赵磊

(辽宁科技大学， 应用技术学院， 辽宁， 鞍山 114000)

0 引言

随着网络应用范围的不断拓宽，网络对人们的工作、生活、学习产生了深刻的影响[1]。网络在实际运行过程中，因为多种因素的影响，不可避免出现一些异常状态，影响网络的正常工作，同时给人们的各方面也带来不便，因此对网络异常状态建模与识别，并根据异常状态识别结果制定相应的改正措施，可以有效保障网络安全，网络异常状态识别研究成为一个热点问题[2-3]。

针对网络异常状态识别问题，国内外一些专家进行了相应的研究，尤其是一些发达国家的网络异常状态研究历史比较久，网络异常状态识别技术比较成熟[4]。国内由于网络兴起时间比较短，网络异常状态识别研究历史比较短，但是发展速度十分快，同样出现了许多有效的网络异常状态识别方法[5]。网络异常状态识别实际是一个模式识别问题，即将网络工作状态划分为异常和正常2种状态，当前网络异常状态识别方法主要为基于各种神经网络的网络异常状态识别方法，这些神经网络通过模拟人的大脑学习过程，可以不断适应网络状态自动变化，对网络状态变化特性进行有效拟合，因此获得比较好的网络异常状态识别结果[6-8]。在实际应用中，神经网络是一种基于经验风险最小化则的机器学习算法，需要大量的训练样本才能建立理想的网络异常状态识别模型，因此网络异常状态识别耗时比较长，同时神经网络经常会出现过拟合的网络异常状态识别结果，无法满足网络安全的实际要求[9-11]。

为了提高网络异常状态识别正确率，提出基于数据驱动的网络异常状态识别方法(WA-SVM)，并与其他网络异常状态识别方法进行对比测试，验证本文方法的网络异常状态识别有效性和优越性。

1 基于数据驱动的网络异常状态识别方法

1.1 网络异常状态数据的去噪

在网络异常状态数据的采集过程中，一般会存在一些无用的数据，这些数据主要是由于外界因素、设备本身缺陷等因素导致的，这些无用的数据常以噪声形式表现[12]。噪声会对网络异常状态识别结果产生干扰，影响网络异常状态识别正确率等，为了解决噪声对网络异常状态识别结果的不利影响，采用小波分析对网络异常状态识别数据进行处理，去除网络异常状态数据中的噪声，具体原理如图1所示。

图1 网络异常状态数据的去噪过程

基于小波分析的网络异常状态数据去噪过程中，将网络异常状态数据分量的小波系数与阈值进行比较，如果小波系数小于阈值，那么表示该分量为噪声，使对应的小波系数为0，选择软阈值法进行，具体为

(1)

式中，λ表示标准阈值。

噪声的小波系数置为0后，通过小波分析的重构得到没有噪声的网络异常状态数据。

1.2 数据驱动技术

支持向量机是一种新的数据驱动技术，根据学习和训练误差最小化原理对问题的解进行拟合，学习性能十分出色。设网络异常状态识别的训练集为{x1,y1,x2,y2,…,xn,yn}，支持向量机通过寻找一条最优分类超平面，将所有样本划分为2类，即正常状态和异常状态，那么最优分类超平面可以表示为

(w·x)+b=0

(2)

式中，w表示法向量。

支持向量机建模的目标使正常状态和异常状态2类样本的间隔尽可能最大，这样有

(3)

为了加快运算速度，引入拉格朗日函数，得到

(4)

式中，αi表示拉格朗日乘子。

根据极值条件∇bL(w,b,α)=0，∇wL(w,b,α)=0得到

(5)

(6)

得到求极值，式(4)变为

(7)

得到式(7)的等价对偶问题为

(8)

(9)

支持向量机的决策函数为

(10)

网络异常状态具有非线性，因此需要引入核函数进行映射，使得K(xi,x)=yi(xi·x)，最后得到网络异常状态识别决策函数为

(11)

本文核函数定义如下：

(12)

