基于DFI和DPI技术的异常流量监控探析

基于ＤＦＩ和ＤＰＩ技术的异常流量监控探析

杨　襄

广东省电信规划设计院有限公司，广东广州５１０６３０

摘要：ＤＦＩ和ＤＰＩ作为两种异常流量检测手段，能够对网络环境当中的异常流量进行检测和控制。研究分别从两个角度进行，首先分析了ＤＦＩ和ＤＰＩ技术的应用，其次提出了ＤＦＩ和ＤＰＩ在对异常流量监控过程中的优化策略，希望能为该领域关注者提供有益参考。关键词：ＤＦＩ技术；ＤＰＩ技术；异常流量；非法业务中图分类号：ＴＰ３９３．０６

０引言

随着我国国民经济的发展以及科学技术水平的提升，国内网络通信领域的发展，特别是网络环境中对异常流量的监控方面，得到了越来越多的关注和重视。ＤＦＩ（ＤｅｅｐＦｌｏｗＩｎｓｐｅｃｔｉｏｎ，深度流检测）和ＤＰＩ（ＤｅｅｐＰａｃｋｅｔＩｎｓｐｅｃｔｉｏｎ，深度包检测）技术作为两项十分重要的技术手段，能够对网络环境中存在的Ｐ２Ｐ流量、攻击与蠕虫传播流量、应用层异常流量和非法业务等进行识别与监控。

分析，按照攻击行为和蠕虫传播的路径，逐一对网络位置是否感染进行排查。通过此种方式，可以有效地扩大检测工作的覆盖面积，提高技术检测的精准性和有效性。

２基于ＤＰＩ的异常流量监控

２．１应用层异常流量检测

异常流量进行检测。因为应用层攻击的代价较小，并且还有较高隐蔽性与防御难度大的特征，目前已经发展成网络攻击最主要的形式。ＤＰＩ技术在应用层异常流量中的检测，主要是通过模仿正常访问行为的操作进行检测。在具体的操作中，可以着重对特征字段及行为统计进行分析。在分析特征字段时，可以对网络域名、ＵＲＬ或者应用层协议消息等进行分析。在行为统计中，可以对连接请求时间间隔、连接请求增率或者登录数量增率等进行统计分析［２］。

ＤＰＩ技术在实际的应用中，可以对应用层的

１基于ＤＦＩ的异常流量监控

１．１Ｐ２Ｐ流量检测

流数据（ｓＦｌｏｗ／ＮｅｔＦｌｏｗ）是经过汇聚并且是通过抽样的方式产生的数据类型。数据当中含有ＩＰ层信息，无其他应用层信息。因此，在使用基于ＤＦＩ的Ｐ２Ｐ技术研究工作中，面临着较大的阻碍。一部分技术人员对该项技术存有怀疑，认为它不能够精准地检测出Ｐ２Ｐ流量。但是，在实际的应用中，ＤＦＩ技术不仅可以完成精准流量检测，同时还可以为系统优化提供可靠参考信息

［１］

２．２非法业务识别判断

非法业务主要指的是影响运营商业务收入，或者是对网络收益产生负面影响的行为，主要包括宽带私接、非法ＶｏＩＰ以及Ｐ２Ｐ流量等。在进行分析的过程中，ＤＰＩ技术同样可以采用特征字段统计分析与行为统计分析这两种不同的方式。其中，特征字段统计分析主要是对用户操作的应用层协议消息、应用程序的版本、ＩＰ包的扩展属性、用户操作特征字符串信息、数据包校验、用户网络协议类型、ＭＡＣ地址，以及用户接入的端口信息等。在进行行为统计

