TWI510109B - 遞迴式異常網路流量偵測方法 - Google Patents
遞迴式異常網路流量偵測方法 Download PDFInfo
- Publication number
- TWI510109B TWI510109B TW102134461A TW102134461A TWI510109B TW I510109 B TWI510109 B TW I510109B TW 102134461 A TW102134461 A TW 102134461A TW 102134461 A TW102134461 A TW 102134461A TW I510109 B TWI510109 B TW I510109B
- Authority
- TW
- Taiwan
- Prior art keywords
- signaling
- abnormal
- user
- traffic
- recursive
- Prior art date
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本專利屬於行動網路之信令異常分析技術,除了信令異常內容的解析外,亦能透過訊務的流量資訊,提供流量變化的評估值,以協助判定行動異常問題之癥結。再進一步透過雲端架構縮短流量預測時間,提升預測準確率與即時性,以適時掌握整體網路的狀況。綜合以上是本專利之技術特色。
隨著智慧型手機、智慧型平板、影音媒體及APP應用程式的普及,行動網路的頻寬大小及傳輸品質也日趨重要,尤其是網路壅塞的問題一直為人所詬病。因此能夠掌握用戶上網的行為模式,以及各設備的流量趨勢,將有助於判定異常問題之癥結。
目前坊間設備如基地台控制器(Base Station Controller,BSC)/無線電網路控制器(Radio Network Controller,RNC)等,其網管功能所提供的流量資訊多以設備流量為主;而設備如策略計費規則功能(Policy Charging and Rules Function,PCRF)/策略計費執行功能(Policy and Charging Enforcement Function,PCEF)則可以提供用戶的使
用流量,卻無法知悉接取設備的連線狀態;再者,對於異常流量的判斷,一般皆仰賴管理者或操作者的使用經驗或是直接採用系統預設值,較無法真實反應出流量的異常,更遑論動態地偵測異常變化。
「Congestion detection method and apparatus for cell in mobile network」世界專利WO2011144061,以Acquisition Unit及Cell設備間的RRT(Round Trip Time)作為壅塞偵測的主要辨別方式,並以一個預先設定的RRTH(Round Trip Time threshold value)為判斷依據,若RRT>RRTH代表Cell壅塞發生,反之則無。但是透過此預先設定的RRTH,雖然可以即時反應目前的連線狀態是否壅塞,卻無法顯示其異常的變化。
「即時行動網路數據服務速率查詢裝置」台灣專利M394652,提供行動用戶測試連線下載的服務,透過傳輸檔案來了解網路的連線狀態,因此僅能提供小範圍的個人流量測試,無法窺探整體的網路設備狀態以及流量的異常變化。
此外,透過行動核心網路設備的網管功能來取得流量資訊時,會消耗該設備的運算時間,進而影響系統效能,若設備運算已經滿載,將使得異常情形更難以排解。再者,設備的操作模式,也會因為製造廠商的不同相對地複雜,若要全面監控,勢必增加額外的客製化成本。另外,坊間設備幾乎沒有提供流量預測的功能,使得流量資料無法獲得有效利用,更無法作為未來設備容量擴增或修正之考量。
總之,一般的行動通信網路監測設備雖然具備即時的流量資訊,但多以一固定門檻值作為壅塞判斷,較難反
應出異常流量之變化,更遑論用戶或設備流量評估與預測的功能;再者,設備操作模式與輸出資料格式,也因為製造廠商不同而迥異。因此在多種設備的網路環境下,較難以一馭萬,必須個別客製化。另外一方面,當設備進行流量資料擷取或分析時,連帶會影響系統效能,更無法進行巨量資料的運算。因此流量資料無法獲得有效利用,異常情形難以排解,往往是維運人員的心腹之患。
由此可見,上述習用方式仍有諸多缺失,實非一良善之設計,而亟待加以改良。
本專利之目的在於監測行動通信網路的異常流量狀態,利用本專利所提出的方法,分析所擷取的信令及蒐集的流量資料,透過信令分析來判斷連線是否異常,並根據用戶或設備的歷史流量變化,佐以判斷目前網路的異常狀態,裨益判定異常問題之癥結,提昇維運查測效率與正確性。此外,本專利更進一步研判分析所得之信令,透過統計學習模型預測流量,以作為未來設備容量擴增或修正之依據。
達成上述發明目的之遞迴式異常網路流量偵測方法,提出一種異常分析與預估的技術。本專利所提出之遞迴式異常網路流量偵測方法,包含四個單元:(一)行動信令擷取模組、(二)信令異常偵測模組、(三)雲端伺服器與(四)異常評估參考模組。
