劉志強，張治中

(重慶郵電大學(xué) 通信網(wǎng)與測試技術(shù)重點實驗室，重慶 400065)

LTE網(wǎng)絡(luò)中業(yè)務(wù)識別方案的研究與實現(xiàn)

劉志強，張治中

(重慶郵電大學(xué) 通信網(wǎng)與測試技術(shù)重點實驗室，重慶 400065)

為了實現(xiàn)對長期演進(jìn)(Long Term Evolution，LTE)網(wǎng)絡(luò)的業(yè)務(wù)識別，分析了S1接口用戶面協(xié)議棧，利用模塊化設(shè)計思想實現(xiàn)了對S1接口流量的業(yè)務(wù)識別。針對傳統(tǒng)業(yè)務(wù)識別系統(tǒng)識別度低、統(tǒng)計能力不強的缺陷，在傳統(tǒng)的業(yè)務(wù)識別系統(tǒng)基礎(chǔ)上，提出了一個多識別的業(yè)務(wù)識別方案，實現(xiàn)了對業(yè)務(wù)類型的精確識別。經(jīng)過現(xiàn)網(wǎng)數(shù)據(jù)測試驗證，所設(shè)計的多識別的業(yè)務(wù)識別方案達(dá)到了預(yù)期的效果，在LTE移動通信網(wǎng)絡(luò)業(yè)務(wù)識別領(lǐng)域具有推廣意義。

LTE網(wǎng)絡(luò)；S1接口；流量識別；DPI；機器學(xué)習(xí)

國內(nèi)LTE網(wǎng)絡(luò)已經(jīng)商用，在移動通信網(wǎng)絡(luò)不斷演進(jìn)過程中，網(wǎng)絡(luò)中的新業(yè)務(wù)也層出不窮，例如音視頻聊天、流媒體播放、Web TV、線上游戲等。這其中有些新業(yè)務(wù)采用動態(tài)端口、偽裝端口和加密技術(shù)，還有些新業(yè)務(wù)協(xié)議升級頻繁，種種情況都導(dǎo)致網(wǎng)絡(luò)缺乏有效的流量監(jiān)管設(shè)備，運營商無法對網(wǎng)絡(luò)運行進(jìn)行有效的感知。

目前，國內(nèi)外已經(jīng)提出了很多業(yè)務(wù)識別的方法，但要實現(xiàn)高效、準(zhǔn)確、智能地識別網(wǎng)絡(luò)業(yè)務(wù)，且有較強的可擴展性，即能識別加密流量和未知流量，僅靠某種單個的識別方法已經(jīng)不能滿足。本文主要針對LTE網(wǎng)絡(luò)S1接口的數(shù)據(jù)業(yè)務(wù)提出了一種多識別方式的業(yè)務(wù)識別方案，通過多種識別來解決單一識別無法識別復(fù)雜業(yè)務(wù)的問題，并從數(shù)據(jù)采集層、數(shù)據(jù)解碼層、業(yè)務(wù)識別層、應(yīng)用層4個層面描述了識別方案框架。該方案可以廣泛應(yīng)用于所有的業(yè)務(wù)識別場景中。

1 LTE網(wǎng)絡(luò)S1接口

LTE網(wǎng)絡(luò)由用戶設(shè)備(UE)、演進(jìn)的接入網(wǎng)(E-UTRAN)和演進(jìn)的核心網(wǎng)(EPC)組成，E-UTRAN由基站(e Node B)組成，EPC由分組交換域組成(見圖1)。

圖1 LTE網(wǎng)絡(luò)基本結(jié)構(gòu)

S1接口在LTE網(wǎng)絡(luò)中占據(jù)很重要的位置，它連接了E-UTRAN和EPC，對其進(jìn)行研究可以充分掌握網(wǎng)絡(luò)的整體運行情況，充分挖掘網(wǎng)絡(luò)流量信息[1]。因此本文中提出的業(yè)務(wù)識別方案針對S1接口，通過監(jiān)測S1接口的用戶面數(shù)據(jù)，分析數(shù)據(jù)的業(yè)務(wù)類型。S1接口用戶面的協(xié)議棧結(jié)構(gòu)如圖2所示。

