網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)優(yōu)化設(shè)計

周慧芬

(西安醫(yī)學(xué)高等?？茖W(xué)校 基礎(chǔ)部， 陜西 西安 710309)

0 引言

快速發(fā)展完善的互聯(lián)網(wǎng)促使互聯(lián)網(wǎng)技術(shù)同日常生產(chǎn)生活間的融合日益加深，網(wǎng)絡(luò)成為實現(xiàn)實時通信的重要途徑，隨著網(wǎng)絡(luò)功能的不斷豐富，網(wǎng)絡(luò)中存在的安全隱患問題也日益突出，這就對網(wǎng)絡(luò)安全監(jiān)控提出了更高的要求。而流量異常是網(wǎng)絡(luò)面臨的常見安全隱患，監(jiān)測設(shè)備或軟件配置不足、結(jié)合計算機病毒與黑客技術(shù)形成的新型編譯病毒均是導(dǎo)致網(wǎng)絡(luò)流量異常頻發(fā)的主要原因，為確保網(wǎng)絡(luò)應(yīng)用的安全，需通過網(wǎng)絡(luò)流量實時監(jiān)控及時發(fā)現(xiàn)問題并快速檢測故障位置，最大程度避免網(wǎng)絡(luò)失效的出現(xiàn)。

1 網(wǎng)絡(luò)流量異常監(jiān)控分析

網(wǎng)絡(luò)流量數(shù)據(jù)信息在大數(shù)據(jù)時代背景下迅猛增長，網(wǎng)絡(luò)流量數(shù)據(jù)信息的內(nèi)容傳播以及學(xué)習(xí)過程都需要結(jié)合運用網(wǎng)絡(luò)技術(shù)與信息科技來實現(xiàn)?；趶?fù)雜網(wǎng)絡(luò)結(jié)構(gòu)建立的大型網(wǎng)絡(luò)涵蓋了不同廠商的計算機、網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)不同的功能或應(yīng)用大多需基于不同的協(xié)議實現(xiàn)。在由不同個性化學(xué)習(xí)網(wǎng)絡(luò)互聯(lián)構(gòu)成的網(wǎng)絡(luò)環(huán)境下，易出現(xiàn)信道擁擠和分配不均衡，導(dǎo)致難以均勻分配信任節(jié)點及準(zhǔn)確定位出現(xiàn)的問題，進而產(chǎn)生異常流量，實時準(zhǔn)確的監(jiān)測網(wǎng)絡(luò)異常流量已成為提高網(wǎng)絡(luò)安全性的主要手段。本研究通過對網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的硬件和軟件進行優(yōu)化設(shè)計，構(gòu)建了一種多功能流量實時監(jiān)測系統(tǒng)和基于優(yōu)化模糊PID控制的異常監(jiān)控方法[1]。

2 流量監(jiān)測系統(tǒng)的優(yōu)化方案

2.1 硬件結(jié)構(gòu)優(yōu)化設(shè)計

以多功能網(wǎng)絡(luò)特征為依據(jù)優(yōu)化設(shè)計監(jiān)測系統(tǒng)的硬件結(jié)構(gòu)，提高了用戶訪問的便利性，如圖1所示。

圖1 硬件優(yōu)化結(jié)構(gòu)框圖

監(jiān)控對象主要通過4個監(jiān)測點采取主動監(jiān)控方法完成有效監(jiān)測過程；監(jiān)測到的數(shù)據(jù)經(jīng)由數(shù)據(jù)服務(wù)器處理后得出格式統(tǒng)一的數(shù)據(jù)單，以供后續(xù)查詢使用；中心服務(wù)器接收匯總各監(jiān)測點監(jiān)獲取的數(shù)據(jù)，并對各軟件配置信息進行管理；流量異常監(jiān)控結(jié)果最終通過表示服務(wù)器進行管理與呈現(xiàn)[2]。

(1) 中心服務(wù)器優(yōu)化設(shè)計

中心服務(wù)器的功能在于匯集不同的流量數(shù)據(jù)，考慮到作為數(shù)據(jù)匯集場所的原始系統(tǒng)服務(wù)器無法實時監(jiān)控全部流量數(shù)據(jù)，中心服務(wù)器結(jié)構(gòu)如圖2所示。

