郭育辰，李城

（中国人民公安大学，北京 102600）

基于分组检测技术的宽带私接防范系统的设计

郭育辰，李城

（中国人民公安大学，北京 102600）

互联网日渐普及的同时带来了宽带私接、IDC透传等问题，这严重影响了互联网市场的健康稳定发展。本文针对宽带私接对互联网发展的影响，提出一种基于分组检测技术的防范宽带私接的解决方案，从多维度进行分析统计、分权打分并根据分值对疑似私接IP进行汇总排名与审核，有效地识别出宽带私接、IDC透传，为防宽带私接的管控增加新的思路和技术手段。

宽带私接；IDC透传；分组检测

随着互联网产业蓬勃发展，网民渗透率逐年攀升，网络已经成为国民生活与工作的基本工具，与此同时宽带私接(Bandwidth Steal)现象与日俱增。

宽带私接出现的原因是多方面的：对于一级运营商来说网间结算费用高、各省间联动性弱，通过宽带私接降低运营成本；对于二级运营商来说一级运营商提供的带宽价格高，通过IDC服务器透传提升客户附着性，实现利润最大化。但宽带私接现象不利于互联网市场的健康发展，从安全角度来说也增加了宽带用户溯源的管理难度，因此采取及时有效的技术手段防范宽带私接具有深远的意义。

1 宽带私接业务模型

1.1 原始私接光纤方式

通过特殊渠道，BS接入商能够从运营商的IDC牵入一条光纤链路到自己的汇聚点，为自己的小区宽带用户提供互联网接入。因极易被发现，这种方式已基本绝迹。

1.2 VPN+NAT方式

其实现方式为外地异司运营商（如A省电信），在汇聚、打上VPN后，从异地同司运营商（如A省联通）内透传到本地同司运营商（如B省联通），在本地运营商处终结VPN后出公网，绕过了网间结算，逃漏了结算费用。

1.3 VPN+GRE隧道方式

经与运营商相关专家交流，当前主流的宽带私接方式是通过VPN+GRE隧道方式实现，如图1所示。A省移动客户利用托管在联通IDC机房的服务器，通过GRE隧道连接到J省联通IDC机房，在隧道中存在大量其他运营商的IP地址与国内外网络互联。

2 宽带私接防范方法分析

根据VPN+GRE隧道方式的宽带私接模型特点，可从“机房外访流量”、“VPN流量IP归属”、“异常应用”几个层面来分析。

图1 VPN+GRE隧道实现宽带私接

2.1 机房外访流量层面分析

机房外访流量指IDC机房内服务器主动向公网上面网站发起的访问，而非普通的宽带用户访问行为。IDC的某些应用服务器若存在机房外访流量，即与普通的IDC业务特征不一致，需要进一步的分析其是否存在BS行为。在此步骤中可以把流量巨大的、访问量巨大的IP提取出来，作为重点分析对象。

2.2 VPN层面分析

对于IDC机房，进来与出去的流量都是VPN形式，可以探查VPN内层的IP地址归属方信息（私接常为跨省、跨运营商方式实现）。若进来是VPN、出去是非VPN的情况，可以直接探查到VPN接封装之后的VPN归属方（私接常为跨省、跨运营商方式实现）。基于上述情况，可以把进入端口时全部都是VPN流量的IP（全VPN接入）及出端口时只有非VPN出流量的IP（单纯外访）作为重点分析对象。

2.3 异常应用层面分析

宽带私接的主流客户是小区的宽带用户，其上网行为特征比较明显，如网页浏览、IMS互动、电商购物、网络游戏、网络视频等典型网络应用特征。因此，把机房外访流量中带有小区宽带用户通常上网行为特征的IP，作为重点分析对象。

3 宽带私接防范系统的设计

本文提出一种宽带私接防范系统BSD(Bandwidth Steal Detection)，从机房外访流量排名、机房外访Http请求数量排名、VPN疑似流量占比排名、单纯外访流量排名、异常应用统计排名5个维度，先进行各自分析和统计，分别加权打分；然后根据分值，整体对疑似私接IP汇总排名与审核，包括抓分组取证与结果留存等。系统功能如图2所示。

3.1 机房外访流量TOP100排名

IDC服务器主动向机房外部或公网站点发起访问，进行此外访流量的排名与展示，如图3所示。

图2 BSD系统功能示意图

图3 机房外访流量排名

基于对应服务器IP（业务IP），进行外访流量统计与TOP100排名，前30个IP赋值疑似度60%，后70个赋值疑似度40%，如果发现有非本运营商的IP计入，赋值疑似度提升至65%，列出IP具体归属信息。根据IDC系统的分组检测技术的访问日志，基于业务IP提取出机房外访流量的数值，进行排名等处理；同时根据系统本地IP地址归属信息库，进行IP地址归属的判断。因CDN业务与宽带私接业务有相似性，根据系统本地CDN业务IP地址库信息，滤除CDN业务IP。

