凌穎，邱蕓

?

基于網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為監(jiān)控的方法

凌穎，邱蕓

（中國(guó)電信股份有限公司上海研究院，上海 200122）

物聯(lián)網(wǎng)是通過(guò)部署具有一定感知、計(jì)算、執(zhí)行和通信等能力的各種設(shè)備，獲得物理世界的信息或?qū)ξ锢硎澜绲奈矬w進(jìn)行控制，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)信息的傳輸、協(xié)同和處理，從而實(shí)現(xiàn)人與物通信、物與物通信的網(wǎng)絡(luò)，每一個(gè)物聯(lián)網(wǎng)傳感節(jié)點(diǎn)都是一個(gè)信息源，數(shù)據(jù)流源源不斷。電信網(wǎng)絡(luò)運(yùn)營(yíng)商可以通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，及時(shí)發(fā)現(xiàn)物聯(lián)網(wǎng)終端的異常情況，從而保證物聯(lián)網(wǎng)終端的正常使用。闡述了一種通過(guò)分析電信網(wǎng)絡(luò)中的網(wǎng)絡(luò)數(shù)據(jù)、制定物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為標(biāo)簽、對(duì)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控的方法。并以穿戴行業(yè)應(yīng)用為例，描述了對(duì)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為進(jìn)行監(jiān)控的分析過(guò)程。

物聯(lián)網(wǎng)；網(wǎng)絡(luò)數(shù)據(jù)；網(wǎng)絡(luò)行為監(jiān)控

1 引言

物聯(lián)網(wǎng)是一種全球化的信息服務(wù)基礎(chǔ)設(shè)施，它基于現(xiàn)有和未來(lái)演進(jìn)的通信和信息技術(shù)，提供互聯(lián)物理和虛擬物體的先進(jìn)服務(wù)[1]。物聯(lián)網(wǎng)是指通過(guò)部署具有一定感知、計(jì)算、執(zhí)行和通信等能力的各種設(shè)備，獲得物理世界的信息或?qū)ξ锢硎澜绲奈矬w進(jìn)行控制，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)信息的傳輸、協(xié)同和處理，從而實(shí)現(xiàn)人與物通信、物與物通信的網(wǎng)絡(luò)[2]。

物聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)產(chǎn)生于物聯(lián)網(wǎng)產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)，包括感知層、網(wǎng)絡(luò)層、平臺(tái)層和應(yīng)用層上都會(huì)產(chǎn)生大量的數(shù)據(jù)[3]。物聯(lián)網(wǎng)應(yīng)用產(chǎn)生的數(shù)據(jù)具有海量性、多態(tài)性等特性。每一個(gè)物聯(lián)網(wǎng)傳感節(jié)點(diǎn)都是一個(gè)信息源，數(shù)據(jù)流源源不斷[4]；物聯(lián)網(wǎng)涉及的應(yīng)用范圍廣泛，不同領(lǐng)域、不同行業(yè)的物聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)通常具有不同的類型和格式，因此物聯(lián)網(wǎng)中數(shù)據(jù)多樣性更為突出[5]。

物聯(lián)網(wǎng)應(yīng)用提供商擁有物聯(lián)網(wǎng)感知層和應(yīng)用層上的數(shù)據(jù)，而電信網(wǎng)絡(luò)運(yùn)營(yíng)商則擁有物聯(lián)網(wǎng)的網(wǎng)絡(luò)層和平臺(tái)層上的數(shù)據(jù)，這些數(shù)據(jù)不是應(yīng)用層面的數(shù)據(jù)，但能夠通過(guò)對(duì)這些數(shù)據(jù)的分析結(jié)果，掌握與物聯(lián)網(wǎng)終端所屬行業(yè)應(yīng)用相關(guān)的網(wǎng)絡(luò)行為特征。目前，很多物聯(lián)網(wǎng)大數(shù)據(jù)分析是基于感知層和應(yīng)用層的數(shù)據(jù)進(jìn)行的[6]，而很少有運(yùn)營(yíng)商對(duì)物聯(lián)網(wǎng)終端在網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)進(jìn)行分析。

