基于信息熵的通信網絡流量異常監測系統

尹光花，常春燕，李景景

（1.鄭州工業應用技術學院 信息工程學院，河南 鄭州 450000；2.鄭州升達經貿管理學院 商學院，河南 鄭州 450000）

0 引 言

隨著網絡技術的普及，網絡病毒和網絡攻擊手段不斷升級，需要優化通信網絡技術，并實時對流量進行異常監測[1]。根據網絡建設的順序，系統網絡流量管理分為設備管理、運行管理、績效管理以及業務管理4個主要處理層級，結合內部網絡和外部網絡運行需求，對網絡的交流數據進行處理。采集和分析通信網絡異常參數，若通信網絡性能下降或網絡拒絕服務，則需要檢查監測網絡出口交換設備的流量輸出情況，及時排查和修正，從而更好地保證通信網絡流量監測效果。

1 通信網絡流量異常監測系統硬件配置優化

當前網絡技術飛速發展，通信網絡的應用越來越廣泛。人們對網絡的依賴性日益增強，因此通信網絡流量異常情況逐漸引起了人們的關注，有必要優化通信網絡流量異常監測系統。通過優化系統硬件結構，分析通信網絡流量性能，有助于提升通信網絡管理效率。通過獲取標準的網絡吞吐量，能夠精準診斷和修正流量異常故障[2]。為了快速準確地檢測出通信網絡流量異常信息，保證通信網絡安全，將通信網絡流量異常監測系統硬件部分主要劃分為流量采集、流量統計、異常監測以及報警顯示4個模塊。通過分組分類法統計移動通信網出口業務總量，以獲得相應的網絡流量信息。針對自動識別的特點，查看系統運行狀態，并對系統進行配置和管理。

一般來說，網絡異常是指網絡運行狀態與正常狀態發生偏差。由于網絡流量異常具有加速擴散的特征，因此需要及時對其進行監控。針對不同粒度、類型以及傳輸時間的網絡流量，需要對其進行劃分，以提高監測效率[3]。在監測具體線路和節點時，應設置相應的指標。采用上下法能有效提高指標的最大值和最小值，并通過計算得出平均值。設定通信處理中心的IP地址，并按10 b/s的頻率定期向IP地址報告通信數據，包括通信源IP、通信源端口以及通信源的協議類型。通信網絡終端每次更新通信源和通信包的數量時，必須向通信處理中心報告節點的通信量，其中通用性強的通信網絡流量異常監測系統結構模塊相對獨立。為了更加精準地探測到從未發生過的通信網絡流量攻擊行為，監測系統結合不同層次和不同時空位置的流量特征參數，通過分析流量參數的相關性，找出造成網絡異常行為的根本原因，挖掘冗余特征信號，并對網絡中的異常行為進行分類，以彌補流量異常檢測的不足，同時結合信息熵原理建立通信網絡流量正常行為模型?；诖耍瑯嫿ㄍㄐ啪W絡流量正常行為判斷模型，具體結構如圖1所示。

圖1 通信網絡流量正常行為判斷模型

通信網絡流量異常監測系統主要包括中心部分、邊界框圖、流量數據管理、異常監測以及流量數據采集5個部分。將通信網絡流量數據收集節點分布在每個LAN的流量點上，以便更加快速地向處理中心報告收集點產生的流量數據?；谕ㄐ啪W流量數據管理組件和接口框架，處理中心采用異常流量數據采集模塊，按照流量生成機制向處理中心報告局域網內的信息，并在接收到原始信息后進行進一步處理，獲取通信網流量異常信息，生成向網絡終端發送的電子信號。流量異常監測模塊利用信息熵的短期監測和長期挖掘歷史數據檢測異常流量，具有支持異常規則集的人工輸入的特點，實現了通信網絡流量的精準檢測。根據以上方法優化通信網絡流量檢測平臺結構，如圖2所示。

基于上述平臺結構優化系統硬件配置，實現了大型網絡流量狀態的可視化監控。通過采集與分析網絡流量的數據包，引用普通網卡圖像采集交換機，進而優化內外網之間的端口流量參數，并由流量處理中心合并處理各采集點的流量參數。數據流具有實時性，能夠反映不同網段之間的流量關系，具有較高的實際應用性。

2 通信網絡流量異常監測系統軟件流程設計

結合信息熵算法優化通信網絡流量異常監測系統軟件流程，以提高網絡流量監測的準確度。通信網絡流量特征庫需要維護，而僅檢測到已知的網絡流量異常，會使通信網絡流量異常監測系統的適應性和靈活性變差，也會造成大量數據丟失。業務異?，F象嚴重影響通信質量，威脅用戶隱私，需要及時發現異常流量，最大限度地減少損失，并采用特征庫識別法檢測異常流量。

圖2 通信網絡流量檢測平臺結構

異常流量監測項分類時，應結合信息熵原理篩選閾值，保證閾值不能過高或過低。當信息熵閾值過高時，異常流量難以監測，部分流量會自動通過系統，影響軟件的正常運行。門限設置過低會造成交通監控系統中大量的異常報警，從而影響報警效果[4]?；诖?，對網絡通信動態流量信息進行特征采集更新。結合基于概率統計算法，給出源信息熵H的定義：

式中，源代碼包含I個事件或信息單元，并以一定的概率出現；b為源代碼的信息熵；P1為事件發生的概率[5]。

基于上述算法分析網絡流量，計算網絡流量的集中與分散。當特征數據庫監控具有明顯特征的網絡異常流量時，監控效果非常顯著。為了保證特征庫的監控效果，需要不斷更新和擴展特征庫，以擴大監控范圍，提高識別效果。

3 實驗結果分析

為驗證基于信息熵的通信網絡流量異常監測系統的實際運行效果，進行了實驗檢測，并結合當前監測系統進行了對比分析。為保障實驗檢測效果，統一設置實驗參數，具體如表1所示。

表1 實驗參數設置

以表1中的參數為基礎，在同一移動通信網上，將傳統監控系統與設計的監控系統進行比較，分別監控網絡異常流量，記錄監控結果的準確性，判斷兩種系統的監控效果，并給出不同系統監控效果的對比結果，結果如圖3所示。

實驗結果表明，所設計的系統能夠成功監測各鏈路上的網絡數據，并分析網絡局部流量狀況和節點位置，從而判斷網絡中是否存在異常節點，有效擴大了監測范圍，提高了監測效果，能夠統一獲取流量信息。

圖3 對比實驗檢測結果

4 結 論

實際應用過程中，基于信息熵的通信網絡流量異常監測系統不僅能全局采集數據，當移動通信網發生異常情況時，還可以有效發現并制止不正當接入行為，充分優化特征庫，有效降低網絡投入成本。通信網絡異常流量監測系統是一種不受通信網絡影響且能夠快速部署的監控系統，可以有效消除部分冗余電源和冗余硬盤，提高通信網絡的運行效率和穩定性。