网络流量异常检测是计算机网络基础理论研究的热点问题之一，对有效掌握网络状态，增强网络性能和提高网络安全性有重要意义[1,2]。网络是一种复杂的系统，其中有大量动力学行为、信息交换行为和更新行为，这些行为令网络流量变得越来越复杂。有效实现网络流量异常检测非常困难[3]。采用传统微观异常检测方法时，其线性叠加一般无法与网络流量的复杂性保持一致。随着网络带宽的迅猛膨胀，大规模网络实时性需求使当前网络流量异常检测技术的检测精度大大降低[4]。所以，引入新的异常检测方法以保证网络安全性是非常必要的。随着分形理论的逐渐发展，研究者对网络异常检测的研究越来越深入。

近年来，中国电信湖南公司（以下简称“湖南电信”）持续优化体制机制，着力构建监督有力、制约有效、问责到位的落实监督责任制度体系。自2015年接受集团内巡开始，持续推动纪检监察体制机制改革，共印发10余项制度不断优化体制机制资料文件，从“定机构、定职责、定人员”，到完善基层纪委书记分工、增加专兼职纪检人员编制、提升岗位序列、建立三支监督队伍、组建风纪监督委员会、试点派驻纪检专员制等举措，确保纪委监督的相对独立性和权威性，推动党委主体责任和纪委监督责任形成良性互动。

大量研究表明，在任何时间地点和网络下，网络流量自相似性普遍存在，和网络服务、类型、大小等基本无关。由于网络流量受到许多因素的影响，具有一定的非稳定性、周期性等。近年来，关于网络流量异常检测的研究不断增多，其中采用时间序列分析法较为普遍，该方法不能反映出网络流量的非稳定性，造成网络流量异常检测结果可信度低。文献[5]提出一种基于流特性的网络流量异常检测方法，综合利用指数加权移动平均预测模型检测突变异常和均衡模型检测相关性流异常的能力,对网络流量进行建模,检测网络流量中的异常情况，该方法存在检测精度低和实时性差的问题；文献[6]提出一种基于xenVMI机制下的蜜网流量异常检测方法，该方法检测时间速度快，但是存在检测结果偏差大的问题。

根据上述问题，提出一种基于分形理论的网络流量异常检测技术。首先通过FIR滤波方法对流量的时间序列进行预处理，在此基础上，估测网络流量异常点数量与位置，引入滑动窗口完成多网络流量异常点的检测，在检测异常点处对流量进行分形处理，完成对网络流量的异常检测。

1 基于分形理论的网络流量异常检测技术

在现实生活中，若一个系统具有混沌性，则采集到的数据信息是一种混沌时间序列，此数据表面上看似没有什么规律，但是可以通过一定的技术渐次变换为高维空间，因此就可以找到数据所隐藏的变化规律，分形理论即为这样一种技术。分形理论通过找到一个原动力学拓扑相同的相相空间，进而更加有利于网络流量的异常检测。在对网络流量异常检测之前，首先需要通过FIR滤波方法对流量的时间序列进行预处理，以降低复杂度，提高检测精度。

1.1 干扰滤波预处理

假定网络流量是通过非线性时间序列形成的，则可通过下述FIR滤波模型实现干扰抑制：

 

(1)

式(1)中，u0为网络流量的初始采样幅值；ui为网络流量的第i个采样幅值；ym-i为存在相同均值与方差的网络流量标量时间序列；vj为网络流量第j个振荡幅值；M为网络流量总数。采用Fourier变换对网络流量数据流进行变换，得到y(n)，经干扰滤波处理后可获取到网络流量的振荡衰减：

 

(2)

式(2)中，λ为相空间中的嵌入维数；ε为网络流量的域间方差系数；X*(t)为网络流量异常特征检测的相关函数[7]。设输入序列y(n)是一个平稳的时间序列，则滤波器的传输函数可用式(3)描述：

依据《总局办公厅公开征求关于药品上市许可持有人直接报告不良反应事宜的公告意见（征求意见稿）》，实施上市许可持有人直接报告不良反应制度，这对我国的药品不良反应报告制度将发生重要变化，对药品生产企业产生深刻影响：增设责职部门、承担药物警戒责任、时刻准备着处置与本企业药品相关的安全性、有效性和稳定性问题。同时该制度也给企业带来机遇，提出“医疗机构及个人保持原途径报告不良反应/事件，鼓励向持有人直接报告。药品经营和分销企业直接向持有人报告。”期待国家出台配套政策，实施不良反应直报制度，通过公共管理的政策和措施，实现社会对药品不良反应的正确认识，提高全社会安全用药水平。

