LTE網絡中業務識別方案的研究與實現

劉志強，張治中

(重慶郵電大學 通信網與測試技術重點實驗室，重慶 400065)

LTE網絡中業務識別方案的研究與實現

劉志強，張治中

(重慶郵電大學 通信網與測試技術重點實驗室，重慶 400065)

為了實現對長期演進(Long Term Evolution，LTE)網絡的業務識別，分析了S1接口用戶面協議棧，利用模塊化設計思想實現了對S1接口流量的業務識別。針對傳統業務識別系統識別度低、統計能力不強的缺陷，在傳統的業務識別系統基礎上，提出了一個多識別的業務識別方案，實現了對業務類型的精確識別。經過現網數據測試驗證，所設計的多識別的業務識別方案達到了預期的效果，在LTE移動通信網絡業務識別領域具有推廣意義。

LTE網絡；S1接口；流量識別；DPI；機器學習

國內LTE網絡已經商用，在移動通信網絡不斷演進過程中，網絡中的新業務也層出不窮，例如音視頻聊天、流媒體播放、Web TV、線上游戲等。這其中有些新業務采用動態端口、偽裝端口和加密技術，還有些新業務協議升級頻繁，種種情況都導致網絡缺乏有效的流量監管設備，運營商無法對網絡運行進行有效的感知。

目前，國內外已經提出了很多業務識別的方法，但要實現高效、準確、智能地識別網絡業務，且有較強的可擴展性，即能識別加密流量和未知流量，僅靠某種單個的識別方法已經不能滿足。本文主要針對LTE網絡S1接口的數據業務提出了一種多識別方式的業務識別方案，通過多種識別來解決單一識別無法識別復雜業務的問題，并從數據采集層、數據解碼層、業務識別層、應用層4個層面描述了識別方案框架。該方案可以廣泛應用于所有的業務識別場景中。

1 LTE網絡S1接口

LTE網絡由用戶設備(UE)、演進的接入網(E-UTRAN)和演進的核心網(EPC)組成，E-UTRAN由基站(e Node B)組成，EPC由分組交換域組成(見圖1)。

圖1 LTE網絡基本結構

S1接口在LTE網絡中占據很重要的位置，它連接了E-UTRAN和EPC，對其進行研究可以充分掌握網絡的整體運行情況，充分挖掘網絡流量信息[1]。因此本文中提出的業務識別方案針對S1接口，通過監測S1接口的用戶面數據，分析數據的業務類型。S1接口用戶面的協議棧結構如圖2所示。

圖2 S1接口用戶面的協議棧結構

2 多識別的網絡業務識別方案

由于常規的網絡業務識別方法具有很大的局限性，所以需要一個高效、準確、智能的業務識別方案來對LTE網絡中復雜的業務類型進行識別。為此，本文建立了一個業務識別分層模型，見圖3。

圖3 LTE網絡業務識別分層模型

數據采集層主要對接口數據進行采集，采用不同速率的采集技術，保證數據可以完整、可靠地傳送至數據解碼層。

數據解碼層提供對原始數據的協議解析，向上層提供準確的原始數據信息，滿足業務識別層對業務的感知和識別。解碼過程采用從底到頂逐層解碼的方式，提取需要的關鍵字段[2]。由圖2中S1接口協議棧可知，解碼的協議層次依次為：Ethernet協議、IP協議、UDP協議、GTP-U協議以及用戶面IP協議、TCP/UDP協議以及應用層協議。數據解碼層向上層提供原始呼叫詳細記錄(Call Detail Record，CDR)，CDR中包含一些必要數據信息：IP五元組(源IP、目的IP、源端口、目的端口、承載協議)、凈荷信息、分組長度、分組到達間隔、流持續時間等。這些信息由協議解碼和合成獲得，作為上層進行業務識別的依據。

業務識別層實現對業務類型的識別，主要依據為下層上傳的CDR信息。識別過程中綜合應用多種識別方法，這些識別方法包括端口匹配、深度包檢測(Deep Packet Inspection，DPI)識別、連接模式識別、業務特性識別、機器學習識別等。該層向應用層提供的接口是業務識別CDR，組成為數據解碼層上傳的CDR+業務類型。具體識別流程如圖4所示。

圖4 業務識別流程

基本步驟如下：

1)首先采用端口匹配識別，可以完成固定端口業務的識別。用源端口或目的端口來查找端口映射表即可得到對應的業務類型。但隨著越來越多的業務采用偽裝端口或者隨機端口(如80、443)，僅靠端口識別的識別準確率越來越低。若為未知端口則可進行連接模式和業務特性識別，還可驗證端口匹配識別結果。

