深度包解析范文（精选8篇）

深度包解析 第1篇

关键词：深度包解析,性能监测,访问时延,系统健康度

信息系统正逐渐成为支撑大型企事业单位生产的必要工具,而信息系统性能优劣已成为生产力的主要体现。基于深度包解析技术的Web信息系统性能监测分析方法,通过对用户访问信息系统的真实镜像数据进行分析,提炼出系统使用过程中的网络时延、业务处理时延等指标,从用户视角描述系统性能,计算出系统健康度。相比于传统的通过采集主机硬件、操作系统、中间件、数据库等资源指标来判断系统性能状况的技术,该方法具有分析更准确、直接、可有效降低运维人员巡检工作量等优势。

1深度Web业务包解析基础

相比于普通的数据包解析,深度包解析技术(DPI) 在分析IP数据包源地址、目的地址、源端口、目的端口以及协议类型等包头信息的基础上,还增加了对应用层单个数据包内容的分析,并且能够把分散的数据包重新组合成一个相关联的数据流,通过对数据流的分析,提炼出用户访问信息系统不同页面、不同应用的行为。业务数据包捕获过滤与重组还原是该技术的基础。

1.1业务数据捕获与过滤

采用旁路侦听的方式实现业务数据捕获与过滤,优点是对Web信息系统的正常运行几乎无影响,同时管理效果也很优异。具体步骤是,首先配置交换机,将Web信息系统所在交换机端口的数据复制到镜像口;其次,使用网线连接镜像口与监控主机;第三,在监控主机部署数据包采集模块。模块采用免费、公共的Win Pcap (Windows Packet Capture)开发包,它为Windows应用程序提供了访问网络底层数据的能力。Win Pcap操作的核心流程如图1所示。

其中,pcap_lookupdev()函数:遍历本地网卡设备, 与镜像口相连的本地网卡可作为数据操作网卡;

pcap_open_live()函数:打开选中的设备;

pcap_setfilter()函数:设置过滤器,将过滤字符串设定成“tcp and server-ip and server-port”的形式,Win Pcap提供的内核级数据包过滤机制将准确地捕获访问业务信息系统的所有TCP数据包,如“tcp and host101.144.100.242 and port 80”规则表示捕获IP地址为101.144.100.242的服务器80端口所有的TCP数据包;

pcap_loop()函数:使用回调函数循环捕获网络数据,在函数中进行数据包分析、数据包储存等操作。

1.2数据包重组

1.2.1 TCP数据包重组

依据TCP/IP协议原理,TCP会话的每一端都包含1个序列号与确认号,分别用来跟踪该端发送的数据量与接收的数据量。同一TCP会话中,同方向的一对数据包,前者的相对序列号seq值与包内容长度len值之和应该等于后者的seq值;反方向的一对数据包,前者的seq值与len值之和,应等于后者的相对确认号ack值。

因此,依据seq,ack,len之间的关系,为同一TCP会话建立两个数据包队列,依次分别存入正常包序与异常包序的TCP报文。异常包序情况包括完全重复、部分重复、数据后发先到、len=0等。

待当前TCP会话的全部报文收取完毕后,取出正常队列中的最后一个TCP报文,根据其seq值与len值,在异常队列中查找其后续报文,按去重原则将异常队列数据包丢弃或者存入正常队列。

例如,正常队列最后一个TCP报文数据段第一字节的序号为seq=200,len=150,异常队列取出的同向TCP报文数据段第一字节的序号为seq=300,len=160,则报文数据序号300~350区间是重复的,因此修改异常报文seq值为350,len值为110,将其存入正常报文队列尾。

1.2.2 HTTP数据包重组

HTTP协议是基于TCP协议,在Web信息系统中使用最广泛的一种通信协议,由终端浏览器向服务器发起请求,服务器反馈请求结果。

HTTP请求方法包括GET,HEAD,POST等,其中GET表示请求指定的Web文档,POST表示请求Web服务器接收指定文档。HTTP响应包括HTTP连接状态码、响应头、响应数据等信息。

HTTP包重组是对同一TCP会话中重组过的正常包序的TCP报文进行分析,识别出HTTP请求头与响应包头,根据响应包头中的Content-Length值或chunked信息,找出所有HTTP响应数据报文。重组流程见图2。

2信息系统性能监测分析方法实施步骤

基于深度包解析技术的Web信息系统性能监测分析的目的在于,从原始网络数据包中提炼出信息系统访问数据并展开分析,其包括业务数据捕获过滤、深度包解析与时延指标获取、系统性能健康度分析三大步骤, 数据流向如图3所示。

2.1业务数据包存储

本方法采用嵌套链表的方式保存、捕获、过滤并经重组还原的,所有TCP,HTTP业务数据包。

同一个Web信息系统会被多台终端访问,因此在IP层面,信息系统的IP与其访问终端IP是一对多的关系,为每一个访问终端的IP维护一张IP链表。

在端口层面,信息系统提供的服务端口一般固定不变,而访问终端所使用的端口却是变化不定的,因此,信息系统的端口与访问终端的端口也是一对多的关系。 在IP链表中,为每个访问Web信息系统的端口维护一张Port子链表。子链表中的每个节点保存该端口下所有经重组提炼出的HTTP协议包,分为HTTP请求数据与响应数据两部分,后者可能含有若干TCP分片包,也可能只有一个TCP包。为方便后续分析,以Port子链表节点首个数据报文开始时间先后为排序规则,为所有的Port子链表节点建立节点时间索引表,如图4所示。

所有待分析的数据都保存在嵌套链表中,分析完毕后,从链表中删除所有已分析的数据。信息系统访问量特别大时,可以选择将嵌套链表的数据定期存入实时数据库或文件,由分析线程读取数据库或文件数据进行指标提炼,并删除过期数据。

2.2深度业务包解析与时延指标获取

信息系统访问整体时延=建立连接时延+网络传输时延+系统响应时延,对用户而言,浏览器渲染时间也是影响体验的因素之一,这里暂不考虑。

2.2.1连接建立时延与网络传输时延

监控模块为每个收到的TCP数据包加上时间戳,对于每一次终端开始访问Web信息系统前的TCP三次握手, 认定收到的第一个握手AYN包时间为T1,第二次握手SYN ACK包时间为T2,第三次握手时间为T3,如图5所示。

定义 ΔT(1-2)= T2- T1,则 ΔT(1-2) 表示服务器本身对TCP握手包响应的处理时间,则该时间近乎为0,同理访问终端对SYN ACK包的响应时间近乎为0。 定义 ΔT(2-3)= T3- T2,则 ΔT(2-3) 表示SYN ACK包与ACK包在网络上传输的时间。因此:

数据在网络传输时延 = ΔT(2-3) /2

TCP连接建立时延 = ΔT(2-3)/ 2 × 3

2.2.2系统响应时延

系统响应时延=页面访问结束时间-页面访问开始时间。而页面开始时间的判断,是基于通过深度包解析建立的页面专属信息库。

(1)页面专属信息库

本方法提出页面指纹与页面资源两个概念。页面指纹是指能把某个页面与其他页面区分开的页面信息组合。多数信息系统不同的页面对应不同的URL,因此URL信息可作为页面的指纹,结合HTTP请求命令,该类型指纹定义形式为“请求方式+URL”。少数信息系统采用了flex等开发技术,不同页面采用相同的URL,如此,就需要对这部分页面的起始交互数据进行深度数据包分析,提炼出能够标识页面的数据信息,指纹定义形式为“请求方式+URL+内容关键词”。

页面资源是指信息系统服务器反馈给访问终端的各页面组成元素,如js资源、css资源、图片资源、xml资源等。

为待分析的Web信息系统建立包含页面指纹与页面资源专属信息库,是系统响应时延分析的前提。信息库格式如表1所示。

(2)页面响应时间的计算

读取每一个访问终端的IP父链表的时间索引表, 顺序找到各Port子链表的节点,对节点HTTP请求部分的数据进行页面指纹信息匹配。如果找到页面指纹信息,并且节点HTTP响应码为200OK等正确码,则认定该节点第一个数据报文的开始时间为对应页面的开始时间,若响应码为400,500等错误码,则判定页面访问失败。时间索引表与Port子链表的对应关系如图6所示。

为当前访问终端IP的每个检测到开始的页面建立一个队列,从Port子链表删除已经匹配到页面指纹的节点,将其加入到对应的新建的页面队列中,同一个IP终端,访问同一个页面的队列应具有惟一性。

如果在同一IP父链表中,短时间内连续识别出某些Port子链表节点,它们均匹配到相同的页面,则终端可能存在页面刷新与重复打开行为,此时应以最后一个Port子链表节点的第一个数据报文的开始时间作为页面的开始时间。

如果当前Port子链表节点不属于页面开始节点,则提取出该节点HTTP请求部分的资源信息,判断该资源是否属于当前正在分析中页面的页面资源。如果不是,则丢弃该节点;如果是,将其从Port子链表删除,加入对应的页面队列,同时更新该页面队列最迟数据包的接收时间。

若某页面队列从最迟数据包接收时间开始,超过页面访问时间(一般为20 s),没有新的Port子链表节点加入,则视最迟数据包接收时间为页面结束时间。计算页面结束时间与开始时间的差值作为页面响应时间,同时删除该页面队列。

