1、QB-1中 国 移 动 通 信 企 业 标 准中国移动通信集团公司 发布QB- - - 发 布 - - 实 施中 国 移 动统 一 DPI 设 备 技 术 规 范Technical Specification of Deep Packet Inspection Equipment for CMCC 版 本 号 : 1.0QB-I目 录前 言 .IV1 范围 .12 规范性引用文件 .13 术语、定义和缩略语 .23.1 定义和术语 .23.2 缩写 .24 设备概述 .24.1 统一 DPI 定义 .24.2 适用场景 .34.2.1 场景一:PS 侧 .34.2.2 场景二:IDC 出口 .
2、34.2.3 场景三:省网出口 .34.2.4 场景四:省网网间出口 .34.2.5 场景五:骨干网网间出口 .34.3 复用方式 .34.3.1 方式一:分光复用(可选) .34.3.2 方式二:原始报文镜像复用 .34.3.3 方式三:会话级数据复用 .34.3.4 方式四:统计级数据复用 .35 设备结构 .45.1 设备结构图 .45.2 模块功能描述 .45.3 接口描述 .46 设备功能要求 .56.1 识别功能 .56.2 分析统计功能 .66.2.1 流量流向及业务占比分析统计 .66.2.2 网站分析统计 .66.3 控制功能 .66.3.1 串接模式下的控制功能 .66.3
3、.2 并接模式下的控制功能(可选) .76.4 复用功能 .76.4.1 分光复用(可选) .76.4.2 原始报文镜像复用 .76.4.3 会话级数据复用 .86.4.4 统计级数据复用 .86.5 安全功能 .86.5.1 DDoS 攻击监控 .86.5.2 文本/图片还原 .8QB- II6.5.3 软件还原(仅对 PS 侧场景要求) .86.6 回填功能 .86.7 非对称流量归并功能 .96.8 数据回放功能 .96.9 原始数据留存功能(仅对 PS 侧场景要求) .96.10 用户在线状态查询功能(仅对 PS 侧场景要求) .96.11 上报告警功能要求(仅对 PS 侧场景要求)
4、.97 接口物理要求 .97.1 线路接口 .97.2 复用、配置接口 .108 接口格式要求 .108.1 镜像接口 .108.2 会话数据接口 .108.2.1 文件接口 .108.2.2 实时接口(仅对 PS 侧场景要求) .118.2.3 数据要求 .128.3 统计数据接口 .278.3.1 接口概要 .278.3.2 通信流程 .278.3.3 统计指标集 .288.4 配置接口 .308.4.1 接口概要 .308.4.2 消息格式 .319 设备性能要求 .469.1 流量识别和控制指标 .469.2 转发性能指标(仅对串接设备要求) .469.3 复用性能要求 .479.4
5、节能要求 .4710 时间同步要求 .4711 可靠性要求 .4712 网管要求 .4812.1 配置管理 .4812.2 查询设备信息 .4912.2.1 设备硬件信息 .4912.2.2 设备网络信息 .4912.3 查询设备状态 .5012.3.1 设备负荷 .5012.4 设备状态管理 .5112.4.1 故障管理 .5112.5 性能管理 .51QB- III12.6 安全管理 .5113 操作维护要求 .5213.1 可管理性 .5213.2 可维护性 .5213.3 易用性 .5214 附录 .5314.1 附录 A 状态编码 .5314.2 附录 B 消息类型定义 .5314.
