DPI技術在IP網(wǎng)流量經(jīng)營中的應用研究

周振勇 華信咨詢設計研究院有限公司網(wǎng)絡規(guī)劃研究院副院長，總工程師

楊 華 中國移動通信集團浙江有限公司網(wǎng)絡部網(wǎng)管中心運行質量部經(jīng)理

1 引言

當前，隨著寬帶中國戰(zhàn)略的實施，寬帶用戶迅猛發(fā)展，各種互聯(lián)網(wǎng)應用不斷豐富，特別是各種OTT應用的出現(xiàn)，使互聯(lián)網(wǎng)流量成倍增加，電信運營商為了應對上網(wǎng)流量的增長，需不斷地對IP網(wǎng)絡進行擴容，投資壓力巨大，出現(xiàn)了流量快速增長但業(yè)務收入增長緩慢的“剪刀差”現(xiàn)象。為了實現(xiàn)業(yè)務轉型，改變寬帶業(yè)務收入主要依賴接入費用的局面，各電信運營商都提出了流量經(jīng)營戰(zhàn)略，希望通過對互聯(lián)網(wǎng)流量的識別和應用，增加業(yè)務收入，而要實現(xiàn)互聯(lián)網(wǎng)流量識別，DPI（Deep Packet Inspection，深度包檢測）系統(tǒng)建設是基礎。目前，各電信運營商都非常關注DPI系統(tǒng)的建設和部署，本文將結合工程實踐，對DPI技術的基本原理、關鍵技術、分析能力、應用場景和部署方案等作分析和探討。

2 DPI技術的基本原理

DPI是指一種基于數(shù)據(jù)包的應用層流量檢測和控制技術，針對數(shù)據(jù)包的不同層信息（如IP地址、應用層端口、應用層協(xié)議、凈荷內(nèi)容等）進行深度檢測和分析，從而得到整個數(shù)據(jù)流或數(shù)據(jù)包的應用層信息，然后按照系統(tǒng)定義的策略對流量進行統(tǒng)計分析和控制。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包4層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI除了對前面的層次分析外，還增加了應用層分析，識別各種應用及其內(nèi)容。DPI與傳統(tǒng)業(yè)務識別技術的區(qū)別如圖1所示。

3 DPI關鍵技術

3.1 DPI識別技術

（1）基于特征字的識別技術（見圖2）

通過識別數(shù)據(jù)報文中的凈荷特征來確定業(yè)務流所承載的應用。不同的應用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的特征（除加密應用外），這些特征可能是特定的端口、字符串或者Bit序列。檢測方式：固定位置特征匹配、可變位置特征匹配、多連接聯(lián)合匹配、狀態(tài)特征匹配。

圖1 DPI與傳統(tǒng)業(yè)務識別技術的區(qū)別示意圖

圖2 基于特征字的識別技術示意圖

（2）交互式業(yè)務識別技術

首先識別出控制流，并根據(jù)控制流協(xié)議分析識別出業(yè)務流的端口或對端網(wǎng)關地址等信息，然后對業(yè)務流進行解析，從而識別出相應的業(yè)務流。目前，VoIP/FTP/網(wǎng)絡游戲等業(yè)務普遍采用控制流與業(yè)務流分離的方式，通過控制流完成握手，協(xié)商出業(yè)務流的端口信息，然后進行信息流傳輸，業(yè)務流沒有任何特征。

（3）行為模式識別技術

基于行為識別模型，根據(jù)用戶已經(jīng)實施的行為，判斷用戶正在進行的或者即將實施的動作。行為模式識別技術通常用于那些無法由協(xié)議本身判定的業(yè)務。在實施前，必須首先對終端的各種行為進行研究，并在此基礎上建立起行為識別模型。如SPAM檢測（垃圾郵件檢測），從E-mail的內(nèi)容看，垃圾郵件業(yè)務流與普通郵件業(yè)務流兩者沒有區(qū)別，只有進一步分析發(fā)送郵件的目的郵件地址數(shù)目、變化頻率、源郵件地址數(shù)目、變化頻率、郵件被拒絕的頻率等參數(shù)，建立起行為識別模型，并以此分揀出垃圾郵件。

3.2 DPI管控技術

（1）并接流量控制（見圖3）

采用數(shù)據(jù)包偽裝技術將偽裝的干擾數(shù)據(jù)包發(fā)到正在通信的TCP連接中，通過降低連接的傳輸速率或者切斷連接以達到流量控制的目的。需要引入分光設備或鏡像設備，并且需要占用網(wǎng)絡設備的端口用于將干擾信息發(fā)送到互聯(lián)網(wǎng)中。

