郭育辰，李城

（中國人民公安大學(xué)，北京 102600）

基于分組檢測技術(shù)的寬帶私接防范系統(tǒng)的設(shè)計

郭育辰，李城

（中國人民公安大學(xué)，北京 102600）

互聯(lián)網(wǎng)日漸普及的同時帶來了寬帶私接、IDC透傳等問題，這嚴(yán)重影響了互聯(lián)網(wǎng)市場的健康穩(wěn)定發(fā)展。本文針對寬帶私接對互聯(lián)網(wǎng)發(fā)展的影響，提出一種基于分組檢測技術(shù)的防范寬帶私接的解決方案，從多維度進(jìn)行分析統(tǒng)計、分權(quán)打分并根據(jù)分值對疑似私接IP進(jìn)行匯總排名與審核，有效地識別出寬帶私接、IDC透傳，為防寬帶私接的管控增加新的思路和技術(shù)手段。

寬帶私接；IDC透傳；分組檢測

隨著互聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展，網(wǎng)民滲透率逐年攀升，網(wǎng)絡(luò)已經(jīng)成為國民生活與工作的基本工具，與此同時寬帶私接(Bandwidth Steal)現(xiàn)象與日俱增。

寬帶私接出現(xiàn)的原因是多方面的：對于一級運營商來說網(wǎng)間結(jié)算費用高、各省間聯(lián)動性弱，通過寬帶私接降低運營成本；對于二級運營商來說一級運營商提供的帶寬價格高，通過IDC服務(wù)器透傳提升客戶附著性，實現(xiàn)利潤最大化。但寬帶私接現(xiàn)象不利于互聯(lián)網(wǎng)市場的健康發(fā)展，從安全角度來說也增加了寬帶用戶溯源的管理難度，因此采取及時有效的技術(shù)手段防范寬帶私接具有深遠(yuǎn)的意義。

1 寬帶私接業(yè)務(wù)模型

1.1 原始私接光纖方式

通過特殊渠道，BS接入商能夠從運營商的IDC牽入一條光纖鏈路到自己的匯聚點，為自己的小區(qū)寬帶用戶提供互聯(lián)網(wǎng)接入。因極易被發(fā)現(xiàn)，這種方式已基本絕跡。

1.2 VPN+NAT方式

其實現(xiàn)方式為外地異司運營商（如A省電信），在匯聚、打上VPN后，從異地同司運營商（如A省聯(lián)通）內(nèi)透傳到本地同司運營商（如B省聯(lián)通），在本地運營商處終結(jié)VPN后出公網(wǎng)，繞過了網(wǎng)間結(jié)算，逃漏了結(jié)算費用。

1.3 VPN+GRE隧道方式

經(jīng)與運營商相關(guān)專家交流，當(dāng)前主流的寬帶私接方式是通過VPN+GRE隧道方式實現(xiàn)，如圖1所示。A省移動客戶利用托管在聯(lián)通IDC機(jī)房的服務(wù)器，通過GRE隧道連接到J省聯(lián)通IDC機(jī)房，在隧道中存在大量其他運營商的IP地址與國內(nèi)外網(wǎng)絡(luò)互聯(lián)。

2 寬帶私接防范方法分析

根據(jù)VPN+GRE隧道方式的寬帶私接模型特點，可從“機(jī)房外訪流量”、“VPN流量IP歸屬”、“異常應(yīng)用”幾個層面來分析。

圖1 VPN+GRE隧道實現(xiàn)寬帶私接

2.1 機(jī)房外訪流量層面分析

機(jī)房外訪流量指IDC機(jī)房內(nèi)服務(wù)器主動向公網(wǎng)上面網(wǎng)站發(fā)起的訪問，而非普通的寬帶用戶訪問行為。IDC的某些應(yīng)用服務(wù)器若存在機(jī)房外訪流量，即與普通的IDC業(yè)務(wù)特征不一致，需要進(jìn)一步的分析其是否存在BS行為。在此步驟中可以把流量巨大的、訪問量巨大的IP提取出來，作為重點分析對象。

2.2 VPN層面分析

對于IDC機(jī)房，進(jìn)來與出去的流量都是VPN形式，可以探查VPN內(nèi)層的IP地址歸屬方信息（私接常為跨省、跨運營商方式實現(xiàn)）。若進(jìn)來是VPN、出去是非VPN的情況，可以直接探查到VPN接封裝之后的VPN歸屬方（私接常為跨省、跨運營商方式實現(xiàn)）?；谏鲜銮闆r，可以把進(jìn)入端口時全部都是VPN流量的IP（全VPN接入）及出端口時只有非VPN出流量的IP（單純外訪）作為重點分析對象。

