基于數據驅動的網絡異常狀態識別研究

趙磊

(遼寧科技大學， 應用技術學院， 遼寧， 鞍山 114000)

0 引言

隨著網絡應用范圍的不斷拓寬，網絡對人們的工作、生活、學習產生了深刻的影響[1]。網絡在實際運行過程中，因為多種因素的影響，不可避免出現一些異常狀態，影響網絡的正常工作，同時給人們的各方面也帶來不便，因此對網絡異常狀態建模與識別，并根據異常狀態識別結果制定相應的改正措施，可以有效保障網絡安全，網絡異常狀態識別研究成為一個熱點問題[2-3]。

針對網絡異常狀態識別問題，國內外一些專家進行了相應的研究，尤其是一些發達國家的網絡異常狀態研究歷史比較久，網絡異常狀態識別技術比較成熟[4]。國內由于網絡興起時間比較短，網絡異常狀態識別研究歷史比較短，但是發展速度十分快，同樣出現了許多有效的網絡異常狀態識別方法[5]。網絡異常狀態識別實際是一個模式識別問題，即將網絡工作狀態劃分為異常和正常2種狀態，當前網絡異常狀態識別方法主要為基于各種神經網絡的網絡異常狀態識別方法，這些神經網絡通過模擬人的大腦學習過程，可以不斷適應網絡狀態自動變化，對網絡狀態變化特性進行有效擬合，因此獲得比較好的網絡異常狀態識別結果[6-8]。在實際應用中，神經網絡是一種基于經驗風險最小化則的機器學習算法，需要大量的訓練樣本才能建立理想的網絡異常狀態識別模型，因此網絡異常狀態識別耗時比較長，同時神經網絡經常會出現過擬合的網絡異常狀態識別結果，無法滿足網絡安全的實際要求[9-11]。

為了提高網絡異常狀態識別正確率，提出基于數據驅動的網絡異常狀態識別方法(WA-SVM)，并與其他網絡異常狀態識別方法進行對比測試，驗證本文方法的網絡異常狀態識別有效性和優越性。

1 基于數據驅動的網絡異常狀態識別方法

1.1 網絡異常狀態數據的去噪

在網絡異常狀態數據的采集過程中，一般會存在一些無用的數據，這些數據主要是由于外界因素、設備本身缺陷等因素導致的，這些無用的數據常以噪聲形式表現[12]。噪聲會對網絡異常狀態識別結果產生干擾，影響網絡異常狀態識別正確率等，為了解決噪聲對網絡異常狀態識別結果的不利影響，采用小波分析對網絡異常狀態識別數據進行處理，去除網絡異常狀態數據中的噪聲，具體原理如圖1所示。

圖1 網絡異常狀態數據的去噪過程

基于小波分析的網絡異常狀態數據去噪過程中，將網絡異常狀態數據分量的小波系數與閾值進行比較，如果小波系數小于閾值，那么表示該分量為噪聲，使對應的小波系數為0，選擇軟閾值法進行，具體為

(1)

式中，λ表示標準閾值。

噪聲的小波系數置為0后，通過小波分析的重構得到沒有噪聲的網絡異常狀態數據。

1.2 數據驅動技術

支持向量機是一種新的數據驅動技術，根據學習和訓練誤差最小化原理對問題的解進行擬合，學習性能十分出色。設網絡異常狀態識別的訓練集為{x1,y1,x2,y2,…,xn,yn}，支持向量機通過尋找一條最優分類超平面，將所有樣本劃分為2類，即正常狀態和異常狀態，那么最優分類超平面可以表示為

(w·x)+b=0

(2)

式中，w表示法向量。

支持向量機建模的目標使正常狀態和異常狀態2類樣本的間隔盡可能最大，這樣有

(3)

為了加快運算速度，引入拉格朗日函數，得到

(4)

式中，αi表示拉格朗日乘子。

根據極值條件?bL(w,b,α)=0，?wL(w,b,α)=0得到

(5)

(6)

得到求極值，式(4)變為

(7)

得到式(7)的等價對偶問題為

(8)

(9)

支持向量機的決策函數為

(10)

網絡異常狀態具有非線性，因此需要引入核函數進行映射，使得K(xi,x)=yi(xi·x)，最后得到網絡異常狀態識別決策函數為

(11)

本文核函數定義如下：

(12)

