電力信息通信網絡流量識別技術探討

張世強

【摘要】：電力信息通信網絡對安全性有較高要求，所以選擇流量識別方法首先要了解這些方法。本文著重介紹了目前使用范圍較廣網絡流量識別方法，并分析得出適用于電力信息通信網絡的流量識別方法。

【關鍵詞】：電力信息通信網；網絡流量；識別方法

引言

IP報文集合會通過網絡觀測點，并且它是在某個固定時段內通過的，我們把這種的集合稱之為流。在同一個特定流范圍內的報文，常常具備相同的屬性。流量由流組成，一定數量的流構成了流量。流量具備不同特征，根據這些特征對流量進行區分和選擇，就是流量的分類和識別。用具體的理論方法進行描述時，為“分類”；用具體的應用分析進行描述時，就是“識別”。如果沒有特別說明和要求，通常是不會過于嚴格區分的。

1、網絡流量識別方法的分析

1.1基于端口映射的流量識別方法

主要有兩種途徑：①分析傳輸控制協議（TransmissionControlProtocol，簡稱TCP）數據包中的端口號；②分析用戶數據報協議（UserDataProtocol，簡稱UDP）數據包中的端口號。分析端口號之后，再比較它和熟知的端口號之間的不同，判斷其應用類型。

這種方法操作起來比較簡單，能夠很好的識別分類高速網絡中的流量，而且是實時流的分類。但是它有一些缺點。對于那些沒有把端口號在互聯網數據分配機構（theInternetAs-signedNumbersAuthority，簡稱IANA）進行注冊的應用，和那些未知端口的應用來說，是無法利用這種方法進行流量識別的。另外，常見的P2P應用中運用的是動態分配端口技術，也沒有辦法實施基于端口映射的流量識別方法。如果網絡互連協議層上有加密，那么利用這種方法是不能獲得端口號的，這種方法在面對加密情況時，無法產生正常效用。

1.2基于有效負載的流量識別方法

傳統的網絡流量識別方法，其判斷過程過分依賴端口號。為了減少這種依賴，基于有效負載的網絡流量識別方法應用而生。包的有效負載中存在一些字段，基于有效負載的網絡流量識別方法主要對包中存在的已知應用的字段進行分析，通過分析實現流的分類。這種方法的準確性比基于端口映射的流量識別方法要高出許多。它的具體操作過程是：對尚未識別的應用層協議進行詳細分析。每個協議中都包含著不同于其他協議的字段，分析應用層協議中這些不同字段并將其視為應用協議的特征。識別流量過程中，需要對報文的負載部分進行檢測，而且檢測必須使用深度包檢測技術。檢測完成后，比較已知協議特征和檢測結果，如果二者能夠匹配，就可以將該流歸類于對應的應用中。這種方法也有非常明顯的不足。它雖然能夠快速識別那些并沒有加密且已知的流量，但是面對那些未知流量，這種方法卻沒有實際作用。由于這種識別方法主要通過分析應用層中的內容來實現識別的，時常會出現侵犯隱私甚至其他性質嚴重的安全性問題。

1.3基于主機行為的流量識別方法

前面介紹的兩種方法，雖然能夠實現流量識別，但是它的缺陷也對其識別范圍造成一定影響。研究者在前兩種方法的基礎上，提出了基于主機行為的流量識別方法。這種方法能產生效果，主要通過對主機中傳輸層特有的行為模式及其特征進行分析，最終實現流量識別或分類。這里的主機行為包括TCP協議的使用順序和IP地址的數目，還包括UDP協議的使用順序和相關傳輸速度的變化。通過對這些主機行為及其特征的詳細分析，能夠判斷出它對應的應用類型。基于主機行為的流量識別方法的特點有三個：①利用它識別流量不需要了解端口號及與之相關的信息，不會出現前兩種方法中無法識別未知或動態端口的情況，更不會出現受到端口誤導的情況。②不需要對負載進行解讀，不會出現侵犯隱私的情況或者其他安全性問題。③這種方法主要是分析路由器上的NetFlow信息，所以在設備方面的投入比較小。當然，這種方法也存在一定局限性，具體表現在：不能識別某些特定的應用類型，比如這種方法雖然能將P2P類型的流量識別出來，但卻無法確定具體是哪種P2P應用。

2、適用于電力信息通信網絡的流量識別方法

電力通信網絡要傳輸語音、圖像、視頻等數據信息，而且因為電力行業比較特殊所以它比較重視網絡的安全性。電力信息通信網絡流量識別方法須達到這些要求和標準：①流量識別技術的識別率要達到將近100%，而流量識別的準確程度不能低于92%。②應用于電力信息網絡中的流量識別方法要具備非常高的安全系數，在使用方法的效用范圍內，盡量保證數據內容的安全。③要快速識別出端口可變業務以及其他加密業務或者可變IP的業務。④流量識別方法能夠感知多種應用，快速識別出HTTP、BLOG等應用。根據電力信息通信網絡的特征和它對網絡流量識別方法的要求，再結合第一部分中介紹到的網絡流量識別方法，可以看出，基于機器學習的流量識別方法是最合適的選擇。原因是：

（1）由于基于端口的流量識別方法主要通過分析端口號來識別流量，所以它極易被端口號誤導。而目前的端口形勢多數為動態，這對基于端口的流量識別方法的準確性有非常大的影響。

（2）基于有效負載的流量識別方法，通過解讀數據包進行判斷，這一識別過程需要投入非常大的資金，而且解析數據包的過程中很有可能出現安全問題。前面已經提到，電力信息通信網絡對網絡環境的安全性有非常高的要求，縱然它識別流量的準確率較高，也不適合在電力信息通信網絡中使用。

（3）基于主機行為的流量識別方法，雖然具有一定準確性，但是它的識別效果不夠理想。不可否認，它能夠識別出應用，但是它的分類粒度不夠細。尤其是當前網絡環境中P2P應用的數量和規模飛速增長的情況下，僅僅識別應用是不夠的，還要識別出應用的子應用。所以這種方法也不適合在電力信息通信網絡中應用。

結語

電力信息通信網絡對網絡環境的安全性有較高的要求，網絡流量識別技術能夠幫助電力信息通信網絡提高其可視業務的能力，增強電力信息通信網絡的安全性能。基于機器學習的流量識別方法本身具有許多優點，比較適合運用在電力信息通信網絡中。

【參考文獻】：

[1]姜羽，華俊，胡靜，宋鐵成，劉世棟，郭經紅.電力信息通信網絡流量識別技術研究[J].信息化研究，2015，01：10～14+18.