趙宏昊，孟凡博，盧 斌

（國(guó)網(wǎng)遼寧省電力有限公司，遼寧 沈陽(yáng) 110006）

面向通信網(wǎng)絡(luò)的業(yè)務(wù)流量特征分析方法

趙宏昊，孟凡博，盧 斌

（國(guó)網(wǎng)遼寧省電力有限公司，遼寧 沈陽(yáng) 110006）

網(wǎng)絡(luò)流量有著突出的動(dòng)態(tài)特性，如何準(zhǔn)確地描述網(wǎng)絡(luò)流量的隱藏屬性對(duì)諸如網(wǎng)絡(luò)故障定位、異常檢測(cè)和性能分析等網(wǎng)絡(luò)活動(dòng)有著重要的影響。為了描述網(wǎng)絡(luò)流量，提出了一種特性分析方法。首先，利用小波包變換提取網(wǎng)絡(luò)流量的多尺度特性，然后利用主成分分析法對(duì)網(wǎng)絡(luò)流量的時(shí)頻域隱藏特性進(jìn)行了細(xì)化。最后，為了驗(yàn)證該特性分析方法，進(jìn)行了異常檢測(cè)測(cè)試，仿真結(jié)果表明，這種方法是可行的。

網(wǎng)絡(luò)流量；特性分析；時(shí)頻分析；小波包變換；特性提取

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如物聯(lián)網(wǎng)、軟件定義網(wǎng)絡(luò)、云計(jì)算架構(gòu)等，當(dāng)前通信網(wǎng)絡(luò)中出現(xiàn)了新的流量類(lèi)型和特性。更為特別的是，對(duì)于一些全新的應(yīng)用程序，例如眾包、在線支付、微信等，新的應(yīng)用程序帶來(lái)了新的流量模型和特性。這進(jìn)一步影響了沒(méi)有這些新功能支持的傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)性能，如由較少的有效調(diào)度、數(shù)據(jù)包的丟失和網(wǎng)絡(luò)故障造成的路徑延遲［1］。此外，流量異常對(duì)用戶體驗(yàn)和網(wǎng)絡(luò)也有著重要的影響，例如新的攻擊類(lèi)型、新的異常模式、未知的隱藏流量屬性等。因此，對(duì)通信網(wǎng)絡(luò)管理者和使用者來(lái)說(shuō)，如何捕獲網(wǎng)絡(luò)流量的特性是非常重要的。至今，網(wǎng)絡(luò)流量特性分析已成為學(xué)術(shù)界和產(chǎn)業(yè)界的一個(gè)熱門(mén)話題［2］。

網(wǎng)絡(luò)流量的特性分析和提取得到了廣泛的研究。從網(wǎng)絡(luò)的角度來(lái)看，通過(guò)信號(hào)轉(zhuǎn)換準(zhǔn)確地檢測(cè)到了異常的網(wǎng)絡(luò)流量，這些方法雖然可以捕獲網(wǎng)絡(luò)流量的特點(diǎn)，但是，它們有較大的誤差［3］。本文提出了一種特性分析方法來(lái)描述和捕捉當(dāng)前如有線、無(wú)線網(wǎng)絡(luò)或混合網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量，以支持最新的網(wǎng)絡(luò)應(yīng)用。首先，由于網(wǎng)絡(luò)流量可以作為時(shí)間信號(hào)，因此利用信號(hào)分析理論來(lái)提取網(wǎng)絡(luò)流量的特點(diǎn)。由于小波包的多尺度和高分辨率的描述能力，利用小波包變換來(lái)提取網(wǎng)絡(luò)流量的隱藏特性。其次，在對(duì)網(wǎng)絡(luò)流量進(jìn)行小波包變換之后，利用主成分分析法進(jìn)一步完善時(shí)頻域中的網(wǎng)絡(luò)流量特性。最后，提出一個(gè)特性提取算法來(lái)捕獲網(wǎng)絡(luò)流量中的隱藏特性。仿真結(jié)果表明，這種方法是可行的。

1 問(wèn)題描述

網(wǎng)絡(luò)中存在著許多從源節(jié)點(diǎn)到目的節(jié)點(diǎn)的流量流，這些流量流表現(xiàn)出一定的關(guān)系，如多尺度性質(zhì)、時(shí)間相關(guān)性、空間相關(guān)性和時(shí)空相關(guān)性。這導(dǎo)致了網(wǎng)絡(luò)流量的高復(fù)雜度，但這些特性可用來(lái)幫助捕獲網(wǎng)絡(luò)流量的特性。在以下幾個(gè)部分中，利用時(shí)頻分析和主成分分析的方法來(lái)描述網(wǎng)絡(luò)流量。

