绿网采用英特尔® TADK 提供基于 AI 的智能 DPI 检测方案

绿网采用英特尔® TADK 提供基于 AI 的智能 DPI 检测方案

  • 武汉绿色网络信息服务有限责任公司推出了基于英特尔® 流量分析开发工具套件(英特尔® TADK)的网络流量分析解决方案。该方案一站式地提供了针对加密流量的实时流量特征提取、学习建模、在线推断等功能,能够保障高性能的报文处理,实现高效的智能识别和智能控制能力。

author-image

作者

概述

作为运营商进行业务监控的一种技术手段,深度报文检测(DPI)能够对网络关键点的流量和报文内容进行检测分析,提供业务精细化识别、业务流量流向分析、业务流量占比统计等能力。这些能力能够支持运营商开展服务差异化、计费多样化和营销精细化工作,据此为客户提供增值业务,同时支撑数据分析、知识发现等应用。随着网络加密趋势的发展,网络明文流量特征越来越少,传统的根据特征字识别协议和应用的方法能够解决的问题越来越有限,基于人工智能(AI)的网络流量分析成为运营商的一个重要方案选择。

为了向用户提供智能、高效的网络流量分析能力,武汉绿色网络信息服务有限责任公司(以下简称:绿网)推出了基于英特尔® 流量分析开发工具套件(英特尔® TADK) 的网络流量分析解决方案。该方案一站式地提供了针对加密流量的实时流量特征提取、学习建模、在线推断等功能,能够保障高性能的报文处理,实现高效的智能识别和智能控制能力。方案同时能够将网络数据转换为结构化表单数据(XDR),供上层平台进行大数据联动分析,为网络运维、网络安全、信息安全、网络规划和市场经营等工作提供强有力的支撑。

在 DPI 产品中融合 AI 能力之后,我们很好地解决了加密流量的分析问题,但随之而来的是 AI 应用带来的巨大性能消耗。为此,我们采用了英特尔的 TADK 方案, 该方案支持我们一站式解决加密流量的特征提取、学习建模、在线推断等问题,加速 AI 性能,这让我们能够为用户提供更高效的 DPI 分析能力支撑。”

—程波,绿网研发经理

背景:DPI+AI 的性能挑战

伴随着数字化转型进程的推进,网络运营商的业务类型正在变得日益复杂化,网络流量规模也在不断增长,凸显出运营商对流量进行精细化分析与管理的必要性。如果缺乏精细化的流量分析能力,运营商将缺乏对于上层应用的感知,难以满足服务差异化、计费多样化、营销精细化以及创新型增值业务拓展等需求。为解决这些问题,运营商开始引入 DPI 技术来提高网络对报文应用信息的感知能力。

DPI 是一种基于应用层的流量检测和控制技术,当 IP 数据包、TCP 或 UDP 数据流通过 DPI 系统时,该系统通过深入读取 IP 包载荷的内容来对 OSI 七层协议中的应用层信息进行识别和解析,然后按照系统定义的策略对流量进行操作。DPI 除了对 4 层以下的基础信息进行分析外,还增加了应用层分析,能够识别各种应用及其内容。此外, DPI 还可以通过 RADIUS 属性和 IMSI 属性及 IP 地址等信息来识别用户,通过 “包分析” 和 “流分析” 来识别应用,将其进行组合,识别用户行为并根据策略进行控制。

随着以 HTTPs(Hyper Text Transfer Protocol over Secure Socket Layer)为代表的加密互联网协议的普及,运营商网络中的加密流量出现快速增长。统计数据显示,目前全球使用 HTTPs 加密的 Web 流量比例已经接近全部。对于很多应用而言,传统 DPI 方案很难从加密流量的报文载荷特征中直接获取信息,从而对流量进行分类。基于这种情况,DPI 必须寻找新的方法来完成协议分类的任务。其中一种思路是:在流量加密的情况下,报文虽然大量丢失了载荷特征,但仍然保留了包长度、包时间间隔等统计学意义上的特征。通过分析这些特征来对流量进行分类,是面临全面加密时代到来的一种尝试。

