趙宏昊，孟凡博，盧 斌

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

面向通信網(wǎng)絡(luò)的業(yè)務(wù)流量特征分析方法

趙宏昊，孟凡博，盧 斌

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

網(wǎng)絡(luò)流量有著突出的動態(tài)特性，如何準確地描述網(wǎng)絡(luò)流量的隱藏屬性對諸如網(wǎng)絡(luò)故障定位、異常檢測和性能分析等網(wǎng)絡(luò)活動有著重要的影響。為了描述網(wǎng)絡(luò)流量，提出了一種特性分析方法。首先，利用小波包變換提取網(wǎng)絡(luò)流量的多尺度特性，然后利用主成分分析法對網(wǎng)絡(luò)流量的時頻域隱藏特性進行了細化。最后，為了驗證該特性分析方法，進行了異常檢測測試，仿真結(jié)果表明，這種方法是可行的。

網(wǎng)絡(luò)流量；特性分析；時頻分析；小波包變換；特性提取

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如物聯(lián)網(wǎng)、軟件定義網(wǎng)絡(luò)、云計算架構(gòu)等，當前通信網(wǎng)絡(luò)中出現(xiàn)了新的流量類型和特性。更為特別的是，對于一些全新的應(yīng)用程序，例如眾包、在線支付、微信等，新的應(yīng)用程序帶來了新的流量模型和特性。這進一步影響了沒有這些新功能支持的傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)性能，如由較少的有效調(diào)度、數(shù)據(jù)包的丟失和網(wǎng)絡(luò)故障造成的路徑延遲［1］。此外，流量異常對用戶體驗和網(wǎng)絡(luò)也有著重要的影響，例如新的攻擊類型、新的異常模式、未知的隱藏流量屬性等。因此，對通信網(wǎng)絡(luò)管理者和使用者來說，如何捕獲網(wǎng)絡(luò)流量的特性是非常重要的。至今，網(wǎng)絡(luò)流量特性分析已成為學(xué)術(shù)界和產(chǎn)業(yè)界的一個熱門話題［2］。

網(wǎng)絡(luò)流量的特性分析和提取得到了廣泛的研究。從網(wǎng)絡(luò)的角度來看，通過信號轉(zhuǎn)換準確地檢測到了異常的網(wǎng)絡(luò)流量，這些方法雖然可以捕獲網(wǎng)絡(luò)流量的特點，但是，它們有較大的誤差［3］。本文提出了一種特性分析方法來描述和捕捉當前如有線、無線網(wǎng)絡(luò)或混合網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量，以支持最新的網(wǎng)絡(luò)應(yīng)用。首先，由于網(wǎng)絡(luò)流量可以作為時間信號，因此利用信號分析理論來提取網(wǎng)絡(luò)流量的特點。由于小波包的多尺度和高分辨率的描述能力，利用小波包變換來提取網(wǎng)絡(luò)流量的隱藏特性。其次，在對網(wǎng)絡(luò)流量進行小波包變換之后，利用主成分分析法進一步完善時頻域中的網(wǎng)絡(luò)流量特性。最后，提出一個特性提取算法來捕獲網(wǎng)絡(luò)流量中的隱藏特性。仿真結(jié)果表明，這種方法是可行的。

1 問題描述

網(wǎng)絡(luò)中存在著許多從源節(jié)點到目的節(jié)點的流量流，這些流量流表現(xiàn)出一定的關(guān)系，如多尺度性質(zhì)、時間相關(guān)性、空間相關(guān)性和時空相關(guān)性。這導(dǎo)致了網(wǎng)絡(luò)流量的高復(fù)雜度，但這些特性可用來幫助捕獲網(wǎng)絡(luò)流量的特性。在以下幾個部分中，利用時頻分析和主成分分析的方法來描述網(wǎng)絡(luò)流量。

