鄭 濤

（宜通世紀(jì)科技股份有限公司，廣州 510000）

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)逐漸普及起來(lái)，網(wǎng)絡(luò)安全事故的日益增多，傳統(tǒng)的網(wǎng)絡(luò)欺詐流量識(shí)別與監(jiān)控技術(shù)分為純軟件欺詐和純硬件欺詐識(shí)別兩種，軟件識(shí)別在識(shí)別流量的過(guò)程中耗時(shí)長(zhǎng)，欺詐檢測(cè)速度緩慢，無(wú)法滿(mǎn)足當(dāng)前高速上傳和下載形式的網(wǎng)絡(luò)數(shù)據(jù)，而硬件識(shí)別則比較難進(jìn)行復(fù)雜的網(wǎng)絡(luò)協(xié)議處理。因此考慮基于軟件來(lái)識(shí)別復(fù)雜的網(wǎng)絡(luò)協(xié)議，普通的網(wǎng)絡(luò)協(xié)議則通過(guò)硬件來(lái)識(shí)別，軟硬結(jié)合實(shí)現(xiàn)高效的流量欺詐識(shí)別。

1 系統(tǒng)總體結(jié)構(gòu)

目前在網(wǎng)絡(luò)中較為常用的大部分網(wǎng)絡(luò)流量協(xié)議都是以超文本傳輸安全協(xié)議為主，只需要借助特殊的字段，就能夠?qū)崿F(xiàn)身份欺詐，主要以硬件為基礎(chǔ)，在欺詐流量識(shí)別速度方面具有優(yōu)勢(shì)。在識(shí)別了這部分的欺詐行為后，系統(tǒng)記錄了無(wú)法通過(guò)硬件識(shí)別的流程通過(guò)軟件方法流轉(zhuǎn)到人工引擎進(jìn)行識(shí)別。不能通過(guò)欺詐流量識(shí)別的主要是網(wǎng)絡(luò)中不常見(jiàn)的流量，或者有必要通過(guò)其他方法來(lái)識(shí)別欺詐流量，它的數(shù)據(jù)流需要通過(guò)信令流進(jìn)行關(guān)聯(lián)，然后進(jìn)行分析和計(jì)數(shù)，通過(guò)模式字符串知識(shí)庫(kù)使用不同的關(guān)鍵字來(lái)判讀使用硬件識(shí)別和軟件識(shí)別過(guò)程，系統(tǒng)支持三個(gè)線(xiàn)程模式，包括數(shù)據(jù)庫(kù)生成線(xiàn)程、知識(shí)庫(kù)編譯線(xiàn)程和數(shù)據(jù)線(xiàn)程，數(shù)據(jù)庫(kù)生成線(xiàn)程用于解析和加載模式字符串，知識(shí)庫(kù)編譯線(xiàn)程用于匹配字符串[2]。

2 知識(shí)庫(kù)語(yǔ)法設(shè)計(jì)

軟件識(shí)別欺詐流量的語(yǔ)法設(shè)計(jì)相對(duì)復(fù)雜，因?yàn)樗С謴?fù)雜的欺詐識(shí)別技術(shù)，如深度包解析、特殊功能和關(guān)聯(lián)欺詐識(shí)別，它消耗了大量的cpu 資源。為了防止系統(tǒng)性能下降，該系統(tǒng)限制了軟件欺詐識(shí)別規(guī)則的數(shù)量，設(shè)計(jì)人員需要使用硬件模式來(lái)分析和提取盡可能多的應(yīng)用程序規(guī)則，以減少軟件欺詐識(shí)別規(guī)則的數(shù)量。輸入數(shù)據(jù)后，系統(tǒng)為五元組信息創(chuàng)建一個(gè)流表，并在硬件欺詐識(shí)別后進(jìn)行更新。軟件欺詐識(shí)別處理硬件無(wú)法處理的流量，并更新流量表，因?yàn)榱髁勘碇械臄?shù)據(jù)量隨著網(wǎng)絡(luò)流量的增加而增加。網(wǎng)絡(luò)流量越大，流量計(jì)中的數(shù)據(jù)量越大，系統(tǒng)需要設(shè)置流量計(jì)的自動(dòng)移除時(shí)間，數(shù)據(jù)量數(shù)據(jù)在流量計(jì)中只有有限的時(shí)間，通常是15秒，當(dāng)時(shí)間超過(guò)15秒，之前的數(shù)據(jù)被自動(dòng)清除時(shí)[3]。

