网络应用数据流识别和分类系统设计
来源:小侦探旅游网
148 福 建 电脑 2010年第7期 网络应用数据流识别和分类系统设计 丁金生 (福建星网锐捷网络有限公司福建福州350002) 【摘要】:阐述一种通过PC客户端和网络通讯设备联动实现网络应用数据流识别和分类的方法,满足基于网络应用 类型进行网络出口线路带宽分配、网络应用阻断等应用需求。 【关键词】:应用识别,应用分类,联动,网络通讯设备 O.引言 如图1所示的网络拓扑中.如果网络通讯设备能够识别数 据流所属的应用程序和应用分类.那么就能达到如下目的:第 一,根据网络应用分类.合理进行网络带宽分配,如保证重要应 用的带宽、限制其它应用带宽 第二.阻断特定的网络应用数据 流,如企业为了保证员工的工作效率,禁止员工使用QQ、MSN 等即时通讯软件 因此.本文阐述一种网络应用数据流识别和分 类系统的设计方法 图1系统应用场景 1名词解释 网络应用信息:即PC上运行的网络应用程序信息.每条记 录包括网络应用软件执行文件名、网络应用软件产品名、版本 号、执行文件校验和、应用分类等信息。执行文件名是网络应用 软件的执行文件名称,如微软MSN的执行文件名为hismsgs. CXC:软件产品名是网络应用软件名称.如微软MSN的软件产品 名为Inessenger;版本号,为执行文件版本号;这三个信息都可以 通过查看Windows的文件属性获得。执行文件校验和是为了精 确区分两个执行文件名相同的文件而引入的.可以为CRC32校 验和或其他任何适当的校验和。比如HMAC—MD5校验和、 HMAC—SHA校验和.如MSN 4.7.0.3001版本执行文件msmsgs. exe的CRC32校验和为EA23069B(16进制) 应用分类根据网 络通讯设备需要实现的应用控制功能来确定分类规则.比如分 为WEB浏览、即时通讯、P2P、股票、IP电话、邮件等。在本技术 方案中.PC通过查询本地的网络应用信息库获得网络应用所属 的应用分类。 网络连接信息:PC上的网络应用程序发起的网络连接信 息.包括网络连接五元组(即源IP、源端口、目的IP、目的端口、 协议号)、网络应用信息、报文通过时间戳等信息。其中,报文通 过时间戳记录的是该网络连接最近有报文收发的时问点.用于 网络应用数据流识别和分类器进行拦截报文处理时判断是否须 重发网络连接信息通告:所有的网络连接信息以五元组作为关 键字进行索引 在本技术方案中.PC向网络通讯设备发送网络 连接信息.网络通讯设备进行保存。以在进行应用数据流识别和 分类时可供查询 2.技术方案 本方案的基本技术原理是:在PC端建立网络应用信息库, 在网络应用程序建立、断开网络连接及收发报文时,利用Win. dows操作系统扩展组件LSP SPI DLL进行拦截和分析.查询网 络应用信息库.进而获得完整的网络连接信息.并发送给网络通 讯设备 网络通讯设备实时获得并记录来自PC的网络连接信息 后.就能对后续的网络通讯报文进行应用识别和分类 PC端网络应用信息库和获得网络连接信息的工作须开发 PC客户端软件完成。PC客户端软件以DLL的形式实现.该DLL 为Windows操作系统扩展组件LSP SPI DLL 根据Windows的 Socket体系.只要应用程序需要通过winsock来访问网络.LSP SPI DLL就会被加载到该应用程序进程的地址空问中.该应用 程序对winsock的调用比如WSPSend、WSPRecv时就会执行到 LSP SPI DLL的代码.因此.我们可以在自行设计的LsP SPJ DU 代码中实施对报文的拦截和分析。具体处理过程如下:在网 络应用程序发送报文时拦截该报文.从报文中提取网络连接五 元组.判断网络连接信息库中是否已经存在相应记录.若已存 在.则不采取动作,若不存在.则进行应用识别和分类操作.即分 析报文发送者是哪个网络应用进程及其对应的执行文件名、软 件产品名、执行文件校验和.