行動信令擷取模組自行動核心網路設備間擷取信令,取得擷取時間,並透過解碼功能,取得用戶識別碼、設備識別碼、操作碼、連線狀態、用戶上下行流量、設備傳輸
流量等。信令異常偵測模組則進行連線狀態分析,若能直接判讀封包內容的狀態為異常,則立即異常警示。若無法直接判讀,再執行訊務流量比對,以遞迴運算出的流量預測值為參考值,如果實際量測值與參考值大於誤差門檻,則納入異常警示。最後,再將結果及對應的用戶及設備參數整理並儲存至雲端伺服器,以利下次遞迴運算的進行。
異常評估參考模組則以該雲端伺服器儲存的流量資料為輸入,透過資料過濾功能,整理出有效訊務流量,可以增加異常分析的效率,亦可提升異常評估的準確率。同時因為雲端架構,能夠縮短巨量資料的運算時間,進而提升異常預估的即時性。此外,根據連線狀態轉化的學習模型,透過實際量測的流量值,能獲得修正後的異常指數,並作為下次異常評估的依據,以提升異常預測的準確率。
本專利之遞迴式異常網路流量偵測方法不同於坊間的監測設備,除了能解析設備流量,如Cell、RNC等;也能針對用戶流量進行分析,類似PCRF/PCEF之流量統計功能;同時針對連線內容進行分析,與其他習用技術相互比較時,更具備下列優點:
1.本專利之行動信令擷取模組採用信令分流方式,自設備間擷取信令,不會影響行動核心網路設備的效能。
2.本專利之信令異常偵測模組能分析用戶及設備的連線狀態,當欄位出現異常資訊時可立即異常警示。
3.本專利之信令異常偵測模組能針對非異常或無法判定異常的連線,進行信令流量偵測。藉由用戶及設備識別碼來連結產生信令流量,並根據過去的流量
參考值來判斷是否異常。
4.本專利之異常評估參考模組採用雲端伺服器來處理巨量資料,能整合運算資源及減少運算時間。
5.本專利之異常評估參考模組採用統計學習模型來估算流量,以作為異常流量的依據。
10‧‧‧行動信令擷取模組
20‧‧‧信令異常偵測模組
201‧‧‧信令分析
202‧‧‧狀態比對是否異常
203‧‧‧異常警示
204‧‧‧連結流量資訊
205‧‧‧流量比對是否大於誤差門檻
206‧‧‧流量整理
30‧‧‧雲端伺服器
40‧‧‧異常評估參考模組
401‧‧‧資料過濾
402‧‧‧異常分析
403‧‧‧異常評估
404‧‧‧學習模型
405‧‧‧訓練資料
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:
圖1為本專利遞迴式異常網路流量偵測方法模組圖。
圖2為本專利信令異常偵測模組之運作流程圖。
圖3為本專利異常評估參考模組之功能程序圖。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。
以下,結合附圖對本發明進一步說明:
本專利係一種遞迴式異常網路流量偵測方法,分析擷取的信令內容以偵測行動網路的連線狀態,並藉由比對過去流量的參考值來判斷網路是否異常,同時過濾誤差較大的量測值以收斂訓練數據,並遞迴地修正評估參數,以增加異常流量判斷的準確率。
請參閱圖1,本專利包含四個單元:行動信令擷取模組10、信令異常偵測模組20、雲端伺服器30與異常評估參考模組40。
行動信令擷取模組10於行動網路設備間擷取信令,取得擷取時間,並透過解碼產生用戶識別碼、設備識別碼、操作碼、連線狀態、用戶上下行流量、設備傳輸流量等,接著將結果輸出到信令異常偵測模組20。該行動網路設備為常見的行動核網設備,例如基地台控制器(BSC)/無線電網路控制器(RNC)、無線電接取網路(GSM/EDGE Radio Access Network,GERAN)/無線電接取網路(Universal Terrestrial Radio Access Network,UTRAN)、無線電接取網路(Evolved UTRAN,EUTRAN)、服務GPRS支援節點(Serving GPRS Support Node,SGSN)、閘道GPRS支援節點(Gateway GPRS Support Node,GGSN)、服務閘道(Serving Gateway,S-GW)、封包資料網路閘道(Packet Data Network Gateway,P-GW)或行動管理實體(Mobile Management Entity,MME)等。
信令異常偵測模組20則進行連線狀態分析,若能直接判讀為異常則立即異常警示。若無法直接判讀,再執行流量比對,以異常評估參考模組40所產生的同時段預測值或不同時段平均值為參考值,如果量測值與參考值大於誤差門檻,則納入異常警示。最後,再將結果及對應的用戶及設備參數整理並儲存至雲端伺服器30。
執行步驟請參閱圖二:首先由信令分析201讀取行動信令擷取模組10解碼的信令欄位,進行連線狀態比對202,如果用戶或設備的連線狀態能直接判讀為異常,則將該筆連線資訊傳送至異常警示203,並標示為異常。該連線狀態為3GPP文件所定義之任何可以辨識用戶或設備的狀態欄位,如無線電網路層原因(Radio Network Layer Cause)、傳輸層原因(Transport Layer Cause)、協定原因(Protocol Cause)及雜項
