田 園，汪襄南，胡學良（中訊郵電咨詢設計院有限公司，北京100048）

1 研究背景及意義

互聯(lián)網和信息技術的發(fā)展在經濟和生活的各個領域正在迅速普及，其地位日益重要，整個社會對網絡的依賴程度越來越大。與此同時，也產生了各種各樣的問題。網絡帶寬的違規(guī)私接日益猖獗。這種不正當市場競爭不僅嚴重損害各大運營商的利益，而且不法分子還可能利用私接寬帶發(fā)送垃圾郵件、搭建不良信息網站、甚至從事網絡違法活動，給網絡安全監(jiān)控及治理帶來了不便和難題。能否通過監(jiān)控分析用戶流量數(shù)據(jù)，自行發(fā)現(xiàn)違規(guī)行為，從源頭上扼制違規(guī)私接的發(fā)生，已成為各大運營商關注的重點。

2 大帶寬違規(guī)

IDC機房正常業(yè)務模式為寬帶用戶通過公網請求訪問IDC機房內的服務器業(yè)務，IDC服務器給予應答，具體如圖1所示。

所謂大帶寬違規(guī)，則是寬帶用戶通過某IDC機房出網訪問互聯(lián)網上其他資源，IDC機房內某用戶將帶寬引出，為其他寬帶小區(qū)提供轉租。

下面以北京聯(lián)通和某省聯(lián)通、某省電信IDC機房為例，講解大帶寬違規(guī)私接時寬帶用戶訪問互聯(lián)網數(shù)據(jù)包流向。私接方通過某省電信為用戶做接入服務，以某省電信到某省聯(lián)通，再到北京聯(lián)通建立VPN通道，使得某省電信接入用戶的訪問互聯(lián)網流量實際通過北京聯(lián)通IDC機房作為網絡出口，幫助了某省電信寬帶市場的發(fā)展，影響當?shù)芈?lián)通寬帶及樓宇專線等業(yè)務發(fā)展，具體如圖2所示。

圖1 IDC機房正常業(yè)務模式圖

圖2 大帶寬違規(guī)示意圖

3 大帶寬違規(guī)的分析及檢測

3.1 數(shù)據(jù)獲取的實現(xiàn)

實現(xiàn)大帶寬違規(guī)私接的分析檢測，需獲取數(shù)據(jù)中心的全部網絡流量，并在此基礎上，利用深度數(shù)據(jù)包和大數(shù)據(jù)技術，進行流量的分析和檢測。

網絡流量數(shù)據(jù)可以通過數(shù)據(jù)分流提取和代碼植入等方式獲取。

代碼植入方式是在數(shù)據(jù)中心所有客戶端網頁中嵌入代碼，以監(jiān)測訪問客戶網絡的流量情況，然后將網站訪問情況反饋至分析系統(tǒng)。數(shù)據(jù)分流提取方式是在運營商的數(shù)據(jù)中心網絡出口部署數(shù)據(jù)分流提取監(jiān)測設備，并將分流提取出的流量送至分析系統(tǒng)處理。鑒于運營商網絡的數(shù)據(jù)中心出口帶寬較大，客戶眾多，數(shù)據(jù)分流提取方式更為可行。

3.2 大帶寬違規(guī)的分析方法

3.2.1 IDC機房向外訪問流量

在不考慮IDC機房存在CDN服務器的情況下，傳統(tǒng)IDC業(yè)務模式為終端用戶通過公網請求訪問IDC機房內的服務器業(yè)務，不會存在IDC機房的服務器向外網請求訪問業(yè)務的情況。如存在大量從IDC機房內部服務器發(fā)出的向外訪問的請求，則懷疑此IDC用戶流量具有公眾業(yè)務流量的特征，認為存在違規(guī)嫌疑（見圖3）。

圖3 IDC機房異常向外訪問流量圖

3.2.2 VPN流量及VPN流量成分

如果發(fā)現(xiàn)某IDC機房用戶VPN隧道的流量較多，且VPN隧道流量中存在大量其他運營商的IP地址，或者IP地址所產生的流量非常大，這都是非正常VPN業(yè)務，可以認為存在違規(guī)嫌疑（見圖4）。