一般的時間序列，隨著時間的推移網(wǎng)絡(luò)流量發(fā)生變化，因此，網(wǎng)絡(luò)流量可以被視為時間信號來處理。在這種情況下，網(wǎng)絡(luò)流量可以利用一般的信號處理和分析方法，對于時間信號，小波包分析在提取多尺度特性和選取不同的時頻分辨率方面是非常有用的。因此，首先使用小波包方法來處理網(wǎng)絡(luò)流量，對于從源節(jié)點i到目的節(jié)點j的網(wǎng)絡(luò)流量xij＝｛xij（1），xij（2），…｝，來進行小波包變換：

根據(jù)小波包方法，小波包的重建可以表示為

很顯然，根據(jù)式（1），網(wǎng)絡(luò)流量信號xij（t）表現(xiàn)出尺度空間和小波空間的不同尺度特性，這通過小波包系數(shù)體現(xiàn)，表現(xiàn)出明顯的時頻特性。一般情況下，在不同的時頻域中，網(wǎng)絡(luò)流量有不同的特點。在這種情況下，將時頻網(wǎng)絡(luò)流量劃分成不同的頻帶，以達到相應(yīng)的屬性。對于小波包系數(shù)｛dkl，n｝，得到以下的低頻、高頻分量：

通過利用式（3）小波包的逆變換，得到對應(yīng)于式（5）、式（6）的時域信號，式（5）、式（6）可以轉(zhuǎn)換為

根據(jù)式（4），可以得到對應(yīng)于式（7）的時間信號如下：

式中：xij，low和xij，high分別表示對應(yīng)于網(wǎng)絡(luò)流量xij的低頻、高頻時間信號。

根據(jù)主成分分析理論，可以使用式（9）的主成分分析來得到低頻時間信號xij，low的主要和次要的時間信號，即：

因此，可以得到式（9）—（12）所示的網(wǎng)絡(luò)流量的特性模型，特性分析算法的詳細步驟如下。

步驟1：給出初始流量矩陣xS和小波包變換的數(shù)量n_scale。

步驟2：根據(jù)式（1）和式（2），進行小波包變換，然后得到小波包系數(shù)。

步驟4：根據(jù)式（3），進行小波包和時域信號的逆變換，得到對應(yīng)＾dlow和＾dhigh的xij，low和xij，high。

步驟5：根據(jù)主成分分析，得到特征向量矩陣，描述能量譜的對角矩陣和特性流矩陣，對應(yīng)xij，low和xij，high分別為Ulow、Dlow、Vlow和Uhigh、Dhigh、Vhigh。

步驟6：根據(jù)主成分分析，提取前K個主成分，然后獲取網(wǎng)絡(luò)流量模型的參數(shù)，V′low、D′low、V′high、D′high。

步驟7：通過模型從xij，low和xij，high中提取主成分xij，low，p和xij，high，p。

步驟8：根據(jù)xij，low，p和xij，high，p得到新的主成分

步驟9：將結(jié)果保存到文件并退出。

2 試驗結(jié)果分析

為了驗證上面所提出的通信網(wǎng)絡(luò)中網(wǎng)絡(luò)流量特征分析方法，本文進行一系列詳細的仿真試驗。仿真數(shù)據(jù)來自電力數(shù)據(jù)通信網(wǎng)絡(luò)，相應(yīng)的網(wǎng)絡(luò)流量數(shù)據(jù)由該骨干網(wǎng)上的網(wǎng)絡(luò)節(jié)點來收集獲得。仿真試驗中，小波包變換尺度大小設(shè)置為32，并詳細討論了所提出方法的特征提取能力，同時使用異常偵測仿真試驗來進一步驗證所提出方法的性能。

圖1描繪了有、無異常屬性的網(wǎng)絡(luò)流量，圖1（a）為正常的網(wǎng)絡(luò)流量，圖1（b）為異常的網(wǎng)絡(luò)流量。從圖1中可以看到，正常和異常的網(wǎng)絡(luò)流量之間幾乎沒有什么區(qū)別。仿真試驗中，圖1（b）的異常網(wǎng)絡(luò)流量是通過對圖1（a）的正常網(wǎng)絡(luò)流量添加異常網(wǎng)絡(luò)流量得到的。下面通過本文提到的方法來分析圖1（b）中的異常網(wǎng)絡(luò)流量。

