周慧芬

(西安醫(yī)學(xué)高等專科學(xué)校 基礎(chǔ)部， 陜西 西安 710309)

0 引言

快速發(fā)展完善的互聯(lián)網(wǎng)促使互聯(lián)網(wǎng)技術(shù)同日常生產(chǎn)生活間的融合日益加深，網(wǎng)絡(luò)成為實(shí)現(xiàn)實(shí)時(shí)通信的重要途徑，隨著網(wǎng)絡(luò)功能的不斷豐富，網(wǎng)絡(luò)中存在的安全隱患問(wèn)題也日益突出，這就對(duì)網(wǎng)絡(luò)安全監(jiān)控提出了更高的要求。而流量異常是網(wǎng)絡(luò)面臨的常見安全隱患，監(jiān)測(cè)設(shè)備或軟件配置不足、結(jié)合計(jì)算機(jī)病毒與黑客技術(shù)形成的新型編譯病毒均是導(dǎo)致網(wǎng)絡(luò)流量異常頻發(fā)的主要原因，為確保網(wǎng)絡(luò)應(yīng)用的安全，需通過(guò)網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控及時(shí)發(fā)現(xiàn)問(wèn)題并快速檢測(cè)故障位置，最大程度避免網(wǎng)絡(luò)失效的出現(xiàn)。

1 網(wǎng)絡(luò)流量異常監(jiān)控分析

網(wǎng)絡(luò)流量數(shù)據(jù)信息在大數(shù)據(jù)時(shí)代背景下迅猛增長(zhǎng)，網(wǎng)絡(luò)流量數(shù)據(jù)信息的內(nèi)容傳播以及學(xué)習(xí)過(guò)程都需要結(jié)合運(yùn)用網(wǎng)絡(luò)技術(shù)與信息科技來(lái)實(shí)現(xiàn)?；趶?fù)雜網(wǎng)絡(luò)結(jié)構(gòu)建立的大型網(wǎng)絡(luò)涵蓋了不同廠商的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)不同的功能或應(yīng)用大多需基于不同的協(xié)議實(shí)現(xiàn)。在由不同個(gè)性化學(xué)習(xí)網(wǎng)絡(luò)互聯(lián)構(gòu)成的網(wǎng)絡(luò)環(huán)境下，易出現(xiàn)信道擁擠和分配不均衡，導(dǎo)致難以均勻分配信任節(jié)點(diǎn)及準(zhǔn)確定位出現(xiàn)的問(wèn)題，進(jìn)而產(chǎn)生異常流量，實(shí)時(shí)準(zhǔn)確的監(jiān)測(cè)網(wǎng)絡(luò)異常流量已成為提高網(wǎng)絡(luò)安全性的主要手段。本研究通過(guò)對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)的硬件和軟件進(jìn)行優(yōu)化設(shè)計(jì)，構(gòu)建了一種多功能流量實(shí)時(shí)監(jiān)測(cè)系統(tǒng)和基于優(yōu)化模糊PID控制的異常監(jiān)控方法[1]。

2 流量監(jiān)測(cè)系統(tǒng)的優(yōu)化方案

2.1 硬件結(jié)構(gòu)優(yōu)化設(shè)計(jì)

以多功能網(wǎng)絡(luò)特征為依據(jù)優(yōu)化設(shè)計(jì)監(jiān)測(cè)系統(tǒng)的硬件結(jié)構(gòu)，提高了用戶訪問(wèn)的便利性，如圖1所示。

圖1 硬件優(yōu)化結(jié)構(gòu)框圖

監(jiān)控對(duì)象主要通過(guò)4個(gè)監(jiān)測(cè)點(diǎn)采取主動(dòng)監(jiān)控方法完成有效監(jiān)測(cè)過(guò)程；監(jiān)測(cè)到的數(shù)據(jù)經(jīng)由數(shù)據(jù)服務(wù)器處理后得出格式統(tǒng)一的數(shù)據(jù)單，以供后續(xù)查詢使用；中心服務(wù)器接收匯總各監(jiān)測(cè)點(diǎn)監(jiān)獲取的數(shù)據(jù)，并對(duì)各軟件配置信息進(jìn)行管理；流量異常監(jiān)控結(jié)果最終通過(guò)表示服務(wù)器進(jìn)行管理與呈現(xiàn)[2]。

