IP網(wǎng)絡(luò)流量監(jiān)控技術(shù)研究及系統(tǒng)整合部署建議

李才斌　東華大學在讀碩士研究生劉惠明　中訊郵電咨詢設(shè)計院有限公司高級工程師

?

IP網(wǎng)絡(luò)流量監(jiān)控技術(shù)研究及系統(tǒng)整合部署建議

李才斌東華大學在讀碩士研究生
劉惠明中訊郵電咨詢設(shè)計院有限公司高級工程師

對各類IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)的部署進行了研究，分析了各系統(tǒng)的部署方式、工作原理以及使用場景。結(jié)合各類流量監(jiān)控技術(shù)和系統(tǒng)的特點，本文創(chuàng)新性地給出系統(tǒng)集成、系統(tǒng)聯(lián)動等方面的建議，包括異常流量監(jiān)測與流量清洗集成、應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測系統(tǒng)的集成、應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)的集成等建議。同時，提出了流量監(jiān)管體系架構(gòu)建議，以實現(xiàn)全網(wǎng)流量的統(tǒng)一監(jiān)控和管理。

流量監(jiān)測；流量控制；內(nèi)容監(jiān)控；流量監(jiān)管體系

1　引言

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)安全問題日益突出。IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)得到政府、各大運營商和安全廠家的普遍重視，成為網(wǎng)絡(luò)和安全建設(shè)中不可缺少的內(nèi)容。本文在對IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)進行分析和研究的基礎(chǔ)上，對系統(tǒng)的部署方式進行研究，并給出流量監(jiān)管體系架構(gòu)建議。

2　IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)

2.1流量監(jiān)測技術(shù)介紹

（1）xFlow技術(shù)

xFlow技術(shù)是利用IP包的幾個信息段來實現(xiàn)對網(wǎng)絡(luò)流量流向的分析，這些信息段包括源IP地址、目標IP地址、源通信端口號、目標通信端口號、TOS字節(jié)（DSCP）、第三層協(xié)議類型等。

該技術(shù)主要應(yīng)用于網(wǎng)絡(luò)規(guī)劃和分析、網(wǎng)絡(luò)監(jiān)控、計費、用戶監(jiān)控等方面。流檢測技術(shù)DFI（Deep Flow Inspection）是基于流行為統(tǒng)計的一種流分類和識別技術(shù)，通過不同業(yè)務(wù)流自身的流量和連接規(guī)律進行分析，對應(yīng)用進行識別。

（2）包分析技術(shù)

傳統(tǒng)的IP包流量識別和QoS控制技術(shù)僅分析IP 包4層以下的內(nèi)容，包分析技術(shù)在分析包頭的基礎(chǔ)上，增加了對應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測技術(shù)。根據(jù)不同的分析方法，包分析識別技術(shù)可劃分為以下幾類：

●協(xié)議特征識別技術(shù)

協(xié)議特征識別技術(shù)也稱深層包分析技術(shù)（DPI）。不同的應(yīng)用協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。根據(jù)具體檢測方式的不同，基于特征字的識別技術(shù)又可細分為固定特征位置匹配、變動特征位置匹配和狀態(tài)特征字匹配3種分支技術(shù)。通過對指紋信息的升級，基于特征字的識別技術(shù)可以方便地擴展到對新協(xié)議的檢測。

●應(yīng)用特征監(jiān)測

綜合關(guān)聯(lián)分析信令流與數(shù)據(jù)流，監(jiān)測信令流交互協(xié)商過程，得到其數(shù)據(jù)流連接通道相關(guān)參數(shù)，從而實現(xiàn)對完整業(yè)務(wù)進行監(jiān)測的技術(shù)。例如，VoIP、流媒體等業(yè)務(wù)流量，需要通過檢測SIP或H232的協(xié)議交互，才能得到其完整的分析。

●行為特征檢測技術(shù)

通過綜合分析各種應(yīng)用的連接數(shù)、單IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標，來識別應(yīng)用的流量監(jiān)測技術(shù)。例如，寬帶私接判定、垃圾郵件判定。

（3）SNMP技術(shù)

SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）是網(wǎng)絡(luò)中管理設(shè)備和被管理設(shè)備之間的通信規(guī)則，它定義了一系列消息、方法和語法，用于實現(xiàn)管理設(shè)備對被管理設(shè)備的訪問和管理。目前，大多數(shù)設(shè)備的SNMPAgent支持SNMPv3版本。

