小波及網絡異常行為分析

摘要:小波分析能將時間域上重疊但頻率域上不重疊的信號進行分段，不同的頻段(也就是不同的小波系數層次)代表了信號中處于該頻段的信號分量，網絡流量具有時域中頻域重疊的特征#65377;基于小波分解和重構思想，提出采用小波方法對于網絡行為中的異常行為進行分析#65380;判別的方法和模型，模型在模擬分析中取得較好的效果#65377;

關鍵詞:異常;小波;神經網絡

中圖分類號:TP393.06文獻標志碼:A

文章編號:1001-3695(2007)04-0318-03



0引言

盡管Internet 的設計一直在不斷地完善， 但人們對網絡行為許多方面的理解卻較少#65377;Internet 技術和管理的多樣性#65380;網絡規模持續增長性，及其應用和使用方式的變化特性，均對網絡行為研究提出了挑戰， 從而使Internet 行為學研究從網絡管理中分離出來， 成為一門獨立的網絡研究科學#65377;

網絡的流量特性是網絡行為學分析中所必須考慮的一個重要因素，其在網絡協議設計#65380;性能優化和網絡設備研究等方面起了至關重要的作用#65377;而當今的計算機網絡中，存在著諸多異常因素和計算機黑客變化多端的攻擊手段，使得網絡的流量特性變得越來越復雜#65377;如何通過對大量數據的統計分析，發現網絡系統中的異常流量是一個值得研究的問題#65377;

近年來許多關于網絡流量特性的研究結果表明，在真實環境中的網絡流量呈現出相當明顯的尺度特性^[1，2]#65377;網絡流量在小時間尺度上呈現出復雜奇異性特征，在大時間尺度上具有長程依賴性(Long Range Dependence，LRD) 特征#65377;而小波分析能將時間域上重疊但頻率域上不重疊的流量信號進行分段，不同的頻段(也就是不同的小波系數層次)代表了信號中處于該尺度的信號分量，網絡流量具有時域中頻域重疊的特征#65377;

1小波分析原理

小波分析是信號處理和流量分析的強大工具#65377;小波分析分解過程把信號分解為不同的層，而每一層均以時間作為獨立的變量，這樣較之傅里葉變換就有了時域定位的能力#65377;

小波函數ψ(t)指具有震蕩特性，能迅速衰減到0的一類函數(∫+∞-∞ψ(t)dt=0)，它是一個帶通濾波器#65377;通過ψ(t)的伸縮和平移后派生出一族函數ψa，b(t):

ψa，b(t)=|a|-1/2ψ(t-b/a) b∈R，a∈R，a≠0 (1)

式中:ψa，b(t)稱連續小波，a為尺度因子或頻率因子，b為時間因子#65377;

若ψa，b(t)滿足式(1)，對于能量有限信號或時間序列f(t)∈L2(R)，其連續小波變換定義為

Wψf(a，b)==|a|-1/2∫Rf(t)ψ(t-b/a)dt (2)

式中: ψ(t)為ψ(t)的復共軛函數#65377;式(2)說明小波變換是對f(t)按不同尺度進行分解，實質是對f(t)用不同濾波器進行濾波，濾波器的脈沖響應為|a|-1/2ψ(t-b/a)#65377;

小波既具有頻率分析的性質，又能表示發生的時間，有利于分析確定時間發生的現象，并具有多分辨率(multiresolution) ， 即多尺度的特點， 可以由粗及精地逐步觀察信號，有利于各分辨度不同特征的提取，這與網絡攻擊在不同頻率下的不同表現有著相似特性#65377;在實際應用中，適當地選擇基本小波， 使W(t)在時域#65380;頻域上均比較集中， 便可以使小波技術在時域， 頻域上都具有表征信號局部特征的能力， 因此有利于檢測信號的瞬態和奇異點#65377;

2網絡異常分析結構模型

2.1網絡異常行為分析及頻率特性

網絡流量特性是網絡性能分析和通信網絡規劃設計的基礎，準確地描述流量特性對設計高性能網絡協議#65380;高效網絡拓撲結構#65380;業務量預測與網絡規劃#65380;高性能價格比的網絡設備與服務器#65380;精確的網絡性能分析與預測#65380;擁塞管理與流量均衡均有重要意義#65377;因而網絡流量特性的研究長期以來受到計算機網絡研究人員的高度重視#65377;