(1) 中心服務(wù)器優(yōu)化設(shè)計(jì)

中心服務(wù)器的功能在于匯集不同的流量數(shù)據(jù)，考慮到作為數(shù)據(jù)匯集場(chǎng)所的原始系統(tǒng)服務(wù)器無(wú)法實(shí)時(shí)監(jiān)控全部流量數(shù)據(jù)，中心服務(wù)器結(jié)構(gòu)如圖2所示。

圖2 中心服務(wù)器設(shè)計(jì)

網(wǎng)絡(luò)正常流量數(shù)據(jù)和異常流量數(shù)據(jù)分別經(jīng)集群處理與單一接入處理后再向匯集層傳遞，然后通過(guò)構(gòu)建超文本傳輸協(xié)議連接實(shí)現(xiàn)對(duì)集群匯集形式的進(jìn)一步優(yōu)化設(shè)計(jì)，如圖3所示。

圖3 集群匯集形式優(yōu)化設(shè)計(jì)

從而能夠?qū)崟r(shí)監(jiān)控全部流量數(shù)據(jù)，瀏覽器需先建立相應(yīng)連接再向中心服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求，請(qǐng)求完畢后則斷開連接，實(shí)現(xiàn)異常流量數(shù)據(jù)到服務(wù)器的有效傳送過(guò)程[2]。

(2) 監(jiān)控器優(yōu)化設(shè)計(jì)

針對(duì)現(xiàn)行的評(píng)估標(biāo)準(zhǔn)，其中有很多超過(guò)了十年的行業(yè)標(biāo)準(zhǔn)，還有很多超過(guò)了五年的國(guó)家標(biāo)準(zhǔn)，相關(guān)部門就要嚴(yán)格的按照當(dāng)前我國(guó)輻射環(huán)境管理方面的法律規(guī)章制度、準(zhǔn)則以及最新的檢測(cè)數(shù)據(jù)，對(duì)其進(jìn)行重新的評(píng)估，并做好修訂工作。不僅如此，我們還要將這一項(xiàng)工作列入到環(huán)境保護(hù)標(biāo)準(zhǔn)年度工作規(guī)劃當(dāng)中，針對(duì)當(dāng)前已經(jīng)無(wú)法滿足現(xiàn)行技術(shù)的標(biāo)準(zhǔn)，要及時(shí)的采取有效措施進(jìn)行解決。最后，我們還要加大個(gè)和國(guó)際之間的交流與合作，充分的掌握更多先進(jìn)的監(jiān)測(cè)技術(shù)，密切關(guān)注輻射環(huán)境監(jiān)測(cè)工作動(dòng)態(tài)，實(shí)現(xiàn)和國(guó)際之間的接軌，促進(jìn)我國(guó)輻射環(huán)境監(jiān)測(cè)的進(jìn)一步發(fā)展。

考慮到原始系統(tǒng)的監(jiān)控器的監(jiān)控效果易受到噪音的干擾，本文對(duì)監(jiān)控器進(jìn)行優(yōu)化設(shè)計(jì)，通過(guò)采用放大器OPA380，完成對(duì)異常流量輸出信號(hào)的放大處理后，再將異常流量信號(hào)通過(guò)采用二極管LSSPD-PB3轉(zhuǎn)化為電流信號(hào)；并設(shè)計(jì)了轉(zhuǎn)換電路，通過(guò)使用電阻R1和去耦電容C1實(shí)現(xiàn)對(duì)電流放大以及大頻率噪聲干擾放大行的有效抑制，使監(jiān)測(cè)系統(tǒng)的抗噪聲干擾能力得以有效提升，進(jìn)而提高對(duì)異常流量的實(shí)時(shí)監(jiān)測(cè)性能[3]。

2.2 軟件功能優(yōu)化設(shè)計(jì)

