基于網絡流量數據的以太網異常狀態監測研究

吳韻怡

(廣州華立科技職業學院，計算機信息工程學院， 廣東，廣州 511325)

0 引言

隨著網絡技術的不斷發展，出現許多類型的網絡，如無線網絡、城域網，局域網，其中以太網就是一種比較典型的局域網。相對于其它局域網，以太網更加容易拓展，魯棒性理強，容錯能力強，在許多領域得到了廣泛應用[1-3]。在以太網的實際應用過程中，由于外界的非法入侵，以太網有時難免會出現一些異常狀態，影響以太網數據的傳輸成功率，無法保證以太網的安全工作，因此對以太網異常狀態進行監測研究具有十分重要的意義[4-5]。

以太網異常狀態監測實際就是一種二分類問題，通過引入一定的技術將以太網狀態劃分為異常和正常2種類型[6]。當前主要以太網異常狀態監測方法可以劃分為2類，一類是傳統的以太網異常狀態監測方法，另一類是現代的以太網異常狀態監測方法。傳統方法主要有基于決策樹的以太網異常狀態監測方法，對于小規模、簡單的以太網，該方法的異常狀態監測精度高，而且速度快，但是當以太網的規模比較大、結構十分復雜時，該方法的缺陷就十分明顯，如存在以太網異常狀態監測誤差大，監測速度慢等不足，目前基本上處于淘汰狀態[7-9]。現代方法主要有人工神經網絡的以太網異常狀態監測方法，如BP神經網絡、RBF神經網絡等，它們具有一定的自學習能力，當以太網的拓撲結構發現變化時，神經網絡的結構也可以進行相應調整，但是神經網絡自身存在一定的不足，如出現過擬合和欠學習的概率相當高，使得以太網異常狀態監測結果不穩定，監測效率低[10-12]。

為了提高以太網異常狀態監測精度，滿足以太網異常狀態監測的實時性，提出了基于網絡流量數據的以太網異常狀態監測方法。首先采集以太網流量數據，并采用小波變換對以太網數據進行預處理，然后引入最小二乘支持向量機對以太網流量數據進行建模和分析，實現以太網異常狀態監測，最后通過以太網異常狀態監測仿真測試驗證了本文方法的優越性。

1 基于網絡流量數據的以太網異常狀態監測方法

1.1 網絡流量數據的預處理

以太網在工作過程由于受到許多因素的綜合影響，采集的網絡流量不一定純凈，經常會包含一定的噪聲，這些噪聲使得以太網流量數據的存儲空間增大，影響以太網流量數據傳輸的速度，最重要的不足是會影響以太網異常狀態監測結果，因此需要對以太網的原始流量數據進行預處理。

本文采用小波變換對以太網流量數據進行去噪操作。基于小波變換的以太網流量數據預處理的原理如下：首先設置一定的分解尺度，對以太網流量數據進行分解和細化，得到精細的以太網流量數據，由于噪聲和有用以太網流量數據的小波系數不同，這樣得到不同大小值的小波系數，通常情況上，噪聲的小波系數要小，然后設置一個閾值，每一個小波系數與閾值進行比較，將噪聲對應的小波系數設置為0，而有用以太網流量數據的小波系數的值不變，最后通過小波逆變換對所有小波系數進行重新構造，這樣得到以太網流量數據不包含噪聲，具體原理描述如圖1所示[13]。

圖1 基于小波變換的以太網流量數據預處理原理

當前閾值算法可以劃分為2類：硬閾值和軟閾值法，它們具體描述如式(1)、式(2)：

(1)

(2)

結合以太網流量數據的特點，本文采用硬閾值算法對以太網流量數據進行處理，減少噪聲對后續以太網異常狀態監測的影響。

1.2 網絡流量數據挖掘技術

f(x)=sgnωTφ(x)+b

(3)

建立目標函數如式(4)：

(4)

采用拉格朗日乘子αi構建相應的優化函數如式(5)：

(5)

根據最小二乘支持向量機的學習原理[15]，可以建立式(6)：

(6)

根據K(xk,xi)=φ(xk)Tφ(xi)，得到以太網異常狀態監測決策函數為式(7)：

(7)

