基于特征庫識別法的移動通信網絡異常流量監測系統

王小文

(武夷學院，福建武夷山354300)

移動通信網絡以高效的速度、優良的性能走進千家萬戶。近年來，通信網絡發展越來越快，由通信網絡產生的移動流量也逐漸增加，監測是否存在異常流量對于保證系統安全性有著極為重要的意義，通常選用挖掘網絡流量的方法監測系統的異常性、關聯性。大數據的發展使互聯網越來越普及，網絡信息化不斷影響著人們的思維模式，改變著人們的日常生活方式[1]。

通信網絡在人們的日常生活中發揮著重要作用，隨著4G運行網絡的普及，5G、6G運行網絡已逐漸走入人們的視野，流量使用越來越多，通信網絡已經成為人們生活中必不可少的一部分。異常流量一旦出現會對客戶的通話質量造成影響，嚴重時甚至會影響整個系統的運行效率，造成設備癱瘓。網絡異常流量很難從根本上杜絕，傳統的網絡異常流量監測數據很難保障系統的安全性和可靠性，監測系統運行效率很低[2]。本文在傳統網絡異常流量監測系統的基礎上進行拓展研究，引用最新的特征庫識別法設計新的網絡架構，通過軟件運行使系統更加高效穩定，在流量端口上設定Net網絡，不僅能夠記錄流量流向，還能夠根據判斷找到流量發射地址和目的地址。所設計的異常流量監測系統能夠進行全局部署，通過設定的設備端口，判斷異常流量的延時程度、發射速率和CPU變化率[3]。

1 移動通信網絡異常流量監測系統硬件設計

在單位時間內網絡會傳輸大量數據，所傳輸的數據量被稱為網絡流量。網絡流量的劃分依據是不同的，通常根據流量粒度、流量類型和傳輸時間進行大致劃分，具體劃分方法要根據用戶的需求決定[4]。網絡流量傳輸過程中存在大量數據包，如果將數據包提取出來，該數據包將不具備任何實際含義，將數據包應用于具體業務才能體現出其現實意義。在監測特定的線路和節點時，要設置對應的指標，以上行和下行方式設置，這種設置方式能夠有效提高指標的最高峰值點和最低峰值點，由此計算出平均值。移動通信網絡異常流量監測系統硬件結構如圖1所示。

圖1 移動通信網絡異常流量監測系統硬件結構圖

在采集網絡流量時，要在中心系統上設置出一套完整的工具系統，以便更好地獲取通信網絡，同時對通信網絡進行傳輸和存儲。選用核心采集技術對流量進行采集，從不同角度將采集到的流量分成不同類型，采集時要考慮數據流量是硬件數據流量還是軟件數據流量[5]。如果得到的流量是硬件數據流量，則需要對應進入硬件系統中；如果得到的流量是軟件數據流量，則需要進入相應的軟件系統中。

1.1 采集系統設計

在硬件系統加入了網絡探針，探針被安在路由器出口處，這樣能夠大大提高檢測到的網絡流量數據范圍，對于局域網絡而言，探針有著很好的監測效果。由于網絡探針在使用時不經過路由器，所以對寬帶的整體運行不會產生影響[6]。網絡探針能夠快速檢測到系統的流量和寬帶，在Internet網絡環境下有很好的使用效果。安裝網絡探針時，要注意記錄接口的傳輸速率，通常安裝探針對接口的傳輸速率會產生一定的影響，如果傳輸速率波動在0.5%之間，則證明探針工作正常，適用性很強[7]。

在獲取數據包流量時，路由器與交換器連接，使數據能夠順利導出、采集和分析，流量采集探測器設計方案如圖2所示。硬件統一采用SNMP協議，確保TCP/IP能夠統一應用，對于相對簡單網絡而言，該監測方法的監測效果很好。數據在傳輸時，對客戶信息進行記錄，記錄結果保存在MIB信息庫中[8]。

圖2 流量采集探測器設計方案

1.2 監測系統設計

通過設計流量檢測包，使數據流量能夠被順利監測，大量的網絡流量數據資料都能夠被記錄，但是流量檢測包在使用時自身也會消耗一定的流量，分解主機系統的部分資源[9]。在網絡正常環境下，流量很少產生異常，但是也會產生相對異常(偏離正常流量)，所以監測起來十分困難。流量并非一個特定的運行狀態，它具有實時變化性，在正常運行狀態下，流量的產生和匯聚都有自己獨特的規律性，一旦流量瞬間違反這種規律，產生的流量就是異常流量。異常流量會對網絡自身造成攻擊，泄露用戶的個人信息，帶來巨大的經濟損失。在監測移動通信網絡的異常流量時，要對整個網絡的運行情況進行記錄，分析全網流通的流量，找到最高流量點，根據一段時間流過的流量計算平均流量[10]。

