張世強

【摘要】：電力信息通信網(wǎng)絡(luò)對安全性有較高要求，所以選擇流量識別方法首先要了解這些方法。本文著重介紹了目前使用范圍較廣網(wǎng)絡(luò)流量識別方法，并分析得出適用于電力信息通信網(wǎng)絡(luò)的流量識別方法。

【關(guān)鍵詞】：電力信息通信網(wǎng)；網(wǎng)絡(luò)流量；識別方法

引言

IP報文集合會通過網(wǎng)絡(luò)觀測點，并且它是在某個固定時段內(nèi)通過的，我們把這種的集合稱之為流。在同一個特定流范圍內(nèi)的報文，常常具備相同的屬性。流量由流組成，一定數(shù)量的流構(gòu)成了流量。流量具備不同特征，根據(jù)這些特征對流量進行區(qū)分和選擇，就是流量的分類和識別。用具體的理論方法進行描述時，為“分類”；用具體的應用分析進行描述時，就是“識別”。如果沒有特別說明和要求，通常是不會過于嚴格區(qū)分的。

1、網(wǎng)絡(luò)流量識別方法的分析

1.1基于端口映射的流量識別方法

主要有兩種途徑：①分析傳輸控制協(xié)議（TransmissionControlProtocol，簡稱TCP）數(shù)據(jù)包中的端口號；②分析用戶數(shù)據(jù)報協(xié)議（UserDataProtocol，簡稱UDP）數(shù)據(jù)包中的端口號。分析端口號之后，再比較它和熟知的端口號之間的不同，判斷其應用類型。

這種方法操作起來比較簡單，能夠很好的識別分類高速網(wǎng)絡(luò)中的流量，而且是實時流的分類。但是它有一些缺點。對于那些沒有把端口號在互聯(lián)網(wǎng)數(shù)據(jù)分配機構(gòu)（theInternetAs-signedNumbersAuthority，簡稱IANA）進行注冊的應用，和那些未知端口的應用來說，是無法利用這種方法進行流量識別的。另外，常見的P2P應用中運用的是動態(tài)分配端口技術(shù)，也沒有辦法實施基于端口映射的流量識別方法。如果網(wǎng)絡(luò)互連協(xié)議層上有加密，那么利用這種方法是不能獲得端口號的，這種方法在面對加密情況時，無法產(chǎn)生正常效用。

1.2基于有效負載的流量識別方法

傳統(tǒng)的網(wǎng)絡(luò)流量識別方法，其判斷過程過分依賴端口號。為了減少這種依賴，基于有效負載的網(wǎng)絡(luò)流量識別方法應用而生。包的有效負載中存在一些字段，基于有效負載的網(wǎng)絡(luò)流量識別方法主要對包中存在的已知應用的字段進行分析，通過分析實現(xiàn)流的分類。這種方法的準確性比基于端口映射的流量識別方法要高出許多。它的具體操作過程是：對尚未識別的應用層協(xié)議進行詳細分析。每個協(xié)議中都包含著不同于其他協(xié)議的字段，分析應用層協(xié)議中這些不同字段并將其視為應用協(xié)議的特征。識別流量過程中，需要對報文的負載部分進行檢測，而且檢測必須使用深度包檢測技術(shù)。檢測完成后，比較已知協(xié)議特征和檢測結(jié)果，如果二者能夠匹配，就可以將該流歸類于對應的應用中。這種方法也有非常明顯的不足。它雖然能夠快速識別那些并沒有加密且已知的流量，但是面對那些未知流量，這種方法卻沒有實際作用。由于這種識別方法主要通過分析應用層中的內(nèi)容來實現(xiàn)識別的，時常會出現(xiàn)侵犯隱私甚至其他性質(zhì)嚴重的安全性問題。

