网络异常事件分析装置、方法及其电脑存储介质与流程

文档序号:17817303发布日期:2019-06-05 21:54
网络异常事件分析装置、方法及其电脑存储介质与流程

本发明是关于一种网络异常事件分析装置、方法及其电脑存储介质。更具体而言,本发明是关于一种与机器学习相关的网络异常事件分析装置、方法及其电脑存储介质。



背景技术:

由于科技的快速发展,目前已有众多由不同通讯技术所建构出的网络。许多因素会使一网络运作异常,例如:基站间的干扰、媒体访问控制(Media Access Control;MAC)层的错误、物理层的错误等等。

虽然已有一些先前技术利用机器学习模型来侦测网络的异常状态,但这些先前技术都有些不足。举例而言,某些先前技术是由通讯公司中的专业人士依其经验判断出一个网络环境中的哪些网络参数较为重要,再以那些网络参数训练用来侦测网络异常状态的机器学习模型。然而,不同网络环境会受不同因素影响,专业人士对于某一网络环境所做出的判断结果往往不适用于另一网络环境。另外,某些先前技术则仅针对网络环境中的某一或某些应用程序进行分析,而非针对整个网络环境,导致训练出的模型不适用于执行其他应用程序的网络环境。

有鉴于此,本领域仍需一种能客观地选取网络环境中较为重要的网络参数来侦测及分析网络异常事件的技术。



技术实现要素:

本发明的一目的在于提供一种网络异常事件分析装置。该网络异常事件分析装置包含一储存器及一处理器,其中该处理器电性连接至该储存器。该储存器储存多笔网络状态数据,其中各该网络状态数据包含多个网络特征值。该处理器借由以一降维算法分析该等网络状态数据所包含的该等网络特征值而将各该网络状态数据降维为一主成分数据,选取该主成分数据的一第一子集作为多笔训练数据,借由以一分类算法将该等训练数据分类为多笔第一正常数据及多笔第一异常数据以得一分类模型,借由以一分群算法将该等第一异常数据分群为多个第一异常群组以得一分群模型,选取该等主成分数据的一第二子集作为多笔测试数据,以该等测试数据测试该分类模型及该分群模型以得一准确率,判断该准确率未达到一门槛值,于判断该准确率未达到该门槛值后选取该等主成分数据的一第三子集作为多笔确认数据,借由以该分类算法将该等确认数据分类为多笔第二正常数据及多笔第二异常数据以更新该分类模型,借由以该分群算法将该等第二异常数据分群为多个第二异常群组以更新该分群模型,以及输出更新后的该分类模型及更新后的该分群模型。

本发明的另一目的在于提供一种网络异常事件分析方法,其是适用于一电子计算装置。该电子计算装置储存多笔网络状态数据,其中各该网络状态数据包含多个网络特征值。该网络异常事件分析方法包含下列步骤:(a)借由以一降维算法分析该等网络状态数据所包含的该等网络特征值而将各该网络状态数据降维为一主成分数据,(b)选取该主成分数据的一第一子集作为多笔训练数据,(c)借由以一分类算法将该等训练数据分类为多笔第一正常数据及多笔第一异常数据以得一分类模型,(d)借由以一分群算法将该等第一异常数据分群为多个第一异常群组以得一分群模型,(e)选取该等主成分数据的一第二子集作为多笔测试数据,(f)以该等测试数据测试该分类模型及该分群模型以得一准确率,(g)判断该准确率未达到一门槛值,(h)于判断该准确率未达到该门槛值后,选取该等主成分数据的一第三子集作为多笔确认数据,(i)借由以该分类算法将该等确认数据分类为多笔第二正常数据及多笔第二异常数据以更新该分类模型,(j)借由以该分群算法将该等第二异常数据分群为多个第二异常群组以更新该分群模型,以及(k)输出更新后的该分类模型及更新后的该分群模型。

