一种网间异常流量诊断处置方案
2018-08-17廖艳娟黄卓华王立军
廖艳娟,黄卓华,王立军
(1 中国移动通信集团设计院有限公司广东分公司,广州 510623; 2 中国移动铁通有限公司广东分公司,广州 510080)
近年来,网络信息技术日新月异,云计算、大数据等应用蓬勃发展,中国互联网网络接入服务市场迎来了巨大的发展机遇,但无序发展的苗头也随之显现。为进一步规范市场秩序,强化网络信息安全管理,工业和信息化部在2017年初发布了信管函[2017]32号文,在全国范围内对互联网网络接入服务市场开展清理规范工作。
IDC业务的发展不仅是中国移动一个新的收入增长点,同时能够引入丰富的内容资源。使得用户在发起内容访问时不用出网就可直接从IDC处获得,用户的访问速度大大提升、用户体验有效提升,并减少了互联互通流量,降低网间结算成本。因而 IDC业务作为重要业务,网间流量主要是从CMNet骨干网间出口疏通。而近两年来中国移动多个省公司都发现,部分IDC客户存在利用从移动低价租用的大带宽用以发展第三方家宽、违规转租带宽等违规行为或者存在内容资源调度策略不合理的行为。从而造成大量网间流量从CMNet骨干网出口疏通,致使出口流量拥堵、质量不佳等问题。而本文中网间异常流量指的就是上述行为所导致的网间大流量。
移动某省公司IDC出口均已部署DPI设备,达到全覆盖监控。IDC出口的流量已被全部采集,目前缺少的是准确有效的方案精确区分网间异常流量和精准定位网间异常流量产生的原因。本文提出了一种基于DPI技术的IDC业务网间异常流量的诊断处置方案。单IP地址的流量行为特征分析技术手段,能够以单个IP地址为粒度精确区分流量的业务类型。针对不同业务类型和应用场景确定了多种处置方案。
1 诊断处置方案
1.1 技术手段:单IP地址流量行为特征分析
1.1.1 DPI分析IDC客户的请求响应流量
图1 中国移动统一DPI应用场景
中国移动统一DPI设备按照部署位置的不同,可以分为5个应用场景,如图1所示。本文适用的是IDC出口的场景,指IDC连接省网/骨干网的出口,即IDC出口路由器与外部承载网络之间的链路。移动某省公司IDC出口现网部署1×100 GE DPI设备、4×10 GE DPI设备上百台,DPI采集服务器上百台,其它服务器近两百台,包括后台服务器、WLAN服务器等,具有较强的DPI流量分析能力。
资源提供型业务指的是向公众用户提供网络内容服务的业务,例如网站。IDC业务属于资源提供型业务,请求响应流量中不应该存在非资源提供型业务的业务特征,如视频观看、移动终端即时通信等。通过DPI技术分析IDC客户的请求响应流量是否具有非资源提供型特征能够判断IDC客户是否存在发展第三方家宽或者违规转租带宽等违规行为。这里的请求响应流量,指的是IDC客户向外发出请求以及外部响应IDC请求所产生的流量,即图2中红色线所代表的流量。
1.1.2 IDC网间异常流量模型关
键指标体系(如表1所示)
本文提出了一个关键指标体系,包括移动终端请求占比、视频行为次数、移动终端即时通信次数3个指标。通过判断这些指标是否超过阈值来确定请求响应流量中是否存在相应的行为特征。指标的统计均是基于DPI技术,通过XDR日志和特征库匹配,匹配后数据再进行汇聚处理,根据记录数统计各个指标。考虑到DPI分析可能存在的误差以及视频测试行为等情况,通过对6个IDC客户样本的学习确定了每个关键指标的阈值。
1.1.3 IDC网间异常流量模型(如表2所示)
图2 DPI采集IDC客户流量示意图
表1 IDC网间异常流量模型关键指标
表2 IDC网间异常流量模型
视频观看行为、移动终端即时通信行为属于非资源提供型业务的行为特征,同时考虑到可能存在的CDN代理行为特征,对于单个IP地址通过关联3个关键指标建立IDC网间异常流量模型。IP地址行为特征可定性为非资源提供型特征、CDN代理行为特征和资源提供型特征。
1.2 诊断处置方法及流程:三步诊断法
因为存在网间异常流量行为的IDC客户只占少数,同时考虑到IDC客户全量IP地址全量话单的分析需要消耗大量的计算资源,因此有必要建立一套准确有效的诊断方法及工作流程,避免资源的浪费。用一种更为简单有效的方法先对IDC客户进行初诊,初诊为疑似含有异常流量的客户再做进一步的IP地址行为特征分析。
1.2.1 核心指标:网间回源吐出比
一般来说IDC客户的网间回源流量是十分有限的。但是如果IDC客户存在违规转租带宽或者是调度策略不合理等行为,都会使得CMNet骨干出口网间回源流量明显增加。综合考虑IDC客户的吐出流量,本文提出了网间回源吐出比指标,用于初步评价IDC客户网间回源流量的合理性,同时也是判断资源提供型业务是否存在调度策略不合理问题的评判标准。IDC客户CMNet骨干网网间流量流向示意如图3所示。
