1 引言

隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的飛速發(fā)展，人們對(duì)數(shù)據(jù)包的安全性檢查已經(jīng)不再局限于數(shù)據(jù)的傳輸層以下信息，對(duì)數(shù)據(jù)包中的包含的應(yīng)用層信息的檢查顯得越發(fā)重要；網(wǎng)絡(luò)中P2P、SIP等應(yīng)用日益盛行，占用大量帶寬、帶寬消耗無(wú)計(jì)劃性，此外，各種網(wǎng)絡(luò)攻擊日益猖獗，如DDOS攻擊，蠕蟲傳播，VoIP服務(wù)劫持，信用卡詐騙等，具有識(shí)別、監(jiān)測(cè)、控制的DPI技術(shù)應(yīng)運(yùn)而生。

DPI（深度包檢測(cè)），一種基于數(shù)據(jù)包的應(yīng)用層流量檢測(cè)和控制技術(shù)，針對(duì)數(shù)據(jù)包的不同層信息（如IP地址、應(yīng)用層端口、應(yīng)用層協(xié)議、凈荷內(nèi)容等）進(jìn)行深度檢測(cè)和分析，從而得到整個(gè)數(shù)據(jù)流或數(shù)據(jù)包的應(yīng)用層信息；然后按照系統(tǒng)定義的策略對(duì)流量進(jìn)行統(tǒng)計(jì)分析和控制。DPI設(shè)備的解析識(shí)別能力是DPI技術(shù)中首要環(huán)節(jié)，是指通過(guò)對(duì)網(wǎng)絡(luò)流量進(jìn)行采集分析，然后基于一定的特征將該流量歸類為某種協(xié)議或者應(yīng)用的過(guò)程，如果解析識(shí)別能力不足，則無(wú)法滿足設(shè)備對(duì)流量的歸類統(tǒng)計(jì)以及后續(xù)對(duì)流量的分析控制等功能要求。因此，為了保證DPI設(shè)備解析識(shí)別能力符合要求，需要對(duì)其進(jìn)行驗(yàn)證和測(cè)試。

2 DPI解析識(shí)別能力測(cè)試需求

DPI解析識(shí)別能力是DPI系統(tǒng)的基礎(chǔ)能力，所有對(duì)流量應(yīng)用層面的監(jiān)控、管理以及統(tǒng)計(jì)都依賴于DPI識(shí)別的準(zhǔn)確性，可以說(shuō)，DPI的解析識(shí)別能力是DPI系統(tǒng)的靈魂。DPI解析識(shí)別能力除了具備傳統(tǒng)的IP報(bào)文檢測(cè)技術(shù)（即檢測(cè)報(bào)文2層~4層內(nèi)容），還要對(duì)應(yīng)用層內(nèi)容進(jìn)行深層次檢測(cè)，這也是DPI最重要的特點(diǎn)之一，因此考察DPI解析識(shí)別能力，最直觀最實(shí)用的是通過(guò)DPI對(duì)應(yīng)用或者業(yè)務(wù)的識(shí)別情況來(lái)反映。所以，能否對(duì)各種業(yè)務(wù)類型進(jìn)行有效識(shí)別是評(píng)估DPI解釋識(shí)別能力的重要體現(xiàn)。

隨著網(wǎng)絡(luò)中的應(yīng)用業(yè)務(wù)不斷發(fā)展，業(yè)務(wù)類型多種多樣，如中國(guó)電信根據(jù)目前網(wǎng)絡(luò)中主流業(yè)務(wù)應(yīng)用按照即時(shí)通信、視頻業(yè)務(wù)、游戲業(yè)務(wù)等方面定義了20多個(gè)大類、200多個(gè)小類和數(shù)千個(gè)業(yè)務(wù)細(xì)分應(yīng)用。此外，網(wǎng)絡(luò)中的應(yīng)用還具有覆蓋廣、典型性、時(shí)效性強(qiáng)、業(yè)務(wù)特征明確等特點(diǎn)，同時(shí)，對(duì)于測(cè)試方法也希望能夠具備調(diào)整靈活、易于在實(shí)驗(yàn)室實(shí)現(xiàn)等特點(diǎn)。為了能夠滿足以上測(cè)試需求，對(duì)于測(cè)試方法以及測(cè)試工具都提出了相當(dāng)高的要求，針對(duì)DPI解析能力的測(cè)試，目前存在以下難點(diǎn)。

（1）業(yè)務(wù)種類多，難以全部覆蓋；

（2）很多業(yè)務(wù)為私有協(xié)議，或者是基于標(biāo)準(zhǔn)協(xié)議，但做了很多私有的實(shí)現(xiàn)，借助一般的工具難以在實(shí)驗(yàn)室進(jìn)行模擬；