電信網(wǎng)絡(luò)運(yùn)營(yíng)商可以通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，及時(shí)發(fā)現(xiàn)物聯(lián)網(wǎng)終端的異常情況，從而保證物聯(lián)網(wǎng)終端的正常使用，而且還可以將這些與行業(yè)應(yīng)用相關(guān)的物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為數(shù)據(jù)作為咨詢報(bào)告形式提供給第三方行業(yè)研究機(jī)構(gòu)。

本文主要描述了從網(wǎng)絡(luò)數(shù)據(jù)中可以分析出哪些物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為特征以及如何為不同行業(yè)應(yīng)用的物聯(lián)網(wǎng)終端設(shè)計(jì)網(wǎng)絡(luò)行為標(biāo)簽，并基于這些標(biāo)簽進(jìn)行物聯(lián)網(wǎng)終端異常行為檢測(cè)的方法。最后還以可穿戴行業(yè)應(yīng)用為例，描述了對(duì)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為進(jìn)行監(jiān)控的分析過(guò)程。

2 物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為特征

物聯(lián)網(wǎng)感知設(shè)備基于計(jì)算機(jī)和通信技術(shù)，利用蜂窩移動(dòng)網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)等完成信息的傳輸、協(xié)同和處理，從而實(shí)現(xiàn)物與物通信、物與人通信的網(wǎng)絡(luò)[7]。因此，物聯(lián)網(wǎng)終端相關(guān)的網(wǎng)絡(luò)信息數(shù)據(jù)可以從電信網(wǎng)絡(luò)數(shù)據(jù)中采集清洗獲得，物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)主要包括：物聯(lián)網(wǎng)終端語(yǔ)音、短信業(yè)務(wù)的通信數(shù)據(jù)、物聯(lián)網(wǎng)終端上網(wǎng)數(shù)據(jù)、物聯(lián)網(wǎng)終端的基本屬性數(shù)據(jù)和位置數(shù)據(jù)等。

通過(guò)這些數(shù)據(jù)可以獲得不同行業(yè)應(yīng)用的物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為特征，如下所示。

（1）物聯(lián)網(wǎng)終端的數(shù)據(jù)通信行為特征

隨著3G、4G網(wǎng)絡(luò)的發(fā)展，越來(lái)越多的物聯(lián)網(wǎng)終端使用數(shù)據(jù)上網(wǎng)的通信方式進(jìn)行信息傳輸，不同行業(yè)應(yīng)用的物聯(lián)網(wǎng)終端數(shù)據(jù)通信行為特征各不相同，主要體現(xiàn)在以下幾個(gè)方面：終端數(shù)據(jù)上網(wǎng)訪問(wèn)的時(shí)段、頻次、在線時(shí)長(zhǎng)、活躍時(shí)長(zhǎng)、流量大小以及數(shù)據(jù)訪問(wèn)方向等。

? 數(shù)據(jù)上網(wǎng)訪問(wèn)的時(shí)段每周可以分為工作日或休息日，每天可以分為8:00—18:00的工作時(shí)間或18:00—8:00的非工作時(shí)間。如：稅控機(jī)行業(yè)的物聯(lián)網(wǎng)終端通常是在工作日的工作時(shí)間進(jìn)行信息傳輸；視頻監(jiān)控行業(yè)的物聯(lián)網(wǎng)終端可以是在非工作時(shí)間段內(nèi)進(jìn)行信息傳輸。

? 數(shù)據(jù)上網(wǎng)的頻次可以分為高頻次的數(shù)據(jù)傳輸、低頻次的數(shù)據(jù)傳輸或偶發(fā)的數(shù)據(jù)傳輸。如：金融POS終端每日會(huì)高頻次地進(jìn)行信息傳輸；智能井蓋在被移動(dòng)或破壞時(shí)才會(huì)有信息傳輸，屬于偶發(fā)的信息傳輸行為。

? 數(shù)據(jù)上網(wǎng)的在線時(shí)長(zhǎng)是指物聯(lián)網(wǎng)終端建立數(shù)據(jù)連接的時(shí)間長(zhǎng)度，而活躍時(shí)長(zhǎng)是指物聯(lián)網(wǎng)終端在連接狀態(tài)下進(jìn)行信息傳輸?shù)臅r(shí)間長(zhǎng)度。如：金融POS終端雖然長(zhǎng)時(shí)間處于連接狀態(tài)，在線時(shí)長(zhǎng)通常很長(zhǎng)，但是金融POS終端的活躍時(shí)長(zhǎng)卻很短，通常是在交易發(fā)生時(shí)，用戶在POS機(jī)上劃卡時(shí)才會(huì)產(chǎn)生信息傳輸。

