IP网监控系统调研与建议--中国电信

1 IP网监控系统调研与建议 中国电信集团广州研究院 2008.9 2 存在问题后续计划 4 目录 技术现状分析 2 系统部署建议 3 调研情况介绍 1 3 江苏广东部署情况 江苏省 在省出口，采用分光方式部署，可实现一拖 N监控、 P2P监控、VOIP监控和流量统计分析功能 广东省 未在全省统一部署流量监控系统 功能模块部署情况 一拖 N监控 1.在广州、深圳、东莞分光方式部署了监控系统 2.只针对公众用户进行监控，不对专线用户实施监控 3. 购置了 12台 “ 网络尖兵 ” ，在全省其它地市之间机动部署 P2P监控 1.未在全省统一部署 2.深圳全网对 P2P流量进行监控 3.其它地市选择了部分 P2P流量较大地区进行了 P2P流量监控 VOIP监控 1.监控范围为珠三角地区 9地市，广州、深圳、东莞、佛山基本实现全网监控，其他 5个地市不同链路之间流动监控 2.各 地市 主要使用傲天、天讯、信通网联的 VoIP监控设备 流量统计分析 1.采用机动部署方式，只对个别用户 (群 )进行流量统计分析 2.主要基于 Netflow流量进行统计分析 4 江苏电信监控效果 有效打击了公众客户的私接和“黑网吧”现象以及“假接入，真互联” 为江苏省电信公司开展的“网络护航”专项清理工作提供了保障 一拖 N监控效果 P2P监控效果 通过忙时削峰的方式降低 P2P流量对链路带宽的冲击 缓解了江苏省出口链路带宽资源紧张的现状 P2P调控时间：每天 15： 00至23： 00。 图示链路在 15： 00的流量已超过 7.3Gbps，通过调控，链路负荷由 94%降到 85%以下，效果显著 VOIP监控效果 0100000200000300000400000500000600000700000南京 苏州 无锡 常州 镇江 扬州 南通 泰州 徐州 淮安 盐城 连云港 宿迁3月 6月全省呼叫传统电话网 VOIP总时长， 6月比 3月下降了 53%，镇江、泰州、徐州、淮安等分公司 VOIP时长显著下降 5 江西省安徽省部署情况 江西省 安徽省 采用系统 信风公司的 IP用户行为分析系统 部署方式 省网出口，分光方式监测 部署功能 一拖 N、 VoIP 和 P2P监控 系统规模 对 4 10G上行流量进行监控 实施效果 系统正在建设中，实际控制效果有待验证 系统于 2006.4正式运行，目前效果良好 系统投资 450万 500万 后续需求 1.希望针对单个用户行为进行分析，为针对性营销提供数据基础。 2.希望系统实现关键应用的流量分析，并通过整合 /二次开发提供用户行为分析数据 后续建设中，考虑部署 P2P监控、用户行为分析和广告推送等模块 6 湖北省部署情况 采用系统 信风公司的 IP用户行为分析系统 湖北电信下属公司绿色网络信息公司 部署位置 省网出口，分光方式监测 分别部署在武汉、襄樊、宜昌、黄冈、十堰等地的 BRAS GE接口和GSR 10 GE接口处，分光方式监测 部署功能 一拖 N监控， VOIP监控 (试用 ) 一拖 N监控 、 VoIP 监控、 P2P监控 、流量统计分析（部分功能） 系统规模 可对 6 10G上行流量进行监控 可对上述城域网的大部分 GE链路进行监控 实施效果 有效打击一拖 N和非法 VOIP用户 一拖 N监控、非法 VoIP监控、 P2P监控和流量统计分析效果明显 系统投资 553万 后续需求 希望提高监控系统在城域网的覆盖范围 7 浙江省部署情况 采用系统 宽广公司的产品 部署方式 未在全省统一部署，在部分城域网有部署（以某城域网为例） 部署功能 “一拖 N”监控、非法 VoIP 监控和 P2P监控。 