本发明的又一目的在于提供一种电脑存储介质,储存有包含多个程序指令的一计算机程序,该计算机程序经由一电子计算装置加载后,该电子计算装置执行该等程序指令,以执行前段所述的网络异常事件分析方法。

本发明所提供的网络异常事件分析技术(包含装置、方法及其电脑存储介质)利用机器学习技术来训练用于侦测网络异常事件的分类模型及分群模型。概要而言,本发明所提供的网络异常事件分析技术先以降维算法分析搜集到的网络状态数据的网络特征值,借此将网络状态数据降维成主成分数据(亦即,排除网络状态数据中较不重要的网络特征值),之后再以主成分数据的一第一子集、一第二子集及一第三子集分别做为训练数据、测试数据及确认数据。训练数据用以进行后续的分类训练及分群训练,测试数据用以判断分类训练的结果及分群训练的结果是否符达到一预设标准,确认数据则用以在分类或/及分群的结果未达该预设标准时来再次进行分类训练及分群训练。

由于本发明所提供的网络异常事件分析技术的运作是起始于所搜集到的所有网络状态数据的网络特征值,故可适用于各种网络环境。此外,本发明所提供的网络异常事件分析技术是以降维后的主成分数据训练分类模型及分群模型,因此能排除不重要的网络特征值在训练过程中所造成的过度拟合(overfitting)现象,进而提高网络异常事件分类及分群的准确率,并产生较为正确的网络异常侦测结果。再者,由于本发明所提供的网络异常事件分析技术还会依据确认数据来更新分类模型及分群模型,因此能提供更为准确的分类模型及分群模型以侦测网络异常事件,有助于网络管理者或/及用户了解发生网络异常事件的原因,并予以解决。

以下结合图式阐述本发明的详细技术及实施方式,俾使本发明所属技术领域中具有通常知识者能理解所请求保护的发明的技术特征。

附图说明

图1是描绘第一实施方式的网络异常事件分析装置1的架构示意图;

图2是描绘利用各主成分数据与分类模型间的距离来选取第三子集的具体范例;以及

图3是描绘第二实施方式的网络异常事件分析方法的流程图。

符号说明

1:网络异常事件分析装置

10a、……、10b:网络状态数据

11:储存器

12a、……、12b:主成分数据

13:处理器

200:分类模型

202:确认数据

204:分类模型

S301~S317:步骤

具体实施方式

以下将透过实施方式来解释本发明所提供的网络异常事件分析装置、方法及其电脑存储介质。然而,该等实施方式并非用以限制本发明需在如该等实施方式所述的任何环境、应用或方式方能实施。因此,关于实施方式的说明仅为阐释本发明的目的,而非用以限制本发明的范围。应理解,在以下实施方式及图式中,与本发明非直接相关的元件已省略而未绘示,且各元件的尺寸以及元件间的尺寸比例仅为例示而已,而非用以限制本发明的范围。

本发明的第一实施方式为一网络异常事件分析装置1,其架构示意图是描绘于图1。网络异常事件分析装置1包含一储存器11及一处理器13,其中处理器13电性连接至储存器11。储存器11可为一存储器、一通用串行总线(Universal Serial Bus;USB)碟、一硬盘、一光盘(Compact Disk;CD)、一随身碟、一数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体或电路。处理器13可为各种处理器、中央处理单元(Central Processing Unit;CPU)、微处理器或本发明所属技术领域中具有通常知识者所知的其他计算装置中的任一者。网络异常事件分析装置1可被具体地实施于一网络后端的服务器(例如:长程演进(Long Term Evolution:LTE)标准中的机器类型通讯(Machine Type Communication;MTC)服务器)、一云端服务器、一基站或其他具有类似或更强运算能力的装置。