? 不同行業(yè)應(yīng)用的物聯(lián)網(wǎng)終端的數(shù)據(jù)上網(wǎng)流量大小差別較大。如：智能家居行業(yè)應(yīng)用終端傳輸?shù)臄?shù)據(jù)量較大；而金融POS終端傳輸?shù)臄?shù)據(jù)量通常都較小。

? 物聯(lián)網(wǎng)終端的數(shù)據(jù)訪問(wèn)分為定向和非定向兩種。很多物聯(lián)網(wǎng)終端是向特定地址的應(yīng)用平臺(tái)傳輸數(shù)據(jù)的，如：智能抄表的終端就是向特定的抄表應(yīng)用服務(wù)器上傳輸抄表數(shù)據(jù)，這類數(shù)據(jù)訪問(wèn)就是定向的數(shù)據(jù)訪問(wèn)；而也有一些物聯(lián)網(wǎng)終端數(shù)據(jù)訪問(wèn)的目的地不是特定的地址，而是任意的網(wǎng)絡(luò)地址，如：車載Wi-Fi終端的數(shù)據(jù)訪問(wèn)地址就不是特定地址，這類數(shù)據(jù)訪問(wèn)就是非定向的數(shù)據(jù)訪問(wèn)。

（2）物聯(lián)網(wǎng)終端的語(yǔ)音和短信通信行為特征

目前網(wǎng)絡(luò)中還有一些使用2G的語(yǔ)音和短信的通信方式進(jìn)行信息傳輸?shù)奈锫?lián)網(wǎng)終端。物聯(lián)網(wǎng)終端的語(yǔ)音和短信的通信行為特征與數(shù)據(jù)通信行為特征相類似，包括：語(yǔ)音通話時(shí)段、頻次、時(shí)長(zhǎng)以及被叫號(hào)碼是否為定向號(hào)碼等；短信通信時(shí)段、頻次以及接收短信號(hào)碼是否為定向號(hào)碼等。

表1 8個(gè)物聯(lián)網(wǎng)行業(yè)應(yīng)用的網(wǎng)絡(luò)行為特征

（3）物聯(lián)網(wǎng)終端的移動(dòng)性行為特征

如果物聯(lián)網(wǎng)終端利用移動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)信息傳輸，那么其在網(wǎng)絡(luò)中就具備移動(dòng)性特征。物聯(lián)網(wǎng)終端的移動(dòng)性行為特征包括固定位置類型、游牧類型和移動(dòng)類型等。

有些物聯(lián)網(wǎng)終端的位置是固定的，而有些物聯(lián)網(wǎng)終端的位置是不固定的。

對(duì)于不連續(xù)移動(dòng)的物聯(lián)網(wǎng)終端可以稱為是游牧類型的終端，如：物流行業(yè)的物聯(lián)網(wǎng)終端，其位置變化過(guò)程是不連續(xù)的，可能上午在北京進(jìn)行了信息傳輸，而下午就出現(xiàn)在上海。對(duì)于游牧類型的物聯(lián)網(wǎng)終端而言，可以根據(jù)不同游牧地的個(gè)數(shù)進(jìn)行分類，分為游牧位置多的終端和游牧位置少的終端。

對(duì)于連續(xù)移動(dòng)的物聯(lián)網(wǎng)終端可以稱為是移動(dòng)類型的終端，如：車聯(lián)網(wǎng)行業(yè)的物聯(lián)網(wǎng)終端，其位置變化過(guò)程是連續(xù)的。對(duì)于移動(dòng)類型的物聯(lián)網(wǎng)終端而言，可以根據(jù)移動(dòng)速度快慢進(jìn)行分類，分為快速移動(dòng)的終端和慢速移動(dòng)的終端。

表1列舉了8個(gè)物聯(lián)網(wǎng)行業(yè)應(yīng)用的網(wǎng)絡(luò)行為特征，這些特征都是基于網(wǎng)絡(luò)數(shù)據(jù)分析獲得的。

