基于信息熵的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)

尹光花，常春燕，李景景

（1.鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 鄭州 450000；2.鄭州升達(dá)經(jīng)貿(mào)管理學(xué)院 商學(xué)院，河南 鄭州 450000）

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊手段不斷升級(jí)，需要優(yōu)化通信網(wǎng)絡(luò)技術(shù)，并實(shí)時(shí)對(duì)流量進(jìn)行異常監(jiān)測(cè)[1]。根據(jù)網(wǎng)絡(luò)建設(shè)的順序，系統(tǒng)網(wǎng)絡(luò)流量管理分為設(shè)備管理、運(yùn)行管理、績(jī)效管理以及業(yè)務(wù)管理4個(gè)主要處理層級(jí)，結(jié)合內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)運(yùn)行需求，對(duì)網(wǎng)絡(luò)的交流數(shù)據(jù)進(jìn)行處理。采集和分析通信網(wǎng)絡(luò)異常參數(shù)，若通信網(wǎng)絡(luò)性能下降或網(wǎng)絡(luò)拒絕服務(wù)，則需要檢查監(jiān)測(cè)網(wǎng)絡(luò)出口交換設(shè)備的流量輸出情況，及時(shí)排查和修正，從而更好地保證通信網(wǎng)絡(luò)流量監(jiān)測(cè)效果。

1 通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)硬件配置優(yōu)化

當(dāng)前網(wǎng)絡(luò)技術(shù)飛速發(fā)展，通信網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛。人們對(duì)網(wǎng)絡(luò)的依賴性日益增強(qiáng)，因此通信網(wǎng)絡(luò)流量異常情況逐漸引起了人們的關(guān)注，有必要優(yōu)化通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)。通過(guò)優(yōu)化系統(tǒng)硬件結(jié)構(gòu)，分析通信網(wǎng)絡(luò)流量性能，有助于提升通信網(wǎng)絡(luò)管理效率。通過(guò)獲取標(biāo)準(zhǔn)的網(wǎng)絡(luò)吞吐量，能夠精準(zhǔn)診斷和修正流量異常故障[2]。為了快速準(zhǔn)確地檢測(cè)出通信網(wǎng)絡(luò)流量異常信息，保證通信網(wǎng)絡(luò)安全，將通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)硬件部分主要?jiǎng)澐譃榱髁坎杉⒘髁拷y(tǒng)計(jì)、異常監(jiān)測(cè)以及報(bào)警顯示4個(gè)模塊。通過(guò)分組分類法統(tǒng)計(jì)移動(dòng)通信網(wǎng)出口業(yè)務(wù)總量，以獲得相應(yīng)的網(wǎng)絡(luò)流量信息。針對(duì)自動(dòng)識(shí)別的特點(diǎn)，查看系統(tǒng)運(yùn)行狀態(tài)，并對(duì)系統(tǒng)進(jìn)行配置和管理。

一般來(lái)說(shuō)，網(wǎng)絡(luò)異常是指網(wǎng)絡(luò)運(yùn)行狀態(tài)與正常狀態(tài)發(fā)生偏差。由于網(wǎng)絡(luò)流量異常具有加速擴(kuò)散的特征，因此需要及時(shí)對(duì)其進(jìn)行監(jiān)控。針對(duì)不同粒度、類型以及傳輸時(shí)間的網(wǎng)絡(luò)流量，需要對(duì)其進(jìn)行劃分，以提高監(jiān)測(cè)效率[3]。在監(jiān)測(cè)具體線路和節(jié)點(diǎn)時(shí)，應(yīng)設(shè)置相應(yīng)的指標(biāo)。采用上下法能有效提高指標(biāo)的最大值和最小值，并通過(guò)計(jì)算得出平均值。設(shè)定通信處理中心的IP地址，并按10 b/s的頻率定期向IP地址報(bào)告通信數(shù)據(jù)，包括通信源IP、通信源端口以及通信源的協(xié)議類型。通信網(wǎng)絡(luò)終端每次更新通信源和通信包的數(shù)量時(shí)，必須向通信處理中心報(bào)告節(jié)點(diǎn)的通信量，其中通用性強(qiáng)的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)模塊相對(duì)獨(dú)立。為了更加精準(zhǔn)地探測(cè)到從未發(fā)生過(guò)的通信網(wǎng)絡(luò)流量攻擊行為，監(jiān)測(cè)系統(tǒng)結(jié)合不同層次和不同時(shí)空位置的流量特征參數(shù)，通過(guò)分析流量參數(shù)的相關(guān)性，找出造成網(wǎng)絡(luò)異常行為的根本原因，挖掘冗余特征信號(hào)，并對(duì)網(wǎng)絡(luò)中的異常行為進(jìn)行分類，以彌補(bǔ)流量異常檢測(cè)的不足，同時(shí)結(jié)合信息熵原理建立通信網(wǎng)絡(luò)流量正常行為模型。基于此，構(gòu)建通信網(wǎng)絡(luò)流量正常行為判斷模型，具體結(jié)構(gòu)如圖1所示。