深化水利建设与管理体制改革 为水利改革发展提供坚实保障……………………………………………………… 孙继昌(23.9)

 

(3)

式(3)中，

 

(4)

图1是根据上述内容设计得到的网络流量干扰约束FIR滤波器。

  

图1 滤波器Fig.1 Filter

经FIR抗干扰滤波处理后，网络流量输出分析模型可描述为

(3)搜集素材。幼儿课件主要使用音像素材，音频包括人声、音乐、音效，图片要特点鲜明、风格统一、大小合适。另外，建立素材库更方便制作。

x(t)=y(t)+Ih(t)=I(t)eα(t)i+d(t)

(5)

式(5)中，y(t)为网络流量时间序列的实部；h(t)为网络流量时间序列的虚部；I(t)为相位随机化幅值；d(t)用于描述干扰向量。

到达阵地后，夏国忠指挥士兵们抓紧时间抢修工事。他让战士们利用地势地形，构筑起一条环山掩体，每隔几米挖一个防空洞，以防鬼子飞机大炮的轰炸。

最后，求出Hurst指数

1.2 假设检验问题判别

采用Schwarz信息准则对网络流量异常检测问题进行处理[8]，该信息准则的基本思想为：若待检测网络流量序列中有异常点，则序列的熵值会高于没有异常点的序列熵值。在实际应用中，依据Schwarz信息准则检测是否存在异常点时，不用将序列复杂的分布函数导出，因此本节采用Schwarz信息准则估测网络流量异常点数量与位置[9,10]。

（1）对止水槽基面采用聚合物复合韧型环氧砂浆进行找平处理，折角部位加强厚度形成弧状，解决因基面不平整而形成局部漏水空洞。

针对长度为l的网络流量序列s提出检测问题：①A0为没有变异点存在；②A1为有一个变异点P存在。

对于异常点P而言，其把序列s划分成两个子序列，分别为s1与s2。其中：s1=(1,2,…,P)，s2=(P+1,P+2,…,l)。

SIC代表变量数量的最佳权衡，通过Schwarz描述SIC统计量：

SIC(l)=-2lg f(φ*)+Klgl

无论褒义还是贬义，形容词最高级都用来强调极端的程度。11段中第2句：即便这个怪物集所有缺陷于一身，因其在音乐领域做出的不可磨灭的贡献，所有缺点又都是可接受的。

(6)

式(6)中，f(φ*)表示模型的似然函数；φ*表示参数φ的极大似然估计；K表示模型中参数的数量。

对于所提的检测假设问题，若A0成立，则Schwarz信息准则用SIC(l)描述；若A1成立，则Schwarz信息准则用SIC(P)描述。依据最小信息准则的原理，如果不接受A0，则SIC(l)>SIC(P)；如果接受A0，则SIC(l)≤minPSIC(P)。

异常点P的位置可采用式(7)估算：

 

(7)

若序列s服从高斯分布，则A0与A1的SIC统计量可描述如下。

A0:

将室外机组的风冷式冷凝器换成板式换热器，用水冷却高压气态制冷剂，使气态制冷剂冷凝成高压液态制冷剂，省去轴流风机，节约一定的电能，利用水冷式冷凝器中的冷却水进行循环使用向室内加湿器供水。图4和图5是传统空调室外机和利用SolidWorks建立的室外机模型对比图，由2个图对比可以看出在一定程度上简化了室外机的内部结构。

SIC(l)=llg(2π)+llgζ2+l+lgl

(8)

接着，求出其均值的累积横距[16]：

 

(9)

式中，依次表示网络流量序列s、网络流量子序列s1以及网络流量子序列s2方差的最大似然估计。

1.3 分形理论中自相似指数计算

依据分形理论，通过上述过程即可实现图2中网络流量异常点(P1,P2,…，PM′)的检测。

设Zi=Z1,Z2,…,Zk是其中一时间序列的连续k个值，取对数后执行一次差分计算，把数据分成相邻子区间B，其长度为L，此时BL=k。

在检测的异常点Pi处对流量进行分形处理，依据自相似指数计算过程获取异常点Pi和Pi-1间的流量自相似指数值H*，并且保存异常点Pi之后的流量，为下一个异常点Pi+1的检测提供依据。

 

(10)

再对各子区间的标准差进行计算：

 

(11)

A1:

变炸为烤：传统的脆皮鸡是用油炸的方式制熟的，鸡肉会显得很油腻。将油炸改为烤制后，蒜香脆皮鸡不仅鸡皮酥脆、鸡肉滑嫩，而且还带有蒜香味。

 

(12)

