基于特征库识别法的移动通信网络异常流量监测系统
2019-09-10王小文
王小文
(武夷学院,福建武夷山354300)
移动通信网络以高效的速度、优良的性能走进千家万户。近年来,通信网络发展越来越快,由通信网络产生的移动流量也逐渐增加,监测是否存在异常流量对于保证系统安全性有着极为重要的意义,通常选用挖掘网络流量的方法监测系统的异常性、关联性。大数据的发展使互联网越来越普及,网络信息化不断影响着人们的思维模式,改变着人们的日常生活方式[1]。
通信网络在人们的日常生活中发挥着重要作用,随着4G运行网络的普及,5G、6G运行网络已逐渐走入人们的视野,流量使用越来越多,通信网络已经成为人们生活中必不可少的一部分。异常流量一旦出现会对客户的通话质量造成影响,严重时甚至会影响整个系统的运行效率,造成设备瘫痪。网络异常流量很难从根本上杜绝,传统的网络异常流量监测数据很难保障系统的安全性和可靠性,监测系统运行效率很低[2]。本文在传统网络异常流量监测系统的基础上进行拓展研究,引用最新的特征库识别法设计新的网络架构,通过软件运行使系统更加高效稳定,在流量端口上设定Net网络,不仅能够记录流量流向,还能够根据判断找到流量发射地址和目的地址。所设计的异常流量监测系统能够进行全局部署,通过设定的设备端口,判断异常流量的延时程度、发射速率和CPU变化率[3]。
1 移动通信网络异常流量监测系统硬件设计
在单位时间内网络会传输大量数据,所传输的数据量被称为网络流量。网络流量的划分依据是不同的,通常根据流量粒度、流量类型和传输时间进行大致划分,具体划分方法要根据用户的需求决定[4]。网络流量传输过程中存在大量数据包,如果将数据包提取出来,该数据包将不具备任何实际含义,将数据包应用于具体业务才能体现出其现实意义。在监测特定的线路和节点时,要设置对应的指标,以上行和下行方式设置,这种设置方式能够有效提高指标的最高峰值点和最低峰值点,由此计算出平均值。移动通信网络异常流量监测系统硬件结构如图1所示。
图1 移动通信网络异常流量监测系统硬件结构图
在采集网络流量时,要在中心系统上设置出一套完整的工具系统,以便更好地获取通信网络,同时对通信网络进行传输和存储。选用核心采集技术对流量进行采集,从不同角度将采集到的流量分成不同类型,采集时要考虑数据流量是硬件数据流量还是软件数据流量[5]。如果得到的流量是硬件数据流量,则需要对应进入硬件系统中;如果得到的流量是软件数据流量,则需要进入相应的软件系统中。
1.1 采集系统设计
在硬件系统加入了网络探针,探针被安在路由器出口处,这样能够大大提高检测到的网络流量数据范围,对于局域网络而言,探针有着很好的监测效果。由于网络探针在使用时不经过路由器,所以对宽带的整体运行不会产生影响[6]。网络探针能够快速检测到系统的流量和宽带,在Internet网络环境下有很好的使用效果。安装网络探针时,要注意记录接口的传输速率,通常安装探针对接口的传输速率会产生一定的影响,如果传输速率波动在0.5%之间,则证明探针工作正常,适用性很强[7]。
在获取数据包流量时,路由器与交换器连接,使数据能够顺利导出、采集和分析,流量采集探测器设计方案如图2所示。硬件统一采用SNMP协议,确保TCP/IP能够统一应用,对于相对简单网络而言,该监测方法的监测效果很好。数据在传输时,对客户信息进行记录,记录结果保存在MIB信息库中[8]。
图2 流量采集探测器设计方案
1.2 监测系统设计
通过设计流量检测包,使数据流量能够被顺利监测,大量的网络流量数据资料都能够被记录,但是流量检测包在使用时自身也会消耗一定的流量,分解主机系统的部分资源[9]。在网络正常环境下,流量很少产生异常,但是也会产生相对异常(偏离正常流量),所以监测起来十分困难。流量并非一个特定的运行状态,它具有实时变化性,在正常运行状态下,流量的产生和汇聚都有自己独特的规律性,一旦流量瞬间违反这种规律,产生的流量就是异常流量。异常流量会对网络自身造成攻击,泄露用户的个人信息,带来巨大的经济损失。在监测移动通信网络的异常流量时,要对整个网络的运行情况进行记录,分析全网流通的流量,找到最高流量点,根据一段时间流过的流量计算平均流量[10]。
