導(dǎo)語：計算機網(wǎng)絡(luò)流量異常檢測和預(yù)測一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著社會發(fā)展進程的不斷加快，計算機信息技術(shù)獲得飛速發(fā)展，通信公司專網(wǎng)寬帶用戶數(shù)量也不斷增加。為了確保用戶的寬帶連接更加高速、可靠，針對不同類型用戶所開展的不同寬帶接入方式，實現(xiàn)對現(xiàn)存網(wǎng)絡(luò)資源的合理運用。研究展開對計算機網(wǎng)絡(luò)流量異常檢測及預(yù)測的研究，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量異常情況，在概述計算機網(wǎng)絡(luò)流量異?；A(chǔ)之上，分析網(wǎng)絡(luò)流量異常檢測技術(shù)，以及大規(guī)模網(wǎng)絡(luò)中異常預(yù)測框架，及時借助高性能測量及在線分析路由信息、網(wǎng)絡(luò)流，預(yù)測網(wǎng)絡(luò)流量異常實時報警。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)流量異常；檢測及預(yù)測

隨著近些年來互聯(lián)網(wǎng)平臺的迅速發(fā)展，在日常學(xué)習(xí)、生活及工作過程中，網(wǎng)絡(luò)也逐漸成為不可忽視尤為關(guān)鍵的重要組成。通過分類監(jiān)控網(wǎng)絡(luò)中的不同流量，從而及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)中所存在的諸多異常行為，同時對其予以針對性控制[1]，從而有效確保計算機網(wǎng)絡(luò)的正常運轉(zhuǎn)。計算機網(wǎng)絡(luò)流量分析作為網(wǎng)絡(luò)安全中極為關(guān)鍵的內(nèi)容，如何能夠有效實現(xiàn)網(wǎng)絡(luò)異常流量原因，保證網(wǎng)絡(luò)可用性及通暢性，均對計算機網(wǎng)絡(luò)的可持續(xù)、正常發(fā)展起到至關(guān)緊要的作用價值。

1計算機網(wǎng)絡(luò)流量異常概述

1.1網(wǎng)絡(luò)流量異常檢測。針對計算機網(wǎng)絡(luò)流量出現(xiàn)的異常情況加以檢測，主要指針對任何時空發(fā)生的網(wǎng)絡(luò)流量異常情況完成檢測。分析其異常情況則主要是，通過建立于異常檢測基礎(chǔ)之上，通過對數(shù)據(jù)流所發(fā)生的網(wǎng)絡(luò)異常情況加以明確，對存在的主要流量異常類型加以診斷[2]。實現(xiàn)對存在的主要流量異常情況完成檢測分析，將其作為保證計算機網(wǎng)絡(luò)流量正常的關(guān)鍵，更有助于網(wǎng)絡(luò)管理工作者維護網(wǎng)絡(luò)正常運行，排除其中存在的異常情況確保網(wǎng)絡(luò)可以安全運行。1.2網(wǎng)絡(luò)流量異常分類。目前出現(xiàn)的計算機網(wǎng)絡(luò)流量異常情況，主要劃分為如下集中類別[3-4]：（1）異常網(wǎng)絡(luò)操作，主要包括由于網(wǎng)絡(luò)配置出現(xiàn)變化，因而引發(fā)的網(wǎng)絡(luò)流量異常，或者網(wǎng)絡(luò)設(shè)備本身的存儲及處理能力發(fā)生耗損；（2）蠕蟲傳播，此種情況主要是隨著流量蠕蟲病毒情況，不斷基于不同網(wǎng)絡(luò)環(huán)境中傳播復(fù)制，通常要想檢測此種異常情況比較困難。通過收集流量測量有關(guān)數(shù)據(jù)，展開分析才能夠確定蠕蟲的異常傳播行為；（3）閃存擁擠，此種情況通常是處于軟件公開網(wǎng)站以及公眾用戶共同關(guān)注所致，由于特定類流量的不斷增加，蠕蟲異常傳播即隨著時間不斷增加逐漸減少；（4）網(wǎng)絡(luò)濫用，此中異常主要是端口查看及DoS/DDoS，此種異常類型經(jīng)由字節(jié)流量、包流量、位流量等有關(guān)數(shù)據(jù)測量，無法實現(xiàn)有效預(yù)測，由此需要借助網(wǎng)絡(luò)流數(shù)據(jù)內(nèi)技術(shù)異常特征加以進行。

2計算機網(wǎng)絡(luò)流量異常檢測技術(shù)實現(xiàn)