原因(Miscellaneous Cause)等。若不能直接判讀異常,則由連結資訊204根據用戶或設備識別碼,取得目前時段內的流量資訊,再由異常評估參考模組40讀取流量參考值;若流量參考值不存在,則略過流量比對205,進入流量整理206;反之,若存在流量參考值,則進行流量比對205。比對公式如下:
為異常評估參考模組40產生的流量參考值;M t
為行動信令擷取模組10取得的實際流量值;H
為相對誤差門檻值。若誤差範圍大於誤差門檻,則同樣將該筆連線資訊傳送至異常警示203,並標示為異常。若小於誤差門檻,則進入流量整理206。流量內容整理206,會將每筆連線內容進行預存動作,整理包含擷取時間、用戶識別碼、設備識別碼、操作碼、連線狀態、用戶上下行流量、設備傳輸流量、流量參考值及相對誤差值等,以利儲存至雲端伺服器。最後,再將結果輸出至雲端伺服器30。
雲端伺服器30以分散式資料庫儲存信令異常偵測模組20所產生的巨量流量資料及比對參數,採用MapReduce分散式運算環境,將巨量資料轉換成key跟value的序對,分別傳給不同的Mapper來處理,完成異常評估參考模組40的運算後亦會將結果整理成key跟value之序對,再傳給Reducer整理結果,提供整合運算資源及減少運算時間。
異常評估參考模組40主要透過篩選後的用戶或設備正常歷史流量資料,建立統計學習的機率模型,以遞迴方式套用評估公式產生流量參考值,用以判斷用戶或設備的異常現況,並微調異常指數以增加評估準確率。
運作程序請參閱圖三:首先讀取雲端伺服器30儲存的流量配對資料,透過資料過濾401的篩選,取得同時段用戶或設備的流量資料,若查無同時段資料,則以單日平均流量代替,並儲存於訓練資料405。接著由異常分析402將篩選過後的用戶或設備連線流量資料,透過訓練資料405提供的特徵資料,根據學習模型404轉化為對應的統計模型,得到異常指數以作為異常評估403的判斷依據,並將評估公式產生的流量參考值傳送至信令異常偵測模組20。此異常評估403所產生的參考值,亦會回饋至學習模型404,由異常分析402比對下次資料過濾401篩選的實際量測值,以取得新的異常參數,並修正異常評估403的參考值,使得預測的參考值能更準確。其公式如下:
為異常評估403目前的估計值;為異常評估403前次的估計值;K t
為異常指數;M t
為資料過濾401篩選的實際量測值。透過該模組不斷地遞迴執行及微調,所產生的預測參考值,將更貼近實際量測的結果。
綜合以上,本專利的實施方式可舉例如下:行動信令擷取模組10於行動網路設備基地台控制器(BSC)或無線電網路控制器(RNC)與GPRS服務支援節點(Serving GPRS Support Node,SGSN)間,擷取IuPS(Interface UMTS Packet Switched)介面之RANAP(Radio Access Network Application Part)信令;並於信令異常偵測模組20中,發現欄位無線電網路層原因(Radio Network Layer Cause)的值為重置期間無法建立(Unable to Establish During Relocation),因此直接判讀為異常;若無該欄位或是訊息內容無法判定異常,則分析相同
無線電網路控制器號碼((Radio Network Controller,RNC-ID)的(GPRS Tunneling Protocol-Control,GTP-C)流量與異常評估參考模組40產生的流量參考值,比對兩者的誤差,若大於誤差門檻值10%則判定為異常,並將結果儲存於雲端伺服器30,以進行下次的估算。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
10‧‧‧行動信令擷取模組
20‧‧‧信令異常偵測模組
30‧‧‧雲端伺服器
40‧‧‧異常評估參考模組
Claims (6)
- 一種遞迴式異常網路流量偵測之方法,其中係包含:一信令異常偵測模組,係依據行動信令擷取模組所提供之資訊,讀取設備或用戶連線狀態,若直接判讀為異常,則立即異常警示,再執行信令分析,比對合理時間範圍內異常評估參考模組所預測的結果,若該信令實際量測值與預測值大於誤差範圍,則納入異常警示;以及一異常評估參考模組,係透過用戶或設備的歷史流量資料,建立統計學習的機率模型,並以遞迴方式套用評估公式產生流量參考值,判斷該用戶或設備的異常現況,其該異常評估參考模組之執行步驟包括:步驟一、過濾信令異常偵測模組所量測的流量資訊;步驟二、將歷史流量資訊套用評估公式產生流量參考值;步驟三、比對參考值與實際量測值的誤差,微調異常指數以修正該學習模型;以及步驟四、儲存誤差範圍內的實際量測值以作為遞迴執行的樣本。
