王小文

(武夷學院，福建武夷山354300)

移動通信網絡以高效的速度、優(yōu)良的性能走進千家萬戶。近年來，通信網絡發(fā)展越來越快，由通信網絡產生的移動流量也逐漸增加，監(jiān)測是否存在異常流量對于保證系統(tǒng)安全性有著極為重要的意義，通常選用挖掘網絡流量的方法監(jiān)測系統(tǒng)的異常性、關聯(lián)性。大數據的發(fā)展使互聯(lián)網越來越普及，網絡信息化不斷影響著人們的思維模式，改變著人們的日常生活方式[1]。

通信網絡在人們的日常生活中發(fā)揮著重要作用，隨著4G運行網絡的普及，5G、6G運行網絡已逐漸走入人們的視野，流量使用越來越多，通信網絡已經成為人們生活中必不可少的一部分。異常流量一旦出現會對客戶的通話質量造成影響，嚴重時甚至會影響整個系統(tǒng)的運行效率，造成設備癱瘓。網絡異常流量很難從根本上杜絕，傳統(tǒng)的網絡異常流量監(jiān)測數據很難保障系統(tǒng)的安全性和可靠性，監(jiān)測系統(tǒng)運行效率很低[2]。本文在傳統(tǒng)網絡異常流量監(jiān)測系統(tǒng)的基礎上進行拓展研究，引用最新的特征庫識別法設計新的網絡架構，通過軟件運行使系統(tǒng)更加高效穩(wěn)定，在流量端口上設定Net網絡，不僅能夠記錄流量流向，還能夠根據判斷找到流量發(fā)射地址和目的地址。所設計的異常流量監(jiān)測系統(tǒng)能夠進行全局部署，通過設定的設備端口，判斷異常流量的延時程度、發(fā)射速率和CPU變化率[3]。

1 移動通信網絡異常流量監(jiān)測系統(tǒng)硬件設計

在單位時間內網絡會傳輸大量數據，所傳輸的數據量被稱為網絡流量。網絡流量的劃分依據是不同的，通常根據流量粒度、流量類型和傳輸時間進行大致劃分，具體劃分方法要根據用戶的需求決定[4]。網絡流量傳輸過程中存在大量數據包，如果將數據包提取出來，該數據包將不具備任何實際含義，將數據包應用于具體業(yè)務才能體現出其現實意義。在監(jiān)測特定的線路和節(jié)點時，要設置對應的指標，以上行和下行方式設置，這種設置方式能夠有效提高指標的最高峰值點和最低峰值點，由此計算出平均值。移動通信網絡異常流量監(jiān)測系統(tǒng)硬件結構如圖1所示。

圖1 移動通信網絡異常流量監(jiān)測系統(tǒng)硬件結構圖

在采集網絡流量時，要在中心系統(tǒng)上設置出一套完整的工具系統(tǒng)，以便更好地獲取通信網絡，同時對通信網絡進行傳輸和存儲。選用核心采集技術對流量進行采集，從不同角度將采集到的流量分成不同類型，采集時要考慮數據流量是硬件數據流量還是軟件數據流量[5]。如果得到的流量是硬件數據流量，則需要對應進入硬件系統(tǒng)中；如果得到的流量是軟件數據流量，則需要進入相應的軟件系統(tǒng)中。

1.1 采集系統(tǒng)設計

在硬件系統(tǒng)加入了網絡探針，探針被安在路由器出口處，這樣能夠大大提高檢測到的網絡流量數據范圍，對于局域網絡而言，探針有著很好的監(jiān)測效果。由于網絡探針在使用時不經過路由器，所以對寬帶的整體運行不會產生影響[6]。網絡探針能夠快速檢測到系統(tǒng)的流量和寬帶，在Internet網絡環(huán)境下有很好的使用效果。安裝網絡探針時，要注意記錄接口的傳輸速率，通常安裝探針對接口的傳輸速率會產生一定的影響，如果傳輸速率波動在0.5%之間，則證明探針工作正常，適用性很強[7]。

在獲取數據包流量時，路由器與交換器連接，使數據能夠順利導出、采集和分析，流量采集探測器設計方案如圖2所示。硬件統(tǒng)一采用SNMP協(xié)議，確保TCP/IP能夠統(tǒng)一應用，對于相對簡單網絡而言，該監(jiān)測方法的監(jiān)測效果很好。數據在傳輸時，對客戶信息進行記錄，記錄結果保存在MIB信息庫中[8]。