(1) 流量異常特征分析

出現(xiàn)異常和錯(cuò)誤的網(wǎng)絡(luò)流量和配置會(huì)改變IP地址和端口分布，進(jìn)而明顯增加主機(jī)的報(bào)文，因此針對(duì)流量分布特征的分散情況，可通過(guò)網(wǎng)絡(luò)流量矩陣方法的使用完成分析過(guò)程，假設(shè)，A表示流量特征;B和C分別表示樣本總數(shù)及樣本選取的數(shù)量;i表示具體的特定流量特征;ni表示i出現(xiàn)的次數(shù)，可將該流量特征樣本定義,如式(1)。

(1)

在全部選取的樣本取值一致的情況下，F(xiàn)(x)=0；在取值結(jié)果具有較大的分散程度時(shí)，則F(x)=log2C。在此基礎(chǔ)即可對(duì)不同流量特征的異常行為進(jìn)行描述，異常種類包括：錯(cuò)誤配置，路由端口錯(cuò)誤配置造成設(shè)備故障，異常特征值較大，正常特征值較大；服務(wù)攻擊的異常與正常特征值均較??；突發(fā)訪問(wèn)，異常特征值較大，正常特征值較??；蠕蟲掃描與突發(fā)訪問(wèn)相反，正常特征值較大。

(2) 抓包功能

對(duì)抓包功能進(jìn)行優(yōu)化設(shè)計(jì)，系統(tǒng)在提取相關(guān)數(shù)據(jù)前，需先解析數(shù)據(jù)包并抓取傳播的以太網(wǎng)幀，在系統(tǒng)數(shù)據(jù)庫(kù)中存儲(chǔ)提取結(jié)果，以供分析網(wǎng)絡(luò)異常流量時(shí)使用。為了同時(shí)有效兼顧抓包功能的準(zhǔn)確性及其同系統(tǒng)硬件間的實(shí)時(shí)交互功能，讀取配置文件后，注冊(cè)連接數(shù)據(jù)庫(kù)的ODBC數(shù)據(jù)源；構(gòu)建各類定時(shí)器和線程及實(shí)時(shí)監(jiān)控服務(wù)器，服務(wù)端的IP地址采用Bind函數(shù)完成監(jiān)測(cè)與獲取，配置抓包驅(qū)動(dòng)，完成抓包過(guò)程，進(jìn)而完成對(duì)異常流量數(shù)據(jù)包的實(shí)時(shí)抓取，保證系統(tǒng)抓包準(zhǔn)確性。此外，在系統(tǒng)界面添加實(shí)時(shí)監(jiān)測(cè)顯示功能，動(dòng)態(tài)展示流量數(shù)據(jù)的實(shí)時(shí)檢測(cè)結(jié)果，并可對(duì)抓包結(jié)果以及異常流量監(jiān)控結(jié)果進(jìn)行實(shí)時(shí)查看[4]。

3 流量監(jiān)控方法優(yōu)化設(shè)計(jì)

3.1 流量數(shù)據(jù)信號(hào)傳輸模型的構(gòu)建

網(wǎng)絡(luò)流量在大型網(wǎng)絡(luò)中表現(xiàn)為一組時(shí)間序列，為給監(jiān)測(cè)系統(tǒng)提供準(zhǔn)確的特征依據(jù)，可通過(guò)構(gòu)建信號(hào)模型實(shí)現(xiàn)對(duì)流量特征的提取，在大型網(wǎng)絡(luò)中，對(duì)MAC通過(guò)CSMA/CA信道進(jìn)行訪問(wèn)，采用周期性廣播網(wǎng)絡(luò)模型得到針對(duì)傳輸中的網(wǎng)絡(luò)流量信息的相應(yīng)數(shù)據(jù)結(jié)構(gòu)的分簇模型，由V={C1，C2，…，Cn}表示。假設(shè)，認(rèn)知用戶接收到的信號(hào)由x(k)表示，授權(quán)用戶發(fā)出的流量信息由s(k)表示，CSMA/CA信道訪問(wèn)模型的表達(dá)式如式(2)[5]。

(2)

(3)

