业务识别与管理系统和网络流量的管理

1　网络流量管理现状分析与解决办法

网络尤其是互联网的原始设计理念导致了其在流量管理方面存在着能力缺陷，尽管业界已经从技术、管理、法律、制度等多个方面采取了很多措施来弥补这些能力的缺失，但当前的网络流量管理依然存在着如下的问题：

(1)重网络，轻业务

当前，绝大多数的网络流量管理措施都位于网络层，主要致力于网络性能(QoS)优化的基本流量流向的控制，以及简单粗略的源地址过滤。即便是基于业务的流量管理措施，也多是依据网络层的协议信息和传输层的标准端口号进行制定，业务流量管理效果十分有限，尤其对P2P的流量管理，有些力不从心。

(2)业务层和网络层缺乏通用性和关联性

当前针对业务的流量管理技术和措施大多都是一事一议，只针对特定业务应用，缺乏通用性；另一方面由于互联网本身网络与业务分离的基本特征，也导致了业务层的流量管理措施和网络基础设施之间缺乏关联性，常常导致治标不治本。

(3)缺乏主动性

当前的网络流量管理主要还是建立在简单网络管理协议(SNMP)、远程网络监测(RMON)、NetFlow、Sniffing等被动的流量管理技术之上的，缺乏主动的网络流量检测分析和用户行为分析，尤其在安全防护方面，缺乏一个主动、全网的安全威胁防御机制。

(4)管理不够精细

互联网是一个有机的整体，包括用户、网络和业务。而当前的网络流量管理仅仅是一种粗放的网络资源的调度，很难实现精细的网络资源、业务资源和用户资源的综合管理。

产生上述这些问题的一个显而易见的原因是当前的网络流量管理缺乏对用户和业务的感知能力，要解决这些问题，就有必要在网络流量管理中引入一双“慧眼”，智能和主动地对业务流量和用户行为进行检测分析，而这双“慧眼”正是业务识别。

2　业务识别

业务识别|(Application Awareness)是伴随着网络业务的蓬勃发展而出现的一个新的概念，通过对业务流量从数据链路层到应用层的报文深度检查分析，依据协议类型、端口号、特征字符串和流量行为特征等参数，获取业务类型、业务状态、业务内容和用户行为等信息，并进行分类统计和存储。

2．1　业务识别工作过程

业务识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息，如业务类型、业务状态、业务分布、业务流量流向等。业务识别是一个相对复杂的过程，需要多个功能模块的协同工作，业务识别的工作过程如图1所示，简单描述如下：

图1 业务识别工作过程

·识别处理模块采用多通道识别处理，通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法，将网络流量均匀的分配到多个处理通道中。

·多处理通道并行执行网络流量的深度报文检查，获取网络流量的特征信息，并与业务识别特征库中的特征进行比对。

·将匹配结果送往识别处理模块，并标识特定网络流量。如果存在多个匹配结果，选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定，该网络流量的后续连接将不再进行深度的报文检查，直接将其网络层和传输层信息与已知识别结果进行比对，提高执行效率。

·识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中，为网络流量的统计分析提供依据。

·统计分析模块从识别结果存储模块中读取相关信息，并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示，或以文件的形式输出。

·在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区，为实施网络流量管理提供依据。

2．2　业务识别技术

目前常用、典型的业务识别技术就是我们所熟知的DPI技术和DFI技术。

2．2．1 DPI技术

DPI是深度报文检测(Deep Packet Inspection)的简称，是一种典型的业务识别技术。DPI技术之所以称为“深度”的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，包括源/目的IP地址、源/目的传输层端口号、协议号，以及底层的连接状态等。通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VoIP应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析，如图2所示。

图2 DPI技术中业务流量的分析方法

DPI技术通常采用如下的数据包分析方法：

·传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。

·特征字匹配分析。一些应用在应用层协议头，或者应用层负荷中的特定位置中包含特征字段，通过特征字段的识别实现数据包检查、监控和分析。

·通信交互过程分析。对多个会话的事务交互过程进行监控分析，包括包长度、发送的包数目等，实现对网络业务的检查、监控和分析。

2．2．2 DFI技术

DFI是深度流行为检测(Deep Flow Inspection)的简称，也是一种典型的业务识别技术。DFI技术是相对于DPl技术提出的，为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性，因此，DFI技术并不对网络流量进行深度的报文检测，而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析，来获取业务类型、业务状态。如图3所示。

图3 DFI技术中业务流量的分析方法

从图中可以看出，同为P2P流量的Kazza和Gnutella流量在外在行为特征上是趋于一致的，或者说具有共同的特性；而P2P流量和HTTP流量无论是在数据包大小的峰值，还是在数据包大小的分布上都有着明显的不同。因此，可以根据这些特定业务流量的外在行为特征进行业务识别。例如，Bittorrent应用的流量具备如下的行为特征：四层端口号为6881-6889、数据包平均大小超过700字节，持续时间超过8s等。

