网元

网元由一个或多个机盘或机框组成， 能够独立完成一定的传输功能。

网管系统中的网元其实和这个差不多，简单理解就是网络中的元素，网络中的设备。总之，网元是网络管理中可以监视和管理的最小单位，值得注意的是，网络元素和网元和被管设备是同义语，但被管设备容易被人理解成硬件。

AMF

Access and Mobility Management Function，接入和移动性管理功能，执行注册、连接、可达性、移动性管理。

为UE和SMF提供会话管理消息传输通道，为用户接入时提供认证、鉴权功能，终端和无线的核心网控制面接入点。

类似于4G MME中移动性管理。

SMF

Session Management function，会话管理功能，负责隧道维护、IP地址分配和管理、UP功能选择、策略实施和QoS中的控制、计费数据采集、漫游等。

类似于4G中MME、SGW、PGW会话管理等控制面的功能。

SMF基于UE或者会话的粒度选择UPF，可以分配IP地址，收集计费数据，连接计费中心。

UPF

The User plane function，用户面功能，分组路由转发，策略实施，流量报告，Qos处理。

类似于4G中sgw和pgw用户面功能。

UPF是会话的锚点，记录流量转发量。

存在缺陷

在5GC中，攻击者可以利用网元的漏洞攻陷某个网元，并从该网元对其他网元的开放接口发起请求，导致网元访问的序列出现异常。

异常检测

异常检测所采用的基本检测技术是全流量分析，通过分析核心网运行过程中产生的流量数据进行异常行为的检测。攻击者在尚未摸清网元服务的工作方式之前，往往要进行攻击试探，试探过程中产生的流量与网元正常工作时产生的流量有较大差异时，是检测出攻击行为的最好时机。此外，攻击者在对网元服务开展攻击行为的过程中，也会产生异常流量。鉴于攻击试探与攻击行为发生过程中产生的流量与正常业务工作过程中产生流量的差异性，对5G全流量数据进行分析处理，建立检测基线，利用基线检测异常流量，进而定位攻击行为，可实现5G核心网中的网元服务异常检测。