劉爽 張平

（遼寧郵電規(guī)劃設(shè)計院有限公司 遼寧沈陽 110179）

基于DPI技術(shù)業(yè)務(wù)識別方法的研究

劉爽 張平

（遼寧郵電規(guī)劃設(shè)計院有限公司 遼寧沈陽 110179）

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，各種各樣的應(yīng)用層見迭出，給人們的衣食住行帶來巨大的變化，但各類問題也紛沓而至，如P2P下載導致網(wǎng)速變慢、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)計費等問題，這些問題都可以用流量監(jiān)控技術(shù)來得到一定地緩解。為了有效監(jiān)控流量并找出網(wǎng)絡(luò)瓶頸，有效地識別并分類通過網(wǎng)絡(luò)的各類流量，對業(yè)務(wù)識別方法進行相應(yīng)研究。

流量監(jiān)控；流量識別；DPI

1 引言

近年來，網(wǎng)絡(luò)新業(yè)務(wù)層出不窮，有對等網(wǎng)絡(luò)、VoIP、流媒體、Web TV、音視頻聊天、互動在線游戲和虛擬現(xiàn)實等。尤其是P2P、VoIP、流媒體等新業(yè)務(wù)的數(shù)據(jù)流量是相當巨大的，這打破了以往“高帶寬、低負載”的IP網(wǎng)絡(luò)QoS提供模式，在很大程度上加重了網(wǎng)絡(luò)擁塞[1]，降低了網(wǎng)絡(luò)性能，劣化了網(wǎng)絡(luò)服務(wù)質(zhì)量，妨礙了正常的網(wǎng)絡(luò)業(yè)務(wù)的開展和關(guān)鍵應(yīng)用的普及。網(wǎng)絡(luò)設(shè)備缺乏有效的技術(shù)監(jiān)管手段，不能實現(xiàn)對P2P/WEB TV等新興業(yè)務(wù)的感知和識別[2]，導致網(wǎng)絡(luò)運營商對網(wǎng)絡(luò)的運行情況無法有效管理。因此，如何深度感知互聯(lián)網(wǎng)/移動互聯(lián)網(wǎng)業(yè)務(wù)，提供應(yīng)用級管控手段，構(gòu)建“可運營、可管理”的網(wǎng)絡(luò)，成為運營商關(guān)注的焦點。

1.1 深度分組檢測－DPI

DPI，Deep Packet Inspection，深度分組檢測。是相對普通報文檢測而言的一種新的檢測技術(shù)，即對第七層，也即應(yīng)用層的內(nèi)容（凈荷）進行深度分析，從而根據(jù)應(yīng)用層的凈荷特征識別其應(yīng)用類型或內(nèi)容。當IP數(shù)據(jù)包、TCP或者UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時，DPI引擎通過深入讀取IP包載荷的內(nèi)容來對OSI7層協(xié)議中的應(yīng)用層信息進行重組，從而識別出IP包的應(yīng)用層協(xié)議。

1.2 傳統(tǒng)業(yè)務(wù)識別與DPI的對比

傳統(tǒng)的業(yè)務(wù)識別方法是通過分析5元組或7元組信息（增加輸入輸出接口索引信息），無法細分不同的應(yīng)用類型，尤其是應(yīng)用類型不依賴于5元組或7元組信息的應(yīng)用。而DPI技術(shù)是通過深入重組、分析第七層分組的凈荷內(nèi)容，匹配業(yè)務(wù)特征，從而判斷業(yè)務(wù)和應(yīng)用類型，DPI技術(shù)可以細分不同的應(yīng)用類型。

2 業(yè)務(wù)識別技術(shù)

2.1 凈荷特征匹配技術(shù)

不同的應(yīng)用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的特征（除加密應(yīng)用），這些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于凈荷特征匹配技術(shù)，正是通過識別數(shù)據(jù)報文中的凈荷特征來確定業(yè)務(wù)流所承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于凈荷特征匹配技術(shù)又可細分為固定（或可變）位置特征匹配、多連接聯(lián)合匹配和狀態(tài)特征匹配四種分支技術(shù)。通過對特征信息的升級，基于凈荷特征匹配技術(shù)可以很方便地擴展到對新協(xié)議的檢測。

