基于信息熵的通信網絡流量異常監測系統設計

譚秦紅

（銅仁職業技術學院 信息工程學院，貴州 銅仁 554300）

0 引 言

傳統通信網絡流量異常監測方法通常采用挖掘技術監測網絡的異常性和關聯性。出現異常流量時很難有效保障通信網絡的安全性和可靠性，且監測系統的運行效率較低[1]。本文在傳統通信網絡流量異常監測系統的基礎上，引入一種全新的信息熵概念，設計了一種新的通信網絡流量異常監測系統。通過挖掘通信網絡流量異常，可有效解決數據信息量無法度量的問題，從而實現對流量異常的監測。

1 系統硬件設計

1.1 流量采集探測裝置

設計的系統中的流量采集探測裝置內部應當增設一組網絡探針裝置，將探針按照一定規律安裝在路由器的出口端位置，以此擴大對通信網絡流量異常監測的范圍。對于一般企業中使用的局域網絡而言，增加探針結構能使系統得到更好的監測效果[2]。本文選用AY5651SS053型號的120G探針結構，最小中心為6.30 N/A，全行程為（7.5±2.5）mm，工作行程為（2.5±1.6）mm。AY5651SS053型號探針的上針頭結構和下針頭結構均采用高碳鋼鍍金，管子整體為磷銅鍍金，彈簧結構為琴鋼線鍍金。由于探針結構在監測過程中不會經過路由器，因此不會對其寬帶的整體運行造成太大影響。

通過網絡探針可更加快速地監測通信網絡的流量和寬帶。當通過探針獲取到通信網絡的數據包流量時，將路由器與交換機相連，可使流量數據更順利地導出、采集并分析。在流量數據傳輸過程中，通過該裝置采集的數據還可以統一格式并存儲在管理信息庫。

1.2 異常診斷芯片選擇

設計的異常流量監測系統加入了型號為UDIA72528的異常診斷芯片。電源系列采用3×5封裝，額定功率為600 W，滿足I級或II級（雙重絕緣）構造的B傳導和輻射EMI要求，無需外部濾波。同時，UDIA72528異常診斷芯片的輸入電壓范圍為85～264 V AC，輸出禁用時的空載功耗低于0.5 W，提供12 V、19 V、24 V、28 V、32 V、36 V以及48 V共7個輸出電壓。此外，5 V/2 A的待機電壓、遠程開/關、遠程檢測以及良好的電源信號是標配，而且可提供帶有集成風扇選件的蓋板。開放式機架尺寸為76.2 mm×127 mm×37 mm（寬×長×高）或85 mm×157 mm×42.5 mm。這種型號的芯片具有記錄并診斷通信網絡在數據傳輸過程中是否存在病毒的功能，其自身的數據庫中記錄著全球總病毒類型的95.6%。當前，通信網絡中最容易造成數據傳輸過程中出現流量異常的病毒為網絡蠕蟲病毒。這一類型病毒具有十分強烈的傳播能力，且蔓延速度極快[3]。本系統中引入的UDIA72528異常診斷芯片能從網絡全局角度分析數據流，并以集中訪問的形式判斷通信網絡流量的具體走向和數量。當通信網絡數據傳輸處于高峰期時，也能夠快速監測到病毒的存在。

1.3 復位電路

復位電路利用電容充電實現。在電流接通的瞬間，RST端電位與VCC端電位完全相同，但之后RST端電位會有所上升。施密特觸發器輸入端的下閾值恒定，時間常數為100 ms。在VCC端的電位上升時間不超過1 ms，振蕩器建立時間不超過10 ms時，系統能夠完成復位操作。系統連接的上位機復位所需時間是振蕩周期建立時間加上2個機器周期時間，在這個時間內RST的電平應維持高于施密特觸發器的下閾值。在完成一次通信網絡流量異常監測后，通過復位電路使系統自動進行第二次監測。

