CN110830422A - 一种终端行为数据处理方法及设备 - Google Patents
一种终端行为数据处理方法及设备 Download PDFInfo
- Publication number
- CN110830422A CN110830422A CN201810911341.2A CN201810911341A CN110830422A CN 110830422 A CN110830422 A CN 110830422A CN 201810911341 A CN201810911341 A CN 201810911341A CN 110830422 A CN110830422 A CN 110830422A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network device
- target network
- behavior data
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种终端行为数据处理方法及设备,涉及通信技术领域。该方法包括:通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。本发明的方案,解决了对于终端行为的判断数据较为单一,造成判断结果误差较大的问题。
Description
技术领域
本发明涉及通信技术领域,特别是指一种终端行为数据处理方法及设备。
背景技术
物联网作为一种全新的信息通信技术典型,其应用已经逐步渗入各个领域。据IDC(互联网数据中心,Internet Data Center)预测,到2020年,全球物联网连接将达到300亿;到2025年,全球物联网连接将达到700亿。巨大的物联网连接需求,对物联网的网络能力提出了更高的要求,以(NB-IoT窄带物联网,Narrow Band Internet of Things)和物联网的应用场景eMTC等为代表的广域蜂窝物联网技术采用授权频谱,具有干扰小、高可靠的特点,将承接大量物联网业务。在网络功能方面,蜂窝物联网核心网面向蜂窝物联网深覆盖、低成本、低功耗和海量连接的需求,通过优化信令流程、数据传输方案、移动性管理方案等,来适应蜂窝物联网CIoT终端低速低频的数据传输需求,辅助终端达到省电和降低成本的目的,构建轻量级的核心网。
然而,随着物联网技术和产业的高速发展,大规模的物联网应用亦面临严峻的安全挑战和资源有效调度需求。
在安全方面,一方面,大部分物联网设备无人值守,如拉卡拉、共享单车等设备,易损坏,甚至盗取盗用、无法及时维护,带来财产损失;另一方面,大量物联网设备,如网络摄像头、路由器等直接暴露在互联网上,容易被网络爬虫和恶意攻击者发现。更严重的是,这些设备中有相当大的比例存在弱口令、已知漏洞等风险,可能被恶意代码感染成为僵尸主机。这些被感染的设备会继续感染其他的设备,组成大规模的物联网僵尸网络;或者,它们接受并执行来自命令和控制服务器的指令,发动大规模DDoS(分布式拒绝服务,Distributed Denial of Service)攻击,对互联网上的业务造成很严重的破坏和影响。因此迫切需要对终端行为、尤其是无人值守终端的行为进行监督和监测,以对其中的异常行为做好***和预警,可有效减少损失。
在资源调度方面,物联网是海量终端的互联,海量业务、海量数据对目前的有限资源提出了严峻的调度和高利用率需求,尤其对于低延迟业务,如消防业务、安保业务、恶劣天气监测报警业务,网络必须有能力在满足整体业务公平性的同时满足此类业务的超低延迟需求,以保证人身和财产的安全。
但是,现有技术中,对于终端行为的判断数据较为单一,造成判断结果误差较大的问题。
发明内容
本发明的目的是提供一种终端行为数据处理方法及设备,能够通过多维度数据刻画终端行为,得到更准确地行为判断结果。
为达到上述目的,本发明的实施例提供一种终端行为数据处理方法,应用于第一网络设备,包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
其中,所述方法还包括:
分析所述终端行为数据,获得分组信息,其中归属于同一组的终端具有相同的特征描述信息。
其中,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
其中,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
其中,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
其中,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
其中,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
其中,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
其中,所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
其中,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述第一网络设备包括网络数据分析功能NWDAF。
为达到上述目的,本发明的实施例提供一种终端行为数据处理方法,应用于第一网络设备,包括:
将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
其中,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述将分组信息发送至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
其中,在所述将分组信息发送至第二目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
其中,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
其中,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
其中,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
其中,所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
其中,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述第一网络设备包括NWDAF。
为达到上述目的,本发明的实施例提供一种终端行为数据处理方法,应用于第一网络设备,包括:
发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
其中,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
其中,所述发送检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
其中,在所述发送检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
其中,在所述发送检测结果至第三目标网络设备之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
其中,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,在所述发送检测结果至第三目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
其中,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
其中,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
其中,所述第一网络设备包括NWDAF。
为达到上述目的,本发明的实施例提供一种终端行为数据处理方法,应用于第一网络设备,包括:
通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
其中,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
接收第四目标网络设备发送的所述初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个。
其中,在所述接收第四目标网络设备发送的所述初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述方法还包括:
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
其中,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
其中,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
其中,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
其中,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
其中,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
其中,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
其中,所述第一网络设备包括NWDAF。
为达到上述目的,本发明的实施例提供一种终端行为数据处理方法,应用于第二网络设备,包括:
接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
其中,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
其中,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
其中,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的异常通知,所述异常通知包括所述检测结果;
所述方法还包括:
发送异常通知确认至所述第一网络设备。
其中,在所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
发送订阅异常请求至所述第一网络设备;
所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的订阅异常响应,所述订阅异常响应包括所述检测结果。
其中,在所述接收第一网络设备发送的目标终端的检测结果之后,还包括:
根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理。
其中,所述第二网络设备为PCF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的策略决策。
其中,所述第二网络设备为AMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理。
其中,所述第二网络设备为SMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制。
其中,所述第二网络设备为AMF、SMF或者PCF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理之前,还包括:
接收所述第一网络设备或第二目标网络设备发送的分组信息;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息;所述第二目标网络设备为UDR和/或UDM;
在根据所述分组信息确定目标终端异常的情况下,发送初级异常标识至所述第一网络设备。
其中,所述第二网络设备为UDR或者UDM;
在所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
接收第一网络设备发送的分组信息。
其中,所述接收第一网络设备发送的分组信息,包括:
接收所述第一网络设备发送的增加/更新分组请求,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
发送增加/更新分组响应至所述第一网络设备。
其中,所述方法还包括:
删除业务关停状态的异常终端的分组信息;其中,所述异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围;
当接收到终端注册请求后,判断是否存在所述终端注册请求的发送终端的分组信息;
若不存在,则拒绝所述发送终端注册接入;若存在,则注册接入。
其中,所述方法还包括:
发送分组信息至AMF、SMF或者PCF中的至少一个,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
其中,所述第二网络设备为AF;
在所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
其中,所述方法还包括:
发送自身记录的终端行为数据至所述第一网络设备。
为达到上述目的,本发明的实施例提供一种NWDAF,包括第一处理器和第一收发器,其中,
所述第一收发器用于通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
为达到上述目的,本发明的实施例提供一种NWDAF,包括第二处理器和第二收发器,其中,
所述第二收发器用于将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
为达到上述目的,本发明的实施例提供一种NWDAF,包括第三处理器和第三收发器,其中,
所述第三收发器用于发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
为达到上述目的,本发明的实施例提供一种NWDAF,包括第四处理器和第四收发器,其中,
所述第四处理器用于通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
为达到上述目的,本发明的实施例提供一种网络设备,包括第五处理器和第五收发器,其中,
所述第五收发器用于接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
为达到上述目的,本发明的实施例提供一种网络设备,包括收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述计算机程序时实现如上应用于第一网络设备的终端行为数据处理方法,或者实现如上应用于第一网络设备的终端行为数据处理方法。
为达到上述目的,本发明的实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上应用于第一网络设备的终端行为数据处理方法的步骤,或者实现如上应用于第一网络设备的终端行为数据处理方法的步骤。
本发明的上述技术方案的有益效果如下:
本发明实施例的终端行为数据处理方法,可经由作为终端行为数据源的第一目标网络设备(即UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个)获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
附图说明
图1为本发明一实施例的应用于第一网络设备的终端行为数据处理方法的流程图;
图2为本发明实施例中***的结构图;
图3为本发明实施例的方法在场景一中的应用示意图;
图4为本发明实施例的方法在场景二中的应用示意图;
图5为本发明实施例的方法在场景三中的应用示意图;
图6为本发明实施例的方法在场景四中的应用示意图;
图7为本发明实施例的方法在场景五中的应用示意图;
图8为本发明实施例的方法在场景六中的应用示意图;
图9为本发明实施例的方法在场景七中的应用示意图;
图10为本发明实施例的方法在场景八中的应用示意图;
图11为本发明实施例的方法在场景九中的应用示意图;
图12为本发明实施例的方法在场景十中的应用示意图;
图13为本发明实施例的方法在场景十一中的应用示意图;
图14为本发明另一实施例的应用于第一网络设备的终端行为数据处理方法的流程图;
图15为本发明又一实施例的应用于第一网络设备的终端行为数据处理方法的流程图;
图16为本发明再一实施例的应用于第一网络设备的终端行为数据处理方法的流程图;
图17为本发明实施例的应用于第二网络设备的终端行为数据处理方法的流程图;
图18为本发明一实施例的NWDAF的结构示意图;
图19为本发明另一实施例的NWDAF的结构示意图;
图20为本发明又一实施例的NWDAF的结构示意图;
图21为本发明再一实施例的NWDAF的结构示意图;
图22为本发明一实施例的网络设备的结构示意图;
图23为本发明另一实施例的网络设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的对于终端行为的判断数据较为单一,造成判断结果误差较大的问题,提供了一种终端行为数据处理方法,通过多维度数据刻画终端行为,得到更准确地行为判断结果。
如图1所示,本发明实施例的一种终端行为数据处理方法,应用于第一网络设备,包括:
步骤101,通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
在该实施例中,第一网络设备F可经由作为终端行为数据源的第一目标网络设备(UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个)获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
其中,所述第一网络设备包括网络数据分析功能NWDAF。
如图2所示,***200中的NWDAF能够与UDR、UDM、UPF、AMF、SMF、PCF、OAM以及AF进行通信。
具体地,NWDAF可以向第一目标网络设备请求终端行为数据,也可以通过与第一目标网络设备之间的协议,由第一目标网络设备主动发送终端行为数据。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
这里,终端的地理位置可以是地区信息(如北京海淀区);时间特性是终端行为在时间上的特性,如终端在工作日使用的应用程序APP是A1类型,而在非工作日使用的APP是A2类型;移动规律是终端行为在位置上的规律,如终端在工作日的一时间段内总是从B1位置移动到B2位置;功能特性是终端行为在功能上的特性,如终端在最近时间段内总是访问关于某地的旅游网站;发包特性是终端行为在发包上的特性,如终端的发包频率;数据包大小是终端行为在数据包上的特性,如每月数据包总量在一固定范围内;源地址-目的地址是终端行为在网络访问上的特性,如终端经常访问的C网站。当然,终端行为数据并不限于上述内容,在此不再一一列举。
该实施例中,NWDAF获取到终端行为数据后,为便于后续进行终端异常判断,可选地,所述方法还包括:
分析所述终端行为数据,获得分组信息,其中归属于同一组的终端具有相同的特征描述信息。
这里,该特征描述信息对应终端行为数据,也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址等。例如,针对地理位置,会将地理位置相同的消防栓和水位监测仪分为一组;针对时间特性,会将定时开关的路灯分为一组;针对数据包大小,会将大流量上传视频数据的摄像头分为一组;针对发包特性,会将小包频发的水表和电表分为一组。当然,该特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小和源地址-目的地址中至少两者的组合,来完成分组。NWDAF将基于已获取到的终端行为数据,按照共同的特征描述信息进行分组,得到分组信息,从而为终端行为是否异常的判断提供依据。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这样,分组信息就能够针对不同需求来对分组结果进行描述。其中,对于指示每个组标识对应的终端设备标识和特征描述信息的分组信息(即组级分组信息),可由组集形式表示,如{Group i:<终端设备UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数},这里i为当前组的组标识;对于指示每个终端设备标识对应的组标识和特征描述信息的分组信息(即终端级分组信息),可由终端设备属性集形式表示,如{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数},这里群组m为UE j所属的分组。当然,上述两种不同指示内容的分组信息,除使用集合表示外,还可以由不同格式列表等其它方式表示,在此不再赘述。
当然,分组信息中往往还包括终端设备的突发行为数据(历史行为数据),以在对终端行为异常检测过程中,避免将突发行为误判断为异常。
在本发明实施例中,对于所得的分组信息,考虑到NWDAF自身存储该分组信息,会占用资源,影响到工作性能,因此,可选的,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
这里,NWDAF将经分组后得到的分组信息发送到第二目标网络设备(即UDR和/或UDM),以将该分组信息存储到该第二目标网络设备中。
可选地,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
NWDAF发送包括分组信息的增加/更新分组请求至第二目标网络设备,将分组信息传递到第二目标网络设备,之后接收该第二目标网络设备发送的增加/更新分组响应,来获知分组信息的传递结果。
应该了解的是,该实施例中,对于NWDAF发送到第二目标网络设备的分组信息,该第二目标网络设备在接收到该分组信息后可对其进行存储,在后续可回传NWDAF,以便NWDAF针对终端进行异常检测;还可发送给第四目标网络设备(即AMF、SMF或者PCF中的至少一个),使得第四目标网络设备能够基于分组信息对终端进行初步的异常检测。其中,若NWDAF发送至第二目标网络设备的分组信息指示每个组标识对应的终端设备标识和特征描述信息,在发送给第四目标网络设备之前,会对该分组信息进行针对终端设备的调整,使得调整后的分组信息指示每个终端设备标识对应的组标识和特征描述信息,以便该第四目标网络设备能完成针对终端设备的初步的异常检测。
另外,在该实施例中,可选地,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF能够由分组后得到的分组信息,对目标终端(一个或多个)的当前行为数据进行异常检测,得到检测结果,之后通过发送该检测结果至第三目标网络设备(即UDR、UDM、AMF、SMF、PCF、OAM或者AF中的至少一个),使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。这里,NWDAF异常检测所依据的分组信息,可以是分组后存储在本地的分组信息,也可以是存储在第二目标网络设备的。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
如此,NWDAF实时分析目标终端的当前行为数据进行异常检测的过程中,不仅可以对终端(行为)是否异常进行判断,还可以对终端(行为)异常度进行判断,得到检测结果,使得第三目标网络设备能够针对异常标识和/或异常等级标识进行对应管理。
其中,对于群组终端的异常检测中所使用的常态特征阈值范围,是根据该群组分组信息中的特征描述信息所确定的。例如,对于同一组的路灯,其特征描述信息为“19:00开,5:30关”,考虑到开关的延时,所确定的常态特征阈值范围包括开灯时间“18:58-19:02”和关灯时间“4:28-5:32”。而由三级异常等级的标准,既可实时对该组路灯以及组中一路灯的当前行为数据进行分析,进行异常等级的划分。以开灯时间为例,若一路灯或者该组中小于第一阈值(如3个)数量的路灯的开灯时间,均属于“18:58-19:02”内,但其开灯时间为18:59或者19:02,属于常态特征阈值范围的边缘区域,则可为该路灯或者该组路灯配置第一异常等级标识;若一路灯开灯时间,脱离“18:58-19:02”,则可为该路灯或者该组路灯配置第二异常等级标识;若该组中大于第二阈值(可与第一阈值相同如3个,也可不同)数量的路灯的开灯时间,脱离“18:58-19:02”,则可为该组路灯或者仅对该组路灯中脱离常态特征阈值范围的路灯配置第二异常等级标识。其中,边缘区域为避免误差,往往不设置为具体值,而是为一较小区间,如“18:58-19:02”的边缘区域包括:“18:58.00-18:59.10”和“19:01.50-19:02.00”。
其中,可选地,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
这里,NWDAF可在得到检测结果后直接由异常通知将该检测结果告知给第三目标网络设备,并通过接收第三目标网络设备发送的异常通知确认,了解该检测结果成功传输。此时,UDR、UDM、AMF、SMF、PCF、OAM以及AF是否可接收到包括检测结果的异常通知,是由NWDAF决定的,例如,NWDAF中预先配置了可接收异常通知的网络设备,或者NWDAF会根据检测结果,按照其内策略选择可接收异常通知的网络设备等。
又或者,可选地,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
这里,第三目标网络设备会提前向NWDAF发送订阅异常请求,告知NWDAF其需要获知异常检测的检测结果,之后NWDAF就会将检测结果通过订阅异常响应发送到该第三目标网络设备。其中,第三目标网络设备向NWDAF发送订阅异常请求,优选的,也可以在进行异常检测之前。
该实施例中,第四目标网络设备为能够接收分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)的网络设备,可基于该分组信息进行针对终端设备的初步异常检测,得到终端设备的初步异常标识。因此,所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
NWDAF将先接收到第四目标网络设备发送的初级异常标识,之后,就能够结合接收到的该初级异常标识以及经分析所得的分组信息,对与该初级异常标识对应的目标终端进行异常检测,得到检测结果。这里,通过接收初级异常标识,NWDAF已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。
可选地,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这里,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息是由NWDAF发送的。具体的,可以是NWDAF在经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)后,直接发送给该第四目标网络设备的,NWDAF还会收到对应的响应;也可是第四目标网络设备向NWDAF请求该分组信息,NWDAF根据该请求反馈对应的响应,响应中包括所需的分组信息。其中,优选的,第四目标网络设备在监测到终端设备上线使用数据业务后,向NWDAF请求对应当前终端设备的分组信息,以便减少信令开支。
此外,在上述内容中可知,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息还可是第二目标网络设备提供的。其中,该第二目标网络设备可以是将接收到的NWDAF发送的分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)转发给该第四目标网络设备;又或者,在接收到的NWDAF发送的分组信息(该分组信息指示每个组标识对应的终端设备标识和特征描述信息),对其进行针对终端设备的调整后发送给该第四目标网络设备。同样的,第四目标网络设备可以接收第二目标网络设备主动发送的分组信息,并向第二目标网络设备反馈对应的响应;也可以向第二目标网络设备请求该分组信息,第二目标网络设备根据该请求反馈对应的响应,响应中包括所需的分组信息。
还应该了解的是,在本发明的实施例中,不同的网络设备接收到NWDAF发送的检测结果后,往往将对应自身功能进行相应管理:
PCF会根据目标终端的异常标识和/或异常等级标识,进行对应的策略决策;AMF会根据目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理;SMF会根据目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制;UDR和UDM在存储分组信息的情况下,会删除业务关停状态的异常终端(即该异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围)的分组信息(如在所属分组中删除终端设备标识,或者删除终端设备标识以及与该终端设备标识对应的组信息和特征描述信息),继而当接收到终端注册请求后,判断是否存在该终端注册请求的发送终端的分组信息,若不存在则拒绝所述发送终端注册接入,若存在则注册接入;AF会根据目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
当然,上述网络设备针对NWDAF发送的检测结果的处理方式,仅是较佳的实现,不排除该网络设备的其它处理方式,在此不再赘述。
下面,将结合不同应用场景说明本发明实施例的方法应用(假设场景一到场景五,NWDAF经分析所得的分组信息是存储在本地的,场景六至场景十一NWDAF经分析所得的分组信息是存储在UDR和/或UDM的):
场景一、NWDAF与PCF的交互、PCF根据终端异常检测的结果进行策略管理,如图3所示:
步骤1:NWDAF收集来自于其它网络设备(包括但不限定于AMF、SMF、UPF、UDR/UDM、PCF、OAM、AF等)的终端行为数据(包括但不限定于终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小、源地址-目的地址等)。
步骤2:NWDAF根据收集的终端行为数据进行分组(按照某些共同特征为终端智能分组,如地理位置相同的消防栓/水位监测仪、定时开关的路灯、大流量上传视频数据的摄像头、小包频发的水表/电表,等等),据此形成分组信息(即群组特征信息和/或历史特征信息),并存储在本地。其中,
分组信息包括不限定于:
{Group i:<UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数};或者
{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数}。
步骤3:用户设备数据单元会话建立UE PDU session establish(用户上线)。
执行A或B
A:步骤4:PCF向NWDAF发送订阅异常请求,
步骤5:NWDAF实时获取当前终端行为数据,并根据分组信息判断终端是否异常(实时分析当前终端行为数据,包括但不限定于位置信息、时间信息、移动性信息、发包频率、上/下行业务报文大小、流量、IP地址等信息,结合群组特征信息和/或历史特征信息,分析终端当前否存在异常。如:当位置信息脱离群组特征信息和历史特征信息,则判定该终端有可能会有异常(如被盗);当发包频率极其高,脱离群组特征信息和历史特征信息,则判定终端有可能被分布式拒绝服务DDOS攻击;当某区域上行流量增大,但在群组特征信息中,则判定终端需要更多的网络资源(如消防紧急报警))。其中,NWDAF实时分析终端行为数据,还包括对单一终端和终端群组同时进行分析,并进行异常等级的划分。NWDAF根据分析生成异常标识和/或异常等级标识,得到检测结果。
步骤6:NWDAF向PCF返回订阅异常响应,该响应至少包括异常标识和/或异常等级标识。
B:步骤4:同如上述A中步骤5;
步骤5:NWDAF发送异常通知给PCF,该通知至少包括异常标识和/或异常等级标识。
步骤6:PCF接收通知并反馈异常通知确认。
步骤7:PCF根据终端检测结果进行策略决策(根据NWDAF发送的异常标识和/或异常等级标识进行包括服务区域限制策略、QoS控制策略、业务关停等策略管理操作)。
步骤8:网络根据PCF下发的策略,执行资源调度或者业务关停等操作。
步骤9-10:用户设备注册UE registration(用户再次上线),PCF根据NWDAF反馈的检测结果(A中步骤6或B中步骤5)和PCF配置的策略,进行策略决策和下发。
步骤11.网络根据PCF下发的策略,执行资源调度或者业务关停等操作。
场景二、NWDAF与AMF的交互、AMF根据终端异常检测的结果进行接入和移动性管理,如图4所示:
步骤1-5:同场景一的步骤1-6,在此不再赘述。
步骤6:AMF在收到检测结果后,由异常标识和/或异常等级进行接入控制、移动性限制、注册区管理等操作。
场景三、NWDAF与SMF的交互、SMF根据终端异常检测的结果进行会话管理和策略控制,如图5所示:
步骤1-5:同场景一的步骤1-6,在此不再赘述。
步骤6:SMF在收到检测结果后,由异常标识和/或异常等级进行会话管理、策略控制等操作。
场景四、NWDAF与AF的交互、AF根据终端异常检测的结果发起业务关停请求或新的QoS资源请求,如图6所示:
步骤1-5:同场景一的步骤1-6,在此不再赘述。
步骤6:AF在收到检测结果后,由异常标识和/或异常等级发起业务关停请求或新的QoS资源请求(即进行业务关停或请求新的QoS资源)。
场景五、NWDAF将分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息),发送给AMF、SMF或者PCF中的至少一个,供AMF、SMF、PCF根据用户设备实时行为进行初步判断,当然,该分组信息还可以是针对特定终端(如已上线使用数据业务的终端)的。若初步判断异常,则AMF、SMF、PCF可将初步异常标识传递给NWDAF,NWDAF进一步结合对该用户所属分组整体分析,综合判断用户是否异常和异常等级,如图7所示:
NWDAF收集来自于其它网络设备上的终端行为数据并经分析得到分组信息,该分组信息指示每个终端设备标识对应的组标识和特征描述信息。
A或B
A:步骤1:将终端级分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)发送给AMF、SMF、PCF;
步骤2:AMF、SMF、PCF接收到终端级分组信息后向NWDAF返回响应。
或者用户上线使用数据业务后执行B
B:步骤1:AMF、SMF、PCF向NWDAF发送终端级分组信息请求;
步骤2:NWDAF向AMF、SMF、PCF发送终端级分组信息响应;
步骤3:AMF、SMF、PCF根据终端级分组信息实时分析用户异常情况;
