赵宏昊,孟凡博,卢 斌
(国网辽宁省电力有限公司,辽宁 沈阳 110006)
面向通信网络的业务流量特征分析方法
赵宏昊,孟凡博,卢 斌
(国网辽宁省电力有限公司,辽宁 沈阳 110006)
网络流量有着突出的动态特性,如何准确地描述网络流量的隐藏属性对诸如网络故障定位、异常检测和性能分析等网络活动有着重要的影响。为了描述网络流量,提出了一种特性分析方法。首先,利用小波包变换提取网络流量的多尺度特性,然后利用主成分分析法对网络流量的时频域隐藏特性进行了细化。最后,为了验证该特性分析方法,进行了异常检测测试,仿真结果表明,这种方法是可行的。
网络流量;特性分析;时频分析;小波包变换;特性提取
随着网络技术的发展,如物联网、软件定义网络、云计算架构等,当前通信网络中出现了新的流量类型和特性。更为特别的是,对于一些全新的应用程序,例如众包、在线支付、微信等,新的应用程序带来了新的流量模型和特性。这进一步影响了没有这些新功能支持的传统网络的网络性能,如由较少的有效调度、数据包的丢失和网络故障造成的路径延迟[1]。此外,流量异常对用户体验和网络也有着重要的影响,例如新的攻击类型、新的异常模式、未知的隐藏流量属性等。因此,对通信网络管理者和使用者来说,如何捕获网络流量的特性是非常重要的。至今,网络流量特性分析已成为学术界和产业界的一个热门话题[2]。
网络流量的特性分析和提取得到了广泛的研究。从网络的角度来看,通过信号转换准确地检测到了异常的网络流量,这些方法虽然可以捕获网络流量的特点,但是,它们有较大的误差[3]。本文提出了一种特性分析方法来描述和捕捉当前如有线、无线网络或混合网络中的网络流量,以支持最新的网络应用。首先,由于网络流量可以作为时间信号,因此利用信号分析理论来提取网络流量的特点。由于小波包的多尺度和高分辨率的描述能力,利用小波包变换来提取网络流量的隐藏特性。其次,在对网络流量进行小波包变换之后,利用主成分分析法进一步完善时频域中的网络流量特性。最后,提出一个特性提取算法来捕获网络流量中的隐藏特性。仿真结果表明,这种方法是可行的。
网络中存在着许多从源节点到目的节点的流量流,这些流量流表现出一定的关系,如多尺度性质、时间相关性、空间相关性和时空相关性。这导致了网络流量的高复杂度,但这些特性可用来帮助捕获网络流量的特性。在以下几个部分中,利用时频分析和主成分分析的方法来描述网络流量。
一般的时间序列,随着时间的推移网络流量发生变化,因此,网络流量可以被视为时间信号来处理。在这种情况下,网络流量可以利用一般的信号处理和分析方法,对于时间信号,小波包分析在提取多尺度特性和选取不同的时频分辨率方面是非常有用的。因此,首先使用小波包方法来处理网络流量,对于从源节点i到目的节点j的网络流量xij={xij(1),xij(2),…},来进行小波包变换:
根据小波包方法,小波包的重建可以表示为
很显然,根据式(1),网络流量信号xij(t)表现出尺度空间和小波空间的不同尺度特性,这通过小波包系数体现,表现出明显的时频特性。一般情况下,在不同的时频域中,网络流量有不同的特点。在这种情况下,将时频网络流量划分成不同的频带,以达到相应的属性。对于小波包系数{dkl,n},得到以下的低频、高频分量:
通过利用式(3)小波包的逆变换,得到对应于式(5)、式(6)的时域信号,式(5)、式(6)可以转换为
根据式(4),可以得到对应于式(7)的时间信号如下:
式中:xij,low和xij,high分别表示对应于网络流量xij的低频、高频时间信号。
根据主成分分析理论,可以使用式(9)的主成分分析来得到低频时间信号xij,low的主要和次要的时间信号,即:
因此,可以得到式(9)—(12)所示的网络流量的特性模型,特性分析算法的详细步骤如下。
步骤1:给出初始流量矩阵xS和小波包变换的数量n_scale。
步骤2:根据式(1)和式(2),进行小波包变换,然后得到小波包系数。
步骤4:根据式(3),进行小波包和时域信号的逆变换,得到对应^dlow和^dhigh的xij,low和xij,high。
步骤5:根据主成分分析,得到特征向量矩阵,描述能量谱的对角矩阵和特性流矩阵,对应xij,low和xij,high分别为Ulow、Dlow、Vlow和Uhigh、Dhigh、Vhigh。
步骤6:根据主成分分析,提取前K个主成分,然后获取网络流量模型的参数,V′low、D′low、V′high、D′high。
步骤7:通过模型从xij,low和xij,high中提取主成分xij,low,p和xij,high,p。
步骤8:根据xij,low,p和xij,high,p得到新的主成分
步骤9:将结果保存到文件并退出。
为了验证上面所提出的通信网络中网络流量特征分析方法,本文进行一系列详细的仿真试验。仿真数据来自电力数据通信网络,相应的网络流量数据由该骨干网上的网络节点来收集获得。仿真试验中,小波包变换尺度大小设置为32,并详细讨论了所提出方法的特征提取能力,同时使用异常侦测仿真试验来进一步验证所提出方法的性能。
