基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法

關(guān)鍵詞：人工智能；通信網(wǎng)絡(luò)；網(wǎng)絡(luò)流量；異常監(jiān)測(cè)方法

0 引言

在信息化快速發(fā)展的今天，通信網(wǎng)絡(luò)已滲透到人類日常生活的各個(gè)角落，成為現(xiàn)代社會(huì)不可或缺的重要基礎(chǔ)設(shè)施。與此同時(shí)，網(wǎng)絡(luò)安全問題也日益凸顯，通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)成為保障網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)。傳統(tǒng)的通信網(wǎng)絡(luò)業(yè)務(wù)監(jiān)測(cè)多采用固定門限或預(yù)設(shè)規(guī)則，難以適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。因此，亟須一種更加智能、高效的監(jiān)測(cè)方法。

近年來，人工智能技術(shù)的快速發(fā)展為通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)提供了新的思路。基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法能夠利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等先進(jìn)技術(shù)，從海量網(wǎng)絡(luò)流量數(shù)據(jù)中自動(dòng)提取特征和模式，實(shí)現(xiàn)對(duì)異常流量的準(zhǔn)確識(shí)別。這種方法不僅降低了人為干預(yù)的程度，提高了監(jiān)測(cè)的自動(dòng)化和智能化水平，還能更好地適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境，提高監(jiān)測(cè)的準(zhǔn)確性和效率[1]。

因此，本研究旨在探索基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法，以提升網(wǎng)絡(luò)安全的保障能力。通過對(duì)現(xiàn)有研究進(jìn)行分析，結(jié)合實(shí)際應(yīng)用場(chǎng)景，提出一種基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)模式，并通過實(shí)驗(yàn)驗(yàn)證其優(yōu)越性和有效性，為通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)領(lǐng)域的發(fā)展提供新的思路和方向。

1 構(gòu)建通信網(wǎng)絡(luò)流量特征經(jīng)驗(yàn)庫

由于通信網(wǎng)絡(luò)流量具有高度的復(fù)雜性和多變性，其流量特征受到多種因素的影響，使得網(wǎng)絡(luò)流量模式難以用簡(jiǎn)單的規(guī)則或模型來描述。因此，為了準(zhǔn)確捕捉網(wǎng)絡(luò)流量的異常行為，本文構(gòu)建了一個(gè)全面、系統(tǒng)的通信網(wǎng)絡(luò)流量特征經(jīng)驗(yàn)庫。

假定有N個(gè)數(shù)據(jù)包需要傳送或共享，通過統(tǒng)計(jì)每個(gè)數(shù)據(jù)包的大小，計(jì)算它們?cè)诰W(wǎng)絡(luò)通信中總共占用的字節(jié)數(shù)，從而提取通信流量特征。計(jì)算過程如下：

公式（1）中，σ 表示網(wǎng)絡(luò)通信流量特性，N 表示通信分組數(shù)，c 表示封包對(duì)通信網(wǎng)絡(luò)的占用，n 表示特征提取的次數(shù)。

為了確保提取的網(wǎng)絡(luò)通信流量特征具有足夠的可靠性和準(zhǔn)確性，設(shè)定一個(gè)特征有效置信區(qū)間Q，對(duì)提取的流量特征進(jìn)行更精確的評(píng)估和篩選。Q 可以用公式（2）進(jìn)行表示：

公式（2）中，a表示數(shù)據(jù)包參數(shù)。

通過應(yīng)用公式（2）的計(jì)算，獲取到Q 的多個(gè)不同取值，這些取值構(gòu)成網(wǎng)絡(luò)通信流量特征的有效置信區(qū)間，將置信區(qū)間的最大值與最小值作為邊界值，作為提取網(wǎng)絡(luò)通信流量特征的精確范圍。在全面掌握這些特性之后，根據(jù)規(guī)范的構(gòu)造標(biāo)準(zhǔn)，創(chuàng)建專用于網(wǎng)絡(luò)通信流量的經(jīng)驗(yàn)庫[2]。構(gòu)建原則如表1所示。

在構(gòu)建網(wǎng)絡(luò)通信流量經(jīng)驗(yàn)庫的過程中，嚴(yán)格遵循表1所規(guī)定的格式，對(duì)經(jīng)驗(yàn)庫進(jìn)行全面而細(xì)致的填充。至此，通信網(wǎng)絡(luò)流量經(jīng)驗(yàn)庫的構(gòu)建完成。

