流量控制和应用识别技术详解.pptVIP

流控和应用识别技术详解 2017年3月22日 张茂 流控技术概述 1.应用识别 2.流量控制 ACE/EG四种应用识别技术： DPI技术 DFI技术 流控基本概念 带宽租用 带宽嵌套 双速三色令牌桶算法 基于特征字的DPI识别技术 不同的应用通常会采用不同的协议，而各种协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术，正是通过识别数据报文中的指纹信息来确定业务流所承载的应用。通过对指纹信息的升级，基于特征字的识别技术可以很方便地扩展到对新协议的检测。 下面以Bittorrent协议的识别为例 可以对Bittorrent协议的对等协议进行分析来识别，所谓对等协议指的是peer与peer之间交换信息的一种协议。对等协议总是由一个“握手”开始，后面是循环的消息流，每个消息的前面，都有一个数字来表示消息的长度。 协议规范中定义：握手是必需进行的，它是由客户端发送的第一条消息。 Bittorrent协议“握手”消息分析 由于对等协议消息是由每个消息的 前面一个数字来表示消息的长度， 可以确定“19BitTorrent Protocol” 就是Bittorrent协议的特征字。 因此只要匹配“19BitTorrent Protocol”关键字符串的数据流就可以识别为BitTorrent协议。 DPI识别原理分析 DPI识别本身分多个阶段来完成的 日常特征收集更新 专门的特征收集团队实时跟踪所有要识别的应用，关注应用特征是否变更，并生成新特征库进行发布。设备上会自动更新最新的特征库 设备起机初始化阶段 设备在起机后，会解析特征库，将所有的特征加入AC状态机。 同时每个特征的私有描述符也会形成我司特有的精确匹配状态机用于精确匹配 设备转发识别阶段 针对进来的报文，首先通过AC状态机匹配，找出多条在特征字符上相匹配的特征 针对找出的特征进行精确匹配，确定最终命中的规则。例如：特征字符的位置，同一报文中多个不同特征字符的相对位置等 DPI识别原理分析 针对前页“19BitTorrent Protocol”特征字的过程如下 日常特征收集阶段 分析BT的报文找到改特征，加入特征库 在这个阶段，可能有多个应用有类似的特征，例如还有迅雷、电驴也有类似特征。假定区别如下 BT的这个特征偏移在UDP载荷的前面，偏移为0的位置 迅雷的这个特征在UDP载荷中，偏移10的位置 电驴的这个特征在偏移20的位置 将上述所有特征用私有描述符写成规则。 设备起机初始化阶段 设备在起机后，会解析特征库，将所有的特征加入AC状态机。 同时每个特征的私有描述符也会形成我司特有的精确匹配状态机用于精确匹配 设备转发识别阶段 在AC状态机中会匹配命中三条规则 在精确匹配阶段，会逐一按照描述符对报文内容进行比对，最终发现特征位置在偏移0的位置，所以命中BT的规则，最终识别成BT。 内页: 标题前红色竖条可自由移动 标题 (1级) : 22-24pt 标题 (2-5级) :20-22pt 正文: 12-18pt 颜色: R89 G89 B89 中文字体:微软雅黑 英文字体:Arial 配色参考方案： 建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考） 插曲-正则表达式 正则表达式是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串 正则表达式可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等 举例1：如果你想查找某个目录下的所有的Word文档的话，你会搜索*.doc。在这里*会被解释成任意的字符串。 举例2：查找所有电话号码 \b0\d\d\d?-\d\d\d\d\d\d\d\d?\b 以0开头，然后是两或三个数字，然后是一个连字号“-”，最后是7或8个数字 内页: 标题前红色竖条可自由移动 标题 (1级) : 22-24pt 标题 (2-5级) :20-22pt 正文: 12-18pt 颜色: R89 G89 B89 中文字体:微软雅黑 英文字体:Arial 配色参考方案： 建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考） DFI技术 与DPI进行应用层的载荷匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130～220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长。 DFI识别技术是通过分析应用流量的特征，从流量行为模型特征库中查找匹配相应的规则，从而识别具体应用。 流量模型的建立有两种方法：人工经验建模、机器学习