孟凡博，趙宏昊，盧 斌

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

一種通信網(wǎng)絡(luò)業(yè)務(wù)流異常實時偵測方法

孟凡博，趙宏昊，盧 斌

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新的應(yīng)用類型迅速產(chǎn)生，同時網(wǎng)絡(luò)流量也呈指數(shù)增長，這帶來了網(wǎng)絡(luò)流量異常檢測的新挑戰(zhàn)。提出了一種快速檢測網(wǎng)絡(luò)流量異常的新方法，將網(wǎng)絡(luò)流量視為一個時間信號的序列，將其構(gòu)造成一個流量矩陣。對流量矩陣進(jìn)行主成分分解，再分別對這兩部分進(jìn)行經(jīng)驗?zāi)B(tài)分解，得出快速異常檢測算法。仿真結(jié)果表明，這種方法是可行的。

端到端網(wǎng)絡(luò)流量；異常檢測；主成分分析；經(jīng)驗?zāi)B(tài)分解

網(wǎng)絡(luò)流量異常對網(wǎng)絡(luò)性能和用戶體驗質(zhì)量有很大的影響，因此，網(wǎng)絡(luò)流量異常檢測在當(dāng)前的網(wǎng)絡(luò)運營中具有非常重要的意義，并且成為了一個非常重要的研究課題，同時也引起了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注［1］。如何有效地檢測和診斷網(wǎng)絡(luò)流量中的異常成分將會是一項巨大的挑戰(zhàn)，通過對異常網(wǎng)絡(luò)流量的檢測，網(wǎng)絡(luò)管理者需要對網(wǎng)絡(luò)采取主動防御措施。

網(wǎng)絡(luò)流量異常檢測已經(jīng)獲得廣泛研究，時－頻域方法被用來發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常部分，該方法能得到相當(dāng)準(zhǔn)確的檢測結(jié)果；信息度量標(biāo)準(zhǔn)和經(jīng)驗?zāi)B(tài)分解方法也用來識別網(wǎng)絡(luò)流量異常；基于參數(shù)的檢測方法被提出來偵測網(wǎng)絡(luò)流量中的異常分量；周期性特征被用來提取自相似網(wǎng)絡(luò)流量中的異常特征，該方法基于網(wǎng)絡(luò)流量的自相似性，將網(wǎng)絡(luò)流量描述為周期信號來刻畫網(wǎng)絡(luò)流量內(nèi)在特征［2］。針對多媒體網(wǎng)絡(luò)流量中的異常問題，相關(guān)文獻(xiàn)也進(jìn)行了深入研究，通過建模網(wǎng)絡(luò)事件，提出了一種基于模型的檢測方法來發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。為了更有效地偵測異常的網(wǎng)絡(luò)流量，譜峭度分析被用來識別和診斷網(wǎng)絡(luò)流量中的異常部分；動態(tài)異常檢測方法被提出來確定動態(tài)環(huán)境中的流量異常部分；信息理論被用來有效地刻畫網(wǎng)絡(luò)流量的時變特征，從而能有效識別網(wǎng)絡(luò)流量中的異常分量［3］。

不同于以上方法，本文利用主成分分析與經(jīng)驗?zāi)B(tài)分解法，提出一種新的偵測方法來識別網(wǎng)絡(luò)流量中的異常分量。所提出的方法將網(wǎng)絡(luò)流量描述為時間信號，并對該時間信號構(gòu)造相應(yīng)的描述矩陣，通過主成分分解和經(jīng)驗?zāi)B(tài)分解，分別構(gòu)造不同的經(jīng)驗?zāi)：瘮?shù)來刻畫網(wǎng)絡(luò)流量內(nèi)在特征，從而準(zhǔn)確捕獲異常網(wǎng)絡(luò)流量分量。仿真結(jié)果表明，該方法能準(zhǔn)確地偵測異常的網(wǎng)絡(luò)流量。

1 問題描述

對于任何網(wǎng)絡(luò)流量，可以把它視為一個時間信號序列。假設(shè)網(wǎng)絡(luò)流量為y（t），時間序列y＝｛y（t）｜t＝1，2，…｝表示任何的網(wǎng)絡(luò)流量。為了不失一般性，假設(shè)網(wǎng)絡(luò)流量的長度為N＝n2，其中n是一個整數(shù)。網(wǎng)絡(luò)流量可以轉(zhuǎn)換成如下矩陣：

