业务识别(共8篇)
业务识别 篇1
财务公司是企业集团进行资金管理的专业化金融机构, 为成员单位提供高效优质的金融服务和强有力的资本支持。企业集团成员之间或与集团外部企业开展经济往来时, 一般由财务公司集中办理资金清算活动, 因此, 结算业务就成为财务公司现阶段的基础核心业务。结算风险的管控直接影响到财务公司的资金服务质量, 甄别结算业务流程中的重要风险, 并采取针对性措施加以防范, 能够进一步完善财务公司的支付结算体系, 提升其在企业集团中的战略地位。
一、财务公司支付结算体系
(一) 结算模式
为满足集团公司财务集约化的总要求, 针对不同性质及类别的资金集中管理需求, 财务公司主要配备三种结算模式, 即银行资金池结算、代理结算和内部结算。银行资金池结算模式是指财务公司利用商业银行的资金池产品 (多级账户资金实时联动功能) , 搭建财务公司作为资金池一级账户, 集团成员单位为二、三级账户的结算体系, 形成以“集团成员单位—财务公司—合作银行”为直连通道的结算模式, 实时归集各账户余额, 实现最大程度地资金集中, 同时, 财务公司依靠银行提供的各账户交易明细, 全面掌握成员单位的账户收支信息, 核算其资金收付业务。代理结算模式是指集团成员单位在财务公司开立内部账户, 由财务公司在商业银行开立结算账户为成员单位办理各类款项收付业务的结算模式。内部结算模式是指在财务公司开立结算账户的集团成员单位之间, 由于商品交易、劳务供应等形成货币结算关系, 通过财务公司办理代收代付, 进行集团内部资金汇划的结算业务。
(二) 结算账户管理
集团资金存放于结算账户中, 因此, 实现资金集中管理的前提, 是实现集团账户的集中管理。根据不同的结算模式, 财务公司的账户管理系统可分为两大部分, 即外部银行账户和内部结算账户。对于外部银行账户来说, 成员单位的账户作为二、三级账户, 与财务公司在合作银行开立的一级总账户实现联动, 相关账户交易明细通过“银企直连”等渠道传递到财务公司。而成员单位开立的内部结算账户则直接受到财务公司的监控和管理。由此, 通过财务公司这一账户管理中心, 集团公司既能准确掌握成员单位的资金状况和存量资金分布, 还能动态监控流量资金的运行方向和特点, 从而有利于集团公司及时、准确、高效地掌握集团整体资金状况, 有利于控制风险, 作出合理决策。
(三) 结算业务类型
碍于相关金融政策的局限性, 相对商业银行来说, 财务公司面向成员单位可开办的结算业务类型较少, 常见的主要有票据 (包括支票、汇票等) 、汇兑、委托收款等。票据和汇兑是由付款人向财务公司提供付款凭证, 财务公司按付款凭证的要求办理转账支付;委托收款则是由财务公司按收款人出具的凭证办理付款。
(四) 主要业务处理方式
根据不同类型的结算模式, 可将财务公司主要的业务处理方式分为代理结算和经银行办理的收付业务。代理结算是指以财务公司作为集团成员单位和银行之间的媒介, 集团成员单位不直接面向银行, 由财务公司代表集团成员单位与银行办理具体款项收付业务。由于财务公司无法取得清算行号, 所有业务开展均需依托银行进行。经银行办理的收付业务, 可分为提出收付业务和提入收付业务。提出收付业务是指成员单位以票据或电子指令的形式向财务公司及其分支机构发出收付款指令, 财务公司受理后依托银行完成款项收支。提入收付业务, 是由成员单位的资金结算对象主动发起收支业务, 通过银行间清算提交到财务公司的开户银行, 财务公司再根据银行受理后传递的票据协助成员单位完成收支业务。
二、财务公司与商业银行结算业务对比分析
(一) 财务公司较商业银行结算的不足
