WO2000036788A2 - Marketing and controlling networks by using neurocomputing methods in network management data - Google Patents

Marketing and controlling networks by using neurocomputing methods in network management data Download PDF

Info

Publication number
WO2000036788A2
WO2000036788A2 PCT/DE1999/003921 DE9903921W WO0036788A2 WO 2000036788 A2 WO2000036788 A2 WO 2000036788A2 DE 9903921 W DE9903921 W DE 9903921W WO 0036788 A2 WO0036788 A2 WO 0036788A2
Authority
WO
WIPO (PCT)
Prior art keywords
network
data
behavior
log
user
Prior art date
Application number
PCT/DE1999/003921
Other languages
German (de)
French (fr)
Other versions
WO2000036788A3 (en
Inventor
Bernhard Nauer
Michiaki Taniguchi
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP99967864A priority Critical patent/EP1055309A2/en
Publication of WO2000036788A2 publication Critical patent/WO2000036788A2/en
Publication of WO2000036788A3 publication Critical patent/WO2000036788A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Definitions

  • Irregularities in the network management of a network can reach an order of magnitude that endangers the business basis of a network operator. At the moment, it is technically very difficult to identify such cases of use so early that the damage caused is minimal.
  • the subject of the application relates to a method for detecting irregularities in network management and a method for recording the usage behavior in network management of users of a network, as a result of which the processes occurring in a telecommunications network are logged in the course of network management on log files.
  • CNM Customer Network Management
  • CSC Customer Service Control
  • Targeted marketing campaigns for the different usage groups on the part of the network operator, recognition of market trends, the detection of bottlenecks in the network or also the determination of cost savings potential have so far been very difficult, since the precise assignment of a private or business customer to various behavior categories is only insufficiently supported technically .
  • the object of the registration is based on the problem of specifying a method which provides significant statements on specific uses of a network based on log files, in particular on irregularities in network management, with a low error rate.
  • the method according to the application forms a detection tool with which specific uses of a network can be identified at an early stage, in particular suspicions of fraud and manipulation in networks, market trends in networks and network bottlenecks, which can be derived from network management activities.
  • Fig. 1 is a basic block diagram of elements and Figure 2 is their interaction in Anme1deneuvestand and a ⁇ An application example for modeling a behavior category in the causal network.
  • the subject of the application relates to the field of management of networks, in particular of telecommunications networks and of intelligent networks.
  • Network management operations are carried out by the operator's staff as well as end customers (keyword: Customer Network Management, Customer Service Control).
  • the log data LDAT can be subjected to a rule-based preprocessing PP (for: preprocessor), the log data being correlated and compressed and, if necessary, brought to a uniform format.
  • the log data can, if necessary in preprocessed form, be subjected to an intermediate storage LDR (for: Log Data Record) as an intermediate result.
  • LDR for: Log Data Record
  • the log data are fed, if necessary in preprocessed form and if necessary after buffering, to a method approach MA which comprises a neural network with monitored training NNUE, a densely based profile modeling DBPM and a causal-neural network KNN, in the following causal network called, has.
  • the method approach MA works, as indicated by two double-headed arrows, with a database MO / TR, in which the modeling / training data are stored, and a database HIST, in which the evaluation results of the current and previous observation periods are stored .
  • the intermediate results output by the method approach MA or stored in the database HIST can be subjected to an evaluation in a device COMB (for: combination).
  • the method according to the application makes use of three different method approaches in neuroinformatics, namely the neural network with monitored training, density-based modeling and the causal network.
  • the three method approaches are combined.
  • the modeling with these three methods is carried out on the basis of various log files.
  • the resulting model represents a marketing and controlling tool for networks.
  • Log entries can contain, for example: - unique log ID (identification, name of the recording file) - time of the log entry entity to which the log entry is assigned (e.g. user ID, application entity title) - type and scope of a file access (e.g.
  • Standards for log entries in the framework of network management are, for example, in ITU-T X.735 (log Control Function), ITU-T X.733 (Alarm Report Function), ITU-T X.740 (Security Audit Trail Function) and ITU-T X.736 (Security Alarm Reporting Function) and in various RFCs of the IETF .
  • Such standards facilitate preprocessing of the log data, but are not a necessary prerequisite for the use of neuronal methods.
  • a preprocessor PP can optionally be used.
  • the preprocessor has the task of correlating and compressing the log data in such a way that data sets are delivered with the attribute values required in the actual process.
  • any preprocessor can be used which, as a result, provides a superset of the attribute values required by the method.
  • a rule-based preprocessor is used.
  • the rules control the correlation and compression of the log data.
  • the selection rules of the preprocessor can be easily (automatically) adapted.
  • An automatic adaptation of the selection rules can be controlled via notifications (free-running messages) to the preprocessor, as denoted in FIG. 1 by ADAP (for: adaptation).
  • log data The data on which the method is based are called log data below.
  • various methods of neuroinformatics can be applied to log data.
  • the neural network is trained using a set of examples.
  • the prerequisite for the training is that for each example the associated target value is given, ie it must be known at the time of the training whether there was an irregularity, in particular fraud, for the example under consideration.
  • An example consists of a series of attributes that characterize the behavior of a user with regard to certain login contents.
  • the target values to be examined and the attributes characteristic of the example must be specified.
  • the characteristic attributes determine the behavior of a user.
  • the behavior in turn depends on certain attribute values (the data itself).
  • the characteristic attributes are, for example: - Average number of management operations carried out by a user in one day over an observation period (e.g. four weeks) - Scattering in the number of management operations performed by a user in one day over an observation period (e.g. four weeks) - Maximum number the management operations performed by a user in one day over an observation period (e.g. four weeks) - minimum number of management operations performed by a user in a day over an observation period (e.g. four weeks)
  • the aim of the training phase (preliminary steps) of the neural network is to create a model which, based on the example given, decides for a user whether a use is defined in terms of one or more Target values take place or not.
  • the model is created by the supervised training, the basics of which are described in detail in Rumelhart, DE, Hinton, GE and Williams, RJ Learning internal representation by error backpropagation, Parallel Distributed Processing, pp. 318-362, Cambridge, MA, MIT Press, 1986 .
  • Each user is assigned a behavior pattern in the form of attributes that describes a certain (behavior) profile over a longer period of time.
  • the period of time on which the behavior pattern is based should not be shorter than four weeks and be before the time when the method is used for marketing and controlling purposes.
  • the neural network is trained on the basis of training data for use with regard to the defined target values.
  • the application phase of the neural network begins, in which the following steps are carried out continuously: For each user, new attribute values (one example per user) are determined from the associated log entries of an observation period. If the method is used for controlling purposes, the observation room is chosen to be very small (e.g. one day).
  • the observation period is chosen longer (eg four weeks).
  • the neural network decides on the basis of Examples, whether the use in Obs ⁇ caution period a particular target value can be assigned or not. This decision is displayed user-specifically as the result of the observation period and optionally logged in a database HIST. The prerequisite for this is that the data can be clearly assigned to a user. This requirement can be met in different ways:
  • the name of the user is part of the log data in anonymized or non-anonymized form, or
  • the name of the user is not part of the log data, but the data can be clearly assigned to a specific real user (e.g. a person or an application), or
  • the name of the user is not part of the log data, but the data can be clearly assigned to a specific virtual user (such as user 1, user 2, ...); such an assignment is sufficient e.g. for statistics and for statements about market trends etc.
  • the method "density-based profile modeling” is a probabilistic modeling of the behavior of a user (probabilistic profile modeling).
  • the behavior of a user is described in the form of behavior patterns.
  • Each behavior pattern is created in the form of a model using the associated examples. These examples consist of several characteristic attributes that are based on certain login content, as described, for example, in the "Neural network with monitored training" method.
  • the training phase of density-based profile modeling the following steps are carried out: Each user is given behavior patterns in the form of a number of examples assigned, which describe the behavior of the user over a longer period of time.
  • the period on which the behavior pattern is based should not be shorter than four weeks and should be before the time when the method is used for marketing and controlling purposes.
  • a probabilistic profile is created for each user. This is done by density estimation using the EM algorithm. The exact description is contained in Chris Bishop, Neural Networks in Pattern Recognition, Oxford Press, 1996.
  • the application phase of density-based profile modeling begins, in which the following steps are carried out continuously:
  • the log data of an observation period (for example, one day) is analyzed with regard to the login content intended for probabilistic profile modeling (a new example is created).
  • the density-based profile model outputs a value that represents a probability of using the network of the user under consideration with regard to the defined behavioral patterns.
  • the profile model is adapted.
  • the re-adapted profile model is displayed user-specifically as the result of the observation period and optionally logged in a database. The prerequisite for this is that the data can be clearly assigned to a user as described above.
  • the basis for the causal network method is the modeling of typical behavior scenarios in the form of causal dependencies and probabilities of certain login content, e.g. are shown in Fig. 2 in the form of a fraud scenario.
  • Both the respective weekday WD / WE (for: working day, workday / week end, weekend) and the respective fraud scenario BS have an impact on the object class OK, the number of accesses AZ, the duration of the accesses DZ and the access type ZA .
  • the causal dependencies are based on the evaluation of known use cases. You can refer to several log files. They are not specifically assigned to individual users.
  • the modeling of the causal network in this phase the following steps are carried out: For all log files involved in network management, the causal dependencies with regard to the log content are formulated for all the behavior scenarios under consideration corresponding probabilities are assigned. The domain knowledge of the specialist is required in the modeling phase. The basis of the causal network is described in Finn V. Jensen, An Introduction to Bavarian Networks, UCL Press 1996.
  • the application phase of the causal network the following steps are carried out continuously: The log data are continuously examined for the formulated causal dependencies. For each user or event, a decision is made as to the likelihood of specific use with regard to the defined behavior scenarios.
  • This decision is displayed as a result and optionally logged in a database HIST.
  • the probabilities behind the causal dependencies can be re-adapted. If necessary, the causal dependencies on new behavior scenarios not yet considered are added to the existing causal dependencies. This method can also be used if the user is not part of the log entry. In this case, however, a recognized usage cannot be assigned to a specific user, in particular a suspicion of fraud and manipulation cannot be attributed to any perpetrator.
  • the individual results of the individual processes are condensed into an overall result.
  • This consolidation includes the individual results of the different processes.
  • the individual results can come from both the current and past observation periods.
  • further data such as the results of other methods, in particular a rule-based method, participant data, data about the participants' billing behavior, black lists of participants, white lists of participants, CDRs, etc.
  • An example of such a compression is the recognition of how certain services are actually used. This can lead to market trend recognition by evaluating the results of different observation periods.

