一种网间异常流量诊断处置方案

2018-08-17廖艳娟黄卓华王立军

电信工程技术与标准化 2018年8期

廖艳娟，黄卓华，王立军

(1 中国移动通信集团设计院有限公司广东分公司，广州 510623; 2 中国移动铁通有限公司广东分公司，广州 510080）

近年来，网络信息技术日新月异，云计算、大数据等应用蓬勃发展，中国互联网网络接入服务市场迎来了巨大的发展机遇，但无序发展的苗头也随之显现。为进一步规范市场秩序，强化网络信息安全管理，工业和信息化部在2017年初发布了信管函[2017]32号文，在全国范围内对互联网网络接入服务市场开展清理规范工作。

IDC业务的发展不仅是中国移动一个新的收入增长点，同时能够引入丰富的内容资源。使得用户在发起内容访问时不用出网就可直接从IDC处获得，用户的访问速度大大提升、用户体验有效提升，并减少了互联互通流量，降低网间结算成本。因而 IDC业务作为重要业务，网间流量主要是从CMNet骨干网间出口疏通。而近两年来中国移动多个省公司都发现，部分IDC客户存在利用从移动低价租用的大带宽用以发展第三方家宽、违规转租带宽等违规行为或者存在内容资源调度策略不合理的行为。从而造成大量网间流量从CMNet骨干网出口疏通，致使出口流量拥堵、质量不佳等问题。而本文中网间异常流量指的就是上述行为所导致的网间大流量。

移动某省公司IDC出口均已部署DPI设备，达到全覆盖监控。IDC出口的流量已被全部采集，目前缺少的是准确有效的方案精确区分网间异常流量和精准定位网间异常流量产生的原因。本文提出了一种基于DPI技术的IDC业务网间异常流量的诊断处置方案。单IP地址的流量行为特征分析技术手段，能够以单个IP地址为粒度精确区分流量的业务类型。针对不同业务类型和应用场景确定了多种处置方案。

1 诊断处置方案

1.1 技术手段：单IP地址流量行为特征分析

1.1.1 DPI分析IDC客户的请求响应流量

图1 中国移动统一DPI应用场景

中国移动统一DPI设备按照部署位置的不同，可以分为5个应用场景，如图1所示。本文适用的是IDC出口的场景，指IDC连接省网/骨干网的出口，即IDC出口路由器与外部承载网络之间的链路。移动某省公司IDC出口现网部署1×100 GE DPI设备、4×10 GE DPI设备上百台，DPI采集服务器上百台，其它服务器近两百台，包括后台服务器、WLAN服务器等，具有较强的DPI流量分析能力。

资源提供型业务指的是向公众用户提供网络内容服务的业务，例如网站。IDC业务属于资源提供型业务，请求响应流量中不应该存在非资源提供型业务的业务特征，如视频观看、移动终端即时通信等。通过DPI技术分析IDC客户的请求响应流量是否具有非资源提供型特征能够判断IDC客户是否存在发展第三方家宽或者违规转租带宽等违规行为。这里的请求响应流量，指的是IDC客户向外发出请求以及外部响应IDC请求所产生的流量，即图2中红色线所代表的流量。

1.1.2 IDC网间异常流量模型关

键指标体系(如表1所示）

本文提出了一个关键指标体系，包括移动终端请求占比、视频行为次数、移动终端即时通信次数3个指标。通过判断这些指标是否超过阈值来确定请求响应流量中是否存在相应的行为特征。指标的统计均是基于DPI技术，通过XDR日志和特征库匹配，匹配后数据再进行汇聚处理，根据记录数统计各个指标。考虑到DPI分析可能存在的误差以及视频测试行为等情况，通过对6个IDC客户样本的学习确定了每个关键指标的阈值。

1.1.3 IDC网间异常流量模型（如表2所示）

图2 DPI采集IDC客户流量示意图

表1 IDC网间异常流量模型关键指标

表2 IDC网间异常流量模型

视频观看行为、移动终端即时通信行为属于非资源提供型业务的行为特征，同时考虑到可能存在的CDN代理行为特征，对于单个IP地址通过关联3个关键指标建立IDC网间异常流量模型。IP地址行为特征可定性为非资源提供型特征、CDN代理行为特征和资源提供型特征。

