网络流量识别技术以及实现方案浅议

摘要：该文试着在提出当前网络运营商被“管道化”的现实中，运营商应该注重对网络管道进行智能化改造，提供给客户合适的网络带宽、流量解决方案，同时结合实际例子提出一点实验性的组网意见。

关键词：电信基础设施；管道；智能化；流量识别；方案

中图法分类号：X524 文献标识码：A文章编号：1009-3044(2011)22-5354-02

1 问题提出背景

在通信技术达发展的背景下，可以预见未来将是一个“全连接”的世界，不仅仅是手机与电脑，所有的终端都会通过网络连接起来，而这个“全连接”世界的基石就是电信基础设施，即我们所说的“管道”。

在对产业价值链的整合过程中，历经了运营商主导而目前到了内容提供商为主导的互联网时代，二者的关系也历经由主从―竞合--竞争的演变过程，大量的社交网站、移动QQ流量、视屏等在线业务已经说明了网络流量被内容提供商低价占用的事实。要想在价值链上占据有利的主导地位，运营商应该彻底放弃以前赚流量不赚钱或者二者不匹配增加的做法，通过对网络在用在途流量进行分类分级，依靠‘智能管道’夺回在产业价值链上主导权。而要做到“管道智能化”的前提是能够识别与区分各种网络数据流量。

2 各种业务流量识别技术措施的优劣比较

对运营商无效益流量的识别是实现后续数据屏蔽与流量分级管理、分类计费的基础，常用的业务识别方法主要有以下几种：一是特征匹配方法（如端口匹配方法、关键字P2P流量识别、通信对端IP地址的数量、大于1024的TCP/UDP端口数识别），即通过对运营商网上业务流量进行研究分析，确定对运营商无效益网络流量的业务种类，总结出特定的一个或多个固定特征(如PPlive网络电视端口：UDP 4004 端口：TCP 8008；)。在后续对网络流量进行检测过程中，如果发现某一流量的特征与上述归纳出的特征一致，就断定该流量属于限制对象(如P2P流量)。但是为了规避运营商的监管，内容提供商会将无效益流量的特定特征进行变化调整，如不用固定端口，采用动态端口，通过软件供用户自设设置端口等等；例如BT、EDK，而使得端口匹配方法识别P2P流量归于无效；二是协议分析方法，该方法只能适应于基于标准协议的业务，如H.323语音/SIP电话等，待事实是为了应对协议分析方法出现了各类私有协议，使得该法也陷于无用武之地；三是利用DPI技术，该法适用于识别业务层面有明显特征的时候，如针对BT/PPStream流量业务等。此时对某一业务流量的研究是分析、判别、归纳出流量数据包中含有的或者出现频率最高的特征字符串、特定净荷即关键字，通常这些特征字符串、特定净荷的出现是有固定规律的。我们DPI（深度包检测）技术就是寻找出这些特征字符串、特定净荷应用在流量检测过程中。一般采取的办法是，如果关键字匹配成功，就可以认为该流量对运营商无贡献效益。可惜的是随着规避技术的不断变化发展，人们已经发现，随着软件的运行环境、软硬件版本等的变化，关键字符串的部分或全部字节也随着调整变化，另外该法也很难有效地运用于有加密应用的场合。

3 我们的流量识别技术模型与实验方案

经过由上分析，采取以前的端口匹配法、DPI以及协议分析等业务识别方法中的一种已经不适应规避技术不断变化的今天了。为此我们融合了各种流量识别技术方法，建立了以下业务识别分层模型见图1。

