业务识别与管理系统和网络流量的管理.docVIP

　　业务识别与管理系统和网络流量的管理～教育资源库 　　1　网络流量管理现状分析与解决办法 　　网络尤其是互联网的原始设计理念导致了其在流量管理方面存在着能力缺陷，尽管业界已经从技术、管理、法律、制度等多个方面采取了很多措施来弥补这些能力的缺失，但当前的网络流量管理依然存在着如下的问题： 　　(1)重网络，轻业务 　　当前，绝大多数的网络流量管理措施都位于网络层，主要致力于网络性能(QoS)优化的基本流量流向的控制，以及简单粗略的源地址过滤。即便是基于业务的流量管理措施，也多是依据网络层的协议信息和传输层的标准端口号进行制定，业务流量管理效果十分有限，尤其对P2P的流量管理，有些力不从心。 　　(2)业务层和网络层缺乏通用性和关联性 　　当前针对业务的流量管理技术和措施大多都是一事一议，只针对特定业务应用，缺乏通用性；另一方面由于互联网本身网络与业务分离的基本特征，也导致了业务层的流量管理措施和网络基础设施之间缺乏关联性，常常导致治标不治本。 　　(3)缺乏主动性 　　当前的网络流量管理主要还是建立在简单网络管理协议(SNMP)、远程网络监测(RMON)、NetFlow、Sniffing等被动的流量管理技术之上的，缺乏主动的网络流量检测分析和用户行为分析，尤其在安全防护方面，缺乏一个主动、全网的安全威胁防御机制。 　　(4)管理不够精细 　　互联网是一个有机的整体，包括用户、网络和业务。而当前的网络流量管理仅仅是一种粗放的网络资源的调度，很难实现精细的网络资源、业务资源和用户资源的综合管理。 　　产生上述这些问题的一个显而易见的原因是当前的网络流量管理缺乏对用户和业务的感知能力，要解决这些问题，就有必要在网络流量管理中引入一双慧眼，智能和主动地对业务流量和用户行为进行检测分析，而这双慧眼正是业务识别。 　　2　业务识别 　　业务识别|(Application Awareness)是伴随着网络业务的蓬勃发展而出现的一个新的概念，通过对业务流量从数据链路层到应用层的报文深度检查分析，依据协议类型、端口号、特征字符串和流量行为特征等参数，获取业务类型、业务状态、业务内容和用户行为等信息，并进行分类统计和存储。 　　2．1　业务识别工作过程 　　业务识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息，如业务类型、业务状态、业务分布、业务流量流向等。业务识别是一个相对复杂的过程，需要多个功能模块的协同工作，业务识别的工作过程如图1所示，简单描述如下： 　　图1 业务识别工作过程 　　识别处理模块采用多通道识别处理，通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法，将网络流量均匀的分配到多个处理通道中。 　　多处理通道并行执行网络流量的深度报文检查，获取网络流量的特征信息，并与业务识别特征库中的特征进行比对。 　　将匹配结果送往识别处理模块，并标识特定网络流量。如果存在多个匹配结果，选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定，该网络流量的后续连接将不再进行深度的报文检查，直接将其网络层和传输层信息与已知识别结果进行比对，提高执行效率。 　　识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中，为网络流量的统计分析提供依据。 　　统计分析模块从识别结果存储模块中读取相关信息，并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示，或以文件的形式输出。 　　在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区，为实施网络流量管理提供依据。 　　2．2　业务识别技术 　　目前常用、典型的业务识别技术就是我们所熟知的DPI技术和DFI技术。 　　2．2．1 DPI技术 　　DPI是深度报文检测(Deep Packet Inspection)的简称，是一种典型的业务识别技术。DPI技术之所以称为深度的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，包括源/目的IP地址、源/目的传输层端口号、协议号，以及底层的连接状态等。通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VoIP应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。 　　DPI技术对传统的流量检测技术进行了深度扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析，如图2所示。 　　图2 DPI技术中业务流量的分析方法 　　DPI技术通常采用如下的数据包分析方法： 　　传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。