朱俚治 朱梧檟

摘要：盡管網(wǎng)絡(luò)流量會出現(xiàn)異常，但大部分時間里流量變化是有規(guī)律的。如果網(wǎng)絡(luò)流量出現(xiàn)異常，那么對整個網(wǎng)絡(luò)具有較大的危害性，因此網(wǎng)管人員必須及時發(fā)現(xiàn)流量是否異常。在以往的流量檢測算法中聚焦的焦點只是如何區(qū)分流量是正常還是異常，并未討論此時是否存在攻擊行為，這些是算法的不足之處。為了改進現(xiàn)有算法的不足之處，作者在查閱了有關(guān)資料和文獻之后，提出了一種新的流量檢測算法，該算法使用了相似性計算法算法，MMTD算法和粗糙集中的決策系統(tǒng)，將這三種算法在流量檢測中進行應用是本文的創(chuàng)新點。本文解決問題的思路是首先使用MMTD算法對當前的流量是否異常做出判斷，如果出現(xiàn)異常，則使用相似性計算算法將此時的流量與預警值進行比較，并且判斷此時是否存在攻擊行為，在文章的最后使用粗糙集中的決策系統(tǒng)對流量異常的原因做出決策。

關(guān)鍵詞：MMTD；決策系統(tǒng)；相似性

中圖分類號：TP393.08 文獻標識碼：ADOI：10.3969/j.issn.10036199.2017.01.019

1引言

當今網(wǎng)絡(luò)流量出現(xiàn)異常有兩種情況：⑴有規(guī)律的出現(xiàn)，⑵沒有規(guī)律的突發(fā)性出現(xiàn)。對于網(wǎng)絡(luò)流量有規(guī)律的出現(xiàn)異常，只要網(wǎng)管人員及時合理的處理問題，就能夠使得流量回復正常。對于沒有規(guī)律性的出現(xiàn)是難以應付的，因為流量變得異常前通常缺乏前兆，沒有規(guī)律可循。對于網(wǎng)絡(luò)流量突發(fā)性地出現(xiàn)異常，很大部分原因是由于黑客攻擊網(wǎng)絡(luò)引起的[4-6]。

為了維護網(wǎng)絡(luò)的安全，人們研發(fā)了各種網(wǎng)絡(luò)流量檢測算法。目前大部分流量檢測算法只是對正常流量和異常流量進行識別和分類，并未討論引起流量異常的原因 [10-13]。在目前的算法中有以下幾種技術(shù)在其中進行應用：（1）將線性模型與小波技術(shù)相結(jié)合對GLR算法的改進[10]，（2）滑動窗口與網(wǎng)絡(luò)基線在檢測網(wǎng)絡(luò)流量中的使用[12]，（3）將遞歸最小二乘法在檢測網(wǎng)絡(luò)流量中的應用[13]。還有些文獻使用了模糊C均值算法在流量方面進行研究，但該算法只是從流量聚類的角度來區(qū)分流量是異常還是正常，同樣未討論引起流量異常的原因[11]。

前人已將模糊聚類思想在流量檢測上進行應用，根據(jù)已有的流量檢測算法本文將采用具有中介思想作為流量研究的主要算法，這兩種算法是相似性計算算法和MMTD算法。本文提出的流量檢測算法不僅能夠區(qū)分流量是正常還是異常，而且還能夠判斷此時是否存在網(wǎng)絡(luò)攻擊行為，這些都是本文的創(chuàng)新點之處。

2MMTD算法技術(shù)簡介

2.1中介真值程度度量知識簡介

中介邏輯將事物的屬性描述成三種狀態(tài)，事物屬性的兩個對立面和對立面的中間過渡狀態(tài)。在中介真值程度度量方法中，提出了事物超態(tài)屬性概念，該方法符合中介思想事物的屬性并且被劃分為五種狀態(tài)：事物的兩個對立面，對立面的中間過渡狀態(tài)和事物超態(tài)對立面[1-2]。這里用符號表示為～P，P與┒P，超態(tài)+p與超態(tài)┒+p。現(xiàn)用數(shù)軸將以上的描述的概念表達如下[1-2]：

計算技術(shù)與自動化2017年3月

對數(shù)軸y=f（x）表示的含義有以下說明[1-2]：

數(shù)軸上用符號P與┒P分別表示事物對立面的兩個屬性，符號～P表示反對對立面的中間過渡狀態(tài)達事物的屬性。

①如果數(shù)軸上數(shù)值點的位置逐步接近P，則事物A所具有P的屬性逐步增強

②如果該數(shù)值點的位置落在真值┒P和 P的取范圍之間，則事物A的屬性就部分地具有┒P的屬性，同時又部分地具有P的屬性。

③如果數(shù)軸上數(shù)值點的位置逐步接近┒P，則事物A所具有┒P的屬性逐步增強。

2.2中介真值程度度量中的距離比率函數(shù)