1.2 诊断处置方法及流程：三步诊断法

因为存在网间异常流量行为的IDC客户只占少数，同时考虑到IDC客户全量IP地址全量话单的分析需要消耗大量的计算资源，因此有必要建立一套准确有效的诊断方法及工作流程，避免资源的浪费。用一种更为简单有效的方法先对IDC客户进行初诊，初诊为疑似含有异常流量的客户再做进一步的IP地址行为特征分析。

1.2.1 核心指标：网间回源吐出比

一般来说IDC客户的网间回源流量是十分有限的。但是如果IDC客户存在违规转租带宽或者是调度策略不合理等行为，都会使得CMNet骨干出口网间回源流量明显增加。综合考虑IDC客户的吐出流量，本文提出了网间回源吐出比指标，用于初步评价IDC客户网间回源流量的合理性，同时也是判断资源提供型业务是否存在调度策略不合理问题的评判标准。IDC客户CMNet骨干网网间流量流向示意如图3所示。

（1）指标定义：CMNet骨干网出口网间回源流量与吐出流量的比值。一般情况下网间回源流量远大于网间请求流量，所以计算时将电信或联通等互联单位流向移动网络的流量均视为网间回源流量；吐出流量指的是IDC客户的上行流量。

（2）指标算法：网间回源吐出比=CMNet骨干出口网间回源流量/吐出流量×100%，即图3中流量2除以流量1′。

图3 IDC客户CMNet骨干网网间流量流向示意图

（3）指标阈值：1.5%。通过对TOP20网站的研究分析确定阈值，超出阈值则判定IDC客户可能含有网间异常流量。

1.2.2 IDC客户网间异常流量诊断处置流程：三步诊断法

如图4所示，提出“三步诊断法”：客户网间流量初诊、IP地址行为特征透视、资源提供型业务网间流量复诊，并针对诊断出的不同类型的网间异常流量采取不同的处置方案。

（1）IDC客户网间流量初诊。监测IDC客户一周，计算网间回源吐出比。如果网间回源吐出比超1.5%，则说明客户流量疑似含有网间异常流量，不超1.5%则暂定客户流量不含网间异常流量。对于疑似网间异常流量的客户需对其IP地址的流量行为特征进一步分析。

（2）IP地址流量行为特征透视。对于第1步初诊确定的疑似含有网间异常流量的IDC客户，利用DPI以IP地址为粒度分析请求响应流量的行为特征，区分其是资源提供型业务还是非资源提供型业务。对于非资源提供型业务，将IP地址段将疏通至专设出口（处置方案1）。对于资源提供型业务需对其网间流量进行复诊。

（3）资源提供型业务网间流量复诊。对于第2步确定的资源提供型业务，计算其网间回源吐出比。若网间回源吐出比大于1.5%，判定为含有网间异常流量；若不超过1.5%则认为无网间异常流量。对于含异常流量的IP地址段，结合第2步的行为特征分析，判断是否为代理行为资源提供型业务。若为代理行为资源提供型业务，则将回源IP地址段疏通至普通出口（处置方案6）；若不是代理行为资源提供型业务，则根据具体情况从处置方案2～5中选取一种或者组合多种处置方案进行处理。

1.2.3 多场景处置方案集

图4 IDC客户网间异常流量诊断流程

表3 IDC网间异常流量处置方案集

本文总共规定了6种处置方案，如表3所示。对于本就不应该存在IDC业务中非资源提供型业务，将其所有IP地址段疏通至专设出口。专设出口不新建不扩容，不保证网间业务质量。网间出口质量：CMNet骨干出口＞普通出口＞专设出口。资源提供型业务能够为移动公众客户提供内容资源，减少CMNet骨干出口网间流量，因此采取“一事一议” 的原则，根据具体情况确定处置方案，尽量避免客户撤出最终导致更大的网间回源流量。

2 方案实际应用效果

2.1 总体效果

2017年1～4月采用DPI系统按周依次轮流监测IDC客户，已处置9家IDC客户的网间异常流量，合计43.75 G。与2016年12月底相比，IDC业务网间异常流量清理取得显著效果。与2016年12月底相比，CMNet骨干出口IDC业务回源忙时平均流量下降了71.42%；虽IDC客户整体IDC吐出流量上涨89%，而网间回源吐出比由1.75%下降至0.13%；优质出口虽然带宽有所下降，但是质量却明显提高，分组丢失率下降75%，时延缩短49%。