基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)研究

吳韻怡

(廣州華立科技職業(yè)學(xué)院，計(jì)算機(jī)信息工程學(xué)院， 廣東，廣州 511325)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，出現(xiàn)許多類型的網(wǎng)絡(luò)，如無線網(wǎng)絡(luò)、城域網(wǎng)，局域網(wǎng)，其中以太網(wǎng)就是一種比較典型的局域網(wǎng)。相對(duì)于其它局域網(wǎng)，以太網(wǎng)更加容易拓展，魯棒性理強(qiáng)，容錯(cuò)能力強(qiáng)，在許多領(lǐng)域得到了廣泛應(yīng)用[1-3]。在以太網(wǎng)的實(shí)際應(yīng)用過程中，由于外界的非法入侵，以太網(wǎng)有時(shí)難免會(huì)出現(xiàn)一些異常狀態(tài)，影響以太網(wǎng)數(shù)據(jù)的傳輸成功率，無法保證以太網(wǎng)的安全工作，因此對(duì)以太網(wǎng)異常狀態(tài)進(jìn)行監(jiān)測(cè)研究具有十分重要的意義[4-5]。

以太網(wǎng)異常狀態(tài)監(jiān)測(cè)實(shí)際就是一種二分類問題，通過引入一定的技術(shù)將以太網(wǎng)狀態(tài)劃分為異常和正常2種類型[6]。當(dāng)前主要以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法可以劃分為2類，一類是傳統(tǒng)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法，另一類是現(xiàn)代的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法。傳統(tǒng)方法主要有基于決策樹的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法，對(duì)于小規(guī)模、簡(jiǎn)單的以太網(wǎng)，該方法的異常狀態(tài)監(jiān)測(cè)精度高，而且速度快，但是當(dāng)以太網(wǎng)的規(guī)模比較大、結(jié)構(gòu)十分復(fù)雜時(shí)，該方法的缺陷就十分明顯，如存在以太網(wǎng)異常狀態(tài)監(jiān)測(cè)誤差大，監(jiān)測(cè)速度慢等不足，目前基本上處于淘汰狀態(tài)[7-9]?，F(xiàn)代方法主要有人工神經(jīng)網(wǎng)絡(luò)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法，如BP神經(jīng)網(wǎng)絡(luò)、RBF神經(jīng)網(wǎng)絡(luò)等，它們具有一定的自學(xué)習(xí)能力，當(dāng)以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)變化時(shí)，神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)也可以進(jìn)行相應(yīng)調(diào)整，但是神經(jīng)網(wǎng)絡(luò)自身存在一定的不足，如出現(xiàn)過擬合和欠學(xué)習(xí)的概率相當(dāng)高，使得以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果不穩(wěn)定，監(jiān)測(cè)效率低[10-12]。

為了提高以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度，滿足以太網(wǎng)異常狀態(tài)監(jiān)測(cè)的實(shí)時(shí)性，提出了基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法。首先采集以太網(wǎng)流量數(shù)據(jù)，并采用小波變換對(duì)以太網(wǎng)數(shù)據(jù)進(jìn)行預(yù)處理，然后引入最小二乘支持向量機(jī)對(duì)以太網(wǎng)流量數(shù)據(jù)進(jìn)行建模和分析，實(shí)現(xiàn)以太網(wǎng)異常狀態(tài)監(jiān)測(cè)，最后通過以太網(wǎng)異常狀態(tài)監(jiān)測(cè)仿真測(cè)試驗(yàn)證了本文方法的優(yōu)越性。

1 基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法

1.1 網(wǎng)絡(luò)流量數(shù)據(jù)的預(yù)處理

以太網(wǎng)在工作過程由于受到許多因素的綜合影響，采集的網(wǎng)絡(luò)流量不一定純凈，經(jīng)常會(huì)包含一定的噪聲，這些噪聲使得以太網(wǎng)流量數(shù)據(jù)的存儲(chǔ)空間增大，影響以太網(wǎng)流量數(shù)據(jù)傳輸?shù)乃俣龋钪匾牟蛔闶菚?huì)影響以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果，因此需要對(duì)以太網(wǎng)的原始流量數(shù)據(jù)進(jìn)行預(yù)處理。