财务公司是伴随着企业集团的发展而发展的, 与成熟的商业银行相比存在着明显的先天不足。一是没有联行清算号。商业银行直接参与人民银行的支付清算体系, 利用人民币现代化支付系统等电子支付手段能高效地开展支付结算业务。财务公司没有联行清算号, 不得不依靠商业银行来满足成员单位的对外支付结算需求, 必然影响其结算业务的高效处理。二是分支机构少。由于政策限制, 绝大部分财务公司没有分支机构, 只有某些大型集团设立地区性的分支机构, 但一般商业银行都拥有广泛的营业网点, 相较之下, 财务公司所能提供的结算服务质量自然无法相提并论。三是支付结算系统不成熟。商业银行面向社会公众开展的结算业务更为丰富, 逐渐形成了一套成熟的业务系统来完成高效率的资金划转。商业银行的支付结算系统还与账户管理系统、信贷咨询系统、现金管理系统以及其他各大商业银行核算系统等实现对接, 而财务公司的支付结算系统仍处于发展完善阶段, 其成熟度有限, 结算业务的处理效率也远不及商业银行。
(二) 财务公司结算业务优势
作为企业集团内部专业化的金融机构, 财务公司在开展结算业务时同样存在着商业银行所无法比拟的优势。一是业务对象熟悉度高。财务公司直接面对成员单位并办理结算, 成员单位对其依赖性更强, 且财务公司更了解集团公司的资金运作情况, 可以为成员单位提供针对性更强的专业服务, 财务公司与客户业务人员更加熟悉, 能够有效地发现支付结算过程中的各项风险。二是衔接各商业银行高效结算服务。财务公司建立了连接集团成员单位与商业银行之间的通道, 可以集中各商业银行优势为成员单位提供结算服务。三是内部转账优势。集团成员单位的内部交易、资金往来之间可以通过财务公司直接实现内部转账, 节约成员单位的转账成本。四是账户管理成本低。成员单位在财务公司开设账户可归集多家商业银行账户, 大大降低其账户管理成本。
三、财务公司结算业务流程风险识别
(一) 财务公司结算业务风险分类
具体如下: (1) 账户管理风险。客户开立的账户是财务公司资金结算的节点, 也是风险的重要监控点。账户管理包括开立、对账和销户三个环节, 相应的风险也随之产生, 主要体现在:一是开户风险。客户提交的开户资料不全或不符合规定, 业务人员未经审查即予以开户的风险;二是对账风险。因舞弊或交易信息记录时差问题导致银行提供的对账单与内部账户余额显示不一致的情况;三是销户风险。注销内部账户时, 账户余额清理及利息的支付结算问题。 (2) 结算票据风险。目前, 大多数财务公司的日常支付结算还是以票据为载体, 其主要风险在于:伪造、变造支票及签章。票据审查主要依靠手工进行, 营业接柜通过折角验印的方式, 人工判断审查付款人签章与预留印鉴是否一致, 有时可能存在不能辨别真伪的情况, 这就存在一定的漏洞;伪造内部结算凭证。由于内部结算凭证由财务公司自行印制, 防伪手段不如商业银行, 可能接收到虚假的结算凭证, 产生资金支付风险;票据传递不当。财务公司与银行之间, 财务公司内部岗位之间票据未做好交接, 造成票据遗失。 (3) 业务操作风险。业务操作风险是指由于内部管理不充分, 员工操作失当而引起的支付风险, 可能表现为内部结算人员为获得额外的利益而故意违规操作或者是偶然无意的操作失误。目前财务公司的业务操作风险主要来自两个方面:一是内控制度和业务操作流程的完整及是否被有效执行;二是业务操作人员的责任心和业务素质。由于财务公司每天要完成的业务笔数和金额都较大, 故应对业务操作风险加以重点关注。 (4) 结算监督风险。由于结算业务操作一般在前台完成, 资金划转速度快、覆盖面大, 结算监督的事后控制显得有些滞后。同时, 事中控制的执行到位与否都影响到结算监督的效果。 (5) 信息系统风险。随着电算化的逐步推广, 信息管理系统的安全已经成为财务公司需要重点关注的内容之一, 其风险可能存在于:系统访问。无权限员工或计算机终端遭受黑客攻击, 登陆系统获取交易数据, 甚至篡改、编造业务信息;系统维护。发生紧急情况或专业性问题, 运维人员如不能及时进行处理, 会直接影响营业部的结算进度和数据安全, 带来很大的隐患。
(二) 财务公司结算业务风险重点
