[发明专利]异常用户设备的检测方法、装置、设备及存储介质

权利要求书

1.一种异常用户设备的检测方法，其特征在于，所述方法应用于检测设备，所述方法包括：

获取第一用户设备UE的行为数据，所述第一UE的行为数据包括所述第一UE的标识、第一网元标识及第一行为序列，所述第一行为序列用于描述所述第一UE的一系列行为，所述第一行为序列是根据所述第一UE相关的信令数据生成的，所述第一UE相关的信令数据是由所述第一网元标识所标识的网元上报的；

从预定的检测模型库中选择所述第一网元标识对应的检测模型集合，所述第一网元标识对应的检测模型集合包括至少两个检测模型，所述至少两个检测模型是基于UE群体中的各个第二UE的样本行为序列训练得到的，其中，针对所述UE群体中的任意一个选定的第二UE，所述选定的第二UE的样本行为序列是根据所述第一网元标识所标识的网元在上报所述第一UE相关的信令数据之前上报的、所述选定的第二UE相关的信令数据生成的；

确定所述第一行为序列对应的目标检测模型，所述目标检测模型是所述第一网元标识对应的检测模型集合中的一个检测模型；

利用所述目标检测模型对所述第一行为序列进行检测得到检测结果，所述检测结果指示所述第一UE是正常UE或是异常UE。

2.根据权利要求1所述的方法，其特征在于，所述从预定的检测模型库中选择所述第一网元标识对应的检测模型集合之前，所述方法还包括：

获取所述UE群体中的各个第二UE的样本行为序列，从所述各个第二UE的样本行为序列中过滤得到多个正常行为序列，所述正常行为序列是指序列长度符合要求的行为序列；

根据所述多个正常行为序列获取所述第一网元标识对应的至少两个样本行为序列集合，所述至少两个样本行为序列集合中的每个样本行为序列集合包括多个样本行为序列；

根据所述至少两个样本行为序列集合分别训练所述至少两个检测模型，从而得到所述第一网元标识对应的检测模型集合。

3.根据权利要求2所述的方法，其特征在于，所述根据所述多个正常行为序列获取所述第一网元标识对应的至少两个样本行为序列集合，包括：

确定所述多个正常行为序列各自对应的行为特征，对于所述多个正常行为序列中的一个选定的正常行为序列，所述选定的正常行为序列对应的行为特征为所述选定的正常行为序列所描述的UE的一系列行为所体现的通信过程中出现的行为特征；

根据所述多个正常行为序列各自对应的行为特征，对所述多个正常行为序列进行聚类，从而得到至少两个正常行为序列集合，所述至少两个正常行为序列集合中的每个正常行为序列集合包括的正常行为序列所对应的行为特征具有相似性；

根据所述至少两个正常行为序列集合，获取所述第一网元标识对应的至少两个样本行为序列集合。

4.根据权利要求3所述的方法，其特征在于，所述根据所述至少两个正常行为序列集合，获取所述第一网元标识对应的至少两个样本行为序列集合，包括：

针对所述至少两个正常行为序列集合中的任意一个选定的正常行为序列集合，响应于所述选定的正常行为序列集合的数据量超过参考范围的最大值，对所述选定的正常行为序列集合中的正常行为序列进行采样，将采样得到的正常行为序列作为样本行为序列，从而得到所述第一网元标识对应的样本行为序列集合。

5.根据权利要求4所述的方法，其特征在于，所述对所述选定的正常行为序列集合中的正常行为序列进行采样，包括：

根据所述选定的正常行为序列集合的数据量与所述参考范围的数据量之间的比例，确定所述选定的正常行为序列集合的采样数量；

根据所述选定的正常行为序列集合的各个时间点的权重及所述采样数量，对所述选定的正常行为序列集合的各个时间点所对应的正常行为序列进行采样。