設置應用系統對異常流量進行重點監測，監測項目主要分為五大類：流量累計、流量階躍、連接數、連接時間和訪問數量[11]。異常流量監測項目分類如圖3所示。

圖3 異常流量監測項目分類

圖4 異常流量監測系統軟件工作流程

監測過程要注意選用統一標準和同一網絡，以正常流量值作為基準值判斷異常流量。網絡管理員在操作各種設備時，網絡流量會出現改變，有的變化值在正常范圍之內，而有的變化值超出了正常范圍，則為異常流量。網絡數據的備份、遷移、檢修等工作都是網絡管理員分內的工作，在進行這些工作時，很有可能因為個人的操作不當導致設備端口出現異常，甚至自動關閉。一旦出現上述情況，流量就無法運行[12]。

本文設計的異常流量監測系統加入了UDIA992芯片，該芯片具有記錄和診斷網絡病毒的功能，數據庫記錄的病毒類型占全球總病毒類型的98%。目前最容易造成異常流量的病毒為網絡蠕蟲病毒，該病毒具有很強的傳播能力，并且能夠快速蔓延[13]。網絡蠕蟲病毒體積小，傳染速度快，對網絡安全造成巨大威脅，檢測起來十分困難。UDIA992芯片能夠從全局的角度分析數據流，以集中訪問的方式判斷網絡流量的走向和數量，即便在信息高峰期，也能較為快速地檢測到病毒[14]。

異常流量的出現會造成網絡擁堵，嚴重時甚至會導致設備損壞、網絡破損[15]。引用特征改進算法檢測特殊網絡的異常流量，分析該網絡的個別節點，判斷是否出現異常峰值，能夠防止出現網絡攻擊現象[16]。

2 移動通信網絡異常流量監測系統軟件設計

異常網絡流量一旦出現就會造成多種網絡異常行為，甚至會出現網絡自身攻擊，移動通信的異常流量給通信質量帶來嚴重影響，客戶的隱私難以得到有力保障。因此必須及時找到網絡異常流量，使損失降低到最低[17]，可引用特征庫識別法檢測異常流量。異常流量監測系統軟件工作流程如圖4所示。

監測異常流量時，首先要設定一個固定的流量閾值，工作人員將設定的閾值輸入到流量異常監測系統中，然后采集系統啟動工作，對流量節點進行大批量采集，并判斷所采集到的流量是否正常，如果采集到的流量與設定的閾值點不符，則證明流量為異常流量，報警系統就會自動發出聲音提醒工作人員采取緊急措施[18]。為了提高監測質量，在每一個鏈路上都設定一個流量監測點，每5 min就會對流量進行一次統計，固定閾值通常設定在300 MB～500 MB之間，在基準線上的數據點都為異常流量數據點[19]。

特征庫識別法使用起來十分方便，同時使用效率高，實時性強[20]。在使用時需要特別注意閾值的設定，所選擇的閾值不能過高，也不能過低。設置的閾值過高，異常流量就難以被監測到，一些有問題的流量會自動流經系統，影響軟件的正常運行。而閾值如果設置過低，異常流量監測就會出現大量的報警點，工作人員很難找到有效的報警點。網絡流量具有動態性，設定的閾值也不能是一成不變的，管理員要不斷更新[21]。

在監測異常網絡行為時要建立特定的特征庫，特征庫分為兩部分，分別是正常網絡行為特征庫和異常網絡行為特征庫。在監測流量時，要與特征庫里的數據作對比。在監測特性明顯的網絡異常流量時，特征庫監測法的效果十分顯著，但是對于一些特征庫沒有記錄的異?，F象，該方法顯現出很大的局限性[22]。例如對于一些未知性網絡攻擊，該方法監測起來就十分困難。為了確保特征庫監測的效果，要不斷更新和擴展特征庫，擴大監測面積，提高識別效果。

在監測到所有的移動通信網絡流量后，要對流量進行統計。目前還沒有一個成型的統計方法，只能通過以往的經驗制定統一的統計標準，根據網絡流量數據自身特點進行判斷。統計分析的實效性很強，在統計時要考慮流量與流量之間的邏輯關系，分析時間序列，提高監測效果[23]。

監測移動通信網絡異常流量時要應用到很多軟件工具，最主要的為數據挖掘工具，以聚類分析、關聯分析和挖掘分析等方式判斷異常流量。建立大數據平臺對于挖掘異常流量有著很好的效果，同時具有極強的智能性。軟件設定中的閾值設定、流量監測、數據統計對于系統運行有著關鍵性意義，缺少任何一步都會影響系統的正常運行，同時每一步的運行都要生成對應的計量結果，如果計量結果不能正常生成，則下一步就不能正常運行[24]。