3 系統(tǒng)硬件設(shè)計(jì)

系統(tǒng)的硬件設(shè)計(jì)采用多核CPU，在硬件上實(shí)現(xiàn)了具有高品牌，以效率的正則表達(dá)式進(jìn)行邏輯的匹配，同時(shí)對(duì)于網(wǎng)絡(luò)中較為常見(jiàn)的流量，采用匹配的語(yǔ)法進(jìn)行表達(dá)。硬件狀態(tài)機(jī)會(huì)將語(yǔ)法中的規(guī)則進(jìn)行加載，然后針對(duì)流量表中需要檢測(cè)的數(shù)據(jù)進(jìn)行欺詐識(shí)別和匹配，最終得到匹配的結(jié)果，在流量表中進(jìn)行更新。

4 系統(tǒng)軟件設(shè)計(jì)

本文的系統(tǒng)軟件設(shè)計(jì)是基于Linux 內(nèi)核的，當(dāng)欺詐識(shí)別加密的數(shù)據(jù)包流量或網(wǎng)絡(luò)中沒(méi)有明顯特征的數(shù)據(jù)時(shí)，需要一些其他欺詐識(shí)別手段，例如，在實(shí)現(xiàn)匹配之前需要解密一些P2P 流量，借助特殊功能，實(shí)現(xiàn)對(duì)于數(shù)據(jù)包的識(shí)別，所使用的匹配算法直接決定軟件的工作效率。選擇的匹配算法朝向邊緣偏移，能夠有效縮短整體的匹配時(shí)間。本次課題研究主要使用緊湊正則表達(dá)式算法有效縮短時(shí)間，同時(shí)也減少查詢(xún)數(shù)量，保證整體搜索的效率。移邊壓縮的主要原理是用最大的移邊從任何狀態(tài)壓縮移邊到該狀態(tài)[4]。

5 運(yùn)行驗(yàn)證實(shí)驗(yàn)

使用網(wǎng)絡(luò)帶寬100M 的局域網(wǎng)進(jìn)行測(cè)試，這使得網(wǎng)絡(luò)的暢通得到一定程度的保證，使用1：9的數(shù)據(jù)樣本（欺詐流量：正常流量）被用作這項(xiàng)測(cè)試的數(shù)據(jù)源，在局域網(wǎng)內(nèi)進(jìn)行收發(fā)測(cè)試，對(duì)欺詐識(shí)別的流量通過(guò)丟包進(jìn)行處理，當(dāng)下發(fā)欺詐流量的阻斷策略后系統(tǒng)的丟包數(shù)顯著上升，最終接收的數(shù)據(jù)樣本，經(jīng)過(guò)檢查欺詐流量被攔截，正常流量得以正常傳送，沒(méi)有發(fā)生堵塞。

6 結(jié)束語(yǔ)

綜上所述，為了有效地管理和監(jiān)控網(wǎng)絡(luò)流量，本文提出了一種基于統(tǒng)一DPI 的欺詐流量識(shí)別系統(tǒng)，針對(duì)傳統(tǒng)純軟件流量監(jiān)控表現(xiàn)出速度緩慢的問(wèn)題進(jìn)行有效解決，能夠更好適應(yīng)現(xiàn)代網(wǎng)絡(luò)高速數(shù)據(jù)流量的特性。借助純硬件方式識(shí)別欺詐，往往會(huì)占據(jù)大量的內(nèi)存，而采用不同的語(yǔ)法進(jìn)行識(shí)別，能夠有效縮減內(nèi)存空間，避免重復(fù)識(shí)別對(duì)象，提升整體識(shí)別效率，借助軟件和硬件結(jié)合的方式，表現(xiàn)出兩者的共同優(yōu)點(diǎn)。最終結(jié)果顯示，本次課題研究所設(shè)計(jì)的系統(tǒng)在欺詐流量識(shí)別準(zhǔn)確率。一方面要明顯高于傳統(tǒng)的方式，并且不會(huì)造成網(wǎng)絡(luò)的阻塞。