基于DPI的应用层协议解析
迪普科技运营商DPI网关解决方案
目录
一.DPI概述 二.迪普科技DPI解决方案
基础设施
市场趋势 何为DPI
• 语音市场日渐饱和,流量收入将成为运营商未来主要收入来源 • 流量收入并没有与流量占用的网络资源相匹配 • 专注流量经营,提升流量价值是数据业务的必然趋势 • DPI方案能够帮助用户发掘用户个性化需求,建设智能化管道
流量控制
• 大容量串行方 式,
• 实现精确流量 控制
异常流量检测
广告推送
• DPI方式:全流 量精细化检测、 基于应用层的内 容检测
• DPI方式:依据 netflow等日志 的内容
• 基于访问频率, 次数,时间精确 调整推送内容
• 支持弹出窗,对 联 ,多种推送模 式
DPI(深度业务识别)平台
流量统计分析:业务流向分析
5. 根据不同的推送策略,用户随后可以 正常访问网络
④用户正常访问原始网站
Internet
被访问页面
省干
②DPI网关监听WEB请求,判断是否阻断
业务监控系统
上行流量
①用户发起HTTP请求
无源分光 / 镜像 分流平台
广告服务器
城域网
控制 ③根据策略向用户推送广告
BAS
宽带接入网
智能的Web信息推送举例
DPtech DPI设备介绍
交换板: • 48GE 接口 • 4*10GE/8*10GE接口, • 4*2.5G/4*10G/1*40G POS接口 • 全线速交换 业务板: • 单板最大业务处理能力20G,整机最大200G • 单板并发连接数3200万,新建连接数120万/ 秒 •高性能:大交换容量,T级别的整机交换容量 •虚拟化:端到端的从网络层到应用层的虚拟化能力 •高可用性:支持48GE电/光、4*10GE/8*10GE光、100GE端口、2.5G/10G/40G POS等高密接 入 •丰富网络协议:支持QinQ,RIP、OSPF、IS-IS、BGP、策略路由、RIPng、OSPFv3 ISISv6、BGP4+、ICMPv6、L3 MPLS VPN、LDP、IGMPv1/v2/v3、PIM-SM/PIMDM/PIM-SSM、MSDP等
国内移动统一DPI设备标准LTE信令采集解析服务器接口XDR规范标准设计
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动统一D P I设备技术规范-L T E信令采集解析服务器接口规范Te c h n i c a l S p e c i f i c a t i o n o f D e e p P a c k e tI n s p e c t i o n E q u i p m e n t f o r C M C C(L T E S i g n a l l i n g C o l l e c t i o n S e r v e r I n t e r f a c eP a r t)版本号:2.0.9╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录1范围 (2)2规范性引用文件 (2)3术语、定义和缩略语 (3)4接口在网络中的位置 (4)5LTE接口XDR数据构成方式 (5)5.1.XDR编号与上报要求 (5)6Uu接口XDR数据结构 (5)6.1.公共信息 (5)6.2.Uu接口信息 (6)6.3.Uu接口Keyword 1字段定义 (9)6.4.Uu接口事件流程开始/结束标识 (9)7X2接口XDR数据结构 (10)7.1.公共信息 (10)7.2.X2接口信息 (10)7.3.X2接口事件流程开始/结束标识 (12)8UE_MR XDR数据结构 (13)8.1.公共信息 (13)8.2.UE_MR信息 (13)9Cell_MR XDR数据结构 (15)9.1.公共信息 (15)9.2.Cell_MR信息 (15)10S1-MME接口XDR数据结构 (16)10.1.公共信息 (16)10.2.S1-MME接口信息 (16)10.3.S1-MME接口Keyword 1字段定义 (21)10.4.S1-MME接口Keyword 2字段定义 (22)10.5.S1-MME接口事件流程开始/结束标识 (27)11S1-U接口XDR数据结构 (27)12S6a 接口XDR数据结构 (27)12.1.公共信息 (27)12.2.S6a接口信息 (27)13S10、S11接口XDR数据结构 (29)13.1.公共信息 (29)13.2.S10、S11接口信息 (29)14S5/S8-C接口XDR数据结构 (32)14.1.公共信息 (32)14.2.S5/S8-C接口信息 (32)15SGs接口XDR数据结构 (34)15.1.公共信息 (34)15.2.SGs接口信息 (34)16Gn-C接口XDR数据结构 (36)16.1.公共信息 (36)16.2.Gn-C接口信息 (36)17基于XDR的原始码流上报 (38)17.1.原始码流上报功能 (38)17.2.基于XDR上报原始码流的格式 (38)17.3.按帧封装的原始码流要求 (38)17.3.1.通用包头格式 (39)17.3.2.专用包头格式 (39)17.3.3.原始数据 (40)18接口协议 (40)18.1.SDTP协议概述 (40)18.2.消息类型 (41)18.3.消息结构 (41)18.4.连接管理流程 (42)18.5.连接管理消息 (43)18.5.1.版本协商verNego (43)18.5.1.1.