李才斌　东华大学在读硕士研究生刘惠明　中讯邮电咨询设计院有限公司高级工程师



IP网络流量监控技术研究及系统整合部署建议

李才斌东华大学在读硕士研究生
刘惠明中讯邮电咨询设计院有限公司高级工程师

对各类IP网络流量及内容监控系统的部署进行了研究，分析了各系统的部署方式、工作原理以及使用场景。结合各类流量监控技术和系统的特点，本文创新性地给出系统集成、系统联动等方面的建议，包括异常流量监测与流量清洗集成、应用监控系统与流量监测系统的集成、应用监控系统与内容监控系统的集成等建议。同时，提出了流量监管体系架构建议，以实现全网流量的统一监控和管理。

流量监测；流量控制；内容监控；流量监管体系

1　引言

互联网技术的飞速发展，互联网安全问题日益突出。IP网络流量及内容监控技术得到政府、各大运营商和安全厂家的普遍重视，成为网络和安全建设中不可缺少的内容。本文在对IP网络流量及内容监控技术进行分析和研究的基础上，对系统的部署方式进行研究，并给出流量监管体系架构建议。

2　IP网络流量及内容监控技术

2.1流量监测技术介绍

（1）xFlow技术

xFlow技术是利用IP包的几个信息段来实现对网络流量流向的分析，这些信息段包括源IP地址、目标IP地址、源通信端口号、目标通信端口号、TOS字节（DSCP）、第三层协议类型等。

该技术主要应用于网络规划和分析、网络监控、计费、用户监控等方面。流检测技术DFI（Deep Flow Inspection）是基于流行为统计的一种流分类和识别技术，通过不同业务流自身的流量和连接规律进行分析，对应用进行识别。

（2）包分析技术

传统的IP包流量识别和QoS控制技术仅分析IP 包4层以下的内容，包分析技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测技术。根据不同的分析方法，包分析识别技术可划分为以下几类：

●协议特征识别技术

协议特征识别技术也称深层包分析技术（DPI）。不同的应用协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。根据具体检测方式的不同，基于特征字的识别技术又可细分为固定特征位置匹配、变动特征位置匹配和状态特征字匹配3种分支技术。通过对指纹信息的升级，基于特征字的识别技术可以方便地扩展到对新协议的检测。

●应用特征监测

综合关联分析信令流与数据流，监测信令流交互协商过程，得到其数据流连接通道相关参数，从而实现对完整业务进行监测的技术。例如，VoIP、流媒体等业务流量，需要通过检测SIP或H232的协议交互，才能得到其完整的分析。

●行为特征检测技术

通过综合分析各种应用的连接数、单IP的连接模式、上下行流量的比例、数据包发送频率等指标，来识别应用的流量监测技术。例如，宽带私接判定、垃圾邮件判定。

（3）SNMP技术

SNMP（Simple Network Management Protocol，简单网络管理协议）是网络中管理设备和被管理设备之间的通信规则，它定义了一系列消息、方法和语法，用于实现管理设备对被管理设备的访问和管理。目前，大多数设备的SNMPAgent支持SNMPv3版本。

SNMP技术仅能对网络设备端口的整体流量进行分析，可以获得设备端口的实时或者历史的流入/流出带宽、丢包、误包等性能指标，但无法分析具体的用户流量和协议组成。可在一定程度上（网络2～4层）实现有限的端到端通信会话数据分析、TopN用户统计等功能。

（4）技术小结

以上的几种技术手段各自的技术特点总结参见表1。

表1　流量监测技术总结

表2　流量控制方式特点总结

2.2流量控制技术分析

流量控制技术手段包括过滤（ACL）、丢弃（黑洞）、清洗（流量清洗）、干扰、限制、阻断等。

（1）ACL技术

ACL使用包过滤技术，在路由器上读取3～4层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

（2）黑洞路由技术

黑洞路由实际是一种特殊的静态路由，顾名思义，就是目的地址为该网段的数据报文到达设备之后，将被丢弃。另外，将报文丢到黑洞的操作不需要CPU进行任何处理，所以处理大量的报文也不会消耗设备的CPU资源，充分利用了路由器的包转发能力，对系统负载影响非常小。

