基于DPI技術(shù)的LTE_S1接口流量識別系統(tǒng)設(shè)計與實現(xiàn)

宮向陽

摘要：針對傳統(tǒng)流量識別系統(tǒng)性能低、可擴展性差等問題，提出一種以多叉樹作為深度包檢測（deep packet inspection， DPI）技術(shù)的模式匹配方法。通過對現(xiàn)行長期演進（long term evolution， LTE）網(wǎng)絡(luò)S1接口用戶面數(shù)據(jù)進行解析，采用層次化、模塊化設(shè)計思想，實現(xiàn)一套以協(xié)議解析、流量識別、數(shù)據(jù)存儲為基礎(chǔ)的流量識別系統(tǒng)。經(jīng)測試，系統(tǒng)在實現(xiàn)對用戶行為監(jiān)測的基礎(chǔ)上，達到單機4～5Gb/s的處理速度，對大數(shù)據(jù)流量識別系統(tǒng)的設(shè)計具有重要參考意義。

關(guān)鍵詞關(guān)鍵詞：多叉樹；長期演進（LTE）；S1接口；深度包檢測（DPI）；層次化；模塊化

DOIDOI：10.11907/rjdk.161295

中圖分類號：TP393文獻標識碼：A文章編號文章編號：16727800（2016）007016604

0引言

隨著4G網(wǎng)絡(luò)的普及，移動互聯(lián)網(wǎng)時代已經(jīng)到來，在為用戶提供高速網(wǎng)絡(luò)體驗的同時，運營商也面臨巨大挑戰(zhàn)。據(jù)統(tǒng)計，移動互聯(lián)網(wǎng)數(shù)據(jù)量迅猛增長的同時，卻沒有實現(xiàn)業(yè)務(wù)利潤的快速增長，通過對業(yè)務(wù)流量的識別和分類，實現(xiàn)對用戶的精確營銷，對運營商而言至關(guān)重要。傳統(tǒng)的流量監(jiān)測技術(shù)是基于IP 數(shù)據(jù)中的底層數(shù)據(jù)（會話五元組），但對于種類繁多的應(yīng)用層流量仍然無能為力。目前，DPI即深度包監(jiān)測技術(shù)被廣泛應(yīng)用，然而，隨著智能手機和數(shù)據(jù)業(yè)務(wù)的爆發(fā)增長，傳統(tǒng)的流量識別系統(tǒng)無論在業(yè)務(wù)還是性能方面均不能滿足需求，新一代客戶感知網(wǎng)絡(luò)流量體系迫在眉睫。在國內(nèi)，華為提出的SmartCare是一個旨在服務(wù)于高端細分市場的網(wǎng)絡(luò)監(jiān)測解決方案，該方案幫助運行商解決端到端的業(yè)務(wù)質(zhì)量提升，保障用戶體驗；中興通訊提出一種基于云計算架構(gòu)的用戶體驗應(yīng)用解決方案——ZSmart CEMS，該方案采用大數(shù)據(jù)分布式以及并行處理架構(gòu)，實現(xiàn)計算資源的動態(tài)調(diào)配以及利用率。通過DPI技術(shù)識別業(yè)務(wù)類型，與業(yè)務(wù)質(zhì)量、用戶數(shù)據(jù)、盡一步通信效率；⑨當以太網(wǎng)絡(luò)交換機E-HUB采用直流以太網(wǎng)絡(luò)交換機時，其本身會傳輸電源信號，當該電源信號的功能滿足或經(jīng)電路變換后滿足控制單元CU的電源供電要求時，可以采用以太網(wǎng)絡(luò)交換機E-HUB的電源信號替代單路CU電源線PWL為控制單元CU供電，可進一步減少布線；⑩以太網(wǎng)絡(luò)通信速率高，可達每秒100MB/1 000MB以上。