按照业务处理方式的不同, 针对风险事件发生的概率甄选出高风险类业务作为重点进行风险监控, 从而提高财务结算业务的风险管理效率。 (1) 账户管理业务。尽管财务公司的客户局限于集团内部成员单位, 账户数量有限, 但由于与成员单位之间存在着天然的纽带关系, 使得财务公司员工在账户管理过程中可能出现舞弊现象。高效有序的账户管理是结算业务顺利开展的重要前提, 防范和监控财务公司的结算风险, 就需要对其账户管理加以重视。 (2) 经银行办理的收付业务。财务公司结算业务部门日常处理最频繁的业务主要集中在内部转账和经银行办理的收付业务上, 内部转账业务因其封闭性一般风险发生率低, 而经银行办理的提出收付业务也随着电子支付系统的的推广与自动支付功能的应用使其操作风险大大降低, 因此, 主要风险控制点就落在经银行办理的提入收付业务上。财务公司需要根据银行受理后传递过来的票据协助成员单位完成收支业务, 目前业务人员完全依靠手工进行处理, 即人工验票后手工录入系统, 这就面临着极大的票据风险和业务操作风险。
四、财务公司结算业务风险防范措施
(一) 建立商业银行提入业务信息接收系统
财务公司主要结算业务的开展不得不依托商业银行完成, 但财务公司也同样可以充分利用商业银行成熟的业务处理系统以求降低自身的结算风险。比如, 目前商业银行已经实现纸质票据电子信息的采集及直接导入业务系统的功能, 财务公司便可考虑与商业银行建立合作, 由业务系统直接接收票据的电子信息并自动生成相关凭证。该方案最大限度地降低了人工操作风险及票据风险, 也有助于提高财务公司结算业务的处理效率。
(二) 严控结算票据风险, 提高现有验票手段
目前, 大多数财务公司采用折角验印方式对票据印鉴的真伪进行识别, 验票技术仍停留在初始阶段, 这直接影响到财务公司的资金安全问题。而商业银行早已采取电子验印系统来消除类似隐患, 利用计算机技术能够快速准确地给出待测印鉴的真伪结论。财务公司可直接引进该系统, 但考虑到成本问题, 也可与银行合作委托其完成票据的验印工作。
(三) 充分利用后台稽核、监测手段, 提高稽核监测效果
财务公司后台稽核人员有限, 无法逐一审核每笔业务交易, 可通过在现有业务系统中设置稽核系统以及监测预警参数进行风险管控。具体操作是在稽核系统中设置参数、预埋模型, 由系统根据模型自动批量处理, 过滤业务流水, 筛选出需要稽核的业务, 再由稽核人员调阅交易凭证进行重点审核。在设置模型参数时, 可选择交易金额、挂账时间、重点关注账号、交易发生频率等作为建模的依据, 但要确定一个合理的预警值, 过低容易影响稽核效率, 加大核查工作量;过高则使稽核失去了实际意义。同时, 结算部门应充分利用稽核、监测结果, 对发现的问题按严重程度进行分类, 如区别为规范类问题、关注类问题, 定期反馈给主管。同时对问题进行分析, 找出症结所在, 从中发现结算业务处理中不足的方面加以整改。
(四) 提高业务人员素质, 加强员工队伍建设
结算风险存在于财务公司支付结算的各个环节中, 业务人员必须充分认识到防范结算风险的重要性、艰巨性和紧迫性, 提高风险防范意识, 从思想上和措施上构筑严密防线。主要表现在: (1) 经常开展法纪法规教育, 树立员工依法经营观念, 强化规章制度的约束力, 使业务人员能够自觉运用法律、法规、法纪来规范自己的行为, 防患于未然。 (2) 经常进行岗位培训, 形成良好的业务学习风气, 同时通过对典型案例的分析, 宣传反假、防骗知识, 使结算业务人员在增强风险防范意识的同时, 提高识别伪造、变造票据的能力。 (3) 对结算业务部门人员要执行严格的上岗前审查和上岗后的考核, 实行动态管理, 执行岗位轮换制度。由于结算人员多为公司的新进员工, 缺乏一定的工作经验, 因此应在岗位培训上加大力度, 实行岗前培训。
(4) 充实办理结算业务的员工配备, 确定结算专职人员, 严格实行岗位责任制, 各岗位职务应完全分离, 避免出现一人兼任多岗的情况。
参考文献
[1]曹桂春、王玫:《企业集团财务公司结算模式选择刍议》, 《财会通讯 (综合) 》2007年第7期。
业务识别 篇2
信贷业务是国有商业银行的核心业务和主要经营效益来源,大多经历了受理、调查评估、审查审批、贷款发放和贷后管理等过程,但由于它们在执行过程中受到诸多因素的干扰而面临着许多不可忽视的阶段性操作风险,致使国有商业银行信贷资产可能遭受损失。操作风险是一种只会给银行的信贷资产带来损失而没有盈利可能性存在的纯粹风险,所致损失是绝对的,覆盖于信贷业务的全过程。