并据此查询网络应用信息库中的记 录,获取所需的应用分类,然后,再将获取的各种信息组成网络 连接信息,记录到网络连接信息库中.并发给网络通讯设备。 网络通讯设备将来自PC的网络连接信息组成网络连接信 息库。对于收发的网络应用数据量流.均可以五元组为关键字查 询网络连接信息库.获得其网络应用具体信息及其分类。 为便于集中管理.在网络通讯设备上保存应用信息库文件 的峨新版本.各内网PC在客户端启动时从网络通讯设备自动下 载.解研为网络应用信息库 网络应用信息库文件由网络产品开 发商随产品发布并定期更新.同时.允许用户在标准网络应用信 息庠文件基础上修订和添加以适应各种用户自身的特殊要求 网络应用信息收集方案如下: 方案一:在PC端人工进行网络应用信息收集后,在网络通 讯设备的管理平台逐条添加。此方法不适合批量信息的收集。一 般用于少量的用户自定义网络应用信息的收集。 方案二:网络产品开发商选择典型用户部署网络通讯设备、 安装PC客户端。PC客户端软件检测到新应用信息后。发给网络 通讯设备进行临时记录:网络产品开发商在网络通讯设备管理 平台进行信息确认.而后通过管理平台提供的自动添加功能添 加到网络应用信息库文件 网络产品开发商根据产品的目标市 场.进行一定数量典型网络应用信息的收集后.形成标准网络应 用信息库文件随网络通讯设备发布。此方法也可以提供给网络 通讯设备用户.方便其进行新应用信息的添加。 此外.为防止大量网络连接信息导致内存空问不足。必须对 过期的连接信息进行老化处理。老化机制是:当一个网络连接在 规定的连续老化超时时间内没有任何报文通过时.则将连接信 息记录删除 该机制要求PC客户端和网络通讯设备收发报文时 必须刷新网络连接信息记录中的报文通过时间戳。 3.有益效果 本设计采用网络应用信息库静态定义了应用数据流的发起 者(网络应用)及其应用分类,因此大大提高应用数据流识别的 准确率。理论上可达到100%。这可以改进基于(下转第157页) 2010年第7期 福建 电脑 157 等等.大大提高灾难情形下的业务连续运做能力; 护 同时配置1块动态备盘,可以自动接替任意故障磁盘,提供 采用PowerPATH的解决方案满足信息系统高性能和高可 第二层的数据保护 用性方面的要求.采用PowerPATH可以使服务器在多条I,0通 在新的信息基础设施上利用Navishpere完成系统管理,降 道间完成动态负载平衡及通道故障切换。保证整个生产机不会 低系统管理的难度和工作量从单点实现对企业存储平台的统一 因为单条通道故障造成业务处理中断。同时有能利用充分利用 管理和控制 多条通道的能力在多条通道上进行动态负载平衡,从而大大提 每台主机系统上安装EMC PowerPa山软件实现多光纤通道 高整个系统的吞吐量。在新的信息基础设施上利用Navishpere 并发I/O、负载自动均衡和故障隔离,提高系统的I/0性能和可 完成系统管理。降低系统管理的难度和工作量从单点实现对企 靠性。 业存储平台的统一管理和控制 配置两台8端13(未来可扩24端13)的光纤通道交换机,这 每台主机系统上安装EMC PowerPath软件实现多光纤通道 样多台主机可以通过sAN光纤通道交换机共享CX500上有限 并发I/O、负载自动均衡和故障隔离,提高系统的I/O性能和可 的光纤通道端口 靠性。 3.2数据异地备份 采用Navisphere管理软件的解决方案完成存储系统资源管 异地备份的重点为进一步提高系统的业务连续性,集中处 理方面的要求. 理模式对系统业务连续性的要求应大大高于分散处理模式。它 第五:数据安全系统。采用Veriats的Se ̄er free数据安全 对系统的可靠性和可用性提出了很高的要求.在这样的模式下 备份系统.确保数据安全、可靠、纯沽度。 必须要考虑容灾方案.对于现有的系统保留了升级为容灾系统 LAN—Free磁带库备份方式.数据备份过程不会占用数据库 的扩展能力.以便在二期投入中简单易行的直接升级到容灾系 服务器的CPU系统资源以及有限的主干网络带宽,即备份过程 统结构。 