基于指數(shù)加權(quán)平均法的通信流量信息熵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)

張麥玲

（平頂山工業(yè)職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)與軟件工程學(xué)院，河南 平頂山 467001）

0 引 言

由于網(wǎng)絡(luò)中的數(shù)據(jù)需要快速、高效地傳輸，因此對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)的要求也隨之增加?，F(xiàn)有的通信網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)要在保證數(shù)據(jù)傳輸正常運(yùn)行的同時(shí)，提高對(duì)網(wǎng)絡(luò)流量的承載容量，避免流量異常監(jiān)測(cè)系統(tǒng)在實(shí)施安全防護(hù)時(shí)容量過載。在對(duì)通信網(wǎng)絡(luò)流量變化監(jiān)測(cè)時(shí)，需要加大實(shí)時(shí)安全網(wǎng)絡(luò)監(jiān)測(cè)的力度，充分利用現(xiàn)有的技術(shù)確定異常點(diǎn)的位置和情況，及時(shí)做好預(yù)警準(zhǔn)備，避免出現(xiàn)漏報(bào)或誤報(bào)的情況。若在監(jiān)測(cè)時(shí)發(fā)現(xiàn)非法攻擊或病毒入侵，要第一時(shí)間開啟攔截模式，防止病毒侵入主機(jī)程序。信息熵技術(shù)的發(fā)展能夠保障數(shù)據(jù)的多路復(fù)用，即使是面對(duì)大量并發(fā)請(qǐng)求，也能對(duì)數(shù)據(jù)進(jìn)行并行處理?；谛畔㈧氐木W(wǎng)絡(luò)異常數(shù)據(jù)挖掘技術(shù)能夠?qū)崿F(xiàn)對(duì)異常數(shù)據(jù)的快速檢驗(yàn)，達(dá)到阻止惡意攻擊的目的[1-4]。

1 異常流量信息熵監(jiān)測(cè)系統(tǒng)硬件設(shè)計(jì)

1.1 通信流量信息熵遷移服務(wù)器

通信流量遷移服務(wù)器用于連接網(wǎng)絡(luò)端和客戶端，2個(gè)連接端口的管理身份需保持一致。遷移服務(wù)器內(nèi)包含資源管理模塊和域名系統(tǒng)（Domain Name System，DNS）服務(wù)器，服務(wù)器接口為通用串行總線（Universal Serial Bus，USB）接口，方便計(jì)算機(jī)與客戶端的流量數(shù)據(jù)遷移。為了提高遷移服務(wù)器的使用安全性，在網(wǎng)絡(luò)接口端增設(shè)密碼接收裝置，避免數(shù)據(jù)遷移過程中出現(xiàn)泄露。

1.2 流量監(jiān)測(cè)控制器

流量監(jiān)測(cè)控制器分為傳感器和收發(fā)器2個(gè)部分。傳感器通過控制器局域網(wǎng)（Controller Area Network，CAN）總線與收發(fā)器連接，連通5G網(wǎng)絡(luò)。收發(fā)器的功能是執(zhí)行通信指令，內(nèi)部為高速總線，利用高性能以太網(wǎng)接口與CAN總線接口連接，提高通信效果[5]。為了防止病毒或黑客惡意入侵程序刪除原通信網(wǎng)絡(luò)數(shù)據(jù)，在網(wǎng)絡(luò)流量監(jiān)測(cè)控制器中需要加入數(shù)據(jù)存儲(chǔ)器。數(shù)據(jù)存儲(chǔ)器采用ARM Cotex A83517處理器，內(nèi)部包含100 GB的Flash儲(chǔ)存程序[6]。

為了提高控制器的安全性，在控制器接入指紋端接口，端口使用STMCR單片機(jī)作為外擴(kuò)芯片,并利用ITCT總線和內(nèi)核芯片實(shí)現(xiàn)信息通信，由此減少內(nèi)核芯片的存儲(chǔ)器數(shù)量，降低內(nèi)核芯片的任務(wù)壓力。雙觸屏輸入方式便于系統(tǒng)管理人員直接錄入通信流量，提高交接效率。

2 異常流量監(jiān)測(cè)系統(tǒng)軟件設(shè)計(jì)