人员操作风险
根据巴塞尔银行监管委员会对国际活跃银行操作风险统计结果来看,约有87.94%的风险事件与人员有关。国有商业银行的员工拥有不同的知识结构、业务技能、文化背景和道德基础,尽管在人员招聘时严格把好人员入口关,尽量聘请综合素质好,专业技能高的人才,且在后期培训考核阶段加强对专业技能的系统培训,做好员工职业道德教育,但人员操作风险的还是不可避免地产生。例如,部分信贷人员故意违背商业银行内部管理的制度和操作流程参与拟造虚假报告,配合客户隐瞒重要信息以图谋私利,使得问题客户顺利进入审批程序,造成内部欺诈问题;部分管理人员尤其是拥有贷款决定权的银行经理人秉持错误的经营理念,过分追求市场份额、市场利润、资产规模等指标的满意度来展现自身业绩,常利用手中掌握的信贷资金配置特权设租、寻租,从而增大了信贷操作风险。
流程风险
国有商业银行的信贷业务是由多个环节共同完成的,往往经历了受理、调查评估、审查审批、贷款发放和贷后管理等流程,而它们在执行过程中常常受到诸多因素的干扰产生风险隐患。在受理阶段,虽然国有商业银行明文规定应对客户申请材料的真实性和有效性进行初步审查,但在实际操作中,客户经理往往只是象征性地关注申请材料的完整性、规范性,对材料审查走个过场,而对真实性和有效性的审查力度欠佳,这就很容易让客户有欺诈的机会。在调查评估阶段,国有商业银行实际操作中往往侧重于对贷款申请人基本情况的调查,如客户的经营现状和贷款担保情况等,而对贷款投资项目如项目市场前景、获利水平、投资风险等的调查则不够全面和深入,对于客户所在行业、国家产业政策等的调查更是停留于表面或视而不见。如此一来,容易产生信息不对称及内控不到位导致的操作风险。在关键性的审查审批阶段,审批人员是否能对主要风险点进行全面审查,能否如实对调查人员提供的资料进行把关,这些都是信贷业务操作风险的可疑点。而其主要影响因素则有赖于审批人员的业务能力、业务素质与职业道德,有赖于审查人员对贷款的潜在风险的经验判断能力。在贷款发放阶段,能否对合同和贷款手续等要件进行审核待核准后发放贷款,能否视企业的动态变化灵活调节贷款的发放,这些也是信贷业务流程中可能产生的操作风险点。最后,在贷后管理阶段,操作风险的产生往往表现出以下三个特点。第一,在对贷款直接用途进行贷后跟踪调查时,实际操作中客户经理在企业风险量变的过程中往往无法发现风险,待企业风险发生质变造成的损失已不可弥补了才被动知道。第二,虽然商业银行明确贷后管理实现分工负责与部门合作制度,但在执行过程中,由于前台业务部门过多的营销任务,而往往忽视了贷后管理工作。第三,未按规定时间和内容对贷款使用情况进行监督,导致流动资金贷款被长期使用,项目贷款被挤占挪用,个别贷款合同诉讼时效已过,担保人已逐步丧失担保能力或抵押品大幅贬值,导致银行错过最佳收贷时机等操作风险问题的产生。
系统风险
系统风险是指因系统设计缺陷或运行不稳定导致业务中断或业务数据不完整,从而使业务的执行过程存在漏洞和执行结果错误等造成的风险。国有商业银行产品复杂且多样化,加之全国庞大的组织结构,日常交易处理、业务操作和管理均依托总行的计算机信息系统来完成。然而计算机信息系统的应用在增强银行业务处理能力和管理能力的同时,也使银行信息系统变得更加脆弱,一旦计算机系统瘫痪,例如,电力中断、机器故障、数据损坏、系统运行故障、数据运算故障、数据输出故障和程序出错等将使国有商业银行无法进行正常的业务处理,甚至造成数据的遗失和失窃,给银行和客户造成巨大的经济损失;而且,银行信息系统功能的完善程度将影响到银行信息处理的效率和质量,可以在一定程度上防范由于人员、流程缺陷导致的操作风险,如果银行信息系统功能落后,也会使银行发生操作风险的可能性加大。因此需要高度重视系统因素给国有商业银行带来的风险,无论是银行系统的升级、创新或是日常运行,都应进行充分的检测和试验,及时发现漏洞和不足,从而确保系统运行的稳定,避免造成损失。
外部事件风险