1.3基于主機行為的流量識別方法

前面介紹的兩種方法，雖然能夠?qū)崿F(xiàn)流量識別，但是它的缺陷也對其識別范圍造成一定影響。研究者在前兩種方法的基礎(chǔ)上，提出了基于主機行為的流量識別方法。這種方法能產(chǎn)生效果，主要通過對主機中傳輸層特有的行為模式及其特征進行分析，最終實現(xiàn)流量識別或分類。這里的主機行為包括TCP協(xié)議的使用順序和IP地址的數(shù)目，還包括UDP協(xié)議的使用順序和相關(guān)傳輸速度的變化。通過對這些主機行為及其特征的詳細分析，能夠判斷出它對應的應用類型?；谥鳈C行為的流量識別方法的特點有三個：①利用它識別流量不需要了解端口號及與之相關(guān)的信息，不會出現(xiàn)前兩種方法中無法識別未知或動態(tài)端口的情況，更不會出現(xiàn)受到端口誤導的情況。②不需要對負載進行解讀，不會出現(xiàn)侵犯隱私的情況或者其他安全性問題。③這種方法主要是分析路由器上的NetFlow信息，所以在設(shè)備方面的投入比較小。當然，這種方法也存在一定局限性，具體表現(xiàn)在：不能識別某些特定的應用類型，比如這種方法雖然能將P2P類型的流量識別出來，但卻無法確定具體是哪種P2P應用。

2、適用于電力信息通信網(wǎng)絡(luò)的流量識別方法

電力通信網(wǎng)絡(luò)要傳輸語音、圖像、視頻等數(shù)據(jù)信息，而且因為電力行業(yè)比較特殊所以它比較重視網(wǎng)絡(luò)的安全性。電力信息通信網(wǎng)絡(luò)流量識別方法須達到這些要求和標準：①流量識別技術(shù)的識別率要達到將近100%，而流量識別的準確程度不能低于92%。②應用于電力信息網(wǎng)絡(luò)中的流量識別方法要具備非常高的安全系數(shù)，在使用方法的效用范圍內(nèi)，盡量保證數(shù)據(jù)內(nèi)容的安全。③要快速識別出端口可變業(yè)務以及其他加密業(yè)務或者可變IP的業(yè)務。④流量識別方法能夠感知多種應用，快速識別出HTTP、BLOG等應用。根據(jù)電力信息通信網(wǎng)絡(luò)的特征和它對網(wǎng)絡(luò)流量識別方法的要求，再結(jié)合第一部分中介紹到的網(wǎng)絡(luò)流量識別方法，可以看出，基于機器學習的流量識別方法是最合適的選擇。原因是：

（1）由于基于端口的流量識別方法主要通過分析端口號來識別流量，所以它極易被端口號誤導。而目前的端口形勢多數(shù)為動態(tài)，這對基于端口的流量識別方法的準確性有非常大的影響。

（2）基于有效負載的流量識別方法，通過解讀數(shù)據(jù)包進行判斷，這一識別過程需要投入非常大的資金，而且解析數(shù)據(jù)包的過程中很有可能出現(xiàn)安全問題。前面已經(jīng)提到，電力信息通信網(wǎng)絡(luò)對網(wǎng)絡(luò)環(huán)境的安全性有非常高的要求，縱然它識別流量的準確率較高，也不適合在電力信息通信網(wǎng)絡(luò)中使用。

（3）基于主機行為的流量識別方法，雖然具有一定準確性，但是它的識別效果不夠理想。不可否認，它能夠識別出應用，但是它的分類粒度不夠細。尤其是當前網(wǎng)絡(luò)環(huán)境中P2P應用的數(shù)量和規(guī)模飛速增長的情況下，僅僅識別應用是不夠的，還要識別出應用的子應用。所以這種方法也不適合在電力信息通信網(wǎng)絡(luò)中應用。

結(jié)語

電力信息通信網(wǎng)絡(luò)對網(wǎng)絡(luò)環(huán)境的安全性有較高的要求，網(wǎng)絡(luò)流量識別技術(shù)能夠幫助電力信息通信網(wǎng)絡(luò)提高其可視業(yè)務的能力，增強電力信息通信網(wǎng)絡(luò)的安全性能?；跈C器學習的流量識別方法本身具有許多優(yōu)點，比較適合運用在電力信息通信網(wǎng)絡(luò)中。

【參考文獻】：

[1]姜羽，華俊，胡靜，宋鐵成，劉世棟，郭經(jīng)紅.電力信息通信網(wǎng)絡(luò)流量識別技術(shù)研究[J].信息化研究，2015，01：10～14+18.