多連接聯(lián)合匹配是一種需要結(jié)合該應(yīng)用中的多個連接聯(lián)合匹配特征的方法。

2.2 交互式業(yè)務(wù)識別技術(shù)

目前VoIP/FTP/網(wǎng)絡(luò)游戲等業(yè)務(wù)普遍采用控制流與業(yè)務(wù)流分離的方式，通過控制流完成握手，協(xié)商出業(yè)務(wù)流的端口信息然后進行信息流傳輸，其業(yè)務(wù)流沒有任何特征。因此通過DPI技術(shù)首先識別出控制流，并根據(jù)控制流協(xié)議分析識別出業(yè)務(wù)流的端口或?qū)Χ司W(wǎng)關(guān)地址等信息，然后對業(yè)務(wù)流進行解析，從而識別出相應(yīng)的業(yè)務(wù)流。典型的業(yè)務(wù)如SIP、H323協(xié)議都屬于這種類型的協(xié)議。SIP、H323通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測RTP流并不能確定這條RTP流是通過哪種協(xié)議建立起來的，只有通過檢測SIP或H323的協(xié)議交互，才能得到其完整的分析。

2.3 行為模式識別技術(shù)

在實施行為模式識別技術(shù)之前，運營商必須首先對終端的各種行為進行研究，并在此基礎(chǔ)上建立起行為識別模型?；谛袨樽R別模型，行為模式識別技術(shù)即可根據(jù)用戶已經(jīng)實施的行為，判斷用戶正在進行的動作或者即將實施的動作。行為模式識別技術(shù)通常用于那些無法由協(xié)議本身就能判定的業(yè)務(wù)。

2.4 深度流檢測技術(shù)DFI

深度流檢測法根據(jù)各種應(yīng)用的連接數(shù)、單IP地址的連接模式、上下行流量比例關(guān)系、數(shù)據(jù)包發(fā)送頻率等數(shù)據(jù)流的行為特征指標的不同與DFI檢測模型進行匹配，進而從中區(qū)分出P2P應(yīng)用類型。DFI檢測存在如下優(yōu)點：能夠發(fā)現(xiàn)未知P2P應(yīng)用，具有對新P2P應(yīng)用的感知能力。加密協(xié)議對檢測算法影響較小。避免查看應(yīng)用層協(xié)議內(nèi)容，檢測效率較高。缺點在于檢測準確度與DPI相比稍低，有將非P2P應(yīng)用誤判為P2P應(yīng)用的情況。

2.5 DPI技術(shù)的難點

DPI技術(shù)發(fā)展至今，仍面臨一些亟待解決的難點，包括：

（1）業(yè)務(wù)識別準確性；

（2）誤報、漏報率高；

（3）應(yīng)用特征不夠全面，特征僅能覆蓋應(yīng)用的部分流量；

（4）不同的應(yīng)用協(xié)議具有相同或者類似的特征；

（5）特征庫的更新。由于業(yè)務(wù)版本更新頻繁，協(xié)議識別效率低下，造成特征庫更新準確性和實時性無法得到保障，均會帶來業(yè)務(wù)識別的種種問題。

3 結(jié)束語

本文從DPI關(guān)鍵技術(shù)介紹出發(fā)，深入研究了流量監(jiān)控系統(tǒng)、流量識別技術(shù)、技術(shù)難點、分析方法。

[1]陳秀真，鄭慶華.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評估的研究[J].西安交通大學學報，2004，38（4）：353～357.

[2]陸余良，夏 陽.主機安全量化融合模型研究[J].計算機學報，2005，28（5）：914～920.

[3]張永錚，方濱興，遲悅，云曉春.用于評估網(wǎng)絡(luò)信息系統(tǒng)的風險傳播模型[J].計算機學報，2007，30（2）：234～240.

[4]朱松嶺.基于模糊層次分析法的風險量化研究[J].計算機集成制造系統(tǒng)，2004，12（8）：982～984.

TP393

A

1004-7344（2016）17-0277-01

2016-5-20

劉爽（1986-），女，高級設(shè)計員，沈陽炮兵學院，學士學位。