6、3 附录 C 策略回应错误类型 .5414.4 附录 D XDR 类型编码 .5414.5 附录 E 统计报表类型编码 .5414.6 附录 F 浏览工具 .5414.7 附录 G 门户应用集合 .5514.8 附录 H EMAIL 事务类型编码 .5515 编制历史 .57QB- IV前 言本规范对中国移动网内使用的深度包检测(DPI)设备的功能和性能提出要求,是部署统一 DPI 设备需要遵从的技术文件。本规范主要包括以下几方面内容:设备概述、设备结构、设备功能要求、接口格式要求、设备性能要求等。本规范是统一 DPI 系列标准之一,该系列规范的结构、名称或预计的名称如下:序号 标准编号 标准
7、名称1 QB-X-XXX-XXXX 中国移动统一DPI 设备技术规范2 QB-X-XXX-XXXX 中国移动统一DPI 设备测试规范3 QB-X-XXX-XXXX 中国移动数据流量DPI识别能力规范4 QB-X-XXX-XXXX 中国移动上网日志留存系统-LTE采集解析设备规范-硬采分册5 QB-X-XXX-XXXX 中国移动上网日志留存系统-LTE采集解析设备规范-软采分册6 QB-X-XXX-XXXX 中国移动上网日志留存系统-LTE采集解析设备XDR接口规范7 QB-X-XXX-XXXX 中国移动上网日志留存系统-数据合成服务器设备规范8 QB-X-XXX-XXXX 中国移动上网日志留存
8、系统-数据合成服务器接口规范本规范由中移技 号印发。本规范由中国移动通信集团计划部提出。本规范起草单位:中国移动通信研究院。本规范主要起草人: 本规范解释权:中国移动通信研究院。QB-11 范围本规范适用于中国移动的深度报文检测(DPI)设备,供中国移动内部和厂家共同使用。本规范是中国移动进行 DPI 设备采购和统一 DPI 复用的技术依据。本规范主要包含设备概述、设备结构、设备功能要求、接口格式要求、设备性能要求等内容。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规
9、范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。表2-1 规范性引用文件列表序号 标准编号 标准名称 发布单位1 QB-X-XXX-XXXX中国移动数据流量DPI识别能力规范v2.1中国移动通信集团公司2 QB-X-XXX-XXXX中国移动上网日志留存系统-LTE采集解析设备XDR接口规范中国移动通信集团公司3 QB-X-XXX-XXXX中国移动手机恶意软件监测系统接口规范中国移动通信集团公司4 QB-X-XXX-XXXX中国移动上网日志留存系统-数据合成服务器接口规范(PS域LTE分册)中国移动通信集团公司5 QB-X-XXX-XXXX中国移
10、动上网日志留存系统-Gn采集解析设备规范中国移动通信集团公司QB- -23 术语、定义和缩略语3.1 定义和术语本规范采用了下列定义:1 深度报文检测DPI(Deep Packet Inspection)是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如 HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。2 深度流检测DFI(Deep Flow Inspection)是一种基于网络数据流的深度检测技术,针对不同的Flow(IP五元组)的流量统计规律和连接规律,例如连接速率、流持续时间、报文长度分布等进行深度检测,对流进行分类。3 串接接入方式直接将DPI设备串
11、接到上下游两台核心网设备之间的链路中,原数据流量全部流经DPI设备并完成分析、流控和转发。串接接入方式要求DPI设备对源网络实现链路层透明转发,不增加新的路由跳数。4 并接接入方式通过在监测链路上部署分光器件将数据流量复制一份到DPI设备进行分析,原数据报文不发生改变进行传输。并接接入方式也可以通过交换机端口镜像实现。并接方式通过向业务源端或目的端发送伪造的控制数据包,实现在业务流的源端或目的端降低流量或中断该数据流。5 XDRXDR(X Data Recording)是由CDR(Call Data Recording 呼叫数据记录)演变而来的概念。CDR是传统通信网中对通话过程中网络关键信息
12、的记录。XDR是CDR概念的扩展,在本规范中泛指对移动网络、承载网络中数据流量的关键信息记录,即流量日志,以用户会话为单位,一个会话形成一条XDR记录。3.2 缩写本规范使用了下列缩写:DPI Deep Packet Inspection,深度报文检测DFI Deep Flow Inspection,深度流检测IDC Internet Data Center 互联网数据中心P2P Peer to Peer 点对点VoIP Voice over Internet Protocol 互联网电话QoS Quality of Service,服务质量APN Access Point Name,接入点名
13、称4 设备概述4.1 统一 DPI 定义DPI(Deep Packet Inspection)设备通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击、对病毒、木马进行过滤和滥用P2P 的控制等功能。统一 DPI 指一套 DPI 设备对链路上的流量进行采集与识别,并将满足其它系统所需的流量或分析统计数据分发给各第三方应用系统服务器。网络中各类流量管理相关的应用系统,如网间流控、Web Cache、非法 VoIP 检测、上网日志留存等,主要由 DPI