終端信息相關(guān)聯(lián)，實現(xiàn)對現(xiàn)網(wǎng)業(yè)務(wù)的實時檢測。但是這些產(chǎn)品往往價格昂貴，或是應(yīng)用范圍有限，后臺維護成本較高，無法滿足LTE 網(wǎng)絡(luò)多業(yè)務(wù)大流量的監(jiān)測需求。因此，實現(xiàn)一套完整且價格低廉的用戶感知系統(tǒng)仍然任重道遠。本文以LTE網(wǎng)絡(luò)S1-U接口用戶面數(shù)據(jù)作為系統(tǒng)數(shù)據(jù)源，設(shè)計并實現(xiàn)了一套擴展性好、性能高的網(wǎng)絡(luò)流量識別系統(tǒng)。1系統(tǒng)設(shè)計

S1接口是LTE eNodeB（基站）與 EPC（分組核心網(wǎng)）之間的通訊接口。它沿襲了承載和控制分離的思想，又分為兩個接口，一個用于控制面（S1-MME），一個用于用戶面（S1-U）（見圖1）?？刂破矫娼涌赟1-MME主要完成S1接口的無線接入承載控制、接口專用的操作維護等功能。用戶平面接口S1-U則主要用于傳送用戶數(shù)據(jù)，本方案選取用戶面接口S1-U接口作為數(shù)據(jù)采集點，通過對該接口的協(xié)議棧解碼獲取用戶的上網(wǎng)數(shù)據(jù)，作為DPI識別模塊的輸入變量。

圖1S1接口示意圖

本系統(tǒng)主要包括數(shù)據(jù)采集模塊、協(xié)議棧解析模塊、DPI業(yè)務(wù)識別模塊和業(yè)務(wù)統(tǒng)計模塊?？傮w實現(xiàn)框架如圖2所示，各模塊功能設(shè)計如下：

圖2系統(tǒng)框架

（1）數(shù)據(jù)采集模塊實現(xiàn)對現(xiàn)網(wǎng)S1-U接口數(shù)據(jù)的實時采集，將采集到的數(shù)據(jù)交給協(xié)議解析模塊。

（2）協(xié)議解析模塊將從S1-U接口得到的實時數(shù)據(jù)進行基本解析，獲取IP及其底層數(shù)據(jù)，并將鏈路信息進行緩存，然后調(diào)用子模塊（快速DPI），根據(jù)識別結(jié)果調(diào)用相應(yīng)的應(yīng)用層協(xié)議解碼模塊，應(yīng)用層協(xié)議解碼模塊通過對傳輸層負載的解析獲取關(guān)鍵字段。

（3）流量識別模塊實現(xiàn)對業(yè)務(wù)內(nèi)容的識別，輸入為應(yīng)用層協(xié)議的關(guān)鍵字段，輸出為具體業(yè)務(wù)標識信息。

（4）數(shù)據(jù)存儲模塊的功能是將相關(guān)數(shù)據(jù)錄入數(shù)據(jù)庫。

（5）擴展模塊以訂閱的方式獲取需要進行深度識別的數(shù)據(jù)。

（6）業(yè)務(wù)模塊實現(xiàn)用戶對流量的統(tǒng)計功能。

2系統(tǒng)實現(xiàn)

2.1協(xié)議解碼模塊

協(xié)議解碼模塊分為基本解碼、快速DPI和應(yīng)用層解碼3個子模塊?；窘獯a模塊的功能是解析數(shù)據(jù)包的基本信息，緩存鏈路信息。針對各層協(xié)議，自下向上逐層對協(xié)議進行解碼，并將解碼結(jié)果及相關(guān)指標信息保存到鏈表結(jié)構(gòu)體中。

