【技术实现步骤摘要】
本申请实施例涉及通信领域,并且更具体地,涉及一种异常检测的方法和通信装置。
技术介绍
1、在第五代(the 5th generation,5g)通信系统中,网络数据分析功能网元(networkdata analytics function,nwdaf)可以对终端设备在网络侧(例如,接入与移动管理网元、会话管理网元等)产生的数据进行分析,并通过构建被分析者的行为画像来确定被分析者的行为(例如,通信行为)是否异常。nwdaf可以向网络侧的功能网元(例如,策略控制功能网元,接入与移动管理网元等)提供数据分析结果(analytics),以便其他网元根据该数据分析结果做出快速的响应,及时阻断被分析者的异常行为,例如,阻断终端设备的异常通信。
2、为了尽可能地阻断网络中终端设备的异常行为,需要分析网元(例如,nwdaf)对网络中的终端设备做到“应检尽检”。即需要分析网元分析网络中尽可能多的终端设备的行为,提高异常终端设备检测的精准度。然而,在对大量终端设备的行为进行分析时,如何降低分析网元的负担成为一个亟待解决的问题。
技术实现思路
1、本申请实施例提供一种异常检测的方法和通信装置,该方法可以在对大量终端设备的行为进行分析的同时,降低分析网元的负担。
2、第一方面,提供了一种异常检测的方法,该方法包括:向第一用户面网元发送第一请求消息,该第一请求消息用于请求上报第一终端设备的第一数据的传输情况;接收来自该第一用户面网元的该第一数据的传输情况;在根据第一级别的异常检测策略
3、在本申请实施例提供的异常检测的方法中,根据不同级别的异常检测策略以及终端设备的数据传输情况确定终端设备是否异常,可以实现对终端设备异常的“应检尽检”,即对终端设备的行为,进行多个级别的检测,从而可以提高异常终端设备检测的精准度,进而可以减小分析网元检测的终端设备的范围,减轻分析网元的负担。
4、结合第一方面,在第一方面的某些实现方式中,该第一级别的异常检测策略包括该第一数据的传输情况与用于确定是否存在该第一级别的异常的第一阈值的对应关系,该第二级别的异常检测策略包括该第二数据的传输情况与用于确定是否存在该第二级别的异常的第二阈值的对应关系。
5、结合第一方面,在第一方面的某些实现方式中,该第一数据的传输情况包括以下中的至少一个:该第一用户面网元中该第一终端设备的至少一个会话的数据包的数量,该第一用户面网元中该第一终端设备的至少一个会话的数据包的传输速度,该第一用户面网元中该第一终端设备的至少一个会话的数据包的传输离散度,该第一用户面网元中该第一终端设备的不同类型的数据包的数量的比例。
6、结合第一方面,在第一方面的某些实现方式中,该第二数据的传输情况包括以下中的一个或多个:该至少一个用户面网元中的任一用户面网元中的该第一终端设备的至少一个会话的数据包的数量,该至少一个用户面网元中的任一用户面网元中的该第一终端设备的至少一个会话的数据包的传输速度,该至少一个用户面网元中的任一用户面网元中的该第一终端设备的至少一个会话的数据包的传输离散度,或该第一终端设备的不同类型的数据包的数量的比例。
7、结合第一方面,在第一方面的某些实现方式中,由第一分析网元向该第一用户面网元发送该第一请求消息;该第一分析网元接收来自该第一用户面网元的该第一数据的传输情况;该第一分析网元确定该第一终端设备存在该第一级别的异常;由第二分析网元向该至少一个用户面网元发送该第二请求消息;该第二分析网元确定该第一终端设备是否存在该第二级别的异常;其中,该第一分析网元的服务范围小于该第二分析网元的服务范围。
8、结合第一方面,在第一方面的某些实现方式中,该第一分析网元向该第二分析网元发送指示该第一终端设备存在该第一级别的异常的信息。
9、结合第一方面,在第一方面的某些实现方式中,若该第二分析网元确定该第一终端设备存在该第二级别的异常,该第二分析网元向策略控制网元或者应用功能网元反馈该第一终端设备存在该第二级别的异常的信息;或者,若该第二分析网元确定该第一终端设备不存在该第二级别的异常,该第二分析网元向策略控制网元或者应用功能网元反馈该第一终端设备存在该第一级别的异常的信息。
10、结合第一方面,在第一方面的某些实现方式中,该第一分析网元接收用于请求分析至少一个终端是否异常的信息,该至少一个终端包括该第一终端设备;该第一分析网元根据该用于请求分析至少一个终端是否异常的信息,向该第一用户面网元发送该第一请求消息。
11、结合第一方面,在第一方面的某些实现方式中,该方法还包括发送用于确认是否需要对该第一终端设备进行该第二级别的异常检测的信息;接收用于指示需要对该第一终端设备进行该第二级别的异常检测的信息。
12、结合第一方面,在第一方面的某些实现方式中,该方法还包括根据第一级别的异常检测策略确定第一级别的数据包检测规则pdr,该第一级别的pdr用于检测该第一数据,该第一请求消息包括用于指示第一级别的pdr的信息;根据第二级别的异常检测策略确定第二级别的pdr,该第二级别的pdr用于检测该第二数据,该第二请求消息包括用于指示第二级别的pdr的信息。
13、第二方面,提供一种异常检测的方法,该方法包括第一用户面网元接收用于请求确定第一终端设备的第一数据的传输情况的请求消息;该第一用户面网元根据该第一级别的异常检测策略和该第一数据的传输情况,确定该第一终端设备存在该第一级别的异常;该第一用户面网元向分析网元发送指示该第一终端设备存在该第一级别的异常的信息;该第一用户面网元接收来自该分析网元的第二请求消息,该第二请求消息用于请求上报该第一终端设备的第二数据的传输情况;该第一用户面网元向该分析网元上报该第一终端设备的该第二数据的传输情况,该第二数据的传输情况用于确定该第一终端设备是否存在该第二级别的异常。
14、在本申请实施例提供的异常检测的方法中,第一用户面网元可以根据异常检测策略以及终端设备的数据传输情况确定终端设备是否异常,在终端设备存在异常的情况下,该第一用户面网元还可以向分析网元发送该终端设备的数据传输情况,以使分析网元确定该终端设备是否存在其他级别的异常,可以实现对终端设备异常的“应检尽检”,即对终端设备的行为,进行多个级别的检测,从而可以提高异常终端设备检测的精准度,减小分析网元检测的终端设备的范围,减轻分析网元的负担。
15、结合第二方面,在二方面的某些实现方式中,该第一级别的异常检测策略包括该第一数据的传输情况与用于确定是否存在该第一级别的异常的第一阈值的对应关系。
16、结合第二方面,在二方面的某些实现方式中,该第一本文档来自技高网...