圖2 中心服務(wù)器設(shè)計

網(wǎng)絡(luò)正常流量數(shù)據(jù)和異常流量數(shù)據(jù)分別經(jīng)集群處理與單一接入處理后再向匯集層傳遞，然后通過構(gòu)建超文本傳輸協(xié)議連接實現(xiàn)對集群匯集形式的進一步優(yōu)化設(shè)計，如圖3所示。

圖3 集群匯集形式優(yōu)化設(shè)計

從而能夠?qū)崟r監(jiān)控全部流量數(shù)據(jù)，瀏覽器需先建立相應(yīng)連接再向中心服務(wù)器發(fā)送數(shù)據(jù)請求，請求完畢后則斷開連接，實現(xiàn)異常流量數(shù)據(jù)到服務(wù)器的有效傳送過程[2]。

(2) 監(jiān)控器優(yōu)化設(shè)計

針對現(xiàn)行的評估標(biāo)準(zhǔn)，其中有很多超過了十年的行業(yè)標(biāo)準(zhǔn)，還有很多超過了五年的國家標(biāo)準(zhǔn)，相關(guān)部門就要嚴格的按照當(dāng)前我國輻射環(huán)境管理方面的法律規(guī)章制度、準(zhǔn)則以及最新的檢測數(shù)據(jù)，對其進行重新的評估，并做好修訂工作。不僅如此，我們還要將這一項工作列入到環(huán)境保護標(biāo)準(zhǔn)年度工作規(guī)劃當(dāng)中，針對當(dāng)前已經(jīng)無法滿足現(xiàn)行技術(shù)的標(biāo)準(zhǔn)，要及時的采取有效措施進行解決。最后，我們還要加大個和國際之間的交流與合作，充分的掌握更多先進的監(jiān)測技術(shù)，密切關(guān)注輻射環(huán)境監(jiān)測工作動態(tài)，實現(xiàn)和國際之間的接軌，促進我國輻射環(huán)境監(jiān)測的進一步發(fā)展。

考慮到原始系統(tǒng)的監(jiān)控器的監(jiān)控效果易受到噪音的干擾，本文對監(jiān)控器進行優(yōu)化設(shè)計，通過采用放大器OPA380，完成對異常流量輸出信號的放大處理后，再將異常流量信號通過采用二極管LSSPD-PB3轉(zhuǎn)化為電流信號；并設(shè)計了轉(zhuǎn)換電路，通過使用電阻R1和去耦電容C1實現(xiàn)對電流放大以及大頻率噪聲干擾放大行的有效抑制，使監(jiān)測系統(tǒng)的抗噪聲干擾能力得以有效提升，進而提高對異常流量的實時監(jiān)測性能[3]。

2.2 軟件功能優(yōu)化設(shè)計

(1) 流量異常特征分析

出現(xiàn)異常和錯誤的網(wǎng)絡(luò)流量和配置會改變IP地址和端口分布，進而明顯增加主機的報文，因此針對流量分布特征的分散情況，可通過網(wǎng)絡(luò)流量矩陣方法的使用完成分析過程，假設(shè)，A表示流量特征;B和C分別表示樣本總數(shù)及樣本選取的數(shù)量;i表示具體的特定流量特征;ni表示i出現(xiàn)的次數(shù)，可將該流量特征樣本定義,如式(1)。

(1)

在全部選取的樣本取值一致的情況下，F(xiàn)(x)=0；在取值結(jié)果具有較大的分散程度時，則F(x)=log2C。在此基礎(chǔ)即可對不同流量特征的異常行為進行描述，異常種類包括：錯誤配置，路由端口錯誤配置造成設(shè)備故障，異常特征值較大，正常特征值較大；服務(wù)攻擊的異常與正常特征值均較小；突發(fā)訪問，異常特征值較大，正常特征值較小；蠕蟲掃描與突發(fā)訪問相反，正常特征值較大。