圖3 并接流量控制示意圖

（2）串接流量控制（見圖4）

圖4 串接流量控制示意圖

通過DPI識別技術對網(wǎng)絡上各種類型的應用流量進行分類，并根據(jù)控制策略，將需要控制的應用流量數(shù)據(jù)包丟棄。其特點為：

如果允許電動設備按其“自然曲線”靈活運行，當流量每減小50%，則相當于額定功率減少12.5%（0.53）。工作效率將提高400%（=50%/12.5%）。實現(xiàn)該效率提升的條件是讓泵和風機的壓力-轉速關系始終按“自然曲線”維持在較低轉速的條件下。流量減小50%就相當于壓力減小25%（0.52）。

●采用丟棄數(shù)據(jù)包、隊列調度等方式，控制方式比并接方式直接，不占用額外的干擾接入端口。

●由于所有的網(wǎng)絡數(shù)據(jù)流都要經(jīng)過設備處理再進行轉發(fā)，帶來一定的處理延時，有可能形成處理瓶頸和單點故障。

●串接方式對設備的處理和轉發(fā)性能要求高。

4 DPI分析能力及應用場景

4.1 DPI分析能力

（1）對應用進行分析識別（見圖5）

圖5 基于應用的分析識別示意圖

以應用為維度進行數(shù)據(jù)的分析、統(tǒng)計和呈現(xiàn)，用于網(wǎng)絡規(guī)劃和運行維護，獲取現(xiàn)網(wǎng)流量模型、流量業(yè)務發(fā)展趨勢等信息。

（2）對用戶行為進行分析識別（見圖6）

圖6 基于用戶行為的分析識別示意圖

DPI具備基于流的分析識別能力，以用戶對互聯(lián)網(wǎng)的訪問為維度進行分析，并輸出用戶對互聯(lián)網(wǎng)的訪問記錄，進而分析用戶的互聯(lián)網(wǎng)訪問行為和偏好。

（3）對流量流向進行分析（見圖7）

分析研究網(wǎng)絡流量構成和流量流向，對視頻、云存儲等大流量業(yè)務進行分析、預測和監(jiān)測，提升流量預測的合理性，為網(wǎng)絡建設提供更加詳實的依據(jù)；針對應用的流量流向分析，能夠進一步提升應用對網(wǎng)絡流量影響的分析能力，可以與ICP的內(nèi)容部署相結合，進行網(wǎng)絡架構的優(yōu)化；對網(wǎng)絡的局部業(yè)務應用的組成和變化情況的分析，為支撐后續(xù)流量的架構優(yōu)化和本地化提供參考。

4.2 DPI應用場景（見圖8）

DPI系統(tǒng)提供電信運營所需的各類統(tǒng)計分析數(shù)據(jù)，可應用于前端的市場策略制定、增值業(yè)務開發(fā)及后端的網(wǎng)絡運維管理等。

5 DPI系統(tǒng)部署方案

5.1 DPI設備架構

DPI系統(tǒng)分為前臺（鏈路側采集部分）和后臺（集中平臺處理部分）兩個層次。后臺一般采用通用服務器，但前臺設備差異性較大。DPI設備總體上有3種架構模式：

（1）服務器架構：采用協(xié)轉分流設備及前置處理服務器，對鏈路流量進行分析和處理。綠網(wǎng)、傲天等廠家均采用這種架構。

（2）路由器架構：采用自有路由器平臺架構開發(fā)DPI設備，如華為、中興。

（3）硬件探針盒式架構：自行開發(fā)基于FPGA的DPI設備，如浩瀚。

圖7 網(wǎng)絡流量流向分析示意圖

圖8 DPI應用場景示意圖

5.2 DPI部署方案（見圖9）

圖9 DPI部署方案示意圖

DPI部署位置比較靈活，可根據(jù)不同的需要在IP網(wǎng)中選擇合適的位置（如國際、省際、城域網(wǎng)、IDC等出口）部署DPI設備。

6 結束語

IP網(wǎng)流量經(jīng)營已成為各大電信運營商業(yè)務轉型的重要方向，為了實現(xiàn)IP網(wǎng)流量經(jīng)營，流量采集和分析是基礎，而DPI系統(tǒng)部署則是實現(xiàn)流量采集和分析的主要手段。本文介紹了DPI的基本原理、關鍵技術和分析能力，并提出了DPI的應用場景和系統(tǒng)部署方案，可供相關技術人員參考。