2)未查詢到結果則轉到DPI識別模塊進行查詢，用各個特征字符串匹配建立的特征庫，即可得到對應的業務類型。識別出業務類型后，更新數據流特征與業務類型映射表。

3)若仍未查詢到結果則轉到決策樹識別，識別未知業務或加密業務，同時完成學習過程，不斷修剪決策樹，將業務類型納入決策樹中。

應用層包含運營商各種應用系統，比如經營分析系統、性能管理系統、業務分析系統等。數據解碼層通過靈活的接口及轉發功能將業務識別CDR提供給各個應用系統，為運營商的市場開發、精細化經營、差異化服務提供數據支持[3]。

為了驗證方案的識別準確性，用實際網絡數據對根據本方案開發出的業務識別系統進行了具體的測試。網絡數據在中國移動重慶分公司網絡上通過撥測采集得到。部分測試結果如表1所示。

表1 識別準確率對比

3 業務識別方法分析

3.1 DPI識別

方案中使用的DPI識別技術通過分析數據包載荷中的特征字段來將網絡流量關聯到具體的應用。大多數業務在數據包的凈荷中含有特定的協議字符串，可以通過檢測和匹配這一字符串來進行業務的識別[4]。對于某些更復雜的應用，則需要通過幾個特征字符串綜合起來才能對其進行識別。為進行DPI識別，首先用爬蟲程序對應用進行分析，建立特征庫，特征庫中包含特征和相對應的業務類型。由于不斷有業務更新和協議升級，特征庫也需不斷更新。特征庫建立后就可以用在數據包中取得的字符串與特征庫進行匹配，即可獲得數據的業務類型。

顯然匹配過程在DPI識別中是非常重要的，正則表達式在這里得到了充分的應用，可以將正則表達式轉化成確定有限自動機(Deterministic Finite Automation，DFA)來進行處理[5]。DFA用五元組(Q,Σ,q0,δ,A)表示，其中Q為狀態點集合，Σ為字符表，q0為初始狀態點，A為終止狀態點，δ為狀態轉移函數。正則表達式描述了一種字符串匹配的模式。將所有模式構造為一個DFA可獲得很好的匹配速度，但所需內存可能非常大，超過系統物理內存。而每個模式構造一個DFA時，匹配速度可能無法滿足性能要求。下面是一個滿足有限內存資源限制且時間復雜度最小的算法。

DPI識別是一種應用很廣的識別方法，但仍存在一些缺陷。比如：無法識別加密業務和未知業務，更新特征庫的工作量很大。機器學習識別可以彌補DPI識別的一些缺陷。

3.2 機器學習識別

方案中的機器學習識別是通過統計分組數據到達間隔、流持續時間等統計特征，采用機器學習的方法實現業務分類。采用機器學習中的決策樹算法來實現網絡業務的識別。這種識別方法是從決策樹的根結點開始，按照給定實例的屬性值對應的樹枝向下移動，這個過程不斷在以新結點為根的子樹上重復，最后到達的一片葉子代表業務分類，即實現了分類學習，達到業務識別的目的[6]。

決策樹形成過程中最重要的是對分裂屬性的選擇，常用的方法是計算信息增益

(1)

采用C4.5算法來建立決策樹，C4.5算法采用信息增益率來處理樣本分類。算法要求選擇信息增益率最大的屬性為決策樹的新結點，并對屬性的每個值建立分枝，依據此思想劃分訓練數據樣本集。信息增益率是信息增益與分裂信息量的比，分裂信息量可以衡量屬性分裂的廣度和均勻性

(2)

式中：Si為C個值的屬性A劃分S形成的C個樣本子集。由此得到信息增益率為[7]

(3)

信息增益率最高的屬性將被作為測試屬性。依次不斷對生成的樣本子集進行分割，直到無法分割或達到停止條件即可得到決策樹，決策樹的生成過程就是使劃分后不確定性逐漸減小的過程。

決策樹建立后還需不斷修剪，用樣本對生成的決策樹進行檢驗，調整不正確的分枝，增加節點或者進行剪枝。用決策樹對未知類型業務進行分類時，從根節點開始依次對樣本的屬性進行分類，直到到達一片葉子為止，即可得到樣本的業務類型。

