林 波

（济南市联通公司，250002）

宽带用户行为分析与探究

林 波

（济南市联通公司，250002）

宽带网络发展到一定的阶段，宽带用户的行为将对网络产生一定的影响，为保障网络健康高效的发展，我们不仅要关心网络运行质量，还要关心用户行为，关注网络流量。本文从用户接入控制，非法接入监控，VOIP监控，P2P监控四个方面进行阐述。

宽带用户行为；接入控制；VOIP；P2P

宽带网的快速发展为国家经济的繁荣起到了很好的促进和支撑。作为基础通信网的组成部分，宽带网和电话网，传输网有很多相同之处，但它的开放性，灵活性，高带宽等特点也决定了它的与众不同的特性。对于运营商来讲，我们只要保障电话网，传输网的通信质量即可，不必关心通信的内容，然而对于宽带网，我们不仅要保障通信质量，还要关心通信内容。宽带通信内容或“宽带用户行为”会对网络的运营产生一定的影响。例如：互联网内病毒和网络攻击现象，对网络和用户设备产生的安全威胁；用户接入侧的私接和共享，使运营商利益受损；非法运营的VOIP违反国家的规定；P2P流量的无控制增长，导致骨干网中继拥塞，网络的互连互通以及重点业务的质量下降。上述现象对宽带网络健康，高效的发展起到了很大的制约作用，因此必须采取相应的措施。下面从四个方面进行分析：

1 用户接入控制

宽带网目前已形成了包月收费的模式，虽然通信运营商曾投入很大的成本推行宽带计时产品，但受用户使用习惯，产品性价比，宽带网本身特点等因素的影响，绝大多数用户仍会选择包月产品。包月的便捷带来一系列问题:帐号漫游，帐号并发使用，用户长期在线导致骨干网流量拥塞等。

作为基础运营商，我们采取了相应的措施解决这些问题：针对帐号漫游问题，我们采取将用户帐号在认证服务器上绑定VLAN ID的方式，受VLAN ID 4096数量的限制，绑定范围限制在一个小区，如需精确绑定，需将网络改造为QINQ模式，即在网络上将用户的以太网数据帧打上双层标签，但这种方式网络改造和维护成本较高。为解决单帐号并发拨号的问题，采取在认证计费服务器上帐号并发数限制LOGIN MANAGER功能，将任一帐号的第二次上网请求予以拒绝。

宽带产品的多样性，通常依赖于带宽的差异性，因此对宽带速率的控制，是通信运营商需要解决的一个重要问题。为此我们使用了新型的宽带接入服务器，将宽带速率的控制点上移，由宽带接入服务器控制，首先在认证服务器中定义每个帐号的带宽属性，其次在宽带接入服务器上启用带宽控制功能,最后是统一DSLAM端口速率，由RADIUS服务器向宽带接入服务器下发该帐号的带宽属性，宽带接入服务器根据该属性通过ASIC芯片控制用户带宽。通过这种方法可以简单高效的实现宽带产品多样性的问题。

2 非法接入的监控

方法一 ID（identification）轨迹检测法：

对来自某个源IP地址的TCP连接中，IP头中的16位标识（identification），对于某个windows用户，其identification随着用户发送的IP包的数量增加而逐步增加，如果在一段时间后，发现某个源IP地址，有三段identification在连续变化，则说明该“非法接入用户”此时最少有三个用户在同时使用宽带。

方法二 时钟偏移检测法：

不同的主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系；不同的主机发送报文的频率因此与时钟存在一定统计对应关系，通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同的主机。

方法三 应用特征检测法：

数据报文中的HTTP报头中的User－agent字段因操作系统版本、IE版本和补丁的不同而不同。因此通过分析不同的HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号，据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息，也可以据此计算主机数。

通过以上方法就能准确的确定非法接入的宽带用户的主机数，无论其采用共用NAT、共用Proxy、或分时段共用帐号上网，该非法接入监控系统，都能得到IP地址与所携带用户数的准确对应关系，借助于Radius认证报文，再将它转换为用户帐号与所携带用户数的对应关系。

下图表明宽带用户行为分析系统在网络中的位置：

图1 在网络中部署宽带用户行为分析系统

系统在宽带网络出口处对10G/100G POS端口分光，通过协议转换器转换为千兆端口，通过后台的预处理服务器，数据库服务器，RADIUS处理服务器，进行分析处理，并通过干扰链路进行用户行为的控制。

3 非法VOIP监控

由于IP网络的灵活性、开放性，VoIP所带来的巨大利润空间以及国家监管力度的问题，某些不法人员正开展地下IP电话经营。VOIP语音网关一般设置于PSTN 和IP网络之间，它对来自PSTN的时分话音进行分组和压缩，并将分组转化为IP数据包传送到IP网络， 再通过路由器到达目的地及逆处理过程； 网络电话终端则直接挂在IP网络上即可处理话音业务。国外PSTN中继线可以很廉价获得；国内其他竞争电信运营商，以低价将PSTN中继线出租给虚拟运营商；

