关于网络性能异常检测技术的研究和优化

黄正峰

摘要：我国网络通信规模巨大，且随着用户对网络服务质量的要求不断提高，导致网络中存在大量类型各异的数据，为了完成这些数据的传输任务，网络设备不得不耗费更多的资源进行计算与处理，这对网络整体性能的稳定造成了一定的影响。在此情况下，网络性能维护工作必须加以改进和完善，其重点就在于网络异常点的确定与处理。该文提出了一种基于SVM的网络异常点检测技术，并构建了相关的同点时间序列模型，能够对网络异常点实施动态检测，具有一定的推广价值。

关键词：SVM；网络性能；异常点；检测

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）13-0042-02

1概述

随着网络规模的不断扩大，且用户对数据服务的多样化需求，使得我国网络通信企业不得不面对更大规模的数据通信及更加复杂的数据分析处理任务，这无疑会造成网络额外的开销与负荷，在这种大环境下，网络设备异常的概率也大大增加了，从而导致用户评价度的下跌，对企业的经营与发展造成了不良影响。因此必须加强网络运维质量，提高故障排查效率。目前在网络异常点检测工作中，使用较多的方法均为被动监测法，即通过设置静态阈值来监测网络流量是否超过设定的上限值，若超过则判定为有异常发生，此时向管理人员发出警告信息，否则即认定网络处于正常运行状态。但此方法存在较多的不足之处，如分析对象较为单一，只能针对某一局部网络的总流量进行监控，在这种情况下，即使有个别设备处于异常状态，但只要总流量不超限，則监控系统就无法识别，于是经常造成某些用户明显觉察到网络已无法提供良好的通信服务，但运维部门却认为网络无故障发生的情况出现，这对用户体验度的影响是非常严重的。本文正是基于此趋势展开研究，提出了一种基于支持向量机（Support Vector Machine，SVM）的主动性能监测方法。

主动性能监控技术将检测对象具体到某个设备的端口，通过对某点异常信息的抓取和分析，实现对网络异常点的快速定位。这里的异常点的判断依据在传统模式上做了一些改进，即不再仅根据流量的波形异常情况，而是设定一系列的性能指标，只要其中某一指标的波动超限即可认定异常发生，这种方法显然极大地提高了系统识别异常点的反应速度和收敛速度，从而达到避免严重故障发生或缩短故障发生时间的目的。

2支持向量机优化机制

支持向量机SVM是一种自适应能力较强的智能优化算法，被广泛地应用在工业自动化控制、环境监控和预测模型设计等领域。该算法尤其针对高维数的复杂问题具有良好的优化效果，可在保障分析质量的前提下，显著降低计算的繁琐程度，从而提高系统的响应速度。该算法与其他智能优化算法相比，其最大的特点就是具有较高的泛化性，这也是该算法使用范围广泛的重要原因之一。从本质上看，SVM研究的对象为二元分类问题，现对其算法执行过程进行介绍：

计算得到的f（x）为+1时，表示x归类为一类，f（x）为-1则表示x归类为二类，将这种二元化的判断方法应用到网络异常点的检测上，就可得出某点是否存在异常的分析结果。3网络性能异常检测方案设计

3.1同点时间序列监测模型的设计

本设计考虑到连续时间点监测易导致的局部波动过大的问题，决定采用同点时间序列来构建监测模型，即训练集中的各个元素为不同日期的同一个时间点上锁采集到的网络性能参数，并将这些序列汇集在以日期为单位的时间轴上，从而得到算法所需的训练集，如式（11）所示：

上式中，l为元素个数；m为嵌入维数；t为采样时刻。式（12）给出了同点时间序列采样的模型，可以看出，采样时间点不再是连续的时刻，而是分散至一段连续的日期中：

由于主动分散了采样点的时间段，因此有效的避免了分析结论受局部影响过大这一弊端，使得算法的抗干扰性和鲁棒性都得到了明显的提升，从而确保了检测工作即具有足够的灵敏度，又表现出良好的稳定性。

3.2核函数及参数的确定

本文经过综合考虑，最终决定选取高斯径向基函数为本方案中SVM的核函数：

（13）

对于参数组的选择，在传统模式下，惩罚参数c和核函数参数γ的初始值通常采取随机值，并在后续的执行过程中逐步调整，这对算法的收敛速度乃至最终结果都构成了一定的负面影响。针对这一情况，本文选择采用在一定范围内离散取值的方式来找出最佳的c、γ。优化后得到寻优结果如图1：

上图中x、y轴分别表示c、γ取以2为底的对数后的值。=轴则是代表准确度。采用LibSVM工具软件中的SVMcgForClass-函数进行选择，将参数c的取值压缩在了（2^-2，2⁴），参数γ的取值压缩到（2^-4，2⁴），此时采用SVM优化对训练集进行二元化分类操作，其分类准确率达到了96%以上。

4仿真实验

本实验采用CPU负荷这一常用的性能指标来模拟监控实验，数据来源为某电信网络服务器的监控记录，采样周期为3d，采样点接近300个。通过观察监控记录发现存在15个异常点，而其中12个异常点为连续集中型。就该样本集分别采用基于连续时间序列和同点时间序列的SVM算法进行预测，结果分别如图2和图3所示。

由以上两图的对比观察可以发现，在同点时间序列的检测模式下，预测曲线具有更好的平滑度，并不会应为网络中出现的极短暂的波动而受到太大的影响，同时在网络出现异常点的情况下，表现出了更高的预测准确性，全部15个异常点均被检测出来，且没有出现任何的误报警和漏报警。虽然在实验环境下去除了实际网络通信中可能遇到的种种干扰，但仍旧可以肯定基于SVM技术的同点检测方案具有更高的可靠性和准确性，可满足大规模网络设备群体的持续监测任务。

5结束语

随着网络数据规模的不断扩大和数据类型复杂程度的不断提高，对于网络性能实时监测的需求也不断上升，以往的被动式监测模式已不能适应新的网络发展要求，网络性能维护工作模式随也必然要发生转变。从目前的发展趋势来看，主动监控模式在未来将成为主要的网络性能监测方法，通过对异常点的及时发现及定位来有效的提高网络运维工作的响应速度。本文提出了基于SVM优化机制的网络性能检测机制，实现了核函数的参数寻优，同时选择同点时间序列建立了被控对象模型。通过对仿真实验结果的对比发现，无论是在对异常点的发现速度方面，还是在异常点的识别准确性方面，本方案都明显优于以往传统方法，从而验证了本检测方案的有效性。