系统规模 可对 6 10G上行流量进行监控 实施效果 实现了 “ 一拖 N”监测，并可对主流 VOIP应用、 P2P应用实施监控 系统投资 360万 相关建议 目前的 IP网监控解决方案还不能实现网络控制、用户行为分析和业务策略的有效耦合 建议通过标准接口引入 SP/CP，实现各种业务的响应和灵活加载。 8 海南省部署情况 采用系统 宽广电信公司的解决方案 部署方式 省网出口， TMA-SSS串行接入， TMA-VOIP和 UA以分光方式监测数据 部署功能 非法 VoIP 监控、 P2P监控和用户行为分析 (可实现一拖 N的监测 )。 系统规模 可对 4 2.5G上行流量进行监控 实施效果 1.可有效抑制 P2P流量和打击非法 VOIP 2.不能控制 skype、 SkypeOut 系统投资 目前系统使用是采用 “ 购买技术服务 ” 的方式，未采用投资方式 存在困难 IP网监控系统的部署要与带宽扩容、网络优化改造等同步考虑，其部署难度和费用都较高。 9 陕西省部署情况 采用系统 宽广 TMA-VOIP Caspin流控设备 上大雷克 - 网络尖兵 部署方式 西安城域网汇接层上行链路，分光方式监测 西安城域网出口链路，串接方式进行流量控制 西安城域网出口链路 部署功能 VOIP监控 P2P流量控制 一拖 N监控 系统规模 2 OC48 2 OC192 机动部署 实施效果 有一定效果 正在试用 存在误检，目前只用于监测 系统投资 40万 不详 10 其它运营商部署情况 中国网通 1.一拖 N监控：山东、东北三省的大部分本地网 2.VOIP监控：沈阳本地网 3.P2P监控：宁波网通信息港 4.分级接入服务：哈尔滨网通 中国联通 P2P控制：部署在互联互通出口、城域网出口和部分本地网汇聚路由器上联出口 中国铁通 P2P控制：部署在互联互通出口、城域网出口和部分本地网汇聚路由器上联出口 英国电信 差异化服务和流量分析：部署在局部区域 法国电信 流量分析和内容计费：试验性部署 韩国电信 1.P2P总量控制 : 部署在部分网络出口 2.内容计费 : 部署在网络局部区域 11 各典型厂家情况 厂家名称 公司规模 市场情况 产品情况 华为 该产品线研发团队共 200人 1.电信的部分城域网部署 2.在网通的河北、辽宁等占较大份额 1.华为 SIG系统，分光方式接入，实施流量监控和统计分析 2.内嵌式 DPI板卡，插在 ME60上，主要实施流量控制 信风 36人，注册资金100万 1.江苏、安徽、湖北、江西电信等省出口部署 2.未真正进入网通市场 信风 IP网用户行为分析系统，分光方式接入，实施流量监控和统计分析 傲天 200多人，注册资金 600万 1.在四川和深圳电信等部署 2.未真正进入网通市场 傲天宽带增值业务解决方案，分光方式接入，流量监控和统计分析 宽广 96人，注册资金1500万 1.深圳、海南电信等部署 2.河北网通部署 1.TMA-SSS设备，串接方式实施应用层流量控制 2.TMA-VOIP设备，分光方式接入，实施 VOIP控制 3.TMA-UA设备，分光方式接入，进行用户行为分析 Allot 以色列公司，全球283人，国内 4人 1.在电信局部区域有销售 2.在联通、铁通占有一定份额 NetEnforcer系列产品，串行接入，对流量实施控制 Cisco 国内 SCE产品团队50人 1.在电信局部区域有销售 2.在铁通、网通有较大份额 SCE系列产品，串行接入，对流量实施控制 Caspin 美国公司，全球140人，中国 5人 1.在上海电信城域网出口部署 2.