请求 (43)18.5.1.2.应答 (43)18.5.2.链路认证linkAuth (43)18.5.2.1.请求 (43)18.5.2.2.应答 (44)18.5.3.链路检测linkCheck (44)18.5.3.1.请求 (44)18.5.3.2.应答 (45)18.5.4.链路数据发送校验linkDataCheck (45)18.5.4.1.请求 (45)18.5.4.2.应答 (45)18.5.5.链路释放linkRel (46)18.5.5.1.请求 (46)18.5.5.2.应答 (46)18.6.数据传输消息 (46)18.6.1.XDR数据传输notifyXDRData (46)18.6.1.1.请求 (46)18.6.1.2.应答 (46)18.6.2.XDR对应原始码流传输XDRRawDataSend (47)18.6.2.1.请求 (47)18.6.2.2.应答 (47)19编制历史 (47)附录A:Uu/X2接口XDR事件流程和关键信令点 (48)附录B:S1-MME接口XDR事件流程和关键信令点 (48)前言本规范对中国移动网内使用的深度包检测(DPI)设备的功能和性能提出要求,是部署统一DPI设备需要遵从的技术文件。
基于DPI的网络精细化管控技术研究
基于DPI的网络精细化管控技术研究左卫【摘要】The traditional DPI technology is often used in the field of network security. At present, owing to the development trend of DPI technology, it is extemely urgent to make the research of the DPI technology applies in network management. This paper intro ̄duces the key technologies such as the DPI and IP service control, and proposes the architecture of DPI-based fine control of network.%传统DPI技术通常被应用在网络安全领域。
目前,DPI技术的发展态势使得对于DPI技术在网管方面的应用的研究迫在眉睫。
本文介绍了DPI技术和IP业务控制等关键技术,并提出了基于DPI的网络精细化管控技术架构。
【期刊名称】《信息安全与通信保密》【年(卷),期】2015(000)001【总页数】5页(P90-94)【关键词】网络精细化管控;DPI;业务控制【作者】左卫【作者单位】海军驻成都地区通信军事代表室成都610041【正文语种】中文【中图分类】TN918.91目前的通信网网管技术手段只能对网元进行粗粒度管理,对应用业务的管理手段极为欠缺,随着网络规模的日益扩大和业务的不断增多,对网络进行精细化管控的要求迫在眉睫。
目前,在网络的精细化管理方面具有如下需求:根据不同等级的QoS需求,基于应用的业务等级提供相应等级的带宽;能够在网络通路上在第一时间拦截异常流量,避免异常流量对网络造成破坏性影响; 可以深入了解哪些应用占用(P2P/WEB TV/流媒体/IM/Games等)了整个网络带宽由,热点区域、应用、用户是哪些;通过灵活的带宽管理机制,如带宽整形、限速、提速、封堵、QoS管理等,来限制“低价值、高消耗”的用户和业务,从而有效地保障关键用户、关键业务,提高带宽使用的性价比,提升用户感知;通过透视全网各种业务的带宽占用、抖动、延时等QoS指标,能够精确定位QoS劣化点。
DPI技术在移动分组网中的应用研究
业务在 网络 系统 中得 到优先保障。文章主要对 D P I 技术在移动分组 网中应用进行研 究。 关键 词: D P I ; 移动互联 网; 分组 网 中图分类 号 : T N9 2 9 . 5 文献标识码 : A 文章编号 : 1 6 7 3 — 1 1 3 1 ( 2 0 1 3 ) 0 2 — 0 2 0 1 . 0 2 浅层报文检测 ( S P I -S h a l l o w P a c k e t I n s p e c t i o n) , 就是对 网络层 ( I P地址 、 协议类 型) 、 传输 层 ( T C P端 口号、 U D P端 口 号)数据进行快速匹配 ,比如认为 目的端 口为 8 0的报文都是 H T T P的协议 。通常是采用专用 T C A M 芯片实现 。 深层报文检测 ( D P I 一 . D e e p P a c k e t I n s p e c i t o n ) , 是对 T C P /
2 0 1 3 年 第 2 期
信 息 通 信
I NF ORM ATI ON & C0M M UNI CAT 1 0NS
201 3
( 总第 1 2 4 期)
( S u m .N o 1 2 4 )
DP I 技术在移动 分组 网中的应用研究
张根喜
( 中兴通讯 , 江苏 南京 2 1 0 0 3 6)
处 境尴尬 。如何 有效使用 有限无线带 宽资源 , 保障 能够 给运 营 商带来利润 的业务在 网络系统 中得 到优先保 障, 是运 营商
让带宽按需分配——DPI、DFI带宽管理技术分析
圈参皿狐黯 。。丫。 二 c、。「A。 日。,M 一 L 、
工在
技 术
