网络异常流量监测系统优化设计
2021-06-04周慧芬
周慧芬
(西安医学高等专科学校 基础部, 陕西 西安 710309)
0 引言
快速发展完善的互联网促使互联网技术同日常生产生活间的融合日益加深,网络成为实现实时通信的重要途径,随着网络功能的不断丰富,网络中存在的安全隐患问题也日益突出,这就对网络安全监控提出了更高的要求。而流量异常是网络面临的常见安全隐患,监测设备或软件配置不足、结合计算机病毒与黑客技术形成的新型编译病毒均是导致网络流量异常频发的主要原因,为确保网络应用的安全,需通过网络流量实时监控及时发现问题并快速检测故障位置,最大程度避免网络失效的出现。
1 网络流量异常监控分析
网络流量数据信息在大数据时代背景下迅猛增长,网络流量数据信息的内容传播以及学习过程都需要结合运用网络技术与信息科技来实现。基于复杂网络结构建立的大型网络涵盖了不同厂商的计算机、网络设备,网络不同的功能或应用大多需基于不同的协议实现。在由不同个性化学习网络互联构成的网络环境下,易出现信道拥挤和分配不均衡,导致难以均匀分配信任节点及准确定位出现的问题,进而产生异常流量,实时准确的监测网络异常流量已成为提高网络安全性的主要手段。本研究通过对网络流量监测系统的硬件和软件进行优化设计,构建了一种多功能流量实时监测系统和基于优化模糊PID控制的异常监控方法[1]。
2 流量监测系统的优化方案
2.1 硬件结构优化设计
以多功能网络特征为依据优化设计监测系统的硬件结构,提高了用户访问的便利性,如图1所示。
图1 硬件优化结构框图
监控对象主要通过4个监测点采取主动监控方法完成有效监测过程;监测到的数据经由数据服务器处理后得出格式统一的数据单,以供后续查询使用;中心服务器接收汇总各监测点监获取的数据,并对各软件配置信息进行管理;流量异常监控结果最终通过表示服务器进行管理与呈现[2]。
(1) 中心服务器优化设计
中心服务器的功能在于汇集不同的流量数据,考虑到作为数据汇集场所的原始系统服务器无法实时监控全部流量数据,中心服务器结构如图2所示。
图2 中心服务器设计
网络正常流量数据和异常流量数据分别经集群处理与单一接入处理后再向汇集层传递,然后通过构建超文本传输协议连接实现对集群汇集形式的进一步优化设计,如图3所示。
图3 集群汇集形式优化设计
从而能够实时监控全部流量数据,浏览器需先建立相应连接再向中心服务器发送数据请求,请求完毕后则断开连接,实现异常流量数据到服务器的有效传送过程[2]。
(2) 监控器优化设计
针对现行的评估标准,其中有很多超过了十年的行业标准,还有很多超过了五年的国家标准,相关部门就要严格的按照当前我国辐射环境管理方面的法律规章制度、准则以及最新的检测数据,对其进行重新的评估,并做好修订工作。不仅如此,我们还要将这一项工作列入到环境保护标准年度工作规划当中,针对当前已经无法满足现行技术的标准,要及时的采取有效措施进行解决。最后,我们还要加大个和国际之间的交流与合作,充分的掌握更多先进的监测技术,密切关注辐射环境监测工作动态,实现和国际之间的接轨,促进我国辐射环境监测的进一步发展。
考虑到原始系统的监控器的监控效果易受到噪音的干扰,本文对监控器进行优化设计,通过采用放大器OPA380,完成对异常流量输出信号的放大处理后,再将异常流量信号通过采用二极管LSSPD-PB3转化为电流信号;并设计了转换电路,通过使用电阻R1和去耦电容C1实现对电流放大以及大频率噪声干扰放大行的有效抑制,使监测系统的抗噪声干扰能力得以有效提升,进而提高对异常流量的实时监测性能[3]。
2.2 软件功能优化设计
(1) 流量异常特征分析
出现异常和错误的网络流量和配置会改变IP地址和端口分布,进而明显增加主机的报文,因此针对流量分布特征的分散情况,可通过网络流量矩阵方法的使用完成分析过程,假设,A表示流量特征;B和C分别表示样本总数及样本选取的数量;i表示具体的特定流量特征;ni表示i出现的次数,可将该流量特征样本定义,如式(1)。
(1)
在全部选取的样本取值一致的情况下,F(x)=0;在取值结果具有较大的分散程度时,则F(x)=log2C。在此基础即可对不同流量特征的异常行为进行描述,异常种类包括:错误配置,路由端口错误配置造成设备故障,异常特征值较大,正常特征值较大;服务攻击的异常与正常特征值均较小;突发访问,异常特征值较大,正常特征值较小;蠕虫扫描与突发访问相反,正常特征值较大。
(2) 抓包功能
对抓包功能进行优化设计,系统在提取相关数据前,需先解析数据包并抓取传播的以太网帧,在系统数据库中存储提取结果,以供分析网络异常流量时使用。为了同时有效兼顾抓包功能的准确性及其同系统硬件间的实时交互功能,读取配置文件后,注册连接数据库的ODBC数据源;构建各类定时器和线程及实时监控服务器,服务端的IP地址采用Bind函数完成监测与获取,配置抓包驱动,完成抓包过程,进而完成对异常流量数据包的实时抓取,保证系统抓包准确性。此外,在系统界面添加实时监测显示功能,动态展示流量数据的实时检测结果,并可对抓包结果以及异常流量监控结果进行实时查看[4]。
