網絡異常流量監測系統優化設計

周慧芬

(西安醫學高等專科學校 基礎部， 陜西 西安 710309)

0 引言

快速發展完善的互聯網促使互聯網技術同日常生產生活間的融合日益加深，網絡成為實現實時通信的重要途徑，隨著網絡功能的不斷豐富，網絡中存在的安全隱患問題也日益突出，這就對網絡安全監控提出了更高的要求。而流量異常是網絡面臨的常見安全隱患，監測設備或軟件配置不足、結合計算機病毒與黑客技術形成的新型編譯病毒均是導致網絡流量異常頻發的主要原因，為確保網絡應用的安全，需通過網絡流量實時監控及時發現問題并快速檢測故障位置，最大程度避免網絡失效的出現。

1 網絡流量異常監控分析

網絡流量數據信息在大數據時代背景下迅猛增長，網絡流量數據信息的內容傳播以及學習過程都需要結合運用網絡技術與信息科技來實現。基于復雜網絡結構建立的大型網絡涵蓋了不同廠商的計算機、網絡設備，網絡不同的功能或應用大多需基于不同的協議實現。在由不同個性化學習網絡互聯構成的網絡環境下，易出現信道擁擠和分配不均衡，導致難以均勻分配信任節點及準確定位出現的問題，進而產生異常流量，實時準確的監測網絡異常流量已成為提高網絡安全性的主要手段。本研究通過對網絡流量監測系統的硬件和軟件進行優化設計，構建了一種多功能流量實時監測系統和基于優化模糊PID控制的異常監控方法[1]。

2 流量監測系統的優化方案

2.1 硬件結構優化設計

以多功能網絡特征為依據優化設計監測系統的硬件結構，提高了用戶訪問的便利性，如圖1所示。

圖1 硬件優化結構框圖

監控對象主要通過4個監測點采取主動監控方法完成有效監測過程；監測到的數據經由數據服務器處理后得出格式統一的數據單，以供后續查詢使用；中心服務器接收匯總各監測點監獲取的數據，并對各軟件配置信息進行管理；流量異常監控結果最終通過表示服務器進行管理與呈現[2]。

(1) 中心服務器優化設計

中心服務器的功能在于匯集不同的流量數據，考慮到作為數據匯集場所的原始系統服務器無法實時監控全部流量數據，中心服務器結構如圖2所示。

圖2 中心服務器設計

網絡正常流量數據和異常流量數據分別經集群處理與單一接入處理后再向匯集層傳遞，然后通過構建超文本傳輸協議連接實現對集群匯集形式的進一步優化設計，如圖3所示。

圖3 集群匯集形式優化設計

從而能夠實時監控全部流量數據，瀏覽器需先建立相應連接再向中心服務器發送數據請求，請求完畢后則斷開連接，實現異常流量數據到服務器的有效傳送過程[2]。

(2) 監控器優化設計

針對現行的評估標準，其中有很多超過了十年的行業標準，還有很多超過了五年的國家標準，相關部門就要嚴格的按照當前我國輻射環境管理方面的法律規章制度、準則以及最新的檢測數據，對其進行重新的評估，并做好修訂工作。不僅如此，我們還要將這一項工作列入到環境保護標準年度工作規劃當中，針對當前已經無法滿足現行技術的標準，要及時的采取有效措施進行解決。最后，我們還要加大個和國際之間的交流與合作，充分的掌握更多先進的監測技術，密切關注輻射環境監測工作動態，實現和國際之間的接軌，促進我國輻射環境監測的進一步發展。

考慮到原始系統的監控器的監控效果易受到噪音的干擾，本文對監控器進行優化設計，通過采用放大器OPA380，完成對異常流量輸出信號的放大處理后，再將異常流量信號通過采用二極管LSSPD-PB3轉化為電流信號；并設計了轉換電路，通過使用電阻R1和去耦電容C1實現對電流放大以及大頻率噪聲干擾放大行的有效抑制，使監測系統的抗噪聲干擾能力得以有效提升，進而提高對異常流量的實時監測性能[3]。

2.2 軟件功能優化設計

(1) 流量異常特征分析

出現異常和錯誤的網絡流量和配置會改變IP地址和端口分布，進而明顯增加主機的報文，因此針對流量分布特征的分散情況，可通過網絡流量矩陣方法的使用完成分析過程，假設，A表示流量特征;B和C分別表示樣本總數及樣本選取的數量;i表示具體的特定流量特征;ni表示i出現的次數，可將該流量特征樣本定義,如式(1)。

(1)

在全部選取的樣本取值一致的情況下，F(x)=0；在取值結果具有較大的分散程度時，則F(x)=log2C。在此基礎即可對不同流量特征的異常行為進行描述，異常種類包括：錯誤配置，路由端口錯誤配置造成設備故障，異常特征值較大，正常特征值較大；服務攻擊的異常與正常特征值均較小；突發訪問，異常特征值較大，正常特征值較小；蠕蟲掃描與突發訪問相反，正常特征值較大。

(2) 抓包功能

對抓包功能進行優化設計，系統在提取相關數據前，需先解析數據包并抓取傳播的以太網幀，在系統數據庫中存儲提取結果，以供分析網絡異常流量時使用。為了同時有效兼顧抓包功能的準確性及其同系統硬件間的實時交互功能，讀取配置文件后，注冊連接數據庫的ODBC數據源；構建各類定時器和線程及實時監控服務器，服務端的IP地址采用Bind函數完成監測與獲取，配置抓包驅動，完成抓包過程，進而完成對異常流量數據包的實時抓取，保證系統抓包準確性。此外，在系統界面添加實時監測顯示功能，動態展示流量數據的實時檢測結果，并可對抓包結果以及異常流量監控結果進行實時查看[4]。

