DPI介绍
Quidway MA5200G
特性描述-安全目录
目录
4 DPI................................................................................................................................................4-1
4.1 DPI简介.......................................................................................................................................................4-2
4.1.1 DPI的引入..........................................................................................................................................4-2
4.1.2 DPI的基本原理..................................................................................................................................4-2
4.1.3 DPI的业务流程..................................................................................................................................4-4
4.1.4 DPI的功能..........................................................................................................................................4-5
4.2 MA5200G对DPI的支持............................................................................................................................4-6
插图目录Quidway MA5200G
特性描述-安全插图目录
图4-1 深度分析报文原理图.............................................................................................................................4-3图4-2 DPI业务流程图......................................................................................................................................4-4
Quidway MA5200G
特性描述-安全 4 DPI
4 DPI 关于本章
本章描述内容如下表所示。
标题内容
4.1 DPI简介介绍DPI的基本原理以及相关概念。
4.2 MA5200G对DPI的支持MA5200G对DPI的支持。
4 DPI Quidway MA5200G 特性描述-安全
4.1 DPI简介
本节介绍DPI的基本概念、基本原理,包括以下内容。
z DPI的引入
z DPI的基本原理
4.1.1 DPI的引入
宽带业务的困惑
随着宽带网络的不断普及,宽带数据业务得到了飞速的发展。P2P业务、网络游戏、
V oIP等应用的广泛普及为运营商带来了大批的客户,同时也带来了巨大的烦恼。
z安全问题
近年来,网络攻击的发展趋势逐渐转向高层应用。据统计,目前对网络的攻击有70%
以上集中在应用层,并且这一数字呈上升趋势。内容安全开始成为信息安全中的关键
问题。运营商对高层应用信息的防护也越来越受到到人们的重视。
z用户管理
随着网络技术的不断发展,各种新的应用层出不穷,但由于缺乏有效的技术手段,对
很多新的应用不能感知和精细化的管理,导致网络运营非常困难。比如P2P应用对网
络资源进行“恶意的”占用、非法VOIP的运营、地址盗用、帐号盗用、帐户分时使
用、私接用户以及黑网吧NAT上网等非法使用网络现在很难得到解决。
解决方案
DPI(Deep Packet Inspection)能够感知网络应用,给运营商提供网络控制和管理的手
段。
利用DPI,给运营商提供一个DPI运营解决方案。通过部署DPI系统,运营商可以:
z了解网络的实际运营情况。通过报表功能,DPI系统能够将网络上的流量情况从各个不同的角度呈现给运营商。
z细化IP业务,根据不同的用户群推出不同的业务套餐。运营商可以通过向ASP (Applications Service Provider)或者最终用户收费获得收益。