SNMP技術(shù)僅能對網(wǎng)絡(luò)設(shè)備端口的整體流量進行分析，可以獲得設(shè)備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標，但無法分析具體的用戶流量和協(xié)議組成?？稍谝欢ǔ潭壬希ňW(wǎng)絡(luò)2～4層）實現(xiàn)有限的端到端通信會話數(shù)據(jù)分析、TopN用戶統(tǒng)計等功能。

（4）技術(shù)小結(jié)

以上的幾種技術(shù)手段各自的技術(shù)特點總結(jié)參見表1。

表1　流量監(jiān)測技術(shù)總結(jié)

表2　流量控制方式特點總結(jié)

2.2流量控制技術(shù)分析

流量控制技術(shù)手段包括過濾（ACL）、丟棄（黑洞）、清洗（流量清洗）、干擾、限制、阻斷等。

（1）ACL技術(shù)

ACL使用包過濾技術(shù)，在路由器上讀取3～4層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

（2）黑洞路由技術(shù)

黑洞路由實際是一種特殊的靜態(tài)路由，顧名思義，就是目的地址為該網(wǎng)段的數(shù)據(jù)報文到達設(shè)備之后，將被丟棄。另外，將報文丟到黑洞的操作不需要CPU進行任何處理，所以處理大量的報文也不會消耗設(shè)備的CPU資源，充分利用了路由器的包轉(zhuǎn)發(fā)能力，對系統(tǒng)負載影響非常小。

（3）流量清洗技術(shù)

流量清洗技術(shù)，是利用專業(yè)的流量清洗設(shè)備，通過對異常流量的引流、過濾，實現(xiàn)對目的IP的保護。是一種基于目標的防護技術(shù)。

（4）干擾、限制和阻斷技術(shù)

干擾、限制和阻斷技術(shù)，常用于對VoIP和P2P應(yīng)用的控制。實時分析網(wǎng)絡(luò)上所有數(shù)據(jù)流，準確識別各類VoIP和P2P通話，并按需要切斷VoIP 和P2P通話或增加干擾噪音。

（5）技術(shù)小結(jié)

以上的幾種技術(shù)手段各自的技術(shù)特點總結(jié)參見表2。

單一的一種控制技術(shù)都不能徹底地解決所有的安全問題，需要多種方式相結(jié)合?？刹捎肁CL和黑洞對流量的整體規(guī)模進行控制，而流量清洗對敏感流量進行保護，對于超過流量清洗系統(tǒng)處理能力的超大突發(fā)流量，可采用黑洞路由方式相結(jié)合進行流量清洗和疏導。除了上述專用的流量監(jiān)控和清洗手段之外，還可使用TE路由、QoS、ACL&Car技術(shù)等方式減輕網(wǎng)絡(luò)局部負擔過重，降低網(wǎng)絡(luò)擁塞風險，保障正常業(yè)務(wù)流量的服務(wù)質(zhì)量。

2.3內(nèi)容監(jiān)控技術(shù)

內(nèi)容監(jiān)控技術(shù)，主要針對互聯(lián)網(wǎng)低俗、反動、詐騙等非法內(nèi)容進行監(jiān)測和控制；主要包括內(nèi)容采集獲取技術(shù)和內(nèi)容信息的識別匹配技術(shù)。

主流的內(nèi)容采集獲取技術(shù)手段有“流量還原”和“網(wǎng)絡(luò)爬蟲”兩種主要的技術(shù)手段。根據(jù)網(wǎng)絡(luò)中內(nèi)容形式的不同可以分成文字內(nèi)容識別、圖像內(nèi)容識別、視頻內(nèi)容識別等關(guān)鍵技術(shù)。

3　IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)部署

常見的IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控系統(tǒng)包括流量流向監(jiān)測系統(tǒng)、異常流量監(jiān)測系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)、內(nèi)容監(jiān)控系統(tǒng)、流量清洗系統(tǒng)等，具體參見表3。

表3　常見IP流量和內(nèi)容監(jiān)控系統(tǒng)比較

4　流量監(jiān)控系統(tǒng)整合部署及流量監(jiān)管體系架構(gòu)建議

結(jié)合IP網(wǎng)絡(luò)流量及內(nèi)容監(jiān)控技術(shù)特點，提出如下系統(tǒng)集成部署方案建議。

（1）異常流量監(jiān)測與流量清洗集成

異常流量監(jiān)測系統(tǒng)，對運營商網(wǎng)絡(luò)中的Flow信息進行分析，發(fā)現(xiàn)定位網(wǎng)絡(luò)中的異常流量攻擊，通過與流量清洗系統(tǒng)的集成，實現(xiàn)異常流量自動檢測，清洗系統(tǒng)聯(lián)動，協(xié)同保障網(wǎng)絡(luò)流量安全，有效保證網(wǎng)絡(luò)中可用性，異常流量監(jiān)測系統(tǒng)與清洗系統(tǒng)集成關(guān)鍵技術(shù)包括異常流量監(jiān)測、流量引流、流量回注等關(guān)鍵技術(shù)。

（2）應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測系統(tǒng)的集成

通過應(yīng)用監(jiān)控系統(tǒng)與流量監(jiān)測系統(tǒng)（包括流量流向監(jiān)測系統(tǒng)和異常流量監(jiān)測系統(tǒng)）的集成，可以綜合包分析技術(shù)和xFlow分析技術(shù)的特點和優(yōu)勢，在復(fù)雜的寬帶網(wǎng)絡(luò)環(huán)境下，滿足寬帶IP網(wǎng)絡(luò)的整體監(jiān)測要求。集成示意圖參見圖1。

通過統(tǒng)一管理平臺對流量分析系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)進行統(tǒng)一的策略管理，統(tǒng)一收集挖掘監(jiān)測系統(tǒng)獲取的監(jiān)測分析數(shù)據(jù)，并輸出用戶流量數(shù)據(jù)報表，并提供設(shè)備的統(tǒng)一維護管理等。

（3）應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)的集成

從系統(tǒng)架構(gòu)角度分析，應(yīng)用監(jiān)控系統(tǒng)、內(nèi)容監(jiān)控系統(tǒng)，在底層流量采集、協(xié)議內(nèi)容還原部分，基于相同的技術(shù)機制，有必要統(tǒng)一規(guī)劃建設(shè)網(wǎng)絡(luò)的流量采集平臺，實現(xiàn)對網(wǎng)絡(luò)中關(guān)鍵鏈路的流量采集，協(xié)議分檢、承載內(nèi)容還原，為后繼的各類應(yīng)用監(jiān)控分析統(tǒng)計系統(tǒng)、內(nèi)容監(jiān)控審計系統(tǒng)提供統(tǒng)一的前端采集基礎(chǔ)（見圖2）。

統(tǒng)一的分流采集平臺，主要實現(xiàn)對網(wǎng)絡(luò)流量的統(tǒng)一采集，根據(jù)后繼的各類分析需要，按照IP地址的五元組，匯聚還原同一個用戶的流量會話，進而還原出用戶的傳輸層協(xié)議承載的應(yīng)用層內(nèi)容，供后繼的各類監(jiān)控系統(tǒng)進行流量分析，內(nèi)容審計監(jiān)控使用。

圖1　應(yīng)用監(jiān)控系統(tǒng)與FIow監(jiān)測系統(tǒng)集成示意圖

圖2　應(yīng)用監(jiān)控系統(tǒng)與內(nèi)容監(jiān)控系統(tǒng)集成示意圖

通過統(tǒng)一建設(shè)的分流采集平臺，可以統(tǒng)籌考慮關(guān)鍵網(wǎng)絡(luò)位置的流量獲取，并且根據(jù)監(jiān)測需要，進行流量的還原，確保網(wǎng)絡(luò)的整體結(jié)構(gòu)完整性同時，為實現(xiàn)精細化的流量內(nèi)容管理提供基礎(chǔ)支持。

5　結(jié)束語

統(tǒng)一建設(shè)，以實現(xiàn)系統(tǒng)的集成和共用，建立全網(wǎng)統(tǒng)一的流量監(jiān)管體系。

［1］夏俊杰，劉惠明，陳利兵等.中國網(wǎng)通IP網(wǎng)信息安全專項規(guī)劃.

［2］劉惠明等.2008年北京本地IP網(wǎng)奧運流量清洗工程可行性研究報告.

［3］劉惠明，安超等.2006年北京本地IP網(wǎng)部分節(jié)點應(yīng)用監(jiān)控系統(tǒng)工程可行性研究報告.

［4］劉惠明，安超等.2006年北京本地IP網(wǎng)流量分析系統(tǒng)工程可行性研究報告.

［5］劉惠明，安超等.2009年北京聯(lián)通內(nèi)容信息安全監(jiān)控綜合管理平臺建設(shè)工程可行性研究報告.

2016-07-20）