WO2022089130A1

WO2022089130A1 - 一种异常终端控制方法及装置

Info

Publication number: WO2022089130A1
Application number: PCT/CN2021/121210
Authority: WO
Inventors: 周艳; 林青春; 张博; 何承东
Original assignee: 华为技术有限公司
Priority date: 2020-10-30
Filing date: 2021-09-28
Publication date: 2022-05-05
Also published as: EP4236410A4; EP4236410A1; CN114531681A

Abstract

本申请提供一种异常终端控制方法及装置，实现对异常终端的有效控制。在该方案中，第一网络设备从终端设备接收数据，并根据所述数据确定终端设备的终端异常信息，其中，终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个。第一网络设备根据终端异常信息获取终端设备对应的第一控制动作，并根据第一控制动作对终端设备进行控制管理。通过该方法，第一网络设备能够根据获取到的终端异常信息确定终端设备对应的第一控制动作，在该终端设备存在网络攻击行为时，能够及时根据该终端设备对应的第一控制动作对该终端设备进行控制管理，从而可以提升网络安全性。

Description

一种异常终端控制方法及装置

相关申请的交叉引用

本申请要求在2020年10月30日提交中国专利局、申请号为202011194022.8、申请名称为“一种异常终端控制方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种异常终端控制方法及装置。

背景技术

在通信网络中，终端通过核心网接入IP网络进行通信时，需要先获取IP地址。通常终端的IP地址由核心网进行分配，终端在得到核心网分配的IP地址后，终端在发出的业务数据中携带该IP地址，核心网根据该IP地址进行计算会话策略等处理。

终端在被劫持等情况下，可能会发起网络扫描、分布式拒绝服务攻击(distributed denial of service attack，DDoS)、传播病毒等各种网络攻击行为。发起网络攻击的终端为了在攻击时隐藏身份或突破网络防护，常会采用IP地址欺骗的手段。发起网络攻击的终端在进行IP地址欺骗时，会仿冒一个受信任的IP地址以突破网络安全措施，或使用其它终端的IP地址以隐藏攻击身份，从而导致网络设备难以准确地对攻击行为进行溯源。

现有技术中，为提高网络安全性，常采用设置网络防火墙方式，仅允许满足访问控制规则的终端访问网络，从而拦截终端攻击网络的异常事件。但当终端仿冒访问控制规则允许的IP地址时，则会导致网络防火墙的访问控制规则失效而达成攻击目的。

因此，现有的异常终端控制方式较为单一，无法对异常终端实施有效控制。

发明内容

本申请提供一种异常终端控制方法及装置，实现对异常终端的有效控制。

第一方面，本申请实施例提供一种异常终端控制方法，该方法可适用于如图1所示的通信***中。该方法包括：

第一网络设备从终端设备接收数据，所述数据包括用户面数据和/或控制面数据；所述第一网络设备根据所述数据确定所述终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，并根据所述第一控制动作对所述终端设备进行控制管理。

通过该方法，第一网络设备能够根据获取到的终端异常信息确定终端设备对应的第一控制动作，在该终端设备存在网络攻击行为时，能够及时根据该终端设备对应的第一控制动作对该终端设备进行控制管理，从而可以提升网络安全性。

在一种可能的设计中，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：所述第一网络设备根据所述终端异常信息获取所述终端设备对应的控制策略，所述控制策略包括所述第一控制动作。

在一种可能的设计中，所述控制策略还包括终端标识、终端异常状态和终端异常事件中的部分或全部。

通过以上设计，第一网络设备可以获取终端设备对应的控制策略，控制策略中包括第一控制动作，还可以包括终端标识、终端异常状态和终端异常事件中的部分或全部，从而能够获取到更多的终端异常信息，进而实现对终端设备进行准确的控制管理。

在一种可能的设计中，所述终端异常事件为控制面异常事件，所述第一控制动作为控制面控制动作和/或数据面控制动作；或者所述终端异常事件为数据面异常事件，所述第一控制动作为控制面控制动作和/或数据面控制动作。

通过该设计，第一网络设备在对终端设备进行控制管理时，能够从控制面对终端设备进行控制管理，如禁止终端设备接入网络；或从数据面对终端设备进行控制管理，如丢弃终端设备发送的数据。当然也可以同时对终端设备进行控制面和数据面的控制管理。

在一种可能的设计中，所述第一网络设备根据所述终端设备发送的数据确定所述终端设备的终端异常信息，包括：所述第一网络设备根据所述数据获取所述终端设备的终端标识；和/或，所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件和/或终端异常状态。

通过该设计，第一网络设备能够根据终端设备发送的数据确定终端标识，或对数据进行异常检测，确定终端设备的终端异常事件和/或终端异常状态，进而确定多种终端异常信息，提供多种确定终端设备对应的第一控制动作的方式，实现对异常终端设备的灵活控制。

在一种可能的设计中，所述数据为用户面数据时，所述第一网络设备确定与所述用户面数据关联的上下文信息，根据所述上下文信息确定终端标识。

在一种可能的设计中，所述数据为控制面数据时，所述第一网络设备根据所述控制面数据确定所述终端设备的永久标识，并将所述终端设备的永久标识作为所述终端设备的终端标识；其中，所述控制面数据中包含终端设备的临时标识或永久标识。

在一种可能的设计中，当所述控制面数据中的终端标识为临时标识时，所述第一网络设备根据所述终端设备的临时标识关联所述终端设备的上下文信息；所述第一网络设备根据所述终端设备的上下文信息确定所述终端设备的永久标识。

通过以上设计，第一网络设备在接收到终端设备发送的数据后，能够根据该数据确定终端标识，从而能够根据终端标识确定终端设备对应的第一控制动作。本申请实施例针对终端设备发送的不同数据类型(如控制面数据或用户面数据)，提供了不同的终端标识确定方式，以使第一网络设备能够根据终端设备发送的数据准确确定终端标识。

在一种可能的设计中，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：所述第一网络设备向第二网络设备发送携带所述终端标识的签约数据请求消息，其中，所述第二网络设备为数据管理功能实体；所述第一网络设备从所述第二网络设备获取所述终端设备的签约数据，其中，所述签约数据中包含所述第一控制动作。

通过该设计，当第一网络设备为接入管理功能实体，第二网络设备为数据管理功能实体时，数据管理功能实体中存储终端设备的签约数据，第一网络设备向第二网络设备获取终端设备签约数据，从而能够获取到签约数据中包含的终端设备对应的第一控制动作，而不需要发送另外的信息，进一步提高异常终端设备的控制效率。

在一种可能的设计中，所述第一控制动作为第四网络设备根据第三网络设备上报的所述终端设备的终端异常事件确定并下发到所述第二网络设备的控制动作。

通过该设计，本申请实施例中还可以由第三网络设备对终端设备发送的数据进行异常检测，并将确定出的终端异常事件上报给第四网络设备，再由第四网络设备将确定出的第一控制动作下发到第二网络设备。也就是说，本申请实施例并不限于第一网络设备和第二网络设备交互的异常终端控制方式，可以由多个网络设备交互实现异常终端控制。

在一种可能的设计中，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体或会话管理功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的控制策略，包括：所述第一网络设备向所述第二网络设备发送携带所述终端标识的策略请求消息；其中，所述第二网络设备为策略控制功能实体；所述第一网络设备接收所述第二网络设备返回的所述第一控制动作。

通过该设计，当第一网络设备为接入管理功能实体或会话管理功能实体，第二网络设备为策略控制功能实体时，第一网络设备能够在确定需要对终端设备进行控制管理时，向第二网络设备发送策略请求消息，获取终端设备对应的第一控制动作，以对终端设备进行控制管理。

在一种可能的设计中，所述第一控制动作为所述第二网络设备根据第三网络设备上报的所述终端设备的终端异常事件确定的控制动作。

通过该设计，本申请实施例中还可以由第三网络设备对终端设备进行异常检测，并将确定出的终端异常事件上报给第二网络设备。也就是说，本申请实施例并不限于第一网络设备和第二网络设备交互的异常终端控制方式，可以由多个网络设备交互实现异常终端控制。

在一种可能的设计中，所述第一网络设备为用户面功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：所述第一网络设备根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作。

在一种可能的设计中，所述第一网络设备根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作，包括：所述第一网络设备接收第二网络设备发送的配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；所述第一网络设备根据所述匹配条件和控制动作的对应关系，确定所述终端异常信息对应的控制动作，并将确定出的控制动作作为所述第一控制动作。

通过该设计，当第一网络设备为用户面功能实体时，第二网络设备将匹配条件及对应的控制动作提前下发到第一网络设备，第一网络设备在需要对终端设备进行控制管理时，根据终端异常信息在本设备中查询终端设备对应的控制动作，及时对终端设备进行控制管理，减少消息传递带来的时延，提升异常终端控制的效率。

在一种可能的设计中，在所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件；所述第一网络设备向第二网络设备上报所述终端设备的终端异常事件。

