IP網絡流量監控技術研究及系統整合部署建議

李才斌　東華大學在讀碩士研究生劉惠明　中訊郵電咨詢設計院有限公司高級工程師

?

IP網絡流量監控技術研究及系統整合部署建議

李才斌東華大學在讀碩士研究生
劉惠明中訊郵電咨詢設計院有限公司高級工程師

對各類IP網絡流量及內容監控系統的部署進行了研究，分析了各系統的部署方式、工作原理以及使用場景。結合各類流量監控技術和系統的特點，本文創新性地給出系統集成、系統聯動等方面的建議，包括異常流量監測與流量清洗集成、應用監控系統與流量監測系統的集成、應用監控系統與內容監控系統的集成等建議。同時，提出了流量監管體系架構建議，以實現全網流量的統一監控和管理。

流量監測；流量控制；內容監控；流量監管體系

1　引言

互聯網技術的飛速發展，互聯網安全問題日益突出。IP網絡流量及內容監控技術得到政府、各大運營商和安全廠家的普遍重視，成為網絡和安全建設中不可缺少的內容。本文在對IP網絡流量及內容監控技術進行分析和研究的基礎上，對系統的部署方式進行研究，并給出流量監管體系架構建議。

2　IP網絡流量及內容監控技術

2.1流量監測技術介紹

（1）xFlow技術

xFlow技術是利用IP包的幾個信息段來實現對網絡流量流向的分析，這些信息段包括源IP地址、目標IP地址、源通信端口號、目標通信端口號、TOS字節（DSCP）、第三層協議類型等。

該技術主要應用于網絡規劃和分析、網絡監控、計費、用戶監控等方面。流檢測技術DFI（Deep Flow Inspection）是基于流行為統計的一種流分類和識別技術，通過不同業務流自身的流量和連接規律進行分析，對應用進行識別。

（2）包分析技術

傳統的IP包流量識別和QoS控制技術僅分析IP 包4層以下的內容，包分析技術在分析包頭的基礎上，增加了對應用層的分析，是一種基于應用層的流量檢測技術。根據不同的分析方法，包分析識別技術可劃分為以下幾類：

●協議特征識別技術

協議特征識別技術也稱深層包分析技術（DPI）。不同的應用協議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。根據具體檢測方式的不同，基于特征字的識別技術又可細分為固定特征位置匹配、變動特征位置匹配和狀態特征字匹配3種分支技術。通過對指紋信息的升級，基于特征字的識別技術可以方便地擴展到對新協議的檢測。

●應用特征監測

綜合關聯分析信令流與數據流，監測信令流交互協商過程，得到其數據流連接通道相關參數，從而實現對完整業務進行監測的技術。例如，VoIP、流媒體等業務流量，需要通過檢測SIP或H232的協議交互，才能得到其完整的分析。

●行為特征檢測技術

通過綜合分析各種應用的連接數、單IP的連接模式、上下行流量的比例、數據包發送頻率等指標，來識別應用的流量監測技術。例如，寬帶私接判定、垃圾郵件判定。

（3）SNMP技術

SNMP（Simple Network Management Protocol，簡單網絡管理協議）是網絡中管理設備和被管理設備之間的通信規則，它定義了一系列消息、方法和語法，用于實現管理設備對被管理設備的訪問和管理。目前，大多數設備的SNMPAgent支持SNMPv3版本。

SNMP技術僅能對網絡設備端口的整體流量進行分析，可以獲得設備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標，但無法分析具體的用戶流量和協議組成。可在一定程度上（網絡2～4層）實現有限的端到端通信會話數據分析、TopN用戶統計等功能。

（4）技術小結

以上的幾種技術手段各自的技術特點總結參見表1。

表1　流量監測技術總結

表2　流量控制方式特點總結

2.2流量控制技術分析

流量控制技術手段包括過濾（ACL）、丟棄（黑洞）、清洗（流量清洗）、干擾、限制、阻斷等。

（1）ACL技術

ACL使用包過濾技術，在路由器上讀取3～4層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

（2）黑洞路由技術

黑洞路由實際是一種特殊的靜態路由，顧名思義，就是目的地址為該網段的數據報文到達設備之后，將被丟棄。另外，將報文丟到黑洞的操作不需要CPU進行任何處理，所以處理大量的報文也不會消耗設備的CPU資源，充分利用了路由器的包轉發能力，對系統負載影響非常小。

