IP业务识别与控制系统（DPI）的发展现状与思考

以VoIP检测为例说明DPI识别技术。VoIP使用的协议体系如图6（上）所示，目前VoIP所采用的信令主流协议包括：H.323、SIP、MGCP、Megaco等，实际网络中部署的VoIP系统可能采用私有呼叫控制协议或者将标准信令协议通过非标准端口传输，更有甚者修改标准的信令协议，如大名鼎鼎的Skype和Skinny都是企业私有的协议，其中Skinny是Cisco IP电话机(或IP Softphone)采用的通信协议。通过DPI系统解析VoIP建立和拆卸呼叫所使用的信令协议，从而获得目前网络上正在进行的会话信息，作为检测VoIP的手段。由于VoIP信令部分数据非常少，仅仅占VoIP流的2%，VoIP信令协议完全可能经过加密或者隧道传输处理。所以还需要辅以对媒体流的检测来提高识别率。媒体流在网络中的传输具有一定特征（比如说绝大多数采用RTP协议传输，且语音编码格式没有协议流那么千变万化，相对比较标准化一些，如G.729，G.711等），从而可以通过媒体流检测算法从网络数据包中检测所有的媒体会话信息。 将这两者结合起来实施联合检测，可以取得满意的效果，最后再辅以行为模式识别，可以起到相互验证确认的作用，综合下来现场测试的准确率超过了90%。

图6 通过信令流检测VoIP的实例

3.主流DPI厂商的进展动向

2004-2007年，亚洲的运营商因为P2P流量增加和高额的互联互通(off-net traffic)成本最先采用DPI产品。欧洲也是比较早的采用DPI技术的，但却是因为另外一个截然不同的原因：由于提供DSL业务的运营商间激烈的竞争，运营商们部署DPI技术来提供差异化的服务，并与BOSS、策略服务器（PS）组合起来联动（如图1）。在美国，MSOs，即有线运营商是最早采用DPI技术的，因为比起DLS运营商来，MSOs在"用户最后一公里处"面临更激烈的竞争。而最近，美国很多大的有线和无线运营商也开始大规模应用DPI技术，这是因为IPTV的部署。

根据Light Reading Inside的研究报告【3】，2006年8月，全球主流DPI厂商的产品定位及客户定位如图所示，Allot、Cisco、Caspian、Sandvine等主要针对运营商市场，而F5，Paketeer等致力于企业市场；国内的厂商着力于P2P、VoIP的检测和封堵，这些厂商包括：南京信风、宽广电信、西岭科技、北京畅讯信通科技、中创信测等。当时市场上GE接口的产品主要针对中低端应用，POS 2.5G的产品已经成熟，可针对运营商的边缘网络部署；针对骨干网的POS 10G接口产品也出现了。

图7 各DPI厂商的定位

此时DPI技术的部署也遇到了一个前所未有的挑战，因为其倡导的新商业模式受到了欧美网络中立争论（vociferous debate over network neutrality）的直接影响，争论的焦点围绕能否确保"非歧视性的互联互通"网络环境，即SP和最终用户是否同意运营商采取措施区分比特的颜色并进行差异化控制策略，运营商也因此在部署DPI时持谨慎态度（例如Google的看家狗软件,可以做到自动探测ISP对用户的数据包做了什么，并留存详细记录以备法律诉讼），因此DPI在一轮热烈的全球测试之后并未获得大规模的部署。国内外应用协议的使用热度有一定差异，而国内DPI厂家在本地化方面往往是优于国外厂家的，所以，在目前为止的国内市场上，国内厂家占据了较大市场份额，这跟现阶段国内应用需求有关的，主要是对协议的全面识别和少量P2P应用控制。2007年9月，Caspian宣布倒闭，并停止运营，其他厂商包括Cisco在内此后的很长一段时间内也都没有后续产品更新。

Light Reading Inside 2007年11月的分析报告显示：DPI被证实可以用于更广泛的范围，包括网络安全（利用DPI技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒）、服务打包、服务管理等；还有一个新出现的领域就是当前不断增长的移动互联网高速接入服务商对DPI表现除了很大的兴趣，因为他们面临着和其固网竞争对手同样的经济前景问题，除非找到一种合适的方法能够管理和定价（monetize）移动互联络。

2007年DPI市场进一步分散化，产品特性亦呈现出分化演进的态势，主要表现在以下方面：

表1 DPI产品的差异化趋向

4.客户行为分析【4】

从上面P2P和VoIP检测与控制的实例中已经可以看出来，只要有需求，DPI可以对各种应用做针对性的协议分析（包括热门应用和冷门应用），分析的程度可以足够高到满足网络管理和控制的需要。这样的热门应用领域很多，如在线游戏、在线视频、网络安全、垃圾邮件等等，甚至可以对即时通信（如QQ、MSN）等做针对性的协议监控。这样，即便是在不做信息还原的前提下（因为涉及到监管政策授权），也能做深入的客户行为分析。当然，国家安全部门可以有权据此执行信息安全检测与举证操作，这属于DPI客户行为分析系统在国家安全领域的应用。