通过该设计，第一网络设备能够对终端设备发送的数据进行异常检测，确定终端设备的终端异常事件，并向第二网络设备上报终端异常事件，能够使第二网络设备记录终端设备的终端异常事件，在终端设备下次接入时即可对终端设备进行控制管理，而无需多次重复异常检测，浪费网络资源。

在一种可能的设计中，在所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件；所述第一网络设备向所述第二网络设备上报所述终端设备的终端异常事件；所述第一网络设备从所述第二网络设备接收与所述终端异常事件对应的第二控制动作；所述第一网络设备根据所述第二控制动作对所述终端设备进行控制管理。其中，第二控制动作可以与第一控制动作相同。

通过该设计，第一网络设备对终端设备发送的数据进行异常检测，确定终端设备的终端异常事件后，向第二网络设备上报终端异常事件，第二网络设备确定终端异常事件对应的第二控制动作，并将第二控制动作下发给第一网络设备，从而能够及时准确地对存在异常攻击行为的终端设备进行控制管理。

在一种可能的设计中，所述第一网络设备向所述第二网络设备上报所述终端设备的终端异常事件，包括：

所述第一网络设备通过告警消息向所述第二网络设备上报所述终端设备的终端异常事件；或者所述第一网络设备通过业务日志向所述第二网络设备上报所述终端设备的终端异常事件；或者所述第一网络设备通过消息接口向所述第二网络设备上报所述终端设备的终端异常事件。

在一种可能的设计中，所述第一网络设备根据下列方式对所述数据进行异常检测：

方式1、所述第一网络设备根据所述终端设备预设时长内发送的数据与参考值，确定所述终端设备的终端异常事件；其中，所述参考值为根据所述终端设备的历史数据，基于已训练的统计分析模型确定的。

方式2、所述第一网络设备基于已训练的机器学习模型，确定所述数据对应的终端异常事件。

方式3、所述第一网络设备基于预设的匹配规则，根据所述数据确定所述终端设备的终端异常事件。

通过该设计，本申请实施例提供多种异常检测方法，通过机器学习、规则匹配、统计分析等方式对终端设备进行异常检测，提高异常检测的准确率，并能够检测多种终端异常事件，以对不同终端异常事件确定对应的控制动作，对终端设备进行针对性的控制管理，进一步提高网络安全性。

在一种可能的设计中，所述第一网络设备在预设时长内根据所述第一控制动作对所述终端设备进行控制管理。

通过以上设计，在预设时长内，第一网络设备根据第一控制动作对终端设备进行控制管理，超出预设时常后，将终端设备作为合法终端，不再进行控制管理，从而在被劫持终端设备不再进行网络攻击行为，或不是由终端设备主动发起网络攻击行为场景下，恢复终端设备的正常业务。

第二方面，本申请实施例提供一种异常终端控制方法，该方法可适用于如图1所示的通信***中。该方法包括：

第二网络设备接收第一网络设备发送的请求消息；所述请求消息中包含终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；所述第二网络设备确定所述终端设备对应的第一控制动作，所述第一控制动作与所述终端异常信息对应，并将所述第一控制动作下发到所述第一网络设备。

通过该设计，第二网络设备在接收到第一网络设备发送的请求消息后，根据终端异常信息确定终端设备对应的第一控制动作，能够有针对性的确定异常的终端设备对应的第一控制动作。第二网络设备将终端设备对应的第一控制动作下发到第一网络设备，以辅助第一网络设备对异常终端进行准确的控制管理。

在一种可能的设计中，所述第二网络设备确定所述终端设备对应的第一控制动作，包括：所述第二网络设备确定所述终端设备对应的控制策略，所述控制策略包括所述第一控制动作；所述将所述第一控制动作下发到所述第一网络设备，包括：所述第二网络设备将所述控制策略下发到所述第一网络设备。

在一种可能的设计中，所述控制策略还包括所述终端标识、终端异常状态、终端异常事件中的部分或全部。

通过以上设计，第二网络设备可以确定包括第一控制动作的控制策略，控制策略中还可以包括终端标识、终端异常状态、终端异常事件等，从而能够记录更加丰富的终端异常信息，为对终端设备进行控制管理提供参考，进一步提高异常终端控制的准确性。

在一种可能的设计中，所述第二网络设备为数据管理功能实体，所述第二网络设备接收第一网络设备发送的请求消息，包括：所述第二网络设备接收所述第一网络设备发送的签约数据请求消息；所述签约数据请求消息中包含所述终端标识；所述第一网络设备为接入管理功能实体；所述将所述第一控制动作下发到所述第一网络设备，包括：所述第二网络设备将所述终端标识对应的签约数据发送到所述第一网络设备，其中，所述签约数据中包含所述第一控制动作。

通过该设计，当第一网络设备为接入管理功能实体，第二网络设备为数据管理功能实体时，第二网络设备将终端设备的签约数据发送给第一网络设备，以使第一网络设备从签约数据中获取终端设备对应的第一控制动作，及时对异常终端进行控制管理。

在一种可能的设计中，所述第二网络设备为策略控制功能实体，所述第二网络设备接收第一网络设备发送的请求消息，包括：所述第二网络设备接收所述第一网络设备发送的携带所述终端标识的策略请求消息；其中，所述第一网络设备为接入管理功能实体或会话管理功能实体。

通过该设计，当第一网络设备为接入管理功能实体或会话管理功能实体，第二网络设备为策略控制功能实体时，第一网络设备可以通过策略请求消息向第二网络设备请求终端设备对应的第一控制动作，进而能够在需要对终端设备进行控制管理时，及时获取终端设备对应的第一控制动作。

在一种可能的设计中，所述第二网络设备为网元管理功能实体，所述第一网络设备为用户面功能实体；所述将所述第一控制动作下发到所述第一网络设备，包括：所述第二网络设备根据所述第一控制动作调用配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；所述第二网络设备向所述第一网络设备将发送所述配置命令。

通过该设计，当第一网络设备为用户面功能实体时，第二网络设备通过配置命令将匹配条件及对应的控制动作下发到第一网络设备，以使第一网络设备在确定终端接入时，在本设备中根据匹配条件及对应的控制动作查询终端设备对应的控制动作，减少网络设备之间传递消息带来的时延，提高异常终端控制的效率。

在一种可能的设计中，在所述第二网络设备接收第一网络设备的请求消息之前，还包括：所述第二网络设备接收所述第一网络设备上报的所述终端设备的终端异常事件；所述第二网络设备根据预设的终端异常事件与控制动作的对应关系，确定所述终端异常事件对应的第二控制动作；将所述终端异常事件对应的第二控制动作发送给所述第一网络设备。

通过该设计，在所述第二网络设备接收第一网络设备的请求消息之前，第二网络设备接收第一网络设备上报的终端异常事件后，确定终端设备对应的第二控制动作，并将确定出的第二控制动作发送给第一网络设备，以辅助第一网络设备对存在异常行为的终端设备及时进行控制管理，提升网络安全。

第三方面，本申请实施例提供了一种异常终端控制装置，包括用于执行以上第一方面中各个步骤的单元。

第四方面，本申请实施例提供了一种异常终端控制装置，包括用于执行以上第二方面中各个步骤的单元。

第五方面，本申请实施例提供了一种异常终端控制功能实体，包括至少一个处理元件和至少一个存储元件，其中该至少一个存储元件用于存储程序和数据，该至少一个处理元件用于执行本申请以上第一方面提供的方法。

第六方面，本申请实施例提供了一种异常终端控制功能实体，包括至少一个处理元件和至少一个存储元件，其中该至少一个存储元件用于存储程序和数据，该至少一个处理元件用于执行本申请以上第二方面提供的方法。

第七方面，本申请实施例提供了一种通信***，包括如第三方面提供的异常终端控制装置，以及如第四方面提供的异常终端控制装置。

第八方面，本申请实施例还提供了一种计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第一方面或第二方面中提供的方法。

第九方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被计算机执行时，使得所述计算机执行上述第一方面或第二方面中提供的方法。

第十方面，本申请实施例还提供了一种芯片，所述芯片用于读取存储器中存储的计算机程序，执行上述第一方面或第二方面中提供的方法。

第十一方面，本申请实施例还提供了一种芯片***，该芯片***包括处理器，用于支持计算机装置实现上述第一方面或第二方面中提供的方法。在一种可能的设计中，所述芯片***还包括存储器，所述存储器用于保存该计算机装置必要的程序和数据。该芯片***可以由芯片构成，也可以包含芯片和其他分立器件。

