多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)優(yōu)化研究

劉利波，遲江波

（新疆輕工職業(yè)技術(shù)學(xué)院信息與軟件分院，新疆烏魯木齊830021）

互聯(lián)網(wǎng)發(fā)展迅速，促使越來越多的個人或企業(yè)應(yīng)用互聯(lián)網(wǎng)技術(shù)，許多重要業(yè)務(wù)也是通過網(wǎng)絡(luò)進行實時通信。與此同時，網(wǎng)絡(luò)中存在的安全隱患給使用者帶來巨大風(fēng)險，因此，需對多功能網(wǎng)絡(luò)安全進行監(jiān)控。網(wǎng)絡(luò)中的流量異常是網(wǎng)絡(luò)出現(xiàn)安全隱患的重要問題，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，導(dǎo)致計算機病毒爆發(fā)[1]。該病毒與黑客技術(shù)結(jié)合在一起，逐漸形成了新的編譯病毒，肆虐全球，導(dǎo)致網(wǎng)絡(luò)中的流量異常現(xiàn)象發(fā)生[2]。系統(tǒng)設(shè)備或軟件配置不足，也是導(dǎo)致網(wǎng)絡(luò)流量異常的主要原因，對于網(wǎng)絡(luò)流量實時監(jiān)控有利于快速發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題，系統(tǒng)優(yōu)化能夠快速檢測故障位置所在，減小網(wǎng)絡(luò)失效出現(xiàn)的概率，保證企業(yè)或個人的經(jīng)濟利益[3]。由于傳統(tǒng)監(jiān)控系統(tǒng)存在監(jiān)控誤差大的問題，無法達到實時流量監(jiān)控標(biāo)準(zhǔn)，因此，提出了多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)優(yōu)化研究，保證網(wǎng)絡(luò)能夠正常運行。

1 流量監(jiān)控系統(tǒng)優(yōu)化研究

流量監(jiān)控系統(tǒng)可通過流量狀態(tài)來判斷網(wǎng)絡(luò)整體運行情況，多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)一般分成兩個階段，一是對網(wǎng)絡(luò)流量的實時采集，二是對數(shù)據(jù)異常進行診斷[4]。以這兩個階段為基礎(chǔ)，對系統(tǒng)硬件結(jié)構(gòu)優(yōu)化和系統(tǒng)軟件功能優(yōu)化進行設(shè)計。

1.1 系統(tǒng)硬件優(yōu)化設(shè)計

根據(jù)多功能網(wǎng)絡(luò)特征，設(shè)計該功能下的監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖，如圖1所示。

圖1 監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖

由圖1可知：監(jiān)測點1、2、3、4分布于網(wǎng)絡(luò)各個邊緣位置，采用主動監(jiān)控方法對網(wǎng)絡(luò)監(jiān)控對象和拓撲信息進行監(jiān)測，方便用戶訪問；中心服務(wù)器是針對不同監(jiān)測點監(jiān)測到的數(shù)據(jù)匯集到中心的服務(wù)器，能夠及時管理各個軟件配置信息；數(shù)據(jù)服務(wù)器是分析監(jiān)測到的數(shù)據(jù)，可形成統(tǒng)一格式的數(shù)據(jù)單，方便用戶查詢；數(shù)據(jù)接收器時將經(jīng)過中心服務(wù)器的數(shù)據(jù)全部接收，方便系統(tǒng)分配；表示服務(wù)器是需要用戶為系統(tǒng)提供具有可視化圖形的重要接口，能夠分析流量異常監(jiān)控結(jié)果[5]。

1.1.1 中心服務(wù)器優(yōu)化設(shè)計

原始服務(wù)器只是個別數(shù)據(jù)的匯集場所，不能對所有流量數(shù)據(jù)進行實時監(jiān)控，為此，根據(jù)上述監(jiān)控系統(tǒng)硬件優(yōu)化結(jié)構(gòu)框圖設(shè)計不同數(shù)據(jù)匯集的中心服務(wù)器[6]。該服務(wù)器結(jié)構(gòu)的設(shè)計如圖2所示。

由圖2可知：當(dāng)接入層接收到異常流量數(shù)據(jù)時，通過集群形式傳遞給匯集層；當(dāng)接入層接收到正常流量數(shù)據(jù)時，通過單一接入形式傳遞給匯集層。而匯集層分別對集群形式的異常流量數(shù)據(jù)和單一形式的正常流量數(shù)據(jù)進行監(jiān)測[7]。