3 流量监控方法优化设计
3.1 流量数据信号传输模型的构建
网络流量在大型网络中表现为一组时间序列,为给监测系统提供准确的特征依据,可通过构建信号模型实现对流量特征的提取,在大型网络中,对MAC通过CSMA/CA信道进行访问,采用周期性广播网络模型得到针对传输中的网络流量信息的相应数据结构的分簇模型,由V={C1,C2,…,Cn}表示。假设,认知用户接收到的信号由x(k)表示,授权用户发出的流量信息由s(k)表示,CSMA/CA信道访问模型的表达式如式(2)[5]。
(2)
(3)
在优化筛选过程中,由多模盲均衡提供所需的通用服务,进而实现相邻节点间距的VANET分簇的获取,不存在与存在授权用户分别由H0和H1表示,β表示最小竞争窗口取值,宽带压缩感知的信道访问概率计算表达式如式(4)。
(4)
基于交互规律,对联合特征的时变性能通过使用大型网络节点探测技术完成具体分析过程,实现基于网络流量时间序列的的信号模型y(t)的构建,假设,P表示传感器节点高部署密度;τ表示小波尺度,异常流量的主频特征由x(t)表示,具体表达式如式(5)。
(5)
根据用户的网络使用需求,获取信道传输过程中流量的路径衰减损耗,假设,a表示网络流帧数据,点间的数据传输速率由m表示;MAC层通信链路的分配维数由BH(t)表示,具体表达式如式(6)。
(6)
3.2 异常流量监测体系结构
基于上述构建的信号模型,对监测体系结构进行了用户设计,选用S3C2440作为系统的控制核心(用于监测连接主干网络的大型网络),使用分簇调度算法提取流量异常特征,运用可变精度衰减调制响应函数Color(u)=White,特征提取迭代输出由Zk={z0,z1,…,zk}表示,取值范围在[0,k]的t对应Zk的测量值。并在算法中设置了暂停调度策略,通过暂停相应情况的流量监控实现可见精度的衰减,进而使监测区间插入失衡问题得到有效解决,到达待分配任务时的随机变量可由衰减指数rk反映,表示为Priority(flowi)=Priority(flowj)。构建nesC的组件接口,形成一种用于流量监控和任务调度的双向通道[6]。
3.3 模糊PID控制算法的构建
M=Mn+ΔM
(7)
使用PID模糊控制提取出定量递归性能的熵特征并进行分析,得到汇聚协议迭代方程表达式如式(8)。
(8)
其中的最佳补偿区域空间调度函数表达式如式(9)。
(9)
(10)
针对流量异常状态通过链路估计器的使用完成重新估计,状态输出表达式如式(11)。
u″(k)=net″(k)
(11)
v(k)表示三层前向的异常流量监控的输出,其在数值上同系统成功接收到的帧数相同,即式(12)。
v(k)=x″(k)
(12)
4 仿真实验与结果分析
4.1 监控系统优化研究的可行性测试
设计实验检测本研究系统优化研究的可行性,实验对象从已有的历史记录中选取50组数据,经标准化处理后,对本研究异常流量监测优化方法的监控误差进行测试,并同传统监控系统的监测结果进行对比,网络流量监控输出信号如图4所示。
图4 流量监控输出信号走势
输出信号在出现异常流量的情况下会发生明显改变,可监测出达到140个步长后的异常流量现象;存在噪声影响下的监控误差实验对比结果,如图5所示。
图5 噪声下监控误差对比结果
说明本研究所提方法可使监测系统的抗噪声干扰能力得到明显提升;抓包误差实验对比结果如图6所示。
图6 抓包误差对比结果
通过优化设计后的抓包功能使对异常流量的实时监控误差得到明显降低[8]。
4.2 算法性能测试
设计仿真实验测试本文算法的异常流量监测性能,采样硬件平台采用telosB节点,在PC机上使用Matlab完成算法编程设计,算法编程语言采用C/C++,监测节点主要由处理器、射频芯片组成,建立I/O控制端口用于传输流量数据,并通过FLASH、USB桥接实现无线数据采集过程,在此基础上完成异常流量监控仿真,采集原始流量数据得到的时域波形,如图7所示。
图7 原始流量信息采集
对于存在异常流量的原始流量数据需进行检测和识别,以上述样本为测试集,采用本文监测方法的检测结果,准确检测出了异常流量频谱特征,并能够追溯定位流量异常点,如图8所示。
图8 网络流量异常检测结果输出
本文方法同其他方法的流量异常监控性能对比结果,如图9所示。
图9 流量异常监控性能对比结果
进一步验证了本文方法的网络异常流量监测能力。
5 总结
传统的网络异常流量监测系统大多存在易受噪声干扰、监测结果误差较大等不足,为此本文设计了一种网络异常流量监测系统优化方案,异常流量数据采用集群汇集形式获取,提出了一种多功能网络流量实时监测系统优化方法,对网络的数据包使用抓包驱动完成抓取后,经进一步分析后获取全部网络数据,并在改进模糊PID控制方法的基础上设计了一种实时监测算法,最终实现对异常流量实时有效的监控过程,测试结果表明本文优化方案具有较高的监控精准度,明显降低了异常流量监测误差。