DPI技術在IP網流量經營中的應用研究

周振勇 華信咨詢設計研究院有限公司網絡規劃研究院副院長，總工程師

楊 華 中國移動通信集團浙江有限公司網絡部網管中心運行質量部經理

1 引言

當前，隨著寬帶中國戰略的實施，寬帶用戶迅猛發展，各種互聯網應用不斷豐富，特別是各種OTT應用的出現，使互聯網流量成倍增加，電信運營商為了應對上網流量的增長，需不斷地對IP網絡進行擴容，投資壓力巨大，出現了流量快速增長但業務收入增長緩慢的“剪刀差”現象。為了實現業務轉型，改變寬帶業務收入主要依賴接入費用的局面，各電信運營商都提出了流量經營戰略，希望通過對互聯網流量的識別和應用，增加業務收入，而要實現互聯網流量識別，DPI（Deep Packet Inspection，深度包檢測）系統建設是基礎。目前，各電信運營商都非常關注DPI系統的建設和部署，本文將結合工程實踐，對DPI技術的基本原理、關鍵技術、分析能力、應用場景和部署方案等作分析和探討。

2 DPI技術的基本原理

DPI是指一種基于數據包的應用層流量檢測和控制技術，針對數據包的不同層信息（如IP地址、應用層端口、應用層協議、凈荷內容等）進行深度檢測和分析，從而得到整個數據流或數據包的應用層信息，然后按照系統定義的策略對流量進行統計分析和控制。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協議類型，而DPI除了對前面的層次分析外，還增加了應用層分析，識別各種應用及其內容。DPI與傳統業務識別技術的區別如圖1所示。

3 DPI關鍵技術

3.1 DPI識別技術

（1）基于特征字的識別技術（見圖2）

通過識別數據報文中的凈荷特征來確定業務流所承載的應用。不同的應用通常會采用不同的協議，而各種協議都有其特殊的特征（除加密應用外），這些特征可能是特定的端口、字符串或者Bit序列。檢測方式：固定位置特征匹配、可變位置特征匹配、多連接聯合匹配、狀態特征匹配。

圖1 DPI與傳統業務識別技術的區別示意圖

圖2 基于特征字的識別技術示意圖

（2）交互式業務識別技術

首先識別出控制流，并根據控制流協議分析識別出業務流的端口或對端網關地址等信息，然后對業務流進行解析，從而識別出相應的業務流。目前，VoIP/FTP/網絡游戲等業務普遍采用控制流與業務流分離的方式，通過控制流完成握手，協商出業務流的端口信息，然后進行信息流傳輸，業務流沒有任何特征。

（3）行為模式識別技術

基于行為識別模型，根據用戶已經實施的行為，判斷用戶正在進行的或者即將實施的動作。行為模式識別技術通常用于那些無法由協議本身判定的業務。在實施前，必須首先對終端的各種行為進行研究，并在此基礎上建立起行為識別模型。如SPAM檢測（垃圾郵件檢測），從E-mail的內容看，垃圾郵件業務流與普通郵件業務流兩者沒有區別，只有進一步分析發送郵件的目的郵件地址數目、變化頻率、源郵件地址數目、變化頻率、郵件被拒絕的頻率等參數，建立起行為識別模型，并以此分揀出垃圾郵件。

3.2 DPI管控技術

（1）并接流量控制（見圖3）

采用數據包偽裝技術將偽裝的干擾數據包發到正在通信的TCP連接中，通過降低連接的傳輸速率或者切斷連接以達到流量控制的目的。需要引入分光設備或鏡像設備，并且需要占用網絡設備的端口用于將干擾信息發送到互聯網中。

圖3 并接流量控制示意圖

（2）串接流量控制（見圖4）

圖4 串接流量控制示意圖

通過DPI識別技術對網絡上各種類型的應用流量進行分類，并根據控制策略，將需要控制的應用流量數據包丟棄。其特點為：

如果允許電動設備按其“自然曲線”靈活運行，當流量每減小50%，則相當于額定功率減少12.5%（0.53）。工作效率將提高400%（=50%/12.5%）。實現該效率提升的條件是讓泵和風機的壓力-轉速關系始終按“自然曲線”維持在較低轉速的條件下。流量減小50%就相當于壓力減小25%（0.52）。

●采用丟棄數據包、隊列調度等方式，控制方式比并接方式直接，不占用額外的干擾接入端口。

●由于所有的網絡數據流都要經過設備處理再進行轉發，帶來一定的處理延時，有可能形成處理瓶頸和單點故障。

●串接方式對設備的處理和轉發性能要求高。

4 DPI分析能力及應用場景

4.1 DPI分析能力

（1）對應用進行分析識別（見圖5）

圖5 基于應用的分析識別示意圖

以應用為維度進行數據的分析、統計和呈現，用于網絡規劃和運行維護，獲取現網流量模型、流量業務發展趨勢等信息。

（2）對用戶行為進行分析識別（見圖6）

圖6 基于用戶行為的分析識別示意圖

DPI具備基于流的分析識別能力，以用戶對互聯網的訪問為維度進行分析，并輸出用戶對互聯網的訪問記錄，進而分析用戶的互聯網訪問行為和偏好。

（3）對流量流向進行分析（見圖7）

分析研究網絡流量構成和流量流向，對視頻、云存儲等大流量業務進行分析、預測和監測，提升流量預測的合理性，為網絡建設提供更加詳實的依據；針對應用的流量流向分析，能夠進一步提升應用對網絡流量影響的分析能力，可以與ICP的內容部署相結合，進行網絡架構的優化；對網絡的局部業務應用的組成和變化情況的分析，為支撐后續流量的架構優化和本地化提供參考。

4.2 DPI應用場景（見圖8）

DPI系統提供電信運營所需的各類統計分析數據，可應用于前端的市場策略制定、增值業務開發及后端的網絡運維管理等。

5 DPI系統部署方案

5.1 DPI設備架構

DPI系統分為前臺（鏈路側采集部分）和后臺（集中平臺處理部分）兩個層次。后臺一般采用通用服務器，但前臺設備差異性較大。DPI設備總體上有3種架構模式：

（1）服務器架構：采用協轉分流設備及前置處理服務器，對鏈路流量進行分析和處理。綠網、傲天等廠家均采用這種架構。

（2）路由器架構：采用自有路由器平臺架構開發DPI設備，如華為、中興。

（3）硬件探針盒式架構：自行開發基于FPGA的DPI設備，如浩瀚。

圖7 網絡流量流向分析示意圖

圖8 DPI應用場景示意圖

5.2 DPI部署方案（見圖9）

圖9 DPI部署方案示意圖

DPI部署位置比較靈活，可根據不同的需要在IP網中選擇合適的位置（如國際、省際、城域網、IDC等出口）部署DPI設備。

6 結束語

IP網流量經營已成為各大電信運營商業務轉型的重要方向，為了實現IP網流量經營，流量采集和分析是基礎，而DPI系統部署則是實現流量采集和分析的主要手段。本文介紹了DPI的基本原理、關鍵技術和分析能力，并提出了DPI的應用場景和系統部署方案，可供相關技術人員參考。