2.3 異常應(yīng)用層面分析

寬帶私接的主流客戶是小區(qū)的寬帶用戶，其上網(wǎng)行為特征比較明顯，如網(wǎng)頁瀏覽、IMS互動、電商購物、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻等典型網(wǎng)絡(luò)應(yīng)用特征。因此，把機(jī)房外訪流量中帶有小區(qū)寬帶用戶通常上網(wǎng)行為特征的IP，作為重點分析對象。

3 寬帶私接防范系統(tǒng)的設(shè)計

本文提出一種寬帶私接防范系統(tǒng)BSD(Bandwidth Steal Detection)，從機(jī)房外訪流量排名、機(jī)房外訪Http請求數(shù)量排名、VPN疑似流量占比排名、單純外訪流量排名、異常應(yīng)用統(tǒng)計排名5個維度，先進(jìn)行各自分析和統(tǒng)計，分別加權(quán)打分；然后根據(jù)分值，整體對疑似私接IP匯總排名與審核，包括抓分組取證與結(jié)果留存等。系統(tǒng)功能如圖2所示。

3.1 機(jī)房外訪流量TOP100排名

IDC服務(wù)器主動向機(jī)房外部或公網(wǎng)站點發(fā)起訪問，進(jìn)行此外訪流量的排名與展示，如圖3所示。

圖2 BSD系統(tǒng)功能示意圖

圖3 機(jī)房外訪流量排名

基于對應(yīng)服務(wù)器IP（業(yè)務(wù)IP），進(jìn)行外訪流量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度提升至65%，列出IP具體歸屬信息。根據(jù)IDC系統(tǒng)的分組檢測技術(shù)的訪問日志，基于業(yè)務(wù)IP提取出機(jī)房外訪流量的數(shù)值，進(jìn)行排名等處理；同時根據(jù)系統(tǒng)本地IP地址歸屬信息庫，進(jìn)行IP地址歸屬的判斷。因CDN業(yè)務(wù)與寬帶私接業(yè)務(wù)有相似性，根據(jù)系統(tǒng)本地CDN業(yè)務(wù)IP地址庫信息，濾除CDN業(yè)務(wù)IP。

3.2 機(jī)房外訪次數(shù)TOP100排名

機(jī)房外訪次數(shù)排名如圖4所示，基于對應(yīng)服務(wù)器IP（業(yè)務(wù)IP），進(jìn)行外訪Http請求數(shù)量統(tǒng)計與TOP100排名，實現(xiàn)方法同外訪流量排名。

圖4 機(jī)房外訪次數(shù)排名

3.3 VPN流量占比TOP100排名

IDC服務(wù)器含有VPN協(xié)議類型的流量數(shù)據(jù)，基于服務(wù)器業(yè)務(wù)IP考查VPN流量在總流量中的占比。若占比高于96%，且每天總流量值高于20 M，計入VPN疑似流量占比TOP100排名（相同流量占比的IP，要按照每天VPN總流量大小來排名）。計算公式如下：

VPN占比=VPN總流量/(進(jìn)總流量+出總流量)

計入本維度的IP，賦值疑似度65%；如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度直接提升至70%。因VPN涉及到內(nèi)外層IP地址，需按照內(nèi)層IP地址進(jìn)行其他運營商IP歸屬判斷，按照外層IP進(jìn)行本運營商合法IP的判斷。VPN流量占比功能如圖5所示。

圖5 VPN流量占比排名

根據(jù)IDC系統(tǒng)的分組檢測技術(shù)，得到IP流量統(tǒng)計日志，并基于IDC業(yè)務(wù)IP進(jìn)行VPN流量值的獲取和排名。

3.4 單純外訪流量TOP100排名

對于IDC服務(wù)器某業(yè)務(wù)IP，若只有此IP單純向機(jī)房外部網(wǎng)絡(luò)站點發(fā)起訪問的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問總流量為0，對此類IP進(jìn)行外訪流量的TOP100排名展示。前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度直接提升至65%，列出IP具體歸屬信息。單純外訪流量排名如圖6所示。

3.5 異常應(yīng)用數(shù)量TOP100排名

對于IDC服務(wù)器某業(yè)務(wù)IP，識別分析其流量中的QQ賬號、郵件賬號、UA數(shù)量等，找出“一個IP承載多個應(yīng)用賬號標(biāo)識”的IP信息，按照應(yīng)用標(biāo)識數(shù)量（QQ賬號數(shù)量結(jié)合UA數(shù)量）進(jìn)行TOP100排名展示。計入的IP賦疑似度60%，如果發(fā)現(xiàn)有非本運營商的IP計入則疑似度直接提升至65%。如圖7所示。