储存器11储存多笔搜集自一或多个网络环境中的不同节点(例如:基站、行动装置、网关等等)的网络状态数据10a、……、10b。每一笔网络状态数据10a、……、10b包含多个网络特征值(例如:D个,其中D为正整数),且每一笔网络状态数据10a、……、10b所包含的各该网络特征值与一网络参数(例如:通讯质量)相关。举例而言,网络参数可为信号强度、参考信号接收功率(Reference Signal Received Power;RSRP)、参考信号接收质量(Reference Signal Received Quality;RSRQ)、误比特率(Bit Error Rate;BER)、封包错误率(Packet Error Rate;PER)、数据率(Data Rate)等等。需说明者,为使后续训练出来的分类模型及分群模型更为精确,每一笔网络状态数据10a、……、10b所包含的各该网络特征值可为将一网络参数的值正规化(normalized)后的数据。

于本实施方式中,处理器13先以一降维算法(例如:高相关滤波法(High Correlation Filter)、随机森林法(Random Forests)、前向特征构造法(Forward Feature Construction)、反向特征消除法(Backward Feature Elimination)、缺失值比率法(Missing Values Ratio)、低方差滤波法(Low Variance Filter)及主成分分析法(Principal Component Analysis),但不以此为限)分析网络状态数据10a、……、10b所包含的该等网络特征值(例如:分析该等网络特征值间的关联性、相依性或/及特殊性),借此将网络状态数据10a、……、10b降维为多笔主成分数据12a、……、12b(例如:由D维降为K维,其中K为小于D的正整数)。采用降维算法处理网络状态数据10a、……、10b的目的在于找出网络状态数据10a、……、10b中较有代表性、较为关键的网络特征值以供后续训练模型之用,借此避免以所有的网络特征值去训练模型所产生的过度拟合(overfitting)现象,因而能够提升机器学习的精准度。

为便于理解,兹以一具体范例说明降维的过程,然而此具体范例并非用以限制本发明的范围。兹假设处理器13所使用的降维算法为主成分分析法。此外,如前所述,每一笔网络状态数据10a、……、10b为D维,且每一笔网络状态数据10a、……、10b所包含的网络特征值为正规化后的数据。处理器13会根据网络状态数据10a、……、10b建立一共变异数矩阵(Covariance Matrix),分解该共变异矩阵为特征向量(Eigenvectors)及特征值(Eigenvalues),且选取K(需说明者,K为小于D的正整数,代表降维后的维度)个最大的特征值所对应的特征向量。接着,处理器13对所选取的K个特征向量排序,并以排序后的K个特征向量建立一投影矩阵(Project Matrix)。之后,处理器13使用投影矩阵处理网络状态数据10a、……、10b以获得主成分数据12a、……、12b(例如:若将D维的网络状态数据10a、……、10b以矩阵呈现,则可借由矩阵相乘的方式获得降维为K维的主成分数据12a、……、12b)。

接着,处理器13会选取主成分数据12a、……、12b的一第一子集作为多笔训练数据。需说明者,本发明未限制处理器13如何选取作为训练数据的第一子集(亦即,如何选择该等训练数据)。举例而言,处理器13可采随机的方式从主成分数据12a、……、12b挑选多笔作为前述训练数据。再举例而言,处理器13可采常态分布的方式从主成分数据12a、……、12b挑选多笔作为前述训练数据。

在选取出训练数据后,处理器13以一分类算法(例如:支持向量机(Support Vector Machine)、线性分类法(Linear Classification)及K位最近邻居法(K-Nearest Neighbor),但不以此为限)将训练数据10b分类为多笔第一正常数据及多笔第一异常数据,并借此确定一分类模型。举例而言,处理器13以分类算法将该等训练数据区分为第一正常数据及第一异常数据后,便可确定区分第一正常数据及第一异常数据的函数,而该函数便为经训练而确定的分类模型。

接着,处理器13再以一分群算法(例如:K均值法(K-means)、聚合式分群法(Agglomerative Clustering)及分列式分群法(Divisive Clustering),但不以此为限)将该等第一异常数据分群为多个第一异常群组,借此获得一分群模型。举例而言,处理器13将该等第一异常数据分群为该等第一异常群组后,便可确定区分该等第一异常群组的一或多个函数,而该一或多个函数便为经训练而确定的分群模型。

