林 波

（濟南市聯(lián)通公司，250002）

寬帶用戶行為分析與探究

林 波

（濟南市聯(lián)通公司，250002）

寬帶網(wǎng)絡發(fā)展到一定的階段，寬帶用戶的行為將對網(wǎng)絡產(chǎn)生一定的影響，為保障網(wǎng)絡健康高效的發(fā)展，我們不僅要關心網(wǎng)絡運行質(zhì)量，還要關心用戶行為，關注網(wǎng)絡流量。本文從用戶接入控制，非法接入監(jiān)控，VOIP監(jiān)控，P2P監(jiān)控四個方面進行闡述。

寬帶用戶行為；接入控制；VOIP；P2P

寬帶網(wǎng)的快速發(fā)展為國家經(jīng)濟的繁榮起到了很好的促進和支撐。作為基礎通信網(wǎng)的組成部分，寬帶網(wǎng)和電話網(wǎng)，傳輸網(wǎng)有很多相同之處，但它的開放性，靈活性，高帶寬等特點也決定了它的與眾不同的特性。對于運營商來講，我們只要保障電話網(wǎng)，傳輸網(wǎng)的通信質(zhì)量即可，不必關心通信的內(nèi)容，然而對于寬帶網(wǎng)，我們不僅要保障通信質(zhì)量，還要關心通信內(nèi)容。寬帶通信內(nèi)容或“寬帶用戶行為”會對網(wǎng)絡的運營產(chǎn)生一定的影響。例如：互聯(lián)網(wǎng)內(nèi)病毒和網(wǎng)絡攻擊現(xiàn)象，對網(wǎng)絡和用戶設備產(chǎn)生的安全威脅；用戶接入側(cè)的私接和共享，使運營商利益受損；非法運營的VOIP違反國家的規(guī)定；P2P流量的無控制增長，導致骨干網(wǎng)中繼擁塞，網(wǎng)絡的互連互通以及重點業(yè)務的質(zhì)量下降。上述現(xiàn)象對寬帶網(wǎng)絡健康，高效的發(fā)展起到了很大的制約作用，因此必須采取相應的措施。下面從四個方面進行分析：

1 用戶接入控制

寬帶網(wǎng)目前已形成了包月收費的模式，雖然通信運營商曾投入很大的成本推行寬帶計時產(chǎn)品，但受用戶使用習慣，產(chǎn)品性價比，寬帶網(wǎng)本身特點等因素的影響，絕大多數(shù)用戶仍會選擇包月產(chǎn)品。包月的便捷帶來一系列問題:帳號漫游，帳號并發(fā)使用，用戶長期在線導致骨干網(wǎng)流量擁塞等。

作為基礎運營商，我們采取了相應的措施解決這些問題：針對帳號漫游問題，我們采取將用戶帳號在認證服務器上綁定VLAN ID的方式，受VLAN ID 4096數(shù)量的限制，綁定范圍限制在一個小區(qū)，如需精確綁定，需將網(wǎng)絡改造為QINQ模式，即在網(wǎng)絡上將用戶的以太網(wǎng)數(shù)據(jù)幀打上雙層標簽，但這種方式網(wǎng)絡改造和維護成本較高。為解決單帳號并發(fā)撥號的問題，采取在認證計費服務器上帳號并發(fā)數(shù)限制LOGIN MANAGER功能，將任一帳號的第二次上網(wǎng)請求予以拒絕。

寬帶產(chǎn)品的多樣性，通常依賴于帶寬的差異性，因此對寬帶速率的控制，是通信運營商需要解決的一個重要問題。為此我們使用了新型的寬帶接入服務器，將寬帶速率的控制點上移，由寬帶接入服務器控制，首先在認證服務器中定義每個帳號的帶寬屬性，其次在寬帶接入服務器上啟用帶寬控制功能,最后是統(tǒng)一DSLAM端口速率，由RADIUS服務器向?qū)拵Ы尤敕掌飨掳l(fā)該帳號的帶寬屬性，寬帶接入服務器根據(jù)該屬性通過ASIC芯片控制用戶帶寬。通過這種方法可以簡單高效的實現(xiàn)寬帶產(chǎn)品多樣性的問題。

2 非法接入的監(jiān)控

方法一 ID（identification）軌跡檢測法：

對來自某個源IP地址的TCP連接中，IP頭中的16位標識（identification），對于某個windows用戶，其identification隨著用戶發(fā)送的IP包的數(shù)量增加而逐步增加，如果在一段時間后，發(fā)現(xiàn)某個源IP地址，有三段identification在連續(xù)變化，則說明該“非法接入用戶”此時最少有三個用戶在同時使用寬帶。

