計算機網絡異常檢測技術研究

何正玲

(西安文理學院，陜西 西安 710065)

計算機網絡異常檢測技術研究

何正玲

(西安文理學院，陜西 西安 710065)

摘要：隨著計算機網絡的普及，各政府部門及事業(yè)單位每天都要通過網絡收發(fā)大量的信息。因此，如何提高這些信息的安全性，防止機密信息被盜取成為了研究的熱點。本文主要分析了計算機網絡異常的案例推理技術、神經網絡診斷技術、關聯(lián)事件推理和規(guī)則推理等4種檢測技術。

關鍵詞：網絡異常；案例推理；神經網絡

隨著計算機網絡技術的不斷發(fā)展，網絡的不安全因素也在逐漸增加，網絡異常發(fā)生的概率越來越高。引起網絡異常的原因主要有如下2方面：1)網絡設備出現(xiàn)故障。比如，路由器發(fā)生故障會影響網絡的拓撲結構，從而出現(xiàn)網絡數(shù)據(jù)丟失等故障；網絡服務器的服務軟件出現(xiàn)問題也會引起網絡異常。2)網絡安全問題。網絡遭受非法攻擊會產生數(shù)據(jù)流從，從而影響網絡性能，使其不能正常工作，甚至還有可能出現(xiàn)網絡癱瘓的現(xiàn)象。網絡異常檢測技術可以有效解決上述問題。網絡管理人員可以采用這些技術，對網絡異常進行檢測和定位，提高故障的排除效率，使網絡在最短時間內恢復正常[1]。常用的網絡異常檢測技術有4種，分別為案例推理技術、關聯(lián)事件推理、神經網絡診斷技術和規(guī)則推理。

1案例推理技術

目前，案例推理技術在人工智能領域已經成為一種主要的推理技術，它主要是模擬人類的科學認知記憶方法判斷推理發(fā)生的各種情況。這種推理技術一般基于如下2條原則：1)每種現(xiàn)象的發(fā)生都是遵循一定的規(guī)律的，可以將相似的情況歸于一類，且相同問題的解決方案也相似；2)同類問題有再次發(fā)生的概率?；诎咐评砑夹g的異常檢測系統(tǒng)的結構如圖1所示，一般包含1個案例庫和輸入、檢索、修正、處理4個功能模塊[2]。

圖1　基于案例推理技術的異常檢測系統(tǒng)的結構

案例推理技術的一次檢測過程如下：在檢測網絡異常時，輸入模塊中輸入經過處理后的各類數(shù)據(jù)。數(shù)據(jù)經過輸入模塊的處理抽象后，檢索模塊開始檢索案例庫，查找相似案例。假如找到一個完全一樣的案例，則返回該案例的解決方案，直接進行處理過程。假如沒有找到完全一樣的案例，則對最相似的案例進行查找，找到后返回相似案例的解，進入修正模塊。修正模塊主要是對相似案例的解決方案進行合適的修正，得到一個解決當前問題的完整答案，進行處理模塊。處理模塊在案例庫中對新案例進行備份，完善案例庫，供將來檢索使用。

基于案例推理的技術優(yōu)點是可以使用自身方式獲取新知識，完善現(xiàn)有的知識結構。檢索模塊在對案例進行檢索時，可以采用不同的匹配方式，如確定參數(shù)匹配、基于鑒定的匹配等，在實現(xiàn)時采用最適合系統(tǒng)的匹配方案。此外，案例庫在不斷變大的同時，還需要采取一定的措施進行維護，以保證檢索效率。對于長期不用的案例，在案例庫維護時一般采用遺忘曲線理論支撐的算法進行刪除。

2神經網絡診斷技術

20世紀40年代出現(xiàn)了神經網絡，它由許多簡單的神經單元組成，不同的神經單元相互連接形成復雜的網絡系統(tǒng)。在檢測網絡異常時，需要識別異常模式，人工神經網絡在這方面具有獨特優(yōu)勢，可以將傳統(tǒng)技術不能解決的問題圓滿解決。