綜上所述，根據(jù)物聯(lián)網(wǎng)終端在移動(dòng)網(wǎng)絡(luò)中所具備的網(wǎng)絡(luò)特征，可以對(duì)物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為進(jìn)行描述，并結(jié)合物聯(lián)網(wǎng)終端所屬行業(yè)、應(yīng)用分類等基本屬性信息，歸納出不同行業(yè)物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為特征。而這些不同行業(yè)物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為特征可以通過(guò)網(wǎng)絡(luò)行為標(biāo)簽進(jìn)行描述。

圖1 物聯(lián)網(wǎng)行業(yè)屬性標(biāo)簽

3 網(wǎng)絡(luò)行為標(biāo)簽設(shè)計(jì)

電信網(wǎng)絡(luò)運(yùn)營(yíng)商設(shè)計(jì)的物聯(lián)網(wǎng)行業(yè)用戶的標(biāo)簽體系，可以通過(guò)物聯(lián)網(wǎng)行業(yè)屬性標(biāo)簽、物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為靜態(tài)標(biāo)簽、物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為動(dòng)態(tài)標(biāo)簽三大標(biāo)簽?zāi)K共同構(gòu)成。靜態(tài)標(biāo)簽是直接從原始數(shù)據(jù)中提取出來(lái)的標(biāo)簽，而動(dòng)態(tài)標(biāo)簽是通過(guò)對(duì)原始數(shù)據(jù)計(jì)算匯總后得到的統(tǒng)計(jì)數(shù)據(jù)中提取出來(lái)的標(biāo)簽。

物聯(lián)網(wǎng)行業(yè)屬性標(biāo)簽如圖1所示，這類以行業(yè)應(yīng)用特征為主的標(biāo)簽?zāi)K，來(lái)源于對(duì)物聯(lián)網(wǎng)行業(yè)的深入研究，不依賴于電信所擁有的用戶數(shù)據(jù)。

物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為靜態(tài)標(biāo)簽如圖2所示。

圖2 物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為靜態(tài)標(biāo)簽

物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為動(dòng)態(tài)標(biāo)簽如圖3所示。

綜上所述，通過(guò)物聯(lián)網(wǎng)行業(yè)屬性標(biāo)簽和網(wǎng)絡(luò)行為標(biāo)簽結(jié)合的定性分析結(jié)果，可以提取出物聯(lián)網(wǎng)終端的關(guān)鍵特征，形成物聯(lián)網(wǎng)行業(yè)群體的網(wǎng)絡(luò)行為畫像。

圖3 物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為動(dòng)態(tài)標(biāo)簽

4 網(wǎng)絡(luò)行為監(jiān)控模型設(shè)計(jì)

基于物聯(lián)網(wǎng)行業(yè)應(yīng)用的網(wǎng)絡(luò)行為標(biāo)簽體系，可以實(shí)現(xiàn)各種應(yīng)用，對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控就是其中一種重要的應(yīng)用。

物聯(lián)網(wǎng)網(wǎng)絡(luò)行為監(jiān)控應(yīng)用需要對(duì)物聯(lián)網(wǎng)終端異常行為進(jìn)行分析，旨在尋找具有異常特征的物聯(lián)網(wǎng)終端。首先是基于物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)數(shù)據(jù)，對(duì)各行業(yè)物聯(lián)網(wǎng)行為進(jìn)行歸納，提取特征，建立分析維度；然后對(duì)各分析維度進(jìn)行數(shù)據(jù)清洗和抽取，建立分析維度字段；接下來(lái)選擇合適的算法進(jìn)行異常行為分析，找到離群點(diǎn)，建立分析模型；最后進(jìn)行模型的應(yīng)用和評(píng)估。

不同行業(yè)的物聯(lián)網(wǎng)終端有不同的網(wǎng)絡(luò)行為特征，因此，物聯(lián)網(wǎng)終端異常行為的分析需要分行業(yè)進(jìn)行，需要依據(jù)現(xiàn)有樣本及物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為標(biāo)簽，通過(guò)對(duì)不同行業(yè)物聯(lián)網(wǎng)終端離群點(diǎn)的檢測(cè)，分行業(yè)標(biāo)注異常樣本點(diǎn)，建立模型訓(xùn)練集，從而構(gòu)建機(jī)器學(xué)習(xí)分類器，預(yù)測(cè)物聯(lián)網(wǎng)終端是否異常。