Abstract

Several neurocomputational method-based approaches, i.e. a neural network with supervised training, density-based modelling and a causal network, are used with regard to log data which is produced at network management level in order to recognise the utilisation profile of a final customer or employee of a user. Results from said methods are optionally combined with each other or with additional network data in order to provide more significant information with a reduced error rate. Premature recognition of irregularities in network management, information about the necessity of network expansion and significant information about market trends and marketing purposes are obtained.

Description

Beschreibungdescription
Marketing und Controlling von Netzen durch Anwendung von Methoden der Neuroinformatik auf Netzmanagement-DatenMarketing and controlling of networks by applying methods of neuroinformatics to network management data
Unregelmäßigkeiten beim Netzmanagement eines Netzes (verursacht z.B. von Operatoren, aber auch von Privat- und Geschäftskunden eines Netzbetreibers) können eine Größenordnung erreichen, die die Geschäftsbasis eines Netzbetreibers ge- fährdet. Derzeit ist es technisch sehr schwierig, solche Nutzungsfälle so frühzeitig zu erkennen, daß der angerichtete Schaden gering bleibt.Irregularities in the network management of a network (caused, for example, by operators, but also by private and business customers of a network operator) can reach an order of magnitude that endangers the business basis of a network operator. At the moment, it is technically very difficult to identify such cases of use so early that the damage caused is minimal.
Der Anmeldungsgegenstand betrifft ein Verfahren zur Erkennung von Unregelmäßigkeiten beim Netz-Management und ein Verfahren zur Erfassung des Nutzungsverhaltens beim Netz-Management von Nutzern eines Netzes denenzufolge die in einem Telekommunikationsnetz auftretenden Vorgänge im Zuge des Netz-Management' s auf Log-Dateien protokolliert werden.The subject of the application relates to a method for detecting irregularities in network management and a method for recording the usage behavior in network management of users of a network, as a result of which the processes occurring in a telecommunications network are logged in the course of network management on log files.
Privat- und Geschäftskunden können die Dienste eines Netzes auf unterschiedliche Art managen, z.B. direkt über eine CNM- (CNM = Customer Network Management) oder CSC- (=Customer Service Control) Schnittstelle oder indirekt mit Hilfe eines Ope- rators. Gezielte Marketingaktionen für die unterschiedlichen Nutzungskreise seitens des Netzbetreibers, Erkennen von Markttrends, das Erkennen von Engpässen im Netz oder auch das Bestimmen von Kosteneinsparungspotentialen sind bisher nur recht schwer möglich, da eine genaue Zuordnung eines Privat- oder Geschäftskunden zu diversen Verhaltenskategorien technisch nur unzureichend unterstützt wird.Private and business customers can manage the services of a network in different ways, e.g. directly via a CNM (CNM = Customer Network Management) or CSC (= Customer Service Control) interface or indirectly with the help of an operator. Targeted marketing campaigns for the different usage groups on the part of the network operator, recognition of market trends, the detection of bottlenecks in the network or also the determination of cost savings potential have so far been very difficult, since the precise assignment of a private or business customer to various behavior categories is only insufficiently supported technically .
Beim Netz-Management werden normalerweise alle durchgeführten Vorgänge im Netz, wie z. B. Operationen, Aktionen und Ereig- nisse insbesondere auch Alarme, detailliert von den beteiligten Systemen auf Log-Dateien protokolliert. Es gibt derzeit diverse Software-Arbeitsmittel, die in Fachkreisen auch als Tools bezeichnet werden, zur Erkennung von Betrugsfällen. Solche Tools basieren auf verschiedenen Techniken, wie dem regelbasierten Ansatz oder neuronalen Netzen etc. Ausgewertet werden mit diesen Techniken Rufe- Einzelheiten-Aufzeichnungen CDR (Call Detail Records) oder Signalisierungsdaten des Zeichengabesystems CCS7. Zur Auswertung von Log-Dateien gibt es heute nur Applikationen, Befehle oder Tools, die jede Log-Datei separat auswerten.With network management, all operations carried out in the network, such as B. Operations, actions and events, in particular also alarms, are logged in detail by the systems involved on log files. There are currently various software tools, which experts also refer to as tools for detecting fraud. Such tools are based on various techniques, such as the rule-based approach or neural networks, etc. These techniques are used to evaluate CDR (Call Detail Records) or signaling data from the CCS7 signaling system. To evaluate log files, there are only applications, commands or tools today that evaluate each log file separately.
Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein Verfahren anzugeben, das signifikante Aussagen zu spezifischen Nutzungen eines Netzes auf Basis von Log-Dateien, insbesondere zu Unregelmäßigkeiten beim Netz-Management, mit geringer Fehlerquote liefert.The object of the registration is based on the problem of specifying a method which provides significant statements on specific uses of a network based on log files, in particular on irregularities in network management, with a low error rate.
Das Problem wird durch die Merkmale des Anspruchs 1 oder Anspruchs 2 gelöst.The problem is solved by the features of claim 1 or claim 2.
Das anmeldungsgemäße Verfahren bildet ein Erkennungswerkzeug mit dem bereits frühzeitig spezifische Nutzungen eines Netzes erkennbar werden, insbesondere Verdachtsmomente für Betrugsfälle und Manipulationen in Netzen, Markttrends in Netzen und Netzengpässe, die sich aus im Rahmen von Netz- Managementak- tivitäten ableiten lassen.The method according to the application forms a detection tool with which specific uses of a network can be identified at an early stage, in particular suspicions of fraud and manipulation in networks, market trends in networks and network bottlenecks, which can be derived from network management activities.
Gemäß einer Weiterbildung des Anmeldungsgegenstandes werden die Ergebnisse der unterschiedlichen Methodenansätze der Neu- roinformatik - gegebenfalls unter Einbeziehung weiterer Daten - zu einer signifikanten Aussage mit äußerst geringer Fehlerquote miteinander kombiniert (verknüpft, verdichtet) .According to a further development of the subject of the application, the results of the different methods of neuroinformatics are combined (linked, summarized) to form a significant statement with an extremely low error rate, if necessary with the inclusion of further data.
Der Anmeldungsgegenstand wird im folgenden als Ausführungsbeispiel in einem zum Verständnis erforderlichen Umfang an- hand von Figuren näher erläutert. Dabei zeigen:The subject matter of the application is explained in more detail below as an exemplary embodiment to the extent necessary for understanding with reference to figures. Show:
Fig 1 eine prinzipielle Blockdarstellung von Elementen und Fig 2 deren Zusammenwirken beim Anme1degegenstand und ein An¬ wendungsbeispiel für die Modellierung einer Verhaltenskategorie im kausalen Netz.Fig. 1 is a basic block diagram of elements and Figure 2 is their interaction in Anme1degegenstand and a ¬ An application example for modeling a behavior category in the causal network.