接着,网络异常事件分析装置1会测试分类模型及分群模型的准确率。若准确率未达一门槛值,网络异常事件分析装置1会再重新训练分类模型及分群模型。

具体而言,处理器13会选取主成分数据12a、……、12b的一第二子集作为多笔测试数据。需说明者,本发明未限制处理器13如何选取作为测试数据的第二子集,因此如何选择该等测试数据并不会受到前述第一子集的影响。举例而言,处理器13可采随机的方式从主成分数据12a、……、12b挑选多笔作为前述测试数据。再举例而言,处理器13可采常态分布的方式从主成分数据12a、……、12b挑选多笔作为前述测试数据。

接着,处理器13以该等测试数据测试该分类模型及该分群模型以得一准确率。本发明所属技术领域中具有通常知识者应能理解如何根据该等测试数据测试该分类模型及该分群模型以得一准确率,故不赘言。处理器13会判断该准确率是否达到一门槛值。若该准确率达到该门槛值,处理器13便输出该分类模型及该分群模型作为后续侦测网络异常事件时所使用的模型。若该准确率未达到该门槛值,处理器13则会重新训练分类模型及分群模型。具体而言,处理器13选取主成分数据12a、……、12b的一第三子集作为多笔确认数据,借由以该分类算法将该等确认数据分类为多笔第二正常数据及多笔第二异常数据以更新分类模型,借由以该分群算法将该等第二异常数据分群为多个第二异常群组以更新分群模型。之后,处理器13即可输出更新后的分类模型及更新后的分群模型。需说明者,于某些实施方式中,处理器13可重复前述运作,直到更新后的分类模型及更新后的分群模型的准确率达到该门槛值。

兹进一步地说明处理器13可如何从主成分数据12a、……、12b选取第三子集。

于某些实施方式中,处理器13可利用每一笔主成分数据12a、……、12b与分类模型间的距离来选取第三子集(亦即,选取确认数据)。为便于理解,请参阅图2所绘示的具体范例,但该具体范例并非用以限制本发明的范围。图2的左侧是描绘主成分数据12a、……、12b(每一黑点代表一笔主成分数据)以及训练出来的分类模型200的示意图。处理器13会计算主成分数据12a、……、12b中的每一笔与分类模型200的距离(例如:欧几里德距离(Euclidean Distance)),再从主成分数据12a、……、12b中选取距离小于一门槛值者作为确认数据202。图2右侧则描绘利用确认数据202更新后的分类模型204。采用此种方式决定确认数据202的逻辑在于,与分类模型200间距离较小的那些主成分数据,其网络特征值对于分类模型200而言是较模糊的。因此,若以与分类模型200间距离较小的那些主成分数据来决定新的分类模型204,则新的分类模型204能更为明确地区分与分类模型200间距离较小的那些主成分数据。

于某些实施方式中,处理器13可利用每一笔主成分数据12a、……、12b的时间信息来选取第三子集(亦即,选取确认数据)。具体而言,每一笔主成分数据12a、……、12b具有一时间信息(例如:主成分数据12a、……、12b所分别对应的网络状态数据10a、……、10b被撷取/搜集到的时间),处理器13根据该等时间信息将主成分数据12a、……、12b区分为多个群组(例如:将主成分数据12a、……、12b所涵盖的时间范围区分为不重叠的时间区间,并以这些时间区间来将主成分数据12a、……、12b区分为多个群组)。处理器13再自各群组选取至少一主成分数据作为确认数据。采用此种方式选取确认数据的用意在于打破时间的相依性,使处理器13在更新分类模型时能考虑到时间因素对网络环境的影响。