4 微信業務的識別驗證

微信支持發送/接收語音、視頻、圖片和文字，支持許多社交插件，因此擁有了龐大的用戶群，對運營商的短信、彩信、語音業務產生了巨大競爭。同時微信需要頻繁占用網絡資源，而運營商獲得的卻只是極低的流量收入，所以運營商希望能找到應對策略和方法，而微信業務的識別是制定應對策略的前提和保證。

將從S1接口采集到的包含微信業務的用戶面數據發送到數據解碼層，經過解碼后將原始CDR提交到業務識別層，用提取到的必要信息進行業務類型的識別。微信業務大類的識別可根據特征字符串，如果HOST字段中包含key:“weixin.qq.com”或“mmsns.qpic.cn”或“wx.qlogo.cn”，則可認定分組為微信業務。為進一步識別微信業務中業務小類，如發送圖片、語音、文字、搖一搖等，需分析微信私有協議，經過大量爬蟲抓包分析，總結出微信私有協議基本結構，如表2所示。

表2 微信私有協議基本結構

其中報文類型代表不同的業務小類，如表3所示。

表3 報文類型與業務小類

因此，為識別業務小類可將報文類型作為特征字，用DPI識別法進行識別。

由于微信業務小類在不斷增加，私有協議也隨時存在更新的情況，且DPI特征庫的更新耗時費力，所以機器學習識別法此時將彌補DPI識別的不足。機器學習根據流量的各種屬性特征，如流持續時間、分組長度和分組到達間隔等，來進行流量分類，能夠適應對加密業務和未知業務的識別，克服DPI識別的缺陷。

圖5是業務識別CDR出表的一部分。不同的業務類型用不同的數字表示，圖中D，E列為1，9則表示識別出微信業務。一條CDR根據微信業務中某TCP流合成，其他字段還包括：源IP、目的IP、源端口、目的端口、HOST、URI、上下行包數、上下行流量。經過統計驗證分析，發現識別方案能較為準確地識別各種業務類型。

圖5 業務識別出表文件(截圖)

5 小結

本文提出了基于LTE網絡的業務識別方案的設計，分析業務識別在現今網絡中面臨的困難，建立了一個多識別的識別模型，詳細介紹了模型中應用到的幾種識別方法。用該識別方案較好地解決了業務識別在LTE網絡中遇到的困難。系統在Linux平臺中運行穩定，經過現網數據測試，發現識別準確度較高，達到應用標準。

[1]沈嘉，索強，傘海洋，等. 3GPP長期演進(LTE)技術原理與系統設計[M]. 北京：人民郵電出版社，2008.

[2]李艷，張治中.LTE網絡S1AP監測方案的研究與實現[J]. 電信科學，2013(1)：31-38.

[3]中國移動通信集團公司.中國移動上網日志留存系統數據合成服務器設備規范[S]. 2013.

[4]張晟，賈思遠. 基于深度業務識別(DPI)的TD業務感知提升策略[J]. 電信科學，2011(2)：131-134.

[5]于強，霍紅衛. 一組提高存儲效率的深度包檢測算法[J]. 軟件學報，2011(22)：149-163.

[6]鄭淋，葉猛. 基于多尺度分析和決策樹的P2P流量檢測模型[J]. 電視技術，2013，37(1)：101-104.

[7]MITCHELLT.Machinelearning[M].北京：機械工業出版社，2003.

Research and Implementation of Traffic Identification Program in LTE Network

LIU Zhiqiang，ZHANG Zhizhong

(KeyLaboratoryonCommunicationNetworksandTestingTechnology，ChongqingUniversityofPostsandTelecommunication，Chongqing400065，China)

In order to achieve the traffic identification in Long Term Evolution (LTE) network, the user plane protocol stack of S1 interface is analyzed and the traffic identification of the user plane of S1 interface with the idea of modularization design concept is achieved. To solve the problem of weak identification of data services and poor statistical ability in traditional traffic identification system, multiple identification integrated service identification scheme is constructed, which is more accurate in traffic identification than traditional system. The traffic identification based on multiple identification integrated service identification scheme works effectively by the real network data testing and has important significance for traffic identification in LTE network.

LTE network; S1 interface; traffic identification； deep packet inspection; machine learning

國家“863”計劃項目(2014AA01A706)

TN929.5

B

10.16280/j.videoe.2015.01.025

2014-05-08

【本文獻信息】劉志強，張治中.LTE網絡中業務識別方案的研究與實現[J].電視技術,2015，39(1).

劉志強，碩士生，主研LTE網絡測試技術和信令監測技術；

張治中，教授，博士生導師，主研第三代移動通信測試技術、寬帶信息網絡、NGN網絡等。

責任編輯：許 盈