1　網絡流量管理現狀分析與解決辦法

網絡尤其是互聯網的原始設計理念導致了其在流量管理方面存在著能力缺陷，盡管業界已經從技術、管理、法律、制度等多個方面采取了很多措施來彌補這些能力的缺失，但當前的網絡流量管理依然存在著如下的問題：

(1)重網絡，輕業務

當前，絕大多數的網絡流量管理措施都位于網絡層，主要致力于網絡性能(QoS)優化的基本流量流向的控制，以及簡單粗略的源地址過濾。即便是基于業務的流量管理措施，也多是依據網絡層的協議信息和傳輸層的標準端口號進行制定，業務流量管理效果十分有限，尤其對P2P的流量管理，有些力不從心。

(2)業務層和網絡層缺乏通用性和關聯性

當前針對業務的流量管理技術和措施大多都是一事一議，只針對特定業務應用，缺乏通用性；另一方面由于互聯網本身網絡與業務分離的基本特征，也導致了業務層的流量管理措施和網絡基礎設施之間缺乏關聯性，常常導致治標不治本。

(3)缺乏主動性

當前的網絡流量管理主要還是建立在簡單網絡管理協議(SNMP)、遠程網絡監測(RMON)、NetFlow、Sniffing等被動的流量管理技術之上的，缺乏主動的網絡流量檢測分析和用戶行為分析，尤其在安全防護方面，缺乏一個主動、全網的安全威脅防御機制。

(4)管理不夠精細

互聯網是一個有機的整體，包括用戶、網絡和業務。而當前的網絡流量管理僅僅是一種粗放的網絡資源的調度，很難實現精細的網絡資源、業務資源和用戶資源的綜合管理。

產生上述這些問題的一個顯而易見的原因是當前的網絡流量管理缺乏對用戶和業務的感知能力，要解決這些問題，就有必要在網絡流量管理中引入一雙“慧眼”，智能和主動地對業務流量和用戶行為進行檢測分析，而這雙“慧眼”正是業務識別。

2　業務識別

業務識別|(Application Awareness)是伴隨著網絡業務的蓬勃發展而出現的一個新的概念，通過對業務流量從數據鏈路層到應用層的報文深度檢查分析，依據協議類型、端口號、特征字符串和流量行為特征等參數，獲取業務類型、業務狀態、業務內容和用戶行為等信息，并進行分類統計和存儲。

2．1　業務識別工作過程

業務識別的基本目的是幫助網絡管理者獲得網絡層之上的業務層流量信息，如業務類型、業務狀態、業務分布、業務流量流向等。業務識別是一個相對復雜的過程，需要多個功能模塊的協同工作，業務識別的工作過程如圖1所示，簡單描述如下：

圖1 業務識別工作過程

識別處理模塊采用多通道識別處理，通過對網絡流量的源/目的IP地址和源/目的端口號的Hash算法，將網絡流量均勻的分配到多個處理通道中。

多處理通道并行執行網絡流量的深度報文檢查，獲取網絡流量的特征信息，并與業務識別特征庫中的特征進行比對。

將匹配結果送往識別處理模塊，并標識特定網絡流量。如果存在多個匹配結果，選取優先級較高的匹配結果進行標識。特定網絡流量一經識別確定，該網絡流量的后續連接將不再進行深度的報文檢查，直接將其網絡層和傳輸層信息與已知識別結果進行比對，提高執行效率。

識別處理模塊將網絡流量的業務識別結果存儲到識別結果存儲模塊中，為網絡流量的統計分析提供依據。

統計分析模塊從識別結果存儲模塊中讀取相關信息，并以曲線、餅圖、柱狀圖或者文本的方式將識別結果信息顯示，或以文件的形式輸出。

在結果存儲模塊中保存的識別結果信息會輸出到網絡流量管理功能區，為實施網絡流量管理提供依據。

2．2　業務識別技術

目前常用、典型的業務識別技術就是我們所熟知的DPI技術和DFI技術。

2．2．1 DPI技術

DPI是深度報文檢測(Deep Packet Inspection)的簡稱，是一種典型的業務識別技術。DPI技術之所以稱為“深度”的檢測技術，是相對于傳統的檢測技術而言的。傳統的流量檢測技術僅獲取那些寄存在數據包網絡層和傳輸層協議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號、協議號，以及底層的連接狀態等。通過這些參數很難獲得足夠多的業務應用信息。對于當前P2P應用、VoIP應用、IPTV應用被廣泛開展的情況，傳統的流量檢測技術已經不能滿足網絡流量管理的需要了。

DPI技術對傳統的流量檢測技術進行了“深度”擴展，在獲取數據包基本信息的同時，對多個相關數據包的應用層協議頭和協議負荷進行掃描，獲取寄存在應用層中的特征信息，對網絡流量進行精細的檢查、監控和分析，如圖2所示。

圖2 DPI技術中業務流量的分析方法

DPI技術通常采用如下的數據包分析方法：

傳輸層端口分析。許多應用使用默認的傳輸層端口號，例如HTTP協議使用80端口。

特征字匹配分析。一些應用在應用層協議頭，或者應用層負荷中的特定位置中包含特征字段，通過特征字段的識別實現數據包檢查、監控和分析。

通信交互過程分析。對多個會話的事務交互過程進行監控分析，包括包長度、發送的包數目等，實現對網絡業務的檢查、監控和分析。

2．2．2 DFI技術

DFI是深度流行為檢測(Deep Flow Inspection)的簡稱，也是一種典型的業務識別技術。DFI技術是相對于DPl技術提出的，為了解決DPI技術的執行效率、加密流量識別和頻繁升級等問題而出現的。DFI更關注于網絡流量特征的通用性，因此，DFI技術并不對網絡流量進行深度的報文檢測，而僅通過對網絡流量的狀態、網絡層和傳輸層信息、業務流持續時間、平均流速率、字節長度分布等參數的統計分析，來獲取業務類型、業務狀態。如圖3所示。

圖3 DFI技術中業務流量的分析方法

從圖中可以看出，同為P2P流量的Kazza和Gnutella流量在外在行為特征上是趨于一致的，或者說具有共同的特性；而P2P流量和HTTP流量無論是在數據包大小的峰值，還是在數據包大小的分布上都有著明顯的不同。因此，可以根據這些特定業務流量的外在行為特征進行業務識別。例如，Bittorrent應用的流量具備如下的行為特征：四層端口號為6881-6889、數據包平均大小超過700字節，持續時間超過8s等。

2．2．3兩種識別技術的比較

兩種技術的設計基本目標都是為了實現業務識別，但是兩者在實現的著眼點和技術細節方面還是存在著較大區別的。下面我們從技術成熟程度、識別準確程度、識別精細程度、加密流量識別和執行效率等幾方面對兩種技術進行比較。兩種技術的比較見表1。

從兩種技術的對比情況看，兩者互有優勢，也互有短板，DPI技術適用于需要精細和準確識別、精細管理的環境，而DFI技術適用于需要高效識別，粗放管理的環境。