在優(yōu)化篩選過(guò)程中，由多模盲均衡提供所需的通用服務(wù)，進(jìn)而實(shí)現(xiàn)相鄰節(jié)點(diǎn)間距的VANET分簇的獲取，不存在與存在授權(quán)用戶分別由H0和H1表示，β表示最小競(jìng)爭(zhēng)窗口取值，寬帶壓縮感知的信道訪問(wèn)概率計(jì)算表達(dá)式如式(4)。

(4)

基于交互規(guī)律，對(duì)聯(lián)合特征的時(shí)變性能通過(guò)使用大型網(wǎng)絡(luò)節(jié)點(diǎn)探測(cè)技術(shù)完成具體分析過(guò)程，實(shí)現(xiàn)基于網(wǎng)絡(luò)流量時(shí)間序列的的信號(hào)模型y(t)的構(gòu)建，假設(shè)，P表示傳感器節(jié)點(diǎn)高部署密度;τ表示小波尺度，異常流量的主頻特征由x(t)表示，具體表達(dá)式如式(5)。

(5)

根據(jù)用戶的網(wǎng)絡(luò)使用需求，獲取信道傳輸過(guò)程中流量的路徑衰減損耗，假設(shè)，a表示網(wǎng)絡(luò)流幀數(shù)據(jù)，點(diǎn)間的數(shù)據(jù)傳輸速率由m表示;MAC層通信鏈路的分配維數(shù)由BH(t)表示，具體表達(dá)式如式(6)。

(6)

3.2 異常流量監(jiān)測(cè)體系結(jié)構(gòu)

基于上述構(gòu)建的信號(hào)模型，對(duì)監(jiān)測(cè)體系結(jié)構(gòu)進(jìn)行了用戶設(shè)計(jì)，選用S3C2440作為系統(tǒng)的控制核心(用于監(jiān)測(cè)連接主干網(wǎng)絡(luò)的大型網(wǎng)絡(luò))，使用分簇調(diào)度算法提取流量異常特征，運(yùn)用可變精度衰減調(diào)制響應(yīng)函數(shù)Color(u)=White，特征提取迭代輸出由Zk={z0，z1，…，zk}表示，取值范圍在[0，k]的t對(duì)應(yīng)Zk的測(cè)量值。并在算法中設(shè)置了暫停調(diào)度策略，通過(guò)暫停相應(yīng)情況的流量監(jiān)控實(shí)現(xiàn)可見精度的衰減，進(jìn)而使監(jiān)測(cè)區(qū)間插入失衡問(wèn)題得到有效解決，到達(dá)待分配任務(wù)時(shí)的隨機(jī)變量可由衰減指數(shù)rk反映，表示為Priority(flowi)=Priority(flowj)。構(gòu)建nesC的組件接口，形成一種用于流量監(jiān)控和任務(wù)調(diào)度的雙向通道[6]。

3.3 模糊PID控制算法的構(gòu)建

M=Mn+ΔM

(7)

使用PID模糊控制提取出定量遞歸性能的熵特征并進(jìn)行分析，得到匯聚協(xié)議迭代方程表達(dá)式如式(8)。

(8)

其中的最佳補(bǔ)償區(qū)域空間調(diào)度函數(shù)表達(dá)式如式(9)。

(9)

(10)

針對(duì)流量異常狀態(tài)通過(guò)鏈路估計(jì)器的使用完成重新估計(jì)，狀態(tài)輸出表達(dá)式如式(11)。

u″(k)=net″(k)

(11)

v(k)表示三層前向的異常流量監(jiān)控的輸出，其在數(shù)值上同系統(tǒng)成功接收到的幀數(shù)相同，即式(12)。

v(k)=x″(k)

(12)

4 仿真實(shí)驗(yàn)與結(jié)果分析

4.1 監(jiān)控系統(tǒng)優(yōu)化研究的可行性測(cè)試

設(shè)計(jì)實(shí)驗(yàn)檢測(cè)本研究系統(tǒng)優(yōu)化研究的可行性，實(shí)驗(yàn)對(duì)象從已有的歷史記錄中選取50組數(shù)據(jù)，經(jīng)標(biāo)準(zhǔn)化處理后，對(duì)本研究異常流量監(jiān)測(cè)優(yōu)化方法的監(jiān)控誤差進(jìn)行測(cè)試，并同傳統(tǒng)監(jiān)控系統(tǒng)的監(jiān)測(cè)結(jié)果進(jìn)行對(duì)比，網(wǎng)絡(luò)流量監(jiān)控輸出信號(hào)如圖4所示。