使用最廣泛的神經網絡是BP神經網絡，其結構如圖2所示。具有代表性的BP神經網絡結構包含輸入層、隱含層及輸出層等3層結構。由圖2可知，輸入層和輸出層不直接連接，隱含層位于輸入層和輸出層的中間，它的狀態(tài)會直接影響二者的關系。它可以被細分為一個或多個子層。如果改變了隱含層的權系統(tǒng)，則會改變整個多層神經網絡的性能。在檢測網絡異常時，輸入層節(jié)點輸入相應的異常征兆，同層的各神經單元之間不需要連接，相鄰層通過互連方式進行連接[3]。

圖2　BP神經網絡結構

BP神經網絡進行網絡異常檢測的基本原理如下：首先選取相關數(shù)據(jù)集使其成為異常訓練的樣本，然后根據(jù)該樣本訓練BP神經網絡；如果網絡出現(xiàn)異常，訓練好的神經網絡會對異常情況進行分析評估，找到出現(xiàn)異常的原因。因此，采用BP神經網絡對網絡異常進行檢測時，可分為訓練階段和檢測階段2個階段。

訓練階段的主要任務是采用樣本集合訓練神經網絡。采用BP學習算法確定神經網絡的輸入，輸入的通常是能夠反應異常征兆的參數(shù)，而相應的異常狀態(tài)編碼為輸出期望，并且輸入與期望輸出之間建立對應的樣本關系，最終確定神經網絡的權值和閾值。

檢測階段：預處理各種網絡異常征兆。因為訓練好的神經網絡處于記憶狀態(tài)，給定輸入就可產生相應輸出，輸出結果和異常編碼進行判定異常類別。

3關聯(lián)事件推理

網絡出現(xiàn)異常時，有可能是一個小的異常引發(fā)的連串反應，這樣，異常源的檢測就會變得比較復雜，往往不能確定真正的異常源，這主要是因為被測對象之間在網絡中存在相互關聯(lián)。從理論上來講，異常和癥狀之間可以用因果關系圖進行描述。在因果關系圖中，節(jié)點和事件相對應，有向邊用來描述各事件之間的因果關系。采用因果圖檢測網絡異常時，異常癥狀被當成因果圖中的節(jié)點。因果圖的有向邊一般都關聯(lián)一個代表關聯(lián)條件的概率值，概率值的大小和因果關系強度高低相關[4]。

二分圖可以描述異常和癥狀之間的因果關系，其模型如圖3所示。在這個模型中，異常定位的問題可以抽象成尋找最小覆蓋集的問題。找出能夠解釋癥狀具有最少異常數(shù)目的異常集合，就可以對異常進行定位。一個最小覆蓋集的簡單表示如圖4所示。如果圖4中異常和癥狀之間的概率關系不作考慮，根據(jù)最小覆蓋得出的最有可能答案是F1及F2。由于一開始不能確定異常節(jié)點之間的條件概率及異常節(jié)點概率，因為這種概率關系的獲得比較困難，所以在網絡異常檢測中使用二分圖具有一定難度。

圖3　二分圖模型

圖4　最小覆蓋集

4規(guī)則推理

規(guī)則推理采取“IF-THEN”規(guī)則形式獲得問題的解，通過“認識-行動”的循環(huán)過程來解決問題。這種技術解決問題的方式十分直觀，很容易實現(xiàn)知識的獲取和形式化表示?；谝?guī)則推理系統(tǒng)一般包括推理引擎、工作內存和知識庫等3部分。其中，工作內存保存等待異常檢測系統(tǒng)處理的各類信息。知識庫包含2個功能：1)確定網絡中的問題類型；2)出現(xiàn)具體問題時，為系統(tǒng)提供要執(zhí)行的動作。庫中的專家知識通常采用“CONDITION-ACTION”或“IF-THEN”規(guī)則進行描述。網絡出現(xiàn)異常時，推理引擎和知識庫共同工作，確定當前的網絡狀態(tài)適合采用哪種規(guī)則。通常網絡中的異常需要推理引擎進行多次反復推理，直至確定最后結果。但是，基于規(guī)則的推理系統(tǒng)不具備自我學習功能，只能從專家經驗獲取知識(規(guī)則)；隨著規(guī)則數(shù)目的增加，維護規(guī)則庫的難度也會加大，檢測效率有所降低；此外，該系統(tǒng)無記憶功能，不能總結過去的經驗，遇到相似的異常還要從頭進行推理，系統(tǒng)性能較低。

