李才斌　東華大學(xué)在讀碩士研究生劉惠明　中訊郵電咨詢?cè)O(shè)計(jì)院有限公司高級(jí)工程師

?

IP網(wǎng)絡(luò)流量監(jiān)控技術(shù)研究及系統(tǒng)整合部署建議

李才斌東華大學(xué)在讀碩士研究生
劉惠明中訊郵電咨詢?cè)O(shè)計(jì)院有限公司高級(jí)工程師

對(duì)各類IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)的部署進(jìn)行了研究，分析了各系統(tǒng)的部署方式、工作原理以及使用場(chǎng)景。結(jié)合各類流量監(jiān)控技術(shù)和系統(tǒng)的特點(diǎn)，本文創(chuàng)新性地給出系統(tǒng)集成、系統(tǒng)聯(lián)動(dòng)等方面的建議，包括異常流量監(jiān)測(cè)與流量清洗集成、應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測(cè)系統(tǒng)的集成、應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)的集成等建議。同時(shí)，提出了流量監(jiān)管體系架構(gòu)建議，以實(shí)現(xiàn)全網(wǎng)流量的統(tǒng)一監(jiān)控和管理。

流量監(jiān)測(cè)；流量控制；內(nèi)容監(jiān)控；流量監(jiān)管體系

1　引言

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)安全問題日益突出。IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)得到政府、各大運(yùn)營(yíng)商和安全廠家的普遍重視，成為網(wǎng)絡(luò)和安全建設(shè)中不可缺少的內(nèi)容。本文在對(duì)IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)進(jìn)行分析和研究的基礎(chǔ)上，對(duì)系統(tǒng)的部署方式進(jìn)行研究，并給出流量監(jiān)管體系架構(gòu)建議。

2　IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)

2.1流量監(jiān)測(cè)技術(shù)介紹

（1）xFlow技術(shù)

xFlow技術(shù)是利用IP包的幾個(gè)信息段來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量流向的分析，這些信息段包括源IP地址、目標(biāo)IP地址、源通信端口號(hào)、目標(biāo)通信端口號(hào)、TOS字節(jié)（DSCP）、第三層協(xié)議類型等。

該技術(shù)主要應(yīng)用于網(wǎng)絡(luò)規(guī)劃和分析、網(wǎng)絡(luò)監(jiān)控、計(jì)費(fèi)、用戶監(jiān)控等方面。流檢測(cè)技術(shù)DFI（Deep Flow Inspection）是基于流行為統(tǒng)計(jì)的一種流分類和識(shí)別技術(shù)，通過不同業(yè)務(wù)流自身的流量和連接規(guī)律進(jìn)行分析，對(duì)應(yīng)用進(jìn)行識(shí)別。

（2）包分析技術(shù)

傳統(tǒng)的IP包流量識(shí)別和QoS控制技術(shù)僅分析IP 包4層以下的內(nèi)容，包分析技術(shù)在分析包頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)技術(shù)。根據(jù)不同的分析方法，包分析識(shí)別技術(shù)可劃分為以下幾類：

●協(xié)議特征識(shí)別技術(shù)

協(xié)議特征識(shí)別技術(shù)也稱深層包分析技術(shù)（DPI）。不同的應(yīng)用協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。根據(jù)具體檢測(cè)方式的不同，基于特征字的識(shí)別技術(shù)又可細(xì)分為固定特征位置匹配、變動(dòng)特征位置匹配和狀態(tài)特征字匹配3種分支技術(shù)。通過對(duì)指紋信息的升級(jí)，基于特征字的識(shí)別技術(shù)可以方便地?cái)U(kuò)展到對(duì)新協(xié)議的檢測(cè)。

●應(yīng)用特征監(jiān)測(cè)

綜合關(guān)聯(lián)分析信令流與數(shù)據(jù)流，監(jiān)測(cè)信令流交互協(xié)商過程，得到其數(shù)據(jù)流連接通道相關(guān)參數(shù)，從而實(shí)現(xiàn)對(duì)完整業(yè)務(wù)進(jìn)行監(jiān)測(cè)的技術(shù)。例如，VoIP、流媒體等業(yè)務(wù)流量，需要通過檢測(cè)SIP或H232的協(xié)議交互，才能得到其完整的分析。

●行為特征檢測(cè)技術(shù)

通過綜合分析各種應(yīng)用的連接數(shù)、單IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標(biāo)，來識(shí)別應(yīng)用的流量監(jiān)測(cè)技術(shù)。例如，寬帶私接判定、垃圾郵件判定。

（3）SNMP技術(shù)

SNMP（Simple Network Management Protocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）是網(wǎng)絡(luò)中管理設(shè)備和被管理設(shè)備之間的通信規(guī)則，它定義了一系列消息、方法和語法，用于實(shí)現(xiàn)管理設(shè)備對(duì)被管理設(shè)備的訪問和管理。目前，大多數(shù)設(shè)備的SNMPAgent支持SNMPv3版本。

