校园网流量识别与控制系统的建设

开篇：润墨网以专业的文秘视角，为您筛选了一篇校园网流量识别与控制系统的建设范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:今天的校园网由于P2P下载、垃圾邮件、蠕虫病毒等原因, 造成了网络带宽的巨大消耗。建设校园网流量识别与控制系统,进行流量监控和流量分析是整个校园网管理的重要环节, 它能帮助系统管理员了解网络、业务和用户资源的使用情况,找到性能瓶颈并进行精细化管理,对用户行为进行分析和控制,以及对信息进行安全防护。

关键词:校园网;流量识别;流量管理

中图分类号:TP317.4文献标识码:A文章编号:1009-3044(2009)14-3632-03

The Construction on Traffic Identification and Control System of Campus Network

ZHOU Xiang-jun

(Guangdong College of Foreign Language and Arts, Guangzhou 510507, China)

Abstract: Using P2P download, spam, worms and other reasons in Today's campus network, cause a huge consumption of network bandwidth. The construction on Traffic Identification and control the system of campus network is an important part of management in the entire campus, it can help system manager understand that the network, the service and the user resources' service condition; the system manager can also find the performance bottleneck. According to the flows the system manager analyze the action of the user, control the user, as well as protect the information safety.

Key words: campus network; Traffic Identification; Traffic Control System

1 引言

今天的校园网, 由于垃圾邮件、蠕虫病毒等原因, 网络突然缓慢甚至瘫痪的事件屡有发生。以BT为代表的P2P下载软件流量占用了大量带宽,造成了网络带宽的巨大消耗,妨碍了校园网中正常网络业务的开展和教学中关键应用的普及。因此在校园网中进行流量监控和流量分析是整个网络管理的重要环节。

要将校园网中P2P、streaming、HTTP、FTP等不同业务区分出来,就必须建立IP流量识别与控制系统。IP流量识别与控制系统能够分辨具体用户、具体应用的数据流,从而可以对用户的应用部署QoS、安全及其它策略。IP流量识别与控制系统可以帮助实现对网络内部奥秘的透视性和对网络资源的控制。以决定对这些流量的控制策略。

2 流量识别

流量识别通过对业务流量从数据链路层到应用层的报文深度检查分析,依据协议类型、端口号、特征字符串和流量行为特征等参数,获取业务类型、业务状态、业务内容和用户行为等信息,并进行分类统计和存储。

2.1 流量识别工作过程

流量识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息,如业务类型、业务状态、业务分布、业务流量流向等。流量识别是一个相对复杂的过程,需要多个功能模块的协同工作,流量识别的工作过程如图1所示,简单描述如下:

识别处理模块采用多通道识别处理,通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法,将网络流量均匀的分配到多个处理通道中。

多处理通道并行执行网络流量的深度报文检查,获取网络流量的特征信息,并与业务识别特征库中的特征进行比对。

将匹配结果送往识别处理模块,并标识特定网络流量。如果存在多个匹配结果,选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定,该网络流量的后续连接将不再进行深度的报文检查,直接将其网络层和传输层信息与已知识别结果进行比对,提高执行效率。

识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中,为网络流量的统计分析提供依据。

统计分析模块从识别结果存储模块中读取相关信息,并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示,或以文件的形式输出。

在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区,为实施网络流量管理提供依据。

2.2 流量认别的实现机理

DPI全称为“Deep Packet Inspection”,称为“深度包检测”。所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容。

普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时,则认为该应用代表着普通上网应用。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络,例如P2P下载软件eMule大多采用动态协商端口机制。此时采用L2～L4层的传统检测方法已无能为力了。DPI技术就是通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。因为非法应用可以隐藏端口号,但目前较难以隐藏应用层的协议特征。DPI的识别技术可以分为以下几大类:

1)基于“特征字”的识别技术:不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的bit序列。基于“特征字”的识别技术通过对业务流定数据报文中的“指纹”信息的检测以确定业务流承载的应用。根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。

DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术就是模式匹配(Pattern-Matching)。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目标字符串。通常,目标字符串采用正则表达式(Regular Expression)标准语法来描述。

例如:Bittorrent协议的识别,通过反向工程的方法对其对等协议进行分析,所谓对等协议指的是peer与peer之间交换信息的协议。对等协议由一个握手开始,后面是循环的消息流,每个消息的前面,都有一个数字来表示消息的长度。在其握手过程中,首先是发送19,跟着是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。

2)应用层网关识别技术:某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。对于每一个协议,需要有不同的应用层网关对其进行分析。如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是通过哪种协议建立的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。

3)行为模式识别技术:行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的统计和分析,才能够准确的识别出SPAM业务。

3 流量识别在网络流量管理中的应用

Cisco的Gadekar认为DPI的部署有三个阶段:第一阶段是“网络应用分析”,这个阶段运营商可以对网络有更深入的了解,这样DPI可以以旁路(passive)模式部署,而无需串接部署,部署在全局就可以。第二个阶段是全局流量优化和流量管理,通过提高互动性应用的优先级、降低“带宽杀手”的优先级。这个阶段,DPI部署在网络边缘,在汇聚设备后面,例如BRAS。第三个阶段,这将是每个运营商的最终目标,可以动态地订制某些业务。需要支持不同的计费模式、业务生成,DPI解决方案一般都会跟AAA服务器、策略服务器、计费系统紧密集成(见图3)。这是DPI+PS的阶段,用以实现按业务内容、按用户使用情况计费。

校园网流量管理的基本目标是了解网络、业务和用户资源的使用情况,找到性能瓶颈并进行精细化管理,对用户行为进行分析和控制,以及对信息安全防护。下面我们就从这几个方面着手,描述流量识别在网络流量管理中的应用。

3.1 流量统计分析和趋势判断

在校园网的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备对网络流量进行统计分析和趋势判断。

通过流量识别,网络管理者能够知道当前网络中的业务流量的类型、带宽、时间和空间分布、流向等信息。如图4所示。

3.2 资源管理

将流量识别能力添加到网络流量管理中,能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度。

具备流量识别能力的网络流量管理将具备P2P应用的管理能力,通过对P2P流量的抑制来提升传统数据业务的用户体验度。如图5所示。

流量识别还能够帮助网络流量管理实现业务资源的调度,流量识别能够获得业务资源使用、流量状态的实时情况。当某一业务服务器负载较大时,可以进行全局的业务资源负载均衡,平均的承担业务请求;同时也能够对用户的业务请求进行调度,决定是否继续响应用户新的业务请求,或者根据用户的优先级,优先响应高优先级用户的业务请求,提升业务运营效率。

3.3 精细化管理

在校园网接入层的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备对网络流量识别并进行精细化管理。网络管理者可以将用户接入网络过程中的用户认证ID、获得的IP地址和特殊的接入属性等用户特征信息,与相关业务流量的类型、状态或者内容等业务流量特征信息的绑定,对不同用户的不同业务流量进行区分,实施精细化的管理。例如,为教师用户预留2Mbit/s的网络带宽,而为学生用户预留512Kbit/s的网络带宽;或者为同一用户的不同业务提供不同的QoS控制,为http业务提供较高的优先级,而为数据业务提供尽力而为的转发,在网络出现拥塞时,http业务优先转发。

此外,具备流量识别的网络流量管理还能够帮助校园网管理者改变业务运营模式,由用户被动地接受转变到用户主动的个性化定制。校园网管理者向用户提供业务个性化定制平台并接受用户的个性化业务定制,随后将这些个性化业务定制转换为基于用户的个性化流量管理措施,当用户进行业务使用时,校园网管理者将能够根据这些个性化措施对用户流量施以个性化的流量管理,用户也能够动态的调整和取消个性化的业务定制。

3.4 网络安全防护

在网络中的多个层面的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备,和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系,提升整个网络的安全防护能力。具备流量识别能力的网络流量管理具有主动的流量特征识别分析能力,能够主动的发现诸如DDoS攻击、病毒和木马等异常流量,较好的弥补其他网络安全设备[如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等]的不足,提升其主动发现安全威胁的能力,并能够及时的向其他网络安全设备发出告警,从安全威胁源头开始就进行主动的防御。

此外,具备流量识别能力的网络流量管理还能够获取并保存网络流量的网络层信息(例如,源/目的IP地址、用户标识ID等信息),通过这些信息,网络管理者能够进行有效的安全威胁的溯源定位。

3.5 用户行为分析和控制

部署具备流量识别能力的网络设备后,网络管理者还能够获得用户级别的网络流量统计信息,通过后台分析系统的数据挖掘,能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的用户个性化特征信息。根据这些信息,校园网管理者能够及时和准确的调整校园网运营策略、校园网资源建设建设内容,或者发现新的服务内容。例如,收集多数用户感兴趣的资源,在校园网共享使用,建立校内共享交流平台等应用。此外,还能够根据这些信息,对随意性较强的用户行为进行必要的管理。例如,禁止在上课时间观看在线视频、参与网络游戏、利用即时通信工具进行与工作无关的聊天,以及禁止一些不文明的内容等。

参考文献:

[1] 王超, 赵文杰. IP网络带宽管理技术及应用分析[J]. 电信技术, 2007(5).

[5] 汤昊, 李之棠. 基于DPI的P2P流量控制系统的设计与实现[J]. 信息安全与通信保密, 2007(6).

[3] 张棣兴. 下一代网络业务流量识别与控制的研究[J]. 电信网技术, 2006(11).

[4] 田辉, 马科, 石友康. 业务识别与控制技术及其测试评估[J]. 现代电信科技, 2008(10).

[5] 田辉, 徐鹏. 业务识别与控制技术及标准化进展[J]. 电信网技术, 2007(3).

[6] 欧阳秀平, 王攀, 饶翔, 李薇, 汪英. 基于多识别引擎的下一代网络业务识别模型[J]. 重庆邮电大学学报(自然科学版), 2008(1).