基于SVM的電信網(wǎng)絡(luò)異常點(diǎn)檢測技術(shù)的研究

吳 銳，陳 靜

（安徽工業(yè)經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院，安徽 合肥 230051）

基于SVM的電信網(wǎng)絡(luò)異常點(diǎn)檢測技術(shù)的研究

吳 銳，陳 靜

（安徽工業(yè)經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院，安徽 合肥 230051）

隨著我國電信網(wǎng)絡(luò)的不斷發(fā)展，其服務(wù)也逐漸呈現(xiàn)出多樣化趨勢，使得網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)類型也日益復(fù)雜，同時流量規(guī)模較之以往有了大幅的提高.在此情況下，電信網(wǎng)絡(luò)運(yùn)營維護(hù)方式必須予以加強(qiáng)和改進(jìn)，由以往基于被動統(tǒng)計(jì)的檢測方式轉(zhuǎn)變?yōu)橹鲃俞槍唧w性能指標(biāo)進(jìn)行監(jiān)測的模式，對網(wǎng)絡(luò)中出現(xiàn)的異常情況進(jìn)行快速的排查和解決.本文提出一種基于SVM技術(shù)和同點(diǎn)時間序列模型的網(wǎng)絡(luò)異常點(diǎn)動態(tài)檢測機(jī)制，對電信網(wǎng)絡(luò)置信區(qū)間的異常點(diǎn)進(jìn)行實(shí)時化監(jiān)測.通過仿真實(shí)驗(yàn)證明，該方法有效地提高了電信網(wǎng)絡(luò)異常點(diǎn)的識別速度，具有一定的推廣價值.

SVM；電信網(wǎng)絡(luò)；異常點(diǎn)；時間序列

1 引言

隨著電信網(wǎng)絡(luò)規(guī)模的逐漸增大，目前廣泛使用的異常檢測手段主要是通過設(shè)置靜態(tài)閾值的方式來完成，當(dāng)流量在某一時間點(diǎn)超過閾值時，系統(tǒng)根據(jù)監(jiān)測到信息發(fā)出警報(bào)，但此種方法存在諸多的弊端，最大的問題就在于只能對某一網(wǎng)絡(luò)區(qū)域的總流量進(jìn)行監(jiān)測，而無法監(jiān)控某個具體的端口[1]，這使得雖然大部分時間總流量是出于正常區(qū)域內(nèi)的，但用戶端的流量卻經(jīng)常性的出現(xiàn)異常波動，如有限范圍內(nèi)的病毒攻擊或廣播風(fēng)暴等，這對用戶體驗(yàn)度的影響是顯而易見的.

在流量異常的檢測領(lǐng)域，有不少研究人員發(fā)表了自己的研究成果.如Roy首次提出了流量正常范圍的概念，認(rèn)為流量規(guī)模無論是否出現(xiàn)突變，只要在某范圍之內(nèi)，都可認(rèn)定為正常[2]；Jun Jiang等人提出了將預(yù)測算法引入到流量監(jiān)測領(lǐng)域，通過某時間段內(nèi)的流量變換情況來預(yù)測下一刻網(wǎng)絡(luò)性能的變化趨勢[3]；Amon Goldman等人從統(tǒng)計(jì)學(xué)方法入手，采用迭代統(tǒng)計(jì)機(jī)制來觀察某區(qū)域內(nèi)的流量波動，從而更準(zhǔn)確地調(diào)整閾值范圍[4]；Matthew V Mahoney提出了預(yù)先過濾機(jī)制，并通過建立協(xié)議模型的方式輔助異常檢測[5].以上檢測方法基本屬于被動調(diào)控方式，因此監(jiān)控策略的生效往往較為滯后，并不能及時有效的解決網(wǎng)絡(luò)流量中出現(xiàn)的異常情況，因此目前該領(lǐng)域內(nèi)的研究熱點(diǎn)就放到了主動識別和事前監(jiān)控方法的研究方面，本文正是基于此趨勢展開研究，提出了一種基于支持向量機(jī)(Support Vector Machine，SVM)的主動性能監(jiān)測方法.

