王小文

(武夷學(xué)院，福建武夷山354300)

移動通信網(wǎng)絡(luò)以高效的速度、優(yōu)良的性能走進千家萬戶。近年來，通信網(wǎng)絡(luò)發(fā)展越來越快，由通信網(wǎng)絡(luò)產(chǎn)生的移動流量也逐漸增加，監(jiān)測是否存在異常流量對于保證系統(tǒng)安全性有著極為重要的意義，通常選用挖掘網(wǎng)絡(luò)流量的方法監(jiān)測系統(tǒng)的異常性、關(guān)聯(lián)性。大數(shù)據(jù)的發(fā)展使互聯(lián)網(wǎng)越來越普及，網(wǎng)絡(luò)信息化不斷影響著人們的思維模式，改變著人們的日常生活方式[1]。

通信網(wǎng)絡(luò)在人們的日常生活中發(fā)揮著重要作用，隨著4G運行網(wǎng)絡(luò)的普及，5G、6G運行網(wǎng)絡(luò)已逐漸走入人們的視野，流量使用越來越多，通信網(wǎng)絡(luò)已經(jīng)成為人們生活中必不可少的一部分。異常流量一旦出現(xiàn)會對客戶的通話質(zhì)量造成影響，嚴(yán)重時甚至?xí)绊懻麄€系統(tǒng)的運行效率，造成設(shè)備癱瘓。網(wǎng)絡(luò)異常流量很難從根本上杜絕，傳統(tǒng)的網(wǎng)絡(luò)異常流量監(jiān)測數(shù)據(jù)很難保障系統(tǒng)的安全性和可靠性，監(jiān)測系統(tǒng)運行效率很低[2]。本文在傳統(tǒng)網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)的基礎(chǔ)上進行拓展研究，引用最新的特征庫識別法設(shè)計新的網(wǎng)絡(luò)架構(gòu)，通過軟件運行使系統(tǒng)更加高效穩(wěn)定，在流量端口上設(shè)定Net網(wǎng)絡(luò)，不僅能夠記錄流量流向，還能夠根據(jù)判斷找到流量發(fā)射地址和目的地址。所設(shè)計的異常流量監(jiān)測系統(tǒng)能夠進行全局部署，通過設(shè)定的設(shè)備端口，判斷異常流量的延時程度、發(fā)射速率和CPU變化率[3]。

1 移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)硬件設(shè)計

在單位時間內(nèi)網(wǎng)絡(luò)會傳輸大量數(shù)據(jù)，所傳輸?shù)臄?shù)據(jù)量被稱為網(wǎng)絡(luò)流量。網(wǎng)絡(luò)流量的劃分依據(jù)是不同的，通常根據(jù)流量粒度、流量類型和傳輸時間進行大致劃分，具體劃分方法要根據(jù)用戶的需求決定[4]。網(wǎng)絡(luò)流量傳輸過程中存在大量數(shù)據(jù)包，如果將數(shù)據(jù)包提取出來，該數(shù)據(jù)包將不具備任何實際含義，將數(shù)據(jù)包應(yīng)用于具體業(yè)務(wù)才能體現(xiàn)出其現(xiàn)實意義。在監(jiān)測特定的線路和節(jié)點時，要設(shè)置對應(yīng)的指標(biāo)，以上行和下行方式設(shè)置，這種設(shè)置方式能夠有效提高指標(biāo)的最高峰值點和最低峰值點，由此計算出平均值。移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)硬件結(jié)構(gòu)如圖1所示。

圖1 移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)硬件結(jié)構(gòu)圖

在采集網(wǎng)絡(luò)流量時，要在中心系統(tǒng)上設(shè)置出一套完整的工具系統(tǒng)，以便更好地獲取通信網(wǎng)絡(luò)，同時對通信網(wǎng)絡(luò)進行傳輸和存儲。選用核心采集技術(shù)對流量進行采集，從不同角度將采集到的流量分成不同類型，采集時要考慮數(shù)據(jù)流量是硬件數(shù)據(jù)流量還是軟件數(shù)據(jù)流量[5]。如果得到的流量是硬件數(shù)據(jù)流量，則需要對應(yīng)進入硬件系統(tǒng)中；如果得到的流量是軟件數(shù)據(jù)流量，則需要進入相應(yīng)的軟件系統(tǒng)中。