z优化网络。在理解网络的运营情况和抑制网络带宽滥用的基础上,运营商可以利用自身的网络资源,重新整合宽带价值链,降低投资成本。
z开展用户自助服务,降低运营成本。
4.1.2 DPI的基本原理
如图4-1所示,普通报文分析仅分析IP包的4层以下的内容,包括源地址、目的地
址、源端口、目的端口以及业务类型。DPI除了对前面的层次分析外,还增加了对应
用层内容分析,识别各种业务和应用。
Quidway MA5200G
特性描述-安全 4 DPI 图4-1深度分析报文原理图
深度报文分析
DPI将网络上的数据报文根据五元组分为若干个的应用流,并通过识别技术对应用流
中的特定的数据报文进行探测,从而确定应用流对应的应用或者用户动作。识别技术
可以分为以下三类。
以下三种识别技术分别用于不同类型的协议的识别,无法相互替代。
基于“特征字”的识别技术
不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的“指纹”,这些“指
纹”可能是特定的端口、特定的字符串或者特定的Bit序列。基于“特征字”的识别技
术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用和
业务。
根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字
匹配、变动位置的特征字匹配以及状态特征字匹配三种技术。
比如Bittorrent协议的识别,是通过反向工程的方法对其对等协议进行分析。对等协议
由一个握手开始,后面是循环的消息流,每个消息的前面,都有一个数字来表示消息
的长度。在其握手过程中,首先是先发送19,跟着是字符串“BitTorrent protocol”。那
么“19BitTorrent Protocol”就是Bittorrent的“特征字”。
对等协议指的是Peer与Peer之间交换信息的协议。
应用层网关识别技术
有些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,就需要采
用应用层网关识别技术。
应用层网关首先识别出控制流,并根据控制流的协议通过特定的应用层网关对业务流
进行解析,从而识别出相应的业务流。
对于每一个协议,需要有不同的应用层网关对其进行分析。
4 DPI
Quidway MA5200G
特性描述-安全
行为模式识别技术
行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。通常用于无法根据协议判断的业务的识别。
比如SPAM (垃圾邮件)业务流和普通的Email 业务流从Email 的内容上看是完全一致的,只有通过对用户行为的分析,才能够准确的识别出SPAM 业务。可以通过构建包含一下参数的行为模型来进行识别:
z 发送邮件的速率
z 目的邮件地址数目、变化频率 z 源邮件地址数目、变化频率 z
邮件被拒绝的频率
4.1.3 DPI 的业务流程
图4-2 DPI 业务流程图
AAA
Report Server
DPI 的业务流程如下: 1. 用户接入到BRAS 。
2. BRAS 通过AAA 服务器对用户进行授权、认证、计费以及分配地址等。
3. BRAS 到Policy Server 为用户申请策略。Policy Server 把用户的DPI 策略下发到
BRAS 。DPI 策略包括用户可以使用的业务类型和QoS 等参数。 4. 用户使用某种业务后,BRAS 对于能够识别的应用,直接根据获取的用户业务的
管理策略,进行控制。对于不能识别的数据流复制一份到DPI Box ,同时数据流继续转发。外部DPI Box 识别出应用类型后,通过控制接口通知BRAS ,BRAS 再根据应用类型和用户定义的策略进行管理和控制。 5. BRAS 定时生成应用统计记录,发送到报表服务器,生成统计报表。
Quidway MA5200G
特性描述-安全 4 DPI
目前MA5200G只支持内置DPI功能,不支持DPI Box。
4.1.4 DPI的功能
DPI功能包括以下几种:
z业务识别
z业务控制
z业务统计
业务识别
运营商开通的合法业务可以通过业务流的五元组来标识,如VOD业务,其业务流的源
地址是属于VOD服务器网段的地址,其端口是一个固定的端口。
有些人为了逃避运营商的控制,往往采用技术手段隐藏业务流的信息,如P2P往往使
用HTTP的80端口,进行文件传输。所以通过地址或者端口等五元组信息的分析无法
准确定位其业务类型。
采用对IP数据包的内容分析,通过特征字查找或业务的行为统计,得到业务流的类
型。
业务控制
对于识别出的每类业务,根据配置的组合条件,如用户,时间,带宽,历史流量等,
对业务流进行控制,控制方法包括:
z正常转发
z阻塞
z限制带宽
z整形
z重标记优先级等
为了便于业务的运营,业务控制的策略一般集中配置在策略服务器中,用户上线后由
策略服务器动态下发。
业务统计
通过统计网络的业务流量分布和用户的业务使用情况,从而发现影响网络的用户或者
业务。如统计分析出网络中的攻击流量占多少比例?多少用户正在使用某种游戏业
务?哪几种业务消耗了网络的带宽?哪些用户使用了非法VOIP?