附图说明

图1为本申请实施例提供的一种通信***的架构示意图；

图2为本申请实施例提供的一种异常终端控制方法流程图；

图3为本申请实施例提供的第一种5G通信***下的异常终端控制方法流程图；

图4为本申请实施例提供的第二种5G通信***下的异常终端控制方法流程图；

图5为本申请实施例提供的第三种5G通信***下的异常终端控制方法流程图；

图6为本申请实施例提供的第四种5G通信***下的异常终端控制方法流程图；

图7为本申请实施例提供的第五种5G通信***下的异常终端控制方法流程图；

图8为本申请实施例提供的安全管理功能实体与CN交互为例的异常终端控制方法流程图；

图9为本申请实施例提供的第一种异常终端控制装置的结构示意图；

图10为本申请实施例提供的第二种异常终端控制装置的结构示意图；

图11为本申请实施例提供的第一种异常终端控制功能实体的结构示意图；

图12为本申请实施例提供的第二种异常终端控制功能实体的结构示意图。

具体实施方式

为了方便理解本申请实施例，下面介绍与本申请实施例相关的术语。

1、安全管理功能实体，能够基于保存的控制动作对异常终端进行控制管理。其中，该控制动作可以为由技术人员预先配置的，或者为根据一些设定的策略生成方法生成的。安全管理功能实体在接收到其它功能实体(如核心网中功能实体)上报的终端异常事件后，能够根据终端异常事件确定对该终端实施的控制动作，并将该控制动作下发到核心网设备中，从而辅助核心网设备对异常终端进行控制管理，有效防止异常终端的网络攻击行为。

可选的，本申请实施例不对所述安全管理功能实体的表现形式进行限定，其可以为具有安全管理功能的网络边缘设备、服务器，或者为核心网中的功能实体(例如网元管理功能实体或策略控制功能实体)等。

2、因特网协议(Internet Protocol，IP)，是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性：一是解决互联网问题，实现大规模、异构网络的互联互通；二是分割顶层网络应用和底层网络技术之间的耦合关系，以利于两者的独立发展。根据端到端的设计原则，IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。

IP是整个TCP/IP协议族的核心，也是构成互联网的基础。IP位于TCP/IP模型的网络层，对上可载送传输层各种协议的信息，例如TCP、UDP等；对下可将IP信息包放到链路层，通过以太网、令牌环网络等各种技术来传送。

IP规定网络上所有的设备都必须有一个独一无二的IP地址，由于IP网络中每个终端设备具有唯一的地址，保证了用户在终端设备上操作时，能够高效而且方便地从千千万万台终端设备中选出自己所需的对象来。

3、签约信息，指的是终端设备跟运营商或者其它搭建网络的公司签订的用户准入信息。如果终端设备签约后，就可以根据签约信息里网络标识访问相应的网络，使用该网络资源。该签约信息存储在核心网侧和终端设备侧，如发生变动，就会由核心网发起UE配置更新流程(UE configuration update)通知终端设备侧。

4、完整性保护，是指在数据传输过程中对数据实施完整性的保护传输，从而使得接收端接收到的数据为发送端发送的准确的数据，防止数据在传输过程中被纂改或伪造IP地址。

需要说明的是，随着技术的不断发展，本申请实施例的术语有可能发生变化，但都在本申请的保护范围之内。

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

本申请实施例提供的异常终端控制方法适用的一种可能的通信***的架构，如图1所示，所述通信***包括三部分：终端设备、移动通信网络和数据网络(data network，DN)。下面参考附图分别对每个部分的功能和实体进行详细介绍。

终端设备，是一种向用户提供语音和/或数据连通性的设备。终端设备又可以称为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等。例如，终端设备可以为具有无线连接功能的手持式设备、车载设备等。目前，一些终端设备的举例为：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

异常终端，为在接入网络后进行网络攻击行为的终端，如在接入网络后，进行网络扫描、DDoS、传播病毒等攻击行为的终端。异常终端在对网络攻击后，可能会造成网络无法访问、资源泄露等安全问题，因此，及时检测并控制异常终端可以有效维护网络安全。

为了方便说明，在本申请后续描述以及各图中，可以将终端设备简称为终端。

DN，也可以称为分组数据网络(packet data network，PDN)，是位于移动通信网络之外的网络。DN上可部署多种业务，可为终端设备提供数据和/或语音等服务。其中，移动通信网络可以接入至少一个DN，同一个DN也可以被至少一个移动通信网络接入。例如，所述DN可以是分组数据网络(packet data network，PDN)，如因特网(Internet)、IP多媒体业务(IP Multi-media Service，IMS)网络、某些应用专用的数据网络(例如腾讯视频的数据网络)、以太网、IP本地网络等，本申请对此不作限定。

移动通信网络，为终端设备提供接入服务和端到端的连接服务。终端设备可以通过移动通信网络访问DN，实现具体业务。其中，所述移动通信网络又可以包括接入网(access network，AN)和核心网(core network，CN)两部分。其中，AN主要负责终端设备的无线接入功能。CN用于将终端设备接入到DN。

AN设备向所述终端提供无线接入服务。所述AN设备为AN中的节点，又可以称为基站，还可以称为无线接入网(radio access network，RAN)节点(或设备)。目前，一些接入网设备的举例为：gNB、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。

CN按照具体的逻辑功能划分，核心网又可以分为控制面(control plane，CP)和用户面(user plane，UP)。那么核心网中负责控制面功能的实体可以统称为控制面功能实体，负责用户面功能的实体可以统称为用户面功能实体。核心网中各个功能实体也可以称为网元，既可以是在专用硬件上实现的网络元件，也可以是在专用硬件上运行的软件实例，或者是在适当平台上虚拟化功能的实例。

下面分别对核心网中的主要功能实体的功能进行具体介绍。

用户面功能实体，主要负责终端的用户面数据的转发和接收。用户面功能实体可以从DN接收用户面数据，通过AN设备传输给UE；用户面功能实体还可以通过AN设备从UE接收用户面数据，转发到DN。其中，用户面功能实体中为UE提供服务的传输资源和调度功能是由控制面功能实体管理控制的。

控制面功能实体包括：策略控制功能(policy control function，PCF)实体、数据管理(unified data management，UDM)实体、接入和移动性管理功能(access and mobility management function，AMF)实体、会话管理功能(session management function，SMF)实体、网元管理***(network element management system，EMS)。

为了便于描述，以下将UPF实体，AMF实体、PCF实体、UDM实体，SMF实体，简称为AMF、PCF、UDM、UPF、SMF。

其中，AMF与UE之间可以通过N1接口相连，AMF与AN设备之间可以通过N2接口相连，AN设备与UPF之间可以通过N3接口相连，SMF与UPF之间可以通过N4接口相连，UPF与DN之间可以通过N6接口相连。接口名称只是一个示例说明，本申请实施例对此不作具体限定。应理解，本申请实施例并不限于图1所示通信***，图1中所示的网元的名称在这里仅作为一种示例说明，并不作为对本申请的方法适用的通信***架构中包括的功能实体的限定。下面对所述CN中的各个功能实体或设备的功能进行详细描述：

AMF可用于对UE的接入控制和移动性进行管理，在实际应用中，其包括了长期演进(long term evolution，LTE)中网络框架中移动管理实体(mobility management entity，MME)里的移动性管理功能，并加入了接入管理功能，具体可以负责UE的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理功能网元的选择、移动状态转换管理等。在如图1所示的通信***中，所述AMF可以提供Namf服务。

SMF可用于负责终端的会话管理(包括会话的建立、修改和释放)，UPF的选择和重选、UE的互联网协议(internet protocol，IP)地址分配、服务质量(quality of service，QoS)控制等。在如图1所示的通信***中，所述SMF可以提供Nsmf服务。

PCF可用于负责策略控制决策、提供基于业务数据流和应用检测、门控、QoS和基于流的计费控制等功能等。在如图1所示的通信***中，所述PCF可以提供Npcf服务。

UDM可用于管理UE的签约数据、与终端相关的注册信息等。在如图1所示的通信***中，所述UDM可以提供Nudm服务。

EMS可用于管理特定类型的一个或多个电信网络单元，在专业网领域内提供统一的操作维护功能，能够端到端管理维护设备和网络。

需要说明的是，图1所示的通信***并不构成本申请实施例能够适用的通信***的限定，其中，图1所示的通信***架构为5G***架构。可选的，本申请实施例的方法还适用于2G通信***、3G通信***、4G通信***以及未来的各种通信***，例如6G或者其他通信***等。应理解，本申请中所有功能实体的名称仅仅作为示例，在未来通信中还可以称为其它名称，或者在未来通信中本申请涉及的网元还可以通过其它具有相同功能的实体或者设备等来替代，本申请对此均不作限定。这里做统一说明，后续不再赘述。例如，在4G通信***中，具有所述AMF的功能的网元还可以称为MME，具有SMF和UPF的功能的网元还可以对应为SGW和PGW。

终端在如图1所示的通信***中进行业务通信，例如，终端通过CN接入IP网络进行通信时，CN为终端分配唯一的IP地址，终端在得到CN分配的IP地址后，在发出的业务数据中携带该IP地址，CN根据该IP地址进行计算会话策略等处理。

但终端在被劫持等情况下，可能会发起网络扫描、DDoS、传播病毒等网络攻击行为。发起网络攻击的终端为了在攻击时隐藏身份或突破网络防护，常会采用IP地址欺骗的手段，通过仿冒一个受信任的IP地址访问网络以发起网络攻击，如终端将自己的IP地址伪装为其它源IP地址，则终端发送的数据包中包括假的源IP地址，业务服务器在向该终端发送相应的数据包时，这些服务器无法判断源IP地址是否为假，都会直接使用该假的源IP地址作为目的地址，导致这些业务服务器容易被异常终端攻击。

