1　網絡流量管理現狀分析與解決辦法

網絡尤其是互聯(lián)網的原始設計理念導致了其在流量管理方面存在著能力缺陷，盡管業(yè)界已經從技術、管理、法律、制度等多個方面采取了很多措施來彌補這些能力的缺失，但當前的網絡流量管理依然存在著如下的問題：

(1)重網絡，輕業(yè)務

當前，絕大多數的網絡流量管理措施都位于網絡層，主要致力于網絡性能(QoS)優(yōu)化的基本流量流向的控制，以及簡單粗略的源地址過濾。即便是基于業(yè)務的流量管理措施，也多是依據網絡層的協(xié)議信息和傳輸層的標準端口號進行制定，業(yè)務流量管理效果十分有限，尤其對P2P的流量管理，有些力不從心。

(2)業(yè)務層和網絡層缺乏通用性和關聯(lián)性

當前針對業(yè)務的流量管理技術和措施大多都是一事一議，只針對特定業(yè)務應用，缺乏通用性；另一方面由于互聯(lián)網本身網絡與業(yè)務分離的基本特征，也導致了業(yè)務層的流量管理措施和網絡基礎設施之間缺乏關聯(lián)性，常常導致治標不治本。

(3)缺乏主動性

當前的網絡流量管理主要還是建立在簡單網絡管理協(xié)議(SNMP)、遠程網絡監(jiān)測(RMON)、NetFlow、Sniffing等被動的流量管理技術之上的，缺乏主動的網絡流量檢測分析和用戶行為分析，尤其在安全防護方面，缺乏一個主動、全網的安全威脅防御機制。

(4)管理不夠精細

互聯(lián)網是一個有機的整體，包括用戶、網絡和業(yè)務。而當前的網絡流量管理僅僅是一種粗放的網絡資源的調度，很難實現精細的網絡資源、業(yè)務資源和用戶資源的綜合管理。

產生上述這些問題的一個顯而易見的原因是當前的網絡流量管理缺乏對用戶和業(yè)務的感知能力，要解決這些問題，就有必要在網絡流量管理中引入一雙“慧眼”，智能和主動地對業(yè)務流量和用戶行為進行檢測分析，而這雙“慧眼”正是業(yè)務識別。

2　業(yè)務識別

業(yè)務識別|(Application Awareness)是伴隨著網絡業(yè)務的蓬勃發(fā)展而出現的一個新的概念，通過對業(yè)務流量從數據鏈路層到應用層的報文深度檢查分析，依據協(xié)議類型、端口號、特征字符串和流量行為特征等參數，獲取業(yè)務類型、業(yè)務狀態(tài)、業(yè)務內容和用戶行為等信息，并進行分類統(tǒng)計和存儲。

2．1　業(yè)務識別工作過程

業(yè)務識別的基本目的是幫助網絡管理者獲得網絡層之上的業(yè)務層流量信息，如業(yè)務類型、業(yè)務狀態(tài)、業(yè)務分布、業(yè)務流量流向等。業(yè)務識別是一個相對復雜的過程，需要多個功能模塊的協(xié)同工作，業(yè)務識別的工作過程如圖1所示，簡單描述如下：

圖1 業(yè)務識別工作過程

識別處理模塊采用多通道識別處理，通過對網絡流量的源/目的IP地址和源/目的端口號的Hash算法，將網絡流量均勻的分配到多個處理通道中。

多處理通道并行執(zhí)行網絡流量的深度報文檢查，獲取網絡流量的特征信息，并與業(yè)務識別特征庫中的特征進行比對。

將匹配結果送往識別處理模塊，并標識特定網絡流量。如果存在多個匹配結果，選取優(yōu)先級較高的匹配結果進行標識。特定網絡流量一經識別確定，該網絡流量的后續(xù)連接將不再進行深度的報文檢查，直接將其網絡層和傳輸層信息與已知識別結果進行比對，提高執(zhí)行效率。

