WO2021103589A1

WO2021103589A1 - 信令分析方法和相关装置

Info

Publication number: WO2021103589A1
Application number: PCT/CN2020/102680
Authority: WO
Inventors: 秦臻; 饶思维; 叶强; 吕佳; 田光见
Original assignee: 华为技术有限公司
Priority date: 2019-11-25
Filing date: 2020-07-17
Publication date: 2021-06-03
Also published as: CN112838943B; US20220286263A1; CN112838943A

Abstract

本申请实施例公开了一种信令分析方法和相关装置，涉及人工智能领域，具体涉及信令异常检测领域，该方法包括：获取待测信令流程，所述待测信令流程包括N条信令，所述N为大于1的整数；分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列；所述第一特征序列包括N个第一特征向量，所述N个第一特征向量与所述N条信令一一对应；将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果，所述第一异常检测结果指示所述待测信令流程正常或者异常；能够覆盖由信元错误引发的异常，并在不同协议间复用。

Description

信令分析方法和相关装置

本申请要求于2019年11月25日提交中国国家知识产权局、申请号为201911168167.8、申请名称为“信令分析方法和相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及人工智能领域，尤其涉及一种信令分析方法和相关装置。

背景技术

为了使通信网络中的各种设备间能协调运转，信令作为设备间传递的一种控制指令，它不仅可以说明设备自身的运行情况，还可以提出对相关设备的接续要求。例如，当用户打电话时，指令需要按照特定协议的封装发送给对方，使对方能够识别并进行处理。指令的信息包含主叫方、被叫方以及音频格式等多种信息，使对方能够完成指令的要求；被叫方需要对指令进行回应，指示指令完成的情况，使通信双方知晓彼此的运行情况。作为记载业务流程最细粒度的数据，运维中的很多故障问题都需要分析信令数据才能完成异常识别、故障问题定界等工作。

实际的信令数据分析具有以下三大特点。首先，数据分析规模大。工程师单次需要分析的信令数据常达数千、甚至上万条。其次，信令数据内容复杂。不仅不同协议的信令格式不同，而且每条信令除包含消息类型信息外，还包含至少几十个具有不同业务含义的信元。最后，不同协议背后互不相同的业务逻辑让信令分析变得更加复杂，其往往需要有丰富的业务知识和经验作为支撑。

目前的信令分析方法和装置都只能满足某一特定信令协议的应用需要，难以在不同协议间复用。考虑到通信网络的故障信令分析常需涉及多个域内的多种不同协议，它们通常的解决方案是为不同协议分别定制相应的信令分析装置。这种方式会导致资源的浪费与维护的困难。因此，需要研究能够在不同协议间复用的信令分析方法。

发明内容

本申请实施例公开了一种信令分析方法和相关装置，能够覆盖由信元错误引发的异常，并在不同协议间复用。

第一方面，本申请实施例提供了一种信令分析方法，该方法包括：获取待测信令流程，所述待测信令流程包括N条信令，所述N为大于1的整数；分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列；所述第一特征序列包括N个第一特征向量，所述N个第一特征向量与所述N条信令一一对应；将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果，所述第一异常检测结果指示所述待测信令流程正常或者异常。

本申请实施例的执行主体可以是服务器、计算机、云化网元等具备数据处理功能的设备。可选的，所述待测信令流程中的各信令均对应于同一协议以及同一接口。一个信令对应的接口是指产生该信令的接口。接口是指通信网络中两个系统之间的边界，由特定的协议或规范进行定义，用于确保边界处的格式、功能、信号和互连的兼容性。该待测信令流程中的各信令采用的协议可以是会话发起协议(Session Initiation Protocol，SIP)，也可以是S1应用协议(S1Application Protocol，S1AP)，还可以是其他信令协议，本申请不作限定。也就是说，本申请实施例提供的信令分析方法适用于不同的协议，即可在不同协议间复用。由于该第一特征序列中的各第一特征向量是由其对应的信令包括的消息类型和信元进行特征构造得到，将该第一特征序列输入至第一信令异常检测模型进行异常检测处理，可以分析出消息类型以及信元是否发生异常。可见，本申请实施例提供的方法能够全面覆盖由信元错误引发的异常。因此，本申请实施例提供的方法能够覆盖由信元错误引发的异常，并在不同协议间复用。

在一个可选的实现方式中，所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列之前，所述方法还包括：分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列；所述第二特征序列包括N个第二特征向量，所述N个第二特征向量与所述N条信令一一对应；将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果，所述第二异常检测结果指示所述待测信令流程正常或者异常；所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列包括：在所述第二异常检测结果指示所述待测信令流程正常的情况下，分别对所述N条信令中每一条信令进行所述第一特征构造，得到所述第一特征序列。

将第二特征序列输入至第二信令异常检测模型进行异常检测处理可以理解为基于消息类型的粗粒度(Coarse-level)异常检测；将第一特征序列输入至第一信令异常检测模型进行异常检测处理可以理解为基于消息类型和信元的细粒度(Fine-level)异常检测。也就是说，将第二特征序列输入至第二信令异常检测模型进行异常检测处理(即第一轮异常检测)相比于将第一特征序列输入至第一信令异常检测模型进行异常检测处理(即第二轮异常检测)，所花费处理的时间要短，但是异常检测的准确率较低。若仅采用第一信令异常检测模型进行异常检测，异常检测的准确率较高，但是检测效率较低；若仅采用第二信令异常检测模型进行异常检测，异常检测的准确率较低，但是检测效率较高。可见，仅采用一种信令异常检测模型进行异常检测，难以同时兼顾检测效率和准确率。由于采用第二信令异常检测模型进行异常检测所消耗的时间很短且可以准确地检测出大部分异常，因此可以先采用第二信令异常检测模型进行异常检测；在采用第二信令异常检测模型未检测出待测信令流程异常之后，再采用第一信令异常检测模型进行异常检测。在采用第二信令异常检测模型检测出待测信令流程异常之后，不再采用第一信令异常检测模型进行异常检测。在该实现方式中，通过先采用第二信令异常检测模型进行异常检测，在采用第二信令异常检测模型未检测出待测信令流程异常之后，再采用第一信令异常检测模型进行异常检测的方式，能够兼顾检测效率和准确率。

在一个可选的实现方式中，所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列包括：按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列。

在一个可选的实现方式中，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列包括：将第一消息类型和目标信元的组合作为一个整体进行特征构造，得到第一向量；所述第一消息类型为第一信令包括的消息类型，所述目标信元为所述第一信令包括的信元，所述第一信令为所述N条信令中的任一条信令，所述第一向量包含于所述第一特征序列。

信令分析装置可将每条信令包括的消息类型和信元的组合作为一个单词进行特征构造以得到每条信令对应的第一特征向量。也就是说，信令分析装置可以将每种消息类型和信元的组合看作一个单词，利用自然语言处理(Natural Language Processing，NLP)中对单词的特征构造方法进行特征构造。其中，对单词的特征构造方法包括但不仅限于独热编码(One-hot)、词袋编码(Bag of Words，BoW)。在该实现方式，通过将信令包括的消息类型和信元的组合作为一个单词进行特征构造，能够将任意信令转换为特征向量，适用于不同协议下的信令。

在一个可选的实现方式中，所述目标信元包括指示所述第一信令的发送原因的信元。

可选的，所述目标信元仅包括指示所述第一信令的发送原因的信元。一个信令中指示该信令发送原因的信元可以称为cause类信元，例如GTPv2-C协议中指示业务成功或失败原因的cause信元，diameter协议中指示eMM业务情况的eMM-cause信元。diameter协议是国际互联网工程任务组(The Internet Engineering Task Force，IETF)开发的新一代aaa协议。在该实现方式中，通过对第一信令包括的消息类型和目标信元的组合作为一个单词进行特征构造，能够提高异常检测的准确率。

在一个可选的实现方式中，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列包括：将第二信令中的M个信元作为自然语言处理NLP算法中包括一个或多个单词的文本进行特征构造，得到第二向量；所述第二信令为所述N条信令中的任一条信令，所述第二向量包含于所述第一特征序列，所述M为大于1的整数。

所述M个信元为所述第二信令的消息内容中的所有信元或部分信元。在该实现方式中，将第二信令中的M个信元作为包括一个或多个单词的文本进行特征构造得到第二向量，以便于利用包括第二向量的第一特征序列进行异常检测时能够检测出信元发生异常的情况。

在一个可选的实现方式中，所述分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列包括：按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列。

在一个可选的实现方式中，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列包括：将第二消息类型作为自然语言处理NLP算法中的一个单词进行特征构造，得到第三向量；所述第二消息类型为第三信令包括的消息类型，所述第三信令为所述N条信令中的任一条信令，所述第三向量包含于所述第二特征序列。

在该实现方式中，通过将信令包括的消息类型作为一个单词进行特征构造，能够将任意信令转换为特征向量，以便于利用包括第三向量的第二特征序列进行异常检测时能够检测出消息类型发生异常的情况。

在一个可选的实现方式中，所述第一特征序列中的第F个第一特征向量与所述N条信令中的第F条信令相对应；所述将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果包括：在第F轮异常检测处理中，将第三特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第一集合；所述第一集合包括至少一个消息类型和信元的组合，所述第三特征序列中的特征向量依次为所述第一特征序列中的第(F-K)个第一特征向量至第(F-1)个第一特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；在所述N条信令中的第F条信令的消息类型和信元的组合未包含于所述第一集合的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程异常。

应理解，所述第一集合中的组合均为预测得到的所述第F条信令的消息类型和信元的组合。可选的，针对第一特征序列中的各特征向量，从该第一特征序列的第1个特征向量开始，信令分析装置可以利用窗长为w、步长为1的滑动窗进行逐条检测。w为大于1的整数。其中，信令分析装置可以在第一特征序列的第1个第一特征向量前填补w个占位符，用于预测该第一特征序列中的第1个第一特征向量。信令分析装置进行异常检测时，将第一特征序列中的第(t-w)个第一特征向量至第(t-1)个第一特征向量输入到第一信令异常检测模型进行异常检测处理，可得到至少一个第t条信令可能的消息类型与第t条信令可能的信元的组合(对应于第一集合)。若待测信令流程中的第t条信令的消息类型和信元的组合不包含于预测得到的至少一个消息类型和信元的组合内，即可确定该待测信令流程异常。也就是说，信令分析装置可以利用第t条信令前面的w条信令(对应于第一特征序列中的第(t-w)个第一特征向量至第(t-1)个第一特征向量)来检测第t条信令是否异常。第一信令异常检测模型可以是N元模型(N-Gram)、神经网络语言模型(Neural Network Language Model,NNLM)等。该第一信令异常检测模型可以是利用正常的信令流程进行无监督学习得到的。正常的信令流程是指未发生异常的信令流程。

在该实现方式中，信令分析装置可准确、快速地检测出发生异常的信令。

在一个可选的实现方式中，所述方法还包括：在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F等于所述N的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程正常。

在该实现方式中，可及时输出异常检测结果，并停止异常检测流程。

在一个可选的实现方式中，所述第二特征序列中的第F个第二特征向量与所述N条信令中的第F条信令相对应；所述将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果包括：在第F轮异常检测处理中，将第四特征序列输入至所述第二信令异常检测模型进行异常检测处理，得到第二集合；所述第二集合包括至少一个消息类型，所述第四特征序列中的特征向量依次为所述第二特征序列中的第(F-K)个第二特征向量至第(F-1)个第二特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；在所述N条信令中的第F条信令的消息类型未包含于所述第二集合的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程异常。

在该实现方式中，信令分析装置每轮检测一条信令，可快速地检测出发生异常的信令，并且不会遗漏任一个信令。

在一个可选的实现方式中，所述方法还包括：在所述第F条信令的消息类型包含于所述第二集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；在所述第F条信令的消息类型包含于所述第二集合，且所述F等于所述N的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常。

在一个可选的实现方式中，所述将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果之后，所述方法还包括：在所述第一异常检测结果指示所述待测信令流程异常的情况下，确定所述待测信令流程中发生异常的位置。

在该实现方式中，在检测到待测信令流程异常时，可进一步确定待测信令流程中发生异常的位置。

在一个可选的实现方式中，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述确定所述待测信令流程中发生异常的位置包括：在第H轮信令异常定位中，将第五特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第三集合；所述第三集合包括至少一个消息类型和信元的组合，所述第五特征序列中的特征向量依次为所述第一特征序列中的第(H-L)个第一特征向量至第(H-1)个第一特征向量；所述H为大于1的整数，所述L为大于1且小于所述H的整数；在所述N条信令中的第H条信令的消息类型和信元的组合未包含于所述第三集合的情况下，确定所述第H条信令发生异常。