国有商业银行信贷业务中存在两个外部风险类别,一是由不可抗力因素如突发事件、自然灾害、战争、恐怖袭击等引起的操作风险,它们具有一定的偶然性、突发性和不可预测性,带来的损失是不可估量的。二是由外来人员因素引起的操作风险。第一,银行客户的故意隐瞒行为,如客户信息变更未及时通知银行,或恶意欺诈行为如伪造票据、凭证、签章、证件、文书等,一旦银行员工自我防范意识淡薄,对业务审查不严格,或防不胜防,将会给银行造成巨大的损失。例如,开发商因资金短缺或急于套现而伪造购房资料,向银行“假按揭”骗取贷款的欺诈行为。第二,政府信贷干预导致操作风险的产生。国有商业银行并不拥有纯粹的自主权,在某些特殊时点如经济过热或过冷,或某一行业发展需要调控的时候,会受中央和地方政府的政策干预,将银行贷款作为准财政政策工具使用,发放政治性贷款。从一定程度上说,国有商业银行某些业务实际上是准公共产品,承揽为国企、经济或社会稳定服务以及保政治稳定功能,这也使国有商业银行在信贷业务发展过程中就无法完全按自身的内控制度进行市场化的运作,一些缺乏科学论证和规划的建设性项目盲目上马,偏离了内控安全及经济效益最大化的目标,将大大激发操作风险发生的可能性。
业务识别 篇3
1 基于微信流量的分类模型
目前对微信的流量识别方式较少,有些是基于深包检测的研究方法[2],但这些方法缺乏系统化的流量分类方法,在现有的深包检测的基础上,进一步对微信流量分类细化,提出了一种基于层次化的微信流量分类模型,能广泛用于类似微信的基于DPI的分类方法中[3]。
1.1 流量模式分析
从协议的角度上分析,微信流量是不具备加密性的,但可能存在一些重要的数据在网络传输前就进行过本地的加密。进一步,微信是基于一个主TCP连接发生的,在进入微信的同时,会开启一个客户端到服务器的TCP握手,当用户发生操作行为时,会在TCP连接中传输数据;当TCP连接传送完成时,也不会立刻关闭这个连接,由于微信业务的实时性,会有可能不断地发生更新,如果立即关闭TCP,很可能又需要再次开启,为了节省握手的资源消耗,微信采取了心跳包的方式,图1简要介绍了微信的大致通信机制。
1.2 基于DPI的微信流量的分类模型
基于上述微信的特点,提出了一种层次化的基于DPI的微信识别方法对微信流量进行识别研究。基于层次化的模型有如下好处:首先,层次化的结构是一种自上而下的结构,逐步细化求精的过程,轮廓分明;其次,基于层次化的结构易于管理和维护,一旦其中某一环发生了问题,可以立刻追踪到所归属的层次进行改进或者发现问题;最后,层次化的结构有及时反馈的扩展功能[4]。
(1)深包检测原理。微信流量分类使用的主要技术是基于正则表达式的DPI匹配技术对微信流量进行识别。首先,通过对微信流量的统计分析,得到微信的正则表达式特征,然后根据该正则表达式对微信流量进行匹配。实验结果表明,基于DPI的匹配技术在微信流量分类上具有较高的匹配度和识别度。
(2)微信流量分类模型。基于DPI的方法是通过分析捕获网络包的内容,通过签名的分类方法对网络流识别的一种流量分类方法,它强调了流的隐私性和加密性,如果流量是隐私或加密的流,则DPI的方法不可行。一般地,对于流中的有效载荷,其方法是通过流量的各个阶段分析流量特征的正则表达式,从而得出适合准确鉴别的流量特征。图2提出了基于层次化的流量分类结构的模型。
2 微信流量的识别
2.1 微信业务的研究对象
本文以微信5.1版本的流量为研究对象,该版本涵盖了实验研究的主流微信业务。实验室选用定点镜像交换机收集手机系统的微信流量进行研究,由于这些流量直接来自于定向的手机流量,所以得到的流量是100%的真阳性的微信流量,最终收集的流量存储在pcap[5]文件中,实验分析研究的对象就是这些本地的pcap文件。
2.2 微信特征分析
(1)微信特征包的采样对比