于某些实施方式中,处理器13则可利用每一笔主成分数据12a、……、12b的区域信息来选取第三子集(亦即,选取确认数据)。具体而言,每一笔主成分数据12a、……、12b具有一区域信息(例如:因特网地址、所属基站的地址),处理器13根据该等区域信息将主成分数据12a、……、12b区分为多个群组(例如:将主成分数据12a、……、12b依所属基站的地址区分为多个不重叠的群组)。处理器13再自各群组选取至少一主成分数据作为确认数据。采用此种方式决定确认数据的用意在于打破区域的相依性,使处理器13在更新分类模型时能考虑到区域因素对网络环境的影响。

由上述说明可知,网络异常事件分析装置1的运作是起始于所搜集到的所有网络状态数据的网络特征值,故所训练出来的分类模型及分群模型可适用于各种网络环境,解决了习知技术需由专业人士判断且受限于特定网络环境的困境。此外,网络异常事件分析装置1是以降维算法将网络状态数据10a、……、10b降维成主成分数据12a、……、12b,借此筛选出较为重要网络特征值以供后续训练模型之用。透过此种方式,网络异常事件分析装置1排除了不重要的网络特征值在训练过程中所造成的过度拟合(overfitting)的问题,因而能够提升训练出来的分类模型及分群模型的精准度,进而提供更为正确的网络异常侦测结果。

除此之外,当所训练出来的分类模型及分群模型的准确率未达门槛值时,网络异常事件分析装置1还会利用确认数据来更新分类模型及分群模型,因此能提供更为精确的分类模型及分群模型以侦测出网络异常事件并判断网络异常事件的类别,有助于网络管理者或/及用户了解发生网络异常事件的原因,并予以解决。

本发明的第二实施方式为一网络异常事件分析方法,其流程图是描绘于图3。该网络异常事件分析方法适用于一电子计算装置(例如:第一实施方式中的网络异常事件分析装置1)。于本实施方式中,该电子计算装置储存多笔网络状态数据,其中各该网络状态数据包含多个网络特征值。

于步骤S301,该电子计算装置以一降维算法分析该等网络状态数据所包含的该等网络特征值而将各该网络状态数据降维为一主成分数据。举例而言,步骤S301所采用的降维算法可为高相关滤波法、随机森林法、前向特征构造法、反向特征消除法、缺失值比率法、低方差滤波法或主成分分析法,但不以此为限。

接着,于步骤S303,该电子计算装置选取该主成分数据的一子集作为多笔训练数据。于步骤S305,该电子计算装置借由以一分类算法将该子集所包含的主成分数据分类为多笔正常数据及多笔异常数据以得一分类模型。举例而言,步骤S305所采用的分类算法可为支持向量机、线性分类法或K位最近邻居法,但不以此为限。需说明者,当第一次执行步骤S305时,该子集所包含的主成分数据为步骤S303所选取的该等训练数据。当非第一次执行步骤S305时,该子集所包含的主成分数据为步骤S315所选取的确认数据(容后说明)。

于步骤S307,该电子计算装置借由以一分群算法将该等异常数据分群为多个异常群组以得一分群模型。举例而言,步骤S307所采用的分群算法可为K均值法、聚合式分群法或分列式分群法,但不以此为限。需说明者,于某些实施方式中,在执行步骤S307后可直接执行步骤S317,由该电子计算装置输出该分类模型及该分群模型。

于本实施方式中,在执行步骤S307后则是执行步骤S309,由该电子计算装置选取该等主成分数据的另一子集作为多笔测试数据。接着,执行步骤S311,由该电子计算装置以该等测试数据测试该分类模型以得一准确率。之后,于步骤S313,由该电子计算装置判断该准确率是否达到该门槛值。

