孟凡博，赵宏昊，卢 斌

（国网辽宁省电力有限公司，辽宁 沈阳 110006）

一种通信网络业务流异常实时侦测方法

孟凡博，赵宏昊，卢 斌

（国网辽宁省电力有限公司，辽宁 沈阳 110006）

随着网络技术的快速发展，新的应用类型迅速产生，同时网络流量也呈指数增长，这带来了网络流量异常检测的新挑战。提出了一种快速检测网络流量异常的新方法，将网络流量视为一个时间信号的序列，将其构造成一个流量矩阵。对流量矩阵进行主成分分解，再分别对这两部分进行经验模态分解，得出快速异常检测算法。仿真结果表明，这种方法是可行的。

端到端网络流量；异常检测；主成分分析；经验模态分解

网络流量异常对网络性能和用户体验质量有很大的影响，因此，网络流量异常检测在当前的网络运营中具有非常重要的意义，并且成为了一个非常重要的研究课题，同时也引起了学术界和产业界的广泛关注［1］。如何有效地检测和诊断网络流量中的异常成分将会是一项巨大的挑战，通过对异常网络流量的检测，网络管理者需要对网络采取主动防御措施。

网络流量异常检测已经获得广泛研究，时－频域方法被用来发现网络流量的异常部分，该方法能得到相当准确的检测结果；信息度量标准和经验模态分解方法也用来识别网络流量异常；基于参数的检测方法被提出来侦测网络流量中的异常分量；周期性特征被用来提取自相似网络流量中的异常特征，该方法基于网络流量的自相似性，将网络流量描述为周期信号来刻画网络流量内在特征［2］。针对多媒体网络流量中的异常问题，相关文献也进行了深入研究，通过建模网络事件，提出了一种基于模型的检测方法来发现网络中的异常情况。为了更有效地侦测异常的网络流量，谱峭度分析被用来识别和诊断网络流量中的异常部分；动态异常检测方法被提出来确定动态环境中的流量异常部分；信息理论被用来有效地刻画网络流量的时变特征，从而能有效识别网络流量中的异常分量［3］。

不同于以上方法，本文利用主成分分析与经验模态分解法，提出一种新的侦测方法来识别网络流量中的异常分量。所提出的方法将网络流量描述为时间信号，并对该时间信号构造相应的描述矩阵，通过主成分分解和经验模态分解，分别构造不同的经验模函数来刻画网络流量内在特征，从而准确捕获异常网络流量分量。仿真结果表明，该方法能准确地侦测异常的网络流量。

1 问题描述

对于任何网络流量，可以把它视为一个时间信号序列。假设网络流量为y（t），时间序列y＝｛y（t）｜t＝1，2，…｝表示任何的网络流量。为了不失一般性，假设网络流量的长度为N＝n2，其中n是一个整数。网络流量可以转换成如下矩阵：

对式（1）的网络流量Y进行主成分分解。根据主成分分析理论，可以分解为以下方程：

通过选择网络流量中第k个主成分，然后得到如下方程：

式中：V′和D′描述了网络流量的主要特征。在式（3）中的模型可以用来描述网络流量的特征。

因此，根据式（3），通过对式（1）逆变换，可以得到一个新的时间序列：

式中：rm，p表示残余分量，表示（t）的平均趋势。

式中：sm，np表示残余分量，表示的平均趋势。

这里提出了本文的业务流异常检测算法。算法的具体步骤如下。

步骤2：根据式（1），得到流量矩阵Y。

步骤3：根据式（2）—（5），通过主成分分析法，网络流量被分解成

步骤4：设i＝1，初始化阈值a和最大迭代步数为S。

步骤5：初始化k＝0，ei＋1，k（t）＝ri（t），并设置样条函数s（t）为一个三次样条函数，s＝3，v＝P。

步骤6：找出ei＋1，k（t）的局部极大值和极小值，使用基于s（t）样条插值方法创建两条样条曲线su（t）和sl（t），令

步骤7：如果ei＋1，k＋1（t）满足本征模态函数分量的条件，则执行步骤11。

步骤8：如果v＞mi＋1，k，设置v＝mi＋1，k和e（t）＝ei＋1，k＋1（t）。

步骤9：如果s＝3，设样条函数s（t）为一个B样条，s＝b，然后返回步骤6。

步骤11：令第i个固有模函数分量fi＋1（t）＝ei＋1，k＋1（t），并设ri＋1（t）＝ri（t）－fi＋1（t）。

步骤12：如果残留分量ri＋1（t）不是一个单调函数，设i＝i＋1，然后返回步骤5。

步骤13：如果p＝1，令gi，p（t）＝fi（t），rm，p（t）＝ri＋1（t），得到特征函数集gp（t）＝｛g1，p（t） g2，p（t）…｝，令返回到步骤4。

