计算机网络流量异常检测和预测

时间:2022-11-28 08:47:10

计算机网络流量异常检测和预测

摘要:随着社会发展进程的不断加快,计算机信息技术获得飞速发展,通信公司专网宽带用户数量也不断增加。为了确保用户的宽带连接更加高速、可靠,针对不同类型用户所开展的不同宽带接入方式,实现对现存网络资源的合理运用。研究展开对计算机网络流量异常检测及预测的研究,及时发现网络流量异常情况,在概述计算机网络流量异常基础之上,分析网络流量异常检测技术,以及大规模网络中异常预测框架,及时借助高性能测量及在线分析路由信息、网络流,预测网络流量异常实时报警。

关键词:计算机;网络流量异常;检测及预测

随着近些年来互联网平台的迅速发展,在日常学习、生活及工作过程中,网络也逐渐成为不可忽视尤为关键的重要组成。通过分类监控网络中的不同流量,从而及时发现计算机网络中所存在的诸多异常行为,同时对其予以针对性控制[1],从而有效确保计算机网络的正常运转。计算机网络流量分析作为网络安全中极为关键的内容,如何能够有效实现网络异常流量原因,保证网络可用性及通畅性,均对计算机网络的可持续、正常发展起到至关紧要的作用价值。

1计算机网络流量异常概述

1.1网络流量异常检测。针对计算机网络流量出现的异常情况加以检测,主要指针对任何时空发生的网络流量异常情况完成检测。分析其异常情况则主要是,通过建立于异常检测基础之上,通过对数据流所发生的网络异常情况加以明确,对存在的主要流量异常类型加以诊断[2]。实现对存在的主要流量异常情况完成检测分析,将其作为保证计算机网络流量正常的关键,更有助于网络管理工作者维护网络正常运行,排除其中存在的异常情况确保网络可以安全运行。1.2网络流量异常分类。目前出现的计算机网络流量异常情况,主要划分为如下集中类别[3-4]:(1)异常网络操作,主要包括由于网络配置出现变化,因而引发的网络流量异常,或者网络设备本身的存储及处理能力发生耗损;(2)蠕虫传播,此种情况主要是随着流量蠕虫病毒情况,不断基于不同网络环境中传播复制,通常要想检测此种异常情况比较困难。通过收集流量测量有关数据,展开分析才能够确定蠕虫的异常传播行为;(3)闪存拥挤,此种情况通常是处于软件公开网站以及公众用户共同关注所致,由于特定类流量的不断增加,蠕虫异常传播即随着时间不断增加逐渐减少;(4)网络滥用,此中异常主要是端口查看及DoS/DDoS,此种异常类型经由字节流量、包流量、位流量等有关数据测量,无法实现有效预测,由此需要借助网络流数据内技术异常特征加以进行。

2计算机网络流量异常检测技术实现

2.1固定阙值检测方式。此种检测网络流量异常的方法,主要借助量化分析方法[5],在整体操作过程中相对较为简单,且具备了较强实时性,但是此种方法在运用过程中,通常要求管理工作人员及网络监测者,都需要有丰富的理论认知及管理经验,针对相应阙值联合网络实际情况,假若阙值较高,那么在此情况下发生网络异常,或者异常对阙值加以改变,则无法对异常流量成功检测。而假设阙值较低,则网络不稳会致使发出虚假警报,更加剧了网络管理人的维护难度。此种检测方法在运用过程中,需要对其中网络阙值加以细化明确,通过假定在具体采样过程中,针对发现的参数值相较原本预定的阙值较高情况,即表示出现流量异常警告。主要是采用固定阙值检测法的运用过程中,起伏波动的线条则表示出于一定时间内,最终收集的网络流量具体数据,水平线代表原本的固定阙值,以5Min/1次频次采用,通过假设提前设定阙值为常数,可以发现网络流量超出假定的5000阙值时,则会发出警告。2.2统计检测法。统计检测法在运用过程中,主要指的是能够借助数据完成统计分析,从而正确判断计算机网络流量的正常情况。通常情况下以基于时间关联统计、基于空间关联字空分析两种方法为主。网络流量异常检测方式主要具备如下优点[6]:能够对已知特征及未知特征存在的流量异常情况加以察觉,但是仅仅察觉了网络流量异常,并未对其属性加以明确,此种方法仅仅可以运用为离线状态下,非实时的网络流量异常检测情况。2.3基于SNMP检测法。SNMP即简单网络管理协议,此种检测方法通常在IP网络管理节点上较为适用,是应用层协议。此种检测法在具体检测过程中,通过构建网络设备内部MIBI所完成的相关网络流量数据收集整理关键设备,进而实现对所收集流量的检测判断是否异常[7]。基于SNMP网络流量异常检测法,所运用的诸多产品中,以MRTG较为典型,主要借助软件完成对网络流量异常检测,并未实现增添或改造网络配件即可完成,且成本投入相对较低整体配置较为简单,适用于大规模网络流量异常检测。但是此种检测方式在运用中,仅仅包括了最为根本的数据内容,譬如字节数、报文数,由此无法对于复杂化的网络流量加以检测,这也作为SNMP检测法的一大弊端。

