原创力文档* * * * * * * * 总体技术框架 总体技术框架分为如下几个层面:数据采集层面、协议分析层面、业务识别层面、业务识别应用层面、表现层面。 数据采集层面提供不同链路的数据采集或复制技术,如100/1000M以太链路、ATM、SDH不同速率的链路,以保障数据完整、准确、可靠地传送至上一层面。 * * 总体技术框架 协议分析层面提供对于TCP/IP或者非TCP/UDP协议(因目前也有部分P2P数据流为非TCP/UDP传送)的协议解析。目的是为了向上层提供足够的分组头部和净荷信息,以满足上一层面业务识别层面对业务的识别和感知。该层面的协议分析深度应当分析至TCP/IP协议栈的第四层,即传输层。其向上层提供的接口为流(flow)。流应当由一个五元组来确定。即flow =(源IP,目的IP,源端口,目的端口,协议类型)。此处的协议类型指代TCP或者UDP。该流中还需要存放部分净荷,捕获的净荷大小可配置。 * * 深度包识别的基本方法 业务识别层面是整个架构的核心层面,主要提供业务的感知、流量识别功能,该层面通过不同的业务识别引擎将分组分门别类的识别出来,这些识别引擎也代表了目前主流的业务识别机制,包括:端口匹配识别引擎、净荷特征识别引擎、流量特性识别引擎、连接模式识别引擎、拓扑特性识别引擎、协议分析识别引擎等。该层面向应用层面提供的接口应当是五元组+业务类型,即(源IP,目的IP,源端口,目的端口,传输层协议类型,业务类型)。该层面以流为识别单元,同时提供流的定时机制,即指定流的存活时间,如64s,如在64s内该流中未注入新的分组,即认为该流已超时过期。 * * 端口匹配识别引擎。 首先开启端口匹配识别引擎,由该引擎完成固定端口的业务类型识别。下表为常用端口映射表。通过取出流中的源端口或者目的端口,然后查找该映射表,如存在,则识别成功,如不存在,则交由净荷特征识别引擎处理。 * * 表 常用端口映射表 * * 净荷特征识别引擎。 如通过静态的端口映射表无法识别,则表明这些流量是非标准协议或者动态端口的。因此需要采用流量特性来识别这些业务或应用。有论文中提到可以采用特征串来匹配净荷的方式。 * * 表 P2P流量特征比特串 P2P协议名称 净荷比特字符串 eDonkey2000 0xe319010000 Fasttract “Get /.hash” BitTorrent “0x13Bit” Ares “GET hash:” …… …… * * 应用协议分析引擎。 对于非标准协议的应用,但协议又是公开的,比如eMule等应用,可以通过应用协议分析引擎对此类业务进行识别。 * * 连接模式识别引擎 不同的业务其建立连接的方式都有相应特征。 * * 流量特性识别引擎 可以利用诸如(TCP/UDP)IP PAIR方法或者(IP,port)pair法,可分析出不同业务流的流量特性。 * * 拓扑特性识别引擎 不同的业务其拓扑也有相应特征,比如P2P网络的拓扑就有一定的特征。 * * NetFlow识别引擎 Cisco的NetFlow技术也可以进行部分流量的识别。 业务识别应用层面针对识别出来的不同的业务,如P2P、移动IP、VoIP等各种新业务以及传统的HTTP、MAIL、FTP等业务,实现业务性能分析、会话流程跟踪、流量异常检测、流量整形、网络资源规划等功能。 * * 第三章 知识点 1、计算机网络互联的基本问题; 2、网络分层模型及其协议;(OSI的七层协议) 3、路由和路由器的概念;路由器的结构和作用; 4、物理层、数据链路层和网络层的作用和功能; 5、计算机网络在不同层次上连接的设备和方法; * * 第三章 知识点 6、路由器的参数,路由器工作特点; 7、TCP/IP和七层协议的关系; 8、网际协议IP的内部构成-配套协议; * * 第三章 知识点 9、互联网的地址(1): 分类的IP地址及其组成; IP地址的点分十进制记法; 网络号、主机号、网络数、主机数; 硬件地址,IP地址与硬件地址的关系; MAC帧、MAC地址; IP分组的传送和寻址; 地址解析协议ARP及其使用; * * 第三章 知识点 10、互联网的地址(2): 子网的构成; 划分子网的原因及方法; 子网掩码、子网号; 各类地址的默认子网掩码及其使用; 子网掩码对应的子网数、每子网的主机数; 使用子网掩码的分组转发过程及其算法; * * 第三章 知识点 11、互联网的地址(3): 变字长子网掩码、无分类编址、超网; CIDR的使用,变长的网络前缀; 使用超网的IP地址表示;
文档评论(0)