2 系統軟件設計

2.1 基于信息熵的異常流量挖掘

根據信息熵概念，對通信網絡異常流量進行如下定義：

式（1）中，M表示通過信息熵定義量化后的異常流量；E表示異常流量不確定性統計平均值；i表示某一信源中包含的n個概率事件和信息元；P表示通信網絡流量異常發生的具體概率。

當系統在某一具體時間范圍內檢測流量時，有：

式（2）中，K表示屬性i的總流數量；zj表示屬性j對應的流量數量。根據式（2），在系統中利用指數加權平均的算法預測在系統下次監測時間間隔內的異常流量信息熵。以通信網絡歷史流量數據分配數值為基礎，通過加權平均算法計算預測結果。通過上述計算可以使系統快速消除通信網絡歷史流量數據的抖動干擾，進一步提高預測網絡流量異常趨勢的準確性。

2.2 通信網絡流量異常監測熵模式提取

當通信網絡受到病毒攻擊時，如果服務器受到多臺主機的攻擊，那么通信網絡中生成的數據流的源網絡互連協議不同，但目的網絡互連協議相同。這樣可以實現系統對通信網絡流量異常熵模式的提取，大幅提高網絡中總源網絡互連協議離散度與目的網絡互連協議集中度，進而造成源網絡互連協議信息熵增大而目的網絡互連協議信息熵減小。通信網絡中常見的端口掃描、主機掃描以及大流量數據傳輸等操作與行為，都會引起網絡流量的異常現象。但是，這些異常行為在網絡信息熵的變化中體現出的對應模式不同。針對這一特點，通過系統實時監測與計算網絡中數據流對應的源網絡互連協議、目的網絡互連協議、源端口以及目標端口信息熵，可以對出現異常的模式進行屬性匹配，并準確判斷所發生流量異常的類型。通過流量異常發生的具體類型和時間，循環遍歷查詢網絡數據流，確定流量異常的發生源頭。若在系統監測過程中出現的判定異常結果未出現在規則庫，則需要記錄這一組傳輸數據中流量信息熵的變化特征，評估該異常所造成的影響，并更新系統原始規則庫，向數據庫中錄入該異常的具體規則，從而為下一時間間隔內的監測提供充足的監測依據。

3 對比實驗

3.1 實驗準備

為驗證提出的基于信息熵的通信網絡流量異常監測系統在實際應用中的監測效果，設計如下仿真對比實驗比對所提系統與傳統系統的監測結果。利用對比實驗軟件，構建一個某企業的通信網絡環境，即設定網絡環境、流量數據以及監測系統對比實驗的實驗參數，如表1所示。

表1 對比實驗參數表

根據表1中的實驗參數設定，在同一個通信網絡環境中分別利用本文系統與傳統系統監測異常網絡流量。

3.2 實驗結果與分析

根據實驗準備完成對比實驗，繪制兩種系統檢測結果的對比圖，結果如圖1所示。

圖1 對比實驗結果對比圖

根據圖1得出的實驗結果對比圖可以看出，在對通信網絡中流量異常進行監測時，本文系統的監測結果更接近實際流量異常流入字節。從監測精度來看，本文系統能夠對流量異常進行更加精準的監測，與實際流量異常變化幅度基本一致，而傳統系統監測曲線與實際流量異常變化幅度存在較大差異。可見，對比實驗證明，本文系統具有更高的監測精度，監測結果能夠充分滿足通信網絡安全運行需要。

4 結 論

為實現對通信網絡流量異常的精準監測并對異常流量進行自動識別，本文結合信息熵概念提出了一種全新的監測系統，并深入研究通信網絡流量數據的生成、輸出、采集以及統計等，優化其監測算法。實驗證明，本文系統不僅可以監測網絡流量異常，還能夠快速監測傳輸過程中網絡環境是否存在病毒，并做出實時告警，對今后異常流量的監測具有一定的研究價值。