在该实现方式中，可准确地从待测信令流程中确定出发生异常的信令。

在一个可选的实现方式中，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述确定所述待测信令流程中发生异常的位置包括：获得所述N条信令对应的异常概率序列，所述异常概率序列中的第G个概率表示所述N个信令中的前(D+G)个信令中包括异常信令的概率，所述G和所述D均为大于0的整数；根据所述异常概率序列，确定所述待测信令流程中发生异常的位置。

该异常概率序列中的第G个概率表示所述N个信令中的前(D+G)个信令中包括异常信令的概率。也就是说，该异常概率序列可反映待测信令流程的异常程度变化。因此，可通过分析待测信令流程的异常程度变化进行异常信令的区间定位。

在该实现方式中，根据N条信令对应的异常概率序列来确定待测信令流程中发生异常的位置，可以准确地确定待测信令流程中发生异常的位置。

在一个可选的实现方式中，所述获得所述N条信令对应的异常概率序列包括：将第六特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到所述异常概率序列中的所述第G个概率；所述第六特征序列包括的特征向量依次为所述第一特征序列中的前(D+G)个第一特征向量。

在该实现方式中，可以快速、准确地获得N条信令对应的异常概率序列。

在一个可选的实现方式中，所述根据所述异常概率序列，确定所述待测信令流程中发生异常的位置包括：在所述异常概率序列中的所述第G个概率与第(G-1)个概率的差值大于概率阈值的情况下，确定第一信令区间的信令发生异常，所述第一信令区间包括所述N条信令中的第(G+D-1)至第N条信令，所述G为大于1的整数；在所述异常概率序列中的各概率均不小于其前面的概率的情况下，确定第二信令区间中的信令发生异常；所述第二信令区间包括所述N条信令中的第(P+D)至第N条信令，所述异常概率序列中第P个概率与第(P+1)个概率的差值不小于所述异常概率序列中任意两个相邻概率的差值，所述P为大于0的整数；在所述异常概率序列中的概率存在由第一值递增至第二值且保持所述第二值之前由第三值递减至所述第一值的情况下，确定第三信令区间中的信令发生异常；所述第一值小于第一阈值，所述第二值和所述第三值均大于第二阈值，所述第一阈值小于所述第二阈值，所述第三信令区间包括所述N条信令中的第(Q+D)至第N条信令，所述异常概率序列中的第Q个概率为所述异常概率曲线中最后一个上升段的起点的概率，所述Q为大于0的整数；在所述异常概率序列中的各概率均不小于所述概率阈值的情况下，确定第四信令区间中的信令发生异常，所述第四信令区间包括所述N个信令中的第D个信令至第N个信令。所述第一阈值可以是0.2、0.25、0.3等，所述第二阈值可以是0.6、0.75、0.8等。

在该实现方式中，可以准确地确定待测信令流程中发生异常的位置。

在一个可选的实现方式中，所述获取待测信令流程之前，所述方法还包括：采集信令数据；所述信令数据包括所述N条信令；解析所述信令数据中的每条信令，得到每条信令对应的接口、时间戳、协议以及流程标识；将所述信令数据中对应的接口、协议以及流程标识均相同的信令分到相同组，得到至少一组信令；按照目标组信令中各信令包括的时间戳的先后顺序对所述目标组信令中的各信令进行先后排序，得到所述待测信令流程，所述目标组信令为所述至少一组信令中任一组信令。

在该实现方式中，可准确、快速地筛选出属于同一信令流程的信令，进而得到待测信令流程。

第二方面，本申请实施例提供了一种训练方法，该方法包括：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一向量序列；所述第一向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第一向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第一训练特征序列输入至第一训练模型进行无监督学习，得到第一信令异常检测模型；所述第一训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。所述第一信令异常检测模型可以是NNLM，也可以是其他序列模型，本申请不作限定。

本申请实施例中，可以训练得到一个利用一条信令的前W条信令对应的特征向量预测该条信令的消息类型和信元的第一信令异常检测模型，训练效率高。

第三方面，本申请实施例提供了一种训练方法，该方法包括：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二向量序列；所述第二向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第二向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第二训练特征序列输入至第二训练模型进行无监督学习，得到第二信令异常检测模型；所述第二训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。所述第二信令异常检测模型可以是NNLM，也可以是其他序列模型，本申请不作限定。

本申请实施例中，可以训练得到一个利用一条信令的前W条信令对应的特征向量预测该条信令的消息类型的第二信令异常检测模型，训练效率高。

第四方面，本申请实施例提供了一种训练方法，该方法包括：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一训练样本；所述第一训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第一训练样本和第一标注信息输入至第三训练模型进行异常检测处理，得到第一异常检测处理结果；所述第一异常检测处理结果指示所述第一训练样本为正常信令流程或者异常信令流程；根据所述第一异常检测处理结果和第一标准结果，确定所述第一训练样本对应的损失；所述第一标准结果为所述第一标注信息指示的所述第一训练样本的真实结果；利用所述第一训练样本对应的损失，通过优化算法更新所述第三训练模型的参数，得到第一信令异常检测模型。所述第三训练模型可以是循环神经网络(Recurrent Neural Networks，RNN)、长短时记忆(Long Short-Term Memory，LSTM)模型，也可以是其他模型，本申请不作限定。第三训练模型训练得到的模型为上述第一信令异常检测模型。该训练信令流程可以是任意信令流程。在实际应用中，训练装置可采用带标注的正常信令流程与异常信令流程来训练得到第一信令异常检测模型。

本申请实施例中，利用带标注的正常信令流程与异常信令流程来训练第三训练模型，以便于训练得到的第一信令异常检测模型能够准确地检测各信令流程是否异常。

第五方面，本申请实施例提供了一种训练方法，该方法包括：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二训练样本；所述第二训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第二训练样本和第二标注信息输入至第四训练模型进行异常检测处理，得到第二异常检测处理结果；所述第二异常检测处理结果指示所述第二训练样本为正常信令流程或者异常信令流程；根据所述第二异常检测处理结果和第二标准结果，确定所述第一训练样本对应的损失；所述第二标准结果为所述第二标注信息指示的所述第二训练样本的真实结果；利用所述第二训练样本对应的损失，通过优化算法更新所述第四训练模型的参数，得到第二信令异常检测模型。

所述第四训练模型可以是RNN，也可以是LSTM模型，还可以是其他模型，本申请不作限定。第四训练模型训练得到的模型为上述第二信令异常检测模型。该训练信令流程可以是任意信令流程。在实际应用中，训练装置可采用带标注的正常信令流程与异常信令流程来训练得到第二信令异常检测模型。

本申请实施例中，利用带标注的正常信令流程与异常信令流程来训练第四训练模型，以便于训练得到的第二信令异常检测模型能够准确地检测各信令流程是否异常。

第六方面，本申请实施例提供了一种信令分析装置，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：获取待测信令流程，所述待测信令流程包括N条信令，所述N为大于1的整数；分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列；所述第一特征序列包括N个第一特征向量，所述N个第一特征向量与所述N条信令一一对应；将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果，所述第一异常检测结果指示所述待测信令流程正常或者异常。

在一个可选的实现方式中，所述处理器，还用于分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列；所述第二特征序列包括N个第二特征向量，所述N个第二特征向量与所述N条信令一一对应；将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常或者异常；所述处理器，具体用于在所述第二异常检测结果指示所述待测信令流程正常的情况下，分别对所述N条信令中每一条信令进行所述第一特征构造，得到所述第一特征序列。

在一个可选的实现方式中，所述处理器，具体用于按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列。

在一个可选的实现方式中，所述处理器，具体用于将第一消息类型和目标信元的组合作为一个整体进行特征构造，得到第一向量；所述第一消息类型为第一信令包括的消息类型，所述目标信元为所述第一信令包括的信元，所述第一信令为所述N条信令中的任一条信令，所述第一向量包含于所述第一特征序列。

在一个可选的实现方式中，所述处理器，具体用于将第二信令中的M个信元作为自然语言处理NLP算法中包括一个或多个单词的文本进行特征构造，得到第二向量；所述第二信令为所述N条信令中的任一条信令，所述第二向量包含于所述第一特征序列，所述M为大于1的整数。

在一个可选的实现方式中，所述处理器，具体用于按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列。

在一个可选的实现方式中，所述处理器，具体用于将第二消息类型作为自然语言处理NLP算法中的一个单词进行特征构造，得到第三向量；所述第二消息类型为第三信令包括的消息类型，所述第三信令为所述N条信令中的任一条信令，所述第三向量包含于所述第二特征序列。

在一个可选的实现方式中，所述处理器，具体用于在第F轮异常检测处理中，将第三特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第一集合；所述第一集合包括至少一个消息类型和信元的组合，所述第三特征序列中的特征向量依次为所述第一特征序列中的第(F-K)个第一特征向量至第(F-1)个第一特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；在所述N条信令中的第F条信令的消息类型和信元的组合未包含于所述第一集合的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程异常。

在一个可选的实现方式中，所述处理器，还用于在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F等于所述N的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程正常。

在一个可选的实现方式中，所述第二特征序列中的第F个第二特征向量与所述N条信令中的第F条信令相对应；所述处理器，具体用于在第F轮异常检测处理中，将第四特征序列输入至所述第二信令异常检测模型进行异常检测处理，得到第二集合；所述第二集合包括至少一个消息类型，所述第四特征序列中的特征向量依次为所述第二特征序列中的第(F-K)个第二特征向量至第(F-1)个第二特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；在所述N条信令中的第F条信令的消息类型未包含于所述第二集合的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程异常。

在一个可选的实现方式中，所述处理器，还用于在所述第F条信令的消息类型包含于所述第二集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；在所述第F条信令的消息类型包含于所述第二集合，且所述F等于所述N的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常。

在一个可选的实现方式中，所述处理器，还用于在所述第一异常检测结果指示所述待测信令流程异常的情况下，确定所述待测信令流程中发生异常的位置。

在一个可选的实现方式中，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述处理器，具体用于在第H轮信令异常定位中，将第五特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第三集合；所述第三集合包括至少一个消息类型和信元的组合，所述第五特征序列中的特征向量依次为所述第一特征序列中的第(H-L)个第一特征向量至第(H-1)个第一特征向量；所述H为大于1的整数，所述L为大于1且小于所述H的整数；在所述N条信令中的第H条信令的消息类型和信元的组合未包含于所述第三集合的情况下，确定所述第H条信令发生异常。

在一个可选的实现方式中，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述处理器，具体用于获得所述N条信令对应的异常概率序列，所述异常概率序列中的第G个概率表示所述N个信令中的前(D+G)个信令中包括异常信令的概率，所述G和所述D均为大于0的整数；根据所述异常概率序列，确定所述待测信令流程中发生异常的位置。

在一个可选的实现方式中，所述处理器，具体用于将第六特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到所述异常概率序列中的所述第G个概率；所述第六特征序列包括的特征向量依次为所述第一特征序列中的前(D+G)个第一特征向量。

在一个可选的实现方式中，所述处理器，具体用于在所述异常概率序列中的所述第G个概率与第(G-1)个概率的差值大于概率阈值的情况下，确定第一信令区间的信令发生异常，所述第一信令区间包括所述N条信令中的第(G+D-1)至第N条信令，所述G为大于1的整数；在所述异常概率序列中的各概率均不小于其前面的概率的情况下，确定第二信令区间中的信令发生异常；所述第二信令区间包括所述N条信令中的第(P+D)至第N条信令，所述异常概率序列中第P个概率与第(P+1)个概率的差值不小于所述异常概率序列中任意两个相邻概率的差值，所述P为大于0的整数；在所述异常概率序列中的概率存在由第一值递增至第二值且保持所述第二值之前由第三值递减至所述第一值的情况下，确定第三信令区间中的信令发生异常；所述第一值小于第一阈值，所述第二值和所述第三值均大于第二阈值，所述第一阈值小于所述第二阈值，所述第三信令区间包括所述N条信令中的第(Q+D)至第N条信令，所述异常概率序列中的第Q个概率为所述异常概率曲线中最后一个上升段的起点的概率，所述Q为大于0的整数；在所述异常概率序列中的各概率均不小于所述概率阈值的情况下，确定第四信令区间中的信令发生异常，所述第四信令区间包括所述N个信令中的第D个信令至第N个信令。

在一个可选的实现方式中，所述处理器，还用于采集信令数据；所述信令数据包括所述N条信令；解析所述信令数据中的每条信令，得到每条信令对应的接口、时间戳、协议以及流程标识；将所述信令数据中对应的接口、协议以及流程标识均相同的信令分到相同组，得到至少一组信令；按照目标组信令中各信令包括的时间戳的先后顺序对所述目标组信令中的各信令进行先后排序，得到所述待测信令流程，所述目标组信令为所述至少一组信令中任一组信令。