(2) 抓包功能

對抓包功能進行優(yōu)化設(shè)計，系統(tǒng)在提取相關(guān)數(shù)據(jù)前，需先解析數(shù)據(jù)包并抓取傳播的以太網(wǎng)幀，在系統(tǒng)數(shù)據(jù)庫中存儲提取結(jié)果，以供分析網(wǎng)絡(luò)異常流量時使用。為了同時有效兼顧抓包功能的準(zhǔn)確性及其同系統(tǒng)硬件間的實時交互功能，讀取配置文件后，注冊連接數(shù)據(jù)庫的ODBC數(shù)據(jù)源；構(gòu)建各類定時器和線程及實時監(jiān)控服務(wù)器，服務(wù)端的IP地址采用Bind函數(shù)完成監(jiān)測與獲取，配置抓包驅(qū)動，完成抓包過程，進而完成對異常流量數(shù)據(jù)包的實時抓取，保證系統(tǒng)抓包準(zhǔn)確性。此外，在系統(tǒng)界面添加實時監(jiān)測顯示功能，動態(tài)展示流量數(shù)據(jù)的實時檢測結(jié)果，并可對抓包結(jié)果以及異常流量監(jiān)控結(jié)果進行實時查看[4]。

3 流量監(jiān)控方法優(yōu)化設(shè)計

3.1 流量數(shù)據(jù)信號傳輸模型的構(gòu)建

網(wǎng)絡(luò)流量在大型網(wǎng)絡(luò)中表現(xiàn)為一組時間序列，為給監(jiān)測系統(tǒng)提供準(zhǔn)確的特征依據(jù)，可通過構(gòu)建信號模型實現(xiàn)對流量特征的提取，在大型網(wǎng)絡(luò)中，對MAC通過CSMA/CA信道進行訪問，采用周期性廣播網(wǎng)絡(luò)模型得到針對傳輸中的網(wǎng)絡(luò)流量信息的相應(yīng)數(shù)據(jù)結(jié)構(gòu)的分簇模型，由V={C1，C2，…，Cn}表示。假設(shè)，認知用戶接收到的信號由x(k)表示，授權(quán)用戶發(fā)出的流量信息由s(k)表示，CSMA/CA信道訪問模型的表達式如式(2)[5]。

(2)

(3)

在優(yōu)化篩選過程中，由多模盲均衡提供所需的通用服務(wù)，進而實現(xiàn)相鄰節(jié)點間距的VANET分簇的獲取，不存在與存在授權(quán)用戶分別由H0和H1表示，β表示最小競爭窗口取值，寬帶壓縮感知的信道訪問概率計算表達式如式(4)。

(4)

基于交互規(guī)律，對聯(lián)合特征的時變性能通過使用大型網(wǎng)絡(luò)節(jié)點探測技術(shù)完成具體分析過程，實現(xiàn)基于網(wǎng)絡(luò)流量時間序列的的信號模型y(t)的構(gòu)建，假設(shè)，P表示傳感器節(jié)點高部署密度;τ表示小波尺度，異常流量的主頻特征由x(t)表示，具體表達式如式(5)。

(5)

根據(jù)用戶的網(wǎng)絡(luò)使用需求，獲取信道傳輸過程中流量的路徑衰減損耗，假設(shè)，a表示網(wǎng)絡(luò)流幀數(shù)據(jù)，點間的數(shù)據(jù)傳輸速率由m表示;MAC層通信鏈路的分配維數(shù)由BH(t)表示，具體表達式如式(6)。

(6)

3.2 異常流量監(jiān)測體系結(jié)構(gòu)

基于上述構(gòu)建的信號模型，對監(jiān)測體系結(jié)構(gòu)進行了用戶設(shè)計，選用S3C2440作為系統(tǒng)的控制核心(用于監(jiān)測連接主干網(wǎng)絡(luò)的大型網(wǎng)絡(luò))，使用分簇調(diào)度算法提取流量異常特征，運用可變精度衰減調(diào)制響應(yīng)函數(shù)Color(u)=White，特征提取迭代輸出由Zk={z0，z1，…，zk}表示，取值范圍在[0，k]的t對應(yīng)Zk的測量值。并在算法中設(shè)置了暫停調(diào)度策略，通過暫停相應(yīng)情況的流量監(jiān)控實現(xiàn)可見精度的衰減，進而使監(jiān)測區(qū)間插入失衡問題得到有效解決，到達待分配任務(wù)時的隨機變量可由衰減指數(shù)rk反映，表示為Priority(flowi)=Priority(flowj)。構(gòu)建nesC的組件接口，形成一種用于流量監(jiān)控和任務(wù)調(diào)度的雙向通道[6]。

3.3 模糊PID控制算法的構(gòu)建

M=Mn+ΔM

(7)

