一種基于統一DPI 的流量欺詐識別系統

鄭 濤

（宜通世紀科技股份有限公司，廣州 510000）

隨著計算機網絡的發展，互聯網逐漸普及起來，網絡安全事故的日益增多，傳統的網絡欺詐流量識別與監控技術分為純軟件欺詐和純硬件欺詐識別兩種，軟件識別在識別流量的過程中耗時長，欺詐檢測速度緩慢，無法滿足當前高速上傳和下載形式的網絡數據，而硬件識別則比較難進行復雜的網絡協議處理。因此考慮基于軟件來識別復雜的網絡協議，普通的網絡協議則通過硬件來識別，軟硬結合實現高效的流量欺詐識別。

1 系統總體結構

目前在網絡中較為常用的大部分網絡流量協議都是以超文本傳輸安全協議為主，只需要借助特殊的字段，就能夠實現身份欺詐，主要以硬件為基礎，在欺詐流量識別速度方面具有優勢。在識別了這部分的欺詐行為后，系統記錄了無法通過硬件識別的流程通過軟件方法流轉到人工引擎進行識別。不能通過欺詐流量識別的主要是網絡中不常見的流量，或者有必要通過其他方法來識別欺詐流量，它的數據流需要通過信令流進行關聯，然后進行分析和計數，通過模式字符串知識庫使用不同的關鍵字來判讀使用硬件識別和軟件識別過程，系統支持三個線程模式，包括數據庫生成線程、知識庫編譯線程和數據線程，數據庫生成線程用于解析和加載模式字符串，知識庫編譯線程用于匹配字符串[2]。

2 知識庫語法設計

軟件識別欺詐流量的語法設計相對復雜，因為它支持復雜的欺詐識別技術，如深度包解析、特殊功能和關聯欺詐識別，它消耗了大量的cpu 資源。為了防止系統性能下降，該系統限制了軟件欺詐識別規則的數量，設計人員需要使用硬件模式來分析和提取盡可能多的應用程序規則，以減少軟件欺詐識別規則的數量。輸入數據后，系統為五元組信息創建一個流表，并在硬件欺詐識別后進行更新。軟件欺詐識別處理硬件無法處理的流量，并更新流量表，因為流量表中的數據量隨著網絡流量的增加而增加。網絡流量越大，流量計中的數據量越大，系統需要設置流量計的自動移除時間，數據量數據在流量計中只有有限的時間，通常是15秒，當時間超過15秒，之前的數據被自動清除時[3]。

3 系統硬件設計

系統的硬件設計采用多核CPU，在硬件上實現了具有高品牌，以效率的正則表達式進行邏輯的匹配，同時對于網絡中較為常見的流量，采用匹配的語法進行表達。硬件狀態機會將語法中的規則進行加載，然后針對流量表中需要檢測的數據進行欺詐識別和匹配，最終得到匹配的結果，在流量表中進行更新。

4 系統軟件設計

本文的系統軟件設計是基于Linux 內核的，當欺詐識別加密的數據包流量或網絡中沒有明顯特征的數據時，需要一些其他欺詐識別手段，例如，在實現匹配之前需要解密一些P2P 流量，借助特殊功能，實現對于數據包的識別，所使用的匹配算法直接決定軟件的工作效率。選擇的匹配算法朝向邊緣偏移，能夠有效縮短整體的匹配時間。本次課題研究主要使用緊湊正則表達式算法有效縮短時間，同時也減少查詢數量，保證整體搜索的效率。移邊壓縮的主要原理是用最大的移邊從任何狀態壓縮移邊到該狀態[4]。

5 運行驗證實驗

使用網絡帶寬100M 的局域網進行測試，這使得網絡的暢通得到一定程度的保證，使用1：9的數據樣本（欺詐流量：正常流量）被用作這項測試的數據源，在局域網內進行收發測試，對欺詐識別的流量通過丟包進行處理，當下發欺詐流量的阻斷策略后系統的丟包數顯著上升，最終接收的數據樣本，經過檢查欺詐流量被攔截，正常流量得以正常傳送，沒有發生堵塞。

6 結束語

綜上所述，為了有效地管理和監控網絡流量，本文提出了一種基于統一DPI 的欺詐流量識別系統，針對傳統純軟件流量監控表現出速度緩慢的問題進行有效解決，能夠更好適應現代網絡高速數據流量的特性。借助純硬件方式識別欺詐，往往會占據大量的內存，而采用不同的語法進行識別，能夠有效縮減內存空間，避免重復識別對象，提升整體識別效率，借助軟件和硬件結合的方式，表現出兩者的共同優點。最終結果顯示，本次課題研究所設計的系統在欺詐流量識別準確率。一方面要明顯高于傳統的方式，并且不會造成網絡的阻塞。