(1) 指标定义:CMNet骨干网出口网间回源流量与吐出流量的比值。一般情况下网间回源流量远大于网间请求流量,所以计算时将电信或联通等互联单位流向移动网络的流量均视为网间回源流量;吐出流量指的是IDC客户的上行流量。
(2) 指标算法:网间回源吐出比=CMNet骨干出口网间回源流量/吐出流量×100%,即图3中流量2除以流量1′。
图3 IDC客户CMNet骨干网网间流量流向示意图
(3) 指标阈值:1.5%。通过对TOP20网站的研究分析确定阈值,超出阈值则判定IDC客户可能含有网间异常流量。
1.2.2 IDC客户网间异常流量诊断处置流程:三步诊断法
如图4所示,提出“三步诊断法”:客户网间流量初诊、IP地址行为特征透视、资源提供型业务网间流量复诊,并针对诊断出的不同类型的网间异常流量采取不同的处置方案。
(1)IDC客户网间流量初诊。监测IDC客户一周,计算网间回源吐出比。如果网间回源吐出比超1.5%,则说明客户流量疑似含有网间异常流量,不超1.5%则暂定客户流量不含网间异常流量。对于疑似网间异常流量的客户需对其IP地址的流量行为特征进一步分析。
(2)IP地址流量行为特征透视。对于第1步初诊确定的疑似含有网间异常流量的IDC客户,利用DPI以IP地址为粒度分析请求响应流量的行为特征,区分其是资源提供型业务还是非资源提供型业务。对于非资源提供型业务,将IP地址段将疏通至专设出口(处置方案1)。对于资源提供型业务需对其网间流量进行复诊。
(3)资源提供型业务网间流量复诊。对于第2步确定的资源提供型业务,计算其网间回源吐出比。若网间回源吐出比大于1.5%,判定为含有网间异常流量;若不超过1.5%则认为无网间异常流量。对于含异常流量的IP地址段,结合第2步的行为特征分析,判断是否为代理行为资源提供型业务。若为代理行为资源提供型业务,则将回源IP地址段疏通至普通出口(处置方案6);若不是代理行为资源提供型业务,则根据具体情况从处置方案2~5中选取一种或者组合多种处置方案进行处理。
1.2.3 多场景处置方案集
图4 IDC客户网间异常流量诊断流程
表3 IDC网间异常流量处置方案集
本文总共规定了6种处置方案,如表3所示。对于本就不应该存在IDC业务中非资源提供型业务,将其所有IP地址段疏通至专设出口。专设出口不新建不扩容,不保证网间业务质量。网间出口质量:CMNet骨干出口>普通出口>专设出口。资源提供型业务能够为移动公众客户提供内容资源,减少CMNet骨干出口网间流量,因此采取“一事一议” 的原则,根据具体情况确定处置方案,尽量避免客户撤出最终导致更大的网间回源流量。
2 方案实际应用效果
2.1 总体效果
2017年1~4月采用DPI系统按周依次轮流监测IDC客户,已处置9家IDC客户的网间异常流量,合计43.75 G。与2016年12月底相比,IDC业务网间异常流量清理取得显著效果。与2016年12月底相比,CMNet骨干出口IDC业务回源忙时平均流量下降了71.42%;虽IDC客户整体IDC吐出流量上涨89%,而网间回源吐出比由1.75%下降至0.13%;优质出口虽然带宽有所下降,但是质量却明显提高,分组丢失率下降75%,时延缩短49%。
2.2 客户案例
2.2.1 案例1:IDC接入商混有非资源提供型业务
IDC接入商从移动获取带宽和IP地址等资源后,发展下游客户。由于其对下游客户把控不严,下游客户除了正常的资源提供型业务外,还可能混有非资源提供型业务,其自身也没有手段区分这些异常流量出来。
案例说明:某公司是IDC接入商,其租用移动200 G IDC带宽,引入芒果TV,东方财富网等内容资源。
诊断情况:周监测网间回源吐出比为17%;IP地市行为特征分析发现14个IP属于非资源提供型行为,资源提供型业务的回源吐出比为8.6%。
处置情况:将其非资源提供型地址段疏通至专设出口;再由该公司提供承诺函,对资源提供型业务整改,将回源吐出比降至1.5%以下。
2.2.2 案例2:资源提供型业务内容资源调度策略不合理
CP内容资源调度问题,同样会导致直接通过集团出口从电信和联通的源站回源,而不是从具有三线功能的第三方IDC站点回源。
案例说明:某公司租用移动IDC带宽2G,引入美图网等内容资源。
诊断情况:周监测网间回源吐出比为35%;IP地址行为特征分析发现其全部为资源提供型业务,入境流量基本都来自于美图网。原因是客户回源控制技术出现问题,导致从他网节点进行回源,而不是从网内的其它节点回源。
处置情况:通知客户在规定时间内调整回源策略;次周客户进行调整后网间回源吐出比降至0.08%。
3 总结
本文提出基于DPI的核心技术手段——IP地址流量行为特征分析技术,能够对每个IP地址提供的业务类型进行准确定性。通过三步诊断法,准确有效地诊断异常流量的原因,精确区分出不同业务类型的网间异常流量,采取多场景的处置方案。从而能够有效地降低网间出口流量、提升CMNet骨干出口质量、封堵风险漏洞。