劉利波，遲江波

（新疆輕工職業(yè)技術(shù)學(xué)院信息與軟件分院，新疆烏魯木齊830021）

互聯(lián)網(wǎng)發(fā)展迅速，促使越來越多的個(gè)人或企業(yè)應(yīng)用互聯(lián)網(wǎng)技術(shù)，許多重要業(yè)務(wù)也是通過網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)通信。與此同時(shí)，網(wǎng)絡(luò)中存在的安全隱患給使用者帶來巨大風(fēng)險(xiǎn)，因此，需對(duì)多功能網(wǎng)絡(luò)安全進(jìn)行監(jiān)控。網(wǎng)絡(luò)中的流量異常是網(wǎng)絡(luò)出現(xiàn)安全隱患的重要問題，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，導(dǎo)致計(jì)算機(jī)病毒爆發(fā)[1]。該病毒與黑客技術(shù)結(jié)合在一起，逐漸形成了新的編譯病毒，肆虐全球，導(dǎo)致網(wǎng)絡(luò)中的流量異?，F(xiàn)象發(fā)生[2]。系統(tǒng)設(shè)備或軟件配置不足，也是導(dǎo)致網(wǎng)絡(luò)流量異常的主要原因，對(duì)于網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控有利于快速發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題，系統(tǒng)優(yōu)化能夠快速檢測故障位置所在，減小網(wǎng)絡(luò)失效出現(xiàn)的概率，保證企業(yè)或個(gè)人的經(jīng)濟(jì)利益[3]。由于傳統(tǒng)監(jiān)控系統(tǒng)存在監(jiān)控誤差大的問題，無法達(dá)到實(shí)時(shí)流量監(jiān)控標(biāo)準(zhǔn)，因此，提出了多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控系統(tǒng)優(yōu)化研究，保證網(wǎng)絡(luò)能夠正常運(yùn)行。

1 流量監(jiān)控系統(tǒng)優(yōu)化研究

流量監(jiān)控系統(tǒng)可通過流量狀態(tài)來判斷網(wǎng)絡(luò)整體運(yùn)行情況，多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控系統(tǒng)一般分成兩個(gè)階段，一是對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)采集，二是對(duì)數(shù)據(jù)異常進(jìn)行診斷[4]。以這兩個(gè)階段為基礎(chǔ)，對(duì)系統(tǒng)硬件結(jié)構(gòu)優(yōu)化和系統(tǒng)軟件功能優(yōu)化進(jìn)行設(shè)計(jì)。

1.1 系統(tǒng)硬件優(yōu)化設(shè)計(jì)

根據(jù)多功能網(wǎng)絡(luò)特征，設(shè)計(jì)該功能下的監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖，如圖1所示。

圖1 監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖

由圖1可知：監(jiān)測點(diǎn)1、2、3、4分布于網(wǎng)絡(luò)各個(gè)邊緣位置，采用主動(dòng)監(jiān)控方法對(duì)網(wǎng)絡(luò)監(jiān)控對(duì)象和拓?fù)湫畔⑦M(jìn)行監(jiān)測，方便用戶訪問；中心服務(wù)器是針對(duì)不同監(jiān)測點(diǎn)監(jiān)測到的數(shù)據(jù)匯集到中心的服務(wù)器，能夠及時(shí)管理各個(gè)軟件配置信息；數(shù)據(jù)服務(wù)器是分析監(jiān)測到的數(shù)據(jù)，可形成統(tǒng)一格式的數(shù)據(jù)單，方便用戶查詢；數(shù)據(jù)接收器時(shí)將經(jīng)過中心服務(wù)器的數(shù)據(jù)全部接收，方便系統(tǒng)分配；表示服務(wù)器是需要用戶為系統(tǒng)提供具有可視化圖形的重要接口，能夠分析流量異常監(jiān)控結(jié)果[5]。

1.1.1 中心服務(wù)器優(yōu)化設(shè)計(jì)

原始服務(wù)器只是個(gè)別數(shù)據(jù)的匯集場所，不能對(duì)所有流量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，為此，根據(jù)上述監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖設(shè)計(jì)不同數(shù)據(jù)匯集的中心服務(wù)器[6]。該服務(wù)器結(jié)構(gòu)的設(shè)計(jì)如圖2所示。

