DPI技術(shù)在IP網(wǎng)流量經(jīng)營(yíng)中的應(yīng)用研究

周振勇 華信咨詢(xún)?cè)O(shè)計(jì)研究院有限公司網(wǎng)絡(luò)規(guī)劃研究院副院長(zhǎng)，總工程師

楊 華 中國(guó)移動(dòng)通信集團(tuán)浙江有限公司網(wǎng)絡(luò)部網(wǎng)管中心運(yùn)行質(zhì)量部經(jīng)理

1 引言

當(dāng)前，隨著寬帶中國(guó)戰(zhàn)略的實(shí)施，寬帶用戶(hù)迅猛發(fā)展，各種互聯(lián)網(wǎng)應(yīng)用不斷豐富，特別是各種OTT應(yīng)用的出現(xiàn)，使互聯(lián)網(wǎng)流量成倍增加，電信運(yùn)營(yíng)商為了應(yīng)對(duì)上網(wǎng)流量的增長(zhǎng)，需不斷地對(duì)IP網(wǎng)絡(luò)進(jìn)行擴(kuò)容，投資壓力巨大，出現(xiàn)了流量快速增長(zhǎng)但業(yè)務(wù)收入增長(zhǎng)緩慢的“剪刀差”現(xiàn)象。為了實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型，改變寬帶業(yè)務(wù)收入主要依賴(lài)接入費(fèi)用的局面，各電信運(yùn)營(yíng)商都提出了流量經(jīng)營(yíng)戰(zhàn)略，希望通過(guò)對(duì)互聯(lián)網(wǎng)流量的識(shí)別和應(yīng)用，增加業(yè)務(wù)收入，而要實(shí)現(xiàn)互聯(lián)網(wǎng)流量識(shí)別，DPI（Deep Packet Inspection，深度包檢測(cè)）系統(tǒng)建設(shè)是基礎(chǔ)。目前，各電信運(yùn)營(yíng)商都非常關(guān)注DPI系統(tǒng)的建設(shè)和部署，本文將結(jié)合工程實(shí)踐，對(duì)DPI技術(shù)的基本原理、關(guān)鍵技術(shù)、分析能力、應(yīng)用場(chǎng)景和部署方案等作分析和探討。

2 DPI技術(shù)的基本原理

DPI是指一種基于數(shù)據(jù)包的應(yīng)用層流量檢測(cè)和控制技術(shù)，針對(duì)數(shù)據(jù)包的不同層信息（如IP地址、應(yīng)用層端口、應(yīng)用層協(xié)議、凈荷內(nèi)容等）進(jìn)行深度檢測(cè)和分析，從而得到整個(gè)數(shù)據(jù)流或數(shù)據(jù)包的應(yīng)用層信息，然后按照系統(tǒng)定義的策略對(duì)流量進(jìn)行統(tǒng)計(jì)分析和控制。所謂“深度”是和普通的報(bào)文分析層次相比較而言的，“普通報(bào)文檢測(cè)”僅分析IP包4層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類(lèi)型，而DPI除了對(duì)前面的層次分析外，還增加了應(yīng)用層分析，識(shí)別各種應(yīng)用及其內(nèi)容。DPI與傳統(tǒng)業(yè)務(wù)識(shí)別技術(shù)的區(qū)別如圖1所示。

3 DPI關(guān)鍵技術(shù)

3.1 DPI識(shí)別技術(shù)

（1）基于特征字的識(shí)別技術(shù)（見(jiàn)圖2）

通過(guò)識(shí)別數(shù)據(jù)報(bào)文中的凈荷特征來(lái)確定業(yè)務(wù)流所承載的應(yīng)用。不同的應(yīng)用通常會(huì)采用不同的協(xié)議，而各種協(xié)議都有其特殊的特征（除加密應(yīng)用外），這些特征可能是特定的端口、字符串或者Bit序列。檢測(cè)方式：固定位置特征匹配、可變位置特征匹配、多連接聯(lián)合匹配、狀態(tài)特征匹配。

圖1 DPI與傳統(tǒng)業(yè)務(wù)識(shí)別技術(shù)的區(qū)別示意圖

圖2 基于特征字的識(shí)別技術(shù)示意圖

（2）交互式業(yè)務(wù)識(shí)別技術(shù)