2.3 Web信息系统性能健康度计算

信息系统的组成页面是多样性的,不同类型页面的时延评价标准应具有差异性,将页面定义为3大类、13小类(如表2所示),由用户根据自身需求为其分别定义标准响应时长。信息系统的性能健康度评价基于目标系统是否有响应、目标系统响应时间是否超过基线时间。

2.3.1单次页面访问健康度

用0~100之间的整数标识页面单次访问的健康度, 计算规则如下:如果页面访问失败,则健康度为0分;如果访问时延在标准响应时长之内,则健康度为100分; 若访问时延超出标准时长,则健康度计算公式为:

式中:F表示健康度值,超时时间越短,健康度越高。

例如,基线时延是2 s,页面A访问时延失败,健康度为0分;页面B访问时延1.8 s,健康度为100分;页面C访问时延2.5 s,则健康度为80分。

2.3.2 Web信息系统健康度

同样用0~100之间的整数标识信息系统的健康度, 考虑以下原则:最近N次访问均失败,则系统健康度为0分(N由用户配置);越接近当前时间的页面访问数据其权重越高,时间越长的采集点其权重越低。

令:则

其中,F0为系统健康度得分;fk为离现在时刻最近的第k个页面访问的健康度得分;m为历史数据量,也可以由用户配置;p为用户配置的值。

例如:统计周期内,采样到3次Web信息系统的页面访问,按照时间先后排序,依次为A页面健康值60分、 B页面80分、C页面100分,若设p= 0.1,则(1+0.1)2= 1.21,即时间最近的采样点页面C的权值为1,时间最久远的采样点页面A的权值为1 1.21,通过以上公式计算出F ≈81.3分。

这样的系统健康度评价算法还有一个好处,即新的单次页面访问健康度得分f1出来以后,新的系统健康度得分F可以直接根据上一个F算出来:

根据公式(2),A和B的值已知,可得:

相对于公式(1),公式(3)计算简单得多。系统健康度评价算法只需要第一次比较复杂的计算,以后的计算相对简单。

3方法验证

以实际生产环境下的某电力企业门户系统为验证对象,监控主机配置为:

操作系统:Windows Server 2008 64位;CPU:4颗(双核处理器2.40 GHz),共八核;内存:16 GB;磁盘:1 TB; 网卡:1个管理口,4个镜像口;开发环境:Microsoft Visual Studio 2010+WINPCAP+MONGODB。

通过对企业门户系统的实际镜像数据进行捕获过滤与重组,生成系列嵌套链表。图7,图8展示了一个能够标识某页面开始的Port子链表节点的数据。前者为HTTTPP请求部分数据,后者为HHTTTTPP相应部分数据。

在HTTP请求部分识别出指纹“GET+main Menu Servlet?_root ID=A36C533F-3E36-4ABA-985C-B765E2270FDA +root Menu ID=b62830d9-26d8-4614-a5e9-f202bdb91a2a”, 当前包时间“7:50:11 152944”为对应页面的开始时间。

在HTTP响应部分识别出“200OK”,该页面请求成功,依据Content-Length找到的最后一个TCP分片包的时间为该请求资源的结束时间,而同一页面队列最后一个Port子链表最迟收取的TCP分片包的时间即为页面结束时间。

企业门户系统页面访问时延基线是0.8 s,采样期间共捕获到23次用户访问行为,第13次访问页面的时延为0.89 s,依据公式(1),当次页面访问健康度为89.89分, 其余22次访问时延均在0.8 s以下,单次页面访问健康度均为100分。

假定健康度算法的参数p = 0.1,依据公式(2),公式(3)计算出系统第13,14,15次访问页面时,企业门户系统的健康度分别为96.3分,98.77分和98.88分,如图9所示。

4结语

本文给出一种基于深度包解析技术的Web信息系统性能监测分析方法,从用户使用的角度对信息系统的性能状况做出分析与评价,该方法是信息系统性能监测方式的一种有益的尝试与创新,已经应用于实际生产环境并得到了用户好评。然而,本方法还存在部分待改进的地方,如增加对HTTPS等协议的支持,增加用户模拟访问环节,用于在没有真实用户访问的时间段对Web信息系统开展持续的实时监控等。本文将以上述存在的问题作为后续研究的方向与内容,开展更深入、细致的研究工作。

参考文献

[1]金冬成.P2P检测控制系统中的协议分析[J].广东通信技术,2008(12):65-68.

[2]谢连朋.基于Win Pcap的网络底层数据采集系统设计[J].网络安全技术与应用,2014(8):93-94.

[3]饶瑾.深度包检测(DPI)技术浅谈与应用[J].信息通信,2014(11):245-246.

[4]STEVENS W R.TCP/IP详解(卷1:协议)[M].范建华,胥光辉,张涛,等译.北京:机械工业出版社,2007.

[5]韩东东.电子邮件监控与审计系统的设计与研究[D].北京:北京化工大学,2008.

[6]董永吉,郭云飞,黄慧群,等.面向内容安全的报文解析结构研究[J].四川大学学报:工程科学版,2012,44(5):130-135.

[7]孙宏君.业务网及业务性能的虚拟化监测平台的设计与实现[D].北京:北京邮电大学,2013.

[8]吴彦伦.基于Win Pcap的Web用户业务统计[J].电子世界,2014(15):161-162.

[9]曾彬.基于主动测试的网络性能监测技术研究[D].长沙:湖南大学,2009.

解析催眠的深度 第2篇

【关键词】 催眠;深度;心理治疗

【中图分类号】 R395.1【文献标识码】 A【文章编号】 1007-8231（2011） 07-0413-02

Hypnos是希腊文，起源于四千八百多年前古希腊神话中的第三代主管〔快乐与自在〕的“睡神”，也代表最基本的生理元素之一“睡眠”。首先我们明确三个概念：

催眠：受试者通过催眠师（或受试者自己）一定的诱导或暗示，从而进入到一种注意和感觉被局限在一定范围内的，既不同于睡眠又不同于觉醒的特殊的恍惚意识状态，又称为催眠状态（hypnotic state）。

催眠术（hypnotism）：诱导或暗示受试者进入到这种特殊心理状态的方法称为催眠术。

催眠治疗（hypnotherapy）：运用催眠手段，将患者引入催眠状态，在这种特殊心理生理状态下，通过治疗者的特定暗示指导语来达到治疗目的的一种心理治疗方法。

那么，我在这里涉及到的主要是催眠或者叫做催眠状态。根据美国斯坦福大学教授希尔嘉（Hilgard,1965）氏实验观察发现，在催眠状态下受试者在心理上一般显示以下七种特征：主动性反应降低、注意层面趋窄化、旧记还原现象、知觉扭曲与幻觉、催眠中角色扮演、暗示接受性增强、催眠中经验失忆等。

有很长的时间，催眠师简单把催眠深度分成三种：是轻度催眠状态，中度催眠状态与深度催眠状态。

轻度催眠状态是指，被催眠者身心放松，处于舒服的感觉里。但这时对于催眠指令的反应不佳，所以被催眠者常常会以为自己并没有被催眠。其实，已经开始进入催眠状态，只是深度还不够而已。在这种状态下，被催眠者的心理防卫渐渐降低，比较能说出平常不愿意流露的话，心情也比较平稳，适合进行一般的心理咨询，如家庭关系咨询、亲子关系咨询等等。

中度催眠状态是指，被催眠者身心放松，也能够对催眠指令反应良好，同时，被催眠者意识情醒，甚至比平常更清醒，这时候，意识与潜意识搭起了一座桥梁，催眠师可以直接对潜意识下指令，潜意识可以直接把特定的讯息送到意识层面，例如，当催眠师下指令说：“当我从1数到10时，潜意识会引导你回到问题的根源……”，然后，数到10时，被催眠者就回想起遗忘的关键记忆，甚至重临其境。应该说，大部分的催眠治疗都是在这个状态下进行的。

深度催眠是指，被催眠者身心放松，对于催眠指令反应良好。但是，他的意识不清醒，甚至不知道当时四周的状况，沉浸在非常主观的个人世界里。当他结束催眠时，很可能也无法记起催眠中发生过哪些事情。

在心理治疗时，深度催眠状态并不需要。尤其心理治疗常常着重当事人对于过往经验的重新诠释，人生经验的统合，样样都需要清醒的意识状态来参与，所以中度催眠状态是最合适的。

然而，从严格意义上来讲，催眠实际上有6种深度：

第一阶段：有点被催眠了，但是很轻微，当事人还不觉得自己被催眠，自认为完全清醒，小的肌肉开始受到控制，例如眼皮粘连反应可以出现。

第二阶段：更加放松了，大的肌肉开始可以被控制，例如手臂僵直反应。内在的“碎碎念”，心里的叨叨絮絮的念头、跑来跑去的胡思乱想开始减弱。

第三阶段：所有的肌肉都可以受到控制了，可以让被催眠者坐在椅子上站不起来，无法走路，不能清晰地读数字，痛觉部分丧失。催眠舞台秀就是至少要引导参与者进入第三阶段才能配合演出。