由圖2可知：當(dāng)接入層接收到異常流量數(shù)據(jù)時(shí)，通過集群形式傳遞給匯集層；當(dāng)接入層接收到正常流量數(shù)據(jù)時(shí)，通過單一接入形式傳遞給匯集層。而匯集層分別對(duì)集群形式的異常流量數(shù)據(jù)和單一形式的正常流量數(shù)據(jù)進(jìn)行監(jiān)測[7]。

針對(duì)該服務(wù)器的設(shè)計(jì)結(jié)構(gòu)，對(duì)異常流量數(shù)據(jù)接入出現(xiàn)的集群匯集形式進(jìn)行優(yōu)化設(shè)計(jì)，如圖3所示。

圖2 中心服務(wù)器設(shè)計(jì)

圖3 集群匯集形式優(yōu)化設(shè)計(jì)

如圖3所示，網(wǎng)絡(luò)瀏覽器向中心服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求之前，需通過超文本傳輸協(xié)議建立連接，瀏覽器每次請(qǐng)求完畢后都會(huì)與該服務(wù)器斷開，直到下一次請(qǐng)求時(shí)再重新連接[8]。集群匯集形式的優(yōu)化思路就是構(gòu)建超文本傳輸協(xié)議連接，使異常流量數(shù)據(jù)通過該連接方式傳送到服務(wù)器中，保證所有的流量數(shù)據(jù)都能被實(shí)時(shí)監(jiān)控。

1.1.2 監(jiān)控器優(yōu)化設(shè)計(jì)

原始系統(tǒng)監(jiān)控器存在信噪比較低的問題，導(dǎo)致系統(tǒng)在噪聲干擾條件下，無法對(duì)異常流量進(jìn)行監(jiān)控，為此需對(duì)監(jiān)控器進(jìn)行優(yōu)化設(shè)計(jì)，降低噪聲干擾的影響[9]。因此，在設(shè)計(jì)監(jiān)控器時(shí)，應(yīng)在流量輸出級(jí)中，選擇阻值較大的放大器對(duì)異常流量輸出信號(hào)進(jìn)行放大處理[10]。選擇型號(hào)為OPA380的阻值放大器，具體設(shè)計(jì)原理如圖4所示。

由圖4可知：選擇型號(hào)為LSSPD-PB3的二極管，將異常流量信號(hào)轉(zhuǎn)化為電流信號(hào)形式傳遞到引腳之中；電阻R1負(fù)責(zé)抑制電流放大情況；C1為去耦電容，如果頻率較大的噪聲干擾通過放大級(jí)時(shí)，去耦電容會(huì)抑制噪聲放大行為，因此，設(shè)計(jì)轉(zhuǎn)換電路能夠使系統(tǒng)在噪聲干擾條件下，仍然對(duì)異常流量進(jìn)行實(shí)時(shí)監(jiān)控[11]。

圖4 轉(zhuǎn)換電路原理圖

針對(duì)系統(tǒng)硬件結(jié)構(gòu)的優(yōu)化，分別設(shè)計(jì)中心服務(wù)器和轉(zhuǎn)換電路。中心服務(wù)器負(fù)責(zé)將接收到的異常流量和正常流量匯集到服務(wù)器中，進(jìn)行實(shí)時(shí)監(jiān)控[12]。為了解決原始服務(wù)器只能對(duì)個(gè)別數(shù)據(jù)進(jìn)行匯集的問題，在服務(wù)器內(nèi)部設(shè)計(jì)了集群匯集形式，構(gòu)建超文本傳輸協(xié)議連接，使異常流量數(shù)據(jù)通過該連接方式傳送到服務(wù)器中；優(yōu)化監(jiān)控器內(nèi)部電路結(jié)構(gòu)，設(shè)計(jì)能夠在噪聲干擾條件下，仍然對(duì)異常流量進(jìn)行實(shí)時(shí)監(jiān)控的轉(zhuǎn)換電路。

1.2 系統(tǒng)軟件優(yōu)化設(shè)計(jì)