圖2 S1接口用戶面的協(xié)議棧結(jié)構(gòu)

2 多識別的網(wǎng)絡(luò)業(yè)務(wù)識別方案

由于常規(guī)的網(wǎng)絡(luò)業(yè)務(wù)識別方法具有很大的局限性，所以需要一個高效、準(zhǔn)確、智能的業(yè)務(wù)識別方案來對LTE網(wǎng)絡(luò)中復(fù)雜的業(yè)務(wù)類型進(jìn)行識別。為此，本文建立了一個業(yè)務(wù)識別分層模型，見圖3。

圖3 LTE網(wǎng)絡(luò)業(yè)務(wù)識別分層模型

數(shù)據(jù)采集層主要對接口數(shù)據(jù)進(jìn)行采集，采用不同速率的采集技術(shù)，保證數(shù)據(jù)可以完整、可靠地傳送至數(shù)據(jù)解碼層。

數(shù)據(jù)解碼層提供對原始數(shù)據(jù)的協(xié)議解析，向上層提供準(zhǔn)確的原始數(shù)據(jù)信息，滿足業(yè)務(wù)識別層對業(yè)務(wù)的感知和識別。解碼過程采用從底到頂逐層解碼的方式，提取需要的關(guān)鍵字段[2]。由圖2中S1接口協(xié)議?？芍?，解碼的協(xié)議層次依次為：Ethernet協(xié)議、IP協(xié)議、UDP協(xié)議、GTP-U協(xié)議以及用戶面IP協(xié)議、TCP/UDP協(xié)議以及應(yīng)用層協(xié)議。數(shù)據(jù)解碼層向上層提供原始呼叫詳細(xì)記錄(Call Detail Record，CDR)，CDR中包含一些必要數(shù)據(jù)信息：IP五元組(源IP、目的IP、源端口、目的端口、承載協(xié)議)、凈荷信息、分組長度、分組到達(dá)間隔、流持續(xù)時間等。這些信息由協(xié)議解碼和合成獲得，作為上層進(jìn)行業(yè)務(wù)識別的依據(jù)。

業(yè)務(wù)識別層實現(xiàn)對業(yè)務(wù)類型的識別，主要依據(jù)為下層上傳的CDR信息。識別過程中綜合應(yīng)用多種識別方法，這些識別方法包括端口匹配、深度包檢測(Deep Packet Inspection，DPI)識別、連接模式識別、業(yè)務(wù)特性識別、機器學(xué)習(xí)識別等。該層向應(yīng)用層提供的接口是業(yè)務(wù)識別CDR，組成為數(shù)據(jù)解碼層上傳的CDR+業(yè)務(wù)類型。具體識別流程如圖4所示。

圖4 業(yè)務(wù)識別流程

基本步驟如下：

1)首先采用端口匹配識別，可以完成固定端口業(yè)務(wù)的識別。用源端口或目的端口來查找端口映射表即可得到對應(yīng)的業(yè)務(wù)類型。但隨著越來越多的業(yè)務(wù)采用偽裝端口或者隨機端口(如80、443)，僅靠端口識別的識別準(zhǔn)確率越來越低。若為未知端口則可進(jìn)行連接模式和業(yè)務(wù)特性識別，還可驗證端口匹配識別結(jié)果。

2)未查詢到結(jié)果則轉(zhuǎn)到DPI識別模塊進(jìn)行查詢，用各個特征字符串匹配建立的特征庫，即可得到對應(yīng)的業(yè)務(wù)類型。識別出業(yè)務(wù)類型后，更新數(shù)據(jù)流特征與業(yè)務(wù)類型映射表。

3)若仍未查詢到結(jié)果則轉(zhuǎn)到?jīng)Q策樹識別，識別未知業(yè)務(wù)或加密業(yè)務(wù)，同時完成學(xué)習(xí)過程，不斷修剪決策樹，將業(yè)務(wù)類型納入決策樹中。