步骤4:若AMF、SMF、PCF初步判断终端异常,则生成初步异常标识,并发送给NWDAF;
步骤5:NWDAF进一步结合初步异常标识对该用户所属分组整体分析,综合判断用户是否异常和异常等级。
场景六、NWDAF与UDR/UDM交互,存储分组信息,如图8所示:
步骤1-2:同应用场景一的步骤1-2,但不在本地存储;
步骤3:NWDAF向UDR/UDM发起增加/更新分组请求(即增加/更新分组信息的请求);
步骤4:UDR/UDM接收增加/更新分组信息的请求,存储分组信息,并向NWDAF返回响应消息。
场景七、NWDAF与PCF的交互、PCF根据终端异常检测的结果进行策略管理,如图9所示:
步骤1:UDR/UDM已经存储来自于NWDAF的分组信息;
步骤2-7:同实例一场景一中的3-8;
步骤8:若终端为高异常等级(即该终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围)且业务关停,UDR/UDM将终端从分组信息中删除(如在所属分组中删除终端设备标识,或者删除终端设备标识以及与该终端设备标识对应的组信息和特征描述信息)。
步骤9-10:UE registration,UDR/UDM根据分组信息,若判断UE不在分组信息内,拒绝注册接入。
步骤11:反馈用户设备注册响应UE registration reject,告知注册失败。
场景八、NWDAF与AMF的交互、AMF根据终端异常检测的结果进行接入和移动性管理,如图10所示:
步骤1-5:同场景七中的步骤1-5;
步骤6:AMF在收到检测结果后,由异常标识和/或异常等级进行接入控制、移动性限制、注册区管理等操作。
场景九、NWDAF与SMF的交互、SMF根据终端异常检测的结果进行会话管理和策略控制,如图11所示:
步骤1-5:同场景七中的步骤1-5;
步骤6:SMF在收到检测结果后,由异常标识和/或异常等级进行会话管理、策略控制等操作。
场景十、NWDAF与AF的交互、AF根据终端异常检测的结果发起业务关停请求或新的QoS资源请求,如图12所示:
步骤1-5:同场景七的步骤1-5。
步骤6:AF在收到检测结果后,由异常标识和/或异常等级发起业务关停请求或新的QoS资源请求(即进行业务关停或请求新的QoS资源)。
场景十一、UDR/UDM根据从NWDAF收到的分组信息,将终端级分组信息发送给AMF、SMF或者PCF中的至少一个,供AMF、SMF、PCF根据用户实时行为进行初步判断,当然,该终端级分组信息也可以是针对特定终端(如已上线使用业务数据的终端)的。若初步判断异常,则AMF、SMF、PCF可将初步异常标识传递给NWDAF,NWDAF进一步结合对该用户所属分组整体分析,综合判断用户是否异常和异常等级,如图13所示:
UDR/UDM根据已存储的分组信息,可基于该分组信息提取出终端设备对应的特征描述信息。
A或B
A:步骤1:将终端级分组信息或者终端特征描述信息发送给AMF、SMF、PCF;
步骤2:AMF、SMF、PCF接收到终端级分组信息或者终端特征描述信息后向UDR/UDM返回响应。
或者用户上线使用数据业务后执行B
B:步骤1:AMF、SMF、PCF向UDR/UDM发送终端级分组信息或者终端特征描述信息请求;
步骤2:UDR/UDM向AMF、SMF、PCF发送终端级分组信息或者终端特征描述信息响应;
步骤3:AMF、SMF、PCF根据终端级分组信息或者终端特征信息实时分析用户异常情况;
步骤4:若AMF、SMF、PCF初步判断终端异常,则生成初步异常标识,并发送给NWDAF;
步骤5:NWDAF进一步结合对该用户群组的整体分析,综合判断用户是否异常和异常等级。
综上所述,本发明实施例的终端行为数据处理方法,NWDAF可经由作为终端行为数据源的第一目标网络设备(UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个)获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图14所示,本发明另一实施例的终端行为数据处理方法,应用于第一网络设备,包括:
步骤1401,将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
通过该步骤,NWDAF(即第一网络设备)能够将分组信息(即基于终端行为数据对终端进行分组所得的分组信息,归属于同一组的终端具有相同的特征描述信息)告知给第二目标网络设备,以便UDR和/或UDM存储该分组信息进行后续处理,避免NWDAF自身存储该分组信息,会占用资源,影响到工作性能。因分组信息是依据终端行为数据所得,可多维度数据刻画终端行为,来得到更为准确的行为判断结果。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
这里,终端的地理位置可以是地区信息(如北京海淀区);时间特性是终端行为在时间上的特性,如终端在工作日使用的应用程序APP是A1类型,而在非工作日使用的APP是A2类型;移动规律是终端行为在位置上的规律,如终端在工作日的一时间段内总是从B1位置移动到B2位置;功能特性是终端行为在功能上的特性,如终端在最近时间段内总是访问关于某地的旅游网站;发包特性是终端行为在发包上的特性,如终端的发包频率;数据包大小是终端行为在数据包上的特性,如每月数据包总量在一固定范围内;源地址-目的地址是终端行为在网络访问上的特性,如终端经常访问的C网站。当然,终端行为数据并不限于上述内容,在此不再一一列举。
该实施例中,可由NWDAF分析终端行为数据,获得该分组信息。相应的,在分组时,同一组终端相同的特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址等。例如,针对地理位置,会将地理位置相同的消防栓和水位监测仪分为一组;针对时间特性,会将定时开关的路灯分为一组;针对数据包大小,会将大流量上传视频数据的摄像头分为一组;针对发包特性,会将小包频发的水表和电表分为一组。当然,该特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小和源地址-目的地址中至少两者的组合,来完成分组。NWDAF将基于已获取到的终端行为数据,按照共同的特征描述信息进行分组,得到分组信息,从而为终端行为是否异常的判断提供依据。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这样,分组信息就能够针对不同需求来对分组结果进行描述。其中,对于指示每个组标识对应的终端设备标识和特征描述信息的分组信息,可由组集形式表示,如{Group i:<终端设备UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数},这里i为当前组的组标识;对于指示每个终端设备标识对应的组标识和特征描述信息的分组信息,可由终端设备属性集形式表示,如{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数},这里群组m为UE j所属的分组。当然,上述两种不同指示内容的分组信息,除使用集合表示外,还可以由不同格式列表等其它方式表示,在此不再赘述。
当然,分组信息中往往还包括终端设备的突发行为数据(历史行为数据),以在对终端行为异常检测过程中,避免将突发行为误判断为异常。
可选地,所述将分组信息发送至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
NWDAF发送包括分组信息的增加/更新分组请求至第二目标网络设备,将分组信息传递到第二目标网络设备,之后接收该第二目标网络设备发送的增加/更新分组响应,来获知分组信息的传递结果。
应该知道的是,该实施例中,对于NWDAF发送到第二目标网络设备的分组信息,该第二目标网络设备在接收到该分组信息后可对其进行存储,在后续可回传NWDAF,以便NWDAF针对终端进行异常检测;还可发送给第四目标网络设备(即AMF、SMF或者PCF中的至少一个),使得第四目标网络设备能够基于分组信息对终端进行初步的异常检测。其中,若NWDAF发送至第二目标网络设备的分组信息指示每个组标识对应的终端设备标识和特征描述信息,在发送给第四目标网络设备之前,会对该分组信息进行针对终端设备的调整,以便该第四目标网络设备能完成针对终端设备的初步的异常检测。
在本发明实施例中,为得到更为准确的分组信息,在所述将分组信息发送至第二目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF通过UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,使得所得分组信息可用于进行更为准确的行为判断。具体的,NWDAF可以向第一目标网络设备请求终端行为数据,也可以通过与第一目标网络设备之间的协议,由第一目标网络设备主动发送终端行为数据。
此外,可选地,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF能够基于分组信息,对目标终端(一个或多个)的当前行为数据进行异常检测,得到检测结果,之后通过发送该检测结果至第三目标网络设备(即UDR、UDM、AMF、SMF、PCF、OAM或者AF中的至少一个),使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。此时,因分组信息是存储在UDR和/或UDM上,在进行异常检测前,NWDAF需要向UDR和/或UDM请求分组信息,来完成异常检测。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
如此,NWDAF实时分析目标终端的当前行为数据进行异常检测的过程中,不仅可以对终端(行为)是否异常进行判断,还可以对终端(行为)异常度进行判断,得到检测结果,使得第三目标网络设备能够针对异常标识和/或异常等级标识进行对应管理。
其中,对于群组终端的异常检测中所使用的常态特征阈值范围,是根据该群组分组信息中的特征描述信息所确定的。例如,对于同一组的路灯,其特征描述信息为“19:00开,5:30关”,考虑到开关的延时,所确定的常态特征阈值范围包括开灯时间“18:58-19:02”和关灯时间“4:28-5:32”。而由三级异常等级的标准,既可实时对该组路灯以及组中一路灯的当前行为数据进行分析,进行异常等级的划分。以开灯时间为例,若一路灯或者该组中小于第一阈值(如3个)数量的路灯的开灯时间,均属于“18:58-19:02”内,但其开灯时间为18:59或者19:02,属于常态特征阈值范围的边缘区域,则可为该路灯或者该组路灯配置第一异常等级标识;若一路灯开灯时间,脱离“18:58-19:02”,则可为该路灯或者该组路灯配置第二异常等级标识;若该组中大于第二阈值(可与第一阈值相同如3个,也可不同)数量的路灯的开灯时间,脱离“18:58-19:02”,则可为该组路灯或者仅对该组路灯中脱离常态特征阈值范围的路灯配置第二异常等级标识。其中,边缘区域为避免误差,往往不设置为具体值,而是为一较小区间,如“18:58-19:02”的边缘区域包括:“18:58.00-18:59.10”和“19:01.50-19:02.00”。
其中,可选地,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
这里,NWDAF可在得到检测结果后直接由异常通知将该检测结果告知给第三目标网络设备,并通过接收第三目标网络设备发送的异常通知确认,了解该检测结果成功传输。此时,UDR、UDM、AMF、SMF、PCF、OAM以及AF是否可接收到包括检测结果的异常通知,是由NWDAF决定的,例如,NWDAF中预先配置了可接收异常通知的网络设备,或者NWDAF会根据检测结果,按照其内策略选择可接收异常通知的网络设备等。
又或者,可选地,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
这里,第三目标网络设备会提前向NWDAF发送订阅异常请求,告知NWDAF其需要获知异常检测的检测结果,之后NWDAF就会将检测结果通过订阅异常响应发送到该第三目标网络设备。其中,第三目标网络设备向NWDAF发送订阅异常请求,优选的,也可以在进行异常检测之前。
该实施例中,第四目标网络设备为能够接收分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)的网络设备,从而基于该分组信息进行针对终端设备的初步异常检测,得到终端设备的初步异常标识。因此,
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
NWDAF将先接收到第四目标网络设备发送的初级异常标识,之后,就能够结合接收到的该初级异常标识以及经分析所得的分组信息,对与该初级异常标识对应的目标终端进行异常检测,得到检测结果。这里,通过接收初级异常标识,NWDAF已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。
可选地,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这里,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息是由NWDAF发送的。具体的,可以是NWDAF在经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)后,直接发送给该第四目标网络设备的,NWDAF还会收到对应的响应。
然而,该实施例中经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)是存储在UDR和/或UDM,故,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息还可是第二目标网络设备提供的。其中,该第二目标网络设备可以是将存储的NWDAF发送的分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)转发给该第四目标网络设备;又或者,将存储的NWDAF发送的分组信息(该分组信息指示每个组标识对应的终端设备标识和特征描述信息),对其进行针对终端设备的调整后发送给该第四目标网络设备。同样的,第四目标网络设备可以接收第二目标网络设备主动发送的分组信息,并向第二目标网络设备反馈对应的响应。又或者,向第二目标网络设备请求该分组信息,第二目标网络设备根据该请求反馈对应的响应,响应中包括所需的分组信息。其中,优选的,第四目标网络设备在监测到终端设备上线使用数据业务后,向第二目标网络设备请求对应当前终端设备的分组信息,以便减少信令开支。
还应该知道的是,在本发明的实施例中,不同的网络设备接收到NWDAF发送的检测结果后,往往将对应自身功能进行相应管理:
PCF会根据目标终端的异常标识和/或异常等级标识,进行对应的策略决策;AMF会根据目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理;SMF会根据目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制;UDR和UDM会删除业务关停状态的异常终端(即该异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围)的分组信息(如在所属分组中删除终端设备标识,或者删除终端设备标识以及与该终端设备标识对应的组信息和特征描述信息),继而当接收到终端注册请求后,判断是否存在该终端注册请求的发送终端的分组信息,若不存在则拒绝所述发送终端注册接入,若存在则注册接入;AF会根据目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
当然,上述网络设备针对NWDAF发送的检测结果的处理方式,仅是较佳的实现,不排除该网络设备的其它处理方式,在此不再赘述。
另外,本发明实施例的方法也适用于上述第一实施例的场景六至场景十一,在此不再赘述。
综上所述,本发明实施例的终端行为数据处理方法,NWDAF能够将分组信息(即基于终端行为数据对终端进行分组所得的分组信息,归属于同一组的终端具有相同的特征描述信息)告知给第二目标网络设备,以便UDR和/或UDM存储该分组信息进行后续处理,避免NWDAF自身存储该分组信息,会占用资源,影响到工作性能。因分组信息是依据终端行为数据所得,可多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图15所示,本发明实施例的一种终端行为数据处理方法,应用于第一网络设备,包括:
步骤1501,发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
通过该步骤,第一网络设备将检测结果(即基于分组信息,对目标终端的当前行为数据进行异常检测得到的检测结果)告知于第三目标网络设备(即UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个),使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。其中,因检测结果是依据基于终端行为数据对终端进行分组所得的分组信息,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
其中,所述第一网络设备包括NWDAF。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