依據(jù)上述物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為標(biāo)簽，找到離群點(diǎn)，作為具有異常行為的終端，為下一步構(gòu)建分類器做準(zhǔn)備。尋找離群點(diǎn)的方法大致可以分為兩類：一類是基于統(tǒng)計(jì)分布模型的方法，例如，假定總體服從高斯分布，落在3倍標(biāo)準(zhǔn)差之外的樣本，認(rèn)為是離群點(diǎn)，這種方法比較適合進(jìn)行單變量分析；另一類是基于距離的方法，主要有NN算法、聚類算法以及局部異常因子（local outlier factor，LOF）算法。

NN算法是有監(jiān)督的學(xué)習(xí)，不適合現(xiàn)在的場(chǎng)景；局部異常因子算法的時(shí)間復(fù)雜度很高，不適合大數(shù)據(jù)集；而聚類算法效率較高，適用于大數(shù)據(jù)集，所以這里采用的是基于聚類算法的離群點(diǎn)檢測(cè)?；诰垲愃惴ǖ碾x群點(diǎn)檢測(cè)的主要步驟如下。

步驟1 對(duì)樣本數(shù)據(jù)進(jìn)行聚類。

步驟2 計(jì)算每個(gè)樣本的離群因子，將離群因子較大的對(duì)象判定為離群點(diǎn)。

假設(shè)樣本集被聚類算法劃分為個(gè)簇={1,2,…,C}，樣本的離群因子（outlier factor）()定義為與所有簇間距離的加權(quán)平均值：

進(jìn)一步計(jì)算所有樣本離群因子均值（_）以及離群因子標(biāo)準(zhǔn)差（_），從而得到離群因子閾值：

大于該閾值的樣本認(rèn)為是異常樣本。

上述是基于聚類算法找到現(xiàn)有樣本集中具有異常行為的終端，然后根據(jù)終端行為特征標(biāo)簽，對(duì)正負(fù)樣本集進(jìn)行訓(xùn)練，構(gòu)建有監(jiān)督學(xué)習(xí)的分類器，并固化終端異常行為檢測(cè)模型。

5 可穿戴終端的網(wǎng)絡(luò)行為分析

可穿戴終端的上網(wǎng)時(shí)間和位置并不固定，根據(jù)個(gè)人行為的不同而不同；可穿戴終端的日均流量均值達(dá)到71.9 Mbit/s，中位數(shù)是11.4 Mbit/s，數(shù)據(jù)波動(dòng)比較大；如果終端不活躍，只有下行流量不到1 kbit/s的數(shù)據(jù)流量。

5.1 數(shù)據(jù)流量

從數(shù)據(jù)流量角度分析，對(duì)可穿戴物聯(lián)網(wǎng)終端使用的日均流量進(jìn)行統(tǒng)計(jì)，日均流量是用戶使用的總流量與發(fā)生流量的天數(shù)之比。表2反映了可穿戴終端4G話單下日均流量統(tǒng)計(jì)指標(biāo)值的情況。

表2 可穿戴日均流量統(tǒng)計(jì)指標(biāo)值（4G）

在4G情形下，可穿戴終端日均流量數(shù)據(jù)偏差較大，有10%的終端日均流量在1 Mbit/s以下；同時(shí)，有10%的終端日均流量在169 Mbit/s以上。低流量終端可能是不活躍的終端，而對(duì)于流量大于169 Mbit/s的終端可能是存在異常的高流量終端。

在3G情形下，通過(guò)極大似然估計(jì)得到的可穿戴終端日均流量均值和標(biāo)準(zhǔn)差結(jié)果見(jiàn)表3。

表3 可穿戴日均流量統(tǒng)計(jì)指標(biāo)值（3G）

基于高斯分布模型，在3G情形下，日均流量大于87 Mbit/s的概率是0.022 8，因此，根據(jù)統(tǒng)計(jì)分布模型異常檢測(cè)思想，當(dāng)可穿戴終端在3G下的業(yè)務(wù)數(shù)據(jù)流量大于87 Mbit/s時(shí)，可能是高流量異常終端。

5.2 在線時(shí)長(zhǎng)

從可穿戴終端在線時(shí)長(zhǎng)維度分析，可穿戴終端在線時(shí)長(zhǎng)因人而異，其在線時(shí)長(zhǎng)包含終端和基站交互的靜默時(shí)長(zhǎng)。對(duì)可穿戴物聯(lián)網(wǎng)終端日均在線時(shí)長(zhǎng)進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)指標(biāo)值結(jié)果見(jiàn)表4。