2．2．3两种识别技术的比较

两种技术的设计基本目标都是为了实现业务识别，但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。下面我们从技术成熟程度、识别准确程度、识别精细程度、加密流量识别和执行效率等几方面对两种技术进行比较。两种技术的比较见表1。

表1　DPI技术和DFI技术的对比

表1从两种技术的对比情况看，两者互有优势，也互有短板，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于需要高效识别，粗放管理的环境。

3　业务识别在网络流量管理中的应用

网络流量管理的基本目标是了解网络、业务和用户资源的使用情况，找到性能瓶颈并进行精细化管理，对用户行为进行分析和控制，以及对信息安全防护。下面我们就从这几个方面着手，描述业务识别在网络流量管理中的应用。

3．1流量统计分析和趋势判断

在网络中多个层面的网络设备中集成业务识别功能，如骨干节点之间、服务提供商互联节点之间、国际出口、城域网出口和城域网接入层等，或者单独部署具备业务识别功能的网络设备对网络流量进行统计分析和趋势判断。

通过业务识别，网络管理者能够知道当前网络中的业务流量的类型、带宽、时间和空间分布、流向等信息。如图4所示。

图4 业务流量的统计分析和趋势判断

3．2资源管理

将业务识别能力添加到网络流量管理中，能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度。

具备业务识别能力的网络流量管理将具备P2P应用的管理能力，通过对P2P流量的抑制来提升传统数据业务的用户体验度。如图5所示。

图5 对P2P流量的管理

具备业务识别能力的网络流量管理还能够对严重影响业务运营者收入的未经许可的业务进行抑制。通过对VoIP信令流量和媒体流量的关联检测和统计分析，通过截断媒体数据包、伪装信令报文等方式对VoIP业务进行流量管理。通过综合使用网络层、传输层和应用层检测技术，对未经许可的宽带私接用户采取中断连接、主动告警、分时控制等多种管理动作，实现对未经许可的宽带私接的流量管理。

业务识别还能够帮助网络流量管理实现业务资源的调度，业务识别能够获得业务资源使用、业务状态的实时隋况。当某一业务服务器负载较大时，可以进行全局的业务资源负载均衡，平均的承担业务请求；同时也能够对用户的业务请求进行调度，决定是否继续响应用户新的业务请求，或者根据用户的优先级，优先响应高优先级用户的业务请求，提升业务运营效率。

3．3精细化管理

在城域网接入层的网络设备中集成业务识别功能，或者单独部署具备业务识别功能的网络设备对网络流量识别并进行精细化管理。

网络管理者可以将用户接入网络过程中的用户认证ID、获得的IP地址和特殊的接入属性等用户特征信息，与相关业务流量的类型、状态或者内容等业务流量特征信息的绑定，对不同用户的不同业务流量进行区分，实施精细化的管理。例如，为金牌用户预留2Mbit/s的网络带宽，而为铜牌用户预留512Kbit/s的网络带宽；或者为同一用户的不同业务提供不同的QoS控制，为网络视频业务提供较高的优先级，而为互联网数据业务提供尽力而为的转发，在网络出现拥塞时，网络视频业务优先转发。

另一方面，业务识别能够帮助网络管理者获知特定的业务内容，当用户使用网络视频业务时，能够判断出用户是从何处获得了媒体资源，并生成基于内容特征的计费信息，方便与内容提供商进行后续结算，实现业务的精细化运营。

此外，具备业务识别的网络流量管理还能够帮助服务提供商改变业务运营模式，由用户被动地接受转变到用户主动的个性化定制。服务提供商向用户提供业务个性化定制平台并接受用户的个性化业务定制，随后将这些个性化业务定制转换为基于用户的个性化流量管理措施，当用户进行业务使用时，服务提供商将能够根据这些个性化措施对用户流量施以个性化的流量管理，用户也能够动态的调整和取消个性化的业务定制。

3．4网络安全防护

在网络中的多个层面的网络设备中集成业务识别功能，或者单独部署具备业务识别功能的网络设备，和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系，提升整个网络的安全防护能力。

具备业务识别能力的网络流量管理具有主动的流量特征识别分析能力，能够主动的发现诸如DDoS攻击、病毒和木马等异常流量，较好的弥补其他网络安全设备[如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等]的不足，提升其主动发现安全威胁的能力，并能够及时的向其他网络安全设备发出告警，从安全威胁源头开始就进行主动的防御。

此外，具备业务识别能力的网络流量管理还能够获取并保存网络流量的网络层信息(例如，源/目的IP地址、用户标识ID等信息)，通过这些信息，网络管理者能够进行有效的安全威胁的溯源定位。

