互联网流量分析技术及部署的方案.docVIP

互联网流量分析技术及部署的方案 　　【摘 要】 　　运营商在移动互联网时代要更好地发掘流量价值、建设智能管道，必须加强对网络流量的了解及管控。对现有的流量分析技术进行了分析比较，结合运营商的网络需求，提出了部署策略和方案。部分应用的试点结果表明，互联网流量分析技术在运营商的流量精细化经营中起到了积极有效的作用。 　　【关键词】 　　流量分析 智能管道 DPI DFI 　　中图分类号：TP393.0 文献标识码：A 文章编号：1006-1010（2013）-19-0071-03 　　收稿日期：2013-06-06 　　责任编辑：左永君 zuoyongjun@mbcom.cn 　　1 概述 　　在全业务和移动互联网新形势下，通信运营商将向信息运营商转型。这种转型将根本性地重塑电信运营商的价值创造方式，必然也要求电信运营商的基础设施和商业模式随之做出转变。运营商未来发展应将重点放在精细化的流量经营上，要逐步推进运营服务的精品化，建设智能的业务管控体系、精细准确的流量分析服务体系、客户导向的终端适配服务体系，建立基于用户细分的业务、流量、套餐匹配关系，提供精确化的服务，不断提升用户感知。 　　网络流量分析系统的定位重点在于帮助运营商了解客户使用网络的情况，包括何时、何人、使用何种应用、做何事，即对网络数据的流量、流向、协议进行监听和分析，在网络安全管控、根据网络流量使用情况计费的情况下，为运营商提供实时有效的信息输入。 　　2 流量分析技术 　　2.1 包检测技术及其发展 　　数据包（Packet）是TCP/IP通信协议中规定的传输数据单位。在TCP/IP协议中，数据被送入协议栈中，然后按顺序通过每一层，按照各层协议添加包头信息，直到被当作一串比特流送入网络。TCP/IP协议工作在OSI模型第三层（网络层）、第四层（传输层）上，它将上层协议数据封装成TCP/IP的原始数据流IP数据报（IP Datagram），由于网络环境等情况，TCP/IP协议将该数据报分成更小的数据单元Packet，并传输到网络中。更准确地说，IP数据报是指IP层端到端的传输单元（在分片之前和重新组装之后），数据包是网络层和链路层之间传送的数据单元。数据包既可以是一个完整的IP数据报，也可以是IP数据报的一个分片（fragment）。 　　包检测技术通过对网络中传输的数据包进行抓包检查，分析包头和所负载的数据，从而得出该数据包的一些业务特征和访问情况，达到分析和控制互联网使用情况的目的。包检测技术的发展主要经历了三个阶段：传统包检测阶段、深度包检测阶段和深度流检测技术。 　　2.2 传统包检测技术 　　传统包检测技术主要应用于网络层与传输层的分析，一般是检查网络层的IP头和传输层的TCP头，从中抽取五元组信息。具体的检查项目有： 　　（1）IP源地址和目的地址； 　　（2）协议类型（TCP、UDP、ICMP等传输层或网络层协议）； 　　（3）TCP或UDP的源端口和目的端口。 　　除此之外，还有ICMP消息类型、TCP报头中的ACK位、TCP的序列号、确认号、IP检验和、分割偏移等选项。一些改进型的传统包检测技术还会记录TCP连接对话的序号，确认数据包是否属于同一个TCP对话。 　　传统包检测技术具有实现简单、处理速度快、对应用透明等优点。但是，它只对每个数据包的传输层和网络层进行检查，对数据的检测只限于这两层的信息，并不能完全透视网络的使用情况；同时由于五元组的信息所限，它并不能分辨所有的网络应用。 　　2.3 深度包检测技术 　　深度包检测技术，也称为DPI（Deep Packet Inspection）。相对于传统包检测技术仅分析IP包的层4以下的内容（包括源地址、目的地址、源端口、目的端口及协议类型），深度包检测技术还增加了应用层分析，识别各种应用及其内容，基本概念如图1所示： 　　图1 深度包检测的包含内容 　　随着网上应用类型的越来越多，仅仅通过第四层端口信息已经不能真正判断流量中的应用类型，也不能判断基于随机端口、开放端口甚至采用加密方式进行传输的应用。DPI技术是一种基于应用层的流量检测和控制技术，在对包头进行分析的基础上，增加了对应用层的分析。当TCP、IP数据包或UDP数据流经过基于DPI技术的带宽管理系统时，通过深入读取IP包载荷的内容来重组OSI 7层协议中的应用层信息，进而获取整个应用程序的内容，然后按照系统定义的管理策略对流量进行整型操作。 　　2.4 深度流检测技术 　　深度流检测技术，也称为DFI（Deep Flow Inspection）。与DPI进行应用层的载荷匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在数据流或会话连接上的状态有所不同。以