SNMP技術(shù)僅能對(duì)網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，可以獲得設(shè)備端口的實(shí)時(shí)或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，但無法分析具體的用戶流量和協(xié)議組成?？稍谝欢ǔ潭壬希ňW(wǎng)絡(luò)2～4層）實(shí)現(xiàn)有限的端到端通信會(huì)話數(shù)據(jù)分析、TopN用戶統(tǒng)計(jì)等功能。

（4）技術(shù)小結(jié)

以上的幾種技術(shù)手段各自的技術(shù)特點(diǎn)總結(jié)參見表1。

表1　流量監(jiān)測(cè)技術(shù)總結(jié)

表2　流量控制方式特點(diǎn)總結(jié)

2.2流量控制技術(shù)分析

流量控制技術(shù)手段包括過濾（ACL）、丟棄（黑洞）、清洗（流量清洗）、干擾、限制、阻斷等。

（1）ACL技術(shù)

ACL使用包過濾技術(shù)，在路由器上讀取3～4層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

（2）黑洞路由技術(shù)

黑洞路由實(shí)際是一種特殊的靜態(tài)路由，顧名思義，就是目的地址為該網(wǎng)段的數(shù)據(jù)報(bào)文到達(dá)設(shè)備之后，將被丟棄。另外，將報(bào)文丟到黑洞的操作不需要CPU進(jìn)行任何處理，所以處理大量的報(bào)文也不會(huì)消耗設(shè)備的CPU資源，充分利用了路由器的包轉(zhuǎn)發(fā)能力，對(duì)系統(tǒng)負(fù)載影響非常小。

（3）流量清洗技術(shù)

流量清洗技術(shù)，是利用專業(yè)的流量清洗設(shè)備，通過對(duì)異常流量的引流、過濾，實(shí)現(xiàn)對(duì)目的IP的保護(hù)。是一種基于目標(biāo)的防護(hù)技術(shù)。

（4）干擾、限制和阻斷技術(shù)

干擾、限制和阻斷技術(shù)，常用于對(duì)VoIP和P2P應(yīng)用的控制。實(shí)時(shí)分析網(wǎng)絡(luò)上所有數(shù)據(jù)流，準(zhǔn)確識(shí)別各類VoIP和P2P通話，并按需要切斷VoIP 和P2P通話或增加干擾噪音。

（5）技術(shù)小結(jié)

以上的幾種技術(shù)手段各自的技術(shù)特點(diǎn)總結(jié)參見表2。

單一的一種控制技術(shù)都不能徹底地解決所有的安全問題，需要多種方式相結(jié)合?？刹捎肁CL和黑洞對(duì)流量的整體規(guī)模進(jìn)行控制，而流量清洗對(duì)敏感流量進(jìn)行保護(hù)，對(duì)于超過流量清洗系統(tǒng)處理能力的超大突發(fā)流量，可采用黑洞路由方式相結(jié)合進(jìn)行流量清洗和疏導(dǎo)。除了上述專用的流量監(jiān)控和清洗手段之外，還可使用TE路由、QoS、ACL&Car技術(shù)等方式減輕網(wǎng)絡(luò)局部負(fù)擔(dān)過重，降低網(wǎng)絡(luò)擁塞風(fēng)險(xiǎn)，保障正常業(yè)務(wù)流量的服務(wù)質(zhì)量。

2.3內(nèi)容監(jiān)控技術(shù)

內(nèi)容監(jiān)控技術(shù)，主要針對(duì)互聯(lián)網(wǎng)低俗、反動(dòng)、詐騙等非法內(nèi)容進(jìn)行監(jiān)測(cè)和控制；主要包括內(nèi)容采集獲取技術(shù)和內(nèi)容信息的識(shí)別匹配技術(shù)。

主流的內(nèi)容采集獲取技術(shù)手段有“流量還原”和“網(wǎng)絡(luò)爬蟲”兩種主要的技術(shù)手段。根據(jù)網(wǎng)絡(luò)中內(nèi)容形式的不同可以分成文字內(nèi)容識(shí)別、圖像內(nèi)容識(shí)別、視頻內(nèi)容識(shí)別等關(guān)鍵技術(shù)。

3　IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)部署

常見的IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)包括流量流向監(jiān)測(cè)系統(tǒng)、異常流量監(jiān)測(cè)系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)、內(nèi)容監(jiān)控系統(tǒng)、流量清洗系統(tǒng)等，具體參見表3。

表3　常見IP流量和內(nèi)容監(jiān)控系統(tǒng)比較

4　流量監(jiān)控系統(tǒng)整合部署及流量監(jiān)管體系架構(gòu)建議

結(jié)合IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)特點(diǎn)，提出如下系統(tǒng)集成部署方案建議。

