一种基于统一DPI的流量欺诈识别系统

Hot-Point Perspective

热点透视

DCW

一种基于统一DPI的流量欺诈识别系统

郑 涛

（宜通世纪科技股份有限公司，广州 510000）

摘要：随着互联网技术的发展，网络流量越来越复杂和多样化，网络安全事故也越来越多，网络欺诈流量的识别和监控在确保网

络安全方面发挥着越来越重要的作用，使用传统的纯软件的方式，针对流量监控表现出速度缓慢的弊端。现代网络高速发展的同时，

如何实现数据流量的快速监控，成为发展的难题所在。除此之外，使用纯硬件的方式，往往会占用大量的内存，也不利于整体互联网

技术的发展。基于此，本次课的研究提出基于深度分组检测欺诈流量识别系统的开发以及设计方法，使用硬件和软件相结合的方式，

共同实现流量的监测，使系统融合了传统软件和硬件方法的优点，满足使用网络的需要。

[1]

关键词：互联网；DPI；流量欺诈识别

doi：10.3969/.1672-7274.2019.05.128

中图分类号：TN915.0 文献标示码：A 文章编码：1672-7274（2019）05-0159-01

随着计算机网络的发展，互联网逐渐普及起来，网络安全事

故的日益增多，传统的网络欺诈流量识别与监控技术分为纯软件

欺诈和纯硬件欺诈识别两种，软件识别在识别流量的过程中耗时

长，欺诈检测速度缓慢，无法满足当前高速上传和下载形式的网

络数据，而硬件识别则比较难进行复杂的网络协议处理。因此考

虑基于软件来识别复杂的网络协议，普通的网络协议则通过硬件

来识别，软硬结合实现高效的流量欺诈识别。

4 系统软件设计

本文的系统软件设计是基于Linux内核的，当欺诈识别加密

的数据包流量或网络中没有明显特征的数据时，需要一些其他欺

诈识别手段，例如，在实现匹配之前需要解密一些P2P流量，借

助特殊功能，实现对于数据包的识别，所使用的匹配算法直接决

定软件的工作效率。选择的匹配算法朝向边缘偏移，能够有效缩

短整体的匹配时间。本次课题研究主要使用紧凑正则表达式算法

有效缩短时间，同时也减少查询数量，保证整体搜索的效率。移

边压缩的主要原理是用最大的移边从任何状态压缩移边到该状态

[4]

。

1 系统总体结构

目前在网络中较为常用的大部分网络流量协议都是以超文本

传输安全协议为主，只需要借助特殊的字段，就能够实现身份欺

诈，主要以硬件为基础，在欺诈流量识别速度方面具有优势。在

识别了这部分的欺诈行为后，系统记录了无法通过硬件识别的流

程通过软件方法流转到人工引擎进行识别。不能通过欺诈流量识

别的主要是网络中不常见的流量，或者有必要通过其他方法来识

别欺诈流量，它的数据流需要通过信令流进行关联，然后进行分

析和计数，通过模式字符串知识库使用不同的关键字来判读使用

硬件识别和软件识别过程，系统支持三个线程模式，包括数据库

生成线程、知识库编译线程和数据线程，数据库生成线程用于解

析和加载模式字符串，知识库编译线程用于匹配字符串

[2]

。

5 运行验证实验

使用网络带宽100M的局域网进行测试，这使得网络的畅通

得到一定程度的保证，使用1：9的数据样本（欺诈流量：正常流量）

被用作这项测试的数据源，在局域网内进行收发测试，对欺诈识

别的流量通过丢包进行处理，当下发欺诈流量的阻断策略后系统

的丢包数显著上升，最终接收的数据样本，经过检查欺诈流量被

拦截，正常流量得以正常传送，没有发生堵塞。

6 结束语

综上所述，为了有效地管理和监控网络流量，本文提出了一

种基于统一DPI的欺诈流量识别系统，针对传统纯软件流量监控

表现出速度缓慢的问题进行有效解决，能够更好适应现代网络高

速数据流量的特性。借助纯硬件方式识别欺诈，往往会占据大量

的内存，而采用不同的语法进行识别，能够有效缩减内存空间，

避免重复识别对象，提升整体识别效率，借助软件和硬件结合的

方式，表现出两者的共同优点。最终结果显示，本次课题研究所

设计的系统在欺诈流量识别准确率。一方面要明显高于传统的方

式，并且不会造成网络的阻塞。

参考文献

[1] 张勇，李泽凯，常有宝.一种基于DPI技术的用户上网行为管理方法[J].电

信快报，2018（10）：34-36+40.

[2] 周娟.移动互联网统一DPI方案浅析[J].互联网天地，2018（09）：50-54.

[3] 杨扬.浅谈DPI技术在IP城域网中的应用实践[J].信息通信，2018（09）：

268-269.

[4] 夏倩倩，孙忠岩，闫兴龙，焦红宝，费杰超，武树峰.关于互联网统一DPI

系统建设的研究[J].信息通信，2018（08）：78-80.

2 知识库语法设计

软件识别欺诈流量的语法设计相对复杂，因为它支持复杂的

欺诈识别技术，如深度包解析、特殊功能和关联欺诈识别，它消

耗了大量的cpu资源。为了防止系统性能下降，该系统限制了软

件欺诈识别规则的数量，设计人员需要使用硬件模式来分析和提

取尽可能多的应用程序规则，以减少软件欺诈识别规则的数量。

输入数据后，系统为五元组信息创建一个流表，并在硬件欺诈识

别后进行更新。软件欺诈识别处理硬件无法处理的流量，并更新

流量表，因为流量表中的数据量随着网络流量的增加而增加。网

络流量越大，流量计中的数据量越大，系统需要设置流量计的自

动移除时间，数据量数据在流量计中只有有限的时间，通常是15

秒，当时间超过15秒，之前的数据被自动清除时。

[3]

3 系统硬件设计

系统的硬件设计采用多核CPU，在硬件上实现了具有高品牌，

以效率的正则表达式进行逻辑的匹配，同时对于网络中较为常见

的流量，采用匹配的语法进行表达。硬件状态机会将语法中的规

则进行加载，然后针对流量表中需要检测的数据进行欺诈识别和

匹配，最终得到匹配的结果，在流量表中进行更新。

（接上页）

[1] 王勇，李川.全媒体时代电视新闻记者的转型[J].媒介融合，2019（2）：

40-41.

[2] 高松健.新媒体与传统广电媒体深度融合发展探究[J].西部广播电视，2018

（12）：17.

[3] 周军.新媒体与传统广电媒体的深度融合发展浅析[J].教育传媒研究，2018

（11）：106.

2019.05

数字通信世界

159