而在紛繁復雜的網絡行為中，錯誤#65380;攻擊等流量異常行為在網絡中非常流行#65377;在一個短時間內確定#65380;診斷以及應對異常是網絡行為學研究的重要內容#65377;準確地確定和診斷異常首先依靠健壯和及時的數據，其次依靠一種確定的方法將異常信號從數據中分離出來#65377;

為了分析網絡異常的流量行為，需要先分析正常流量的環境特征，作為發現異常的一個基準#65377;現在有很多研究描述了正常網絡環境的一些重要特征，比如以天和周為單位的網絡流量自相似性^[3]#65377;筆者在分析實驗中發現，網絡流量行為具有較好的時域中頻域重疊的特征，即在某個點測得的流量由不同的網絡流量匯集而成，本文利用小波分析的手段，將不同頻域的流量分解后再作具體的異常分析，具有較好的效果#65377;

2.2網絡異常分析結構設計

在系統中，考慮到小波在將復雜的問題化簡方面的優勢，提出網絡異常的一種小波分析的方法#65377;該網絡異常分析的系統結構如圖1所示#65377;

本文利用小波分析分解過程將信號分解為不同的層，而每一層均以時間作為獨立的變量，這樣較之傅里葉變換就有了時域定位的能力#65377;較低層的濾波信息較少，因此可以認為是多種頻率的復雜聚合體，將其用信號的低頻表示#65377;而與之相反，信號的高頻部分則顯示了信號的紋理細節部分，體現了信號的細微變化#65377;在處理原始信號時，頻率是通過式(1)中的a尺度因子來調節的#65377;

通過調節a尺度因子的范圍，將從原始信號分解之后的導出信號分為以下三部分:

(1)L(低頻)信號

該部分所占有的數據量占原始信號的很少部分，大概是0.4%#65377;它可以反映流量以天或星期為單位的較長時間特性#65377;

(2)M(中頻)信號

這部分的信號在0周圍波動#65377;其數據量大概占原始信號的3%左右#65377;

(3)H(高頻)信號

這部分信號需要進行除噪處理，因為這些變化很快，很“短”的信號通常是一些對分析網絡異常沒有幫助的噪聲#65377;可以通過將所有超過某個閾值的設置為0，從而消除噪聲信號#65377;

將原始信號作了初步的分頻處理后，接下來的工作是在分頻信號中進行異常流量的分析#65377;對于流量異常診斷重要的一個前期步驟應該是先分析正常流量的特征，作為發現異常的一個基準，這需要建立信號知識庫#65377;有很多研究已經表明，在正常情況下，網絡流量具有長程相關和自相似的特性^[1，2，5]#65377;該試驗研究也表明，通過小波分頻處理后的信號依然很好地保持了這樣的特性#65377;

異常分頻知識庫的建立可以通過小波分解異常信號，得到高/中/低頻頻帶分析來建立異常信號特征，將已知的攻擊特征進行編碼，存入知識庫中#65377;同時也對于相對穩定的正常工作的周圍環境信號進行分析，建立一個對應“正常活動”的系統或用戶的正常輪廓，對高/中/低頻頻帶信號設立閾值#65377;這樣在知識庫中就記錄了分頻的異常流量和正常流量特征的知識庫#65377;對于系統的即時流量經過前期處理后，即可對照知識庫中的規則進行匹配處理，如果匹配即啟動相應措施，進行報警#65377;

2.3網絡異常分析系統實現

2.3.1實驗研究

在實驗研究中，筆者應用了不同的小波系統來確定如何最好地揭示已記錄的異常#65377;通過限制流量和采集到的SNMP數據，從而做到在較好的時間尺度上的分析#65377;通過實驗比較，選擇一個較好的小波系統來有效地揭示正常信號和異常信號的潛在特征#65377;

在實驗分析中，將網絡流量數據分為不同的組#65377;第一組包含了一些時間跨度較長的攻擊事件#65377;這些數據采集時間間隔較長，持續的時間也較長#65377;另外的一些實驗數據為一些短程的包括網絡錯誤#65380;攻擊等異常行為的流量數據#65377;這些短程異常行為在一般的監測方式中較難被發現#65377;這是因為它們與正常的突發網絡行為極為相似#65377;通過小波分析的分頻方法，將一些無關的信息過濾后，中#65380;高頻帶的信號將能較好地揭示出這些短程異常行為#65377;