圖2 流量采集探測器設計方案

1.2 監(jiān)測系統(tǒng)設計

通過設計流量檢測包，使數據流量能夠被順利監(jiān)測，大量的網絡流量數據資料都能夠被記錄，但是流量檢測包在使用時自身也會消耗一定的流量，分解主機系統(tǒng)的部分資源[9]。在網絡正常環(huán)境下，流量很少產生異常，但是也會產生相對異常(偏離正常流量)，所以監(jiān)測起來十分困難。流量并非一個特定的運行狀態(tài)，它具有實時變化性，在正常運行狀態(tài)下，流量的產生和匯聚都有自己獨特的規(guī)律性，一旦流量瞬間違反這種規(guī)律，產生的流量就是異常流量。異常流量會對網絡自身造成攻擊，泄露用戶的個人信息，帶來巨大的經濟損失。在監(jiān)測移動通信網絡的異常流量時，要對整個網絡的運行情況進行記錄，分析全網流通的流量，找到最高流量點，根據一段時間流過的流量計算平均流量[10]。

設置應用系統(tǒng)對異常流量進行重點監(jiān)測，監(jiān)測項目主要分為五大類：流量累計、流量階躍、連接數、連接時間和訪問數量[11]。異常流量監(jiān)測項目分類如圖3所示。

圖3 異常流量監(jiān)測項目分類

圖4 異常流量監(jiān)測系統(tǒng)軟件工作流程

監(jiān)測過程要注意選用統(tǒng)一標準和同一網絡，以正常流量值作為基準值判斷異常流量。網絡管理員在操作各種設備時，網絡流量會出現改變，有的變化值在正常范圍之內，而有的變化值超出了正常范圍，則為異常流量。網絡數據的備份、遷移、檢修等工作都是網絡管理員分內的工作，在進行這些工作時，很有可能因為個人的操作不當導致設備端口出現異常，甚至自動關閉。一旦出現上述情況，流量就無法運行[12]。

本文設計的異常流量監(jiān)測系統(tǒng)加入了UDIA992芯片，該芯片具有記錄和診斷網絡病毒的功能，數據庫記錄的病毒類型占全球總病毒類型的98%。目前最容易造成異常流量的病毒為網絡蠕蟲病毒，該病毒具有很強的傳播能力，并且能夠快速蔓延[13]。網絡蠕蟲病毒體積小，傳染速度快，對網絡安全造成巨大威脅，檢測起來十分困難。UDIA992芯片能夠從全局的角度分析數據流，以集中訪問的方式判斷網絡流量的走向和數量，即便在信息高峰期，也能較為快速地檢測到病毒[14]。

異常流量的出現會造成網絡擁堵，嚴重時甚至會導致設備損壞、網絡破損[15]。引用特征改進算法檢測特殊網絡的異常流量，分析該網絡的個別節(jié)點，判斷是否出現異常峰值，能夠防止出現網絡攻擊現象[16]。

2 移動通信網絡異常流量監(jiān)測系統(tǒng)軟件設計

異常網絡流量一旦出現就會造成多種網絡異常行為，甚至會出現網絡自身攻擊，移動通信的異常流量給通信質量帶來嚴重影響，客戶的隱私難以得到有力保障。因此必須及時找到網絡異常流量，使損失降低到最低[17]，可引用特征庫識別法檢測異常流量。異常流量監(jiān)測系統(tǒng)軟件工作流程如圖4所示。

監(jiān)測異常流量時，首先要設定一個固定的流量閾值，工作人員將設定的閾值輸入到流量異常監(jiān)測系統(tǒng)中，然后采集系統(tǒng)啟動工作，對流量節(jié)點進行大批量采集，并判斷所采集到的流量是否正常，如果采集到的流量與設定的閾值點不符，則證明流量為異常流量，報警系統(tǒng)就會自動發(fā)出聲音提醒工作人員采取緊急措施[18]。為了提高監(jiān)測質量，在每一個鏈路上都設定一個流量監(jiān)測點，每5 min就會對流量進行一次統(tǒng)計，固定閾值通常設定在300 MB～500 MB之間，在基準線上的數據點都為異常流量數據點[19]。