（1）異常流量監(jiān)測(cè)與流量清洗集成

異常流量監(jiān)測(cè)系統(tǒng)，對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中的Flow信息進(jìn)行分析，發(fā)現(xiàn)定位網(wǎng)絡(luò)中的異常流量攻擊，通過與流量清洗系統(tǒng)的集成，實(shí)現(xiàn)異常流量自動(dòng)檢測(cè)，清洗系統(tǒng)聯(lián)動(dòng)，協(xié)同保障網(wǎng)絡(luò)流量安全，有效保證網(wǎng)絡(luò)中可用性，異常流量監(jiān)測(cè)系統(tǒng)與清洗系統(tǒng)集成關(guān)鍵技術(shù)包括異常流量監(jiān)測(cè)、流量引流、流量回注等關(guān)鍵技術(shù)。

（2）應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測(cè)系統(tǒng)的集成

通過應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測(cè)系統(tǒng)（包括流量流向監(jiān)測(cè)系統(tǒng)和異常流量監(jiān)測(cè)系統(tǒng)）的集成，可以綜合包分析技術(shù)和xFlow分析技術(shù)的特點(diǎn)和優(yōu)勢(shì)，在復(fù)雜的寬帶網(wǎng)絡(luò)環(huán)境下，滿足寬帶IP網(wǎng)絡(luò)的整體監(jiān)測(cè)要求。集成示意圖參見圖1。

通過統(tǒng)一管理平臺(tái)對(duì)流量分析系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)進(jìn)行統(tǒng)一的策略管理，統(tǒng)一收集挖掘監(jiān)測(cè)系統(tǒng)獲取的監(jiān)測(cè)分析數(shù)據(jù)，并輸出用戶流量數(shù)據(jù)報(bào)表，并提供設(shè)備的統(tǒng)一維護(hù)管理等。

（3）應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)的集成

從系統(tǒng)架構(gòu)角度分析，應(yīng)用監(jiān)控系統(tǒng)、內(nèi)容監(jiān)控系統(tǒng)，在底層流量采集、協(xié)議內(nèi)容還原部分，基于相同的技術(shù)機(jī)制，有必要統(tǒng)一規(guī)劃建設(shè)網(wǎng)絡(luò)的流量采集平臺(tái)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中關(guān)鍵鏈路的流量采集，協(xié)議分檢、承載內(nèi)容還原，為后繼的各類應(yīng)用監(jiān)控分析統(tǒng)計(jì)系統(tǒng)、內(nèi)容監(jiān)控審計(jì)系統(tǒng)提供統(tǒng)一的前端采集基礎(chǔ)（見圖2）。

統(tǒng)一的分流采集平臺(tái)，主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的統(tǒng)一采集，根據(jù)后繼的各類分析需要，按照IP地址的五元組，匯聚還原同一個(gè)用戶的流量會(huì)話，進(jìn)而還原出用戶的傳輸層協(xié)議承載的應(yīng)用層內(nèi)容，供后繼的各類監(jiān)控系統(tǒng)進(jìn)行流量分析，內(nèi)容審計(jì)監(jiān)控使用。

圖1　應(yīng)用監(jiān)控系統(tǒng)與FIow監(jiān)測(cè)系統(tǒng)集成示意圖

圖2　應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)集成示意圖

通過統(tǒng)一建設(shè)的分流采集平臺(tái)，可以統(tǒng)籌考慮關(guān)鍵網(wǎng)絡(luò)位置的流量獲取，并且根據(jù)監(jiān)測(cè)需要，進(jìn)行流量的還原，確保網(wǎng)絡(luò)的整體結(jié)構(gòu)完整性同時(shí)，為實(shí)現(xiàn)精細(xì)化的流量?jī)?nèi)容管理提供基礎(chǔ)支持。

5　結(jié)束語

統(tǒng)一建設(shè)，以實(shí)現(xiàn)系統(tǒng)的集成和共用，建立全網(wǎng)統(tǒng)一的流量監(jiān)管體系。

［1］夏俊杰，劉惠明，陳利兵等.中國網(wǎng)通IP網(wǎng)信息安全專項(xiàng)規(guī)劃.

［2］劉惠明等.2008年北京本地IP網(wǎng)奧運(yùn)流量清洗工程可行性研究報(bào)告.

［3］劉惠明，安超等.2006年北京本地IP網(wǎng)部分節(jié)點(diǎn)應(yīng)用監(jiān)控系統(tǒng)工程可行性研究報(bào)告.

［4］劉惠明，安超等.2006年北京本地IP網(wǎng)流量分析系統(tǒng)工程可行性研究報(bào)告.

［5］劉惠明，安超等.2009年北京聯(lián)通內(nèi)容信息安全監(jiān)控綜合管理平臺(tái)建設(shè)工程可行性研究報(bào)告.

2016-07-20）