步骤14：令hi，np（t）＝fi（t），sm，np（t）＝ri＋1（t），得到特征函数集hnp（t）＝｛h1，np（t） h2，np（t）…｝。

步骤15：根据gp（t）和hnp（t），对和进行特征提取。

步骤16：通过gp（t）和hnp（t）过滤得到的特征，找到异常的流量，并将检测结果保存到文件中。

2 试验结果分析

现在进行测试来验证文中提到的网络流量检测方法。在仿真试验中，在300、700、1 100和1 500 4个时刻将网络流量异常分别注入正常的网络流量中。为避免随机错误，本文进行了50次仿真获得平均检测结果，检测阈值自动确定。接下来，可以分析基于主成分分解和异常检测能力的流量提取能力。在试验中，选择了1 936个流量值作为仿真数据，这种情况下，可以构建一个流量矩阵进行主成分分解过程，最大的迭代步数被设置为100，所有的仿真都处于同样的仿真环境。

图1显示了网络流量和主成分分解结果，其中图1（a）和（b）分别表示正常和异常的网络流量，而图1（c）和（d）描述从图1（b）的异常网络流量中提取的主成分和非主成分。图1（a）和（b）表明，正常流量和异常流量没有明显的差异。图1（c）和（d）表示通过本文的算法，可以正确地提取异常网络流量的主要特征和次要特征。很明显，主成分流量反映了网络流量的主要特征。

图2为主成分流量的经验模式分解，其中imf表示经验模态函数。从图2中，可以清楚地看出，主成分流量可以通过10个经验模态函数的特征，不同经验模式功能可以捕捉到不同功能的主成分流量。从图3中可以清楚地看到，非主成分流量可以被10个经验模态函数准确描述。如图2所示，不同的经验模式函数可以获取非主成分流量的不同特征。

图1 网络流量和主成分分解

图2 主成分的交通经验模式分解

图3 对于非主成分的流量经验模式分解

图4显示了流量异常检测结果，其中检测阈值为0.3，矩形虚线脉冲曲线表示注入异常流量的时间。检测曲线可以有效且准确地突出了异常的网络流量发生的时间。在这种情况下，使用检测阈值，能够准确发现异常的网络流量。因此，可以进行准

图4 交通异常检测结果

确的网络流量异常检测。这进一步表明，本文提出的算法可以有效地找出异常流量。

3 结束语

本文研究了通信网络中网络流量异常的快速侦测问题。通过使用流量矩阵来描述网络流量时间序列，对该矩阵进行主成分分解，获得网络流量的主成分和非主成分分量，并利用经验模分解进一步描述网络流量的两部分分量，构造不同的经验模态函数来提取网络流量内在特征，最后提出了一种快速的异常检测算法来准确识别网络流量中的异常分量。仿真结果表明，本文提出的方法能有效侦测网络流量中隐藏的异常流量特征。

［1］D.Jiang，Z.Xu，P.Zhang，et al.A transform domain－based a⁃nomaly detection approach to network－wide traffic.Journal of Network and Computer Applications，2014，40（2）：292－306.

［2］赵宏昊，孟凡博，王 杰.辽宁电力通信网容灾体系建设［J］.东北电力技术，2013，34（7）：5－10.

［3］赵宏昊，孟凡博，王 杰.辽宁电力通信传输容灾架构体系研究［J］.东北电力技术，2014，35（7）：2－8.

A Real⁃Time Detection Approach on Network Traffic Anomalies in Communication Networks

MENG Fanbo，ZHAO Honghao，LU Bin
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

With the advance of new network technologies，new types of applications are quickly arising.Network traffic exponentially is rising，this results bring new challenges for anomaly detections of network traffic.This paper proposes a new quick detection ap⁃proach，network traffic is regarded as a time series of signals and it is constructed into a matrix.The principal component decomposi⁃tion is performed for the matrix.The network traffic is divided into principal and non⁃principal components.The empirical mode de⁃composition is carried out for these two components.In this case，a quick anomaly detection algorithm is presented.Simulation results show that the approach is feasible and promising.

end⁃to⁃end network traffic；anomaly detection；principal component analysis；empirical mode decomposition

TP393.08

A

1004－7913（2016）12－0006－03

孟凡博（1980），男，高级工程师，从事网络与通信系统研究工作。

2016－09－30）