方法二 時鐘偏移檢測法：

不同的主機物理時鐘偏移不同，網(wǎng)絡協(xié)議棧時鐘與物理時鐘存在對應關系；不同的主機發(fā)送報文的頻率因此與時鐘存在一定統(tǒng)計對應關系，通過特定的頻譜分析算法，發(fā)現(xiàn)不同的網(wǎng)絡時鐘偏移來確定不同的主機。

方法三 應用特征檢測法：

數(shù)據(jù)報文中的HTTP報頭中的User－agent字段因操作系統(tǒng)版本、IE版本和補丁的不同而不同。因此通過分析不同的HTTP報頭數(shù)而確定主機數(shù)。另外對于一臺主機同一時間只能登錄一個MSN帳號，據(jù)此分析可判斷主機數(shù)。Windows update 報文里也包含一些操作系統(tǒng)版本信息，也可以據(jù)此計算主機數(shù)。

通過以上方法就能準確的確定非法接入的寬帶用戶的主機數(shù)，無論其采用共用NAT、共用Proxy、或分時段共用帳號上網(wǎng)，該非法接入監(jiān)控系統(tǒng)，都能得到IP地址與所攜帶用戶數(shù)的準確對應關系，借助于Radius認證報文，再將它轉(zhuǎn)換為用戶帳號與所攜帶用戶數(shù)的對應關系。

下圖表明寬帶用戶行為分析系統(tǒng)在網(wǎng)絡中的位置：

圖1 在網(wǎng)絡中部署寬帶用戶行為分析系統(tǒng)

系統(tǒng)在寬帶網(wǎng)絡出口處對10G/100G POS端口分光，通過協(xié)議轉(zhuǎn)換器轉(zhuǎn)換為千兆端口，通過后臺的預處理服務器，數(shù)據(jù)庫服務器，RADIUS處理服務器，進行分析處理，并通過干擾鏈路進行用戶行為的控制。

3 非法VOIP監(jiān)控

由于IP網(wǎng)絡的靈活性、開放性，VoIP所帶來的巨大利潤空間以及國家監(jiān)管力度的問題，某些不法人員正開展地下IP電話經(jīng)營。VOIP語音網(wǎng)關一般設置于PSTN 和IP網(wǎng)絡之間，它對來自PSTN的時分話音進行分組和壓縮，并將分組轉(zhuǎn)化為IP數(shù)據(jù)包傳送到IP網(wǎng)絡， 再通過路由器到達目的地及逆處理過程； 網(wǎng)絡電話終端則直接掛在IP網(wǎng)絡上即可處理話音業(yè)務。國外PSTN中繼線可以很廉價獲得；國內(nèi)其他競爭電信運營商，以低價將PSTN中繼線出租給虛擬運營商；

目前非法VOIP檢測解決方案主要分為兩種：檢測信令流，檢測媒體流。由于非法VOIP的運營通常是網(wǎng)關與VOIP終端由單一廠家制造，使得非法VOIP運營商可以很容易的對信令流進行修改，使用非標準協(xié)議開展VOIP業(yè)務，而對于媒體流，目前基本使用RTP,RTCP等標準媒體流協(xié)議，所以基于媒體流檢測可以大大提高系統(tǒng)檢測準確性。同時提供多種干擾控制功能，可以根據(jù)需要選擇是否對用戶進行控制以及對非法運營業(yè)務進行干擾。

目前VOIP采用的主流信令協(xié)議包括：H.323, SIP，MGCP等，但實際部署的VOIP系統(tǒng)大多數(shù)采用私有的呼叫控制協(xié)議，或者經(jīng)過修改的標準協(xié)議，這樣導致信令流檢測系統(tǒng)需要頻繁升級，更新協(xié)議棧，并且對經(jīng)過加密的信令流以及非RTP流對應的信令協(xié)議無法實現(xiàn)有效的檢測。例如：非法VoIP運營商采用“私有隧道”來透傳H.323話音，并采用非標的網(wǎng)絡端口，監(jiān)測方法如下：

1）跟蹤所有的TCP/UDP流，并從流建立開始監(jiān)測一段時間或監(jiān)測一定量的數(shù)據(jù)報文；

2）監(jiān)測時，對每個UDP數(shù)據(jù)包或者TCP 包中的數(shù)據(jù)段，逐個byte偏移后，嘗試用各種VoIP協(xié)議去解碼；

3）若具有VoIP特征，將這路可疑的TCP/UDP 流送往后路精確分析，得到其網(wǎng)關IP地址、主被叫號碼等詳細數(shù)據(jù)；

4）放棄對沒有VoIP特征的TCP/UDP流進行跟蹤，減輕系統(tǒng)負擔；

針對VOIP的限制技術(shù)主要有兩類：一類是丟包限制的方式，通過在截斷模式下丟棄VOIP交互數(shù)據(jù)包，來達到限制VOIP發(fā)展的目的;另一種是不丟包限制的方式,通過在監(jiān)聽模式下發(fā)送偽裝的干擾數(shù)據(jù)報來干容正常的VOIP服務，從而達到限制其發(fā)展的目的。