圖1 通信網(wǎng)絡(luò)流量正常行為判斷模型

通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)主要包括中心部分、邊界框圖、流量數(shù)據(jù)管理、異常監(jiān)測(cè)以及流量數(shù)據(jù)采集5個(gè)部分。將通信網(wǎng)絡(luò)流量數(shù)據(jù)收集節(jié)點(diǎn)分布在每個(gè)LAN的流量點(diǎn)上，以便更加快速地向處理中心報(bào)告收集點(diǎn)產(chǎn)生的流量數(shù)據(jù)。基于通信網(wǎng)流量數(shù)據(jù)管理組件和接口框架，處理中心采用異常流量數(shù)據(jù)采集模塊，按照流量生成機(jī)制向處理中心報(bào)告局域網(wǎng)內(nèi)的信息，并在接收到原始信息后進(jìn)行進(jìn)一步處理，獲取通信網(wǎng)流量異常信息，生成向網(wǎng)絡(luò)終端發(fā)送的電子信號(hào)。流量異常監(jiān)測(cè)模塊利用信息熵的短期監(jiān)測(cè)和長(zhǎng)期挖掘歷史數(shù)據(jù)檢測(cè)異常流量，具有支持異常規(guī)則集的人工輸入的特點(diǎn)，實(shí)現(xiàn)了通信網(wǎng)絡(luò)流量的精準(zhǔn)檢測(cè)。根據(jù)以上方法優(yōu)化通信網(wǎng)絡(luò)流量檢測(cè)平臺(tái)結(jié)構(gòu)，如圖2所示。

基于上述平臺(tái)結(jié)構(gòu)優(yōu)化系統(tǒng)硬件配置，實(shí)現(xiàn)了大型網(wǎng)絡(luò)流量狀態(tài)的可視化監(jiān)控。通過(guò)采集與分析網(wǎng)絡(luò)流量的數(shù)據(jù)包，引用普通網(wǎng)卡圖像采集交換機(jī)，進(jìn)而優(yōu)化內(nèi)外網(wǎng)之間的端口流量參數(shù)，并由流量處理中心合并處理各采集點(diǎn)的流量參數(shù)。數(shù)據(jù)流具有實(shí)時(shí)性，能夠反映不同網(wǎng)段之間的流量關(guān)系，具有較高的實(shí)際應(yīng)用性。

2 通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)軟件流程設(shè)計(jì)

結(jié)合信息熵算法優(yōu)化通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)軟件流程，以提高網(wǎng)絡(luò)流量監(jiān)測(cè)的準(zhǔn)確度。通信網(wǎng)絡(luò)流量特征庫(kù)需要維護(hù)，而僅檢測(cè)到已知的網(wǎng)絡(luò)流量異常，會(huì)使通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)的適應(yīng)性和靈活性變差，也會(huì)造成大量數(shù)據(jù)丟失。業(yè)務(wù)異常現(xiàn)象嚴(yán)重影響通信質(zhì)量，威脅用戶隱私，需要及時(shí)發(fā)現(xiàn)異常流量，最大限度地減少損失，并采用特征庫(kù)識(shí)別法檢測(cè)異常流量。

