SCI论文(www.lunwensci.com):
摘要:论文首先根据网络数据特征、异常特点,提出了网络异常诊断的目标,在对比分析神经网络算法后,根据网络异常特征,选取免疫聚类算法来构建网络异常分析模型,根据模型设计了相应的异常分析算法。免疫聚类算法充分利用了网络设备离散特征,同时产生的网络数据具有连续性,把采集的数据构建成向量,根据向量值,计算出每个时间点的数据特征值,然后根据检测器来分析出产生异常的网络设备。其次,根据网络流量设备分流且具有转发特征,设计了免疫约束的网络流量分析模型,从流量数据约束行为、节点的权重等进行分析,完成了网络流量异常检测和分析。
关键词:网络异常;神经网络;免疫聚类算法;故障分析
Research and Implementation of Network Anomaly Based on Neural Network
GUO Jiayi
(Xianlin Campus,Nanjing University of Posts and Telecommunications,Nanjing Jiangsu 210023)
【Abstract】:The paper firstly proposes the goal of network abnormality diagnosis according to the characteristics and abnormal characteristics of network data.After comparing and analyzing the neural network algorithm,according to the network abnormality characteristics,the immune clustering algorithm is selected to construct the network anomaly analysis model,and the corresponding anomaly analysis algorithm is designed according to the model.The immune clustering algorithm makes full use of the discrete characteristics of network equipment,and the network data generated at the same time is continuous.The collected data is constructed into a vector,and the data characteristic value of each time point is calculated according to the vector value,and then analyzed according to the detector.A network device that produces an exception.Secondly,according to the characteristics of network traffic device shunting and forwarding,an immune-constrained network traffic analysis model is designed,and the network traffic anomaly detection and analysis is completed by analyzing traffic data constraint behavior and node weights.
【Key words】:network anomaly;neural network;immune clustering algorithm;fault analysis
0引言
网络设备是企事业单位信息化基础平台的重要设备,网络设备类型较多,在整个网络运行过程中承担不同的功能[1],类型包括网关、网桥、路由器、网闸等。网络使用过程中,经常会出现因网络设备问题,产生一些异常,影响整个网络性能,但这些异常无法通过人工检查来获取,为单位信息化运维部门带来了较大不便,因此各类网络异常故障诊断平台、工具应用而生,这些诊断平台、工具能够解决一些常见的网络异常问题,但没有从网络数据实现异常的自动化分析。
1网络异常分析目标
论文针对复杂网络环境出现的异常分析需求为基础,提出了基于神经网络的网络异常研究。网络异常分析目标:(1)需要采集到网络设备的运行状态、参数,然后根据网络设备运行状况,来分析出网络设备是否存在异常;(2)在分析出网络设备存在异常后,根据异常状态,分析出存在异常的设备。
2免疫聚类算法的描述
神经网络是按照人类神经系统构建的网络模型,其中免疫网络是神经网络系统的进一步优化。基本免疫算法基于生物免疫系统基本机制,模仿了人体的免疫系统[2]。免疫算法对免疫系统的记忆机制进行了进一步研究,提出了融合迭代记忆和联想记忆的改进自动免疫系统算法,数值实验表明该算法的计算效率较之一般遗传算法有了进一步提高。
由免疫算法可知,检测器对自体空间是随机非分类覆盖,因而,用这种检测器只能检测出待检测样本是自体还是非自体,但却不能分辨出非自体的类型。即用传统免疫算法产生的检测器只能检测出设备有无故障,却不能分辨出究竟是何种故障[3]。但在网络设备故障诊断过程中,不仅要知道设备有无故障,而且要知道发生了何种故障。因此本文提出一种改进的可变半径检测器否定选择算法—基于可变半径实值否定选择算法的免疫聚类算法。
3基于免疫聚类算法网络异常模型
网络设备表现出来的数据是基于时间序列的向量,数据与向量值密切相关,本部分引入了免疫聚类算法,来完成网络异常的分析。
网络设备工作时,通过使用特征向量值来描述网络设备状态,如路由器的分发数据包,网关转发数据状态等。免疫系统可对原始采集的数据进行学习、记忆,产生检测器,即为初始抗体;深入一步,通过抗原进行刺激,使抗体逐渐趋于成熟。这种抗体提供两种作用:(1)成熟抗体(检测器)可对网络设备的工作状态进行异常检测;(2)检测器对网络充备中不同的工作状态的数据进行存储(记忆),通过这种方式可进一步完成异常的标注,标注结果可应用于设备通信过程中的异常诊断,可构建一种基于免疫处理策略的网络故障检测模型。如图1所示为基于免疫聚类算法的故障诊断模型。