首先識(shí)別出控制流，并根據(jù)控制流協(xié)議分析識(shí)別出業(yè)務(wù)流的端口或?qū)Χ司W(wǎng)關(guān)地址等信息，然后對(duì)業(yè)務(wù)流進(jìn)行解析，從而識(shí)別出相應(yīng)的業(yè)務(wù)流。目前，VoIP/FTP/網(wǎng)絡(luò)游戲等業(yè)務(wù)普遍采用控制流與業(yè)務(wù)流分離的方式，通過(guò)控制流完成握手，協(xié)商出業(yè)務(wù)流的端口信息，然后進(jìn)行信息流傳輸，業(yè)務(wù)流沒(méi)有任何特征。

（3）行為模式識(shí)別技術(shù)

基于行為識(shí)別模型，根據(jù)用戶(hù)已經(jīng)實(shí)施的行為，判斷用戶(hù)正在進(jìn)行的或者即將實(shí)施的動(dòng)作。行為模式識(shí)別技術(shù)通常用于那些無(wú)法由協(xié)議本身判定的業(yè)務(wù)。在實(shí)施前，必須首先對(duì)終端的各種行為進(jìn)行研究，并在此基礎(chǔ)上建立起行為識(shí)別模型。如SPAM檢測(cè)（垃圾郵件檢測(cè)），從E-mail的內(nèi)容看，垃圾郵件業(yè)務(wù)流與普通郵件業(yè)務(wù)流兩者沒(méi)有區(qū)別，只有進(jìn)一步分析發(fā)送郵件的目的郵件地址數(shù)目、變化頻率、源郵件地址數(shù)目、變化頻率、郵件被拒絕的頻率等參數(shù)，建立起行為識(shí)別模型，并以此分揀出垃圾郵件。

3.2 DPI管控技術(shù)

（1）并接流量控制（見(jiàn)圖3）

采用數(shù)據(jù)包偽裝技術(shù)將偽裝的干擾數(shù)據(jù)包發(fā)到正在通信的TCP連接中，通過(guò)降低連接的傳輸速率或者切斷連接以達(dá)到流量控制的目的。需要引入分光設(shè)備或鏡像設(shè)備，并且需要占用網(wǎng)絡(luò)設(shè)備的端口用于將干擾信息發(fā)送到互聯(lián)網(wǎng)中。

圖3 并接流量控制示意圖

（2）串接流量控制（見(jiàn)圖4）

圖4 串接流量控制示意圖

通過(guò)DPI識(shí)別技術(shù)對(duì)網(wǎng)絡(luò)上各種類(lèi)型的應(yīng)用流量進(jìn)行分類(lèi)，并根據(jù)控制策略，將需要控制的應(yīng)用流量數(shù)據(jù)包丟棄。其特點(diǎn)為：

如果允許電動(dòng)設(shè)備按其“自然曲線”靈活運(yùn)行，當(dāng)流量每減小50%，則相當(dāng)于額定功率減少12.5%（0.53）。工作效率將提高400%（=50%/12.5%）。實(shí)現(xiàn)該效率提升的條件是讓泵和風(fēng)機(jī)的壓力-轉(zhuǎn)速關(guān)系始終按“自然曲線”維持在較低轉(zhuǎn)速的條件下。流量減小50%就相當(dāng)于壓力減小25%（0.52）。

●采用丟棄數(shù)據(jù)包、隊(duì)列調(diào)度等方式，控制方式比并接方式直接，不占用額外的干擾接入端口。

●由于所有的網(wǎng)絡(luò)數(shù)據(jù)流都要經(jīng)過(guò)設(shè)備處理再進(jìn)行轉(zhuǎn)發(fā)，帶來(lái)一定的處理延時(shí)，有可能形成處理瓶頸和單點(diǎn)故障。

●串接方式對(duì)設(shè)備的處理和轉(zhuǎn)發(fā)性能要求高。

4 DPI分析能力及應(yīng)用場(chǎng)景

4.1 DPI分析能力

（1）對(duì)應(yīng)用進(jìn)行分析識(shí)別（見(jiàn)圖5）

圖5 基于應(yīng)用的分析識(shí)別示意圖

以應(yīng)用為維度進(jìn)行數(shù)據(jù)的分析、統(tǒng)計(jì)和呈現(xiàn)，用于網(wǎng)絡(luò)規(guī)劃和運(yùn)行維護(hù)，獲取現(xiàn)網(wǎng)流量模型、流量業(yè)務(wù)發(fā)展趨勢(shì)等信息。