14、 设备和应用服务器组成。其中, DPI 设备负责数据采集、流量分析统计、日志合成,应用服务器主要完成对数据的进一步分析处理,合理组织和存储数据,并进行呈现。统一 DPI 整合了多个第三方应用系统的 DPI 设备,通过 DPI 复用为QB- -3多个系统提供 DPI 能力,如图 4-1 所示。图 4-1 DPI 复用举例4.2 适用场景中国移动网内流量,从用户出发,按照接入网、城域网、省网、骨干网的顺序在网内传输。由此,在全网五个点进行流量分析,部署 DPI 设备,即可捕捉到网内流量全貌。按照部署位置的不同,可以把统一 DPI 分为五个应用场景,如图 4-2 所示。每个场景的流量具有不同的特征,
15、上层的应用也有不同。图 4-2 统一 DPI 应用场景4.2.1 场景一:PS侧2G/3G 网络的 Gn 接口链路,以及 4G 网络的 S1-U 接口链路。4.2.2 场景二:IDC出口指 IDC 连接省网/骨干网的出口,即 IDC 出口路由器与外部承载网络之间的链路。4.2.3 场景三:省网出口指省网到骨干网的出口,即省网汇接路由器与骨干网路由器之间的链路。4.2.4 场景四:省网网间出口指省网连接第三方网络的出口,即省网网间出口路由器与第三方网络之间的链路。4.2.5 场景五:骨干网网间出口指骨干网连接其他运营商网络的出口,即骨干网网间出口路由器与其他运营商网络之间的链路。4.3 复用方式
16、按照应用系统所需数据内容和格式的不同,DPI 复用分为四种方式,其中第一种复用可以由分光器复用来实现,后三种复用由 DPI 设备复用实现。统一 DPI 复用主要指后三种复用方式。4.3.1 方式一:分光复用(可选)指通过链路分光器或 DPI 设备分光功能,将光路信号完整的复制分发给应用系统。适用于系统特征库特殊,不易整合的应用系统。4.3.2 方式二:原始报文镜像复用指 DPI 设备将全部原始报文或者经过特定条件过滤后的部分原始报文复制分发给应用系统。适用于系统明确需要某种报文的应用系统。4.3.3 方式三:会话级数据复用指 DPI 设备分析记录流量的会话数据(XDR ) ,并将会话数据按指定
17、格式发送给应用系统。适用于以分析流量日志为主的应用系统。QB- -44.3.4 方式四:统计级数据复用指 DPI 设备统计流量的各项指标,并将统计结果发送给应用系统。适用于需要简单明确的统计指标的应用系统。5 设备结构5.1 设备结构图如图 5-1 所示,统一 DPI 设备通过直接串接或者分光并接的方式接入链路,设备由采集识别模块和分析统计模块组成,形式可以是集成在一个设备中的两个功能模块,或者是独立的两个设备。对于串接方式的统一 DPI 设备,要求增加 Bypass 保护,当串接设备发生故障时,可以切换到直通模式。图 5-1 统一 DPI 设备结构图5.2 模块功能描述(1) 识别控制模块识
18、别控制模块主要完成功能如下: 对链路流量的采集,以及流量中各种业务与协议的识别; 各种关键信息的提取与记录,如源 IP 地址、目的 IP 地址、源端口、目的端口、协议号等; 识别信息的上报; 原始数据镜像转发,可为每个目标镜像系统配置不同的镜像规则。 干扰措施的具体实施,对流量进行控制;(2) 分析统计模块分析统计模块主要完成功能如下: 配置消息的接收,可以接受来策略服务器或其他应用平台的管控策略、对象信息等; 负责标准格式流量日志的生成,并对其他应用系统进行日志提供; 完成基于识别控制模块识别结果上报信息的分析和统计,并生成统计报表呈现; 提供设备 WEB 的访问方式,为设备管理配置提供可操
19、作平台。5.3 接口描述统一DPI设备的接口,按照功能角色的不同,可以分为线路接口、复用接口、和配置接口。如图5-2所示。线路接口和复用接口可以在设备上固化为不同的物理接口,也可以将同一个物理接口灵活配置为线路接口或复用接口。但一个物理接口在同一时间只能配置为某一种接口角色,不能同时担任两种角色。QB- -5图5-2 统一DPI 接口示意图 线路接口负责链路流量的接收(串接和并接情况)和转发(仅串接情况) 。 复用接口复用接口指统一 DPI 设备和第三方应用系统间的接口,负责给应用系统提供所需数据。如图 5-3 所示,按照不同复用方式发送的数据内容,复用接口又可分为镜像接口(原始报文镜像复用)
20、 、会话数据接口(会话级数据复用) 、和统计数据接口(统计级数据复用) 。分 析 统 计 模 块识 别 控 制 模 块统 一 DPI设 备策 略 服 务器 第 三 方 应 用 系 统 镜 像 接 口会 话 数 据 接 口配 置 接 口 统 计 数 据 接 口图 5-3 复用接口 配置接口用于策略服务器给统一 DPI 设备下发策略、对象、特征库等信息,包括流量流向划分、识别特征库、控制策略等。策略服务器可由运营商统一设置,或由现有应用系统平台承担。6 设备功能要求6.1 识别功能(1) 能够对常见协议及业务进行识别。目前,应能够识别的协议、业务类型、与识别准确性详见中国移动数据流量 DPI 识别能力规范 ,识别种类应包括但不限于规范所列内容。(2) 设备的识别规则库可配置,能够接受通用规则库的下发,且自动加载为设备的识别规则库并生效。(3) 能够基于源 IP 地址、目的 IP 地址、源端口、目的端口、协议号五元素及其组合对流量进行识别。(4) 能根据 EXP、TOS、DSCP 等网络层及链路层特征字段对流量进行识别。(5) 能够自动识别、还原网络中的隧道协议(VLAN,PPPOE, MPLS,GRE, GTP 等)内封装的正常流量。(6) 能够对流量特征进行采集,并进行流识别(DFI)。流量特征包括:流的传输速率、数据包长度、流的持续时间、以及数据流总量等。
