大規(guī)模通信網(wǎng)絡(luò)中異常流量檢測(cè)方法研究

竇磊 劉杰

【摘要】受通信網(wǎng)絡(luò)自身動(dòng)態(tài)演化過(guò)程影響，極容易發(fā)生配置錯(cuò)誤和蠕蟲爆發(fā)等異常現(xiàn)象，研究大規(guī)模通信網(wǎng)絡(luò)中異常流量的檢測(cè)方法?；跁r(shí)間序列估算流量熵值、構(gòu)建異常流量分解模型完成檢測(cè)，完成大規(guī)模通信網(wǎng)絡(luò)中異常流量檢測(cè)方法設(shè)計(jì)。在網(wǎng)絡(luò)通信中采用本文方法進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)檢測(cè)，該方法的誤檢率可以控制在10次以內(nèi)，可以較大程度的提高通信網(wǎng)絡(luò)的運(yùn)行效率，具有實(shí)際應(yīng)用效果。

【關(guān)鍵詞】大規(guī)模通信網(wǎng)絡(luò);異常流量;檢測(cè)方法;流量熵值;

中圖分類號(hào)：TP393.06文獻(xiàn)標(biāo)識(shí)碼：A

引言

當(dāng)前社會(huì)信息化發(fā)展迅速，人們的日常工作和生活越來(lái)越離不開互聯(lián)網(wǎng)。但高強(qiáng)度的網(wǎng)絡(luò)通信架構(gòu)下，其產(chǎn)生和采集到的網(wǎng)絡(luò)流量會(huì)隨之發(fā)生變化。異常流量的檢測(cè)是現(xiàn)有網(wǎng)絡(luò)管理中的重要組成部分，對(duì)網(wǎng)絡(luò)的穩(wěn)健運(yùn)行起著十分重要的作用，也是現(xiàn)代網(wǎng)絡(luò)信息發(fā)展中較為關(guān)鍵的技術(shù)之一。從原有的簡(jiǎn)單算法到多種算法的集成應(yīng)用，西方發(fā)達(dá)國(guó)家已經(jīng)完成了網(wǎng)絡(luò)路由和性能異常檢測(cè)的標(biāo)準(zhǔn)化研究，國(guó)內(nèi)在此階段處于預(yù)測(cè)的起步階段，需要克服的難點(diǎn)仍有許多。本文基于此研究大規(guī)模通信網(wǎng)絡(luò)中異常流量檢測(cè)方法，為提高網(wǎng)絡(luò)的運(yùn)行管理提供理論依據(jù)。

1大規(guī)模通信網(wǎng)絡(luò)中異常流量檢測(cè)方法

1.1基于時(shí)間序列估算流量熵值

熵的概念出自信息論，可以通過(guò)系統(tǒng)參數(shù)的分布變化情況進(jìn)行橫向度量，在無(wú)法進(jìn)行長(zhǎng)時(shí)間隨機(jī)檢測(cè)中完成信息描述，基于此對(duì)通信網(wǎng)絡(luò)中的流量進(jìn)行流量熵值 估算[1]。受網(wǎng)絡(luò)流量數(shù)據(jù)的多維度采集影響，將按照時(shí)間序列完成數(shù)據(jù)的分類，在同等維度下對(duì)能夠描述的數(shù)據(jù)組成集合，其中是網(wǎng)絡(luò)流量數(shù)據(jù)的維度數(shù)值，在有限維度取值中，每組數(shù)據(jù)的包長(zhǎng)值不盡相同，以最小維度中出現(xiàn)的相同流量次數(shù)為準(zhǔn)，流量熵值表達(dá)式為：

公式中：數(shù)量流量的總項(xiàng)用表示，定義為數(shù)據(jù)在集合中出現(xiàn)的第次的所在位置，維度數(shù)據(jù)的項(xiàng)目集合大小用表中，代表為達(dá)到隨機(jī)數(shù)據(jù)集合的度量變化量。在所有到達(dá)的數(shù)據(jù)項(xiàng)熵值為0是，默認(rèn)所有能夠到達(dá)的數(shù)據(jù)項(xiàng)在同一個(gè)時(shí)間維度上，使其定義為有限時(shí)間維度中的標(biāo)準(zhǔn)流量值。

