IP网络业务识别关键技术研究

【摘要】：IP网络业务识别是网络管理、安全监测的重要前提和基础，随着越来越多的业务网络承载在IP网络上，对于业务的精细化识别和分析越来越成为研究重点。传统的互联网业务、IPTV/三网融合、TD/LTE均通过IP作为承载网络，但上面所承载的业务却纷繁复杂，多种多样，如何实现“业务可识别、网络可管理、行为可追溯”，成为网络运营商乃至国家、政府对于网络进行监控的重点。 然而，随着业务和应用的快速出现，IP网络的业务识别成为了一个非常困难的问题，从早期的端口识别方法发展至今，越来越多的应用和业务采用动态可变端口、端口伪装以及合法端口封装的方式来躲避监管；而进一步产生的DPI深度包检测虽然可以解决部分端口识别法所无法识别的业务，比如可变端口或伪装等，但仍然无法满足快速发展的业务特征更新、加密业务等场景，造成业务识别问题仍然举步维艰，因此进一步出现了以机器学习、智能计算等模糊型方法为主的业务识别算法，但仍然无法很好的解决IP网络业务识别的问题，因此如何建立一套精确、智能、实时的IP网络业务识别机制，已成为一个具有高度挑战性的问题，并成为互联网流量测量领域的研究热点之一。 本文针对IP网络业务识别面临的诸多问题和困难，深入研究现有技术和方法，提出一套快速、准确、智能的业务识别方法。论文针对DPI深度包检测方法进行了深入的研究，并提出基于DPI和SAT（会话关联技术）的综合业务识别方法，用于识别诸如QQ这类复杂业务。同时，针对DPI技术特征维护繁琐、无法适应新业务的问题，提出采用机器学习的方法来进一步改进业务识别算法，并进一步提出采用决策树模型方法来识别业务，并对算法、性能、准确性等方面进行了全面的描述。针对研究目标，论文主要的贡献和创新如下： （1）建立了基于多识别引擎的综合业务识别框架。通过构建多识别引擎解决通过单一识别方法无法识别复杂业务的问题，并从数据采集、协议分析、业务识别、应用展现四个层面梳理了业务识别的应用场景，该模型框架可以广泛应用于所有的业务识别应用中。 （2）基于多识别引擎框架，提出基于DPI和SAT会话关联技术的业务识别方法，并以QQ这种复杂业务作为案例，进行识别，并在主动拨测和被动采集两种方式下对识别算法的准确性进行评估。 （3）针对传统业务识别方法无法很好适应新业务以及特征维护更新繁琐等问题，论文主要研究了基于机器学习的识别方法。其中对各种算法进行比较，由大量实验分析得出影响网络流量分类性能的主要因素：样本集大小、特征选择、机器学习算法和应用类型数。大的标签样本集和少量的应用类型数使得网络流量分类更为精确，决策树算法REPTree和C4.5兼具高精度和低开销的优良性能。 （4）提出采用C4.5决策树算法进行业务识别的方法。基于C4.5决策树模型进行业务识别可以根据流量的属性统计特性将网络业务分类。这种识别方法比较关注网络流量的通用特性，且不需要解析应用层协议，具备了较好的扩展性。C4.5算法是目前已知的比较适用于业务识别的机器学习分类方法之一，其分类准确率较高，可达到约95%，且预测处理时间较短，可在短时间内处理大量网络流量。