JP7344314B2 - ネットワーク異常検出 - Google Patents

ネットワーク異常検出 Download PDF

Info

Publication number
JP7344314B2
JP7344314B2 JP2021564368A JP2021564368A JP7344314B2 JP 7344314 B2 JP7344314 B2 JP 7344314B2 JP 2021564368 A JP2021564368 A JP 2021564368A JP 2021564368 A JP2021564368 A JP 2021564368A JP 7344314 B2 JP7344314 B2 JP 7344314B2
Authority
JP
Japan
Prior art keywords
control message
network
data processing
processing hardware
features
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021564368A
Other languages
English (en)
Other versions
JP2022530166A (ja
Inventor
ペローラス,ジェームズ
トゥークラル,プージタ
カラパタプ,ダット
テルシス,アンドレアス
サヤナ,クリシュナ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of JP2022530166A publication Critical patent/JP2022530166A/ja
Application granted granted Critical
Publication of JP7344314B2 publication Critical patent/JP7344314B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/149Network analysis or design for prediction of maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

この開示は、ネットワーク異常検出に関する。
背景
セルラー通信ネットワークは、モバイルデバイスおよびデータ端末などの加入者デバイスのための、音声、映像、パケットデータ、メッセージング、およびブロードキャストなどの通信コンテンツを提供する。セルラー通信ネットワークは、分散した地理的領域にわたって多くの加入者デバイスのために通信をサポートすることができる多くの基地局を含み得る。一般に、携帯電話などのユーザデバイスが1つの基地局の近くから別の基地局の近くに移動すると、セルラーネットワークのモバイルコンポーネントおよび固定コンポーネントが無線測定値および制御メッセージを交換して、モバイルデバイスが常に、インターネットまたは音声サービスなどの外部ネットワークとの間でデータを送受信する準備ができていることを保証する。にもかかわらず、残念ながら、これらの測定値および制御メッセージに悪影響を及ぼすネットワーク性能問題が、セルラー通信ネットワークについて生じる場合がある。したがって、ネットワーク性能問題を検出するための正確な方法を有さなければ、セルラーネットワークは、ユーザデバイスがネットワーク能力に従った信頼できる態様でデータを送受信できることを保証できないかもしれない。
概要
この開示の一局面は、ネットワーク異常を検出するための方法を提供する。方法は、データ処理ハードウェアで、セルラーネットワークから制御メッセージを受信するステップを含む。方法はさらに、データ処理ハードウェアが、制御メッセージから1つ以上の特徴を抽出するステップを含む。方法はまた、データ処理ハードウェアが、制御メッセージから抽出された1つ以上の特徴を特徴入力として受信するように構成された予測モデルを使用して、制御メッセージのための潜在的なラベルを予測するステップを含む。ここで、予測モデルは、訓練制御メッセージのセットについて訓練され、各訓練制御メッセージは、1つ以上の対応する特徴と、実際のラベルとを含む。方法はさらに、潜在的なラベルの確率が確信しきい値を満たすと、データ処理ハードウェアが判断するステップを含む。方法はまた、制御メッセージが、セルラーネットワークのネットワーク性能に影響を与えるそれぞれのネットワーク性能問題に対応するかどうかを判断するために、データ処理ハードウェアが制御メッセージを分析するステップを含む。制御メッセージが、ネットワーク性能に影響を与えるそれぞれのネットワーク性能問題に対応する場合、方法は、データ処理ハードウェアが、ネットワーク性能問題を、ネットワーク性能問題の原因であるネットワークエンティティに通信するステップを含む。
この開示の実現化例は、以下のオプションの特徴のうちの1つ以上を含んでいてもよい。いくつかの実現化例では、予測モデルを使用して潜在的なラベルを予測するステップは、潜在的なラベルに対する確率分布を予測するステップを含み、予測された潜在的なラベルは、潜在的なラベルに対する確率分布における潜在的なラベルのうちの1つを含む。これらの実現化例では、潜在的なラベルを予測するステップは、潜在的なラベルに対する確率分布における最も高い確率に関連付けられた潜在的なラベルを選択するステップを含む。いくつかの例では、予測モデルは、1つ以上のタイプのラベルを予測するように構成されたマルチクラス分類モデルを含む。予測モデルは、ディープニューラルネットワークまたは再帰型ニューラルネットワークを含んでいてもよい。各訓練制御メッセージの実際のラベルは、訓練制御メッセージに関連付けられたユーザ機器(user equipment:UE)デバイスのためのタイプ割当てコード(type allocation code:TAC)か、または、セルラーネットワークのネットワーク要素のための識別子を含んでいてもよい。いくつかの構成では、セルラーネットワークは、汎用パケット無線サービストンネリングプロトコル(GTP-C)に従って、またはDiameterプロトコルに従って、制御メッセージを通信する。オプションで、制御メッセージは、単一のネットワークセッション中にセルラーネットワークのユーザによって送信された複数の制御メッセージのうちの1つに対応する。いくつかの例では、制御メッセージから抽出された1つ以上の特徴は、セルラーネットワークのユーザによる単一セッション内でメッセージタイプが生じる回数を表わすメッセージタイプサマリーベクトルを含む。いくつかの実現化例では、特徴は、セルラーネットワークのユーザによる単一セッションに関連付けられた期間において転送されたデータ量を含む。
いくつかの例では、制御メッセージがそれぞれのネットワーク性能問題に対応していない場合、方法は、データ処理ハードウェアで、セルラーネットワークから次の制御メッセージを受信するステップと、データ処理ハードウェアが、次の制御メッセージから1つ以上の対応する特徴を抽出するステップとを含む。方法はまた、次の制御メッセージから抽出された1つ以上の対応する特徴のうちの少なくとも1つが、制御メッセージから抽出された1つ以上の特徴と一致することを、データ処理ハードウェアが識別するステップと、次の制御メッセージのための対応する潜在的なラベルを予測するために予測モデルを使用する前に、データ処理ハードウェアが、次の制御メッセージから抽出された1つ以上の特徴のうちの識別された少なくとも1つを、予測モデルへの特徴入力として除去するステップとを含む。
いくつかの実現化例では、制御メッセージがそれぞれのネットワーク性能問題に対応していない場合、方法は、データ処理ハードウェアが、制御メッセージから抽出された1つ以上の特徴を識別するステップを含む。ここで、方法はまた、次の制御メッセージのための対応する潜在的なラベルを予測するために予測モデルを使用する前に、データ処理ハードウェアが、制御メッセージから抽出された識別された1つ以上の特徴のうちのいずれかと一致する1つ以上の対応する特徴を含む各訓練制御メッセージを除去することによって、訓練制御メッセージのセットを修正するステップと、データ処理ハードウェアが、訓練制御メッセージの修正されたセットを用いて予測モデルを再訓練するステップとを含む。
この開示の別の局面は、ネットワーク異常を検出するためのシステムを提供する。システムは、データ処理ハードウェアと、データ処理ハードウェアと通信しているメモリハードウェアとを含む。メモリハードウェアは、データ処理ハードウェア上で実行されるとデータ処理ハードウェアに動作を行なわせる命令を格納する。動作は、セルラーネットワークから制御メッセージを受信することを含む。動作はさらに、制御メッセージから1つ以上の特徴を抽出することを含む。動作はまた、制御メッセージから抽出された1つ以上の特徴を特徴入力として受信するように構成された予測モデルを使用して、制御メッセージのための潜在的なラベルを予測することを含む。ここで、予測モデルは、訓練制御メッセージのセットについて訓練され、各訓練制御メッセージは、1つ以上の対応する特徴と、実際のラベルとを含む。動作はさらに、潜在的なラベルの確率が確信しきい値を満たすと判断することを含む。動作はまた、制御メッセージが、セルラーネットワークのネットワーク性能に影響を与えるそれぞれのネットワーク性能問題に対応するかどうかを判断するために、制御メッセージを分析することと、制御メッセージが、ネットワーク性能に影響を与えるそれぞれのネットワーク性能問題に対応する場合、ネットワーク性能問題を、ネットワーク性能問題の原因であるネットワークエンティティに通信することとを含む。
この局面は、以下のオプションの特徴のうちの1つ以上を含んでいてもよい。いくつかの実現化例では、予測モデルを使用して潜在的なラベルを予測することは、潜在的なラベルに対する確率分布を予測することを含み、予測された潜在的なラベルは、潜在的なラベルに対する確率分布における潜在的なラベルのうちの1つを含む。これらの実現化例では、潜在的なラベルを予測することは、潜在的なラベルに対する確率分布における最も高い確率に関連付けられた潜在的なラベルを選択することを含む。いくつかの例では、予測モデルは、1つ以上のタイプのラベルを予測するように構成されたマルチクラス分類モデルを含む。予測モデルは、ディープニューラルネットワークまたは再帰型ニューラルネットワークを含んでいてもよい。各訓練制御メッセージの実際のラベルは、訓練制御メッセージに関連付けられたユーザ機器(UE)デバイスのためのタイプ割当てコード(TAC)か、または、セルラーネットワークのネットワーク要素のための識別子を含んでいてもよい。いくつかの構成では、セルラーネットワークは、汎用パケット無線サービストンネリングプロトコル(GTP-C)に従って、またはDiameterプロトコルに従って、制御メッセージを通信する。オプションで、制御メッセージは、単一のネットワークセッション中にセルラーネットワークのユーザによって送信された複数の制御メッセージのうちの1つに対応する。いくつかの例では、制御メッセージから抽出された1つ以上の特徴は、セルラーネットワークのユーザによる単一セッション内でメッセージタイプが生じる回数を表わすメッセージタイプサマリーベクトルを含む。いくつかの実現化例では、特徴は、セルラーネットワークのユーザによる単一セッションに関連付けられた期間において転送されたデータ量を含む。
いくつかの例では、制御メッセージがそれぞれのネットワーク性能問題に対応していない場合、動作は、セルラーネットワークから次の制御メッセージを受信することと、次の制御メッセージから1つ以上の対応する特徴を抽出することとを含む。ここで、動作はまた、次の制御メッセージから抽出された1つ以上の対応する特徴のうちの少なくとも1つが、制御メッセージから抽出された1つ以上の特徴と一致することを識別することと、次の制御メッセージのための対応する潜在的なラベルを予測するために予測モデルを使用する前に、次の制御メッセージから抽出された1つ以上の特徴のうちの識別された少なくとも1つを、予測モデルへの特徴入力として除去することとを含む。
いくつかの実現化例では、制御メッセージがそれぞれのネットワーク性能問題に対応していない場合、動作は、制御メッセージから抽出された1つ以上の特徴を識別することを含む。ここで、動作はまた、次の制御メッセージのための対応する潜在的なラベルを予測するために予測モデルを使用する前に、制御メッセージから抽出された識別された1つ以上の特徴のうちのいずれかと一致する1つ以上の対応する特徴を含む各訓練制御メッセージを除去することによって、訓練制御メッセージのセットを修正することと、訓練制御メッセージの修正されたセットを用いて予測モデルを再訓練することとを含む。
この開示の1つ以上の実現化例の詳細を、添付図面において、および以下の説明において述べる。他の局面、特徴、および利点は、説明および図面から、ならびに請求項から明らかになるであろう。