主動性能監(jiān)控技術(shù)的檢測對象不再是某一區(qū)域內(nèi)的流量規(guī)模變化，而是通過分析異常點(diǎn)的方式來識別網(wǎng)絡(luò)中可能出現(xiàn)的故障.所謂的異常點(diǎn)指的是預(yù)設(shè)的一系列性能指標(biāo)中的某一點(diǎn)的波動超出了正常范圍，異常點(diǎn)的出現(xiàn)，基本上是由通信服務(wù)出現(xiàn)故障造成的，因此在第一時間內(nèi)對服務(wù)區(qū)域內(nèi)的異常點(diǎn)進(jìn)行檢測、定位和修復(fù)可有效地提高通信質(zhì)量，從而達(dá)到避免嚴(yán)重故障發(fā)生或縮短故障發(fā)生時間的目的.

在檢測異常點(diǎn)的過程中，通常會利用兩個指標(biāo)，分別是基線和閾值，這也是目前最常用的檢測模式，但該模式存在一定的缺陷，例如無法對基線和閾值進(jìn)行實(shí)時化的動態(tài)調(diào)整，使得這兩個參數(shù)與真實(shí)的網(wǎng)絡(luò)狀況相比存在一定的滯后，虛假報(bào)警或遺漏報(bào)警的情況很難避免[7].本文的優(yōu)化思路是引入SVM機(jī)制來對以時間序列為對象的網(wǎng)絡(luò)性能評價系統(tǒng)進(jìn)行改進(jìn)，提高基線計(jì)算的精確性和實(shí)時性，并利用訓(xùn)練殘差來計(jì)算指標(biāo)值的置信區(qū)間，從而為閾值的設(shè)定提供了可靠的依據(jù).

2 支持向量機(jī)優(yōu)化機(jī)制

支持向量機(jī)SVM是近年來發(fā)展較快的一種基于機(jī)器自適應(yīng)和自學(xué)習(xí)的智能型優(yōu)化算法，屬于統(tǒng)計(jì)分析、人工智能和自動控制領(lǐng)域的交叉研究成果[8].該算法在高維數(shù)和非線性等復(fù)雜問題的優(yōu)化與求解領(lǐng)域具有良好的應(yīng)用優(yōu)勢，相較于其他同類型的優(yōu)化算法，SVM通過對解群體的分類與回歸，實(shí)現(xiàn)了更加突出的泛化性[6].從本質(zhì)上看，SVM研究的對象為二元分類問題，其算法基本原理描述如下：

計(jì)算得到的f(x)為+1時，表示x歸類為一類，f(x)為-1則表示x歸類為二類，依據(jù)此規(guī)則就可對被控對象進(jìn)行主動預(yù)測，如判斷網(wǎng)絡(luò)性能是否出現(xiàn)異常.

3 電信網(wǎng)絡(luò)性能異常檢測方案設(shè)計(jì)

3.1 電信網(wǎng)絡(luò)性能同點(diǎn)序列數(shù)據(jù)模型的提出

如前文所述，本文提出同點(diǎn)時間序列數(shù)據(jù)模型，采樣的時間點(diǎn)不再是連續(xù)的，而是根據(jù)每天同一時刻，連續(xù)多日采樣，得出優(yōu)化算法所需的訓(xùn)練集，如式(2)所示：

根據(jù)實(shí)踐經(jīng)驗(yàn)可知，電信網(wǎng)絡(luò)異常事件一旦發(fā)生，其生命周期一般不會太短，往往要持續(xù)多個采樣周期，在采用連續(xù)時間序列模型時就會導(dǎo)致輸入向量中的異常點(diǎn)也往往也集中出現(xiàn)，不利于整體的性能評價；而同點(diǎn)時間序列的采樣點(diǎn)是呈分散狀的，這就大大降低了一個輸入向量同時包含多個異常點(diǎn)的可能性，從而提高了檢測工作的穩(wěn)定性和可靠性.