图1描绘了有、无异常属性的网络流量,图1(a)为正常的网络流量,图1(b)为异常的网络流量。从图1中可以看到,正常和异常的网络流量之间几乎没有什么区别。仿真试验中,图1(b)的异常网络流量是通过对图1(a)的正常网络流量添加异常网络流量得到的。下面通过本文提到的方法来分析图1(b)中的异常网络流量。
图1 有、无异常属性的网络流量
图2 不同尺度的小波包变换
图2显示了在8个不同尺度的小波包变换,对于不同的变换尺度,网络流量表现出不同的时频特性。这表明,特征分析方法可以使用小波包分析以提取不同尺度的网络流量的特性。图2(a)显示了在尺度4的高频属性,对于图2(b)—(d)中的尺度8,12和16,可以有效地捕捉到网络流量的中频性质。然而,对于图2(e)—(h)的其他尺度,网络流量的低频特性可以准确地提取。因此,这表明,本文提到的方法可以有效地捕捉到时频域中网络流量的特性。
一般来说,作为一个时间信号,网络流量的主要特性对于发现和诊断由异常网络活动造成的网络流量的异常部分是非常重要的。基于主成分分析,通过本文提到的方法,图3说明了网络流量的主成分特性,从图3中可以看到,网络流量的主要组成部分被准确地提取。这也表明,这种特征分析方法可以有效地捕捉和描述网络流量。
此外,为了进一步证明这种方法来实现异常检测能力。在持续时间为50个单位时段的4个时间注入的异常流量,即分别在时间300,500,800和1 200。图4显示,这种方法可以准确地检测到在不同时段的网络流量的异常成分,这也进一步表明这种方法可以有效地提取网络流量中的异常成分,并准确检测网络流量。
图3 流量特征提取结果
图4 异常侦测结果
本文研究了通信网络中网络流量的特征分析问题,通过小波包变换来获得网络流量的多尺度特性,并利用主成分分析来刻画网络流量的隐藏特性,从而提出一种新网络流量特征分析方法。仿真结果表明,这种方法具有较好的性能和特征分析能力。
[1]I.C.Paschalidis and G.Smaragdakis,“Spatio⁃temporal network anomalydetectionbyassessingdeviationsofempirical measures,”IEEE Transactions on Networking,vol.17,no.3,pp.685-697,2009.
[2]赵宏昊,孟凡博,王 杰.辽宁电力通信网容灾体系建设[J].东北电力技术,2013,34(7):5-10.
[3]赵宏昊,孟凡博,王 杰.辽宁电力通信传输容灾架构体系研究[J].东北电力技术,2014,35(7):2-8.
Analysis Approach on Flow Features of Communication Networks
ZHAO Honghao,MENG Fanbo,LU Bin
(State Grid Liaoning Electric Power Co.,Ltd.,Shenyang,Liaoning 110006,China)
Network traffic has highlighting dynamic features.How to accurately characterize hidden properties of network traffic has an important impact on network activities,such as network failure positioning,anomaly detection and performance analysis.A feature anal⁃ysis approach to describe network traffic is put forward.The wavelet packet transformation is used to extract the multi-scale feature of network traffic,then the principal component analysis method is exploited to refine the hidden features in the time-frequency domain. An anomaly detection test is conducted to validate the feature analysis method.Simulation results show that the approach is feasible.
network flow;feature analysis;time⁃frequency analysis;wavelet packet transformation;feature extraction
TP391
A
1004-7913(2016)11-0025-03
赵宏昊(1963),男,高级工程师,从事电力通信系统管理工作。
2016-08-20)