1　网络流量管理现状分析与解决办法

网络尤其是互联网的原始设计理念导致了其在流量管理方面存在着能力缺陷，尽管业界已经从技术、管理、法律、制度等多个方面采取了很多措施来弥补这些能力的缺失，但当前的网络流量管理依然存在着如下的问题：

（1）重网络，轻业务

当前，绝大多数的网络流量管理措施都位于网络层，主要致力于网络性能（QoS）优化的基本流量流向的控制，以及简单粗略的源地址过滤。即便是基于业务的流量管理措施，也多是依据网络层的协议信息和传输层的标准端口号进行制定，业务流量管理效果十分有限，尤其对P2P的流量管理，有些力不从心。

（2）业务层和网络层缺乏通用性和关联性

当前针对业务的流量管理技术和措施大多都是一事一议，只针对特定业务应用，缺乏通用性；另一方面由于互联网本身网络与业务分离的基本特征，也导致了业务层的流量管理措施和网络基础设施之间缺乏关联性，常常导致治标不治本。

（3）缺乏主动性

当前的网络流量管理主要还是建立在简单网络管理协议（SNMP）、远程网络监测（RMON）、NetFlow、Sniffing等被动的流量管理技术之上的，缺乏主动的网络流量检测分析和用户行为分析，尤其在安全防护方面，缺乏一个主动、全网的安全威胁防御机制。

（4）管理不够精细

互联网是一个有机的整体，包括用户、网络和业务。而当前的网络流量管理仅仅是一种粗放的网络资源的调度，很难实现精细的网络资源、业务资源和用户资源的综合管理。

产生上述这些问题的一个显而易见的原因是当前的网络流量管理缺乏对用户和业务的感知能力，要解决这些问题，就有必要在网络流量管理中引入一双“慧眼”，智能和主动地对业务流量和用户行为进行检测分析，而这双“慧眼”正是业务识别。

2　业务识别

业务识别|（Application Awareness）是伴随着网络业务的蓬勃发展而出现的一个新的概念，通过对业务流量从数据链路层到应用层的报文深度检查分析，依据协议类型、端口号、特征字符串和流量行为特征等参数，获取业务类型、业务状态、业务内容和用户行为等信息，并进行分类统计和存储。

2．1　业务识别工作过程

业务识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息，如业务类型、业务状态、业务分布、业务流量流向等。业务识别是一个相对复杂的过程，需要多个功能模块的协同工作，业务识别的工作过程如图1所示，简单描述如下：

图1 业务识别工作过程

识别处理模块采用多通道识别处理，通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法，将网络流量均匀的分配到多个处理通道中。

多处理通道并行执行网络流量的深度报文检查，获取网络流量的特征信息，并与业务识别特征库中的特征进行比对。

将匹配结果送往识别处理模块，并标识特定网络流量。如果存在多个匹配结果，选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定，该网络流量的后续连接将不再进行深度的报文检查，直接将其网络层和传输层信息与已知识别结果进行比对，提高执行效率。

识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中，为网络流量的统计分析提供依据。

统计分析模块从识别结果存储模块中读取相关信息，并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示，或以文件的形式输出。

在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区，为实施网络流量管理提供依据。

2．2　业务识别技术

目前常用、典型的业务识别技术就是我们所熟知的DPI技术和DFI技术。

2．2．1 DPI技术

DPI是深度报文检测（Deep Packet Inspection）的简称，是一种典型的业务识别技术。DPI技术之所以称为“深度”的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，包括源/目的IP地址、源/目的传输层端口号、协议号，以及底层的连接状态等。通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VoIP应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析，如图2所示。

图2 DPI技术中业务流量的分析方法

DPI技术通常采用如下的数据包分析方法：

传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。

特征字匹配分析。一些应用在应用层协议头，或者应用层负荷中的特定位置中包含特征字段，通过特征字段的识别实现数据包检查、监控和分析。

通信交互过程分析。对多个会话的事务交互过程进行监控分析，包括包长度、发送的包数目等，实现对网络业务的检查、监控和分析。

2．2．2 DFI技术

DFI是深度流行为检测（Deep Flow Inspection）的简称，也是一种典型的业务识别技术。DFI技术是相对于DPl技术提出的，为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性，因此，DFI技术并不对网络流量进行深度的报文检测，而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析，来获取业务类型、业务状态。如图3所示。

图3 DFI技术中业务流量的分析方法

从图中可以看出，同为P2P流量的Kazza和Gnutella流量在外在行为特征上是趋于一致的，或者说具有共同的特性；而P2P流量和HTTP流量无论是在数据包大小的峰值，还是在数据包大小的分布上都有着明显的不同。因此，可以根据这些特定业务流量的外在行为特征进行业务识别。例如，Bittorrent应用的流量具备如下的行为特征：四层端口号为6881-6889、数据包平均大小超过700字节，持续时间超过8s等。

2．2．3两种识别技术的比较

两种技术的设计基本目标都是为了实现业务识别，但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。下面我们从技术成熟程度、识别准确程度、识别精细程度、加密流量识别和执行效率等几方面对两种技术进行比较。两种技术的比较见表1。

从两种技术的对比情况看，两者互有优势，也互有短板，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于需要高效识别，粗放管理的环境。