本文采用小波變換對(duì)以太網(wǎng)流量數(shù)據(jù)進(jìn)行去噪操作。基于小波變換的以太網(wǎng)流量數(shù)據(jù)預(yù)處理的原理如下：首先設(shè)置一定的分解尺度，對(duì)以太網(wǎng)流量數(shù)據(jù)進(jìn)行分解和細(xì)化，得到精細(xì)的以太網(wǎng)流量數(shù)據(jù)，由于噪聲和有用以太網(wǎng)流量數(shù)據(jù)的小波系數(shù)不同，這樣得到不同大小值的小波系數(shù)，通常情況上，噪聲的小波系數(shù)要小，然后設(shè)置一個(gè)閾值，每一個(gè)小波系數(shù)與閾值進(jìn)行比較，將噪聲對(duì)應(yīng)的小波系數(shù)設(shè)置為0，而有用以太網(wǎng)流量數(shù)據(jù)的小波系數(shù)的值不變，最后通過小波逆變換對(duì)所有小波系數(shù)進(jìn)行重新構(gòu)造，這樣得到以太網(wǎng)流量數(shù)據(jù)不包含噪聲，具體原理描述如圖1所示[13]。

圖1 基于小波變換的以太網(wǎng)流量數(shù)據(jù)預(yù)處理原理

當(dāng)前閾值算法可以劃分為2類：硬閾值和軟閾值法，它們具體描述如式(1)、式(2)：

(1)

(2)

結(jié)合以太網(wǎng)流量數(shù)據(jù)的特點(diǎn)，本文采用硬閾值算法對(duì)以太網(wǎng)流量數(shù)據(jù)進(jìn)行處理，減少噪聲對(duì)后續(xù)以太網(wǎng)異常狀態(tài)監(jiān)測(cè)的影響。

1.2 網(wǎng)絡(luò)流量數(shù)據(jù)挖掘技術(shù)

f(x)=sgnωTφ(x)+b

(3)

建立目標(biāo)函數(shù)如式(4)：

(4)

采用拉格朗日乘子αi構(gòu)建相應(yīng)的優(yōu)化函數(shù)如式(5)：

(5)

根據(jù)最小二乘支持向量機(jī)的學(xué)習(xí)原理[15]，可以建立式(6)：

(6)

根據(jù)K(xk,xi)=φ(xk)Tφ(xi)，得到以太網(wǎng)異常狀態(tài)監(jiān)測(cè)決策函數(shù)為式(7)：

(7)

1.3 基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)原理

基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)原理：首先采用以太網(wǎng)的流量數(shù)據(jù)，該數(shù)據(jù)包含了正常狀態(tài)和異常狀態(tài)，因此是一種二分類問題的求解，然后通過基于硬閾值的小波變換對(duì)以太網(wǎng)網(wǎng)絡(luò)流量進(jìn)行預(yù)處理，將噪聲的小波系數(shù)設(shè)置為0，去除噪聲的干擾，最后采用最小二乘支持向量機(jī)根據(jù)網(wǎng)絡(luò)流量建立以太網(wǎng)異常狀態(tài)監(jiān)測(cè)分類函數(shù)，通過分類函數(shù)實(shí)現(xiàn)以太網(wǎng)異常狀態(tài)監(jiān)測(cè)。

2 仿真實(shí)驗(yàn)

2.1 數(shù)據(jù)來源及實(shí)驗(yàn)平臺(tái)

為了分析基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法的有效性，選擇5個(gè)以太網(wǎng)作為研究對(duì)象，分別采集它們的網(wǎng)絡(luò)流量數(shù)據(jù)，得到的樣本數(shù)量如表1所示。為了使基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法的實(shí)驗(yàn)結(jié)果更具說服力，選擇沒有去噪的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法(建模方法仍然采用最小二乘支持向量機(jī))，簡(jiǎn)稱LSSVM，小波變換去噪+BP神經(jīng)網(wǎng)絡(luò)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法，簡(jiǎn)稱WA-BPNN進(jìn)行對(duì)比實(shí)驗(yàn)，它們采用相同的實(shí)驗(yàn)平臺(tái)，實(shí)驗(yàn)平臺(tái)設(shè)置如表2所示。