1.3 數據驅動的網絡異常狀態識別步驟

(1) 對網絡異常狀態的相關數據進行采集，去除前面和最后一段數據，取中間一部分數據作為識別對象。

(2) 采用小波分析對網絡異常狀態數據進行預處理，并引入軟閾值法使噪聲對應的小波系數為0。

(3) 采用小波分析對處理后的小波系數進行重構，得到無噪的網絡異常狀態數據。

(4) 采用支持向量機對網絡異常狀態數據進行學習，建立網絡異常狀態識別的分類器。

(5) 對于未知的網絡工作狀態，采用建立的分類器進行識別，并輸出識別結果。

2 網絡異常狀態識別效果的測試

2.1 測試對象

為了測試基于數據驅動的網絡異常狀態識別效果，選擇5個網絡作為研究對象，它們具體如圖2所示。對于5種類型的網絡，采用專門工具采集它們的狀態數據，得到網絡狀態樣本數據數量具體如表1所示。

圖2 研究對象示意圖

2.2 對比方法的設計

由于單一種方法的仿真測試結果說服力不強，為了增強本文方法的網絡異常狀態識別說服力，選擇2種對比方法進行對比測試，它們具體設計如下。

(1) 原始數據+支持向量機的網絡異常狀態識別方法，稱之為SVM。

表1 5種類型網絡的仿真測試樣本數量

(2)采用小波分析對原始數據進行處理+RBF神經網絡的網絡異常狀態識別方法，稱之為WA-RBF，仿真測試環境參數具體如表2所示。

表2 網絡異常狀態識別的仿真測試環境設置

2.3 網絡異常狀態識別準確性分析

采用3種方法對5種網絡的狀態進行識別實驗，首先采用訓練樣本數據集進行學習，構建相應的網絡異常狀態識別分類器，然后采用測試測試樣本對網絡異常狀態識別分類器的性能進行分析，統計它們的實驗結果，得到網絡異常狀態識別精度和誤差分別如圖3、圖4所示。

圖3 網絡異常狀態識別正確率對比

圖4 網絡異常狀態誤識率對比

從圖3和圖4的網絡異常狀態識別精度和誤差可以得到如下結論:

(1)SVM的網絡異常狀態識別正確率均值為82.27%，相應誤識率的均值為17.03%，網絡異常狀態識別正確率低于85%，無法滿足網絡管理的實際要求值，這主要是由于該方法沒有對網絡狀態數據進行預處理，噪聲會對網絡異常狀態識別結果產生負面影響，無法獲得理想的網絡異常狀態識別結果，這也從另一個角度表明本文對網絡異常狀態數據進行預處理的思想是正確的。

(2)WA-RBF的網絡異常狀態識別正確率均值為83.26%，相應誤識率的均值為16.74%，網絡異常狀態識別正確率同樣低于85%，識別結果對網絡狀態管理沒有實際價值，這主要是由于該方法采用RBF神經網絡網絡狀態數據進行建模，RBF神經網絡基于經驗風險最小化原理進行訓練，無法建立最優的網絡異常狀態識別分類器，網絡異常狀態識別成功率較低。

(3)WA-SVM的網絡異常狀態識別正確率均值為93.36%，遠遠高于對比方法的網絡異常狀態識別正確率，網絡異常狀態識別正確率可以滿足網絡狀態管理的實際要求，這主要是本文方法較好地克服了當前網絡異常狀態識別方法存在的不足，改善了網絡異常狀態識別結果。

2.4 網絡異常狀態識別的建模時間對比

當前網絡向大規模方向發展，再加上網絡的結構越來越復雜，網絡異常狀態識別建模時間也成為評價性能的一個重指標，統計3種方法的網絡異常狀態建模時間，建模時間包括訓練和識別時間，結果如圖5所示。從圖5可以看出，WA-SVM的網絡異常狀態建模時間要明顯少于對比方法，加快了網絡異常狀態識別建模速度，使管理人員在短時間內了解網絡狀態變化，制定相應的防范措施，保證網絡安全。

圖5 網絡異常狀態識別建模時間對比

3 總結

網絡狀態識別是保證網絡正常工作的關鍵技術，一直是人們關注的焦點，當前方法無法準確描述網絡狀態的時變性，為了降低網絡異常狀態識別誤差，改善網絡異常狀態識別效率，提出了基于數據驅動的網絡異常狀態識別方法，采用小波分析對網絡狀態數據進行噪聲處理，去除噪聲對網絡狀態識別的干擾，然后采用數據驅動技術對去噪后數據進行建模和分析，設計網絡異常狀態識別的分類器，對比測試結果表明，與當前經典方法相對，本文方法不僅提高了網絡異常狀態識別正確率，同時減少了網絡異常狀態識別的建模時間，為網絡異常狀態識別提供一種新的建模思路。