（2）對(duì)用戶(hù)行為進(jìn)行分析識(shí)別（見(jiàn)圖6）

圖6 基于用戶(hù)行為的分析識(shí)別示意圖

DPI具備基于流的分析識(shí)別能力，以用戶(hù)對(duì)互聯(lián)網(wǎng)的訪問(wèn)為維度進(jìn)行分析，并輸出用戶(hù)對(duì)互聯(lián)網(wǎng)的訪問(wèn)記錄，進(jìn)而分析用戶(hù)的互聯(lián)網(wǎng)訪問(wèn)行為和偏好。

（3）對(duì)流量流向進(jìn)行分析（見(jiàn)圖7）

分析研究網(wǎng)絡(luò)流量構(gòu)成和流量流向，對(duì)視頻、云存儲(chǔ)等大流量業(yè)務(wù)進(jìn)行分析、預(yù)測(cè)和監(jiān)測(cè)，提升流量預(yù)測(cè)的合理性，為網(wǎng)絡(luò)建設(shè)提供更加詳實(shí)的依據(jù)；針對(duì)應(yīng)用的流量流向分析，能夠進(jìn)一步提升應(yīng)用對(duì)網(wǎng)絡(luò)流量影響的分析能力，可以與ICP的內(nèi)容部署相結(jié)合，進(jìn)行網(wǎng)絡(luò)架構(gòu)的優(yōu)化；對(duì)網(wǎng)絡(luò)的局部業(yè)務(wù)應(yīng)用的組成和變化情況的分析，為支撐后續(xù)流量的架構(gòu)優(yōu)化和本地化提供參考。

4.2 DPI應(yīng)用場(chǎng)景（見(jiàn)圖8）

DPI系統(tǒng)提供電信運(yùn)營(yíng)所需的各類(lèi)統(tǒng)計(jì)分析數(shù)據(jù)，可應(yīng)用于前端的市場(chǎng)策略制定、增值業(yè)務(wù)開(kāi)發(fā)及后端的網(wǎng)絡(luò)運(yùn)維管理等。

5 DPI系統(tǒng)部署方案

5.1 DPI設(shè)備架構(gòu)

DPI系統(tǒng)分為前臺(tái)（鏈路側(cè)采集部分）和后臺(tái)（集中平臺(tái)處理部分）兩個(gè)層次。后臺(tái)一般采用通用服務(wù)器，但前臺(tái)設(shè)備差異性較大。DPI設(shè)備總體上有3種架構(gòu)模式：

（1）服務(wù)器架構(gòu)：采用協(xié)轉(zhuǎn)分流設(shè)備及前置處理服務(wù)器，對(duì)鏈路流量進(jìn)行分析和處理。綠網(wǎng)、傲天等廠家均采用這種架構(gòu)。

（2）路由器架構(gòu)：采用自有路由器平臺(tái)架構(gòu)開(kāi)發(fā)DPI設(shè)備，如華為、中興。

（3）硬件探針盒式架構(gòu)：自行開(kāi)發(fā)基于FPGA的DPI設(shè)備，如浩瀚。

圖7 網(wǎng)絡(luò)流量流向分析示意圖

圖8 DPI應(yīng)用場(chǎng)景示意圖

5.2 DPI部署方案（見(jiàn)圖9）

圖9 DPI部署方案示意圖

DPI部署位置比較靈活，可根據(jù)不同的需要在IP網(wǎng)中選擇合適的位置（如國(guó)際、省際、城域網(wǎng)、IDC等出口）部署DPI設(shè)備。

6 結(jié)束語(yǔ)

IP網(wǎng)流量經(jīng)營(yíng)已成為各大電信運(yùn)營(yíng)商業(yè)務(wù)轉(zhuǎn)型的重要方向，為了實(shí)現(xiàn)IP網(wǎng)流量經(jīng)營(yíng)，流量采集和分析是基礎(chǔ)，而DPI系統(tǒng)部署則是實(shí)現(xiàn)流量采集和分析的主要手段。本文介紹了DPI的基本原理、關(guān)鍵技術(shù)和分析能力，并提出了DPI的應(yīng)用場(chǎng)景和系統(tǒng)部署方案，可供相關(guān)技術(shù)人員參考。