選用的特征庫識別法既是一種計算思路，也是一種商業模式。在監測網絡流量時，要對得到的數據進行清洗和整理，每一個過程都會消耗系統大量的CPU，所以軟件系統建立的平臺必須要足夠高效，在滿足業務需求的情況下分析流量規模，將目前最先進的高科技技術融合到一起。在這種條件下設立的網絡異常流量監測系統，不僅能夠監測到已知類型的異常流量，也能監測到未知類型的異常流量。

3 實驗研究

為了驗證基于特征庫識別法的移動通信網絡異常流量監測系統的監測效果，本文設計對比實驗,與傳統監測系統進行對比。

3.1 實驗參數

實驗參數如表1所示。

表1 實驗參數

3.2 實驗過程

根據上述設定的參數進行實驗，在同一個移動通信網絡上分別選用傳統的監測系統與本文設計的監測系統對異常網絡流量進行監測，記錄監測結果的準確性，從而判斷兩種系統的監測效果,圖5為不同系統監測效果的對比結果。

3.2.1 監測效果對比結果

由圖5可知，隨著監測時間的增加，本文所設計的系統監測精度呈現持續增長的趨勢，而傳統監測系統的監測精度存在波動，監測準確性最高只能達到80%，且監測精度始終低于本文系統，監測效果較差，客戶信息的安全性難以得到有效保障。本文設計的監測系統通過設定閾值來監測異常流量，一旦發現異常現象，系統的報警設施就會及時啟動，工作效率很高，即使監測時間到達后期，設定的監測系統也能夠很好地檢測到異常流量，監測準確性最高可達到95%，監測能力優于傳統系統，具有很大的發展空間。

圖5 監測效果對比結果

3.2.2 花費成本對比結果

由于傳統監測系統監測準確性很低，需要花費大量時間進行長期監測，而且一次監測得到的結果很難讓用戶滿意，必須要多次監測才能夠得到相對滿意的結果，這樣的監測方式使花費成本大大提高。傳統的監測系統缺少智能性，整個過程都需要人工操作，成本高，效率低。本文設計的監測系統具有很高的智能性，很多環節只需要電腦操作即可，不需要人工投入過量的精力，而且所設計系統監測準確性很高，只需要1～2次就能夠達到讓人滿意的結果，不需要多次重復一樣的工作，大大提高工作效率，降低工作成本。

3.3 實驗結論

根據上述實驗結果得到如下實驗結論：本文設計的網絡異常流量監測系統能夠成功地監測到流經每個鏈路的網絡數據，分析局部網絡流量情況和節點所在位置，從而判斷是否存在異常節點。該系統能夠根據用戶的需求做出選擇，通信網絡的每個防火墻都有對應的監測探針，有效擴大了監測范圍，提高監測效果。除此之外，監測系統還能夠對系統的帶寬使用情況做詳細記錄，將得到的流量信息統一，總結出規律，這種記錄方法有利于工作人員對比監測結果，節省工作時間。

基于特征庫識別法的移動通信網絡異常流量監測系統不僅能夠從全局把握數據，還能對重點區域進行針對性監測。當移動通信網絡出現異常情況時，系統能夠及時有效發現并杜絕不合規的訪問。報警系統的設立方便了深入監測，以報表的形式詳細記錄數據操作的時間、節點位置，每個月都要做出詳細報告。

相較于傳統監測系統，本文監測系統具有較高的處理能力和存儲能力，24小時實時監測大大提高了監測效果，智能技術降低了人工投入。該方法對特征庫充分優化，工作人員在使用該系統時，不需要尋找另外的許可方式，也不需要做定期維修，有效降低投入成本?；谔卣鲙熳R別法的移動通信網絡異常流量監測系統對通信網絡不會造成任何影響，部署速度很快，應用系統很少出現故障，可以說是零風險部署，一些冗余電源和冗余硬盤都被有效剔除，能夠更高效、更穩定、更安全地運行。

4 結語

移動通信網絡與人們的生活息息相關，監測其中的異常流量對于保證用戶隱私，提高通話質量有著重要意義。如何尋找有效的移動通信網絡異常流量監測方法一直是相關領域專家重點研究的話題。本文提出將特征庫識別法引入到監測系統設計中，通過設定固定閾值，統計流量特征來監測移動通信網絡中的異常流量。該方法不僅使用成本低，而且準確性更高。但是設定的系統依然面臨著如下問題：(1)對于未知類型的異常流量，監測方式依舊不夠成熟，判斷結果不夠準確，異常流量節點定位較為困難；(2)在設置閾值時，對人工依賴程度很大，智能技術引用依舊相對較少；(3)通信網絡愈加多樣化，使異常數據流量監測起來更加困難。這些問題有待進一步的研究。