根據(jù)上述硬件結(jié)構(gòu)中心服務(wù)器設(shè)計(jì)的集群匯集形式，對(duì)其軟件功能進(jìn)行優(yōu)化設(shè)計(jì)。網(wǎng)絡(luò)一旦出現(xiàn)流量異常，那么會(huì)引起流量分布特征，采用網(wǎng)絡(luò)流量矩陣方法對(duì)異常數(shù)據(jù)源進(jìn)行監(jiān)控。

1.2.1 流量異常特征分析

網(wǎng)絡(luò)流量一旦出現(xiàn)異常，那么IP地址和端口分布會(huì)隨之改變[13]。如果網(wǎng)絡(luò)配置出現(xiàn)錯(cuò)誤，那么原始IP地址和目標(biāo)IP地址都會(huì)增加，造成主機(jī)的報(bào)文急劇增多，根據(jù)該特征，采用網(wǎng)絡(luò)流量矩陣方法對(duì)流量分布特征的分散情況進(jìn)行分析[14]。

假設(shè)流量特征為A，樣本總數(shù)為B，樣本選取的個(gè)數(shù)為C，針對(duì)某個(gè)特定流量特征i出現(xiàn)的次數(shù)為ni，因此，可選擇將該流量特征樣本定義為：

1.2.2 抓包功能

根據(jù)上述對(duì)流量異常特征的分析，需對(duì)抓包功能進(jìn)行優(yōu)化設(shè)計(jì)。流量監(jiān)控系統(tǒng)在抓取傳播的以太網(wǎng)幀時(shí)，需先對(duì)數(shù)據(jù)包進(jìn)行解析，進(jìn)而提取出與之相關(guān)的數(shù)據(jù)，將提取結(jié)果存儲(chǔ)到數(shù)據(jù)庫中，方便實(shí)時(shí)分析網(wǎng)絡(luò)異常流量。為了確保抓包的準(zhǔn)確性，使抓包功能與硬件進(jìn)行實(shí)時(shí)交互[15]。系統(tǒng)抓包功能設(shè)計(jì)如圖5所示。

表1 流量異常行為特征表

圖5 系統(tǒng)抓包功能活動(dòng)圖

由圖5可知：為了保證系統(tǒng)抓包準(zhǔn)確性，需先讀取配置文件；然后建立與數(shù)據(jù)庫的連接，注冊(cè)O(shè)DBC數(shù)據(jù)源，使用Python腳本文件中的OpenDataBase（）函數(shù)進(jìn)行數(shù)據(jù)庫的連接；配置抓包驅(qū)動(dòng)，創(chuàng)建各類定時(shí)器和線程，利用定時(shí)器實(shí)現(xiàn)異常流量的實(shí)時(shí)監(jiān)控；最后創(chuàng)建實(shí)時(shí)監(jiān)控服務(wù)器，調(diào)用Bind（）函數(shù)從配置文件中獲取監(jiān)控服務(wù)端的IP地址，由此完成抓包行為[16]。

1.2.3 界面設(shè)計(jì)

根據(jù)系統(tǒng)抓包功能活動(dòng)圖，可實(shí)時(shí)抓取異常流量數(shù)據(jù)包，由于傳統(tǒng)界面無法對(duì)數(shù)據(jù)實(shí)時(shí)檢測結(jié)果進(jìn)行展示，為此需對(duì)界面設(shè)計(jì)進(jìn)行優(yōu)化，添加實(shí)時(shí)監(jiān)測顯示功能，方便用戶能夠?qū)崟r(shí)查看抓包結(jié)果，如圖6所示。

由圖6可知網(wǎng)絡(luò)流量數(shù)據(jù)主界面，通過該界面了實(shí)時(shí)查看異常流量監(jiān)控結(jié)果。

圖6 網(wǎng)絡(luò)流量數(shù)據(jù)主界面

針對(duì)軟件功能的優(yōu)化是對(duì)硬件結(jié)構(gòu)中心服務(wù)器集群匯集形式進(jìn)行設(shè)計(jì)。采用網(wǎng)絡(luò)流量矩陣方法對(duì)流量分布特征的分散情況進(jìn)行分析，總結(jié)流量異常行為特征；根據(jù)該特征，對(duì)抓包功能進(jìn)行設(shè)計(jì)，實(shí)時(shí)對(duì)異常流量數(shù)據(jù)包進(jìn)行抓取，通過界面實(shí)時(shí)顯示抓取結(jié)果，由此完成軟件功能的優(yōu)化設(shè)計(jì)。

