片提供的第一网络功能实例的列表；
[0016]NWDAF网元从OAM或NSSMF网元获取第一网络切片的第二信息，第二信息指示OAM或NSSMF网元保存的第一网络切片提供的第一网络功能实例的列表；
[0017]在第一信息和第二信息不一致的情况下，NWDAF网元确定第一网络功能受到攻击。
[0018]在该实施例中，NWDAF网元在接收到第一网络功能的实例信息发生改变的通知的情况下，进一步地，如果第一网络功能所服务的网络切片发生变化，例如变更为第一网络切片，则NWDAF网元从NRF网元获取第一信息，第一信息指示NRF网元发现的第一网络切片所提供的第一网络功能实例(例如，UPF实例)的列表，并从OAM/NSSMF获取第二信息，第二信息指示OAM/NSSMF网元保存的第一网络切片所提供的第一网络功能实例(例如，UPF实例)的列表。NWDAF网元通过将NRF网元发现的第一网络切片下的第一网络功能实例与OAM/NSSMF网元保存的第一网络切片下的第一网络功能实例进行比较，在两者不一致的情况下，确定第一网络功能可能受到网络攻击。
[0019]应理解，在该实施例中，假设UPF所服务的网络切片变更为网络切片#1。NWDAF网元查询NRF网元发现的网络切片#1下的UPF实例，并查询OAM/NSSMF网元保存的网络切片#1下的UPF实例，并将两者进行比较，如果NRF网元发现的网络切片#1下的UPF实例与OAM/NSSMF网元保存的网络切片#1下的UPF实例不一致，则可以确定该UPF可能受到网络攻击。
[0020]进一步地，在该实现方式中，该方法还包括：
[0021]在第一信息和第二信息不一致的情况下，NWDAF网元确定第一网络切片受到攻击。
[0022]在该实施例中，NWDAF网元除了确定第一网络功能可能受到网络攻击，NWDAF网元还可以确定第一网络切片也可能受到网络攻击。因此，在该实施例中，NWDAF网元所能检测受到网络攻击的范围更广。
[0023]结合第一方面，在第一方面的某些实现方式中，NWDAF网元接收来自于NRF网元的NF状态通知消息之前，该方法还包括：
[0024]NWDAF网元向NRF网元发送网络功能订阅消息，所述网络功能订阅消息用于订阅一个或多个网络功能的实例信息的更新，所述一个或多个网络功能包括第一网络功能。
[0025]结合第一方面，在第一方面的某些实现方式中，所述网络功能订阅消息包括第二网络功能的如下信息的一项或多项：
[0026]服务的网络切片、优先级、容量或负载；
[0027]其中，所述第二网络功能为所订阅的所述一个或多个网络功能中的任意一个网络功能。
[0028]结合第一方面，在第一方面的某些实现方式中，第一实例信息包括第一网络功能的如下信息的一项或多项：
[0029]优先级、容量、负载或第一网络功能所服务的切片。
[0030]结合第一方面，在第一方面的某些实现方式中，第一网络功能为用户面功能UPF。
[0031]第二方面，提供了一种检测网络攻击的方法，该方法包括：
[0032]NRF网元接收来自于第一网络功能的网络功能NF更新消息，所述NF更新消息用于
通知第一网络功能的实例信息的更新，NF更新消息包括第一网络功能的第一实例信息，第一实例信息为第一网络功能的更新后的实例信息；
[0033]NRF网元向NWDAF网元发送NF状态通知消息，NF状态通知消息用于通知第一网络功能的实例信息的更新，NF状态通知消息包括第一实例信息。
[0034]结合第二方面，在第二方面的某些实现方式中，NRF网元向NWDAF网元发送NF状态通知消息之前，该方法还包括：