2 計(jì)算通信網(wǎng)絡(luò)實(shí)時(shí)流量

在構(gòu)建完成的通信網(wǎng)絡(luò)流量經(jīng)驗(yàn)庫中，各種數(shù)據(jù)流承載著用戶的請(qǐng)求、應(yīng)答以及數(shù)據(jù)傳輸，共同構(gòu)成通信網(wǎng)絡(luò)的業(yè)務(wù)流?；诖?，對(duì)通信網(wǎng)內(nèi)的業(yè)務(wù)流進(jìn)行統(tǒng)計(jì)與分析。在實(shí)際網(wǎng)絡(luò)環(huán)境下，節(jié)點(diǎn)采集到的服務(wù)數(shù)據(jù)通常是混雜的，而非單一業(yè)務(wù)的有序排列。這種混合業(yè)務(wù)的特點(diǎn)使得單個(gè)業(yè)務(wù)類別的數(shù)據(jù)流必須進(jìn)行分離處理[3]。為實(shí)現(xiàn)這一目標(biāo)，需要對(duì)通信網(wǎng)絡(luò)的實(shí)際業(yè)務(wù)進(jìn)行分析。

在現(xiàn)實(shí)的互聯(lián)網(wǎng)環(huán)境中，數(shù)據(jù)往往呈現(xiàn)出顯著的信息不平衡現(xiàn)象。這種不平衡不僅體現(xiàn)在各類應(yīng)用程序之間的流量差異上，更在于流量分布的極度不均。通過收集和分析這些流量數(shù)據(jù)，可以識(shí)別出哪些應(yīng)用程序產(chǎn)生多少流量以及流量峰值，從而掌握通信網(wǎng)絡(luò)的整體流量狀況。計(jì)算公式如下：

公式（3）中，E 表示生成最多通信量的應(yīng)用，c 表示應(yīng)用的業(yè)務(wù)過程，e 表示數(shù)據(jù)樣本字段，r 表示采樣數(shù)據(jù)的數(shù)量，P 表示網(wǎng)絡(luò)使用率，p 表示在指定時(shí)期內(nèi)應(yīng)用軟件的通信量，反映應(yīng)用程序的網(wǎng)絡(luò)活動(dòng)強(qiáng)度[4]。

定期采集CPU所使用的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)通信流量進(jìn)行分析。針對(duì)不同接口通信方式生成的各種服務(wù)數(shù)據(jù)，在統(tǒng)計(jì)處理時(shí)，采取與IP相似的統(tǒng)計(jì)方式，將列表作為輸入，通過窗口映射函數(shù)，抽取傳輸層協(xié)議頭。依據(jù)目的端口號(hào)字段及字段的長(zhǎng)度，計(jì)算關(guān)鍵值，進(jìn)而獲得包含通信端口及通信數(shù)據(jù)長(zhǎng)度的詳細(xì)資料?；谒玫降臄?shù)據(jù)，用以下公式來計(jì)算通信網(wǎng)絡(luò)的流量R：

公式（4）中，S 表示傳輸層協(xié)議，C 表示清單輸出任務(wù)，f 表示通信數(shù)據(jù)長(zhǎng)度統(tǒng)計(jì)量，h 表示目標(biāo)端口號(hào)域長(zhǎng)度，D 表示目標(biāo)層通信協(xié)議[5]。通過綜合考慮以上參數(shù)和函數(shù)，完成通信網(wǎng)絡(luò)實(shí)時(shí)流量的計(jì)算。

3 基于人工智能實(shí)現(xiàn)流量異常智能監(jiān)測(cè)

在完成通信網(wǎng)絡(luò)流量特征經(jīng)驗(yàn)庫的構(gòu)建并計(jì)算通信網(wǎng)絡(luò)的實(shí)時(shí)流量后，能夠識(shí)別并獲取網(wǎng)絡(luò)流量的各種類型及其對(duì)應(yīng)的標(biāo)志。為了實(shí)現(xiàn)通信網(wǎng)絡(luò)流量的異常監(jiān)測(cè)，本文采用人工智能中的粒子群優(yōu)化（PSO） 算法進(jìn)行智能監(jiān)測(cè)。基于PSO算法的粒子群優(yōu)化流程如圖1所示。