1.1 采集系統(tǒng)設(shè)計

在硬件系統(tǒng)加入了網(wǎng)絡(luò)探針，探針被安在路由器出口處，這樣能夠大大提高檢測到的網(wǎng)絡(luò)流量數(shù)據(jù)范圍，對于局域網(wǎng)絡(luò)而言，探針有著很好的監(jiān)測效果。由于網(wǎng)絡(luò)探針在使用時不經(jīng)過路由器，所以對寬帶的整體運行不會產(chǎn)生影響[6]。網(wǎng)絡(luò)探針能夠快速檢測到系統(tǒng)的流量和寬帶，在Internet網(wǎng)絡(luò)環(huán)境下有很好的使用效果。安裝網(wǎng)絡(luò)探針時，要注意記錄接口的傳輸速率，通常安裝探針對接口的傳輸速率會產(chǎn)生一定的影響，如果傳輸速率波動在0.5%之間，則證明探針工作正常，適用性很強[7]。

在獲取數(shù)據(jù)包流量時，路由器與交換器連接，使數(shù)據(jù)能夠順利導(dǎo)出、采集和分析，流量采集探測器設(shè)計方案如圖2所示。硬件統(tǒng)一采用SNMP協(xié)議，確保TCP/IP能夠統(tǒng)一應(yīng)用，對于相對簡單網(wǎng)絡(luò)而言，該監(jiān)測方法的監(jiān)測效果很好。數(shù)據(jù)在傳輸時，對客戶信息進行記錄，記錄結(jié)果保存在MIB信息庫中[8]。

圖2 流量采集探測器設(shè)計方案

1.2 監(jiān)測系統(tǒng)設(shè)計

通過設(shè)計流量檢測包，使數(shù)據(jù)流量能夠被順利監(jiān)測，大量的網(wǎng)絡(luò)流量數(shù)據(jù)資料都能夠被記錄，但是流量檢測包在使用時自身也會消耗一定的流量，分解主機系統(tǒng)的部分資源[9]。在網(wǎng)絡(luò)正常環(huán)境下，流量很少產(chǎn)生異常，但是也會產(chǎn)生相對異常(偏離正常流量)，所以監(jiān)測起來十分困難。流量并非一個特定的運行狀態(tài)，它具有實時變化性，在正常運行狀態(tài)下，流量的產(chǎn)生和匯聚都有自己獨特的規(guī)律性，一旦流量瞬間違反這種規(guī)律，產(chǎn)生的流量就是異常流量。異常流量會對網(wǎng)絡(luò)自身造成攻擊，泄露用戶的個人信息，帶來巨大的經(jīng)濟損失。在監(jiān)測移動通信網(wǎng)絡(luò)的異常流量時，要對整個網(wǎng)絡(luò)的運行情況進行記錄，分析全網(wǎng)流通的流量，找到最高流量點，根據(jù)一段時間流過的流量計算平均流量[10]。

設(shè)置應(yīng)用系統(tǒng)對異常流量進行重點監(jiān)測，監(jiān)測項目主要分為五大類：流量累計、流量階躍、連接數(shù)、連接時間和訪問數(shù)量[11]。異常流量監(jiān)測項目分類如圖3所示。

圖3 異常流量監(jiān)測項目分類

圖4 異常流量監(jiān)測系統(tǒng)軟件工作流程

監(jiān)測過程要注意選用統(tǒng)一標(biāo)準(zhǔn)和同一網(wǎng)絡(luò)，以正常流量值作為基準(zhǔn)值判斷異常流量。網(wǎng)絡(luò)管理員在操作各種設(shè)備時，網(wǎng)絡(luò)流量會出現(xiàn)改變，有的變化值在正常范圍之內(nèi)，而有的變化值超出了正常范圍，則為異常流量。網(wǎng)絡(luò)數(shù)據(jù)的備份、遷移、檢修等工作都是網(wǎng)絡(luò)管理員分內(nèi)的工作，在進行這些工作時，很有可能因為個人的操作不當(dāng)導(dǎo)致設(shè)備端口出現(xiàn)異常，甚至自動關(guān)閉。一旦出現(xiàn)上述情況，流量就無法運行[12]。

