1  引言

随着移动宽带互联网的发展，各种新兴业务如P2P、VoIP、流媒体、在线游戏和虚拟现实等新业务层出不穷。这些业务不但挤占了大量的互联网带宽，而且给网络安全带来了一定的隐患。流量的精细化识别、分析、监测、管理以及控制成为了电信运营商打造可管、可控的网络急待解决的问题。作为这些工作的基础，业务识别从纷繁复杂的业务流中分门别类地识别出各类业务，从而为带宽估算、流量整型、QoS管理、SLA（服务等级协议）保障等提供坚实的基础。

2  传统业务识别方法

传统的业务识别方法主要有3种：一是端口匹配方法，主要通过各种业务应用的固定TCP或UDP端口来区分业务类型，这种方法会随着动态端口应用的出现而愈发不可靠，如BT、EDK等；二是协议分析方法，这类方法普遍适用于具有标准协议的业务，如H.323/SIP等，但随着各类私有协议应用的不断出现，协议分析方法也无能为力；三是利用DPI（深度包检测）技术，这种技术主要适用于业务层面有特征的应用，如BT/PPStream等，虽然其端口可以动态配置，但是应用层具有净荷特征，因此可以通过DPI识别，然而这种方法对于加密的应用很难有效地识别。

由此可见，单独和单纯采用传统的端口匹配、DPI以及协议分析等业务识别方法很难适应互联网不断变化的业务应用。

3  互联网精细化流量建模和业务识别

由于常规业务识别方法的局限性和多样性，必须建立一个有效、准确和通用的业务识别模型来对下一代网络中已知和未知业务进行识别。为此，常州移动建立了业务识别分层模型，其结构如图1所示。

图1  业务识别模型

（1）数据采集层

该层面提供对于不同链路的数据采集或复制技术，如100/1000 Mbit/s FE、ATM、SDH等，以保障数据完整、可靠地传送至上一层面，即协议分析层。

（2）协议分析层

协议分析层面提供对于TCP/IP或者非TCP/UDP（因目前也有部分P2P数据流为非TCP/UDP传送）的协议解析，目的是为了向上层提供足够的分组头部和净荷信息，以满足上一层对业务的识别和感知。该层面的协议分析深度应当分析至TCP/IP协议栈的第四层，即传输层。其向上层提供的接口为流。流应当由一个五元组确定，即源IP、目的IP、源端口、目的端口和协议类型。此处的协议类型是指TCP或者UDP。该流中还需要存放部分净荷，捕获的净荷大小可配置。

（3）流量识别（业务识别）层

该层面是整个架构的核心层，主要根据下层（协议分析层）提供的IP分组头部、TCP/UDP的头部信息及其净荷信息等特征有效识别出上层业务。识别过程中综合应用了多种识别技术。这些识别引擎包括常规办法如端口匹配、协议分析、净荷特征，还包括特殊方法，如连接模式、拓扑特性、xFlow、流量特性等方式。

该层向应用层面提供的接口应当是五元组+业务类型。该层面以流为识别单元，同时提供流的定时机制，即指定流的存活时间，如64 s。若在64 s内该流中未注入新的分组，即认为该流已超时过期。

流量识别层包含多个识别引擎，因此可综合应用多个识别引擎，如端口匹配识别引擎、净荷特征匹配引擎、应用协议分析引擎、连接模式识别引擎、拓扑特性识别引擎、业务特性识别引擎、xFlow识别引擎等。

（4）业务识别应用层和表现层

业务识别应用层面针对识别出来的不同业务，如P2P、移动IP、VoIP等各种新业务以及传统的HTTP、MAIL、FTP等业务，实现业务性能分析、会话流程跟踪、流量异常检测、流量整型、网络资源规划等功能。表现层面则通过图表等方式将各种不同业务的构成比例、带宽占用率、流量流向特征、性能参数等表现出来。

4  模型和算法验证

根据本模型和算法开发出的宽带IP骨干网流量精细化分析系统在常州移动的2条10 Gbit/s PoS骨干链路上得到了具体的验证。该系统采用分光方式将10 Gbit/s流量负载均衡分流至若干台业务识别处理机上，业务识别处理机完成业务识别核心算法的实现，从纷繁复杂的分组中提取、分析、识别和关联出各种业务会话。业务识别系统部署拓扑如图2所示。

图2  系统部署拓扑

通过在常州移动10 Gbit/s骨干网的实际运行和拨打测试，针对IP网业务的各类业务识别准确率均在95％以上，针对VoIP业务的识别准确率高达100％，很好地体现了本模型和算法的实施效果，验证了算法的准确性。

本方案介绍了基于多识别引擎下一代网络的业务识别模型，该模型和算法具有良好的可扩展性和准确性，且该模型易与运营商相关的应用接口对接，通过各种应用开发，便于电信运营商对于其宽带IP业务进行监管。结合常州移动的实际工作，所有算法和模型均在IP骨干网上得到了验证，是一个不错的方案。