針對該服務(wù)器的設(shè)計結(jié)構(gòu)，對異常流量數(shù)據(jù)接入出現(xiàn)的集群匯集形式進行優(yōu)化設(shè)計，如圖3所示。

圖2 中心服務(wù)器設(shè)計

圖3 集群匯集形式優(yōu)化設(shè)計

如圖3所示，網(wǎng)絡(luò)瀏覽器向中心服務(wù)器發(fā)送數(shù)據(jù)請求之前，需通過超文本傳輸協(xié)議建立連接，瀏覽器每次請求完畢后都會與該服務(wù)器斷開，直到下一次請求時再重新連接[8]。集群匯集形式的優(yōu)化思路就是構(gòu)建超文本傳輸協(xié)議連接，使異常流量數(shù)據(jù)通過該連接方式傳送到服務(wù)器中，保證所有的流量數(shù)據(jù)都能被實時監(jiān)控。

1.1.2 監(jiān)控器優(yōu)化設(shè)計

原始系統(tǒng)監(jiān)控器存在信噪比較低的問題，導(dǎo)致系統(tǒng)在噪聲干擾條件下，無法對異常流量進行監(jiān)控，為此需對監(jiān)控器進行優(yōu)化設(shè)計，降低噪聲干擾的影響[9]。因此，在設(shè)計監(jiān)控器時，應(yīng)在流量輸出級中，選擇阻值較大的放大器對異常流量輸出信號進行放大處理[10]。選擇型號為OPA380的阻值放大器，具體設(shè)計原理如圖4所示。

由圖4可知：選擇型號為LSSPD-PB3的二極管，將異常流量信號轉(zhuǎn)化為電流信號形式傳遞到引腳之中；電阻R1負責(zé)抑制電流放大情況；C1為去耦電容，如果頻率較大的噪聲干擾通過放大級時，去耦電容會抑制噪聲放大行為，因此，設(shè)計轉(zhuǎn)換電路能夠使系統(tǒng)在噪聲干擾條件下，仍然對異常流量進行實時監(jiān)控[11]。

圖4 轉(zhuǎn)換電路原理圖

針對系統(tǒng)硬件結(jié)構(gòu)的優(yōu)化，分別設(shè)計中心服務(wù)器和轉(zhuǎn)換電路。中心服務(wù)器負責(zé)將接收到的異常流量和正常流量匯集到服務(wù)器中，進行實時監(jiān)控[12]。為了解決原始服務(wù)器只能對個別數(shù)據(jù)進行匯集的問題，在服務(wù)器內(nèi)部設(shè)計了集群匯集形式，構(gòu)建超文本傳輸協(xié)議連接，使異常流量數(shù)據(jù)通過該連接方式傳送到服務(wù)器中；優(yōu)化監(jiān)控器內(nèi)部電路結(jié)構(gòu)，設(shè)計能夠在噪聲干擾條件下，仍然對異常流量進行實時監(jiān)控的轉(zhuǎn)換電路。

1.2 系統(tǒng)軟件優(yōu)化設(shè)計

根據(jù)上述硬件結(jié)構(gòu)中心服務(wù)器設(shè)計的集群匯集形式，對其軟件功能進行優(yōu)化設(shè)計。網(wǎng)絡(luò)一旦出現(xiàn)流量異常，那么會引起流量分布特征，采用網(wǎng)絡(luò)流量矩陣方法對異常數(shù)據(jù)源進行監(jiān)控。

1.2.1 流量異常特征分析

網(wǎng)絡(luò)流量一旦出現(xiàn)異常，那么IP地址和端口分布會隨之改變[13]。如果網(wǎng)絡(luò)配置出現(xiàn)錯誤，那么原始IP地址和目標(biāo)IP地址都會增加，造成主機的報文急劇增多，根據(jù)該特征，采用網(wǎng)絡(luò)流量矩陣方法對流量分布特征的分散情況進行分析[14]。

假設(shè)流量特征為A，樣本總數(shù)為B，樣本選取的個數(shù)為C，針對某個特定流量特征i出現(xiàn)的次數(shù)為ni，因此，可選擇將該流量特征樣本定義為：

1.2.2 抓包功能

根據(jù)上述對流量異常特征的分析，需對抓包功能進行優(yōu)化設(shè)計。流量監(jiān)控系統(tǒng)在抓取傳播的以太網(wǎng)幀時，需先對數(shù)據(jù)包進行解析，進而提取出與之相關(guān)的數(shù)據(jù)，將提取結(jié)果存儲到數(shù)據(jù)庫中，方便實時分析網(wǎng)絡(luò)異常流量。為了確保抓包的準(zhǔn)確性，使抓包功能與硬件進行實時交互[15]。系統(tǒng)抓包功能設(shè)計如圖5所示。