ＤＰＩ技术还可以对非法业务进行识别与判断。

以看出，ＤＦＩ在对Ｐ２Ｐ流量进行检测时，能够充分探究出Ｐ２Ｐ流量的鲜明性特征，并且运用此类特征进行检测，提高检测的精准度和时效性。

。经过分析和研究可

１．２攻击与蠕虫传播流量监测

蠕虫病毒的传播行为进行精准高效检测。ＤＦＩ技术在攻击行为和蠕虫传播的过程中，可以对网络环境当中已经出现过的相关行为与病毒特征进行　　２０１９年第０１期　４０

ＤＦＩ检测技术的优势在于可以对网络攻击与

分析时，主要是对流量增长率和端口的增长率进行统计与判断，如图１所示。

图１　非法业务识别判断

３基于ＤＦＩ和ＤＰＩ技术的异常流量监控系统优化设计

３．１应用层架构

在对应用层架构进行优化设计的环节中，需要在确保网络流量分析与处理发展的需求得到满足的基础上进行，使用ＤＦＩ和ＤＰＩ技术实现对不同业务应用层的控制。系统的需求包括：（１）确保网络业务识别精准与控制准确；（２）通过操作前台Ｗｅｂ界面，系统用户可以对后台数据和网络流量进行实时管理和优化；（３）系统用户可根据输出流量识别结果并进行分析，对网络进行优化。为确保应用层架构优化科学合理，技术人员首先需要明确网络环境中大类、子类与应用之间的关系，如图２所示。

图２　大类、子类与应用关系示意图

在此基础上，还需要进一步明确系统内部不同环节的操作和控制功能：（１）流量控制功能主要是对流量进行限流、干扰和阻断。通过不同策略完成对流量的简单与精准控制；（２）界面操作功能主要是用户通过Ｗｅｂ界面，实现网络流量实时监控与管理，完成流量分析、配置更改、日志操作和告警查看等；（３）管理报表功能主要用于管理人员对用户的行为进行分析。

３．２网络部署

网络部署中可以采用直路部署、旁路部署或者混合部署等方式。每种部署方式都有各自的优势和缺点。其中，直路部署方式是将流量监控设备串联在网络中。此种部署方式可以将设备视为是网络整体中的一部分。此种部署方式具有明显的风险性。因为设备直接串联在网络中，一旦设备出现故障，就会对网络整体运行造成影响。同

通信工程　　　　　　　　

时，受到本身结构的影响，直路串联的上游流量明显高于下游流量，系统可能会因为流量萎缩而出现异常问题。旁路部署方式是将流量监控系统通过并联的方式接入网络中。此种方式可以有效地避免直路方式产生的“牵一发而动全身”的情况，并且不会存在流量萎缩的问题。但是，因为设备

并联在网络系统中，流量监控的直接性和精准度受到影响，流量监控的效果不如直路方式。对此，我国广东省某网络通信系统研究部门，通过将两种连接方法联合使用，达到优势互补的效果，有效地避免了单一方法存在的局限性，提高了流量监控的效率，扩大了流量监控的优势。

３．３环境测试

环境测试中，应用了Ｌｉｎｕｘ系统中的Ｃ语言编程软件，使用ＶｉｓｕａｌＣ＋＋进行处理。在操作的过程中，用户如果需要在后台查看某一个应用的实时信息ｄｉｓｐｌａｙ与使用情况，可以通过软件客户通过后台查看某一命令的方式，提出查看要求ＩＰ地址或者某一端口的流量。此外，端还可以输入情况，完成流量实时监控。例如，我国广东省某网络工程部门研究人员Ｅｃｌｉｐｓｅ，明确了Ｗｅｂ界面需要在用了Ｓｔｒｕｔｓ２３．７．２模型下，使用、ＭｙＢａｉｔｓＪａｖａ语言进行程序编写视图与Ｓｐｒｉｎｇ控制框，使架，进行了系统设计，通过ｊＱｕｅｒｙ发出了页面请求，重新优化和调整了用户登录系统。此种设计方式可以优化系统运行环境，使用户在稳定的环境下，完成相关测试。

４总结

综上所述，随着网络科学技术的不断发展，网络环境当中的信息和业务类型呈现出多样化的特征。对此，相关领域的技术人员，需要在明确当前网络环境中存在的异常流量特征的基础上，进一步对ＤＦＩ和ＤＰＩ技术进行优化和提升。通过对应用层架构、网络部署以及环境测试等方面进行协调设计，可以充分增强ＤＦＩ和ＤＰＩ技术的实效性，为网络信息技术环境的优化建设提供大力支持。

参考文献

［１］丁瑶．基于ＤＰＩ和ＤＦＩ的应用层网络流量监控系统的

研究与实现［Ｊ］．江西理工大学，２０１４（１）：２６．

［２］王卫东．基于ＤＦＩ和ＤＰＩ技术的异常流量监控［Ｊ］．网

络安全技术与应用，２００９（１）：４⁃５．

　２０１９年第０１期　　４１