Рассмотрены вопросы применения систем DPI (Deep packet inspection) в сетях операторов связи, содержится общее описание технологии DPI и применяемых в ней методов и сигнатур. Оценивается порядок задержки пакетов, возникающей при использовании системы DPI.

sitemap
Наш сайт использует cookies. Продолжая просмотр, вы даёте согласие на обработку персональных данных и соглашаетесь с нашей Политикой Конфиденциальности
Согласен
Поиск:

Вход
Архив журнала
Журналы
Медиаданные
Редакционная политика
Реклама
Авторам
Контакты
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
© 2001-2025
РИЦ Техносфера
Все права защищены
Тел. +7 (495) 234-0110
Оферта

Яндекс.Метрика
R&W
 
 
Вход:

Ваш e-mail:
Пароль:
 
Регистрация
Забыли пароль?
Книги по связи
Кааранен Х., Ахтиайнен А., Лаитинен Л.
Другие серии книг:
Мир связи
Библиотека Института стратегий развития
Мир квантовых технологий
Мир математики
Мир физики и техники
Мир биологии и медицины
Мир химии
Мир наук о Земле
Мир материалов и технологий
Мир электроники
Мир программирования
Мир строительства
Мир цифровой обработки
Мир экономики
Мир дизайна
Мир увлечений
Мир робототехники и мехатроники
Для кофейников
Мир радиоэлектроники
Библиотечка «КВАНТ»
Умный дом
Мировые бренды
Вне серий
Библиотека климатехника
Мир транспорта
Мир фотоники
Мир станкостроения
Мир метрологии
Мир энергетики
Книги, изданные при поддержке РФФИ
Выпуск #8/2015
В.Фицов
Глубокий анализ пакетов для обеспечения QoS
Просмотры: 4308
Рассмотрены вопросы применения систем DPI (Deep packet inspection) в сетях операторов связи, содержится общее описание технологии DPI и применяемых в ней методов и сигнатур. Оценивается порядок задержки пакетов, возникающей при использовании системы DPI.
Теги:   dpi   i   qos
Разработки в области безопасности и качества услуг (QoS, Quality of Service), предоставляемых пакетными сетями, ведутся давно. Развитие программного обеспечения пользовательских устройств привело к тому, что невозможно доверять генерируемому пользователем трафику. Например, возможно применение пользователем дифференциального обслуживания (DiffServ) с указанием типа трафика, не соответствующего действительности, или использование приложениями чужих транспортных портов и протоколов. Такой пользовательский трафик нарушил бы качество систем дифференциального обслуживания или позволил бы обойти системы безопасности, заданные в сети провайдера. В связи с этим операторы связи самостоятельно осуществляют фильтрацию трафика посредством межсетевых экранов и систем обнаружения вторжений (IDS, Intrusion Detection Systems), а в сети доступа самостоятельно определяют тип трафика и помечают его. Такое отсутствие доверия к пользователям приводит к неизбежным дополнительным расходам, – не только денежным, но и качественным, – сказываясь на параметрах QoS. Из разработок по классификации трафика провайдерами в основном применялся простейший метод на основе транспортных портов. В связи с требованиями законного перехвата в мультисервисных мобильных и фиксированных сетях внедрены и обновляются системы LI (Lawful Interception). В России это система технических средств для обеспечения функций оперативно-рoзыскных мероприятий (СОРМ). Так, СОРМ-2 позволяет перехватывать обмен данными в мультисервисных сетях, например, по электронной почте. Тем временем для классификации трафика было разработано множество систем поверхностного анализа данных LPI (Lightweight Payload Inspection) с использованием первых байт поля полезной нагрузки поверх транспортного уровня (или известных протоколов) пакета.

Гармоничным продолжением разработок по LI и LPI стала технология глубокого анализа пакетов (DPI, Deep Packet Inspection), которая определяет потоки трафика за счет полного разбора первых пакетов потока трафика и статистических методов слежения за характеристиками пакетов. Система DPI позволяет обнаруживать и перехватывать пользовательский трафик, а также блокировать его, проводить его точную классификацию для последующего использования механизмами обеспечения QoS, вести всеобъемлющую статистику по передаваемому трафику с привязкой к адресной информации 2–4 уровней семиуровневой эталонной модели взаимодействия открытых систем OSI (Open Systems Interconnection) и устанавливать ограничения скорости передачи для определенного типа трафика в соответствии с индивидуальными политиками безопасности (тарифными планами).