让带宽按需分配—
OP 、OF 带宽管理技术分析 I I
田红月 (淄博移动公司 山东淄博 2 55 200 )
摘 要: 本文首先简 要棍述了当 前我国宽带网 络带宽拥塞原因 和现状,随后较详细地分析了 带宽管理技术 DP 和DF 的特性, I I 最后 提出了 部舟DP 和 DF 的技术策略。 I I
网管识别技术首先由应用层网管识别出控制
流 ,并根据控制流协议选择特定的应用层网 关对业务流进行解析。③第三类是行为模式 识别技术: 根据客户已经实施的行为,建立 行为识别模型,基于行为识别模型 ,判断客 户正在进行的动作或者即将实施的动作。
宽的设备来组网,因此在接人层内部的PZP 流量成本相对较低 ; 而核心层和流量汇聚
关键词: DP I DF I
中图分类号: ’ 3 rP3,
带宽管理
文献标识码:Байду номын сангаасA
文章编号: 167卜 37, 1(2007)12(c)一 0052一 01 各运营商的布设的设备型号繁多、种类 不
一 ,但一般都采用低成本、大容量 、高带
1当 前状况和挑战
固网转型,宽带成为最大亮点,欣欣 向荣的宽带业务发展给运营商带来了可观
深度解读网络防火墙的四层与七层过滤(七)
深度解读网络防火墙的四层与七层过滤网络防火墙是保护计算机网络免受恶意攻击和未经授权访问的关键工具。
其中,最常见的两种类型是四层和七层过滤。
本文将深入探讨这两种过滤技术的原理、应用和区别。
一、四层过滤四层过滤是指网络防火墙在传输控制协议(TCP)和用户数据报协议(UDP)之上进行过滤和检测。
它基于源地址、目标地址、端口号和协议类型等信息进行过滤。
四层过滤技术具有高效、稳定和快速的特点,适用于大多数网络环境。
四层过滤的实现原理类似于“端口转发”,即通过检查连接请求的源地址和目标地址,防火墙可以识别是否允许或拒绝该连接。
同时,它还会检查端口号和协议类型,以确保只有经过授权的连接可以通过。
例如,允许传输HTTP协议的连接流量,但阻止传输FTP协议的连接。
四层过滤在保护网络安全方面非常有效,但它无法检测和过滤应用层协议的特定内容。
这就引出了七层过滤的概念。
二、七层过滤与四层过滤不同,七层过滤基于应用层协议对网络流量进行过滤和检测。
它可以分析传输的数据包内容,并根据协议和应用层规则进行决策。
因此,七层过滤技术可以实现更精确和细致的网络流量控制。
七层过滤的实现主要基于深度包检测(DPI)技术。
DPI技术具有强大的数据分析能力,可以检测特定应用程序协议、网络流量类型和数据包内容。
例如,七层过滤可以在HTTP协议中检测恶意代码、广告和非法网站等威胁,从而保护网络免受攻击。
七层过滤相比四层过滤更加智能化和复杂,但也更加耗费计算资源。
因此,在大型网络环境中,四层过滤和七层过滤通常会结合使用,以平衡网络性能和安全需求。
三、四层与七层过滤的区别除了实现原理和功能上的不同,四层过滤和七层过滤还存在其他一些区别。
首先,四层过滤更加侧重于网络连接层面的过滤,而七层过滤更关注应用层面的过滤。
四层过滤主要通过源地址和目标地址、端口号和协议类型等信息进行筛选,而七层过滤则在这些基础上还能对数据包内容进行更精准的分析和过滤。
其次,四层过滤执行速度更快,而七层过滤在处理复杂的应用层协议时会稍微慢一些。
2016年中国电信固网宽带深度包检测系统技术要求—骨干网DPI设备
通信网络中的流量识别与分析方法研究
通信网络中的流量识别与分析方法研究随着互联网的快速发展,通信网络已经成为了连接世界的重要基础设施。
然而,随之而来的是数据流量的急剧增长,使得传统的通信网络架构不再能够满足当今的需求。
为了有效管理和优化通信网络,流量识别与分析成为了关键技术之一。
本文将针对通信网络中的流量识别与分析方法展开研究,以期提供可行的解决方案。
一、流量识别方法1. 端口和协议识别:这是一种基于端口和协议的最简单的流量识别方法。
当网络流量经过特定的端口时,可以根据端口号和协议类型来进行识别。
虽然这种方法简单易行,但是它容易被绕过或者伪装,因此不适用于当前复杂多变的通信网络环境。
2. 深度包检测(DPI):深度包检测是一种高级流量识别方法,它通过对网络数据包进行深入分析,识别和提取关键特征信息。
这种方法能够有效地检测和识别各种类型的网络流量,包括加密流量,从而能够满足对网络安全和优化的需求。
然而,深度包检测方法的计算复杂度较高,需要大量的计算资源和时间,因此在大规模网络环境中应用受到一定的限制。
3. 机器学习方法:机器学习方法是当前研究流量识别的热门方向之一。
通过构建各种机器学习模型,利用训练数据集进行学习和推理,识别和分类网络流量。
这种方法的优势在于可以动态适应网络流量的变化,具有较高的准确性和扩展性。
然而,机器学习方法也存在一些挑战,例如需要大量的标记样本数据进行训练和模型优化,以及模型的鲁棒性和迁移能力等问题。
二、流量分析方法1. 传统流量分析方法:在传统的流量分析方法中,主要采用的是基于端口、协议和地址的统计分析。
通过对流量数据进行统计和分析,可以获得一些关键的网络性能指标,如流量量、时延、丢包率等。
这种方法简单易行,适用于一些简单网络环境下的性能分析任务。
然而,由于传统方法对流量细节的抽象过多,无法提供更深入的分析结果。