如此,NWDAF实时分析目标终端的当前行为数据进行异常检测的过程中,不仅可以对终端(行为)是否异常进行判断,还可以对终端(行为)异常度进行判断,得到检测结果,使得第三目标网络设备能够针对异常标识和/或异常等级标识进行对应管理。
其中,对于群组终端的异常检测中所使用的常态特征阈值范围,是根据该群组分组信息中的特征描述信息所确定的。例如,对于同一组的路灯,其特征描述信息为“19:00开,5:30关”,考虑到开关的延时,所确定的常态特征阈值范围包括开灯时间“18:58-19:02”和关灯时间“4:28-5:32”。而由三级异常等级的标准,既可实时对该组路灯以及组中一路灯的当前行为数据进行分析,进行异常等级的划分。以开灯时间为例,若一路灯或者该组中小于第一阈值(如3个)数量的路灯的开灯时间,均属于“18:58-19:02”内,但其开灯时间为18:59或者19:02,属于常态特征阈值范围的边缘区域,则可为该路灯或者该组路灯配置第一异常等级标识;若一路灯开灯时间,脱离“18:58-19:02”,则可为该路灯或者该组路灯配置第二异常等级标识;若该组中大于第二阈值(可与第一阈值相同如3个,也可不同)数量的路灯的开灯时间,脱离“18:58-19:02”,则可为该组路灯或者仅对该组路灯中脱离常态特征阈值范围的路灯配置第二异常等级标识。其中,边缘区域为避免误差,往往不设置为具体值,而是为一较小区间,如“18:58-19:02”的边缘区域包括:“18:58.00-18:59.10”和“19:01.50-19:02.00”。
其中,可选地,所述发送检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
这里,NWDAF可在得到检测结果后直接由异常通知将该检测结果告知给第三目标网络设备,并通过接收第三目标网络设备发送的异常通知确认,了解该检测结果成功传输。此时,UDR、UDM、AMF、SMF、PCF、OAM以及AF是否可接收到包括检测结果的异常通知,是由NWDAF决定的,例如,NWDAF中预先配置了可接收异常通知的网络设备,或者NWDAF会根据检测结果,按照其内策略选择可接收异常通知的网络设备等。
又或者,可选地,在所述发送检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
这里,第三目标网络设备会提前向NWDAF发送订阅异常请求,告知NWDAF其需要获知异常检测的检测结果,之后NWDAF就会将检测结果通过订阅异常响应发送到该第三目标网络设备。其中,第三目标网络设备向NWDAF发送订阅异常请求,优选的,也可以在进行异常检测之前。
该实施例中,第四目标网络设备为能够接收分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)的网络设备,可基于该分组信息进行针对终端设备的初步异常检测,得到终端设备的初步异常标识。因此,在所述发送检测结果至第三目标网络设备之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
NWDAF将先接收到第四目标网络设备发送的初级异常标识,之后,就能够结合接收到的该初级异常标识以及经分析所得的分组信息,对与该初级异常标识对应的目标终端进行异常检测,得到检测结果。这里,通过接收初级异常标识,NWDAF已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。
可选地,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这里,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息是由NWDAF发送的。具体的,可以是NWDAF在经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)后,直接发送给该第四目标网络设备的,NWDAF还会收到对应的响应;也可是第四目标网络设备向NWDAF请求该分组信息,NWDAF根据该请求反馈对应的响应,响应中包括所需的分组信息。其中,优选的,第四目标网络设备在监测到终端设备上线使用数据业务后,向NWDAF请求对应当前终端设备的分组信息,以便减少信令开支。
该实施例中,为更好地获得异常检测所需的分组信息,在所述发送检测结果至第三目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF通过UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,使得所得分组信息可用于进行更为准确的行为判断。具体的,NWDAF可以向第一目标网络设备请求终端行为数据,也可以通过与第一目标网络设备之间的协议,由第一目标网络设备主动发送终端行为数据。
其中,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
这里,终端的地理位置可以是地区信息(如北京海淀区);时间特性是终端行为在时间上的特性,如终端在工作日使用的应用程序APP是A1类型,而在非工作日使用的APP是A2类型;移动规律是终端行为在位置上的规律,如终端在工作日的一时间段内总是从B1位置移动到B2位置;功能特性是终端行为在功能上的特性,如终端在最近时间段内总是访问关于某地的旅游网站;发包特性是终端行为在发包上的特性,如终端的发包频率;数据包大小是终端行为在数据包上的特性,如每月数据包总量在一固定范围内;源地址-目的地址是终端行为在网络访问上的特性,如终端经常访问的C网站。当然,终端行为数据并不限于上述内容,在此不再一一列举。
该实施例中,分组信息可由NWDAF分析终端行为数据来获得,且由NWDAF基于分组信息,对目标终端的当前行为数据进行异常检测得到检测结果。相应的,在分组时,同一组终端相同的特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址等。例如,针对地理位置,会将地理位置相同的消防栓和水位监测仪分为一组;针对时间特性,会将定时开关的路灯分为一组;针对数据包大小,会将大流量上传视频数据的摄像头分为一组;针对发包特性,会将小包频发的水表和电表分为一组。当然,该特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小和源地址-目的地址中至少两者的组合,来完成分组。NWDAF将基于已获取到的终端行为数据,按照共同的特征描述信息进行分组,得到分组信息,从而为终端行为是否异常的判断提供依据。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这样,分组信息就能够针对不同需求来对分组结果进行描述。其中,对于指示每个组标识对应的终端设备标识和特征描述信息的分组信息,可由组集形式表示,如{Group i:<终端设备UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数},这里i为当前组的组标识;对于指示每个终端设备标识对应的组标识和特征描述信息的分组信息,可由终端设备属性集形式表示,如{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数},这里群组m为UE j所属的分组。当然,上述两种不同指示内容的分组信息,除使用集合表示外,还可以由不同格式列表等其它方式表示,在此不再赘述。
当然,分组信息中往往还包括终端设备的突发行为数据(历史行为数据),以在对终端行为异常检测过程中,避免将突发行为误判断为异常。
考虑到NWDAF自身存储该分组信息,会占用资源,影响到工作性能,因此,可选的,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
这里,NWDAF将经分组后得到的分组信息发送到第二目标网络设备(即UDR和/或UDM),以将该分组信息存储到该第二目标网络设备中。
可选地,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
NWDAF发送包括分组信息的增加/更新分组请求至第二目标网络设备,将分组信息传递到第二目标网络设备,之后接收该第二目标网络设备发送的增加/更新分组响应,来获知分组信息的传递结果。
应该了解的是,该实施例中,对于NWDAF发送到第二目标网络设备的分组信息,该第二目标网络设备在接收到该分组信息后可对其进行存储,在后续可回传NWDAF,以便NWDAF针对终端进行异常检测;还可发送给第四目标网络设备(即AMF、SMF或者PCF中的至少一个),使得第四目标网络设备能够基于分组信息对终端进行初步的异常检测。其中,若NWDAF发送至第二目标网络设备的分组信息指示每个组标识对应的终端设备标识和特征描述信息,在发送给第四目标网络设备之前,会对该分组信息进行针对终端设备的调整,使得调整后的分组信息指示每个终端设备标识对应的组标识和特征描述信息,以便该第四目标网络设备能完成针对终端设备的初步的异常检测。
另外,本发明实施例的方法也适用于上述第一实施例的场景一至场景十一,在此不再赘述。
综上所述,本发明实施例的终端行为数据处理方法,NWDAF将检测结果(即基于分组信息,对目标终端的当前行为数据进行异常检测得到的检测结果)告知于第三目标网络设备,使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。其中,因检测结果是依据分组信息所得,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图16所示,本发明实施例的一种终端行为数据处理方法,应用于第一网络设备,包括:
步骤1601,通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
按照上述步骤1601,即第一网络设备会结合初级异常标识以及分组信息(该分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息),进行针对目标终端(该目标终端与该初级异常标识对应)的异常检测,因通过初级异常标识,第一网络设备已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。而且,因异常检测依据了基于终端行为数据对终端进行分组所得的分组信息,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
其中,所述第一网络设备包括NWDAF。
可选地,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
接收第四目标网络设备发送的所述初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个。
如此,NWDAF进行异常检测所依据的初级异常标识,是第四目标网络设备(即AMF、SMF或者PCF中的至少一个)发送的。
可选地,在所述接收第四目标网络设备发送的所述初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这里,NWDAF通过将分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)告知于第四目标网络设备,使得第四目标网络设备依据该分组信息进行终端设备初步的异常检测。具体的,可以是NWDAF在经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)后,直接发送给该第四目标网络设备的,NWDAF还会收到对应的响应;也可是第四目标网络设备向NWDAF请求该分组信息,NWDAF根据该请求反馈对应的响应,响应中包括所需的分组信息。其中,优选的,第四目标网络设备在监测到终端设备上线使用数据业务后,向NWDAF请求对应当前终端设备的分组信息,以便减少信令开支。
此外,在该实施例中,第四目标网络设备进行终端设备初步的异常检测时,依据的分组信息还可是第二目标网络设备提供的。其中,该第二目标网络设备可以是将接收到的NWDAF发送的分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)转发给该第四目标网络设备;又或者,在接收到的NWDAF发送的分组信息(该分组信息指示每个组标识对应的终端设备标识和特征描述信息),对其进行针对终端设备的调整后发送给该第四目标网络设备。同样的,第四目标网络设备可以接收第二目标网络设备主动发送的分组信息,并向第二目标网络设备反馈对应的响应;也可以向第二目标网络设备请求该分组信息,第二目标网络设备根据该请求反馈对应的响应,响应中包括所需的分组信息。
通过异常检测得到检测结果后,所述方法还包括:
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF完成异常检测后,会将所得的检测结果告知第三目标网络设备(即UDR、UDM、AMF、SMF、PCF、OAM或者AF中的至少一个),使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
如此,NWDAF基于初级异常标识实时分析目标终端的当前行为数据进行异常检测的过程中,可以对终端(行为)是否异常进行判断,还可以对终端(行为)异常度进行判断,得到检测结果,使得第三目标网络设备能够针对异常标识和/或异常等级标识进行对应管理。
其中,对于群组终端的异常检测中所使用的常态特征阈值范围,是根据该群组分组信息中的特征描述信息所确定的。例如,对于同一组的路灯,其特征描述信息为“19:00开,5:30关”,考虑到开关的延时,所确定的常态特征阈值范围包括开灯时间“18:58-19:02”和关灯时间“4:28-5:32”。而由三级异常等级的标准,既可实时对该组路灯以及组中一路灯的当前行为数据进行分析,进行异常等级的划分。以开灯时间为例,若一路灯或者该组中小于第一阈值(如3个)数量的路灯的开灯时间,均属于“18:58-19:02”内,但其开灯时间为18:59或者19:02,属于常态特征阈值范围的边缘区域,则可为该路灯或者该组路灯配置第一异常等级标识;若一路灯开灯时间,脱离“18:58-19:02”,则可为该路灯或者该组路灯配置第二异常等级标识;若该组中大于第二阈值(可与第一阈值相同如3个,也可不同)数量的路灯的开灯时间,脱离“18:58-19:02”,则可为该组路灯或者仅对该组路灯中脱离常态特征阈值范围的路灯配置第二异常等级标识。其中,边缘区域为避免误差,往往不设置为具体值,而是为一较小区间,如“18:58-19:02”的边缘区域包括:“18:58.00-18:59.10”和“19:01.50-19:02.00”。
其中,可选地,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
这里,NWDAF可在得到检测结果后直接由异常通知将该检测结果告知给第三目标网络设备,并通过接收第三目标网络设备发送的异常通知确认,了解该检测结果成功传输。此时,UDR、UDM、AMF、SMF、PCF、OAM以及AF是否可接收到包括检测结果的异常通知,是由NWDAF决定的,例如,NWDAF中预先配置了可接收异常通知的网络设备,或者NWDAF会根据检测结果,按照其内策略选择可接收异常通知的网络设备等。
又或者,可选地,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
这里,第三目标网络设备会提前向NWDAF发送订阅异常请求,告知NWDAF其需要获知异常检测的检测结果,之后NWDAF就会将检测结果通过订阅异常响应发送到该第三目标网络设备。其中,第三目标网络设备向NWDAF发送订阅异常请求,优选的,也可以在进行异常检测之前。
还应该知道的是,在本发明的实施例中,不同的网络设备接收到NWDAF发送的检测结果后,往往将对应自身功能进行相应管理:
PCF会根据目标终端的异常标识和/或异常等级标识,进行对应的策略决策;AMF会根据目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理;SMF会根据目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制;UDR和UDM会删除业务关停状态的异常终端(即该异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围)的分组信息(如在所属分组中删除终端设备标识,或者删除终端设备标识以及与该终端设备标识对应的组信息和特征描述信息),继而当接收到终端注册请求后,判断是否存在该终端注册请求的发送终端的分组信息,若不存在则拒绝所述发送终端注册接入,若存在则注册接入;AF会根据目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
当然,上述网络设备针对NWDAF发送的检测结果的处理方式,仅是较佳的实现,不排除该网络设备的其它处理方式,在此不再赘述。
可选地,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
NWDAF通过UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,使得所得分组信息可用于进行更为准确的行为判断。具体的,NWDAF可以向第一目标网络设备请求终端行为数据,也可以通过与第一目标网络设备之间的协议,由第一目标网络设备主动发送终端行为数据。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