表1 流量異常行為特征表

圖5 系統(tǒng)抓包功能活動圖

由圖5可知：為了保證系統(tǒng)抓包準(zhǔn)確性，需先讀取配置文件；然后建立與數(shù)據(jù)庫的連接，注冊O(shè)DBC數(shù)據(jù)源，使用Python腳本文件中的OpenDataBase（）函數(shù)進行數(shù)據(jù)庫的連接；配置抓包驅(qū)動，創(chuàng)建各類定時器和線程，利用定時器實現(xiàn)異常流量的實時監(jiān)控；最后創(chuàng)建實時監(jiān)控服務(wù)器，調(diào)用Bind（）函數(shù)從配置文件中獲取監(jiān)控服務(wù)端的IP地址，由此完成抓包行為[16]。

1.2.3 界面設(shè)計

根據(jù)系統(tǒng)抓包功能活動圖，可實時抓取異常流量數(shù)據(jù)包，由于傳統(tǒng)界面無法對數(shù)據(jù)實時檢測結(jié)果進行展示，為此需對界面設(shè)計進行優(yōu)化，添加實時監(jiān)測顯示功能，方便用戶能夠?qū)崟r查看抓包結(jié)果，如圖6所示。

由圖6可知網(wǎng)絡(luò)流量數(shù)據(jù)主界面，通過該界面了實時查看異常流量監(jiān)控結(jié)果。

圖6 網(wǎng)絡(luò)流量數(shù)據(jù)主界面

針對軟件功能的優(yōu)化是對硬件結(jié)構(gòu)中心服務(wù)器集群匯集形式進行設(shè)計。采用網(wǎng)絡(luò)流量矩陣方法對流量分布特征的分散情況進行分析，總結(jié)流量異常行為特征；根據(jù)該特征，對抓包功能進行設(shè)計，實時對異常流量數(shù)據(jù)包進行抓取，通過界面實時顯示抓取結(jié)果，由此完成軟件功能的優(yōu)化設(shè)計。

2 實驗

為了驗證多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)優(yōu)化研究的可行性進行了實驗。

2.1 實驗條件設(shè)置

選取2018年1月1日0:00至1月2日12:00時間段內(nèi)的50組數(shù)據(jù)作為實驗對象，根據(jù)2017年歷史記錄獲取正常狀態(tài)的實驗數(shù)據(jù)，并進行標(biāo)準(zhǔn)化處理。以網(wǎng)絡(luò)異常流量監(jiān)控誤差作為實驗?zāi)繕?biāo)，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實時流量監(jiān)控優(yōu)化系統(tǒng)對網(wǎng)絡(luò)流量異常監(jiān)控誤差進行實驗對比，以該結(jié)果作為評判系統(tǒng)優(yōu)化研究可行性依據(jù)。

2.2 實驗結(jié)果與分析

2.2.1 噪聲對系統(tǒng)影響結(jié)果與分析

如果系統(tǒng)在對網(wǎng)絡(luò)流量進行監(jiān)控時，出現(xiàn)噪聲干擾問題，那么整個系統(tǒng)都會受到影響，導(dǎo)致監(jiān)控精準(zhǔn)度大大降低，而在系統(tǒng)優(yōu)化過程中，對監(jiān)控器進行優(yōu)化設(shè)計，選擇阻值較大的放大器對異常流量輸出信號進行放大處理，可有效降低噪聲干擾的影響，從而減小監(jiān)控誤差。

