DPI(深度包检测)技术
- 格式:doc
- 大小:747.50 KB
- 文档页数:15
下载文档原格式
合集下载
术语
术语CMMI 系统集成DPI 深度包检测技术LAC 位置区域编码CI(CELLID)是一种定位技术,方法是通过获取目标手机提供给定位用户获取信息。
ECGI 演进型-通用移动通信系统陆地无线接入网小区全局标识符MR (Measurement Report,测量报告)是指信息在业务信道上每480ms(信令信道上470ms)发送一次数据,这些数据可用于网络评估和优化。
ID 身份标识号、账号、唯一编码、专属号码、通用账户、译码器、软件公司等各类专有词汇缩写B2C 中文简称为“商对客”,B2C即企业通过互联网为消费者提供一个新型的购物环境——网上商店,消费者通过网络在网上购物、在网上支付。
SMTP 简单邮件传输协议POP3 邮局协议版本3IMAP 邮件访问协议APN APN指一种网络接入技术,是通过手机上网时必须配置的一个参数,它决定了手机通过哪种接入方式来访问网络。
IMEI 国际移动设备身份码IMSI 国际移动用户识别码CRM 客户关系管理ITFIN 互联网金融MapReduce MapReduce是一种编程模型,用于大规模数据集(大于1TB)的并行运算。
ERP 企业资源计划OA 办公自动化BIM 建筑信息模型PaaS 平台即服务SaaS 软件即服务IP:“Intellectual Property”的缩写,即知识产权DAU : daily active user,日活跃用户数量MAU : 月活跃用户量ARPU : (Average Revenue Per User)即每用户平均收入,用于衡量电信运营商和互联网公司业务收入的指标KPI :关键绩效指标法,是企业绩效考核的方法之一,其特点是考核指标围绕关键成果领域进行选取MOU : 平均每户每月通话时间PDPS:项目数据全过程服务(Project Data Providing Services,简称PDPS),基于BIM 技术的服务。
中国移动云计算服务DPI识别能力规范
中国移动云计算服务DPI识别能力规范
背景
移动云计算是一种将传统的计算资源与云计算技术相结合的新型计算模式。
中国移动作为中国领先的移动通信运营商,计划推出移动云计算服务以满足用户不断增长的计算需求。
其中,深度包检测(DPI)识别能力是中国移动云计算服务的关键技术之一。
目的
本文档旨在规范中国移动云计算服务中的DPI识别能力,确保该服务的高效性、准确性和安全性。
要求
1. DPI识别能力应具备高性能和高并发处理能力,以满足大规模用户同时访问的需求。
2. DPI识别能力应具备良好的准确性,能够对网络数据包进行
精确识别和分类。
3. DPI识别能力应具备良好的适应性,能够识别各种网络协议、应用和服务类型。
4. DPI识别能力应具备良好的安全性,能够防止恶意攻击和非
法访问,保护用户隐私和数据安全。
实施
为确保DPI识别能力规范的有效实施,以下步骤应被采取:
1. 设计和开发高性能的DPI识别引擎,以满足高并发访问的需求。
2. 不断更新和优化DPI识别算法,以提高准确性和适应性。
3. 配置和管理有效的网络流量监控系统,用于实时检测和防止
恶意攻击。
4. 建立严格的访问控制和用户权限管理,以保障用户隐私和数据安全。
结论
通过规范中国移动云计算服务中的DPI识别能力,可以确保该服务的高效性、准确性和安全性。
同时,积极实施相应的措施和策略,可以不断提升DPI识别能力的性能和稳定性,为用户提供优质的云计算服务体验。
---
*请注意,本文档仅为示例,具体要求和措施应根据实际情况进行调整和制定。
*。
中国移动统一DPI设备测试规范 互联网 S U r
中国移动通信企业标准QB-B-XXX-XXXX中国移动统一D P I设备测试规范T e s t S p e c i f i c a t i o n o f U n i q u eD e e p P a c k e t I n c e p t i o n D e v i c e版本号:20X X-X-X发布20X X-X-X实施中国移动通信集团公司发布目录前言本规范对中国移动网内使用的深度包检测(DPI)设备的功能和性能提出测试要求,是进行测试时所需要遵从的纲领性技术文件。
