譚秦紅

（銅仁職業(yè)技術學院 信息工程學院，貴州 銅仁 554300）

0 引 言

傳統(tǒng)通信網(wǎng)絡流量異常監(jiān)測方法通常采用挖掘技術監(jiān)測網(wǎng)絡的異常性和關聯(lián)性。出現(xiàn)異常流量時很難有效保障通信網(wǎng)絡的安全性和可靠性，且監(jiān)測系統(tǒng)的運行效率較低[1]。本文在傳統(tǒng)通信網(wǎng)絡流量異常監(jiān)測系統(tǒng)的基礎上，引入一種全新的信息熵概念，設計了一種新的通信網(wǎng)絡流量異常監(jiān)測系統(tǒng)。通過挖掘通信網(wǎng)絡流量異常，可有效解決數(shù)據(jù)信息量無法度量的問題，從而實現(xiàn)對流量異常的監(jiān)測。

1 系統(tǒng)硬件設計

1.1 流量采集探測裝置

設計的系統(tǒng)中的流量采集探測裝置內(nèi)部應當增設一組網(wǎng)絡探針裝置，將探針按照一定規(guī)律安裝在路由器的出口端位置，以此擴大對通信網(wǎng)絡流量異常監(jiān)測的范圍。對于一般企業(yè)中使用的局域網(wǎng)絡而言，增加探針結(jié)構能使系統(tǒng)得到更好的監(jiān)測效果[2]。本文選用AY5651SS053型號的120G探針結(jié)構，最小中心為6.30 N/A，全行程為（7.5±2.5）mm，工作行程為（2.5±1.6）mm。AY5651SS053型號探針的上針頭結(jié)構和下針頭結(jié)構均采用高碳鋼鍍金，管子整體為磷銅鍍金，彈簧結(jié)構為琴鋼線鍍金。由于探針結(jié)構在監(jiān)測過程中不會經(jīng)過路由器，因此不會對其寬帶的整體運行造成太大影響。

通過網(wǎng)絡探針可更加快速地監(jiān)測通信網(wǎng)絡的流量和寬帶。當通過探針獲取到通信網(wǎng)絡的數(shù)據(jù)包流量時，將路由器與交換機相連，可使流量數(shù)據(jù)更順利地導出、采集并分析。在流量數(shù)據(jù)傳輸過程中，通過該裝置采集的數(shù)據(jù)還可以統(tǒng)一格式并存儲在管理信息庫。

1.2 異常診斷芯片選擇

設計的異常流量監(jiān)測系統(tǒng)加入了型號為UDIA72528的異常診斷芯片。電源系列采用3×5封裝，額定功率為600 W，滿足I級或II級（雙重絕緣）構造的B傳導和輻射EMI要求，無需外部濾波。同時，UDIA72528異常診斷芯片的輸入電壓范圍為85～264 V AC，輸出禁用時的空載功耗低于0.5 W，提供12 V、19 V、24 V、28 V、32 V、36 V以及48 V共7個輸出電壓。此外，5 V/2 A的待機電壓、遠程開/關、遠程檢測以及良好的電源信號是標配，而且可提供帶有集成風扇選件的蓋板。開放式機架尺寸為76.2 mm×127 mm×37 mm（寬×長×高）或85 mm×157 mm×42.5 mm。這種型號的芯片具有記錄并診斷通信網(wǎng)絡在數(shù)據(jù)傳輸過程中是否存在病毒的功能，其自身的數(shù)據(jù)庫中記錄著全球總病毒類型的95.6%。當前，通信網(wǎng)絡中最容易造成數(shù)據(jù)傳輸過程中出現(xiàn)流量異常的病毒為網(wǎng)絡蠕蟲病毒。這一類型病毒具有十分強烈的傳播能力，且蔓延速度極快[3]。本系統(tǒng)中引入的UDIA72528異常診斷芯片能從網(wǎng)絡全局角度分析數(shù)據(jù)流，并以集中訪問的形式判斷通信網(wǎng)絡流量的具體走向和數(shù)量。當通信網(wǎng)絡數(shù)據(jù)傳輸處于高峰期時，也能夠快速監(jiān)測到病毒的存在。

1.3 復位電路

復位電路利用電容充電實現(xiàn)。在電流接通的瞬間，RST端電位與VCC端電位完全相同，但之后RST端電位會有所上升。施密特觸發(fā)器輸入端的下閾值恒定，時間常數(shù)為100 ms。在VCC端的電位上升時間不超過1 ms，振蕩器建立時間不超過10 ms時，系統(tǒng)能夠完成復位操作。系統(tǒng)連接的上位機復位所需時間是振蕩周期建立時間加上2個機器周期時間，在這個時間內(nèi)RST的電平應維持高于施密特觸發(fā)器的下閾值。在完成一次通信網(wǎng)絡流量異常監(jiān)測后，通過復位電路使系統(tǒng)自動進行第二次監(jiān)測。

2 系統(tǒng)軟件設計

2.1 基于信息熵的異常流量挖掘

根據(jù)信息熵概念，對通信網(wǎng)絡異常流量進行如下定義：

式（1）中，M表示通過信息熵定義量化后的異常流量；E表示異常流量不確定性統(tǒng)計平均值；i表示某一信源中包含的n個概率事件和信息元；P表示通信網(wǎng)絡流量異常發(fā)生的具體概率。