- 如申請專利範圍第1項所述之遞迴式異常網路流量偵測之方法,其中該信令異常偵測模組,其連線狀態係為辨識用戶或設備的狀態欄位。
- 如申請專利範圍第1項所述之遞迴式異常網路流量偵測之方法,其中該信令異常偵測模組,其信令分析步驟:步驟一、根據用戶識別碼取得用戶流量資訊;步驟二、根據設備識別碼取得設備流量資訊; 步驟三、比對異常評估參考模組的參考值;以及步驟四、誤差大於門檻值時,則納入異常警示。
- 如申請專利範圍第3項所述之遞迴式異常網路流量偵測之方法,其中該信令分析之步驟一,該用戶識別碼係為辨識該用戶以連結該用戶的流量資訊,該識別碼係為辨識用戶的欄位之位址。
- 如申請專利範圍第3項所述之遞迴式異常網路流量偵測之方法,其中該信令分析之步驟二,該設備識別碼係為辨識該設備以連結設備的流量資訊,該識別碼係為辨識設備的欄位。
- 如申請專利範圍第1項所述之遞迴式異常網路流量偵測之方法,其中該評估公式係為,其中為異常評估目前的估計值,為該異常評估前次的估計值,K t 為異常指數,M t 為資料過濾篩選的實際量測值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW102134461A TWI510109B (zh) | 2013-09-25 | 2013-09-25 | 遞迴式異常網路流量偵測方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW102134461A TWI510109B (zh) | 2013-09-25 | 2013-09-25 | 遞迴式異常網路流量偵測方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201513690A TW201513690A (zh) | 2015-04-01 |
TWI510109B true TWI510109B (zh) | 2015-11-21 |
Family
ID=53437324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW102134461A TWI510109B (zh) | 2013-09-25 | 2013-09-25 | 遞迴式異常網路流量偵測方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI510109B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI735594B (zh) * | 2016-08-08 | 2021-08-11 | 香港商阿里巴巴集團服務有限公司 | 識別及輔助識別虛假流量的方法、裝置及系統 |
TWI782645B (zh) * | 2021-07-29 | 2022-11-01 | 中華電信股份有限公司 | 基於行動網路的評估網路元件之品質劣化的系統和方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002021774A1 (en) * | 2000-09-11 | 2002-03-14 | Nokia Corporation | System, device and method for automatic anomaly detection |
US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
EP1772993A1 (en) * | 2005-10-05 | 2007-04-11 | Fujitsu Limited | Detecting anomalies internal to a network from traffic external to the network |
US20100138919A1 (en) * | 2006-11-03 | 2010-06-03 | Tao Peng | System and process for detecting anomalous network traffic |
US20130117282A1 (en) * | 2011-11-08 | 2013-05-09 | Verisign, Inc. | System and method for detecting dns traffic anomalies |
-
2013
- 2013-09-25 TW TW102134461A patent/TWI510109B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002021774A1 (en) * | 2000-09-11 | 2002-03-14 | Nokia Corporation | System, device and method for automatic anomaly detection |
