1、基于 SVM 的电信网络异常点检测技术的研究 吴锐 陈静 安徽工业经济职业技术学院 摘 要: 随着我国电信网络的不断发展, 其服务也逐渐呈现出多样化趋势, 使得网络传输的数据类型也日益复杂, 同时流量规模较之以往有了大幅的提高.在此情况下, 电信网络运营维护方式必须予以加强和改进, 由以往基于被动统计的检测方式转变为主动针对具体性能指标进行监测的模式, 对网络中出现的异常情况进行快速的排查和解决.本文提出一种基于 SVM 技术和同点时间序列模型的网络异常点动态检测机制, 对电信网络置信区间的异常点进行实时化监测.通过仿真实验证明, 该方法有效地提高了电信网络异常点的识别速度, 具有一定的推广价
2、值.关键词: SVM; 电信网络; 异常点; 时间序列; 收稿日期:2017-08-11基金:2016 年度安徽省级特色 (品牌) 专业课题 (2016tszy018) Received: 2017-08-111 引言随着电信网络规模的逐渐增大, 目前广泛使用的异常检测手段主要是通过设置静态阈值的方式来完成, 当流量在某一时间点超过阈值时, 系统根据监测到信息发出警报, 但此种方法存在诸多的弊端, 最大的问题就在于只能对某一网络区域的总流量进行监测, 而无法监控某个具体的端口1, 这使得虽然大部分时间总流量是出于正常区域内的, 但用户端的流量却经常性的出现异常波动, 如有限范围内的病毒攻击或广
3、播风暴等, 这对用户体验度的影响是显而易见的.在流量异常的检测领域, 有不少研究人员发表了自己的研究成果.如 Roy 首次提出了流量正常范围的概念, 认为流量规模无论是否出现突变, 只要在某范围之内, 都可认定为正常2;Jun Jiang 等人提出了将预测算法引入到流量监测领域, 通过某时间段内的流量变换情况来预测下一刻网络性能的变化趋势3;Amon Goldman 等人从统计学方法入手, 采用迭代统计机制来观察某区域内的流量波动, 从而更准确地调整阈值范围4;Matthew V Mahoney 提出了预先过滤机制, 并通过建立协议模型的方式辅助异常检测5.以上检测方法基本属于被动调控方式,
4、因此监控策略的生效往往较为滞后, 并不能及时有效的解决网络流量中出现的异常情况, 因此目前该领域内的研究热点就放到了主动识别和事前监控方法的研究方面, 本文正是基于此趋势展开研究, 提出了一种基于支持向量机 (Support Vector Machine, SVM) 的主动性能监测方法.主动性能监控技术的检测对象不再是某一区域内的流量规模变化, 而是通过分析异常点的方式来识别网络中可能出现的故障.所谓的异常点指的是预设的一系列性能指标中的某一点的波动超出了正常范围, 异常点的出现, 基本上是由通信服务出现故障造成的, 因此在第一时间内对服务区域内的异常点进行检测、定位和修复可有效地提高通信质量
5、, 从而达到避免严重故障发生或缩短故障发生时间的目的.在检测异常点的过程中, 通常会利用两个指标, 分别是基线和阈值, 这也是目前最常用的检测模式, 但该模式存在一定的缺陷, 例如无法对基线和阈值进行实时化的动态调整, 使得这两个参数与真实的网络状况相比存在一定的滞后, 虚假报警或遗漏报警的情况很难避免7.本文的优化思路是引入 SVM 机制来对以时间序列为对象的网络性能评价系统进行改进, 提高基线计算的精确性和实时性, 并利用训练残差来计算指标值的置信区间, 从而为阈值的设定提供了可靠的依据.2 支持向量机优化机制支持向量机 SVM 是近年来发展较快的一种基于机器自适应和自学习的智能型优化算法
6、, 属于统计分析、人工智能和自动控制领域的交叉研究成果8.该算法在高维数和非线性等复杂问题的优化与求解领域具有良好的应用优势, 相较于其他同类型的优化算法, SVM 通过对解群体的分类与回归, 实现了更加突出的泛化性6.从本质上看, SVM 研究的对象为二元分类问题, 其算法基本原理描述如下:计算得到的 f (x) 为+1 时, 表示 x 归类为一类, f (x) 为-1 则表示 x 归类为二类, 依据此规则就可对被控对象进行主动预测, 如判断网络性能是否出现异常.3 电信网络性能异常检测方案设计3.1 电信网络性能同点序列数据模型的提出如前文所述, 本文提出同点时间序列数据模型, 采样的时间
7、点不再是连续的, 而是根据每天同一时刻, 连续多日采样, 得出优化算法所需的训练集, 如式 (2) 所示:根据实践经验可知, 电信网络异常事件一旦发生, 其生命周期一般不会太短, 往往要持续多个采样周期, 在采用连续时间序列模型时就会导致输入向量中的异常点也往往也集中出现, 不利于整体的性能评价;而同点时间序列的采样点是呈分散状的, 这就大大降低了一个输入向量同时包含多个异常点的可能性, 从而提高了检测工作的稳定性和可靠性.3.2 核函数的选择及参数优化SVM 算法中的核函数直接决定了算法预测的质量高低, 在选择核函数时, 若无法得到可靠的先验知识, 则一般均会选择高斯径向基函数来作为 SVM
8、 算法的核函数, 其原因就在于该函数具有很好的逼近能力, 在线性于非线性系统中均表现良好10.本文经过综合考虑, 最终决定也选取该函数为 SVM 算法的核函数, 如式 (4) 所示:在选定过了核函数之后, 就需要对其他参数组进行预优化, 通过粗略寻优来判断最优参数的估值, 再在此估值附近进行精细寻优, 最终找到合适的 c 和 .图 SVM 参数精细寻优结果 下载原图观察左图可以发现, c 和 精细寻优结果的取值范围明显缩小, 最终确定c=1.3272, =1, SVM 对训练集的分类准确率也有了一定的提高, 近似达到了95.6%.3.3 置信区间的确定在经过上述的步骤后, SVM 算法已确定了