实验首先对微信的文本图片等业务进行了采样比对,发现某些包具有一些特定的特征。对单一的微信文本流量进行观察,发现wireshark软件中提示continuation or non-HTTP traffic包中的载荷部分的字节存在恒定的字段,进一步对微信的图片流量进行分析。在微信的图片流量中,仍然存在一些非HTTP协议的微信包可能包含有微信的特征字段,而这些包正式被标记为continuati on or non-HTT Ptraffic包,这说明,这类包中可能具备微信包的某种DPI特征,而图片和文本的微信流量的此类型包之间也存在一定的公共性。这些存在公共部分特征的包极有可能用来表征微信,于是实验重点研究了这些可能被DPI识别的微信特征包,也就是后面提到的研究所抽取的微信特征包。
(2)微信特征获取
为了研究采集的特征不过于偏向于微信的某些业务特征,分析阶段对微信流量的各项业务进行了平均性的抽样采集,分别采集了9种不同业务的特征包,包括心跳、登陆、注销、刷新、文本、图片、语音、视频和社交业务,每种业务提取30个可能具备特征的包进行分析,总共分析了270个包的有效载荷。
通过wireshark的分析,收集到的270个可能包含特征的包中,在前16字节中,有一部分字段随着包的不同不会发生变化,这些载荷的字段部分极有可能是公共字段部分。为了重点研究这16字节,采用L7-filter[6]工具。实验考虑了异或运算,对实验观察的包的对应位字段分别采用异或处理,得到初步的微信特征正则表达式序列:
2.3 微信特征优化
为了得到最短的特征序列,并确定该特征序列可以最优匹配微信流量,实验采用了增量式的研究策略,基于增量式的筛选方法如下:首先对处理的特征选取一个较短的初匹配序列,该匹配序列可能掺杂大量的假阳性,然后不断地对这个较短的匹配序列增加长度,由于每一次的增加都减少了匹配范围,这会导致能匹配到的包越来越短,最终导致结果越来越精确,当匹配的包数不变时,不再出现假阳性,此时的字段便是最优的匹配字段[7]。
实验选取了来自互联网不同时段的校园流量进行了7组取样。每组流量约4 GB,分别有300~400万个包。初匹配序列选取的长度是4,这个选择是一个经验性的推断,在互联网流量中,3不大可能标识一个互联网协议,所以没有必要取得太短。微信的特征优化见表1。
从表1中可以看出,(1,2,5,6)存在有一定的假阳性特征,从不同的分组中,包含有MSNMS[24]和大传输单元PDU(1 514)也被误识别为了微信协议。其中,MSNMS表示微软网络服务管理系统协议,而PDU表示匹配的包不属于微信但属于大量的1 514 B长度的协议数据单元,这些和微信有类似特征的结构恰好在前4个字段和微信保持一致,为了排除这些协议的出现,当增量到1,2,5,6,7时,假阳例停止出现,当包的匹配增量继续增加时,仍保持不变,分析这些分组,发现是属于微信流的,而此时字段匹配到7,相较之前匹配到15,匹配的距离缩短了一倍,最终确定的微信特征为:
3 微信业务的细粒度识别和分类
3.1 微信业务的细粒度识别和分类
针对微信的业务流量存在的特点,将微信的业务分为三大类,并在这三类的基础上对其进行分类:短消息业务(文本,刷新,登陆,注销,心跳等)、复合短消息业务(语音,朋友圈,新闻等)、长消息业务(图片,视频等)[8]。
图3为微信的业务特殊字段的获取流程图,实验结果表明,根据微信业务的特征字段及上述方法可以得出微信业务的公共字段为对应包的第12字节。表2为微信业务特征字段,第12字段能起到区分微信业务的作用,匹配该字段可以找到其对应的微信业务,这个过程经历了从微信的流量识别到业务类别的识别,但并未识别出业务的整个过程的流,而长度从7个字段的匹配长度变为12个字段,这意味着在匹配耗时上的增加。
3.2 短业务的分类
在短业务的识别算法中,首先对业务特征进行匹配,如果到来的特征包对应的业务属于短业务,那么就按照短业务的识别方式进行。短消息业务为两次过程,一次是主方发送一次信息给从方,从方给确认,然后从方再发送一次反馈信息给主方,主方给确认。在这两次发送中,主动方发送的包都包含有可识别的特征包,算法中,在第一次读到特征包后,对同一条流继续进行匹配,当两次特征包进行了匹配后,读出后续的确认包,于是得到这次短消息业务的整个流程,从而在主TCP连接中标记出这一次业务的行为及对应的包序列号。一般来说,短业务仅仅通过较少的几次特征包的交互,确认进行,所以,只需对短消息的特征包次数设置一个权值,在有限权值次数的交互下,都归类为一次短业务。