按照QQ號數(shù)量進(jìn)行排名，不足100的按照UA數(shù)量進(jìn)行排名補齊。根據(jù)IDC系統(tǒng)的分組檢測技術(shù)上報的一拖N日志，基于IDC的業(yè)務(wù)IP進(jìn)行QQ號數(shù)量、UA數(shù)量的統(tǒng)計和排名操作。

3.6 匯總審核疑似IP

(1) 疑似私接IP TOP匯總。根據(jù)前述的5個分析維度，IP疑似度在60%及以上者均準(zhǔn)備進(jìn)入疑似IP匯總表，按疑似度進(jìn)行TOP排名。若有IP在幾個維度之間交叉出現(xiàn)的，每交叉出現(xiàn)一次，取疑似度高的疑似度值，且增加5%累計疑似度入?yún)R總表。支持全部或部分疑似匯總IP值的批量導(dǎo)出。

(2) BS逆向分析。根據(jù)客戶預(yù)先給出的疑似IP段信息，從BSD系統(tǒng)中針對性進(jìn)行BS信息的提取和記錄，形成疑似證據(jù)。

圖6 單純外訪流量排名

圖7 異常應(yīng)用數(shù)量排名

3.7 配套功能

(1) 本地IP歸屬信息判定。由 “純真”站點獲取相應(yīng)IP地址庫信息，調(diào)整后導(dǎo)入BSD系統(tǒng)，形成本地IP歸屬庫，用于IDC業(yè)務(wù)IP歸屬判據(jù)。

(2) CDN業(yè)務(wù)IP判定。采用IDC系統(tǒng)的分組檢測技術(shù)作為分析工具，將URL中帶有“CDN”字樣的業(yè)務(wù)IP全部標(biāo)記出來，累計形成BSD系統(tǒng)本地CDN業(yè)務(wù)IP地址庫，用于IDC業(yè)務(wù)IP是否為CDN業(yè)務(wù)IP的判據(jù)。

(3) 應(yīng)用協(xié)議分析。采用App Tag互聯(lián)網(wǎng)應(yīng)用分析工具，對寬帶用戶常用的6 800多種應(yīng)用協(xié)議進(jìn)行還原及判定；以IDC系統(tǒng)分組檢測技術(shù)作為分析工具，參照用戶Http訪問報文中的UA信息，對常見的固網(wǎng)、移動網(wǎng)軟件操作系統(tǒng)、硬件終端類型等進(jìn)行抓取識別，并利用新版QQ協(xié)議特征庫，對QQ進(jìn)行應(yīng)用協(xié)議的還原識別。

4 結(jié)束語

隨著寬帶私接現(xiàn)象泛濫，持續(xù)導(dǎo)致互聯(lián)網(wǎng)產(chǎn)業(yè)不健康發(fā)展。本文作者通過實踐，在寬帶私接業(yè)務(wù)模型的基礎(chǔ)上提出一種分組檢測技術(shù)的分析方法，從多維度有效地識別寬帶私接流量，增加了防寬帶私接的技術(shù)手段。

[1] 張琦, 黃宙, 宮忱. 利用DNS日志數(shù)據(jù)識別寬帶私接的技術(shù)探討[J]. 電信網(wǎng)技術(shù), 2016(6):73-77.

[2] 李馥娟. 以太網(wǎng)透傳技術(shù)及應(yīng)用研究[J]. 網(wǎng)絡(luò)新媒體技術(shù),2009, 30(7):8-13.

[3] 胡泊. 網(wǎng)絡(luò)寬帶接入技術(shù)的研究及應(yīng)用[J]. 科學(xué)家, 2016(14).

[4] 何偉. 聯(lián)通校園寬帶用戶防私接試驗方案[J]. 通訊世界,2015(5):76-77.

[5] 蔣建峰. GRE與IPSec VPN工程應(yīng)用研究[J]. 價值工程,2013(15):197-198.

AbstractThe growing popularity of the Internet brought the broadband steal, IDC transmission and other issues,which affected the healthy and stable development of the Internet market so it was not conducive to safety control. According to the adverse effects of private broadband access to the Internet, the paper put forward a solution of prevention of bandwidth steal based on the deep packet inspection technology.A solution based on deep packet inspection was proposed to prevent bandwidth steal. It could analyze,assign weights from multiple dimensions and summarize, rank and audit possible private IP based on scores. So the solution can effectively identify bandwidth steal and IDC transmission phenomena, which adds new ideas and technical means for the control of bandwidth steal.

Keywordsbroadband steal; IDC penetrate; DPI

Design of preventing broadband steal system based on deep packet inspection

GUO Yu-chen, LI Cheng
(People’s Public Security University of China, Beijing 102600, China)

TN911

A

1008-5599（2017）10-0079-04

2017-05-25