[0035]NRF网元接收来自于NWDAF网元的网络功能订阅消息，所述网络功能订阅消息用于订阅一个或多个网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测网络攻击的方法，其特征在于，包括：网络数据分析功能NWDAF网元接收来自于网络仓储功能NRF网元的网络功能NF状态通知消息，所述NF状态通知消息用于通知第一网络功能的实例信息的更新，所述NF状态通知消息包含所述第一网络功能的第一实例信息，所述第一实例信息为所述第一网络功能的更新后的实例信息；所述NWDAF网元根据所述第一实例信息，确定所述第一网络功能是否受到攻击。2.根据权利要求1所述的方法，其特征在于，所述NWDAF网元根据所述第一实例信息，确定所述第一网络功能是否受到攻击，包括：所述NWDAF网元从操作管理和维护OAM或网络切片子网管理功能NSSMF网元获取所述第一网络功能的第二实例信息，所述第二实例信息为所述OAM或NSSMF网元保存的所述第一网络功能的实例信息；在所述第一实例信息与所述第二实例信息不一致的情况下，所述NWDAF网元确定所述第一网络功能受到攻击。3.根据权利要求1所述的方法，其特征在于，所述第一实例信息包括第一网络切片的信息，所述第一网络切片为更新后的所述第一网络功能所服务的网络切片；所述NWDAF网元根据所述第一实例信息，确定所述第一网络功能是否受到攻击，包括：所述NWDAF网元从所述NRF网元获取所述第一网络切片的第一信息，所述第一信息指示所述NRF网元发现的所述第一网络切片提供的第一网络功能实例的列表；所述NWDAF网元从OAM或NSSMF网元获取所述第一网络切片的第二信息，所述第二信息指示所述OAM或NSSMF网元保存的所述第一网络切片提供的第一网络功能实例的列表；在所述第一信息和所述第二信息不一致的情况下，所述NWDAF网元确定所述第一网络功能受到攻击。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在所述第一信息和所述第二信息不一致的情况下，所述NWDAF网元确定所述第一网络切片受到攻击。5.根据权利要求1
‑
4中任一项所述的方法，其特征在于，所述NWDAF网元接收来自于NRF网元的NF状态通知消息之前，所述方法还包括：所述NWDAF网元向所述NRF网元发送网络功能订阅消息，所述网络功能订阅消息用于订阅一个或多个网络功能的实例信息的更新，所述一个或多个网络功能包括所述第一网络功能。6.根据权利要求5所述的方法，所述网络功能订阅消息包括第二网络功能的如下信息的一项或多项：服务的网络切片、优先级、容量或负载；其中，所述第二网络功能为所订阅的所述一个或多个网络功能中的任意一个网络功能。7.根据权利要求1
‑
6中任一项所述的方法，其特征在于，所述第一实例信息包括所述第一网络功能的如下信息的一项或多项：优先级、容量、负载或所述第一网络功能所服务的切片。8.根据权利要求1
‑
7中任一项所述的方法，其特征在于，所述第一网络功能为用户面功
能UPF。9.一种检测网络攻击的方法，其特征在于，包括：NRF网元接收来自于第一网络功能的网络功能NF更新消息，所述NF更新消息用于通知所述第一网络功能的实例信息的更新，所述NF更新消息包括所述第一网络功能的第一实例信息，所述第一实例信息为所述第一网络功能的更新后的实例信息；所述NRF网元向NWDAF网元发送NF状态通知消息，所述NF状态通知消息用于通知所述第一网络功能的实例信息的更新，所述NF状态通知消息包括所述第一实例信息。10.根据权利要求9所述的方法，其特征在于，所述NRF网元向NWDAF网元发送NF状态通知消息之前，所述方法还包括：所述NRF网元接收来自于所述NWDAF网元的网络功能订阅消息，所述网络功能订阅消息用于订阅一个或多个网络功能的实例信息的变化，所述一个或多个网络功能包括所述第一网络功能。11.根据权利要求9或10所述...

【专利技术属性】
技术研发人员：杨文进，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：