2.1固定闕值檢測方式。此種檢測網(wǎng)絡(luò)流量異常的方法，主要借助量化分析方法[5]，在整體操作過程中相對較為簡單，且具備了較強實時性，但是此種方法在運用過程中，通常要求管理工作人員及網(wǎng)絡(luò)監(jiān)測者，都需要有豐富的理論認(rèn)知及管理經(jīng)驗，針對相應(yīng)闕值聯(lián)合網(wǎng)絡(luò)實際情況，假若闕值較高，那么在此情況下發(fā)生網(wǎng)絡(luò)異常，或者異常對闕值加以改變，則無法對異常流量成功檢測。而假設(shè)闕值較低，則網(wǎng)絡(luò)不穩(wěn)會致使發(fā)出虛假警報，更加劇了網(wǎng)絡(luò)管理人的維護難度。此種檢測方法在運用過程中，需要對其中網(wǎng)絡(luò)闕值加以細(xì)化明確，通過假定在具體采樣過程中，針對發(fā)現(xiàn)的參數(shù)值相較原本預(yù)定的闕值較高情況，即表示出現(xiàn)流量異常警告。主要是采用固定闕值檢測法的運用過程中，起伏波動的線條則表示出于一定時間內(nèi)，最終收集的網(wǎng)絡(luò)流量具體數(shù)據(jù)，水平線代表原本的固定闕值，以5Min/1次頻次采用，通過假設(shè)提前設(shè)定闕值為常數(shù)，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量超出假定的5000闕值時，則會發(fā)出警告。2.2統(tǒng)計檢測法。統(tǒng)計檢測法在運用過程中，主要指的是能夠借助數(shù)據(jù)完成統(tǒng)計分析，從而正確判斷計算機網(wǎng)絡(luò)流量的正常情況。通常情況下以基于時間關(guān)聯(lián)統(tǒng)計、基于空間關(guān)聯(lián)字空分析兩種方法為主。網(wǎng)絡(luò)流量異常檢測方式主要具備如下優(yōu)點[6]：能夠?qū)σ阎卣骷拔粗卣鞔嬖诘牧髁慨惓Ｇ闆r加以察覺，但是僅僅察覺了網(wǎng)絡(luò)流量異常，并未對其屬性加以明確，此種方法僅僅可以運用為離線狀態(tài)下，非實時的網(wǎng)絡(luò)流量異常檢測情況。2.3基于SNMP檢測法。SNMP即簡單網(wǎng)絡(luò)管理協(xié)議，此種檢測方法通常在IP網(wǎng)絡(luò)管理節(jié)點上較為適用，是應(yīng)用層協(xié)議。此種檢測法在具體檢測過程中，通過構(gòu)建網(wǎng)絡(luò)設(shè)備內(nèi)部MIBI所完成的相關(guān)網(wǎng)絡(luò)流量數(shù)據(jù)收集整理關(guān)鍵設(shè)備，進而實現(xiàn)對所收集流量的檢測判斷是否異常[7]?；赟NMP網(wǎng)絡(luò)流量異常檢測法，所運用的諸多產(chǎn)品中，以MRTG較為典型，主要借助軟件完成對網(wǎng)絡(luò)流量異常檢測，并未實現(xiàn)增添或改造網(wǎng)絡(luò)配件即可完成，且成本投入相對較低整體配置較為簡單，適用于大規(guī)模網(wǎng)絡(luò)流量異常檢測。但是此種檢測方式在運用中，僅僅包括了最為根本的數(shù)據(jù)內(nèi)容，譬如字節(jié)數(shù)、報文數(shù)，由此無法對于復(fù)雜化的網(wǎng)絡(luò)流量加以檢測，這也作為SNMP檢測法的一大弊端。