设置应用系统对异常流量进行重点监测,监测项目主要分为五大类:流量累计、流量阶跃、连接数、连接时间和访问数量[11]。异常流量监测项目分类如图3所示。
图3 异常流量监测项目分类
图4 异常流量监测系统软件工作流程
监测过程要注意选用统一标准和同一网络,以正常流量值作为基准值判断异常流量。网络管理员在操作各种设备时,网络流量会出现改变,有的变化值在正常范围之内,而有的变化值超出了正常范围,则为异常流量。网络数据的备份、迁移、检修等工作都是网络管理员分内的工作,在进行这些工作时,很有可能因为个人的操作不当导致设备端口出现异常,甚至自动关闭。一旦出现上述情况,流量就无法运行[12]。
本文设计的异常流量监测系统加入了UDIA992芯片,该芯片具有记录和诊断网络病毒的功能,数据库记录的病毒类型占全球总病毒类型的98%。目前最容易造成异常流量的病毒为网络蠕虫病毒,该病毒具有很强的传播能力,并且能够快速蔓延[13]。网络蠕虫病毒体积小,传染速度快,对网络安全造成巨大威胁,检测起来十分困难。UDIA992芯片能够从全局的角度分析数据流,以集中访问的方式判断网络流量的走向和数量,即便在信息高峰期,也能较为快速地检测到病毒[14]。
异常流量的出现会造成网络拥堵,严重时甚至会导致设备损坏、网络破损[15]。引用特征改进算法检测特殊网络的异常流量,分析该网络的个别节点,判断是否出现异常峰值,能够防止出现网络攻击现象[16]。
2 移动通信网络异常流量监测系统软件设计
异常网络流量一旦出现就会造成多种网络异常行为,甚至会出现网络自身攻击,移动通信的异常流量给通信质量带来严重影响,客户的隐私难以得到有力保障。因此必须及时找到网络异常流量,使损失降低到最低[17],可引用特征库识别法检测异常流量。异常流量监测系统软件工作流程如图4所示。
监测异常流量时,首先要设定一个固定的流量阈值,工作人员将设定的阈值输入到流量异常监测系统中,然后采集系统启动工作,对流量节点进行大批量采集,并判断所采集到的流量是否正常,如果采集到的流量与设定的阈值点不符,则证明流量为异常流量,报警系统就会自动发出声音提醒工作人员采取紧急措施[18]。为了提高监测质量,在每一个链路上都设定一个流量监测点,每5 min就会对流量进行一次统计,固定阈值通常设定在300 MB~500 MB之间,在基准线上的数据点都为异常流量数据点[19]。
特征库识别法使用起来十分方便,同时使用效率高,实时性强[20]。在使用时需要特别注意阈值的设定,所选择的阈值不能过高,也不能过低。设置的阈值过高,异常流量就难以被监测到,一些有问题的流量会自动流经系统,影响软件的正常运行。而阈值如果设置过低,异常流量监测就会出现大量的报警点,工作人员很难找到有效的报警点。网络流量具有动态性,设定的阈值也不能是一成不变的,管理员要不断更新[21]。
在监测异常网络行为时要建立特定的特征库,特征库分为两部分,分别是正常网络行为特征库和异常网络行为特征库。在监测流量时,要与特征库里的数据作对比。在监测特性明显的网络异常流量时,特征库监测法的效果十分显著,但是对于一些特征库没有记录的异常现象,该方法显现出很大的局限性[22]。例如对于一些未知性网络攻击,该方法监测起来就十分困难。为了确保特征库监测的效果,要不断更新和扩展特征库,扩大监测面积,提高识别效果。
在监测到所有的移动通信网络流量后,要对流量进行统计。目前还没有一个成型的统计方法,只能通过以往的经验制定统一的统计标准,根据网络流量数据自身特点进行判断。统计分析的实效性很强,在统计时要考虑流量与流量之间的逻辑关系,分析时间序列,提高监测效果[23]。
监测移动通信网络异常流量时要应用到很多软件工具,最主要的为数据挖掘工具,以聚类分析、关联分析和挖掘分析等方式判断异常流量。建立大数据平台对于挖掘异常流量有着很好的效果,同时具有极强的智能性。软件设定中的阈值设定、流量监测、数据统计对于系统运行有着关键性意义,缺少任何一步都会影响系统的正常运行,同时每一步的运行都要生成对应的计量结果,如果计量结果不能正常生成,则下一步就不能正常运行[24]。