（3）流量清洗技术

流量清洗技术，是利用专业的流量清洗设备，通过对异常流量的引流、过滤，实现对目的IP的保护。是一种基于目标的防护技术。

（4）干扰、限制和阻断技术

干扰、限制和阻断技术，常用于对VoIP和P2P应用的控制。实时分析网络上所有数据流，准确识别各类VoIP和P2P通话，并按需要切断VoIP 和P2P通话或增加干扰噪音。

（5）技术小结

以上的几种技术手段各自的技术特点总结参见表2。

单一的一种控制技术都不能彻底地解决所有的安全问题，需要多种方式相结合。可采用ACL和黑洞对流量的整体规模进行控制，而流量清洗对敏感流量进行保护，对于超过流量清洗系统处理能力的超大突发流量，可采用黑洞路由方式相结合进行流量清洗和疏导。除了上述专用的流量监控和清洗手段之外，还可使用TE路由、QoS、ACL&Car技术等方式减轻网络局部负担过重，降低网络拥塞风险，保障正常业务流量的服务质量。

2.3内容监控技术

内容监控技术，主要针对互联网低俗、反动、诈骗等非法内容进行监测和控制；主要包括内容采集获取技术和内容信息的识别匹配技术。

主流的内容采集获取技术手段有“流量还原”和“网络爬虫”两种主要的技术手段。根据网络中内容形式的不同可以分成文字内容识别、图像内容识别、视频内容识别等关键技术。

3　IP网络流量及内容监控系统部署

常见的IP网络流量及内容监控系统包括流量流向监测系统、异常流量监测系统、应用监控系统、内容监控系统、流量清洗系统等，具体参见表3。

表3　常见IP流量和内容监控系统比较

4　流量监控系统整合部署及流量监管体系架构建议

结合IP网络流量及内容监控技术特点，提出如下系统集成部署方案建议。

（1）异常流量监测与流量清洗集成

异常流量监测系统，对运营商网络中的Flow信息进行分析，发现定位网络中的异常流量攻击，通过与流量清洗系统的集成，实现异常流量自动检测，清洗系统联动，协同保障网络流量安全，有效保证网络中可用性，异常流量监测系统与清洗系统集成关键技术包括异常流量监测、流量引流、流量回注等关键技术。

（2）应用监控系统与流量监测系统的集成

通过应用监控系统与流量监测系统（包括流量流向监测系统和异常流量监测系统）的集成，可以综合包分析技术和xFlow分析技术的特点和优势，在复杂的宽带网络环境下，满足宽带IP网络的整体监测要求。集成示意图参见图1。

通过统一管理平台对流量分析系统、应用监控系统进行统一的策略管理，统一收集挖掘监测系统获取的监测分析数据，并输出用户流量数据报表，并提供设备的统一维护管理等。

（3）应用监控系统与内容监控系统的集成

从系统架构角度分析，应用监控系统、内容监控系统，在底层流量采集、协议内容还原部分，基于相同的技术机制，有必要统一规划建设网络的流量采集平台，实现对网络中关键链路的流量采集，协议分检、承载内容还原，为后继的各类应用监控分析统计系统、内容监控审计系统提供统一的前端采集基础（见图2）。

统一的分流采集平台，主要实现对网络流量的统一采集，根据后继的各类分析需要，按照IP地址的五元组，汇聚还原同一个用户的流量会话，进而还原出用户的传输层协议承载的应用层内容，供后继的各类监控系统进行流量分析，内容审计监控使用。

图1　应用监控系统与FIow监测系统集成示意图

图2　应用监控系统与内容监控系统集成示意图

通过统一建设的分流采集平台，可以统筹考虑关键网络位置的流量获取，并且根据监测需要，进行流量的还原，确保网络的整体结构完整性同时，为实现精细化的流量内容管理提供基础支持。

5　结束语

统一建设，以实现系统的集成和共用，建立全网统一的流量监管体系。

［1］夏俊杰，刘惠明，陈利兵等.中国网通IP网信息安全专项规划.

［2］刘惠明等.2008年北京本地IP网奥运流量清洗工程可行性研究报告.

［3］刘惠明，安超等.2006年北京本地IP网部分节点应用监控系统工程可行性研究报告.

［4］刘惠明，安超等.2006年北京本地IP网流量分析系统工程可行性研究报告.

［5］刘惠明，安超等.2009年北京联通内容信息安全监控综合管理平台建设工程可行性研究报告.

2016-07-20）