3大規(guī)模網(wǎng)絡(luò)異常預(yù)測

3.1大規(guī)模流量異常預(yù)測框架。網(wǎng)絡(luò)流量異常預(yù)測需要描述正常網(wǎng)絡(luò)行為，只有確保網(wǎng)絡(luò)行為模型的準(zhǔn)確，才能夠取得好的網(wǎng)絡(luò)流量異常預(yù)測效果。在大規(guī)模流量異常檢測中，通過借助網(wǎng)絡(luò)探針對單個節(jié)點行為加以推測，從而預(yù)測整個網(wǎng)絡(luò)行為。預(yù)測框架功能組成共計包括5大功能模塊，本地數(shù)據(jù)收集器、本地數(shù)據(jù)過濾器、本地數(shù)據(jù)分析器、全局?jǐn)?shù)據(jù)過濾器、全局?jǐn)?shù)據(jù)分析器。諸多網(wǎng)絡(luò)流量異常預(yù)測方法都是采取基本outlier預(yù)測，現(xiàn)如今可以采用EWMA技術(shù)、流量分解技術(shù)、Holt-Winters技術(shù)。而這3種算法都是基于單一時間序列流，通過分析獨立存在的單個網(wǎng)絡(luò)線路，能夠及時預(yù)測其中網(wǎng)絡(luò)流量異常，本部主要針對大規(guī)模網(wǎng)絡(luò)流量異常預(yù)測展開。3.2網(wǎng)絡(luò)行為模型檢測。IPforwarding異常（1）在路由器出現(xiàn)故障及配置不當(dāng)情況，經(jīng)由某個故障點的轉(zhuǎn)發(fā)報文，對其傳輸路徑加以轉(zhuǎn)變作為重新路由，實現(xiàn)對其中某一子網(wǎng)報文的生存時間TTL值變化情況既要檢測，基于Holt-Winters方法對IP流的往返時間以及網(wǎng)關(guān)隊列長度加以測量，定義平均值m為：m=（1-w）m+w×T。式中T為當(dāng)前測量數(shù)值，w、m為相關(guān)變量，針對該時間段內(nèi)存在的連續(xù)化平均值將其界定為長期平均值，假若長期平均值與測量平均值相似，即表示計算機網(wǎng)絡(luò)流量正常，反之偏差較大則表示存在異常。（2）基于網(wǎng)絡(luò)流量集合分析流量變化，通過針對每一個監(jiān)測點，借助其源IP地址及目的IP地址界定為一個流集合，其中包括一段時間之內(nèi)，所形成較為穩(wěn)定的網(wǎng)絡(luò)流程。完成對具體的流集合監(jiān)測點實時檢測，能夠?qū)崿F(xiàn)對計算機網(wǎng)絡(luò)流量所存在主要問題加以預(yù)測。通過構(gòu)建有效的集合流作為關(guān)鍵參數(shù)。假若可以對有關(guān)標(biāo)準(zhǔn)加以滿足，則能夠針對流集合的其中路徑確定加入或刪除。譬如加入標(biāo)準(zhǔn)在超出100個/1秒，刪除標(biāo)準(zhǔn)基于加入相對時間如若超時，則從集合中刪除。通過頻繁對比實現(xiàn)對網(wǎng)絡(luò)負(fù)載的預(yù)估，如若超出特定闕值則以會發(fā)出警報。

4結(jié)語

隨著近些年來我國信息化新型技術(shù)的不斷研發(fā)及興起，計算機網(wǎng)絡(luò)流量異常檢測及預(yù)測更是變得至關(guān)緊要。通過及時有效地監(jiān)控網(wǎng)絡(luò)流量，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，予以針對性維護確保網(wǎng)絡(luò)可以正常運行?；诰W(wǎng)絡(luò)安全運行中通過重視對檢測網(wǎng)絡(luò)流量異常研究，處于現(xiàn)如今網(wǎng)絡(luò)背景下，無論基于理論或是實踐，都具備極為深遠(yuǎn)的研究意義及價值，保障計算機網(wǎng)絡(luò)的安全可靠。

參考文獻(xiàn)

[1]楊雷,李貴鵬,張萍.改進的Wolf一步預(yù)測的網(wǎng)絡(luò)異常流量檢測[J].科技通報,2014,(2):47-49.

[2]WangW,GuyetT,QuiniouR,etal.Autonomicintru-siondetection:Adaptivelydetectinganomaliesoverunlabeledauditdatastreamsincomputernetworks[J].Knowledge-BasedSystems,2014,70:103-117.

[3]蘇孟輝.基于時間序列的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)[D].華南理工大學(xué),2015.

[4]王影.無線網(wǎng)絡(luò)流量異常數(shù)據(jù)信息檢測仿真[J].計算機仿真,2017,34(9):408-411.

[5]丁斌.網(wǎng)絡(luò)協(xié)議分析與網(wǎng)絡(luò)異常流量識別技術(shù)的研究[D].長春工業(yè)大學(xué),2015.

[6]王風(fēng)宇,云曉春,曹震中.多時間尺度同步的高速網(wǎng)絡(luò)流量異常檢測[C].全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集(上冊),2017.

[7]張金榮,王越,王東,等.一種基于G(1,1)改進模型的WSN流量異常檢測方法[J].中南民族大學(xué)學(xué)報(自然科學(xué)版),2018,27(4):66-69.

作者:滕翠 梁川 單位:百色學(xué)院信息工程學(xué)院