3大规模网络异常预测

3.1大规模流量异常预测框架。网络流量异常预测需要描述正常网络行为,只有确保网络行为模型的准确,才能够取得好的网络流量异常预测效果。在大规模流量异常检测中,通过借助网络探针对单个节点行为加以推测,从而预测整个网络行为。预测框架功能组成共计包括5大功能模块,本地数据收集器、本地数据过滤器、本地数据分析器、全局数据过滤器、全局数据分析器。诸多网络流量异常预测方法都是采取基本outlier预测,现如今可以采用EWMA技术、流量分解技术、Holt-Winters技术。而这3种算法都是基于单一时间序列流,通过分析独立存在的单个网络线路,能够及时预测其中网络流量异常,本部主要针对大规模网络流量异常预测展开。3.2网络行为模型检测。IPforwarding异常(1)在路由器出现故障及配置不当情况,经由某个故障点的转发报文,对其传输路径加以转变作为重新路由,实现对其中某一子网报文的生存时间TTL值变化情况既要检测,基于Holt-Winters方法对IP流的往返时间以及网关队列长度加以测量,定义平均值m为:m=(1-w)m+w×T。式中T为当前测量数值,w、m为相关变量,针对该时间段内存在的连续化平均值将其界定为长期平均值,假若长期平均值与测量平均值相似,即表示计算机网络流量正常,反之偏差较大则表示存在异常。(2)基于网络流量集合分析流量变化,通过针对每一个监测点,借助其源IP地址及目的IP地址界定为一个流集合,其中包括一段时间之内,所形成较为稳定的网络流程。完成对具体的流集合监测点实时检测,能够实现对计算机网络流量所存在主要问题加以预测。通过构建有效的集合流作为关键参数。假若可以对有关标准加以满足,则能够针对流集合的其中路径确定加入或删除。譬如加入标准在超出100个/1秒,删除标准基于加入相对时间如若超时,则从集合中删除。通过频繁对比实现对网络负载的预估,如若超出特定阙值则以会发出警报。

4结语

随着近些年来我国信息化新型技术的不断研发及兴起,计算机网络流量异常检测及预测更是变得至关紧要。通过及时有效地监控网络流量,以便及时发现网络异常行为,予以针对性维护确保网络可以正常运行。基于网络安全运行中通过重视对检测网络流量异常研究,处于现如今网络背景下,无论基于理论或是实践,都具备极为深远的研究意义及价值,保障计算机网络的安全可靠。

参考文献

[1]杨雷,李贵鹏,张萍.改进的Wolf一步预测的网络异常流量检测[J].科技通报,2014,(2):47-49.

[2]WangW,GuyetT,QuiniouR,etal.Autonomicintru-siondetection:Adaptivelydetectinganomaliesoverunlabeledauditdatastreamsincomputernetworks[J].Knowledge-BasedSystems,2014,70:103-117.

[3]苏孟辉.基于时间序列的网络流量监测系统的设计与实现[D].华南理工大学,2015.

[4]王影.无线网络流量异常数据信息检测仿真[J].计算机仿真,2017,34(9):408-411.

[5]丁斌.网络协议分析与网络异常流量识别技术的研究[D].长春工业大学,2015.

[6]王风宇,云晓春,曹震中.多时间尺度同步的高速网络流量异常检测[C].全国网络与信息安全技术研讨会论文集(上册),2017.

[7]张金荣,王越,王东,等.一种基于G(1,1)改进模型的WSN流量异常检测方法[J].中南民族大学学报(自然科学版),2018,27(4):66-69.

作者:滕翠 梁川 单位:百色学院信息工程学院