例示的な通信ネットワークの概略図である。 図1の通信ネットワークのための例示的な異常検出器の概略図である。 図1の通信ネットワークのための例示的な異常検出器の概略図である。 図1の通信ネットワークのための例示的な異常検出器の概略図である。 図1の通信ネットワークのための例示的な異常検出器の概略図である。 ネットワーク異常を検出するための例示的な方法のフローチャートである。 ここに説明されるシステムおよび方法を実現するために使用され得る例示的なコンピューティングデバイスの概略図である。
さまざまな図面における同じ参照記号は、同じ要素を示す。
詳細な説明
セルラーネットワークは、一連のネットワーク問題(たとえば、ハードウェアの劣化、ネットワーク要素間の構成ミス、ネットワーク機器の信頼できないアップデートまたはアップグレードなど)に悩まされる場合がある。ネットワーク問題は、ネットワーク性能に影響を与え、セルラーネットワークのユーザ(すなわち、セルラーネットワークの加入者)がセルラーネットワークの劣ったユーザ体験を有することを引き起こすおそれがある。劣ったユーザ体験はユーザの不満をもたらすかもしれず、おそらく、ネットワーク性能問題を解決する手段としてユーザがネットワークオペレータ(すなわち、ネットワークプロバイダ)を切り替えることさえもたらすかもしれない。
ネットワークプロバイダ(またはオペレータ)は、これらの問題に対処する動機を有する。なぜなら、ネットワーク問題は、自社の顧客忠誠心に影響を与えるかもしれず、自社のセルラーサービスに悪影響を及ぼすかもしれないためである。ネットワーク問題を解決しなければ、これらの問題は、ネットワークオペレータのビジネスに損害を与え、ネットワークオペレータの信用および/またはブランドを損なうおそれがあるであろう。にもかかわらず、ネットワークオペレータは、ネットワーク性能問題を直接体験しないことが多い。言い換えれば、一般にネットワーク性能問題の影響を受けるのは、セルラーネットワークのユーザである。これは、ネットワークオペレータがしばしば、ネットワーク問題が生じたときにそれらの報告をネットワークユーザに頼らなければならない場合があるということを意味する。しかしながら、ネットワーク問題に対処するためのユーザ報告には、いくつかの問題がある。最初に、ネットワークユーザは、自分が体験している問題がおそらく自分のセルラーネットワークに起因することを認識する必要があるだけでなく、何らかの態様でネットワークオペレータに問題を報告するために自分の時間を割く必要もある。明らかに、このアプローチは、自分が理想的とは言えない性能を体験していることを認識していないユーザについては、うまくいかないであろう。たとえば、あるユーザは、平均以下のネットワーク性能に慣れているか、または、ネットワーク性能がもっといいはずであることに気付かない。ここで、このタイプのユーザは、ネットワーク性能問題が存在することをネットワークオペレータに全く通知しないかもしれず、別のプロバイダならよりよい性能をもたらすかもしれないと考えてセルラーネットワークプロバイダを単に変更する。言い換えれば、元のセルラープロバイダは、問題に対処する機会を全く有さないかもしれない。また、ユーザがネットワーク性能問題をネットワークオペレータに報告した場合、ネットワークオペレータは、報告された問題の調査を行なう。これらの調査は、労働集約的なプロセスであるかもしれず、それは、報告された問題をすべて調査する/扱うために利用可能なリソースがないために、いくつかのユーザ問題を未解決のままにするかもしれない。特に、ネットワークオペレータはしばしば、報告されたユーザ問題を調査することよりも、セルラーネットワークを動作させることに、労働リソースを優先させなければならない場合がある。
別のアプローチは、ネットワークオペレータが、ネットワーク性能問題を示し得る異常を検出するために、セルラーネットワークを監視するということである。異常とは、セルラーネットワークのためのシグナリング中の一意的な出来事(または異なる挙動)を指す。ここで、異常自体は、一意的な出来事が、有害な挙動(たとえば、ネットワーク性能問題)を示す出来事であるか、または、有害でない挙動(たとえば、ネットワーク性能問題ではない)を示す出来事であるかどうかについては分からない。にもかかわらず、異常を識別することにより、ネットワークオペレータは、異常を分析して、当該異常がネットワーク性能問題に対応するかどうかを判断し得る。
従来、セルラーネットワーク内の異常を検出することは、欠点を有していた。たとえば、セルラー使用およびトラフィックに依存して、セルラーネットワークは、巨大な量のログデータ(たとえば、ネットワークログ、プロセス間ログ、使用統計など)を有し得る。異常を識別するために巨大な量のデータをふるいにかけることは、リソース集約的である場合がある。したがって、ネットワーク性能に影響を与えた異常が検出された場合、当該異常を検出したエンティティ(たとえばネットワークオペレータ)は、他の事例において同じまたは同様の異常をより容易に検出するためのルールを定めてもよい。この従来の形式の異常検出はしたがって、正常挙動からのずれを識別するための1つ以上のルールを生成する。たとえば、あるルールは、あるメッセージタイプが典型的には1秒当たり5回の割合で生じると定義する。そのメッセージタイプが1秒当たりより多くまたはより少なく生じた場合、このルールは、システムがこのずれを異常として検出することを可能にするであろう。残念ながら、この形式の異常検出の問題は、特定された正常性から外れた挙動を有する異常を識別するために、エンティティがまず、何が正常挙動と考えられるかを特定しなければならないということである。ここで、この方法は、既知のルールによって決められた既知の異常についてのみ機能する。言い換えれば、ネットワーク性能に影響を与える新たな異常は、ルールが新たな異常(または、新たな異常の代わりに生じているはずである正常挙動)に具体的に対処するまで、検出されないであろう。このアプローチは、性能問題を引き起こし得る新たな異常について予測する能力を欠く。このため、予測異常検出器が、ネットワーク性能問題を検出するために、異常をより正確に使用し得る。
図1は通信ネットワーク100(セルラーネットワークとも呼ばれる)を示し、それは、汎用パケット無線サービス(General Packet Radio Service:GPRS)、モバイル通信用グローバルシステム(Global System for Mobile Communications:GSM(登録商標))/GSM進化型高速データレート(Enhanced Data Rates for GSM Evolution:EDGE)、ユニバーサルモバイル電気通信システム(Universal Mobile Telecommunication System:UMTS)/高速パケットアクセス(High Speed Packet Access:HSPA)、LTEおよびLTEアドバンストネットワーク技術といった、第3世代パートナーシッププロジェクト(3rd Generation Partnership Project:3GPP)によって特定された多くのアクセス技術をサポートする、ロングタームエボリューション(Long-Term Evolution:LTE)ネットワーク、5Gネットワーク、および/または多重アクセスネットワークであってもよい。セルラーネットワーク100(たとえばLTEネットワーク)は、携帯電話およびデータ端末などの加入者デバイス102、102a~bと基地局104との間の高速データパケットの無線通信を可能にする。加入者デバイス102は、ユーザ機器(UE)デバイスおよび/またはモバイルデバイス102と同義であってもよい。たとえば、LTEは、コアネットワークの改良に加えて異なる無線インターフェイスを使用することによって電気通信の容量および速度を増加させるように構成された、GSM/EDGEおよびUMTS/HSPAネットワーク技術に基づく無線通信規格である。UEデバイス102がデータ(たとえばデータパケット)を通信することを可能にするために、異なるタイプのセルラーネットワーク100が、さまざまな帯域幅で異なる帯域/周波数をサポートしてもよい。例示するために、LTEは、1.4MHz~20MHzのスケーラブルなキャリア帯域幅をサポートし、周波数分割二重化(frequency division duplexing:FDD)および時分割二重化(time-division duplexing:TDD)の双方をサポートする。一方、5Gは、5MHz~100MHzに及ぶ帯域幅をサポートし、帯域幅の一部はLTEと重複する。
UEデバイス102は、ネットワーク100を通して音声/データを送信および/または受信することができるあらゆる電気通信デバイスであってもよい。UEデバイス102は、ラップトップ、タブレット、スマートフォン、およびウェアラブルコンピューティングデバイス(たとえば、ヘッドセットおよび/またはウォッチ)などのモバイルコンピューティングデバイスを含んでいてもよいが、それらに限定されない。UEデバイス102はまた、デスクトップコンピュータ、スマートスピーカ/ディスプレイ、車両、ゲーミングデバイス、テレビ、または他の機器(たとえば、ネットワーク化されたホームオートメーションデバイスおよび家庭用機器)に含まれるコンピューティングデバイスといった、他のフォームファクタを有する他のコンピューティングデバイスを含んでいてもよい。UEデバイス102は、通信ネットワーク100のネットワークオペレータによって提供されるネットワークサービスに加入する。ネットワークオペレータはまた、モバイルネットワークオペレータ(mobile network operator:MNO)、無線サービスプロバイダ、無線通信事業者、携帯電話会社、またはモバイルネットワークキャリアと呼ばれてもよい。
UEデバイス102は、通信ネットワーク100(または5G/3G/2Gネットワーク)を通して、パケットデータネットワーク(packet data network:PDN)などの外部ネットワーク30と通信してもよい。図1を参照して、通信ネットワーク100は、第1の部分である、進化型ユニバーサル地上無線アクセスネットワーク(Evolved Universal Terrestrial Radio Access Network:e-UTRAN)部分106と、第2の部分である、進化型パケットコア(Evolved Packet Core:EPC)部分108とを含む、LTEネットワークである。第1の部分106は、モバイルネットワークのための3GPPのLTEアップグレードパスのエアインターフェイス110(すなわち、進化型ユニバーサル地上無線アクセス(Evolved Universal Terrestrial Radio Access:e-UTRA)と、UEデバイス102と、複数の基地局104とを含む。LTEエアインターフェイス110は、ダウンリンクのために直交周波数分割多重アクセス(orthogonal frequency-division multiple access:OFDMA)無線アクセスを、アップリンクのために単一キャリアFDMA(SC-FDMA)を使用する。したがって、第1の部分106は、エアインターフェイス110を通り、1つ以上の基地局104を介した、外部ネットワーク30からUEデバイス102へのデータパケットおよび/または他の表面の無線通信をサポートする無線アクセスネットワーク(radio access network:RAN)を提供する。
各基地局104は、進化型ノードB(eNode BまたはeNBとも呼ばれる)を含んでいてもよい。eNB104は、UEデバイス102と直接通信するためにエアインターフェイス110(たとえば携帯電話ネットワーク)に接続するハードウェアを含む。たとえば、eNB104は、エアインターフェイス110を通して、ダウンリンクLTE/3G/5G信号(たとえば通信)をUEデバイス102に送信し、UEデバイス102からアップリンクLTE/3G/5G信号を受信してもよい。基地局104は、1つ以上のUEデバイス102が当該基地局104経由でネットワーク100と通信するエリアに対応する、関連付けられたカバレージエリア104areaを有していてもよい。eNB104は、EPC108と通信するためのS1インターフェイスを使用する。S1インターフェイスは、モビリティ管理エンティティ(Mobility Management Entity:MME)112と通信するためのS1-MMEインターフェイスと、サービングゲートウェイ(Serving Gateway:SGW)116とインターフェイス接続するためのS1-Uインターフェイスとを含んでいてもよい。したがって、S1インターフェイスは、EPC108と通信するためのバックホールリンクに関連付けられる。
