空天地一体化信息网络是由多颗不同轨道上、不同种类、不同性能的卫星形成星座覆盖全球，通过星间、星地链路将地面、海上、空中和深空中的用户、飞行器以及各种通信平台密集联合，以IP为信息承载方式，采用智能高速星上处理、交换和路由技术，面向光学、红外多谱段的信息，按照信息资源的最大有效综合利用原则，进行信息准确获取、快速处理和高效传输的一体化高速宽带大容量信息网络，即天基、空基和陆基一体化综合网络。

现代高技术条件下的战争是体系对体系的对抗，是武器装备体系总体作战能力的较量。武器系统之间、武器系统内各子系统之间以及单个装备之间，必须相互紧密配合才能形成一个有机的整体发挥作用。在美军近些年数次对外的战争中，空天地一体化信息网络将预警探测、信息处理、指挥控制和武器平台有机地连为一体，提供实时、稳定的信息传输，使美军的作战发挥出优良的整体效能。因此，空天地一体化信息网络是形成这种整体合力的“聚合剂”和提高整体作战效能的“倍增器”。

空天地一体化信息网络也是一个庞大的非线性动态多变的复杂系统，网络中业务种类繁多，网络环境动态多变，网络缺乏自适应能力，不能根据网络环境的变化自适应地做出反应，网络的动态性和不确定性使得对其管理和控制越来越困难。迅速准确地感知网络环境信息是空天地一体化信息网络得以发挥作用的基础。空天地一体化信息网络需要及时地感知当前的网络环境中业务的信息，这些信息将用于后面的规划、决策等认知处理过程，以判断当前网络是否能满足用户的要求，如果不能满足就要采取相应的重配置手段来保证达到用户要求。因此，对网络流量进行准确地分类是空天地一体化信息网络管理与控制的基础，在此基础上才能够解决动态多变网络适应性差、全网效能低的问题，有效提高网络资源利用率，保证网络端到端的QoS。

空天地一体化信息网络要求具有“安全性、可生存性、可控性”，其在规划、建设、运营和维护的过程中，必然要对网络设备、网络业务以及网络性能进行监测和管理，来了解网络设备是否符合入网规范、业务的开通能力是否满足发展要求、业务的QoS是否满足要求。空天地一体化信息网络中业务种类丰富多样，不同业务对QoS的需求不同，而如何准确高效的区分各种不同类型的业务流，涉及到业务感知领域。在对网络进行业务分类，了解各业务的种类性质的基础上，才能高效监测、分析、控制、管理网络，才能使网络做到“可管、可控、可测”。所以业务感知技术作为空天地一体化信息网络实施服务质量策略和安全策略的基础，具有重要的研究意义。

基于IP分组技术的网络中各种业务种类丰富多样，业务感知技术是将网络中不同的业务流进行区分的技术。传统的通信网络只能简单传送各种业务，但难以同时实现多业务的服务质量保证，常常为了一些重要业务的服务保证而建设专网，如视频专网、信息传输专网等。相对于传统网络，空天地一体化信息网络为了满足不同作战任务的通信要求需要提供更强的智能性，这里的网络智能不再是简单的访问控制和标记，而是体现在业务的动态感知、带宽严格保证、带宽动态调整三个方面。

业务感知含有三方面的概念：感知对象、感知方式以及感知结果。感知对象可以是数据包，或是业务流；感知方式可以是通过协议解析，或是通过分析流量特征，或两者结合；感知结果即感知行为所需要的结果，即相应的分类需求。业务感知技术包括对业务的分类技术、业务特征提取技术，分别对应于业务感知技术感知主体的确定，以及感知的具体手段。

IP网络边缘设备根据业务流的特征、流标记以及流统计阈值触发特定业务的感知。由于新型网络业务不断涌现，故需要IP网络边缘节点具备强大的智能处理能力和业务灵活性。业务感知可以由边缘节点独立完成，也可以与业务管理系统配合，这样更容易实现整体的策略部署。

2.1 认知路由节点

区别于传统网络只提供尽力而为的服务，空天地一体化信息网络目标是要保证用户端到端的QoS，通过在节点中加入认知功能，使网元可以动态地自适应环境变化，从而提高整体网络的性能。本文提出一种具有业务感知功能的认知路由节点，如图1所示。认知路由节点分为认知层和数据层。认知层包括业务感知模块、策略选择模块和路由决策模块；而数据层负责对数据分组的封装和调度转发等。该认知路由节点可以收集网络资源使用情况、业务QoS需求、网络流量分布等信息，并根据相应的策略选择实现对业务流的动态路由，从而保证端到端QoS。其中业务感知模块负责获取认知网络环境中各种业务流的信息，并将业务流的需求映射为认知网络的端到端QoS需求，策略选择模块可以根据策略库动态地选择相应的路由策略，路由决策模块则负责路由的构建和更新。认知路由节点在计算数据分组路由时，需要网络拓扑和链路可用带宽等网络负载的详细信息，依据网络环境信息和业务需求，并根据策略选择来进行网络资源的分配。