3.3 复合短业务的分类
对于语音业务来说,一次较长的语音业务可能由多次短的语音业务复合而成,而这些短业务又互相不可分割,所以需要找到一种方式识别出该次业务所包含的所有短语音业务。首先,由于每次短业务的消息发送的包都是可以根据语音业务的特征识别的,可以对每次短分片进行特征匹配,匹配到的语音业务的包不大可能是其他业务产生的,这样把统计的包范围限定在语音业务范围内;为了解决不同次语音业务之间的区别,即识别出的语音不会被误识别为其他业务或者把别次语音的业务误识别到所识别的业务之中。于是定义了一个阈值tc,设置tc是为了识别出一次语音业务中所有连续出现的语音特征包,时间越短,说明该业务的连续性越强,由于连续发送的语音包间隔非常短,而对于正常操作下,两次不同的语音操作用时会很长,明显会超出这个阈值tc,于是,在此阈值下,所有与上次发送的特征包间隔时间小于该值的语音包则被认为是同一次业务下发生的业务。
3.4 长业务的识别
为了对长业务类型的微信业务进行识别,实验采用图片业务研究长业务的分类。经过大量的实验及观察,发现存在公有的特征,就是传输连接的开始端前若干个包具有固定的长度序列,对于图片业务来说,前3个包具有比较明显、固定的序列特征,如果能找到这些包,对于识别图片的数据连接很重要。在其算法中,定义了阈值td,表示数据传输连接的时间上的逼近,设置阈值的好处是用数据流连接和主TCP的时间间隔判断数据流,如果符合一个非常短的阈值,同时也满足微信的数据传输流的特征,此两种情况下,该流属于其他流的可能性会很低。首先,通过特征包的业务字段匹配找到在长业务结尾的确认包后,需要向前寻找数据连接。由于可能存在完全找不到的情况,当寻找的次数超时时,会选取最短间隔的传输数据连接作为最终判断长业务的数据传输连接。得到长业务的数据传输连接之后,与主TCP的确认短消息进行组合便得到分类的微信的长业务流。
4 实验及分析
基于垂直化流量分类结构的实验研究环境如表3所示。实验采用镜像交换机进行网络流量的采集,并将采集结果送达分析节点,分析节点进行流量分类,最终将分类结果反馈给ISP节点进行控制。为了证实实验的有效性,根据本文提出的微信流量的分类方法,最终采用Python语言实现了微信流量分类的整个过程。
表4是微信流量分类的实验结果,在结果数据中,左侧表示分类出的业务条数,右侧表示分类出的条数占总业务数的比例。
由于网络流量过于复杂,对于未识别出的其他微信业务部分本文没有考虑。实验数据主要考虑的是识别出的微信流量中微信的准确率和识别率。从实验结果看来,对于互联网流量来说,本文提出的基于DPI的分类算法分类出了52%的微信业务,并达到了98%的分类精准度。52%的业务分类率不代表分类子业务的最大限度,而是考虑的微信子业务的部分占了52%左右,如果考虑更多的微信子业务,识别率可以进一步提高。
实验结果表明,微信正是以一种脉冲式的长连接方式进行通信的,在建立初始的TCP连接后,通过持续的心跳包保持连接。根据本文提出的分类模型,能有效地识别出微信的流量并分离出其中的各个子业务,实验结果表明了基于DPI识别方法的有效性,最终达到了对52%的微信业务识别达到了98%的准确度。
5 结论
本文以微信流量为研究对象,研究了流量分类的方式。分析了微信的流量模式,提出了对微信流量进行分类的模型;在此基础上,采集了微信的流量,并对微信的特征包进行分析,得出微信的特征字段并进行了优化;然后,将微信的业务划分为三个大类,并根据各个大类提出了相应的分类算法;最后,进行了实验分析,实验结果对互联网中的流量分类出了52%的微信流量并达到98%的分类准确度,证实了分类算法的可行性。
参考文献
[1]孙瑜玲,林勤花.基于遗传神经网络的P2P流量识别系统[J].现代电子技术,2015,38(17):117-120.