第四阶段：开始产生记忆丧失，被催眠者会接受催眠师的指令而将名字、地址、数字等忘掉。另外一个重点是，痛觉丧失。但是触觉还在，可以进行大部分的牙科治疗、外科小手术。被催眠者会感觉到好像有空气吹近伤口，但不觉得疼。

第五阶段：开始梦游，出现完全麻痹现象，既不会觉得痛、也不会觉得被碰触，亦即触觉与痛觉都消失，会出现正性幻觉，即看见实际上不存在的人和物。

第六阶段：非常深的梦游状态，出现负性幻觉，即看不见实际上存在的事和物。

根据临床经验，大约有百分之二十的人只能到达第一、第二阶段的催眠程度，百分之六十的人可以到达第三、第四阶段的催眠深度，百分之二十的人可以到达第五、第六阶段的催眠深度。

无论是我们通常意义所理解的催眠深度，还是对于催眠深度的详细划分，毋庸置疑地是，由一个阶段进入下一个阶段都是需要催眠的加深技术的。催眠加深的技术有很多，如呼吸法、暂停法、想像法等等。这里介绍一下一个很常见的催眠的加深方法——催眠花园

催眠花园：想象在你面前有一扇门，你推开这门，眼前出现了一个美丽的花园，这是你喜欢的花园。花园的左边是一个瀑布，右边是一排大树。你走到左边的瀑布边，观赏着壮观的瀑布，听着哗哗的流水声，呼吸着清新的空气，瀑布落下溅起的水花打到你脸上、胳膊上，你感到清凉和舒服。你走到右边的大树旁，摸一摸笔直的树干，听着树上鸟儿愉快的唱歌，微风吹来，树叶发出哗哗的响声，你感到非常愉快。现在你走到花园的中间，是一个花圃，里面开满了五颜六色的花，这都是你喜欢的花。你欣赏着美丽的花，闻着沁人心脾的花香，内心充满了快乐、舒适……

经过催眠师的催眠，将被催眠者催眠到一定程度之后，即可进行一定的心理疾病的治疗和某些生理疾病的治疗。当然，催眠的功效有很多，这里仅以催眠美容为例，略作介绍。

导入催眠——催眠加深：下楼梯法——“楼梯一共8节，每下一节，你就进入更舒服、更宁静的状态”——“第1节——第2节——……”

——“走到最后一节，好，看你的对面有一面镜子，镜子中有一个人，这个人是你认为非常理想的你，好，你走过去，和理想的你对话，谈谈怎样才能变成理想的你”（当然，在清醒状态下，和被催眠者已经沟通好需要注意的事项，如保证充足的睡眠，多吃蔬菜水果等等）——“好，已经谈完，谈的怎样？舒服吗？高兴吗？”（若没谈完，还可继续）——“如果已经谈完，请你和理想的你握握手”——“握完手，拥抱一下，好，一直拥抱，直

到你认为拥抱够了为止”——“想象一下，你们两个已经合二为一了，变成一体了，你感觉轻松、愉快，你会永远记得的，这个场景会扎根在你的内心，无论什么时候对你都会有帮助”——唤醒。

很多人都对催眠有好奇心，觉得非常的神秘。甚至有些人感觉到畏惧，担心会有消极后果出现。但是，在这里可以解释给大家听，那就是催眠是门科学，学习它掌握它需要时间，也有一定难度，但是一旦掌握了它就是心理咨询和心理治疗当中很好用的一个手段和方法。催眠本身不会给个体带来任何弊端，但优秀的催眠使用者会把它运用得恰到好处，而不负责任的心理工作者则会胡乱应用，扭曲了催眠本应带来的功效。

参考文献

[1]《催眠与心理治疗》.丁成标著.武汉大学出版社,2006年8月版.

[2]《艾瑞克森催眠治疗理论》.斯蒂芬·吉利根著.王峻等译.世界图书出版公司出版,2009年8月版.

[3]《催眠术的发展与沿革》.国外医学-社会医学分册,陈自良,梅乔生.

[4]催眠诱导与暗示在催眠中的作用,刘玲爽.西南大学,2010,5.

[5]关于催眠心理疗法,孙时进.上海青年管理干部学院学报,1999.2.

深度包检测中的模式匹配算法研究 第3篇

随着计算机网络的高速发展,网络中的安全问题也日趋严重,包括非法访问、信息窃取、拒绝服务攻击、蠕虫或木马等病毒在内的各种网络攻击行为已经给网络安全造成了极大的威胁。内容安全[1]作为网络安全的重要分支,内容过滤技术一直是网络安全中的研究重点,深度包检测技术[2](Deep Packet Inspection,DPI)是内容过滤技术的核心,对内容安全和内容过滤技术的深入研究具有重要意义。

深度包检测技术是一种具有代表性的数据流特征字节识别方法,通过深入读取IP数据包载荷的内容来对OSI七层协议中的应用层信息进行分析,从而得到整个应用程序的内容。由于深度包检测技术是根据预先定义好的特征规则,对读取的数据包内容进行匹配,所以深度包检测的关键技术是模式匹配,随着特征规则的不断增多和网络带宽的迅猛增长,对模式匹配算法的性能要求也越来越高。本文对一些深度包检测中常见的模式匹配算法进行了综述。

1 模式匹配算法的分类

模式匹配算法按照其功能可以分为三类:精确匹配算法、近似匹配算法和正则表达式匹配算法[3]。模式匹配算法的分类如图1所示。

精确匹配算法的功能是从输入的字符串序列中找出一个或一组与待匹配的目标模式串完全相同的子串。精确匹配算法主要应用在文本数据检索、资源定位和网络安全的入侵检测等领域。

根据目标模式串的数目多少,可以将模式串的精确匹配算法分为单模式匹配算法和多模式匹配算法。单模式匹配算法一次只能搜索一个目标字符串,而多模式匹配算法一次可以搜索多个目标字符串。

根据目前精确匹配算法检索数据序列的方式,将精确匹配算法主要分为三类模式:前缀模式、后缀模式和子串模式[4]。前缀匹配模式主要是在到来的数据流中寻找与目标模式串相同的最长前缀,在匹配不成功的情况下通过某种策略计算窗口滑动的安全距离,以减少不必要的匹配工作量。后缀模式是从待匹配数据中寻找与目标模式串后缀相同的最长子串,它同样需要在匹配不成功的情况下根据某种策略计算匹配窗口的滑动距离,它与前缀匹配的不同还在于它的匹配过程是从右向左反向进行的。子串模式可以看作是前缀模式和后缀模式的结合,在匹配窗口内,它同后缀模式的匹配过程一样,从右向左反向进行,然而它又是在窗口中寻找同目标模式串前缀相同的最长子串并计算窗口的安全滑动距离。

近似匹配算法的功能是按照预先定义好的相似度量标准,在数据序列中找出一个或一组同特定的目标模式串不完全相同,但差异度在一定范围内的子串。近似匹配算法主要应用在图像、信息处理和计算生物学等领域。

正则表达式算法的功能是根据正则表达式的描述,在数据序列中找出所有的满足正则表达式描述的子串。正则表达式算法主要应用于简单的序列匹配无法描述的情形。

2 模式匹配算法

根据网络内容过滤的要求,本文主要讨论精确匹配算法,字符串的精确匹配从实现方式上可以分为软件和硬件两个方面。在软件实现上,主要的算法包括Naïve算法[5],Knuth,Morris和Pratt三人设计的属于前缀模式的KMP(Knuth-Morris-Pratt)算法[6],Rebort S.Boyer和J.Strother Moore设计的一种基于后缀的BM(Boyer-Moore)算法[7,8,9],基于有限状态机FSM的AC(Aho-Corasick)算法[10],由Sun Wu和Udi Manber提出的WM算法[11]和基于AC算法的基础上提出来的FS算法[12],以及基于压缩编码的思想的CE算法[13,14]。这些基于软件的算法虽然易于实现并且灵活多变,但是由于其处理速度和吞吐量已经很难适应当前网络带宽的增长速度,所以现在一般都是采用硬件的形式实现快速匹配。在硬件实现方面,主要包括基于比较器CAM的模式匹配,基于有限状态机的模式匹配,基于TCAM的模式匹配,基于Bloom Filter的模式匹配和基于多核处理器思想的模式匹配技术。

2.1 基于比较器CAM的模式匹配

文献[15]中的实现方式结合了字节比较器和存储器,将输入的字符串与模式字符串的前缀部分进行比较,如果匹配成功,则根据匹配结果通过地址生成器找到存储器中存放相应后缀的地址,之后再将后续字符送入下一级比较器中进行后缀部分的比较。文献[16]使用预解码的CAM比较器方式,利用Xilinx FPGA 的SLR16逻辑资源实现高效的移位寄存器,将输入字符在进入CAM之前对其进行译码,使得需要的缓冲资源降低,并且提高了芯片的工作频率,从而显著提高模式匹配的性能。