圖1 有、無異常屬性的網(wǎng)絡(luò)流量

圖2 不同尺度的小波包變換

圖2顯示了在8個不同尺度的小波包變換，對于不同的變換尺度，網(wǎng)絡(luò)流量表現(xiàn)出不同的時頻特性。這表明，特征分析方法可以使用小波包分析以提取不同尺度的網(wǎng)絡(luò)流量的特性。圖2（a）顯示了在尺度4的高頻屬性，對于圖2（b）—（d）中的尺度8，12和16，可以有效地捕捉到網(wǎng)絡(luò)流量的中頻性質(zhì)。然而，對于圖2（e）—（h）的其他尺度，網(wǎng)絡(luò)流量的低頻特性可以準確地提取。因此，這表明，本文提到的方法可以有效地捕捉到時頻域中網(wǎng)絡(luò)流量的特性。

一般來說，作為一個時間信號，網(wǎng)絡(luò)流量的主要特性對于發(fā)現(xiàn)和診斷由異常網(wǎng)絡(luò)活動造成的網(wǎng)絡(luò)流量的異常部分是非常重要的?；谥鞒煞址治觯ㄟ^本文提到的方法，圖3說明了網(wǎng)絡(luò)流量的主成分特性，從圖3中可以看到，網(wǎng)絡(luò)流量的主要組成部分被準確地提取。這也表明，這種特征分析方法可以有效地捕捉和描述網(wǎng)絡(luò)流量。

此外，為了進一步證明這種方法來實現(xiàn)異常檢測能力。在持續(xù)時間為50個單位時段的4個時間注入的異常流量，即分別在時間300，500，800和1 200。圖4顯示，這種方法可以準確地檢測到在不同時段的網(wǎng)絡(luò)流量的異常成分，這也進一步表明這種方法可以有效地提取網(wǎng)絡(luò)流量中的異常成分，并準確檢測網(wǎng)絡(luò)流量。

圖3 流量特征提取結(jié)果

圖4 異常偵測結(jié)果

3 結(jié)束語

本文研究了通信網(wǎng)絡(luò)中網(wǎng)絡(luò)流量的特征分析問題，通過小波包變換來獲得網(wǎng)絡(luò)流量的多尺度特性，并利用主成分分析來刻畫網(wǎng)絡(luò)流量的隱藏特性，從而提出一種新網(wǎng)絡(luò)流量特征分析方法。仿真結(jié)果表明，這種方法具有較好的性能和特征分析能力。

［1］I.C.Paschalidis and G.Smaragdakis，“Spatio?temporal network anomalydetectionbyassessingdeviationsofempirical measures，”IEEE Transactions on Networking，vol.17，no.3，pp.685－697，2009.

［2］趙宏昊，孟凡博，王 杰.遼寧電力通信網(wǎng)容災(zāi)體系建設(shè)［J］.東北電力技術(shù)，2013，34（7）：5－10.

［3］趙宏昊，孟凡博，王 杰.遼寧電力通信傳輸容災(zāi)架構(gòu)體系研究［J］.東北電力技術(shù)，2014，35（7）：2－8.

Analysis Approach on Flow Features of Communication Networks

ZHAO Honghao，MENG Fanbo，LU Bin
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

Network traffic has highlighting dynamic features.How to accurately characterize hidden properties of network traffic has an important impact on network activities，such as network failure positioning，anomaly detection and performance analysis.A feature anal?ysis approach to describe network traffic is put forward.The wavelet packet transformation is used to extract the multi－scale feature of network traffic，then the principal component analysis method is exploited to refine the hidden features in the time－frequency domain. An anomaly detection test is conducted to validate the feature analysis method.Simulation results show that the approach is feasible.

network flow；feature analysis；time?frequency analysis；wavelet packet transformation；feature extraction

TP391

A

1004－7913（2016）11－0025－03

趙宏昊（1963），男，高級工程師，從事電力通信系統(tǒng)管理工作。

2016－08－20）