一種基于統(tǒng)一DPI 的流量欺詐識別系統(tǒng)

鄭 濤

（宜通世紀(jì)科技股份有限公司，廣州 510000）

隨著計算機網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)逐漸普及起來，網(wǎng)絡(luò)安全事故的日益增多，傳統(tǒng)的網(wǎng)絡(luò)欺詐流量識別與監(jiān)控技術(shù)分為純軟件欺詐和純硬件欺詐識別兩種，軟件識別在識別流量的過程中耗時長，欺詐檢測速度緩慢，無法滿足當(dāng)前高速上傳和下載形式的網(wǎng)絡(luò)數(shù)據(jù)，而硬件識別則比較難進(jìn)行復(fù)雜的網(wǎng)絡(luò)協(xié)議處理。因此考慮基于軟件來識別復(fù)雜的網(wǎng)絡(luò)協(xié)議，普通的網(wǎng)絡(luò)協(xié)議則通過硬件來識別，軟硬結(jié)合實現(xiàn)高效的流量欺詐識別。

1 系統(tǒng)總體結(jié)構(gòu)

目前在網(wǎng)絡(luò)中較為常用的大部分網(wǎng)絡(luò)流量協(xié)議都是以超文本傳輸安全協(xié)議為主，只需要借助特殊的字段，就能夠?qū)崿F(xiàn)身份欺詐，主要以硬件為基礎(chǔ)，在欺詐流量識別速度方面具有優(yōu)勢。在識別了這部分的欺詐行為后，系統(tǒng)記錄了無法通過硬件識別的流程通過軟件方法流轉(zhuǎn)到人工引擎進(jìn)行識別。不能通過欺詐流量識別的主要是網(wǎng)絡(luò)中不常見的流量，或者有必要通過其他方法來識別欺詐流量，它的數(shù)據(jù)流需要通過信令流進(jìn)行關(guān)聯(lián)，然后進(jìn)行分析和計數(shù)，通過模式字符串知識庫使用不同的關(guān)鍵字來判讀使用硬件識別和軟件識別過程，系統(tǒng)支持三個線程模式，包括數(shù)據(jù)庫生成線程、知識庫編譯線程和數(shù)據(jù)線程，數(shù)據(jù)庫生成線程用于解析和加載模式字符串，知識庫編譯線程用于匹配字符串[2]。

2 知識庫語法設(shè)計

軟件識別欺詐流量的語法設(shè)計相對復(fù)雜，因為它支持復(fù)雜的欺詐識別技術(shù)，如深度包解析、特殊功能和關(guān)聯(lián)欺詐識別，它消耗了大量的cpu 資源。為了防止系統(tǒng)性能下降，該系統(tǒng)限制了軟件欺詐識別規(guī)則的數(shù)量，設(shè)計人員需要使用硬件模式來分析和提取盡可能多的應(yīng)用程序規(guī)則，以減少軟件欺詐識別規(guī)則的數(shù)量。輸入數(shù)據(jù)后，系統(tǒng)為五元組信息創(chuàng)建一個流表，并在硬件欺詐識別后進(jìn)行更新。軟件欺詐識別處理硬件無法處理的流量，并更新流量表，因為流量表中的數(shù)據(jù)量隨著網(wǎng)絡(luò)流量的增加而增加。網(wǎng)絡(luò)流量越大，流量計中的數(shù)據(jù)量越大，系統(tǒng)需要設(shè)置流量計的自動移除時間，數(shù)據(jù)量數(shù)據(jù)在流量計中只有有限的時間，通常是15秒，當(dāng)時間超過15秒，之前的數(shù)據(jù)被自動清除時[3]。

3 系統(tǒng)硬件設(shè)計

系統(tǒng)的硬件設(shè)計采用多核CPU，在硬件上實現(xiàn)了具有高品牌，以效率的正則表達(dá)式進(jìn)行邏輯的匹配，同時對于網(wǎng)絡(luò)中較為常見的流量，采用匹配的語法進(jìn)行表達(dá)。硬件狀態(tài)機會將語法中的規(guī)則進(jìn)行加載，然后針對流量表中需要檢測的數(shù)據(jù)進(jìn)行欺詐識別和匹配，最終得到匹配的結(jié)果，在流量表中進(jìn)行更新。

4 系統(tǒng)軟件設(shè)計

本文的系統(tǒng)軟件設(shè)計是基于Linux 內(nèi)核的，當(dāng)欺詐識別加密的數(shù)據(jù)包流量或網(wǎng)絡(luò)中沒有明顯特征的數(shù)據(jù)時，需要一些其他欺詐識別手段，例如，在實現(xiàn)匹配之前需要解密一些P2P 流量，借助特殊功能，實現(xiàn)對于數(shù)據(jù)包的識別，所使用的匹配算法直接決定軟件的工作效率。選擇的匹配算法朝向邊緣偏移，能夠有效縮短整體的匹配時間。本次課題研究主要使用緊湊正則表達(dá)式算法有效縮短時間，同時也減少查詢數(shù)量，保證整體搜索的效率。移邊壓縮的主要原理是用最大的移邊從任何狀態(tài)壓縮移邊到該狀態(tài)[4]。

5 運行驗證實驗

使用網(wǎng)絡(luò)帶寬100M 的局域網(wǎng)進(jìn)行測試，這使得網(wǎng)絡(luò)的暢通得到一定程度的保證，使用1：9的數(shù)據(jù)樣本（欺詐流量：正常流量）被用作這項測試的數(shù)據(jù)源，在局域網(wǎng)內(nèi)進(jìn)行收發(fā)測試，對欺詐識別的流量通過丟包進(jìn)行處理，當(dāng)下發(fā)欺詐流量的阻斷策略后系統(tǒng)的丟包數(shù)顯著上升，最終接收的數(shù)據(jù)樣本，經(jīng)過檢查欺詐流量被攔截，正常流量得以正常傳送，沒有發(fā)生堵塞。

6 結(jié)束語

綜上所述，為了有效地管理和監(jiān)控網(wǎng)絡(luò)流量，本文提出了一種基于統(tǒng)一DPI 的欺詐流量識別系統(tǒng)，針對傳統(tǒng)純軟件流量監(jiān)控表現(xiàn)出速度緩慢的問題進(jìn)行有效解決，能夠更好適應(yīng)現(xiàn)代網(wǎng)絡(luò)高速數(shù)據(jù)流量的特性。借助純硬件方式識別欺詐，往往會占據(jù)大量的內(nèi)存，而采用不同的語法進(jìn)行識別，能夠有效縮減內(nèi)存空間，避免重復(fù)識別對象，提升整體識別效率，借助軟件和硬件結(jié)合的方式，表現(xiàn)出兩者的共同優(yōu)點。最終結(jié)果顯示，本次課題研究所設(shè)計的系統(tǒng)在欺詐流量識別準(zhǔn)確率。一方面要明顯高于傳統(tǒng)的方式，并且不會造成網(wǎng)絡(luò)的阻塞。