EPC108は、LTEネットワーク100上の音声およびデータを収束させるように構成されたフレームワークを提供する。EPC108は、インターネットプロトコル(Internet Protocol:IP)サービスアーキテクチャ上の音声およびデータを統合し、音声は、単なるもう1つのIPアプリケーションとして処理される。EPC108は、MME112、サービングGPRSサポートノード(Serving GPRS Support Node:SGSN)114、SGW116、ポリシーおよび課金ルール機能(Policy and Charging Rules Function:PCRF)118、ホーム加入者サーバ(Home Subscriber Server:HSS)120、およびパケットデータノードゲートウェイ(Packet Data Node Gateway:PGW)122などのいくつかのネットワーク要素を、何ら限定されることなく含む。PGW122はまた、ネットワークゲートウェイデバイス122と呼ばれてもよく、ネットワークが3Gネットワークに対応する場合、ネットワークゲートウェイデバイス122は、PGW122の代わりにゲートウェイGPRSサポートノード(Gateway GPRS Support Node:GGSN)を含む。オプションで、ネットワークが5Gまたは5G+ネットワークに対応する場合、ネットワークゲートウェイデバイス122は、5Gおよび/または5G+ネットワークによって定義されるような命名規則を用いるゲートウェイノードを含んでいてもよい。MME112、SGSN114、SGW116、PCRF118、HSS120、およびPGW122は、スタンドアロンのコンポーネントであってもよく、または、これらのコンポーネントのうちの少なくとも2つが一体化されてもよい。EPC108は、UEデバイス102および外部ネットワーク30と通信して、それらの間でデータパケットをルーティングする。
ネットワーク100は、UEデバイス102、基地局104、およびさまざまなネットワーク要素(たとえば、MME112、SGSN114、SGW116、PCRF118、HSS120、およびPGW122)が、ネットワーク100の使用中に互いに協働することを可能にするインターフェイスを含む。情報は、これらのインターフェイスに沿ってネットワーク100全体にわたって流れ、一般にこれらのインターフェイスは、ユーザプレーンと制御プレーンとに分割されてもよい。ユーザプレーンは、ユーザプレーントラフィックをルーティングし、UEデバイス102と基地局104との間に、パケットデータ収束プロトコル(packet data convergence protocol:PDCP)、無線リンク制御(radio link control:RLC)、および媒体アクセス制御(medium access control:MAC)などの副層とともに、ユーザプレーンプロトコルスタックを含む。ネットワーク要素間で実線で示された、ユーザプレーンに特有のいくつかのインターフェイスは、ベアラごとのユーザプレーントンネリング、および、ハンドオーバー中の基地局間パス切替えのための、基地局104とSGW116との間のS1-Uインターフェイスと、制御およびモビリティサポート、ならびに、場合によっては、ユーザプレーントンネリングのための、2Gアクセスまたは3Gアクセスを有するUEデバイス102とPGW122との間のS4インターフェイスと、オペレータ構成オプションとしてのユーザプレーントンネリングのための、E-UTRAN部分106(たとえばUEデバイス102)とSGW116との間のS12インターフェイス(図示せず)とが挙げられる。他のタイプの通信ネットワーク(たとえば3G、5Gなど)は、ネットワーク100について図1に表わされたものに加えて、他のユーザプレーンインターフェイスを含んでいてもよい。
制御プレーンは、制御プレーンプロトコルを用いてユーザプレーン機能を制御しサポートすることを担当する。特に、制御プレーンは、E-UTRANアクセス接続(たとえば、ネットワーク100のE-UTRAN部分106からの着脱)を制御し、確立されたネットワークアクセス接続(たとえば、IPアドレスの起動)の属性を制御し、(たとえば、ユーザモビリティをサポートするために)確立されたネットワーク接続のルーティングパスを制御し、および/または、(たとえば、UEデバイス102のユーザによる)ネットワーク100への要望に基づいてネットワークリソースの割当てを制御する。ネットワーク要素間で点線で示された、制御プレーンに特有のいくつかのインターフェイスは、シグナリングメッセージの配信を保証する、基地局104とMME112との間のS1-MMEインターフェイスと、アイドルおよび/またはアクティブ状態における3GPP間アクセスネットワークモビリティのためのユーザ/ベアラ情報交換を可能にする、SGSN114とMME112との間のS3インターフェイスと、SGW116とPGW122との間のS5/S8インターフェイス(S5インターフェイスは、UEデバイス102のモビリティに基づいた再配置を供給し、PDNの非配列ゲートウェイに接続するために、非ローミングシナリオで使用され、一方、S8インターフェイスは、公衆陸上移動体ネットワーク(public land mobile network:PLMN)に接続する)と、MME112間のハンドオーバーを調整するS10インターフェイスと、信号メッセージを転送するための、MME112とSGW116との間のS11インターフェイスと、ユーザアクセスに関連する加入および認証データの転送を可能にする、MME112とHSS120との間のS6aインターフェイスと、ユーザアクセスに関連する加入および認証データの転送を同様に可能にする、HSS120とSGSN114との間のS6dインターフェイスと、UEデバイス102のアイデンティティチェックをサポートするS13インターフェイス(図示せず)とが挙げられる。他のタイプの通信ネットワーク(たとえば3G、5Gなど)は、ネットワーク100について図1に表わされたものに加えて、他の制御プレーンインターフェイスを含んでいてもよい。
ある特定のUEデバイス102がネットワーク100に接続すると、1つ以上の制御メッセージ128が、さまざまなネットワーク要素間で(たとえば、進化型パケットコア108およびE-UTRAN部分106のネットワーク要素間で)送信される。たとえば、図1によって示されるように、基地局104は、新たなUEデバイス102がネットワーク100への接続を試みていることを示す制御メッセージ128を、MME112に送信する。別の例として、SGW116は、ある特定のUEデバイス102について外部ネットワーク30からのデータが到着したことと、UEデバイス102は待機するデータを受け入れるためにトンネルを確立するために呼び起こされる(またはページングされる)必要があることとを示す制御メッセージ128を、MME112に送信する。制御プレーンインターフェイスは、汎用パケット無線サービストンネリング制御(general packet radio service tunneling control:GTP-C)プロトコル、またはDiameterプロトコルなどの制御プレーンプロトコルを使用して、そのような制御メッセージ128を送信してもよい。制御メッセージ128を送信するために使用されるプロトコルのタイプは、インターフェイスに依存してもよい。たとえば、S3、S5/S8、およびS10インターフェイスはGTP-Cプロトコルを使用し、一方、S11、S6a、S6d、およびS13インターフェイスはDiameterプロトコルを使用する。
MME112は、LTEネットワーク100のためのキー制御ノードである。MME112は、セッションおよび状態を管理し、ネットワーク100を通してUEデバイス102を認証し追跡する。たとえば、MME112は、非アクセス層(Non Access Stratum:NAS)のためのシグナリングおよびセキュリティの制御、UEデバイス102の認証およびモビリティ管理、UEデバイス102のためのゲートウェイの選択、およびベアラ管理機能を含むもののそれらに限定されない、さまざまな機能を行なってもよい。SGSN114は、MME112に類似した何らかのやり方で作用してもよい。たとえば、SGSN114は、UEデバイス102の場所を追跡し、セキュリティおよびアクセス制御機能を行なう。いくつかの例では、SGSN114は、(たとえば待機モードのUEデバイス102の)モビリティ管理、論理リンク管理、認証、課金機能、および/または取扱い過負荷状況を担当する。SGW116は、データルーティングおよび転送、ならびにモビリティ固定といった、ユーザデバイス102のためのIPデータ転送に関連するさまざまな機能を行なう。SGW116は、モバイルデバイス102のためのデータパケットのバッファリング、ルーティング、および転送などの機能を行なってもよい。
PCRF118は、EPC108においてリアルタイムのポリシールールおよび課金を担当するノードである。いくつかの例では、PCRF118は、加入者データベース(すなわち、UEデバイスユーザ)にアクセスしてポリシー決定を下すように構成される。サービス品質管理は、PCRF118とネットワークゲートウェイデバイス122との間の動的ポリシー相互作用によって制御されてもよい。PCRF118によるシグナリングは、EPSベアラの属性(すなわち、UEデバイス102とPGW122との間の仮想接続)を確立または修正してもよい。ボイスオーバーLTE(voice over LTE:VoLTE)などのいくつかの構成では、PCRF118は、コールを確立して要求帯域幅を分散させるためのネットワークリソースを、構成された属性を有するコールベアラに割当てる。
HSS120は、全てのUEデバイスユーザデータを含むすべてのUEデバイス102のデータベースを指す。一般に、HSS120は、コールおよびセッションセットアップについての認証を担当する。言い換えれば、HSS120は、ユーザアクセスおよびUEコンテキスト認証のための加入および認証データを転送するように構成される。HSS120は、UEデバイス102および/またはUEデバイスユーザを認証するために、MME112と相互作用する。MMEは、PLMN上で、Diameterプロトコルを使用して(たとえばS6aインターフェイスを介して)、HSS120と通信する。
PGW122(すなわち、ネットワークゲートウェイデバイス)は、インターネットプロトコル(IP)アドレス割当て、UEデバイス102のためのデータ接続性の維持、UEデバイス102のためのパケットフィルタリング、サービスレベルゲーティング制御およびレート実施、クライアントおよびサーバのための動的ホスト構成プロトコル(dynamic host configuration protocol:DHCP)機能、およびゲートウェイ汎用パケット無線サービス(gateway general packet radio service:GGSN)機能性などを含むもののそれらに限定されない、さまざまな機能を行なう。
いくつかの実現化例では、ネットワークゲートウェイデバイス122(たとえば、PGW、またはGGSN、もしくは、5Gおよび/または5G+ネットワークによって定義されるような別の命名規則を用いるゲートウェイノード)のデータ処理ハードウェア124は、少なくとも1つのUEデバイス102に関連付けられた制御メッセージ128を受信する。データ処理ハードウェア124は、基地局104のカバレージエリア104area内での少なくとも1つのUEデバイス102とネットワーク100との相互作用に基づいて、制御メッセージ128を受信してもよい。
図1をさらに参照して、通信ネットワーク100はまた、異常検出器200を含む。いくつかの例では、異常検出器200は、ネットワークゲートウェイデバイス122(たとえば、PGW、またはGGSN、もしくは、5Gおよび/または5G+ネットワークによって定義されるような別の命名規則を用いるゲートウェイノード)の一部である。たとえば、ネットワークゲートウェイデバイス122のデータ処理ハードウェア124および/またはメモリハードウェア126は、異常検出器200をホストし、異常検出器200の機能性を実行する。いくつかの実現化例では、異常検出器200はE-UTRAN部分106およびEPC108と通信するが、外部ネットワーク30(たとえば、外部ネットワーク30に対応するデータ処理ハードウェア)上に存在する。言い換えれば、外部ネットワーク30は、それ自体のデータ処理ハードウェアまたは(たとえば、ネットワークゲートウェイデバイス122と共有される)共有データ処理ハードウェアを有する分散システム(たとえばクラウド環境)であってもよい。他の構成では、ネットワークゲートウェイデバイス122以外のネットワーク要素が、異常検出器200を実現する。それに加えて、またはそれに代えて、異常検出器200は、ネットワーク100の2つ以上のネットワーク要素にまたがって存在する。
一般に、異常検出器200は、1つ以上の制御メッセージ128に基づいて、ネットワーク100内に生じる異常を検出するように構成される。異常が検出されると、異常検出器200は、当該異常が、ネットワーク100の性能に影響を与えるネットワーク性能問題202に対応するかどうかを分析する。言い換えれば、異常検出器200は、ネットワーク100内の一意的な出来事(すなわち異常)を識別し、当該一意的な出来事がネットワーク100の性能にとって有害である(または、ユーザ体験に悪影響を及ぼす)かどうかを判断する。検出された異常はネットワーク性能に影響を与えると異常検出器200が識別した場合、異常検出器200は、ネットワーク性能問題202の原因であるネットワークエンティティ40に通知するか、または、原因エンティティを知っているか原因エンティティと通信するエンティティにネットワーク性能問題202を中継するように構成される。たとえば、異常検出器200は、検出された異常に対応するネットワーク性能問題202を、ネットワークオペレータに信号で知らせるかまたは通知してもよい。いくつかの実現化例では、異常検出器200は、ネットワーク異常を示す1つ以上の制御メッセージ128をネットワークエンティティ40に通信する。ここで、ネットワークエンティティ40は、ネットワーク問題202の解決を助けるために1つ以上の制御メッセージ128をさらに分析してもよい。