9、基线和最佳参数, 下一步工作就是利用训练残差计算指标值在监控时间点上的置信区间.根据式 (5) 就可根据选定的置信区间得到相应的阈值波动范围, 如若选定置信度为 1-=95%, 查正态分布表得 z0.05/2=1.962, 则指标值在监控时刻的波动范围为 若选置信度为 1-=97%, 则根据 z0.03/23, 波动范围为4 仿真实验本实验采用 CPU 负荷这一常用的性能指标来模拟监控实验, 数据来源为某电信网络服务器的监控记录, 采样周期为 3d, 从 2016 年 3 月 31 日至 4 月 2 日, 共288 个采样点通过观察监控记录发现存在 15 个异常点, 而其中 12 个异常点为连
10、续集中型, 其余 3 个异常点为随机型.前者的异常状态表现为 CPU 负荷过低, 说明某一服务可能遭遇了意外中断, 并在较长时间内保持该中断状态;3 个随机异常点, 表现为 CPU 负荷突变, 短时间内发生了大幅波动, 说明某服务出现了暂时的故障和停顿.就该样本集分别采用基于连续时间序列和同点时间序列的SVM 算法进行预测, 并计算相关的基线和阈值, 设容忍度为 0, 置信度为 95%.通过分析可以看出, 连续时间序列模式下, SVM 检测机制的敏感度过高, 对实际出现的异常点均能做出反应, 但误报警的情况很难避免, 此外对于集中异常点的状况表现不佳, 容易出现漏报.基于同点时间序列模式的 S
11、VM 检测机制可以很好地反应电信网络中出现的异常情况, 特别是针对异常点集中出现的状况, 该机制下的检测识别率远比其他算法可靠, 表现出了良好的持续监控能力.5 结束语随着广大用户对网络服务水平的需求不断提高, 电信运营维护的模式也必然要发生转变, 从以往的被动统计方式逐步地朝着主动监控方向发展.本文提出了基于 SVM 优化机制的电信网络性能检测机制, 并在此基础上设计了计算基线和阈值的方法, 最后基于连续时间序列和同点时间序列分别建立了被控对象模型, 通过仿真实验证实了同点时间序列下的 SVM 检测机制能够有效地对电信网络运营过程中出现的异常点进行实时化的监测.相信随着智能算法领域的不断发展
12、, 会出现更多的优秀算法和机制, 进一步提高电信网络的性能监测水平, 为用户提供更高质量的网络通信服务.参考文献1于艳华, 宋俊德.一种基于异常点检测的电信网络性能监控策略J.电子与信息学报, 2009, 31 (9) :2220-2224. 2武优西, 郭磊, 柴欣, 等.基于优化算法的核函数参数选择的研究J.计算机应用与软件, 2014, 27 (1) :137-140. 3吴景龙, 杨淑霞, 刘承水.基于遗传算法优化参数的支持向量机短期负荷预测方法J.中南大学学报:自然科学版, 2009, 40 (1) :180-184. 4Castro L N, Timmis J.An Artific
13、ial Immune Network for Multimodal Function OptimizationC/Proceedings of IEEE Congress on Evolutionary Computation (CEC02) .Hawaii, USA:2015:674-699. 5冯旭哲, 罗飞路, 杨俊.基于小波支持向量机的数字通信信号调制识别J.电子测量与仪器学报, 2013, 23 (3) :87-92. 6Erman J, Arlitt M, Mahanti A.Traffic classification using clustering algorithmsC.P
14、roceedings of the 2011 SIGCOMM Workshop on Mining Network Data, Pisa, Italy, 2013:281-286. 7Shi Zhi-wei and Han Min.Support vector echo-state machine for chaotic time-series predictionJ.IEEE Transactions on Neural Networks, 2014, 18 (2) :359-372. 8朱树先, 张仁杰.支持向量机核函数选择对面部特征识别的作用J.光学技术, 2013, 34 (6) :9
15、02-904. 9马维晏, 李忠诚.基于流的网络流量特征分析J.小型微型计算机系统, 2009, 9 (10) :54-58. 10Dias D M, Kish W, Mukherjee R, etal.A Scalable and Highly Available Web Servers.Proc.of 41st IEEE Computer Society Intl.Conf. (COMPCON 2014) , 2015-02:85-92. 11Sebastian E, Gregg R, Srikanth K.Leveraging user-session data to support web application testingJ.IEEE Transactions on Soft-ware Engineering, 2005, 31 (3) :66-67.