3．5用户行为分析和控制

在靠近用户的边缘设备中集成业务识别能力，或单独部署具备业务识别能力的网络设备，服务提供商能够获得用户级别的网络流量统计信息，通过后台分析系统的数据挖掘，能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的用户个性化特征信息。根据这些信息，服务提供商能够及时和准确的调整业务运营方式、业务运营内容、或者发现新的业务增长点。例如，向用户主动推送用户感兴趣的广告、生活信息、交通信息等。还能够根据这些信息，对随意性较强的用户行为进行必要的管理。例如，禁止在工作时间观看在线视频、参与网络游戏、利用即时通信工具进行与工作无关的聊天，以及禁止发布一些不文明的内容等。

4　需要注意的问题

在实际应用中，技术的发展、建设投资的成本、法律法规的制定等诸多因素都会影响到业务识别在网络流量管理中的应用。因此，对一些风险必须认真考虑。

4.1　技术风险

技术从来都不是完美的，都有自身较为适用的环境，都需要不断的发展完善。因此，在实际使用中选择何种业务识别技术，以及如何更好的跟上应用技术发展的脚步，是每一个网络流量管理实施者所必须面对的问题。

此外，当前的业务识别的应用还处于单点应用的阶段，如何更好地部署，如何构建一个分布式的、端到端的具备业务识别能力的网络流量管理体系也是每一个网络流量管理实施者需要面对的问题。

业务识别的应用势必会对网络造成一定的冲击，那么如何更好的保证网络的稳定性和业务的连续性也是必须考虑的问题。

4．2竞争风险

网络流量管理的实施必将影响到用户对网络资源的使用，高优先级的用户能够享受到较好的业务服务质量，而对于普通用户，业务流量的管理必将影响到用户随意使用网络和业务资源的行为，这将会使得大多数普通用户的认知度下降，投诉率上升，产生转网等负面影响。因此，在具体应用中，需要认真考虑实施策略、实施粒度等问题，及时的把握用户感受。

4．3政策风险

由于在网络流量管理中应用业务识别时，需要对业务数据流量进行深度的报文解析和数据挖掘，可能会涉及到个人隐私，因此，网络管理者在获得网络数据流特征信息的方式、用户数据和用户行为的挖掘深度，以及多维分析数据的合理利用方面都需要认真仔细的加以考虑，以尽可能的规避政策法规的风险。

由于技术的进步、管制政策的放松、市场竞争的加剧，以及互联网在全球的“侵略性”发展，使得全球电信业正处于剧烈而痛苦的转型之中。传统的计算机技术(IT)正在快速与电信技术(CT)融合形成新的ICT技术；摩尔定律使得计算、存储和传输资源的提供能力每l8个月就翻一番，导致信息通信成本的快速下降，正在颠覆传统电信经济的理论体系，取而代之的是“长尾理论”等的兴起。适应技术进步，全球多个国家已经建立了融合的监管制度的体制，传统电信市场的垄断正在被快速打破。市场竞争加剧，固网话音服务正在被移动话音服务所替代；“螳螂捕蝉，黄雀在后”，互联网上的各种“免费”话音和即时通信等消息类服务又正在将固定和移动话音业务“一网打尽”。

互联网已经对全社会的各行各业产生了重要的影响，对传统电信业的冲击也是显而易见的。以Skype等为代表的互联网上的VoIP服务，正在快速蚕食传统电信运营商赖以生存的固定和移动电话服务的市场份额。其次，互联网端到端的体系架构(E2E：End to End)，让传统电信运营商提供的(宽带)IP接入服务不再是一种高科技的服务，而是具有了典型的“日用消费品”的特点：大量资金投入、利润相对较低和充分的市场竞争。第三，很多对等应用(Peer to Peer)的繁荣，进一步压缩了电信运营商IP接入服务的利润空间。最后，随着宽带无线接入的兴起，运营商IP接入服务的自然垄断属性进一步被打破，开放网络成为发展趋势，运营商试图依靠在接入和承载方面的资源优势，实现“围墙花园(Walled Garden)”商业模型的运营方式受到了严峻挑战。

全球电信业已经深刻认识到：不是要不要转型，而是如何转型的问题了。ITU-T早在2001年就开始了NGN等方面的研究工作(软交换的研究工作开展更早)，运营商也做了很多这方面的技术性和商业性的试验，但总的来说在技术、业务应用和商业创新方面几乎停滞不前。与此同时，互联网的技术、应用和商业创新日新月异，流量每6个月就增加一倍，速度是摩尔定律的3倍(吉尔德定律)。探讨全球电信业转型不理想的原因，会涉及到人员结构、体制机制、既得利益、技术的成熟度、市场培育等多方面的因素，但深层次的原因何在?本文试图主要从技术角度出发，结合经济等因素，挂一漏万，探讨电信业转型中在技术理念和思路方面可能存在的问题以及对策。