図2A~2Dを参照して、異常検出器200は一般に、収集器210と、抽出器220と、予測器230と、分析器240とを含む。収集器210は、ネットワーク100から少なくとも1つの制御メッセージ128を受信するように構成される。いくつかの実現化例では、収集器210は、制御メッセージ128に対応するデータをログするための中央データベースとして機能するために、ネットワーク100から制御メッセージ128を収集するためのデータストア212を含む。収集器210を用いて、異常検出器200は、異常を検出するために使用され得る訓練データ(たとえば訓練制御メッセージ)を作成するために、さまざまなやり方で制御メッセージ128を処理してもよい。たとえば、収集器210は、UEデバイス102の単一セッションからの制御メッセージ128を(たとえばデータストア212内で)ともにグループ化する。いくつかの例では、セッションとは、ユーザが(UEデバイス102を介して)CreateSessionRequestまたはCreatePdpRequestメッセージを起動してから、ユーザがDeleteSessionResponseまたはDeletePdpContextRequestメッセージでセッションを終了させるまでの期間を指す。別の例として、収集器210は、ある期間内に(たとえばセッション中に)(たとえば、アップリンク方向、ダウンリンク方向、またはそれら双方の方向に)転送されたデータ量129を示すために、制御メッセージ128をともにグループ化する。ともにグループ化されたこれらの制御メッセージ128を用いて、収集器210は、ある期間についての総データ量129の表現を形成する。
他の構成では、収集器210は、制御メッセージ128が時系列(たとえばt~t)としてひと続きにされるように、ログデータをシーケンスとして収集する。ここで、ひと続きの制御メッセージ128は、エンティティ(たとえば、特定のユーザまたはUEデバイス102)によって、または、当該エンティティのセッションによって集約されてもよい。これらのシーケンスが長くなり過ぎる場合、収集器210は、これらのシーケンスを固定長のサブシーケンスへと切断し、元のシーケンスの任意の識別子を各サブシーケンスに関連付けるように構成されてもよい。さもなければ、シーケンスは、収集器210がシーケンスを切断した場合に1つ以上のサブシーケンスに伝わらないであろうラベル(たとえば、特定のエンティティまたはUEデバイス102)を有するであろう。
抽出器220は、1つ以上の制御メッセージ128および/または制御メッセージ128に対応するログデータから情報を抽出するように構成される。抽出器220は、1つ以上の制御メッセージ128(またはその一部)から1つ以上の特徴222および/または1つ以上のラベル224を抽出してもよい。各特徴222および/またはラベル224は、制御メッセージ128から導き出される特性を指す。いくつかの例では、ラベル224は、ネットワーク100の3GPP標準化によって概して難読化されるネットワーク要素、UEデバイス102、UEデバイスのユーザ、または基地局104の特性である。言い換えれば、抽出器220は実際のラベル224を制御メッセージ128(または制御メッセージ128に関連するログデータ)から直接生成し得るが、ネットワーク100が3GPPに準拠する場合、実際のラベル224を単に1つ以上の制御メッセージ128から文脈的に判断することはできないはずである。ラベル224のそのような一例は、無線デバイス(たとえば、携帯電話タイプのUEデバイス102)を識別するタイプ割当てコード(TAC)である。ラベル224の他の例は、ネットワーク100のネットワーク要素に対応する識別子(たとえば、MME識別子、基地局アイデンティティコード(base station identity code:BSIC)、国際移動体装置識別番号(international mobile equipment identity:IMEI)、E-UTRANセルアイデンティティ(E-UTRAN cell identity:ECI)/E-UTRANセルグローバル識別子(E-UTRAN cell global identifier:ECGI)など)を、何ら限定されることなく含んでいてもよい。
一方、特徴222は、ラベル224を形成する特性と異なる、制御メッセージ128から導き出された別の特性に対応する。ここで、ラベル224とは異なり、制御メッセージ128の特徴222は、ネットワーク100が3GPPに準拠する場合でも認識可能であり得る。特徴222のいくつかの例は、(たとえば、整数として表わされる)制御メッセージタイプ、GTPーCメッセージ用の原因タイプ、(たとえば、収集器210が制御メッセージ128を順序付ける場合に)隣接するメッセージ間で経過した時間の量などを含む。いくつかの例では、抽出器220は、異なる制御メッセージプロトコルから異なる特徴222を抽出する。たとえば、GTPーCメッセージから抽出された特徴222は、Diameterメッセージから抽出された特徴222とは異なっているであろう。いくつかの例では、抽出器220によって抽出された特徴222は、新たな特徴222を作成するために掛け合わされる。特徴222の掛け合わせとは、2つ以上の特徴222の一部の組合せを指す。たとえば、抽出器220は、メッセージタイプ特徴222と原因値特徴222とを掛け合わせて、メッセージタイプ-原因値特徴222を生成する。特徴222を掛け合わせることにより、抽出器220は、異常検出器200が異常を検出する能力を高める可能性がある追加の訓練データセットを提供してもよい。
抽出器220が特徴222および/またはラベル224を抽出するかどうかは、異常検出器200の段階に依存し得る。第1段階(たとえば訓練段階)では、異常検出器200は、ネットワーク異常を予測できるように訓練する。異常検出器200を訓練するために、抽出器220は、収集器210にある1つ以上の制御メッセージ128から情報を抽出する。抽出された情報は、1つ以上の特徴222と実際のラベル224とを含む訓練制御メッセージ226を形成する。実際のラベル224を正解(ground truth)として訓練制御メッセージ226に含めることにより、異常検出器200は、どの特徴222がどのラベル224に対応し得るかを学習する。第2段階(たとえば推論)では、異常検出器200の訓練後、抽出器220は、特徴222およびラベル224の双方を有する訓練制御メッセージ226をもはや提供しない。代わりに、抽出器220は、制御メッセージ128から1つ以上の特徴222を抽出し、訓練された異常検出器200に頼ってラベル224を予測する。言い換えれば、各制御メッセージ128を処理してそこから実際のラベル224を抽出することは時間的制約があり、したがってリアルタイムでは実用的でないため、訓練された異常検出器200は、制御メッセージ128から抽出された特徴222のみを特徴入力として使用して、潜在的なラベル234を予測してもよい。
予測器230は、抽出器220によって制御メッセージ128から抽出された1つ以上の特徴222に関連付けられた、当該制御メッセージ128のための潜在的なラベル234を予測するために、予測モデル232を使用するように構成される。理想的には、3GPPの標準化のため、潜在的なラベル234が所与の制御メッセージ128のための実際のラベル224と一致する(すなわち、実際のラベル224を正確に予測する)予測Pを予測器230が生成することは、できないはずである。このため、予測器230が、少なくとも1つの制御メッセージ128(たとえば、制御メッセージ128の特徴222)からの実際のラベル224と一致する潜在的なラベル234を予測する場合、この一致は、制御メッセージ128とラベル224、234との間の一意的な相関(すなわち、検出された異常)を示す。
予測器230が正しい予測Pを生成すると、分析器240は、関連する制御メッセージ128および/または制御メッセージ128に対応するログデータを分析する。ここで、分析器240は、制御メッセージ128が、ネットワーク100のネットワーク性能に影響を与えるネットワーク性能問題202に対応するかどうかを判断するために、制御メッセージ128を分析する。言い換えれば、分析器240は、検出された異常が、有害な挙動による一意的な相関であるかどうか、または、検出された異常が単に、ネットワーク性能またはユーザ体験への影響がほとんどまたはまったくない一意的な挙動であるかどうかを判断する。制御メッセージ128の検出された異常はネットワーク性能に影響を与えると分析器240が判断した場合、分析器240は、この有害な挙動が修正されるように当該挙動にフラグを立てる。挙動を修正するために、分析器240は、ネットワーク性能問題202を、ネットワーク性能問題202の原因であるネットワークエンティティ40(たとえば、ネットワークオペレータ、またはUEデバイスプロバイダ)に通信してもよい。
いくつかの構成では、分析器240はクラスタ化を行なう。クラスタ化は、調査すべき異常がネットワーク100であまりにも多く生じている場合に有益であり得る。検出された異常を1つ1つ調査する代わりに、分析器240は、検出された異常を、類似グループへとクラスタ化する。グループへとクラスタ化することにより、分析器240は、ネットワーク100により有害な影響を及ぼす可能性がある、より大きいクラスタを優先してもよい(たとえば、ネットワーク影響、またはネットワーク影響の可能性/確率によってクラスタをランク付けしてもよい)。また、分析器240が、検出された異常がネットワーク性能問題202に対応するかどうかを判断するために人間の分析に頼る場合、分析器240は、次元削減を行なうためにオートエンコーダを使用してもよい。オートエンコーダによる次元削減は、大きいデータセット(すなわち、多数の異常)における冗長な特徴を相関させることによって、当該大きいデータセットを削減するように構成される。ここで、傾斜降下に従って訓練されたニューラルネットワークとして、オートエンコーダは、データセットにおける新たな構造または一意性を識別しようとすることによって、次元削減を行なう。言い換えれば、オートエンコーダは、分析されるべきネットワーク性能問題202により相関し得る、ネットワーク100についてのより一意的な異常を分離してもよい。クラスタ化とオートエンコーディングとを組合せることにより、多数の異常がより小さいグループ(クラスタ)へと形成され、次に、人的リソースおよび/または計算リソースを効率的に利用するために削減され得る。
予測器230は、予測モデル232を使用して潜在的なラベル234を予測する。いくつかの例では、予測モデル232は、ニューラルネットワーク(たとえば、ディープニューラルネットワーク(deep neural network:DNN)、再帰型ニューラルネットワーク(recurrent neural network:RNN)、または畳み込みニューラルネットワーク(convolution neural network:CNN))である。予測Pを生成するために、予測モデル232はモデル訓練を受ける。ここで、予測モデル232のための訓練は、制御メッセージ128および/またはそれらの関連するログデータに対応する例(訓練データまたは訓練データセットとも呼ばれる)を使用して生じる。いくつかの実現化例では、抽出器220は、(たとえば、図2Bに示す)予測モデル232を訓練するための例として、訓練制御メッセージ226のセット228を生成する。いくつかの構成では、各訓練制御メッセージ226は、収集器210で処理された制御メッセージ128に対応する。抽出器220は、制御メッセージ128から、1つ以上の特徴222を、当該制御メッセージ128のための実際のラベル224とともに抽出することによって、各訓練制御メッセージ226を形成してもよい。いくつかの例では、2つ以上の制御メッセージ128が同じラベル224を有する場合、これらの制御メッセージ128の特徴222は、訓練制御メッセージ226の1つの例またはセット228へと組合される。たとえば、抽出器220は、組合せに含まれる各タイプの制御メッセージ128を説明するために、メッセージタイプベクトルサマリーを作成する。メッセージタイプベクトルサマリーは、(たとえば単一セッション内で)ある特定の制御メッセージ128に遭遇した回数を表わすために、起こり得るメッセージタイプごとに1つの入力を含んでいてもよい。
