基于DPI的流量識別系統的開發與設計

傅 宇

（宜通世紀科技股份有限公司，廣州 510000）

隨著網絡技術的不斷發展和進步，互聯網在人們的生活和企業的生產中得到了越來越廣泛的應用，給人們的生活和企業的生產帶來了極大的便捷。但是，隨著網絡技術的高速發展和進步，網絡流量出現分布不均的情況，進而對網絡的安全性造成極大的威脅。基于上述情況，運用合適的軟硬件系統，對網絡流量情況進行有效的監控和識別，提升流量識別速度和識別準確率，保證網絡流量的分布均勻和運行的穩定性，是當前需要關注的重點問題。

1 系統結構設計

1.1 基于DPI流量識別系統設計背景

DPI（Deep Packet Inspection，深度包檢測技術），這種網絡監測技術的原理是對IP數據包中的 ISO 應用層數據進行讀取，該技術中的流量管理可對網絡運行過程中TCP或UDP的數據流進行重新組合，由此可對整個應用層數據包的完整情況進行獲取，這時，該技術通過系統管理規則就可進行網絡流量分布的監測。

將DPI技術運用于網絡流量識別的系統中，不僅可以對底層數據進行監控，還可實現對不同應用層的內容進行進一步的分析。隨著當前網絡技術的不斷發展和進步，網絡攻擊事件屢禁不絕，但是基于DPI 技術的網絡流量識別系統，在設計的過程中運用了多模式正則特征匹配算法，這種算法的特點在于可對不同字符串在同一時間內進行識別，同時進相應匹配字符的處理，具備高效性，可提升系統的精算效率和識別精確度。

1.2 系統總體結構

就當前階段而言，對網絡流量進行控制的主要協議為兩種，分別為HTTP和 HTTPS協議，這兩種協議的優勢在于只需要對特殊字段進行識別，大大提升了網絡流量的識別速度。該網絡識別系統針對未識別的網絡流量（不常見或需運用其他方式予以識別的網絡流量）可運用識別軟件予以識別。

與此同時，該系統可對軟件和硬件進行識別的網絡流量類型通過模式串知識庫中的關鍵字進行區分。例如硬件識別網絡流量的關鍵字為hardwaremode；軟件識別網絡流量的關鍵字為softwaremode。該系統可對3種不同類型的線程模式予以支持，分別為創建數

據庫線程；數據庫線程；知識庫編譯線程。這三種線程類型的作用有所區別。數據庫線程的作用為進行網絡數據包的解析；創建數據庫線程主要負責分析和加載模式串知識庫；知識庫編譯線程的主要作用為匹配字符串。該系統總流程圖詳情見圖1。

圖1 系統流程圖

2 系統硬件設計

該系統的硬件主要負責進行匹配網絡中簡單字符串。因此在進行硬件的設計過程中要對字符串的匹配速度，準確率和效率進行重點的關注。因此，本次研究中在進行硬件的設計過程中運用了OCTEON芯片，并運用了正則表達式匹配邏輯，進一步提升硬件的字符匹配速度和運行效率。該系統硬件進行識別的網絡流量詳情見圖2。

圖2 硬件識別網絡流量圖

從圖2中可見，硬件進行簡單流量識別的過程首先要進行流量表的創建，將待檢測數據輸送至硬件狀態機，通過知識庫進行簡單字符串的匹配，最后根據識別結果進行流量表的更新。

3 系統軟件設計

該系統軟件識別系統的作用是進行不常見或需運用其他方式予以識別的網絡流量的識別。因此，在網絡流量中經常存在無顯著特征的數據包或字符串，因此需要采取其他識別方式進行輔助識別，例如少數的P2P流量要首先將數據包進行解密后才能進行匹配。因此，基于軟件的復雜性，我們在進行系統的設計過程中選取了Linux內核，因為其中的bytematch模式可標識復雜的運算符號。

4 實驗驗證

因為網絡在實際的運行過程中，會有很多不固定的流量端口存在，因此在匹配的過程中容易出現漏報問題。本次研究在進行系統設計的過程中，將軟件識別和硬件識別相結合，實現更高效的進行網絡流量的識別，降低誤差，保證網絡運行的穩定。基于上述設計，此次研究選取了100M的寬帶網絡進行實驗驗證，選取騰訊QQ作為驗證軟件。本次實驗識別流量結果詳情見圖3。

圖3 流量統計結果

如圖3中可見，本次研究經系統識別流量結果表明，騰訊QQ軟件可在計算機上進行正常通信，無顯著誤報現象出現。說明本次研究進行設計的基于DPI技術的網絡流量識別系統，可在網絡處于正常運行狀態下避免漏報情況。

4 結束語

綜上所述，隨著互聯網絡的不斷發展和進步，網絡流量和復雜化，保證人們日常生活的用網穩定性是基本要求。基于上述理由，傳統的單純運用硬件或軟件進行流量識別已經不能滿足網絡的快速發展，因此，基于DPI技術的系統設計，可對傳統網絡流量識別出現漏報，誤報的情況予以解決，同時采取軟硬件結合，可對復雜的字符串和簡單字符串進行同時識別，提升了識別準確率，保證了識別效率。