田 園，汪襄南，胡學(xué)良（中訊郵電咨詢設(shè)計院有限公司，北京100048）

1 研究背景及意義

互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展在經(jīng)濟(jì)和生活的各個領(lǐng)域正在迅速普及，其地位日益重要，整個社會對網(wǎng)絡(luò)的依賴程度越來越大。與此同時，也產(chǎn)生了各種各樣的問題。網(wǎng)絡(luò)帶寬的違規(guī)私接日益猖獗。這種不正當(dāng)市場競爭不僅嚴(yán)重?fù)p害各大運(yùn)營商的利益，而且不法分子還可能利用私接寬帶發(fā)送垃圾郵件、搭建不良信息網(wǎng)站、甚至從事網(wǎng)絡(luò)違法活動，給網(wǎng)絡(luò)安全監(jiān)控及治理帶來了不便和難題。能否通過監(jiān)控分析用戶流量數(shù)據(jù)，自行發(fā)現(xiàn)違規(guī)行為，從源頭上扼制違規(guī)私接的發(fā)生，已成為各大運(yùn)營商關(guān)注的重點。

2 大帶寬違規(guī)

IDC機(jī)房正常業(yè)務(wù)模式為寬帶用戶通過公網(wǎng)請求訪問IDC機(jī)房內(nèi)的服務(wù)器業(yè)務(wù)，IDC服務(wù)器給予應(yīng)答，具體如圖1所示。

所謂大帶寬違規(guī)，則是寬帶用戶通過某IDC機(jī)房出網(wǎng)訪問互聯(lián)網(wǎng)上其他資源，IDC機(jī)房內(nèi)某用戶將帶寬引出，為其他寬帶小區(qū)提供轉(zhuǎn)租。

下面以北京聯(lián)通和某省聯(lián)通、某省電信IDC機(jī)房為例，講解大帶寬違規(guī)私接時寬帶用戶訪問互聯(lián)網(wǎng)數(shù)據(jù)包流向。私接方通過某省電信為用戶做接入服務(wù)，以某省電信到某省聯(lián)通，再到北京聯(lián)通建立VPN通道，使得某省電信接入用戶的訪問互聯(lián)網(wǎng)流量實際通過北京聯(lián)通IDC機(jī)房作為網(wǎng)絡(luò)出口，幫助了某省電信寬帶市場的發(fā)展，影響當(dāng)?shù)芈?lián)通寬帶及樓宇專線等業(yè)務(wù)發(fā)展，具體如圖2所示。

圖1 IDC機(jī)房正常業(yè)務(wù)模式圖

圖2 大帶寬違規(guī)示意圖

3 大帶寬違規(guī)的分析及檢測

3.1 數(shù)據(jù)獲取的實現(xiàn)

實現(xiàn)大帶寬違規(guī)私接的分析檢測，需獲取數(shù)據(jù)中心的全部網(wǎng)絡(luò)流量，并在此基礎(chǔ)上，利用深度數(shù)據(jù)包和大數(shù)據(jù)技術(shù)，進(jìn)行流量的分析和檢測。

網(wǎng)絡(luò)流量數(shù)據(jù)可以通過數(shù)據(jù)分流提取和代碼植入等方式獲取。

代碼植入方式是在數(shù)據(jù)中心所有客戶端網(wǎng)頁中嵌入代碼，以監(jiān)測訪問客戶網(wǎng)絡(luò)的流量情況，然后將網(wǎng)站訪問情況反饋至分析系統(tǒng)。數(shù)據(jù)分流提取方式是在運(yùn)營商的數(shù)據(jù)中心網(wǎng)絡(luò)出口部署數(shù)據(jù)分流提取監(jiān)測設(shè)備，并將分流提取出的流量送至分析系統(tǒng)處理。鑒于運(yùn)營商網(wǎng)絡(luò)的數(shù)據(jù)中心出口帶寬較大，客戶眾多，數(shù)據(jù)分流提取方式更為可行。

3.2 大帶寬違規(guī)的分析方法

3.2.1 IDC機(jī)房向外訪問流量

在不考慮IDC機(jī)房存在CDN服務(wù)器的情況下，傳統(tǒng)IDC業(yè)務(wù)模式為終端用戶通過公網(wǎng)請求訪問IDC機(jī)房內(nèi)的服務(wù)器業(yè)務(wù)，不會存在IDC機(jī)房的服務(wù)器向外網(wǎng)請求訪問業(yè)務(wù)的情況。如存在大量從IDC機(jī)房內(nèi)部服務(wù)器發(fā)出的向外訪問的請求，則懷疑此IDC用戶流量具有公眾業(yè)務(wù)流量的特征，認(rèn)為存在違規(guī)嫌疑（見圖3）。

圖3 IDC機(jī)房異常向外訪問流量圖

3.2.2 VPN流量及VPN流量成分

如果發(fā)現(xiàn)某IDC機(jī)房用戶VPN隧道的流量較多，且VPN隧道流量中存在大量其他運(yùn)營商的IP地址，或者IP地址所產(chǎn)生的流量非常大，這都是非正常VPN業(yè)務(wù)，可以認(rèn)為存在違規(guī)嫌疑（見圖4）。