識別處理模塊將網絡流量的業(yè)務識別結果存儲到識別結果存儲模塊中，為網絡流量的統(tǒng)計分析提供依據。

統(tǒng)計分析模塊從識別結果存儲模塊中讀取相關信息，并以曲線、餅圖、柱狀圖或者文本的方式將識別結果信息顯示，或以文件的形式輸出。

在結果存儲模塊中保存的識別結果信息會輸出到網絡流量管理功能區(qū)，為實施網絡流量管理提供依據。

2．2　業(yè)務識別技術

目前常用、典型的業(yè)務識別技術就是我們所熟知的DPI技術和DFI技術。

2．2．1 DPI技術

DPI是深度報文檢測(Deep Packet Inspection)的簡稱，是一種典型的業(yè)務識別技術。DPI技術之所以稱為“深度”的檢測技術，是相對于傳統(tǒng)的檢測技術而言的。傳統(tǒng)的流量檢測技術僅獲取那些寄存在數據包網絡層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號、協(xié)議號，以及底層的連接狀態(tài)等。通過這些參數很難獲得足夠多的業(yè)務應用信息。對于當前P2P應用、VoIP應用、IPTV應用被廣泛開展的情況，傳統(tǒng)的流量檢測技術已經不能滿足網絡流量管理的需要了。

DPI技術對傳統(tǒng)的流量檢測技術進行了“深度”擴展，在獲取數據包基本信息的同時，對多個相關數據包的應用層協(xié)議頭和協(xié)議負荷進行掃描，獲取寄存在應用層中的特征信息，對網絡流量進行精細的檢查、監(jiān)控和分析，如圖2所示。

圖2 DPI技術中業(yè)務流量的分析方法

DPI技術通常采用如下的數據包分析方法：

傳輸層端口分析。許多應用使用默認的傳輸層端口號，例如HTTP協(xié)議使用80端口。

特征字匹配分析。一些應用在應用層協(xié)議頭，或者應用層負荷中的特定位置中包含特征字段，通過特征字段的識別實現數據包檢查、監(jiān)控和分析。

通信交互過程分析。對多個會話的事務交互過程進行監(jiān)控分析，包括包長度、發(fā)送的包數目等，實現對網絡業(yè)務的檢查、監(jiān)控和分析。

2．2．2 DFI技術

DFI是深度流行為檢測(Deep Flow Inspection)的簡稱，也是一種典型的業(yè)務識別技術。DFI技術是相對于DPl技術提出的，為了解決DPI技術的執(zhí)行效率、加密流量識別和頻繁升級等問題而出現的。DFI更關注于網絡流量特征的通用性，因此，DFI技術并不對網絡流量進行深度的報文檢測，而僅通過對網絡流量的狀態(tài)、網絡層和傳輸層信息、業(yè)務流持續(xù)時間、平均流速率、字節(jié)長度分布等參數的統(tǒng)計分析，來獲取業(yè)務類型、業(yè)務狀態(tài)。如圖3所示。

圖3 DFI技術中業(yè)務流量的分析方法

從圖中可以看出，同為P2P流量的Kazza和Gnutella流量在外在行為特征上是趨于一致的，或者說具有共同的特性；而P2P流量和HTTP流量無論是在數據包大小的峰值，還是在數據包大小的分布上都有著明顯的不同。因此，可以根據這些特定業(yè)務流量的外在行為特征進行業(yè)務識別。例如，Bittorrent應用的流量具備如下的行為特征：四層端口號為6881-6889、數據包平均大小超過700字節(jié)，持續(xù)時間超過8s等。

2．2．3兩種識別技術的比較

兩種技術的設計基本目標都是為了實現業(yè)務識別，但是兩者在實現的著眼點和技術細節(jié)方面還是存在著較大區(qū)別的。下面我們從技術成熟程度、識別準確程度、識別精細程度、加密流量識別和執(zhí)行效率等幾方面對兩種技術進行比較。兩種技術的比較見表1。

從兩種技術的對比情況看，兩者互有優(yōu)勢，也互有短板，DPI技術適用于需要精細和準確識別、精細管理的環(huán)境，而DFI技術適用于需要高效識別，粗放管理的環(huán)境。