予測モデル232を訓練するために、予測器230は、訓練制御メッセージ226のセット228を、訓練セット226と検証セット226とに分割する。いくつかの例では、訓練セット226および検証セット226に加えて、訓練制御メッセージ226は、テストセットにも分けられる。予測モデル232は、(たとえば、過剰適合を防止するために)訓練をいつ停止するべきかを判断するために検証セット226を使用しながら、訓練セット226について訓練する。予測モデル232の性能が特定のしきい値に達すると、または、検証セット226についての予測モデル232の性能の低下が止まると、訓練は停止してもよい。いくつかの例では、訓練セット226は、予測モデル232についての最終的な性能を評価する。いくつかの実現化例では、予測モデル232は、マルチクラス分類モデルとして訓練される。マルチクラス分類モデルとして、予測モデル232は、各クラスについての確率Pに関する見解を表わす確率分布PBdisを出力する。たとえば、予測モデル232がTACを予測する場合、各TACは、予測モデル232がTACのクラスごとに確率分布を出力するように、異なるクラスになるであろう。
いくつかの例では、生じ得る新たなネットワーク問題202の早期発見を提供するために、予測モデル232を訓練して評価するプロセスは連続的に生じる。訓練がいったん完了すると、訓練からの予測Pは、予測モデル232にフィードバックされてもよい。これらの予測Pは、訓練セット226、検証セット226、テストセット、またはそれらの任意の組合せに対応してもよい。言い換えれば、予測モデル232は、訓練データ(たとえば、訓練制御メッセージ226のセット228)についての訓練からのその予測Pを評価するように構成される。このアプローチは、予測モデル232が訓練を完了し、潜在的なラベル234を予測する準備ができていることを保証し得る。
図2Bおよび図2Dを参照して、いくつかの例では、予測器230の予測モデル232は、潜在的なラベル234の予測Pについての確率Pを生成する。潜在的なラベル234の確率Pを評価するために、予測器230は、確信しきい値236を適用してもよい。確信しきい値236は、潜在的なラベル234の確率Pが、有害な挙動についての分析器240による評価を必要とする異常に対応するという確信のレベルを示す。言い換えれば、潜在的なラベル234の予測確率Pが確信しきい値236を満たす場合、予測器230は、潜在的なラベル234に対応する制御メッセージ128を分析器240に通信する。たとえば、確信しきい値236が90%である場合、90%よりも大きいTACを示す潜在的なラベル234の予測Pについての確率Pは、さらに分析されるために分析器240に進むべき確信ある予測Pを示す。
いくつかの構成では、予測モデル232は、潜在的なラベル234a~nに対する確率分布PBdisを出力/予測する。これらの構成では、確率分布PBdisにおける各潜在的なラベル234a~nは、対応する確率Pを含む。いくつかの例では、予測器230は、潜在的なラベル234a~nに対する確率分布PBdisにおいて最も高い確率Pを有する潜在的なラベル234a~nを選択することによって、潜在的なラベル234を予測する。図2Bおよび図2Dに示す例では、潜在的なラベル234aは、潜在的なラベル234a~nに対する確率分布PBdisにおいて91パーセント(91%)という最も高い確率Pを有しており、したがって、予測器230は、潜在的なラベル234aを選択し、確率P(91%)を確信しきい値(90%)と比較する。このため、この例では、予測器230は、選択された潜在的なラベル234aの確率Pが確信しきい値236を満たすと判断し、制御メッセージ128が、ネットワーク性能に影響を与えるそれぞれのネットワーク性能問題202に対応するかどうかを判断するために、対応する制御メッセージ128を分析器240に進める。いくつかのシナリオでは、予測器230は、確信しきい値236を満たす対応する確率Pを有する、確率分布PBdisにおける各潜在的なラベル234a~nを、分析器240に通信する。
いくつかの構成では、予測モデル232は、(DNNモデルに比べて)順次データにより適しているRNNモデルである。RNNモデルについては、抽出器220は、特徴222のためのシーケンスを生成する。言い換えれば、抽出器220は、順次制御メッセージ128(または、順次制御メッセージ128からの順次特徴222)から訓練制御メッセージ226を形成してもよい。順次特徴222の場合、各シーケンスは、順次特徴222が訓練データセットと検証データセットとテストデータセットとに分けられるように、訓練例であってもよい。順次データを好むことに加えて、RNNモデルは、前述の予測モデル232に比較的類似して動作する。
いくつかの例では、予測モデル232は、同様に機能する異なる潜在的なラベル234を区別するのが困難である。たとえば、TACを予測する場合、同一に機能するいくつかのTAC(たとえば3つのTAC)があるかもしれない。この同一の挙動は、予測モデル232が、TACが3つのTACのうちの1つであることを確信して知っているものの、どのTACかを正確に予測できないことをもたらす。この問題を克服するために、予測器230は、(たとえば、3つのTACのような)同様に機能するラベル234のグループを識別するために、主成分分析(principal component analysis:PCA)を使用してもよい。PCAを使用して、潜在的なラベル234の予測Pはベクトルであってもよく、その場合、PCAは、ラベル224のどのグループが一般にともに予測されるかを識別する。たとえば、PCAは、これら3つのTACの主成分ベクトルが、それらがともにグループ化される(または考慮される)べきであることを示す強いピークを有するため、これら3つのTACはともに考慮されるべきであることを識別するであろう。
図2Cおよび図2Dを参照して、異常検出器200はまた、フィルタ250を含んでいてもよい。フィルタ250は、同様の検出された異常の冗長な分析を防止するように構成される。言い換えれば、異常検出器200は、異常が検出されるとフィルタ250を生成する。フィルタ250は、有害な挙動の異常のためのもの、または、有害でない挙動(すなわち、受け入れ可能な挙動)の異常のためのものであってもよい。異常に対応する制御メッセージ128がネットワーク性能に影響を与えるかどうかを、分析器240がいったん判断すると、同様の制御メッセージ128または同様の制御メッセージ128のシーケンスのためにこの同じ分析を行なうことは、異常検出リソースを、分析される必要のある新たな異常を検出することから保留し得る。したがって、フィルタ250は、反復分析を防止するよう試みる。たとえば、制御メッセージ128はネットワーク性能に影響を与えるそれぞれのネットワーク問題202に対応すると分析器240が判断した場合、それぞれのネットワーク問題202および/または制御メッセージ128は、原因ネットワークエンティティ40に報告される。ここで、同様の制御メッセージ128を再分析し、ネットワークエンティティ40に報告することは、冗長であろう。なぜなら、それぞれのネットワーク問題202はすでに報告されており、原因ネットワークエンティティ40によってそのうち対処されるためである。一方、制御メッセージはネットワーク性能に影響を与えないと分析器240が判断した場合、制御メッセージ128に関連付けられた異常は有害でなく、したがって受け入れ可能である。したがって、次の同様の制御メッセージ128を再分析することは無意味であろう。
異常検出器200は一般に、(1)予測モデル232への入力に先立って制御メッセージ128から抽出された特徴222についてのシナリオ、または(2)予測モデル232を訓練するために使用される訓練制御メッセージ226のセット228についてのシナリオという2つのシナリオにおいて、フィルタ250を適用し得る。いくつかの例(すなわち、第1のシナリオ)では、予測モデル232が訓練された後で、かつ、次の制御メッセージ128から抽出された1つ以上の特徴222が次の潜在的なラベル234の予測Pのために訓練された予測モデル232に入力される前に、異常検出器200はフィルタ250を適用する。ここで、異常検出器200は、次の制御メッセージ128から抽出された対応する特徴222のうちの1つ以上のうちの少なくとも1つが、ネットワーク異常を示す予測された潜在的なラベル234を有する以前の制御メッセージ128から抽出された1つ以上の特徴222と一致する(すなわち、予測された潜在的なラベル234が確信しきい値236を満たす)ことを識別する。その後、次の制御メッセージ128のための対応する潜在的なラベル234を予測するために予測モデル232を使用する前に、異常検出器200はフィルタ250を適用して、次の制御メッセージ128から抽出された1つ以上の対応する特徴222のうちの識別された少なくとも1つを、予測モデル232への特徴入力としての使用から除去する。したがって、分析器240が、ネットワーク異常は有害でなかったと判断したか、またはネットワーク性能に影響を与えたと判断したかにかかわらず、潜在的なラベル234について予測器230で予測モデル232によって出力されたいかなる予測Pも、ネットワーク異常を示す予測された潜在的なラベル234を有する以前の制御メッセージ128から抽出された特徴222に基づいていないであろう。たとえば、図2Cは、次の制御メッセージ128のための潜在的なラベル234を予測するために予測器230に通信されている3つの特徴222のうちの1つをブロックおよび/または除去するフィルタ250を灰色で示す。
他の例(すなわち第2のシナリオ)では、図2Dなどでのように、異常検出器200は、ネットワーク異常を示す潜在的なラベル234の予測Pを有するとして以前に識別された制御メッセージ128から抽出された任意の特徴222が訓練制御メッセージ226のセット228から除去されるように、予測モデル232を再訓練する。このアプローチはまた、制御メッセージ128がネットワーク性能問題202に対応するか否かにかかわらず、適用可能であってもよい。予測モデル232を再訓練するために、異常検出器200はまず、ネットワーク異常を示す潜在的なラベル234を有する先の制御メッセージ128から抽出された1つ以上の特徴222を識別する。次に、次の制御メッセージ128のための対応する潜在的なラベル234を予測する(P)ために予測モデル232を使用する前に、異常検出器200は、先の制御メッセージ128から抽出された識別された1つ以上の特徴222のうちのいずれかと一致する1つ以上の対応する特徴222を含む各訓練制御メッセージ226を除去することによって、訓練制御メッセージ226のセット228を修正する。その後、異常検出器200は、訓練制御メッセージ226の修正されたセット228について予測モデル232を再訓練する。たとえば、図2Dは、フィルタ250が、訓練制御メッセージ226の再訓練セット(すなわち、修正されたセット228)から3つの訓練制御メッセージ226のうちの1つを除去することによって、訓練制御メッセージ226のセット228を修正することを表わす。1つ以上の訓練制御メッセージ226がいったん除去されると、フィルタ250は、訓練制御メッセージ226の修正されたセット228について予測モデル232を再訓練する。言い換えれば、予測モデル232が、どの特徴222が異常を示すかを検出するように訓練されなければ、異常はその後発見されず、ひいては無視されるであろう。
それに加えて、またはそれに代えて、検出された異常がそれぞれのネットワーク性能問題202を示し、ネットワーク性能問題202がその後解決された場合、異常検出器200は、解決されたネットワーク性能問題202に関連する任意のフィルタ250を除去するように構成されてもよい。予測モデル232がRNNモデルである構成では、異常検出器200は、フィルタ250を選択的に適用してもよい。言い換えれば、特徴222としてシーケンス全体を除去するのではなく、フィルタ250は、検出された異常のある特定の制御メッセージ128に対応する特徴222のシーケンスの一部を除去してもよい。有利には、フィルタ250は、シーケンスがより小さいシーケンスに分かれる前に、シーケンスのこの一部を除去してもよい。たとえば、小さい期間を有するCreateSessionRequestメッセージがあまりにも多くある場合をフィルタ250が識別すると、これらの個々のメッセージは、完全にまたは部分的に除去され得る。
図3は、ネットワーク異常を検出するための例示的な方法300のフローチャートを示す。動作302で、方法300は、セルラーネットワーク100から制御メッセージ128を受信する。動作304で、方法300は、制御メッセージ128から1つ以上の特徴222を抽出する。動作306で、方法300は、制御メッセージ128から抽出された1つ以上の特徴222を特徴入力として受信するように構成された予測モデル232を使用して、制御メッセージのための潜在的なラベル234を予測する。予測モデル232は、訓練制御メッセージ226のセットについて訓練され、各訓練制御メッセージ226は、1つ以上の対応する特徴222と、実際のラベル224とを含む。動作308で、方法300は、潜在的なラベル234の確率Pが確信しきい値236を満たすと判断する。動作310で、方法300は、制御メッセージ128が、セルラーネットワーク100のネットワーク性能に影響を与えるそれぞれのネットワーク性能問題202に対応するかどうかを判断するために、制御メッセージ128を分析する。動作312で、制御メッセージ128が、ネットワーク性能に影響を与えるそれぞれのネットワーク性能問題に対応する場合、方法300は、ネットワーク性能問題202を、ネットワーク性能問題202の原因であるネットワークエンティティ40に通信する。