Большую долю интернет-трафика занимает "тяжелый" трафик файлообменных сетей P2P (Peer-to-Peer) и потокового видео OTT (Over the Top), например, c YouTube. Неконтролируемость некоторых сетевых приложений снижает качество обслуживания других услуг и создает опасность перегрузки сети. Система DPI позволяет выявить трафик таких приложений, а затем блокировать или ограничить скорость его передачи. Такой подход позволяет сбавить темпы постоянного расширения сетей и сделать каждое расширение более предсказуемым [1]. Применение DPI – первый и необходимый шаг для поддержания стабильных сетевых услуг и эффективного управления сетевыми ресурсами [2].

Основной метод DPI – проверка сигнатур протоколов и приложений. Под сигнатурой понимается шаблон описания данных, который однозначно соответствует приложению/протоколу. Например, это может быть поиск таких ключевых слов в данных пакета, как BitTorrent, или запросов GET/POST протокола HTTP. Простейшие сигнатуры основаны на URL-адресах в заголовке HTTP, а сам файл сигнатур вендора периодически обновляется. Часть методов DPI основана на статистических и поведенческих критериях анализа потока данных. Именно поведенческий анализ позволяет обнаружить сканирование портов с одного источника [3]. В более сложных случаях сигнатура основана на анализе параметров связанных потоков одного приложения [4]. Все эти сигнатуры используются для выявления используемых потоком приложения IP-адресов и транспортных портов для дальнейшего контроля над потоком данных: статистики, тарификации, прослушивания или блокировки [5].

Системы DPI стали внедрятся в России с 2004 года, когда компания RGRCom (дистрибьютор производителей DPI Allot, PeerApp и OverSi) впервые поставила систему DPI для корпоративной сети "Транстелекома". Широкое распространение DPI началось в конце 2000-х. Силами Inline Telecom, Allot, Cisco, Procera, Juniper, Huawei и отечественных Traffica и "Протей" системы DPI были внедрены в "Вымпелкоме", "МегаФоне", МТС и на Дальнем Востоке в "Ростелекоме" [6]. DPI применяется в решениях СОРМ (например, для отслеживания или блокировки переговоров с использованием Skype) в Китае, странах Ближнего Востока и России. Компания Skype не всегда раскрывает данные клиентов, а DPI позволяет осуществлять контроль потоков данных и статистики трафика в сети [7]. Среди систем анализа трафика на основе свободного программного обеспечения (open-source) можно упомянуть OpenDPI, Tstat и SPID [8, 9].

Помимо "тяжелого" трафика, генерируемого в том числе USB-модемами, важным фактором внедрения DPI-систем стал федеральный закон № 139-ФЗ от 28 июля 2012 года, вносящий изменения в Закон "О защите детей от информации, причиняющей вред их здоровью и развитию". Для контроля доступа к содержимому сайтов и подавления трафика применяют DPI-системы. Анализируя трафик на уровне приложений, технология DPI позволяет точечно заблокировать запрещенный ресурс по URL-адресу без полной блокировки сервера компании хостинга. Такой подход удовлетворяет требованию по блокировке трафика на основе доменного имени или сочетанию IP-адреса и адреса, ведущего к запрещенному контенту. Это решает проблему популярного метода блокировки запрещенного ресурса по его IP-адресу, когда оказываются недоступными и другие ресурсы, использующие сервер компании хостинга с тем же IP-адресом. Причем другой метод блокировки доменных адресов в службе DNS (Domain Name System) достаточно просто можно обойти [10].

Для описания системы DPI необходимо углубится в вопрос ее архитектуры, но он достаточно сложен и заслуживает отдельной статьи. Наглядное описание системы, ее архитектуры и статистики можно получить из обзора [3]. Подробнее об использовании DPI-систем в сетях подвижной связи рассказано в [4].

В рамках данной статьи представим DPI в виде этапов работы с пакетами, показанными на рис.1: прием сетевой картой и фильтрация пакетов, выделение потоков трафика, извлечение данных пакета (0,3% времени работы процессора) и загрузка сигнатур из БД (7,6% времени работы процессора), обработка данных алгоритмами (8,7% времени работы процессора) и сравнение с сигнатурами (83% времени работы процессора) под управлением комбинатора решений о принадлежности потока к определенному классу. Комбинатор решений дает алгоритмам исходные данные и выбирает наиболее достоверное решение [11]. Далее происходит соотнесение пакета с определенным потоком трафика. В [2] была проведена оценка процентного отношения необходимого времени работы процессора для выполнения этих этапов, которая показала, что 83% занимает этап сравнения данных пакета с сигнатурами.

Если на этапе выделения потоков пакет принадлежит существующему потоку данных, то он передается на аппаратный фильтр в функцию разгрузки.