圖4 流量監(jiān)控輸出信號(hào)走勢(shì)

輸出信號(hào)在出現(xiàn)異常流量的情況下會(huì)發(fā)生明顯改變，可監(jiān)測(cè)出達(dá)到140個(gè)步長(zhǎng)后的異常流量現(xiàn)象；存在噪聲影響下的監(jiān)控誤差實(shí)驗(yàn)對(duì)比結(jié)果，如圖5所示。

圖5 噪聲下監(jiān)控誤差對(duì)比結(jié)果

說(shuō)明本研究所提方法可使監(jiān)測(cè)系統(tǒng)的抗噪聲干擾能力得到明顯提升；抓包誤差實(shí)驗(yàn)對(duì)比結(jié)果如圖6所示。

圖6 抓包誤差對(duì)比結(jié)果

通過(guò)優(yōu)化設(shè)計(jì)后的抓包功能使對(duì)異常流量的實(shí)時(shí)監(jiān)控誤差得到明顯降低[8]。

4.2 算法性能測(cè)試

設(shè)計(jì)仿真實(shí)驗(yàn)測(cè)試本文算法的異常流量監(jiān)測(cè)性能，采樣硬件平臺(tái)采用telosB節(jié)點(diǎn)，在PC機(jī)上使用Matlab完成算法編程設(shè)計(jì)，算法編程語(yǔ)言采用C/C++，監(jiān)測(cè)節(jié)點(diǎn)主要由處理器、射頻芯片組成，建立I/O控制端口用于傳輸流量數(shù)據(jù)，并通過(guò)FLASH、USB橋接實(shí)現(xiàn)無(wú)線數(shù)據(jù)采集過(guò)程，在此基礎(chǔ)上完成異常流量監(jiān)控仿真，采集原始流量數(shù)據(jù)得到的時(shí)域波形，如圖7所示。

圖7 原始流量信息采集

對(duì)于存在異常流量的原始流量數(shù)據(jù)需進(jìn)行檢測(cè)和識(shí)別，以上述樣本為測(cè)試集，采用本文監(jiān)測(cè)方法的檢測(cè)結(jié)果，準(zhǔn)確檢測(cè)出了異常流量頻譜特征，并能夠追溯定位流量異常點(diǎn),如圖8所示。

圖8 網(wǎng)絡(luò)流量異常檢測(cè)結(jié)果輸出

本文方法同其他方法的流量異常監(jiān)控性能對(duì)比結(jié)果，如圖9所示。

圖9 流量異常監(jiān)控性能對(duì)比結(jié)果

進(jìn)一步驗(yàn)證了本文方法的網(wǎng)絡(luò)異常流量監(jiān)測(cè)能力。

5 總結(jié)

傳統(tǒng)的網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)大多存在易受噪聲干擾、監(jiān)測(cè)結(jié)果誤差較大等不足，為此本文設(shè)計(jì)了一種網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)優(yōu)化方案，異常流量數(shù)據(jù)采用集群匯集形式獲取，提出了一種多功能網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測(cè)系統(tǒng)優(yōu)化方法，對(duì)網(wǎng)絡(luò)的數(shù)據(jù)包使用抓包驅(qū)動(dòng)完成抓取后，經(jīng)進(jìn)一步分析后獲取全部網(wǎng)絡(luò)數(shù)據(jù)，并在改進(jìn)模糊PID控制方法的基礎(chǔ)上設(shè)計(jì)了一種實(shí)時(shí)監(jiān)測(cè)算法，最終實(shí)現(xiàn)對(duì)異常流量實(shí)時(shí)有效的監(jiān)控過(guò)程，測(cè)試結(jié)果表明本文優(yōu)化方案具有較高的監(jiān)控精準(zhǔn)度，明顯降低了異常流量監(jiān)測(cè)誤差。