第七方面，本申请实施例提供了一种训练装置，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一向量序列；所述第一向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第一向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第一训练特征序列输入至第一训练模型进行无监督学习，得到第一信令异常检测模型；所述第一训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。

第八方面，本申请实施例提供了一种训练装置，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二向量序列；所述第二向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第二向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第二训练特征序列输入至第二训练模型进行无监督学习，得到第二信令异常检测模型；所述第二训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。

第九方面，本申请实施例提供了一种训练装置，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一训练样本；所述第一训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第一训练样本和第一标注信息输入至第三训练模型进行异常检测处理，得到第一异常检测处理结果；所述第一异常检测处理结果指示所述第一训练样本为正常信令流程或者异常信令流程；根据所述第一异常检测处理结果和第一标准结果，确定所述第一训练样本对应的损失；所述第一标准结果为所述第一标注信息指示的所述第一训练样本的真实结果；利用所述第一训练样本对应的损失，通过优化算法更新所述第三训练模型的参数，得到第一信令异常检测模型。

第十方面，本申请实施例提供了一种训练装置，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二训练样本；所述第二训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第二训练样本和第二标注信息输入至第四训练模型进行异常检测处理，得到第二异常检测处理结果；所述第二异常检测处理结果指示所述第二训练样本为正常信令流程或者异常信令流程；根据所述第二异常检测处理结果和第二标准结果，确定所述第一训练样本对应的损失；所述第二标准结果为所述第二标注信息指示的所述第二训练样本的真实结果；利用所述第二训练样本对应的损失，通过优化算法更新所述第四训练模型的参数，得到第二信令异常检测模型。

第十一方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质存储有计算机程序，该计算机程序包括程序指令，该程序指令当被处理器执行时使该处理器执行上述第一方面至第五方面以及任一种可选的实现方式的方法。

第十二方面，本申请实施例提供了一种计算机程序产品，该计算机程序产品包括程序指令，该程序指令当被处理器执行时使该信处理器执行上述第一方面至第五方面以及任一种可选的实现方式的方法。

附图说明

图1A为本申请实施例提供的一种信令分析系统的网络架构示意图；

图1B为本申请实施例提供的一种信令分析装置示意图；

图2为本申请实施例提供的一种信令分析方法流程图；

图3为本申请实施例提供的一种信令异常定位方法流程图；

图4为本申请实施例提供的一种信令数据预处理方法流程图；

图5为本申请实施例提供的一种信令异常检测方法流程图；

图6为本申请实施例提供的一种特征构造示意图；

图7为本申请实施例提供的另一种信令异常检测方法流程图；

图8为本申请实施例提供的另一种特征构造示意图；

图9为本申请实施例提供的一种异常定位过程示意图；

图10为本申请实施例提供的一种信令异常定位方法流程图；

图11为本申请实施例提供的一种构建异常评估曲线的示意图；

图12为本申请实施例提供的一种信令异常检测和定位方法流程图；

图13为本申请实施例提供的一个待测信令流程的异常评估曲线；

图14为本申请实施例提供的另一种信令异常检测和定位方法流程图；

图15为本申请实施例提供的一种训练装置的结构示意图；

图16为本申请实施例提供的一种信令分析装置的结构示意图。

具体实施方式

本申请的说明书实施例和权利要求书及上述附图中的术语“第一”、“第二”、和“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。“和/或”用于表示在其所连接的两个对象之间选择一个或全部。例如“A和/或B”表示A、B或A+B。下面先介绍一下本申请所用到的一些术语。

流程：在通信网络中各个设备之间传递的，由对呼叫、承载和连接等业务功能进行控制的信令消息所组成的控制流称之成为信令流程。

域：通常指信息技术(Information Technology，IT)基础资源的一个逻辑划分，用于对基础资源进行规划和管理，不同域的业务不同，使用的通信协议也不同。

接口：通信网络中两个系统之间的边界，由特定的协议或规范进行定义，用于确保边界处的格式、功能、信号和互连的兼容性。

信元：信令消息承载的信息单元，由具体信令所遵从的协议定义其含义，按照协议定义的方式封装成信令消息。具体内容如业务类型指示、承载建立参数、用户标识等。

Coarse-Fine：一种常见的先粗颗粒度(Coarse-level)、再细颗粒度(Fine-level)的分层分析方法。

控制面信令：通常指通信网络中为用户建立业务的控制型信令数据。

目前的信令分析方法和信令分析装置都只能满足某一特定信令协议的应用需要，难以在不同协议间复用。考虑到通信网络中的信令故障分析常涉及多个域内的多种不同协议，当前通常的解决方案是为不同协议分别定制相应的信令分析装置。这种方式会导致资源的浪费与维护的困难。此外，这些信令分析方法和装置难以全面覆盖由信元错误引发的异常，导致信令异常分析的覆盖面不全。在此背景下，本申请提出了基于数据驱动的智能化分析信令方法与装置，适用于通信网络控制面的所有信令协议，它能够极大的提升分析信令数据的效率，降低分析成本，在运维领域中产生巨大的应用价值。

本申请实施例提供的信令分析方法能够应用在信令异常检测、信令异常定位等场景。下面分别对申请实施例提供的信令分析方法在信令异常检测场景和信令异常定位场景中的应用进行简单的介绍。

信令异常检测场景：信令分析装置实时对从通信网络中采集到的信令数据进行异常检测，在检测到任一信令流程发生异常之后，输出相应的异常检测结果，以便于运维人员及时获知发生异常的信令流程。也就是说，信令分析装置可实时分析是否有发生异常的信令流程，在检测到发生异常的信令流程时，向运维人员发送异常检测结果，以便于运维人员及时获知发生异常的信令流程。

信令异常定位场景：信令分析装置实时对从通信网络中采集到的信令数据进行异常检测，在检测到任一信令流程发生异常之后，进一步确定该信令流程中发生异常的信令区间，并向运维人员发送指示该信令区间中的信令发生异常的信息，以便于运维人员有针对性的解决信令异常的问题。

图1A为本申请实施例提供的一种信令分析系统的网络架构示意图，如图1A所示，该信令分析系统包括信令采集装置和信令分析装置。该信令采集装置包括信令获取模块101和信令预处理模块102，该信令分析装置包括信令异常检测模块103、信令异常定位模块104以及分析结果输出模块105。其中，信令异常定位模块104是可选的。也就是说，信令分析装置可不包括信令异常定位模块104。该信令采集装置，用于从通信网络中采集信令数据；从采集的信令数据中提取出待测信令流程，并发送至信令分析装置。该信令分析装置用于实现信令异常检测以及信令异常定位(即确定发生异常的信令区间)。后续再详述各模块的功能。

图1B为本申请实施例提供的一种信令分析装置示意图，如图1B所示，该信令分析装置包括信令获取模块101、信令预处理模块102、信令异常检测模块103、信令异常定位模块104以及分析结果输出模块105。其中，信令异常定位模块104是可选的。对比图1A和图1B可知，信令分析装置可独立实现信令异常检测，也可以同其他装置相配合来实现信令异常检测。应理解，图1A和图1B中的信令分析装置为两种可选的实现方式。下面对图1A和图1B中各模块进行介绍。

信令获取模块101：完成通信网络中待分析信令数据的采集，即采集信令数据。

信令预处理模块102：针对获取到的信令数据，先解析出和信令分析相关的信息，再以信令流程为单位提取出待测信令流程。

信令异常检测模块103：通过分析信令中的消息类型与消息内容，实现了一套高效且准确的coarse-fine信令异常检测。其中，根据训练数据的标注情况，分别提供了有监督和无监督两套异常检测方式。

信令异常定位模块104：针对信令异常检测模块103检测出的异常信令流程，实现了一套可解释的异常信令定位方式。其中，根据训练数据的标注情况，分别提供了有监督和无监督两套异常定位方式。

分析结果输出模块105：将信令异常检测模块103和信令异常定位模块104的结果整理输出。

后续再详述各模块的实现方式，这里先不作详述。

图2为本申请实施例提供的一种信令分析方法流程图，如图2所示，该方法可包括：

201、信令分析装置获取待测信令流程。

上述待测信令流程包括N条信令，上述N条信令中任一条信令包括消息类型和信元，上述N为大于1的整数。该信令分析装置可以是服务器、计算机、云化网元等具备数据处理功能的设备。可选的，上述待测信令流程中的各信令均对应于同一协议以及同一接口。可选的，信令分析装置中的信令获取模块101和信令预处理模块102来实现步骤201。

在一些实施例中，信令分析装置在执行步骤201之前，可执行如下操作：采集信令数据；上述信令数据包括上述N条信令；解析上述信令数据中的每条信令，得到每条信令对应的接口、时间戳、协议以及流程标识；将上述信令数据中对应的接口、协议以及流程标识均相同的信令分到相同组，得到至少一组信令；按照目标组信令中各信令包括的时间戳的先后顺序对上述目标组信令中的各信令进行先后排序，得到上述待测信令流程，上述目标组信令为上述至少一组信令中任一组信令。

202、分别对N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列。

上述第一特征序列包括N个第一特征向量，上述N个第一特征向量与上述N条信令一一对应。在一些实施例中，步骤202可替换为：分别对N条信令中每一条信令包括的各信元进行第一特征构造，得到第一特征序列。后续再详述由信令包括的消息类型和信元进行特征构造得到特征向量的实现方式。

203、将上述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果。

上述第一异常检测结果指示上述待测信令流程正常或者异常。该第一信令异常检测模型可以是通过无监督学习得到的模型，也可以是通过监督学习得到的模型。可选的，信令分析装置利用信令异常检测模块103执行步骤202和步骤203。可选的，在上述第一异常检测结果指示上述待测信令流程异常的情况下，向运维人员发送上述第一异常检测结果，以便于运维人员及时获知发生异常的信令流程。

本申请实施例提供的方法能够覆盖由消息类型以及信元错误引发的异常，并且能够在不同协议间复用。

为了在保证异常检测准确率的情况下提高检测效率，信令分析装置可利用信令异常检测模块103先进行第一轮基于消息类型的coarse-level异常检测，若第一轮检测未检测到异常，则再进行第二轮基于消息类型和信元的fine-level异常检测。在一个可选的实现方式中，信令分析装置在执行步骤202之前，执行如下操作：分别对上述N条信令进行第二特征构造，得到第二特征序列；将上述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果；上述第二异常检测结果指示上述待测信令流程正常或者异常。信令分析装置可以在上述第二异常检测结果指示上述待测信令流程正常的情况下，执行步骤203。上述第二特征序列包括N个第二特征向量，上述N个第二特征向量与上述N条信令一一对应，上述N个第二特征向量中参考特征向量由对上述参考特征向量对应的信令包括的消息类型进行特征构造得到，上述参考特征向量为上述N个第二特征向量中的任一向量。

在该实现方式中，coarse-level的第一轮异常检测可以在保证召回率、较高准确率的情况下提高检测效率，而fine-level的第二轮异常检测则可以更进一步提高整体召回率。

图2仅描述了信令分析装置实现信令异常检测的方法流程。在一些实施例中，信令分析装置在检测到待测信令流程发生异常之后，还可以确定该待测信令流程中发生异常的位置，即异常信令区间。可选的，信令分析装置可采用信令异常定位模块104确定该待测信令流程中发生异常的位置。在一些实施例中，信令分析装置可包括无监督的信令异常检测模块201、有监督的信令异常检测模块202、无监督的信令异常定位模块203以及有监督的信令异常定位模块204。也就是说，在一些实施例中，信令异常检测模块103可包括监督的信令异常检测模块201和有监督的信令异常检测模块202，信令异常定位模块104可无监督的信令异常定位模块203以及有监督的信令异常定位模块204。

下面介绍信令分析装置在检测到待测信令流程发生异常之后，进行信令异常定位的一个实施例。

图3为本申请实施例提供的一种信令异常定位方法流程图，如图3所示，该方法包括：

301、信令分析装置获取信令数据。

可选的，信令分析装置中的信令获取模块101获取通信网络中待分析的信令数据。在一些实施例中，信令获取模块101利用设备厂商发布的信令采集工具或者网络抓包工具或者专用信令仪从通信网络中采集信令数据。其中，采集到的信令数据可以来自但不仅限于无线域、电路交换(Circuit Switched)域、分组交换(Packet Switched)域、IP多媒体子系统(IP MultimediaSubsystem，IMS)域的交互控制类型的信令数据。

302、信令分析装置对上述信令数据进行预处理得到待测信令流程。

可选的，信令分析装置中的信令预处理模块102对上述信令数据进行预处理得到待测信令流程。后续再详述步骤302的实现方式。该待测信令流程包括N条信令，上述N条信令均属于同一信令流程，上述N条信令中任一条信令包括消息类型和信元，上述N为大于1的整数。在一些实施例中，信令预处理模块102可以先对信令数据进行解析，得到和信令分析相关的协议、接口、时间戳、流程标识符、消息类型和消息内容；再根据协议、接口、时间戳和流程标识符提取出待测信令流程。