應(yīng)用層包含運營商各種應(yīng)用系統(tǒng)，比如經(jīng)營分析系統(tǒng)、性能管理系統(tǒng)、業(yè)務(wù)分析系統(tǒng)等。數(shù)據(jù)解碼層通過靈活的接口及轉(zhuǎn)發(fā)功能將業(yè)務(wù)識別CDR提供給各個應(yīng)用系統(tǒng)，為運營商的市場開發(fā)、精細(xì)化經(jīng)營、差異化服務(wù)提供數(shù)據(jù)支持[3]。

為了驗證方案的識別準(zhǔn)確性，用實際網(wǎng)絡(luò)數(shù)據(jù)對根據(jù)本方案開發(fā)出的業(yè)務(wù)識別系統(tǒng)進(jìn)行了具體的測試。網(wǎng)絡(luò)數(shù)據(jù)在中國移動重慶分公司網(wǎng)絡(luò)上通過撥測采集得到。部分測試結(jié)果如表1所示。

表1 識別準(zhǔn)確率對比

3 業(yè)務(wù)識別方法分析

3.1 DPI識別

方案中使用的DPI識別技術(shù)通過分析數(shù)據(jù)包載荷中的特征字段來將網(wǎng)絡(luò)流量關(guān)聯(lián)到具體的應(yīng)用。大多數(shù)業(yè)務(wù)在數(shù)據(jù)包的凈荷中含有特定的協(xié)議字符串，可以通過檢測和匹配這一字符串來進(jìn)行業(yè)務(wù)的識別[4]。對于某些更復(fù)雜的應(yīng)用，則需要通過幾個特征字符串綜合起來才能對其進(jìn)行識別。為進(jìn)行DPI識別，首先用爬蟲程序?qū)?yīng)用進(jìn)行分析，建立特征庫，特征庫中包含特征和相對應(yīng)的業(yè)務(wù)類型。由于不斷有業(yè)務(wù)更新和協(xié)議升級，特征庫也需不斷更新。特征庫建立后就可以用在數(shù)據(jù)包中取得的字符串與特征庫進(jìn)行匹配，即可獲得數(shù)據(jù)的業(yè)務(wù)類型。

顯然匹配過程在DPI識別中是非常重要的，正則表達(dá)式在這里得到了充分的應(yīng)用，可以將正則表達(dá)式轉(zhuǎn)化成確定有限自動機(Deterministic Finite Automation，DFA)來進(jìn)行處理[5]。DFA用五元組(Q,Σ,q0,δ,A)表示，其中Q為狀態(tài)點集合，Σ為字符表，q0為初始狀態(tài)點，A為終止?fàn)顟B(tài)點，δ為狀態(tài)轉(zhuǎn)移函數(shù)。正則表達(dá)式描述了一種字符串匹配的模式。將所有模式構(gòu)造為一個DFA可獲得很好的匹配速度，但所需內(nèi)存可能非常大，超過系統(tǒng)物理內(nèi)存。而每個模式構(gòu)造一個DFA時，匹配速度可能無法滿足性能要求。下面是一個滿足有限內(nèi)存資源限制且時間復(fù)雜度最小的算法。

DPI識別是一種應(yīng)用很廣的識別方法，但仍存在一些缺陷。比如：無法識別加密業(yè)務(wù)和未知業(yè)務(wù)，更新特征庫的工作量很大。機器學(xué)習(xí)識別可以彌補DPI識別的一些缺陷。

3.2 機器學(xué)習(xí)識別

方案中的機器學(xué)習(xí)識別是通過統(tǒng)計分組數(shù)據(jù)到達(dá)間隔、流持續(xù)時間等統(tǒng)計特征，采用機器學(xué)習(xí)的方法實現(xiàn)業(yè)務(wù)分類。采用機器學(xué)習(xí)中的決策樹算法來實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的識別。這種識別方法是從決策樹的根結(jié)點開始，按照給定實例的屬性值對應(yīng)的樹枝向下移動，這個過程不斷在以新結(jié)點為根的子樹上重復(fù)，最后到達(dá)的一片葉子代表業(yè)務(wù)分類，即實現(xiàn)了分類學(xué)習(xí)，達(dá)到業(yè)務(wù)識別的目的[6]。