對式（1）的網(wǎng)絡(luò)流量Y進(jìn)行主成分分解。根據(jù)主成分分析理論，可以分解為以下方程：

通過選擇網(wǎng)絡(luò)流量中第k個主成分，然后得到如下方程：

式中：V′和D′描述了網(wǎng)絡(luò)流量的主要特征。在式（3）中的模型可以用來描述網(wǎng)絡(luò)流量的特征。

因此，根據(jù)式（3），通過對式（1）逆變換，可以得到一個新的時間序列：

式中：rm，p表示殘余分量，表示（t）的平均趨勢。

式中：sm，np表示殘余分量，表示的平均趨勢。

這里提出了本文的業(yè)務(wù)流異常檢測算法。算法的具體步驟如下。

步驟2：根據(jù)式（1），得到流量矩陣Y。

步驟3：根據(jù)式（2）—（5），通過主成分分析法，網(wǎng)絡(luò)流量被分解成

步驟4：設(shè)i＝1，初始化閾值a和最大迭代步數(shù)為S。

步驟5：初始化k＝0，ei＋1，k（t）＝ri（t），并設(shè)置樣條函數(shù)s（t）為一個三次樣條函數(shù)，s＝3，v＝P。

步驟6：找出ei＋1，k（t）的局部極大值和極小值，使用基于s（t）樣條插值方法創(chuàng)建兩條樣條曲線su（t）和sl（t），令

步驟7：如果ei＋1，k＋1（t）滿足本征模態(tài)函數(shù)分量的條件，則執(zhí)行步驟11。

步驟8：如果v＞mi＋1，k，設(shè)置v＝mi＋1，k和e（t）＝ei＋1，k＋1（t）。

步驟9：如果s＝3，設(shè)樣條函數(shù)s（t）為一個B樣條，s＝b，然后返回步驟6。

步驟11：令第i個固有模函數(shù)分量fi＋1（t）＝ei＋1，k＋1（t），并設(shè)ri＋1（t）＝ri（t）－fi＋1（t）。

步驟12：如果殘留分量ri＋1（t）不是一個單調(diào)函數(shù)，設(shè)i＝i＋1，然后返回步驟5。

步驟13：如果p＝1，令gi，p（t）＝fi（t），rm，p（t）＝ri＋1（t），得到特征函數(shù)集gp（t）＝｛g1，p（t） g2，p（t）…｝，令返回到步驟4。

步驟14：令hi，np（t）＝fi（t），sm，np（t）＝ri＋1（t），得到特征函數(shù)集hnp（t）＝｛h1，np（t） h2，np（t）…｝。

步驟15：根據(jù)gp（t）和hnp（t），對和進(jìn)行特征提取。

步驟16：通過gp（t）和hnp（t）過濾得到的特征，找到異常的流量，并將檢測結(jié)果保存到文件中。

2 試驗結(jié)果分析

現(xiàn)在進(jìn)行測試來驗證文中提到的網(wǎng)絡(luò)流量檢測方法。在仿真試驗中，在300、700、1 100和1 500 4個時刻將網(wǎng)絡(luò)流量異常分別注入正常的網(wǎng)絡(luò)流量中。為避免隨機(jī)錯誤，本文進(jìn)行了50次仿真獲得平均檢測結(jié)果，檢測閾值自動確定。接下來，可以分析基于主成分分解和異常檢測能力的流量提取能力。在試驗中，選擇了1 936個流量值作為仿真數(shù)據(jù)，這種情況下，可以構(gòu)建一個流量矩陣進(jìn)行主成分分解過程，最大的迭代步數(shù)被設(shè)置為100，所有的仿真都處于同樣的仿真環(huán)境。

圖1顯示了網(wǎng)絡(luò)流量和主成分分解結(jié)果，其中圖1（a）和（b）分別表示正常和異常的網(wǎng)絡(luò)流量，而圖1（c）和（d）描述從圖1（b）的異常網(wǎng)絡(luò)流量中提取的主成分和非主成分。圖1（a）和（b）表明，正常流量和異常流量沒有明顯的差異。圖1（c）和（d）表示通過本文的算法，可以正確地提取異常網(wǎng)絡(luò)流量的主要特征和次要特征。很明顯，主成分流量反映了網(wǎng)絡(luò)流量的主要特征。