在联通和铁通有部分销售 Caspin流控服务器，串行接入，实施总体流量控制 12 所反映问题 流量识别效率 每种系统都存在一定的未识别流量，其中信风系统的流量未识别率占 20% 数据单向采集 理论上，数据单向采集对识别精度会造成一定影响 若进行双向数据采集，硬件成本将翻倍 需要在识别精度与投资成本之间做平衡 技术支持力度 IP网监控技术处于发展中，提供解决方案的厂家大部分规模较小，系统支持能力和后续开发能力有待观察 系统部署原则 各省市在解决方案选择、部署方式和部署范围等方面缺乏相应规划和原则，造成一定重复投资 13 存在问题后续计划 4 目录 技术现状分析 2 系统部署建议 3 调研情况介绍 1 14 监控技术发展趋势 一拖 N技术 采用多种技术手段实现非法共享上网，方式更加隐蔽 P2P技术 将接入节点分散化，接入 P2P网络的方式更隐蔽 通过改变协议端口或端口冒充的方式，逃避打击 采用报文加密方式，增加识别难度 VOIP技术 将信令网关 /媒体网关分散化，逃避打击 通过“私有隧道”方式转发信令和媒体流，方式更隐蔽 通过改变协议端口或端口冒充的方式，逃避打击 技术发展趋势 监控技术发展趋势 综合多种技术手段进行流量识别，减少对一拖 N、 P2P和 VOIP业务的误判现象 通过双向链路采集进行流量识别，提高 P2P和 VOIP的识别率 通过媒体流和信令流关联检测的方式，提高 VOIP识别率 15 典型解决方案 A类 协议转换器 前置设备 网络设备 分光 控制链路 统计管理服务器群 Internet 通过分光 /旁路方式采集链路数据，然后通过协议转换器将数据输入前置设备进行深度分析监测，并依据监测结果对特定流量实施控制。 代表厂家：华为、信风、傲天、宽广等 支持一拖 N监控、 VOIP监控、 P2P监控和流量统计分析功能 16 典型解决 方案 B 类 监控方式 将监控设备直接串接在物理链路上，对所有流量进行深度分析监测，并依据结果实施控制。 监控设备 统计管理服务器 代表厂家： Cisco、 Allot、宽广等 监控设备 统计管理服务器 监测方式 支持 VOIP监控、 P2P监控和流量统计分析功能 一拖 N监控功能支持较弱，不能监测分时共享上网方式 通过分光方采集流量，对所有流量通过进行深度分析监测，不能进行相应控制。 支持 VOIP监测、 P2P监测和流量统计分析功能 对一拖监测功能支持较弱，不能监测分时共享上网方式 17 典型解决 方案 C类 直接串接在物理链路上，根据五元组、 VLAN ID、 DSCP/EXP以及流特征信息，识别各类流量，并通过流量整形和队列调度等方式控制流量。 代表厂家： Caspin等 监控设备 支持 VOIP监控、 P2P监控，不区分具体应用，不能精细控制 流量统计分析功能支持较弱，不对具体应用做统计分析 不支持一拖 N监控功能 18 流量监控方案技术趋势 A类方案 B类方案 C类方案 对垃圾流量的抑制能力 不支持 可识别病毒等流量，并进行抑制 较类方案弱 差异化服务 不支持 支持 较类方案弱 部署灵活性 可部署在网络的各个层面 受到接口类型限制，部署层次较低 主要部署在网络出口 功能扩展性 可灵活加载各类功能模块 较类方案弱 基本不支持其它功能模块的加载 接口类型 系统的接口类型主要取决于协议转换器，接口类型丰富 系统主要由硬件实现，开发周期长，主要有 GE和 OC48 目前支持的接口类型有 GE、 10GE、OC48和 OC192 技术能力比较 从技术发展方向看， B类方案是未来的主要方向，但存在端口类型单一、开发周期较长和系统可靠性有待进一步验证等局限性 A类方案对现网影响较小，接口类型较为丰富，可部署在网络的各个层次，尽管控制手段具有局限性，可做为目前的主要解决方案 19 存在问题后续计划 4 目录 技术现状分析 2 系统部署建议 3 调研情况介绍 1 20 IP监控系统部署建议 不宜做为 IP网络管理和优化的主要手段，仍需通过差异化服 务等手段为 IP网络优化提供保证 系统定位 部署原则 网络容量和结构改造 层次部署 IP监控系统应分不同网络层次部署，以保证各个层次协 调一致，避免重复检测，最大限度节省投资，提高监控 效果 网络容量和结构改造 系统复用 为节省投资，在部署系统时，应考虑系统硬件的可复用 性，以便后续增加功能模块时，不需大规模增加投 资 网络容量和结构改造 机动部署 为节省投资，在不影响系统监控效果的前提下，不建议 全面覆盖特定网络区域。 