基于多时序分析的物联网卡异常行为分级监测方法及系统

技术领域

本发明涉及物联网技术领域，尤其涉及一种基于多时序分析的物联网卡异常行为分级监测方法及系统。

背景技术

物联网卡是运营商基于物联网公共服务网络，面向物联网用户提供的移动通信接入业务。针对于全国31省物联网卡用户的使用数据，每日所产生的数据量是十分巨大的。目前，物联网卡用户的使用数据通过堆积服务器性能实现异常行为的发现，该方式算法模型单一易被行为绕行，异常行为的发现率及准确率低。

发明内容

本发明所要解决的技术问题在于提供一种可以提高异常行为的发现率及准确率的基于多时序分析的物联网卡异常行为分级监测方法及系统。

为解决上述技术问题，本发明采用如下所述的技术方案：

一种基于多时序分析的物联网卡异常行为分级监测方法包括有如下步骤：利用训练好的门控循环单元模型对完整生命周期的物联网卡用户行为数据进行长距离监控，截取疑似异常行为数据并进行分级；针对疑似异常行为数据，利用训练好的双向循环神经网络模型对行为前后内容进行分析，实现事件的分级和权重分配，获取精品风险监测数据；利用训练好的Transformer模型对精品风险监测数据进行稽核，输出精品数据结果。

一种基于多时序分析的物联网卡异常行为分级监测系统，其包括有疑似异常行为识别模块、疑似异常行为分析模块和异常行为稽核模块；疑似异常行为识别模块用于利用训练好的门控循环单元模型对完整生命周期的物联网卡用户行为数据进行长距离监控，截取疑似异常行为数据并进行分级；疑似异常行为分析模块用于针对疑似异常行为数据，利用训练好的双向循环神经网络模型对行为前后内容进行分析，实现事件的分级和权重分配，获取精品风险监测数据；异常行为稽核模块用于利用训练好的Transformer模型对精品风险监测数据进行稽核，输出精品数据结果。

本发明的有益技术效果在于：上述的基于多时序分析的物联网卡异常行为分级监测方法及系统，先通过门控循环单元模型完成长距离时序的物联网卡异常行为数据发现，再通过双向循环神经网络模型对截取的疑似异常行为数据的前后动作进行内容分析定级和权重分配，最后通过Transformer模型对精品风险监测数据中的中、高风险事件进行准确定位，完成结果的输出。本发明利用多个时序分析模型按阶段对物联网卡用户行为数据进行检测，增强了监控周期，可以完成长距离监控，同时提高了异常事件的发现率及准确率，此外，通过对事件的分级可对事件权重进行调控，从而提升资源利用度。

附图说明

图1为本发明的基于多时序分析的物联网卡异常行为分级监测方法的流程示意图；

图2为本发明的门控循环单元模型的结构示意图；

图3为本发明的双向循环神经网络模型的结构示意图；

图4为本发明的Transformer模型的结构示意图；

图5为本发明的Transformer模型的编码器和解码器的结构示意图；

图6为本发明的自注意力的矩阵运算方法示意图；

图7为本发明的基于多时序分析的物联网卡异常行为分级监测系统的结构示意图。

具体实施方式

为使本领域的普通技术人员更加清楚地理解本发明的目的、技术方案和优点，以下结合附图和实施例对本发明做进一步的阐述。

如图1所示，在本发明一个实施例中，基于多时序分析的物联网卡异常行为分级监测方法包括有如下步骤：

S10、利用训练好的门控循环单元模型对完整生命周期的物联网卡用户行为数据进行长距离监控，截取疑似异常行为数据并进行分级；

S20、针对疑似异常行为数据，利用训练好的双向循环神经网络模型对行为前后内容进行分析，实现事件的分级和权重分配，获取精品风险监测数据；

S30、利用训练好的Transformer模型对精品风险监测数据进行稽核，输出精品数据结果。

在步骤S10中：

门控循环单元模型以序列数据为输入，在序列的演进方向进行递归，将所有节点按链式连接形成循环神经网络，并结合物联网卡风险事件周期长的特点，增加单元状态，构成长短时记忆网络，以满足数据长距离依赖的要求。

门控循环单元模型是基于训练数据预先训练得到，其训练过程如下：

S11、收集多个省份脱敏后的物联网卡正常行为数据和告警数据作为训练数据，并将训练数据分为训练集和测试集。

收集多个省份脱敏后的物联网卡正常行为数据和告警数据，并对收集到的物联网卡正常行为数据和告警数据进行筛选、去重、去噪、特征提取操作后生成训练数据。训练数据生成后，按8:2的比例将训练数据随机切分为训练集和测试集。其中，将物联网卡的行为数据有语音话单量、短信话单量、流量话单量、是否机卡分离、是否跨地区使用、是否漫游至敏感区域使用等信息，以及对应数据的标签正常使用、不合理使用、异常流量使用、异常短信使用等信息。