一般的時(shí)間序列，隨著時(shí)間的推移網(wǎng)絡(luò)流量發(fā)生變化，因此，網(wǎng)絡(luò)流量可以被視為時(shí)間信號(hào)來(lái)處理。在這種情況下，網(wǎng)絡(luò)流量可以利用一般的信號(hào)處理和分析方法，對(duì)于時(shí)間信號(hào)，小波包分析在提取多尺度特性和選取不同的時(shí)頻分辨率方面是非常有用的。因此，首先使用小波包方法來(lái)處理網(wǎng)絡(luò)流量，對(duì)于從源節(jié)點(diǎn)i到目的節(jié)點(diǎn)j的網(wǎng)絡(luò)流量xij＝｛xij（1），xij（2），…｝，來(lái)進(jìn)行小波包變換：

根據(jù)小波包方法，小波包的重建可以表示為

很顯然，根據(jù)式（1），網(wǎng)絡(luò)流量信號(hào)xij（t）表現(xiàn)出尺度空間和小波空間的不同尺度特性，這通過(guò)小波包系數(shù)體現(xiàn)，表現(xiàn)出明顯的時(shí)頻特性。一般情況下，在不同的時(shí)頻域中，網(wǎng)絡(luò)流量有不同的特點(diǎn)。在這種情況下，將時(shí)頻網(wǎng)絡(luò)流量劃分成不同的頻帶，以達(dá)到相應(yīng)的屬性。對(duì)于小波包系數(shù)｛dkl，n｝，得到以下的低頻、高頻分量：

通過(guò)利用式（3）小波包的逆變換，得到對(duì)應(yīng)于式（5）、式（6）的時(shí)域信號(hào)，式（5）、式（6）可以轉(zhuǎn)換為

根據(jù)式（4），可以得到對(duì)應(yīng)于式（7）的時(shí)間信號(hào)如下：

式中：xij，low和xij，high分別表示對(duì)應(yīng)于網(wǎng)絡(luò)流量xij的低頻、高頻時(shí)間信號(hào)。

根據(jù)主成分分析理論，可以使用式（9）的主成分分析來(lái)得到低頻時(shí)間信號(hào)xij，low的主要和次要的時(shí)間信號(hào)，即：

因此，可以得到式（9）—（12）所示的網(wǎng)絡(luò)流量的特性模型，特性分析算法的詳細(xì)步驟如下。

步驟1：給出初始流量矩陣xS和小波包變換的數(shù)量n_scale。

步驟2：根據(jù)式（1）和式（2），進(jìn)行小波包變換，然后得到小波包系數(shù)。

步驟4：根據(jù)式（3），進(jìn)行小波包和時(shí)域信號(hào)的逆變換，得到對(duì)應(yīng)＾dlow和＾dhigh的xij，low和xij，high。

步驟5：根據(jù)主成分分析，得到特征向量矩陣，描述能量譜的對(duì)角矩陣和特性流矩陣，對(duì)應(yīng)xij，low和xij，high分別為Ulow、Dlow、Vlow和Uhigh、Dhigh、Vhigh。

步驟6：根據(jù)主成分分析，提取前K個(gè)主成分，然后獲取網(wǎng)絡(luò)流量模型的參數(shù)，V′low、D′low、V′high、D′high。

步驟7：通過(guò)模型從xij，low和xij，high中提取主成分xij，low，p和xij，high，p。

步驟8：根據(jù)xij，low，p和xij，high，p得到新的主成分

步驟9：將結(jié)果保存到文件并退出。

2 試驗(yàn)結(jié)果分析

為了驗(yàn)證上面所提出的通信網(wǎng)絡(luò)中網(wǎng)絡(luò)流量特征分析方法，本文進(jìn)行一系列詳細(xì)的仿真試驗(yàn)。仿真數(shù)據(jù)來(lái)自電力數(shù)據(jù)通信網(wǎng)絡(luò)，相應(yīng)的網(wǎng)絡(luò)流量數(shù)據(jù)由該骨干網(wǎng)上的網(wǎng)絡(luò)節(jié)點(diǎn)來(lái)收集獲得。仿真試驗(yàn)中，小波包變換尺度大小設(shè)置為32，并詳細(xì)討論了所提出方法的特征提取能力，同時(shí)使用異常偵測(cè)仿真試驗(yàn)來(lái)進(jìn)一步驗(yàn)證所提出方法的性能。

圖1描繪了有、無(wú)異常屬性的網(wǎng)絡(luò)流量，圖1（a）為正常的網(wǎng)絡(luò)流量，圖1（b）為異常的網(wǎng)絡(luò)流量。從圖1中可以看到，正常和異常的網(wǎng)絡(luò)流量之間幾乎沒(méi)有什么區(qū)別。仿真試驗(yàn)中，圖1（b）的異常網(wǎng)絡(luò)流量是通過(guò)對(duì)圖1（a）的正常網(wǎng)絡(luò)流量添加異常網(wǎng)絡(luò)流量得到的。下面通過(guò)本文提到的方法來(lái)分析圖1（b）中的異常網(wǎng)絡(luò)流量。