【技术保护点】
1.一种异常检测的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系,所述第二级别的异常检测策略包括所述第二数据的传输情况与用于确定是否存在所述第二级别的异常的第二阈值的对应关系。
3.根据权利要求1或2所述的方法,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
4.根据权利要求1至3任一项所述的方法,其特征在于,所述第二数据的传输情况包括以下中的一个或多个:
5.根据权利要求1至4任一项所述的方法,其特征在于,
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述向第一用户面网元发送第一请求消息之前,所述方法还包括:
9.根据权利要求1至8中任一项所述的方法,其特征在于,在所述向所述至少一个用户面网元发送所述第二
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述方法还包括:
11.一种异常检测的方法,其特征在于,所述方法包括:
12.根据权利要求11所述的方法,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系。
13.根据权利要求11或12所述的方法,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述用于请求确定第一终端设备的第一数据的传输情况的请求消息包括用于指示第一级别的数据包检测规则PDR的信息,所述第一级别的PDR用于检测所述第一数据,所述第二请求消息包括用于指示第二级别的PDR的信息,所述第二级别的PDR用于检测所述第二数据。
15.一种通信装置,其特征在于,所述装置包括收发单元和处理单元,
16.根据权利要求15所述的装置,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系,所述第二级别的异常检测策略包括所述第二数据的传输情况与用于确定是否存在所述第二级别的异常的第二阈值的对应关系。
17.根据权利要求15或16所述的装置,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
18.根据权利要求15至17任一项所述的装置,其特征在于,所述第二数据的传输情况包括以下中的一个或多个:
19.根据权利要求15至18任一项所述的装置,其特征在于,所述处理单元还用于确定所述第一终端设备存在所述第一级别的异常。
20.根据权利要求18或19所述的装置,其特征在于,所述收发单元还用于:
21.根据权利要求15至20中任一项所述的装置,其特征在于,所述收发单元还用于:
22.根据权利要求15至21中任一项所述的装置,其特征在于,所述收发单元还用于:
23.根据权利要求15至22中任一项所述的装置,其特征在于,所述处理单元还用于:
24.一种通信系统,其特征在于,所述系统包括第一分析网元和第二分析网元,
25.根据权利要求24所述的系统,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系,所述第二级别的异常检测策略包括所述第二数据的传输情况与用于确定是否存在所述第二级别的异常的第二阈值的对应关系。
26.根据权利要求24或25所述的系统,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
27.根据权利要求24至26任一项所述的系统,其特征在于,所述第二数据的传输情况包括以下中的一个或多个:
28.根据权利要求24至27任一项所述的系统,其特征在于,
29.根据权利要求28所述的系统,其特征在于,
30.根据权利要求24至29中任一项所述的系统,其特征在于,
31.根据权利要求24至30中任一项所述的系统,其特征在于,
32.一种通信装置,其特征在于,包括:
33.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,当所述计算机程序被通信装置运行时,使得所述装置执行如权利要求1至10中任意一项所述的方法,或者,执行如权利要...
【技术特征摘要】
1.一种异常检测的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系,所述第二级别的异常检测策略包括所述第二数据的传输情况与用于确定是否存在所述第二级别的异常的第二阈值的对应关系。
3.根据权利要求1或2所述的方法,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
4.根据权利要求1至3任一项所述的方法,其特征在于,所述第二数据的传输情况包括以下中的一个或多个:
5.根据权利要求1至4任一项所述的方法,其特征在于,
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述向第一用户面网元发送第一请求消息之前,所述方法还包括:
9.根据权利要求1至8中任一项所述的方法,其特征在于,在所述向所述至少一个用户面网元发送所述第二请求消息之前,所述方法还包括:
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述方法还包括:
11.一种异常检测的方法,其特征在于,所述方法包括:
12.根据权利要求11所述的方法,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系。
13.根据权利要求11或12所述的方法,其特征在于,所述第一数据的传输情况包括以下中的至少一个:
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述用于请求确定第一终端设备的第一数据的传输情况的请求消息包括用于指示第一级别的数据包检测规则pdr的信息,所述第一级别的pdr用于检测所述第一数据,所述第二请求消息包括用于指示第二级别的pdr的信息,所述第二级别的pdr用于检测所述第二数据。
15.一种通信装置,其特征在于,所述装置包括收发单元和处理单元,
16.根据权利要求15所述的装置,其特征在于,所述第一级别的异常检测策略包括所述第一数据的传输情况与用于确定是否存在所述第一级别的异常的第一阈值的对应关系,所述第二级别的异常...
【专利技术属性】
技术研发人员:李论,吴义壮,崔洋,孙陶然,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。