在中介真值程度度量的方法中，數(shù)軸上某數(shù)值點通過距離比率函數(shù)來計算事物所具有屬性的強弱。

定理1 給定y= f（x）

3流與流量的介紹

（1）正常流量

如果網(wǎng)絡(luò)中的數(shù)據(jù)包流量發(fā)生變化時有一定的時間規(guī)律，例如每日流量的高峰和低谷都在某個時段出現(xiàn)，則此時網(wǎng)絡(luò)流量的變化屬于正常狀態(tài)。在正常狀態(tài)的網(wǎng)絡(luò)流量中，一組數(shù)據(jù)包含有的包個數(shù)為10-15個，一般不會超過30個。在分組中數(shù)據(jù)包個數(shù)大于20個的幾率小于5%[5-7]。

（2）異常流量

當網(wǎng)絡(luò)被攻擊時，包組數(shù)目將明顯地變大并且一般都超過50。不同強度的攻擊數(shù)據(jù)包組數(shù)目分布不同，越強烈的攻擊，其包組數(shù)目就越大，包組數(shù)目甚至達到幾百個[5-7]。如果單位時間里流量中數(shù)據(jù)包數(shù)值超出了正常限定值，那么某種特定長度的數(shù)據(jù)包數(shù)量大幅地增加，能夠在短時間內(nèi)使網(wǎng)絡(luò)的吞吐量明顯地下降，最終使得網(wǎng)絡(luò)處于擁塞狀態(tài)。流量中小包對網(wǎng)絡(luò)來說是有害的，如果小包出現(xiàn)的概率遠大于大包出現(xiàn)的概率，那么這時網(wǎng)絡(luò)的流量就會變得異常。網(wǎng)絡(luò)流量中出現(xiàn)大量小包未必是由網(wǎng)絡(luò)攻擊造成的，但當發(fā)生網(wǎng)絡(luò)攻擊時必然出現(xiàn)大量的小包，然而這些小包必然引起網(wǎng)絡(luò)流量的異常。

4MMTD算法在檢測網(wǎng)絡(luò)流量上的應用

檢測函數(shù)：

f（x）=1-單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量，δ為網(wǎng)絡(luò)流量變得異常時的預警值。

（1）如果單位時間內(nèi)網(wǎng)絡(luò)中某種數(shù)據(jù)包的數(shù)量十分接近正常單位時間內(nèi)該種數(shù)據(jù)包的數(shù)量時，有以下的結(jié)論：，

如果表示單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量偏離日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的程度越小，那么單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的比值越接近于1。當單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的比值越接近于1，那么有f（x）=1-單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量≈0的值越接近于0，則此時該種數(shù)據(jù)包的數(shù)量越接近正常狀態(tài)下的數(shù)據(jù)包數(shù)量，這時網(wǎng)絡(luò)流量處于正常狀態(tài)。

（2）對于一般的拒絕服務(wù)攻擊，網(wǎng)絡(luò)中的包組數(shù)目明顯地變大，一般都超過50。不同強度的攻擊數(shù)據(jù)包組數(shù)目分布不同，越強烈的攻擊，其包組數(shù)目就越大，包組數(shù)目甚至達到幾百。該種數(shù)據(jù)包在鏈路中的流量將變得異常。

當單位時間內(nèi)某種數(shù)據(jù)包的數(shù)量大于正常單位時間內(nèi)該種數(shù)據(jù)包的數(shù)量時，有以下的結(jié)論：

如果單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量偏離日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的程度越嚴重，那么f（x）=單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的比值偏離1的程度越大。當單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量的比值偏離1的程度越大，那么有f（x）=1-單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量>δ的值越大，則此時該種數(shù)據(jù)包的數(shù)量偏離正常狀態(tài)下的數(shù)量越嚴重，這時網(wǎng)絡(luò)流量處于異常的狀態(tài)。

（3）如果單位時間內(nèi)某種數(shù)據(jù)包的數(shù)量略微小于或略微大于正常單位時間內(nèi)該種數(shù)據(jù)包的數(shù)量時，有以下的結(jié)論：

如果0<單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量≈δ時，則有：f（x）=1-單位時間內(nèi)實際數(shù)據(jù)包的數(shù)量日常單位時間內(nèi)統(tǒng)計的數(shù)據(jù)包數(shù)量≈δ

這時數(shù)據(jù)包的數(shù)量部分異常部分正常，網(wǎng)絡(luò)流量處于異常狀態(tài)的邊緣。

5MMTD方法的應用

（1）中介對網(wǎng)絡(luò)流量的描述

以下用中介真值程度度量方法做以下的研究：

數(shù)軸y=f（x）上有P，～P，┒P三個數(shù)據(jù)區(qū)域，P代表異常區(qū)域，┒P代表正常區(qū)域，～P代表部分正常和部分異常區(qū)域。

（2）距離比率函數(shù)

從數(shù)軸上y=f（x）可以知道，在數(shù)軸上以～P為對稱中心，左右分別為┒P和P。

基于上述情況有以下的分析和討論：

當某種屬性的數(shù)據(jù)包的數(shù)量大于預警值時，并且這時該種數(shù)據(jù)包的數(shù)量偏離預警值程度越來越大，則這時網(wǎng)絡(luò)被黑客攻擊的可能性很大。