在實踐過程中，發現在不同的網絡節點上采集的數據對于異常的表征能力是不一樣的#65377;當采集點距離異常源較近時，異常在小波分頻后的分析圖中表征較為明顯;當距離異常源較遠時，異常將由于一些其他流量的混合干擾而變得模糊，使得分離異常的任務變得相對困難#65377;結合神經網絡的知識，對這些流量進行一些預處理，使得系統不管是在離異常點近或者遠的測量點均有較好的效果#65377;

2.3.2數據采集

對于數據流量的采集筆者采用SNMP協議采集MIB數據^[4]， SNMP是由IETF提出的，隨著TCP/IP成為事實上的協議標準而廣泛被使用#65377;SNMP主要由三部分組成，即管理者#65380;代理和MIB#65377;通過SNMP協議的標準命令GetRequest，GetNextRequest通過代理獲得所需的相關MIB數據值#65377;基本原理如圖2所示#65377;

在該實驗中，主要用到網卡的通信流量#65377;其具體數據在SNMP中被定義為接口if組:

ifInOctets為接口發送的字節數

ifOutOctets為接口接收的字節數

ifInUcastPkts為輸入的單播包數

ifOutUcastPkts為輸出的單播包數

ifInNUcastPkts為輸入的非單播包數

ifOutNUcastPkts為輸出的非單播包數

通過if組的數據，可以計算出網絡接口處發送和接收數據包的傳輸速率V:

V(發送)=(△ifOutUcastPkts+△ifOutNUcastPkts)/△t(1)

V(接收)=(△ifInUcastPkts+△ifInUcastPkts)/△t(2)

筆者從華南理工大學網絡中心的網絡監測系統獲得3~6月份期間的幾個校內邊界路由器的流量數據，數據是對各個網絡設備進行MIB數據采樣獲得的#65377;

2.3.3數據轉換

從路由器等網絡設備采集到的數據為RRD(Round Robin Database)格式#65377;RRD可以用來儲存時間序列的數據，如網絡流量，機房溫度等#65377;它以一種壓縮程度非常高的方式來存儲數據#65377;由于試驗的需要，對初始數據在系統處理過程中進行適當的轉換，使原始數據方便進行算法的處理，得到系統核心處理器所需的數據格式#65377;

2.3.4實驗結果及分析

對于異常有長程異常和短程異常#65377;筆者認為其可以由小波分頻后的不同頻帶進行表征，對于長程的網絡異常現象，應該體現在系統處理后流量信號的中低頻信號中#65377;

圖3是3~5月的校園網絡流量及該系統處理后的分解圖示#65377;其中這次長程異常在低頻部分中能較好地反映出來#65377;從圖3中可以看到，在4月中旬時，低頻流量部分的數據與知識庫中的長程異常流量特征相匹配，系統及時啟動預警機制#65377;

而現在流行的網絡攻擊和蠕蟲等造成的網絡異常一般的特性為短時#65380;突發，需要用細尺度的小波函數來刻畫，這時需要分析信號的高頻和中頻部分#65377;因為高頻和中頻部分信號區間相對較短，頻率的分辨率升高，此時才能有足夠的分辨率去發現這些短程攻擊#65377;圖4為5月份時，在網絡中心對某服務器模擬的一次DoS攻擊，正如筆者所預計的在有較高頻率定位能力的中#65380;高頻段系統均可以較好地發現異常網絡行為#65377;在原信號中，此次異常行為流量與一些其他的網絡行為流量混雜在一起，不容易處理，通過該系統的預處理和分析之后，其表現特征在高頻部分得到很好的體現，模型系統及時發現了發生在5月12日的這次模擬攻擊#65377;

通過實踐證明，該模型系統能初步定位一些異常行為，在豐富了知識庫后能較為精準的實時捕獲異常并報警#65377;

3結束語

由于網絡流量具有時域中頻域重疊的特征，本文利用小波技術在檢測網絡異常流量方面的優勢，設計并初步實現了一種異常行為分析系統#65377;對于網絡行為中的攻擊行為進行了分析和判別，并在實際的應用中進行了模擬分析，得到較好的實驗結果，但系統仍然存在一些需要改進的地方#65377;其中精確描述刻畫網絡流量特性以及對網絡異常知識庫的充實是重點需要研究的#65377;

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。