Der Anmeldungsgegenstand bezieht sich auf das Gebiet des Management' s von Netzen, insbesondere von Telekommunikationsnetzen und von Intelligenten Netzen. Dabei werden Netz- Management-Operationen sowohl vom Personal des Betreibers als auch von Endkunden (Stichwort: Customer Network Management, Customer Service Control) durchgeführt.The subject of the application relates to the field of management of networks, in particular of telecommunications networks and of intelligent networks. Network management operations are carried out by the operator's staff as well as end customers (keyword: Customer Network Management, Customer Service Control).
Bei dem in Fig 1 dargestellten anmeldungsgemäßen Verfahren können die Log-Daten LDAT einer regel-basierten Vorverarbeitung PP (für: Preprocessor) unterzogen werden, wobei die Log- Daten korreliert und verdichtet werden und gegebenenfalls auf ein einheitliches Format gebracht werden. Die Log-Daten können, gegebenenfalls in vorverarbeiteter Form, als Zwischenergebnis einer Zwischenspeicherung LDR (für: Log Data Record) unterzogen werden. Die Log-Daten werden, gegebenenfalls in vorverarbeiteter Form und gegebenenfalls nach Zwischenspeicherung, einer Einrichtung Methodenansatz MA zugeführt, die ein neuronales Netz mit überwachtem Training NNUE, eine dich- te-basierte Profilmodellierung DBPM und ein kausal-neuronales Netz KNN, im folgenden kausales Netz genannt, aufweist. Die Einrichtung Methodenansatz MA arbeitet, wie durch zwei doppeltgerichtete Pfeile bezeichnet, mit einer Datenbasis MO/TR, in der die Modellierungs-/Trainingsdaten abgespeichert sind, und einer Datenbasis HIST, in der die Auswerteergebnisse des aktuellen und vorangegangener BeobachtungsZeiträume abgespei- chert sind, zusammen. Die von der Einrichtung Methodenansatz MA ausgegebenen bzw. in der Datenbasis HIST gespeicherten Zwischergebnisse können in einer Einrichtung COMB (für: Co - bination) einer Bewertung unterzogen werden. Bei dieser Bewertung können die Daten mit weiteren Daten ADAT (z.B. den Ergebnissen anderer Verfahren, insbesondere einem regelbasierten Verfahren, den CDRs (= Call Data Records), den Teilnehmerdaten etc.) kombiniert (verknüpft) werden. Sie werden als Ergebnis OUT ausgegeben.In the method according to the application shown in FIG. 1, the log data LDAT can be subjected to a rule-based preprocessing PP (for: preprocessor), the log data being correlated and compressed and, if necessary, brought to a uniform format. The log data can, if necessary in preprocessed form, be subjected to an intermediate storage LDR (for: Log Data Record) as an intermediate result. The log data are fed, if necessary in preprocessed form and if necessary after buffering, to a method approach MA which comprises a neural network with monitored training NNUE, a densely based profile modeling DBPM and a causal-neural network KNN, in the following causal network called, has. The method approach MA works, as indicated by two double-headed arrows, with a database MO / TR, in which the modeling / training data are stored, and a database HIST, in which the evaluation results of the current and previous observation periods are stored . The intermediate results output by the method approach MA or stored in the database HIST can be subjected to an evaluation in a device COMB (for: combination). In this evaluation, the data can be combined with further data ADAT (for example the results of other methods, in particular a rule-based method, the CDRs (= Call Data Records) Participant data etc.) are combined (linked). They are output as the result OUT.
Das anmeldungsgemäße Verfahren bedient sich dreier unter- schiedlicher Methodenansätze der Neuroinformatik nämlich dem Neuronalen Netz mit überwachtem Training, der dichtebasierten Modellierung und dem Kausalen Netz. In Weiterbildung des Anmeldungsgegenstandes werden die drei Methodenansätze kombiniert. Die Modellierung mit diesen drei Methoden werden auf der Basis von diversen Log-Dateien durchgeführt. Das entstehende Modell stellt ein Marketing- und Controlling Werkzeug für Netze dar.The method according to the application makes use of three different method approaches in neuroinformatics, namely the neural network with monitored training, density-based modeling and the causal network. In a further development of the subject of registration, the three method approaches are combined. The modeling with these three methods is carried out on the basis of various log files. The resulting model represents a marketing and controlling tool for networks.
Beim Netz-Management werden alle durchgeführten Vorgänge im Netz, wie z. B. Operationen, Aktionen und Ereignisse insbesondere auch Alarme, im Einzelnen von den beteiligten Systemen in AufZeichnungsdateien, die in Fachkreisen auch als Log- Dateien bezeichnet werden, protokolliert.With network management, all operations carried out in the network, such as B. Operations, actions and events, in particular also alarms, are logged in detail by the systems involved in recording files, which experts also refer to as log files.
Der Inhalt der Log-Dateien hängt in hohem Maße von den eingesetzten Systemen, der Art der Log-Datei und der Einstellung des Log Diskriminators (administrierbarer Filter) ab. Log- Einträge können z.B. enthalten:- eindeutige Log Id (Identification, Bezeichnung der Aufzeichnungsdatei) - Zeit- punkt des Logeintrags- Entität, der der Logeintrag zugeordnet wird (z.B. Userid, Application Entity Title)- Art und Umfang eines Dateizugriffs (z.B. Löschen eines Objekts der Objektklasse k mit Objekt-Id n, Erzeugen eines Objekts der Objektklasse k mit Inhaltsbeschreibung, Ändern eines Objekts der Objektklasse k mit Objekt-Id n und Attributwerten) Standards für Logeinträge im Rahmen Netzmanagement sind z.B. in ITU-T X.735 (Log Control Function) , ITU-T X.733 (Alarm Report Func- tion) , ITU-T X.740 (Security Audit Trail Function) und ITU-T X.736 (Security Alarm Reporting Function) und in diversen RFCs der IETF beschrieben. Solche Standards erleichtern ein Preprozessing der Logdaten, sind aber nicht notwendige Voraussetzung für die Anwendung neuronaler Methoden. Um die Verarbeitung der Daten zu beschleunigen, kann optional ein Preprocessor PP eingesetzt werden. Der Preprocessor hat die Aufgabe, die Log-Daten so zu korrelieren und zu verdich- ten, daß als Ergebnis Datensätze mit den im eigentlichen Verfahren benötigten Attributwerten geliefert werden.The content of the log files depends to a large extent on the systems used, the type of log file and the setting of the log discriminator (administrable filter). Log entries can contain, for example: - unique log ID (identification, name of the recording file) - time of the log entry entity to which the log entry is assigned (e.g. user ID, application entity title) - type and scope of a file access (e.g. deletion of a Objects of object class k with object ID n, creation of an object of object class k with content description, modification of an object of object class k with object ID n and attribute values) Standards for log entries in the framework of network management are, for example, in ITU-T X.735 (log Control Function), ITU-T X.733 (Alarm Report Function), ITU-T X.740 (Security Audit Trail Function) and ITU-T X.736 (Security Alarm Reporting Function) and in various RFCs of the IETF . Such standards facilitate preprocessing of the log data, but are not a necessary prerequisite for the use of neuronal methods. In order to speed up the processing of the data, a preprocessor PP can optionally be used. The preprocessor has the task of correlating and compressing the log data in such a way that data sets are delivered with the attribute values required in the actual process.
Grundsätzlich kann jeder beliebige Preprocessor verwendet werden, der als Ergebnis LDR eine Obermenge der vom Verfahren benötigten Attributwerte liefert.In principle, any preprocessor can be used which, as a result, provides a superset of the attribute values required by the method.
In einer bevorzugten Ausführungsform des Anmeldungsgegen- standes wird ein regel-basierter Preprocessor verwendet. Die Regeln steuern dabei die Korrelation und die Verdichtung der Log-Daten.In a preferred embodiment of the subject of the application, a rule-based preprocessor is used. The rules control the correlation and compression of the log data.