303、信令分析装置判断有监督的信令异常检测模块202对该待测信令流程进行异常的准确率是否高于目标阈值。

若是，执行步骤307；若否，执行步骤304。该目标阈值可以是80％、90％、95％等。在一些实施例中，信令分析装置可存储有有监督的信令异常检测模块202对该待测信令流程进行异常检测的准确率。可以理解，若有监督的信令异常检测模块202对该待测信令流程进行异常检测的准确率低于目标阈值，则采用无监督的信令异常检测模块202对该待测信令流程进行异常检测；否则，采用有监督的信令异常检测模块202对该待测信令流程进行异常检测。在实际应用中，信令分析装置可存储有监督的信令异常检测模块202对各信令流程进行异常检测的准确率。

304、信令分析装置采用无监督的信令异常检测模块201对该待测信令流程进行异常检测。

可选的，无监督的信令异常检测模块201先基于该待测信令流程中各信令的消息类型进行第一轮异常检测，再基于该待测信令流程中各信令的消息类型和信元进行第二轮异常检测。后续再详述步骤304的实现方式。

305、信令分析装置判断无监督的异常检测模块201是否检测到待测信令流程异常。

若是，执行步骤306；若否，执行步骤310。

306、信令分析装置采用无监督的信令异常定位模块203确定该待测信令流程中发生异常的位置。

307、信令分析装置采用有监督的信令异常检测模块202对该待测信令流程进行异常检测。

可选的，有监督的信令异常检测模块202先基于该待测信令流程中各信令的消息类型进行第一轮异常检测，再基于该待测信令流程中各信令的消息内容进行第二轮异常检测。后续再详述步骤307的实现方式。每个信令的消息内容包括至少一个信元。

308、信令分析装置判断有监督的异常检测模块202是否检测到待测信令流程异常。

若是，执行步骤309；若否，执行步骤310。

309、信令分析装置采用有监督的信令异常定位模块204确定该待测信令流程中发送异常的位置。

310、信令分析装置输出异常检测结果和异常定位结果。

可选的，信令分析装置的分析结果输出模块105在待测信令流程异常时，输出指示该待测信令流程正常的信息；在该待测信令流程异常时，输出该待测信令流程中发生异常的信令区间或者异常信令的位置。

在一些实施例中，信令分析装置可包括无监督的信令异常检测模块201(即信令异常检测模块103)和无监督的信令异常定位模块203(即信令异常定位模块104)，而不包括有监督的信令异常检测模块202和有监督的信令异常定位模块204。在该实施例中，信令分析装置可执行图3中的步骤301、步骤302、步骤304、步骤305、步骤306以及步骤310。

在一些实施例中，信令分析装置可包括有监督的信令异常检测模块202(即信令异常检测模块103)和有监督的信令异常定位模块204(即信令异常定位模块104)，而不包括无监督的信令异常检测模块201和无监督的信令异常定位模块203。在该实施例中，信令分析装置可执行图3中的步骤301、步骤302、步骤307、步骤308、步骤309以及步骤310。

下面分别对前面涉及的各模块的功能和实现方式进行更详细的介绍。

信令预处理模块102，用于对信令数据进行预处理以得到待测信令流程。如图4所示，信令预处理模块102执行的步骤如下：401、信令解析；402、信令流程提取。信令解析可以是：针对信令数据中的每条信令解析出和信令分析相关的信息，例如协议、接口、时间戳和流程标识符等。信令流程提取可以是：以信令流程为单位提取出待测信令流程，用于后续信令分析。示例性的，信令预处理模块可利用信令解析工具完成信令解析，基于各信令的协议、接口、时间戳和流程标识符等信息完成信令流程提取。

信令解析401：为了减少不同协议下信令数据间的差异性，例如S1AP协议下的信令消息是二进制形式而SIP协议下的信令消息是类超文本标记语言(Hyper Text Markup Language，HTML)形式，以及提高信令数据的可读性，信令预处理模块可以解析每条信令得到和信令分析相关的多种信息。表1中展示了和信令分析相关的多种信息。应理解，表1中的信息仅作为一种示例，信令预处理模块解析得到的和信令分析相关的信息不限于表1。时间戳可以是该信令消息发出/接收的时间标识，不仅限于绝对的具体时间(如2018-07-10 15:38:10.031)、通信设备上的相对的时间计数值(如1122867)。

表1

信令流程提取402：由于信令数据的分析是上下文相关的，信令预处理模块可以先根据各信令对应的协议、接口和流程标识等信息对解析后的所有信令进行分组，再按照每组信令中各信令的时间戳的先后顺序对各信令进行排序，从而得到最终的待测信令流程。每组信令中各信令对应的流程标识以及协议均相同，因此每组信令属于同一信令流程。举例来说，信令预处理模块根据各信令对应的协议、接口和流程标识等信息对解析后的所有信令进行分组，得到5组信令；然后，按照每组信令中各信令包括的时间戳的先后顺序对每组信令中的各信令进行先后排序，这样可以得到5个待测信令流程。

无监督的信令异常检测模块201，用于检测待测信令流程是否异常。当没有充足的带标注的信令数据用于模型训练时，信令分析装置可采用无监督的异常检测模块进行模型训练与异常检测。如图5所示，无监督的异常检测模块可执行如下操作：

501、无监督的信令异常检测模块对待测信令流程进行第一轮基于消息类型的coarse-level异常检测。

502、无监督的信令异常检测模块判断待测信令流程是否异常。

若是，执行步骤506；若否，执行步骤503。可选的，无监督的信令异常检测模块根据步骤501得到的异常检测结果判断待测信令流程是否异常。

503、无监督的信令异常检测模块对待测信令流程进行第二轮基于消息类型和消息内容中关键信元的fine-level异常检测。

504、无监督的信令异常检测模块判断待测信令流程是否异常。

若是，执行步骤506；若否，执行步骤505。可选的，无监督的信令异常检测模块根据步骤503得到的异常检测结果判断待测信令流程是否异常。

505、无监督的信令异常检测模块将无异常的分析结果输出至分析结果输出模块。

无异常的分析结果指示待测信令流程正常。

506、无监督的信令异常检测模块将待测信令流程输出至无监督的异常定位模块。

为了在保证异常检测准确率的情况下提高异常检测效率，无监督的信令异常检测模块201可先进行第一轮基于消息类型信息的coarse-level异常检测，若第一轮检测未检测到异常，则再进行第二轮基于消息类型和消息内容中关键信元(对应于目标信元)的fine-level异常检测。关键信元可以包括消息内容中指示信令的发送原因的信元。当以上任意一轮检测到异常时，异常的待测信令流程可直接输出至无监督的异常定位模块203进行异常定位。否则，可直接将无异常的分析结果输出至分析结果输出模块105。无监督的信令异常检测模块201的第一轮异常检测可以在保证一定召回率、较高准确率的情况下提高检测效率，而fine-level的第二轮异常检测则可以更进一步提高整体召回率。

由于通信网络中各网元间的信令交互类似于生活中人们的交互对话，最新时刻产生的信令都是以其之前时刻产生的信令作为依据的，即可看作对历史信令的响应。因此，无监督的异常检测模块实现的一种可选的方案是：利用NLP技术，基于正常信令数据建立信令异常检测模型(对应于第一信令异常检测模型和第二信令异常检测模型)，通过判断待测信令消息是否在预测信令范围内进行异常检测。正常信令数据是指未发生异常的信令流程。下面来详细描述无监督的异常检测模块进行异常检测的实现方式，即步骤501和步骤503的实现方式。

基于消息类型的异常检测：无监督的异常检测模块在接收到解析好的待测信令流程后，可以先依次对待测流程中各信令的消息类型进行特征构造，从而得到该待测流程对应的消息类型特征序列(对应于第二特征序列)。随后，利用基于消息类型的信令异常检测模型A(对应于第二信令异常检测模型)对待测信令特征序列进行coarse-level的异常检测。

第一轮特征构造：将每条信令的消息类型作为NLP算法中的一个单词，利用NLP中对单词的特征构造方法进行特征构造。其中，对单词的特征构造方法包括但不仅限于独热编码、词袋编码。无监督的异常检测模块依次对待测流程中各信令的消息类型进行特征构造，可得到一个特征序列，该特征序列中的每个特征向量对应一个消息类型。

第一轮异常检测：针对特征构造后得到的特征序列(即上述消息类型特征序列)，从特征序列的第一个特征向量(对应于第二特征向量)开始，利用窗长为w、步长为1的滑动窗进行逐条检测。其中，可以在特征序列的第一个特征向量前填补w个占位符，用于预测序列的第一个特征向量。无监督的异常检测模块进行异常检测时，将特征序列中第(t-w)个特征向量、第(t-w+1)个特征向量、…，第(t-1)个特征向量输入到基于消息类型的信令异常检测模型A中进行异常检测处理，可得到第t条信令可能的消息类型范围。其中，w和t均为大于1的整数。如果待测流程中的第t条信令的消息类型不在预测得到的消息类型范围(对应于第二集合)内时，即可认为该待测信令流程异常，并将该异常的待测信令流程直接输出至无监督的异常定位模块203进行异常定位，否则进入第二轮基于消息类型和关键信元的异常检测。其中，基于消息类型的信令异常检测模型所用到的序列模型可以是但不仅限于N元模型、NNLM。

基于消息类型和关键信元的异常检测：由于个别信令故障问题较难甚至无法在信令消息类型中体现，在第一轮基于消息类型的异常检测未检测到异常后，无监督的异常检测模块可以对待测信令流程进行第二轮基于消息类型和关键信元的异常检测。其中，针对一条信令中由若干信元组成的消息内容，无监督的异常检测模块可以将cause类信元视作关键信元，在消息类型的基础上，利用消息内容中的cause类信元的信元值进行异常检测。其中，cause类信元指信令消息中能显式指示本条信令发送原因的信元。无监督的异常检测模块可以先依次对待测流程中各信令的消息类型和关键信元进行特征构造，从而得到该待测信令流程对应的特征序列。随后，利用基于消息类型和关键信元的信令异常检测模型B(对应于第一信令异常检测模型)对待测信令流程对应的特征序列进行fine-level异常检测。

第二轮特征构造：将每条信令的消息类型和关键信元的组合看作NLP算法中的一个单词，利用NLP中对单词的特征构造方法进行特征构造。其中，一种可选的消息类型和关键信元的组合方法是将消息类型与关键信元的信元值进行拼接，并将拼接结果看作一个新的单词，如图6所示。单词的特征构造方法包括但不仅限于One-hot编码和BoW编码。无监督的异常检测模块可以依次对待测流程中每条信令的消息类型和关键信元进行特征构造，得到一个特征序列(对应于第一特征序列)，该特征序列中的每个特征向量对应该待测信令流程中一条信令的消息类型和关键信元的组合。

第二轮异常检测：针对第二轮特征构造后得到的特征序列，无监督的异常检测模块以窗长为w′、步长为1的滑动窗形式进行逐条检测。示例性的，无监督的异常检测模块进行第二异常检测时，将第一特征序列中第(t-w)个特征向量、第(t-w+1)个特征向量、…，第(t-1)个特征向量输入到基于消息类型和关键信元的信令异常检测模型B中进行异常检测处理，可得到第t条信令可能的消息类型和关键信元的组合。当待测信令流程中的第t 条信令的消息类型与关键信元和组合不包含于信令异常检测模型B预测得到的至少一个消息类型与关键信元的组合(对应于第一集合)内时，可确定该待测信令流程异常，并将该异常的待测信令流程直接输出至无监督的异常定位模块进行异常定位，否则，可直接将无异常的分析结果输出至分析结果输出模块105。其中，基于消息类型和关键信元的信令异常检测模型B可采用的序列型模型可以是但不仅限于N-Gram模型、NNLM模型。

上述异常检测中所用到的信令异常检测模型A和信令异常检测模型B需要在正常的信令训练数据集上通过机器学习的方法获得。下面介绍训练得到信令异常检测模型A和信令异常检测模型B的方式。

可选的，训练得到信令异常检测模型A的训练方法如下：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二向量序列；所述第二向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第二向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第二训练特征序列输入至第二训练模型进行无监督学习，得到第二信令异常检测模型；所述第二训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。在训练信令异常检测模型A之前，可先获取通信网络中未发生异常的多个信令流程(即正常信令流程)，作为训练信令异常检测模型A的数据集；针对该数据集中的各信令流程，对其每条信令中的消息类型进行特征构造，从而得到各信令流程的特征序列。以三元语言模型(3-grams)为例，若一信令流程中的消息类型在特征构造后的特征序列为[a,b,c,d](对应于第二向量序列)，则该信令流程可得到如下用于训练信令异常检测模型A的特征序列(对应于第二特征序列)：[<bos>，<bos>，<bos>，a]，[<bos>，<bos>，a,b]，[<bos>，a,b,c]，[a,b,c,d],[b,c,d，<eos>]。其中，<bos>和<eos>分别为占位符和终止符在特征构造后对应的向量。以三元语言模型为例，针对输入的特征序列，模型会统计所有特征序列内的条件概率P(即特征序列的第四条消息|特征序列中前三条消息)，从而得到正常信令流程的信令异常检测模型。

