[发明专利]一种基于虚拟网络流量分析的5G切片网络异常检测方法

说明书

本发明涉及一种基于虚拟网络流量分析的5G切片网络异常检测方法，设计获得各采集节点分别所对应的正常累计数据量波动范围集合，并以此为依据，由各采集节点分别针对经过其的各数据流量进行异常分析，做到5G切片业务端到端的安全检测，实现了网络异常检测算法的并行化；并且基于各采集节点对数据流量的OD分流，由中心服务器基于网络拓扑结构，统计网络中各条数据流量的传输、以及各节点分别对经过其的数量流量的异常分析；整个方案设计实现了海量数据存储和计算的本地化，在实现直接采集的同时也为大规模网络的异常检测提供了一个高性能可扩展的分布式分析平台。

技术领域

本发明涉及一种基于虚拟网络流量分析的5G切片网络异常检测方法，属于网络异常检测技术领域。

背景技术

5G网络技术引入虚拟化技术使得组网模式变得非常灵活，促进了5G技术与垂直行业的深度融合，垂直行业领域中的5G网络建设几乎都是以5G切片专网的形式承载行业应用，从而促进垂直行业应用的数字化转型。虚拟化技术使得网络切片的部署更加便捷，以前需要在专有硬件上实现的网络功能现在可实现在通用服务器上执行，网络切片可以根据行业用户需求定制虚拟网络功能来提供定制化服务。

和传统网络架构相比，虚拟网络功能编排的复杂性使其更容易受到物理网络中异常情况的影响，对于5G网络而言，更多的异常行为会隐蔽在大量的数据流量之中，这就要求异常检测系统从更广的范围，利用更多的数据发掘异常，而5G高速网络的情况是持续到达的海量数据给网络流量的直接测量和分析带了极大的困难。如果要对5G垂直行业专网进行网络异常检测，那么网络切片业务数据端到端通路中的所有数据流经节点均需要监控，而网络结构复杂、软硬件功能各异，部署探针设备统一监控难度很大。由于网络切片中节点分散、测试数据呈海量趋势，原有的入侵检测数据库的存储和处理能力难以满足要求。高速流量也使得攻击手段不断升级，传统的异常检测算法难以适应高速率数据的处理，难以识别出未知异常。

按照信息数据的来源，入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统、以及混合入侵检测系统。使用范围较广的是基于网络的入侵检测系统，混合入侵检测系统是前两种的结合，能够更全面发现异常，但是对网络管理和硬件的需求较高。

基于网络的入侵检测系统部署在关键的网络节点上，从节点上获得实时网络流量数据，通过分析网络流数据的变化规律发现异常。现有的异常检测方法在进行全网络检测时，大多是由各个节点根据自己的本地数据独立进行检测分析，通过分析单个节点或单条链路流量变化来检测异常，这种方法能满足网络实时监控的需求。但现实情况是很多异常会影响网络中的多条链路，在单条链路的流量变化并不明显，没有利用网络数据的全局特征，检测能力受限，而且随着网络流量数据和范围的不断扩大，这种方法已经难以为大量网络流量数据提供强大的存储和计算能力。

基于网络的入侵检测系统流量采集方法主要有：SNMP的流量采集，基于Sniffer的流量采集和基于Netflow的流量采集。基于SNMP协议的流量采集技术已经非常成熟，传统流量测量方法几乎都是采用SNMP，它有效地将主机、网关等设备组合起来，实现网络设备和网络状态的远程管理，通过设备间SNMP信息输出获得网络信息发现网络问题。这种采集方式的缺陷是安全性不足，而且当大量数据传输时会造成网络堵塞。基于Sniffer的流量采集方法是通过操作系统提供的原语实现数据的发送接收，该方法高度依赖操作系统。基于Netflow的采样技术是利用在网络传输数据时，连续的数据包发送的目的地址一样，采用cache快取机制，Netflow功能设备通过分析接收到的数据包的包头信息，将相同信息的数据包汇集为一条数据流。每条数据流包含源地址、目的地址、源端口、目的端口、协议种类等信息字段。采集到的数据由路由通过UDP发送到接收设备。

网络异常检测能力依赖于流量采集能力和网络流量的分析能力。传统的基于单个链路的网络测量和监测分析难以满足异常检测的需求，因此面向网络整体流量变化信息的流量矩阵分析方向越来越受到关注。同时为了提高异常检测的准确率，作为数据挖掘重要方向的聚类分析技术也发展出多个算法方向，如：层次聚类、划分聚类算法、基于密度的聚类方法、基于网格的方法和基于模型的方法。