いくつかの例では、制御メッセージ128がそれぞれのネットワーク性能問題202に対応していない場合、方法300は、セルラーネットワーク100から次の制御メッセージ128を受信し、次の制御メッセージ128から1つ以上の対応する特徴222を抽出する。これらの例では、方法300はまた、次の制御メッセージ128から抽出された1つ以上の対応する特徴222のうちの少なくとも1つが、制御メッセージ128から抽出された1つ以上の特徴222と一致することを識別する。ここで、次の制御メッセージのための対応する潜在的なラベル234を予測するために予測モデル232を使用する前に、方法300は、次の制御メッセージ128から抽出された1つ以上の特徴222のうちの識別された少なくとも1つを、予測モデル232への特徴入力として除去する。いくつかの実現化例では、制御メッセージ128がそれぞれのネットワーク性能問題202に対応していない場合、方法300は、制御メッセージ128から抽出された1つ以上の特徴222を識別する。ここで、1つ以上の特徴222を識別することに加えて、方法300は、次の制御メッセージ128のための対応する潜在的なラベル234を予測するために予測モデル232を使用する前に、制御メッセージ128から抽出された識別された1つ以上の特徴222のうちのいずれかと一致する対応する特徴のうちの1つ以上を含む各訓練制御メッセージ226を除去することによって、訓練制御メッセージ226のセット228を修正し、訓練制御メッセージ226の修正されたセット228を用いて予測モデル232を再訓練する。
図4は、この文書で説明されるシステム(たとえば異常検出器200)および方法(たとえば方法300)を実現するために使用され得る例示的なコンピューティングデバイス400の概略図である。コンピューティングデバイス400は、ラップトップ、デスクトップ、ワークステーション、携帯情報端末、サーバ、ブレードサーバ、メインフレーム、および他の適切なコンピュータといった、さまざまな形態のデジタルコンピュータを表わすよう意図されている。ここに示すコンポーネント、それらの接続および関係、ならびにそれらの機能は単なる例示であることが意図されており、この文書で説明される、および/または請求項に記載のこの発明の実現化例を限定するよう意図されてはいない。
コンピューティングデバイス400は、プロセッサ410(すなわち、データ処理ハードウェア)と、メモリ420(すなわち、メモリハードウェア)と、記憶装置430と、メモリ420および高速拡張ポート450に接続している高速インターフェイス/コントローラ440と、低速バス470および記憶装置430に接続している低速インターフェイス/コントローラ460とを含む。コンポーネント410、420、430、440、450、および460の各々は、さまざまなバスを使用して相互接続されており、共通のマザーボード上にまたは他の態様で適宜搭載されてもよい。プロセッサ410は、コンピューティングデバイス400内で実行される命令を処理可能であり、これらの命令は、グラフィカルユーザインターフェイス(graphical user interface:GUI)のためのグラフィック情報を、高速インターフェイス440に結合されたディスプレイ480などの外部入出力デバイス上に表示するために、メモリ420内または記憶装置430上に格納された命令を含む。他の実現化例では、複数のプロセッサおよび/または複数のバスが、複数のメモリおよび複数のタイプのメモリとともに適宜使用されてもよい。また、複数のコンピューティングデバイス400が接続されてもよく、各デバイスは(たとえば、サーババンク、ブレードサーバのグループ、またはマルチプロセッサシステムとして)必要な動作の部分を提供する。
メモリ420は、情報をコンピューティングデバイス400内に非一時的に格納する。メモリ420は、コンピュータ読取可能媒体、揮発性メモリユニット、または不揮発性メモリユニットであってもよい。非一時的メモリ420は、プログラム(たとえば命令のシーケンス)またはデータ(たとえばプログラム状態情報)を、コンピューティングデバイス400による使用のために一時的または永続的に格納するために使用される物理デバイスであってもよい。不揮発性メモリの例は、フラッシュメモリおよび読出専用メモリ(read-only memory:ROM)/プログラマブル読出専用メモリ(programmable read-only memory:PROM)/消去可能プログラマブル読出専用メモリ(erasable programmable read-only memory:EPROM)/電子的消去可能プログラマブル読出専用メモリ(electronically erasable programmable read-only memory:EEPROM)(たとえば、典型的にはブートプログラムなどのファームウェアのために使用される)を含むものの、それらに限定されない。揮発性メモリの例は、ランダムアクセスメモリ(random access memory:RAM)、ダイナミックランダムアクセスメモリ(dynamic random access memory:DRAM)、スタティックランダムアクセスメモリ(static random access memory:SRAM)、相変化メモリ(phase change memory:PCM)、およびディスクまたはテープを含むものの、それらに限定されない。
記憶装置430は、コンピューティングデバイス400のための大容量記憶を提供可能である。いくつかの実現化例では、記憶装置430は、コンピュータ読取可能媒体である。さまざまな異なる実現化例では、記憶装置430は、フロッピー(登録商標)ディスクデバイス、ハードディスクデバイス、光ディスクデバイス、もしくはテープデバイス、フラッシュメモリまたは他の同様のソリッドステートメモリデバイス、もしくは、ストレージエリアネットワークまたは他の構成におけるデバイスを含むデバイスのアレイであってもよい。追加の実現化例では、コンピュータプログラム製品が情報担体において有形に具現化される。コンピュータプログラム製品は、実行されると上述のような1つ以上の方法を行なう命令を含む。情報担体は、メモリ420、記憶装置430、またはプロセッサ410上のメモリといった、コンピュータ読取可能媒体または機械読取可能媒体である。
高速コントローラ440はコンピューティングデバイス400のための帯域幅集約的な動作を管理し、一方、低速コントローラ460はより低い帯域幅集約的な動作を管理する。役目のそのような割当ては例示に過ぎない。いくつかの実現化例では、高速コントローラ440は、メモリ420、ディスプレイ480に(たとえば、グラフィックスプロセッサまたはアクセラレータを介して)結合されるとともに、さまざまな拡張カード(図示せず)を受け付け得る高速拡張ポート450に結合される。いくつかの実現化例では、低速コントローラ460は、記憶装置430および低速拡張ポート490に結合される。さまざまな通信ポート(たとえば、USB、ブルートゥース(登録商標)、イーサネット(登録商標)、無線イーサネット)を含み得る低速拡張ポート490は、キーボード、ポインティングデバイス、スキャナなどの1つ以上の入力/出力デバイスに、もしくは、スイッチまたはルータなどのネットワーキングデバイスに、たとえばネットワークアダプタを介して結合されてもよい。
コンピューティングデバイス400は、図に示すように多くの異なる形態で実現されてもよい。たとえばそれは、標準サーバ400aとして、またはそのようなサーバ400aのグループで複数回実現されてもよく、ラップトップコンピュータ400bとして、またはラックサーバシステム400cの一部として実現されてもよい。
ここに説明されるシステムおよび手法のさまざまな実現化例は、デジタル電子回路および/または光学回路、集積回路、特別に設計されたASIC(application specific integrated circuit:特定用途向け集積回路)、コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはそれらの組合せにおいて実現され得る。これらのさまざまな実現化例は、データおよび命令を記憶システムとの間で送受信するように結合された、専用または汎用であり得る少なくとも1つのプログラマブルプロセッサと、少なくとも1つの入力デバイスと、少なくとも1つの出力デバイスとを含むプログラマブルシステム上で実行可能および/または解釈可能である1つ以上のコンピュータプログラムにおける実現を含み得る。
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、またはコードとしても知られている)は、プログラマブルプロセッサのための機械命令を含み、高レベルの手続き型および/またはオブジェクト指向プログラミング言語で、および/またはアセンブリ言語/機械語で実現され得る。ここに使用されるように、「機械読取可能媒体」および「コンピュータ読取可能媒体」という用語は、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意のコンピュータプログラム製品、非一時的コンピュータ読取可能媒体、機器および/またはデバイス(たとえば磁気ディスク、光ディスク、メモリ、プログラマブルロジックデバイス(Programmable Logic Device:PLD))を指し、機械命令を機械読取可能信号として受信する機械読取可能媒体を含む。「機械読取可能信号」という用語は、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意の信号を指す。
この明細書で説明されるプロセスおよび論理フローは、1つ以上のプログラマブルプロセッサが、入力データに基づいて動作することおよび出力を生成することによって機能を行なうために1つ以上のコンピュータプログラムを実行することによって行なわれ得る。プロセスおよび論理フローはまた、たとえばFPGA(field programmable gate array:フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)といった専用論理回路によって行なわれ得る。コンピュータプログラムの実行にとって好適であるプロセッサは、一例として、汎用および専用マイクロプロセッサと、任意の種類のデジタルコンピュータの任意の1つ以上のプロセッサとを含む。一般に、プロセッサは、命令およびデータを、読出専用メモリまたはランダムアクセスメモリまたはそれら双方から受信するであろう。コンピュータの本質的要素は、命令を行なうためのプロセッサと、命令およびデータを格納するための1つ以上のメモリデバイスとである。一般に、コンピュータはまた、たとえば磁気ディスク、光磁気ディスク、または光ディスクといった、データを格納するための1つ以上の大容量記憶装置を含むであろう。もしくは、当該大容量記憶装置からデータを受信し、または当該大容量記憶装置にデータを転送し、またはそれら双方を行なうように動作可能に結合されるであろう。しかしながら、コンピュータは、そのようなデバイスを有する必要はない。コンピュータプログラム命令およびデータを格納するのに好適であるコンピュータ読取可能媒体は、あらゆる形態の不揮発性メモリ、媒体、およびメモリデバイスを含み、一例として、半導体メモリ装置、たとえばEPROM、EEPROM、およびフラッシュメモリデバイス;磁気ディスク、たとえば内部ハードディスクまたはリムーバブルディスク;光磁気ディスク;ならびに、CD ROMおよびDVD-ROMディスクを含む。プロセッサおよびメモリは、専用論理回路によって補足され、または専用論理回路に組込まれ得る。
ユーザとの相互作用を提供するために、この開示の1つ以上の局面は、情報をユーザに表示するためのディスプレイデバイス、たとえばCRT(cathode ray tube:陰極線管)、LCD(liquid crystal display:液晶ディスプレイ)モニター、またはタッチスクリーンと、オプションで、ユーザがコンピュータへの入力を提供できるようにするキーボードおよびポインティングデバイス、たとえばマウスまたはトラックボールとを有するコンピュータ上で実現され得る。他の種類のデバイスも同様に、ユーザとの相互作用を提供するために使用され得る。たとえば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック、たとえば視覚フィードバック、聴覚フィードバック、または触覚フィードバックであり得る。また、ユーザからの入力は、音響入力、音声入力、または触覚入力を含む任意の形態で受信され得る。加えて、コンピュータは、ユーザによって使用されるデバイスに文書を送信し、当該デバイスから文書を受信することによって、たとえば、ユーザのクライアントデバイス上のウェブブラウザから受信された要求に応答してウェブページを当該ウェブブラウザに送信することによって、ユーザと相互作用することができる。
多くの実現化例が説明されてきた。にもかかわらず、この開示の精神および範囲から逸脱することなく、さまざまな変更を行なってもよいということが理解されるであろう。したがって、他の実現化例は、請求の範囲内にある。