2 實(shí)驗(yàn)

為了驗(yàn)證多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控系統(tǒng)優(yōu)化研究的可行性進(jìn)行了實(shí)驗(yàn)。

2.1 實(shí)驗(yàn)條件設(shè)置

選取2018年1月1日0:00至1月2日12:00時(shí)間段內(nèi)的50組數(shù)據(jù)作為實(shí)驗(yàn)對(duì)象，根據(jù)2017年歷史記錄獲取正常狀態(tài)的實(shí)驗(yàn)數(shù)據(jù)，并進(jìn)行標(biāo)準(zhǔn)化處理。以網(wǎng)絡(luò)異常流量監(jiān)控誤差作為實(shí)驗(yàn)?zāi)繕?biāo)，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控優(yōu)化系統(tǒng)對(duì)網(wǎng)絡(luò)流量異常監(jiān)控誤差進(jìn)行實(shí)驗(yàn)對(duì)比，以該結(jié)果作為評(píng)判系統(tǒng)優(yōu)化研究可行性依據(jù)。

2.2 實(shí)驗(yàn)結(jié)果與分析

2.2.1 噪聲對(duì)系統(tǒng)影響結(jié)果與分析

如果系統(tǒng)在對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控時(shí)，出現(xiàn)噪聲干擾問題，那么整個(gè)系統(tǒng)都會(huì)受到影響，導(dǎo)致監(jiān)控精準(zhǔn)度大大降低，而在系統(tǒng)優(yōu)化過程中，對(duì)監(jiān)控器進(jìn)行優(yōu)化設(shè)計(jì)，選擇阻值較大的放大器對(duì)異常流量輸出信號(hào)進(jìn)行放大處理，可有效降低噪聲干擾的影響，從而減小監(jiān)控誤差。

針對(duì)網(wǎng)絡(luò)有無異常流量監(jiān)控情況，分析輸出信號(hào)走勢，如圖7所示。

圖7 有無異常流量監(jiān)控輸出信號(hào)走勢

由圖7可知：當(dāng)數(shù)據(jù)步長為（0～140）時(shí)，有無異常網(wǎng)絡(luò)流量現(xiàn)象出現(xiàn)的輸出信號(hào)都呈現(xiàn)上下波動(dòng)折線走勢；當(dāng)數(shù)據(jù)步長為（140～150）時(shí)，正常流量信號(hào)呈現(xiàn)上升走勢，當(dāng)步長為150時(shí)，輸出信號(hào)最大值為0.1。在此區(qū)間內(nèi)，異常流量信號(hào)呈大幅度上升走勢，當(dāng)步長為150時(shí)，輸出信號(hào)最大值為1.0；當(dāng)數(shù)據(jù)步長為（150～250）時(shí)，正常流量信號(hào)呈現(xiàn)上下波動(dòng)走勢，小于0.2。而異常流量信號(hào)呈大幅度上下波動(dòng)走勢，但輸出信號(hào)值大于1.0；當(dāng)數(shù)據(jù)步長為（250～260）時(shí)，正常流量信號(hào)呈向下走勢，最小值為-0.1。異常流量信號(hào)呈大幅度直線下降走勢，最小值為-0.2；當(dāng)數(shù)據(jù)步長為（260～400）時(shí)，有無異常網(wǎng)絡(luò)流量現(xiàn)象出現(xiàn)的輸出信號(hào)又呈現(xiàn)出了上下波動(dòng)走勢。由此可看出，當(dāng)網(wǎng)絡(luò)異常流量現(xiàn)象出現(xiàn)時(shí)，輸出信號(hào)具有明顯的變化，當(dāng)步長為140個(gè)步長之后，網(wǎng)絡(luò)異常流量現(xiàn)象被監(jiān)測出來。

