网络架构革命运动掀起,应用流量识别的难度及对策

在网络的入口处对应用程序的识别是非常重要的,无论是网络安全产品,还是专业的流量分析引擎,应用流量的准确识别不但可洞悉整个网络的运行情况,而且可针对具体需求做用户行为的准确管控,这在一定程度上既可保证业务流的高效运行,也可预防由于内网中毒引起的断网事件。

在今天的商业社会中,随着信息技术的不断深入,企业和机构的IT系统日渐复杂,一方面,IT系统的运营、维护和管理的难度不断加大,成为企业的一种负担。另一方面,企业业务对IT系统的依赖性越来越强,IT已经成为很多业务流程的核心部分,甚至是某些业务赖以运行的基础。企业往往将业务的巩固发展乃至新业务的拓展寄望于IT系统。在这样的背景下,BSM业务流程管理)应运而生,其主要目标就是将IT系统的管理与业务目标紧密相联,不仅是追求IT运维的稳定高效,更是要让IT运维念好业务的”管理经”。

“智能化”已不再是手机的专有名词,网络架构同样也在走向“智能化”。转发层和控制层的分离实现了软硬件的分离和底层硬件的虚拟化,为网络的发展提供了一个良好的发展平台。因此SDN成为了网络的热门话题,而OpenFlow作为一个标准化SDN应用的协议也备受关注和推崇。Extreme
Networks产品和技术行销总监Darius
Goodall形象的将OpenFlow比喻成为未来网络的Android。

然而,要准确识别应用流量,从技术实现上讲并不简单,难度主要体现在识别的算法及检测深度。算法不但要解决流量的分类,而且要负责在多个分类中查找特征,所以最好的算法往往带来的是精确的识别;另一个就是检查数据的深度,深度总是和性能关联,检查的越多,消耗的系统资源越多。因此,检查一个流的前20个包所付出的性能代价往往是超乎想象的,这就是我们提到的识别难度。

回顾2011年IT运维管理市场,森保治也总结道,”四、五年以前,IT运维市场的需求多为桌面管理的需求,因此我们的桌面产品有较多的市场机会。而从2009年开始,用户对作业调度的需求比较旺盛,从销售表现看,日立JP1/AJS作业管理的业务突然扩大。2011年以来,客户需求基本上全部来自于作业管理自动化这部分。”这与IT运维市场的发展现状是高度契合的。

SDNs和OpenFlow是一个类似Linux的运动

对于识别方法来说,从技术角度看,检查一个应用特征主要有三种方法。第一种方法称为标准检测,主要靠识别报头信息的地址和端口,这种方法常见于做QoS的网关设备。第二种方法称为DPI深度包检测),这是业界常用的术语,绝大多数设备声称具有这样的技术,常见于”下一代内容检测系统”及UTM类设备。从理论上,数据流中每个报文的任意字段或数据流传输过程中的任何特征都可以作为应用协议识别的依据,但实际上,如何快速选择最有效的数据流特征信息的难度远远超过了您的想象。第三种方法称为解密检测方法,就是将数据流送入一个分类器,数据流被分类之后,将加密数据流送入一个解密引擎,解密引擎通过预置的解密算法对数据解密,解密后再次返回分类器进行检查。如天融信TopFlow就采用这种技术来识别加密数据,通过这种独有的技术,使得精确识别率能达到99%以上。

从行业用户横向比较来看,金融、电信行业IT成熟度比较高,IT对业务的支撑不可或缺。以用户为中心、体现差异化竞争的业务创新,更需要IT系统的支持,其中业务的流程化管理,迫切需要IT运维工具–基于作业流程管理的平台性解决方案提供辅助。去年一年,日立JP1改变满足用户的模式,将单一产品模块组合成为行业整体解决方案,开发出银行、证券、保险业三大解决方案,进行细分市场的精细化IT运维管理。

移动互联网、云计算以及物联网等应用驱动着数据中心的重大变革。随着应用的不断发展,网络带宽的需求提升,对数据中心提出了更多的要求,而传统的网络架构已经无法满足日益增长的需求。传统的数据中心面临着一场变革,而SDNs和OpenFlow的出现将会对其产生革命性的影响。“就像当初Linux的出现一样,SDNs和OpenFlow是一个类似Linux的运动。SDNs将成为网络的第三代代表。”Extreme
Networks企业营销资深总监DougWills认为。

当然,在我们介绍应用流量识别时有几个概念需要介绍:

信息通信系统是日立集团主营业务之一。作为日立集团信息通信领域的重要产品之一,日立JP1将充分发挥集团化优势,与集团内部其他事业部门展开合作互补、优化整合,进一步解决中国企业用户实际的IT运维管理需求。2012年,日立JP1总经理森保治先生也深切期望通过金融解决方案的不断完善、新产品的推出、更多合作伙伴的努力,能够提高客户满意度,最终实现日立与合作伙伴、客户之间的”共创、共享、共赢”,为中国社会的发展做出贡献。

那么什么是SDN呢?是由美国斯坦福大学cleanslate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。简单来说,SDN可以实现网络如电脑般可编程,可以创建易于管理的网络虚拟化层。而OpenFlow则是一个标准化SDN应用协议。

数据流:基于应用层协议识别的对象不能只是简单的检查单个报文,而是要将数据流作为一个整体来检测。因此,数据流是指在某个会话生命周期内,通过网络上一个检测节点的IP数据报文的集合。实际上,一个节点发送的数据流的所有属性是相同的。

SDN和OpenFlow技术在刚刚结束的拉斯韦加斯Interop活动里被认定为“网络最热门话题”,也是2012年6月13日-15日举办的东京国际网络通信展览会中高度传播与讨论话题。

数据流分类:利用数据流以及数据流中报文的某些信息,可将网络上的数据流进行分类,这种分类可加速应用流量的分类,如游戏应用数据流通常是小报文,而P2P流一般称为大报文。

利用OpenFlow和SDN,用户便可定制网络来满足本地需求,消除不必要的功能,创建虚拟的、隔离的网络。据DougWills介绍,移动运营商使用OpenFlow能降低30-50%的管理和服务成本。

数据流类别:数据流类别是一个大型网状结构的分类器,按照行为特征及签名进行归类。在数据流分类问题中,每个类别可能包含某些属性类似的多种协议,典型的如IE下载即包括了多个类别,有分块下载,有伪IE下载等,有另存单线程下载等,而协议识别必须对流进行更精细的分类,使得每个类别中的流只使用一种应用层协议。

虽然OpenFlow发展还处于早期阶段,但是在今年的前四个月,OpenFlow已经发放了1.0、1.2、1.3版本。DougWills透露,今年7月份将全部的Extreme
Networks设备中嵌入Open
Flow模块,到2013年第一季度整个软件将会启动发行。而且随着Open
Flow标准的制定,Extreme Networks还将每隔6个月对其操作系统进行更新升级。

协议识别:协议识别是指检测引擎根据协议特征,识别出网络数据流使用的应用层协议。

据了解,Extreme
Networks在中国的用户包括中国移动、中国联通运营商,7月份ExtremeNetworks所有设备中将嵌入OpenFlow模块,是否就意味着中国移动以及联通采用的设备中拥有Open
Flow技术?Doug Wills表示中国移动在实验室在采用Open
Flow软件进行工程释放,实验室将会持续使用该技术。据悉,越来越多的主流厂商开始部署Open
Flow网络架构,谷歌、雅虎、eBay等互联网巨头已经成功部署了Open Flow
SDN网络架构。Extreme已宣布了对Big Switch、日本NTT、及Nicira的Open
Flow控制器提供类似的支持。

应用协议特征字符串:特征字符串是协议归类的关键依据,字符串特征举例协议特征字符串

“Extreme
Networks对OpenFlow的部署十分积极,OpenFlow将成为未来网络的Android。”DariusGoodall表示,“我们希望可以打破思科在网络方面的垄断地位。”

ftp特征字符串acct、cwd、smnt、port;

事实上,就在最近CiscoLive2012大会上,思科公布了其SDN策略。思科CTO
Padmasree
Warrior表示,针对客户不同需求,思科将采取更广泛和深入多层次SDN策略。

smtp特征字符串HELO、EHLO、MAIL FROM:、RCPT TO:、VRFY、EXPN;

推类似AppStore应用商店

pop3特征字符串+OK、-ERR、APOP、TOP、UIDL;

据了解,Extreme
Networks还推出了类似AppStore应用商店,可以为用户提供免费的产品。就目前来说,Extreme
Networks免费提供了4个产品,分别是关于自动化网络管理器、身份管理器、移动运营商可实现应用程序加速的产品、网络分析工具。另外还有24个其他Extreme
Networks顾客开发的应用,包括移动运营商、数据中心企业。

发表评论

电子邮件地址不会被公开。 必填项已用*标注