圖1 有、無(wú)異常屬性的網(wǎng)絡(luò)流量

圖2 不同尺度的小波包變換

圖2顯示了在8個(gè)不同尺度的小波包變換，對(duì)于不同的變換尺度，網(wǎng)絡(luò)流量表現(xiàn)出不同的時(shí)頻特性。這表明，特征分析方法可以使用小波包分析以提取不同尺度的網(wǎng)絡(luò)流量的特性。圖2（a）顯示了在尺度4的高頻屬性，對(duì)于圖2（b）—（d）中的尺度8，12和16，可以有效地捕捉到網(wǎng)絡(luò)流量的中頻性質(zhì)。然而，對(duì)于圖2（e）—（h）的其他尺度，網(wǎng)絡(luò)流量的低頻特性可以準(zhǔn)確地提取。因此，這表明，本文提到的方法可以有效地捕捉到時(shí)頻域中網(wǎng)絡(luò)流量的特性。

一般來(lái)說(shuō)，作為一個(gè)時(shí)間信號(hào)，網(wǎng)絡(luò)流量的主要特性對(duì)于發(fā)現(xiàn)和診斷由異常網(wǎng)絡(luò)活動(dòng)造成的網(wǎng)絡(luò)流量的異常部分是非常重要的?；谥鞒煞址治?，通過(guò)本文提到的方法，圖3說(shuō)明了網(wǎng)絡(luò)流量的主成分特性，從圖3中可以看到，網(wǎng)絡(luò)流量的主要組成部分被準(zhǔn)確地提取。這也表明，這種特征分析方法可以有效地捕捉和描述網(wǎng)絡(luò)流量。

此外，為了進(jìn)一步證明這種方法來(lái)實(shí)現(xiàn)異常檢測(cè)能力。在持續(xù)時(shí)間為50個(gè)單位時(shí)段的4個(gè)時(shí)間注入的異常流量，即分別在時(shí)間300，500，800和1 200。圖4顯示，這種方法可以準(zhǔn)確地檢測(cè)到在不同時(shí)段的網(wǎng)絡(luò)流量的異常成分，這也進(jìn)一步表明這種方法可以有效地提取網(wǎng)絡(luò)流量中的異常成分，并準(zhǔn)確檢測(cè)網(wǎng)絡(luò)流量。

圖3 流量特征提取結(jié)果

圖4 異常偵測(cè)結(jié)果

3 結(jié)束語(yǔ)

本文研究了通信網(wǎng)絡(luò)中網(wǎng)絡(luò)流量的特征分析問(wèn)題，通過(guò)小波包變換來(lái)獲得網(wǎng)絡(luò)流量的多尺度特性，并利用主成分分析來(lái)刻畫(huà)網(wǎng)絡(luò)流量的隱藏特性，從而提出一種新網(wǎng)絡(luò)流量特征分析方法。仿真結(jié)果表明，這種方法具有較好的性能和特征分析能力。

［1］I.C.Paschalidis and G.Smaragdakis，“Spatio?temporal network anomalydetectionbyassessingdeviationsofempirical measures，”IEEE Transactions on Networking，vol.17，no.3，pp.685－697，2009.

［2］趙宏昊，孟凡博，王 杰.遼寧電力通信網(wǎng)容災(zāi)體系建設(shè)［J］.東北電力技術(shù)，2013，34（7）：5－10.

［3］趙宏昊，孟凡博，王 杰.遼寧電力通信傳輸容災(zāi)架構(gòu)體系研究［J］.東北電力技術(shù)，2014，35（7）：2－8.

Analysis Approach on Flow Features of Communication Networks

ZHAO Honghao，MENG Fanbo，LU Bin
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

Network traffic has highlighting dynamic features.How to accurately characterize hidden properties of network traffic has an important impact on network activities，such as network failure positioning，anomaly detection and performance analysis.A feature anal?ysis approach to describe network traffic is put forward.The wavelet packet transformation is used to extract the multi－scale feature of network traffic，then the principal component analysis method is exploited to refine the hidden features in the time－frequency domain. An anomaly detection test is conducted to validate the feature analysis method.Simulation results show that the approach is feasible.

network flow；feature analysis；time?frequency analysis；wavelet packet transformation；feature extraction

TP391

A

1004－7913（2016）11－0025－03

趙宏昊（1963），男，高級(jí)工程師，從事電力通信系統(tǒng)管理工作。

2016－08－20）