本文設(shè)計的異常流量監(jiān)測系統(tǒng)加入了UDIA992芯片，該芯片具有記錄和診斷網(wǎng)絡(luò)病毒的功能，數(shù)據(jù)庫記錄的病毒類型占全球總病毒類型的98%。目前最容易造成異常流量的病毒為網(wǎng)絡(luò)蠕蟲病毒，該病毒具有很強的傳播能力，并且能夠快速蔓延[13]。網(wǎng)絡(luò)蠕蟲病毒體積小，傳染速度快，對網(wǎng)絡(luò)安全造成巨大威脅，檢測起來十分困難。UDIA992芯片能夠從全局的角度分析數(shù)據(jù)流，以集中訪問的方式判斷網(wǎng)絡(luò)流量的走向和數(shù)量，即便在信息高峰期，也能較為快速地檢測到病毒[14]。

異常流量的出現(xiàn)會造成網(wǎng)絡(luò)擁堵，嚴(yán)重時甚至?xí)?dǎo)致設(shè)備損壞、網(wǎng)絡(luò)破損[15]。引用特征改進算法檢測特殊網(wǎng)絡(luò)的異常流量，分析該網(wǎng)絡(luò)的個別節(jié)點，判斷是否出現(xiàn)異常峰值，能夠防止出現(xiàn)網(wǎng)絡(luò)攻擊現(xiàn)象[16]。

2 移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)軟件設(shè)計

異常網(wǎng)絡(luò)流量一旦出現(xiàn)就會造成多種網(wǎng)絡(luò)異常行為，甚至?xí)霈F(xiàn)網(wǎng)絡(luò)自身攻擊，移動通信的異常流量給通信質(zhì)量帶來嚴(yán)重影響，客戶的隱私難以得到有力保障。因此必須及時找到網(wǎng)絡(luò)異常流量，使損失降低到最低[17]，可引用特征庫識別法檢測異常流量。異常流量監(jiān)測系統(tǒng)軟件工作流程如圖4所示。

監(jiān)測異常流量時，首先要設(shè)定一個固定的流量閾值，工作人員將設(shè)定的閾值輸入到流量異常監(jiān)測系統(tǒng)中，然后采集系統(tǒng)啟動工作，對流量節(jié)點進行大批量采集，并判斷所采集到的流量是否正常，如果采集到的流量與設(shè)定的閾值點不符，則證明流量為異常流量，報警系統(tǒng)就會自動發(fā)出聲音提醒工作人員采取緊急措施[18]。為了提高監(jiān)測質(zhì)量，在每一個鏈路上都設(shè)定一個流量監(jiān)測點，每5 min就會對流量進行一次統(tǒng)計，固定閾值通常設(shè)定在300 MB～500 MB之間，在基準(zhǔn)線上的數(shù)據(jù)點都為異常流量數(shù)據(jù)點[19]。

特征庫識別法使用起來十分方便，同時使用效率高，實時性強[20]。在使用時需要特別注意閾值的設(shè)定，所選擇的閾值不能過高，也不能過低。設(shè)置的閾值過高，異常流量就難以被監(jiān)測到，一些有問題的流量會自動流經(jīng)系統(tǒng)，影響軟件的正常運行。而閾值如果設(shè)置過低，異常流量監(jiān)測就會出現(xiàn)大量的報警點，工作人員很難找到有效的報警點。網(wǎng)絡(luò)流量具有動態(tài)性，設(shè)定的閾值也不能是一成不變的，管理員要不斷更新[21]。

在監(jiān)測異常網(wǎng)絡(luò)行為時要建立特定的特征庫，特征庫分為兩部分，分別是正常網(wǎng)絡(luò)行為特征庫和異常網(wǎng)絡(luò)行為特征庫。在監(jiān)測流量時，要與特征庫里的數(shù)據(jù)作對比。在監(jiān)測特性明顯的網(wǎng)絡(luò)異常流量時，特征庫監(jiān)測法的效果十分顯著，但是對于一些特征庫沒有記錄的異?，F(xiàn)象，該方法顯現(xiàn)出很大的局限性[22]。例如對于一些未知性網(wǎng)絡(luò)攻擊，該方法監(jiān)測起來就十分困難。為了確保特征庫監(jiān)測的效果，要不斷更新和擴展特征庫，擴大監(jiān)測面積，提高識別效果。