圖4 VPN隧道流量示意圖

3.2.3 向外訪問的特殊應(yīng)用

一般而言，IDC用戶業(yè)務(wù)模式相對統(tǒng)一。如某IDC用戶業(yè)務(wù)為傳統(tǒng)Web網(wǎng)站服務(wù)，則其服務(wù)器發(fā)出的流量多為Http流量；又如某IDC用戶業(yè)務(wù)為視頻服務(wù)，則其服務(wù)器發(fā)出的流量協(xié)議多為P2P協(xié)議。如果IDC機(jī)房內(nèi)某用戶向外訪問的流量中，應(yīng)用協(xié)議類型較多，且多為QQ、微信、購物、游戲等應(yīng)用，則認(rèn)為其具有終端用戶的訪問特征，存在違規(guī)嫌疑（見圖5）。

圖5 向外訪問流量成分圖

3.3 大帶寬違規(guī)的檢測手段

首先對機(jī)房向外訪問流量、機(jī)房向外訪問HTTP?GET數(shù)量、VPN疑似流量占比、異常應(yīng)用統(tǒng)計等4個維度進(jìn)行統(tǒng)計分析，分別加權(quán)打分；然后根據(jù)分值，對疑似私接IP進(jìn)行整體匯總排名與審核。

3.3.1 機(jī)房外訪問流量排名

“機(jī)房外訪問流量”即為IDC機(jī)房內(nèi)的服務(wù)器，主動向機(jī)房外部、公網(wǎng)上的站點發(fā)起的訪問流量。大帶寬違規(guī)檢測的手段之一是針對此類流量進(jìn)行排名、展示?？苫趯?yīng)服務(wù)器IP（即其業(yè)務(wù)IP），進(jìn)行外訪流量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個IP賦值疑似度40%，如果發(fā)現(xiàn)有非本運(yùn)營商的IP，其疑似度賦值直接提升至80%。

3.3.2 機(jī)房外訪HTTPGET數(shù)據(jù)包數(shù)量排名

“機(jī)房外訪HTTPGET數(shù)據(jù)包數(shù)量”即為IDC機(jī)房內(nèi)的服務(wù)器主動向機(jī)房外部、公網(wǎng)上的站點發(fā)起的HTTPGET訪問數(shù)據(jù)包總量。可基于對應(yīng)服務(wù)器IP（即其業(yè)務(wù)IP），進(jìn)行外訪HTTPGET數(shù)據(jù)包數(shù)量統(tǒng)計與TOP100排名，前30個IP賦值疑似度60%，后70個賦值疑似度40%，如果發(fā)現(xiàn)有非本運(yùn)營商的IP計入，其疑似度直接提升至80%。

3.3.3 VPN疑似流量占比排名

基于服務(wù)器業(yè)務(wù)IP，考查VPN流量在總流量中的占比，占比高于96%的，計入VPN疑似流量占比TOP100。VPN占比的計算公式如下。

VPN占比=VPN總流量/（進(jìn)總流量+出總流量）

計入VPN疑似流量占比TOP100的IP，賦值疑似度75%，如果發(fā)現(xiàn)有非本運(yùn)營商的IP計入，疑似度直接提升至85%。因VPN涉及到內(nèi)外兩層IP地址，外層IP用來判斷本運(yùn)營商的合法性，內(nèi)層IP地址用來判斷其他運(yùn)營商IP歸屬，2種歸屬信息均需展示。

3.3.4 異常應(yīng)用統(tǒng)計排名

通過識別分析IDC機(jī)房內(nèi)某個服務(wù)器的業(yè)務(wù)IP流量中的QQ賬號、郵件賬號和UA數(shù)量，找出“1個IP承載多個應(yīng)用賬號標(biāo)識”的IP信息，按照應(yīng)用標(biāo)識數(shù)量（如QQ賬號、UA數(shù)量等），進(jìn)行TOP100排名、展示。計入TOP100的IP，賦值疑似度75%，如果發(fā)現(xiàn)有非本運(yùn)營商的IP計入，疑似度直接提升至85%。某些IP可能涉及到內(nèi)外兩層IP地址，這種情況下，內(nèi)層IP地址需按照是否歸屬于其他運(yùn)營商進(jìn)行判斷，外層IP地址需按照是否是本運(yùn)營商的合法IP進(jìn)行判斷，2種歸屬信息均需展示。

3.3.5 疑似IP匯總審核

前述的4個分析維度，疑似度在60%以上的IP均列入疑似IP匯總表，按疑似度做TOP50排名。若有IP在幾個維度之間交叉出現(xiàn)的，每交叉出現(xiàn)一次，對比取其最高的疑似度值，并在此基礎(chǔ)上增加5%的疑似度，將結(jié)果納入?yún)R總表。最終，對疑似違規(guī)私接的IP地址疑似度重新排名，排名越靠前，違規(guī)的疑似度越大。

4 結(jié)束語

本文通過利用DPI及大數(shù)據(jù)技術(shù)，引入大帶寬違規(guī)私接的監(jiān)測模型，深度分析客戶流量特征，輔助判斷客戶是否存在疑似違規(guī)接入的行為。大帶寬違規(guī)私接的識別，為規(guī)范市場，治理客戶業(yè)務(wù)提供了直觀的技術(shù)支撐手段。