一種基于統一DPI的流量欺詐識別系統

Hot-Point Perspective

熱點透視

DCW

一種基于統一DPI的流量欺詐識別系統

鄭 濤

（宜通世紀科技股份有限公司，廣州 510000）

摘要：隨著互聯網技術的發展，網絡流量越來越復雜和多樣化，網絡安全事故也越來越多，網絡欺詐流量的識別和監控在確保網

絡安全方面發揮著越來越重要的作用，使用傳統的純軟件的方式，針對流量監控表現出速度緩慢的弊端。現代網絡高速發展的同時，

如何實現數據流量的快速監控，成為發展的難題所在。除此之外，使用純硬件的方式，往往會占用大量的內存，也不利于整體互聯網

技術的發展。基于此，本次課的研究提出基于深度分組檢測欺詐流量識別系統的開發以及設計方法，使用硬件和軟件相結合的方式，

共同實現流量的監測，使系統融合了傳統軟件和硬件方法的優點，滿足使用網絡的需要。

[1]

關鍵詞：互聯網；DPI；流量欺詐識別

doi：10.3969/.1672-7274.2019.05.128

中圖分類號：TN915.0 文獻標示碼：A 文章編碼：1672-7274（2019）05-0159-01

隨著計算機網絡的發展，互聯網逐漸普及起來，網絡安全事

故的日益增多，傳統的網絡欺詐流量識別與監控技術分為純軟件

欺詐和純硬件欺詐識別兩種，軟件識別在識別流量的過程中耗時

長，欺詐檢測速度緩慢，無法滿足當前高速上傳和下載形式的網

絡數據，而硬件識別則比較難進行復雜的網絡協議處理。因此考

慮基于軟件來識別復雜的網絡協議，普通的網絡協議則通過硬件

來識別，軟硬結合實現高效的流量欺詐識別。

4 系統軟件設計

本文的系統軟件設計是基于Linux內核的，當欺詐識別加密

的數據包流量或網絡中沒有明顯特征的數據時，需要一些其他欺

詐識別手段，例如，在實現匹配之前需要解密一些P2P流量，借

助特殊功能，實現對于數據包的識別，所使用的匹配算法直接決

定軟件的工作效率。選擇的匹配算法朝向邊緣偏移，能夠有效縮

短整體的匹配時間。本次課題研究主要使用緊湊正則表達式算法

有效縮短時間，同時也減少查詢數量，保證整體搜索的效率。移

邊壓縮的主要原理是用最大的移邊從任何狀態壓縮移邊到該狀態

[4]

。

1 系統總體結構

目前在網絡中較為常用的大部分網絡流量協議都是以超文本

傳輸安全協議為主，只需要借助特殊的字段，就能夠實現身份欺

詐，主要以硬件為基礎，在欺詐流量識別速度方面具有優勢。在

識別了這部分的欺詐行為后，系統記錄了無法通過硬件識別的流

程通過軟件方法流轉到人工引擎進行識別。不能通過欺詐流量識

別的主要是網絡中不常見的流量，或者有必要通過其他方法來識

別欺詐流量，它的數據流需要通過信令流進行關聯，然后進行分

析和計數，通過模式字符串知識庫使用不同的關鍵字來判讀使用

硬件識別和軟件識別過程，系統支持三個線程模式，包括數據庫

生成線程、知識庫編譯線程和數據線程，數據庫生成線程用于解

析和加載模式字符串，知識庫編譯線程用于匹配字符串

[2]

。

5 運行驗證實驗

使用網絡帶寬100M的局域網進行測試，這使得網絡的暢通

得到一定程度的保證，使用1：9的數據樣本（欺詐流量：正常流量）

被用作這項測試的數據源，在局域網內進行收發測試，對欺詐識

別的流量通過丟包進行處理，當下發欺詐流量的阻斷策略后系統

的丟包數顯著上升，最終接收的數據樣本，經過檢查欺詐流量被

攔截，正常流量得以正常傳送，沒有發生堵塞。

6 結束語

綜上所述，為了有效地管理和監控網絡流量，本文提出了一

種基于統一DPI的欺詐流量識別系統，針對傳統純軟件流量監控

表現出速度緩慢的問題進行有效解決，能夠更好適應現代網絡高

速數據流量的特性。借助純硬件方式識別欺詐，往往會占據大量

的內存，而采用不同的語法進行識別，能夠有效縮減內存空間，

避免重復識別對象，提升整體識別效率，借助軟件和硬件結合的

方式，表現出兩者的共同優點。最終結果顯示，本次課題研究所

設計的系統在欺詐流量識別準確率。一方面要明顯高于傳統的方

式，并且不會造成網絡的阻塞。

參考文獻

[1] 張勇，李澤凱，常有寶.一種基于DPI技術的用戶上網行為管理方法[J].電

信快報，2018（10）：34-36+40.

[2] 周娟.移動互聯網統一DPI方案淺析[J].互聯網天地，2018（09）：50-54.

[3] 楊揚.淺談DPI技術在IP城域網中的應用實踐[J].信息通信，2018（09）：

268-269.

[4] 夏倩倩，孫忠巖，閆興龍，焦紅寶，費杰超，武樹峰.關于互聯網統一DPI

系統建設的研究[J].信息通信，2018（08）：78-80.

2 知識庫語法設計

軟件識別欺詐流量的語法設計相對復雜，因為它支持復雜的

欺詐識別技術，如深度包解析、特殊功能和關聯欺詐識別，它消

耗了大量的cpu資源。為了防止系統性能下降，該系統限制了軟

件欺詐識別規則的數量，設計人員需要使用硬件模式來分析和提

取盡可能多的應用程序規則，以減少軟件欺詐識別規則的數量。

輸入數據后，系統為五元組信息創建一個流表，并在硬件欺詐識

別后進行更新。軟件欺詐識別處理硬件無法處理的流量，并更新

流量表，因為流量表中的數據量隨著網絡流量的增加而增加。網

絡流量越大，流量計中的數據量越大，系統需要設置流量計的自

動移除時間，數據量數據在流量計中只有有限的時間，通常是15

秒，當時間超過15秒，之前的數據被自動清除時。

[3]

3 系統硬件設計

系統的硬件設計采用多核CPU，在硬件上實現了具有高品牌，

以效率的正則表達式進行邏輯的匹配，同時對于網絡中較為常見

的流量，采用匹配的語法進行表達。硬件狀態機會將語法中的規

則進行加載，然后針對流量表中需要檢測的數據進行欺詐識別和

匹配，最終得到匹配的結果，在流量表中進行更新。

（接上頁）

[1] 王勇，李川.全媒體時代電視新聞記者的轉型[J].媒介融合，2019（2）：

40-41.

[2] 高松健.新媒體與傳統廣電媒體深度融合發展探究[J].西部廣播電視，2018

（12）：17.

[3] 周軍.新媒體與傳統廣電媒體的深度融合發展淺析[J].教育傳媒研究，2018

（11）：106.

2019.05

數字通信世界

159