刘爽 张平

（辽宁邮电规划设计院有限公司 辽宁沈阳 110179）

基于DPI技术业务识别方法的研究

刘爽 张平

（辽宁邮电规划设计院有限公司 辽宁沈阳 110179）

随着计算机网络技术的发展，各种各样的应用层见迭出，给人们的衣食住行带来巨大的变化，但各类问题也纷沓而至，如P2P下载导致网速变慢、网络安全以及网络计费等问题，这些问题都可以用流量监控技术来得到一定地缓解。为了有效监控流量并找出网络瓶颈，有效地识别并分类通过网络的各类流量，对业务识别方法进行相应研究。

流量监控；流量识别；DPI

1 引言

近年来，网络新业务层出不穷，有对等网络、VoIP、流媒体、Web TV、音视频聊天、互动在线游戏和虚拟现实等。尤其是P2P、VoIP、流媒体等新业务的数据流量是相当巨大的，这打破了以往“高带宽、低负载”的IP网络QoS提供模式，在很大程度上加重了网络拥塞[1]，降低了网络性能，劣化了网络服务质量，妨碍了正常的网络业务的开展和关键应用的普及。网络设备缺乏有效的技术监管手段，不能实现对P2P/WEB TV等新兴业务的感知和识别[2]，导致网络运营商对网络的运行情况无法有效管理。因此，如何深度感知互联网/移动互联网业务，提供应用级管控手段，构建“可运营、可管理”的网络，成为运营商关注的焦点。

1.1 深度分组检测－DPI

DPI，Deep Packet Inspection，深度分组检测。是相对普通报文检测而言的一种新的检测技术，即对第七层，也即应用层的内容（净荷）进行深度分析，从而根据应用层的净荷特征识别其应用类型或内容。当IP数据包、TCP或者UDP数据流经过基于DPI技术的网络设备时，DPI引擎通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组，从而识别出IP包的应用层协议。

1.2 传统业务识别与DPI的对比

传统的业务识别方法是通过分析5元组或7元组信息（增加输入输出接口索引信息），无法细分不同的应用类型，尤其是应用类型不依赖于5元组或7元组信息的应用。而DPI技术是通过深入重组、分析第七层分组的净荷内容，匹配业务特征，从而判断业务和应用类型，DPI技术可以细分不同的应用类型。

2 业务识别技术

2.1 净荷特征匹配技术

不同的应用通常会采用不同的协议，而各种协议都有其特殊的特征（除加密应用），这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于净荷特征匹配技术，正是通过识别数据报文中的净荷特征来确定业务流所承载的应用。根据具体检测方式的不同，基于净荷特征匹配技术又可细分为固定（或可变）位置特征匹配、多连接联合匹配和状态特征匹配四种分支技术。通过对特征信息的升级，基于净荷特征匹配技术可以很方便地扩展到对新协议的检测。

多连接联合匹配是一种需要结合该应用中的多个连接联合匹配特征的方法。

2.2 交互式业务识别技术

目前VoIP/FTP/网络游戏等业务普遍采用控制流与业务流分离的方式，通过控制流完成握手，协商出业务流的端口信息然后进行信息流传输，其业务流没有任何特征。因此通过DPI技术首先识别出控制流，并根据控制流协议分析识别出业务流的端口或对端网关地址等信息，然后对业务流进行解析，从而识别出相应的业务流。典型的业务如SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流。也就是说，纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的，只有通过检测SIP或H323的协议交互，才能得到其完整的分析。

2.3 行为模式识别技术

在实施行为模式识别技术之前，运营商必须首先对终端的各种行为进行研究，并在此基础上建立起行为识别模型。基于行为识别模型，行为模式识别技术即可根据用户已经实施的行为，判断用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于那些无法由协议本身就能判定的业务。

2.4 深度流检测技术DFI

深度流检测法根据各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标的不同与DFI检测模型进行匹配，进而从中区分出P2P应用类型。DFI检测存在如下优点：能够发现未知P2P应用，具有对新P2P应用的感知能力。加密协议对检测算法影响较小。避免查看应用层协议内容，检测效率较高。缺点在于检测准确度与DPI相比稍低，有将非P2P应用误判为P2P应用的情况。

2.5 DPI技术的难点

DPI技术发展至今，仍面临一些亟待解决的难点，包括：

（1）业务识别准确性；

（2）误报、漏报率高；

（3）应用特征不够全面，特征仅能覆盖应用的部分流量；

（4）不同的应用协议具有相同或者类似的特征；

（5）特征库的更新。由于业务版本更新频繁，协议识别效率低下，造成特征库更新准确性和实时性无法得到保障，均会带来业务识别的种种问题。

3 结束语

本文从DPI关键技术介绍出发，深入研究了流量监控系统、流量识别技术、技术难点、分析方法。

[1]陈秀真，郑庆华.网络化系统安全态势评估的研究[J].西安交通大学学报，2004，38（4）：353～357.

[2]陆余良，夏 阳.主机安全量化融合模型研究[J].计算机学报，2005，28（5）：914～920.

[3]张永铮，方滨兴，迟悦，云晓春.用于评估网络信息系统的风险传播模型[J].计算机学报，2007，30（2）：234～240.

[4]朱松岭.基于模糊层次分析法的风险量化研究[J].计算机集成制造系统，2004，12（8）：982～984.

TP393

A

1004-7344（2016）17-0277-01

2016-5-20

刘爽（1986-），女，高级设计员，沈阳炮兵学院，学士学位。