21 系统综合部署建议 采用 A类方案，同时部署 P2P和 VOIP监控模块 考虑到非业务省 VOIP模块的机动部署，存在一定量的 VOIP流量不能控制，因此，在国际和互联互通出口部署 VOIP监控模块 系统应至少覆盖单向链路 国际和互联互通出口 省际链路业务省份 采用 A类方案，同时部署 P2P、 VOIP和一拖 N监控模块 系统应至少覆盖单向链路 省际链路非业务省份 采用 A类方案，同时部署 VOIP和一拖 N监控模块，机动方式部署 机动部署原则：在每个省汇接节点所在城市以汇接节点所在机房为单位，部署一套系统，每套系统应至少覆盖单台路由器的单向链路 业务省份指省际链路总带宽超过 310G的省份 22 系统综合部署建议 采用 A类方案，在业务地市城域网出口部署 P2P监控系统，系统应至少覆盖单向链路 采用 A类方案，在 VOIP分流严重的城域网出口机动部署 VOIP监控系统 机动部署原则：每套系统应能覆盖单台城域网出口路由器的单向链路 采用 A类方案，在业务地市同时 VOIP分流严重的城域网出口，同时部署 P2P和 VOIP监控模块 系统应至少覆盖单向链路 城域网出口链路 城域网内部链路 采用 B类方案，在 P2P流量较为集中的区域部署 P2P监控设备 对于 A类方案，目前可采用单向检测的方式部署在出方向链路上，未来单向检测不能满足监控需求的条件下，可考虑双向部署 23 国际和互联互通链路投资估算 链路带宽 华为 (73.1万 /10G) 信风 (73万 /10G) 宽广 (65万 /10G) Caspin (267.6万 /10G) 国际出口 (165G) 1206.2万 1204.5万 1072.5万 4415.4万 互联互通出口 (316G) 2310万 2306.8万 2054万 8456.2万 说明： 1.链路总带宽源自规划文稿，为 2007规划带宽 2.各系统均按采购 P2P和 VOIP监控模块计算 3.信风系统折算价格源自江苏一期工程合同价格 4.华为、宽广和 Caspin的价格源自各公司针对中国电信的报价 5.宽广系统和 Caspin设备采用串接方式，进行双向监测 6.信风和华为系统都是单向监测，若双向监测，成本应在此基 础上乘以 2 24 省际城域网出口链路投资估算 链路带宽 华为 (88.75万 /10G) 信风 (79.2万 /10G) 宽广 (257万 /10G) 总带宽 (5113G) 45377.9万 40495 万 131404.1万 业务大省 (3265G) 28976.9万 25858.8万 83910.5万 1. 链路总带宽为源自规划文稿，为 2007规划带宽 2. 信风系统折算价格源自江苏一期工程合同价格，华为、宽广， Caspin的价格源自各公司针对中国电信的报价 3. 信风和华为系统都是单向监测，若双向监测，成本应在基础上乘以 2 4. 省际链路部署的系统，按 P2P、 VOIP和一拖 N监控模块估算 5. 城域网出口链路部署的系统，按 P2P和 VOIP监控模块估算 6. 