本规范主要包括以下几方面内容:识别功能测试、分析统计功能测试、控制功能测试、复用功能测试、物理接口测试、性能测试等。
本规范是统一DPI系列标准之一,该系列规范的结构、名称或预计的名称如下:本标准由中移技﹝2012﹞XXX号印发。
本标准由中国移动通信研究院提出,集团公司技术部归口。
本标准起草单位:中国移动通信研究院本标准主要起草人:1范围本规范用于测试中国移动网内部署的统一DPI设备的功能和性能。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新3术语、定义和缩略语下列术语、定义和缩略语适用于本标准:4测试环境测试可在实验室或现网完成。
被测设备为:•统一DPI设备(识别控制模块+分析统计模块)-配置支持监控10*10GE链路的线路接口-配置支持相应的XDR输出的日志输出接口(建议10GE)-配置支持监控1*10G POS链路的线路接口-配置Bypass设备(针对串接方式)配合测试设备应包括:•FTP服务器(至少一台,用于XDR/统计报表等数据的上传)•数据合成服务器(针对PS侧场景)•分光器•光模块、光纤等5测试说明本测试覆盖《中国移动统一DPI设备技术规范》中所定义的五个场景的DPI设备测试,对于不同场景对应不同的测试例,具体见附件说明。
中国移动电子支付DPI识别能力规范
中国移动电子支付DPI识别能力规范
1. 引言
移动电子支付是一种方便、快捷的支付方式,越来越受到人们的欢迎。
为了保障移动电子支付的安全和可靠性,需要进行DPI (深度包检测)识别能力规范的制定。
2. 目的
本规范的目的是为了明确中国移动电子支付系统中DPI识别的能力要求,以保证支付过程中的数据安全和交易准确性。
3. DPI识别能力要求
移动电子支付系统的DPI识别能力应满足以下要求:
3.1 DPI设备部署
移动电子支付系统应部署DPI设备,用于对支付过程中的数据流进行实时检测和分析。
3.2 DPI识别算法
DPI设备应具备高效、准确的识别算法,能够对支付数据流进行实时识别和分类。
3.3 支付数据识别
DPI设备应识别支付数据流中的关键信息,包括但不限于支付方式、支付金额以及收款方信息等。
3.4 安全防护
DPI设备应具备安全防护机制,能够检测和阻止恶意攻击、篡改以及数据泄露等安全风险。
3.5 高可靠性
DPI设备应具备高可靠性,能够满足移动电子支付系统的高并发处理需求,并保证支付过程中不出现延迟或中断。
4. DPI识别能力监测和评估
为了保证移动电子支付系统的DPI识别能力符合规范要求,应定期进行监测和评估。
监测和评估的内容和方法应根据实际情况进行调整。
5. 结论
中国移动电子支付DPI识别能力规范旨在确保支付系统的数据安全和交易准确性。
移动电子支付提供方应按照本规范要求进行DPI设备的部署和能力监测,以保障支付过程的顺利进行和用户的权益。
以上是中国移动电子支付DPI识别能力规范的主要内容,详细的规范要求应由相关部门进一步制定和完善。
详解深度数据包检测DPI技术
详解深度数据包检测(DPI) 技术深度数据包检测(DPI) 是一种基于应用层的流量检测和控制技术,企业和互联网服务提供商(ISP) 经常使用它来识别和阻止网络攻击、跟踪用户行为、阻止恶意软件和监控网络流量。
DPI 技术被技术专家和网络经理誉为解决互联网相关危险数量和复杂性的重要工具。
DPI 系统使用OSI模型应用层来提取统计信息,能够查找、识别、分类和重新路由或阻止包含特定数据或代码有效负载的数据包。
DPI 会检查与单个数据包相关的数据和元数据,而状态数据包检查仅评估包头信息,例如源IP 地址、目标IP 地址和端口号。
当数据包接近检查点时,DPI 会拦截任何协议违规、病毒、垃圾邮件和其他异常情况,并阻止数据包继续通过检查点。
DPI的历史是怎样的?DPI 技术拥有漫长的历史,跨越30 多年,可以追溯到1990 年代。
阿帕网是深度包检测首次出现的地方。
TCP/IP 数据传输协议最初由阿帕网使用,工程师学会了如何使用包头和元数据,通过管理原始数据包来解决UNIX 安全问题。
1990 年,阿帕网被关闭,但随着当代互联网的普及,TCP/IP 问题变得更加普遍。