如以虚拟拨号方式的用户上网账号（或专线客户的IP地址）为对象可以分析出：

l 活跃度：流量、报文长度、带宽占用率、上网次数、上网时长、收发流量比等；

l 业务分析：各种主要业务的使用量和所占比例，如；用户访问的地域和运营商、用户上网喜好分析（新闻、娱乐、游戏、聊天等）、站点及站点内部频道对比分析等；

l 异常流量分析：端口扫描分析、异常报文分析、连接分析、ICMP分析等；QoS：

l 交互式业务质量、媒体类业务质量等。

根据这些信息，服务提供商在营销或推出新产品时，可以进行针对性营销。例如：

l 向影视爱好者推销IPTV；

l 向垃圾邮件受害者推销反垃圾邮件产品；

l 向游戏爱好者推销新的游戏产品。

5.DPI的发展方向

当前电信网发展的基本方向之一是基于全IP的网络融合，即在核心网、特别是接入网层面的语音IP化。具体内容包括以软交换为代表的NGN基本完成部署，以IAD（综合接入设备）、AG（接入网关）和HG（家庭网关）为代表的接入终端IP化。如果说NGN承载网和IP城域网的融合、共用是承载网络层面的融合，那么语音、数据、IPTV集成于业务控制网关（如家庭网关）则是业务层面的融合。现在面对的问题是IP网里长期固有的安全问题、QoS问题仍然存在，这对传统上高可靠、高安全的语音业务来说是个很大的威胁。而我们过去在网络层面所做的各种解决方案尝试，包括TE（流量工程）、IP/MPLS DiffServ、802.11P等没有能取得满意效果，最简单最有效的方式仍然是超带宽规划（Over Provision）。

DPI从应用层面提供了一种清晰有效的解决方案，特别是其发展第三阶段的DPI的策略控制功能使之成为NGN架构IMS、TISPAN里不可缺的部分，DPI位于架构的网络层，为业务控制和网络控制提供全面信息。

图8 DPI系统在典型NGN架构里的位置

现在，这种思路已经有了可商用化产品。如Cisco的7600系列，华为的ME60和Redback的SmartEdge 1200，具有代表性产品如华为的多业务控制网关（MSCG），戏称为IP网的"首席运营关"，可提供一种层次化的DPI解决方案，在功能与性能方面取得了均衡。它的工作方式是：当大量数据流由用户侧汇聚涌入多业务控制网关MSCG时，首先由MSCG的直通业务处理层区分出运营的NGN语音、IPTV或大客户专线业务，这些不需要进行DPI 处理的数据流称其为直通业务，它们不用消耗DPI 处理的资源；其次在MSCG内部将Internet数据分流到内置的DPI 处理层，该层可深度识别BT、eDonkey、eMmule等大众化P2P业务流，经业务识别后可优化带宽和提供内容计费；当网络中出现更加复杂的业务流时，可以将Internet数据流的识别工作交给MSCG外置的DPI 引擎来担负，内置DPI 处理层将接受来自外置DPI 引擎返回的识别结果并进行相应的业务服务和控制。故MSCG层次化DPI 解决方案的内置业务感知识别处理机制保证了DPI 技术应用系统处理的吞吐量；而外置DPI 引擎则保证了系统业务识别的灵活性和广泛性，从而解决了因实施DPI 技术应用引发的网络拥塞问题。【5】

图9 DPI层次化部署解决方案

这样一来，DPI使网络变的对维护者可见、质量评测系统使网络变的可评价，业务策略管理系统相当于业务的大脑和控制者，直接对业务所经的计费认证系统、数据设备、宽带接入服务器、宽带接入设备发出指令。这些系统使网络成为一个智能的业务网，从容应对网络故障、安全攻击、网络拥塞、等其它恶性事件。实现精细网络控制，对用户和运营商均带来益处。因此，DPI系统必定会集成进下一代网络汇聚设备。不论是下一代的BRAS（宽带接入服务器）还是下一代的CMTS（有线调制解调器终端系统），运营商对这些设备具体DPI功能的需求都会越来越强烈。CISCO认为，DPI的功能不仅网络边缘设备应该具备，在网络之间对接的设备上也必须具备，即最终会全网部署DPI系统。

参考文献：

1、 韦乐平：固网转型面临三大关键挑战，http://telecom.chinabyte.com/197/3407197.shtml，2007年6月；

2、 华为技术网站：DPI深度包检测技术及其作用，http://www.huawei.com/cn/products/datacomm/catalog.do?id=2146，2007年4月；

3、 Light Reading：Deep Packet Inspection: Vendors Tap Into New Markets (Vol. 7, No. 10, November 2007) http://www.lightreading.com/insider/details.asp?sku_id=1974&skuitem_itemid=1060，2007年11月；

4、 宽广电信：TMA网络流量监控系统设备，http://www.kuanguang.com.cn/products/tma.html，2006年；

5、 华为技术网站：多业务控制网关MSCG层次化DPI解决方案http://www.huawei.com/cn/products/datacomm/catalog.do?id=2147，2007年；

6、 中创信测：http://www.zcxc.com.cn/News/ListInfo.aspx?code=000300010005&ID=172，2008年，以及相关技术资料。

7、 张向东：全球DPI观察系列文章，http://blog.sina.com.cn/s/blog_3dc164b001000a4h.html，2007年9月。

作者：王锋 来源：流媒体网