图1  认知路由节点

整个空天地一体化信息网络中的路由器主要由边缘认知路由器和核心认知路由器构成，如图2所示。其中边缘认知路由器部署有业务感知模块，对网络中的业务进行分类，并为IP分组打上不同的DSCP标记，所有边缘认知路由器都能采集网络的状态信息并上传给核心认知路由器。核心认知路由器包含有数据处理模块、推理学习模块、决策模块和策略下发模块，它将采集得到的信息进行处理、推理、学习并进行决策，边缘认知路由器根据核心认知路由器下发的策略对不同的业务进行区分并根据策略库中的知识执行自适应管理。

图2  认知路由模型结构

业务感知可以由边缘认知路由器根据业务流的特征、流标记以及流统计阈值来独立完成，也可以与业务管理服务器配合，从而保证系统具有强大的智能处理能力和业务灵活性。本文将经过边缘认知路由器得到的业务感知结果用一个四元组来表示（业务流类别，源地址，目的地址，带宽要求）。该四元组可以表示为网络流量特征矩阵P(C_k,S_k,D_k,B_k)，其中通过业务感知将业务流分为K类，K=1,2,...,K，业务流类型为C_k：S_k、D_k,分别为第k类业务流的源地址、目的地址，B_k为第k类业务流的带宽要求。当前网络中业务流的种类、分布情况和带宽需求可以用网络流量特征矩阵P来表示。

2.2 基于机器学习的空天地一体化信息网络流量分类模型

网络流量的精确分类同样也是分析网络用户行为、检测网络异常行为和提高网络QoS等行为的前提和基础。因此网络流量分类引起了学术界的很大关注，近些年有不少相关研究。许多传统业务都使用由IANA分配的常用固定端口，端口分析法可以直接根据端口号进行精确分类。但目前很多P2P应用采用随机端口或动态端口，这样使得端口分析法失效或分类精度很低。特征字段法根据已知的应用层载荷的特征字符串来进行匹配，但不能分类未知的或者特征字符串已被更改的网络流量，而且不能分类应用层加密的特征字段。随着越来越多的网络应用采用动态端口、伪装端口和应用层净荷加密，导致基于端口和特征字段的网络流量分类方法失效。所以利用机器学习方法进行网络流量分类成为网络测量的一个重要研究方向。

网络流量分类是一种典型的多元分类问题，可以抽象为：已知网络流样本集合S，样本X={X₁,X₂,...X_n}，其中X₁,X₂,...X_n分别是集合S上定义的对应网络流特征A={A₁,A₂,...A_n}的值，类变量C的取值范围为{c_j|1≤j≤m,m是整数}，目的在于利用机器学习算法构建网络流量分类模型f：X→C，并根据此模型对类型未知的网络流进行分类。基于机器学习的网络流量分类方法流程如图3所示。

图3 基于机器学习的网络流量分类模型

2.3 具有特征有效度的模糊支持向量机

目前在网络流量分类研究方面，大多是采用已成熟的机器学习方法进行网络流量分类，很少专门针对网络流量的动态、多变等特性对相关算法进行改进。但由于真实环境中的网络流量存在大量噪声，并且根据网络流量统计特征分析得到的特征属性数目庞大，同时也存在大量冗余特征属性，所以使用传统的SVM进行网络流量分类还存在一定局限性。我们在分析网络流量特性的基础上，针对网络流量中存在大量噪声和样本点中存在过多冗余特征属性，本文提出了一种具有特征有效度的模糊支持向量机（FW-FSVM）。该方法通过引入模糊因子，可以有效地消除噪声或野值样本对分类精度的影响，同时引入特征有效度，构造特征有效度核函数，消除弱相关特征和冗余特征对分类精度的影响。

2.4 实验结果与分析

为了验证本文所提出的方法的有效性，采用剑桥大学Moore教授等人使用的网络流量实验数据集，记为Moore_Set。该实验数据集中共包含了377526个网络流样本，被分成10种类别，每种类别所包含的应用名称、每类网络流的数量和所占比例见表1。