2. 应用层流量分析:应用层流量分析是一种基于应用层协议的流量分析方法,通过识别和匹配应用层协议头部信息和内容特征,可以对应用层的流量进行精确的分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘要随着互联网在中国的迅速发展,全国各大网络运营商的网络规模都在不断扩张,网络结构日渐复杂,网络业务日趋丰富,网络流量高速增长,这使得网络管理的要求和难度都大大提高。
因此,网络运营商需要利用协议分析对网络进行可靠、有效的监测与控制,而传统依靠端口识别的协议分析已经无法实现对协议的准确识别。
在这种情况下,如何通过一种新的协议分析方法对网络进行流量控制、网络计费、内容过滤、以及流量管理,为用户提供一个良好的网络环境成为了一个热门的研究课题。
首先,对应用层协议解析的研究现状和已有的检测方法进行了分析和介绍,在此基础上采用了深度包检测(DPI)技术对应用层协议解析;其次,对应用层协议解析系统的系统架构及各子系统的功能做了概要介绍,同时将协议分析模块(包括HTTP分析、DHCP分析)作为核心模块详细加以说明;再次,对整个应用层协议解析做了详细设计,阐述了各个模块的设计原理及实现流程,并通过系统测试,证实了系统设计方案的可行性和正确性。
最后,对研究工作进行了总结与展望,肯定了其研究意义和价值,同时也指出了系统存在的不足及今后的改进方向。
关键词:深度包检测,应用层协议解析,数据包捕获函数库,超文本传输协议AbstractWith the rapid development of Internet in China, the major network operators, network size in the ever-expanding, increasingly complex network structure, network operations are becoming increasingly rich, high-speed network traffic growth, which makes network management requirements and greatly increase thedifficulty. Therefore, network operators need to network a reliable effective monitoring and control, in this case, how to protocol analysis of network flow control, network billing, content filtering, and traffic management, to provide users with a good network environment has become a hot research topic.First ,the artical has analysised on the research present situation and the existing detection method on the application layer protocol analysis, and based on this, it used the depth inspection packet (DPI) technology for application layer protocol analysis; Second, the article given an overview on the system architecture of the application layer protocol analysis system and subsystem functions,and at the same time, it gaven a detailed description on the analysis of hypertext transfer protocol (HTTP: hypertext transport protocol) as the core module; Three, the article given a detailed design on the application layer protocol analysis system, described the design principles and processes of each module, and system testing, confirmed the feasibility of the system design. Finally, this paper summarized the research work and looking, ensured its significance and value, and also pointed out the shortcomings of the system and the future direction of the improvement.Keywords:deep packet inspection, the application layer protocol analysis, libpcap, hypertext transfer protocol analysis目录摘要 (I)Abstract (II)1 绪言1.1 课题背景及研究的目的和意义 (1)1.2深度数据包检测(DPI)国内外研究概况 (2)1.3 应用层协议概述 (3)1.4论文的组织结构 (11)2 应用层协议解析系统设计方案的研究2.1 系统需求分析 (13)2.2 基于DPI的应用层协议解析系统设计方案 (14)2.3 协议分析系统设计方案 (15)2.4 系统开发语言、工具及环境 (16)3 基于DPI的应用层协议解析与设计3.1数据包捕获模块 (17)3.2 HTTP分析模块 (23)3.3 DHCP分析模块 (25)4 系统测试4.1 测试指标 (28)4.2 测试环境 (28)4.3 测试步骤及结果分析 (28)5 总结与展望 (30)致谢 (31)参考文献 (32)1 绪言1.1 课题背景及研究的目的和意义1.1.1 课题背景在如今Internet高速发展,网络的内容安全是网络安全的重要组成部分。
对于网络管理来说,最重要的就是识别和区分网络流量,通过协议识别可以对网络进行流量控制、网络计费、内容过滤、以及流量管理。
传统的协议识别采用的是端口识别,如检测到端口号为80时,则认为该应用代表着普通上网应用。
这种识别能达到较高的速率,但是现在大量的应用层协议为了避免识别,逃避防火墙的检查,不使用固定的端口进行通信。
这不仅包括众多近年新出现的P2P协议,而且包括了越来越多的传统协议,比如BitTorrent、eMule等P2P协议,其采用动态端口进行通信;而Skype、QQ等协议则共用80端口。
并且当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络[2]。
越来越多诸如此类协议的产生,采用L2~L4层的传统检测方法已无能为力了,因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议。
1.1.2 课题研究的目的和意义DPI(Deep Packet Inspection,深度包检测)技术就是近年来出现的一种协议识别技术。
DPI技术不同于传统的协议(如图1.1)。
传统报文检测仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。
而是在在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流经过基于DPI技术的网络设备时,DPI引擎通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组,从识别出IP包的应用层协议。
随着对应用层协议解析的要求越来越高,对基于DPI的应用层协议解析技术的研究也变得越来越重要。
图1.1 两种报文检测的区别1.2深度数据包检测(DPI)国内外研究概况深度数据包检测(DPI)是一项已经在流量管理、安全和网络分析等方面获得成功的技术,同时该技术能够对网络数据包进行内容分析,但又与header 或者基于元数据的数据包检测有所不同,这两种检测通常是由交换机、防火墙和入侵检测系统IPS设备来执行的。
通常的DPI解决方案能够为不同的应用程序提供深度数据包检测。
只针对header的处理限制了能够从数据包处理过程中看到的内容,并且不能够检测基于内容的威胁或者区分使用共同通信平台的应用程序。
DPI能够检测出数据包的内容及有效负载并且能够提取出内容级别的信息,如恶意软件、具体数据和应用程序类型。
随着网络运营商、互联网服务提供商(ISP)以及类似的公司越来越依赖于其网络以及网络上运行的应用程序的效率,管理带宽和控制通信的复杂性以及安全的需要变得越来越重要。
DPI恰好能够提供这些要求[3],寻求更好的网络管理以及合规的用户企业应该把DPI作为一项重要的技术。
DPI技术能够将数据包组装到网络的流量中[20,23],数据处理(包括协议分类)接着可以从流量内容中提取信息,流量重组和内容提取都需要大量处理能力,尤其是在高流量的数据流中。
成功的DPI技术必须能够提供基本功能,如高性能计算和对分析任务的灵活的支持。
DPI的识别技术可以分为三大类:基于“特征字”的识别技术,应用层网关识别技术和行为模式识别技术。
(1)基于“特征字”的识别技术[1]。
不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的Bit 序列。
基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。
根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。
通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。
(2)应用层网关识别技术。
某些业务的控制流和业务流是分离的,业务流没有任何特征。
这种情况下,我们就需要采用应用层网关识别技术。
应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。
对于每一个协议,需要有不同的应用层网关对其进行分析。
(3)行为模式识别技术。
行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。
行为模式识别技术通常用于无法根据协议判断的业务的识别。
1.3 应用层协议概述应用层(Application layer)是七层OSI模型[4,5](如图1.2所示)的第七层。