竇磊 劉杰

【摘要】受通信網(wǎng)絡自身動態(tài)演化過程影響，極容易發(fā)生配置錯誤和蠕蟲爆發(fā)等異?，F(xiàn)象，研究大規(guī)模通信網(wǎng)絡中異常流量的檢測方法。基于時間序列估算流量熵值、構(gòu)建異常流量分解模型完成檢測，完成大規(guī)模通信網(wǎng)絡中異常流量檢測方法設(shè)計。在網(wǎng)絡通信中采用本文方法進行網(wǎng)絡流量數(shù)據(jù)檢測，該方法的誤檢率可以控制在10次以內(nèi)，可以較大程度的提高通信網(wǎng)絡的運行效率，具有實際應用效果。

【關(guān)鍵詞】大規(guī)模通信網(wǎng)絡;異常流量;檢測方法;流量熵值;

中圖分類號：TP393.06文獻標識碼：A

引言

當前社會信息化發(fā)展迅速，人們的日常工作和生活越來越離不開互聯(lián)網(wǎng)。但高強度的網(wǎng)絡通信架構(gòu)下，其產(chǎn)生和采集到的網(wǎng)絡流量會隨之發(fā)生變化。異常流量的檢測是現(xiàn)有網(wǎng)絡管理中的重要組成部分，對網(wǎng)絡的穩(wěn)健運行起著十分重要的作用，也是現(xiàn)代網(wǎng)絡信息發(fā)展中較為關(guān)鍵的技術(shù)之一。從原有的簡單算法到多種算法的集成應用，西方發(fā)達國家已經(jīng)完成了網(wǎng)絡路由和性能異常檢測的標準化研究，國內(nèi)在此階段處于預測的起步階段，需要克服的難點仍有許多。本文基于此研究大規(guī)模通信網(wǎng)絡中異常流量檢測方法，為提高網(wǎng)絡的運行管理提供理論依據(jù)。

1大規(guī)模通信網(wǎng)絡中異常流量檢測方法

1.1基于時間序列估算流量熵值

熵的概念出自信息論，可以通過系統(tǒng)參數(shù)的分布變化情況進行橫向度量，在無法進行長時間隨機檢測中完成信息描述，基于此對通信網(wǎng)絡中的流量進行流量熵值 估算[1]。受網(wǎng)絡流量數(shù)據(jù)的多維度采集影響，將按照時間序列完成數(shù)據(jù)的分類，在同等維度下對能夠描述的數(shù)據(jù)組成集合，其中是網(wǎng)絡流量數(shù)據(jù)的維度數(shù)值，在有限維度取值中，每組數(shù)據(jù)的包長值不盡相同，以最小維度中出現(xiàn)的相同流量次數(shù)為準，流量熵值表達式為：

公式中：數(shù)量流量的總項用表示，定義為數(shù)據(jù)在集合中出現(xiàn)的第次的所在位置，維度數(shù)據(jù)的項目集合大小用表中，代表為達到隨機數(shù)據(jù)集合的度量變化量。在所有到達的數(shù)據(jù)項熵值為0是，默認所有能夠到達的數(shù)據(jù)項在同一個時間維度上，使其定義為有限時間維度中的標準流量值。

1.2 構(gòu)建分解模型檢測異常流量

根據(jù)流量的自相似性在標準估算值范圍內(nèi)，利用灰色構(gòu)建分解模型，將原有的數(shù)據(jù)流量數(shù)據(jù)作為原始數(shù)列，把需要預測的結(jié)果和實際標準值進行對比，超過范圍的數(shù)據(jù)集合可以認為是灰色理論區(qū)域。在此過程中需要注意的是，不是所有灰色流量都是異常流量，在分解過程中極容易出現(xiàn)，保護線同等功能的正常流量存在差異性，在鄰近的流量對比過程中會被誤判到灰色區(qū)域內(nèi)，需要在此基礎(chǔ)上對模型添加滑動窗口機制[2]。以灰色預測數(shù)據(jù)做滑動窗口運動的大小變化，保證模型窗口內(nèi)部的數(shù)據(jù)均是實際流量數(shù)據(jù)，每次對窗口中的流量進行兩兩預測，若結(jié)果表示為正常的標準值則可加入窗口并刪減原有數(shù)據(jù)。若數(shù)據(jù)結(jié)果與標準值相差巨大，則需要在灰色理論上重新調(diào)整窗口，以此消除多重預測導致的偏差累積效果[3]。在不同功能的正常流量進行分解后，可以直接分離出不相近的網(wǎng)絡流量數(shù)據(jù)，直接歸類到灰色區(qū)域內(nèi)重復窗口滑動，直至異常流量的檢出即可。