宽广系统需由 SSS平台和 UA平台完成 P2P、 VOIP和一拖 N监控功能 链路带宽 华为 (73.1万 /10G) 信风 (73万 /10G) 宽广 (65万 /10G) Caspin(267.6万 /10G) 5300G 38743万 38690万 34450万 141828万 省出口链路投资估算 城域网出口链路投资估算 说明 25 建议方案总投资估算 国际互联互通城域网出口链路投资估算 典型厂家 华为 信风 宽广 Caspin 投资估算 42259.2万 42201.3万 37576.5万 154699.6万 国际互联互通省出口链路投资估算 典型厂家 华为 信风 宽广 投资估算 48894.1万 44006.3万 134530.6万 说明 1. 链路总带宽为源自规划文稿，为 2007规划带宽 2. 信风系统折算价格源自江苏一期工程合同价格，华为、宽广的价格源自各公司针对中国电信的报价 3. 信风和华为系统都是单向监测，若双向监测，成本应在基础上乘以 2 4. Caspin设备不能实现一拖 N监控，所以总投资估算中，不包括其在省出口链路的投资 26 建议方案总投资估算 国际互联互通业务大省部分非业务省出口链路投资估算 典型厂家 华为 信风 宽广 国际出口估算 1206.2万 1204.5万 1072.5万 互联互通出口估算 2310万 2306.8万 2054万 业务大省出口估算 28976.9万 25858.8万 83910.5万 部分非业务省 VOIP机动监控估算 2127.5万 2471.6万 2405万 总投资估算 34620.6万 31841.7万 89442万 说明 1. 链路总带宽为源自规划文稿，为 2007规划带宽 2. 信风系统折算价格源自江苏一期工程合同价格，华为、宽广的价格源自各公司针对中国电信的报价 3. 信风和华为系统都是单向监测，若双向监测，成本应在基础上乘以 2 4. 非业务省机动部署核算按非业务省带宽的 20%估算，非业务省带宽为 1848G，因此，机动部署链路带宽为 369.6G 27 流量统计分析系统试点部署建议 宜结合骨干网网管已有设备能力实施业务流量分析，在准确性、分析粒度不能达到要求的情况下，可结合其他监控功能模块考虑建设 。 建议充分发挥 Netflow的功能，实现初步的业务流量分析 建议在国际和互联互通出口、省出口以及城域网出口等各网络层次选择部分节点，试点部署 可采用类方案和类方案的监测方式部署设备，进行双向监测；目前优先选择 A类方案 业务流量分析模块 用户行为分析模块 鉴于目前需求不明确，投资规模较大，建议现阶段不宜部署，由集团统一组织试点 可选择城域网内部分 BRAS/SR的上联链路，以类方案的监测方式部署设备，对链路进行双向监测分析 28 用户行为分析模块投资估算 估算说明： 1.每用户的平均带宽按 0.5M估算 ；宽带用户收敛比按 1:3计算， 2008年规划宽带用户为 4854万，则同时在线的用户为 1618万 ,总体带宽估算为 8090G 3.信风系统单台前置设备和服务器价格分别为 6.7万和 18万，服务器 :前置机 =1:10,所以 单台价格 折合为 8.5万 4.华为系统单台前置设备和服务器价格分别为 6万和 18万，服务器 :前置机=1:10,所以 单台价格 折合为 7.8万 5.宽广系统单台前置设备和服务器价格分别为 23万和 80万，服务器 :前置机 =1:20,所以 单台价格 折合为 27万 6.总体估价单台价格 *总体带宽 /设备能力 监控系统 设备能力 单台价格 总体估价 信风系统 双向 1G 8.5万 6.88亿 华为系统 双向 1G 7.8万 6.31亿 宽广系统 双向 1G 27万 21.84亿 29 目录 技术现状分析 2 调研情况介绍 1 存在问题后续计划 4 系统部署建议 3 30 存在问题后续计划 IP网监控技术处于发展中，部署现有解决方案，存在一定技术风险 需要探讨收益评估方法，以便对系统部署的收益进行客观公正的评价 存在问题 后续计划 全面测试各类解决方案，验证其功能和性能，为集团统一组织部署提供依据 验证系统机动部署的可行性 验证各解决方案的机动部署范围 探讨华为、信风、傲天等厂家以服务器软件等方式机动部署的原则 探讨 Cisco、 Allot等厂家便携式设备机动部署的原则 对用户行为分析系统做试点验证 31 谢谢！ 