1.3 数据驱动的网络异常状态识别步骤

(1) 对网络异常状态的相关数据进行采集，去除前面和最后一段数据，取中间一部分数据作为识别对象。

(2) 采用小波分析对网络异常状态数据进行预处理，并引入软阈值法使噪声对应的小波系数为0。

(3) 采用小波分析对处理后的小波系数进行重构，得到无噪的网络异常状态数据。

(4) 采用支持向量机对网络异常状态数据进行学习，建立网络异常状态识别的分类器。

(5) 对于未知的网络工作状态，采用建立的分类器进行识别，并输出识别结果。

2 网络异常状态识别效果的测试

2.1 测试对象

为了测试基于数据驱动的网络异常状态识别效果，选择5个网络作为研究对象，它们具体如图2所示。对于5种类型的网络，采用专门工具采集它们的状态数据，得到网络状态样本数据数量具体如表1所示。

图2 研究对象示意图

2.2 对比方法的设计

由于单一种方法的仿真测试结果说服力不强，为了增强本文方法的网络异常状态识别说服力，选择2种对比方法进行对比测试，它们具体设计如下。

(1) 原始数据+支持向量机的网络异常状态识别方法，称之为SVM。

表1 5种类型网络的仿真测试样本数量

(2)采用小波分析对原始数据进行处理+RBF神经网络的网络异常状态识别方法，称之为WA-RBF，仿真测试环境参数具体如表2所示。

表2 网络异常状态识别的仿真测试环境设置

2.3 网络异常状态识别准确性分析

采用3种方法对5种网络的状态进行识别实验，首先采用训练样本数据集进行学习，构建相应的网络异常状态识别分类器，然后采用测试测试样本对网络异常状态识别分类器的性能进行分析，统计它们的实验结果，得到网络异常状态识别精度和误差分别如图3、图4所示。

图3 网络异常状态识别正确率对比

图4 网络异常状态误识率对比

从图3和图4的网络异常状态识别精度和误差可以得到如下结论:

(1)SVM的网络异常状态识别正确率均值为82.27%，相应误识率的均值为17.03%，网络异常状态识别正确率低于85%，无法满足网络管理的实际要求值，这主要是由于该方法没有对网络状态数据进行预处理，噪声会对网络异常状态识别结果产生负面影响，无法获得理想的网络异常状态识别结果，这也从另一个角度表明本文对网络异常状态数据进行预处理的思想是正确的。

(2)WA-RBF的网络异常状态识别正确率均值为83.26%，相应误识率的均值为16.74%，网络异常状态识别正确率同样低于85%，识别结果对网络状态管理没有实际价值，这主要是由于该方法采用RBF神经网络网络状态数据进行建模，RBF神经网络基于经验风险最小化原理进行训练，无法建立最优的网络异常状态识别分类器，网络异常状态识别成功率较低。

(3)WA-SVM的网络异常状态识别正确率均值为93.36%，远远高于对比方法的网络异常状态识别正确率，网络异常状态识别正确率可以满足网络状态管理的实际要求，这主要是本文方法较好地克服了当前网络异常状态识别方法存在的不足，改善了网络异常状态识别结果。

2.4 网络异常状态识别的建模时间对比

当前网络向大规模方向发展，再加上网络的结构越来越复杂，网络异常状态识别建模时间也成为评价性能的一个重指标，统计3种方法的网络异常状态建模时间，建模时间包括训练和识别时间，结果如图5所示。从图5可以看出，WA-SVM的网络异常状态建模时间要明显少于对比方法，加快了网络异常状态识别建模速度，使管理人员在短时间内了解网络状态变化，制定相应的防范措施，保证网络安全。

图5 网络异常状态识别建模时间对比

3 总结

网络状态识别是保证网络正常工作的关键技术，一直是人们关注的焦点，当前方法无法准确描述网络状态的时变性，为了降低网络异常状态识别误差，改善网络异常状态识别效率，提出了基于数据驱动的网络异常状态识别方法，采用小波分析对网络状态数据进行噪声处理，去除噪声对网络状态识别的干扰，然后采用数据驱动技术对去噪后数据进行建模和分析，设计网络异常状态识别的分类器，对比测试结果表明，与当前经典方法相对，本文方法不仅提高了网络异常状态识别正确率，同时减少了网络异常状态识别的建模时间，为网络异常状态识别提供一种新的建模思路。