2實驗結(jié)果分析

為驗證本文設(shè)計的方法具有實際應用效果，采用實驗測試的方式對網(wǎng)絡流量進行異常時段檢測，證明其在大規(guī)模的通信網(wǎng)絡中能夠?qū)崿F(xiàn)較少的誤檢。選取某省通信公司中家庭網(wǎng)絡據(jù)集合進行實驗，采樣數(shù)據(jù)時長分別為6天，按照每分鐘采樣的頻率進行數(shù)據(jù)收集，共包含流量數(shù)據(jù)1550次。其中每日的采樣點前后的趨勢值通過平均流量控制，同滑動平均的方式對所有流量數(shù)據(jù)進行分解，具體流量走向如圖1所示。

如圖所示能夠明顯看出，數(shù)據(jù)集合中包含異常流量，最高數(shù)據(jù)流量峰值出現(xiàn)2000-3000min時間內(nèi)，出現(xiàn)8次異常流量。在此基礎(chǔ)上引入PAC和KTLAD兩組檢測方式，對上述存在的異常流量次數(shù)進行6組檢驗，每輪檢測次數(shù)以20次進行疊加，初始次數(shù)為80次，分別統(tǒng)計不同方式下的誤檢次數(shù)，測試結(jié)果如下表1所示。

根據(jù)表中內(nèi)容可知，在依次疊加檢測次數(shù)的基礎(chǔ)上，兩組傳統(tǒng)方法的誤檢次數(shù)會逐漸增加，而本文方法能夠?qū)⒄`檢次數(shù)控制在10次以內(nèi)，具有實際的檢測效果。

由此可以得出結(jié)論，本文方法在通信網(wǎng)絡中能夠?qū)崿F(xiàn)異常流量的檢測，且誤檢次數(shù)較少，可以有效提高網(wǎng)絡的運行效率。

3結(jié)束語

本文在選擇不同時間序列的流量熵值估算下，建立了異常流量分解模型，能夠分批次和分類型的進行通信網(wǎng)絡中的異常流量檢測。實驗結(jié)果表明：本文方法能夠?qū)崿F(xiàn)通信網(wǎng)絡中異常流量的檢測，且誤檢次數(shù)大幅度下降，可以有效提高網(wǎng)絡的運行效率。但在研究過程中由于時間限制，無法將異常流量和網(wǎng)絡通信之間的關(guān)聯(lián)性加以總結(jié)，一旦樣本收縮在處理結(jié)果上會產(chǎn)生一定偏差。后續(xù)研究中會將不同的異常情況進行等級分類，在提高檢測成功率的同時，總結(jié)網(wǎng)絡流量變化和異常網(wǎng)絡之間的相關(guān)性，使其具備更好的檢測效果。

參考文獻

[1]原軍，張凱，藥煒，等.基于機器學習的分組交換電力光網(wǎng)絡流量異常檢測[J].機械與電子，2021，39（09）：47-50+55.

[2]麻文剛，張亞東，郭進.基于LSTM與改進殘差網(wǎng)絡優(yōu)化的異常流量檢測方法[J].通信學報，2021，42（05）：23-40.

[3]劉奕，李建華，張一瑫，等.基于特征屬性信息熵的網(wǎng)絡異常流量檢測方法[J].信息網(wǎng)絡安全，2021，21（02）：78-86.

作者簡介：

竇磊（1989-），漢族，河南濮陽人，本科，助教，研究方向：信息管理。