Wird im eigentlichen Verfahren ein neues charakteristisches Attribut hinzugefügt oder fällt ein charakteristisches Attribut weg, dann können die Auswahlregeln des Preprocessor ein- fach (automatisch) angepaßt werden. Eine automatische Anpassung der Auswahlregeln kann dabei, wie in der Fig 1 mit ADAP (für: Adaption) bezeichnet, über Notifications (freilaufende Meldungen) an den Preprocessor gesteuert werden.If a new characteristic attribute is added in the actual process or if a characteristic attribute is omitted, the selection rules of the preprocessor can be easily (automatically) adapted. An automatic adaptation of the selection rules can be controlled via notifications (free-running messages) to the preprocessor, as denoted in FIG. 1 by ADAP (for: adaptation).
Das nachfolgend beschriebene Verfahren kann damitThe method described below can thus
- direkt auf den Log-Dateien aufsetzen,- place directly on the log files,
- auf Ergebnisse eines beliebigen Preprocessors aufsetzen- based on the results of any preprocessor
- auf Ergebnisse (in Fig 1 mit INTM bezeichnet) eines spezifischen regel-basierten Preprocessor aufsetzen.- Based on results (labeled INTM in Fig. 1) of a specific rule-based preprocessor.
Im Folgenden werden die dem Verfahren zugundeliegenden Daten Log-Daten genannt.The data on which the method is based are called log data below.
Gemäß dem Anmeldungsgegenstand sind verschiedene Methoden der Neuroinformatik auf Log-Daten anwendbar. Bei der Methode "Neuronales Netz mit überwachten Training" wird das Neuronale Netz mit einem Satz von Beispielen trainiert. Die Voraussetzung für das Training ist, daß zu jedem Beispiel der zugehö- rige Zielwert gegeben ist, d.h. es muß zum Zeitpunkt des Trainings bekannt sein, ob für das betrachtete Beispiel eine Unregelmäßigkeit, insbesondere Betrug, vorlag. Ein Beispiel besteht aus einer Reihe von Attributen, die das Verhalten ei- nes Nutzers hinsichtlich bestimmter Loginhalte charakterisieren. Dabei müssen die zu untersuchenden Zielwerte und die für das Beispiel charakteristischen Attribute vorgegeben werden. Die charakteristischen Attribute bestimmen das Verhalten eines Nutzers. Das Verhalten wiederum ist abhängig von bestimm- ten Attributwerten (den Daten selber) .According to the subject of the application, various methods of neuroinformatics can be applied to log data. In the "Neural Network with Supervised Training" method, the neural network is trained using a set of examples. The prerequisite for the training is that for each example the associated target value is given, ie it must be known at the time of the training whether there was an irregularity, in particular fraud, for the example under consideration. An example consists of a series of attributes that characterize the behavior of a user with regard to certain login contents. The target values to be examined and the attributes characteristic of the example must be specified. The characteristic attributes determine the behavior of a user. The behavior in turn depends on certain attribute values (the data itself).
Zu jedem Nutzer wird ein Beispiel generiert. Die charakteristischen Attribute sind z.B.:- mittlere Anzahl der von einem Nutzer an einem Tag durchgeführten Managementoperationen über einen BeobachtungsZeitraum (z.B. vier Wochen)- Streuung der Anzahl der von einem Nutzer an einem Tag durchgeführten Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- maximale Anzahl der von einem Nutzer an einem Tag durchgeführten Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- minimale Anzahl der von einem Nutzer an einem Tag durchgeführten Managementoperationen über einen BeobachtungsZeitraum (z.B. vier Wochen)An example is generated for each user. The characteristic attributes are, for example: - Average number of management operations carried out by a user in one day over an observation period (e.g. four weeks) - Scattering in the number of management operations performed by a user in one day over an observation period (e.g. four weeks) - Maximum number the management operations performed by a user in one day over an observation period (e.g. four weeks) - minimum number of management operations performed by a user in a day over an observation period (e.g. four weeks)
- mittlere Anzahl der von einem Nutzer an einem Tag durchgeführten spezifischen Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- Streuung der Anzahl der von einem Nutzer an einem Tag durchgeführten spezifischen Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- maximale Anzahl der von einem Nutzer an einem Tag durchgeführten spezifischen Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- minimale An- zahl der von einem Nutzer an einem Tag durchgeführten spezifischen Managementoperationen über einen Beobachtungszeitraum (z.B. vier Wochen)- Average number of specific management operations carried out by a user in one day over an observation period (e.g. four weeks) - Scattering in the number of specific management operations performed by a user in one day over an observation period (e.g. four weeks) - Maximum number of users Specific management operations performed in one day over an observation period (e.g. four weeks) - minimum number of specific management operations performed by a user in one day over an observation period (e.g. four weeks)
- mittlere Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wo- chen)- Streuung der Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen BeobachtungsZeitraum (z.B. vier Wochen) - maximale Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wochen)- minimale Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wochen)- mittlere Anzahl der von einem System an einem Tag gesendeten Spezialalarme über einen Beobachtungszeitraum (z.B. vier Wochen)- Streuung der Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wochen)- maximale Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wochen)- minimale Anzahl der von einem System an einem Tag ausgesendeten Alarme über einen Beobachtungszeitraum (z.B. vier Wochen) etc. Ziel der Trainingsphase (Vorabschritte) des Neuronalen Netzesist es, ein Modell zu erstellen, welches für einen Nutzer anhand des ge- gebenen Beispiels entscheidet, ob eine Nutzung hinsichtlich eines oder mehrerer definierter Zielwerte stattfindet oder nicht. Die Modellerstellung erfolgt durch das überwachte Training, dessen Grundlagen in Rumelhart, D.E., Hinton, G.E. und Williams, R.J. Learning internal representation by error backpropagation, Parallel Distributed Processing, S. 318-362, Cambridge, MA, MIT Press, 1986 detailliert beschrieben sind. In der Trainingsphase werden folgende Schritte durchgeführt: Jedem Nutzer wird ein Verhaltensmuster in Form von Attributen zugeordnet, das ein gewisses (Verhaltens-) Profil über einen längeren Zeitraum beschreibt. Der dem Verhaltensmuster zugrundeliegende Zeitraum sollte nicht kürzer als vier Wochen sein und vor dem Zeitpunkt liegen, in dem die Methode für Marketing und Controllingszwecke angewendet wird. Das neuronale Netz wird anhand von Trainingsdaten auf die Nutzung hinsichtlich der definierten Zielwerte hin trainiert. Nach Abschluß der Trainingsphase beginnt die Anwendungsphase des neuronalen Netzes, in der kontinuierlich folgende Schritte durchgeführt werden: Zu jedem Nutzer wird aus den zugehörigen Logeinträgen eines BeobachtungsZeitraums neue Attribut- werte (ein Beispiel pro Nutzer) ermittelt. Wird die Methode für Controllingzwecke angewendet, dann wird der Beobachtungsraum sehr klein gewählt (z.B. ein Tag) . Wird die Methode für Marketingzwecke angewendet, dann wird der BeobachtungsZeitraum größer gewählt (z.B. vier Wochen) . Das Neuronale Netze entscheidet auf Basis der Beispiele, ob die Nutzung im Beob¬ achtungszeitraum