由此，计算出其组内极差，即：

在市政给排水工程中使用节能措施十分关键，需要庞大的能源支持。在市政给排水工程设计时，使用节能措施的目的体现在以下几方面：

RN=maxZr,B-minZr,B

(13)

通过Fourier变换完成对网络流量时间序列的变换，由此确定y(n)，通过自相关函数特征匹配方法对网络流量非线性成分产生的替代数据进行查验，对产生的替代数据y*(n)进行Fourier逆变换运算，从而实现网络流量干扰滤波预处理。

时至今日，“泰诺”投毒案仍未告破，强生公司的10万美元奖金还无人领取。但我们相信在安保体系更加完善的今天，恐怖袭击的阴霾终将消散。

 

(14)

式中，RN表示极差；SN表示标准差；N表示观察值数量；δ表示一常数；H*表示Hurst指数。

人力资源管理系统之中，应当加强绩效管理的运用，从而提升人力资源管理的质量以及效率，促进医院可以实现健康以及稳定发展。首先，进行绩效考核的过程当中，注意考核和岗位实现有效融合。对员工考核过程当中，医院方面应当对护理及医生进行不同层面考核，考核内容、考核指标差异化，也需要注意技术、难度、劳动强度、专业特点、职责岗位以及风险系数等多方面因素，切忌一刀切，实现全面、综合性考核。考核过程当中应当避免僵化，实现动态化的考核，并且奖金发放以及职称评聘要有依据，对于表现良好员工需要给予一定精神奖励以及物质奖励，促使工作积极性得到显著提高，督促员工不断提升自我。

1.4 分形理论下网络流量自相似变化点的实时检测

在实际应用中，采集的网络流量一般不止一个异常点，同时这些异常点出现的时间具有很高的随机性[17]。为了实时有效检测网络流量中的异常点，引入滑动窗口完成网络流量多异常点的在线检测，如图2所示。

  

图2 多异常点检测方案Fig.2 Multiple outlier detection scheme

图2中，当滑动窗口向前时，仅需添加流量数据长度足够短，则可做出以下假设，新添加的网络流量片段最多只有一个变点[18]。

在校园网环境下对网络异常流量进行检测，采集的网络流量源于某学校社区网。通过SNMP软件对该学校近一段时间内校园网流量进行采集，也就是在该学校和外网连接的交换机出口对流量数据进行采集，通过统计软件SPSS对网络流量自相似性进行分析。图3的是用于实验的网络拓扑图。

1.4.1 初始化

采集长度是L′的流量序列，同时保证该序列平稳自相似。对其进行滤波处理，求出统计量SIC(l)与SIC(P)。

1.4.2 判别

对全部统计量SIC进行假设检验问题判别，如果绝大多数序列的A0是真，则认为流量无异常，移动窗口至下一时刻；如果绝大多数序列的A1为真，则认为当前网络流量不平稳，求出异常点Pi位置。

1.4.3 分形

先对各子区间的均值进行计算：

分形理论是当今十分风靡和活跃的新理论、新学科。分形理论的基本特点是用分数维度的视角和数学方法描述研究客观事物[11,12]。在采用分形理论对网络流量异常进行检测时，通常通过自相似指数实现分形[13]。现采用R/S分析法对网络流量时间序列的分形特征进行分析，求出自相似指数Hurst值[14,15]。

2 实验及结果分析

2.1 数据采集与实验环境

网络流量异常检测流程可描述如下。

  

图3 用于实验的网络拓扑图Fig.3 Network topology for experiments

2.2 技术测试结果

实验中全部代码均通过Microsoft Visual Studio 2010环境下的C#实现。运行实验计算机的CPU为Intel公司生产的E7400，内存为4 GB，操作系统是Windows XP。

成都工业学院[3]主要在教学内容上增加零部件测量、检测、机构调整、汽车配件质量的鉴别与检测、汽车再制造认识、再生燃料及新能源汽车认识等拓展内容，以引导学生不满足于现状、努力学习，达到强化实践操作技能、提升工作能力的目的。

为了准确检测网络异常流量，假设单位时间窗口长度是1 min，图4所示的是预处理前后本文技术网络流量异常检测结果，其中图4(a)所示的是预处理前网络流量异常检测结果，图4(b)所示的是预处理后网络流量异常检测结果。

分析图4可知，预处理前本文技术检测的网络异常流量出现在6:59:54时刻、8:05:54时刻、8:46:54时刻，而经预处理后，本文技术检测的网络异常流量出现在6:59:54时刻，为了验证本文技术检测结果的准确性，对上述三个异常点的校园网流量进行分析。