可选的，训练得到信令异常检测模型B的训练方法如下：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一向量序列；所述第一向量序列中的特征向量与所述训练信令流程中的信令一一对应；将所述第一向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第一训练特征序列输入至第一训练模型进行无监督学习，得到第一信令异常检测模型；所述第一训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。在训练信令异常检测模型B之前，可先获取通信网络中未发生异常的多个信令流程(即正常信令流程)，作为训练信令异常检测模型B的数据集；针对该数据集中的各信令流程，对其每条信令中的消息类型和关键信元进行特征构造，从而得到各信令流程的特征序列。以三元语言模型(3-grams)为例，若一信令流程中的消息类型和关键信元在特征构造后的向量序列为[a,b,c,d](对应于第一向量序列)，则该流程得到的特征序列为[<bos>，<bos>，<bos>，a]，[<bos>，<bos>，a,b]，[<bos>，a,b,c]，[a,b,c,d],[b,c,d，<eos>]。其中<bos>和<eos>分别为占位符和终止符在特征构造后对应的向量。以三元语言模型为例，针对输入的特征序列，该模型会统计所有正常特征序列内的条件概率P(特征序列的第四条消息|特征序列中前三条消息)，从而得到正常信令流程的信令异常检测模型B。

有监督的信令异常检测模块202，用于检测待测信令流程是否异常。随着带标注的信令数据的逐渐积累，当有大量带标注的信令数据可用于模型训练时，信令分析装置可使用有监督异常检测模块进行模型训练与异常检测。与无监督的信令异常检测模块相比有监督的信令异常检测模块实现异常检测的准确率和召回率更高。如图7所示，无监督的coarse-fine异常检测模块可执行如下操作：

701、有监督的信令异常检测模块对待测信令流程进行第一轮基于消息类型的coarse-level异常检测。

702、有监督的信令异常检测模块判断待测信令流程是否异常。

若是，执行步骤706；若否，执行步骤703。

703、有监督的信令异常检测模块对待测信令流程进行第二轮基于消息内容的fine-level异常检测。

704、有监督的信令异常检测模块判断待测信令流程是否异常。

若是，执行步骤706；若否，执行步骤705。

705、有监督的信令异常检测模块将无异常的分析结果输出至分析结果输出模块。

无异常的分析结果指示待测信令流程正常。

706、有监督的信令异常检测模块将待测信令流程输出至有监督的异常定位模块。

对比图7和图5可知，有监督的信令异常检测模块与无监督的信令异常检测模块相比，异常检测流程类似，主要区别在于步骤701和步骤501的实现方式不同，以及步骤703和步骤503的实现方式不同。由于图7中的异常检测流程覆盖了消息内容中的所有信元，而非只有关键信元，这图7中的异常检测方法流程的异常检测范围更广。

有监督的异常检测模块的一种可选的方案是：利用NLP技术，基于带标注的信令数据建立信令流程的分类模型(正常、异常)，通过对待测信令流程进行分类，完成异常检测。下面来详细描述有监督的异常检测模块进行异常检测的实现方式，即步骤701和步骤703的实现方式。

基于消息类型的异常检测：有监督的异常检测模块在接收到解析好的待测信令流程后，可以先依次对待测流程中各信令消息的消息类型信息进行特征构造，从而得到该待测流程对应的消息类型特征序列(对应于第二特征序列)。随后，利用基于消息类型的信令流程分类模型C(对应于第二信令异常检测模型)对待测信令特征序列进行coarse-level的异常检测。

第一轮特征构造：将每种消息类型作为NLP算法中的一个单词，利用NLP中对单词的特征构造方法进行特征构造。其中，对单词的特征构造方法包括但不仅限于One-hot编码、BoW编码。有监督的异常检测模块依次对待测流程中各信令的消息类型进行特征构造，可得到一个特征序列，该特征序列中的每个特征向量对应一个消息类型。

第一轮异常检测：针对特征构造后得到的特征序列，有监督的异常检测模块基于消息类型的信令流程分类模型C对该特征序列进行分类，从而得到待测信令流程是否异常的分类结果。如果信令流程分类模型C将待测流程分类至异常，则该待测信令流程异常，并将该异常的待测信令流程直接输出至有监督的异常定位模块204进行异常定位，否则进入第二轮基于消息内容的异常检测。其中，基于消息类型的信令流程分类模型可采用的模型可以是但不仅限于循环神经网络(Recurrent Neural Networks，RNN)、长短时记忆(Long Short-Term Memory，LSTM)模型。

基于消息内容的异常检测：由于个别信令故障问题较难甚至无法在信令的消息类型中体现，在第一轮基于消息类型的异常检测未检测到异常后，有监督的异常检测模块对待测信令流程进行第二轮基于消息内容的异常检测。其中，针对信令消息中由若干信元组成的消息内容，有监督的异常检测模块利用各条信令的消息内容中的所有信元或部分信元进行异常检测。也就是说，有监督的异常检测模块可以先分别对待测流程中各信令消息的所有信元或部分信元进行特征构造，从而得到该待测流程对应的一个特征序列。随后，利用基于消息内容的信令流程分类模型D(对应于第一信令异常检测模型)对待测信令流程对应的特征序列进行fine-level异常检测。

第二特征构造：将每条由若干信元组成的消息内容看作一段由若干单词组成的文本段落，利用NLP中对文本段落的特征构造方法进行特征构造。其中，针对每条信令中的消息内容，由于各信元在各类信令消息中是按业务功能模块分布的，而业务功能出现的顺序是固定的，一种可选的消息内容处理方式是按照各信元在消息内容中出现的顺序依次提取信元的信元值，从而将该条消息内容的转换成一种带语义的文本段落，如图8所示。有监督的异常检测模块采用的对文本段落的特征构造方法包括但不仅限于自编码器、BoW编码。有监督的异常检测模块通过依次对待测流程中各条信令的消息内容进行特征构造，可得到一个特征序列，该特征序列中的每个特征向量对应待测信令消息中一条信令的消息内容。

第二轮异常检测：针对特征构造后得到的特征序列，有监督的异常检测模块可基于消息内容的信令流程分类模型D对该特征序列进行分类，从而得到待测信令流程的是否异常的分类结果。如果信令流程分类模型D将待测流程分类至异常，确定该待测信令流程异常，并将该异常的待测信令流程直接输出至有监督的异常定位模块进行异常定位，否则，可直接将无异常的分析结果输出至分析结果输出模块105。其中，基于消息类型的信令流程分类模型D可以是但不仅限于RNN、LSTM模型。

上述异常检测中所用到的信令流程分类模型C和信令流程分类模型D需要在带标注的信令训练数据集上通过机器学习的方法获得。下面介绍训练得到信令流程分类模型C以及信令流程分类模型D的实现方式。

可选的，训练得到信令流程分类模型C的训练方法如下：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二训练样本；所述第二训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第二训练样本和第二标注信息输入至第四训练模型(对应于信令流程分类模型C)进行异常检测处理，得到第二异常检测处理结果；上述第二异常检测处理结果指示上述第二训练样本为正常信令流程或者异常信令流程；根据上述第二异常检测处理结果和第二标准结果，确定上述第一训练样本对应的损失；上述第二标准结果为上述第二标注信息指示的上述第二训练样本的真实结果；利用上述第二训练样本对应的损失，通过优化算法更新上述第四训练模型的参数，得到第二信令异常检测模型(对应于信令流程分类模型C)。

训练装置在训练信令流程分类模型C之前，可先获取带标注的正常信令流程与异常信令流程，作为训练信令流程分类模型C的数据集；针对该数据集中的各信令流程，对各信令流程中的每条信令的消息类型进行特征构造，从而得到各信令流程的特征序列(包括第二训练样本)。以最长信令流程长度为10的数据集为例，若一信令流程中的消息类型在特征构造后的特征序列为[a,b,c,d]，则该信令流程可得到的特征序列为[a,b,c,d,<bos>,<bos>,<bos>,<bos>,<bos>,<bos>]。其中，<bos>为占位符在特征构造后对应的向量。训练装置可基于各信令流程的特征序列以及各信令流程的标注信息进行建模，学习正常信令流程和异常信令流程间的差异性及其各自的特点，从而得到识别异常信令流程的信令流程分类模型C。以序列长度为10的LSTM分类模型为例，信令流程分类模型C的输入数据为信令流程的特征序列及其对应的标注信息(异常或正常)，训练时采用的损失函数为交叉熵。当信令流程分类模型C的损失值低于指定损失阈值时，即可得到可区分正常信令流程和异常信令流程的分类模型。信令流程分类模型C的损失值是采用损失函数计算得到的损失值。

可选的，训练得到信令流程分类模型D的训练方法如下：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一训练样本；所述第一训练样本中的特征向量与所述训练信令流程中的信令一一对应；将第一训练样本和第一标注信息输入至第三训练模型(对应于信令流程分类模型D)进行异常检测处理，得到第一异常检测处理结果；上述第一异常检测处理结果指示上述第一训练样本为正常信令流程或者异常信令流程；根据上述第一异常检测处理结果和第一标准结果，确定上述第一训练样本对应的损失；上述第一标准结果为上述第一标注信息指示的上述第一训练样本的真实结果；利用上述第一训练样本对应的损失，通过优化算法更新上述第三训练模型的参数，得到第一信令异常检测模型(对应于信令流程分类模型D)。

训练装置在训练信令流程分类模型D之前，可先获取带标注的正常信令流程与异常信令流程，作为训练信令流程分类模型D的数据集；针对该数据集中的各信令流程，对各信令流程中的每条信令的消息内容进行特征构造，从而得到各信令流程的特征序列(包括第一训练样本)。以最长流程长度为10的数据集为例，若一信令流程中的消息内容在特征构造后的特征序列为[a,b,c,d]，则该信令流程可得到的特征序列为[a,b,c,d,null,null,null,null,null,null]。其中，null为占位符在特征构造后对应的向量。训练装置可基于各信令流程的特征序列以及各信令流程的标注信息进行建模，学习正常信令流程和异常信令流程间的差异性及其各自的特点，从而得到识别异常信令流程的信令流程分类模型D。以序列长度为10的LSTM分类模型为例，信令流程分类模型D的输入数据为各信令流程的特征序列及其对应的标注信息(异常或正常)，训练时采用的损失函数可以为交叉熵。当信令流程分类模型D的损失值低于指定损失阈值时，即可得到可区分正常信令流程和异常信令流程的分类模型。信令流程分类模型D的损失值是采用损失函数计算得到的损失值。

无监督的异常定位模块203，用于确定待测信令流程中发生异常的位置，即确定异常信令在该待测流程中的位置。在一些实施例中，无监督的异常定位模块203在无监督的异常检测模块201检测出待测信令流程异常之后，进一步分析得到异常信令在该待测流程中的位置。可选的，无监督的异常定位模块203在接收到由无监督的异常检测模块201传入的异常待测流程及其特征序列后，可以基于传入的特征序列进行异常定位，从而完成异常定位。

无监督的异常定位模块的一个可选的方案是：利用信令异常检测模型A对待测信令流程进行异常定位。该可选的方案的一种实现方式如下：无监督的异常定位模块从待测特征序列的第1个特征向量开始，利用窗长为w、步长为1的滑动窗进行逐条检测。该待测特征序列可以是待测信令流程对应的特征序列。待测特征序列可以是来自无监督的异常检测模块，也可以是来自有监督的异常检测模块。通过将待测特征序列中的第(t-w)个特征向量、第(t-w+1)个特征向量、…，第(t-1)个特征向量输入到信令异常检测模型中进行异常检测处理，可得到第t条信令的可能范围。如果待测流程中的第t条信令不在预测得到的信令范围之内，即可确定该待测信令流程中的第t条信令异常，并可将待测流程的异常结果与异常位置输出至分析结果输出模块105。其中，可以在待测特征序列的第1个特征向量前填补w个占位符，用于预测待测信令流程的第一条信令。图9为本申请实施例提供的一种异常定位过程示意图。如图9所示，特征序列X表示待测特征序列，X(t)表示待测特征序列X中的第t个特征向量，Y表示第t条信令的可能范围(即所有可能的第t条信令)，信令异常检测模型的输入为待测特征序列中的第(t-w)个特征向量至第(t-1)个特征向量，信令异常检测模型的输出为预测的第t条信令。