einem bestimmten Zielwert zugeordnet werden kann oder nicht. Diese Entscheidung wird nutzer-spezifisch als Ergebnis des BeobachtungsZeitraumes angezeigt und optional in einer Datenbasis HIST protokolliert. Voraussetzung hierfür ist, daß sich die Daten eindeutig einem Nutzer zuordnen lassen. Diese Voraussetzung läßt sich auf unterschiedli- ehe Art erfüllen:- Average number of alarms sent by a system in a day over an observation period (eg four weeks) - Spread of the number of alarms sent by a system in a day over an observation period (eg four weeks) - Maximum number of alarms by a system on one Alarms sent during the day over an observation period (e.g. four weeks) - Minimum number of alarms sent by a system in one day over an observation period (e.g. four weeks) - Average number of special alarms sent by a system in one day over an observation period (e.g. four weeks) ) - Spread of the number of alarms sent by a system in a day over an observation period (e.g. four weeks) - Maximum number of alarms sent by a system in a day over an observation period (e.g. four weeks) - Minimum number of alarms by a system alarms sent out one day over an observation period (e.g. four weeks) etc. The aim of the training phase (preliminary steps) of the neural network is to create a model which, based on the example given, decides for a user whether a use is defined in terms of one or more Target values take place or not. The model is created by the supervised training, the basics of which are described in detail in Rumelhart, DE, Hinton, GE and Williams, RJ Learning internal representation by error backpropagation, Parallel Distributed Processing, pp. 318-362, Cambridge, MA, MIT Press, 1986 . The following steps are carried out in the training phase: Each user is assigned a behavior pattern in the form of attributes that describes a certain (behavior) profile over a longer period of time. The period of time on which the behavior pattern is based should not be shorter than four weeks and be before the time when the method is used for marketing and controlling purposes. The neural network is trained on the basis of training data for use with regard to the defined target values. After completion of the training phase, the application phase of the neural network begins, in which the following steps are carried out continuously: For each user, new attribute values (one example per user) are determined from the associated log entries of an observation period. If the method is used for controlling purposes, the observation room is chosen to be very small (e.g. one day). Will the method for Marketing purposes used, then the observation period is chosen longer (eg four weeks). The neural network decides on the basis of Examples, whether the use in Obs ¬ caution period a particular target value can be assigned or not. This decision is displayed user-specifically as the result of the observation period and optionally logged in a database HIST. The prerequisite for this is that the data can be clearly assigned to a user. This requirement can be met in different ways:
- der Name des Nutzers ist in anonymisierter oder nicht an- onymisierter Form Bestandteil der Log-Daten, oder- The name of the user is part of the log data in anonymized or non-anonymized form, or
- der Name des Nutzers ist nicht Bestandteil der Log-Daten, aber die Daten lassen sich eindeutig einem spezifischen realen Nutzer (z.B. einer Person oder einer Applikation) zuordnen, oder- The name of the user is not part of the log data, but the data can be clearly assigned to a specific real user (e.g. a person or an application), or
- der Name des Nutzers ist nicht Bestandteil der Log-Daten, aber die Daten lassen sich eindeutig einem spezifischen virtuellen Nutzer (wie z.B. Nutzer 1, Nutzer 2,...) zuord- nen; eine solche Zuordnung reicht z.B. für Statistiken und für Aussagen von Markttrends aus etc.- The name of the user is not part of the log data, but the data can be clearly assigned to a specific virtual user (such as user 1, user 2, ...); such an assignment is sufficient e.g. for statistics and for statements about market trends etc.
Das neuronale Netz wird bei Bedarf mit neuen Zielwerten hinsichtlich seiner Nutzung trainiert, insbesondere mit bis da- to noch nicht bekannten Betrugs- / Manipulationsfällen. Bei der Methode "dichte- basierte Profilmodellierung" handelt es sich um eine probabilistische Modellierung des Verhaltens eines Nutzers (probabilistische Profilmodellierung) . Das Verhalten eines Nutzers wird in Form von Verhaltensmustern be- schrieben. Jedes Verhaltensmuster wird in Form eines Modells anhand von zugehörigen Beispielen erstellt. Diese Beispiele bestehen aus mehreren, charakteristischen Attributen, die auf bestimmten Loginhalte basieren, wie sie z.B. bei der Methode "Neuronales Netz mit überwachtem Training" beschrieben sind. In der Trainingsphase der dichte-basierten Profilmodellierung werden folgende Schritte durchgeführt : Jedem Nutzer werden Verhaltensmuster in Form einer Menge von Beispielen zugeordet, die die Verhaltensweise des Nutzers über einen längeren Zeitraum beschreiben. Der den Verhaltensmuster zugrundeliegende Zeitraum sollte nicht kürzer als vier Wochen sein und vor dem Zeitpunkt liegen, in dem die Methode für Marketing- und Controllingzwecke angewendet wird. Für jeden Nutzer wird ein probabilistisches Profil erstellt. Diese Erstellung erfolgt durch die Dichteschätzung mit dem EM- Algorithmus. Die genaue Beschreibung ist in Chris Bishop, Neural Networks in Pattern Recognition, Oxford Press, 1996 enthalten.If necessary, the neural network is trained with new target values with regard to its use, in particular with hitherto unknown cases of fraud / manipulation. The method "density-based profile modeling" is a probabilistic modeling of the behavior of a user (probabilistic profile modeling). The behavior of a user is described in the form of behavior patterns. Each behavior pattern is created in the form of a model using the associated examples. These examples consist of several characteristic attributes that are based on certain login content, as described, for example, in the "Neural network with monitored training" method. In the training phase of density-based profile modeling, the following steps are carried out: Each user is given behavior patterns in the form of a number of examples assigned, which describe the behavior of the user over a longer period of time. The period on which the behavior pattern is based should not be shorter than four weeks and should be before the time when the method is used for marketing and controlling purposes. A probabilistic profile is created for each user. This is done by density estimation using the EM algorithm. The exact description is contained in Chris Bishop, Neural Networks in Pattern Recognition, Oxford Press, 1996.