3.1 系统构成说明

图1 业务识别模型由数据采集层、协议分析层、流量识别（业务识别）层、业务识别应用层和表现层等4部分构成。

3.1.1 数据采集层

针对不同链路的数据如100/1000 Mbit/s、 FE、ATM、SDH等，该层面利用采集、镜像、复制等技术，将业务数据完整、准确、可靠地传送协议分析层。

3.1.2 协议分析层

针对TCP/IP、非TCP/UDP（指采用非TCP/UDP传送P2P数据流的情形）的协议利用本层进行深入解析，向业务识别层提供足够数量的分组头部以及净荷信息，用于上层对数据业务的识别和区分。其分析深度直达至TCP/IP协议栈的传输层，提供一个七元组流（stream）信息给上层，即源地址IP、目的地址IP、源数据端口、目的数据端口、接入方式、服务类型（TOS）和协议类型（TCP或者UDP）等。同时流信息中还应该包含存放的部分净荷，用以配置捕获的净荷大小。

3.1.3 流量识别（业务识别）层

作为本模型架构的核心层，依据协议分析层提供的IP分组包的头部信息、TCP/UDP的头部信息及其净荷信息等特征值流量识别层就可以有效识别出上层业务的类别，区分出业务类别对运营商是否具有效益。在识别、区分时就综合运用诸如端口匹配识别、协议分析匹配识别、净荷特征识别等多种技术，还融入连接模式、拓扑结构特性、流量特性等特征识别引擎技术。该层提供上层接口七元组+业务类型的流信息，也采用流的定时存活机制等。

3.1.4 业务识别应用层和表现层

针对下层已经识别出来的不同流量业务类型，如新业务中的P2P业务、视频业务、移动IP业务、VoIP业务以及传统业务中的超文本传输协议（HTTP）、电子邮件(EMAIL)、文件传输协议(FTP)等，本层可以进行进一步的深度分析：如业务性能的分析、实时追踪业务会话的过程、网络流量异常检测与预警、网络资源优化规划与调整等功能。表现层面则将流量的参数与特征按照图表化的表现，如各种业务的比例关系、业务对网络的带宽占用情况、业务流量的流向特征表现出来。

3.2 模型和算法验证

按照以上模型，我们将自行设计开发的宽带IP骨干网流量精细化分析系统应用在了瑞安电信的2条10 Gbit/s PoS骨干链路上进行模拟验证分析。首先我们利用分光的思路对10 Gbit/s流量负载进行均衡分流，各个业务识别处理机用于实现业务识别的算法，对流经宽带网络上的IP\TCP\UDP分组包进行流信息的取样、分析、识别和区分。其拓扑结构方式如图2所示。

通过对在以上网络我们进行各种现有已知特征或关键字的网络流量进行了实地运行与设定测试，结果发现，该网络流量识别系统对于各类网络业务识别准确率能够达到93％以上，对网络电话业务的识别准确率高达100％，体现出模型设计的正确性与算法的有效性、准确性。

4 结束语

本设计融合利用目前大家熟知的几种不同的网络流量识别技术提出针对下一代网络的网络业务类别识别模型，经过在网上模拟试验与实际应用，本模型及算法有着相当高的兼容性与准确度，同时如果借助于各种应用开发界面，也可以实现轻松实现与运营商的有关应用接口的对接，方便电信网络运营商对宽带IP业务流量进行深度管理，达到网络“管道”分级分类与优化调度、智能化管理的目的，为电信网络运营商整合产业价值链、重新争得价值链上的主导地位助力。

参考文献：

[1] 华为科技有限公司.NetStream技术白皮书[C].华为公司培训资料,2007.

[2] 林闯,单志广,任丰原.计算机网络的服务质量(QoS)[M].北京:清华大学出版社,2004．

[3] 谢希仁.计算机网络[M].北京:电子工业出版社,2002.

[4] 吴功宜.计算机网络高级教程[M].北京:清华大学出版社,2007.

[5] 吴功宜.网络安全高级软件编程技术[M].北京:清华大学出版社,2007.

[6] Douglas er.用TCP/IP进行网际互连(第一卷:原理、协议与结构第四版)[M].北京:电子工业出版社,2003.

[7] 林闯,单志广,任丰原.计算机网络的服务质量(QoS)[M].北京:清华大学出版社,2004.

[8] 沈鑫刻.多媒体传输网络与VOIP系统设计[M].北京:人民邮电出版社,2005.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文