Обычно на этапе анализа данных пакета алгоритмами обработки сначала проводится анализ 2–4-го уровней и заголовков туннелей, далее происходит сравнение информации 5–7-го уровней с базой сигнатур приложений (содержащей более 1000 примеров). Для нового выявленного потока назначенная политика выполняется на аппаратном фильтре, в котором (режиме разгрузки) не ведется анализ 5–7-го уровней, но производится подсчет трафика для заданного приложения [4].

Помимо режима анализа поступающих в данный момент пакетов, DPI-системы могут работать в режиме обучения, в котором анализируются примеры разнородных помеченных потоков трафика. Режим обучения имеет следующие этапы: захват пакетов, считывание меток истинных значений потоков трафика, получение сигнатур и запись в базу данных (БД).

Для систем DPI важно обеспечить заданную продолжительность обработки пакетов и ее стабильность. Также сложной задачей представляется поддержание стабильности вероятностно-временных характеристик в условиях работы на предельной производительности [4]. Обычно анализ и извлечение необходимой информации требуют значительных вычислительных ресурсов. Чем они выше, тем меньше будет продолжительность обработки пакетов, а значит, меньше будет величина задержки прохождения нового потока данных через систему DPI. Кроме того, работа аппаратного фильтра также закладывает определенную задержку при пропуске пакетов. Если нагрузка на систему DPI начнет превышать определенный порог, то это приведет к увеличению задержки, потерям пакетов и в крайнем случае – к пропуску трафика без его анализа.

Чтобы оценить целесообразность применения технологии DPI для обеспечения QoS, необходимо разработать ее математическую модель. Это позволит выяснить, насколько внедрение DPI позволит повысить параметры QoS за счет точного определения типов трафика для дифференцированного обслуживания и ограничения потоков "тяжелого" трафика, а также узнать, какую цену, измеряемую в величине возникающей задержки и потерях пакетов, приходится платить при использовании DPI.

Для построения простейшей математической модели, представляющей сеть массового обслуживания (СМО), нужно еще раз упростить этапы обработки трафика системой DPI. Допустим, что сервер анализа трафика использует только первый пакет потока, поступающий с аппаратного фильтра, и по нему определяет необходимую политику и передает далее на аппаратный фильтр. Обозначим среднюю задержку пакета при анализе как T1. Однако в некоторых случаях сервер анализа трафика запрашивает необходимую политику у сервера принятия решений о применении политики. В таком случае средняя задержка (T2) будет суммой задержек в очередях и задержек обработки в сервере принятия решений и дважды сервера анализа трафика.

В качестве первой системы массового обслуживания (СМО1) обозначим многопроцессорный сервер анализа трафика с четырьмя обработчиками. По классификации Кендалла M/M/V означает систему с пуассоновским входным потоком заявок, экспоненциальным законом распределения времени обслуживания и V-обработчиками. Предположение, что суммарный входной поток на сервер анализа трафика пуассоновский, основано на его большом числе независимых стационарных потоков [12]. Следующая СМО2 – это сервер принятия решений о применении политики с одним обработчиком (M/M/1). Аналогично, используя теорему Берка, можно заключить, что приходящий на сервер принятия решений поток тоже пуассоновский, но отличается от исходного с вероятностью наступления случая обращения к этому серверу. Обозначим интенсивность входящего простейшего потока через λ. Тогда получается модель, показанная на рис.2.

В соответствии с теоремой Берке, выходящий из СМО1 (работающей в стационарном режиме) поток будет простейшим с тем же параметром λ. Интенсивность входного потока на СМО2 будет равна произведению:

λвх2 = (1–P)λ,

где P – вероятность самостоятельной классификации нового потока сервером анализа трафика (СМО1). Аналогично для СМО2. При этом необходимо учитывать, что требования, пришедшие после обработки из СМО2, также будут попадать в очередь СМО1. Таким образом, интенсивность входного потока на СМО1 после обработки СМО2 будет равна произведению:

λвх12 = (1–P)λ.

В результате общая интенсивность поступления пакетов на сервер анализа трафика (СМО1) определяется выражением:

λвх1 = λ + (1–P)λ.

Производительность СМО1:

,

где μ1 – интенсивность обслуживания пакетов.

Вероятность того, что система свободна (P0), может быть получена по формуле:

,

где n = 4 – число обработчиков.