Nach Abschluß der Trainingsphase beginnt die Anwendungsphase der dichte-basierten Profilmodellierung, in der kontinuierlich folgende Schritte durchgeführt werden: Die Logdaten eines Beobachtungszeitraumes (beispielsweise eines Tages) werden hinsichtlich der für die probabilistische Profilmodellierung bestimmten Loginhalte analysiert (ein neues Beispiel wird erzeugt) . Das dichte-basierte Profilmodell gibt einen Wert aus, der eine Wahrscheinlichkeit für die Nutzung des Netzes des betrachteten Nutzers hinsichtlich der definierten Verhaltens- muster darstellt.Mit dem aktuellen Beispiel wird das Profilmodell nachadaptiert. Das nachadaptierte Profilmodell wird nutzer-spezifisch als Ergebnis des BeobachtungsZeitraums angezeigt und optional in einer Datenbasis protokolliert. Voraussetzung hierfür ist, daß sich die Daten wie oben beschrie- ben eindeutig einem Nutzer zuordnen lassen. Basis für die Methode des kausalen Netz' ist die Modellierung typischer Ver- haltensszenarien in Form von kausalen Abhängigkeiten und Wahrscheinlichkeiten bestimmter Loginhalte wie z.B. in Fig 2 in Form eines Betrugsszenarios dargestellt sind.After completing the training phase, the application phase of density-based profile modeling begins, in which the following steps are carried out continuously: The log data of an observation period (for example, one day) is analyzed with regard to the login content intended for probabilistic profile modeling (a new example is created). The density-based profile model outputs a value that represents a probability of using the network of the user under consideration with regard to the defined behavioral patterns. With the current example, the profile model is adapted. The re-adapted profile model is displayed user-specifically as the result of the observation period and optionally logged in a database. The prerequisite for this is that the data can be clearly assigned to a user as described above. The basis for the causal network method is the modeling of typical behavior scenarios in the form of causal dependencies and probabilities of certain login content, e.g. are shown in Fig. 2 in the form of a fraud scenario.
Sowohl der jeweilige Wochentag WD/ WE (für: working day, Werktag/ week end, Wochenende) als auch das jeweilige Betrugszenario BS haben Einfluß auf die Objektklasse OK, die Anzahl der Zugriffe AZ, die Dauer der Zugriffe DZ und die Zu- griffsart ZA.Both the respective weekday WD / WE (for: working day, workday / week end, weekend) and the respective fraud scenario BS have an impact on the object class OK, the number of accesses AZ, the duration of the accesses DZ and the access type ZA .
(1) Wird auf die Objektklasse "Billing-Daten" an einem beliebigen Tag mehr als 1 mal oder keinmal zugegriffen, dann han- delt es sich mit Wahrscheinlichkeit 0,8 um eine Unregelmäßigkeit bei der Vergebührung (Gebührenbetrug) . (2) Wird auf die Objektklasse "Billing Daten" mit einer Zugriffsart ungleich FTP (File Transfer Protocol) oder FTAM (File Transfer Access Method) zugegriffen, dann handelt es sich mit Wahrscheinlichkeit 0,5 um einen Gebührenbetrug. (3) Dauert die Übertragung einer Gebührendatei mit der Zugriffsart FTAM mehr als n mal (n > 1) der durchschnittlichen Ubertragungsdauer, dann handelt es sich mit der Wahrscheinlichkeit max(l, n * 0,2) um einen Gebührenbetrug.(1) If the object class "Billing data" is accessed more than once or not on any day, then if there is a probability of 0.8, the charge is irregular (fee fraud). (2) If the object class "Billing Data" is accessed with an access type other than FTP (File Transfer Protocol) or FTAM (File Transfer Access Method), then it is likely that the fee is 0.5 fraud. (3) If the transfer of a fee file with the FTAM access type takes more than n times (n> 1) of the average transfer time, then the probability max (l, n * 0.2) is a fee fraud.
Die kausalen Abhängigkeiten basieren auf der Auswertung bekannter Nutzungsfälle. Sie können sich auf mehrere Log- Dateien beziehen. Sie sind nicht spezifisch einzelnen Nutzern zugeordnet .Modellierung des kausalen Netzesln dieser Phase werden folgende Schritte durchgeführt : Für alle am Netzmanagement beteiligten Log-Dateien werden für alle betrachteten Verhaltensszenarien die kausalen Abhängigkeiten hinsichtlich der Log-Inhalte formuliert .An den Stellen, wo die kausalen Abhängigkeiten existieren, werden entsprechende Wahrschein- lichkeiten zugeordnet. In der Modellierungsphase ist das Domänewissen des Fachexperten notwendig. Die Grundlage über das kausale Netz ist in Finn V. Jensen, An Introduction to Baye- sian Networks, UCL Press 1996 beschrieben. In der Anwendungsphase des kausalen Netzes werden kontinuierlich folgende Schritte durchgeführt : Die Logdaten werden kontinuierlich auf die formulierten kausalen Abhängigkeiten hin untersucht .Für jeden Nutzer bzw. jedes Ereignis wird entschieden, mit welcher Wahrscheinlichlichkeit eine spezifische Nutzung hinsichtlich der definierten Verhaltensszenarien vorliegt. Die- se Entscheidung wird als Ergebnis angezeigt und optional in einer Datenbasis HIST protokolliert. Die Wahrscheinlichkeiten hinter den kausalen Abhängigkeiten können nachadaptiert werden. Die kausalen Abhängigkeiten von neuen, bis dato noch nicht betrachteten Verhaltensszenarien werden bei Bedarf den existierenden kausalen Abhängigkeiten hinzugefügt. Diese Methode läßt ist auch dann anwendbar, wenn der Nutzer nicht Bestandteil des Logeintrags ist. In diesem Fall kann aber eine erkannte Nutzungkeinem spezifischen Nutzer, insbesondere ein Betrugs- und Manipulationsverdacht keinem Verur- sacher, zugeordnet werden.The causal dependencies are based on the evaluation of known use cases. You can refer to several log files. They are not specifically assigned to individual users. The modeling of the causal network in this phase, the following steps are carried out: For all log files involved in network management, the causal dependencies with regard to the log content are formulated for all the behavior scenarios under consideration corresponding probabilities are assigned. The domain knowledge of the specialist is required in the modeling phase. The basis of the causal network is described in Finn V. Jensen, An Introduction to Bavarian Networks, UCL Press 1996. In the application phase of the causal network, the following steps are carried out continuously: The log data are continuously examined for the formulated causal dependencies. For each user or event, a decision is made as to the likelihood of specific use with regard to the defined behavior scenarios. This decision is displayed as a result and optionally logged in a database HIST. The probabilities behind the causal dependencies can be re-adapted. If necessary, the causal dependencies on new behavior scenarios not yet considered are added to the existing causal dependencies. This method can also be used if the user is not part of the log entry. In this case, however, a recognized usage cannot be assigned to a specific user, in particular a suspicion of fraud and manipulation cannot be attributed to any perpetrator.
Grundsätzlich ist es möglich, die Einzelergebnisse der einzelnen Verfahren auszugeben. In weiterer Ausgestaltung des Anmeldungsgegenstandes werden die Einzelergebnisse der ein- zelnen Verfahren zu einem Gesamtergebnis verdichtet. Diese Verdichtung bezieht die Einzelergebnisse der verschiedenen Verfahren ein. Die Einzelergebnisse können sowohl aus dem aktuellen als auch aus vergangenen Beoabachtungszeiträumen stammen. Zusätzlich können bei der Verdichtung weitere Daten (wie z.B. die Ergebnisse von anderen Verfahren, insbesondere einem regel-baiserten Verfahren, Teilnehmerdaten, Daten über das Rechnungsverhalten der Teilnehmer, schwarze Listen von Teilnehmern, weiße Listen von Teilnehmern, CDRs etc.) berücksichtigt werden. Ein Beispiel für eine solche Verdichtung ist die Erkennung, wie bestimmte eingerichtete Dienste auch tatsächlich genutzt werden. Dies kann zu einer Markttrenderkennung durch Auswertung von Ergebnissen verschiedener Beobachtungszeiträume führen. In principle, it is possible to output the individual results of the individual procedures. In a further embodiment of the subject of the application, the individual results of the individual processes are condensed into an overall result. This consolidation includes the individual results of the different processes. The individual results can come from both the current and past observation periods. In addition, further data (such as the results of other methods, in particular a rule-based method, participant data, data about the participants' billing behavior, black lists of participants, white lists of participants, CDRs, etc.) can be taken into account in the compression. An example of such a compression is the recognition of how certain services are actually used. This can lead to market trend recognition by evaluating the results of different observation periods.