（3）難以確保測(cè)試用例中模擬的流量帶有準(zhǔn)確的業(yè)務(wù)特征供DPI系統(tǒng)進(jìn)行識(shí)別；

（4）難以在大流量高帶寬的場(chǎng)景下模擬現(xiàn)網(wǎng)的真實(shí)壓力，驗(yàn)證DPI系統(tǒng)的協(xié)議識(shí)別能力；

（5）業(yè)務(wù)識(shí)別的準(zhǔn)確性如何衡量。

3 DPI識(shí)別能力測(cè)試方法探討

根據(jù)上述測(cè)試需求及難點(diǎn)，下面通過(guò)測(cè)試拓?fù)?、測(cè)試流量構(gòu)建、測(cè)試業(yè)務(wù)模型、測(cè)試結(jié)果分析和測(cè)試方法改進(jìn)及展望5個(gè)方面探討DPI識(shí)別能力的測(cè)試方法。

3.1 測(cè)試拓?fù)?/h3>

在現(xiàn)實(shí)網(wǎng)絡(luò)中，DPI設(shè)備的接入方式一般有兩種：串接形式及并接形式，由于這兩種接入方式對(duì)DPI解析識(shí)別能力測(cè)試區(qū)別不大，只是DPI接入方式不同、流量輸入輸出不同，故本文以并接接入形式為例。如圖1，模擬現(xiàn)實(shí)網(wǎng)絡(luò)：測(cè)試儀模擬真實(shí)流量，通過(guò)路由器模擬現(xiàn)網(wǎng)中的一段傳輸真實(shí)流量的網(wǎng)絡(luò)，并通過(guò)分光器把流量鏡像分光到被測(cè)DPI設(shè)備。

圖1 DPI解析能力識(shí)別測(cè)試拓?fù)?/p>

3.2 測(cè)試流量構(gòu)建

為保證測(cè)試流量能夠比較真實(shí)地模擬現(xiàn)實(shí)流量，且又能夠易于在實(shí)驗(yàn)室實(shí)現(xiàn)，測(cè)試中采用典型業(yè)務(wù)樣包采樣、報(bào)文回放等技術(shù)構(gòu)建測(cè)試流量。

3.2.1 典型業(yè)務(wù)樣包采集

典型業(yè)務(wù)樣包的采集是模擬現(xiàn)實(shí)流量的重要方式，在進(jìn)行業(yè)務(wù)報(bào)文采集的時(shí)候需要注意以下幾點(diǎn)，以確保能夠采集到純凈的、完整的、準(zhǔn)確的業(yè)務(wù)樣包。

（1）采集的終端多樣化，PC、Andriod手機(jī)、iphone、iPAD等都可以包括，不同的終端特征可能有所不同，甚至不同的軟件版本也會(huì)有差異，因此，采集的終端需保證多樣化；

（2）采集業(yè)務(wù)報(bào)文的時(shí)候要保證過(guò)程盡可能完整，以確保在樣包中包含流量特征。

（3）部分業(yè)務(wù)可能會(huì)包含多個(gè)流程、多個(gè)通道，比如FTP分為控制通道和數(shù)據(jù)傳輸通道、視屏點(diǎn)播業(yè)務(wù)包含RTSP播放控制交互和媒體流等，需要進(jìn)行一些分析和處理以后才能用于回放，以保證業(yè)務(wù)的準(zhǔn)確性。

（4）保證純凈的采集環(huán)境，例如可以采用虛擬機(jī)，減少雜包過(guò)多、環(huán)境對(duì)樣包的干擾等因素。

（5）采集到的報(bào)文需要進(jìn)行處理，將無(wú)關(guān)的雜包過(guò)濾掉，確定樣包完整性以及準(zhǔn)確性，避免對(duì)測(cè)試造成影響。

3.2.2 通過(guò)報(bào)文回放技術(shù)實(shí)現(xiàn)業(yè)務(wù)流量模擬

由于不同業(yè)務(wù)采用的協(xié)議和技術(shù)實(shí)現(xiàn)千差萬(wàn)別，要在實(shí)驗(yàn)室中模擬現(xiàn)網(wǎng)的業(yè)務(wù)流量，最好的辦法是采用報(bào)文回放的方式。但是一般的報(bào)文回放技術(shù)會(huì)存在一些限制或不足。

（1）為準(zhǔn)確抓取帶有協(xié)議特診的流量，通常只針對(duì)一個(gè)用戶進(jìn)行抓包，這也導(dǎo)致回放的時(shí)候只能回放一個(gè)用戶的流量，在用戶數(shù)、流量壓力上都比較少

（2）一般的報(bào)文回放，是原始報(bào)文重放，在MAC地址、IP地址、協(xié)議端口號(hào)等都不會(huì)變化，對(duì)于測(cè)試來(lái)說(shuō)，報(bào)文的轉(zhuǎn)發(fā)、測(cè)試流量的變化性就有所不足

在測(cè)試過(guò)程中，為了避免上述不足，將采用Spirent公司Avalanche儀表上的應(yīng)用層播放仿真引擎（Scalable Application Playback Emulation Engine，SAPEE）的回放技術(shù)進(jìn)行報(bào)文回放。SAPEE功能的特點(diǎn)有：

（1）支持標(biāo)準(zhǔn)的PCAP格式報(bào)文導(dǎo)入，并進(jìn)行分析之后，按流進(jìn)行編輯處理和回放。

（2）可以修改流量的源、目標(biāo)地址、協(xié)議端口號(hào)。

（3）可以通過(guò)變化源IP地址實(shí)現(xiàn)海量用戶的仿真。

（4）可以在回放報(bào)文的載荷部分通過(guò)插入變量等方式進(jìn)行修改，以適用于更加豐富的測(cè)試場(chǎng)景。

（5）可以修改原始報(bào)文的收發(fā)間隔，來(lái)模擬網(wǎng)絡(luò)中網(wǎng)絡(luò)傳輸時(shí)延的變化、服務(wù)器響應(yīng)時(shí)間的變化等情況。

（6）回放報(bào)文重新構(gòu)建真實(shí)的TCP/IP協(xié)議棧，回放報(bào)文在網(wǎng)絡(luò)中可尋址、可路由，遵循真實(shí)的TCP、UDP報(bào)文傳輸機(jī)制，使測(cè)試流量更加具有真實(shí)性。

（7）回放報(bào)文可統(tǒng)計(jì)，為測(cè)試結(jié)果提供評(píng)判標(biāo)準(zhǔn)。

3.3 測(cè)試業(yè)務(wù)模型

在測(cè)試過(guò)程中，業(yè)務(wù)模型需要按照現(xiàn)實(shí)網(wǎng)絡(luò)流量適配，但又不僅僅局限于現(xiàn)實(shí)網(wǎng)絡(luò)，故測(cè)試業(yè)務(wù)模型應(yīng)包括以下類型。

（1）流量協(xié)議種類：應(yīng)包含互聯(lián)網(wǎng)各種主流應(yīng)用，具備多樣性，并達(dá)到一定的數(shù)量：HTTP文本、圖像和視頻流量、P2P流量、Web視頻類/Web瀏覽類流量、游戲類、自營(yíng)業(yè)務(wù)等。

（2）業(yè)務(wù)流量成分：IPv6和IPv4的混合流。

（3）新建并發(fā)連接數(shù)：為了更真實(shí)模擬現(xiàn)網(wǎng)流量壓力，要求測(cè)試流量TCP并發(fā)連接數(shù)以及每秒新建數(shù)不低于指定值（如，并發(fā)連接數(shù)>5 000萬(wàn)/100 G鏈路、新建連接數(shù)>200萬(wàn)/100 G鏈路）。

（4）壓力疊加：測(cè)試網(wǎng)絡(luò)中總的流量壓力要達(dá)到被測(cè)系統(tǒng)的標(biāo)稱值（如400 G平臺(tái)）；由于業(yè)務(wù)識(shí)別的測(cè)試流量難以達(dá)到如此高的規(guī)格，因此其他部分的流量需要用背景流量進(jìn)行填充，為了避免被測(cè)系統(tǒng)有針對(duì)性地通過(guò)流量過(guò)濾的方式來(lái)減輕測(cè)試壓力，背景流量應(yīng)該模擬有意義的UDP或TCP業(yè)務(wù)，如DNS、HTTP等，且IP地址、協(xié)議端口號(hào)也應(yīng)該符合一定的分布。

（5）被測(cè)DPI同時(shí)使能功能：被測(cè)DPI需要同時(shí)開(kāi)啟現(xiàn)網(wǎng)/測(cè)試要求的主要功能，正常上報(bào)話單或?qū)嵤┛刂乒δ艿?，避免通過(guò)只開(kāi)啟協(xié)議識(shí)別模塊來(lái)進(jìn)行性能提升。

圖2 DPI設(shè)備識(shí)別結(jié)果

3.4 測(cè)試結(jié)果分析

通過(guò)上述構(gòu)造流量以及業(yè)務(wù)模型，在實(shí)驗(yàn)室模擬現(xiàn)實(shí)網(wǎng)絡(luò)拓?fù)?，利用儀表把測(cè)試流量注入到被測(cè)DPI設(shè)備，DPI設(shè)備由此會(huì)產(chǎn)生識(shí)別話單；通過(guò)比對(duì)DPI設(shè)備的識(shí)別話單以及儀表回放流量的報(bào)文統(tǒng)計(jì)信息，可以評(píng)定DPI設(shè)備解析識(shí)別能力的強(qiáng)弱。能力強(qiáng)弱可以通過(guò)以下幾點(diǎn)來(lái)評(píng)定。

（1）應(yīng)用種類識(shí)別率。計(jì)算公式：應(yīng)用種類識(shí)別率=識(shí)別的種類數(shù)/真實(shí)應(yīng)用種類數(shù)；同等情況下，A設(shè)備能應(yīng)用種類識(shí)別率比B設(shè)備高，A設(shè)備的解析識(shí)別能力明顯比B設(shè)備強(qiáng)。

（2）單應(yīng)用識(shí)別率。計(jì)算公式：?jiǎn)螒?yīng)用識(shí)別率=1-(單應(yīng)用真實(shí)總流量-單應(yīng)用識(shí)別流量)/單應(yīng)用真實(shí)總流量；單應(yīng)用識(shí)別率越高，說(shuō)明該設(shè)備對(duì)該應(yīng)用的解析識(shí)別能力強(qiáng)。

如某次實(shí)際測(cè)試中，兩款DPI設(shè)備（A，B）測(cè)試結(jié)果如圖2所示，設(shè)備A種類識(shí)別率比B的高，說(shuō)明在A設(shè)備在多應(yīng)用場(chǎng)景下的總體解析識(shí)別能力要強(qiáng)于B，而在某些應(yīng)用中，B設(shè)備的單應(yīng)用解析識(shí)別能力要強(qiáng)于A。因此，我們可以根據(jù)具體的需求，通過(guò)這些測(cè)試結(jié)果多方面來(lái)評(píng)定DPI設(shè)備的解析識(shí)別能力強(qiáng)弱。

3.5 測(cè)試方法改進(jìn)及展望

目前有關(guān)DPI的測(cè)試歷時(shí)不長(zhǎng)，相關(guān)經(jīng)驗(yàn)不多，DPI解析識(shí)別能力方法仍然還有不少提升和改進(jìn)的空間，比如：

（1）業(yè)務(wù)種類的時(shí)效性和覆蓋的全面性

互聯(lián)網(wǎng)的業(yè)務(wù)日新月異，測(cè)試的流量庫(kù)一定要及時(shí)更新，能反映現(xiàn)網(wǎng)的中最具有代表性的業(yè)務(wù)。

（2）業(yè)務(wù)流量的比例和吞吐量

目前測(cè)試中，由于測(cè)試手段的限制，業(yè)務(wù)的流量與現(xiàn)網(wǎng)差別較大，更多的是以海量的背景流量情況下產(chǎn)生少量的帶有有效測(cè)試信息的測(cè)試業(yè)務(wù)流量。這種方法滿足了測(cè)試流量的需求，但對(duì)真正現(xiàn)網(wǎng)運(yùn)維提供的參考相對(duì)有限，未來(lái)也期望能夠從流量和業(yè)務(wù)吞吐量上越來(lái)越接近真實(shí)現(xiàn)網(wǎng)。

（3）加密業(yè)務(wù)的識(shí)別和處理

現(xiàn)在互聯(lián)網(wǎng)業(yè)務(wù)中，以SSL/TLS為代表的加密流量的比重越來(lái)越高，在這種情況下，DPI設(shè)備要進(jìn)行業(yè)務(wù)識(shí)別的難度也越來(lái)越大，從測(cè)試的角度也需要考慮適應(yīng)這種變化的趨勢(shì)。

4 結(jié)束語(yǔ)

DPI解析識(shí)別能力的測(cè)試是評(píng)估DPI設(shè)備整體功能性能的最重要一環(huán)，同時(shí)也是DPI設(shè)備最本質(zhì)的特點(diǎn)——深度報(bào)文檢測(cè)的最直接體現(xiàn)。本文探討的DPI解析識(shí)別能力的測(cè)試方法，為當(dāng)前DPI設(shè)備解析識(shí)別能力測(cè)試提供一種有效可行的方案，提升了DPI測(cè)試的科學(xué)性與合理性。由于互聯(lián)網(wǎng)業(yè)務(wù)變化快、應(yīng)用新增多、應(yīng)用更新快等特點(diǎn)，DPI解析識(shí)別能力的測(cè)試需要實(shí)時(shí)跟進(jìn)業(yè)務(wù)應(yīng)用的變化、增加測(cè)試的業(yè)務(wù)樣包以及更新新的業(yè)務(wù)應(yīng)用回放技術(shù)，并不斷完善整體測(cè)試技術(shù)方案。