當系統(tǒng)在某一具體時間范圍內(nèi)檢測流量時，有：

式（2）中，K表示屬性i的總流數(shù)量；zj表示屬性j對應的流量數(shù)量。根據(jù)式（2），在系統(tǒng)中利用指數(shù)加權平均的算法預測在系統(tǒng)下次監(jiān)測時間間隔內(nèi)的異常流量信息熵。以通信網(wǎng)絡歷史流量數(shù)據(jù)分配數(shù)值為基礎，通過加權平均算法計算預測結(jié)果。通過上述計算可以使系統(tǒng)快速消除通信網(wǎng)絡歷史流量數(shù)據(jù)的抖動干擾，進一步提高預測網(wǎng)絡流量異常趨勢的準確性。

2.2 通信網(wǎng)絡流量異常監(jiān)測熵模式提取

當通信網(wǎng)絡受到病毒攻擊時，如果服務器受到多臺主機的攻擊，那么通信網(wǎng)絡中生成的數(shù)據(jù)流的源網(wǎng)絡互連協(xié)議不同，但目的網(wǎng)絡互連協(xié)議相同。這樣可以實現(xiàn)系統(tǒng)對通信網(wǎng)絡流量異常熵模式的提取，大幅提高網(wǎng)絡中總源網(wǎng)絡互連協(xié)議離散度與目的網(wǎng)絡互連協(xié)議集中度，進而造成源網(wǎng)絡互連協(xié)議信息熵增大而目的網(wǎng)絡互連協(xié)議信息熵減小。通信網(wǎng)絡中常見的端口掃描、主機掃描以及大流量數(shù)據(jù)傳輸?shù)炔僮髋c行為，都會引起網(wǎng)絡流量的異?，F(xiàn)象。但是，這些異常行為在網(wǎng)絡信息熵的變化中體現(xiàn)出的對應模式不同。針對這一特點，通過系統(tǒng)實時監(jiān)測與計算網(wǎng)絡中數(shù)據(jù)流對應的源網(wǎng)絡互連協(xié)議、目的網(wǎng)絡互連協(xié)議、源端口以及目標端口信息熵，可以對出現(xiàn)異常的模式進行屬性匹配，并準確判斷所發(fā)生流量異常的類型。通過流量異常發(fā)生的具體類型和時間，循環(huán)遍歷查詢網(wǎng)絡數(shù)據(jù)流，確定流量異常的發(fā)生源頭。若在系統(tǒng)監(jiān)測過程中出現(xiàn)的判定異常結(jié)果未出現(xiàn)在規(guī)則庫，則需要記錄這一組傳輸數(shù)據(jù)中流量信息熵的變化特征，評估該異常所造成的影響，并更新系統(tǒng)原始規(guī)則庫，向數(shù)據(jù)庫中錄入該異常的具體規(guī)則，從而為下一時間間隔內(nèi)的監(jiān)測提供充足的監(jiān)測依據(jù)。

3 對比實驗

3.1 實驗準備

為驗證提出的基于信息熵的通信網(wǎng)絡流量異常監(jiān)測系統(tǒng)在實際應用中的監(jiān)測效果，設計如下仿真對比實驗比對所提系統(tǒng)與傳統(tǒng)系統(tǒng)的監(jiān)測結(jié)果。利用對比實驗軟件，構建一個某企業(yè)的通信網(wǎng)絡環(huán)境，即設定網(wǎng)絡環(huán)境、流量數(shù)據(jù)以及監(jiān)測系統(tǒng)對比實驗的實驗參數(shù)，如表1所示。

表1 對比實驗參數(shù)表

根據(jù)表1中的實驗參數(shù)設定，在同一個通信網(wǎng)絡環(huán)境中分別利用本文系統(tǒng)與傳統(tǒng)系統(tǒng)監(jiān)測異常網(wǎng)絡流量。

3.2 實驗結(jié)果與分析

根據(jù)實驗準備完成對比實驗，繪制兩種系統(tǒng)檢測結(jié)果的對比圖，結(jié)果如圖1所示。

圖1 對比實驗結(jié)果對比圖

根據(jù)圖1得出的實驗結(jié)果對比圖可以看出，在對通信網(wǎng)絡中流量異常進行監(jiān)測時，本文系統(tǒng)的監(jiān)測結(jié)果更接近實際流量異常流入字節(jié)。從監(jiān)測精度來看，本文系統(tǒng)能夠?qū)α髁慨惓＿M行更加精準的監(jiān)測，與實際流量異常變化幅度基本一致，而傳統(tǒng)系統(tǒng)監(jiān)測曲線與實際流量異常變化幅度存在較大差異。可見，對比實驗證明，本文系統(tǒng)具有更高的監(jiān)測精度，監(jiān)測結(jié)果能夠充分滿足通信網(wǎng)絡安全運行需要。

4 結(jié) 論

為實現(xiàn)對通信網(wǎng)絡流量異常的精準監(jiān)測并對異常流量進行自動識別，本文結(jié)合信息熵概念提出了一種全新的監(jiān)測系統(tǒng)，并深入研究通信網(wǎng)絡流量數(shù)據(jù)的生成、輸出、采集以及統(tǒng)計等，優(yōu)化其監(jiān)測算法。實驗證明，本文系統(tǒng)不僅可以監(jiān)測網(wǎng)絡流量異常，還能夠快速監(jiān)測傳輸過程中網(wǎng)絡環(huán)境是否存在病毒，并做出實時告警，對今后異常流量的監(jiān)測具有一定的研究價值。