特征庫識別法使用起來十分方便，同時使用效率高，實時性強[20]。在使用時需要特別注意閾值的設定，所選擇的閾值不能過高，也不能過低。設置的閾值過高，異常流量就難以被監(jiān)測到，一些有問題的流量會自動流經系統(tǒng)，影響軟件的正常運行。而閾值如果設置過低，異常流量監(jiān)測就會出現大量的報警點，工作人員很難找到有效的報警點。網絡流量具有動態(tài)性，設定的閾值也不能是一成不變的，管理員要不斷更新[21]。

在監(jiān)測異常網絡行為時要建立特定的特征庫，特征庫分為兩部分，分別是正常網絡行為特征庫和異常網絡行為特征庫。在監(jiān)測流量時，要與特征庫里的數據作對比。在監(jiān)測特性明顯的網絡異常流量時，特征庫監(jiān)測法的效果十分顯著，但是對于一些特征庫沒有記錄的異?，F象，該方法顯現出很大的局限性[22]。例如對于一些未知性網絡攻擊，該方法監(jiān)測起來就十分困難。為了確保特征庫監(jiān)測的效果，要不斷更新和擴展特征庫，擴大監(jiān)測面積，提高識別效果。

在監(jiān)測到所有的移動通信網絡流量后，要對流量進行統(tǒng)計。目前還沒有一個成型的統(tǒng)計方法，只能通過以往的經驗制定統(tǒng)一的統(tǒng)計標準，根據網絡流量數據自身特點進行判斷。統(tǒng)計分析的實效性很強，在統(tǒng)計時要考慮流量與流量之間的邏輯關系，分析時間序列，提高監(jiān)測效果[23]。

監(jiān)測移動通信網絡異常流量時要應用到很多軟件工具，最主要的為數據挖掘工具，以聚類分析、關聯(lián)分析和挖掘分析等方式判斷異常流量。建立大數據平臺對于挖掘異常流量有著很好的效果，同時具有極強的智能性。軟件設定中的閾值設定、流量監(jiān)測、數據統(tǒng)計對于系統(tǒng)運行有著關鍵性意義，缺少任何一步都會影響系統(tǒng)的正常運行，同時每一步的運行都要生成對應的計量結果，如果計量結果不能正常生成，則下一步就不能正常運行[24]。

選用的特征庫識別法既是一種計算思路，也是一種商業(yè)模式。在監(jiān)測網絡流量時，要對得到的數據進行清洗和整理，每一個過程都會消耗系統(tǒng)大量的CPU，所以軟件系統(tǒng)建立的平臺必須要足夠高效，在滿足業(yè)務需求的情況下分析流量規(guī)模，將目前最先進的高科技技術融合到一起。在這種條件下設立的網絡異常流量監(jiān)測系統(tǒng)，不僅能夠監(jiān)測到已知類型的異常流量，也能監(jiān)測到未知類型的異常流量。

3 實驗研究

為了驗證基于特征庫識別法的移動通信網絡異常流量監(jiān)測系統(tǒng)的監(jiān)測效果，本文設計對比實驗,與傳統(tǒng)監(jiān)測系統(tǒng)進行對比。

3.1 實驗參數

實驗參數如表1所示。

表1 實驗參數

3.2 實驗過程

根據上述設定的參數進行實驗，在同一個移動通信網絡上分別選用傳統(tǒng)的監(jiān)測系統(tǒng)與本文設計的監(jiān)測系統(tǒng)對異常網絡流量進行監(jiān)測，記錄監(jiān)測結果的準確性，從而判斷兩種系統(tǒng)的監(jiān)測效果,圖5為不同系統(tǒng)監(jiān)測效果的對比結果。

3.2.1 監(jiān)測效果對比結果

由圖5可知，隨著監(jiān)測時間的增加，本文所設計的系統(tǒng)監(jiān)測精度呈現持續(xù)增長的趨勢，而傳統(tǒng)監(jiān)測系統(tǒng)的監(jiān)測精度存在波動，監(jiān)測準確性最高只能達到80%，且監(jiān)測精度始終低于本文系統(tǒng)，監(jiān)測效果較差，客戶信息的安全性難以得到有效保障。本文設計的監(jiān)測系統(tǒng)通過設定閾值來監(jiān)測異常流量，一旦發(fā)現異常現象，系統(tǒng)的報警設施就會及時啟動，工作效率很高，即使監(jiān)測時間到達后期，設定的監(jiān)測系統(tǒng)也能夠很好地檢測到異常流量，監(jiān)測準確性最高可達到95%，監(jiān)測能力優(yōu)于傳統(tǒng)系統(tǒng)，具有很大的發(fā)展空間。