选用的特征库识别法既是一种计算思路,也是一种商业模式。在监测网络流量时,要对得到的数据进行清洗和整理,每一个过程都会消耗系统大量的CPU,所以软件系统建立的平台必须要足够高效,在满足业务需求的情况下分析流量规模,将目前最先进的高科技技术融合到一起。在这种条件下设立的网络异常流量监测系统,不仅能够监测到已知类型的异常流量,也能监测到未知类型的异常流量。
3 实验研究
为了验证基于特征库识别法的移动通信网络异常流量监测系统的监测效果,本文设计对比实验,与传统监测系统进行对比。
3.1 实验参数
实验参数如表1所示。
表1 实验参数
3.2 实验过程
根据上述设定的参数进行实验,在同一个移动通信网络上分别选用传统的监测系统与本文设计的监测系统对异常网络流量进行监测,记录监测结果的准确性,从而判断两种系统的监测效果,图5为不同系统监测效果的对比结果。
3.2.1 监测效果对比结果
由图5可知,随着监测时间的增加,本文所设计的系统监测精度呈现持续增长的趋势,而传统监测系统的监测精度存在波动,监测准确性最高只能达到80%,且监测精度始终低于本文系统,监测效果较差,客户信息的安全性难以得到有效保障。本文设计的监测系统通过设定阈值来监测异常流量,一旦发现异常现象,系统的报警设施就会及时启动,工作效率很高,即使监测时间到达后期,设定的监测系统也能够很好地检测到异常流量,监测准确性最高可达到95%,监测能力优于传统系统,具有很大的发展空间。
图5 监测效果对比结果
3.2.2 花费成本对比结果
由于传统监测系统监测准确性很低,需要花费大量时间进行长期监测,而且一次监测得到的结果很难让用户满意,必须要多次监测才能够得到相对满意的结果,这样的监测方式使花费成本大大提高。传统的监测系统缺少智能性,整个过程都需要人工操作,成本高,效率低。本文设计的监测系统具有很高的智能性,很多环节只需要电脑操作即可,不需要人工投入过量的精力,而且所设计系统监测准确性很高,只需要1~2次就能够达到让人满意的结果,不需要多次重复一样的工作,大大提高工作效率,降低工作成本。
3.3 实验结论
根据上述实验结果得到如下实验结论:本文设计的网络异常流量监测系统能够成功地监测到流经每个链路的网络数据,分析局部网络流量情况和节点所在位置,从而判断是否存在异常节点。该系统能够根据用户的需求做出选择,通信网络的每个防火墙都有对应的监测探针,有效扩大了监测范围,提高监测效果。除此之外,监测系统还能够对系统的带宽使用情况做详细记录,将得到的流量信息统一,总结出规律,这种记录方法有利于工作人员对比监测结果,节省工作时间。
基于特征库识别法的移动通信网络异常流量监测系统不仅能够从全局把握数据,还能对重点区域进行针对性监测。当移动通信网络出现异常情况时,系统能够及时有效发现并杜绝不合规的访问。报警系统的设立方便了深入监测,以报表的形式详细记录数据操作的时间、节点位置,每个月都要做出详细报告。
相较于传统监测系统,本文监测系统具有较高的处理能力和存储能力,24小时实时监测大大提高了监测效果,智能技术降低了人工投入。该方法对特征库充分优化,工作人员在使用该系统时,不需要寻找另外的许可方式,也不需要做定期维修,有效降低投入成本。基于特征库识别法的移动通信网络异常流量监测系统对通信网络不会造成任何影响,部署速度很快,应用系统很少出现故障,可以说是零风险部署,一些冗余电源和冗余硬盘都被有效剔除,能够更高效、更稳定、更安全地运行。
4 结语
移动通信网络与人们的生活息息相关,监测其中的异常流量对于保证用户隐私,提高通话质量有着重要意义。如何寻找有效的移动通信网络异常流量监测方法一直是相关领域专家重点研究的话题。本文提出将特征库识别法引入到监测系统设计中,通过设定固定阈值,统计流量特征来监测移动通信网络中的异常流量。该方法不仅使用成本低,而且准确性更高。但是设定的系统依然面临着如下问题:(1)对于未知类型的异常流量,监测方式依旧不够成熟,判断结果不够准确,异常流量节点定位较为困难;(2)在设置阈值时,对人工依赖程度很大,智能技术引用依旧相对较少;(3)通信网络愈加多样化,使异常数据流量监测起来更加困难。这些问题有待进一步的研究。