5結語

本文主要分析了網絡異常的案例推理技術、神經網絡診斷技術、關聯(lián)事件推理和規(guī)則推理等4種檢測技術。其中，案例推理技術需要對案例庫不斷進行維護，對檢測系統(tǒng)的要求較高；神經網絡診斷技術要先訓練神經網絡才能進行檢測；關聯(lián)事件推理檢測技術通過條件概率來檢測異常；規(guī)則推理檢測技術隨著規(guī)則數(shù)目的增加，規(guī)則庫的維護難度也會加大。隨著計算機技術的發(fā)展，這些網絡異常檢測技術也會更加完善。

參考文獻

[1] 王秋鵬.無線傳感器網絡能量優(yōu)化技術[J].新技術新工藝，2014(8)：84-86.

[2] 龔錦紅.案例推理技術的研究與應用[J].科技廣場,2007(3):61-63.

[3] 湯素麗,羅宇鋒.人工神經網絡技術的發(fā)展與應用[J].電腦開發(fā)與應用,2009(10):59-61.

[4] 蔡蘇亞.關于副本定位數(shù)據(jù)復制新技術的設計[J].新技術新工藝，2014(3)：69-71.

責任編輯鄭練

我國將大力促進數(shù)控機床業(yè)的發(fā)展

數(shù)控機床作為國防軍工的戰(zhàn)略裝備，是各種武器裝備最重要的制造手段，是國防軍工裝備現(xiàn)代化的重要保證。振興數(shù)控機床產業(yè)對機床工業(yè)而言卻有著一定的難度。發(fā)展數(shù)控機床所需的數(shù)字化制造技術是先進制造的核心，是實現(xiàn)自主創(chuàng)新的關鍵。目前我國國產數(shù)控機床的發(fā)展速度緩慢，未來需要進一步提升。全國數(shù)控機床研發(fā)人員、操作人員短缺，而現(xiàn)有大專院校又缺乏相應的對口專業(yè)，正在影響著國產數(shù)控機床的今后的研究與發(fā)展。應該更多地發(fā)揮機床生產廠的作用，通過“產、學、研”結合促進和加快培訓進程。美國哈斯公司在美國和加拿大建立了360個“哈斯技術教育中心”，最近又宣布將在歐洲建100家“哈斯技術教育中心”。他們的出發(fā)點正是看到了數(shù)控機床人才短缺已成為全球面臨的普遍問題。數(shù)控機床屬于金屬切削機床制造業(yè)，在國家振興裝備制造業(yè)和國際產業(yè)轉移的帶動下，我國設備工具購置投資增長率在未來5～10年將持續(xù)維持20%左右的水平，機床行業(yè)的需求仍將保持高速增長。在需求的拉動下，我國數(shù)控機床產量保持高速增長，隨著經濟結構調整的深化，數(shù)控機床和數(shù)控系統(tǒng)設備類的上市公司的高成長有望延續(xù)。數(shù)控機床需求的快速增長帶來對數(shù)控系統(tǒng)的巨大需求，國內對中高檔機床的需求量逐漸超過低檔機床。我國數(shù)控金屬切削機床行業(yè)技術創(chuàng)新投入不足，自主創(chuàng)新能力較弱，導致國產數(shù)控金屬切削機床在質量、交貨期和服務等方面與國外著名品牌相比存在較大的差距。

——摘自中國機床網

Research on Computer Network Abnormal Monitoring Technology

HE Zhengling

(Xi′an University, Xi′an 710065, China)

Abstract:With the popularity of computer networks and various government departments and institutions sending and receiving large amounts of information through the network, how to improve the security of the information, and prevent confidential information from being stolen has become a hot research point. The paper analyzed the case of a computer network anomalies reasoning, neural network diagnostic techniques and association events reasoning and rule-based reasoning four detection technology.

Key words:network anomaly, case-based reasoning, neural networks

收稿日期：2015-01-05

作者簡介：何正玲(1976-)，女，助理工程師，主要從事計算機技術及應用等方面的研究。

中圖分類號：TP 393.06

文獻標志碼：A