S12、将训练集送入待训练的门控循环单元模型进行训练，并经过测试集验证，最终生成训练好的门控循环单元模型。

图2示出了门控循环单元模型的结构示意图，如图2所示，本发明修改了循环神经网络中隐藏状态的计算方式。在门控循环单元模型中的重置门和更新门的输入均为当前时间步输入X

设隐藏单元个数为h，给定时间步t的小批量输入X

R

Z

sigmoid函数可以将元素的值变换到0和1之间，从而捕捉时间序列中时间步距离较大的依赖关系，通过学习的门来控制信息的流动。

门控循环单元模型因采用较少参数，可有效减少过拟合的风险，本发明利用门控循环单元模型对完整生命周期的物联网卡用户行为数据进行分析，计算量小，可增强监控周期，完成长距离监控。

在步骤S20中：

双向循环神经网络模型是基于训练数据预先训练得到，其训练过程如下：

S21、收集多个省份脱敏后的物联网卡正常行为数据和告警数据作为训练数据，并将训练数据分为训练集和测试集。

收集多个省份脱敏后的物联网卡正常行为数据和告警数据，并对收集到的物联网卡正常行为数据和告警数据进行筛选、去重、去噪、特征提取操作后生成训练数据。训练数据生成后，按8:2的比例将训练数据随机切分为训练集和测试集。其中，将物联网卡的行为数据有语音话单量、短信话单量、流量话单量、是否机卡分离、是否跨地区使用、是否漫游至敏感区域使用等信息，以及对应数据的标签正常使用、不合理使用、异常流量使用、异常短信使用等信息。

S22、将训练集送入待训练的双向循环神经网络模型进行训练，并经过测试集验证，最终生成训练好的双向循环神经网络模型。

图3示出了双向循环神经网络模型的结构示意图，如图3所示，双向循环神经网络连接两个相反的隐藏层到同一个输出，基于生成性深度学习，输出层能够同时的从前向和后向接收信息。通过这个结构提供给输出层输入序列中每一个点的完整的过去和未来的上下行为数据信息。将六个独特的权值在每一个时步被重复的利用，六个权值分别对应：输入到向前和向后隐含层(w1,w3)，隐含层到隐含层自己(w2,w5)，向前和向后隐含层到输出层(w4,w6)，最终形成一个沿着时间展开的双向循环神经网络。

向前推算：

对于双向循环神经网络的隐含层，向前推算跟单向的循环神经网络一样，除了输入序列对于两个隐含层是相反方向的，输出层直到两个隐含层处理完所有的全部输入序列才更新：

for t＝1 to T do

Forward pass for the forward hidden layer,storing activations at eachtimestep for t＝Tto 1do

Forward pass for the backward hidden layer,storing activations ateach timestep for all t,in any order do

Forward pass for the output layer,using the stored activations frombothhidden layers.

向后推算：

双向循环神经网络的向后推算与标准的循环神经网络通过时间反向传播相似，除了所有的输出层δ项首先被计算，然后返回给两个不同方向的隐含层：

for all t,in any order do

Backward pass forthe output layer,storing terms at each timestep fort＝Tto 1do

BPTT backward pass for the forward hidden layer,using the stored8terms from the output layer for t＝1to Tdo

BPTT backward pass for the backward hidden layer,using the stored8terms from the output layer.

双向循环神经网络模型通过对完整序列以时间为轴进行双向循环计算，对物联网卡的序列行为数据进行前后行为分析，解析完整事件及推理行为目的，可对复杂场景模型进行发现。

在步骤S30中：

Transformer模型是基于训练数据预先训练得到，其训练过程如下：

S31、收集多个省份脱敏后的物联网卡正常行为数据和告警数据作为训练数据，并将训练数据分为训练集和测试集。

收集多个省份脱敏后的物联网卡正常行为数据和告警数据，并对收集到的物联网卡正常行为数据和告警数据进行筛选、去重、去噪、特征提取操作后生成训练数据。训练数据生成后，按8:2的比例将训练数据随机切分为训练集和测试集。其中，将物联网卡的行为数据有语音话单量、短信话单量、流量话单量、是否机卡分离、是否跨地区使用、是否漫游至敏感区域使用等信息，以及对应数据的标签正常使用、不合理使用、异常流量使用、异常短信使用等信息。