目前MA5200G只能识别P2P业务流,暂不支持其它业务控制功能。
4 DPI Quidway MA5200G 特性描述-安全
4.2 MA5200G对DPI的支持
目前MA5200G中防火墙板包括了安全和应用识别的部分功能,DPI解决方案与防火墙
融合,在防火墙板上开发DPI引擎,集成目前的防火墙功能。此外,DPI模块为外置
DPI Box预留了接口,对于不能识别的应用,今后可以通过与业界的专业DPI检测厂
家配合,进行识别和控制。
MA5200G的SSU集成DPI引擎,能够起完成P2P业务流的识别,然后对P2P业务执
行一定的业务策略。
如果用户开通P2P下载,并申请了上行的带宽,则在策略服务器上部署开通P2P下载
业务,并设置带宽等参数。用户使用P2P下载业务,MA5200G开始对使用的时长、上
下行流量进行统计,并按业务流量计费。如果用户没有开通P2P下载业务,当用户使
用P2P下载业务时,MA5200G则拒绝P2P下载请求。
用户可以在MA5200G上配置网络侧DPI或者用户侧DPI,实现P2P业务限制功能。
对于DPI的具体配置请参见《Quidway MA5200G 宽带接入服务器配置指南-安全》。
收单业务简介
收单业务简介 第一部分收单业务简介 一、收单业务的定义 ●收单是什么? ●收什么“单”? ●与“买单”有关系吗? (一)收单业务起源 ●忘带钱包促成了收单业务的诞生 –1949年的一个中午,纽约曼哈顿的一个餐馆里,麦克纳马拉先生再次因为忘带钱包陷入尴尬,于是萌生了一个新的创意,从而开辟了支付产业的一个革命性的时代。 ●大来俱乐部 –大来俱乐部首先说服一批餐馆加入,以此为基础在就餐者人群中发展会员。 –俱乐部负责定期到特约商户收取就餐者签字的账单,并据以向特约商户垫付资金,然后向会员收回资金。 ●大来的含义 –Diners 就是“吃饭者”的意思,大来俱乐部即“吃饭者俱乐部”,港台有的翻译为“饕餮俱乐部”。 收单业务起源的启示 ●“单”就是客户签字的账单,在当时实际上是“赊账单”; ●收单最初是为就餐者赊账提供便利; ●在一定程度上说,收单早于发卡; –最初大来俱乐部只是向餐馆提供一份会员名单,即”有权赊账者”的名单,并没有卡片。●麦克纳马拉定义信用卡业务的基本模式,创造了“双边平台”,将相互依赖的双方:商户和持卡人联系在一起 –商户 ?代价:支付交易手续费收获:更多的销售 –持卡人 ?代价:不直接支付手续费,而支付会员费(年费) ?收获:支付的便利;赊账(先消费,后还款);清晰的账单。 收单业务起源的启示 ●信用卡起源于消费,本质是“消费信用支付工具”,而消费离不开商户; ●信用卡是商户创造的,没有商户就没有信用卡; –商户为信用卡提供了消费环境 –商户创造了信用卡的雏形 ?商户储值卡、分期付款卡早于“通用信用卡”?希尔顿酒店曾发行100万信用卡、西尔斯百货是发现卡的起源(Discover) ●收单业务能够为商户创造价值 –当时商户回佣为7% –有保障的赊账能为餐馆带来客户,增加消费,餐馆愿意为此付出代价。 收单业务对于商户的价值 ●带来客户,增加商户消费 –派生消费 ?心理影响、冲动消费 ?先消费后还款,提前消费,分期付款 –国际卡受理、异地卡客户受理 ●减少现金处理的成本(1.2-1.5%) –假币 –零钞准备、人工清点、现金保管、运送 –资金到账快,提高使用效率 ●改善客户服务 –安全体面 –透支消费、便于理财,资金周转、增积分、免年费 –清晰对账 –卫生,减少零钞不便 ●发卡业务互动 –消费促销 ●增值服务 –客户分析 –积分、会员卡管理 (二)收单业务定义 ●传统的定义(狭义): –收单机构通过POS等机具向特约商户提供受理支付卡(银行卡)交易及资金结算等金融服务,获取手续费收入的业务。 –收单机构是与商户签约并承担收单收益和风险责任的主体。 ?核心是商户审批、定价和签约 ●更新的定义 –通过提供支付卡交易处理及结算服务,掌握商户关系,进而为商户提供多种增值服务,从而获取交易手续费以及综合收益的服务。 –核心是商户关系