3 流量監控方法優化設計

3.1 流量數據信號傳輸模型的構建

網絡流量在大型網絡中表現為一組時間序列，為給監測系統提供準確的特征依據，可通過構建信號模型實現對流量特征的提取，在大型網絡中，對MAC通過CSMA/CA信道進行訪問，采用周期性廣播網絡模型得到針對傳輸中的網絡流量信息的相應數據結構的分簇模型，由V={C1，C2，…，Cn}表示。假設，認知用戶接收到的信號由x(k)表示，授權用戶發出的流量信息由s(k)表示，CSMA/CA信道訪問模型的表達式如式(2)[5]。

(2)

(3)

在優化篩選過程中，由多模盲均衡提供所需的通用服務，進而實現相鄰節點間距的VANET分簇的獲取，不存在與存在授權用戶分別由H0和H1表示，β表示最小競爭窗口取值，寬帶壓縮感知的信道訪問概率計算表達式如式(4)。

(4)

基于交互規律，對聯合特征的時變性能通過使用大型網絡節點探測技術完成具體分析過程，實現基于網絡流量時間序列的的信號模型y(t)的構建，假設，P表示傳感器節點高部署密度;τ表示小波尺度，異常流量的主頻特征由x(t)表示，具體表達式如式(5)。

(5)

根據用戶的網絡使用需求，獲取信道傳輸過程中流量的路徑衰減損耗，假設，a表示網絡流幀數據，點間的數據傳輸速率由m表示;MAC層通信鏈路的分配維數由BH(t)表示，具體表達式如式(6)。

(6)

3.2 異常流量監測體系結構

基于上述構建的信號模型，對監測體系結構進行了用戶設計，選用S3C2440作為系統的控制核心(用于監測連接主干網絡的大型網絡)，使用分簇調度算法提取流量異常特征，運用可變精度衰減調制響應函數Color(u)=White，特征提取迭代輸出由Zk={z0，z1，…，zk}表示，取值范圍在[0，k]的t對應Zk的測量值。并在算法中設置了暫停調度策略，通過暫停相應情況的流量監控實現可見精度的衰減，進而使監測區間插入失衡問題得到有效解決，到達待分配任務時的隨機變量可由衰減指數rk反映，表示為Priority(flowi)=Priority(flowj)。構建nesC的組件接口，形成一種用于流量監控和任務調度的雙向通道[6]。

3.3 模糊PID控制算法的構建

M=Mn+ΔM

(7)

使用PID模糊控制提取出定量遞歸性能的熵特征并進行分析，得到匯聚協議迭代方程表達式如式(8)。

(8)

其中的最佳補償區域空間調度函數表達式如式(9)。

(9)

(10)

針對流量異常狀態通過鏈路估計器的使用完成重新估計，狀態輸出表達式如式(11)。

u″(k)=net″(k)

(11)

v(k)表示三層前向的異常流量監控的輸出，其在數值上同系統成功接收到的幀數相同，即式(12)。

v(k)=x″(k)

(12)

4 仿真實驗與結果分析

4.1 監控系統優化研究的可行性測試

設計實驗檢測本研究系統優化研究的可行性，實驗對象從已有的歷史記錄中選取50組數據，經標準化處理后，對本研究異常流量監測優化方法的監控誤差進行測試，并同傳統監控系統的監測結果進行對比，網絡流量監控輸出信號如圖4所示。

圖4 流量監控輸出信號走勢

輸出信號在出現異常流量的情況下會發生明顯改變，可監測出達到140個步長后的異常流量現象；存在噪聲影響下的監控誤差實驗對比結果，如圖5所示。

圖5 噪聲下監控誤差對比結果

說明本研究所提方法可使監測系統的抗噪聲干擾能力得到明顯提升；抓包誤差實驗對比結果如圖6所示。

圖6 抓包誤差對比結果

通過優化設計后的抓包功能使對異常流量的實時監控誤差得到明顯降低[8]。

4.2 算法性能測試

設計仿真實驗測試本文算法的異常流量監測性能，采樣硬件平臺采用telosB節點，在PC機上使用Matlab完成算法編程設計，算法編程語言采用C/C++，監測節點主要由處理器、射頻芯片組成，建立I/O控制端口用于傳輸流量數據，并通過FLASH、USB橋接實現無線數據采集過程，在此基礎上完成異常流量監控仿真，采集原始流量數據得到的時域波形，如圖7所示。

圖7 原始流量信息采集

對于存在異常流量的原始流量數據需進行檢測和識別，以上述樣本為測試集，采用本文監測方法的檢測結果，準確檢測出了異常流量頻譜特征，并能夠追溯定位流量異常點,如圖8所示。

圖8 網絡流量異常檢測結果輸出

本文方法同其他方法的流量異常監控性能對比結果，如圖9所示。

圖9 流量異常監控性能對比結果

進一步驗證了本文方法的網絡異常流量監測能力。

5 總結

傳統的網絡異常流量監測系統大多存在易受噪聲干擾、監測結果誤差較大等不足，為此本文設計了一種網絡異常流量監測系統優化方案，異常流量數據采用集群匯集形式獲取，提出了一種多功能網絡流量實時監測系統優化方法，對網絡的數據包使用抓包驅動完成抓取后，經進一步分析后獲取全部網絡數據，并在改進模糊PID控制方法的基礎上設計了一種實時監測算法，最終實現對異常流量實時有效的監控過程，測試結果表明本文優化方案具有較高的監控精準度，明顯降低了異常流量監測誤差。