US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
EP1772993A1 (en) * | 2005-10-05 | 2007-04-11 | Fujitsu Limited | Detecting anomalies internal to a network from traffic external to the network |
US20100138919A1 (en) * | 2006-11-03 | 2010-06-03 | Tao Peng | System and process for detecting anomalous network traffic |
US20130117282A1 (en) * | 2011-11-08 | 2013-05-09 | Verisign, Inc. | System and method for detecting dns traffic anomalies |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI735594B (zh) * | 2016-08-08 | 2021-08-11 | 香港商阿里巴巴集團服務有限公司 | 識別及輔助識別虛假流量的方法、裝置及系統 |
TWI782645B (zh) * | 2021-07-29 | 2022-11-01 | 中華電信股份有限公司 | 基於行動網路的評估網路元件之品質劣化的系統和方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201513690A (zh) | 2015-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6690011B2 (ja) | ストリーミング分析法を用いてネットワーク問題の実効顧客影響度をリアルタイムで測定するためのシステム及び方法 | |
US9888399B2 (en) | Adaptive monitoring for cellular networks | |
JP5612696B2 (ja) | 通信ネットワーク内のサービス品質結果の特定及びアクセスのためのネットワーク管理システム及び方法 | |
CN110312279A (zh) | 一种网络数据的监测方法及装置 | |
US20130223263A1 (en) | Method and Device for Classifying Wireless Data Service | |
WO2014040633A1 (en) | Identifying fault category patterns in a communication network | |
CN103906112A (zh) | 通信网络性能的分析方法与*** | |
WO2017148130A1 (zh) | 一种实现网络质差问题定位的方法及装置 | |
CN110856188B (zh) | 通信方法、装置、***和计算机可读存储介质 | |
WO2013185489A1 (zh) | 分析信令流量的方法及装置 | |
CN105357699A (zh) | 无线网络质量监测***及方法 | |
CN115038088B (zh) | 一种智能网络安全检测预警***和方法 | |
CN102256297B (zh) | 一种td-scdma无线通信网络服务用户感知数据采集方法 | |
CN113225339A (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
TWI510109B (zh) | 遞迴式異常網路流量偵測方法 | |
CN104811959A (zh) | 基于大数据的移动网络用户感知分析***和方法 | |
CN108667740A (zh) | 流量控制的方法、装置及*** | |
CN107820270B (zh) | 一种基于gsm-r网络的gprs接口监测*** | |
CN108063764B (zh) | 一种网络流量处理方法和装置 | |
WO2016188166A1 (zh) | 一种数据流量管控方法和装置 | |
CN110972199B (zh) | 一种流量拥塞监测方法及装置 | |
CN113727092B (zh) | 基于决策树的视频监控质量巡检方法及装置 | |
WO2023045365A1 (zh) | 视频质量评估方法、装置、电子设备及存储介质 | |
JP2017208717A (ja) | 無線通信ネットワークの分析システム | |
CN102256271A (zh) | 扩容指示信息的获取方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |