寬帶用戶行為分析與探究

林 波

（濟南市聯通公司，250002）

寬帶用戶行為分析與探究

林 波

（濟南市聯通公司，250002）

寬帶網絡發展到一定的階段，寬帶用戶的行為將對網絡產生一定的影響，為保障網絡健康高效的發展，我們不僅要關心網絡運行質量，還要關心用戶行為，關注網絡流量。本文從用戶接入控制，非法接入監控，VOIP監控，P2P監控四個方面進行闡述。

寬帶用戶行為；接入控制；VOIP；P2P

寬帶網的快速發展為國家經濟的繁榮起到了很好的促進和支撐。作為基礎通信網的組成部分，寬帶網和電話網，傳輸網有很多相同之處，但它的開放性，靈活性，高帶寬等特點也決定了它的與眾不同的特性。對于運營商來講，我們只要保障電話網，傳輸網的通信質量即可，不必關心通信的內容，然而對于寬帶網，我們不僅要保障通信質量，還要關心通信內容。寬帶通信內容或“寬帶用戶行為”會對網絡的運營產生一定的影響。例如：互聯網內病毒和網絡攻擊現象，對網絡和用戶設備產生的安全威脅；用戶接入側的私接和共享，使運營商利益受損；非法運營的VOIP違反國家的規定；P2P流量的無控制增長，導致骨干網中繼擁塞，網絡的互連互通以及重點業務的質量下降。上述現象對寬帶網絡健康，高效的發展起到了很大的制約作用，因此必須采取相應的措施。下面從四個方面進行分析：

1 用戶接入控制

寬帶網目前已形成了包月收費的模式，雖然通信運營商曾投入很大的成本推行寬帶計時產品，但受用戶使用習慣，產品性價比，寬帶網本身特點等因素的影響，絕大多數用戶仍會選擇包月產品。包月的便捷帶來一系列問題:帳號漫游，帳號并發使用，用戶長期在線導致骨干網流量擁塞等。

作為基礎運營商，我們采取了相應的措施解決這些問題：針對帳號漫游問題，我們采取將用戶帳號在認證服務器上綁定VLAN ID的方式，受VLAN ID 4096數量的限制，綁定范圍限制在一個小區，如需精確綁定，需將網絡改造為QINQ模式，即在網絡上將用戶的以太網數據幀打上雙層標簽，但這種方式網絡改造和維護成本較高。為解決單帳號并發撥號的問題，采取在認證計費服務器上帳號并發數限制LOGIN MANAGER功能，將任一帳號的第二次上網請求予以拒絕。

寬帶產品的多樣性，通常依賴于帶寬的差異性，因此對寬帶速率的控制，是通信運營商需要解決的一個重要問題。為此我們使用了新型的寬帶接入服務器，將寬帶速率的控制點上移，由寬帶接入服務器控制，首先在認證服務器中定義每個帳號的帶寬屬性，其次在寬帶接入服務器上啟用帶寬控制功能,最后是統一DSLAM端口速率，由RADIUS服務器向寬帶接入服務器下發該帳號的帶寬屬性，寬帶接入服務器根據該屬性通過ASIC芯片控制用戶帶寬。通過這種方法可以簡單高效的實現寬帶產品多樣性的問題。

2 非法接入的監控

方法一 ID（identification）軌跡檢測法：

對來自某個源IP地址的TCP連接中，IP頭中的16位標識（identification），對于某個windows用戶，其identification隨著用戶發送的IP包的數量增加而逐步增加，如果在一段時間后，發現某個源IP地址，有三段identification在連續變化，則說明該“非法接入用戶”此時最少有三個用戶在同時使用寬帶。

方法二 時鐘偏移檢測法：

不同的主機物理時鐘偏移不同，網絡協議棧時鐘與物理時鐘存在對應關系；不同的主機發送報文的頻率因此與時鐘存在一定統計對應關系，通過特定的頻譜分析算法，發現不同的網絡時鐘偏移來確定不同的主機。

方法三 應用特征檢測法：

數據報文中的HTTP報頭中的User－agent字段因操作系統版本、IE版本和補丁的不同而不同。因此通過分析不同的HTTP報頭數而確定主機數。另外對于一臺主機同一時間只能登錄一個MSN帳號，據此分析可判斷主機數。Windows update 報文里也包含一些操作系統版本信息，也可以據此計算主機數。

通過以上方法就能準確的確定非法接入的寬帶用戶的主機數，無論其采用共用NAT、共用Proxy、或分時段共用帳號上網，該非法接入監控系統，都能得到IP地址與所攜帶用戶數的準確對應關系，借助于Radius認證報文，再將它轉換為用戶帳號與所攜帶用戶數的對應關系。

下圖表明寬帶用戶行為分析系統在網絡中的位置：

圖1 在網絡中部署寬帶用戶行為分析系統

系統在寬帶網絡出口處對10G/100G POS端口分光，通過協議轉換器轉換為千兆端口，通過后臺的預處理服務器，數據庫服務器，RADIUS處理服務器，進行分析處理，并通過干擾鏈路進行用戶行為的控制。

3 非法VOIP監控

由于IP網絡的靈活性、開放性，VoIP所帶來的巨大利潤空間以及國家監管力度的問題，某些不法人員正開展地下IP電話經營。VOIP語音網關一般設置于PSTN 和IP網絡之間，它對來自PSTN的時分話音進行分組和壓縮，并將分組轉化為IP數據包傳送到IP網絡， 再通過路由器到達目的地及逆處理過程； 網絡電話終端則直接掛在IP網絡上即可處理話音業務。國外PSTN中繼線可以很廉價獲得；國內其他競爭電信運營商，以低價將PSTN中繼線出租給虛擬運營商；

目前非法VOIP檢測解決方案主要分為兩種：檢測信令流，檢測媒體流。由于非法VOIP的運營通常是網關與VOIP終端由單一廠家制造，使得非法VOIP運營商可以很容易的對信令流進行修改，使用非標準協議開展VOIP業務，而對于媒體流，目前基本使用RTP,RTCP等標準媒體流協議，所以基于媒體流檢測可以大大提高系統檢測準確性。同時提供多種干擾控制功能，可以根據需要選擇是否對用戶進行控制以及對非法運營業務進行干擾。

目前VOIP采用的主流信令協議包括：H.323, SIP，MGCP等，但實際部署的VOIP系統大多數采用私有的呼叫控制協議，或者經過修改的標準協議，這樣導致信令流檢測系統需要頻繁升級，更新協議棧，并且對經過加密的信令流以及非RTP流對應的信令協議無法實現有效的檢測。例如：非法VoIP運營商采用“私有隧道”來透傳H.323話音，并采用非標的網絡端口，監測方法如下：

1）跟蹤所有的TCP/UDP流，并從流建立開始監測一段時間或監測一定量的數據報文；

2）監測時，對每個UDP數據包或者TCP 包中的數據段，逐個byte偏移后，嘗試用各種VoIP協議去解碼；

3）若具有VoIP特征，將這路可疑的TCP/UDP 流送往后路精確分析，得到其網關IP地址、主被叫號碼等詳細數據；

4）放棄對沒有VoIP特征的TCP/UDP流進行跟蹤，減輕系統負擔；

針對VOIP的限制技術主要有兩類：一類是丟包限制的方式，通過在截斷模式下丟棄VOIP交互數據包，來達到限制VOIP發展的目的;另一種是不丟包限制的方式,通過在監聽模式下發送偽裝的干擾數據報來干容正常的VOIP服務，從而達到限制其發展的目的。

4 P2P流量的監控

P2P技術的廣泛使用，使整個網絡的帶寬，尤其是骨干網帶寬，消耗殆盡，其他用戶的上網速度會因此變得異常緩慢。如何有效控制P2P軟件導致的流量無限制增長，成為我們必須研究的問題。因為P2P應用層出不窮，而對P2P包的識別是基于應用層的，沒有固定的規律，只能通過不斷升級內核，采用類似升級病毒庫的方式來升級P2P的描述庫，來控制影響流量的P2P應用。

對P2P的控制有一定的難度，通常的P2P監控系統工作一段時間后，控制能力下降。因為BT目前具有智能抵御運營商P2P監控系統的能力：即較長時間無法下載的情況下，BT會自動啟用加密傳輸機制而越過運營商的P2P監控系統。所以檢驗P2P控制的有效性，需要測試P2P系統能長時間壓制BT的能力，測試時間不短于20分種：即將BT的流量限制到0，如果BT客戶端在20分鐘內還能有效地將文件下載，則說明此P2P監控系統無法有效壓制P2P流量。

另外一個問題就是，P2P監控系統誤動作：正常的下載如使用HTTP、FTP協議等協議下載，不應受P2P監控系統的誤傷。例如使用“迅雷”軟件下載，它會同時使用P2P協議、HTTP協議、FTP協議等，其中的HTTP、FTP下載，跟常用的FLASHGET、網絡螞蟻、HTTP下載、FTP下載完全一樣，因此完善的P2P監控系統不應誤傷HTTP,FTP等正常應用。

監控系統要能檢測常見的P2P協議，包括已知的各版本BT、EMULE/EDUNKEY、迅雷、PPLIVE、QQLIVE，并能按照P2P的協議、源地址、目的地址等參數，統計分析流量占用情況。系統可以對所監測發現的P2P流量進行控制，流量控制的上、下限可以由管理員設定，控制精度小于1Mbps，能實現對指定源、目的IP地址段的控制。可根據時間段采用不同的控制策略，實現分時控制。

對于非法接入,非法VOIP，P2P控制，可以通過統一的平臺實現。該平臺可通過串聯或并聯的方式在城域網出口處部署，但考慮到網絡的安全性，并聯方式可靠性更高，即采用出口中繼分光的方式，對流量進行分析，根據控制策略，通過干擾鏈路進行流量的控制，如圖一所示。同時系統需要具有模塊化的設計結構，便于后期的系統升級和新功能的增加。

綜上所述，寬帶互聯網的開放性和靈活性在豐富人們生活內容的同時，也對網絡的健康，高效發展起到了一定的制約作用，運營商和監管部門有必要采取相應的措施，分析網絡流量和用戶行為，引導網絡向更快更好的方向發展。

[1] (美) Nader F.Mir，潘淑文 等譯，計算機與通信網絡，中國電力出版社，2010.01

[2] 中國聯合網絡通信有限公司《中國聯通北方本地網發展指導意見》2012.03

Analysis and research of broadband user behavior

Lin Bo
(China United Telecommunications Co. Ltd Jinan Branch，250002)

As the development of the broadband network reaches a certain level,users’ behavior will put more impact to the network.To ensure a healthy and high efficient performance of the network,we need to pay attention not only the quality of the operation,but also the users’ behavior and the network’s traffic flow.This article elaborates these aspects by analyzing user access control,illegal access control,VOIP control, and P2P control.

Broadband user behavior;access control;VOIP;P2

有關電子媒體的相關示意圖