Claims

Patentansprüche claims
1. Verfahren zur Erkennung von Unregelmäßigkeiten beim Netz- Management demzufolge - die in einem Telekommunikationsnetz auftretenden Vorgänge im Zuge des Netz-Management' s auf Log-Dateien protokolliert werden1. A method for detecting irregularities in network management, consequently - the processes occurring in a telecommunications network are logged in the course of network management on log files
- eine Log-Datei oder mehrere Log-Dateien unter Anwendung mindestens einer der folgenden Methoden ausgewertet werden: • neuronales Netz, überwacht trainiert,- a log file or several log files are evaluated using at least one of the following methods: • neural network, monitored trained,
• dichte basierte Profilmodellierung,• density based profile modeling,
• kausalneuronales Netz derart, daß eine signifikante Abweichung von einem Ergebnis, wie es bei regulärem Nutzerverhalten auftritt, ausge- geben wird.• causal neuronal network in such a way that a significant deviation from a result, as occurs in the case of regular user behavior, is output.
2. Verfahren zur Erfassung des Nutzungsverhaltens beim Netz- Management von Nutzern eines Netzes demzufolge2. Procedure for recording the usage behavior in the network management of users of a network accordingly
- die in einem Netz auftretenden Vorgänge im Zuge des Netz- Management' s auf Log-Dateien protokolliert werden- The processes occurring in a network are logged in the course of network management on log files
- eine Log-Datei oder mehrere Log-Dateien unter Anwendung mindestens einer der folgenden Methoden ausgewertet werden:- A log file or several log files are evaluated using at least one of the following methods:
• neuronales Netz, überwacht trainiert,Neural network, monitored trained,
• dichte-basierte Profilmodellierung, • kausales Netz derart, daß eine Zuordnung eines Nutzers nach Maßgabe seines Nutzer-Verhaltens zu einer Kategorie von Nutzungsverhalten (Verhaltensmuster, Verhaltensszenario) ausgegeben wird.• density-based profile modeling, • causal network in such a way that an assignment of a user according to his user behavior to a category of usage behavior (behavior pattern, behavior scenario) is output.
3. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Log-Dateien vor der Auswertung einer Vorbehandlung unterzogen werden.3. The method according to any one of the preceding claims, characterized in that the log files are subjected to a pretreatment before the evaluation.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Daten durch die Vorbehandlung auf ein einheitliches, standardisiertes Format nach ITU X.735 , X.733, X.740 oder X.736 gebracht werden.4. The method according to any one of claims 1 to 3, characterized in that the data are pretreated to a uniform, standardized format according to ITU X.735, X.733, X.740 or X.736.
5. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Daten durch die Vorbehandlung auf ein einhaeitliches, standardisiertes Format nach einem IETF RFC gebracht werden.5. The method according to any one of claims 1 to 3, characterized in that the data are pretreated to a uniform, standardized format according to an IETF RFC.
6. Verfahren nach einem der Ansprüche 3, 4 oder 5, dadurch gekennzeichnet, daß es sich bei der Vorbehandlung um eine regel-basierte Vorbehandlung handelt.6. The method according to any one of claims 3, 4 or 5, characterized in that the pretreatment is a rule-based pretreatment.
7. Verfahren nach einem der Ansprüche 3 bis 6 dadurch gekennzeichnet, daß die einer Vorbehandlung unterzogenen Log-Daten vor der Auswertung zwischengespeichert werden.7. The method according to any one of claims 3 to 6, characterized in that the pretreated log data are buffered before evaluation.
8. Verfahren nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, daß nach Maßgabe des Auswerteergebnisses mindestens einer der Methoden eine automatische Anpassung der Auswahlregeln für die Vorbehandlung der Teilnehmerdaten erfolgt.8. The method according to any one of claims 3 to 7, characterized in that, depending on the evaluation result, at least one of the methods automatically adjusts the selection rules for the pretreatment of the subscriber data.
9. Verfahren nach einem der vorstehenden Ansprüche , dadurch gekennzeichnet, daß die Ergebnisse der aktuellen Auswertungen wenigstens zweier Methoden zu einem Endergebnis verknüpft werden.9. The method according to any one of the preceding claims, characterized in that the results of the current evaluations of at least two methods are linked to an end result.
10. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Ergebnisse der Auswertungen wenigstens zweier Methoden eines aktuellen Beobachtungszeitraum und eines vergangenen Beobachtungszeitraums zu einem Endergebnis verknüpft werden.10. The method according to any one of the preceding claims, characterized in that the results of the evaluations of at least two methods of a current observation period and a past observation period are linked to an end result.
11. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Ergebnisse der Auswertungen wenigstens einer Methode mit weiteren Netzdaten zu einem Gesamt-Endergebnis verknüpft werden.11. The method according to any one of the preceding claims, characterized in that the results of the evaluations of at least one method are combined with further network data to form an overall end result.
12. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß es sich bei dem Netz um ein Telekommunikationsnetz handelt.12. The method according to any one of the preceding claims, characterized in that the network is a telecommunications network.
13. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß es sich bei dem Netz um ein Intelligentes Netz handelt.13. The method according to any one of the preceding claims, characterized in that the network is an intelligent network.
14. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß es sich bei dem Netz um ein Datennetz handelt.14. The method according to any one of the preceding claims, characterized in that the network is a data network.
15. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren zur Betrugserkennung (Erkennung von Unregelmäßigkeiten, Manipulationen) verwendet wird.15. The method according to any one of the preceding claims, characterized in that the method for fraud detection (detection of irregularities, manipulations) is used.
16. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren zur Erkennung von Markttrends und Marketing- Aussagen verwendet wird.16. The method according to any one of the preceding claims, characterized in that the method is used to identify market trends and marketing statements.
17. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren zur Erkennung von Netzengpässen verwendet wird. 17. The method according to any one of the preceding claims, characterized in that the method is used to detect network bottlenecks.
PCT/DE1999/003921 1998-12-11 1999-12-08 Marketing and controlling networks by using neurocomputing methods in network management data WO2000036788A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP99967864A EP1055309A2 (en) 1998-12-11 1999-12-08 Marketing and controlling networks by using neurocomputing methods in network management data