在監(jiān)測到所有的移動通信網(wǎng)絡(luò)流量后，要對流量進行統(tǒng)計。目前還沒有一個成型的統(tǒng)計方法，只能通過以往的經(jīng)驗制定統(tǒng)一的統(tǒng)計標(biāo)準(zhǔn)，根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)自身特點進行判斷。統(tǒng)計分析的實效性很強，在統(tǒng)計時要考慮流量與流量之間的邏輯關(guān)系，分析時間序列，提高監(jiān)測效果[23]。

監(jiān)測移動通信網(wǎng)絡(luò)異常流量時要應(yīng)用到很多軟件工具，最主要的為數(shù)據(jù)挖掘工具，以聚類分析、關(guān)聯(lián)分析和挖掘分析等方式判斷異常流量。建立大數(shù)據(jù)平臺對于挖掘異常流量有著很好的效果，同時具有極強的智能性。軟件設(shè)定中的閾值設(shè)定、流量監(jiān)測、數(shù)據(jù)統(tǒng)計對于系統(tǒng)運行有著關(guān)鍵性意義，缺少任何一步都會影響系統(tǒng)的正常運行，同時每一步的運行都要生成對應(yīng)的計量結(jié)果，如果計量結(jié)果不能正常生成，則下一步就不能正常運行[24]。

選用的特征庫識別法既是一種計算思路，也是一種商業(yè)模式。在監(jiān)測網(wǎng)絡(luò)流量時，要對得到的數(shù)據(jù)進行清洗和整理，每一個過程都會消耗系統(tǒng)大量的CPU，所以軟件系統(tǒng)建立的平臺必須要足夠高效，在滿足業(yè)務(wù)需求的情況下分析流量規(guī)模，將目前最先進的高科技技術(shù)融合到一起。在這種條件下設(shè)立的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)，不僅能夠監(jiān)測到已知類型的異常流量，也能監(jiān)測到未知類型的異常流量。

3 實驗研究

為了驗證基于特征庫識別法的移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)的監(jiān)測效果，本文設(shè)計對比實驗,與傳統(tǒng)監(jiān)測系統(tǒng)進行對比。

3.1 實驗參數(shù)

實驗參數(shù)如表1所示。

表1 實驗參數(shù)

3.2 實驗過程

根據(jù)上述設(shè)定的參數(shù)進行實驗，在同一個移動通信網(wǎng)絡(luò)上分別選用傳統(tǒng)的監(jiān)測系統(tǒng)與本文設(shè)計的監(jiān)測系統(tǒng)對異常網(wǎng)絡(luò)流量進行監(jiān)測，記錄監(jiān)測結(jié)果的準(zhǔn)確性，從而判斷兩種系統(tǒng)的監(jiān)測效果,圖5為不同系統(tǒng)監(jiān)測效果的對比結(jié)果。

3.2.1 監(jiān)測效果對比結(jié)果

由圖5可知，隨著監(jiān)測時間的增加，本文所設(shè)計的系統(tǒng)監(jiān)測精度呈現(xiàn)持續(xù)增長的趨勢，而傳統(tǒng)監(jiān)測系統(tǒng)的監(jiān)測精度存在波動，監(jiān)測準(zhǔn)確性最高只能達到80%，且監(jiān)測精度始終低于本文系統(tǒng)，監(jiān)測效果較差，客戶信息的安全性難以得到有效保障。本文設(shè)計的監(jiān)測系統(tǒng)通過設(shè)定閾值來監(jiān)測異常流量，一旦發(fā)現(xiàn)異?，F(xiàn)象，系統(tǒng)的報警設(shè)施就會及時啟動，工作效率很高，即使監(jiān)測時間到達后期，設(shè)定的監(jiān)測系統(tǒng)也能夠很好地檢測到異常流量，監(jiān)測準(zhǔn)確性最高可達到95%，監(jiān)測能力優(yōu)于傳統(tǒng)系統(tǒng)，具有很大的發(fā)展空間。