表4 可穿戴日均在線時(shí)長(zhǎng)統(tǒng)計(jì)指標(biāo)值（4G）

在4G情形下，可穿戴終端日均在線時(shí)長(zhǎng)中位數(shù)為17 h，均值為16 h，偏度較小，在線時(shí)長(zhǎng)分布較為集中。對(duì)于日均在線時(shí)長(zhǎng)大于24 h的終端，是數(shù)據(jù)質(zhì)量異常。

在3G情形下，通過(guò)極大似然估計(jì)得到的可穿戴終端日均在線時(shí)長(zhǎng)均值和標(biāo)準(zhǔn)差見(jiàn)表5。

表5 可穿戴日均在線時(shí)長(zhǎng)統(tǒng)計(jì)指標(biāo)值（3G）

基于高斯分布模型，在3G情形下，日均在線時(shí)長(zhǎng)大于22 h的概率是0.022 8，因此，根據(jù)統(tǒng)計(jì)分布模型異常檢測(cè)思想，當(dāng)可穿戴終端在3G下的在線時(shí)長(zhǎng)大于22 h時(shí)，可能是存在異常終端。

5.3 活躍時(shí)長(zhǎng)

對(duì)可穿戴終端的活躍時(shí)長(zhǎng)進(jìn)行統(tǒng)計(jì)分析，活躍時(shí)長(zhǎng)是終端產(chǎn)生業(yè)務(wù)數(shù)據(jù)流量的時(shí)長(zhǎng)，反映終端的活躍程度。各指標(biāo)統(tǒng)計(jì)結(jié)果見(jiàn)表6。

在4G情形下，終端活躍時(shí)長(zhǎng)均值為5 h，中位數(shù)為4 h，在統(tǒng)計(jì)的樣本中，有10%的終端活躍時(shí)長(zhǎng)不足1 h，屬于低活躍終端；另有10%的終端活躍時(shí)長(zhǎng)超過(guò)14 h，屬于異常高活躍終端。

表6 可穿戴日均活躍時(shí)長(zhǎng)統(tǒng)計(jì)指標(biāo)值（4G）

在3G情形下，通過(guò)極大似然估計(jì)得到的可穿戴終端日均活躍時(shí)長(zhǎng)均值和標(biāo)準(zhǔn)差見(jiàn)表7。

表7 可穿戴日均活躍時(shí)長(zhǎng)統(tǒng)計(jì)指標(biāo)值（3G）

基于高斯分布模型，在3G情形下，日均活躍時(shí)長(zhǎng)大于19 h的概率是0.022 8，因此，根據(jù)統(tǒng)計(jì)分布模型異常檢測(cè)思想，當(dāng)可穿戴終端在3G下的活躍時(shí)長(zhǎng)大于19 h，可能是異常高活躍終端。

5.4 上網(wǎng)頻次

對(duì)可穿戴終端上網(wǎng)頻次進(jìn)行統(tǒng)計(jì)，通過(guò)極大似然估計(jì)得到的可穿戴終端日均上網(wǎng)頻次的均值和標(biāo)準(zhǔn)差，4G和3G情形下的日均上網(wǎng)頻次分布模型參數(shù)見(jiàn)表8。

表8 可穿戴日均上網(wǎng)頻次分布模型參數(shù)

基于高斯分布模型，在4G情形下，日均上網(wǎng)頻次大于192次的概率是0.022 8，因此，根據(jù)統(tǒng)計(jì)分布模型異常檢測(cè)思想，當(dāng)可穿戴終端在4G下的上網(wǎng)頻次大于192次時(shí)，可能是異常高頻次終端。同理，在3G情形下，上網(wǎng)頻次大于160次時(shí)，可能是異常高頻終端。

6 結(jié)束語(yǔ)

本文提出的通過(guò)分析電信網(wǎng)絡(luò)數(shù)據(jù)，制定物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)行為標(biāo)簽，并對(duì)物聯(lián)網(wǎng)終端網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控的方法?？梢詮V泛應(yīng)用在物聯(lián)網(wǎng)業(yè)務(wù)運(yùn)營(yíng)分析系統(tǒng)中，可以為不同行業(yè)的物聯(lián)網(wǎng)應(yīng)用打上網(wǎng)絡(luò)行為標(biāo)簽，從而實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)業(yè)務(wù)運(yùn)營(yíng)情況的實(shí)時(shí)分析和監(jiān)控，有利于物聯(lián)網(wǎng)應(yīng)用在趨勢(shì)分析、產(chǎn)品規(guī)劃和營(yíng)銷決策等層面的工作。

[1] ITU. Overview of the Internet of things: ITU-T Y.2060[S]. 2012.

