流量分析和控制技术研究与系统建设.docVIP

流量分析和控制技术研究与系统建设 　　摘要 现阶段，中国移动互联网建设初具规模，为移动互联网的发展提供了保障，随着用户规模的增加，中国移动互联网面临“增量不增收”等问题。本文通过对流量分析技术和控制技术的研究，提出互联网流量分析和控制系统的建设思路，助力中国移动构建智能管道。 　　关键词 流量分析；流量控制；DPI；智能管道 　　中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）78-0203-02 　　1 背景 　　现阶段，中国移动互联网建设初具规模，为移动互联网的大力发展提供了保障，但随着用户规模的增加，中国移动互联网面临着一系列问题，亟待解决。 　　1）P2P应用由于端口是可变的，很难察觉和管理，对网络带宽消耗极大，运营商 “增量不增收”，有沦为“管道”的风险；2）以Skype 为代表的P2P语音应用给运营商带来长途话费收入大量流失的严重后果，固网运营商长话业务的流失额增长迅速；3）大量的电影、软件下载，网络资源消耗极大，附加在这些文件里的网络病毒也在大量增长，由于病毒泛滥，客户网络容易遭受攻击而中断。 　　面对各种威胁，中国移动亟需对互联网用户流量进行精确的管理和控制，构建智能管道，为用户提供优质的宽带服务。 　　2 流量分析和控制技术研究 　　2.1 流量识别技术 　　2.1.1 DPI技术 　　DPI技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术，可划分为以下三类： 　　1）特征字识别技术：不同的应用会采用不同的协议，各种协议有其特殊的指纹。特征字识别技术，正是通过识别数据报文中的指纹信息来确定业务所承载的应用；2）应用层网关识别技术：若业务的控制流和业务流分离，其业务流没有任何特征，可通过应用层网关识别出控制流，根据控制流协议选择特定的应用层网关对业务流进行解析，从而识别出相应的业务流；3）行为模式识别技术：对终端的各种行为进行研究，并在此基础上建立行为识别模型，基于行为识别模型，判断客户正在进行的动作或者即将实施的动作。 　　DPI采用逐包分析、匹配技术，可以对流量中的具体应用类型和协议做到比较准确的识别，但处理速度相对DFI慢；数据包若经过加密，DPI不能识别具体应用。 　　2.1.2 DFI技术 　　DFI是一种基于流量行为的应用识别技术，基于流量的行为特征，建立流量特征模型，通过分析会话流量的相关信息来与流量模型对比，从而实现鉴别应用类型。 　　DFI技术将流量特征与后台流量模型进行直接比较，处理速度快；不受协议加密传输影响；由于同一类型的新应用与旧应用的流量特征变化不大，DFI系统不需要频繁升级流量行为模型； 但DFI只能对应用类型进行笼统分类。 　　2.2 流量控制技术 　　流量控制技术分成两大流派，一是利用协议本身的一些机制，实现流量控制；一是采取缓冲、队列控制的办法，强制性的实现流量控制。 　　2.2.1 基于协议的流量控制技术 　　1）TCP降速： TCP协议采用滑动窗口技术来实现端到端的流量控制，可通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值，对连接的两端进行流量控制；2）TCP截断：通过伪造并发送TCP RST/FIN报文来截断TCP连接；3）UDP降速：UDP协议具有非面向连接的单包特性，无法从4层对数据流进行干扰，只能通过7层的协议信令进行干扰，达到流量控制的目的；4）UDP截断：通过伪造并发送应用层特殊控制命令方式来截断UDP连接，该控制方法缺点是随着协议的升级，控制代码也需要频繁地升级，实现起来较麻烦。 　　2.2.2 基于队列的流量控制技术 　　基于队列的流量控制技术，将入端口数据进行排队，赋予每个队列一定的调度优先级。队列调度算法目前应用最为广泛的是令牌桶算法和预测丢弃算法RED。 　　1）令牌桶算法综合考虑了报文长度、优先级，还增加了队列环回机制，算法完善，但实现较为复杂，占用大量的CPU和缓存资源，适合轻载网络环境；2）RED算法，在没有可用网络资源发送数据时，将低优先级的队列中的报文简单丢弃，导致报文重传，造成网络资源浪费。该算法简单，适合在高速网络中实现，实际中应结合延缓报文发送而不是直接丢弃的方法，抑制报文重传。 　　2.3 流量分析和控制系统的组网技术 　　流量分析和控制的组网技术包括直路和旁路两种方式，二者在控制效果、系统性能以及对网络影响各不相同。 　　1）直路方式：是指在业务链路上直接部署流量分析和控制设备的方式，控制直接、方便，但存在单点故障和扩展性问题，需要随着应用和业务的更新而不断更新检测库，还需要随着新业务的出现而不断扩充业务功能；2）旁路方式：是指通过端口镜像或分光的方式获得流量的完整拷贝，然后进行复杂的分析，不会对现有网络拓扑造成影响，但控制能力受到较大影响。 　　3