2.2 基于有限状态机的模式匹配

基于有限状态机的模式匹配算法本质上是AC算法及其改进,AC(Aho-Corasick)算法[10]是一种基于有限状态机FSM的多模式字符串匹配算法,它属于前缀模式。在进行匹配之前,需要对所有目标模式串进行预处理,通过多个目标模式串构成一个状态机,然后利用这个有限状态机一次性搜索文本,便可以找出文本中所有匹配的字符串。这类模式匹配算法通过预处理过程首先将模式串或规则表达式转化为有限状态机,然后利用FPGA内部逻辑资源实现,或者将状态机保存在FPGA内部或外部的存储中,然后利用硬件的快速查表能力实现。

AC算法的时间复杂度为O(n),在对文本的搜索过程中没有跳跃,所以无法跳过不必要的比较,另外由于AC算法所需要的存储消耗比较大,在目标模式串数目较多的情况下可能需要占用较大的存储空间。

为了克服AC算法存储消耗大这一缺点,文献[17]提出的方法将一个字节分割为8 b,将一个状态机分为最多8个状态机,每个状态机负责字符的一位或多位,这样就减少了每个状态机存储状态的数目,从而降低了存储空间的消耗,并实现了片上存储,加快了匹配速度。如图2所示,是将一个状态机分为8个并行的状态机,每个分解后的小状态机负责输入字符的一位,图2左边的状态机就是分解前的根据模式集{he,she,hers,his}构造的有限状态机,为了简化,所有指向状态0的转移没有画出,因为画出每个状态的所有256个转移状态会将该状态机的图示显得复杂而且不清晰。图2中右边两个状态机就是分解后的负责输入字符中第三位bit3和第四位bit4的状态机B3和B4。

在搜索匹配的过程中,每一个小状态机的每个状态中都设置有一个位向量,该位向量用来指示该状态可能匹配到哪些目标模式串。只有当所有8个状态机的同一状态的位向量都至少匹配到一个模式的情形下,真实的匹配才发生。

文献[18]中通过从空间开销角度对AC算法进行分析,基于压缩矩阵行和列的思想,提出了一种基于AC算法的改进,称为双重压缩AC算法,通常的算法将有限状态机通过二维矩阵的形式存储,矩阵的行表示有限状态机的状态,列表示输入的字符,矩阵的元素表示在当前状态和输入字符情况下状态机下一时刻将要跳转到的下一个状态。AC算法中的状态机的每个状态对应的下一个有效转移状态通常只有很少几个,使得存储自动机的二维矩阵的很多元素是0,这样就浪费了大量的存储空间。该算法在矩阵列的方向压缩全0列,对于非全0列中可压缩的0元素,在矩阵行的方向对其进行压缩,从而使得算法在空间性能和时间性能上都更加优越。

2.3 基于TCAM的模式匹配

TCAM(Ternary Content Addressable Memory)是一类能够进行并行查找的高速存储器,允许每一位存储数据0,1或X(通配)。TCAM包含多个表项,每个待匹配的目标模式串可以存储在一个或多个表项中。在开始匹配时,输入的字符串同时并行地与TCAM中的每个表项中的内容进行比较,输出匹配到的表项。

文献[19]提出了一种基于TCAM的模式串匹配算法,支持短模式串、长模式串和组合模式串。目标模式串按照长度按降序存储在TCAM的各个表项中,如果模式串长度少于TCAM位宽的长度,在其后添加通配符X补足与TCAM的位宽一致,匹配过程中,检测窗口大小与TCAM位宽相同,将输入窗口内的报文内容与TCAM中所有的表项内容进行并行比较,输出匹配到的最长的模式串,结果输出后向后滑动检测窗口。

文献[20]中采用了对模式串按照长度和数目进行分组并均衡存储的方法,以多个TCAM和CAM实现核心部分模式匹配,通过使用待测串切换的方法隐藏二级匹配引入的开销,同时多个模块并行处理的结构提高了模式串匹配的性能。

针对基于TCAM的模式匹配功耗较大的缺点,文献[21]提出了一种低功耗的分级BF-TCAM方法,第一级采用Bloom Filter对报文进行过滤,与目标特征字不匹配的报文为正常报文,判定为Negative,这些报文直接转发;与目标特征字匹配的报文为攻击报文,判定为Positive,其中包括True Positive和False Positive,这些报文送第二级TCAM做进一步的检测确认。Bloom Filter只需要很少的存储空间,可以放置在高速片内存储器或者快速SRAM中,Bloom Filter判定为False Negative的概率为0,保证不会漏检,Bloom Filter判定False Positive的概率很低,这样在保证高速的DPI检测的同时大大地降低了功耗。

文献[22]中以TCAM位宽长度为依据,将模式串分为长串和短串,并分别放入不同模块进行处理,在短串模块中采用直接精确匹配的办法,在长串处理模块中则引入两级匹配,并将处理过程分为数据包分析、关键字生成、TCAM匹配输出和SRAM结果输出四级流水结构完成,从而显著地提高了算法的性能,降低了硬件开销。

2.4 基于Bloom Filter的模式匹配

Bloom Filter是一种数据结构,基于Bloom Filter的模式匹配是一种基于多hash的匹配技术,由一个初始化为全0的m维征向量和k个hash函数组成,能有效支持集合元素的hash查找,表达庞大数据集并提高查找效率。

虽然基于Bloom Filter的模式匹配算法具有存储需求低、查询速度快以及便于并行化的优点,但是它同时要求巨大的存储带宽。在文献[23]中提出了分段流水Bloom Filter的思想,首先将多hash函数分为两部分,只有当第一部分的所有hash函数全部匹配的时候,才开始进行第二部分的hash查找。由于在深度报文检测的模式匹配中大多数情况是不匹配的,因此该方法可以减少访存次数,降低系统功耗,从而提高性能。但是,在Kocak等人提出的方法中,预处理过程中构造Bloom Filter而带来的单周期时间访问内存次数过多的问题仍然没有解决。在文献[24]中,对基本的AC算法进行了修改,通过使用多字符比较的AC算法,并结合Bloom Filter实现了快速模式匹配算法。算法匹配的步长由1增加到k,修改AC算法中的各个函数,构建步长为k的有限状态机。匹配时,首先判断当前窗口内输入模式串的前缀是否是待匹配的目标模式集中的某个片段,通过三元组“下一状态,匹配模式,失效状态链”确定下一跳转状态以及是否存在匹配模式。在搜索匹配目标模式串的过程中,算法通过Bloom Filter过滤掉不必要的搜索,增强了搜索性能,加快了匹配速度。

2.5 基于多核处理器的模式匹配

基于多核处理器的模式匹配技术由于其本身的灵活性,非常适用于入侵检测系统的设计,但是,基于多核的模式匹配技术也有其局限性,例如处理器的数目和片上存储的大小都会对入侵检测的性能产生显著影响。文献[25]中提出了一种将非确定有限状态机NFA(Non-determinism Finite Automate)和确定有限状态机DFA(Determinism Finite Automate)结合的混合算法,将复杂的规则表达式划分给多个处理器完成,由DFA负责处理简单的字符匹配,将DFA处理后的结果利用NFA组合起来,完成最终的匹配结果输出,通过利用多核结构并行性的优势,获得了优于NFA和DFA各自单一工作的性能,并且减少了在存储上的开销。

3 结 语

模式匹配是深度包检测中的关键技术,随着网络带宽的迅猛增长,模式匹配算法的性能一直也是深度包检测技术的瓶颈,本文介绍了深度包检测中常见的一些模式匹配算法,并对它们适用的情况和算法性能进行了分析和总结。在未来的研究中,需要深入研究适用于硬件实现的高性能模式匹配算法,充分利用硬件上的并行性,从而提高匹配速率。

摘要：计算机网络技术飞速发展给人们生活带来便利的同时,也带来了严重的网络安全问题,由于各种网络攻击行为的不断出现,深度包检测逐渐成为网络安全的必然要求,作为影响深度包检测技术性能的模式匹配算法,成为研究的关键技术。对深度包检测中常见的一些模式匹配算法进行了分析和总结,并提出了进一步的研究方向。

深度包解析 第4篇

关键词：深度包检测,SIP,防火墙

0 引言

会话初始协议 (SIP) 是由IETF提出的一种基于IP的应用层信令控制协议, 它采用文本编码, 结构简单, 使用灵活且扩展性强, 被广泛应用于多媒体通信中。然而采用文本形式表示消息的词法和语法分析比较简单, 所以SIP协议很容易遭受攻击[1]。目前对于SIP协议提出了多种安全机制, 如HTTP (超文本传输协议) 摘要认证、S/MIME (安全/多用途Internet邮件协议扩展) 安全机制、TLS (传输层安全) 安全机制和IPSec (Internet协议安全性) 安全机制[2]。这些安全机制主要解决了关于SIP消息在机密性和完整性方面的安全问题, 但对于拒绝服务攻击而言还没有很好的作用。针对SIP拒绝服务攻击, 现有方案多是采用部署包过滤防火墙的方式尽量缓解DoS造成的危害。传统的数据包检测过滤技术仅分析数据包4层以下内容, 包括源地址、目的地址、源端口、目的端口以及协议类型。它通过端口号来识别应用类型。对SIP防护而言, 传统包过滤防火墙有两个致命缺点:

(1) 对诸如欺骗攻击的防御能力非常有限, 也无法达到深度包检测SIP防火墙的要求。例如SIP消息一般采用UDP/5060端口进行传输, 恶意攻击消息可以把自身的传输端口改为5060端口以冒充SIP消息而躲过传统包过滤防火墙的拦截。并且即使是真正的SIP消息, 也有可能是恶意SIP洪水攻击包。

(2) 无法实现动态的RTP端口配置。SIP会话双方传输媒体流的RTP端口号是动态协商的, 会话建立前是无法知晓的, 因此传统包过滤防火墙难以进行合理的规则配置, 只能将很大范围的UDP端口打开以确保媒体流的通过, 但这又将很大范围的UDP端口暴露给恶意攻击者, 与防火墙的初衷相悖。

本文在Linux防火墙框架Netfilter的基础上, 采用深度包检测 (DPI) 技术, 设计了一个具有深度包检测功能的SIP防火墙。此防火墙实施有状态的SIP感知, 深度检查SIP消息, 动态生成媒体流传输通道, 达到增强的安全防护能力。

1 基于Netfilter的深度包检测SIP防火墙的设计

1.1 基于Netfilter的深度包检测SIP防火墙内核结构设计

所谓“深度包检测”是和传统包过滤检测技术相比较而言的, 它不仅对4层以下内容进行分析, 还增加了应用层分析。在Linux防火墙框架Netfilter[3]中加入一个具有深度包检测功能的SIP-filter模块, 即可构成一个深度包检测SIP防火墙。此防火墙内核模块结构如图1所示:

SIP-Filter模块钩入Netfilter框架的钩入点与数据包过滤的钩入点是一样的, 分别在HOOK2 (NF_IP_LOCAL_IN) 、HOOK3 (NF_IP_FORWARD) 和HOOK5 (NF_IP_LOCAL_OUT) 处。三个SIP-Filter模块的作用分别为:SIP-Filter模块A钩入HOOK2过滤点, 目的地址是发往本机的SIP消息由它处理;SIP-Filter模块B钩入HOOK3过滤点, 需要转发的SIP消息由它处理;SIP-Filter模块C钩入HOOK5过滤点, 本机发出的SIP消息由它处理。这样, 三个SIP-Filter模块刚好覆盖率所有的SIP消息并且不会重复覆盖。

SIP-Filter模块对数据包的处理流程如图2所示:

1.2 SIP/RTP会话状态表设计

SIP/RTP会话状态表包含五个字段, 分别是:Call-ID (呼叫标识) 、s RTPAddr (源RTP地址) 、dRTPAddr (目的RTP地址) 、sRTPPort (源RTP端口) 、dRTPPort (目的RTP端口) 和SessionState (会话状态) 字段。会话状态包括:尝试建立会话 (Invite_Trying) 、被叫方接受会话请求 (Invite_OK) 、主叫方确认会话已建立 (Invite_ACK) 、会话已结束 (Bye) 等。

1.3 SIP/RTP会话状态表的更新以及媒体流通道动态打开/关闭过程

SIP消息规则匹配过程成功后, 进入SIP/RTP会话状态表更新以及媒体流通道动态打开/关闭流程。

(1) 判断消息的类型。若是INVITE请求消息, 则查找会话状态表中看是否有与其相同的Call-ID, 若无, 则在会话状态表中新建此会话表项, 把会话状态设置为Invite_Trying, 并且从此SIP消息中提取出源RTP地址和源RTP端口, 保存到新建的会话状态表项中。

(2) 若是INVITE请求消息的200 OK响应消息, 则根据其Call-ID查找出其会话状态表项, 把原会话表项中的会话状态由Invite_Trying改为Invite_OK, 并且从此200 OK消息中提取出目的RTP地址和目的RTP端口, 保存到此会话表项中, 此时此会话表项才算完整。

(3) 若是ACK请求消息, 则根据其Call-ID查找出其会话状态表项, 把原会话表项中的会话状态由Invite_OK改为Invite_ACK, 并且根据此表项中的源RTP地址、目的RTP地址、源RTP端口和目的RTP端口这四个参数打开媒体流通道。

(4) 若是BYE请求消息, 则根据其Call-ID查找出其会话状态表项, 把原会话表项中的会话状态由Invite_ACK改为End, 并且根据此表项中的源RTP地址、目的RTP地址、源RTP端口和目的RTP端口这四个参数关闭媒体流通道。

(5) 其他消息不会更改会话状态表。

2 防火墙功能测试

2.1 测试环境

为了测试深度包检测SIP防火墙的功能, 搭建如图3所示的测试环境:

设备的软硬件配置如下:

(1) 语音客户端:Intel Core-i5处理器, 2G内存。运行Linux操作系统, 版本为Ubuntu10.10, 选用Linux-2.6.35内核。语音客户端A、B的IP地址分别配置为192.168.1.10和192.168.1.110。客户端PC上运行SIP开源测试工具SIPp。SIPp是一个测试SIP协议性能的工具软件, 它能动态显示测试运行的统计数据, 如呼叫速率、信号来回的延迟, 以及消息统计等。

(2) 攻击设备:攻击设备采用ThreatEx攻击器。ThreatEx是由Spirent公司推出的一种可重现最极端攻击的高级工具, 它可真实地模拟数千种攻击及变种, 包括:DDos、病毒、Vo IP攻击、无线攻击、协议模糊攻击和应用渗透等。

(3) 深度包检测SIP防火墙:Intel Core-i5处理器, 2G内存。运行Linux操作系统, 版本为Ubuntu10.10, 选用Linux-2.6.35内核, 安装自主开发的深度包检测SIP防火墙。

(4) SIP服务器:Intel Core-i5处理器, 2G内存。运行Linux操作系统, 版本为Ubuntu10.10, 选用Linux-2.6.35内核。运行开源SIP服务器yate2。

(5) 网络环境:采用100M以太网。

2.2 测试过程及结果分析

测试分两部分, 一部分测试深度包检测SIP防火墙的SIP防护能力, 另一部分是测试深度包检测SIP防火墙动态打开/关闭媒体流通道的能力。

2.2.1 SIP防护能力测试

我们选取畸形SIP消息、REGISTER洪泛攻击和INVITE洪泛攻击作为测试用例来测试深度包检测SIP防火墙的SIP防护功能。其中畸形SIP消息由SIPp产生, REGISTER洪泛攻击消息和INVITE洪泛攻击消息由攻击设备ThreatEx产生。

测试结果如表1所示:

上述实验表明, 深度包检测SIP防火墙能够有效地检测出畸形SIP消息攻击以及DoS攻击, 具备良好的SIP防护能力。

2.2.2 动态打开/关闭媒体流通道的能力测试

在正常的SIP会话过程中 (无攻击流量) , 只需验证在深度包检测SIP防火墙开启的情况下, 会话的持续时间与未开启防火墙时的会话持续时间相差不大, 以及具有很小的丢包率, 即可证明此防火墙具有动态打开/关闭媒体流通道的能力。这是因为若此防火墙不具备动态打开/关闭媒体流通道的能力, 则在防火墙开启的情况下, RTP流不能顺利通过会话过程中协商好媒体流通道, 这必定会引起会话的延迟以及较高的丢包率, 甚至无法建立会话。

测试过程如下:

(1) 编写SIPp XML文件, 生成一个10s的RTP流。

(2) 测试的总呼叫数设定为5000次, 呼叫速率设定为10次/秒, 并发呼叫的最大次数分别设定为30次、50次、100次和120次四种情况。

并发呼叫的最大次数为30次时的测试代码为:

其中192.168.1.110表示呼叫目标地址;-p 5060表示呼叫目标端口为5060端口;-sf uac.xml表示指定使用的场景文件为uca.xml;-l 30表示并发呼叫的最大次数为30次;-r 10表示呼叫速率为10次/秒;-m 5000表示指定测试的呼叫总数, 当达到m指定的数目时候停止呼叫, 程序结束。

同理可知并发呼叫的最大次数为50次、100次和120次时的测试代码:

测试结果如表2所示:

上述实验表明, 开启防火墙时平均每次会话持续时间与未开启防火墙时的时间几乎相同, 并且开启防火墙时的丢包率几乎为零, 这都证明深度包检测防火墙具有高效的动态打开/关闭媒体流通道的能力。

3 结语

本文针对传统包过滤防火墙不适用于SIP会话这一情况, 采用DPI技术, 设计了一个基于Netfilter的深度包检测SIP防火墙。此防火墙能够实施有状态的SIP感知, 深度检查SIP消息, 并且动态生成媒体流传输通道, 达到SIP会话安全防护能力。

参考文献

[1]龙昭华, 李明哲.基于应用层的SIP安全机制设计[J].计算机工程与设计, 2010, 31 (15) :3350

[2]J.Rosenberg, H.Schulzrine.SIP:Session Initiation Protocol[S].IETF RFC3261, 2002

深度包解析 第5篇

随着三网融合的持续推进, 云媒体业务、宽带业务和多媒体通信业务趋于同一承载网络, 在为运营商带来更多商业机会的同时, 也面临着如何更加有效地管理和控制十分有限和昂贵的网络资源使用的严峻挑战。江苏有线网络业务的深度发展, “三网融合”的精髓思想通过便民化的多元业务实现, 如何以“可管、可控、可查”为主线, 进行网络管理分析, 努力做到“事前可感知, 事中可管控, 事后可追溯”成为网络管理的重要研究课题。

今天, 江苏有线网络三大业务云媒体电视业务、宽带业务、多媒体通信业务和新业态的不断推出, 要求对网络和业务的实时状况、服务质量能够实现更深入的观测, 及时掌握网络、业务和用户的最新动态;同时, 要求有能力和技术对网络和用户进行多维度的管控, 从流量、服务、业务等方面最大化的提升网络运营效率;在此基础上, 高效的网络管理系统还可以收集用户业务的行为数据, 以此进行有针对性的分析和应用, 作为技术决策、业务发展及网络运维的重要依据。

因此, 在江苏有线网络中部署网络深度包检测系统 (DPI) , 实现了网络运营中的业务识别、业务控制和业务统计三大功能, 最终逐步解决网络行为不可视、用户行为不透明、带宽恶性占用等问题, 实现对用户和业务的管控、引导, 从而可以有效的提升江苏有线网络的整体管理能力, 充分的适应市场和技术的发展, 在激烈的竞争环境中保持领先地位。

2. 深度包检测系统 (DPI) 技术介绍

随着网络技术的飞速发展, 数据包检测技术正在从状态检测向深度包检测转变, 即对数据包的检测已经不再局限于网络层和传输层, 而网络应用层的数据越来越受到运营商的重视, 对数据包内容的检测, 即用户识别向业务识别的扩展, 将是未来检测技术的重要手段深度包检测技术。

(1) 何为深度包检测。

深度包检测英文简称为DPI, 全称为“Deep Packet Inspection” (以下简称DPI) 。深度包检测是相对于普通报文检测, 即4层 (源地址、目的地址、源端口、目的端口以及协议类型) 以下报文检测而言的, 普通报文的检测是通过端口号来识别应用类型的, 而网络上很多非法应用会采用隐藏或者假冒端口号的方式来躲避检测和监管, 对网络的安全构成了一定的威胁。DPI技术则增加了数据报文的应用层分析, 即当IP数据包、TCP或UDP数据流通过应用了DPI技术的带宽管理系统时, 该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组, 从而识别各种应用及其内容, 确定其数据报文的真正应用 (如图1所示) 。

(2) 深度包检测的应用识别技术。

为了识别和分析IP数据包中的数据内容, 从而确定应用流对应的应用者或者应用者的动作, DPI系统的应用识别技术可以划分为以下三类:

(1) “特征”识别技术。

网络中不同的应用通常依赖于不同的协议, 而这些不同的协议具有其不同的“特征”, 比如说特定的端口、特定的字符串或者特定的Bit序列等。“特征”识别技术通过对业务流中特定数据报文中的“特征”信息的检测, 从而确定业务流所承载的网络应用。

(2) 应用层网关识别技术。

某些业务的控制流和业务流是分离的, 业务流没有任何“特征”。对于此类业务, 首先需要应用层网关识别出业务中的控制流信息, 并根据控制流信息中的控制流协议通过特定的应用层网关对其进行解析, 从协议的内容识别出相应的业务流, 从而确定业务流所承载的网络应用。

(3) 行为模式识别技术。

对于无法通过协议识别出业务流的业务, 可以运用行为模式识别技术, 即对获取到的终端已经实施的行为信息进行分析, 判断出用户正在执行的动作或者即将实施的动作, 从而确定业务流所承载的网络应用。

3. DPI技术在南京广电网络中的应用

目前, DPI技术已经是一项在流量管理、网络安全和网络分析方面获得巨大成功的成熟的网络技术, 由于其集成能力的大幅提升, 调度算法的大幅优化, 电信、移动等运营商已经开始在宽带上网等业务领域大规模应用DPI技术, 成为运营商流量感知、业务管控的重要工具。

在“三网融合”的多元业务迅猛发展的背景下, 江苏有线网络为了建立全业务数据的收集、处理和分析平台, 获得最准确、最全面的用户行为、服务质量信息, 提供公司系统运行、维护、业务推广的数据支撑, 使得DPI技术被应用并改良于江苏有线网络成为了可能。

(1) 部署结构。

基于江苏有线网络云媒体电视业务、宽带业务、多媒体通信业务和新业态的多元业务特点, 以及对用户海量信息的数据吞吐、处理能力的要求, DPI系统由“业务感知”和“管控系统”两部分组成, 其中“业务感知”提供了快捷的全网流量、业务、质量、安全可视化功能, 为管控系统提供科学合理、具有自适应的智能管控策略;“管控系统”提供关键字过滤、URL阻断、精细化的流量管理等功能。DPI系统采用具有江苏有线网络特色的控制、采集、分析相分离的部署方式, 串并结合, 串联控制, 并联分析, 功能结构如图2所示。

串联接入设备支持协议分析、过滤和分发, 流量控制, 端口控制。可以实现多路由流量的同源同宿, 保证同一个TCP/UDP连接和会话经不同路由的报文, 只会从同一个GE端口输出, 可以保证后台流量分析的完整性和准确性, 大大提供流量识别能力。同时根据策略实现目标的流量阻断、限制带宽等管控措施。对网络协议透明, 在网络中即插即用, 不需要现网增加设备或软件升级。整个系统不会改变现有数据流的流向, 也不会增加原有网络的数据量。为了保证不会因串接流控设备而增加一个网络故障点, 每台串接设备都配置了小于1毫秒级Bypass光保护板卡, 设备具备完善的Bypass保护机制, 支持手工或自动切换到bypass模式, 切换时对网络性能无影响。

并联设备由采集服务器、分析服务器、存储服务器组成。采集分析服务器提供全流量, 并由分析服务器分析, 统计结果存储于存储服务器, 并通过网管界面或者数据报表形式将采集信息、统计信息、分析信息呈现给网络管理员。

(2) 功能实现。

江苏有线网络DPI系统通过识别、控制、质量分析、行为分析等功能, 实现针对不同类型用户、不同类型业务数据流的有效识别、分析、统计, 充分利用有限的网络资源, 有针对性的提升网络服务质量和用户感知, 极大的提高了江苏有线网络的市场竞争力。

(1) 用户识别。

DPI系统采用基于标准协议的用户识别方式, 实现对江苏有线网络现有CM (Cable Modem) 接入终端和FTTX (光纤接入) 接入终端的识别, 并且具有终端类型可扩展的能力。DPI系统通过对标准的DHCP认证账号信息进行分析, 获得用户终端请求的CPEMAC、DHCP服务器返回给用户的CPEIP地址、用户帐号信息三者的对应关系, 从而实现FTTX接入方式的用户识别。对于江苏有线网络CM接入终端, 因为一个CM具有唯一的CMMAC, 而DHCP OPTION 82 (802.1x认证的一种特殊形式, 可以看作是标准DHCP协议的附加项) 中包含CMMAC的关键字段, 所以DPI系统可以通过DHCP OPTION 82中对关键字段的提取, 结合标准DHCP认证分析, 获得用户终端CPEMAC、CPEIP和CMMAC的三者对应关系, 从而实现CM接入方式的用户识别。同时由于用户登录采用标准DHCP协议, 该协议在预先分配的IP地址池中选取一个IP地址分配给用户, DPI系统通过获取该用户分配的CPEIP地址, 并参照IP地址对照表就可以判定该CPEIP所属的头端, 进而对应到相应的站点和片区, 从而达到划分用户区域的目的。

(2) 业务识别。

江苏有线网络DPI系统通过获取到用户访问的服务端IP地址来区分和识别江苏有线网络云媒体电视业务、宽带业务、多媒体通信业务三大业务。因此, DPI系统需要维护一个云媒体电视业务和多媒体通信业务的服务端IP地址表, 通过跟地址表的比对识别出归属业务, 非云媒体电视业务、多媒体通信业务即为宽带业务。对于云媒体电视业务, DPI系统又通过HTTP域名、URL信息等进行相应的匹配, 从而进一步识别云媒体电视业务中的一级栏目、二级栏目。对于宽带业务, 主要是采用数据包净荷检测技术, 通过特征识别的方式来识别各种宽带业务。最简单的如http业务以“GET”请求开头, 返回的数据包中包含http相关信息, 通过这些特征就可以判断是否为http业务。

(3) 质量分析功能。

在获得用户及业务信息的同时, 江苏有线网络DPI系统还提供了详尽的质量分析, 江苏有线网络可以通过DPI系统对网络和业务的质量有清晰而直观的了解, 从而为网络演进、改造和业务的开展提供翔实的参考依据, 大大提升网络演进的效率, 大幅降低成本;在开展业务的时候也能有更充分的数据作为参考, 提高针对性和准确度。江苏有线网络DPI系统主要针对云媒体电视业务、宽带业务、多媒体通信业务三大业务和接入认证系统、DNS系统、BCC系统 (为CM分配地址和配置文件) 三大业务系统, 对其信令过程进行抓包, 获取返回状态、响应时间、延迟、丢包、抖动等关键指标进行端到端的质量实时和历史分析, 并将分析和统计结果通过网管界面或者数据报表形式呈现给网络管理员, 对于异常数据给予实时告警, 使得网络管理员能够及时了解网络及业务运行情况, 有效的保障了网络及业务的安全稳定。例如江苏有线网络多媒体通信业务中的语音视频业务、宽带业务中的视频业务等对时延和速率稳定性指标要求很高, 而普通的HTTP网页浏览对时延和速率要求相对较低, 这样网络管理员可以根据DPI系统分析的结果, 对不同时间段、不同区域各种业务的带宽使用进行有针对性的调整, 从而保证用户良好的网络使用感知。

