一种基于统一DPI的流量欺诈识别系统

Hot-Point Perspective
热点透视
DCW
159
数字通信世界
2019.05
随着计算机网络的发展，互联网逐渐普及起来，网络安全事故的日益增多，传统的网络欺诈流量识别与监控技术分为纯软件欺诈和纯硬件欺诈识别两种，软件识别在识别流量的过程中耗时长，欺诈检测速度缓慢，无法满足当前高速上传和下载形式的网络数据，而硬件识别则比较难进行复杂的网络协议处理。

因此考虑基于软件来识别复杂的网络协议，普通的网络协议则通过硬件来识别，软硬结合实现高效的流量欺诈识别。

1 系统总体结构
目前在网络中较为常用的大部分网络流量协议都是以超文本传输安全协议为主，只需要借助特殊的字段，就能够实现身份欺诈，主要以硬件为基础，在欺诈流量识别速度方面具有优势。

在识别了这部分的欺诈行为后，系统记录了无法通过硬件识别的流程通过软件方法流转到人工引擎进行识别。

不能通过欺诈流量识别的主要是网络中不常见的流量，或者有必要通过其他方法来识别欺诈流量，它的数据流需要通过信令流进行关联，然后进行分析和计数，通过模式字符串知识库使用不同的关键字来判读使用硬件识别和软件识别过程，系统支持三个线程模式，包括数据库生成线程、知识库编译线程和数据线程，数据库生成线程用于解析和加载模式字符串，知识库编译线程用于匹配字符串[2]。

2 知识库语法设计
软件识别欺诈流量的语法设计相对复杂，因为它支持复杂的
欺诈识别技术，如深度包解析、特殊功能和关联欺诈识别，它消耗了大量的cpu 资源。

为了防止系统性能下降，该系统限制了软件欺诈识别规则的数量，设计人员需要使用硬件模式来分析和提取尽可能多的应用程序规则，以减少软件欺诈识别规则的数量。

输入数据后，系统为五元组信息创建一个流表，并在硬件欺诈识别后进行更新。

软件欺诈识别处理硬件无法处理的流量，并更新流量表，因为流量表中的数据量随着网络流量的增加而增加。

网络流量越大，流量计中的数据量越大，系统需要设置流量计的自动移除时间，数据量数据在流量计中只有有限的时间，通常是15秒，当时间超过15秒，之前的数据被自动清除时[3]。

3 系统硬件设计
系统的硬件设计采用多核CPU ，在硬件上实现了具有高品牌，以效率的正则表达式进行逻辑的匹配，同时对于网络中较为常见的流量，采用匹配的语法进行表达。

硬件状态机会将语法中的规则进行加载，然后针对流量表中需要检测的数据进行欺诈识别和匹配，最终得到匹配的结果，在流量表中进行更新。

4 系统软件设计
本文的系统软件设计是基于Linux 内核的，当欺诈识别加密的数据包流量或网络中没有明显特征的数据时，需要一些其他欺诈识别手段，例如，在实现匹配之前需要解密一些P2P 流量，借助特殊功能，实现对于数据包的识别，所使用的匹配算法直接决定软件的工作效率。

选择的匹配算法朝向边缘偏移，能够有效缩短整体的匹配时间。

本次课题研究主要使用紧凑正则表达式算法有效缩短时间，同时也减少查询数量，保证整体搜索的效率。

移边压缩的主要原理是用最大的移边从任何状态压缩移边到该状态[4]。

5 运行验证实验
使用网络带宽100M 的局域网进行测试，这使得网络的畅通得到一定程度的保证，使用1：9的数据样本（欺诈流量：正常流量）被用作这项测试的数据源，在局域网内进行收发测试，对欺诈识别的流量通过丢包进行处理，当下发欺诈流量的阻断策略后系统的丢包数显著上升，最终接收的数据样本，经过检查欺诈流量被拦截，正常流量得以正常传送，没有发生堵塞。

6 结束语
综上所述，为了有效地管理和监控网络流量，本文提出了一种基于统一DPI 的欺诈流量识别系统，针对传统纯软件流量监控表现出速度缓慢的问题进行有效解决，能够更好适应现代网络高速数据流量的特性。

借助纯硬件方式识别欺诈，往往会占据大量的内存，而采用不同的语法进行识别，能够有效缩减内存空间，避免重复识别对象，提升整体识别效率，借助软件和硬件结合的方式，表现出两者的共同优点。

最终结果显示，本次课题研究所设计的系统在欺诈流量识别准确率。

一方面要明显高于传统的方式，并且不会造成网络的阻塞。

参考文献
[1] 张勇，李泽凯，常有宝.一种基于DPI 技术的用户上网行为管理方法[J].电信快报，2018（10）：34-36+40.
[2] 周娟.移动互联网统一DPI 方案浅析[J].互联网天地，2018（09）：50-54.[3] 杨扬.浅谈DPI 技术在IP 城域网中的应用实践[J].信息通信，2018（09）：268-269.
[4] 夏倩倩，孙忠岩，闫兴龙，焦红宝，费杰超，武树峰.关于互联网统一DPI 系统建设的研究[J].信息通信，2018（08）：78-80.
一种基于统一DPI 的流量欺诈识别系统
郑　涛
（宜通世纪科技股份有限公司，广州 510000）
摘要：随着互联网技术的发展，网络流量越来越复杂和多样化，网络安全事故也越来越多，网络欺诈流量的识别和监控在确保网络安全方面发挥着越来越重要的作用，使用传统的纯软件的方式，针对流量监控表现出速度缓慢的弊端。

现代网络高速发展的同时，如何实现数据流量的快速监控，成为发展的难题所在。

除此之外，使用纯硬件的方式，往往会占用大量的内存，也不利于整体互联网技术的发展。

基于此，本次课的研究提出基于深度分组检测欺诈流量识别系统的开发以及设计方法，使用硬件和软件相结合的方式，共同实现流量的监测，使系统融合了传统软件和硬件方法的优点，满足使用网络的需要[1]。

关键词：互联网；DPI ；流量欺诈识别doi ：10.3969/J.ISSN.1672-7274.2019.05.128中图分类号：TN915.0 文献标示码：A 文章编码：1672-7274（2019）05-0159-01（接上页）
[1] 王勇，李川.全媒体时代电视新闻记者的转型[J].媒介融合，2019（2）：40-41.
[2] 高松健.新媒体与传统广电媒体深度融合发展探究[J].西部广播电视，2018
（12）：17.
[3] 周军.新媒体与传统广电媒体的深度融合发展浅析[J].教育传媒研究，2018（11）：106.。