3.2 核函數(shù)的選擇及參數(shù)優(yōu)化

SVM算法中的核函數(shù)直接決定了算法預(yù)測的質(zhì)量高低，在選擇核函數(shù)時，若無法得到可靠的先驗(yàn)知識，則一般均會選擇高斯徑向基函數(shù)來作為SVM算法的核函數(shù)，其原因就在于該函數(shù)具有很好的逼近能力，在線性于非線性系統(tǒng)中均表現(xiàn)良好[10].本文經(jīng)過綜合考慮，最終決定也選取該函數(shù)為SVM算法的核函數(shù)，如式(4)所示：

圖 SVM參數(shù)精細(xì)尋優(yōu)結(jié)果

在選定過了核函數(shù)之后，就需要對其他參數(shù)組進(jìn)行預(yù)優(yōu)化，通過粗略尋優(yōu)來判斷最優(yōu)參數(shù)的估值，再在此估值附近進(jìn)行精細(xì)尋優(yōu)，最終找到合適的c和γ.

觀察左圖可以發(fā)現(xiàn)，c和γ精細(xì)尋優(yōu)結(jié)果的取值范圍明顯縮小，最終確定c=1.3272，γ=1，SVM對訓(xùn)練集的分類準(zhǔn)確率也有了一定的提高，近似達(dá)到了95.6%.

3.3 置信區(qū)間的確定

在經(jīng)過上述的步驟后，SVM算法已確定了基線和最佳參數(shù)，下一步工作就是利用訓(xùn)練殘差計(jì)算指標(biāo)值在監(jiān)控時間點(diǎn)上的置信區(qū)間.

根據(jù)式(5)就可根據(jù)選定的置信區(qū)間得到相應(yīng)的閾值波動范圍，如若選定置信度為1-α=95%，查正態(tài)分布表得z0.05/2=1.96≈2，則指標(biāo)值在監(jiān)控時刻的波動范圍為[f^(x)-2σ；f^(x)+2σ]若選置信度為 1-α=97%，則根據(jù) z0.03/2≈3，波動范圍為[f^(x)-3σ；f^(x)+3σ].

4 仿真實(shí)驗(yàn)

本實(shí)驗(yàn)采用CPU負(fù)荷這一常用的性能指標(biāo)來模擬監(jiān)控實(shí)驗(yàn)，數(shù)據(jù)來源為某電信網(wǎng)絡(luò)服務(wù)器的監(jiān)控記錄，采樣周期為3d，從2016年3月31日至4月2日，共288個采樣點(diǎn).通過觀察監(jiān)控記錄發(fā)現(xiàn)存在15個異常點(diǎn)，而其中12個異常點(diǎn)為連續(xù)集中型，其余3個異常點(diǎn)為隨機(jī)型.前者的異常狀態(tài)表現(xiàn)為CPU負(fù)荷過低，說明某一服務(wù)可能遭遇了意外中斷，并在較長時間內(nèi)保持該中斷狀態(tài)；3個隨機(jī)異常點(diǎn)，表現(xiàn)為CPU負(fù)荷突變，短時間內(nèi)發(fā)生了大幅波動，說明某服務(wù)出現(xiàn)了暫時的故障和停頓.就該樣本集分別采用基于連續(xù)時間序列和同點(diǎn)時間序列的SVM算法進(jìn)行預(yù)測，并計(jì)算相關(guān)的基線和閾值，設(shè)容忍度為0，置信度為95%.

通過分析可以看出，連續(xù)時間序列模式下，SVM檢測機(jī)制的敏感度過高，對實(shí)際出現(xiàn)的異常點(diǎn)均能做出反應(yīng)，但誤報(bào)警的情況很難避免，此外對于集中異常點(diǎn)的狀況表現(xiàn)不佳，容易出現(xiàn)漏報(bào).基于同點(diǎn)時間序列模式的SVM檢測機(jī)制可以很好地反應(yīng)電信網(wǎng)絡(luò)中出現(xiàn)的異常情況，特別是針對異常點(diǎn)集中出現(xiàn)的狀況，該機(jī)制下的檢測識別率遠(yuǎn)比其他算法可靠，表現(xiàn)出了良好的持續(xù)監(jiān)控能力.