这里,终端的地理位置可以是地区信息(如北京海淀区);时间特性是终端行为在时间上的特性,如终端在工作日使用的应用程序APP是A1类型,而在非工作日使用的APP是A2类型;移动规律是终端行为在位置上的规律,如终端在工作日的一时间段内总是从B1位置移动到B2位置;功能特性是终端行为在功能上的特性,如终端在最近时间段内总是访问关于某地的旅游网站;发包特性是终端行为在发包上的特性,如终端的发包频率;数据包大小是终端行为在数据包上的特性,如每月数据包总量在一固定范围内;源地址-目的地址是终端行为在网络访问上的特性,如终端经常访问的C网站。当然,终端行为数据并不限于上述内容,在此不再一一列举。
该实施例中,NWDAF获取到终端行为数据后,为便于后续进行终端异常判断,可由NWDAF分析该终端行为数据,获得分组信息,归属于同一组的终端具有相同的特征描述信息。这里,该特征描述信息对应终端行为数据,也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址等。例如,针对地理位置,会将地理位置相同的消防栓和水位监测仪分为一组;针对时间特性,会将定时开关的路灯分为一组;针对数据包大小,会将大流量上传视频数据的摄像头分为一组;针对发包特性,会将小包频发的水表和电表分为一组。当然,该特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小和源地址-目的地址中至少两者的组合,来完成分组。NWDAF将基于已获取到的终端行为数据,按照共同的特征描述信息进行分组,得到分组信息,从而为终端行为是否异常的判断提供依据。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这样,分组信息就能够针对不同需求来对分组结果进行描述。其中,对于指示每个组标识对应的终端设备标识和特征描述信息的分组信息(即组级分组信息),可由组集形式表示,如{Group i:<终端设备UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数},这里i为当前组的组标识;对于指示每个终端设备标识对应的组标识和特征描述信息的分组信息(即终端级分组信息),可由终端设备属性集形式表示,如{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数},这里群组m为UE j所属的分组。当然,上述两种不同指示内容的分组信息,除使用集合表示外,还可以由不同格式列表等其它方式表示,在此不再赘述。
当然,分组信息中往往还包括终端设备的突发行为数据(历史行为数据),以在对终端行为异常检测过程中,避免将突发行为误判断为异常。
在本发明实施例中,对于所得的分组信息,考虑到NWDAF自身存储该分组信息,会占用资源,影响到工作性能,因此,可选的,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
这里,NWDAF将经分组后得到的分组信息发送到第二目标网络设备(即UDR和/或UDM),以将该分组信息存储到该第二目标网络设备中。
可选地,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
NWDAF发送包括分组信息的增加/更新分组请求至第二目标网络设备,将分组信息传递到第二目标网络设备,之后接收该第二目标网络设备发送的增加/更新分组响应,来获知分组信息的传递结果。
应该了解的是,该实施例中,对于NWDAF发送到第二目标网络设备的分组信息,该第二目标网络设备在接收到该分组信息后可对其进行存储,在后续可回传NWDAF,以便NWDAF针对终端进行异常检测;还可发送给第四目标网络设备(即AMF、SMF或者PCF中的至少一个),使得第四目标网络设备能够基于分组信息对终端进行初步的异常检测。其中,若NWDAF发送至第二目标网络设备的分组信息指示每个组标识对应的终端设备标识和特征描述信息,在发送给第四目标网络设备之前,会对该分组信息进行针对终端设备的调整,使得调整后的分组信息指示每个终端设备标识对应的组标识和特征描述信息,以便该第四目标网络设备能完成针对终端设备的初步的异常检测。
另外,本发明实施例的方法也适用于上述第一实施例的场景五、场景六和场景十一,在此不再赘述。
综上所述,本发明实施例的终端行为数据处理方法,NWDAF会结合初级异常标识以及分组信息(该分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息),进行针对目标终端(该目标终端与该初级异常标识对应)的异常检测,因通过初级异常标识,NWDAF已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。而且,因异常检测依据了基于终端行为数据对终端进行分组所得的分组信息,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图17所示,本发明实施例的一种终端行为数据处理方法,应用于第二网络设备,包括:
步骤1701,接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
通过步骤1701,本发明实施例的终端行为数据处理方法,第二网络设备会接收第一网络设备(如NWDAF)发送的检测结果,由于该检测结果是第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;且分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息,因能够多维度刻画终端行为,该检测结果准确性更高,使得之后进行有效的管理。
这里,第二网络设备可以是UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
这里,终端的地理位置可以是地区信息(如北京海淀区);时间特性是终端行为在时间上的特性,如终端在工作日使用的应用程序APP是A1类型,而在非工作日使用的APP是A2类型;移动规律是终端行为在位置上的规律,如终端在工作日的一时间段内总是从B1位置移动到B2位置;功能特性是终端行为在功能上的特性,如终端在最近时间段内总是访问关于某地的旅游网站;发包特性是终端行为在发包上的特性,如终端的发包频率;数据包大小是终端行为在数据包上的特性,如每月数据包总量在一固定范围内;源地址-目的地址是终端行为在网络访问上的特性,如终端经常访问的C网站。当然,终端行为数据并不限于上述内容,在此不再一一列举。
相应的,NWDAF分析终端行为数据获得分组信息,其中归属于同一组的终端具有相同的特征描述信息,该特征描述信息对应终端行为数据,也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址等。例如,针对地理位置,会将地理位置相同的消防栓和水位监测仪分为一组;针对时间特性,会将定时开关的路灯分为一组;针对数据包大小,会将大流量上传视频数据的摄像头分为一组;针对发包特性,会将小包频发的水表和电表分为一组。当然,该特征描述信息也可以是终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小和源地址-目的地址中至少两者的组合,来完成分组。NWDAF将基于已获取到的终端行为数据,按照共同的特征描述信息进行分组,得到分组信息,从而为终端行为是否异常的判断提供依据。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这样,分组信息就能够针对不同需求来对分组结果进行描述。其中,对于指示每个组标识对应的终端设备标识和特征描述信息的分组信息(即组级分组信息),可由组集形式表示,如{Group i:<终端设备UE1的标识,UE2的标识,…,UEN的标识>,群组i的特征描述信息|i为自然数},这里i为当前组的组标识;对于指示每个终端设备标识对应的组标识和特征描述信息的分组信息(即终端级分组信息),可由终端设备属性集形式表示,如{UE j:<群组m的标识,群组m的特征描述信息>|j为自然数},这里群组m为UE j所属的分组。当然,上述两种不同指示内容的分组信息,除使用集合表示外,还可以由不同格式列表等其它方式表示,在此不再赘述。
当然,分组信息中往往还包括终端设备的突发行为数据(历史行为数据),以在对终端行为异常检测过程中,避免将突发行为误判断为异常。
可选地,所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的异常通知,所述异常通知包括所述检测结果;
所述方法还包括:
发送异常通知确认至所述第一网络设备。
这里,NWDAF可在得到检测结果后直接由异常通知将该检测结果告知给第二网络设备,第二网络设备则接收该异常通知,并返回异常通知确认,告知该检测结果成功传输。具体的,UDR、UDM、AMF、SMF、PCF、OAM以及AF是否可接收到包括检测结果的异常通知,是由NWDAF决定的,例如,NWDAF中预先配置了可接收异常通知的网络设备,或者NWDAF会根据检测结果,按照其内策略选择可接收异常通知的网络设备等。
可选地,在所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
发送订阅异常请求至所述第一网络设备;
所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的订阅异常响应,所述订阅异常响应包括所述检测结果。
这里,第二网络设备将根据自身需求提前向NWDAF发送订阅异常请求,告知NWDAF其需要获知异常检测的检测结果,之后NWDAF就会将检测结果通过订阅异常响应发送到该第二网络设备。其中,发送订阅异常请求至第一网络设备,优选的,可在NWDAF进行异常检测之前。
可选地,在所述接收第一网络设备发送的目标终端的检测结果之后,还包括:
根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理。
第二网络设备接收到检测结果后,既可针对自身功能按照其预设异常处理策略对目标终端进行管理。
可选地,所述第二网络设备为PCF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的策略决策。
可选地,所述第二网络设备为AMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理。
可选地,所述第二网络设备为SMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制。
可选地,所述第二网络设备为AMF、SMF或者PCF;
在所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理之前,还包括:
接收所述第一网络设备或第二目标网络设备发送的分组信息;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息;所述第二目标网络设备为UDR和/或UDM;
在根据所述分组信息确定目标终端异常的情况下,发送初级异常标识至所述第一网络设备。
这里,AMF、SMF或者PCF能够基于分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息),进行终端设备初步的异常检测,在确定目标终端异常的情况下发送该目标终端的初级异常标识到第一网络设备,以使NWDAF结合接收到的该初级异常标识以及经分析所得的分组信息,对与该初级异常标识对应的目标终端进行异常检测,实现针对性处理,节省信令。
其中,AMF、SMF或者PCF进行初步的异常检测所依据的分组信息可以是第一网络设备或第二目标网络设备发送的。NWDAF在经分析得到分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)后,直接发送给AMF、SMF或者PCF中的至少一个,NWDAF还会收到对应的响应;也可是AMF、SMF或者PCF向NWDAF请求该分组信息,NWDAF根据该请求反馈对应的响应,响应中包括所需的分组信息。其中,优选的,AMF、SMF或者PCF在监测到终端设备上线使用数据业务后,向NWDAF请求对应当前终端设备的分组信息,以便减少信令开支。
而UDR和UDM均能够存储NWDAF在经分析得到分组信息,所以AMF、SMF或者PCF可以接收到UDR和/或UDM发送的分组信息。当然,由于AMF、SMF或者PCF对分组信息的要求,UDR和UDM可以是将接收到的NWDAF发送的分组信息(该分组信息指示每个终端设备标识对应的组标识和特征描述信息)转发给AMF、SMF或者PCF;又或者,在接收到的NWDAF发送的分组信息(该分组信息指示每个组标识对应的终端设备标识和特征描述信息),对其进行针对终端设备的调整,使得调整后的分组信息指示每个终端设备标识对应的组标识和特征描述信息后,将调整后的分组信息发送给AMF、SMF或者PCF。同样的,AMF、SMF或者PCF可以接收第二目标网络设备主动发送的分组信息,并向第二目标网络设备反馈对应的响应;也可以向第二目标网络设备请求该分组信息,第二目标网络设备根据该请求反馈对应的响应,响应中包括所需的分组信息。
可选地,所述第二网络设备为UDR或者UDM;
所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
接收第一网络设备发送的分组信息。
对于UDR或者UDM,在该实施例中,还能够针对第一网络设备的存储需求,可以在接收检测结果之前,接收第一网络设备发送的分组信息,对该分组信息进行存储。这样,存储该分组信息的UDR和UDM,将能够在后续回传该分组信息到NWDAF,以便NWDAF针对终端进行异常检测;还可发送给AMF、SMF或者PCF中的至少一个,使其基于分组信息对终端进行初步的异常检测。当然,发送给AMF、SMF或者PCF的分组信息需是指示每个终端设备标识对应的组标识和特征描述信息的分组信息。
可选地,所述接收第一网络设备发送的分组信息,包括:
接收所述第一网络设备发送的增加/更新分组请求,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
发送增加/更新分组响应至所述第一网络设备。
这里,UDR或者UDM将接收第一网络设备发送的增加/更新分组请求,获得该增加/更新分组请求包括的分组信息,之后返回增加/更新分组响应,告知分组信息成功传输。
可选的,所述方法还包括:
删除业务关停状态的异常终端的分组信息;其中,所述异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围;
当接收到终端注册请求后,判断是否存在所述终端注册请求的发送终端的分组信息;
若不存在,则拒绝所述发送终端注册接入;若存在,则注册接入。
这里,因UDR或者UDM存储了分组信息,所以,能够删除业务关停状态的异常终端的分组信息,从而在接收到终端注册请求后,判断是否存在该终端注册请求的发送终端的分组信息,若不存在则拒绝该发送终端注册接入;若存在则注册接入。具体的,删除终端的分组信息可以是在终端所属分组中删除该终端的终端设备标识,或者删除该终端的终端设备标识以及与该终端设备标识对应的组信息和特征描述信息。
可选地,所述方法还包括:
发送分组信息至AMF、SMF或者PCF中的至少一个,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
这里,因UDR或者UDM存储了分组信息,所以,能够发送分组信息至AMF、SMF或者PCF中的至少一个。此时,对应于AMF、SMF或者PCF的初步的异常检测需求,该分组信息指示每个终端设备标识对应的组标识和特征描述信息
另外,该实施例中,所述第二网络设备为AF;
在所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
该实施例中,所述方法还包括:
发送自身记录的终端行为数据至所述第一网络设备。
这里,第二网络设备为保证第一网络设备进行终端行为数据分析以得到异常检测所需的分组信息,会将自身记录的终端行为数据发送到该第一网络设备。当然,可以是针对NWDAF向第二网络设备请求终端行为数据时发送的,也可以是通过与第一网络设备之间的协议,由第二网络设备主动发送的。
需要说明的是,该方法是配合上述应用于第一网络设备的终端行为数据处理方法,实现终端行为数据处理的,上述应用于第一网络设备的终端行为数据处理方法的实施例的实现方式适用于该方法,也能达到相同的技术效果。
如图18所示,本发明实施例提供了一种NWDAF1800,包括第一处理器1801和第一收发器1802,其中,
所述第一收发器1802用于通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
可选地,所述第一处理器1801用于:
分析所述终端行为数据,获得分组信息,其中归属于同一组的终端具有相同的特征描述信息。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第一收发器1802还用于:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
可选地,所述第一收发器1802还用于:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
接收所述第二目标网络设备发送的增加/更新分组响应。
可选地,所述第一处理器1801还用于:基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