在算法啟動(dòng)之初，隨機(jī)為粒子群賦予初始速度和位置，每個(gè)粒子代表一種監(jiān)測(cè)方案。評(píng)價(jià)各粒子的適應(yīng)度，找出適應(yīng)度最大的一個(gè)，作為當(dāng)前最優(yōu)方案。其他粒子根據(jù)這個(gè)最優(yōu)解不斷調(diào)整自己的速度和位置，判定已更新粒子迭代的最大值[6]。如果達(dá)到了，則輸出當(dāng)前的粒子群優(yōu)化結(jié)果，標(biāo)志著整個(gè)優(yōu)化流程的結(jié)束；如果未達(dá)到，則繼續(xù)更新粒子的速度和位置，計(jì)算公式如下：

公式（5）中，Vi 表示粒子更新速度，Xi 表示粒子更新位置，w 表示粒子的適應(yīng)度系數(shù)，Vi0 表示粒子的初始速度，Xi0 表示粒子的初始位置，q1、q2 表示PSO算法中的個(gè)體學(xué)習(xí)因素和種群學(xué)習(xí)因素，k1、k2 表示一個(gè)隨機(jī)常數(shù)，Pai 表示目前個(gè)體所處的最優(yōu)位置，Gai 表示粒子個(gè)體的初始最優(yōu)位置[7]。

粒子根據(jù)自身的適應(yīng)度系數(shù)和當(dāng)前最佳位置，結(jié)合個(gè)體學(xué)習(xí)因子和種群學(xué)習(xí)因子，以及隨機(jī)常數(shù)的影響，更新自身的速度和位置。不斷地迭代和計(jì)算，個(gè)體的適應(yīng)值不斷增加，直到收斂到最大值或滿足其他終止條件為止。采用PSO粒子群優(yōu)化方法，獲得最優(yōu)解，從而保證了對(duì)流量異常的智能監(jiān)控。在此基礎(chǔ)上，對(duì)智能監(jiān)測(cè)層級(jí)進(jìn)行分級(jí)，構(gòu)成一套完整的監(jiān)測(cè)模式[8]。如圖2所示。

通過這種模式，實(shí)現(xiàn)對(duì)通信網(wǎng)絡(luò)流量的全面、實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)并處理異常流量，保障網(wǎng)絡(luò)的穩(wěn)定和安全運(yùn)行。至此，完成了基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法的設(shè)計(jì)。

4 實(shí)驗(yàn)

4.1 實(shí)驗(yàn)準(zhǔn)備

為了確保設(shè)計(jì)方法在通信網(wǎng)絡(luò)異常流量監(jiān)測(cè)中取得良好的應(yīng)用效果，進(jìn)行了實(shí)驗(yàn)驗(yàn)證。在實(shí)驗(yàn)環(huán)境準(zhǔn)備方面，首先進(jìn)行硬件配置。數(shù)據(jù)庫服務(wù)器選用Dell PowerEdge R740，搭載Intel Xeon Gold 6230 處理器、512GB ECC DDR4內(nèi)存以及2TB NVMe SSD。應(yīng)用服務(wù)器采用HP ProLiant DL380 Gen10，配備雙路IntelXeon Silver 4214處理器、256GB ECC DDR4內(nèi)存以及4TB SATA硬盤。使用Lenovo ThinkSystem DM5000作10配置。Web服務(wù)器選用IBM System x3550 M5，配備Intel Xeon E-2176M處理器、128GB EC5LLqqk9n6Sz491E7uvp9iQ==C DDR4內(nèi)存以及1TB NVMe SSD。

在軟件配置方面，根據(jù)服務(wù)器的功能需求安裝相應(yīng)的操作系統(tǒng)和應(yīng)用軟件。數(shù)據(jù)庫服務(wù)器運(yùn)行RedHat Enterprise Linux 8.4操作系統(tǒng)，并安裝Oracle Data?base 19c。應(yīng)用服務(wù)器采用Ubuntu Server 20.04 LTS操作系統(tǒng)，并部署Apache Tomcat 9和Python 3.8。存儲(chǔ)服務(wù)器運(yùn)行在VMware ESXi 7.0虛擬化平臺(tái)上，并安裝VMware vSphere Data Protection 8.0。Web服務(wù)器使用CentOS 7.9操作系統(tǒng)，并安裝Nginx 1.19和PHP 7.4。

