大规模通信网络中异常流量检测方法研究

窦磊 刘杰

【摘要】受通信网络自身动态演化过程影响，极容易发生配置错误和蠕虫爆发等异常现象，研究大规模通信网络中异常流量的检测方法。基于时间序列估算流量熵值、构建异常流量分解模型完成检测，完成大规模通信网络中异常流量检测方法设计。在网络通信中采用本文方法进行网络流量数据检测，该方法的误检率可以控制在10次以内，可以较大程度的提高通信网络的运行效率，具有实际应用效果。

【关键词】大规模通信網络;异常流量;检测方法;流量熵值;

中图分类号：TP393.06文献标识码：A

引言

当前社会信息化发展迅速，人们的日常工作和生活越来越离不开互联网。但高强度的网络通信架构下，其产生和采集到的网络流量会随之发生变化。异常流量的检测是现有网络管理中的重要组成部分，对网络的稳健运行起着十分重要的作用，也是现代网络信息发展中较为关键的技术之一。从原有的简单算法到多种算法的集成应用，西方发达国家已经完成了网络路由和性能异常检测的标准化研究，国内在此阶段处于预测的起步阶段，需要克服的难点仍有许多。本文基于此研究大规模通信网络中异常流量检测方法，为提高网络的运行管理提供理论依据。

1大规模通信网络中异常流量检测方法

1.1基于时间序列估算流量熵值

熵的概念出自信息论，可以通过系统参数的分布变化情况进行横向度量，在无法进行长时间随机检测中完成信息描述，基于此对通信网络中的流量进行流量熵值 估算[1]。受网络流量数据的多维度采集影响，将按照时间序列完成数据的分类，在同等维度下对能够描述的数据组成集合，其中是网络流量数据的维度数值，在有限维度取值中，每组数据的包长值不尽相同，以最小维度中出现的相同流量次数为准，流量熵值表达式为：

公式中：数量流量的总项用表示，定义为数据在集合中出现的第次的所在位置，维度数据的项目集合大小用表中，代表为达到随机数据集合的度量变化量。在所有到达的数据项熵值为0是，默认所有能够到达的数据项在同一个时间维度上，使其定义为有限时间维度中的标准流量值。

1.2 构建分解模型检测异常流量

根据流量的自相似性在标准估算值范围内，利用灰色构建分解模型，将原有的数据流量数据作为原始数列，把需要预测的结果和实际标准值进行对比，超过范围的数据集合可以认为是灰色理论区域。在此过程中需要注意的是，不是所有灰色流量都是异常流量，在分解过程中极容易出现，保护线同等功能的正常流量存在差异性，在邻近的流量对比过程中会被误判到灰色区域内，需要在此基础上对模型添加滑动窗口机制[2]。以灰色预测数据做滑动窗口运动的大小变化，保证模型窗口内部的数据均是实际流量数据，每次对窗口中的流量进行两两预测，若结果表示为正常的标准值则可加入窗口并删减原有数据。若数据结果与标准值相差巨大，则需要在灰色理论上重新调整窗口，以此消除多重预测导致的偏差累积效果[3]。在不同功能的正常流量进行分解后，可以直接分离出不相近的网络流量数据，直接归类到灰色区域内重复窗口滑动，直至异常流量的检出即可。

2实验结果分析

为验证本文设计的方法具有实际应用效果，采用实验测试的方式对网络流量进行异常时段检测，证明其在大规模的通信网络中能够实现较少的误检。选取某省通信公司中家庭网络据集合进行实验，采样数据时长分别为6天，按照每分钟采样的频率进行数据收集，共包含流量数据1550次。其中每日的采样点前后的趋势值通过平均流量控制，同滑动平均的方式对所有流量数据进行分解，具体流量走向如图1所示。

如图所示能够明显看出，数据集合中包含异常流量，最高数据流量峰值出现2000-3000min时间内，出现8次异常流量。在此基础上引入PAC和KTLAD两组检测方式，对上述存在的异常流量次数进行6组检验，每轮检测次数以20次进行叠加，初始次数为80次，分别统计不同方式下的误检次数，测试结果如下表1所示。

根据表中内容可知，在依次叠加检测次数的基础上，两组传统方法的误检次数会逐渐增加，而本文方法能够将误检次数控制在10次以内，具有实际的检测效果。

由此可以得出结论，本文方法在通信网络中能够实现异常流量的检测，且误检次数较少，可以有效提高网络的运行效率。

3结束语

本文在选择不同时间序列的流量熵值估算下，建立了异常流量分解模型，能够分批次和分类型的进行通信网络中的异常流量检测。实验结果表明：本文方法能够实现通信网络中异常流量的检测，且误检次数大幅度下降，可以有效提高网络的运行效率。但在研究过程中由于时间限制，无法将异常流量和网络通信之间的关联性加以总结，一旦样本收缩在处理结果上会产生一定偏差。后续研究中会将不同的异常情况进行等级分类，在提高检测成功率的同时，总结网络流量变化和异常网络之间的相关性，使其具备更好的检测效果。

参考文献

[1]原军，张凯，药炜，等.基于机器学习的分组交换电力光网络流量异常检测[J].机械与电子，2021，39（09）：47-50+55.

[2]麻文刚，张亚东，郭进.基于LSTM与改进残差网络优化的异常流量检测方法[J].通信学报，2021，42（05）：23-40.

[3]刘奕，李建华，张一瑫，等.基于特征属性信息熵的网络异常流量检测方法[J].信息网络安全，2021，21（02）：78-86.

作者简介：

窦磊（1989-），汉族，河南濮阳人，本科，助教，研究方向：信息管理。