所述第一收发器1802还用于:发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述第一收发器1802还用于:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
接收所述第三目标网络设备发送的异常通知确认。
可选地,所述第一收发器1802还用于:
接收第三目标网络设备发送的订阅异常请求;
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述第一收发器1802还用于:接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述第一处理器1801还用于:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
可选地,所述第一收发器1802还用于:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
本发明实施例的NWDAF,经由作为终端行为数据源的第一目标网络设备(UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个)获取到终端行为数据,以便基于该终端行为数据进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图19所示,本发明的实施例还提供了一种NWDAF1900,包括第二处理器1901和第二收发器1902,其中,
所述第二收发器1902用于将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第二收发器1902还用于:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
接收所述第二目标网络设备发送的增加/更新分组响应。
可选地,所述第二收发器1902还用于:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述第二处理器1901用于:基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
所述第二收发器1902还用于:发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述第二收发器1902还用于:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
接收所述第三目标网络设备发送的异常通知确认。
可选地,所述第二收发器1902还用于:
接收第三目标网络设备发送的订阅异常请求;
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述第二收发器1902还用于:接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述第二处理器1901还用于:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
可选地,所述第二收发器1902还用于:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
本发明实施例的NWDAF,能够将分组信息(即基于终端行为数据对终端进行分组所得的分组信息,归属于同一组的终端具有相同的特征描述信息)告知给第二目标网络设备,以便UDR和/或UDM存储该分组信息进行后续处理,避免NWDAF自身存储该分组信息,会占用资源,影响到工作性能。因分组信息是依据终端行为数据所得,可多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图20所示,本发明的实施例提供一种NWDAF2000,包括第三处理器2001和第三收发器2002,其中,
所述第三收发器2002用于发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述第三收发器2002还用于:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
接收所述第三目标网络设备发送的异常通知确认。
可选地,所述第三收发器2002还用于:
接收第三目标网络设备发送的订阅异常请求;
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
可选地,所述第三收发器2002还用于:接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述第三处理器2001用于:通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
可选地,所述第三收发器2002还用于:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第三收发器2002还用于:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第三收发器2002还用于:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
可选地,所述第三收发器2002还用于:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
接收所述第二目标网络设备发送的增加/更新分组响应。
本发明实施例的NWDAF,将检测结果(即基于分组信息,对目标终端的当前行为数据进行异常检测得到的检测结果)告知于第三目标网络设备,使得该第三目标网络设备接收该检测结果后,能够按照预设异常处理策略对目标终端进行有效的、针对性的管理。其中,因检测结果是依据分组信息所得,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图21所示,本发明实施例还提供了一种NWDAF2100,包括第四处理器2101和第四收发器2102,其中,
所述第四处理器2101用于通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
可选地,所述第四收发器2102用于:
接收第四目标网络设备发送的所述初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个。
可选地,所述第四收发器2102还用于:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第四收发器2102还用于:
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述第四收发器2102还用于:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
接收所述第三目标网络设备发送的异常通知确认。
可选地,所述第四收发器2102还用于:
接收第三目标网络设备发送的订阅异常请求;
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述第四收发器2102还用于:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第四收发器2102还用于:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
可选地,所述第四收发器2102还用于:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
接收所述第二目标网络设备发送的增加/更新分组响应。
本发明实施例的NWDAF,会结合初级异常标识以及分组信息(该分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息),进行针对目标终端(该目标终端与该初级异常标识对应)的异常检测,因通过初级异常标识,NWDAF已初步了解了与该初级异常标识对应的目标终端的行为,在做进一步异常检测的过程中,就能够对该目标终端进行针对性的处理,节省信令。而且,因异常检测依据了基于终端行为数据对终端进行分组所得的分组信息,能够进行多维度数据刻画终端行为,来得到更为准确的行为判断结果。
如图22所示,本发明的实施例提供了一种网络设备2200,包括第五处理器2201和第五收发器2202,其中,
所述第五收发器2202用于接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
可选地,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
可选地,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
可选地,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
可选地,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者
所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第五收发器还用于:
接收所述第一网络设备发送的异常通知,所述异常通知包括所述检测结果;
发送异常通知确认至所述第一网络设备。
可选地,所述第五收发器2202还用于:
发送订阅异常请求至所述第一网络设备;
接收所述第一网络设备发送的订阅异常响应,所述订阅异常响应包括所述检测结果。
可选地,所述第五处理器2201用于:
根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理。
可选地,所述第二网络设备为PCF;
所述第五处理器2201还用于:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的策略决策。
可选地,所述第二网络设备为AMF;
所述第五处理器2201还用于:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理。
可选地,所述第二网络设备为SMF;
所述第五处理器2201还用于:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制。
可选地,所述第二网络设备为AMF、SMF或者PCF;
所述第五收发器2202还用于:
接收所述第一网络设备或第二目标网络设备发送的分组信息;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息;所述第二目标网络设备为UDR和/或UDM;
在根据所述分组信息确定目标终端异常的情况下,发送初级异常标识至所述第一网络设备。
可选地,所述第二网络设备为UDR或者UDM;
所述第五收发器2202还用于:
接收第一网络设备发送的分组信息。
可选地,所述第五收发器2202还用于:
接收所述第一网络设备发送的增加/更新分组请求,所述增加/更新分组请求包括所述分组信息;
发送增加/更新分组响应至所述第一网络设备。
可选地,所述第五处理器2201还用于:
删除业务关停状态的异常终端的分组信息;其中,所述异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围;
当接收到终端注册请求后,判断是否存在所述终端注册请求的发送终端的分组信息;
若不存在,则拒绝所述发送终端注册接入;若存在,则注册接入。
可选地,所述第五收发器2202还用于:
发送分组信息至AMF、SMF或者PCF中的至少一个,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
可选地,所述第二网络设备为AF;
所述第五处理器2201还用于:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
可选地,所述第五收发器2202还用于:
发送自身记录的终端行为数据至所述第一网络设备。
本发明实施例的网络设备,会接收第一网络设备(如NWDAF)发送的检测结果,由于该检测结果是第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;且分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息,因能够多维度刻画终端行为,该检测结果准确性更高,使得之后进行有效的管理。
如图23所示,本发明实施例的一种网络设备,包括收发器2301、存储器2302、处理器2303及存储在所述存储器2302上并可在所述处理器2303上运行的计算机程序;所述处理器2303执行所述计算机程序时实现如上应用于第一网络设备的各个实施例的终端行为数据处理方法,或者实现如应用于第二网络设备的终端行为数据处理方法。
所述收发器2301,用于在处理器2303的控制下接收和发送数据。
其中,在图23中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2303代表的一个或多个处理器和存储器2302代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器2301可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器2303负责管理总线架构和通常的处理,存储器2302可以存储处理器2303在执行操作时所使用的数据。
本发明的实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上应用于第一网络设备的各个实施例的终端行为数据处理方法的步骤,或者实现如应用于第二网络设备的终端行为数据处理方法的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本发明实施例还提供了一种终端行为数据处理***,如图2所示,该***包括了能够实现上述实施例的NWDAF、UDR、UDM、UPF、AMF、SMF、PCF、OAM以及AF。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本发明精神及教示,因此,本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本发明会是完善又完整,且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (79)
1.一种终端行为数据处理方法,应用于第一网络设备,其特征在于,包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
2.根据权利要求1所述的终端行为数据处理方法,其特征在于,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
3.根据权利要求1所述的终端行为数据处理方法,其特征在于,所述方法还包括:
分析所述终端行为数据,获得分组信息,其中归属于同一组的终端具有相同的特征描述信息。
4.根据权利要求3所述的终端行为数据处理方法,其特征在于,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
5.根据权利要求3或4所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
6.根据权利要求5所述的终端行为数据处理方法,其特征在于,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
7.根据权利要求3所述的终端行为数据处理方法,其特征在于,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
8.根据权利要求7所述的终端行为数据处理方法,其特征在于,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
9.根据权利要求7所述的终端行为数据处理方法,其特征在于,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
10.根据权利要求7所述的终端行为数据处理方法,其特征在于,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
11.根据权利要求10所述的终端行为数据处理方法,其特征在于,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
12.根据权利要求7所述的终端行为数据处理方法,其特征在于,所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
13.根据权利要求12所述的终端行为数据处理方法,其特征在于,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
14.根据权利要求1所述的终端行为数据处理方法,其特征在于,所述第一网络设备包括网络数据分析功能NWDAF。
15.一种终端行为数据处理方法,应用于第一网络设备,其特征在于,包括:
将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
16.根据权利要求15所述的终端行为数据处理方法,其特征在于,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
