中国移动数据流量DPI识别能力规范

1.引言1.1目的与意义本规范旨在明确中国移动对数据流量深度包检测（DPI）系统识别能力的技术要求，确保DPI系统能够精准、高效、全面地识别各类网络应用及业务流量，为网络运营管理、业务质量保障、用户体验优化、网络安全防护及精细化运营策略制定提供核心支撑。随着移动互联网的飞速发展和新兴业务的不断涌现，准确的流量识别是实现智能化网络管理的基础，对提升中国移动的核心竞争力具有至关重要的意义。1.2适用范围本规范适用于中国移动集团公司及各省、自治区、直辖市公司在公众移动通信网、宽带接入网等网络环境中部署和应用的DPI系统，涵盖对用户数据流量的识别、分析与报告等相关功能模块。规范所指的数据流量包括但不限于通过移动蜂窝网络（2G/3G/4G/5G）及固定宽带接入的IP数据分组。1.3规范性引用文件（此处可根据实际情况列出相关国家标准、行业标准及公司内部技术文件，例如：《YD/Txxxx-xxxx分组数据网流量识别技术要求》等。本规范发布时，所示引用文件的最新版本适用于本规范。）2.术语、定义和缩略语2.1术语和定义*数据流量（DataTraffic）：通过网络传输的数字化信息单元，通常以比特或字节为计量单位。*深度包检测（DeepPacketInspection,DPI）：一种基于数据包载荷内容、协议特征、应用层行为等多维度信息对网络流量进行分析和识别的技术。*识别准确率（RecognitionAccuracy）：DPI系统正确识别的流量占总待识别目标流量的百分比。*识别覆盖率（RecognitionCoverage）：DPI系统能够识别的业务类型或应用数量占已知相关业务类型或应用总量的比例。*业务类型（ServiceType）：具有相似业务特征和网络行为的一类应用的统称，如网页浏览、视频流媒体、即时通讯等。*应用（Application）：具体的网络服务或客户端程序，如特定的视频App、社交软件等。2.2缩略语*DPI:DeepPacketInspection(深度包检测)*IP:InternetProtocol(互联网协议)*TCP:TransmissionControlProtocol(传输控制协议)*UDP:UserDatagramProtocol(用户数据报协议)*URL:UniformResourceLocator(统一资源定位符)*QoS:QualityofService(服务质量)3.核心识别能力要求3.1基础信息识别DPI系统应能准确识别IP数据包的基础信息，包括但不限于：*源IP地址、目的IP地址*源端口号、目的端口号*传输层协议类型（TCP/UDP/ICMP等）*数据包长度、时间戳3.2业务类型识别DPI系统应对网络中常见及新兴的业务类型进行有效识别，主要包括以下类别，并应具备持续扩展能力：*网页浏览类：识别用户通过浏览器访问各类网站的流量。*视频流媒体类：识别各类在线视频播放、直播等业务流量，宜进一步区分不同清晰度（如标清、高清）的视频流。*音频/音乐类：识别在线音乐播放、网络电台等音频业务流量。*即时通讯类：识别各类即时聊天、社交互动应用的流量，宜区分文本、语音、视频通话等不同子业务类型。*网络游戏类：识别各类在线游戏客户端产生的流量，宜尽可能区分具体游戏名称或类型。*电子商务类：识别在线购物、支付、团购等电商平台相关流量。*云服务类：识别基于云计算的各类应用，如网盘、云协作、云桌面等流量。*P2P类：识别对等网络传输相关流量。*VoIP类：识别基于IP的语音通话业务流量。*其他新兴业务：针对市场上涌现的新应用、新业务，应能在合理周期内完成识别规则的更新与部署。3.3内容特征识别对于特定业务，DPI系统应具备一定的内容特征识别能力，以支撑更精细化的管理需求：*应用标识识别：能够识别特定应用的特征码、User-Agent等标识信息。*部分加密流量识别：对于采用加密传输的应用，应优先通过TLS握手信息、证书信息、应用行为特征等方式进行识别，在合规及用户授权前提下，探讨对特定加密流量的深度识别方案。*用户行为特征：在保障用户隐私和数据安全的前提下，可对特定应用内的用户行为模式进行分析识别（如浏览、搜索、评论、分享等）。3.4识别准确率与全面性*准确率：对于主流、已知特征的业务类型，其识别准确率应达到较高水平。对于新出现或特征变化的业务，应在更新识别规则后迅速提升准确率。*全面性：应覆盖当前网络中占比较大的各类主流应用及业务，并能及时响应新兴业务的识别需求。对于同一业务类型下的不同细分应用，宜尽可能区分。3.5识别实时性DPI系统应具备实时处理能力，对流量的识别时延应控制在合理范围内，确保识别结果能够及时应用于QoS保障、流量控制、安全防护等后续处理环节。4.识别技术与方法DPI系统应综合运用多种识别技术与方法，以提高识别的准确性和鲁棒性，包括但不限于：*基于端口的识别：作为基础辅助手段，但不应作为唯一依据。*基于协议特征的识别：分析特定应用层协议的格式、命令字、状态码等特征。*基于应用特征码的识别：通过提取应用特有的指纹信息（如特定字符串、二进制序列）进行精确匹配。*基于行为模式的识别：分析流量的连接建立方式、数据交互频率、报文长度分布等行为特征。*基于统计学与机器学习的辅助识别：对于复杂或加密流量，可采用先进的算法模型进行辅助判断和分类。*动态规则更新机制：具备灵活、高效的识别规则库更新能力，支持远程推送和本地配置，以快速响应新应用、新特征的识别需求。5.性能要求DPI系统在实现上述识别能力的同时，应满足以下性能要求：*处理能力：应能稳定承载其部署位置的最大预期流量，无丢包或显著性能下降。*低时延：对经过的数据包引入的额外时延应极小，不影响用户正常业务体验。*高并发：支持大量并发连接的同时识别。*资源占用：在满足性能要求的前提下，合理控制CPU、内存、存储等系统资源的占用。6.管理与维护要求6.1特征库管理*建立完善的特征库版本管理机制，记录特征库的更新历史。*特征库的更新应经过严格的测试验证，确保其准确性和兼容性，避免对现网业务造成负面影响。*具备特征库更新的审计能力。6.2配置与监控*提供便捷的配置界面，支持对识别规则、识别策略等进行灵活配置。*具备完善的系统运行状态监控功能，包括CPU、内存、流量、识别率等关键指标的实时监控与告警。6.3日志与报告*DPI系统应能生成详细的识别日志，记录识别结果及相关流量信息，日志应具备可追溯性。*应能根据管理需求，生成各类统计报表，如业务流量占比、TopN应用、识别准确率分析等。7.安全与隐私保护DPI系统在数据采集和分析过程中，必须严格遵守国家法律法规及公司相关规定，高度重视数据安全与用户隐私保护：*对采集的用户数据进行严格的脱敏和匿名化处理，避免泄露个人敏感信息。*建立严格的数据访问控制机制，确保只有授权人员方可接触敏感数据。*数据存储和传输过程中应采取加密等安全措施。*明确数据的使用范围和目的，不得用于与网络管理和服务优化无关的其他用途。*遵循数据生命周期管理要求，及时清理不再需要的数据。8.质量保障与评估*建立DPI识别能力的常态化评估机制，定期对识别准确率、覆盖率、漏报率、误报率等关键指标进行测试与评估。*可通过搭建测试环境、采集现网样本流量回放分