本帖最后由 mazhongjie 于 2013-6-26 20:04 编辑
核心技术
1.DPI 传统的IP包流量识别和QoS控制技术,仅对IP包头中的“5Tuples”,即“五元组”信息进行分析,来确定当前流量的基本信息,传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。 要准确识别网络应用,需要借助复杂的第7层识别技术。现在大量的网络应用包括P2P、即时通讯、网络游戏等等,都具备了跳跃端口、随机端口、自定义端口,甚至伪装或者盗用一些常用服务的协议端口进行通信传输,所以通过对端口对它们进行识别显然是远远不够,传统的流量限速设备无能为力。所以,网络数据包必须在应用层面(Application Layer)上进行检查,即对传输协议如TCP协议的载荷(Payload)部分进行检查,以判断它们是否符合代表某种应用的特征签名。 Dpi——Deep Packet Inspection,深度包检测技术,DPI将网络上的数据报文根据五元组分为若干个的应用流,并通过识别技术对应用流中的特定的数据报文进行探测,从而确定应用流对应的应用或者用户动作。 Netzone的DPI引擎,将传统DPI技术中的基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术有机的整合起来,有效的灵活的识别网络上的各类应用,目前,产品支持900多种协议和应用的自动识别,从而为用户提供全面的、有效的、灵活的控制和计费。 2.DFI DFI——Dynamic Flow Inspection,动态流检测技术,DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如,网上IP语音流量体现在流状态上的特征就非常明显:RTP流的包长相对固定,一般在130~220byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长;而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。DFI技术通过行为特征鉴定一个基于会话的应用,比较适合用户检测加密应用协议。 3. PSDL PSDL ——Protocol Signature Description Language,协议特征描述语言,使得维护协议特征库更加及时方便快捷,通过微编译器和引擎,确保协议数量的可扩展性和灵活性。 4.DSCP DSCP——Differentiated Services Code Point,差分服务代码点。通过在每个数据包IP头部的服务类别TOS标识字节中,通过编码值来区分优先级。在Netzone流控设备中,系统首先识别不同的应用协议类型,之后将不同的应用协议标识以不同的DSCP,以便对不同的应用协议赋予不同的优先级以及带宽,保证在固定带宽下的应用协议带宽保障与带宽压制。
5.节点跟踪技术 众多的新型网络应用如P2P,是由许多节点构成的,每个节点都是一个服务器,这个节点可以同时为其它节点提供服务。基于节点的跟踪技术通过多级检测模块,综合基于流量特征、深度包检测等多种检测方法,将获取的节点状态信息存入Hash表,并映射形成可信列表反馈到检测端。其基本思想是从节点双方的通信过程中寻找特征数据,这些特征数据不限于某条特定的连接,如果特征匹配,那么系统将记录该节点,而不是某条连接。一旦该接点被识别出来,那么后续同该节点通信的数据无须重新验证,因此极大的提高了系统的性能。
Netzone节点跟踪技术可以从多条连接中自动根据某种统计规律来识别某些特征不明显或者被加密了的通信协议(如SkyPe),在保证性能的同时,提高了系统识别的准确性。还通过学习的方式,采用连接识别和节点识别相结合的方式,大大减少连接数,这样可以用较少的资源监控更大的P2P应用网络,同时提高了系统的效率。 6. 主动探测技术 目前,BT和eMule是使用最广泛的P2P文件共享软件,分别使用公开的BitTorrent协议和eDonkey(电驴)协议,在因特网的P2P应用中流量占用率最大。对BT和eMule网络进行监控技术研究,即具有典型性,也具有重要的现实意义。Netzone流控设备在协议分析的基础上,研究主动探测技术,开发了P2P网络信息主动探测技术,实现了对BT和eMule网络中文件传播的资源探测和节点定位,能有效解决P2P网络中信息传输不易发现和不易定位的问题,在实际应用中达到了实用效果。 此外,Netzone流控设备针对第4代P2P应用软件的变化采用独有主动探测和服务伪装技术保证对P2P识别的准确性。流控设备采用独有的服务探测引擎可以识别第四代P2P应用如emule 0.47c。服务伪装对于迅雷这样综合了P2P和HTTP,FTP等传输协议的应用流控设备开发了独有的服务伪装引擎。 7. 应用分流技术 应用分流可对应用进行疏导,把指定应用分流到多条线路上,降低主线路压力,间接增加带宽基数、提高带宽利用率、降低带宽使用成本;也可对应用进行管制,根据实际情况强制指定应用走哪条线路,满足特殊应用需求,尤其适合有备用线路的企业。 如上图所示,在启用应用分流策略后,网页、邮件、P2P等流量全部从原有主线链路访问Internet,OA、ERP因为对带宽响应时间的要求较高,被流控通过应用分流代理机制旁路到副线访问Internet,保证了企业实际业务的需要。同时,在副线链路出现故障时,数据还会被自动路由回到主线链路,保障了关键业务可靠性的要求。
|