當某種屬性的數(shù)據(jù)包的數(shù)量小于預警值時，并且這時該種數(shù)據(jù)包的數(shù)量偏離預警值程度越來越大，則這時網(wǎng)絡(luò)被黑客攻擊的可能性很小。

當某種屬性的數(shù)據(jù)包的數(shù)量略微大于或略微小于預警值時，并且這時該種數(shù)據(jù)包數(shù)量十分地接近于預警值時，則這時網(wǎng)絡(luò)被黑客攻擊的可能性較小。

結(jié)論：當某種數(shù)據(jù)包的數(shù)量大于預警值時，并且這時該種數(shù)據(jù)包的數(shù)量偏離預警值的程度越大，這時網(wǎng)絡(luò)被黑客攻擊的可能性很大。因此：只有當①與②的屬性值都取Y時：決策屬性的屬性值為Y，否則屬性值為N。

當某種屬性數(shù)據(jù)包數(shù)量異常時是否屬于攻擊行為的決策規(guī)則：

（某種屬性的數(shù)據(jù)包的數(shù)量大于預警值，Y）

A

（該種數(shù)據(jù)包偏離預警值的程度，Y）

（用戶的行為屬于攻行為，Y）

8檢測算法

（1）使用MMTD算法對流量是否異常做出衡量。

（2）如果流量異常，則使用相似性算法對用戶的行為屬性做出判斷。

（3）最后使用粗糙集中的決策系統(tǒng)對用戶的行為做出最后的決策。

9結(jié)束語

本文提出的算法的優(yōu)點在于，該算法在于發(fā)現(xiàn)網(wǎng)絡(luò)流量異常的狀態(tài)的同時，還能夠判斷是否存在網(wǎng)絡(luò)攻擊，如果不存在網(wǎng)絡(luò)攻擊的行為，那么網(wǎng)絡(luò)流量異常的問題是能夠容易決定的。該算法具有一定的智能性，能夠自動地檢測網(wǎng)絡(luò)流量的變化。將MMTD算法，相似性計算算法和粗糙集中決策系統(tǒng)在檢測網(wǎng)絡(luò)流量中進行計算有一定的創(chuàng)新性。

本文提出的檢測流量使用的算法是：（1）使用模糊的算法來衡量網(wǎng)絡(luò)中的流量是否異常，與傳統(tǒng)的檢測方法更具科學性和精確性。（2）如果發(fā)生了網(wǎng)絡(luò)流量異常的狀況，則可以利用本文提出的算法來判斷流量的異常是否由黑客攻擊引起的。（3）最后使用決策系統(tǒng)對流量是否異常和是否存在網(wǎng)絡(luò)攻擊做出決策。本文提出的流量檢測算法在一定程度上能夠檢測出網(wǎng)絡(luò)流量的異常和來自網(wǎng)絡(luò)的攻擊行為，但是δ取值的范圍，以及δ如何取值還需要繼續(xù)研究和考慮，是人們值得研究的問題。

參考文獻

[1] 洪龍，肖奚安，朱梧槚.中介真值程度的度量及其應用（I）[J].計算機學報，2006，（12）：2186-2193.

[2]朱梧槚，肖奚安.數(shù)學基礎(chǔ)與模糊數(shù)學基礎(chǔ)[J].自然雜志，1980，（7）：723-726.

[3]許曉東，卞鵬，朱士瑞.基于Netflow的異常流量分離以及歸類[J]，計算機工程與設(shè)計，2009，30（21）：4818-4831.

[4]楊雅輝.網(wǎng)絡(luò)流量異常檢測及分析的研究[J].計算機科學，2008，35（5）：108-111.

[5]劉穎秋，李巍，李云春.網(wǎng)絡(luò)流量分類與應用識別的研究[J].計算機應用研究，2008，25（5）1492-1495.

[6]孫知信.網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究[M].北京：清華大學出版社，2009.

[7]李志敏，趙治國，朱安新.校園網(wǎng)流量異常檢測與處理方法[J].計算技術(shù)與自動化，2011，30（3）：131-134.

[8]胡清華，于達仁.應用粗糙集計算[M].北京：科學出版社，2012.

[9]陳德剛.模糊粗糙集理論與方法[M].北京：科學出版社，2013.

[10]許曉東，朱瑞士，孫亞民.基于分形特性的宏觀網(wǎng)絡(luò)流量異常分析[J].通信學報，2009，30（9）：43-53.

[11]賴英旭，李秀龍，楊震，等.基于流量監(jiān)測的用戶流量行為分析[J].北京工業(yè)大學學報，2013，39（11）：1692-1699.

[12]呂軍，李星.一種網(wǎng)絡(luò)流量異常檢測算法[J].計算機應用研究，2006（11）：217-219.

[13]馮震，胡光岷，姚興苗，等.骨干通信網(wǎng)多流多特征流量異常檢測[J].網(wǎng)絡(luò)與通信，2010，26（8-3）：99-101.

第36卷第1期2017年3月計算技術(shù)與自動化Computing Technology and AutomationVol36，No1Mar. 2 0 1 7第36卷第1期2017年3月計算技術(shù)與自動化Computing Technology and AutomationVol36，No1Mar. 2 0 1 7