表1 实验数据集统计信息

Moore_Set中每条网络流样本都是从一条完整的TCP双向流抽象而来，包含248项属性，其中第1项属性和第2项属性分别是该流的源端口号和目的端口号，为了避免端口信息对分类精度的影响，本文没有采用这2个属性。同时由于本文所提出的算法涉及距离度量，还必须对数据进行规范化处理。网络流量统计特征属性反映业务流的本质，能以此来区分不同的业务流。一般情况下，特征属性越多，越能精确地区分不同的业务。但获得特征属性不仅需要大量CPU计算时间，而且占用较多的存储空间。有时过多特征甚至会影响学习质量，导致分类精度下降。为了解决上述问题，本文采用CFS（Correlation-based Feature Selection）特征选择算法取得该样本集的最优特征属性集S。S={流持续时间，流的总分组数，流的总字节数，分组大小平均值，分组大小中值，分组大小方差，分组大小最大值，分组大小最小值，分组到达时间间隔中值，分组到达时间平均值，分组到达时间间隔方差，分组到达时间间隔最大值，分组到达时间间隔最小值，分组净荷平均值，分组净荷中值，分组净荷方差，分组净荷最大值，分组净荷最小值}。

为了验证本文所提出的FW-FSVM应用于网络流量分类中的有效性，本文实现了基于Libsvm软件包的C++程序，并采用Matlab7.0进行数值计算。由于支持向量机方法只能处理二分类问题，本文采用“一对一”方法构造k（k-1）/2个二元分类器，来处理k元分类问题。实验中采用径向基核函数，设定惩罚因子C=512、核参数γ=0.03125。对于所选用的数据集Set，我们首先在数据集Set中混入0.1%的孤立样本（代表噪声或野值），然后均分为两个数据子集Set1和Set2。Set1和Set2中样本类别比例与所选用的数据集Set保持一致，其中Set1作为训练集，Set2作为测试集。为了使实验结果更加可靠，对每个数据集Set重复抽样、训练和测试10次，分类精度取10次实验结果的平均值。试验采用普通PC机，操作系统为Windows XP Professional (SP2)，其中CPU为Intel Pentium 2.66GHz，内存为DDR-667 2G。图4为FW-FSVM网络流量分类系统部署图。

图4 FW-FSVM网络流量分类系统部署图

图5是采用FW-FSVM方法得到的接收者操作特性（ROC，Receiver Operating Characteristic analysis）曲线，显示出其中4种业务的正确肯定率TP和错误肯定率FP间的平衡关系，可以反映FW-FSVM分类器的性能。从图3-3中可以得出，本文所提出的FW-FSVM分类器工作在ROC曲线的左上角，具有陡直的上升曲线。对于WWW、BULK、MEDIA和P2P等业务来说，其正确肯定率TP大多维持在0.75~0.85之间，错误肯定率FP处于0.03~0.05之间，处于比较理想的范围，说明FW-FSVM分类器具有较好的稳定性，可以准确分类网络中的各种业务。

 
图5接收者操作特性曲线ROC

表2为本文所提出方法与相关文献所提出的网络流量分类方法实验结果对比情况。这5种方法所采用的训练集和测试集均来自Moore_Set，实验参数取值范围保持一致，其实验结果具有一定的比较意义。从表4中可以看出，本文所提出的FW-FSVM的分类平均准确率最高，且最稳定。C4.5和SVM也表现出较好的分类效果，K-Means和NBK分类效果较差。由此结果可以得出，FW-FSVM可以有效提高分类精度，并且具有稳定性强的特点。

表2 与其他方法的实验结果对比

空天地一体化信息网络是根据现代战争对军事通信的新需求建立的，通过采用各种先进网络技术连通陆基、海基、空基和天基的多种探测传感器、武器平台、指挥机构和作战人员，完成不同系统间的集成，最终形成各兵种通信网络之间的互联互通，从而提供多种业务、多种功能的综合服务。但由于其接入形式多样、网络业务复杂、异构和泛在等特点，为了提高可管性和可控性，对网络流量的精确分类成为空天地一体化信息网络实施服务质量策略和安全策略的基础。

针对空天地一体化信息网络环境中存在大量噪声和冗余特征属性，本文将FW-FSVM应用于网络流量分类中。大量实验结果表明，FW-FSVM能很好地提高传统SVM的抗噪能力，同时能够消除冗余特征属性对分类精度的影响，有效地提高网络流量分类精度。如何提高空天地一体化信息网络环境中网络流量分类方法的实时性仍需要进一步研究。

• 本文发表于《中国电子科学研究院学报》第10卷第5期，版权归学报所有，阅读全文请联系我们。

• 欢迎各位专家、学者赐稿！投稿链接

• 部分图片来自于网络

• 电话：010-68893411

• 邮箱：dkyxuebao@vip.126.com