3.2 机房外访次数TOP100排名

机房外访次数排名如图4所示，基于对应服务器IP（业务IP），进行外访Http请求数量统计与TOP100排名，实现方法同外访流量排名。

图4 机房外访次数排名

3.3 VPN流量占比TOP100排名

IDC服务器含有VPN协议类型的流量数据，基于服务器业务IP考查VPN流量在总流量中的占比。若占比高于96%，且每天总流量值高于20 M，计入VPN疑似流量占比TOP100排名（相同流量占比的IP，要按照每天VPN总流量大小来排名）。计算公式如下：

VPN占比=VPN总流量/(进总流量+出总流量)

计入本维度的IP，赋值疑似度65%；如果发现有非本运营商的IP计入，赋值疑似度直接提升至70%。因VPN涉及到内外层IP地址，需按照内层IP地址进行其他运营商IP归属判断，按照外层IP进行本运营商合法IP的判断。VPN流量占比功能如图5所示。

图5 VPN流量占比排名

根据IDC系统的分组检测技术，得到IP流量统计日志，并基于IDC业务IP进行VPN流量值的获取和排名。

3.4 单纯外访流量TOP100排名

对于IDC服务器某业务IP，若只有此IP单纯向机房外部网络站点发起访问的上下行流量，而上网用户向此IP发起的访问总流量为0，对此类IP进行外访流量的TOP100排名展示。前30个IP赋值疑似度60%，后70个赋值疑似度40%，如果发现有非本运营商的IP计入，赋值疑似度直接提升至65%，列出IP具体归属信息。单纯外访流量排名如图6所示。

3.5 异常应用数量TOP100排名

对于IDC服务器某业务IP，识别分析其流量中的QQ账号、邮件账号、UA数量等，找出“一个IP承载多个应用账号标识”的IP信息，按照应用标识数量（QQ账号数量结合UA数量）进行TOP100排名展示。计入的IP赋疑似度60%，如果发现有非本运营商的IP计入则疑似度直接提升至65%。如图7所示。

按照QQ号数量进行排名，不足100的按照UA数量进行排名补齐。根据IDC系统的分组检测技术上报的一拖N日志，基于IDC的业务IP进行QQ号数量、UA数量的统计和排名操作。

3.6 汇总审核疑似IP

(1) 疑似私接IP TOP汇总。根据前述的5个分析维度，IP疑似度在60%及以上者均准备进入疑似IP汇总表，按疑似度进行TOP排名。若有IP在几个维度之间交叉出现的，每交叉出现一次，取疑似度高的疑似度值，且增加5%累计疑似度入汇总表。支持全部或部分疑似汇总IP值的批量导出。

(2) BS逆向分析。根据客户预先给出的疑似IP段信息，从BSD系统中针对性进行BS信息的提取和记录，形成疑似证据。

图6 单纯外访流量排名

图7 异常应用数量排名

3.7 配套功能

(1) 本地IP归属信息判定。由 “纯真”站点获取相应IP地址库信息，调整后导入BSD系统，形成本地IP归属库，用于IDC业务IP归属判据。

(2) CDN业务IP判定。采用IDC系统的分组检测技术作为分析工具，将URL中带有“CDN”字样的业务IP全部标记出来，累计形成BSD系统本地CDN业务IP地址库，用于IDC业务IP是否为CDN业务IP的判据。

(3) 应用协议分析。采用App Tag互联网应用分析工具，对宽带用户常用的6 800多种应用协议进行还原及判定；以IDC系统分组检测技术作为分析工具，参照用户Http访问报文中的UA信息，对常见的固网、移动网软件操作系统、硬件终端类型等进行抓取识别，并利用新版QQ协议特征库，对QQ进行应用协议的还原识别。

4 结束语

随着宽带私接现象泛滥，持续导致互联网产业不健康发展。本文作者通过实践，在宽带私接业务模型的基础上提出一种分组检测技术的分析方法，从多维度有效地识别宽带私接流量，增加了防宽带私接的技术手段。

[1] 张琦, 黄宙, 宫忱. 利用DNS日志数据识别宽带私接的技术探讨[J]. 电信网技术, 2016(6):73-77.

[2] 李馥娟. 以太网透传技术及应用研究[J]. 网络新媒体技术,2009, 30(7):8-13.

[3] 胡泊. 网络宽带接入技术的研究及应用[J]. 科学家, 2016(14).

[4] 何伟. 联通校园宽带用户防私接试验方案[J]. 通讯世界,2015(5):76-77.

[5] 蒋建峰. GRE与IPSec VPN工程应用研究[J]. 价值工程,2013(15):197-198.

AbstractThe growing popularity of the Internet brought the broadband steal, IDC transmission and other issues,which affected the healthy and stable development of the Internet market so it was not conducive to safety control. According to the adverse effects of private broadband access to the Internet, the paper put forward a solution of prevention of bandwidth steal based on the deep packet inspection technology.A solution based on deep packet inspection was proposed to prevent bandwidth steal. It could analyze,assign weights from multiple dimensions and summarize, rank and audit possible private IP based on scores. So the solution can effectively identify bandwidth steal and IDC transmission phenomena, which adds new ideas and technical means for the control of bandwidth steal.

Keywordsbroadband steal; IDC penetrate; DPI

Design of preventing broadband steal system based on deep packet inspection

GUO Yu-chen, LI Cheng
(People’s Public Security University of China, Beijing 102600, China)

TN911

A

1008-5599（2017）10-0079-04

2017-05-25