S32、将训练集送入待训练的Transformer模型进行训练，并经过测试集验证，最终生成训练好的Transformer模型。

图4示出了Transformer模型的结构示意图，如图4所示，通过Transformer模型制成的黑匣子可以实现将输入的一种语言翻译成其他语言，黑匣子由2个部分组成，分别是编码组件和解码组件，他们均由N个编码器和解码器组成，通过多编码多解码的计算提高模型的精确度。

如图5所示，编码器包括有自注意力层和前馈神经网络。如图6所示，自注意力的矩阵运算方法的过程如下：1)输入(Thinking Machines)；2)编码每一个动作(注:除了第0个编码器，其他编码器都不需要进行词嵌入，它可以直接将前面一层编码器的输出作为输入(矩阵R))；3)将自注意力分为8个头，将矩阵X或矩阵R乘以各个权重矩阵；4)通过输出的查询/键/值(Q/K/V)矩阵计算注意力；5)将所有注意力头拼接起来，乘以权重矩阵W。

物联网卡行为数据经过编码器的自注意力层，该自注意力层帮助编码器在对每个行为编码时关注输入数据的其他行为。自注意力层的输出会传递到前馈神经网络中，一层窗口为一个行为的一维卷积神经网络。

通过Transformer模型使得每个元素都可以像CNN(卷积神经网络)一样的全局的信息进行交互，忽略全局距离，同时因为自注意力可以产生更具可解释性的模型，从模型中检查注意力分布，使各个注意头可以学会执行不同的任务，突破了RNN(循环神经网络)模型无法并行计算的问题。

完整的异常行为事件包含一段完整的生命周期，同样的事件类型可能都存在相似的前置动作，最终由一个或多个前置动作结合异常行为动作构成完整的异常事件。在物联网卡异常行为分级监测过程中，对于持续接收物联网卡用户行为数据，先通过门控循环单元模型进行分析，通过建设重置门和更新门，修改了循环神经网络中隐藏状态的计算方式，对时间上长距离的风险行为进行发现，以风险行为类型进行初步风险分级并加深管控，根据初筛的结果截取疑似异常行为数据；针对截取的疑似异常行为数据，通过双向循环神经网络模型向前及向后进行计算，对事件节点的前后事件进行推理，重分级事件的威胁程度；重分级完成后，针对中高危数据，通过Transformer模型制成的黑匣子，将物联网卡的用户行为数据做为输入，通过编码器进行自注意力矩阵运算，以全局为范围进行并发多维计算，完成用户风险事件的精准分级。

如图7所示，本发明还提供了一种基于多时序分析的物联网卡异常行为分级监测系统，其包括有疑似异常行为识别模块10、疑似异常行为分析模块20和异常行为稽核模块30。

疑似异常行为识别模块10用于利用训练好的门控循环单元模型对完整生命周期的物联网卡用户行为数据进行长距离监控，截取疑似异常行为数据并进行分级，即疑似异常行为识别模块10用于执行图1所示实施例中的基于多时序分析的物联网卡异常行为分级监测方法中的步骤S10。

疑似异常行为分析模块20用于针对疑似异常行为数据，利用训练好的双向循环神经网络模型对行为前后内容进行分析，实现事件的分级和权重分配，获取精品风险监测数据，即疑似异常行为分析模块20用于执行图1所示实施例中的基于多时序分析的物联网卡异常行为分级监测方法中的步骤S20。

异常行为稽核模块30用于利用训练好的Transformer模型对精品风险监测数据进行稽核，输出精品数据结果，即异常行为稽核模块30用于执行图1所示实施例中的基于多时序分析的物联网卡异常行为分级监测方法中的步骤S30。

本发明的基于多时序分析的物联网卡异常行为分级监测方法及系统，先通过门控循环单元模型完成长距离时序的物联网卡异常行为数据发现，再通过双向循环神经网络模型对截取的疑似异常行为数据的前后动作进行内容分析定级和权重分配，最后通过Transformer模型对精品风险监测数据中的中、高风险事件进行准确定位，完成结果的输出。利用多个时序分析模型对物联网卡用户行为数据进行检测，增强了监控周期，可以完成长距离监控，同时提高了异常事件的发现率及准确率，此外，通过对事件的分级可对事件权重进行调控，从而提升资源利用度。

以上所述仅为本发明的优选实施例，而非对本发明做任何形式上的限制。本领域的技术人员可在上述实施例的基础上施以各种等同的更改和改进，凡在权利要求范围内所做的等同变化或修饰，均应落入本发明的保护范围之内。