上述待测特征序列可以是基于消息类型得到的特征序列，也可以是基于消息类型和关键信元得到的特征序列。当无监督的异常定位模块接收到基于消息类型的特征序列时，无监督的异常定位模块采用信令异常检测模型A来进行异常定位。当无监督的异常定位模块接收到基于消息类型和关键信元的特征序列时，无监督的异常定位模块采用信令异常检测模型B来进行异常定位。

有监督的异常定位模块204，用于确定待测信令流程中发生异常的位置，即确定异常信令在该待测流程中的位置。在一些实施例中，有监督的异常定位模块204在有监督的异常检测模块202检测出待测信令流程异常之后，进一步分析得到异常信令在该待测流程中的位置。可选的，有监督的异常定位模块204在接收到由有监督的异常检测模块202传入的异常待测流程及其特征序列后，可以基于传入的特征序列进行异常定位，从而完成异常定位。

信令分析装置将待测信令流程输入至信令流程分类模型进行异常检测处理，可得到其属于异常流程的概率。该概率又可看作待测信令流程的异常程度，因此，可通过分析待测信令流程的异常程度变化来定位异常信令区间，即异常信令在待测信令流程中所处的信令区间。

有监督的异常定位模块的一个可选的方案是：先利用信令流程分类模型计算待测信令流程的异常评估曲线，再利用该异常评估曲线中的起伏变换完成异常信令区间的定位。图10为本申请实施例提供的一种信令异常定位方法流程图。如图10所示，该方法包括：1001、有监督的异常定位模块构建待测信令流程的异常评估曲线。1002、有监督的异常定位模块利用异常评估曲线定位异常信令区间，即确定待测信令流程中发生异常的位置。

示例性的，有监督的异常定位模块构建异常评估曲线的一种举例如下：如图11所示，针对一个由N条信令组成的待测信令流程，本模块可依次将该待测信令流程对应的特征序列中的前3个特征向量(S ₁)、前4个特征向量(S ₂)、…、前N个特征向量(S _m,m＝N-2)分别输入至信令流程分类模型中，从而得到该待测信令流程的前3条信令片段(对应于S ₁)的异常评估概率P ₁、前4条信令片段(对应于S ₂)的异常评估概率P ₂、…、前N条信令片段(对应于S _m)的异常评估概率P _m。随后，通过将各异常评估概率按下标进行排序，即可得到异常评估曲线。其中，异常评估曲线的变化范围在0到1之间，该异常评估曲线的值会随着信令片段异常程度的上升而上升。可以理解，该待测信令流程对应一个异常概率序列，该异常概率序列中的第G个概率表示上述N个信令中的前(D+G)个信令中包括异常信令的概率。G和D均为大于0的整数。举例来说，D为2，异常概率序列中的概率依次为P ₁、P ₂、…、P _m，P ₁为待测信令流程中前3个信令片段的异常评估概率。

应理解，当有监督的异常定位模块接收到基于消息类型进行特征构造得到的特征序列时，采用信令流程分类模型C进行异常定位，即将该特征序列输入至信令流程分类模型C进行异常检测处理。当有监督的异常定位模块接收到基于消息内容进行特征构造得到的特征序列时，采用信令流程分类模型D进行异常定位，即将该特征序列输入至信令流程分类模型D进行异常检测处理。

一般情况下，待测信令流程常可进一步划分为若干子流程。正常的异常评估概率会随着流程中子流程的开始而上升、随着子流程的正常结束而下降。流程中任意一条信令发生的任何异常，如与上文信令消息存在冲突、子流程为正常结束，都会导致其之后的异常评估概率居高不下。因此，基于异常评估曲线中的起伏情况可为用户提供一种可解释的异常检测方法。

异常信令区间定位：由于不同异常情况下产生的异常评估曲线具有不同的特点，有监督的异常定位模块可先根据异常评估曲线的特点对其进行分类得到其所属曲线类型，再根据其所属曲线类型进行异常区间定位。表2展示了异常评估区间分类的一个示例。示例性的，异常评估曲线可按表2分为陡增、缓增、波动和持续四类，每类可按表3中的方式进行异常区间定位。表3展示了异常区间定位的一些方法。由于异常评估曲线在本质上还是时间序列，曲线分类可利用时间序列分类算法完成，异常区间定位可利用时间序列分析方法完成。

表2

表2中，低值(对应于第一阈值)可以是0.2、0.25等，高值(对应于第二阈值)可以是0.75、0.8、0.9等，本申请不作限定。

表3

针对表3中的陡增段，一种可选的判断方法是：计算概率序列中相邻两点的差值，若差值大于陡增判断阈值(对应于概率阈值)则认为其为陡增段。该陡增判断阈值可以是0.3、0.4、0.5等。针对表3中的最大增幅段，一种可选的判断方法是：计算序列中各个相邻点间的差值，选择差值最大且大于增幅阈值的一段。以上描述了异常评估曲线中陡增段和最大增幅段的两种判断方法，但不仅限于与这两种方法。

分析结果输出模块105，用于根据其接收到的信令分析结果完成以下分析结果输出。信令分析结果可以是异常检测模块输出的异常检测结果，也可以是异常定位模块输出的异常信令的位置或者异常信令区间的位置。在一些实施例中，若待测信令流程正常，则输出待测信令流程及其分析结果“正常”；若待测信令流程异常，且分析结果是由无监督的异常定位模块203产生，则输出待测信令流程、分析结果“异常”及异常信令的位置；若待测信令流程异常，且分析结果是由有监督的异常定位模块204产生，则输出待测信令流程、分析结果“异常”及异常信令区间的位置。

前面介绍了前述实施例所涉及的模块的功能以及实现方式，下面结合应用场景来介绍两种信令异常检测和定位的实施例。

图12为本申请实施例提供的一种信令异常检测和定位方法流程图。图12为图2中的方法流程的进一步细化和完善，如图12所示，该方法包括：

1201、信令分析装置从通信网络的IMS域中采集SIP协议下的信令数据。

1202、信令分析装置解析采集的信令数据，并提取出待测信令流程。

可选的，针对采集到的信令数据，信令分析装置先利用SIP信令解析工具解析出信令数据中每条信令的协议、接口、时间戳、流程标识、消息类型和消息内容，再根据协议、接口、时间戳和流程标识完成信令流程提取。示例性的，信令流程提取的步骤如下：信令分析装置可先将信令数据中对应的协议、接口以及流程标识均相同的信令分到相同组，再按照每组信令中各信令包括的时间戳的先后顺序对每组信令中的信令进行先后排序。应理解，每组信令中各信令的协议、接口以及流程标识均相同，每组信令排序后对应一个待测信令流程。在实际应用中，信令分析装置可分别对各待测信令流程进行异常检测和定位。

1203、信令分析装置基于待测信令流程中各信令的消息类型对该待测信令流程进行异常检测。

示例性的，信令分析装置先依次对待测信令流程中各信令的消息类型进行One-hot编码，得到该待测流程对应的消息类型特征序列(对应于第二特征序列)，再利用训练好的基于消息类型的LSTM分类模型(对应于信令流程分类模型C)对上述消息类型特征序列进行分类。

1204、判断待测信令流程是否异常。

若LSTM分类模型的分类结果为异常，则执行步骤1207，即直接将该待测信令流程输出到有监督的异常定位模块中；否则，执行步骤1205。

1205、信令分析装置基于待测信令流程中各信令的消息内容对该待测信令流程进行异常检测。

针对在步骤1203中未检测出异常的待测信令流程，信令分析装置可先基于待测信令流程中各信令的消息内容进行特征构造得到消息内容特征序列(对应于第一特征序列)，再利用训练好的基于消息内容的LSTM分类模型(对应于信令流程分类模型D)对上述消息内容特征序列进行分类。基于待测信令流程中各信令的消息内容进行特征构造得到消息内容编码序列的一种举例如下：(1)、针对每条信令消息中的消息内容，识别每个信元属于名词型、数值型还是枚举型。其中，各个信元的信元类型可利用统计分类的方法在信令流程分类模型D的训练阶段获得。其中，名词型信元的取值在不同信令流程中几乎都不相同，枚举型信元的取值在不同流程中均来自于一个数量有限的离散值集合，数值型信元的取值来自于一段连续的值空间。(2)、过滤掉消息内容中的名词型信元。由于名词型信元在信令分析过程中的区分性过低，因此过滤掉消息内容中的名词性信元，即消息内容中的名词型信元不再进入后续的信令分析。(3)、将消息内容中的数值型信元进行离散化。由于数值型信元在NLP技术中较难处理，消息内容中的数值型信元会参考工程师的区间判断方式进行连续数值空间的离散化。假设某信元的值空间最大值为Vmax、最小值为Vmin、离散后的区间数量为n，则离散后的单位区间长度dl为(Vmax-Vmin)/n。当该信元取值为x(Vmin≤x≤Vmax)时，则对应离散化后的值为

当该信元取值不在值空间内时，则对应离散化后的值为0。最终，经过以上处理，每条信令中的消息内容都可看作由一串枚举型信元与离散后的数值型信元组成的文本段落，都可利用自编码方法转换为长度固定的特征向量，从而完成消息内容的特征构造。(4)、利用自编码方法将消息内容作为由一串枚举型信元与离散后的数值型信元组成的文本段落转换为长度固定的消息内容编码序列。

1206、判断待测信令流程是否异常。

若分类模型的分类结果为异常，则执行步骤1207，即直接将该异常待测流程送到有监督的异常定位模块中；若分类模型的分类结果为正常，则执行步骤1209，即将正常结果送到分析结果输出模块。

1207、信令分析装置构建待测信令流程的异常评估曲线。

若步骤1203检测到待测信令流程异常，信令分析装置可利用上述消息类型特征序列构建待测信令流程的异常评估曲线；若步骤1205检测到待测信令流程异常，信令分析装置可利用上述消息内容特征序列构建待测信令流程的异常评估曲线。

1208、信令分析装置根据待测信令流程的异常评估曲线，确定该待测流程中的异常信令区间。

针对上述得到的异常评估曲线，信令分析装置可先利用时间序列分类算法识别各曲线的类型，再根据表3中的异常区间定位方法，得到该待测流程中的异常信令区间。举例来说，图13为待测信令流程的异常评估曲线，其中，横轴的0坐标对应该待测信令流程的前3条信令，x坐标对应该待测信令流程中的前(x+3)条信令，虚线框为异常信令区间。

1209、信令分析装置输出异常检测结果以及异常信令区间的位置。

示例性的，针对信令分析结果为异常的各信令流程，分析结果输出模块分别按格式“异常，[异常信令区间的位置]”输出。例如，图13对应的输出为“异常，第7条至第12条信令异常”。针对信令分析结果为正常的各信令流程，分析结果输出模块输出“正常”。

基于数据驱动的本实施例通过利用各信令协议都支持的信令信息、各信令协议都适用的特征构建方法，使用序列分类模型对待测信令流程中的消息类型信息和消息内容信息进行了更全面的信令流程异常检测，并定位了异常信令的区间位置。

图14为本申请实施例提供的一种信令异常检测和定位方法流程图。图14为图2中的方法流程的进一步细化和完善，如图14所示，该方法包括：

1401、信令分析装置从通信网络的无线域中采集S1AP协议下的信令数据。

1402、信令分析装置解析采集的信令数据，并提取出待测信令流程。

可选的，针对采集到的信令数据，信令分析装置先利用S1IP信令解析工具解析出信令数据中每条信令的协议、接口、时间戳、流程标识、消息类型和消息内容，再根据协议、接口、时间戳和流程标识完成信令流程提取。示例性的，信令流程提取的步骤如下：信令分析装置可先将信令数据中对应的协议、接口以及流程标识均相同的信令分到相同组，再按照每组信令中各信令包括的时间戳的先后顺序对每组信令中的各信令进行先后排序。应理解，每组信令中各信令的协议、接口以及流程标识均相同，每组信令排序后的信令对应一个待测信令流程。在实际应用中，信令分析装置可分别对各待测信令流程进行异常检测和定位。

1403、信令分析装置基于待测信令流程中各信令的消息类型对待测信令流程进行异常检测。

示例性的，信令分析装置先在待测流程的第一条信令前填补w条占位空信令(消息类型和消息内容均由占位符<bos>代替)，再依次对填补后的消息类型进行One-hot编码，从而得到该待测流程对应的消息类型特征序列。随后，利用训练好的基于消息类型的NNLM异常检测模型(对应于信令异常检测模型A)对上述得到的消息类型特征序列以滑窗(窗长w)的形式进行逐条预测，得到该待测信令流程的异常检测结果。当待测信令流程中任意一条信令不在其预测范围之内时，确定该待测流程异常，即得到指示待测信令流程异常的异常检测结果；若待测信令流程中任意一条信令均在其预测范围之内时，则确定该待测信令流程正常，即得到指示该待测信令流程正常的异常检测结果。