Claims (15)

  1. 方法(300)であって、
    データ処理ハードウェア(124)で、セルラーネットワーク(100)から制御メッセージ(128)を受信するステップと、
    前記データ処理ハードウェア(124)が、前記制御メッセージ(128)から1つ以上の特徴(222)を抽出するステップと、
    前記データ処理ハードウェア(124)が、前記制御メッセージ(128)から抽出された前記1つ以上の特徴(222)を特徴入力として受信するように構成された予測モデル(232)を使用して、前記制御メッセージ(128)のための潜在的なラベル(234)を予測するステップとを含み、前記予測モデル(232)は、訓練制御メッセージ(226)のセットについて訓練され、各訓練制御メッセージ(226)は、1つ以上の対応する特徴(222)と、実際のラベル(224)とを含み、前記潜在的なラベル(234)および前記実際のラベル(224)は、ネットワーク要素、ユーザ機器(UE)デバイス(102)または、基地局の特性であり、前記方法はさらに、
    前記潜在的なラベル(234)の確率(PB)が確信しきい値(236)を満たすと、前記データ処理ハードウェア(124)が判断するステップと、
    前記潜在的なラベル(234)が前記確信しきい値(236)を満たす確率(PB)の判断に応じて、前記制御メッセージ(128)が、前記セルラーネットワーク(100)のネットワーク性能に影響を与えるそれぞれのネットワーク性能問題(202)に対応するかどうかを判断するために、前記データ処理ハードウェア(124)が前記制御メッセージ(128)を分析するステップと、
    前記制御メッセージ(128)が、ネットワーク性能に影響を与える前記それぞれのネットワーク性能問題(202)に対応する場合、前記データ処理ハードウェア(124)が、前記ネットワーク性能問題(202)を、前記ネットワーク性能問題(202)の原因であるネットワークエンティティ(40)に通信するステップとを含む、方法。
  2. 前記予測モデル(232)を使用して前記潜在的なラベル(234)を予測するステップは、潜在的なラベル(234)に対する確率分布(PBdis)を予測するステップを含み、予測された前記潜在的なラベル(234)は、潜在的なラベル(234)に対する前記確率分布(PBdis)における前記潜在的なラベル(234)のうちの1つを含む、請求項1に記載の方法(300)。
  3. 前記潜在的なラベル(234)を予測するステップは、潜在的なラベル(234)に対する前記確率分布(PBdis)における最も高い確率(PB)に関連付けられた前記潜在的なラベル(234)を選択するステップを含む、請求項2に記載の方法(300)。
  4. 前記制御メッセージ(128)が前記それぞれのネットワーク性能問題(202)に対応していない場合、
    前記データ処理ハードウェア(124)で、前記セルラーネットワーク(100)から次の制御メッセージ(128)を受信するステップと、
    前記データ処理ハードウェア(124)が、前記次の制御メッセージ(128)から1つ以上の対応する特徴(222)を抽出するステップと、
    前記次の制御メッセージ(128)から抽出された前記1つ以上の対応する特徴(222)のうちの少なくとも1つが、前記制御メッセージ(128)から抽出された前記1つ以上の特徴(222)と一致することを、前記データ処理ハードウェア(124)が識別するステップと、
    前記次の制御メッセージ(128)のための対応する潜在的なラベル(234)を予測するために前記予測モデル(232)を使用する前に、前記データ処理ハードウェア(124)が、前記次の制御メッセージ(128)から抽出された前記1つ以上の対応する特徴(222)のうちの識別された前記少なくとも1つを、前記予測モデル(232)への特徴入力としての使用から除去するステップとをさらに含む、請求項1~3のいずれか1項に記載の方法(300)。
  5. 前記制御メッセージ(128)が前記それぞれのネットワーク性能問題(202)に対応していない場合、
    前記データ処理ハードウェア(124)が、前記制御メッセージ(128)から抽出された前記1つ以上の特徴(222)を識別するステップと、
    次の制御メッセージ(128)のための対応する潜在的なラベル(234)を予測するために前記予測モデル(232)を使用する前に、
    前記データ処理ハードウェア(124)が、前記制御メッセージ(128)から抽出された識別された前記1つ以上の特徴(222)のうちのいずれかと一致する1つ以上の対応する特徴(222)を含む各訓練制御メッセージ(226)を除去することによって、訓練制御メッセージ(226)の前記セットを修正するステップと、
    前記データ処理ハードウェア(124)が、訓練制御メッセージ(226)の修正された前記セット(228)を用いて前記予測モデル(232)を再訓練するステップとをさらに含む、請求項1~4のいずれか1項に記載の方法(300)。
  6. 前記予測モデル(232)は、1つ以上のタイプのラベルを予測するように構成されたマルチクラス分類モデルを含む、請求項1~5のいずれか1項に記載の方法(300)。
  7. 各訓練制御メッセージ(226)の前記実際のラベル(224)は、前記訓練制御メッセージ(226)に関連付けられた前記UEデバイス(102)のためのタイプ割当てコード(TAC)を含む、請求項1~6のいずれか1項に記載の方法(300)。
  8. 各訓練制御メッセージ(226)の前記実際のラベル(224)は、前記セルラーネットワーク(100)のネットワーク要素のための識別子を含む、請求項1~7のいずれか1項に記載の方法(300)。
  9. 前記セルラーネットワーク(100)は、汎用パケット無線サービストンネリングプロトコル(GTP-C)に従ってまたはDiameterプロトコルに従って前記制御メッセージ(128)を通信する、請求項1~8のいずれか1項に記載の方法(300)。
  10. 前記制御メッセージ(128)は、単一のネットワークセッション中に前記セルラーネットワーク(100)のユーザによって送信された複数の制御メッセージ(128)のうちの1つに対応する、請求項1~のいずれか1項に記載の方法(300)。
  11. 前記制御メッセージ(128)から抽出された前記1つ以上の特徴(222)は、前記セルラーネットワーク(100)のユーザによる単一セッション内でメッセージタイプが生じる回数を表わすメッセージタイプサマリーベクトルを含む、請求項1~10のいずれか1項に記載の方法(300)。
  12. 前記特徴(222)は、前記セルラーネットワーク(100)のユーザによる単一セッションに関連付けられた期間において転送されたデータ量を含む、請求項1~11のいずれか1項に記載の方法(300)。
  13. 前記予測モデル(232)は、ディープニューラルネットワークまたは再帰型ニューラルネットワークを含む、請求項1~12のいずれか1項に記載の方法(300)。
  14. 前記制御メッセージ(128)が、前記セルラーネットワーク(100)のネットワーク性能に影響を与える前記それぞれのネットワーク性能問題(202)に対応するかどうかを判断するために、前記制御メッセージ(128)を分析するステップは、前記制御メッセージ(128)を、前記制御メッセージ(128)から抽出された前記1つ以上の特徴(222)のうちのそれぞれの1つを共有するクラスタへとクラスタ化するステップを含む、請求項1~13のいずれか1項に記載の方法(300)。
  15. ネットワークゲートウェイデバイス(100)であって、
    データ処理ハードウェア(124)と、
    前記データ処理ハードウェア(124)と通信しているメモリハードウェア(126)とを含み、前記メモリハードウェア(126)は、前記データ処理ハードウェア(124)上で実行されると前記データ処理ハードウェア(124)に請求項1~14のいずれか1項に記載の動作を行なわせる命令を格納する、ネットワークゲートウェイデバイス(100)。
JP2021564368A 2019-04-29 2019-11-22 ネットワーク異常検出 Active JP7344314B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/397,082 2019-04-29
US16/397,082 US10891546B2 (en) 2019-04-29 2019-04-29 Network anomaly detection
PCT/US2019/062763 WO2020222872A1 (en) 2019-04-29 2019-11-22 Network anomaly detection