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19857335A DE19857335A1 (en) 1998-12-11 1998-12-11 Marketing and controlling of networks by applying methods of neuroinformatics to network management data
DE19857335.9 1998-12-11

Publications (2)

Publication Number Publication Date
WO2000036788A2 true WO2000036788A2 (en) 2000-06-22
WO2000036788A3 WO2000036788A3 (en) 2000-08-17

Family

ID=7890837

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1999/003921 WO2000036788A2 (en) 1998-12-11 1999-12-08 Marketing and controlling networks by using neurocomputing methods in network management data

Country Status (3)

Country Link
EP (1) EP1055309A2 (en)
DE (1) DE19857335A1 (en)
WO (1) WO2000036788A2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2355621A (en) * 1999-07-30 2001-04-25 Hewlett Packard Co Writing log and diagnostic data in a policy-based network management (PBNM) system
EP1280298A1 (en) * 2001-07-26 2003-01-29 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus of detecting network activity
WO2007000633A1 (en) * 2005-06-29 2007-01-04 Nokia Corporation Quality assessment for telecommunications network
GB2432685A (en) * 2005-10-26 2007-05-30 Agilent Technologies Inc Method of detecting an unsatisfactory quality of service
WO2008101859A1 (en) * 2007-02-20 2008-08-28 Siemens Aktiengesellschaft Operating a communications network

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CATLEDGE L D ET AL: "Characterizing browsing strategies in the World-Wide Web" COMPUTER NETWORKS AND ISDN SYSTEMS,NL,NORTH HOLLAND PUBLISHING. AMSTERDAM, Bd. 27, Nr. 6, 1. April 1995 (1995-04-01), Seiten 1065-1073, XP004013208 ISSN: 0169-7552 *
HOOD C S ET AL: "PROBABILISTIC NETWORK FAULT DETECTION" GLOBAL TELECOMMUNICATIONS CONFERENCE (GLOBECOM),US,NEW YORK, IEEE, 18. November 1996 (1996-11-18), Seiten 1872-1876, XP000748773 ISBN: 0-7803-3337-3 *
LIU Y -C ; DOULIGERIS C : "Rate regulation with feedback controller in ATM - A neural network approach " IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS , Bd. 15, Nr. 2, 1. Februar 1997 (1997-02-01), Seiten 200-208, XP002138345 Areas Commun. (USA) *
See also references of EP1055309A2 *
TAK W Y ET AL: "From user access patterns to dynamic hypertext linking" COMPUTER NETWORKS AND ISDN SYSTEMS,NL,NORTH HOLLAND PUBLISHING. AMSTERDAM, Bd. 28, Nr. 11, 1. Mai 1996 (1996-05-01), Seiten 1007-1014, XP004018203 ISSN: 0169-7552 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2355621A (en) * 1999-07-30 2001-04-25 Hewlett Packard Co Writing log and diagnostic data in a policy-based network management (PBNM) system
EP1280298A1 (en) * 2001-07-26 2003-01-29 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus of detecting network activity
WO2003013057A2 (en) * 2001-07-26 2003-02-13 British Telecommunications Public Limited Company Method and apparatus of detecting network activity
WO2003013057A3 (en) * 2001-07-26 2003-12-31 British Telecomm Method and apparatus of detecting network activity
WO2007000633A1 (en) * 2005-06-29 2007-01-04 Nokia Corporation Quality assessment for telecommunications network
GB2432685A (en) * 2005-10-26 2007-05-30 Agilent Technologies Inc Method of detecting an unsatisfactory quality of service
WO2008101859A1 (en) * 2007-02-20 2008-08-28 Siemens Aktiengesellschaft Operating a communications network
EP1968234A1 (en) * 2007-02-20 2008-09-10 Siemens Aktiengesellschaft Operating a communications network
US8396818B2 (en) 2007-02-20 2013-03-12 Siemens Aktiengesellschaft Operating a communications network
CN101617501B (en) * 2007-02-20 2013-04-24 西门子公司 Method, product and system for operating a communications network

Also Published As

Publication number Publication date
EP1055309A2 (en) 2000-11-29
WO2000036788A3 (en) 2000-08-17
DE19857335A1 (en) 2000-09-21

Similar Documents

Publication Publication Date Title
DE69637228T2 (en) METHOD AND DEVICE FOR MEASURING THE RESPONSE TIME
DE602004004321T9 (en) Apparatus and method for real-time assessment of a network management rule
DE60220287T2 (en) SYSTEM AND METHOD FOR MONITORING SOFTWARE SERVICE SOFTWARE APPLICATIONS
DE602005001940T2 (en) METHOD AND SYSTEM FOR GENERATING A POPULATION REPRESENTATIVE TO A LOT OF USERS OF A COMMUNICATION NETWORK
DE102004029506A1 (en) Method and apparatus for managing resources in a computer system
EP0934567A1 (en) Method of classifying statistical dependency of a measurable series of statistical values
DE102005020893A1 (en) System for adaptively determining operation properties of an executable application
DE19838055A1 (en) PABX communication system for subscriber group allocation
DE10337144A1 (en) Method for recording event logs
WO2000036788A2 (en) Marketing and controlling networks by using neurocomputing methods in network management data
DE102005055696A1 (en) Discrete voting method for reporting and forecasting multiple transaction types
DE19857336C1 (en) Control and marketing process for use of internet/Intranet
EP0891069B1 (en) Identification of a fraudulent call with a neural network
EP1264253B1 (en) Method and arrangement for modelling a system
EP3961447B1 (en) Method for detecting abnormal operating states of a computer system
EP1081665A1 (en) Expert system
DE19905884B4 (en) A method for detecting customer-related abuses of network operator services by means of online analysis of customer-related data records
EP1208541B1 (en) Expert system
EP3764295A1 (en) Identification of unused servers
EP1725981A1 (en) Prediction method and device for evaluating and forecasting stochastic events
EP1137218A1 (en) Method and system for testing telecommunication devices
EP0891068A2 (en) Detection of a fraudulent call using a neuronal network
DE19721067C1 (en) Stochastic estimator
EP4231187A1 (en) Time and/or presence detection device; system; method for operating a time and/or presence detection device; computer program product
EP3832512A1 (en) Machine learning procedure for a data protection analysis

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): US

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
AK Designated states

Kind code of ref document: A3

Designated state(s): US

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

WWE Wipo information: entry into national phase

Ref document number: 1999967864

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1999967864

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 09786420

Country of ref document: US

WWW Wipo information: withdrawn in national office

Ref document number: 1999967864

Country of ref document: EP