郭育辰，李城

（中國人民公安大學，北京 102600）

基于分組檢測技術的寬帶私接防范系統(tǒng)的設計

郭育辰，李城

（中國人民公安大學，北京 102600）

互聯(lián)網(wǎng)日漸普及的同時帶來了寬帶私接、IDC透傳等問題，這嚴重影響了互聯(lián)網(wǎng)市場的健康穩(wěn)定發(fā)展。本文針對寬帶私接對互聯(lián)網(wǎng)發(fā)展的影響，提出一種基于分組檢測技術的防范寬帶私接的解決方案，從多維度進行分析統(tǒng)計、分權打分并根據(jù)分值對疑似私接IP進行匯總排名與審核，有效地識別出寬帶私接、IDC透傳，為防寬帶私接的管控增加新的思路和技術手段。

寬帶私接；IDC透傳；分組檢測

隨著互聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展，網(wǎng)民滲透率逐年攀升，網(wǎng)絡已經(jīng)成為國民生活與工作的基本工具，與此同時寬帶私接(Bandwidth Steal)現(xiàn)象與日俱增。

寬帶私接出現(xiàn)的原因是多方面的：對于一級運營商來說網(wǎng)間結算費用高、各省間聯(lián)動性弱，通過寬帶私接降低運營成本；對于二級運營商來說一級運營商提供的帶寬價格高，通過IDC服務器透傳提升客戶附著性，實現(xiàn)利潤最大化。但寬帶私接現(xiàn)象不利于互聯(lián)網(wǎng)市場的健康發(fā)展，從安全角度來說也增加了寬帶用戶溯源的管理難度，因此采取及時有效的技術手段防范寬帶私接具有深遠的意義。

1 寬帶私接業(yè)務模型

1.1 原始私接光纖方式

通過特殊渠道，BS接入商能夠從運營商的IDC牽入一條光纖鏈路到自己的匯聚點，為自己的小區(qū)寬帶用戶提供互聯(lián)網(wǎng)接入。因極易被發(fā)現(xiàn)，這種方式已基本絕跡。

1.2 VPN+NAT方式

其實現(xiàn)方式為外地異司運營商（如A省電信），在匯聚、打上VPN后，從異地同司運營商（如A省聯(lián)通）內透傳到本地同司運營商（如B省聯(lián)通），在本地運營商處終結VPN后出公網(wǎng)，繞過了網(wǎng)間結算，逃漏了結算費用。

1.3 VPN+GRE隧道方式

經(jīng)與運營商相關專家交流，當前主流的寬帶私接方式是通過VPN+GRE隧道方式實現(xiàn)，如圖1所示。A省移動客戶利用托管在聯(lián)通IDC機房的服務器，通過GRE隧道連接到J省聯(lián)通IDC機房，在隧道中存在大量其他運營商的IP地址與國內外網(wǎng)絡互聯(lián)。

2 寬帶私接防范方法分析

根據(jù)VPN+GRE隧道方式的寬帶私接模型特點，可從“機房外訪流量”、“VPN流量IP歸屬”、“異常應用”幾個層面來分析。

圖1 VPN+GRE隧道實現(xiàn)寬帶私接

2.1 機房外訪流量層面分析

機房外訪流量指IDC機房內服務器主動向公網(wǎng)上面網(wǎng)站發(fā)起的訪問，而非普通的寬帶用戶訪問行為。IDC的某些應用服務器若存在機房外訪流量，即與普通的IDC業(yè)務特征不一致，需要進一步的分析其是否存在BS行為。在此步驟中可以把流量巨大的、訪問量巨大的IP提取出來，作為重點分析對象。

2.2 VPN層面分析

對于IDC機房，進來與出去的流量都是VPN形式，可以探查VPN內層的IP地址歸屬方信息（私接常為跨省、跨運營商方式實現(xiàn)）。若進來是VPN、出去是非VPN的情況，可以直接探查到VPN接封裝之后的VPN歸屬方（私接常為跨省、跨運營商方式實現(xiàn)）。基于上述情況，可以把進入端口時全部都是VPN流量的IP（全VPN接入）及出端口時只有非VPN出流量的IP（單純外訪）作為重點分析對象。

2.3 異常應用層面分析

寬帶私接的主流客戶是小區(qū)的寬帶用戶，其上網(wǎng)行為特征比較明顯，如網(wǎng)頁瀏覽、IMS互動、電商購物、網(wǎng)絡游戲、網(wǎng)絡視頻等典型網(wǎng)絡應用特征。因此，把機房外訪流量中帶有小區(qū)寬帶用戶通常上網(wǎng)行為特征的IP，作為重點分析對象。

3 寬帶私接防范系統(tǒng)的設計

本文提出一種寬帶私接防范系統(tǒng)BSD(Bandwidth Steal Detection)，從機房外訪流量排名、機房外訪Http請求數(shù)量排名、VPN疑似流量占比排名、單純外訪流量排名、異常應用統(tǒng)計排名5個維度，先進行各自分析和統(tǒng)計，分別加權打分；然后根據(jù)分值，整體對疑似私接IP匯總排名與審核，包括抓分組取證與結果留存等。系統(tǒng)功能如圖2所示。

3.1 機房外訪流量TOP100排名

IDC服務器主動向機房外部或公網(wǎng)站點發(fā)起訪問，進行此外訪流量的排名與展示，如圖3所示。

圖2 BSD系統(tǒng)功能示意圖

圖3 機房外訪流量排名

基于對應服務器IP（業(yè)務IP），進行外訪流量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度提升至65%，列出IP具體歸屬信息。根據(jù)IDC系統(tǒng)的分組檢測技術的訪問日志，基于業(yè)務IP提取出機房外訪流量的數(shù)值，進行排名等處理；同時根據(jù)系統(tǒng)本地IP地址歸屬信息庫，進行IP地址歸屬的判斷。因CDN業(yè)務與寬帶私接業(yè)務有相似性，根據(jù)系統(tǒng)本地CDN業(yè)務IP地址庫信息，濾除CDN業(yè)務IP。

3.2 機房外訪次數(shù)TOP100排名

機房外訪次數(shù)排名如圖4所示，基于對應服務器IP（業(yè)務IP），進行外訪Http請求數(shù)量統(tǒng)計與TOP100排名，實現(xiàn)方法同外訪流量排名。

圖4 機房外訪次數(shù)排名

3.3 VPN流量占比TOP100排名

IDC服務器含有VPN協(xié)議類型的流量數(shù)據(jù)，基于服務器業(yè)務IP考查VPN流量在總流量中的占比。若占比高于96%，且每天總流量值高于20 M，計入VPN疑似流量占比TOP100排名（相同流量占比的IP，要按照每天VPN總流量大小來排名）。計算公式如下：

VPN占比=VPN總流量/(進總流量+出總流量)

計入本維度的IP，賦值疑似度65%；如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度直接提升至70%。因VPN涉及到內外層IP地址，需按照內層IP地址進行其他運營商IP歸屬判斷，按照外層IP進行本運營商合法IP的判斷。VPN流量占比功能如圖5所示。

圖5 VPN流量占比排名

根據(jù)IDC系統(tǒng)的分組檢測技術，得到IP流量統(tǒng)計日志，并基于IDC業(yè)務IP進行VPN流量值的獲取和排名。

3.4 單純外訪流量TOP100排名

對于IDC服務器某業(yè)務IP，若只有此IP單純向機房外部網(wǎng)絡站點發(fā)起訪問的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問總流量為0，對此類IP進行外訪流量的TOP100排名展示。前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運營商的IP計入，賦值疑似度直接提升至65%，列出IP具體歸屬信息。單純外訪流量排名如圖6所示。

3.5 異常應用數(shù)量TOP100排名

對于IDC服務器某業(yè)務IP，識別分析其流量中的QQ賬號、郵件賬號、UA數(shù)量等，找出“一個IP承載多個應用賬號標識”的IP信息，按照應用標識數(shù)量（QQ賬號數(shù)量結合UA數(shù)量）進行TOP100排名展示。計入的IP賦疑似度60%，如果發(fā)現(xiàn)有非本運營商的IP計入則疑似度直接提升至65%。如圖7所示。

按照QQ號數(shù)量進行排名，不足100的按照UA數(shù)量進行排名補齊。根據(jù)IDC系統(tǒng)的分組檢測技術上報的一拖N日志，基于IDC的業(yè)務IP進行QQ號數(shù)量、UA數(shù)量的統(tǒng)計和排名操作。

3.6 匯總審核疑似IP

(1) 疑似私接IP TOP匯總。根據(jù)前述的5個分析維度，IP疑似度在60%及以上者均準備進入疑似IP匯總表，按疑似度進行TOP排名。若有IP在幾個維度之間交叉出現(xiàn)的，每交叉出現(xiàn)一次，取疑似度高的疑似度值，且增加5%累計疑似度入?yún)R總表。支持全部或部分疑似匯總IP值的批量導出。

(2) BS逆向分析。根據(jù)客戶預先給出的疑似IP段信息，從BSD系統(tǒng)中針對性進行BS信息的提取和記錄，形成疑似證據(jù)。

圖6 單純外訪流量排名

圖7 異常應用數(shù)量排名

3.7 配套功能

(1) 本地IP歸屬信息判定。由 “純真”站點獲取相應IP地址庫信息，調整后導入BSD系統(tǒng)，形成本地IP歸屬庫，用于IDC業(yè)務IP歸屬判據(jù)。

(2) CDN業(yè)務IP判定。采用IDC系統(tǒng)的分組檢測技術作為分析工具，將URL中帶有“CDN”字樣的業(yè)務IP全部標記出來，累計形成BSD系統(tǒng)本地CDN業(yè)務IP地址庫，用于IDC業(yè)務IP是否為CDN業(yè)務IP的判據(jù)。

(3) 應用協(xié)議分析。采用App Tag互聯(lián)網(wǎng)應用分析工具，對寬帶用戶常用的6 800多種應用協(xié)議進行還原及判定；以IDC系統(tǒng)分組檢測技術作為分析工具，參照用戶Http訪問報文中的UA信息，對常見的固網(wǎng)、移動網(wǎng)軟件操作系統(tǒng)、硬件終端類型等進行抓取識別，并利用新版QQ協(xié)議特征庫，對QQ進行應用協(xié)議的還原識別。

4 結束語

隨著寬帶私接現(xiàn)象泛濫，持續(xù)導致互聯(lián)網(wǎng)產(chǎn)業(yè)不健康發(fā)展。本文作者通過實踐，在寬帶私接業(yè)務模型的基礎上提出一種分組檢測技術的分析方法，從多維度有效地識別寬帶私接流量，增加了防寬帶私接的技術手段。

[1] 張琦, 黃宙, 宮忱. 利用DNS日志數(shù)據(jù)識別寬帶私接的技術探討[J]. 電信網(wǎng)技術, 2016(6):73-77.

[2] 李馥娟. 以太網(wǎng)透傳技術及應用研究[J]. 網(wǎng)絡新媒體技術,2009, 30(7):8-13.

[3] 胡泊. 網(wǎng)絡寬帶接入技術的研究及應用[J]. 科學家, 2016(14).

[4] 何偉. 聯(lián)通校園寬帶用戶防私接試驗方案[J]. 通訊世界,2015(5):76-77.

[5] 蔣建峰. GRE與IPSec VPN工程應用研究[J]. 價值工程,2013(15):197-198.

AbstractThe growing popularity of the Internet brought the broadband steal, IDC transmission and other issues,which affected the healthy and stable development of the Internet market so it was not conducive to safety control. According to the adverse effects of private broadband access to the Internet, the paper put forward a solution of prevention of bandwidth steal based on the deep packet inspection technology.A solution based on deep packet inspection was proposed to prevent bandwidth steal. It could analyze,assign weights from multiple dimensions and summarize, rank and audit possible private IP based on scores. So the solution can effectively identify bandwidth steal and IDC transmission phenomena, which adds new ideas and technical means for the control of bandwidth steal.

Keywordsbroadband steal; IDC penetrate; DPI

Design of preventing broadband steal system based on deep packet inspection

GUO Yu-chen, LI Cheng
(People’s Public Security University of China, Beijing 102600, China)

TN911

A

1008-5599（2017）10-0079-04

2017-05-25