Publications (2)

Publication Number Publication Date
JP2022530166A JP2022530166A (ja) 2022-06-27
JP7344314B2 true JP7344314B2 (ja) 2023-09-13

Family

ID=68887153

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021564368A Active JP7344314B2 (ja) 2019-04-29 2019-11-22 ネットワーク異常検出

Country Status (6)

Country Link
US (4) US10891546B2 (ja)
EP (2) EP3954099B1 (ja)
JP (1) JP7344314B2 (ja)
KR (1) KR102626273B1 (ja)
CN (2) CN113748656B (ja)
WO (1) WO2020222872A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10958585B2 (en) * 2018-12-31 2021-03-23 Juniper Networks, Inc. Methods and apparatus for facilitating fault detection and/or predictive fault detection
US11930484B2 (en) 2019-03-26 2024-03-12 Charter Communications Operating, Llc Methods and apparatus for system information management in a wireless system
US10891546B2 (en) 2019-04-29 2021-01-12 Google Llc Network anomaly detection
WO2021018440A1 (en) * 2019-07-26 2021-02-04 Sony Corporation METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
US11138059B2 (en) 2019-09-25 2021-10-05 Juniper Networks, Inc. Log analysis in vector space
US20210226988A1 (en) * 2019-12-31 2021-07-22 Radware, Ltd. Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks
US11412406B2 (en) 2020-02-13 2022-08-09 Charter Communications Operating, Llc Apparatus and methods for user device buffer management in wireless networks
US11564155B2 (en) * 2020-04-07 2023-01-24 Charter Communications Operating, Llc Apparatus and methods for interworking in wireless networks
US11057865B1 (en) 2020-05-20 2021-07-06 Charter Communications Operating, Llc Apparatus and methods for enhanced paging in wireless networks
EP4006760B1 (en) * 2020-09-29 2023-06-28 Rakuten Group, Inc. Anomaly determination system, anomaly determination method, and program
US11671446B2 (en) 2020-12-11 2023-06-06 Google Llc Automatic detection and mitigation of denial-of-service attacks
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
GB2610562A (en) * 2021-09-08 2023-03-15 British Telecomm Anomalous activity mitigation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010056682A (ja) 2008-08-26 2010-03-11 National Institute Of Information & Communication Technology 電子メール受信装置及び電子メール受信方法、電子メール送信装置及び電子メール送信方法、メール送信サーバ
JP2016537906A (ja) 2013-08-30 2016-12-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation セルラー・ネットワークのための適応監視

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6836536B2 (en) 2002-06-17 2004-12-28 Hobbes Huang Clamp device integrating test device for telephone and network cables
US8131107B2 (en) * 2008-05-12 2012-03-06 General Electric Company Method and system for identifying defects in NDT image data
WO2010076832A1 (en) 2008-12-31 2010-07-08 Telecom Italia S.P.A. Anomaly detection for packet-based networks
AU2010223925A1 (en) * 2009-03-13 2011-11-03 Rutgers, The State University Of New Jersey Systems and methods for the detection of malware
US8836536B2 (en) 2011-07-29 2014-09-16 Hewlett-Packard Development Company, L. P. Device characterization system and methods
US9087303B2 (en) * 2012-02-19 2015-07-21 International Business Machines Corporation Classification reliability prediction
US20160065444A1 (en) 2014-08-26 2016-03-03 Arbor Networks, Inc. Anomaly detection based on combinations of cause value, message type, response time (gtp-c)
US9690933B1 (en) * 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
WO2016108963A1 (en) * 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US10713594B2 (en) * 2015-03-20 2020-07-14 Salesforce.Com, Inc. Systems, methods, and apparatuses for implementing machine learning model training and deployment with a rollback mechanism
WO2017015462A1 (en) * 2015-07-22 2017-01-26 Dynamic Network Services, Inc. Methods, systems, and apparatus to generate information transmission performance alerts
US10220167B2 (en) * 2016-03-24 2019-03-05 Cisco Technology, Inc. Mechanisms to prevent anomaly detectors from learning anomalous patterns
US20170279685A1 (en) * 2016-03-25 2017-09-28 Cisco Technology, Inc. Adjusting anomaly detection operations based on network resources
AU2017283549A1 (en) * 2016-06-13 2019-01-24 Xevo Inc. Method and system for providing behavior of vehicle operator using virtuous cycle
US10193915B2 (en) 2016-09-30 2019-01-29 Oath Inc. Computerized system and method for automatically determining malicious IP clusters using network activity data
CN109194616B (zh) * 2018-08-01 2020-03-10 北京科技大学 一种针对变频矢量控制装置的工业信息安全防护系统
CN108965340B (zh) * 2018-09-25 2020-05-05 网御安全技术(深圳)有限公司 一种工业控制系统入侵检测方法及系统
US10891546B2 (en) * 2019-04-29 2021-01-12 Google Llc Network anomaly detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010056682A (ja) 2008-08-26 2010-03-11 National Institute Of Information & Communication Technology 電子メール受信装置及び電子メール受信方法、電子メール送信装置及び電子メール送信方法、メール送信サーバ
JP2016537906A (ja) 2013-08-30 2016-12-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation セルラー・ネットワークのための適応監視

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MARCHAL SAMUEL ET AL,Mitigating Mimicry Attacks Against the Session Initiation Protocol,IEEE TRANSACTIONS ON NETWORK SERVICE MANAGEMENT,IEEE,US,Vol.12,no.3,米国,IEEE,2015年09月04日

Also Published As

Publication number Publication date
EP4236240A3 (en) 2023-10-04
US20240127055A1 (en) 2024-04-18
CN113748656A (zh) 2021-12-03
CN116455787A (zh) 2023-07-18
EP3954099A1 (en) 2022-02-16
KR20220002602A (ko) 2022-01-06
KR102626273B1 (ko) 2024-01-17
US20200342311A1 (en) 2020-10-29
US11507837B2 (en) 2022-11-22
EP4236240A2 (en) 2023-08-30
US20210133574A1 (en) 2021-05-06
US10891546B2 (en) 2021-01-12
JP2022530166A (ja) 2022-06-27
CN113748656B (zh) 2023-04-21
EP3954099B1 (en) 2024-01-10
WO2020222872A1 (en) 2020-11-05
US11861453B2 (en) 2024-01-02
US20230054625A1 (en) 2023-02-23

Similar Documents

Publication Publication Date Title
JP7344314B2 (ja) ネットワーク異常検出
US11582589B2 (en) Wireless network policy manager for a service mesh
US11271831B2 (en) Proactive and intelligent packet capturing for a mobile packet core
US11340934B2 (en) Cloud oversubscription system
US9071998B2 (en) Optimizing performance information collection
US11228929B2 (en) Selective user plane monitoring multiple monitoring probes when a serving gateway has multiple IP addresses
JP7443563B2 (ja) モバイルネットワークにおける負荷分散およびサービス選択
US20220407793A1 (en) Systems and methods for high availability and performance preservation for groups of network functions
US9723501B2 (en) Fault analytics framework for QoS based services
US20190104045A1 (en) Selective user plane monitoring using a single network monitoring probe
US10757538B1 (en) Location-based enterprise policy application within a mobile network
EP3082320B1 (en) Identifying browsing sessions based on temporal transaction pattern
US20200177512A1 (en) Network architecture with control plane node
EP3908034B1 (en) Identification of 5g non-standalone architecture traffic on the s1 interface

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220119

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230901

R150 Certificate of patent or registration of utility model

Ref document number: 7344314

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150