1.2 構(gòu)建分解模型檢測(cè)異常流量

根據(jù)流量的自相似性在標(biāo)準(zhǔn)估算值范圍內(nèi)，利用灰色構(gòu)建分解模型，將原有的數(shù)據(jù)流量數(shù)據(jù)作為原始數(shù)列，把需要預(yù)測(cè)的結(jié)果和實(shí)際標(biāo)準(zhǔn)值進(jìn)行對(duì)比，超過(guò)范圍的數(shù)據(jù)集合可以認(rèn)為是灰色理論區(qū)域。在此過(guò)程中需要注意的是，不是所有灰色流量都是異常流量，在分解過(guò)程中極容易出現(xiàn)，保護(hù)線同等功能的正常流量存在差異性，在鄰近的流量對(duì)比過(guò)程中會(huì)被誤判到灰色區(qū)域內(nèi)，需要在此基礎(chǔ)上對(duì)模型添加滑動(dòng)窗口機(jī)制[2]。以灰色預(yù)測(cè)數(shù)據(jù)做滑動(dòng)窗口運(yùn)動(dòng)的大小變化，保證模型窗口內(nèi)部的數(shù)據(jù)均是實(shí)際流量數(shù)據(jù)，每次對(duì)窗口中的流量進(jìn)行兩兩預(yù)測(cè)，若結(jié)果表示為正常的標(biāo)準(zhǔn)值則可加入窗口并刪減原有數(shù)據(jù)。若數(shù)據(jù)結(jié)果與標(biāo)準(zhǔn)值相差巨大，則需要在灰色理論上重新調(diào)整窗口，以此消除多重預(yù)測(cè)導(dǎo)致的偏差累積效果[3]。在不同功能的正常流量進(jìn)行分解后，可以直接分離出不相近的網(wǎng)絡(luò)流量數(shù)據(jù)，直接歸類到灰色區(qū)域內(nèi)重復(fù)窗口滑動(dòng)，直至異常流量的檢出即可。

2實(shí)驗(yàn)結(jié)果分析

為驗(yàn)證本文設(shè)計(jì)的方法具有實(shí)際應(yīng)用效果，采用實(shí)驗(yàn)測(cè)試的方式對(duì)網(wǎng)絡(luò)流量進(jìn)行異常時(shí)段檢測(cè)，證明其在大規(guī)模的通信網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)較少的誤檢。選取某省通信公司中家庭網(wǎng)絡(luò)據(jù)集合進(jìn)行實(shí)驗(yàn)，采樣數(shù)據(jù)時(shí)長(zhǎng)分別為6天，按照每分鐘采樣的頻率進(jìn)行數(shù)據(jù)收集，共包含流量數(shù)據(jù)1550次。其中每日的采樣點(diǎn)前后的趨勢(shì)值通過(guò)平均流量控制，同滑動(dòng)平均的方式對(duì)所有流量數(shù)據(jù)進(jìn)行分解，具體流量走向如圖1所示。

如圖所示能夠明顯看出，數(shù)據(jù)集合中包含異常流量，最高數(shù)據(jù)流量峰值出現(xiàn)2000-3000min時(shí)間內(nèi)，出現(xiàn)8次異常流量。在此基礎(chǔ)上引入PAC和KTLAD兩組檢測(cè)方式，對(duì)上述存在的異常流量次數(shù)進(jìn)行6組檢驗(yàn)，每輪檢測(cè)次數(shù)以20次進(jìn)行疊加，初始次數(shù)為80次，分別統(tǒng)計(jì)不同方式下的誤檢次數(shù)，測(cè)試結(jié)果如下表1所示。

根據(jù)表中內(nèi)容可知，在依次疊加檢測(cè)次數(shù)的基礎(chǔ)上，兩組傳統(tǒng)方法的誤檢次數(shù)會(huì)逐漸增加，而本文方法能夠?qū)⒄`檢次數(shù)控制在10次以內(nèi)，具有實(shí)際的檢測(cè)效果。

由此可以得出結(jié)論，本文方法在通信網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)異常流量的檢測(cè)，且誤檢次數(shù)較少，可以有效提高網(wǎng)絡(luò)的運(yùn)行效率。

3結(jié)束語(yǔ)

本文在選擇不同時(shí)間序列的流量熵值估算下，建立了異常流量分解模型，能夠分批次和分類型的進(jìn)行通信網(wǎng)絡(luò)中的異常流量檢測(cè)。實(shí)驗(yàn)結(jié)果表明：本文方法能夠?qū)崿F(xiàn)通信網(wǎng)絡(luò)中異常流量的檢測(cè)，且誤檢次數(shù)大幅度下降，可以有效提高網(wǎng)絡(luò)的運(yùn)行效率。但在研究過(guò)程中由于時(shí)間限制，無(wú)法將異常流量和網(wǎng)絡(luò)通信之間的關(guān)聯(lián)性加以總結(jié)，一旦樣本收縮在處理結(jié)果上會(huì)產(chǎn)生一定偏差。后續(xù)研究中會(huì)將不同的異常情況進(jìn)行等級(jí)分類，在提高檢測(cè)成功率的同時(shí)，總結(jié)網(wǎng)絡(luò)流量變化和異常網(wǎng)絡(luò)之間的相關(guān)性，使其具備更好的檢測(cè)效果。

參考文獻(xiàn)

[1]原軍，張凱，藥煒，等.基于機(jī)器學(xué)習(xí)的分組交換電力光網(wǎng)絡(luò)流量異常檢測(cè)[J].機(jī)械與電子，2021，39（09）：47-50+55.

[2]麻文剛，張亞?wèn)|，郭進(jìn).基于LSTM與改進(jìn)殘差網(wǎng)絡(luò)優(yōu)化的異常流量檢測(cè)方法[J].通信學(xué)報(bào)，2021，42（05）：23-40.

[3]劉奕，李建華，張一瑫，等.基于特征屬性信息熵的網(wǎng)絡(luò)異常流量檢測(cè)方法[J].信息網(wǎng)絡(luò)安全，2021，21（02）：78-86.

作者簡(jiǎn)介：

竇磊（1989-），漢族，河南濮陽(yáng)人，本科，助教，研究方向：信息管理。