在诊断模型中,网络设备的工作状态描述数据通过一个数据值来表示,可为N维特征向量,向量元素可由不同时刻的值来组成。为提高计算效率,把整个正常工作的状态作为算法中的第一类抗原,其可以以选择的方式来产生原始抗体,而用于描述整个网络设备异常工作状态的非自体视为第二类抗原,其作用用于刺激抗体,进行变异、克隆等,促使产生成熟的抗体,抗体为异常检测器,用于检测出某设备是否存在异常[4]。
数据免疫的主要思想是:即在异常数据出现之前的某个时间周期内,通过记录历史正常值,对建立的神经网络做出相应的训练,获取数据之间的内部关系,通过神经卷积操作,使训练完成的网络数据具有预测下一时刻的数据,然后根据预测确定的值输入到网络中,因此获取一组新的样本值,该组数据即为免疫值。
下面为异常数据免疫的过程步骤如下:
设T为网络设备异常数据出现的时间点,Δt为数据采集的时间间隔,训练所采用的样本数据组数为n。
(1)以T-(n-1)Δt为时间节点,采集其到T-Δt间隔时间的网络设备所有正常值对神经网络进行训练。
(2)把T-Δt的时间点的采集正常值录入到训练好的神经网络中,可获取其对应的一序列值,该值为免疫后的T时刻的正确值。
(3)把新修改的序列值替换到采集的异常数据序列。若异常数据出现在不同设备的采集序列中,可逐一进行替换、免疫。
(4)如果采集的数据中,出现连续组的异常数据,可通过改正的T时刻的值来对T+Δt时间值的免疫。
4基于网络流量异常分析
对网络系统进行异常数据识别时,不能仅仅从数据值域来分析,在某个阶段某网络设备的值是不同的,如网络主变监控数据中,如监控的主路由器的负荷在不同的时间区间,其值范围也不同。对所有的网络流量的监控数据以及流量异常数据进行采集、解析和查询,构建多个数据表之间的关联,即由数据代码可检索出网络设备类型,由于网络设备类型的不同,使对异常数据判定方式也不相同。如公式(1)所示为异常加权值后的计算数值。
加权值得分=∑识别行为(1×权重(1)+判定标准×权重(0.2))×时效权重由加权值得到最终的得分,加权值大于5分,则为5分。在完成加权计算后,构建了采集的数据与异常数据检测器的对应判定矩阵。本系统收集两方面的数据,按照异常数据判定标准,对数据不同的值域进行判定,判断其是否为“异常数据”,在本系统中,对某个数据的判定分为5个等级,分别是1分、2分、3分、4分和5分,分值越高,说明采用的判定标准对此异常数据的认同度越高。采集异常数据后,建立异常数据矩阵。
在异常数据矩阵中,行值表示网络系统监测数据,分别为数据1、数据2、数据3,列值表示检测器,检测器1、检测器2、检测器3,表示不同的网络设备在不同时段的判定标准,R11表示检测器1对数据1的判定分数,其值为0-5分,如果检测器对某个数据不作判定,则取值为0。
在完成数据准备之后,本文提出网络流量异常识别标准评分模型用于建模每个网络系统数据“异常程度”的评分。模型的输入数据是采集的数据序列B=(b1,b2,…bn),其中bi代表采集数据。bi由四部分拼接成一个输入向量,分别是设备编号的嵌入向量,即将数据编号独热编码后转换为稠密向量、识别判定、识别标准、识别时间。该判定模型的思路主要是先根据识别数据的输入序列提取序列特征,然后使用注意力机制计算序列中每一个特征的重要性,同时在计算重要性时加入约束项,引导模型更关注较新的识别记录,最终综合得到最后的融合特征向量用于评分。
传统的免疫约束模型在进行向量序列建模时只关注了序列的时序相关性,而无法考虑序列中向量的重要度。例如某一数据在判定时具有很重要的作用,应给予较高的关注度,反之则给予较低的关注度。为实现以上功能,在传统的免疫约束模型中引入了注意力机制,注意力机制会为序列中的每个向量计算一个注意力评分,以度量该向量的重要程度。然而,在使用了注意力机制后,模型依然没有上文说的时间有效偏好性,为进一步引导模型关注更新的识别行为,在注意力机制的评分计算公式中加入了一个约束项,使得更新的识别行为会被强制地提升一定量的权重。
5系统典型功能实现
5.1网络设备数据采集
网络设备数据采集,一般对通过网络设备的流量数据进行采集,包括通过设备前的网络数据传输流量,同时采集经过网络设备后的数据传输流量。网络设备数据采集主要从网络监控平台上来采集,网络监控平台用于监控网络中各个设备节点的数据包情况,网络监控平台采集数据后,对数据流量进行统计,引入时间因素,构建序列数据,通过Web Servies实现JSON数据的请求转发。
5.2网络故障分析实现
对于各种故障信息模式在空间上相互重叠、难以找到清晰边界的设备故障诊断问题,如果在某个设备上获取流量的异常,但并不代表因此设备产生的异常,可能由其连接设备出现了问题,因此在采集网络设备数据时,采集的数据具有矢量特征,能够体现出网络数据流量,在对网络故障进行定位时,查除了一些非线性关系,可能存在一些非线性关系,即特征向量空间与故障种类之间大部分情况下不是简单的一一对应关系,而是存在着大量的空间重叠(同一区域对应多种不同故障或同一种故障对应多个不同区域)。当故障出现时,难以根据一个或几个特征找到故障源。
6小结
论文以网络异常分析的需求为基础,引入了免疫聚类算法来实现网络异常分析,首先介绍了聚类免疫算法基本概念和特征,然后设计基于免疫聚类算法的故障诊断模型,最后以基于网络流量异常分析为例说明了异常诊断过程,分别从网络设备数据采集、网络故障分析两方面来说明网络异常诊断实现过程。
参考文献
[1]吴浩明,张斌,周奕涛,等.一种基于特征选择的网络流量异常检测方法[J].信息工程大学学报,2020,21(6):711-718.
[2]黄昱鸿.基于卷积神经网络的计算机网络流量异常检测[J].电子技术与软件工程,2020(23):15-17.
[3]曹林,王之腾,陈亮,等.基于改进量子免疫算法的神经网络集成[J].计算机工程与应用,2020,56(22):142-147.
[4]朱传华.人工免疫算法在网络入侵检测中的应用[J].吉林省教育学院学报,2019,35(7):74-77.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/49378.html