圖2 通信網(wǎng)絡(luò)流量檢測(cè)平臺(tái)結(jié)構(gòu)

異常流量監(jiān)測(cè)項(xiàng)分類時(shí)，應(yīng)結(jié)合信息熵原理篩選閾值，保證閾值不能過(guò)高或過(guò)低。當(dāng)信息熵閾值過(guò)高時(shí)，異常流量難以監(jiān)測(cè)，部分流量會(huì)自動(dòng)通過(guò)系統(tǒng)，影響軟件的正常運(yùn)行。門限設(shè)置過(guò)低會(huì)造成交通監(jiān)控系統(tǒng)中大量的異常報(bào)警，從而影響報(bào)警效果[4]。基于此，對(duì)網(wǎng)絡(luò)通信動(dòng)態(tài)流量信息進(jìn)行特征采集更新。結(jié)合基于概率統(tǒng)計(jì)算法，給出源信息熵H的定義：

式中，源代碼包含I個(gè)事件或信息單元，并以一定的概率出現(xiàn)；b為源代碼的信息熵；P1為事件發(fā)生的概率[5]。

基于上述算法分析網(wǎng)絡(luò)流量，計(jì)算網(wǎng)絡(luò)流量的集中與分散。當(dāng)特征數(shù)據(jù)庫(kù)監(jiān)控具有明顯特征的網(wǎng)絡(luò)異常流量時(shí)，監(jiān)控效果非常顯著。為了保證特征庫(kù)的監(jiān)控效果，需要不斷更新和擴(kuò)展特征庫(kù)，以擴(kuò)大監(jiān)控范圍，提高識(shí)別效果。

3 實(shí)驗(yàn)結(jié)果分析

為驗(yàn)證基于信息熵的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)的實(shí)際運(yùn)行效果，進(jìn)行了實(shí)驗(yàn)檢測(cè)，并結(jié)合當(dāng)前監(jiān)測(cè)系統(tǒng)進(jìn)行了對(duì)比分析。為保障實(shí)驗(yàn)檢測(cè)效果，統(tǒng)一設(shè)置實(shí)驗(yàn)參數(shù)，具體如表1所示。

表1 實(shí)驗(yàn)參數(shù)設(shè)置

以表1中的參數(shù)為基礎(chǔ)，在同一移動(dòng)通信網(wǎng)上，將傳統(tǒng)監(jiān)控系統(tǒng)與設(shè)計(jì)的監(jiān)控系統(tǒng)進(jìn)行比較，分別監(jiān)控網(wǎng)絡(luò)異常流量，記錄監(jiān)控結(jié)果的準(zhǔn)確性，判斷兩種系統(tǒng)的監(jiān)控效果，并給出不同系統(tǒng)監(jiān)控效果的對(duì)比結(jié)果，結(jié)果如圖3所示。

實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的系統(tǒng)能夠成功監(jiān)測(cè)各鏈路上的網(wǎng)絡(luò)數(shù)據(jù)，并分析網(wǎng)絡(luò)局部流量狀況和節(jié)點(diǎn)位置，從而判斷網(wǎng)絡(luò)中是否存在異常節(jié)點(diǎn)，有效擴(kuò)大了監(jiān)測(cè)范圍，提高了監(jiān)測(cè)效果，能夠統(tǒng)一獲取流量信息。

圖3 對(duì)比實(shí)驗(yàn)檢測(cè)結(jié)果

4 結(jié) 論

實(shí)際應(yīng)用過(guò)程中，基于信息熵的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)系統(tǒng)不僅能全局采集數(shù)據(jù)，當(dāng)移動(dòng)通信網(wǎng)發(fā)生異常情況時(shí)，還可以有效發(fā)現(xiàn)并制止不正當(dāng)接入行為，充分優(yōu)化特征庫(kù)，有效降低網(wǎng)絡(luò)投入成本。通信網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)是一種不受通信網(wǎng)絡(luò)影響且能夠快速部署的監(jiān)控系統(tǒng)，可以有效消除部分冗余電源和冗余硬盤，提高通信網(wǎng)絡(luò)的運(yùn)行效率和穩(wěn)定性。