Среднюю задержку сервера анализа трафика (T1) можно получить на основе числа заявок в системе (N1), зависящего от среднего числа заявок в очереди (NS):

,

N1 = NS+ρ1,



Зная интенсивность поступления пакетов на сервер принятия решений (СМО2) – λвх2, можно получить следующие характеристики для СМО2: производительность (ρ2), среднее число заявок в системе (N2), среднюю задержку сервера принятия решений (T2). Они определяются нижеприведенными формулами:

,

,

.

Общее время, необходимое системе DPI на определение потока и политики (T), составит:

T = T1+P (T1+T2).

На основании вышеприведенных формул в [13] была определена зависимость задержки в такой системе от интенсивности поступающей нагрузки (рис.3) при выбранной вероятности обращения к серверу принятия решений
P = 0,8 и интенсивностями обслуживания заявок μ1 = 5000, μ2 = 1000 на СМО 1 и 2 соответственно.

В результате расчетов на основе примерной математической модели работы системы DPI можно утверждать, что при увеличении интенсивности входящих потоков возрастает общее время для определения политики для каждого потока пакетов. Полученная средняя задержка системы DPI (1,2 мс без пиковой загрузки, 22,8 мс с пиковой загрузкой) позволяет применять технологию DPI для чувствительного к задержкам трафика, как это можно видеть из требований рекомендации Y.1541 Международного союза электросвязи (ITU-T) от 0,1 до 1 с [14]. Однако при пиковой загрузке система показала неудовлетворительную задержку, равную 260 мс. С учетом того, что задержка передачи пакета в сети состоит из времени на преодоление расстояния, времени на обработку пакетов маршрутизаторами, коммутаторами и двух систем DPI (в сети оператора, передающего трафик, и в сети другого оператора, который этот трафик принимает). Естественно, что для системы DPI задержки при обработке пакетов должны быть минимальными. Однако не стоит считать данные результаты окончательными, так как в данной математической модели было сделано большое количество допущений. Получается, что используя DPI, например, для повышения QoS, приходится расплачиваться его частью.

Литература

1.Дубчук Н.В. DPI – хранитель сети ШПД или окончание эры свободного Интернета? // Вестник связи. 2012. № 5. С. 11–12.
2.Jun-Sang Park, Sung-Ho Yoon, Myung-Sup Kim. Software architecture for a lightweight payload signature-based traffic classification System // III international workshop. Traffic Monitoring and Analysis. Berlin: Springer, 2011, pp. 136–149.
3.Сибгатулин М. DPI. Информационно-аналитический портал NAG.ru, 08.2012 [Электронный ресурс]. Код доступа: http://nag.ru/articles/article/22432/dpi.html/.
4.Сенченко Ю.Х. Некоторые аспекты высокоскоростной обработки трафика // Технологии и средства связи. 2013. № 1. С. 52–53.
5.Trammell B., Boschi E., Procissi G. Identifying skype traffic in a large-scale flow data repository // III international workshop "Traffic Monitoring and Analysis", Berlin: Springer. 2011, PP. 72–85.
6.Солдатов А., Бороган И. Интернет-фильтрация в России: еще и слежка. Forbes, 11.2012 [Электронный ресурс]. Код доступа: http://www.forbes.ru/tehno/194198-internet-filtratsiya-v-rossii-eshche-i-slezhka.
7.Гольдштейн Б.С., Елагин В.С. Новые решения СОРМ для сети Skype // Вестник связи. 2010. № 9. C. 36–40.
8.Finamore A., Mellia M., Meo M. KISS: Stochastic packet Inspection classifier for UDP Traffic. IEEE/ACM Transactions on Networking. 2010. 18(5), PP. 1505–1515.
9.Dorfinger P., Panholzer G., John W. Entropy Estimation for Real-Time Encrypted Traffic Identification // III international workshop "Traffic Monitoring and Analysis", Berlin: Springer. 2011. PP. 164–171.
10.Сенченко Ю.Х. Система DPI: генератор добавленной стоимости седьмого уровня // Мобильные телекоммуникации. 2012. 8. С. 4–6.
11.Dainotti A., Pescape A., Sansone C. Early Classification of network traffic through multi-classification // III International workshop traffic monitoring and Analysis, Berlin: Springer, 2011. PP. 122–135.
12.Соколов Н.А. Задачи планирования сетей электросвязи. – СПб: БХВ, 2012.
13.Галахов А.Г. Разработка математической модели обработки трафика в системе DPI [Текст]: дипл. раб.: 210406: защищена 20.06.14: утв. 13.06.14. СПб: СПбГУТ, 2014.
14.ITU-T Recommendation Y.1541: Network performance objectives for IP-based services (2006).
 
 Отзывы читателей
Разработка: студия Green Art