基于信息熵的通信网络流量异常监测系统设计

谭秦红

（铜仁职业技术学院 信息工程学院，贵州 铜仁 554300）

0 引 言

传统通信网络流量异常监测方法通常采用挖掘技术监测网络的异常性和关联性。出现异常流量时很难有效保障通信网络的安全性和可靠性，且监测系统的运行效率较低[1]。本文在传统通信网络流量异常监测系统的基础上，引入一种全新的信息熵概念，设计了一种新的通信网络流量异常监测系统。通过挖掘通信网络流量异常，可有效解决数据信息量无法度量的问题，从而实现对流量异常的监测。

1 系统硬件设计

1.1 流量采集探测装置

设计的系统中的流量采集探测装置内部应当增设一组网络探针装置，将探针按照一定规律安装在路由器的出口端位置，以此扩大对通信网络流量异常监测的范围。对于一般企业中使用的局域网络而言，增加探针结构能使系统得到更好的监测效果[2]。本文选用AY5651SS053型号的120G探针结构，最小中心为6.30 N/A，全行程为（7.5±2.5）mm，工作行程为（2.5±1.6）mm。AY5651SS053型号探针的上针头结构和下针头结构均采用高碳钢镀金，管子整体为磷铜镀金，弹簧结构为琴钢线镀金。由于探针结构在监测过程中不会经过路由器，因此不会对其宽带的整体运行造成太大影响。

通过网络探针可更加快速地监测通信网络的流量和宽带。当通过探针获取到通信网络的数据包流量时，将路由器与交换机相连，可使流量数据更顺利地导出、采集并分析。在流量数据传输过程中，通过该装置采集的数据还可以统一格式并存储在管理信息库。

1.2 异常诊断芯片选择

设计的异常流量监测系统加入了型号为UDIA72528的异常诊断芯片。电源系列采用3×5封装，额定功率为600 W，满足I级或II级（双重绝缘）构造的B传导和辐射EMI要求，无需外部滤波。同时，UDIA72528异常诊断芯片的输入电压范围为85～264 V AC，输出禁用时的空载功耗低于0.5 W，提供12 V、19 V、24 V、28 V、32 V、36 V以及48 V共7个输出电压。此外，5 V/2 A的待机电压、远程开/关、远程检测以及良好的电源信号是标配，而且可提供带有集成风扇选件的盖板。开放式机架尺寸为76.2 mm×127 mm×37 mm（宽×长×高）或85 mm×157 mm×42.5 mm。这种型号的芯片具有记录并诊断通信网络在数据传输过程中是否存在病毒的功能，其自身的数据库中记录着全球总病毒类型的95.6%。当前，通信网络中最容易造成数据传输过程中出现流量异常的病毒为网络蠕虫病毒。这一类型病毒具有十分强烈的传播能力，且蔓延速度极快[3]。本系统中引入的UDIA72528异常诊断芯片能从网络全局角度分析数据流，并以集中访问的形式判断通信网络流量的具体走向和数量。当通信网络数据传输处于高峰期时，也能够快速监测到病毒的存在。

1.3 复位电路

复位电路利用电容充电实现。在电流接通的瞬间，RST端电位与VCC端电位完全相同，但之后RST端电位会有所上升。施密特触发器输入端的下阈值恒定，时间常数为100 ms。在VCC端的电位上升时间不超过1 ms，振荡器建立时间不超过10 ms时，系统能够完成复位操作。系统连接的上位机复位所需时间是振荡周期建立时间加上2个机器周期时间，在这个时间内RST的电平应维持高于施密特触发器的下阈值。在完成一次通信网络流量异常监测后，通过复位电路使系统自动进行第二次监测。

2 系统软件设计

2.1 基于信息熵的异常流量挖掘

根据信息熵概念，对通信网络异常流量进行如下定义：

式（1）中，M表示通过信息熵定义量化后的异常流量；E表示异常流量不确定性统计平均值；i表示某一信源中包含的n个概率事件和信息元；P表示通信网络流量异常发生的具体概率。

当系统在某一具体时间范围内检测流量时，有：

式（2）中，K表示属性i的总流数量；zj表示属性j对应的流量数量。根据式（2），在系统中利用指数加权平均的算法预测在系统下次监测时间间隔内的异常流量信息熵。以通信网络历史流量数据分配数值为基础，通过加权平均算法计算预测结果。通过上述计算可以使系统快速消除通信网络历史流量数据的抖动干扰，进一步提高预测网络流量异常趋势的准确性。

2.2 通信网络流量异常监测熵模式提取

当通信网络受到病毒攻击时，如果服务器受到多台主机的攻击，那么通信网络中生成的数据流的源网络互连协议不同，但目的网络互连协议相同。这样可以实现系统对通信网络流量异常熵模式的提取，大幅提高网络中总源网络互连协议离散度与目的网络互连协议集中度，进而造成源网络互连协议信息熵增大而目的网络互连协议信息熵减小。通信网络中常见的端口扫描、主机扫描以及大流量数据传输等操作与行为，都会引起网络流量的异常现象。但是，这些异常行为在网络信息熵的变化中体现出的对应模式不同。针对这一特点，通过系统实时监测与计算网络中数据流对应的源网络互连协议、目的网络互连协议、源端口以及目标端口信息熵，可以对出现异常的模式进行属性匹配，并准确判断所发生流量异常的类型。通过流量异常发生的具体类型和时间，循环遍历查询网络数据流，确定流量异常的发生源头。若在系统监测过程中出现的判定异常结果未出现在规则库，则需要记录这一组传输数据中流量信息熵的变化特征，评估该异常所造成的影响，并更新系统原始规则库，向数据库中录入该异常的具体规则，从而为下一时间间隔内的监测提供充足的监测依据。

3 对比实验

3.1 实验准备

为验证提出的基于信息熵的通信网络流量异常监测系统在实际应用中的监测效果，设计如下仿真对比实验比对所提系统与传统系统的监测结果。利用对比实验软件，构建一个某企业的通信网络环境，即设定网络环境、流量数据以及监测系统对比实验的实验参数，如表1所示。

表1 对比实验参数表

根据表1中的实验参数设定，在同一个通信网络环境中分别利用本文系统与传统系统监测异常网络流量。

3.2 实验结果与分析

根据实验准备完成对比实验，绘制两种系统检测结果的对比图，结果如图1所示。

图1 对比实验结果对比图

根据图1得出的实验结果对比图可以看出，在对通信网络中流量异常进行监测时，本文系统的监测结果更接近实际流量异常流入字节。从监测精度来看，本文系统能够对流量异常进行更加精准的监测，与实际流量异常变化幅度基本一致，而传统系统监测曲线与实际流量异常变化幅度存在较大差异。可见，对比实验证明，本文系统具有更高的监测精度，监测结果能够充分满足通信网络安全运行需要。

4 结 论

为实现对通信网络流量异常的精准监测并对异常流量进行自动识别，本文结合信息熵概念提出了一种全新的监测系统，并深入研究通信网络流量数据的生成、输出、采集以及统计等，优化其监测算法。实验证明，本文系统不仅可以监测网络流量异常，还能够快速监测传输过程中网络环境是否存在病毒，并做出实时告警，对今后异常流量的监测具有一定的研究价值。