（3）流量清洗技術

流量清洗技術，是利用專業的流量清洗設備，通過對異常流量的引流、過濾，實現對目的IP的保護。是一種基于目標的防護技術。

（4）干擾、限制和阻斷技術

干擾、限制和阻斷技術，常用于對VoIP和P2P應用的控制。實時分析網絡上所有數據流，準確識別各類VoIP和P2P通話，并按需要切斷VoIP 和P2P通話或增加干擾噪音。

（5）技術小結

以上的幾種技術手段各自的技術特點總結參見表2。

單一的一種控制技術都不能徹底地解決所有的安全問題，需要多種方式相結合。可采用ACL和黑洞對流量的整體規模進行控制，而流量清洗對敏感流量進行保護，對于超過流量清洗系統處理能力的超大突發流量，可采用黑洞路由方式相結合進行流量清洗和疏導。除了上述專用的流量監控和清洗手段之外，還可使用TE路由、QoS、ACL&Car技術等方式減輕網絡局部負擔過重，降低網絡擁塞風險，保障正常業務流量的服務質量。

2.3內容監控技術

內容監控技術，主要針對互聯網低俗、反動、詐騙等非法內容進行監測和控制；主要包括內容采集獲取技術和內容信息的識別匹配技術。

主流的內容采集獲取技術手段有“流量還原”和“網絡爬蟲”兩種主要的技術手段。根據網絡中內容形式的不同可以分成文字內容識別、圖像內容識別、視頻內容識別等關鍵技術。

3　IP網絡流量及內容監控系統部署

常見的IP網絡流量及內容監控系統包括流量流向監測系統、異常流量監測系統、應用監控系統、內容監控系統、流量清洗系統等，具體參見表3。

表3　常見IP流量和內容監控系統比較

4　流量監控系統整合部署及流量監管體系架構建議

結合IP網絡流量及內容監控技術特點，提出如下系統集成部署方案建議。

（1）異常流量監測與流量清洗集成

異常流量監測系統，對運營商網絡中的Flow信息進行分析，發現定位網絡中的異常流量攻擊，通過與流量清洗系統的集成，實現異常流量自動檢測，清洗系統聯動，協同保障網絡流量安全，有效保證網絡中可用性，異常流量監測系統與清洗系統集成關鍵技術包括異常流量監測、流量引流、流量回注等關鍵技術。

（2）應用監控系統與流量監測系統的集成

通過應用監控系統與流量監測系統（包括流量流向監測系統和異常流量監測系統）的集成，可以綜合包分析技術和xFlow分析技術的特點和優勢，在復雜的寬帶網絡環境下，滿足寬帶IP網絡的整體監測要求。集成示意圖參見圖1。

通過統一管理平臺對流量分析系統、應用監控系統進行統一的策略管理，統一收集挖掘監測系統獲取的監測分析數據，并輸出用戶流量數據報表，并提供設備的統一維護管理等。

（3）應用監控系統與內容監控系統的集成

從系統架構角度分析，應用監控系統、內容監控系統，在底層流量采集、協議內容還原部分，基于相同的技術機制，有必要統一規劃建設網絡的流量采集平臺，實現對網絡中關鍵鏈路的流量采集，協議分檢、承載內容還原，為后繼的各類應用監控分析統計系統、內容監控審計系統提供統一的前端采集基礎（見圖2）。

統一的分流采集平臺，主要實現對網絡流量的統一采集，根據后繼的各類分析需要，按照IP地址的五元組，匯聚還原同一個用戶的流量會話，進而還原出用戶的傳輸層協議承載的應用層內容，供后繼的各類監控系統進行流量分析，內容審計監控使用。

圖1　應用監控系統與FIow監測系統集成示意圖

圖2　應用監控系統與內容監控系統集成示意圖

通過統一建設的分流采集平臺，可以統籌考慮關鍵網絡位置的流量獲取，并且根據監測需要，進行流量的還原，確保網絡的整體結構完整性同時，為實現精細化的流量內容管理提供基礎支持。

5　結束語

統一建設，以實現系統的集成和共用，建立全網統一的流量監管體系。

［1］夏俊杰，劉惠明，陳利兵等.中國網通IP網信息安全專項規劃.

［2］劉惠明等.2008年北京本地IP網奧運流量清洗工程可行性研究報告.

［3］劉惠明，安超等.2006年北京本地IP網部分節點應用監控系統工程可行性研究報告.

［4］劉惠明，安超等.2006年北京本地IP網流量分析系統工程可行性研究報告.

［5］劉惠明，安超等.2009年北京聯通內容信息安全監控綜合管理平臺建設工程可行性研究報告.

2016-07-20）