因为TCP流量基本占据了所有IP流量的96%左右，同时TCP流量自相似程度与所有IP流量基本一致，所以直接采集TCP流量中的HTTP流量进行分析。

给出上述三个异常时间点的异常滑动窗口流量数据，如表1所示。

  

图4 预处理前后网络流量异常检测结果Fig.4 Anomaly detection results of network traffic before and after preprocessing

 

表1 异常事件点滑动窗口流量数据Table 1 Flow data of sliding window of abnormal event point

  

登录ID登录时间登录类型登录用户登录源IP登录源端口登录目的IP登录目的端口1 4266:59:54HTTPunknown85.244.31.16550 522211.90.200.7901 4276:59:54HTTPunknown90.152.219.3136 051211.90.200.5901 4286:59:54HTTPunknown96.113.50.7935 122211.90.200.9901 4296:59:54HTTPunknown125.136.75.4948 556211.90.200.7901 6938:05:54HTTPunknown211.42.232.1421 557211.90.200.7901 6948:05:54HTTPunknown121.41.171.711 595211.90.200.7901 6958:05:54HTTPunknown211.42.232.1422 367211.90.200.9901 6968:05:54HTTPunknown60.255.179.1023 205211.90.209.1901 8608:46:54HTTPunknown61.6.126.1833 611211.90.200.5901 8618:46:54HTTPunknown231.192.8.1012 126211.90.200.5901 8628:46:54HTTPunknown85.126.217.1433 039211.90.200.9901 8638:46:54HTTPunknown121.135.208.652 274211.90.200.1090

对网络流量特征属性源IP、源端口、目的IP和目的端口进行归一化处理，假设和检测异常流量数据相应的输入矢量为X=(x1,x2,…,xk)，量化错误量为Q，相应码字为Y=(y1,y2,…,yk)，则第i个分量xi对异常流量的贡献Ci可通过式(15)求出：

 

(15)

通过式(15)获取源IP、源端口、目的IP和目的端口对异常流量的贡献程度，结果依次是5.12、79.83、8.25、6.8，发现对异常流量贡献最大的为源端口。分析表1可知，6:59:54时刻网络流量源端口最异常，而8:05:54时刻、8:46:54时刻网络流量端口无异常，说明经预处理后，本文方法异常检测结果是准确的。

2.3 和其他技术的对比结果

2017年10月10日下午13:00～15:00时间段内，校园网用户反馈网络响应非常缓慢，无法正常运行。这主要是因为网络攻击使用异常数据流量攻击网络设备或其接入服务器，导致网络设备或服务器性能大大降低，占用网络带宽，严重影响其他网络用户流量的正常通信，无法建立正常连接。分别采用本文技术、直方图聚类技术和自适应阈值技术对上述时间段内校园网络异常流量进行检测，结果如图5所示。

通过分析网络流量数据得到的异常检测结果如图6所示，将该结果看作真实网络流量异常检测结果。

对比图5和图6可知看出，本文技术网络流量异常检测结果和通过分析流量数据得到的异常检测结果最为吻合，而直方图聚类技术和自适应阈值技术检测结果和真实结果相差较大，无法有效检测异常流量，说明本文方法实用性强，可靠性高。

3 结论

  

图5 三种技术检测结果Fig.5 Test results of three technologies

提出一种新的基于分形理论的网络流量异常检测技术。对网络流量进行预处理，依据分形理论，引入滑动窗口完成多异常点的在线检测。实验结果表明，所提技术实现过程简单，检测精度高。

  

图6 分析流量数据得到的异常检测结果Fig.6 Analyzes the anomaly detection results obtained from traffic data

参考文献

1 牛咏梅. 基于分形理论的光纤网络流量异常检测技术. 激光杂志, 2016； 37(5):89—92

Niu Yongmei. Anomaly detection technology of fiber network traffic a based on fractal theory. Laser Journal, 2016; 37(5):89—92

2 刘海涛. 恒虚警下异常网络流量序列监测技术仿真分析. 计算机仿真, 2016; 33(8):244—247

Liu Haitao. Under the constant false alarm monitoring technology simulation analysis abnormal network flow sequence. Computer Simulation, 2016; 33(8):244—247

3 邱 卫, 杨英杰. 基于尖点突变模型的联动网络流量异常检测方法. 计算机科学, 2016; 43(3):163—166

Qiu Wei, Yang Yingjie. Interaction network traffic anomaly detection method based on cusp catastrophic model. Computer Science, 2016;43(3):163—166