17.根据权利要求15所述的终端行为数据处理方法,其特征在于,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
18.根据权利要求15所述的终端行为数据处理方法,其特征在于,所述将分组信息发送至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
19.根据权利要求15所述的终端行为数据处理方法,其特征在于,在所述将分组信息发送至第二目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
20.根据权利要求15所述的终端行为数据处理方法,其特征在于,所述方法还包括:
基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果;
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
21.根据权利要求20所述的终端行为数据处理方法,其特征在于,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
22.根据权利要求20所述的终端行为数据处理方法,其特征在于,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
23.根据权利要求20所述的终端行为数据处理方法,其特征在于,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
24.根据权利要求20所述的终端行为数据处理方法,其特征在于,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
25.根据权利要求20所述的终端行为数据处理方法,其特征在于,所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
所述基于所述分组信息,对目标终端的当前行为数据进行异常检测,获得检测结果,包括:
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
26.根据权利要求25所述的终端行为数据处理方法,其特征在于,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
27.根据权利要求15所述的终端行为数据处理方法,其特征在于,所述第一网络设备包括NWDAF。
28.一种终端行为数据处理方法,应用于第一网络设备,其特征在于,包括:
发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
29.根据权利要求28所述的终端行为数据处理方法,其特征在于,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
30.根据权利要求29所述的终端行为数据处理方法,其特征在于,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
31.根据权利要求28所述的终端行为数据处理方法,其特征在于,所述发送检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
32.根据权利要求28所述的终端行为数据处理方法,其特征在于,在所述发送检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
33.根据权利要求28所述的终端行为数据处理方法,其特征在于,在所述发送检测结果至第三目标网络设备之前,还包括:
接收第四目标网络设备发送的初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个;
通过所述初级异常标识以及所述分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果。
34.根据权利要求33所述的终端行为数据处理方法,其特征在于,在所述接收第四目标网络设备发送的初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
35.根据权利要求28所述的终端行为数据处理方法,其特征在于,在所述发送检测结果至第三目标网络设备之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
36.根据权利要求28所述的终端行为数据处理方法,其特征在于,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
37.根据权利要求28所述的终端行为数据处理方法,其特征在于,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
38.根据权利要求28或37所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
39.根据权利要求38所述的终端行为数据处理方法,其特征在于,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
40.根据权利要求28所述的终端行为数据处理方法,其特征在于,所述第一网络设备包括NWDAF。
41.一种终端行为数据处理方法,应用于第一网络设备,其特征在于,包括:
通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
42.根据权利要求41所述的终端行为数据处理方法,其特征在于,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
接收第四目标网络设备发送的所述初级异常标识,所述第四目标网络设备包括AMF、SMF或者PCF中的至少一个。
43.根据权利要求42所述的终端行为数据处理方法,其特征在于,在所述接收第四目标网络设备发送的所述初级异常标识之前,还包括:
发送分组信息至所述第四目标网络设备;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
44.根据权利要求41所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送所述检测结果至第三目标网络设备,所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
45.根据权利要求44所述的终端行为数据处理方法,其特征在于,所述发送所述检测结果至第三目标网络设备,包括:
发送异常通知至第三目标网络设备,所述异常通知包括所述检测结果;
所述方法还包括:
接收所述第三目标网络设备发送的异常通知确认。
46.根据权利要求44所述的终端行为数据处理方法,其特征在于,在所述发送所述检测结果至第三目标网络设备之前,所述方法还包括:
接收第三目标网络设备发送的订阅异常请求;
所述发送所述检测结果至第三目标网络设备,包括:
发送订阅异常响应至所述第三目标网络设备,所述订阅异常响应包括所述检测结果。
47.根据权利要求41所述的终端行为数据处理方法,其特征在于,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
48.根据权利要求47所述的终端行为数据处理方法,其特征在于,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
49.根据权利要求41所述的终端行为数据处理方法,其特征在于,在所述通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果之前,还包括:
通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
50.根据权利要求41所述的终端行为数据处理方法,其特征在于,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
51.根据权利要求41所述的终端行为数据处理方法,其特征在于,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
52.根据权利要求41或51所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送所述分组信息至第二目标网络设备,其中所述第二目标网络设备包括UDR和/或UDM。
53.根据权利要求52所述的终端行为数据处理方法,其特征在于,所述发送所述分组信息至第二目标网络设备,包括:
发送增加/更新分组请求至所述第二目标网络设备,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
接收所述第二目标网络设备发送的增加/更新分组响应。
54.根据权利要求41所述的终端行为数据处理方法,其特征在于,所述第一网络设备包括NWDAF。
55.一种终端行为数据处理方法,应用于第二网络设备,其特征在于,包括:
接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
56.根据权利要求55所述的终端行为数据处理方法,其特征在于,所述检测结果包括:
用于指示终端是否异常的异常标识;和/或
用于指示终端异常度的异常等级标识。
57.根据权利要求56所述的终端行为数据处理方法,其特征在于,所述异常等级标识包括:
第一异常等级标识、第二异常等级标识和第三异常等级标识;其中,
所述第一异常等级标识用于指示一终端或同组终端存在小于第一阈值数量的终端的当前行为数据,未脱离所属分组的常态特征阈值范围,但处于所述常态特征阈值范围的边缘区域;
第二异常等级标识用于指示一终端的当前行为数据脱离所属分组的常态特征阈值范围;
第三异常等级标识用于指示同组终端存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围。
58.根据权利要求55所述的终端行为数据处理方法,其特征在于,所述终端行为数据包括:
终端的地理位置、时间特性、移动规律、功能特性、发包特性、数据包大小或者源地址-目的地址。
59.根据权利要求55所述的终端行为数据处理方法,其特征在于,所述分组信息包括:组标识、终端设备标识以及当前分组的特征描述信息;其中,
所述分组信息指示每个组标识对应的终端设备标识和特征描述信息;或者所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
60.根据权利要求55所述的终端行为数据处理方法,其特征在于,所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的异常通知,所述异常通知包括所述检测结果;
所述方法还包括:
发送异常通知确认至所述第一网络设备。
61.根据权利要求55所述的终端行为数据处理方法,其特征在于,在所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
发送订阅异常请求至所述第一网络设备;
所述接收第一网络设备发送的目标终端的检测结果,包括:
接收所述第一网络设备发送的订阅异常响应,所述订阅异常响应包括所述检测结果。
62.根据权利要求55所述的终端行为数据处理方法,其特征在于,在所述接收第一网络设备发送的目标终端的检测结果之后,还包括:
根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理。
63.根据权利要求62所述的终端行为数据处理方法,其特征在于,所述第二网络设备为PCF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的策略决策。
64.根据权利要求62所述的终端行为数据处理方法,其特征在于,所述第二网络设备为AMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的接入控制、移动性限制或者注册区域管理。
65.根据权利要求62所述的终端行为数据处理方法,其特征在于,所述第二网络设备为SMF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的会话管理或者策略控制。
66.根据权利要求62所述的终端行为数据处理方法,其特征在于,所述第二网络设备为AMF、SMF或者PCF;
所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理之前,还包括:
接收所述第一网络设备或第二目标网络设备发送的分组信息;其中,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息;所述第二目标网络设备为UDR和/或UDM;
在根据所述分组信息确定目标终端异常的情况下,发送初级异常标识至所述第一网络设备。
67.根据权利要求55所述的终端行为数据处理方法,其特征在于,所述第二网络设备为UDR或者UDM;
在所述接收第一网络设备发送的目标终端的检测结果之前,还包括:
接收第一网络设备发送的分组信息。
68.根据权利要求67所述的终端行为数据处理方法,其特征在于,所述接收第一网络设备发送的分组信息,包括:
接收所述第一网络设备发送的增加/更新分组请求,所述增加/更新分组请求包括所述分组信息;
所述方法还包括:
发送增加/更新分组响应至所述第一网络设备。
69.根据权利要求67所述的终端行为数据处理方法,其特征在于,所述方法还包括:
删除业务关停状态的异常终端的分组信息;其中,所述异常终端归属的分组中,存在大于第二阈值数量的终端的当前行为数据脱离所属分组的常态特征阈值范围;
当接收到终端注册请求后,判断是否存在所述终端注册请求的发送终端的分组信息;
若不存在,则拒绝所述发送终端注册接入;若存在,则注册接入。
70.根据权利要求67所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送分组信息至AMF、SMF或者PCF中的至少一个,所述分组信息指示每个终端设备标识对应的组标识和特征描述信息。
71.根据权利要求62所述的终端行为数据处理方法,其特征在于,所述第二网络设备为AF;
在所述根据所述检测结果,按照预设异常处理策略对所述目标终端进行管理,包括:
根据所述目标终端的异常标识和/或异常等级标识,进行对应的业务关停或请求新的服务质量QoS资源。
72.根据权利要求65所述的终端行为数据处理方法,其特征在于,所述方法还包括:
发送自身记录的终端行为数据至所述第一网络设备。
73.一种NWDAF,其特征在于,包括第一处理器和第一收发器,其中,
所述第一收发器用于通过第一目标网络设备获取终端行为数据;其中,所述第一目标网络设备包括:统一数据存储UDR、用户签约数据管理UDM、用户面功能UPF、接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、操作维护管理OAM或者应用功能AF中的至少一个。
74.一种NWDAF,其特征在于,包括第二处理器和第二收发器,其中,
所述第二收发器用于将分组信息发送至第二目标网络设备;其中,所述第二目标网络设备包括UDR和/或UDM;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
75.一种NWDAF,其特征在于,包括第三处理器和第三收发器,其中,
所述第三收发器用于发送检测结果至第三目标网络设备;其中,所述检测结果是基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息;所述第三目标网络设备包括:UDR、UDM、UPF、AMF、SMF、PCF、OAM或者AF中的至少一个。
76.一种NWDAF,其特征在于,包括第四处理器和第四收发器,其中,
所述第四处理器用于通过初级异常标识以及分组信息,对与所述初级异常标识对应的目标终端进行异常检测,得到检测结果;其中,所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
77.一种网络设备,其特征在于,包括第五处理器和第五收发器,其中,
所述第五收发器用于接收第一网络设备发送的目标终端的检测结果,所述检测结果是所述第一网络设备基于分组信息,对目标终端的当前行为数据进行异常检测得到的;所述分组信息为基于终端行为数据对终端进行分组所得,归属于同一组的终端具有相同的特征描述信息。
78.一种网络设备,包括收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-14任一项所述的终端行为数据处理方法,或者实现如权利要求15-27任一项所述的终端行为数据处理方法,或者实现如权利要求28-40任一项所述的终端行为数据处理方法,或者实现如权利要求41-54任一项所述的终端行为数据处理方法,或者实现如权利要求55-72任一项所述的终端行为数据处理方法。