圖5 監(jiān)測效果對比結(jié)果

3.2.2 花費成本對比結(jié)果

由于傳統(tǒng)監(jiān)測系統(tǒng)監(jiān)測準(zhǔn)確性很低，需要花費大量時間進行長期監(jiān)測，而且一次監(jiān)測得到的結(jié)果很難讓用戶滿意，必須要多次監(jiān)測才能夠得到相對滿意的結(jié)果，這樣的監(jiān)測方式使花費成本大大提高。傳統(tǒng)的監(jiān)測系統(tǒng)缺少智能性，整個過程都需要人工操作，成本高，效率低。本文設(shè)計的監(jiān)測系統(tǒng)具有很高的智能性，很多環(huán)節(jié)只需要電腦操作即可，不需要人工投入過量的精力，而且所設(shè)計系統(tǒng)監(jiān)測準(zhǔn)確性很高，只需要1～2次就能夠達到讓人滿意的結(jié)果，不需要多次重復(fù)一樣的工作，大大提高工作效率，降低工作成本。

3.3 實驗結(jié)論

根據(jù)上述實驗結(jié)果得到如下實驗結(jié)論：本文設(shè)計的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)能夠成功地監(jiān)測到流經(jīng)每個鏈路的網(wǎng)絡(luò)數(shù)據(jù)，分析局部網(wǎng)絡(luò)流量情況和節(jié)點所在位置，從而判斷是否存在異常節(jié)點。該系統(tǒng)能夠根據(jù)用戶的需求做出選擇，通信網(wǎng)絡(luò)的每個防火墻都有對應(yīng)的監(jiān)測探針，有效擴大了監(jiān)測范圍，提高監(jiān)測效果。除此之外，監(jiān)測系統(tǒng)還能夠?qū)ο到y(tǒng)的帶寬使用情況做詳細(xì)記錄，將得到的流量信息統(tǒng)一，總結(jié)出規(guī)律，這種記錄方法有利于工作人員對比監(jiān)測結(jié)果，節(jié)省工作時間。

基于特征庫識別法的移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)不僅能夠從全局把握數(shù)據(jù)，還能對重點區(qū)域進行針對性監(jiān)測。當(dāng)移動通信網(wǎng)絡(luò)出現(xiàn)異常情況時，系統(tǒng)能夠及時有效發(fā)現(xiàn)并杜絕不合規(guī)的訪問。報警系統(tǒng)的設(shè)立方便了深入監(jiān)測，以報表的形式詳細(xì)記錄數(shù)據(jù)操作的時間、節(jié)點位置，每個月都要做出詳細(xì)報告。

相較于傳統(tǒng)監(jiān)測系統(tǒng)，本文監(jiān)測系統(tǒng)具有較高的處理能力和存儲能力，24小時實時監(jiān)測大大提高了監(jiān)測效果，智能技術(shù)降低了人工投入。該方法對特征庫充分優(yōu)化，工作人員在使用該系統(tǒng)時，不需要尋找另外的許可方式，也不需要做定期維修，有效降低投入成本?；谔卣鲙熳R別法的移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)對通信網(wǎng)絡(luò)不會造成任何影響，部署速度很快，應(yīng)用系統(tǒng)很少出現(xiàn)故障，可以說是零風(fēng)險部署，一些冗余電源和冗余硬盤都被有效剔除，能夠更高效、更穩(wěn)定、更安全地運行。

4 結(jié)語

移動通信網(wǎng)絡(luò)與人們的生活息息相關(guān)，監(jiān)測其中的異常流量對于保證用戶隱私，提高通話質(zhì)量有著重要意義。如何尋找有效的移動通信網(wǎng)絡(luò)異常流量監(jiān)測方法一直是相關(guān)領(lǐng)域?qū)＜抑攸c研究的話題。本文提出將特征庫識別法引入到監(jiān)測系統(tǒng)設(shè)計中，通過設(shè)定固定閾值，統(tǒng)計流量特征來監(jiān)測移動通信網(wǎng)絡(luò)中的異常流量。該方法不僅使用成本低，而且準(zhǔn)確性更高。但是設(shè)定的系統(tǒng)依然面臨著如下問題：(1)對于未知類型的異常流量，監(jiān)測方式依舊不夠成熟，判斷結(jié)果不夠準(zhǔn)確，異常流量節(jié)點定位較為困難；(2)在設(shè)置閾值時，對人工依賴程度很大，智能技術(shù)引用依舊相對較少；(3)通信網(wǎng)絡(luò)愈加多樣化，使異常數(shù)據(jù)流量監(jiān)測起來更加困難。這些問題有待進一步的研究。