为提高网络安全性，常用的手段为设置网络防火墙，仅允许满足访问控制规则的终端访问网络，进而拦截异常终端，但若终端将自己的IP地址伪装为满足访问控制规则的IP地址时，由于网络防火墙无法获知CN为终端分配的IP地址，从而无法识别终端是否存在IP地址欺骗，导致防火墙的访问控制规则失效。

为了解决上述问题，本申请实施例提供一种异常终端控制方法，用于检测异常终端并对异常终端进行控制管理，从而提高网络安全性。该方法可以应用于如图1所示的通信***中。下面参考图2所示的流程图对该方法的步骤进行详细描述。其中，本实施例中涉及的第一网络设备可以为通信***中的AMF、SMF或UPF，第二网络设备可以为通信***中的UDM、EMS或PCF。

S201：第一网络设备从终端接收数据。

具体实施中，第一网络设备在确定终端接入CN后，获取终端发送的数据。终端发送的数据包括用户面数据和/或控制面数据。

S202：第一网络设备根据所述数据确定终端的终端异常信息。

可选的，终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个。其中，终端异常状态用于表示终端是否属于异常终端，存在网络攻击行为等异常行为的终端为异常终端。终端异常事件为对终端发送的数据进行异常检测后确定的终端异常事件。

一种可选的实施方式中，针对终端发送用户面数据和控制面数据的不同情况，第一网络设备分别根据下列方式获取终端标识：

(1)在终端发送的数据为用户面数据的场景下

第一网络设备接收到用户面数据后，确定用户面数据对应的终端标识。

具体实施中，第一网络设备根据用户面数据的隧道标识确定所述用户面数据关联的上下文信息，并从终端的上下文信息中获取终端标识。其中，所述终端的上下文信息是终端在从控制面接入CN时建立的。

(2)在终端发送的数据为控制面数据的场景下

第一网络设备根据终端发送的控制面数据确定终端的永久标识，由于终端发送的控制面数据中包括终端的临时标识或永久标识，若控制面数据中包括终端的临时标识，第一网络设备根据终端的临时标识关联终端的上下文信息，从终端的上下文信息中获取终端的永久标识。

第一网络设备将确定出的终端的永久标识作为终端标识。

需要说明的是，终端标识还可以为终端的国际移动用户识别码(International Mobile Subscriber Identity，IMSI)或签约永久标识(Subscription Permanent Identifier，SUPI)、移动台国际ISDN号码(Mobile Station International ISDN Number，MSISDN)或一般公共订阅标识符(Generic Public Subscription Identifier，GPSI)、国际移动设备标识(International Mobile Equipment Identity，IMEI)或永久设备标识(Permanent Equipment Identifier，PEI)等固定标识，也可以为全局唯一的临时标识(Globally Unique Temporary Identifier，GUTI)或临时移动台标识(Temporary Mobile Subscriber Identity，TMSI)或隧道端点标识(Tunnel Endpoint Identifier，TEID)等临时标识。

可选的，终端异常事件包括控制面异常事件和数据面异常事件。其中，控制面异常事件例如：终端在预设时长内发送控制面消息数量大于预设阈值、终端在接入核心网时仿冒为其它终端、终端位置异常等。数据面异常事件例如：终端发送IP地址欺骗报文、终端在预设时长内发送的数据报文数量大于预设阈值、终端发送或接收病毒流量、终端存在木马行为等。下面对本申请实施例提供的异常检测方式进行介绍：

方式1、根据终端预设时长内发送的数据与该数据类型对应的参考值，确定终端对应的终端异常事件。

第一网络设备预先配置数据类型对应的参考值，其中，该参考值为根据终端的历史数据，基于已训练的统计分析模型确定的。

进一步的，将终端的历史数据及数据类型输入到已训练的统计分析模型中，获取已训练的统计分析模型输出该数据类型对应的参考值。在获取到数据类型对应的参考值后，确定终端预设时长内发送的数据数量与所述参考值之间差值的绝对值，在确定所述差值的绝对值大于预设阈值时，确定终端异常事件为数据异常。

具体实施中，在满足下列公式时，确定终端异常事件为数据异常：

|D-R|>b

其中，D为终端预设时长内发送的数据数量，R为终端预设时长内发送的数据的数据类型对应的参考值，b为预设阈值。

举例来说，将终端的历史上行流量数据输入到已训练的统计分析模型中，获取该终端的上行流量数据对应的参考值。获取终端预设时长内的上行流量数据，确定所述上行流量数据与所述上行流量数据对应的参考值之间差值的绝对值，在所述差值的绝对值大于预设阈值时，确实终端异常事件为上行流量数据异常。

由于该实施方式中，采用统计分析模型根据终端的历史数据确定数据类型对应的参考值，该参考值能够表示终端在历史业务中的行为习惯，在计算终端预设时间内发送的数据与参考值之间差值的绝对值后，若所述差值的绝对值小于预设阈值，则确定终端在预设时间内发送数据数量在正常的波动范围内，否则，确定终端在预设时间内发送数据数量过多或过少，即存在数据异常。

方式2、基于已训练的机器学习模型，确定终端发送的数据对应的终端异常事件。

第一网络设备将终端发送的数据作为已训练的机器学习模型的输入，对终端发送的数据进行检测，获取已训练的机器学习模型输出的异常事件，如传播病毒、网络扫描、传输异常报文等。

在一种可选的实施方式中，根据下列方式对机器学习模型进行训练：

根据训练数据集中的异常流量数据作为机器学习模型的输入，将异常流量数据对应的异常事件作为机器学习模型的输出，对机器学习模型进行训练；基于损失函数计算机器学习模型输出的预测异常事件与异常流量数据对应的异常事件之间的损失值，根据损失值调整机器学习模型参数，重复以上步骤直至损失值收敛在预设范围中，确定对及其学习模型训练完成。

方式3、基于预设的匹配规则，根据所述终端发送的数据确定所述终端的终端异常事件。

第一网络设备预先存储异常事件匹配规则，根据终端发送的数据确定对应的终端异常事件。

举例来说，第一网络设备获取终端的上行数据报文，确定上行数据报文的IP地址。第一网络设备根据终端标识确定核心网分配给终端的IP地址，在确定上行数据报文的IP地址与核心网分配给终端的IP地址不符合时，确定终端异常事件为发送IP地址欺骗报文。

S203：第一网络设备根据终端异常信息获取终端对应的第一控制动作。

第一控制动作为用于对终端进行控制管理的动作，控制动作包括控制面控制动作和数据面控制动作，例如控制面控制动作可以为禁止终端接入；数据面控制动作可以为丢弃终端发送的数据。

在第一种实施方式中，终端异常信息中包含终端标识，所述第一网络设备可以根据方式1(如图2中的步骤S2031～S2034所示)确定终端对应的第一控制动作，具体过程如下：

S2031：第一网络设备向第二网络设备发送签约数据请求消息。

其中，签约数据请求消息中包含终端标识。

S2032：第二网络设备根据签约数据请求消息中的终端标识确定终端的签约数据。

S2033：第二网络设备将终端的签约数据发送给第一网络设备，其中，签约数据中包含第一控制动作。

S2034：第一网络设备从终端的签约数据中获取第一控制动作。

需要说明的是，终端的签约数据中的第一控制动作可以为预先设置在签约数据中的，也可以是第三网络设备通过调用配置命令更新到签约数据中的。

在第二种实施方式中，终端异常信息中包含终端标识，所述第一网络设备还可以根据方式2(如图2中的步骤S2035～S2037所示)确定终端对应的第一控制动作，具体过程如下：

S2035：第一网络设备向第二网络设备发送策略请求消息；

其中，策略请求消息中携带终端标识。

S2036、第二网络设备根据策略请求消息中的终端标识确定终端对应的第一控制动作。

S2037、第二网络设备将终端对应的第一控制动作发送给第一网络设备。

在第三种实施方式中，第一网络设备还可以根据方式3(如图2中步骤S2038)确定终端对应的第一控制动作，具体过程如下：

S2038、第一网络设备根据终端异常信息在本设备中查询终端对应的第一控制动作。

具体实施中，第一网络设备根据匹配条件和控制动作的对应关系，确定终端异常信息对应的控制动作，并将确定出的控制动作作为第一控制动作。其中，匹配条件和控制动作的对应关系可以为预先配置在第一网络设备中的，也可以为第二网络设备调用配置命令配置到第一网络设备中的。可选的，匹配条件包括终端标识、终端异常状态和终端异常事件中的至少一个。