圖2為主成分流量的經(jīng)驗?zāi)Ｊ椒纸?，其中imf表示經(jīng)驗?zāi)B(tài)函數(shù)。從圖2中，可以清楚地看出，主成分流量可以通過10個經(jīng)驗?zāi)B(tài)函數(shù)的特征，不同經(jīng)驗?zāi)Ｊ焦δ芸梢圆蹲降讲煌δ艿闹鞒煞至髁俊膱D3中可以清楚地看到，非主成分流量可以被10個經(jīng)驗?zāi)B(tài)函數(shù)準(zhǔn)確描述。如圖2所示，不同的經(jīng)驗?zāi)Ｊ胶瘮?shù)可以獲取非主成分流量的不同特征。

圖1 網(wǎng)絡(luò)流量和主成分分解

圖2 主成分的交通經(jīng)驗?zāi)Ｊ椒纸?/p>

圖3 對于非主成分的流量經(jīng)驗?zāi)Ｊ椒纸?/p>

圖4顯示了流量異常檢測結(jié)果，其中檢測閾值為0.3，矩形虛線脈沖曲線表示注入異常流量的時間。檢測曲線可以有效且準(zhǔn)確地突出了異常的網(wǎng)絡(luò)流量發(fā)生的時間。在這種情況下，使用檢測閾值，能夠準(zhǔn)確發(fā)現(xiàn)異常的網(wǎng)絡(luò)流量。因此，可以進(jìn)行準(zhǔn)

圖4 交通異常檢測結(jié)果

確的網(wǎng)絡(luò)流量異常檢測。這進(jìn)一步表明，本文提出的算法可以有效地找出異常流量。

3 結(jié)束語

本文研究了通信網(wǎng)絡(luò)中網(wǎng)絡(luò)流量異常的快速偵測問題。通過使用流量矩陣來描述網(wǎng)絡(luò)流量時間序列，對該矩陣進(jìn)行主成分分解，獲得網(wǎng)絡(luò)流量的主成分和非主成分分量，并利用經(jīng)驗?zāi)７纸膺M(jìn)一步描述網(wǎng)絡(luò)流量的兩部分分量，構(gòu)造不同的經(jīng)驗?zāi)B(tài)函數(shù)來提取網(wǎng)絡(luò)流量內(nèi)在特征，最后提出了一種快速的異常檢測算法來準(zhǔn)確識別網(wǎng)絡(luò)流量中的異常分量。仿真結(jié)果表明，本文提出的方法能有效偵測網(wǎng)絡(luò)流量中隱藏的異常流量特征。

［1］D.Jiang，Z.Xu，P.Zhang，et al.A transform domain－based a?nomaly detection approach to network－wide traffic.Journal of Network and Computer Applications，2014，40（2）：292－306.

［2］趙宏昊，孟凡博，王 杰.遼寧電力通信網(wǎng)容災(zāi)體系建設(shè)［J］.東北電力技術(shù)，2013，34（7）：5－10.

［3］趙宏昊，孟凡博，王 杰.遼寧電力通信傳輸容災(zāi)架構(gòu)體系研究［J］.東北電力技術(shù)，2014，35（7）：2－8.

A Real?Time Detection Approach on Network Traffic Anomalies in Communication Networks

MENG Fanbo，ZHAO Honghao，LU Bin
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

With the advance of new network technologies，new types of applications are quickly arising.Network traffic exponentially is rising，this results bring new challenges for anomaly detections of network traffic.This paper proposes a new quick detection ap?proach，network traffic is regarded as a time series of signals and it is constructed into a matrix.The principal component decomposi?tion is performed for the matrix.The network traffic is divided into principal and non?principal components.The empirical mode de?composition is carried out for these two components.In this case，a quick anomaly detection algorithm is presented.Simulation results show that the approach is feasible and promising.

end?to?end network traffic；anomaly detection；principal component analysis；empirical mode decomposition

TP393.08

A

1004－7913（2016）12－0006－03

孟凡博（1980），男，高級工程師，從事網(wǎng)絡(luò)與通信系統(tǒng)研究工作。

2016－09－30）