在噪聲影響條件下，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控優(yōu)化系統(tǒng)對(duì)網(wǎng)絡(luò)流量異常監(jiān)控誤差進(jìn)行對(duì)比，結(jié)果如圖8所示。

圖8 噪聲下兩種系統(tǒng)監(jiān)控誤差對(duì)比結(jié)果

由圖8可知：當(dāng)噪聲干擾為（0～130 Hz）時(shí)，采用傳統(tǒng)系統(tǒng)監(jiān)控?cái)?shù)值誤差超過控限值，而采用多功能監(jiān)控系統(tǒng)監(jiān)控?cái)?shù)值誤差未超過控限值。當(dāng)噪聲干擾為（130～150 Hz）時(shí)，傳統(tǒng)控制系統(tǒng)監(jiān)控誤差最大值為0.7，并且大部分都超過控制限值，而采用多功能系統(tǒng)進(jìn)行監(jiān)控時(shí)，誤差全都超過了控制限值；由此可知，在噪聲干擾條件下，采用多功能系統(tǒng)進(jìn)行監(jiān)控時(shí)誤差較小。

2.2.2 抓包功能驗(yàn)證結(jié)果與分析

傳統(tǒng)網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)無法對(duì)數(shù)據(jù)進(jìn)行準(zhǔn)確抓取，導(dǎo)致數(shù)據(jù)包丟失量大大增加，為此，在對(duì)系統(tǒng)優(yōu)化時(shí)，設(shè)計(jì)了抓包功能，為了驗(yàn)證該功能的有效性，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控優(yōu)化系統(tǒng)對(duì)網(wǎng)絡(luò)流量抓包存在的誤差進(jìn)行對(duì)比，結(jié)果如圖9所示。

圖9 兩種系統(tǒng)網(wǎng)絡(luò)異常流量抓包誤差對(duì)比結(jié)果

由圖 9可知：當(dāng)步長范圍為（18～21）、（49～51）時(shí)，多功能系統(tǒng)對(duì)異常網(wǎng)絡(luò)監(jiān)控誤差超過了控制限值，剩下其余的步長范圍均在控制限值范圍內(nèi)，且最小誤差達(dá)到了0.2；而傳統(tǒng)系統(tǒng)大部分?jǐn)?shù)據(jù)超過了控制限值，且最大誤差達(dá)到了0.9。由此可知，抓包功能的優(yōu)化設(shè)計(jì)對(duì)網(wǎng)絡(luò)出現(xiàn)的異常流量問題進(jìn)行實(shí)時(shí)監(jiān)控時(shí)，誤差較小。

2.3 實(shí)驗(yàn)結(jié)論

根據(jù)上述實(shí)驗(yàn)內(nèi)容，可得出實(shí)驗(yàn)結(jié)論：①在噪聲干擾條件下，采用多功能系統(tǒng)進(jìn)行監(jiān)控時(shí)誤差較小。②抓包功能進(jìn)行優(yōu)化設(shè)計(jì)后，多功能系統(tǒng)進(jìn)行監(jiān)控時(shí)誤差較小。

由此可知，多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控系統(tǒng)優(yōu)化研究是具有可行性的。

3 結(jié)束語

多功能網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控系統(tǒng)優(yōu)化研究是利用抓包驅(qū)動(dòng)來抓取網(wǎng)絡(luò)的數(shù)據(jù)包，并加以分析，利用硬件結(jié)構(gòu)可獲取所有網(wǎng)絡(luò)數(shù)據(jù)，通過集群匯集形式可實(shí)時(shí)獲取異常流量數(shù)據(jù)。通過實(shí)驗(yàn)結(jié)果可知，該優(yōu)化系統(tǒng)對(duì)網(wǎng)絡(luò)異常流量監(jiān)控的誤差較小，可充分證明該網(wǎng)絡(luò)研究的可行性。雖然該系統(tǒng)具有較高的監(jiān)控精準(zhǔn)度，但是對(duì)于系統(tǒng)的穩(wěn)定運(yùn)行有待考察，在未來研發(fā)出具有高性能的監(jiān)控系統(tǒng)來支持網(wǎng)絡(luò)流量的監(jiān)測。