2.1 異常網(wǎng)絡(luò)流量集中處理模塊

為了保證監(jiān)測(cè)異常流量的精度，將異常網(wǎng)絡(luò)流量進(jìn)行集中處理，具體流程如圖1所示。

圖1 異常流量集中處理流程

及時(shí)接收異常網(wǎng)絡(luò)流量數(shù)據(jù)，放入緩沖區(qū)讀寫。其中，緩沖區(qū)的主要作用是保證通信網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)處理數(shù)據(jù)時(shí)的運(yùn)行速度。對(duì)于大流量數(shù)據(jù)環(huán)境，流量數(shù)據(jù)的傳遞至關(guān)重要。數(shù)據(jù)經(jīng)過緩沖后，需要對(duì)異常流量進(jìn)行合并，清除不必要的冗余數(shù)據(jù)，同時(shí)對(duì)流量數(shù)據(jù)的入庫過程進(jìn)行統(tǒng)計(jì)和實(shí)時(shí)分析。若是分析結(jié)果沒有問題，則可以將流量數(shù)據(jù)送顯[7]。

2.2 異常流量分類模塊

異常流量處理完畢后對(duì)其進(jìn)行分類，流量分類是異常流量監(jiān)測(cè)的核心工作，方便后續(xù)不同異常流量類型的檢測(cè)。利用網(wǎng)絡(luò)流量數(shù)據(jù)集構(gòu)建信息熵向量訓(xùn)練模型，選取不同的IP作為信息熵特征向量，在實(shí)際的通信網(wǎng)絡(luò)環(huán)境中對(duì)未知數(shù)據(jù)進(jìn)行檢測(cè)，將檢測(cè)通過的數(shù)據(jù)反饋至信息熵訓(xùn)練樣本集，并根據(jù)特征向量進(jìn)行分類[8]。流量信息熵向量訓(xùn)練結(jié)構(gòu)如圖2所示。

圖2 流量信息熵的向量訓(xùn)練結(jié)構(gòu)

對(duì)數(shù)據(jù)進(jìn)行清理后選擇特征向量，信息熵特征選擇包含6個(gè)序列。具體特征向量如表1所示。

表1 特征向量選擇及其說明

通過標(biāo)記數(shù)據(jù)集來判斷數(shù)據(jù)類型，并將分類結(jié)果標(biāo)記到數(shù)據(jù)集內(nèi)，方便信息熵對(duì)數(shù)據(jù)的挖掘處理。

2.3 挖掘異常流量信息熵

根據(jù)特征向量分類后的數(shù)據(jù)形成新的數(shù)據(jù)集，利用概率統(tǒng)計(jì)的方式對(duì)數(shù)據(jù)集中的異常流量數(shù)據(jù)進(jìn)行挖掘，具體公式為

式中：H表示異常流量信息熵；P表示數(shù)據(jù)集中出現(xiàn)異常流量的概率。通過挖掘異常流量的信息熵，對(duì)異常網(wǎng)絡(luò)流量的特征進(jìn)行排列，根據(jù)集中程度和松散程度來判斷流量是否異常。當(dāng)系統(tǒng)判斷網(wǎng)絡(luò)流量出現(xiàn)異常，則由流量引起的信息熵也會(huì)出現(xiàn)相應(yīng)變化[9]。

將N個(gè)網(wǎng)絡(luò)流量特征共同具有的屬性定義為i，nij表示所監(jiān)測(cè)的數(shù)據(jù)流量，yi表示屬性i所對(duì)應(yīng)的數(shù)據(jù)流量，由此得出屬性i的總流量為

與之對(duì)應(yīng)的異常信息熵計(jì)算公式為

異常信息熵的挖掘方法是指數(shù)加權(quán)平均法，可以用來計(jì)算在下一時(shí)間間隔中的信息熵。指數(shù)加權(quán)平均法可以按指數(shù)遞減的方式計(jì)算通信流量，即

式中：Sf(t)表示t時(shí)段中的具體信息熵；s0(1)表示t1時(shí)間中的觀測(cè)；a表示平滑因子。平滑因子可用于確定信息熵的權(quán)重，具體計(jì)算公式為

式中：w表示觀測(cè)信息熵的權(quán)重比例；n表示監(jiān)測(cè)系統(tǒng)選取的數(shù)據(jù)點(diǎn)。對(duì)于網(wǎng)絡(luò)中數(shù)據(jù)流所對(duì)應(yīng)的源IP，可以通過信息熵進(jìn)行數(shù)據(jù)挖掘。如果所得到的預(yù)測(cè)熵與觀測(cè)熵之間的偏差信息熵減小，記錄異常流量信息熵的變化特征，并對(duì)其進(jìn)行數(shù)據(jù)挖掘。將正常的流量屬性與監(jiān)測(cè)到的流量屬性進(jìn)行挖掘計(jì)算，所得即為流量屬性變化結(jié)果。監(jiān)測(cè)到異常后，系統(tǒng)自動(dòng)上報(bào)并將異常數(shù)據(jù)輸出到界面平臺(tái)，起到監(jiān)測(cè)的作用[10]。