不会影响整个系统的性能.可随时备份而无须担心干扰正常业 在CX500的MIRR0RVIEW灾难备份方案是目前业界唯一 务工作 的已有大量成功案例的基于中端智能存储的灾难热备份方案. 所有节点服务器纳人统一的备份管理平台.即使单一服务 它可以有选择的对重要数据进行实时的异地热备份,在出现异 器彻底损坏.加入新的服务器即可一键恢复所有的系统应用配 常情况时.最大限度地保障用户不会丢失数据。该容灾方案可以 置和数据文件.后继管理和维护成本大大降低。 充分满足高可靠容灾备份要求。 通过Veriats专业的备份管理软件.自动实现各种数据备份 具体目标如下: 方式.如全备份、增量备份等。备份方式和备份策略灵活,应需而 关键数据实现实时备份.备份技术应不占用主机资源.对应 动 配置表中磁带库容量的选择为至少保留2次全备份.每工作 用系统无任何影响 日一次增量备份.全备份可每星期一次。实现数据管理的高安全 和异地数据中心实现双向互备.可以充分利用现有的资源, 性。 节约投资 3、数据整合 在异地备份中心.放置主机系统以用作热备份.其处理能力 3.1数据资源整合 为目前生产中心主机的8O%以上 完成数据整合.建立全中心的信息基础设施。在统一的信息 在异地备份中心.建立网络备份系统.其中包括备份网络设 存储平台上高效的完成业务处理.将所有应用系统连人已采用 备如路由器、HUB等和备份线路,备份线路的接入分局应不同 的智能存贮系统平台.进行数据整合.整合后整个企业的数据信 于生产中心连接的分局。 息将位于统一的企业存储平台之上.在统一的企业存储平台上 方案目标是为关键业务系统建立灾难恢复系统.以提高其 建立集中式的处理中心.更有效的完成业务处理.并极大的提高 业务连续性。本方案实施完毕后.关键业务应具有灾难恢复能 系统的可管理性.降低系统的管理难度及管理开销,提高信息的 力。 可用性和共享性 该项目完成后.平煤集团的信息系统将为未来的发展(包括 具体目标如下: 业务和技术)奠定一坚实可靠的电子信息基础架构。所有的业务 采用两台小机系统.构建Oracle RAC高可用集群系统 可以在这一信息基础架构上进行集中的控制和统一的管理。信 采用新的智能存贮系统CX500,构架新的存储平台.能满足 息的可用性、保护性和可管理性将大大提高。系统的可扩展性和 当前应用及未来的发展需要.提供实际可使用容量为2TB容量 灵活性也将比原来的分布式存储方式大大改善.可以充分满足 的磁盘子系统.与2台IBM或SUN主机以及一台WindOWS PC 目前及未来的业务发展和管理的需要。 服务器互相连接。磁盘数据通过RAID一5磁盘阵列技术进行保 (上接第148页) 应用数据流识别的网络通讯设备的应用控制功能的实现效果 低成本.促进产品的推广和应用。 本设计采用的应用识别方法.不需要对网络应用数据流的 内容进行特征分析.因此简单方便.可以降低产品的开发和维护 参考文献: 工作量。 [1暴励.1】P2P技术的应用与研究U1.电脑开发与应用,2009年2期 根据本设计开发的产品.由于采用的应用识别和分类方法 f21董振江.P2P发展现状与运营方案【11.中兴通讯技术.2008年2期 简单.可以由具备基本技术水平的一般产品用户进行新应用的 『31周堂谷.P2P flow identidication『r)1.台湾科技大学,2006 扩展识别。这就使产品的用户能够根据自身需要进行产品的自 黄淑华.计算机网络技术教程.北京:机械工业出版社。2004 我定制和扩展.更好地满足用户的特定需求.促进产品的推广和 [5J甘利杰,丁明勇,扬永斌.基于WinSock SP[技术的包过滤研究Ⅱ】.计算 应用。 机科学.2007年8期 本设计中.网络通讯设备不需要进行复杂的应用数据流三 f6】-陈永辉,向科峰。吕琳.基于WinSock2 SPI的网络封包截获田.兵工自 层头、四层头或者应用载荷数据的特征匹配.只要根据报文五元 动化.2006年3期 组进行网络连接信息库的查询,因此,性能消耗比较小.可以降