5 結(jié)束語

隨著廣大用戶對網(wǎng)絡(luò)服務(wù)水平的需求不斷提高，電信運(yùn)營維護(hù)的模式也必然要發(fā)生轉(zhuǎn)變，從以往的被動統(tǒng)計(jì)方式逐步地朝著主動監(jiān)控方向發(fā)展.本文提出了基于SVM優(yōu)化機(jī)制的電信網(wǎng)絡(luò)性能檢測機(jī)制，并在此基礎(chǔ)上設(shè)計(jì)了計(jì)算基線和閾值的方法，最后基于連續(xù)時間序列和同點(diǎn)時間序列分別建立了被控對象模型，通過仿真實(shí)驗(yàn)證實(shí)了同點(diǎn)時間序列下的SVM檢測機(jī)制能夠有效地對電信網(wǎng)絡(luò)運(yùn)營過程中出現(xiàn)的異常點(diǎn)進(jìn)行實(shí)時化的監(jiān)測.相信隨著智能算法領(lǐng)域的不斷發(fā)展，會出現(xiàn)更多的優(yōu)秀算法和機(jī)制，進(jìn)一步提高電信網(wǎng)絡(luò)的性能監(jiān)測水平，為用戶提供更高質(zhì)量的網(wǎng)絡(luò)通信服務(wù).

〔1〕于艷華,宋俊德.一種基于異常點(diǎn)檢測的電信網(wǎng)絡(luò)性能監(jiān)控策略[J].電子與信息學(xué)報(bào),2009,31(9):2220-2224.

〔2〕武優(yōu)西,郭磊,柴欣,等.基于優(yōu)化算法的核函數(shù)參數(shù)選擇的研究[J].計(jì)算機(jī)應(yīng)用與軟件,2014,27(1):137-140.

〔3〕吳景龍,楊淑霞,劉承水.基于遺傳算法優(yōu)化參數(shù)的支持向量機(jī)短期負(fù)荷預(yù)測方法[J].中南大學(xué)學(xué)報(bào):自然科學(xué)版,2009,40(1):180-184.

〔4〕Castro L N,Timmis J.An Artificial Immune Network for Multimodal Function Optimization[C]//Proceedings of IEEE Congress on Evolutionary Computation(CEC'02).Hawaii,U·S·A:2015:674-699.

〔5〕馮旭哲,羅飛路,楊俊.基于小波支持向量機(jī)的數(shù)字通信信號調(diào)制識別[J].電子測量與儀器學(xué)報(bào),2013,23(3):87-92.

〔6〕Erman J,Arlitt M,Mahanti A.Traffic classification using clustering algorithms[C].Proceedings of the 2011 SIGCOMM Workshop on Mining Network Data,Pisa,Italy,2013:281-286.

〔7〕Shi Zhi-wei and Han Min.Support vector echo-state machine for chaotic time-seriesprediction [J].IEEE Transactions on Neural Networks,2014,18(2):359-372.

〔8〕朱樹先,張仁杰.支持向量機(jī)核函數(shù)選擇對面部特征識別的作用[J].光學(xué)技術(shù),2013,34(6):902-904.

〔9〕馬維晏,李忠誠.基于流的網(wǎng)絡(luò)流量特征分析[J].小型微型計(jì)算機(jī)系統(tǒng),2009,9(10):54-58.

〔10〕Dias D M,Kish W,Mukherjee R,etal.A Scalable and Highly Available Web Servers.Proc.of 41st IEEE Computer Society Intl.Conf.(COMPCON 2014),2015-02:85-92.

〔11〕Sebastian E,Gregg R,Srikanth K.Leveraging user-session data to support web application testing[J].IEEE Transactions on Soft-ware Engineering,2005,31(3):66-67.

TN929.5

A

1673-260X（2017）11-0046-02

2017-08-11

2016年度安徽省級特色（品牌）專業(yè)課題（2016tszy018）；2016年度安徽省大規(guī)模在線開放課程（MOOC）示范項(xiàng)目（2016mooc072）