1.3 基于網絡流量數據的以太網異常狀態監測原理

基于網絡流量數據的以太網異常狀態監測原理：首先采用以太網的流量數據，該數據包含了正常狀態和異常狀態，因此是一種二分類問題的求解，然后通過基于硬閾值的小波變換對以太網網絡流量進行預處理，將噪聲的小波系數設置為0，去除噪聲的干擾，最后采用最小二乘支持向量機根據網絡流量建立以太網異常狀態監測分類函數，通過分類函數實現以太網異常狀態監測。

2 仿真實驗

2.1 數據來源及實驗平臺

為了分析基于網絡流量數據的以太網異常狀態監測方法的有效性，選擇5個以太網作為研究對象，分別采集它們的網絡流量數據，得到的樣本數量如表1所示。為了使基于網絡流量數據的以太網異常狀態監測方法的實驗結果更具說服力，選擇沒有去噪的以太網異常狀態監測方法(建模方法仍然采用最小二乘支持向量機)，簡稱LSSVM，小波變換去噪+BP神經網絡的以太網異常狀態監測方法，簡稱WA-BPNN進行對比實驗，它們采用相同的實驗平臺，實驗平臺設置如表2所示。

表1 5個以太網的網絡流量數據分布

2.2 結果與分析

2.2.1 以太網異常狀態監測結果

采用WA-LSSVM、LSSVM、WA-BPNN在表2的仿真平臺上，根據表1的網絡流量數據對以太網異常狀態監測進行建模和分析，得到以太網異常狀態監測精度和誤差分別如圖2、圖3所示。從圖2、圖3的以太網異常狀態監測精度和誤差可以得到如下結論。

表2 以太網異常狀態監測的實驗平臺

圖2 不同方法的以太網異常狀態監測精度

圖3 不同方法的以太網異常狀態監測誤差

(1) LSSVM的以太網異常狀態監測精度和誤差的平均值分別為86.60%和13.40%，以太網異常狀態監測結果不理想，這是因為網絡流量數據中包含了一定的噪聲，對以太網異常狀態監測建模分析結果產生了干擾，無法建立高精度的以太網異常狀態監測結果，同時說明了需要引入去噪技術對以太網絡流量數據進行預見處理。

(2) WA-BPNN的以太網異常狀態監測精度和誤差的平均值分別為86.83%和13.17%，以太網異常狀態監測結果與LSSVM相差不大，這是因為BP神經網絡存在一定的過擬合和欠學習缺陷，無法準確描述網絡異常狀態的變化規律，使得以太網異常狀態監測誤差大。

(3) WA-LSSVM的以太網異常狀態監測精度和誤差的平均值分別為95.60 %和4.40%，以太網異常狀態監測結果明顯優于對比方法，這是WA-LSSVM集成了小波變換和最小二乘支持向量機的優點，可以抑制網絡流量數據中的噪聲干擾，準確描述了以太網異常狀態變化特點，獲得了理想的以太網異常狀態監測結果。

2.2.2 以太網異常狀態監測效率

在以太網異常狀態監測的實際應用中，以太網異常狀態監測實時性十分重要，實時性主要采用以太網異常狀態監測效率來描述，因此統計3種方法的以太網異常狀態監測時間，結果如圖4所示。從圖4可以看出，LSSVM的以太網異常狀態監測時間平均值為29.10 ms，WA-BPNN的以太網異常狀態監測時間平均值為24.38 ms，WA-LSSVM的以太網異常狀態監測時間平均值為19.64 ms，相對于對比方法，WA-LSSVM的以太網異常狀態監測時間明顯減少，獲得更優的以太網異常狀態監測效率，能夠對以太網異常狀態進行實時識別和異常行為進行在線攔截，并做出相應的應對措施。

3 總結

為了提高以太網異常狀態監測精度，加快以太網異常狀態監測速度，針對當前以太網異常狀態監測方法存在的弊端，提出了基于網絡流量數據的以太網異常狀態監測系統，引入小噪聲方法對網絡流量數據進行預處理，引入最小二乘支持向量機根據網絡流量數據對以太網異常狀態進行識別，相對于其它以太網異常狀態監測方法，本文方法的以太網異常狀態監測整體性能更優，可以保證以太網安全工作，具有十分廣泛的應用前景。

圖4 不同方法的以太網異常狀態監測時間