目前非法VOIP检测解决方案主要分为两种：检测信令流，检测媒体流。由于非法VOIP的运营通常是网关与VOIP终端由单一厂家制造，使得非法VOIP运营商可以很容易的对信令流进行修改，使用非标准协议开展VOIP业务，而对于媒体流，目前基本使用RTP,RTCP等标准媒体流协议，所以基于媒体流检测可以大大提高系统检测准确性。同时提供多种干扰控制功能，可以根据需要选择是否对用户进行控制以及对非法运营业务进行干扰。

目前VOIP采用的主流信令协议包括：H.323, SIP，MGCP等，但实际部署的VOIP系统大多数采用私有的呼叫控制协议，或者经过修改的标准协议，这样导致信令流检测系统需要频繁升级，更新协议栈，并且对经过加密的信令流以及非RTP流对应的信令协议无法实现有效的检测。例如：非法VoIP运营商采用“私有隧道”来透传H.323话音，并采用非标的网络端口，监测方法如下：

1）跟踪所有的TCP/UDP流，并从流建立开始监测一段时间或监测一定量的数据报文；

2）监测时，对每个UDP数据包或者TCP 包中的数据段，逐个byte偏移后，尝试用各种VoIP协议去解码；

3）若具有VoIP特征，将这路可疑的TCP/UDP 流送往后路精确分析，得到其网关IP地址、主被叫号码等详细数据；

4）放弃对没有VoIP特征的TCP/UDP流进行跟踪，减轻系统负担；

针对VOIP的限制技术主要有两类：一类是丢包限制的方式，通过在截断模式下丢弃VOIP交互数据包，来达到限制VOIP发展的目的;另一种是不丢包限制的方式,通过在监听模式下发送伪装的干扰数据报来干容正常的VOIP服务，从而达到限制其发展的目的。

4 P2P流量的监控

P2P技术的广泛使用，使整个网络的带宽，尤其是骨干网带宽，消耗殆尽，其他用户的上网速度会因此变得异常缓慢。如何有效控制P2P软件导致的流量无限制增长，成为我们必须研究的问题。因为P2P应用层出不穷，而对P2P包的识别是基于应用层的，没有固定的规律，只能通过不断升级内核，采用类似升级病毒库的方式来升级P2P的描述库，来控制影响流量的P2P应用。

对P2P的控制有一定的难度，通常的P2P监控系统工作一段时间后，控制能力下降。因为BT目前具有智能抵御运营商P2P监控系统的能力：即较长时间无法下载的情况下，BT会自动启用加密传输机制而越过运营商的P2P监控系统。所以检验P2P控制的有效性，需要测试P2P系统能长时间压制BT的能力，测试时间不短于20分种：即将BT的流量限制到0，如果BT客户端在20分钟内还能有效地将文件下载，则说明此P2P监控系统无法有效压制P2P流量。

另外一个问题就是，P2P监控系统误动作：正常的下载如使用HTTP、FTP协议等协议下载，不应受P2P监控系统的误伤。例如使用“迅雷”软件下载，它会同时使用P2P协议、HTTP协议、FTP协议等，其中的HTTP、FTP下载，跟常用的FLASHGET、网络蚂蚁、HTTP下载、FTP下载完全一样，因此完善的P2P监控系统不应误伤HTTP,FTP等正常应用。

监控系统要能检测常见的P2P协议，包括已知的各版本BT、EMULE/EDUNKEY、迅雷、PPLIVE、QQLIVE，并能按照P2P的协议、源地址、目的地址等参数，统计分析流量占用情况。系统可以对所监测发现的P2P流量进行控制，流量控制的上、下限可以由管理员设定，控制精度小于1Mbps，能实现对指定源、目的IP地址段的控制。可根据时间段采用不同的控制策略，实现分时控制。

对于非法接入,非法VOIP，P2P控制，可以通过统一的平台实现。该平台可通过串联或并联的方式在城域网出口处部署，但考虑到网络的安全性，并联方式可靠性更高，即采用出口中继分光的方式，对流量进行分析，根据控制策略，通过干扰链路进行流量的控制，如图一所示。同时系统需要具有模块化的设计结构，便于后期的系统升级和新功能的增加。

综上所述，宽带互联网的开放性和灵活性在丰富人们生活内容的同时，也对网络的健康，高效发展起到了一定的制约作用，运营商和监管部门有必要采取相应的措施，分析网络流量和用户行为，引导网络向更快更好的方向发展。

[1] (美) Nader F.Mir，潘淑文 等译，计算机与通信网络，中国电力出版社，2010.01

[2] 中国联合网络通信有限公司《中国联通北方本地网发展指导意见》2012.03

Analysis and research of broadband user behavior

Lin Bo
(China United Telecommunications Co. Ltd Jinan Branch，250002)

As the development of the broadband network reaches a certain level,users’ behavior will put more impact to the network.To ensure a healthy and high efficient performance of the network,we need to pay attention not only the quality of the operation,but also the users’ behavior and the network’s traffic flow.This article elaborates these aspects by analyzing user access control,illegal access control,VOIP control, and P2P control.

Broadband user behavior;access control;VOIP;P2

有关电子媒体的相关示意图