3 系統(tǒng)應(yīng)用

新設(shè)計(jì)系統(tǒng)充分利用了信息熵并行處理流量的能力，保證系統(tǒng)功能和性能都滿足通信網(wǎng)絡(luò)監(jiān)控的需求。針對(duì)多人流量數(shù)據(jù)監(jiān)測(cè)進(jìn)行系統(tǒng)測(cè)試，驗(yàn)證系統(tǒng)對(duì)異常流量處理的響應(yīng)時(shí)間，時(shí)間越短則效果越好。

3.1 系統(tǒng)應(yīng)用環(huán)境

整體硬件環(huán)境采用英特爾公司生產(chǎn)的志強(qiáng)Xeon系列微處理器，其含有8個(gè)6 GHz的高速緩沖儲(chǔ)存器，內(nèi)存容量為32 GB，CPU型號(hào)為E5-260980。數(shù)據(jù)服務(wù)器部分應(yīng)用5.3.3版本的PHP編程模塊、2.2.15版本的Apache軟件以及Y0.10.29版本的Node.js服務(wù)端平臺(tái)，同時(shí)使用64位的CentOS 6.2版本操作系統(tǒng)，數(shù)據(jù)庫為MySQLKL 5.5.20?？蛻舳朔矫鎽?yīng)用的是Microsoft Windows 10操作系統(tǒng)，使用Firefox 35和IE9/10瀏覽器。

準(zhǔn)備就緒后，開始對(duì)系統(tǒng)模塊的功能進(jìn)行測(cè)試。首先，捕獲流量數(shù)據(jù)庫數(shù)據(jù)，獲取惡意軟件的附屬設(shè)備IP并運(yùn)行惡意軟件，啟動(dòng)手動(dòng)記錄流量IP的功能，利用數(shù)據(jù)外包平臺(tái)進(jìn)行流量留存，對(duì)比留存流量和捕獲流量是否一致；其次，模塊對(duì)每條原始流量進(jìn)行分類；最后，判斷信息熵接收信息驗(yàn)證是否有誤，確定系統(tǒng)功能完善后即可進(jìn)行性能測(cè)試。

3.2 系統(tǒng)性能測(cè)試與結(jié)果分析

在監(jiān)測(cè)系統(tǒng)顯示界面會(huì)顯示系統(tǒng)CPU使用情況、內(nèi)存占比以及流量訪問情況，可以直觀展示系統(tǒng)的監(jiān)測(cè)結(jié)果，有利于避免系統(tǒng)被惡意入侵。系統(tǒng)正常運(yùn)行狀態(tài)下監(jiān)測(cè)無異常響應(yīng)，一旦感應(yīng)到惡意攻擊，則在流量監(jiān)控區(qū)顯示惡意IP的客戶端信息和地理位置信息。

選取2 400名用戶同時(shí)登錄本文設(shè)計(jì)系統(tǒng)與傳統(tǒng)的通信網(wǎng)絡(luò)異常監(jiān)測(cè)系統(tǒng)，對(duì)比兩個(gè)系統(tǒng)對(duì)于異常流量的響應(yīng)時(shí)間。實(shí)驗(yàn)對(duì)比結(jié)果如圖3所示。

圖3 響應(yīng)時(shí)間對(duì)比結(jié)果

隨著登錄人數(shù)的增加，兩個(gè)系統(tǒng)的響應(yīng)時(shí)間都逐漸延長。本文設(shè)計(jì)系統(tǒng)即使在登錄人數(shù)達(dá)到2 400人時(shí)的響應(yīng)時(shí)間也遠(yuǎn)遠(yuǎn)低于傳統(tǒng)系統(tǒng)，能夠有效縮短響應(yīng)時(shí)間，改善監(jiān)測(cè)效果。通信網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)可以并行處理流量數(shù)據(jù)，平臺(tái)對(duì)異常流量的響應(yīng)時(shí)間較短，能夠更好地適應(yīng)當(dāng)前大數(shù)據(jù)時(shí)代的需要。

4 結(jié) 論

利用信息熵能夠多路復(fù)用的特點(diǎn)設(shè)計(jì)新的監(jiān)測(cè)系統(tǒng)，通過對(duì)硬件和軟件的合理規(guī)劃保障網(wǎng)絡(luò)流量監(jiān)測(cè)的終端性能。對(duì)系統(tǒng)的性能和功能進(jìn)行測(cè)試，結(jié)果表明系統(tǒng)能夠良好運(yùn)轉(zhuǎn)，對(duì)于異常流量的響應(yīng)時(shí)間較短，能夠?qū)崿F(xiàn)對(duì)通信網(wǎng)絡(luò)異常流量的及時(shí)監(jiān)測(cè)，具有一定的借鑒意義。