決策樹形成過程中最重要的是對分裂屬性的選擇，常用的方法是計算信息增益

(1)

采用C4.5算法來建立決策樹，C4.5算法采用信息增益率來處理樣本分類。算法要求選擇信息增益率最大的屬性為決策樹的新結(jié)點，并對屬性的每個值建立分枝，依據(jù)此思想劃分訓(xùn)練數(shù)據(jù)樣本集。信息增益率是信息增益與分裂信息量的比，分裂信息量可以衡量屬性分裂的廣度和均勻性

(2)

式中：Si為C個值的屬性A劃分S形成的C個樣本子集。由此得到信息增益率為[7]

(3)

信息增益率最高的屬性將被作為測試屬性。依次不斷對生成的樣本子集進(jìn)行分割，直到無法分割或達(dá)到停止條件即可得到?jīng)Q策樹，決策樹的生成過程就是使劃分后不確定性逐漸減小的過程。

決策樹建立后還需不斷修剪，用樣本對生成的決策樹進(jìn)行檢驗，調(diào)整不正確的分枝，增加節(jié)點或者進(jìn)行剪枝。用決策樹對未知類型業(yè)務(wù)進(jìn)行分類時，從根節(jié)點開始依次對樣本的屬性進(jìn)行分類，直到到達(dá)一片葉子為止，即可得到樣本的業(yè)務(wù)類型。

4 微信業(yè)務(wù)的識別驗證

微信支持發(fā)送/接收語音、視頻、圖片和文字，支持許多社交插件，因此擁有了龐大的用戶群，對運營商的短信、彩信、語音業(yè)務(wù)產(chǎn)生了巨大競爭。同時微信需要頻繁占用網(wǎng)絡(luò)資源，而運營商獲得的卻只是極低的流量收入，所以運營商希望能找到應(yīng)對策略和方法，而微信業(yè)務(wù)的識別是制定應(yīng)對策略的前提和保證。

將從S1接口采集到的包含微信業(yè)務(wù)的用戶面數(shù)據(jù)發(fā)送到數(shù)據(jù)解碼層，經(jīng)過解碼后將原始CDR提交到業(yè)務(wù)識別層，用提取到的必要信息進(jìn)行業(yè)務(wù)類型的識別。微信業(yè)務(wù)大類的識別可根據(jù)特征字符串，如果HOST字段中包含key:“weixin.qq.com”或“mmsns.qpic.cn”或“wx.qlogo.cn”，則可認(rèn)定分組為微信業(yè)務(wù)。為進(jìn)一步識別微信業(yè)務(wù)中業(yè)務(wù)小類，如發(fā)送圖片、語音、文字、搖一搖等，需分析微信私有協(xié)議，經(jīng)過大量爬蟲抓包分析，總結(jié)出微信私有協(xié)議基本結(jié)構(gòu)，如表2所示。

表2 微信私有協(xié)議基本結(jié)構(gòu)

其中報文類型代表不同的業(yè)務(wù)小類，如表3所示。

表3 報文類型與業(yè)務(wù)小類

因此，為識別業(yè)務(wù)小類可將報文類型作為特征字，用DPI識別法進(jìn)行識別。

由于微信業(yè)務(wù)小類在不斷增加，私有協(xié)議也隨時存在更新的情況，且DPI特征庫的更新耗時費力，所以機器學(xué)習(xí)識別法此時將彌補DPI識別的不足。機器學(xué)習(xí)根據(jù)流量的各種屬性特征，如流持續(xù)時間、分組長度和分組到達(dá)間隔等，來進(jìn)行流量分類，能夠適應(yīng)對加密業(yè)務(wù)和未知業(yè)務(wù)的識別，克服DPI識別的缺陷。