网络工程师在1980 年代创建了OSI 概念,以标准化1990 年代中期收集的元数据。
OSI模型通过形式化数据包元数据的级别,使广泛的统计分析成为可能。
例如,辅助标头(也称为有状态数据或浅层数据)可减少带宽,同时实现正确的信息路由。
分组数据包元数据使ISP 更容易区分不同的数据类别,深度数据包可能会激发新的商业模式。
此外,二十多年来,网络中立性一直是一个有争议的问题,而DPI技术可将管道所有者转变为数据所有者。
DPI和传统包过滤有什么区别?网络中的每个数据包都有一个包头,其中包含关于其发送者、接收者和传输时间的基本信息。
使用传统的数据包过滤只能读取到此信息。
较旧的防火墙通常以这种方式运行,因为它们无法足够快地处理其他形式的数据。
现在,防火墙可以通过DPI来解决这些问题,以进行更彻底、连续的数据包扫描。
dpi带宽管理技术
dpi带宽管理技术(最新版)目录1.DPI 带宽管理技术的概述2.DPI 带宽管理技术的原理3.DPI 带宽管理技术的应用4.DPI 带宽管理技术的优势和局限性5.DPI 带宽管理技术的未来发展趋势正文一、DPI 带宽管理技术的概述DPI 带宽管理技术,全称为深度包检测带宽管理技术(Deep Packet Inspection Bandwidth Management),是一种基于数据包深度检测的网络流量管理技术。
通过对网络中的数据包进行深度检测和分析,实时监控网络中的带宽使用情况,并根据设定的策略对带宽进行分配和调整,以达到优化网络性能、保障关键业务应用的目的。
二、DPI 带宽管理技术的原理DPI 带宽管理技术主要通过以下几个方面实现:1.数据包深度检测:DPI 技术可以对网络中的数据包进行深度检测,识别出数据包中的关键信息,如源 IP 地址、目的 IP 地址、协议类型、应用类型等。
2.带宽分配策略:根据检测到的数据包信息,DPI 技术可以制定不同的带宽分配策略。
例如,可以根据源 IP 地址、目的 IP 地址、协议类型等设定不同的带宽阈值,优先保障关键业务应用的带宽需求。
3.带宽调整:DPI 技术可以实时监控网络中的带宽使用情况,并根据设定的策略对带宽进行动态调整,以避免网络拥塞,确保网络性能。
三、DPI 带宽管理技术的应用DPI 带宽管理技术在以下场景中具有广泛的应用:1.企业网络:在企业网络中,DPI 技术可以帮助企业实现对网络带宽的精细化管理,保障关键业务应用的稳定运行,提高企业网络的利用率。
2.互联网服务提供商(ISP):对于 ISP 而言,DPI 技术可以实现对网络带宽的智能分配,提高网络资源的利用率,降低运营成本。
3.无线通信:在无线通信领域,DPI 技术可以实现对无线带宽的动态分配,提高无线网络的性能,满足移动设备的高速接入需求。
四、DPI 带宽管理技术的优势和局限性1.优势:DPI 带宽管理技术可以实现对网络带宽的精细化管理,提高网络性能,保障关键业务应用。
网络流量识别的基本方法与技术
网络流量识别的基本方法与技术1. 引言网络流量识别是在当今互联网时代中十分重要的一项技术。
随着网络的快速发展和应用的普及,对网络流量进行准确的识别和分析,有助于提高网络服务的质量、保护网络安全以及优化网络资源的分配。
本文将介绍网络流量识别的基本方法与技术,并探讨其在实际应用中的意义和挑战。
2. 传统基于端口的识别方法传统的基于端口的识别方法是最常见的一种方式。
该方法通过判断数据包传输时所使用的端口号,以识别通信协议或应用程序。
例如,HTTP通信通常使用80端口,而HTTPS通信则使用443端口。
然而,这种方法存在局限性,因为现代网络中存在大量的应用程序使用动态端口或进行端口的伪装。
3. 深度包检测(DPI)技术深度包检测(DPI)技术是一种较为先进的网络流量识别方法。
通过对数据包的内容进行深入分析,DPI能够实现对通信协议和应用程序的准确识别。
DPI技术能够判断特定应用程序的使用情况,例如视频流和音频流的传输。
然而,DPI技术也存在一些挑战,比如隐私保护和法律合规性等问题。
4. 基于机器学习的方法随着人工智能和机器学习的快速发展,基于机器学习的网络流量识别方法也得到了广泛应用。