举例来说，若终端异常信息中包括终端标识、终端异常状态和终端异常事件，且匹配条件包括终端标识、终端异常状态和终端异常事件，则可以先根据终端标识与匹配条件进行匹配，确定对应的控制动作，并将确定出的控制动作作为第一控制动作；若确定出多个控制动作，可以根据终端异常状态和终端异常事件与匹配条件进行匹配，对多个控制动作进行筛选，确定出终端对应的第一控制动作。

需要说明的是，若终端异常信息中包括终端标识，则可以优先根据终端标识确定终端对应的第一控制动作，具体实施可以参见以上方式1～方式3，由于本申请实施例提供的异常终端控制方法能够记录终端的异常事件，从而在终端再次接入时可以不对终端发送的数据进行异常检测，而直接对终端进行控制管理。相比于每次都对终端发送的数据进行异常检测的方案，该方法中的控制动作对应出现异常事件的异常终端的终端标识，从而在有异常终端接入时即可根据该终端标识确定相应的控制动作，并根据该控制动作对该异常终端进行控制管理，在提升网络安全性的同时，还提高了对异常终端控制的效率。

一种可选的实施方式中，第二网络设备可以根据下列方式确定终端对应的第一控制动作：

方式一、第二网络设备接收第一网络设备或第三网络设备上报的终端异常事件，根据预设的终端异常事件与控制动作之间的对应关系，确定终端异常事件对应的控制动作，并将确定出的控制动作作为终端对应的第一控制动作。

方式二、第二网络设备接收第四网络设备下发的终端对应的第一控制动作；其中，第四网络设备可以根据第一网络设备或第三网络设备上报的终端异常事件确定对应的控制动作。

实施中，第一网络设备或第三网络设备根据接收到终端发送的数据对终端进行异常检测，确定终端的终端异常事件，并将所述终端异常事件上报到第二网络设备或第四网络设备。具体的异常检测方法可以参见上述异常检测方式介绍，此处不再赘述。

可选的，第一网络设备或第三网络设备在确定终端的终端异常事件后，可以根据下列方式向第二网络设备或第四网络设备上报所述终端异常事件：

方式1、通过告警消息上报终端异常事件。

方式2、通过业务日志上报终端异常事件。

方式3、通过消息接口上报终端异常事件。

需要说明的是，第一网络设备或第三网络设备向第二网络设备或第四网络设备上报的消息可以为原始的明文消息，也可以进行加密以保护用户隐私，本申请实施例对此不作限定。

在一种实施方式中，第一网络设备或第三网络设备在确定所述终端发送的数据为被完整性保护的数据后，对终端发送的数据进行异常检测。这是由于终端发送数据报文时，若在传输过程中未对发送的数据进行完整性保护，则终端发送的数据报文在传输过程中可能会被第三方篡改，从而导致虽然并非是由终端主动发起的网络攻击行为，但对该终端进行控制管理，影响合法终端的正常业务。因此，可以通过在对终端发送的数据进行异常检测之前，确定该数据为被完整性保护的数据，提高异常检测的准确性。具体地，第一网络设备或第三网络设备在接收到终端发送的数据后，确定终端的上下文信息，在确定终端的上下文信息中包括完整性保护标识时，确定终端发送的数据为受完整性保护的数据。

在本申请实施例中，第一网络设备获取终端对应的第一控制动作还可以为获取终端对应的控制策略，终端对应的控制策略中包括第一控制动作，还可以包括终端标识、终端异常状态以及终端异常事件中的部分或全部。另外，控制策略中还可以包括策略有效时长、生效时间点、生效时间段等控制策略的实施辅助指示。

S204、第一网络设备根据终端对应的第一控制动作对终端进行控制管理。

具体实施中，第一网络设备可以在预设时长内对终端进行控制管理，从而在终端不再被劫持或并不是由终端主动发起网络攻击的场景下，对终端进行一段时间的控制后，恢复终端为合法终端，从而避免影响合法终端的正常业务。

进一步的，可以在对终端进行控制管理时，设置一个定时器，在该定时器内对终端进行控制管理，定时器过期后，将该终端作为合法终端，恢复终端的正常业务。

另外，本申请实施例还提供一种异常终端控制方法，第一网络设备在接收到终端发送的数据之后，获取终端标识，确定根据终端标识未能确定终端对应的第一控制动作，表示该终端并未被标识为异常终端，则对终端发送的数据进行异常检测，确定终端的终端异常事件；第一网络设备向第二网络设备上报终端的终端异常事件；第二网络设备确定终端异常事件对应的第二控制动作，将第二控制动作发送给第一网络设备，第一网络设备根据第二控制动作对终端进行控制管理。进一步地，第二网络设备将第二控制动作发送给第一网络设备后，可以将第二控制动作作为终端对应的第一控制动作存储到预设存储空间中，也就是说，第一控制动作与第二控制动作可以相同。

基于以上实施例，本申请还提供一些异常终端控制实例。其中，这些实例也应用于如图1所示的通信***中。下面结合图3-图6对每个实例进行详细说明。

实例一：本实例以第一网络设备为AMF，第二网络设备为UDM为例进行说明，参阅图3所示，该实例具体包括以下步骤。

S301：终端接入CN。

S302、UPF从终端接收数据，并获取终端标识。

S303、终端发起网络攻击行为。

S304、UPF对终端发送的数据进行异常检测，确定终端的终端异常事件。

S305、UPF根据终端异常事件确定单次控制动作。

S306、UPF根据单次控制动作对终端进行单次控制管理。

需要说明的是，UPF在对终端进行异常检测确定终端为异常终端时，UPF可以根据预先存储的单次控制策略与终端异常事件的对应关系，确定终端的终端异常事件对应的单次控制动作，UPF根据确定出的单次控制动作对终端立即实施单次控制管理，从而减少终端的网络攻击行为带来的安全问题。

S307、UPF将终端异常事件上报到EMS。

具体实施中，UPF可以通过告警消息、业务日志、消息接口等方式将终端异常事件上报到EMS。

可选的，UPF还可以将终端异常事件通知给SMF，由SMF将终端异常事件上报到EMS。

S308、EMS根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的第一控制动作。

S309、EMS调用UDM配置命令修改终端的签约数据，将终端的签约数据中的控制动作修改为第一控制动作。

S310、终端再次请求接入CN。

S311、AMF获取终端标识。

S312、AMF向UDM发送包含终端标识的签约数据请求消息。

S313、UDM根据签约数据请求消息中的终端标识确定终端的签约数据。

S314、UDM将终端的签约数据发送给AMF。

S315、AMF根据终端的签约数据中的第一控制动作对终端进行控制管理。

实例二：本实例以第一网络设备为UPF、第二网络设备为EMS为例进行说明，参阅图4所示，该实例具体包括以下步骤。

S401、终端接入CN。

S402、UPF从终端接收数据，并获取终端标识。

S403、终端发起网络攻击行为。

S404、UPF对终端发送的数据进行异常检测，确定终端的终端异常事件。

S405、UPF根据终端异常事件确定单次控制动作。

S406、UPF根据单次控制动作对终端进行单次控制管理。

S407、UPF将终端异常事件上报到EMS。

S408、EMS根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的第一控制动作。

S409、EMS调用UPF配置命令将匹配条件及对应的控制动作配置到UPF。

一种可选的实施方式中，EMS还可以调用SMF配置命令，将匹配条件及对应的控制动作配置到SMF，再由SMF将匹配条件及对应的控制动作下发到UPF。

S410、终端再次请求接入CN。

S411、UPF获取终端异常信息。

S412、UPF根据终端异常信息在本设备中查询终端对应的第一控制动作。

S413、UPF根据终端对应的第一控制动作对终端进行控制管理。

实例三：本实例以第一网络设备为AMF，第二网络设备为PCF为例进行说明，参阅图5所示，该实例具体包括以下步骤。

S501、终端接入CN。

S502、UPF从终端接收数据，并获取终端标识。

S503、终端发起网络攻击行为。

S504、UPF对终端发送的数据进行异常检测，确定终端的终端异常事件。

S505、UPF根据终端异常事件确定单次控制动作。

S506、UPF根据单次控制动作对终端进行单次控制管理。

S507、UPF将终端异常事件发送到SMF。

S508、SMF将终端异常事件上报到PCF。

可选的，UPF还可以通过消息接口等方式将终端异常事件直接上报到PCF。

S509、PCF存储终端标识以及终端异常事件。

S510、终端再次请求接入CN。

S511、AMF获取终端标识。

S512、AMF向PCF发送策略请求消息。

S513、PCF根据策略请求消息中的终端标识查询存储的终端标识以及终端异常事件，并根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的第一控制动作。

S514、PCF将第一控制动作发送给AMF。

S515、AMF根据第一控制动作对终端进行控制管理。

实例四：本实例以第一网络设备为SMF、第二网络设备为PCF为例进行说明，参阅图6所示，该实例具体包括以下步骤。

S601、终端接入CN。

S602、AMF从终端接收数据，获取终端标识。

S603、终端发起网络攻击行为。

S604、AMF对终端发送的数据进行异常检测，确定终端的终端异常事件。

S605、AMF根据终端异常事件确定单次控制动作。

S606、AMF根据单次控制动作对终端进行单次控制管理。

S607、AMF将终端异常事件上报到PCF。

具体实施中，AMF可以通过消息接口等方式将终端异常事件上报到PCF。

S608、PCF存储终端标识以及终端异常事件。

S609、终端再次请求接入CN。

S610、AMF获取终端标识。

S611、AMF通知SMF终端请求接入CN。

S612、SMF向PCF发送策略请求消息。

S613、PCF根据策略请求消息中的终端标识查询存储的终端标识以及终端异常事件，并根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的第一控制动作。