圖5是業(yè)務(wù)識別CDR出表的一部分。不同的業(yè)務(wù)類型用不同的數(shù)字表示，圖中D，E列為1，9則表示識別出微信業(yè)務(wù)。一條CDR根據(jù)微信業(yè)務(wù)中某TCP流合成，其他字段還包括：源IP、目的IP、源端口、目的端口、HOST、URI、上下行包數(shù)、上下行流量。經(jīng)過統(tǒng)計驗證分析，發(fā)現(xiàn)識別方案能較為準(zhǔn)確地識別各種業(yè)務(wù)類型。

圖5 業(yè)務(wù)識別出表文件(截圖)

5 小結(jié)

本文提出了基于LTE網(wǎng)絡(luò)的業(yè)務(wù)識別方案的設(shè)計，分析業(yè)務(wù)識別在現(xiàn)今網(wǎng)絡(luò)中面臨的困難，建立了一個多識別的識別模型，詳細(xì)介紹了模型中應(yīng)用到的幾種識別方法。用該識別方案較好地解決了業(yè)務(wù)識別在LTE網(wǎng)絡(luò)中遇到的困難。系統(tǒng)在Linux平臺中運行穩(wěn)定，經(jīng)過現(xiàn)網(wǎng)數(shù)據(jù)測試，發(fā)現(xiàn)識別準(zhǔn)確度較高，達(dá)到應(yīng)用標(biāo)準(zhǔn)。

[1]沈嘉，索強，傘海洋，等. 3GPP長期演進(jìn)(LTE)技術(shù)原理與系統(tǒng)設(shè)計[M]. 北京：人民郵電出版社，2008.

[2]李艷，張治中.LTE網(wǎng)絡(luò)S1AP監(jiān)測方案的研究與實現(xiàn)[J]. 電信科學(xué)，2013(1)：31-38.

[3]中國移動通信集團(tuán)公司.中國移動上網(wǎng)日志留存系統(tǒng)數(shù)據(jù)合成服務(wù)器設(shè)備規(guī)范[S]. 2013.

[4]張晟，賈思遠(yuǎn). 基于深度業(yè)務(wù)識別(DPI)的TD業(yè)務(wù)感知提升策略[J]. 電信科學(xué)，2011(2)：131-134.

[5]于強，霍紅衛(wèi). 一組提高存儲效率的深度包檢測算法[J]. 軟件學(xué)報，2011(22)：149-163.

[6]鄭淋，葉猛. 基于多尺度分析和決策樹的P2P流量檢測模型[J]. 電視技術(shù)，2013，37(1)：101-104.

[7]MITCHELLT.Machinelearning[M].北京：機械工業(yè)出版社，2003.

Research and Implementation of Traffic Identification Program in LTE Network

LIU Zhiqiang，ZHANG Zhizhong

(KeyLaboratoryonCommunicationNetworksandTestingTechnology，ChongqingUniversityofPostsandTelecommunication，Chongqing400065，China)

In order to achieve the traffic identification in Long Term Evolution (LTE) network, the user plane protocol stack of S1 interface is analyzed and the traffic identification of the user plane of S1 interface with the idea of modularization design concept is achieved. To solve the problem of weak identification of data services and poor statistical ability in traditional traffic identification system, multiple identification integrated service identification scheme is constructed, which is more accurate in traffic identification than traditional system. The traffic identification based on multiple identification integrated service identification scheme works effectively by the real network data testing and has important significance for traffic identification in LTE network.

LTE network; S1 interface; traffic identification； deep packet inspection; machine learning

國家“863”計劃項目(2014AA01A706)

TN929.5

B

10.16280/j.videoe.2015.01.025

2014-05-08

【本文獻(xiàn)信息】劉志強，張治中.LTE網(wǎng)絡(luò)中業(yè)務(wù)識別方案的研究與實現(xiàn)[J].電視技術(shù),2015，39(1).

劉志強，碩士生，主研LTE網(wǎng)絡(luò)測試技術(shù)和信令監(jiān)測技術(shù)；

張治中，教授，博士生導(dǎo)師，主研第三代移動通信測試技術(shù)、寬帶信息網(wǎng)絡(luò)、NGN網(wǎng)絡(luò)等。

責(zé)任編輯：許 盈