这种方法利用训练好的机器学习模型,通过对流量数据进行特征提取和分类,以实现识别的目标。
例如,可以使用支持向量机(SVM)模型对网络流量进行分类。
但是,此方法对于大规模数据集处理的复杂性以及模型训练的困难性也是存在的挑战。
5. 基于行为分析的方法基于行为分析的方法是一种较新的网络流量识别技术。
该方法通过分析用户的行为模式和流量的特征,以识别出异常流量或潜在的安全威胁。
例如,当网络流量突然增加或用户行为异常时,可以通过行为分析来检测到潜在的网络攻击。
然而,该方法的准确性和实时性仍然需要进一步的研究和改进。
6. 结论网络流量识别是网络管理和安全保护中的关键技术。
本文介绍了传统基于端口的识别方法、深度包检测(DPI)技术、基于机器学习的方法以及基于行为分析的方法。
dpi指标 tcp协议
dpi指标 tcp协议TCP(传输控制协议)是一种常用的网络传输协议,它保证了数据的可靠传输。
而DPI(深度包检测)指标是用来评估网络中传输性能和质量的重要指标。
本文将从DPI指标的定义、TCP协议与DPI指标的关系以及DPI指标的应用等方面进行探讨。
一、DPI指标的定义DPI(Deep Packet Inspection),即深度包检测,是指网络管理系统对网络中传输的数据包进行深入分析和检测的技术手段。
通过对数据包的内容、协议、源地址、目的地址等信息进行全面检查,可以获得更为详细的网络流量信息。
DPI指标主要包括带宽利用率、延迟、抖动、丢包率等多个方面的指标。
二、TCP协议与DPI指标的关系TCP协议作为一种可靠的传输协议,对于保证数据的可靠传输有着重要的作用。
在网络中,DPI指标可以通过对TCP协议的应用进行评估。
具体而言,DPI指标可以通过监测TCP连接的建立时间、数据传输的速率、数据包的丢失情况等来评估TCP协议的性能。
TCP 协议的可靠性和稳定性直接影响着DPI指标的表现。
三、DPI指标的应用DPI指标在网络性能评估、故障排查、网络优化等方面都有着重要的应用价值。
首先,在网络性能评估中,通过监测DPI指标可以了解网络的带宽利用率、延迟、抖动、丢包率等情况,从而对网络进行合理规划和优化。
其次,在故障排查中,DPI指标可以帮助定位网络故障的原因,从而加快故障的修复速度。
最后,在网络优化中,DPI指标可以提供数据支撑,帮助网络管理员进行决策和改进。
在实际应用中,DPI指标可以通过网络管理系统来进行监测和分析。
网络管理系统可以通过对网络中的数据包进行深入检测和分析,从而得到DPI指标的数值。
通过不断地监测和分析,网络管理员可以了解网络的实际情况,及时发现问题并进行优化。
需要注意的是,在进行DPI指标的监测和分析时,应该遵循相关的法律法规和伦理规范。
DPI技术的应用需要保护用户的隐私权和信息安全,避免滥用和不当使用。
防火墙技术名词解释
防火墙技术名词解释防火墙是一种网络安全设备或软件,用于监控、过滤和控制网络流量,以保护计算机系统免受未经授权的访问、攻击和恶意活动。
以下是一些与防火墙技术相关的主要名词解释:1. 防火墙(Firewall):一种网络安全设备或软件,用于监控、过滤和控制网络流量,以防止未经授权的访问和恶意活动。
2. 数据包(Packet):在网络中传输的数据单元,防火墙通常基于数据包的内容、源地址、目标地址等信息来做出过滤和决策。
3. 访问控制列表(Access Control List,ACL):一组规则,用于确定哪些网络流量被允许通过防火墙,哪些被阻止。
ACL通常基于规则集中定义的条件进行决策。
4. 代理(Proxy):一种防火墙配置,通过代表客户端与其他服务器进行通信,从而隐藏客户端的真实信息。
代理可以提供额外的安全性和隐私。
5. 状态检测(Stateful Inspection):一种防火墙检测技术,它监视和分析数据包的状态信息,而不仅仅是单个数据包的内容。
这种检测方式可以更有效地识别合法的网络连接。
6. 网络地址转换(Network Address Translation,NAT):一种防火墙技术,用于将内部网络中的私有IP地址映射到一个或多个公共IP地址,以增加网络安全性并帮助解决IP地址短缺问题。
7. 深度包检测(Deep Packet Inspection,DPI):一种防火墙检测技术,它对数据包的内容进行深入分析,以识别携带恶意软件、攻击或其他不良内容的数据包。
8. 反病毒防护(Antivirus Protection):防火墙集成的功能之一,用于检测和阻止携带计算机病毒和恶意软件的数据包。
9. 应用层网关(Application Layer Gateway,ALG):一种防火墙组件,能够理解特定应用层协议,并允许或阻止与这些协议相关的流量。
10. 虚拟专用网络(Virtual Private Network,VPN):一种通过加密和隧道技术在公共网络上建立安全连接的方法,防火墙通常支持VPN以增强网络安全性。
2016年中国电信固网宽带深度包检测系统技术要求—骨干网DPI设备
3.1 缩略语 ......................................................................... 1 3.2 术语和定义 ..................................................................... 1 4 骨干网互通独立式 DPI 设备概述 ....................................................... 2 4.1 DPI 设备定位.................................................................... 2 4.2 骨干网独立式 DPI 设备的功能组成 ................................................. 3 4.3 DPI 设备要求说明................................................................ 3 4.4 设备分类 ....................................................................... 4 5 DPI 设备接口要求 .................................................................... 4 5.1 以太网接口 ..................................................................... 4 5.2 POS 接口........................................................................ 4 5.3 常规接口 ....................................................................... 5 6 设备采集功能要求 ................................................................... 5 6.1 采集协转功能 ................................................................... 5 6.2 镜像功能 ....................................................................... 5 7 策略管理和同步 ..................................................................... 5 7.1 管理策略同步 ................................................................... 5 7.2 用户信息管理策略 ............................................................... 5 8 全应用识别与管理 ................................................................... 6 8.1 识别功能要求 ................................................................... 6 8.2 管理功能要求 ................................................................... 8 9 流量流向采集识别 ..................................... 9 9.1 流量流向采集识别 ............................................................... 8 9.2 CP/SP 资源地址采集.............................................................. 9 9.3 IP 地址流量 TOP N 排名 ........................................................... 9 9.4 特定 IP/IP 地址段的流量分析 ..................................................... 9 10 BGP 路由 ........................................................................... 9 11 多链路/设备协同应用识别和管理 .................................................... 10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 DPI技术介绍1.1 DPI技术产生的背景近年来,网络新业务层出不穷,有对等网络(Peer-to-Peer,简称P2P)、VoIP、流媒体、Web TV、音视频聊天、互动在线游戏和虚拟现实等。
这些新业务的普及为运营商吸纳了大量的客户资源,同时也对网络的底层流量模型和上层应用模式产生了很大的冲击,带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。
尤其是P2P、VoIP、流媒体等业务,当前P2P业务的流量已的,这打破了以往“高带宽、低负载”的IP网络QoS提供模式,在很大程度上加重了网络拥塞,降低了网络性能,劣化了网络服务质量,妨碍了正常的网络业务的开展和关键应用的普及。
同时,P2P的广泛使用也给网络的信息安全监测管理带来了极大的挑战。
由于P2P流量的带宽吞噬特性,简单的网络升级扩容是无法满足运营商数据流量增长需要的,加上网络设备缺乏有效的技术监管手段,不能实现对P2P/WEB TV等新兴业务的感知和识别,导致网络运营商对网络的运行情况无法有效管理。
传统的网络运维管理,往往通过设备网管实现对网元级的管理,后来发展至网络级管理,可以对上层的简单应用进行管控,而这些应用级管控技术大多采用简单网络管理协议SNMP 或者基于端口的流量识别进行进行分析和管理。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,构建“可运营、可管理”的网络,成为运营商关注的焦点。
1.2 DPI能够为运营商解决什么问题互联网及移动互联网面临大量“高消耗、低价值”的业务对带宽的吞噬压力,网络安全和服务质量问题亟待解决,主要面临如下问题:⏹网络出口带宽增加了一倍,可没几天还有大量用户投诉上网慢,收邮件慢,流媒体缓冲时间长,为什么?⏹不断升级换代交换机、路由器等核心网设备,投资不少可网络设备的性能总是无法跟上带宽的增长速度。
⏹核心网络的服务质量现状如何?互联互通出口链路带宽占用率情况?链路丢包率?链路延时?关键业务的平均带宽?最大带宽?最小带宽?WAP/WEB浏览的平均延时?最大延时?最小延时?⏹整个宽带业务网络中流量是如何构成的?哪些业务占据了主要的带宽?WAP浏览/彩信/139邮箱/WEB浏览/流媒体/P2P/VoIP/IM等热点业务各占据了多大带宽?⏹核心网到各个其它运营商的流量流向如何?同各运营商的互联带宽多大?为此所缴纳的互联带宽费用是否与用户量的增长成比例?⏹目前的出口带宽占用情况是否需要扩容?同各地市汇聚网的链路性能、带宽如何?业务性能如何?⏹用户投诉上网慢,网管系统也无法找到故障源,性能故障到底在哪里?⏹集团客户的上网或视频会议总是很慢,问题根源在哪里?⏹P2P/流媒体等高消耗、低价值业务占用带宽过大,怎么精细化控制其带宽?⏹网络中产生异常流量(包括端口扫描、DDOS攻击、广播风暴),如何定位发起攻击源?⏹能否有种设备,能按时、按人、按集团客户、按业务来调整带宽分配,限制哪些无节制占用网络的次要业务,保障WAP/彩信/WEB/视频会议/VOIP/ERP等关键业务畅通无阻。
⏹交换机、路由器、防火墙、IDS等等等等,装了一大堆设备和软件,还要不断升级病毒库,可病毒和攻击还是防不住。
能否从网络上拦截这些异常流量,防止其对网络造成破坏性影响?1.3 DPI为运营商带来的好处DPI技术的出现,为互联网和移动互联网运营商带来了曙光,通过部署DPI系统,运营商可以:⏹可视化全网。
可以深入了解整个网络带宽由哪些应用占用(P2P/WEB TV/流媒体/IM/Games等。
),哪些用户(手机号码/上网账号)是大用户,哪些小区是带宽吞噬大户,哪些手机终端使用业务最多…⏹流量精细化管理。
通过灵活的带宽管理机制(带宽整形、QoS管理、限速、提速、封堵等。
),来限制“高消耗、低价值”的业务和用户,从而有效的保障关键业务、关键用户,提升用户感知,提高带宽使用的性价比。
⏹丰富的QoS提供能力。
根据不同的QoS需求,可提供CBR、VBR、UBR业务,可以在IP网络中提供虚拟专线业务。
⏹及时发现和抑制异常流量。
可从网络通路上第一时间拦截异常流量,避免其对网络造成破坏性影响。
⏹透视全网服务质量,保障关键业务质量。
可透视全网各种业务的延时、抖动、带宽占用等QoS指标,从而精确定位QoS劣化点。
⏹智能业务性能分析,减少网络瘫痪和性能劣化的时间。
⏹减少或延迟带宽投入,降低网络运营成本。
通过××产品解决方案所提供的长期统计报告,可以准确了解网络带宽过去、现在和将来的总体使用情况,识别出实际带宽需求小于实际分配(租用)带宽的链路。
对于广域网(W AN)连接,可以减少或者推迟网络升级计划(例如升级为千兆网,购买新的路由器等);从而节省了大笔费用。
通过量化依据为带宽扩容提供科学的决策支持。
⏹转变被动维护局面,先于用户发现故障。
××产品以其迅捷的故障响应机制和完善的主动监测流程为宽带网络的运营维护提供全面的保障机制,加快故障响应处理速度,缩短平均故障响应时间,大大提高了维护效率。
⏹提高市场竞争力,树立移动宽带精品网品牌。
1.4 传统的业务识别方法普通的报文检测往往仅分析IP分组的四层以下内容,一般包括源地址、源端口、目的地址、目的端口以及协议类型,如图1.1所示。
图1.1 传统的IP头部报文分析然而,仅通过分析IP地址和端口来识别业务存在很多的问题,包括:1.端口可变的业务。
比如BT/EDK等业务,可以由用户自行设定端口。
2.隐藏在合法端口之后的隧道业务。
比如为躲避防火墙封锁而隐藏在80端口通过隧道传输V oIP语音或数据的应用。
3.IP地址可变业务。
比如部分应用为了逃避封锁,不断变换IP地址。
4.交互式业务。
比如FTP/流媒体/V oIP等,其媒体流的端口是通过交互协商出来的,非固定端口。
1.5 深度分组检测-DPIDPI,Deep Packet Inspection,深度分组检测,通常简称为DPI。
所谓深度分组检测是相对普通报文检测而言的一种新的检测技术,即对第七层,也即应用层的内容(净荷)进行深度分析,从而根据应用层的净荷特征识别其应用类型或内容。
如图1.2所示。
当IP数据包、TCP或者UDP数据流经过基于DPI技术的网络设备时,DPI引擎通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组,从而识别出IP包的应用层协议。
图1.2 DPI技术对应用特征的分析1.6 传统业务识别与DPI的对比传统的业务识别方法是通过分析5元组或7元组信息(增加输入输出接口索引信息),无法细分不同的应用类型,尤其是应用类型不依赖于5元组或7元组信息的应用。
而DPI技术是通过深入重组、分析第七层分组的净荷内容,匹配业务特征,从而判断业务和应用类型,DPI技术可以细分不同的应用类型。
2 DPI 关键技术介绍DPI 技术主要应用于业务识别和带宽管理领域,下面就分别将这两项主要技术进行详细阐述。
2.1 业务识别技术2.1.1 净荷特征匹配技术不同的应用通常会采用不同的协议,而各种协议都有其特殊的特征(除加密应用),这些特征可能是特定的端口、特定的字符串或者特定的Bit 序列。
基于净荷特征匹配技术,正是通过识别数据报文中的净荷特征来确定业务流所承载的应用。
根据具体检测方式的不同,基于净荷特征匹配技术又可细分为固定(或可变)位置特征匹配、多连接联合匹配和状态特征匹配四种分支技术。
通过对特征信息的升级,基于净荷特征匹配技术可以很方便地扩展到对新协议的检测。
固定位置匹配是最为简单的一种匹配方法。
以Kazaa 协议的识别为例,其握手消息中总包含字符串“User -Agent:Kazaa”。
因此可以确定,“User -Agent:Kazaa”就是Kazaa 协议的特征字。
如图2.1所示。
图2.1 净荷特征匹配(固定位置匹配)多连接联合匹配是一种需要结合该应用中的多个连接联合匹配特征的方法。
如John Doe Protocol 这种协议,其每个连接的相同位置具有相同的特征,如下图2.2所示。
358A 277F 15829871A580727F 95888A 7F Connection #1Connection #2Connection #3Connection #4识别John Doe Protocol图2.2 多连接联合识别技术2.1.2 交互式业务识别技术目前VoIP/FTP/网络游戏等业务普遍采用控制流与业务流分离的方式,通过控制流完成握手,协商出业务流的端口信息然后进行信息流传输,其业务流没有任何特征。
因此通过DPI 技术首先识别出控制流,并根据控制流协议分析识别出业务流的端口或对端网关地址等信息,然后对业务流进行解析,从而识别出相应的业务流。
典型的业务如SIP 、H323协议都属于这种类型的协议。
SIP 、H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。
也就是说,纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的,只有通过检测SIP或H323的协议交互,才能得到其完整的分析。
2.1.3 行为模式识别技术在实施行为模式识别技术之前,运营商必须首先对终端的各种行为进行研究,并在此基础上建立起行为识别模型。
基于行为识别模型,行为模式识别技术即可根据用户已经实施的行为,判断用户正在进行的动作或者即将实施的动作。
行为模式识别技术通常用于那些无法由协议本身就能判定的业务。
例如,从Email的内容看,SPAM(垃圾邮件)业务流与普通邮件业务流两者没有区别,只有进一步分析才能识别出SPAM邮件。
具体可通过发送邮件的速率、目的邮件地址数目、变化频率、源邮件地址数目、变化频率、邮件被拒绝的频率等参数,建立起行为识别模型,并以此分拣出垃圾邮件。
2.1.4 深度流检测技术DFI各种业务应用的数据包自身特性及传输特性都有所区别,因此,基于流的行为特征,通过与已建立的应用数据流的数据模型进行比对,也可以判别出该流的业务或应用类型。
深度流检测法即是基于这种原理,根据各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标的不同与DFI 检测模型进行匹配,进而从中区分出P2P 应用类型。
DFI 检测存在如下优点:能够发现未知P2P 应用,具有对新P2P 应用的感知能力。
加密协议对检测算法影响较小。
避免查看应用层协议内容,检测效率较高。
缺点在于检测准确度与DPI 相比稍低。
有将非P2P 应用误判为P2P 应用的情况。
2.2 带宽管理技术2.2.1 串联流量控制串接流控通常以透明模式串接到网络设备中使用。
通过对网络上的各种类型的应用流量进行分类,并根据控制策略,可将需要控制的P2P 流量数据包丢弃。
P2P 数据传输的两端客户端由于再一定的时间内未收到数据包或确认信息,将启用TCP/IP 协议的拥塞控制机制或应用层协议进行降速传输,从而实现对P2P流量进行控制的目的。