[2] 工業(yè)和信息化部. 物聯(lián)網(wǎng)總體框架與技術(shù)要求: YD/T 2437-2012, CCSA[S]. 2012.

MIIT. General framework and technical requirements of IoT: YD/T 2437-2012, CCSA[S]. 2012.

[3] 羅伯特?斯特科維卡, 艾特?利希特, 維諾?曼薩, 等. 大數(shù)據(jù)與物聯(lián)網(wǎng)：企業(yè)信息化建設(shè)新時(shí)代[M]. 劉舂容, 譯. 北京: 機(jī)械工業(yè)出版社, 2016.

STACKOWIAK R, LICHT A,? MANTHA V, et al . Big data and Internet of things: enterprise information architecture for a new age[M]. Translated by LIU C R. Beijing: China Machine Press, 2016.

[4] 梁循，楊小平，趙吉超. 大數(shù)據(jù)物聯(lián)網(wǎng)復(fù)雜信息系統(tǒng)[M]. 北京: 清華大學(xué)出版社, 2017.

LIANG X, YANG X P, ZHAO J C. Big data IoT complex information system[M]. Beijing: Tsinghua University Press, 2017.

[5] 王桂玲, 王強(qiáng), 趙卓峰, 等. 物聯(lián)網(wǎng)大數(shù)據(jù)處理技術(shù)與實(shí)踐[M]. 北京: 電子工業(yè)出版社, 2017.

WANG G L, WANG Q, ZHAO Z F, et al. The technology and practice of large data processing in the Internet of things[M]. Beijing: Publishing House of Electronics Industry, 2017.

[6] 尼克?貝瑟斯, 斯普萊恩?杜布里. 大數(shù)據(jù)與物聯(lián)網(wǎng)：面向智慧環(huán)境路線圖[M]. 郭建勝, 周競(jìng)賽, 毛聲, 等譯. 北京: 國(guó)防工業(yè)出版社, 2017.

BESSIS N, DOBRE C. Big data and Internet of things: a roadmap for smart environment[M]. Transelated by GUO J S, ZHOU J S, MAO S, et al. Beijing: National Defense Industry Press, 2017.

[7] 魏穎琪, 林瑋平, 李穎. 物聯(lián)網(wǎng)智能終端技術(shù)研究[J]. 電信科學(xué), 2015, 31(8): 146-152.

WEI Y Q, LIN W P, LI Y, et al. Study on key technologies of intelligent IoT device[J]. Telecommunications Science, 2015, 31(8): 146-152.

A method of IoT terminal’s network behavior monitoring based on network data

LING Ying, QIU Yun

Shanghai Research Institute of China Telecom Co., Ltd., Shanghai 200122, China

The internet of things (IoT) is the network of physical devices, vehicles, home appliances and other items embedded with electronics, software, sensors, actuators and network connectivity which enable these objects to connect and exchange data. Every sensor node is a source of information. In the offered method, telecom network operators could analyze the network data and discover the abnormal situation of the IoT terminals, so as to ensure the normal use of the IoT terminals. A network behavior tag for the IoT terminals by analyzing the network data in the telecom network, and a real-time monitoring method for the IoT terminal network behavior were described. And take the wearable industry application for example, the analysis process of the internet of things network behavior was described.

internet of things, network data, network behavior monitoring

TP277

A

10.11959/j.issn.1000?0801.2017333

2017?10?13；

2017?11?30

凌穎（1973?），女，中國(guó)電信股份有限公司上海研究院高級(jí)工程師，主要研究方向?yàn)榇髷?shù)據(jù)、物聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)分析、數(shù)據(jù)管理等。

邱蕓（1980?），女，中國(guó)電信上海研究院網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)架構(gòu)師、中級(jí)工程師，主要從事基于網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用研究開(kāi)發(fā)、物聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)分析方面的工作。