32 系统部署建议 4 附件 各类方案其它能力比较 2 监控技术分析 3 江苏电信部署情况 1 33 江苏电信部署情况 江苏电信 IP网用户行为分析系统由华为公司和南京信风公司共同完成 华为公司负责硬件部分和系统总集成，信风公司负责软件的开发 一期工程于 2006.1开始部署，二期扩容工程于 2006.9完成 硬件投资 软件投资 投资总额 监控链路 实现功能 一期工程 777.5万 315.5万 1093万 16*OC192 一拖 N监控、 P2P监控、 VOIP监控、流量统计分析 二期工程 2358万 325万 2749万 56*OC192 一拖 N监控、 P2P监控、 VOIP监控、流量统计分析、广告推送 34 江苏一期系统框图 在南京、无锡两地集中部署，采集省出口电路的上行流量 35 江苏一期系统主要构成 网络接口转换器 2台 NE80E，各分光 8条 10G POS线路，进行协议转换，负载到 62和 66个 GE口。 分别部署在南京、无锡两地。 预处理服务器 南京、无锡分别部署 62和 66台。 每台服务器 1个 GE接口，可处理 850Mbps流量 (现网监测得到的数据 )。 二次处理服务器 南京、无锡各 2台，作为共享接入检测的二次验证和处理 统计管理服务器 3台，部署在南京，完成策略下发，管理，统计报表功能 Radius处理服务器 2台，部署在南京，解析 Radius报文，实现 IP与帐号对应。 36 系统部署建议 4 附件 江苏一期系统构成 1 监控技术分析 3 各类方案其它能力比较 2 37 系统部署建议 4 附件 各类方案其它能力比较 2 江苏一期系统构成 1 监控技术分析 3 38 一拖 N常见类型 公众用户 以个人名义申请，实际为单位、企业使用； A： 42% 相邻的多个家庭接入共享； B： 35% 学生、职工等集体宿舍共用； C：11% 以个人名义申请，开展经营的 “ 黑 ”网吧 D： 3% 专线用户 假接入，真互联：以专线方式在本地或异地接入中国电信的网络，而为其它运营商提供全部 /部分网络互联服务。 说明：公众用户一拖 N构成比例来自江苏电信调研数据 39 “一拖 N”识别技术 链路层信息 不同主机所携带 MAC地址不同，可识别 NAT方式的“一拖 N” 网络层信息 1.不同主机所携带 IP头扩展属性如 identification的递增规律不同 ； 2.NAT设备会对 IP报文 TTL值减一，若 TTL值与初始值不同，则认为“一拖 N” 传输层信息 1.分析某源地址的并发 TCP/UDP连接，若超过设定值则为疑似对象 2.分析某源地址的 TCP/UDP端口变化范围 应用层信息 1.分析 Email帐号、 QQ帐号、 MSN帐号等信息 2.分析 IE浏览器版本信息 3.分析 Windows Update信息 4.分析 Http报文中的 User Agent、 cookie等信息 操作系统信息 分析 Windows操作系统所携带用户信息、 OS版本等 SNMP扫描 1.扫描主机或 ADSL Modem的 SNMP信息，提取主机数；因为用户反响较大，目前已基本不用 2.典型产品：网络尖兵 植入 cookie 1.向用户电脑植入 COOKIE，同一帐号下不同电脑有不同的 COOKIE，统计 COOKIE就可知道同一帐号下挂接多少台不同电脑。 2.典型产品：傲天的“一拖 N” 监控模块 被动识别 主动识别 40 “一拖 N”识别技术特点 主动识别 被动识别 差异 1.