針對網(wǎng)絡(luò)有無異常流量監(jiān)控情況，分析輸出信號走勢，如圖7所示。

圖7 有無異常流量監(jiān)控輸出信號走勢

由圖7可知：當(dāng)數(shù)據(jù)步長為（0～140）時，有無異常網(wǎng)絡(luò)流量現(xiàn)象出現(xiàn)的輸出信號都呈現(xiàn)上下波動折線走勢；當(dāng)數(shù)據(jù)步長為（140～150）時，正常流量信號呈現(xiàn)上升走勢，當(dāng)步長為150時，輸出信號最大值為0.1。在此區(qū)間內(nèi)，異常流量信號呈大幅度上升走勢，當(dāng)步長為150時，輸出信號最大值為1.0；當(dāng)數(shù)據(jù)步長為（150～250）時，正常流量信號呈現(xiàn)上下波動走勢，小于0.2。而異常流量信號呈大幅度上下波動走勢，但輸出信號值大于1.0；當(dāng)數(shù)據(jù)步長為（250～260）時，正常流量信號呈向下走勢，最小值為-0.1。異常流量信號呈大幅度直線下降走勢，最小值為-0.2；當(dāng)數(shù)據(jù)步長為（260～400）時，有無異常網(wǎng)絡(luò)流量現(xiàn)象出現(xiàn)的輸出信號又呈現(xiàn)出了上下波動走勢。由此可看出，當(dāng)網(wǎng)絡(luò)異常流量現(xiàn)象出現(xiàn)時，輸出信號具有明顯的變化，當(dāng)步長為140個步長之后，網(wǎng)絡(luò)異常流量現(xiàn)象被監(jiān)測出來。

在噪聲影響條件下，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實時流量監(jiān)控優(yōu)化系統(tǒng)對網(wǎng)絡(luò)流量異常監(jiān)控誤差進行對比，結(jié)果如圖8所示。

圖8 噪聲下兩種系統(tǒng)監(jiān)控誤差對比結(jié)果

由圖8可知：當(dāng)噪聲干擾為（0～130 Hz）時，采用傳統(tǒng)系統(tǒng)監(jiān)控數(shù)值誤差超過控限值，而采用多功能監(jiān)控系統(tǒng)監(jiān)控數(shù)值誤差未超過控限值。當(dāng)噪聲干擾為（130～150 Hz）時，傳統(tǒng)控制系統(tǒng)監(jiān)控誤差最大值為0.7，并且大部分都超過控制限值，而采用多功能系統(tǒng)進行監(jiān)控時，誤差全都超過了控制限值；由此可知，在噪聲干擾條件下，采用多功能系統(tǒng)進行監(jiān)控時誤差較小。

2.2.2 抓包功能驗證結(jié)果與分析

傳統(tǒng)網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)無法對數(shù)據(jù)進行準(zhǔn)確抓取，導(dǎo)致數(shù)據(jù)包丟失量大大增加，為此，在對系統(tǒng)優(yōu)化時，設(shè)計了抓包功能，為了驗證該功能的有效性，將傳統(tǒng)監(jiān)控系統(tǒng)與多功能網(wǎng)絡(luò)實時流量監(jiān)控優(yōu)化系統(tǒng)對網(wǎng)絡(luò)流量抓包存在的誤差進行對比，結(jié)果如圖9所示。

圖9 兩種系統(tǒng)網(wǎng)絡(luò)異常流量抓包誤差對比結(jié)果

由圖 9可知：當(dāng)步長范圍為（18～21）、（49～51）時，多功能系統(tǒng)對異常網(wǎng)絡(luò)監(jiān)控誤差超過了控制限值，剩下其余的步長范圍均在控制限值范圍內(nèi)，且最小誤差達到了0.2；而傳統(tǒng)系統(tǒng)大部分數(shù)據(jù)超過了控制限值，且最大誤差達到了0.9。由此可知，抓包功能的優(yōu)化設(shè)計對網(wǎng)絡(luò)出現(xiàn)的異常流量問題進行實時監(jiān)控時，誤差較小。

2.3 實驗結(jié)論

根據(jù)上述實驗內(nèi)容，可得出實驗結(jié)論：①在噪聲干擾條件下，采用多功能系統(tǒng)進行監(jiān)控時誤差較小。②抓包功能進行優(yōu)化設(shè)計后，多功能系統(tǒng)進行監(jiān)控時誤差較小。

由此可知，多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)優(yōu)化研究是具有可行性的。

3 結(jié)束語

多功能網(wǎng)絡(luò)實時流量監(jiān)控系統(tǒng)優(yōu)化研究是利用抓包驅(qū)動來抓取網(wǎng)絡(luò)的數(shù)據(jù)包，并加以分析，利用硬件結(jié)構(gòu)可獲取所有網(wǎng)絡(luò)數(shù)據(jù)，通過集群匯集形式可實時獲取異常流量數(shù)據(jù)。通過實驗結(jié)果可知，該優(yōu)化系統(tǒng)對網(wǎng)絡(luò)異常流量監(jiān)控的誤差較小，可充分證明該網(wǎng)絡(luò)研究的可行性。雖然該系統(tǒng)具有較高的監(jiān)控精準(zhǔn)度，但是對于系統(tǒng)的穩(wěn)定運行有待考察，在未來研發(fā)出具有高性能的監(jiān)控系統(tǒng)來支持網(wǎng)絡(luò)流量的監(jiān)測。