若步骤S313的判断结果为是,则执行步骤S317由该电子计算装置输出该分类模型及该分群模型。若步骤S313的判断结果为否,则会优化分类模型及分群模型。具体而言,于步骤S315,由该电子计算装置选取该等主成分数据的另一子集作为多笔确认数据,之后再次执行步骤S303至步骤S313。网络异常事件分析方法重复前述步骤,直到步骤S313的判断结果为该准确率达到该门槛值,之后便执行步骤S317输出该分类模型及该分群模型。

需说明者,于某些实施方式中,步骤S315在选取主成分数据的一子集作为多笔确认数据时,是计算各该主成分数据与该分类模型的一距离,再自该等主成分数据中选取该距离小于一门槛值者作为该等确认数据。

另外,于某些实施方式中,步骤S315在选取主成分数据的一子集作为多笔确认数据时,是利用各该主成分数据所具有的时间信息。具体而言,步骤S315可根据该等时间信息将该等主成分数据区分为多个群组,再自各群组选取至少一主成分数据作为该等确认数据。

此外,于某些实施方式中,步骤S315在选取主成分数据的一子集作为多笔确认数据时,是利用各该主成分数据所具有的区域信息。具体而言,步骤S315可根据该等区域信息将该等主成分数据区分为多个群组,再自各群组选取至少一主成分数据作为该等确认数据。

除了上述步骤,第二实施方式亦能执行第一实施方式所描述的所有运作及步骤,具有同样的功能,且达到同样的技术效果。本发明所属技术领域中具有通常知识者可直接了解第二实施方式如何基于上述第一实施方式以执行此等运作及步骤,具有同样的功能,并达到同样的技术效果,故不赘述。

第二实施方式中所阐述的网络异常事件分析方法可由包含多个指令的一电脑存储介质实现,电脑存储介质储存有包含多个程序指令的一计算机程序。在该计算机程序所包含的该等程序指令被加载一电子计算装置(例如:网络异常事件分析装置1)后,该计算机程序执行如在第二实施方式中所述的网络异常事件分析方法。该电脑存储介质可为一电子产品,例如:一只读存储器(read only memory;ROM)、一闪存、一软盘、一硬盘、一光盘(compact disk;CD)、一随身碟、一可由网络存取的数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体。

需说明者,于本发明专利说明书中,第一子集、第二子集及第三子集中的「第一」、「第二」及「第三」仅用来表示该等子集为不同子集而已。第一正常数据及第二正常数据中的「第一」及「第二」仅用来表示该等正常数据为不同次分类所获得的正常数据而已。第一异常数据及第二异常数据中的「第一」及「第二」仅用来表示该等异常数据为不同次分类所获得的异常数据而已。第一异常群组及第二异常群组中的「第一」及「第二」仅用来表示该等异常群组为不同次分群所获得的异常群组而已。

综上所述,本发明所提供的网络异常事件分析技术(包含装置、方法及其电脑存储介质)对所搜集到的网络状态数据降维以取得较具代表性的主成分数据(亦即,排除网络状态数据中较不重要的网络特征值),选取主成分数据的一子集作为训练数据,利用分类算法及分群算法分别产生分类模型及分群模型,再以主成分数据的另一子集测试分类模型及分群模型的准确率。若准确率未达一默认值,本发明所提供的网络异常事件分析技术会再以考虑其他因素(例如:时间因素、区域因素或与分类模型的距离)的方式来选取主成分数据的另一子集来优化分类模型及分群模型。

本发明所提供的网络异常事件分析技术所训练出来的分类模型及分群模型可适用于各种网络环境,解决了习知技术需由专业人士判断且受限于特定网络环境的困境。此外,本发明所提供的网络异常事件分析技术排除了不重要的网络特征值在训练过程中所造成的过度拟合的问题,因而能够提升训练出来的分类模型及分群模型的精准度,进而提供更为正确的网络异常侦测结果。

上述实施方式仅用来例举本发明的部分实施态样,以及阐释本发明的技术特征,而非用来限制本发明的保护范畴及范围。本领域的技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围,而本发明的权利保护范围以权利要求书为准。

再多了解一些
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1