(4) 行为分析功能。

江苏有线网络DPI系统提供用户网络行为分析功能。该系统通过对网络业务流数据的“特征”识别、应用层网关识别、行为模式识别, 对所有用户使用云媒体电视业务的点播信息、使用宽带业务的访问信息、使用多媒体通信业务的拨打信息进行时间和空间两个维度上的分析, 进一步统计出用户云媒体业务的点播喜好、宽带业务中的网站访问喜好、多媒体通信业务中的业务拨打喜好, 以及云媒体电视业务、宽带业务、多媒体通信业务中的TOPN热点业务。江苏有线网络DPI系统还可以针对某一单独用户的网络行为进行业务类型和时间两个维度的喜好分析, 例如, 该用户某段时间进入电视商城栏目购买了哪些商品、消费了多少金额, 通过淘宝等网购网站消费了何种物品、消费金额统计, 有无付费下载视频, 有无使用Vo IP进行长途通话等。DPI系统对用户网络行为喜好的分析可以精确锁定电子消费用户群体, 精细化分析其网络行为, 为江苏有线网络营销平台提供准确的客户群信息, 为精确营销提供经营决策支持, 使江苏有线网络的营销手段更加丰富准确, 从而带来更大收益, 进一步带动消费者对江苏有线网络品牌的形象认可, 提升其满意度及忠诚度。

(5) 控制功能。

江苏有线网络DPI系统主要有三大控制功能:关键字过滤, URL阻断, 流量控制。关键字过滤要求DPI系统能够允许关键字的自定义, 也就是要求一个可以主动维护的关键字库, 网络管理员可以根据需要主动的对关键字库进行增加和删减的操作, 同时对系统识别出的网络中的关键字消息能够做出及时的阻断和过滤。同样URL阻断也要求DPI系统能够允许URL的自定义, 使得网络管理员可以根据需要对URL库进行主动的维护和管理, 对识别出的URL进行及时的阻断和控制。流量控制要求通过DPI系统对网络三大业务流量的分析和统计, 有针对性的进行单个用户流量、用户组流量、单个业务流量、业务组流量的管控, 可以有效的限制低价值业务的网络带宽资源占用, 释放大量的空口资源给其他用户使用, 改善大多数用户的业务体验。拥有了DPI系统, 江苏有线网络对其各种业务流量可以实现精确控制, 保证各类业务的优先级, 极大提高用户的体验和满意度;同时还能对出口带宽实现更有效率的控制, 降低运营成本, 将网络能效发挥到最大, 获取最佳的投资回报, 江苏有线网络将进入智能化经营的时代。

(6) 数据存储功能。

江苏有线网络DPI系统建立特有的“用户行为话单”数据模型。由于DPI系统采集到的是所有用户的海量全数据, 数据量非常之庞大, 不可能全部存储于数据库中, 所以DPI系统只将前面所提到的江苏有线网络关心的用户身份 (CMMAC、CPEIP等) 、上网行为、网络质量等信息用“用户行为话单”的方式呈现出来。所有用户的实时数据延时小于5分钟, 历史数据保存3个月, 具有很高的数据处理能力、数据吞吐能力和冗余能力, 江苏有线网络DPI系统同时具有统一的可扩展的数据库北向接口, 可以北向提供“用户行为话单”, 为公司运营提供准确可靠的数据依据。

(3) 发展方向。

随着三网融合的不断深入, 江苏有线网络多元化业务的不断发展, DPI系统在江苏有线网络中的作用将显得越来越重要, 新兴的DPI技术和用户、业务精细化的控制分析势在必行。江苏有线网络DPI系统需要对用户的网络质量感知、网络行为喜好感知、热点业务质量感知作出精细化的深度分析, 确立各业务内容服务质量Qos评估维度, 建立网络质量指标考核体系, 精确分析提供诸如负载均衡、数据分流、病毒扼杀、出口扩容等优化建议, 做到“快速发现、精确定位、高效分析、完美优化”。同时对DPI系统中的各种“特征”库进行主动的扩容, 更好的识别新增业务, 更有效的绿化用户行为, 更坚决的地址互联网中的不良低俗内容, 更优化的为其他系统提供可靠安全的DPI数据。

4. 结束语

面对庞大的网络流量和业务类型, 激烈的市场竞争、以及带宽的日益紧张等挑战, 如何更加有效地利用现有资源为用户提供优质的网络服务、提升用户上网体验, 牢牢站稳市场是每个运营商关心的焦点。从互联网发展的现状来看, 用户的需求和网络资源的限制将是一场旷日持久的战争, 我们在控制用户的同时, 应该深度的去挖掘用户的喜好, 合理的去引导用户的上网行为, 而深度包检测 (DPI) 系统将是解决这场战争的一种捷径, 将给江苏有线网络在网络运营上带来技术和市场的双重优势, 极大提升江苏有线网络在市场上的竞争力, 巩固其市场领先地位;同时也将给江苏有线网络的用户带来更出色的用户体验, 享受更有针对性的贴身服务, 进而提高其满意度及忠诚度, 给江苏有线网络带来技术和市场的双赢。

参考文献

[1]罗忆祖.DPI技术助力运营商精细化运营[J].电信网技术, 2009 (3) .

[2]陈绣瑶.DPI带宽管理技术的研究与应用[J].计算机与现代化, 2010 (9) .

[3]张晟, 贾思远.基于深度业务识别 (DPI) 的TD业务感知提升策略[J].电子科学, 2011 (2) .

[4]黄晓武.基于DPI技术的网络流控策略[J].电脑知识与技术, 2011 (7) .

[5]陈朝晖.一种基于DPI和DFI技术的应用识别系统[J].中国高新技术企业, 2011 (16) .

[6]刘胤.深度包检测技术的研究与设计[D].贵州大学, 2008.

[7]Petr Lapukhov.Understanding DHCP Op tion82[EB/OL] (.2009-07-22) .http://blog.ine.com/2009/07/22/understanding-dhcpoption-82/.

解析铁水包跟踪系统的实现方式 第6篇

关键词：微波射频识别,串口数据通讯,RFID

1概述

铁包跟踪管理系统, 采用微波射频识别技术, 系统通过采集铁包在途位置信息, 实时反映铁包运输过程的路径, 在途时间和位置, 实时反映铁包进入炼钢厂区后, 铁包在铁水预处理工序的处理状态, 铁包在脱磷炉兑铁以及铁包从脱磷炉出来到脱碳转炉的生产实绩。此外还有铁包的维修记录, 如修包检修记录、铁包包龄等信息。

2系统组成及功能

2.1 铁包跟踪系统的硬件构成及网络结构

2.2 系统设备组成

系统由三套相对独立的部分构成

现场数据采集部分包括:主机 (SRR-915C) 、射频天线 (RFID) 、电子标签、磁钢。

传输部分包括:光端机、光纤、485总线

上位机处理部分为:数据采集软件

2.3 铁水包跟踪系统设备安装位置

铁路车号自动识别主机 安装位置:铁路车号自动识别主机主要采集铁路电子标签信息, 同时生成合乎需求的报文格式向上位机传送。

天线RFID 天线采用地面天线, 安装在两轨中央的两枕木之间, 长边平行枕木。

磁钢 即车轮传感器, 具有高抗干扰性能, 主要用于检测车轮通过信息, 用安全卡具卡在钢轨内侧。每套车号自动识别系统配装了4个车轮传感器。远端的两个磁钢作为启动主机工作的触发信号, 中间的两个磁钢为判别列车方向使用。

射频电缆 射频电缆主要用于连接天线及主机。在安装时, 要求尽量平滑顺直, 弯曲弧度尽可能大于120°

车辆电子标签 车辆电子标签存储有车辆唯一的20位身份信息, 车辆电子标签安装在车辆底部的中梁上。

光端机 光端机的安装位置分别安装在轨道旁, 采集器比较集中的地方。铁路车号自动识别主机的通信接口通过485总线接入光端机。

上位软件主机 接受车号识别系统上传的标签信息, 连接远程数据服务器, 整合铁包的速度、方向、时间、位置等信息实时上传, 已达到对连接数据服务器的终端画面显示的更新。

2.4 系统软件结构

3系统功能及其工作原理

3.1 系统功能

•对铁包车的在途状态进行实时跟踪, 实现铁包车车号信息自动采集。

•实现全部信息的实时查询及输出

3.2 系统工作原理

RFID的工作原理, 阅读器将要发送的信息, 经编码后加载在某一频率的载波信号上经天线向外发送, 进入阅读器工作区域的电子标签接收此脉冲信号, 卡内芯片中的有关电路对此信号进行调制、解码和解密, 然后对命令请求、密码和权限等进行判断。若为读命令, 控制逻辑电路则从存储器中读取有关信息, 经加密、编码、调制后通过卡内天线再发送给阅读器, 阅读器对接收到的信号进行解调、解码、解密后送至中央信息系统进行有关数据处理。

4系统设备的关键技术指标速度、方向的识别

在工程安装中, 用于速度和方向判别的两个磁钢间距0.3m。即为中间的两个磁钢。假定车辆在0.3m中是匀速运动, 两个磁钢分别记录同一车轮通过两个磁钢的时间t (S) 和t′ (S) , 计算出△t=t′-t, 车速V=0.3m÷△t (m/s)

车号识别系统主机磁钢板GPI0和GPI1自东向西分别接1号和2号磁钢, 同一转向架两个车轮通过1、2号两个磁钢产生四个时刻信息, t1、t1′和t2、t2′, △t1=t1′-t1;△t2=t2′-t2, △t1、△t2均为正值, 就为A方向, △t1、△t2值均为负则为B方向。

总结:信息化、智能化管理正是现代企业管理的发展主流, 也是企业可持续发展的内动力。铁包跟踪管理系统的实现将有效提高现有铁水运输设备利用效率, 减少资源浪费, 为科学高效的管理提供依据, 并将减少人员工作量, 降低运输成本。

参考文献

[1]作者:韩兵《现场总线系统监控与组态软件》化学工业出版社.2008.6

[2]作者:黄军, 刘燕《Delphi串口通讯编程》人民邮电出版社.2001.8

深度包解析 第7篇

北京奥特维科技有限公司是中国电子科技集团公司第三研究所的全资公司, 是一家集软件产品研发、系统设计、系统集成及运维服务为一体的综合型国有企业。公司主要业务包括:承包国际国内建筑智能化系统工程、交通电子、多媒体电子会议及会议电视系统、专业化的厅堂、演播室、体育场馆扩声系统、IDC机房、智能化综合集成管理等系统的设计、设备配套、安装、调试等。并致力于相关专用设备的研制、生产、销售和软件定制服务。

作为国内建筑智能化系统工程的行业翘楚, 北京奥特维科技有限公司于3 月9 日—11 日携带最新解决方案亮相2016中国国际智能建筑展览会。奥特维以“智慧云集——成就未来”、“智能体验——伴你同行”两个主题深度解读智慧园区和智慧酒店, 并向业界展示其自主研发的人员感测系统、园区远程无线求助对讲系统、智能停车系统、智能手机信息推送系统、三维监控系统、影音系统、集成能源一体化平台以及可视化机房管理系统等一系列领先技术。

北京奥特维科技有限公司是中国电子科技集团公司第三研究所的全资公司, 是一家集软件产品研发、系统设计、系统集成及运维服务为一体的综合型国有企业。公司主要业务包括:承包国际国内建筑智能化系统工程、交通电子、多媒体电子会议及会议电视系统、专业化的厅堂、演播室、体育场馆扩声系统、IDC机房、智能化综合集成管理等系统的设计、设备配套、安装、调试等。并致力于相关专用设备的研制、生产、销售和软件定制服务。

多年来, 奥特维孜孜不倦, 深耕系统工程搭建, 截止目前已承接完成1000 余项工程, 其中含多项国家重点系统工程, 从中积累了大量的设计和施工经验。众多项目分别获得了国家科学技术进步奖、北京市科学技术进步奖、上海市科学进步一等奖以及优质工程等奖项。

深度包解析 第8篇

一、节目推出背景:限娱令下的新闻总动员

中国电视近些年迅猛发展的同时, 出现了过度娱乐化的倾向, 电视失去公共平台应有社会导向作用。2011年10月, 国家广播电影电视总局下发《关于进一步加强电视上星综合频道节目管理的意见》 (简称“限娱令”) , 要求内地上星综合频道提高新闻类节目播出量, 调控部分类型节目, 以满足观众多样化的收视需求。

“限娱令”直接改变了2012年中国电视行业竞争版图。多年来盘踞省级卫视龙头老大的湖南卫视积极响应, 主动调整和优化电视节目结构, 2012年推出多档法制和新闻类节目, 新闻深度调查节目《新闻当事人》应运而生。在《湖南新闻联播》之外, 《新闻当事人》与《播报多看点》《新闻公开课》形成三驾马车, 在新闻影响力和舆论引导上进行补充, 强化湖南卫视“新闻立台”战略。

二、节目特点:创新方式记录个体命运

1.“80后芒果体新闻”

今天的中国80后正登上历史舞台, 肩负起时代赋予的责任和使命, 他们是如何看待和理解这个世界的?湖南卫视《新闻当事人》打造全国第一档80后青年发声新闻节目, 节目核心调查记者都为80后。记者的职业素养直接决定电视节目的优劣, 《新闻当事人》着力培养记者型主持人。这群80后作为记者要深入一线采访, 以新闻专业主义做深度调查, 追求客观、真实、准确, 又以主持人身份在演播厅就事实发表评论, 表明态度, 双重的身份和职责有利于年轻的记者型主持人快速成长。

以“还原新闻背后的真实, 关注大时代中的个体命运”为宗旨, “只要是公众会关心的新闻人物, 会关系人的安全幸福尊严的事件”就会进入《新闻当事人》记者关注的视野。既对话文化名人、学术精英、房产大鳄、娱乐明星, 也有大量的平民百姓成为焦点人物;既讲述传递正能量的人物故事, 也有具有警示意味的反面教材。无论是前线采访还是节目评论, 《新闻当事人》展现了新闻人的睿智、成熟和果敢, 形成颇具“新闻专业主义+青年发声”特质的“80后芒果体新闻”。

2. 碎片化时代的深度报道

随着网络的普及和广泛运用, 人们通过新闻网站、搜索引擎、手机报、微博等方式随时随地获取信息, 这些信息快速更新、内容短小, 数量庞大到令人目不暇接, 信息的碎片化造成思维的碎片化。“这是一个碎片化的时代, 人们的注意力很难持久, 孩子们养成了超文本链接的浏览习惯, 很难按照一个逻辑推演过程完整地看一本书。岂止是读书, 足球这样的消遣也变得碎片化’了, 少有人能耐心地看完90分钟的比赛”[1]。《新闻当事人》的时长控制策略体现了碎片化时代深度新闻报道的特点。

《新闻当事人》根据受众的关注度和注意力来判断选题的重要程度, 以此来决定单个选题的播放时长。《新闻当事人》的节目风格在第一期已初步形成, 首期总时长为29分钟, 共分四节。其中第一节对话当时正热映的电影《金陵十三衩》原著作者严歌苓, 时长为8分钟;第二节聚焦中国真假宽带问题, 时长7分钟;第三节走进山西艾滋儿童学校, 时长11分钟;第四节关注中国动漫走向国际的问题, 时长3分钟。此后, 《新闻当事人》节目总时长进行了微量压缩, 剔除商业广告后约为26分钟, 节目一期或做一个选题, 但更多时候做两个选题分两小节, 平均每个选题持续13分钟左右。信息碎片化时代的另一个特点是对严肃性话题的消解, 而《新闻当事人》的创新之处在于, 在追逐文化、娱乐名人的同时, 有效地实现了软新闻的硬处理。

3. 受众中心定位

媒介如何看待受众, 不但决定了媒介和受众的关系, 而且在相当大的程度上决定媒介的编辑方针、内容特点、风格定位、运作模式和操作方法[2]。对于节目的形象包装, 《新闻当事人》秉承湖南卫视的一贯风格, 在色彩方面, 节目宣传片、片头、片中预报等都以金黄色为主, 与“快乐中国青春向上正激扬”金芒果形象一致。

《新闻当事人》于每周周六、日傍晚时段18:00-18:30播出, 取代该时段具有12年播出史的娱乐资讯类节目《娱乐无极限》。这种安排有基于扩大受众群, 拓展男性观众, 减少观众流失的策略考量。对于电视节目的编排, 傍晚档是指17:00-19:00, 这一时段全国开机率普遍走高, 男女观众比例分别为49%、51%, 25岁以上观众是收视主力军。而此时段湖南卫视女性观众比例却高达71.5%, 几乎是男性的4倍, 其中4-24岁观众超过三成。严肃新闻《新闻当事人》相对《娱乐无极限》更能满足男性与成年观众对新闻信息的渴求, 有利于扩大潜在的男性受众群体。

三、节目待改进:增强互动, 提高议题设置能力

作为一档有较强原创性的节目, 《新闻当事人》存在进一步改进的空间。譬如节目的互动性不足, 与互联网的合作少, 网络上的点击播放率低, 这也间接说明了它的社会影响力依然偏弱。要改变这一点, 必须在节目选题和内容上进一步地深化, 提高议题设置能力, 少跟风, 多做具有独家观点的新闻, 将受众吸引到节目形成的话语场域中来, 增强观众、网友与节目的互动性, 提升舆论引导力。■

[注:本文得到广东省自然科学基金项目 (S2012040011123) 的资助。]

参考文献

[1]苗炜, 分析称网络信息进入碎片化时代:微博等成纽带[J].三联生活周刊, 2010, (34) .