圖4 VPN隧道流量示意圖

3.2.3 向外訪問的特殊應用

一般而言，IDC用戶業(yè)務模式相對統(tǒng)一。如某IDC用戶業(yè)務為傳統(tǒng)Web網站服務，則其服務器發(fā)出的流量多為Http流量；又如某IDC用戶業(yè)務為視頻服務，則其服務器發(fā)出的流量協(xié)議多為P2P協(xié)議。如果IDC機房內某用戶向外訪問的流量中，應用協(xié)議類型較多，且多為QQ、微信、購物、游戲等應用，則認為其具有終端用戶的訪問特征，存在違規(guī)嫌疑（見圖5）。

圖5 向外訪問流量成分圖

3.3 大帶寬違規(guī)的檢測手段

首先對機房向外訪問流量、機房向外訪問HTTP?GET數(shù)量、VPN疑似流量占比、異常應用統(tǒng)計等4個維度進行統(tǒng)計分析，分別加權打分；然后根據(jù)分值，對疑似私接IP進行整體匯總排名與審核。

3.3.1 機房外訪問流量排名

“機房外訪問流量”即為IDC機房內的服務器，主動向機房外部、公網上的站點發(fā)起的訪問流量。大帶寬違規(guī)檢測的手段之一是針對此類流量進行排名、展示?？苫趯掌鱅P（即其業(yè)務IP），進行外訪流量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個IP賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP，其疑似度賦值直接提升至80%。

3.3.2 機房外訪HTTPGET數(shù)據(jù)包數(shù)量排名

“機房外訪HTTPGET數(shù)據(jù)包數(shù)量”即為IDC機房內的服務器主動向機房外部、公網上的站點發(fā)起的HTTPGET訪問數(shù)據(jù)包總量?？苫趯掌鱅P（即其業(yè)務IP），進行外訪HTTPGET數(shù)據(jù)包數(shù)量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP計入，其疑似度直接提升至80%。

3.3.3 VPN疑似流量占比排名

基于服務器業(yè)務IP，考查VPN流量在總流量中的占比，占比高于96%的，計入VPN疑似流量占比TOP100。VPN占比的計算公式如下。

VPN占比=VPN總流量/（進總流量+出總流量）

計入VPN疑似流量占比TOP100的IP，賦值疑似度75%，如果發(fā)現(xiàn)有非本運營商的IP計入，疑似度直接提升至85%。因VPN涉及到內外兩層IP地址，外層IP用來判斷本運營商的合法性，內層IP地址用來判斷其他運營商IP歸屬，2種歸屬信息均需展示。

3.3.4 異常應用統(tǒng)計排名

通過識別分析IDC機房內某個服務器的業(yè)務IP流量中的QQ賬號、郵件賬號和UA數(shù)量，找出“1個IP承載多個應用賬號標識”的IP信息，按照應用標識數(shù)量（如QQ賬號、UA數(shù)量等），進行TOP100排名、展示。計入TOP100的IP，賦值疑似度75%，如果發(fā)現(xiàn)有非本運營商的IP計入，疑似度直接提升至85%。某些IP可能涉及到內外兩層IP地址，這種情況下，內層IP地址需按照是否歸屬于其他運營商進行判斷，外層IP地址需按照是否是本運營商的合法IP進行判斷，2種歸屬信息均需展示。

3.3.5 疑似IP匯總審核

前述的4個分析維度，疑似度在60%以上的IP均列入疑似IP匯總表，按疑似度做TOP50排名。若有IP在幾個維度之間交叉出現(xiàn)的，每交叉出現(xiàn)一次，對比取其最高的疑似度值，并在此基礎上增加5%的疑似度，將結果納入匯總表。最終，對疑似違規(guī)私接的IP地址疑似度重新排名，排名越靠前，違規(guī)的疑似度越大。

4 結束語

本文通過利用DPI及大數(shù)據(jù)技術，引入大帶寬違規(guī)私接的監(jiān)測模型，深度分析客戶流量特征，輔助判斷客戶是否存在疑似違規(guī)接入的行為。大帶寬違規(guī)私接的識別，為規(guī)范市場，治理客戶業(yè)務提供了直觀的技術支撐手段。