圖5 監(jiān)測效果對比結果

3.2.2 花費成本對比結果

由于傳統(tǒng)監(jiān)測系統(tǒng)監(jiān)測準確性很低，需要花費大量時間進行長期監(jiān)測，而且一次監(jiān)測得到的結果很難讓用戶滿意，必須要多次監(jiān)測才能夠得到相對滿意的結果，這樣的監(jiān)測方式使花費成本大大提高。傳統(tǒng)的監(jiān)測系統(tǒng)缺少智能性，整個過程都需要人工操作，成本高，效率低。本文設計的監(jiān)測系統(tǒng)具有很高的智能性，很多環(huán)節(jié)只需要電腦操作即可，不需要人工投入過量的精力，而且所設計系統(tǒng)監(jiān)測準確性很高，只需要1～2次就能夠達到讓人滿意的結果，不需要多次重復一樣的工作，大大提高工作效率，降低工作成本。

3.3 實驗結論

根據上述實驗結果得到如下實驗結論：本文設計的網絡異常流量監(jiān)測系統(tǒng)能夠成功地監(jiān)測到流經每個鏈路的網絡數據，分析局部網絡流量情況和節(jié)點所在位置，從而判斷是否存在異常節(jié)點。該系統(tǒng)能夠根據用戶的需求做出選擇，通信網絡的每個防火墻都有對應的監(jiān)測探針，有效擴大了監(jiān)測范圍，提高監(jiān)測效果。除此之外，監(jiān)測系統(tǒng)還能夠對系統(tǒng)的帶寬使用情況做詳細記錄，將得到的流量信息統(tǒng)一，總結出規(guī)律，這種記錄方法有利于工作人員對比監(jiān)測結果，節(jié)省工作時間。

基于特征庫識別法的移動通信網絡異常流量監(jiān)測系統(tǒng)不僅能夠從全局把握數據，還能對重點區(qū)域進行針對性監(jiān)測。當移動通信網絡出現異常情況時，系統(tǒng)能夠及時有效發(fā)現并杜絕不合規(guī)的訪問。報警系統(tǒng)的設立方便了深入監(jiān)測，以報表的形式詳細記錄數據操作的時間、節(jié)點位置，每個月都要做出詳細報告。

相較于傳統(tǒng)監(jiān)測系統(tǒng)，本文監(jiān)測系統(tǒng)具有較高的處理能力和存儲能力，24小時實時監(jiān)測大大提高了監(jiān)測效果，智能技術降低了人工投入。該方法對特征庫充分優(yōu)化，工作人員在使用該系統(tǒng)時，不需要尋找另外的許可方式，也不需要做定期維修，有效降低投入成本?；谔卣鲙熳R別法的移動通信網絡異常流量監(jiān)測系統(tǒng)對通信網絡不會造成任何影響，部署速度很快，應用系統(tǒng)很少出現故障，可以說是零風險部署，一些冗余電源和冗余硬盤都被有效剔除，能夠更高效、更穩(wěn)定、更安全地運行。

4 結語

移動通信網絡與人們的生活息息相關，監(jiān)測其中的異常流量對于保證用戶隱私，提高通話質量有著重要意義。如何尋找有效的移動通信網絡異常流量監(jiān)測方法一直是相關領域專家重點研究的話題。本文提出將特征庫識別法引入到監(jiān)測系統(tǒng)設計中，通過設定固定閾值，統(tǒng)計流量特征來監(jiān)測移動通信網絡中的異常流量。該方法不僅使用成本低，而且準確性更高。但是設定的系統(tǒng)依然面臨著如下問題：(1)對于未知類型的異常流量，監(jiān)測方式依舊不夠成熟，判斷結果不夠準確，異常流量節(jié)點定位較為困難；(2)在設置閾值時，對人工依賴程度很大，智能技術引用依舊相對較少；(3)通信網絡愈加多樣化，使異常數據流量監(jiān)測起來更加困難。這些問題有待進一步的研究。