主动向用户发送数据，容易被用户察觉，招致不满 2.用户可通过一些手段躲避监测 3.目前只用作辅助识别手段 1.被动监测用户的网上流量信息 2.不对用户造成影响，不被用户察觉 3.是目前的主要识别手段 共性 1.一般需要较长时间才能得到较准确的检测结果，实时性不高 2.除 SNMP扫描方式外，主要对用户主机发出的信息进行检测，因此只需要监测用户的上行数据 3.识别设备不需要串接在网络中，不会影响网络的性能 . 41 “假接入，真互联”常规识别方法 在中国电信城域网内部、省网内部、骨干网内部搭建 FTP服务器 在对方用户终端上对国际站点以及上述 FTP服务器地址执行 Traceroute操作 从电信网内执行反向traceroute 用户终端登录 FTP服务器 ,在服务器上用 Netstat查找该用户登录到 ftp服务器的公网 IP地址 从服务器执行反向 tracert 根据接入地址定位接入点 对方网络开启 Traceroute功能 对方网络关闭 Traceroute功能 对方用户使用公有地址 对方用户使用私有地址 逐跳查找接入 IP地址 42 一拖 N控制技术 阻断 TCP连接 向用户发送 TCP reset报文，中断用户的 TCP连接 WEB页面重定向 向用户发送 HTTP Redirect报文，将用户强制重定向到警告页面 1.控制设备只要与网络连通即可，不需要串接在网络中，控制设备不会成为故障点 2.控制设备可在网络的任何层面接入网络 网站 非法接入监控 1 http 2 得到警告页面 3 4 非法接入用户 WEB页面重定向 43 主要 P2P应用类型 网络容量和结构改造 下载型 通过 Peer(对等体 )之间的文件片段交换实现文件下载的应用 典型应用： BT、迅雷、 Poco、 eMule/eDonkey等 网络容量和结构改造 流媒体型 通过 Peer(对等体 ) 之间的流媒体片段交换实现流媒体播放功能的应用。 典型应用： PPLive、 PPStream、 QQLive等 网络容量和结构改造 即时通信型 通过 Peer(对等体 )通过语音、视频和文字等进行实时在线交流的应用。 典型应用： QQ、 MSN、 Skype等 44 P2P识别技术 网络容量和结构改造 DPI技术 深度报文检测技术 (Deep Packet Inspection) 针对报文净荷中的特征字、协议指纹以及报文之间的逻辑关系等因素识别 P2P流量的技术 识别精度较高，但需对特定协议的应用层特征被动跟踪 对加密流量识别较困难 适用于 A类和 B类解决方案 网络容量和结构改造 DFI技术 深度流检测技术 (Deep Flow Inspection) 针对报文头部的五元组信息、 VLAN ID以及 DSCP/EXP等识别特定数据流，并结合平均速率，流持续时间，字节数，包长等流特征信息，识别流量的技术 识别精度不高，可能出现误判，但不需要跟踪特定应用的细节变化 报文加密与否不影响其识别精度 适用于 C类解决方案 45 P2P DPI识别技术 特征字识别 特征字 :报文净荷中所包含的用于区别于其它应用的特定字符串 . 每种协议都有特征字，如 BitTorrent协议中的 “ User-Agent: BitTorrent”等 协议指纹识别 协议指纹 :P2P报文的应用层格式所呈现的特征。 大多数 P2P协议应用层封装中都呈现出类似 TLV的格式，而且有些协议在内容净荷的头和尾部还有一些特殊的字符，如 |，$等 协议状态机识别 协议状态机 :P2P客户端在 Peer和 Peer的交互过程中所遵循规律。 大多数 P2P应用采用特有 “ 信令 ” 过程，如 BT在 Peer之间存在Handshake过程。在数据传输阶段也有类似的握手过程。 通信特征识别 通信特征 :特定 P2P