上述實(shí)驗(yàn)環(huán)境準(zhǔn)備完畢后，利用網(wǎng)絡(luò)流量監(jiān)測(cè)工具實(shí)時(shí)采集實(shí)驗(yàn)網(wǎng)絡(luò)中的流量數(shù)據(jù)。對(duì)采集到的原始流量數(shù)據(jù)進(jìn)行清洗、過濾和特征提取，去除無關(guān)信息和噪聲，提取出對(duì)異常檢測(cè)有用的特征。根據(jù)設(shè)計(jì)部分的異常監(jiān)測(cè)算法進(jìn)行監(jiān)測(cè)，實(shí)驗(yàn)在安全的網(wǎng)絡(luò)環(huán)境中進(jìn)行，以避免對(duì)實(shí)際網(wǎng)絡(luò)造成潛在威脅。

4.2 實(shí)驗(yàn)結(jié)果及分析

為了驗(yàn)證本文方法的優(yōu)越性，將其與基于閾值的監(jiān)測(cè)方法以及基于規(guī)則的模式匹配方法進(jìn)行對(duì)比，形成對(duì)比實(shí)驗(yàn)。按照上述實(shí)驗(yàn)準(zhǔn)備，選取10種通信網(wǎng)絡(luò)流量攻擊類型對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，并以受攻擊時(shí)網(wǎng)絡(luò)的實(shí)際流量值為標(biāo)準(zhǔn)，統(tǒng)計(jì)三種方法監(jiān)測(cè)的流量值，整理成表2所示的實(shí)驗(yàn)對(duì)比結(jié)果。

從表2可以看出，本文方法在各類攻擊類型的監(jiān)測(cè)值與實(shí)際值之間均保持了較高的接近度。以DoS 攻擊為例，實(shí)際值為5.23GB，本文方法監(jiān)測(cè)值為5.18GB，差異較小，顯示出較高的準(zhǔn)確性。相比之下，基于閾值的方法由于閾值設(shè)定的主觀性和固定性，難以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境，導(dǎo)致監(jiān)測(cè)值為4.85GB，偏差較大?；谝?guī)則的方法監(jiān)測(cè)值為4.67GB，低于實(shí)際值的5.23GB，盡管能夠根據(jù)預(yù)設(shè)規(guī)則進(jìn)行匹配，但規(guī)則的制定和更新較為復(fù)雜，無法覆蓋所有異常模式，因此性能不如本文方法。

綜上所述，本文方法通過采用先進(jìn)的人工智能算法，在不同攻擊類型下均展現(xiàn)出較好的性能，監(jiān)測(cè)值與實(shí)際值之間的差異普遍較??；能夠適應(yīng)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，準(zhǔn)確識(shí)別各類攻擊的異常流量。

5 結(jié)束語

本文深入研究了基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法，通過構(gòu)建智能化的監(jiān)測(cè)模式，實(shí)現(xiàn)了對(duì)通信網(wǎng)絡(luò)流量異常的準(zhǔn)確識(shí)別。隨著網(wǎng)絡(luò)環(huán)境的不斷變化和新型攻擊手段的不斷涌現(xiàn)，通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)面臨新的挑戰(zhàn)，需要持續(xù)更新和完善監(jiān)測(cè)模型。未來，將繼續(xù)深入研究基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法，探索更加高效、準(zhǔn)確的特征提取和模型訓(xùn)練算法，以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境。同時(shí)，還將關(guān)注新型攻擊手段的發(fā)展趨勢(shì)，及時(shí)更新和完善監(jiān)測(cè)模型，提高通信網(wǎng)絡(luò)的安全防護(hù)能力。總之，基于人工智能的通信網(wǎng)絡(luò)流量異常監(jiān)測(cè)方法是一個(gè)具有廣闊應(yīng)用前景的研究領(lǐng)域，必將為通信網(wǎng)絡(luò)的安全運(yùn)行做出更大的貢獻(xiàn)。