張世強(qiáng)

【摘要】：電力信息通信網(wǎng)絡(luò)對(duì)安全性有較高要求，所以選擇流量識(shí)別方法首先要了解這些方法。本文著重介紹了目前使用范圍較廣網(wǎng)絡(luò)流量識(shí)別方法，并分析得出適用于電力信息通信網(wǎng)絡(luò)的流量識(shí)別方法。

【關(guān)鍵詞】：電力信息通信網(wǎng)；網(wǎng)絡(luò)流量；識(shí)別方法

引言

IP報(bào)文集合會(huì)通過網(wǎng)絡(luò)觀測點(diǎn)，并且它是在某個(gè)固定時(shí)段內(nèi)通過的，我們把這種的集合稱之為流。在同一個(gè)特定流范圍內(nèi)的報(bào)文，常常具備相同的屬性。流量由流組成，一定數(shù)量的流構(gòu)成了流量。流量具備不同特征，根據(jù)這些特征對(duì)流量進(jìn)行區(qū)分和選擇，就是流量的分類和識(shí)別。用具體的理論方法進(jìn)行描述時(shí)，為“分類”；用具體的應(yīng)用分析進(jìn)行描述時(shí)，就是“識(shí)別”。如果沒有特別說明和要求，通常是不會(huì)過于嚴(yán)格區(qū)分的。

1、網(wǎng)絡(luò)流量識(shí)別方法的分析

1.1基于端口映射的流量識(shí)別方法

主要有兩種途徑：①分析傳輸控制協(xié)議（TransmissionControlProtocol，簡稱TCP）數(shù)據(jù)包中的端口號(hào)；②分析用戶數(shù)據(jù)報(bào)協(xié)議（UserDataProtocol，簡稱UDP）數(shù)據(jù)包中的端口號(hào)。分析端口號(hào)之后，再比較它和熟知的端口號(hào)之間的不同，判斷其應(yīng)用類型。

這種方法操作起來比較簡單，能夠很好的識(shí)別分類高速網(wǎng)絡(luò)中的流量，而且是實(shí)時(shí)流的分類。但是它有一些缺點(diǎn)。對(duì)于那些沒有把端口號(hào)在互聯(lián)網(wǎng)數(shù)據(jù)分配機(jī)構(gòu)（theInternetAs-signedNumbersAuthority，簡稱IANA）進(jìn)行注冊(cè)的應(yīng)用，和那些未知端口的應(yīng)用來說，是無法利用這種方法進(jìn)行流量識(shí)別的。另外，常見的P2P應(yīng)用中運(yùn)用的是動(dòng)態(tài)分配端口技術(shù)，也沒有辦法實(shí)施基于端口映射的流量識(shí)別方法。如果網(wǎng)絡(luò)互連協(xié)議層上有加密，那么利用這種方法是不能獲得端口號(hào)的，這種方法在面對(duì)加密情況時(shí)，無法產(chǎn)生正常效用。

1.2基于有效負(fù)載的流量識(shí)別方法

傳統(tǒng)的網(wǎng)絡(luò)流量識(shí)別方法，其判斷過程過分依賴端口號(hào)。為了減少這種依賴，基于有效負(fù)載的網(wǎng)絡(luò)流量識(shí)別方法應(yīng)用而生。包的有效負(fù)載中存在一些字段，基于有效負(fù)載的網(wǎng)絡(luò)流量識(shí)別方法主要對(duì)包中存在的已知應(yīng)用的字段進(jìn)行分析，通過分析實(shí)現(xiàn)流的分類。這種方法的準(zhǔn)確性比基于端口映射的流量識(shí)別方法要高出許多。它的具體操作過程是：對(duì)尚未識(shí)別的應(yīng)用層協(xié)議進(jìn)行詳細(xì)分析。每個(gè)協(xié)議中都包含著不同于其他協(xié)議的字段，分析應(yīng)用層協(xié)議中這些不同字段并將其視為應(yīng)用協(xié)議的特征。識(shí)別流量過程中，需要對(duì)報(bào)文的負(fù)載部分進(jìn)行檢測，而且檢測必須使用深度包檢測技術(shù)。檢測完成后，比較已知協(xié)議特征和檢測結(jié)果，如果二者能夠匹配，就可以將該流歸類于對(duì)應(yīng)的應(yīng)用中。這種方法也有非常明顯的不足。它雖然能夠快速識(shí)別那些并沒有加密且已知的流量，但是面對(duì)那些未知流量，這種方法卻沒有實(shí)際作用。由于這種識(shí)別方法主要通過分析應(yīng)用層中的內(nèi)容來實(shí)現(xiàn)識(shí)別的，時(shí)常會(huì)出現(xiàn)侵犯隱私甚至其他性質(zhì)嚴(yán)重的安全性問題。

1.3基于主機(jī)行為的流量識(shí)別方法

前面介紹的兩種方法，雖然能夠?qū)崿F(xiàn)流量識(shí)別，但是它的缺陷也對(duì)其識(shí)別范圍造成一定影響。研究者在前兩種方法的基礎(chǔ)上，提出了基于主機(jī)行為的流量識(shí)別方法。這種方法能產(chǎn)生效果，主要通過對(duì)主機(jī)中傳輸層特有的行為模式及其特征進(jìn)行分析，最終實(shí)現(xiàn)流量識(shí)別或分類。這里的主機(jī)行為包括TCP協(xié)議的使用順序和IP地址的數(shù)目，還包括UDP協(xié)議的使用順序和相關(guān)傳輸速度的變化。通過對(duì)這些主機(jī)行為及其特征的詳細(xì)分析，能夠判斷出它對(duì)應(yīng)的應(yīng)用類型?；谥鳈C(jī)行為的流量識(shí)別方法的特點(diǎn)有三個(gè)：①利用它識(shí)別流量不需要了解端口號(hào)及與之相關(guān)的信息，不會(huì)出現(xiàn)前兩種方法中無法識(shí)別未知或動(dòng)態(tài)端口的情況，更不會(huì)出現(xiàn)受到端口誤導(dǎo)的情況。②不需要對(duì)負(fù)載進(jìn)行解讀，不會(huì)出現(xiàn)侵犯隱私的情況或者其他安全性問題。③這種方法主要是分析路由器上的NetFlow信息，所以在設(shè)備方面的投入比較小。當(dāng)然，這種方法也存在一定局限性，具體表現(xiàn)在：不能識(shí)別某些特定的應(yīng)用類型，比如這種方法雖然能將P2P類型的流量識(shí)別出來，但卻無法確定具體是哪種P2P應(yīng)用。

2、適用于電力信息通信網(wǎng)絡(luò)的流量識(shí)別方法

電力通信網(wǎng)絡(luò)要傳輸語音、圖像、視頻等數(shù)據(jù)信息，而且因?yàn)殡娏π袠I(yè)比較特殊所以它比較重視網(wǎng)絡(luò)的安全性。電力信息通信網(wǎng)絡(luò)流量識(shí)別方法須達(dá)到這些要求和標(biāo)準(zhǔn)：①流量識(shí)別技術(shù)的識(shí)別率要達(dá)到將近100%，而流量識(shí)別的準(zhǔn)確程度不能低于92%。②應(yīng)用于電力信息網(wǎng)絡(luò)中的流量識(shí)別方法要具備非常高的安全系數(shù)，在使用方法的效用范圍內(nèi)，盡量保證數(shù)據(jù)內(nèi)容的安全。③要快速識(shí)別出端口可變業(yè)務(wù)以及其他加密業(yè)務(wù)或者可變IP的業(yè)務(wù)。④流量識(shí)別方法能夠感知多種應(yīng)用，快速識(shí)別出HTTP、BLOG等應(yīng)用。根據(jù)電力信息通信網(wǎng)絡(luò)的特征和它對(duì)網(wǎng)絡(luò)流量識(shí)別方法的要求，再結(jié)合第一部分中介紹到的網(wǎng)絡(luò)流量識(shí)別方法，可以看出，基于機(jī)器學(xué)習(xí)的流量識(shí)別方法是最合適的選擇。原因是：

（1）由于基于端口的流量識(shí)別方法主要通過分析端口號(hào)來識(shí)別流量，所以它極易被端口號(hào)誤導(dǎo)。而目前的端口形勢(shì)多數(shù)為動(dòng)態(tài)，這對(duì)基于端口的流量識(shí)別方法的準(zhǔn)確性有非常大的影響。

（2）基于有效負(fù)載的流量識(shí)別方法，通過解讀數(shù)據(jù)包進(jìn)行判斷，這一識(shí)別過程需要投入非常大的資金，而且解析數(shù)據(jù)包的過程中很有可能出現(xiàn)安全問題。前面已經(jīng)提到，電力信息通信網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)環(huán)境的安全性有非常高的要求，縱然它識(shí)別流量的準(zhǔn)確率較高，也不適合在電力信息通信網(wǎng)絡(luò)中使用。

（3）基于主機(jī)行為的流量識(shí)別方法，雖然具有一定準(zhǔn)確性，但是它的識(shí)別效果不夠理想。不可否認(rèn)，它能夠識(shí)別出應(yīng)用，但是它的分類粒度不夠細(xì)。尤其是當(dāng)前網(wǎng)絡(luò)環(huán)境中P2P應(yīng)用的數(shù)量和規(guī)模飛速增長的情況下，僅僅識(shí)別應(yīng)用是不夠的，還要識(shí)別出應(yīng)用的子應(yīng)用。所以這種方法也不適合在電力信息通信網(wǎng)絡(luò)中應(yīng)用。

結(jié)語

電力信息通信網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)環(huán)境的安全性有較高的要求，網(wǎng)絡(luò)流量識(shí)別技術(shù)能夠幫助電力信息通信網(wǎng)絡(luò)提高其可視業(yè)務(wù)的能力，增強(qiáng)電力信息通信網(wǎng)絡(luò)的安全性能?；跈C(jī)器學(xué)習(xí)的流量識(shí)別方法本身具有許多優(yōu)點(diǎn)，比較適合運(yùn)用在電力信息通信網(wǎng)絡(luò)中。

【參考文獻(xiàn)】：

[1]姜羽，華俊，胡靜，宋鐵成，劉世棟，郭經(jīng)紅.電力信息通信網(wǎng)絡(luò)流量識(shí)別技術(shù)研究[J].信息化研究，2015，01：10～14+18.