為了將分片的數(shù)據(jù)包重新組合成完整的數(shù)據(jù)包，必須進行鏈路緩存，系統(tǒng)使用key-value方式保存鏈路信息，key為通信五元組，value包含一些通用信息（五元組、協(xié)議類型、時間戳等）以及應(yīng)用層解碼模塊指針。當一個數(shù)據(jù)包到達解碼模塊后，先對其進行TCP/IP解碼得到通信五元組，以五元組作為key，去索引value，如果索引失敗，則說明是一個新的會話，為其創(chuàng)建一個session對象并添加到hashtable中，如果索引成功，判斷數(shù)據(jù)包是否攜帶鏈路斷開的信息（如：TCP的FIN標識），如果有，則從hashtable中將此會話的對象刪除，然后判斷該數(shù)據(jù)包的傳輸層協(xié)議是否被解析出來；如果沒有，則將傳輸層的負載數(shù)據(jù)傳遞給快速DPI模塊作解析，快速DPI根據(jù)自己的知識庫判斷此數(shù)據(jù)包屬于什么協(xié)議，然后將結(jié)果存入value中。判定應(yīng)用層協(xié)議類型后，需要判斷數(shù)據(jù)是否為分片的數(shù)據(jù)包，如果不是，則將其直接傳遞給流量識別模塊；否則，根據(jù)已有的鏈路信息進行組包操作，如果組合后的數(shù)據(jù)包是完整的，則將其傳入流量識別模塊，否則進行鏈路信息緩存 應(yīng)用層協(xié)議類型眾多（包括私有協(xié)議），所以系統(tǒng)必須具有可擴展的功能。系統(tǒng)采用模塊化思想為每一種協(xié)議類型設(shè)計一個接口相同但功能不同的解碼器。當系統(tǒng)啟動時，將所有的應(yīng)用層解碼器注冊到系統(tǒng)，數(shù)據(jù)包被基本解碼后，根據(jù)解碼出的信息以及應(yīng)用層負載數(shù)據(jù)特征進行快速DPI，如果判斷出數(shù)據(jù)包的協(xié)議類型，則調(diào)用與之對應(yīng)的應(yīng)用層協(xié)議解碼模塊，否則，失敗。2.3流量識別模塊

高效的匹配算法是衡量DPI識別引擎性能優(yōu)劣的關(guān)鍵。目前，正則表達式匹配技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)，作為深度數(shù)據(jù)包檢測的核心算法來進行非法內(nèi)容檢測、惡意代碼檢測、入侵檢測、協(xié)議分析等，正則表達式通常采用非確定性有限自動機

參考文獻：

王行仁.飛行實時仿真系統(tǒng)及技術(shù).北京：北京航空航天出版社，2000.

宋云燕.基于面向?qū)ο蠹夹g(shù)的電站仿真支撐系統(tǒng)的設(shè)計與實現(xiàn).北京：華北電力大學，2012.

劉新順，閆建國.VxWorks環(huán)境下無人機半物理仿真模型機數(shù)據(jù)通信與采集[J].現(xiàn)代電子技術(shù)，2012，35（1）：79.

徐海，崔連虎，徐光耀.RTX環(huán)境下時統(tǒng)信息實時采集方法研究[J].艦船電子工程，2012（4）：5961.

MICHAEL J DONAHOO，KENNETH L CALVERT.TCP/IP sockets in C：practical guide for programmers.2nd Edition.San Francisco：Morgan Kaufmann Publishers，2009.

顧穎彥.反射內(nèi)存網(wǎng)實時通信技術(shù)的研究[J].計算機工程，2002（7）：143144.

何波玲，張志春，徐坤.規(guī)模硬件模塊化智能控制方法及其應(yīng)用[J].蘭州理工大學學報，2014（3）：106109.

何波玲，張志春.設(shè)備密集型仿真系統(tǒng)硬件控制接口模式及系統(tǒng)[J].蘭州理工大學學報，2014（6）：9095.

何波玲.嵌入式TCP/IP驅(qū)動設(shè)備的可復用群控驅(qū)動引擎[J].軟件導刊，2015（4）：126128.

何波玲，張志春.一種軟硬件并行開發(fā)無縫集成的規(guī)范化方法[J].軟件導刊，2015（5）：4951.

何波玲，張志春，徐坤.基于外部配置文件的硬件檢測軟件生成方法[J].軟件導刊，2015（6）：2829.