79.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-14任一项所述的终端行为数据处理方法中的步骤,或者实现如权利要求15-27任一项所述的终端行为数据处理方法中的步骤,或者实现如权利要求28-40任一项所述的终端行为数据处理方法中的步骤,或者实现如权利要求41-54任一项所述的终端行为数据处理方法中的步骤,或者实现如权利要求55-72任一项所述的终端行为数据处理方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810911341.2A CN110830422B (zh) | 2018-08-10 | 2018-08-10 | 一种终端行为数据处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810911341.2A CN110830422B (zh) | 2018-08-10 | 2018-08-10 | 一种终端行为数据处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830422A true CN110830422A (zh) | 2020-02-21 |
| CN110830422B CN110830422B (zh) | 2022-04-01 |
Family
ID=69541451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810911341.2A Active CN110830422B (zh) | 2018-08-10 | 2018-08-10 | 一种终端行为数据处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830422B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134730A (zh) * | 2020-09-07 | 2020-12-25 | 广州爱浦路网络技术有限公司 | 网络数据采集方法及装置 |
| WO2021204199A1 (zh) * | 2020-04-09 | 2021-10-14 | ***通信有限公司研究院 | 终端移动性的监测方法及设备 |
| WO2021212990A1 (zh) * | 2020-04-20 | 2021-10-28 | 华为技术有限公司 | 认证事件处理方法及装置、*** |
| CN113613279A (zh) * | 2021-08-06 | 2021-11-05 | 中国电信股份有限公司 | 路由策略生成方法及相关设备 |
| WO2022001555A1 (zh) * | 2020-06-30 | 2022-01-06 | 中兴通讯股份有限公司 | 无线资源管理方法、存储介质和电子设备 |
| WO2022027492A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 一种通信方法、设备及*** |
| CN114338392A (zh) * | 2020-09-29 | 2022-04-12 | 中国电信股份有限公司 | 网络数据分析方法和网络数据分析功能实体 |
| WO2022083226A1 (zh) * | 2020-10-21 | 2022-04-28 | 中兴通讯股份有限公司 | 异常识别方法和***、存储介质及电子装置 |
| WO2022089130A1 (zh) * | 2020-10-30 | 2022-05-05 | 华为技术有限公司 | 一种异常终端控制方法及装置 |
| US20220247779A1 (en) * | 2021-02-04 | 2022-08-04 | Oracle International Corporation | METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MITIGATING DENIAL OF SERVICE (DoS) ATTACKS AT NETWORK FUNCTIONS (NFs) |
| WO2022206252A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法、装置、设备、计算机可读存储介质及计算机程序产品 |
| WO2022228417A1 (zh) * | 2021-04-26 | 2022-11-03 | ***通信有限公司研究院 | 用户数据容灾方法、装置、网元设备及存储介质 |
| CN116938808A (zh) * | 2022-03-30 | 2023-10-24 | 腾讯科技(深圳)有限公司 | 信息处理方法、装置、设备、存储介质及计算机程序产品 |
| WO2024012542A1 (zh) * | 2022-07-14 | 2024-01-18 | 中兴通讯股份有限公司 | 签约信息处理方法、装置、设备及存储介质 |
| WO2024027427A1 (zh) * | 2022-07-30 | 2024-02-08 | 华为技术有限公司 | 异常检测的方法和通信装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427409A (zh) * | 2012-01-31 | 2012-04-25 | 迈普通信技术股份有限公司 | 基于网络配置协议的配置数据提交方法及服务器 |
| CN104144069A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 无线侧呼叫数据记录与用户业务行为关联的方法和装置 |
| US20160088540A1 (en) * | 2013-06-03 | 2016-03-24 | Huawei Technologies Co., Ltd. | Method for Handover Without Default Bearer and Device |
| CN105813079A (zh) * | 2016-05-17 | 2016-07-27 | 工业和信息化部电信研究院 | 一种终端接入方法 |
| CN106937323A (zh) * | 2015-12-30 | 2017-07-07 | 华为技术有限公司 | 一种用户终端数量的监控方法及相关设备 |
| CN107295499A (zh) * | 2016-04-01 | 2017-10-24 | 中兴通讯股份有限公司 | 移动通讯***及寻呼方法 |
| CN107888498A (zh) * | 2016-09-29 | 2018-04-06 | 中兴通讯股份有限公司 | 实现用户面功能管理的方法及装置和网元及装置 |
| US20180227743A1 (en) * | 2017-02-06 | 2018-08-09 | Qualcomm Incorporated | Mechanism to enable optimized user plane anchoring for minimization of user plane relocation due to user equipment mobility |
-
2018
- 2018-08-10 CN CN201810911341.2A patent/CN110830422B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427409A (zh) * | 2012-01-31 | 2012-04-25 | 迈普通信技术股份有限公司 | 基于网络配置协议的配置数据提交方法及服务器 |
| CN104144069A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 无线侧呼叫数据记录与用户业务行为关联的方法和装置 |
| US20160088540A1 (en) * | 2013-06-03 | 2016-03-24 | Huawei Technologies Co., Ltd. | Method for Handover Without Default Bearer and Device |
| CN106937323A (zh) * | 2015-12-30 | 2017-07-07 | 华为技术有限公司 | 一种用户终端数量的监控方法及相关设备 |
| CN107295499A (zh) * | 2016-04-01 | 2017-10-24 | 中兴通讯股份有限公司 | 移动通讯***及寻呼方法 |
| CN105813079A (zh) * | 2016-05-17 | 2016-07-27 | 工业和信息化部电信研究院 | 一种终端接入方法 |
| CN107888498A (zh) * | 2016-09-29 | 2018-04-06 | 中兴通讯股份有限公司 | 实现用户面功能管理的方法及装置和网元及装置 |
| US20180227743A1 (en) * | 2017-02-06 | 2018-08-09 | Qualcomm Incorporated | Mechanism to enable optimized user plane anchoring for minimization of user plane relocation due to user equipment mobility |
Non-Patent Citations (1)
| Title |
|---|
| 3RD GENERATION PARTNERSHIP PROJECT: "《System architecture for the 5G System》", 《3GPP TS 23.501 V15.1.0》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021204199A1 (zh) * | 2020-04-09 | 2021-10-14 | ***通信有限公司研究院 | 终端移动性的监测方法及设备 |
| WO2021212990A1 (zh) * | 2020-04-20 | 2021-10-28 | 华为技术有限公司 | 认证事件处理方法及装置、*** |
| WO2022001555A1 (zh) * | 2020-06-30 | 2022-01-06 | 中兴通讯股份有限公司 | 无线资源管理方法、存储介质和电子设备 |
| WO2022027492A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 一种通信方法、设备及*** |
| CN112134730A (zh) * | 2020-09-07 | 2020-12-25 | 广州爱浦路网络技术有限公司 | 网络数据采集方法及装置 |
| CN114338392A (zh) * | 2020-09-29 | 2022-04-12 | 中国电信股份有限公司 | 网络数据分析方法和网络数据分析功能实体 |
| WO2022083226A1 (zh) * | 2020-10-21 | 2022-04-28 | 中兴通讯股份有限公司 | 异常识别方法和***、存储介质及电子装置 |
| WO2022089130A1 (zh) * | 2020-10-30 | 2022-05-05 | 华为技术有限公司 | 一种异常终端控制方法及装置 |
| CN114531681A (zh) * | 2020-10-30 | 2022-05-24 | 华为技术有限公司 | 一种异常终端控制方法及装置 |
| US20220247779A1 (en) * | 2021-02-04 | 2022-08-04 | Oracle International Corporation | METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MITIGATING DENIAL OF SERVICE (DoS) ATTACKS AT NETWORK FUNCTIONS (NFs) |
| US11582258B2 (en) * | 2021-02-04 | 2023-02-14 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating denial of service (DoS) attacks at network functions (NFs) |
| WO2022206252A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法、装置、设备、计算机可读存储介质及计算机程序产品 |
| WO2022228417A1 (zh) * | 2021-04-26 | 2022-11-03 | ***通信有限公司研究院 | 用户数据容灾方法、装置、网元设备及存储介质 |
| CN113613279A (zh) * | 2021-08-06 | 2021-11-05 | 中国电信股份有限公司 | 路由策略生成方法及相关设备 |
| CN116938808A (zh) * | 2022-03-30 | 2023-10-24 | 腾讯科技(深圳)有限公司 | 信息处理方法、装置、设备、存储介质及计算机程序产品 |
| WO2024012542A1 (zh) * | 2022-07-14 | 2024-01-18 | 中兴通讯股份有限公司 | 签约信息处理方法、装置、设备及存储介质 |
| WO2024027427A1 (zh) * | 2022-07-30 | 2024-02-08 | 华为技术有限公司 | 异常检测的方法和通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830422B (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830422B (zh) | 一种终端行为数据处理方法及设备 | |
| EP3850889B1 (en) | Quality of service information notification to user equipment, users, and application server | |
| US11758416B2 (en) | System and method of network policy optimization | |
| WO2019192366A1 (zh) | 一种终端ue管控方法及装置 | |
| WO2019149080A1 (zh) | 获取链路质量的方法和装置 | |
| US11463915B2 (en) | Systems and methods for exposing custom per flow descriptor attributes | |
| US20170251385A1 (en) | Telecommunication networks | |
| US9220031B2 (en) | Access control method and device | |
| US10292152B2 (en) | Cache-based data transmission methods and apparatuses | |
| WO2016033979A1 (zh) | 用户服务提供的处理方法、装置及*** | |
| US11855864B2 (en) | Method and apparatus for collecting network traffic in wireless communication system | |
| KR20140046004A (ko) | 이동 통신 장치 및 방법 | |
| Li et al. | An MEC-based DoS attack detection mechanism for C-V2X networks | |
| WO2022001315A1 (zh) | 信息传递方法、装置、存储介质及电子装置 | |
| US10129079B2 (en) | Telecommunications system and method | |
| CN106572482B (zh) | 参数配置方法、装置及核心网络自配置自优化平台 | |
| US20210409981A1 (en) | Adaptive network data collection and composition | |
| WO2020063661A1 (zh) | 一种流量拥塞监测方法及装置 | |
| CN111277552B (zh) | 一种对直径信令安全威胁识别的方法、装置及存储介质 | |
| US20170013524A1 (en) | Methods and system in user service enhancement for roaming in wireless mesh networks | |
| CN108882282A (zh) | 一种针对SDWSNs中新流攻击的检测和响应方法 | |
| WO2017157255A1 (zh) | 基于本地卸载的数据侦听方法和装置 | |
| WO2018092120A1 (en) | A system and method for optimizing communication between civilian and different dispatchers | |
| WO2017006181A1 (en) | Methods and system in user service enhancement for roaming in wireless mesh networks | |
| CN114079581A (zh) | 基于pcc的服务处理方法、***、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |