校園網流量識別與控制系統的建設

摘要:今天的校園網由于P2P下載、垃圾郵件、蠕蟲病毒等原因， 造成了網絡帶寬的巨大消耗。建設校園網流量識別與控制系統，進行流量監(jiān)控和流量分析是整個校園網管理的重要環(huán)節(jié)， 它能幫助系統管理員了解網絡、業(yè)務和用戶資源的使用情況，找到性能瓶頸并進行精細化管理，對用戶行為進行分析和控制，以及對信息進行安全防護。

關鍵詞:校園網;流量識別;流量管理

中圖分類號:TP317.4文獻標識碼:A文章編號:1009-3044(2009)14-3632-03

The Construction on Traffic Identification and Control System of Campus Network

ZHOU Xiang-jun

(Guangdong College of Foreign Language and Arts， Guangzhou 510507， China)

Abstract: Using P2P download， spam， worms and other reasons in Today's campus network， cause a huge consumption of network bandwidth. The construction on Traffic Identification and control the system of campus network is an important part of management in the entire campus， it can help system manager understand that the network， the service and the user resources' service condition; the system manager can also find the performance bottleneck. According to the flows the system manager analyze the action of the user， control the user， as well as protect the information safety.

Key words: campus network; Traffic Identification; Traffic Control System

1 引言

今天的校園網， 由于垃圾郵件、蠕蟲病毒等原因， 網絡突然緩慢甚至癱瘓的事件屢有發(fā)生。以BT為代表的P2P下載軟件流量占用了大量帶寬，造成了網絡帶寬的巨大消耗，妨礙了校園網中正常網絡業(yè)務的開展和教學中關鍵應用的普及。因此在校園網中進行流量監(jiān)控和流量分析是整個網絡管理的重要環(huán)節(jié)。

要將校園網中P2P、streaming、HTTP、FTP等不同業(yè)務區(qū)分出來，就必須建立IP流量識別與控制系統。IP流量識別與控制系統能夠分辨具體用戶、具體應用的數據流，從而可以對用戶的應用部署QoS、安全及其它策略。IP流量識別與控制系統可以幫助實現對網絡內部奧秘的透視性和對網絡資源的控制。以決定對這些流量的控制策略。

2 流量識別

流量識別通過對業(yè)務流量從數據鏈路層到應用層的報文深度檢查分析，依據協議類型、端口號、特征字符串和流量行為特征等參數，獲取業(yè)務類型、業(yè)務狀態(tài)、業(yè)務內容和用戶行為等信息，并進行分類統計和存儲。

2.1 流量識別工作過程

流量識別的基本目的是幫助網絡管理者獲得網絡層之上的業(yè)務層流量信息，如業(yè)務類型、業(yè)務狀態(tài)、業(yè)務分布、業(yè)務流量流向等。流量識別是一個相對復雜的過程，需要多個功能模塊的協同工作，流量識別的工作過程如圖1所示，簡單描述如下:

識別處理模塊采用多通道識別處理，通過對網絡流量的源/目的IP地址和源/目的端口號的Hash算法，將網絡流量均勻的分配到多個處理通道中。

多處理通道并行執(zhí)行網絡流量的深度報文檢查，獲取網絡流量的特征信息，并與業(yè)務識別特征庫中的特征進行比對。

將匹配結果送往識別處理模塊，并標識特定網絡流量。如果存在多個匹配結果，選取優(yōu)先級較高的匹配結果進行標識。特定網絡流量一經識別確定，該網絡流量的后續(xù)連接將不再進行深度的報文檢查，直接將其網絡層和傳輸層信息與已知識別結果進行比對，提高執(zhí)行效率。

識別處理模塊將網絡流量的業(yè)務識別結果存儲到識別結果存儲模塊中，為網絡流量的統計分析提供依據。

統計分析模塊從識別結果存儲模塊中讀取相關信息，并以曲線、餅圖、柱狀圖或者文本的方式將識別結果信息顯示，或以文件的形式輸出。

在結果存儲模塊中保存的識別結果信息會輸出到網絡流量管理功能區(qū)，為實施網絡流量管理提供依據。

2.2 流量認別的實現機理

DPI全稱為“Deep Packet Inspection”，稱為“深度包檢測”。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協議類型，而DPI 除了對前面的層次分析外，還增加了應用層分析，識別各種應用及其內容。

普通報文檢測是通過端口號來識別應用類型的。如檢測到端口號為80時，則認為該應用代表著普通上網應用。而當前網絡上的一些應用會采用隱藏或假冒端口號的方式躲避檢測和監(jiān)管，造成仿冒合法報文的數據流侵蝕著網絡，例如P2P下載軟件eMule大多采用動態(tài)協商端口機制。此時采用L2～L4層的傳統檢測方法已無能為力了。DPI技術就是通過對應用流中的數據報文內容進行探測，從而確定數據報文的真正應用。因為非法應用可以隱藏端口號，但目前較難以隱藏應用層的協議特征。DPI的識別技術可以分為以下幾大類:

1)基于“特征字”的識別技術:不同的應用通常依賴于不同的協議，而不同的協議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的bit序列?；凇疤卣髯帧钡淖R別技術通過對業(yè)務流中特定數據報文中的“指紋”信息的檢測以確定業(yè)務流承載的應用。根據具體檢測方式的不同，基于“特征字”的識別技術又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術。通過對“指紋”信息的升級，基于特征的識別技術可以很方便的進行功能擴展，實現對新協議的檢測。

DPI的關鍵在于，它要不斷地在格式不定的數據包中判斷出各種特征字，實現這一過程的基礎技術就是模式匹配(Pattern-Matching)。通俗地講，就是字符串匹配，即從數據中搜索是否存在目標字符串。通常，目標字符串采用正則表達式(Regular Expression)標準語法來描述。

例如:Bittorrent協議的識別，通過反向工程的方法對其對等協議進行分析，所謂對等協議指的是peer與peer之間交換信息的協議。對等協議由一個握手開始，后面是循環(huán)的消息流，每個消息的前面，都有一個數字來表示消息的長度。在其握手過程中，首先是發(fā)送19，跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。

2)應用層網關識別技術:某些業(yè)務的控制流和業(yè)務流是分離的，業(yè)務流沒有任何特征。這種情況下，我們就需要采用應用層網關識別技術。應用層網關需要先識別出控制流，并根據控制流的協議通過特定的應用層網關對其進行解析，從協議內容中識別出相應的業(yè)務流。對于每一個協議，需要有不同的應用層網關對其進行分析。如SIP、H323協議都屬于這種類型。SIP/H323通過信令交互過程，協商得到其數據通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測RTP流并不能得出這條RTP流是通過哪種協議建立的。只有通過檢測SIP/H323的協議交互，才能得到其完整的分析。

3)行為模式識別技術:行為模式識別技術基于對終端已經實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術通常用于無法根據協議判斷的業(yè)務的識別。例如:SPAM(垃圾郵件)業(yè)務流和普通的Email業(yè)務流從Email的內容上看是完全一致的，只有通過對用戶行為的統計和分析，才能夠準確的識別出SPAM業(yè)務。

3 流量識別在網絡流量管理中的應用

Cisco的Gadekar認為DPI的部署有三個階段:第一階段是“網絡應用分析”，這個階段運營商可以對網絡有更深入的了解，這樣DPI可以以旁路(passive)模式部署，而無需串接部署，部署在全局就可以。第二個階段是全局流量優(yōu)化和流量管理，通過提高互動性應用的優(yōu)先級、降低“帶寬殺手”的優(yōu)先級。這個階段，DPI部署在網絡邊緣，在匯聚設備后面，例如BRAS。第三個階段，這將是每個運營商的最終目標，可以動態(tài)地訂制某些業(yè)務。需要支持不同的計費模式、業(yè)務生成，DPI解決方案一般都會跟AAA服務器、策略服務器、計費系統緊密集成(見圖3)。這是DPI+PS的階段，用以實現按業(yè)務內容、按用戶使用情況計費。

校園網流量管理的基本目標是了解網絡、業(yè)務和用戶資源的使用情況，找到性能瓶頸并進行精細化管理，對用戶行為進行分析和控制，以及對信息安全防護。下面我們就從這幾個方面著手，描述流量識別在網絡流量管理中的應用。

3.1 流量統計分析和趨勢判斷

在校園網的網絡設備中集成流量識別功能，或者單獨部署具備流量識別功能的網絡設備對網絡流量進行統計分析和趨勢判斷。

通過流量識別，網絡管理者能夠知道當前網絡中的業(yè)務流量的類型、帶寬、時間和空間分布、流向等信息。如圖4所示。

3.2 資源管理

將流量識別能力添加到網絡流量管理中，能夠幫助網絡管理者對網絡資源和業(yè)務資源進行帶寬控制和資源調度。

具備流量識別能力的網絡流量管理將具備P2P應用的管理能力，通過對P2P流量的抑制來提升傳統數據業(yè)務的用戶體驗度。如圖5所示。

流量識別還能夠幫助網絡流量管理實現業(yè)務資源的調度，流量識別能夠獲得業(yè)務資源使用、流量狀態(tài)的實時情況。當某一業(yè)務服務器負載較大時，可以進行全局的業(yè)務資源負載均衡，平均的承擔業(yè)務請求;同時也能夠對用戶的業(yè)務請求進行調度，決定是否繼續(xù)響應用戶新的業(yè)務請求，或者根據用戶的優(yōu)先級，優(yōu)先響應高優(yōu)先級用戶的業(yè)務請求，提升業(yè)務運營效率。

3.3 精細化管理

在校園網接入層的網絡設備中集成流量識別功能，或者單獨部署具備流量識別功能的網絡設備對網絡流量識別并進行精細化管理。網絡管理者可以將用戶接入網絡過程中的用戶認證ID、獲得的IP地址和特殊的接入屬性等用戶特征信息，與相關業(yè)務流量的類型、狀態(tài)或者內容等業(yè)務流量特征信息的綁定，對不同用戶的不同業(yè)務流量進行區(qū)分，實施精細化的管理。例如，為教師用戶預留2Mbit/s的網絡帶寬，而為學生用戶預留512Kbit/s的網絡帶寬;或者為同一用戶的不同業(yè)務提供不同的QoS控制，為http業(yè)務提供較高的優(yōu)先級，而為數據業(yè)務提供盡力而為的轉發(fā)，在網絡出現擁塞時，http業(yè)務優(yōu)先轉發(fā)。

此外，具備流量識別的網絡流量管理還能夠幫助校園網管理者改變業(yè)務運營模式，由用戶被動地接受轉變到用戶主動的個性化定制。校園網管理者向用戶提供業(yè)務個性化定制平臺并接受用戶的個性化業(yè)務定制，隨后將這些個性化業(yè)務定制轉換為基于用戶的個性化流量管理措施，當用戶進行業(yè)務使用時，校園網管理者將能夠根據這些個性化措施對用戶流量施以個性化的流量管理，用戶也能夠動態(tài)的調整和取消個性化的業(yè)務定制。

3.4 網絡安全防護

在網絡中的多個層面的網絡設備中集成流量識別功能，或者單獨部署具備流量識別功能的網絡設備，和防火墻等網絡安全設備協同構建一個主動的安全威脅防御體系，提升整個網絡的安全防護能力。具備流量識別能力的網絡流量管理具有主動的流量特征識別分析能力，能夠主動的發(fā)現諸如DDoS攻擊、病毒和木馬等異常流量，較好的彌補其他網絡安全設備[如防火墻、入侵防護系統(IPS)和統一威脅管理(UTM)等]的不足，提升其主動發(fā)現安全威脅的能力，并能夠及時的向其他網絡安全設備發(fā)出告警，從安全威脅源頭開始就進行主動的防御。

此外，具備流量識別能力的網絡流量管理還能夠獲取并保存網絡流量的網絡層信息(例如，源/目的IP地址、用戶標識ID等信息)，通過這些信息，網絡管理者能夠進行有效的安全威脅的溯源定位。

3.5 用戶行為分析和控制

部署具備流量識別能力的網絡設備后，網絡管理者還能夠獲得用戶級別的網絡流量統計信息，通過后臺分析系統的數據挖掘，能夠獲得包括用戶業(yè)務流量類型、用戶平均上網時間、用戶主要在線時段、用戶興趣等在內的用戶個性化特征信息。根據這些信息，校園網管理者能夠及時和準確的調整校園網運營策略、校園網資源建設建設內容，或者發(fā)現新的服務內容。例如，收集多數用戶感興趣的資源，在校園網共享使用，建立校內共享發(fā)布交流平臺等應用。此外，還能夠根據這些信息，對隨意性較強的用戶行為進行必要的管理。例如，禁止在上課時間觀看在線視頻、參與網絡游戲、利用即時通信工具進行與工作無關的聊天，以及禁止發(fā)布一些不文明的內容等。

參考文獻:

[1] 王超， 趙文杰. IP網絡帶寬管理技術及應用分析[J]. 電信技術， 2007(5).

[5] 湯昊， 李之棠. 基于DPI的P2P流量控制系統的設計與實現[J]. 信息安全與通信保密， 2007(6).

[3] 張棣興. 下一代網絡業(yè)務流量識別與控制的研究[J]. 電信網技術， 2006(11).

[4] 田輝， 馬科， 石友康. 業(yè)務識別與控制技術及其測試評估[J]. 現代電信科技， 2008(10).

[5] 田輝， 徐鵬. 業(yè)務識別與控制技術及標準化進展[J]. 電信網技術， 2007(3).

[6] 歐陽秀平， 王攀， 饒翔， 李薇， 汪英. 基于多識別引擎的下一代網絡業(yè)務識別模型[J]. 重慶郵電大學學報(自然科學版)， 2008(1).