S614、PCF将第一控制动作发送给SMF。

S615、SMF将第一控制动作发送给UPF。

可选的，PCF还可以将第一控制动作直接下发给UPF，而不需要SMF进行转发。

S616、UPF根据第一控制动作对终端进行控制管理。

实例五：本实例以第一网络设备为UPF、第二网络设备为PCF为例进行说明，参阅图7所示，该实例具体包括以下步骤。

S701、终端接入CN。

S702、UPF从终端接收数据，并获取终端标识。

S703、终端发起网络攻击行为。

S704、UPF对终端发送的数据进行异常检测，确定终端的终端异常事件。

S705、UPF根据终端异常事件确定单次控制动作。

S706、UPF根据单次控制动作对终端进行单次控制管理。

S707、UPF将终端异常事件发送到SMF。

S708、SMF将终端异常事件上报到PCF。

可选的，UPF还可以将终端异常事件直接上报到PCF。

S709、PCF根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的第二控制动作。

S710、PCF将第二控制动作发送给SMF。

S711、SMF将第二控制动作发送给UPF。

可选的，PCF还可以将第二控制动作直接下发给UPF，而不需要SMF进行转发。

S712、UPF确定终端当前接入CN，根据终端对应的第二控制动作对终端进行控制管理。

需要说明的是，以上实例1～5为以通信***为5G***为例的异常终端控制方法，具体实施中，本申请提供的异常终端控制方法也适用于2G、3G或4G***，如本申请实施例中5G***核心网中的UPF执行的功能可以由2G和3G***中的GGSN或4G***中的PGW实现，本申请实施例中5G***核心网中的AMF执行的功能可以由2G和3G***中的SGSN或4G***中的MME实现，具体实施过程可以参见上述实施例，重复之处不再赘述。

基于以上实施例和实例，本申请还提供了一种异常终端控制方法，该方法可以应用于图1所示的通信***中，能够实现以上实施例或实例提供的方法。其中，本方法中涉及的安全管理功能实体，用于实现对异常终端的控制管理，在具体实施中，所述安全管理功能实体可以为具有安全管理功能的独立设备，也可以为CN中的功能实体，如EMS或PCF。安全管理功能实体通过与CN交互，实现对异常终端的控制管理。下面参阅图8所示的方法流程图，对该方法进行说明。

S801：终端按照3GPP标准流程接入核心网。

S802、CN从终端接收数据，并获取终端标识。

S803、终端发起网络攻击行为。

具体的，终端发起的网络攻击行为可能为发送IP地址欺骗报文、网络扫描、DDoS行为、传播病毒等。其中，IP地址欺骗报文为终端在发送报文时，仿冒其它IP地址而不使用核心网设备为该终端分配的IP地址。

S804、CN对终端发送的数据进行异常检测，确定终端的终端异常事件。

具体实施中，CN对终端进行异常检测的方式可以参见上述实施例中的异常检测方法，重复之处不再赘述。

S805、CN将终端异常事件上报安全管理功能实体。

S806、安全管理功能实体确实终端异常状态为异常。并根据预设的终端异常事件与控制动作的对应关系，确定终端异常事件对应的控制动作。

S807、安全管理功能实体将确定出的控制动作存储到本设备中。

S808、安全管理功能实体将确定出的控制动作下发到CN。

一种可选的实施方式为，安全管理功能实体还可以在接收到CN发送的策略请求消息后，再将策略请求消息中的终端标识对应的控制策略下发到CN。

S809、CN判断终端是否在线；若是，执行S813，否则，执行S810。

S810、CN将接收到的控制动作保存到本设备中。

S811、终端再次请求接入CN。

S812、CN获取终端标识，并根据终端标识确定终端对应的控制动作。

S813、CN根据终端对应的控制动作对终端进行控制管理。

基于相同的技术构思，本申请还提供了一种异常终端控制装置900，该装置的结构如图9所示，包括第一通信单元901和第一处理单元902。所述异常终端控制装置900可以应用于图2～图7所示的第一网络设备，并可以实现上述实施例提供的异常终端控制方法。下面对所述异常终端控制装置900的各个单元的功能进行介绍。

所述第一通信单元901用于从终端设备接收数据，所述数据包括用户面数据和/或控制面数据；

所述第一处理单元902用于根据所述数据确定所述终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；根据所述终端异常信息获取所述终端设备对应的第一控制动作，并根据所述第一控制动作对所述终端设备进行控制管理。

在一种实施方式中，所述第一处理单元902具体用于：根据所述数据获取所述终端设备的终端标识；和/或对所述数据进行异常检测，确定所述终端设备的终端异常事件和/或终端异常状态。

在一种实施方式中，述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体，所述第一处理单元902具体用于：通过所述第一通信单元901向第二网络设备发送携带所述终端标识的签约数据请求消息，其中，所述第二网络设备为数据管理功能实体；通过所述第一通信单元901从所述第二网络设备获取所述终端设备的签约数据，其中，所述签约数据中包含所述第一控制动作。

在一种实施方式中，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体或会话管理功能实体，所述第一处理单元902具体用于：通过所述第一通信单元901向所述第二网络设备发送携带所述终端标识的策略请求消息；其中，所述第二网络设备为策略控制功能实体；通过所述第一通信单元901接收所述第二网络设备返回的所述第一控制动作。

在一种实施方式中，所述第一网络设备为用户面功能实体，所述第一处理单元902具体用于：根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作。

在一种实施方式中，所述第一处理单元902具体用于：通过所述第一通信单元901接收第二网络设备发送的配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；根据所述匹配条件和控制动作的对应关系，确定所述终端异常信息对应的控制动作，并将确定出的控制动作作为所述第一控制动作。

在一种实施方式中，所述第一处理单元902还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件，以及通过所述第一通信单元向所述第二网络设备上报所述终端设备的终端异常事件。

在一种实施方式中，所述第一处理单元902还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件；通过所述第一通信单元向所述第二网络设备上报所述终端设备的终端异常事件；以及通过所述第一通信单元从所述第二网络设备接收与所述终端异常事件对应的第二控制动作；根据所述第二控制动作对所述终端设备进行控制管理。

在一种实施方式中，所述第一处理单元902具体用于：根据所述终端设备在预设时长内发送的数据与参考值，确定所述终端设备的终端异常事件；其中，所述参考值为根据所述终端设备的历史数据，基于已训练的统计分析模型确定的；或者基于已训练的机器学习模型，确定所述数据对应的终端异常事件；或者基于预设的匹配规则，根据所述数据确定所述终端设备的终端异常事件。

在一种实施方式中，所述第一处理单元902具体用于：在预设时长内根据所述第一控制动作对所述终端设备进行控制管理。

基于相同的技术构思，本申请还提供了一种异常终端控制装置1000，该装置的结构如图10所示，包括第二通信单元1001和第二处理单元1002。所述异常终端控制功能实体1000可以应用于图2～图7所示的第二网络设备，并可以实现上述实施例提供的异常终端控制方法。下面对所述异常终端控制装置1000的各个单元的功能进行介绍。

所述第二通信单元1001用于接收第一网络设备发送的请求消息；所述请求消息中包含终端的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；并在第二处理单元1002确定出第一控制动作后，将所述第一控制动作下发到所述第一网络设备；

所述第二处理单元1002用于确定所述终端设备对应的第一控制动作，所述第一控制动作与所述终端异常信息对应。

在一种实施方式中，所述第二网络设备为数据管理功能实体，所述第二通信单元1001具体用于：接收所述第一网络设备发送的签约数据请求消息；所述签约数据请求消息中包含所述终端标识；所述第一网络设备为接入管理功能实体；将所述终端标识对应的签约数据发送到所述第一网络设备，其中，所述签约数据中包含所述第一控制动作。

在一种实施方式中，所述第二网络设备为策略控制功能实体，所述第二通信单元1001具体用于：接收所述第一网络设备发送的携带所述终端标识的策略请求消息；其中，所述第一网络设备为接入管理功能实体或会话管理功能实体。

在一种实施方式中，所述第二网络设备为网元管理功能实体，所述第一网络设备为用户面功能实体；所述第二处理单元1002具体用于：根据所述第一控制动作调用配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；通过所述第二通信单元1001向所述第一网络设备发送所述配置命令。

在一种实施方式中，所述第二处理单元1002还用于：在接收第一网络设备的请求消息之前，通过所述第二通信单元1001接收所述第一网络设备上报的所述终端设备的终端异常事件；根据预设的终端异常事件与控制动作的对应关系，确定所述终端异常事件对应的第二控制动作；以及通过所述第二通信单元将所述第二控制动作发送给所述第一网络设备。

基于相同的技术构思，本申请还提供了一种异常终端控制功能实体1100，该功能实体的结构如图11所示，所述异常终端控制功能实体1100可以应用于如图2～图7所示的第一网络设备，可以实现以上实施例提供的异常终端控制方法，参阅图11，所述异常终端控制功能实体1100包括：通信模块1101、处理器1102以及存储器1103。其中，所述通信模块1101、所述处理器1102以及所述存储器1103之间相互连接。

可选的，所述通信模块1101、所述处理器1102以及所述存储器1103之间通过总线1104相互连接。所述总线1104可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所述通信模块1101，用于接收和发送数据，实现与其他设备之间的通信交互。例如，当所述异常终端控制功能实体1100应用于图2所示的第一网络设备时，所述通信模块1101可以通过物理接口、通信模块、通信接口、输入输出接口实现。

所述处理器1102用于通过所述通信模块1101从终端设备接收数据，所述数据包括用户面数据和/或控制面数据；根据所述数据确定所述终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；根据所述终端异常信息获取所述终端设备对应的第一控制动作，并根据所述第一控制动作对所述终端设备进行控制管理。

在一种实施方式中，所述处理器1102具体用于：根据所述数据获取所述终端设备的终端标识；和/或对所述数据进行异常检测，确定所述终端设备的终端异常事件和/或终端异常状态。

在一种实施方式中，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体，所述处理器1102具体用于：通过所述通信模块1101向第二网络设备发送携带所述终端标识的签约数据请求消息，其中，所述第二网络设备为数据管理功能实体；以及通过所述通信模块1101从所述第二网络设备获取所述终端以及的签约数据，其中，所述签约数据中包含所述第一控制动作。

在一种实施方式中，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体或会话管理功能实体，所述处理器1102具体用于：通过所述通信模块1101向所述第二网络设备发送携带所述终端标识的策略请求消息；其中，所述第二网络设备为策略控制功能实体；以及通过所述通信模块1101接收所述第二网络设备返回的所述第一控制动作。

在一种实施方式中，所述第一网络设备为用户面功能实体，所述处理器1102具体用于：根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作。

在一种实施方式中，所述处理器1102具体于：通过所述通信模块1101接收第二网络设备发送的配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；根据所述匹配条件和控制动作的对应关系，确定所述终端异常信息对应的控制动作，并将确定出的控制动作作为所述第一控制动作。

在一种实施方式中，所述处理器1102还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件；通过所述通信模块1101向所述第二网络设备上报所述终端设备的终端异常事件。

在一种实施方式中，所述处理器1102还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件；通过所述通信模块1101向所述第二网络设备上报所述终端设备的终端异常事件；通过所述通信模块1101从所述第二网络设备接收与所述终端异常事件对应的第二控制动作；根据所述第二控制动作对所述终端设备进行控制管理。

在一种实施方式中，所述处理器1102具体用于：根据所述终端设备在预设时长内发送的数据与参考值，确定所述终端设备的终端异常事件；其中，所述参考值为根据所述终端设备的历史数据，基于已训练的统计分析模型确定的；或者基于已训练的机器学习模型，确定所述数据对应的终端异常事件；或者基于预设的匹配规则，根据所述数据确定所述终端设备的终端异常事件。

在一种实施方式中，所述处理器1102具体用于：在预设时长内根据所述第一控制动作对所述终端设备进行控制管理。

所述存储器1103，用于存放程序指令和数据等。具体地，程序指令可以包括程序代码，该程序代码包括计算机操作指令。存储器1103可能包含随机存取存储器(random access memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。处理器1102执行存储器1103所存放的程序指令，并使用所述存储器1103中存储的数据，实现上述功能，从而实现上述实施例提供的异常终端控制方法。

可以理解，本申请图11中的存储器1103可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的***和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

基于相同的技术构思，本申请还提供了一种异常终端控制功能实体1200，该功能实体的结构如图12所示，所述异常终端控制功能实体1200可以应用于如图2～图7所示的第二网络设备，可以实现以上实施例提供的异常终端控制方法，参阅图12，所述异常终端控制功能实体1200包括：通信模块1201、处理器1202以及存储器1203。其中，所述通信模块1201、所述处理器1202以及所述存储器1203之间相互连接。

可选的，所述通信模块1201、所述处理器1202以及所述存储器1203之间通过总线1204相互连接。所述总线1204可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所述通信模块1201，用于接收和发送数据，实现与其他设备之间的通信交互。例如，当所述异常终端控制功能实体1200应用于图2所示的第二网络设备时，所述通信模块1201可以通过物理接口、通信模块、通信接口、输入输出接口实现。

所述处理器1202用于通过所述通信模块1201接收第一网络设备发送的请求消息；所述请求消息中包含终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；确定所述终端设备对应的第一控制动作，所述第一控制动作与所述终端异常信息对应；通过所述通信模块1201将所述第一控制动作下发到所述第一网络设备。

在一种实施方式中，所述第二网络设备为数据管理功能实体，所述处理器1202具体用于：通过所述通信模块1201接收所述第一网络设备发送的签约数据请求消息；所述签约数据请求消息中包含所述终端标识；所述第一网络设备为接入管理功能实体；通过所述通信模块1201将所述终端标识对应的签约数据发送到所述第一网络设备，其中，所述签约数据中包含所述第一控制动作。

在一种实施方式中，所述第二网络设备为策略控制功能实体，所述处理器1202具体用于：通过所述通信模块1201接收所述第一网络设备发送的携带所述终端标识的策略请求消息；其中，所述第一网络设备为接入管理功能实体或会话管理功能实体。

在一种实施方式中，所述第二网络设备为网元管理功能实体，所述第一网络设备为用户面功能实体；所述处理器1202具体用于：通过所述通信模块1201根据所述第一控制动作调用配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；通过所述通信模块1201向所述第一网络设备发送所述配置命令。

在一种实施方式中，在接收第一网络设备的请求消息之前，所述处理器1202还用于：通过所述通信模块1201接收所述第一网络设备上报的所述终端设备的终端异常事件；根据预设的终端异常事件与控制动作的对应关系，确定所述终端异常事件对应的第二控制动作；以及通过所述通信模块1201将所述第二控制动作发送给所述第一网络设备。

所述存储器1203，用于存放程序指令和数据等。具体地，程序指令可以包括程序代码，该程序代码包括计算机操作指令。存储器1203可能包含随机存取存储器(random access memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。处理器1202执行存储器1203所存放的程序指令，并使用所述存储器1203中存储的数据，实现上述功能，从而实现上述实施例提供的异常终端控制方法。

可以理解，本申请图12中的存储器1203可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器 (Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的***和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

基于以上实施例，本申请实施例还提供了一种通信***，包括如图9所示的异常终端控制装置900以及如图10所示的异常终端控制装置1000。

基于以上实施例，本申请实施例还提供了一种计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行以上实施例提供的异常终端控制方法。

基于以上实施例，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被计算机执行时，使得计算机执行以上实施例提供的异常终端控制方法。

其中，存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

基于以上实施例，本申请实施例还提供了一种芯片，所述芯片用于读取存储器中存储的计算机程序，实现以上实施例提供的异常终端控制方法。

基于以上实施例，本申请实施例提供了一种芯片***，该芯片***包括处理器，用于支持计算机装置实现以上实施例中业务设备、转发设备或站点设备所涉及的功能。在一种可能的设计中，所述芯片***还包括存储器，所述存储器用于保存该计算机装置必要的程序和数据。该芯片***，可以由芯片构成，也可以包含芯片和其他分立器件。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种异常终端控制方法，其特征在于，该方法包括：

第一网络设备从终端设备接收数据，所述数据包括用户面数据和/或控制面数据；

所述第一网络设备根据所述数据确定所述终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；

所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，并根据所述第一控制动作对所述终端设备进行控制管理。
如权利要求1所述的方法，其特征在于，所述第一网络设备根据所述数据确定所述终端设备的终端异常信息，包括：

所述第一网络设备根据所述数据获取所述终端设备的终端标识；和/或

所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件和/或终端异常状态。
如权利要求1或2所述的方法，其特征在于，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：

所述第一网络设备向第二网络设备发送携带所述终端标识的签约数据请求消息，其中，所述第二网络设备为数据管理功能实体；

所述第一网络设备从所述第二网络设备获取所述终端设备的签约数据，其中，所述签约数据中包含所述第一控制动作。
如权利要求1或2所述的方法，其特征在于，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体或会话管理功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：

所述第一网络设备向所述第二网络设备发送携带所述终端标识的策略请求消息；其中，所述第二网络设备为策略控制功能实体；

所述第一网络设备接收所述第二网络设备返回的所述第一控制动作。
如权利要求1或2所述的方法，其特征在于，所述第一网络设备为用户面功能实体，所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作，包括：

所述第一网络设备根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作。
如权利要求5所述的方法，其特征在于，所述第一网络设备根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作，包括：

所述第一网络设备接收第二网络设备发送的配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；

所述第一网络设备根据所述匹配条件和控制动作的对应关系，确定所述终端异常信息对应的控制动作，并将确定出的控制动作作为所述第一控制动作。
如权利要求1至6任一项所述的方法，其特征在于，在所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，还包括：

所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件；

所述第一网络设备向第二网络设备上报所述终端设备的终端异常事件。
如权利要求1至6任一项所述的方法，其特征在于，在所述第一网络设备根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，还包括：

所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件；

所述第一网络设备向所述第二网络设备上报所述终端设备的终端异常事件；

所述第一网络设备从所述第二网络设备接收与所述终端异常事件对应的第二控制动作；

所述第一网络设备根据所述第二控制动作对所述终端设备进行控制管理。
如权利要求2、7、8任一项所述的方法，其特征在于，所述第一网络设备对所述数据进行异常检测，确定所述终端设备的终端异常事件，包括：

所述第一网络设备根据所述终端设备在预设时长内发送的数据与参考值，确定所述终端设备的终端异常事件；其中，所述参考值为根据所述终端设备的历史数据，基于已训练的统计分析模型确定的；或者

所述第一网络设备基于已训练的机器学习模型，确定所述数据对应的终端异常事件；或者

所述第一网络设备基于预设的匹配规则，根据所述数据确定所述终端设备的终端异常事件。
如权利要求1至9任一项所述的方法，其特征在于，所述第一网络设备根据所述第一控制动作对所述终端设备进行控制管理，包括：

所述第一网络设备在预设时长内根据所述第一控制动作对所述终端设备进行控制管理。
一种异常终端控制方法，其特征在于，该方法包括：

第二网络设备接收第一网络设备发送的请求消息；所述请求消息中包含终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；

所述第二网络设备确定所述终端设备对应的第一控制动作，所述第一控制动作与所述终端异常信息对应，并将所述第一控制动作下发到所述第一网络设备。
如权利要求11所述的方法，其特征在于，所述第二网络设备为数据管理功能实体，所述第二网络设备接收第一网络设备发送的请求消息，包括：

所述第二网络设备接收所述第一网络设备发送的签约数据请求消息；所述签约数据请求消息中包含所述终端标识；所述第一网络设备为接入管理功能实体；

所述将所述第一控制动作下发到所述第一网络设备，包括：

所述第二网络设备将所述终端标识对应的签约数据发送到所述第一网络设备，其中，所述签约数据中包含所述第一控制动作。
如权利要求11所述的方法，其特征在于，所述第二网络设备为策略控制功能实体，所述第二网络设备接收第一网络设备发送的请求消息，包括：

所述第二网络设备接收所述第一网络设备发送的携带所述终端标识的策略请求消息；其中，所述第一网络设备为接入管理功能实体或会话管理功能实体。
如权利要求11所述的方法，其特征在于，所述第二网络设备为网元管理功能实体，所述第一网络设备为用户面功能实体；所述将所述第一控制动作下发到所述第一网络设备，包括：

所述第二网络设备根据所述第一控制动作调用配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；

所述第二网络设备向所述第一网络设备发送所述配置命令。
如权利要求11至14任一项所述的方法，其特征在于，在所述第二网络设备接收第一网络设备的请求消息之前，还包括：

所述第二网络设备接收所述第一网络设备上报的所述终端设备的终端异常事件；

所述第二网络设备根据预设的终端异常事件与控制动作的对应关系，确定所述终端异常事件对应的第二控制动作；

所述第二网络设备将所述第二控制动作发送给所述第一网络设备。
一种异常终端控制装置，应用于第一网络设备，其特征在于，包括：

第一通信单元，用于从终端设备接收数据，所述数据包括用户面数据和/或控制面数据；

第一处理单元，用于根据所述数据确定所述终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；根据所述终端异常信息获取所述终端设备对应的第一控制动作，并根据所述第一控制动作对所述终端设备进行控制管理。
如权利要求16所述的装置，其特征在于，所述第一处理单元具体用于：

根据所述数据获取所述终端设备的终端标识；和/或

对所述数据进行异常检测，确定所述终端设备的终端异常事件和/或终端异常状态。
如权利要求16或17所述的装置，其特征在于，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体，所述第一处理单元具体用于：

通过所述第一通信单元向第二网络设备发送携带所述终端标识的签约数据请求消息，其中，所述第二网络设备为数据管理功能实体；以及通过所述第一通信单元从所述第二网络设备获取所述终端设备的签约数据，其中，所述签约数据中包含所述第一控制动作。
如权利要求16或17所述的装置，其特征在于，所述终端异常信息包括终端标识，所述第一网络设备为接入管理功能实体或会话管理功能实体，所述第一处理单元具体用于：

通过所述第一通信单元向所述第二网络设备发送携带所述终端标识的策略请求消息；其中，所述第二网络设备为策略控制功能实体；以及通过所述第一通信单元接收所述第二网络设备返回的所述第一控制动作。
如权利要求16或17所述的装置，其特征在于，所述第一网络设备为用户面功能实体，所述第一处理单元具体用于：

根据所述终端异常信息在本设备中查询所述终端设备对应的第一控制动作。
如权利要求20所述的装置，其特征在于，所述第一处理单元具体用于：通过所述第一通信单元接收第二网络设备发送的配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；

根据所述匹配条件和控制动作的对应关系，确定所述终端异常信息对应的控制动作，并将确定出的控制动作作为所述第一控制动作。
如权利要求16至21任一项所述的装置，其特征在于，所述第一处理单元还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件，以及通过所述第一通信单元向所述第二网络设备上报所述终端设备的终端异常事件。
如权利要求16至21任一项所述的装置，其特征在于，所述第一处理单元还用于：在根据所述终端异常信息获取所述终端设备对应的第一控制动作之前，对所述数据进行异常检测，确定所述终端设备的终端异常事件；通过所述第一通信单元向所述第二网络设备上报所述终端设备的终端异常事件；以及通过所述第一通信单元从所述第二网络设备接收与所述终端异常事件对应的第二控制动作；

根据所述第二控制动作对所述终端设备进行控制管理。
如权利要求17、22、23任一项所述的装置，其特征在于，所述第一处理单元具体用于：

根据所述终端设备在预设时长内发送的数据与参考值，确定所述终端设备的终端异常事件；其中，所述参考值为根据所述终端设备的历史数据，基于已训练的统计分析模型确定的；或者

基于已训练的机器学习模型，确定所述数据对应的终端异常事件；或者

基于预设的匹配规则，根据所述数据确定所述终端设备的终端异常事件。
如权利要求16至24任一项所述的装置，其特征在于，所述第一处理单元具体用于：

在预设时长内根据所述第一控制动作对所述终端设备进行控制管理。
一种异常终端控制装置，其特征在于，包括：

第二通信单元，用于接收第一网络设备发送的请求消息；所述请求消息中包含终端设备的终端异常信息，所述终端异常信息包括终端标识、终端异常状态和终端异常事件中的至少一个；并在第二处理单元确定出第一控制动作后，将所述第一控制动作下发到所述第一网络设备；

第二处理单元，用于确定所述终端设备对应的第一控制动作，所述第一控制动作与所述终端异常信息对应。
如权利要求26所述的装置，其特征在于，所述第二网络设备为数据管理功能实体，所述第二通信单元具体用于：

接收所述第一网络设备发送的签约数据请求消息；所述签约数据请求消息中包含所述终端标识；所述第一网络设备为接入管理功能实体；

将所述终端标识对应的签约数据发送到所述第一网络设备，其中，所述签约数据中包含所述第一控制动作。
如权利要求26所述的装置，其特征在于，所述第二网络设备为策略控制功能实体，所述第二通信单元具体用于：

接收所述第一网络设备发送的携带所述终端标识的策略请求消息；其中，所述第一网络设备为接入管理功能实体或会话管理功能实体。
如权利要求26所述的装置，其特征在于，所述第二网络设备为网元管理功能实体，所述第一网络设备为用户面功能实体；所述第二处理单元具体用于：

根据所述第一控制动作调用配置命令，所述配置命令中包括匹配条件及对应的控制动作，所述匹配条件包括所述终端标识、终端异常状态和终端异常事件中的至少一个；通过所述第二通信单元向所述第一网络设备发送所述配置命令。
如权利要求26至29任一项所述的装置，其特征在于，所述第二处理单元还用于：在接收第一网络设备的请求消息之前，通过所述第二通信单元接收所述第一网络设备上报的所述终端设备的终端异常事件；根据预设的终端异常事件与控制动作的对应关系，确定所述终端异常事件对应的第二控制动作；以及通过所述第二通信单元将所述第二控制动作发送给所述第一网络设备。
一种计算机可读存储介质，所述存储介质存储有计算机程序，当所述计算机程序被计算机执行时，使得所述计算机执行权利要求1至10中任一项所述的方法，或执行权利要求11至15中任一项所述的方法。