4 Przemysaw B, Jasiul B, Szpyrka M. An entropy-based network anomaly detection method. Entropy, 2015;17(4):2367—2408

5 曹 杰, 殷保群, 钱叶魁. 基于流特性的网络流量异常检测研究. 系统科学与数学, 2015; 35(10):1127—1134

Cao Jie,Yin Baoqun,Qian Yekui. Network traffic anomaly detection based on flow feature. Journal of Systems Science and Mathematical Sciences, 2015；35(10):1127—1134

6 吴 军, 张向丽, 张轶君,等. 一种基于xenVMI机制下的蜜网流量异常检测方法. 电子技术应用, 2015; 41(1):122—124

Wu Jun, Zhang Xiangli, Zhang Yijun, et al. A honeynet traffic detection method based on xenVMI mechanisms. Application of Electronic Technique, 2015; 41(1):122—124

7 田明银, 兰一麟涛, 钱 伟. 基于分形算法的三维地形可视化应用. 电子设计工程, 2016； 24(14):20—23

Tian Mingyin, Lan Yilintao, Qian Wei. The application of 3D terrain visualization based on fractal algorithm. Electronic Design Engineering, 2016; 24(14):20—23

8 Qin W. Multi-scale anomaly detection for high-speed network traffic. Transactions on Emerging Telecommunications Technologies, 2015; 26(3):308—317

9 柏 骏, 夏靖波, 吴吉祥,等. ODA-IPNMF:一种在线全网络流量异常检测方法. 哈尔滨工业大学学报, 2015; 47(5):104—109

Bai Jun, Xia Jingbo, Wu Jixiang,et al. ODA-IPNMF：An online anomaly detection algorithm. Journal of Harbin Institute of Technology, 2015; 47(5):104—109

10 伍妍妮, 潘 炼, 王 薇. 基于分形特征的复杂环境目标检测方法研究. 计算机测量与控制, 2014； 22(5):1327—1329

Wu Yanni, Pan Lian, Wang Wei. A research of moving target detection under complex background based on fractal feature. Computer Measurement & Control, 2014; 22(5):1327—1329

11 王俊士. 基于模糊PID控制的网络异常流量监控设计. 科技通报, 2016; 32(5):142—146

Wang Junshi. Network abnormal traffic monitoring based on fuzzy PID control. Bulletin of Science and Technology, 2016; 32(5):142—146

12 朱 晟, 邓石德, 宁志远,等. 基于分形理论的堆石料级配设计方法. 岩土工程学报, 2017; 39(6):1151—1155

Zhu Sheng, Deng Shide, Ning Zhiyuan,et al. Gradation design method for rockfill materials based on fractal theory. Chinese Journal of Geotechnical Engineering, 2017; 39(6):1151—1155

13 Xiong W, Hu H, Xiong N, et al. Anomaly secure detection methods by analyzing dynamic characteristics of the network traffic in cloud communications.Information Sciences, 2014; 258(5):403—415

14 姜红红, 张 涛, 赵新建,等. 基于大数据的电力信息网络流量异常检测机制. 电信科学, 2017;33(3):134—141

Jiang Honghong, Zhang Tao, Zhao Xinjian, et al. A big data based flow anomaly detection mechanism of electric power information network. Telecommunications Science, 2017; 33(3):134—141

15 刘西雷. 基于分形理论计算相渗分流量曲线. 大庆石油地质与开发, 2015;34(1):59—62

Liu Xilei.Relative permeability fractional flow curve calculation based on fractal theory.Petroleum Geology & Oilfield Development in Daqing, 2015; 34(1):59—62

16 胡 平, 叶 坤, 刘瑞琴. 一种基于Chebyshev的网络流量异常检测方法. 计算机应用与软件, 2016; 33(5):127—131

Hu Ping, Ye Kun, Liu Ruiqin. A network traffic anomaly detection method based on Chebyshev. Computer Applications and Software, 2016; 33(5):127—131

17 李宇翀, 魏 东, 罗兴国,等. 基于多元增量分析的全网络在线异常检测方法. 上海交通大学学报, 2016；50(9):1368—1375

Li Yuchong, Wei Dong, Luo Xingguo, et al. Online network-wide anomaly detection algorithm based on multivariate incremental component analysis. Journal of Shanghai Jiaotong University, 2016; 50(9):1368—1375

18 范晓诗, 雷英杰, 王亚男,等. 流量异常检测中的直觉模糊推理方法. 电子与信息学报, 2015; 37(9):2218—2224

Fan Xiaoshi, Lei Yingjie, Wang Yanan, et al. Intuitionistic fuzzy reasoning method in traffic anomaly detection. Journal of Electronics & Information Technology, 2015; 37(9):2218—2224