(报告出品方/作者:民生证券,吕伟)
1、网络可视化方兴未艾
网络可视化产品是基于 DPI 技术的流量监管体,网络可视化之于网络类似于 交管部门之于公路,主要功能是对网络数据进行监测、管理。网络可视化是指以 网络流量的采集与深度检测为基本手段,综合各种网络处理与信息处理技术,对 网络的物理链路、逻辑拓扑、运行质量、协议标准、流量信息、承载业务等进行 监测、识别、统计、展现、管控,进而大数据分析与挖掘,实现网络管理、信息 安全与商业智能的一类应用系统。网络可视化产品分为前端硬件和后端应用两大类。
1.1、“智能卫士”——基于DPI技术的前端产品
网络可视化前端主要是嵌入式计算机,主要负责数据的采集、处理和分流。 网络可视化前端主要是包含汇聚分流设备等硬件设备和分析处理平台、软件中间 件等软件模块的嵌入式计算机。前端产品主要负责对流经设备的流量进行采集、 处理(如过滤、标记、负载均衡)和分流,以浩瀚深度前端产品为例,数据通过 光切换设备、光模块、汇聚分流硬件等将数据进行采集和分流,使用 DPI 模块对 采集数据处理并记录 XDR 话单等数据供后端使用。
在前端产品的实部署中,以 DPI 作为核心技术,结合 DPI 模块落地检测引擎, 通过 DPI 特征库对数据进行分析与归纳等功能。 1) DPI 是前端产品核心技术,起到类似门卫的作用。汇聚分流设备将数据输 送给 DPI 模块,DPI 模块将使用检测引擎调用特征库对进行特征字符串匹 配,特征匹配成功的报文会进入防病毒等子业务模块进行后续处理,特征 匹配不成功的报文会顺利通过,DPI 模块通过检测引擎和特征库构建数据 通路的“智能门卫”,起到放行合规数据,过滤不良数据,记录处理过程 的作用。
2) DPI 检测引擎是实现 DPI 的核心,是公司业务经验和研发能力的综合体 现。DPI 检测引擎可能出现在入接口业务点、域间策略业务点或者出接口 业务点,是实现 DPI 功能的载体。DPI 检测引擎包括协议解析器、算法引 擎 和 结 果 处 理 三 个 模 块 , 其 中 算 法 引 擎 包 含 如 Aho-Crassick,Boyer,Moore 算法以及 PCRE 算法等,良好的算法选择可 以有效实现关键特征的快速查找匹配,提升查找效率,通常需要公司有丰 富的业务经验和扎实的研发实力。 3) DPI 特征库是实现 DPI 的基础。DPI 特征是由专业攻防团队对各类业务报文进行分析而归纳出的、具有特定格式的业务特征数据,特征库则是各 业务特征的集合。DPI 特征库包括官方公开的公用特征库以及自主研发的 专用特征库,按内容分类可分成 PS 特征库、URL 分类特征库、APR 特征 库、防病毒特征库、IP 信誉特征库、URL 信誉特征库和域名信誉特征库 等。
1.2、数据管家——数据分析与解读的后端应用
后端应用主要以软件形态为主,主要负责数据的分析应用。后端产品主要包 含还原解析子、存储子等基础系统以及下游各类应用,主要负责对前端产品处理 结果的分析应用。以数据合成和内容还原系统为例,后端产品不仅可以接收和分 析前端数据,如链路流量信息,链路业务组分信息,网站排名,网站流量等,还可以基于前端数据还原 HTTP、邮件、FTP 等协议承载传输的图片或应用程序,生 成网络日志、样本文件或图片。
前端产品通过对特征库的汇总,为后端应用归纳总结出四种类型格式。根据 中移动文献,前端处理结果主要分为四种类型: 1)对于系统特征库特殊、不易整合的应用系统,可通过网路分光器或前端分 光功能,将光路信号完整地复制分发给后端应用;2)对于明确需要某种报文的系统,前端设备将全部原始报文或者经过特定条 件过滤后的部分原始报文复制分发给后端应用; 3)对于以分析流量日志为主的应用,前端产品分析记录流量的关键信息形成XDR(Xdatadecording)话单,并将会话数据按指定格式发送给后端应用;4)对于需要简单明确的统计指标的应用系统,前端设备统计流量的各项指标,并将统计结果发送给后端应用。
后端产品主要发展方向是为网络优化与运营维护、信息安全和大数据运营。 其中,网络优化与运行维护代表了网络可视化的最初需求,监控的重点是网络的 使用运行情况;信息安全重点是从流量的内容和特征中发现并识别安全威胁,从 而进行管控和防范;大数据运营目的是从网络流量中提取的海量数据具有潜在的 巨大价值,是网络所有者或运营方的重要数据资产,重要性正逐渐被发掘。