使用PID模糊控制提取出定量遞歸性能的熵特征并進行分析，得到匯聚協(xié)議迭代方程表達式如式(8)。

(8)

其中的最佳補償區(qū)域空間調(diào)度函數(shù)表達式如式(9)。

(9)

(10)

針對流量異常狀態(tài)通過鏈路估計器的使用完成重新估計，狀態(tài)輸出表達式如式(11)。

u″(k)=net″(k)

(11)

v(k)表示三層前向的異常流量監(jiān)控的輸出，其在數(shù)值上同系統(tǒng)成功接收到的幀數(shù)相同，即式(12)。

v(k)=x″(k)

(12)

4 仿真實驗與結(jié)果分析

4.1 監(jiān)控系統(tǒng)優(yōu)化研究的可行性測試

設(shè)計實驗檢測本研究系統(tǒng)優(yōu)化研究的可行性，實驗對象從已有的歷史記錄中選取50組數(shù)據(jù)，經(jīng)標(biāo)準(zhǔn)化處理后，對本研究異常流量監(jiān)測優(yōu)化方法的監(jiān)控誤差進行測試，并同傳統(tǒng)監(jiān)控系統(tǒng)的監(jiān)測結(jié)果進行對比，網(wǎng)絡(luò)流量監(jiān)控輸出信號如圖4所示。

圖4 流量監(jiān)控輸出信號走勢

輸出信號在出現(xiàn)異常流量的情況下會發(fā)生明顯改變，可監(jiān)測出達到140個步長后的異常流量現(xiàn)象；存在噪聲影響下的監(jiān)控誤差實驗對比結(jié)果，如圖5所示。

圖5 噪聲下監(jiān)控誤差對比結(jié)果

說明本研究所提方法可使監(jiān)測系統(tǒng)的抗噪聲干擾能力得到明顯提升；抓包誤差實驗對比結(jié)果如圖6所示。

圖6 抓包誤差對比結(jié)果

通過優(yōu)化設(shè)計后的抓包功能使對異常流量的實時監(jiān)控誤差得到明顯降低[8]。

4.2 算法性能測試

設(shè)計仿真實驗測試本文算法的異常流量監(jiān)測性能，采樣硬件平臺采用telosB節(jié)點，在PC機上使用Matlab完成算法編程設(shè)計，算法編程語言采用C/C++，監(jiān)測節(jié)點主要由處理器、射頻芯片組成，建立I/O控制端口用于傳輸流量數(shù)據(jù)，并通過FLASH、USB橋接實現(xiàn)無線數(shù)據(jù)采集過程，在此基礎(chǔ)上完成異常流量監(jiān)控仿真，采集原始流量數(shù)據(jù)得到的時域波形，如圖7所示。

圖7 原始流量信息采集

對于存在異常流量的原始流量數(shù)據(jù)需進行檢測和識別，以上述樣本為測試集，采用本文監(jiān)測方法的檢測結(jié)果，準(zhǔn)確檢測出了異常流量頻譜特征，并能夠追溯定位流量異常點,如圖8所示。

圖8 網(wǎng)絡(luò)流量異常檢測結(jié)果輸出

本文方法同其他方法的流量異常監(jiān)控性能對比結(jié)果，如圖9所示。

圖9 流量異常監(jiān)控性能對比結(jié)果

進一步驗證了本文方法的網(wǎng)絡(luò)異常流量監(jiān)測能力。

5 總結(jié)

傳統(tǒng)的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)大多存在易受噪聲干擾、監(jiān)測結(jié)果誤差較大等不足，為此本文設(shè)計了一種網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)優(yōu)化方案，異常流量數(shù)據(jù)采用集群匯集形式獲取，提出了一種多功能網(wǎng)絡(luò)流量實時監(jiān)測系統(tǒng)優(yōu)化方法，對網(wǎng)絡(luò)的數(shù)據(jù)包使用抓包驅(qū)動完成抓取后，經(jīng)進一步分析后獲取全部網(wǎng)絡(luò)數(shù)據(jù)，并在改進模糊PID控制方法的基礎(chǔ)上設(shè)計了一種實時監(jiān)測算法，最終實現(xiàn)對異常流量實時有效的監(jiān)控過程，測試結(jié)果表明本文優(yōu)化方案具有較高的監(jiān)控精準(zhǔn)度，明顯降低了異常流量監(jiān)測誤差。