4 P2P流量的監(jiān)控

P2P技術(shù)的廣泛使用，使整個網(wǎng)絡的帶寬，尤其是骨干網(wǎng)帶寬，消耗殆盡，其他用戶的上網(wǎng)速度會因此變得異常緩慢。如何有效控制P2P軟件導致的流量無限制增長，成為我們必須研究的問題。因為P2P應用層出不窮，而對P2P包的識別是基于應用層的，沒有固定的規(guī)律，只能通過不斷升級內(nèi)核，采用類似升級病毒庫的方式來升級P2P的描述庫，來控制影響流量的P2P應用。

對P2P的控制有一定的難度，通常的P2P監(jiān)控系統(tǒng)工作一段時間后，控制能力下降。因為BT目前具有智能抵御運營商P2P監(jiān)控系統(tǒng)的能力：即較長時間無法下載的情況下，BT會自動啟用加密傳輸機制而越過運營商的P2P監(jiān)控系統(tǒng)。所以檢驗P2P控制的有效性，需要測試P2P系統(tǒng)能長時間壓制BT的能力，測試時間不短于20分種：即將BT的流量限制到0，如果BT客戶端在20分鐘內(nèi)還能有效地將文件下載，則說明此P2P監(jiān)控系統(tǒng)無法有效壓制P2P流量。

另外一個問題就是，P2P監(jiān)控系統(tǒng)誤動作：正常的下載如使用HTTP、FTP協(xié)議等協(xié)議下載，不應受P2P監(jiān)控系統(tǒng)的誤傷。例如使用“迅雷”軟件下載，它會同時使用P2P協(xié)議、HTTP協(xié)議、FTP協(xié)議等，其中的HTTP、FTP下載，跟常用的FLASHGET、網(wǎng)絡螞蟻、HTTP下載、FTP下載完全一樣，因此完善的P2P監(jiān)控系統(tǒng)不應誤傷HTTP,FTP等正常應用。

監(jiān)控系統(tǒng)要能檢測常見的P2P協(xié)議，包括已知的各版本BT、EMULE/EDUNKEY、迅雷、PPLIVE、QQLIVE，并能按照P2P的協(xié)議、源地址、目的地址等參數(shù)，統(tǒng)計分析流量占用情況。系統(tǒng)可以對所監(jiān)測發(fā)現(xiàn)的P2P流量進行控制，流量控制的上、下限可以由管理員設定，控制精度小于1Mbps，能實現(xiàn)對指定源、目的IP地址段的控制?？筛鶕?jù)時間段采用不同的控制策略，實現(xiàn)分時控制。

對于非法接入,非法VOIP，P2P控制，可以通過統(tǒng)一的平臺實現(xiàn)。該平臺可通過串聯(lián)或并聯(lián)的方式在城域網(wǎng)出口處部署，但考慮到網(wǎng)絡的安全性，并聯(lián)方式可靠性更高，即采用出口中繼分光的方式，對流量進行分析，根據(jù)控制策略，通過干擾鏈路進行流量的控制，如圖一所示。同時系統(tǒng)需要具有模塊化的設計結(jié)構(gòu)，便于后期的系統(tǒng)升級和新功能的增加。

綜上所述，寬帶互聯(lián)網(wǎng)的開放性和靈活性在豐富人們生活內(nèi)容的同時，也對網(wǎng)絡的健康，高效發(fā)展起到了一定的制約作用，運營商和監(jiān)管部門有必要采取相應的措施，分析網(wǎng)絡流量和用戶行為，引導網(wǎng)絡向更快更好的方向發(fā)展。

[1] (美) Nader F.Mir，潘淑文 等譯，計算機與通信網(wǎng)絡，中國電力出版社，2010.01

[2] 中國聯(lián)合網(wǎng)絡通信有限公司《中國聯(lián)通北方本地網(wǎng)發(fā)展指導意見》2012.03

Analysis and research of broadband user behavior

Lin Bo
(China United Telecommunications Co. Ltd Jinan Branch，250002)

As the development of the broadband network reaches a certain level,users’ behavior will put more impact to the network.To ensure a healthy and high efficient performance of the network,we need to pay attention not only the quality of the operation,but also the users’ behavior and the network’s traffic flow.This article elaborates these aspects by analyzing user access control,illegal access control,VOIP control, and P2P control.

Broadband user behavior;access control;VOIP;P2

有關電子媒體的相關示意圖