表1 5個(gè)以太網(wǎng)的網(wǎng)絡(luò)流量數(shù)據(jù)分布

2.2 結(jié)果與分析

2.2.1 以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果

采用WA-LSSVM、LSSVM、WA-BPNN在表2的仿真平臺(tái)上，根據(jù)表1的網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)以太網(wǎng)異常狀態(tài)監(jiān)測(cè)進(jìn)行建模和分析，得到以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度和誤差分別如圖2、圖3所示。從圖2、圖3的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度和誤差可以得到如下結(jié)論。

表2 以太網(wǎng)異常狀態(tài)監(jiān)測(cè)的實(shí)驗(yàn)平臺(tái)

圖2 不同方法的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度

圖3 不同方法的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)誤差

(1) LSSVM的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度和誤差的平均值分別為86.60%和13.40%，以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果不理想，這是因?yàn)榫W(wǎng)絡(luò)流量數(shù)據(jù)中包含了一定的噪聲，對(duì)以太網(wǎng)異常狀態(tài)監(jiān)測(cè)建模分析結(jié)果產(chǎn)生了干擾，無法建立高精度的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果，同時(shí)說明了需要引入去噪技術(shù)對(duì)以太網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)見處理。

(2) WA-BPNN的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度和誤差的平均值分別為86.83%和13.17%，以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果與LSSVM相差不大，這是因?yàn)锽P神經(jīng)網(wǎng)絡(luò)存在一定的過擬合和欠學(xué)習(xí)缺陷，無法準(zhǔn)確描述網(wǎng)絡(luò)異常狀態(tài)的變化規(guī)律，使得以太網(wǎng)異常狀態(tài)監(jiān)測(cè)誤差大。

(3) WA-LSSVM的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度和誤差的平均值分別為95.60 %和4.40%，以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果明顯優(yōu)于對(duì)比方法，這是WA-LSSVM集成了小波變換和最小二乘支持向量機(jī)的優(yōu)點(diǎn)，可以抑制網(wǎng)絡(luò)流量數(shù)據(jù)中的噪聲干擾，準(zhǔn)確描述了以太網(wǎng)異常狀態(tài)變化特點(diǎn)，獲得了理想的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)結(jié)果。

2.2.2 以太網(wǎng)異常狀態(tài)監(jiān)測(cè)效率

在以太網(wǎng)異常狀態(tài)監(jiān)測(cè)的實(shí)際應(yīng)用中，以太網(wǎng)異常狀態(tài)監(jiān)測(cè)實(shí)時(shí)性十分重要，實(shí)時(shí)性主要采用以太網(wǎng)異常狀態(tài)監(jiān)測(cè)效率來描述，因此統(tǒng)計(jì)3種方法的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間，結(jié)果如圖4所示。從圖4可以看出，LSSVM的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間平均值為29.10 ms，WA-BPNN的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間平均值為24.38 ms，WA-LSSVM的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間平均值為19.64 ms，相對(duì)于對(duì)比方法，WA-LSSVM的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間明顯減少，獲得更優(yōu)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)效率，能夠?qū)σ蕴W(wǎng)異常狀態(tài)進(jìn)行實(shí)時(shí)識(shí)別和異常行為進(jìn)行在線攔截，并做出相應(yīng)的應(yīng)對(duì)措施。

3 總結(jié)

為了提高以太網(wǎng)異常狀態(tài)監(jiān)測(cè)精度，加快以太網(wǎng)異常狀態(tài)監(jiān)測(cè)速度，針對(duì)當(dāng)前以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法存在的弊端，提出了基于網(wǎng)絡(luò)流量數(shù)據(jù)的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)系統(tǒng)，引入小噪聲方法對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，引入最小二乘支持向量機(jī)根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)以太網(wǎng)異常狀態(tài)進(jìn)行識(shí)別，相對(duì)于其它以太網(wǎng)異常狀態(tài)監(jiān)測(cè)方法，本文方法的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)整體性能更優(yōu)，可以保證以太網(wǎng)安全工作，具有十分廣泛的應(yīng)用前景。

圖4 不同方法的以太網(wǎng)異常狀態(tài)監(jiān)測(cè)時(shí)間