在此背景下,基于机器学习的网络流量分析方案应运而生。这种方式能够通过机器学习算法,利用采集的数据样本,针对目标协议生成相应的模型文件,以便设备在线运行时能够根据当前的报文特征判断出正确的应用类型。
但同时,这种方案也意味着如下挑战: 
 

  • 如何针对加密流量建立新的处理模型:传统处理模型通常基于非加密流量,无法应对加密流量的需求,难以判断出不同应用的行为模式。
  • 如何选择合适的特征和机器学习算法:特征设计与算法是基于机器学习的 DPI 方案的构建重点之一,需要经过专门的开发,会对分类准确性、误警率带来较大的影响。
  • 如何提升性能表现:基于机器学习的网络流量分析方案额外增加了大量的特征学习等负载,会带来较大的性能开销,导致 CPU 负载显著提升,增加系统的整体性能压力。

解决方案:基于英特尔® TADK 的绿网固网 DPI 解决方案

绿网固网 DPI

绿网固网 DPI 解决方案主要包括采集、数据处理以及应用分析三大部分,提供智能识别和智能控制功能,并能够将网络数据转换为结构化表单数据,供上层平台进行大数据联动分析,为网络运维、网络安全、信息安全、网络规划、市场经营提供强有力的支撑。绿网固网 DPI 解决方案架构如图 1 所示,其中应用层负责统一进行应用孵化,提升数据价值;数据层提供统一数据存储,充分发挥大数据价值;采集层指 DPI 设备,包含前置机和分析机, 负责采集流量数据。

图 1. 绿网固网 DPI 解决方案架构

采集机是 DPI 系统中最核心的设备。绿网 DPI 采集设备基于分光器、网络设备直连等方式,从网络设备获取链路流量,从 AAA 系统获取用户属性、用户接入上下线信息、计费信息等,经过协议转换、协议识别、用户信息采集识别、特定流量采集识别等功能,实现对用户、业务和流量的全面综合识别,并基于管理策略对规定颗粒度的应用或用户(组)进行流量管理。绿网固网 DPI 产品分析获得的数据信息还可提供给市场、服务、运维等部门, 支持其他应用系统的调用。

采集机负责从网络链路采集数据流量,按照全局策略模块下发的流量过滤原则和协议特征库,经过协议转换、协议识别、流量过滤和汇聚等功能,提供分析模块所需要的原始流量,根据分析模块或全局业务管理制定的控制原则对流量实施控制,同时根据大数据挖掘模块的流信息采集规范向此模块输出定制流量。

DPI 采集设备对性能要求非常高,主要用于流量的线速转发、协议识别、指定规则下的流量采集以及流量镜像功能。这些功能对实时性要求很高,必须通过实时性分析,或依赖于实时处理的控制任务等必须在前置机完成。

为了应对加密流量快速增长所带来的流量分析难题,绿网固网 DPI 方案引入了 AI 技术,旨在通过机器学习模型学习网络流量的拓扑特征,并对网络流量进行分类。AI 技术虽然能补强 DPI 的功能,但对性能影响也较大,尤其是在电信级大流量用户面报文处理的场景下,如果未经过优化,直接使用 AI 技术会造成较大的性能下降。为此,绿网固网 DPI 方案尝试通过引入英特尔® TADK 开发工具套件来优化 AI 性能。


英特尔® TADK 开发工具套件

英特尔® TADK 是一组利用人工智能加速技术优化网络应用的库和工具,涵盖了典型的端到端利用人工智能/机器学习进行网络流量分析的流水线。TADK 采用模块化设计,支持自定义扩展,且支持特定于客户的库在整个流水线中的使用。TADK 还包括示例开源应用程序集成(NGINX、FD.io VPP、ModSecurity)以及专注于流量分类和 Web 应用程序防火墙用例的样本训练模型。

英特尔® TADK 架构如图 2 所示,其包括如下关键组件:

    网络流特征提取库(Flow Feature Extraction Library, FFE-L) 
可配置和可扩展的库,用于获取有关网络流中发生的事件的数据和信息,包括数据包特征(涵盖数据包长度、数据包直方图、长度序列、IP 到达时间数据包),协议特性(涵盖数据包数据的关键字段,如 TLS 密码套件、SNI、DNS 名称/ 地址、HTTP URI 和标头),词袋提取功能(数据包数据中字符串字段的词元分析)。