1404、判断待测信令流程是否异常。

若异常检测结果指示待测信令流程异常，则执行步骤1407，即直接将该待测信令流程送到无监督的异常定位模块中；否则，执行步骤1405，即将该待测流程送到第二轮的细粒度异常检测中。

1405、信令分析装置基于待测信令流程中各信令的消息类型和关键信元对该待测信令流程进行异常检测。

可选的，信令分析装置依次将待测信令流程中每条信令的消息类型和关键信元的组合作为一个单词进行特征构建得到特征序列，以滑窗形式计算每条信令的预测结果，得到该流程的异常检测结果。示例性的，信令分析装置可先从每条信令的消息内容中提取名为cause-result的信元作为关键信元，再将该关键信元的信元值与其所属消息类型用“|”号进行拼接。若某类信令没有名为cause-result的信元，则可将该信令的消息类型直接作为拼接结果。随后，通过对待测流程中每条信令的拼接结果依次进行One-hot编码，可得到该待测信令流程添加了关键信元信息的特征序列。最后，利用训练好的基于消息类型和关键信元的NNLM异常检测模型(对应于信令异常检测模型B)对上述得到的特征序列以滑窗形式进行逐条预测。当待测信令流程中任意一条信令不在其预测范围之内时，确定该待测流程异常，即得到指示该待测信令流程异常的异常检测结果；若该待测信令流程中任意一条信令均在其预测范围之内时，则确定该待测信令流程正常，即得到指示该待测信令流程正常的异常检测结果。应理解，步骤1405与步骤1403类似，区别在于构造特征序列的方式不同。

1406、判断待测信令流程是否异常。

信令分析装置可根据步骤1405得到的异常检测结果判断待测信令流程是否异常。若待测信令流程异常，则执行步骤1407；若待测信令流程正常，执行步骤1408。

1407、信令分析装置确定待测信令流程中异常信令的位置。

可选的，信令分析装置从待测信令流程第一条信令开始，以滑窗形式进行逐条检测。当一条信令不在其预测范围之内时，即可认为该信令异常，并将该信令在该待测流程中的位置作为最终的异常定位结果输出至分析结果输出模块。一种可省略该步骤的方法是：在步骤1403和步骤1405的异常检测过程中，针对异常的待测信令流程，直接将第一条异常信令出现的位置作为最终的异常定位结果输出至分析结果输出模块。

1408、信令分析装置输出异常检测结果以及异常信令的位置。

可选的，针对信令分析结果为异常的各信令流程，分析结果输出模块分别按格式“异常，[异常信令的位置]”输出。例如，“异常，第7条信令异常”。针对信令分析结果为正常的各信令流程，分析结果输出模块输出“正常”。

针对通信网络控制面的各信令协议，以数据驱动的本实施例通过提取各协议都支持的信令信息、利用通用的特征构造方法，有效消除了各信令协议间的格式差异，避免了由专家规则总结导致的成本高、自更新能力差问题。信令分析过程中，本实施例利用序列模型处理了信令流程中各信令消息间的长依赖关系，通过对信令流程中的消息类型信息和关键信元信息进行特征编码、异常检测，可覆盖大多数消息类型之外的信令异常问题，有效避免了对异常关键信元分析不全面问题。与图12的实施例一相比，由于本实施例的模型训练只需采集正常情况下的信令数据，本实施例更易启动。

图15是本申请实施例提供的一种训练装置的硬件结构示意图。图15所示的卷积神经网络的训练装置1500(该装置1500具体可以是一种计算机设备)包括存储器1501、处理器1502、通信接口1503以及总线1504。其中，存储器1501、处理器1502、通信接口1503通过总线1504实现彼此之间的通信连接。

存储器1501可以是只读存储器(Read Only Memory，ROM)，静态存储设备，动态存储设备或者随机存取存储器(Random Access Memory，RAM)。存储器1501可以存储程序以及训练数据，当存储器1501中存储的程序被处理器1502执行时，处理器1502用于执行本申请实施例的训练方法。

处理器1502可以采用通用的中央处理器(Central Processing Unit，CPU)，微处理器，应用专用集成电路(Application Specific Integrated Circuit，ASIC)，GPU或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例的训练装置中的单元所需执行的功能，或者执行本申请方法实施例的训练方法。

通信接口1503使用例如但不限于收发器一类的收发装置，来实现装置1500与其他设备或通信网络之间的通信。例如，可以通过通信接口1503获取训练数据(例如本申请实施例上述的第一训练集)。

总线1504可包括在装置1500各个部件(例如，存储器1501、处理器1502、通信接口1503)之间传送信息的通路。

图16是本申请实施例提供的信令分析装置的硬件结构示意图。图16所示的信令分析装置1600(该装置1600具体可以是一种计算机设备)包括存储器1601、处理器1602、通信接口1603以及总线1604。其中，存储器1601、处理器1602、通信接口1603通过总线1604实现彼此之间的通信连接。

存储器1601可以是只读存储器，静态存储设备，动态存储设备或者随机存取存储器。存储器1601可以存储程序，当存储器1601中存储的程序被处理器1602执行时，处理器1602用于执行本申请实施例的信令分析方法的各个步骤。

处理器1602可以采用通用的中央处理器，微处理器，应用专用集成电路，图形处理器(graphics processing unit，GPU)或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例的信令分析装置中的单元所需执行的功能，或者执行本申请方法实施例的图像分割方法。处理器可实现图1B中各模块的功能。

处理器1602还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请的图像分割方法的各个步骤可以通过处理器1602中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1602还可以是通用处理器、数字信号处理器(Digital Signal Processing，DSP)、专用集成电路(ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1601，处理器1602读取存储器1601中的信息，结合其硬件完成本申请实施例的信令分析装置中包括的单元所需执行的功能，或者执行本申请方法实施例的信令分析方法。

通信接口1603使用例如但不限于收发器一类的收发装置，来实现装置1600与其他设备或通信网络之间的通信。例如，可以通过通信接口1603获取信令数据。

总线1604可包括在装置1600各个部件(例如，存储器1601、处理器1602、通信接口1603)之间传送信息的通路。

应注意，尽管图15和图16所示的训练装置1500和信令分析装置1600仅仅示出了存储器、处理器、通信接口，但是在具体实现过程中，本领域的技术人员应当理解，训练装置1500和信令分析装置1600还包括实现正常运行所必须的其他器件。同时，根据具体需要，本领域的技术人员应当理解，训练装置1500和信令分析装置1600还可包括实现其他附加功能的硬件器件。此外，本领域的技术人员应当理解，训练装置1500和信令分析装置16000也可仅仅包括实现本申请实施例所必须的器件，而不必包括图15或图16中所示的全部器件。

本申请实施例还提供一种计算机可读存储介质，上述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行前述实施例所提供的方法。

本申请实施例还提供一种计算机可读存储介质，上述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行前述实施例所提供的训练方法。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行前述实施例所提供方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种信令分析方法，其特征在于，包括：

获取待测信令流程，所述待测信令流程包括N条信令，所述N为大于1的整数；

分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列；所述第一特征序列包括N个第一特征向量，所述N个第一特征向量与所述N条信令一一对应；

将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果，所述第一异常检测结果指示所述待测信令流程正常或者异常。
根据权利要求1所述的方法，其特征在于，所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列之前，所述方法还包括：

分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列；所述第二特征序列包括N个第二特征向量，所述N个第二特征向量与所述N条信令一一对应；

将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果，所述第二异常检测结果指示所述待测信令流程正常或者异常；

所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列包括：

在所述第二异常检测结果指示所述待测信令流程正常的情况下，分别对所述N条信令中每一条信令进行所述第一特征构造，得到所述第一特征序列。
根据权利要求1或2所述的方法，其特征在于，所述分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列包括：

按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列。
根据权利要求3所述的方法，其特征在于，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列包括：

将第一消息类型和目标信元的组合作为一个整体进行特征构造，得到第一向量；所述第一消息类型为第一信令包括的消息类型，所述目标信元为所述第一信令包括的信元，所述第一信令为所述N条信令中的任一条信令，所述第一向量包含于所述第一特征序列。
根据权利要求4所述的方法，其特征在于，所述目标信元包括指示所述第一信令的发送原因的信元。
根据权利要求3所述的方法，其特征在于，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列包括：

将第二信令中的M个信元作为自然语言处理NLP算法中包括一个或多个单词的文本进行特征构造，得到第二向量；所述第二信令为所述N条信令中的任一条信令，所述第二向量包含于所述第一特征序列，所述M为大于1的整数。
根据权利要求2至6任一项所述的方法，其特征在于，所述分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列包括：

按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列。
根据权利要求7所述的方法，其特征在于，所述按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列包括：

将第二消息类型作为自然语言处理NLP算法中的一个单词进行特征构造，得到第三向量；所述第二消息类型为第三信令包括的消息类型，所述第三信令为所述N条信令中的任一条信令，所述第三向量包含于所述第二特征序列。
根据权利要求1至8任一项所述的方法，其特征在于，所述第一特征序列中的第F个第一特征向量与所述N条信令中的第F条信令相对应；所述将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果包括：

在第F轮异常检测处理中，将第三特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第一集合；所述第一集合包括至少一个消息类型和信元的组合，所述第三特征序列中的特征向量依次为所述第一特征序列中的第(F-K)个第一特征向量至第(F-1)个第一特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；

在所述N条信令中的第F条信令的消息类型和信元的组合未包含于所述第一集合的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程异常。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；

在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F等于所述N的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程正常。
根据权利要求1至8任一项所述的方法，其特征在于，所述第二特征序列中的第F个第二特征向量与所述N条信令中的第F条信令相对应；所述将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果包括：

在第F轮异常检测处理中，将第四特征序列输入至所述第二信令异常检测模型进行异常检测处理，得到第二集合；所述第二集合包括至少一个消息类型，所述第四特征序列中的特征向量依次为所述第二特征序列中的第(F-K)个第二特征向量至第(F-1)个第二特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；

在所述N条信令中的第F条信令的消息类型未包含于所述第二集合的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程异常。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

在所述第F条信令的消息类型包含于所述第二集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；

在所述第F条信令的消息类型包含于所述第二集合，且所述F等于所述N的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常。
根据权利要求1至12任一项所述的方法，其特征在于，所述将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果之后，所述方法还包括：

在所述第一异常检测结果指示所述待测信令流程异常的情况下，确定所述待测信令流程中发生异常的位置。
根据权利要求13所述的方法，其特征在于，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述确定所述待测信令流程中发生异常的位置包括：

在第H轮信令异常定位中，将第五特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第三集合；所述第三集合包括至少一个消息类型和信元的组合，所述第五特征序列中的特征向量依次为所述第一特征序列中的第(H-L)个第一特征向量至第(H-1)个第一特征向量；所述H为大于1的整数，所述L为大于1且小于所述H的整数；

在所述N条信令中的第H条信令的消息类型和信元的组合未包含于所述第三集合的情况下，确定所述第H条信令发生异常。
根据权利要求13所述的方法，其特征在于，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；所述确定所述待测信令流程中发生异常的位置包括：

获得所述N条信令对应的异常概率序列，所述异常概率序列中的第G个概率表示所述N个信令中的前(D+G)个信令中包括异常信令的概率，所述G和所述D均为大于0的整数；

根据所述异常概率序列，确定所述待测信令流程中发生异常的位置。
根据权利要求15所述的方法，其特征在于，所述获得所述N条信令对应的异常概率序列包括：

将第六特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到所述异常概率序列中的所述第G个概率；所述第六特征序列包括的特征向量依次为所述第一特征序列中的前(D+G)个第一特征向量。
根据权利要求15或16所述的方法，其特征在于，所述根据所述异常概率序列，确定所述待测信令流程中发生异常的位置包括：

在所述异常概率序列中的所述第G个概率与第(G-1)个概率的差值大于概率阈值的情况下，确定第一信令区间的信令发生异常，所述第一信令区间包括所述N条信令中的第(G+D-1)至第N条信令，所述G为大于1的整数；

在所述异常概率序列中的各概率均不小于其前面的概率的情况下，确定第二信令区间中的信令发生异常；所述第二信令区间包括所述N条信令中的第(P+D)至第N条信令，所述异常概率序列中第P个概率与第(P+1)个概率的差值不小于所述异常概率序列中任意两个相邻概率的差值，所述P为大于0的整数；

在所述异常概率序列中的概率存在由第一值递增至第二值且保持所述第二值之前由第三值递减至所述第一值的情况下，确定第三信令区间中的信令发生异常；所述第一值小于第一阈值，所述第二值和所述第三值均大于第二阈值，所述第一阈值小于所述第二阈值，所述第三信令区间包括所述N条信令中的第(Q+D)至第N条信令，所述异常概率序列中的第Q个概率为所述异常概率曲线中最后一个上升段的起点的概率，所述Q为大于0的整数；

在所述异常概率序列中的各概率均不小于所述概率阈值的情况下，确定第四信令区间中的信令发生异常，所述第四信令区间包括所述N个信令中的第D个信令至第N个信令。
根据权利要求1至17任一项所述的方法，其特征在于，所述获取待测信令流程之前，所述方法还包括：

采集信令数据；所述信令数据包括所述N条信令；

解析所述信令数据中的每条信令，得到每条信令对应的接口、时间戳、协议以及流程标识；

将所述信令数据中对应的接口、协议以及流程标识均相同的信令分到相同组，得到至少一组信令；

按照目标组信令中各信令包括的时间戳的先后顺序对所述目标组信令中的各信令进行先后排序，得到所述待测信令流程，所述目标组信令为所述至少一组信令中任一组信令。
一种训练方法，其特征在于，包括：

分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一向量序列；所述第一向量序列中的特征向量与所述训练信令流程中的信令一一对应；

将所述第一向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第一训练特征序列输入至第一训练模型进行无监督学习，得到第一信令异常检测模型；所述第一训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。
一种训练方法，其特征在于，包括：

分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二向量序列；所述第二向量序列中的特征向量与所述训练信令流程中的信令一一对应；

将所述第二向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第二训练特征序列输入至第二训练模型进行无监督学习，得到第二信令异常检测模型；所述第二训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。
一种训练方法，其特征在于，包括：

分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一训练样本；所述第一训练样本中的特征向量与所述训练信令流程中的信令一一对应；

将第一训练样本和第一标注信息输入至第三训练模型进行异常检测处理，得到第一异常检测处理结果；所述第一异常检测处理结果指示所述第一训练样本为正常信令流程或者异常信令流程；

根据所述第一异常检测处理结果和第一标准结果，确定所述第一训练样本对应的损失；所述第一标准结果为所述第一标注信息指示的所述第一训练样本的真实结果；

利用所述第一训练样本对应的损失，通过优化算法更新所述第三训练模型的参数，得到第一信令异常检测模型。
一种训练方法，其特征在于，包括：

分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二训练样本；所述第二训练样本中的特征向量与所述训练信令流程中的信令一一对应；

将第二训练样本和第二标注信息输入至第四训练模型进行异常检测处理，得到第二异常检测处理结果；所述第二异常检测处理结果指示所述第二训练样本为正常信令流程或者异常信令流程；

根据所述第二异常检测处理结果和第二标准结果，确定所述第一训练样本对应的损失；所述第二标准结果为所述第二标注信息指示的所述第二训练样本的真实结果；

利用所述第二训练样本对应的损失，通过优化算法更新所述第四训练模型的参数，得到第二信令异常检测模型。
一种信令分析装置，其特征在于，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：获取待测信令流程，所述待测信令流程包括N条信令，所述N为大于1的整数；

分别对所述N条信令中每一条信令包括的消息类型和信元进行第一特征构造，得到第一特征序列；所述第一特征序列包括N个第一特征向量，所述N个第一特征向量与所述N条信令一一对应；

将所述第一特征序列输入至第一信令异常检测模型进行异常检测处理，输出第一异常检测结果，所述第一异常检测结果指示所述待测信令流程正常或者异常。
根据权利要求23所述的装置，其特征在于，所述处理器，还用于分别对所述N条信令中每一条信令包括的消息类型进行第二特征构造，得到第二特征序列；所述第二特征序列包括N个第二特征向量，所述N个第二特征向量与所述N条信令一一对应；

将所述第二特征序列输入至第二信令异常检测模型进行异常检测处理，得到第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常或者异常；

所述处理器，具体用于在所述第二异常检测结果指示所述待测信令流程正常的情况下，分别对所述N条信令中每一条信令进行所述第一特征构造，得到所述第一特征序列。
根据权利要求23或24所述的装置，其特征在于，

所述处理器，具体用于按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第一特征构造，得到所述第一特征序列。
根据权利要求25所述的装置，其特征在于，

所述处理器，具体用于将第一消息类型和目标信元的组合作为一个整体进行特征构造，得到第一向量；所述第一消息类型为第一信令包括的消息类型，所述目标信元为所述第一信令包括的信元，所述第一信令为所述N条信令中的任一条信令，所述第一向量包含于所述第一特征序列。
根据权利要求26所述的装置，其特征在于，所述目标信元包括指示所述第一信令的发送原因的信元。
根据权利要求25所述的装置，其特征在于，

所述处理器，具体用于将第二信令中的M个信元作为自然语言处理NLP算法中包括一个或多个单词的文本进行特征构造，得到第二向量；所述第二信令为所述N条信令中的任一条信令，所述第二向量包含于所述第一特征序列，所述M为大于1的整数。
根据权利要求24至28任一项所述的装置，其特征在于，

所述处理器，具体用于按照所述N条信令的时间戳先后顺序依次对所述N条信令进行所述第二特征构造，得到所述第二特征序列。
根据权利要求29所述的装置，其特征在于，

所述处理器，具体用于将第二消息类型作为自然语言处理NLP算法中的一个单词进行特征构造，得到第三向量；所述第二消息类型为第三信令包括的消息类型，所述第三信令为所述N条信令中的任一条信令，所述第三向量包含于所述第二特征序列。
根据权利要求23至30任一项所述的装置，其特征在于，

所述处理器，具体用于在第F轮异常检测处理中，将第三特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第一集合；所述第一集合包括至少一个消息类型和信元的组合，所述第三特征序列中的特征向量依次为所述第一特征序列中的第(F-K)个第一特征向量至第(F-1)个第一特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；

在所述N条信令中的第F条信令的消息类型和信元的组合未包含于所述第一集合的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程异常。
根据权利要求31所述的装置，其特征在于，

所述处理器，还用于在所述第F条信令的消息类型和信元的组合包含于所述第一消集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；

在所述第F条信令的消息类型和信元的组合包含于所述第一集合，且所述F等于所述N的情况下，输出所述第一异常检测结果；所述第一异常检测结果指示所述待测信令流程正常。
根据权利要求23至30任一项所述的装置，其特征在于，所述第二特征序列中的第F个第二特征向量与所述N条信令中的第F条信令相对应；

所述处理器，具体用于在第F轮异常检测处理中，将第四特征序列输入至所述第二信令异常检测模型进行异常检测处理，得到第二集合；所述第二集合包括至少一个消息类型，所述第四特征序列中的特征向量依次为所述第二特征序列中的第(F-K)个第二特征向量至第(F-1)个第二特征向量；所述F为大于1的整数，所述K为大于1且小于所述F的整数；

在所述N条信令中的第F条信令的消息类型未包含于所述第二集合的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程异常。
根据权利要求33所述的装置，其特征在于，

所述处理器，还用于在所述第F条信令的消息类型包含于所述第二集合，且所述F小于所述N的情况下，执行第(F+1)轮异常检测处理；

在所述第F条信令的消息类型包含于所述第二集合，且所述F等于所述N的情况下，得到所述第二异常检测结果；所述第二异常检测结果指示所述待测信令流程正常。
根据权利要求23至34任一项所述的装置，其特征在于，

所述处理器，还用于在所述第一异常检测结果指示所述待测信令流程异常的情况下，确定所述待测信令流程中发生异常的位置。
根据权利要求35所述的装置，其特征在于，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；

所述处理器，具体用于在第H轮信令异常定位中，将第五特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到第三集合；所述第三集合包括至少一个消息类型和信元的组合，所述第五特征序列中的特征向量依次为所述第一特征序列中的第(H-L)个第一特征向量至第(H-1)个第一特征向量；所述H为大于1的整数，所述L为大于1且小于所述H的整数；

在所述N条信令中的第H条信令的消息类型和信元的组合未包含于所述第三集合的情况下，确定所述第H条信令发生异常。
根据权利要求35所述的装置，其特征在于，所述第一特征序列中的第H个第一特征向量与所述N条信令中的第H条信令相对应；

所述处理器，具体用于获得所述N条信令对应的异常概率序列，所述异常概率序列中的第G个概率表示所述N个信令中的前(D+G)个信令中包括异常信令的概率，所述G和所述D均为大于0的整数；

根据所述异常概率序列，确定所述待测信令流程中发生异常的位置。
根据权利要求37所述的装置，其特征在于，

所述处理器，具体用于将第六特征序列输入至所述第一信令异常检测模型进行异常检测处理，得到所述异常概率序列中的所述第G个概率；所述第六特征序列包括的特征向量依次为所述第一特征序列中的前(D+G)个第一特征向量。
根据权利要求37或38所述的装置，其特征在于，

所述处理器，具体用于在所述异常概率序列中的所述第G个概率与第(G-1)个概率的差值大于概率阈值的情况下，确定第一信令区间的信令发生异常，所述第一信令区间包括所述N条信令中的第(G+D-1)至第N条信令，所述G为大于1的整数；

在所述异常概率序列中的各概率均不小于其前面的概率的情况下，确定第二信令区间中的信令发生异常；所述第二信令区间包括所述N条信令中的第(P+D)至第N条信令，所述异常概率序列中第P个概率与第(P+1)个概率的差值不小于所述异常概率序列中任意两个相邻概率的差值，所述P为大于0的整数；

在所述异常概率序列中的概率存在由第一值递增至第二值且保持所述第二值之前由第三值递减至所述第一值的情况下，确定第三信令区间中的信令发生异常；所述第一值小于第一阈值，所述第二值和所述第三值均大于第二阈值，所述第一阈值小于所述第二阈值，所述第三信令区间包括所述N条信令中的第(Q+D)至第N条信令，所述异常概率序列中的第Q个概率为所述异常概率曲线中最后一个上升段的起点的概率，所述Q为大于0的整数；

在所述异常概率序列中的各概率均不小于所述概率阈值的情况下，确定第四信令区间中的信令发生异常，所述第四信令区间包括所述N个信令中的第D个信令至第N个信令。
根据权利要求23至39任一项所述的装置，其特征在于，

所述处理器，还用于采集信令数据；所述信令数据包括所述N条信令；

解析所述信令数据中的每条信令，得到每条信令对应的接口、时间戳、协议以及流程标识；

将所述信令数据中对应的接口、协议以及流程标识均相同的信令分到相同组，得到至少一组信令；

按照目标组信令中各信令包括的时间戳的先后顺序对所述目标组信令中的各信令进行先后排序，得到所述待测信令流程，所述目标组信令为所述至少一组信令中任一组信令。
一种训练装置，其特征在于，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一向量序列；所述第一向量序列中的特征向量与所述训练信令流程中的信令一一对应；

将所述第一向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第一训练特征序列输入至第一训练模型进行无监督学习，得到第一信令异常检测模型；所述第一训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。
一种训练装置，其特征在于，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二向量序列；所述第二向量序列中的特征向量与所述训练信令流程中的信令一一对应；

将所述第二向量序列中的第(R)个特征向量至第(R+W)个特征向量作为第二训练特征序列输入至第二训练模型进行无监督学习，得到第二信令异常检测模型；所述第二训练模型为W元语言模型，所述W为大于1的整数，所述R和所述S均为大于0的整数。
一种训练装置，其特征在于，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型和信元进行特征构造，得到第一训练样本；所述第一训练样本中的特征向量与所述训练信令流程中的信令一一对应；

将第一训练样本和第一标注信息输入至第三训练模型进行异常检测处理，得到第一异常检测处理结果；所述第一异常检测处理结果指示所述第一训练样本为正常信令流程或者异常信令流程；

根据所述第一异常检测处理结果和第一标准结果，确定所述第一训练样本对应的损失；所述第一标准结果为所述第一标注信息指示的所述第一训练样本的真实结果；

利用所述第一训练样本对应的损失，通过优化算法更新所述第三训练模型的参数，得到第一信令异常检测模型。
一种训练装置，其特征在于，包括处理器和存储器，所述存储器用于存储程序指令，所述处理器用于调用所述程序指令来执行如下操作：分别对训练信令流程中每一条信令包括的消息类型进行特征构造，得到第二训练样本；所述第二训练样本中的特征向量与所述训练信令流程中的信令一一对应；

将第二训练样本和第二标注信息输入至第四训练模型进行异常检测处理，得到第二异常检测处理结果；所述第二异常检测处理结果指示所述第二训练样本为正常信令流程或者异常信令流程；

根据所述第二异常检测处理结果和第二标准结果，确定所述第一训练样本对应的损失；所述第二标准结果为所述第二标注信息指示的所述第二训练样本的真实结果；

利用所述第二训练样本对应的损失，通过优化算法更新所述第四训练模型的参数，得到第二信令异常检测模型。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被移动设备的处理器执行时，使所述处理器执行权利要求1至22任意一项所述的方法。