    词元分析器(Lexical Parser,Tokenizer) 
基于确定性有限自动机(DFA)的词元分析器。DFA 编译器采用配置文件/字典来生成运行时 DFA 引擎,现在可以支持 SQL、HTML5 和 Java Script 词元分析器。

    流表管理(Flow Classifier) 
采用双向流分类五元组和流表管理,以及基于时间轮的流老化机制。

    协议检测(Protocol Detection) 
协议解析器(libproto_proc.so)可以检测和解析的协议包括:IPv4、UDP、TCP、HTTP、TLS、QUIC 和 DNS。

    人工智能引擎(AI/ML Engine) 
英特尔® oneAPI 数据分析库(oneDAL)是一个强大的机器学习库,有助于加快大数据分析。TADK 封装了英特尔 oneDAL 库并使用其随机森林算法来构建人工智能引擎。

    DPI 引擎
DPI 引擎可以从 TLS 流量中获取 SNI 字段并通过匹配规则集来识别流量类型。

图 2. 英特尔® TADK 开发工具套件架构

绿网采用英特尔® TADK 开发工具套件优化固网 DPI 性能

为了优化固网 DPI 产品的 AI 性能,对加密流量进行更加高效的采集、处理与分析,绿网采用了英特尔® TADK。加入 TADK 之后的固网 DPI 处理流程如图 3 所示,TADK 部署于业务接入单元,负责加速流/报文/日志等流量信息的提取。

图 3. 绿网固网 DPI 处理流程图

在离线训练层面,英特尔® TADK 支持基于流的业务分类。对目标应用离线采样后,对每个流打上业务类型标签,之后利用 TADK 提供的离线训练工具生成模型。TADK 的网络流特征提取库(FFE-L)模块可以针对报文提取一组丰富的特征,将该组特征和相应的标签送入到英特尔机器学习框架 oneDAL 中,选取合适的算法进行调试,即可输出一个业务分类模型。算法会从特征集中选取一个合适的特征子集作为最终的模型特征。训练方法如图 4 所示。

图 4. TADK 离线训练方法示意图

在线推断阶段,DPI 在收到用户面报文后,首先会经过一个流过滤器。该过滤器会尝试进行分流处理,将能通过传统方式进行分类的流导入到 DPI 分类引擎,而将需要通过机器学习方法才能分类的流导入到英特尔® TADK 的在线处理模块。TADK 的在线处理模块会在系统初始化时加载离线训练时得到的模型文件, 并通过网络流特征提取库(FFE-L)模块对收到的用户面报文进行流管理,提取流特征,进而通过在线推断模块,结合初始化时加载的机器学习模型,对每个流进行推断,最后按流输出推断结果。

绿网还利用英特尔® 至强® 可扩展处理器的特性进行性能优化。英特尔® TADK 开发工具套件基于支持英特尔® AVX-512 指令集的英特尔® 至强® 可扩展处理器进行实时流量特征提取。英特尔® 至强® 可扩展处理器不仅拥有强大的通用计算能力,还集成了增强单指令多数据流(Single Instruction Multiple Data,SIMD) 的英特尔® AVX-512 指令集等创新技术,实现了对于通用计算能力和并行计算能力的兼顾。相较于前一代 AVX2 指令集扩展, 英特尔® AVX-512 在数据寄存器宽度、数量以及 FMA 单元的宽度上都增加了一倍1 2,大大提升了指令的吞吐能力,能够更好地应对 AI 应用所带来的性能压力。

效果:英特尔® TADK 助力绿网固网 DPI 解决方案实现精准识别

为了验证英特尔® TADK 的性能,绿网针对 Instagram、mail_ru、okru、抖音、VKontakte、微信和 Youtube 七个分类模型进行准确性测试。在测试开始前,绿网首先利用英特尔® TADK 离线训练工具,生成七个分类模型,并准备好对应的 Instagram、mail_ru、okru、抖音、VKontakte、微信和 Youtube 样例报文。

测试步骤主要分为三步:

1.    将模型文件加载到绿网 DPI 引擎;
2.    分别将 Instagram、mail_ru、okru、抖音、VKontakte、微信和 Youtube 的报文送入引擎,记录性能数据;
3.    取测试结果的平均值,作为 Instagram、mail_ru、okru、抖音、VKontakte、微信和 Youtube 七个分类模型的性能数据。

根据模型预测结果,绘制相应的混淆矩阵,对角线为测试正确的个数。从图中每行可以看出,Instagram 和 mail_ru 的所有报文均被正确分类,无错报;okru 有 4 个报文被错报,其中有 3 个被错报识别为 VKontakte,1 个被错报识别为 mail_ru:抖音有 1 个报文被漏报,有 1 个报文被错报,被错报识别为 Youtube;VKontakte 有 1 个报文被错报,被错报识别为 Youtube。微信有 3 个报文被漏报;Youtube 有 10 个报文被错报,被错报识别为微信,6 个被漏报。整体分类准确率达到 96% 以上,能够满足实际应用的需求。3 4

图 5. 七种模型的混淆矩阵4

收益:提供高效的智能 DPI 分析能力

英特尔® TADK 开发工具套件基于支持英特尔® AVX-512 指令集的英特尔® 至强® 可扩展处理器和英特尔® oneDAL 机器学习库,一站式地提供了针对加密流量的特征提取、学习建模、在线推断等功能,并能保障高性能的报文处理。通过采用该套件,绿网显著提升了固网 DPI 中 AI 应用的性能水平。

整体来看,该方案为运营商客户提供了如下价值: 

•    充分挖掘各类流量数据的价值: 
该方案支持以 AI 的方式对于加密、非加密流量进行更加深入的分析,提供相应的数据洞察,为网络运维、网络安全、信息安全、网络规划、市场经营提供强有力的支撑。

•    保障高性能的报文处理: 
通过该方案,运营商能够在无需对硬件基础设施进行重构的前提下,提升报文处理的性能表现,更有效地应对数字经济发展所带来的流量暴增的压力。

•    降低 DPI 系统的总体拥有成本(TCO): 
该方案提供了一种软件优化方案,支持运营商以更经济的方式来提升 DPI 系统的性能,从而有效降低了传统方案在扩展性能过程中所带来的硬件采购、运维、能耗等方面的成本。

展望

得益于英特尔® TADK 提供的 AI 加速能力,绿网固网 DPI 方案能够高效采集网络数据,将业务流量数据以原始话单的方式保存,并建立 AI 数据分析模型,采用实时/离线的分析方式,实现海量用户上网数据的处理和挖掘,最终形成能够指导运营商进行网络建设、生产经营的各种数据结果,可协助运营商对网络实现可视、可管、可控、可增值。

英特尔将与绿网等合作伙伴合作,进一步推动 CPU、iGPU 和 FPGA 等异构算力产品在运营商行业的应用。同时英特尔也提供统一跨平台编程框架英特尔® OneAPI,以及英特尔® TADK 等软件工具,帮助电信运营商充分发挥各种异构算力产品的性能优势。同时,英特尔也在推动可编程网络产品在算力网络建设中的应用,助力运营商实现一体化服务的新型信息基础设施。

关于绿网

武汉绿色网络信息服务有限责任公司创立于 2003 年。秉承 “因为专注,所以强大” 的理念,公司致力于成为电信级网络和安全设备及解决方案的领导者。公司专注于 DPI、大数据、网络信息安全、边缘智能等领域,为运营商及其他政企客户提供电信级应用层网络设备解决方案。产品覆盖光纤宽带网络、移动网络、VoLTE 和物联网。



关于英特尔

英特尔(NASDAQ: INTC)作为行业引领者,创造改变世界的技术,推动全球进步并让生活丰富多彩。在摩尔定律的启迪下,我们不断致力于推进半导体设计与制造,帮助我们的客户应对最重大的挑战。通过将智能融入云、网络、边缘和各种计算设备,我们释放数据潜能,助力商业和社会变得更美好。如需了解英特尔创新的更多信息,请访问英特尔中国新闻中心 newsroom.intel.cn 以及官方网站 intel.cn