[2]邢玉凤,毛艳琼.基于有督导机器学习的网络流量识别系统[J].现代电子技术,2015,38(21):22-25.
[3]陈平,郭兰珂,方俊湘.微信业务的识别方法研究[J].移动通信,2013(18):80-83.
[4]蒋建春,马恒太,任党恩,等.网络安全入侵检测:研究综述[J].软件学报,2011(11):45-46.
[5]JOHNSON M E,GOETZ E.Embedding information security into the organization[J].IEEE security&privacy,2007,5(3):16-24.
[6]HUANG S J,CHEN K,LIU C,et al.A statistical-featurebased approach to internet traffic classification using machine learning[C]//Proceedings of 2009 International Conference on Ultra Modern Telecommunications&Workshops.Petersburg:IEEE,2009:1-6.
[7]NGUYEN T T T,ARMITAGE G.A survey of techniques for internet traffic classification using machine learning[J].IEEE communications surveys&tutorials,2008,10(4):56-76.
业务识别 篇4
在当今高速大容量的Internet环境中,随着以TCP/ IP为基础的互联网应用的增长,P2P网络应用以其独有的优势获得了飞速发展,在网络流量中占据比例超过半数。P2P技术的发展在一定程度上方便了互联网用户的信息交流、文件共享等,但同时也带来了很多负面影响。 如P2P严重地吞噬、消耗网络带宽,造成网络环境日益恶化。面对近年来网络攻击日趋频繁的趋势,仅统计正常应用流量难以满足运维需求。因此,对异常流量进行分析监控成为流量分析系统的主要功能。
然而,随着业务和应用的快速出现,网络的业务识别成为了一个非常困难的问题。从早期的端口识别方法发展至今,越来越多的应用和业务采用动态可变端口、端口伪装以及合法端口封装的方式躲避监管;而进一步产生的深度包检测虽然可以解决部分端口识别法无法识别的问题,如可变端口或伪装等,但仍然无法满足快速发展的业务特征更新、加密业务等场景。之后出现了以智能计算等模糊型方法为主的业务识别算法,但仍无法很好地解决网络业务识别问题。因此,如何建立一套精确、智能、实时的网络业务识别机制,已成为一个具有高度挑战性的问题, 并成为互联网流量测量领域的研究热点之一。
如今,深度包检测和深度/动态流检测已成为网络流量监控中非法业务识别领域广泛使用的技术。深度包检测技术(DPI)对每个网络包进行深入分析检测,虽然具有良好的精度,但该方法会消耗过多内存和资源,其扩展性也存在很大问题;深度/动态流检测技术(DFI)对网络流进行整体监控,结合统计分析等各种技术,对非法业务流进行监控,该技术具有良好的扩展性,性能较好,但其精度比深度包检测技术差。
深度包检测(DPI)和深度/动态流检测(DFI)两种技术各有利弊。因此,如果能很好地克服其缺点,充分发挥各自的优势,则能很好地进行非法业务识别,同时,又具有良好的性能和扩展性。
本文提出一种DPI和DFI结合的非法业务识别技术,通过该技术,能够高效识别网络中的大量异常流量,并能识别出加密行为的P2P数据包。同时该系统具备在线升级的特性,能够更新特征库,不断更新可识别的非法业务。
1相关工作
在网络监控中,深度包检测DPI经常被用来进行非法业务识别。深度数据包检测DPI也许是最常用的进行流分类的技术。一是因为它有相对简单直接的硬件实现, 二是因为其它技术仍然还处于研究阶段。当然,DPI分类器在CPU和内存消耗方面代价仍然很高[1]。深度包检测是一种基于应用层的检测技术,其将收到的网络包进行拆分,然后将应用部分提取出来进行特征匹配,从而进行入侵检测。深度包检测是基于每一个网络包的,因此精度非常高。深度包检测的匹配特征可以是特定端口、特定的bit序列以及应用本身的特征字符串信息,通过各种指纹信息的比对,即可识别非法业务。当然,深度包检测技术也存在许多弊端。例如,对每个网络包进行检测会消耗过多资源,从而引发拒绝服务攻击。同时,特征匹配的特征库如果采用硬件模式,以后的特征库扩展便会非常麻烦, 同时开销巨大。另外,如果提取出的应用层进行了加密, 在进行特征匹配时便会变得非常困难。因此,要想引入深度包检测DPI技术,必须克服上述几个问题。
深度/动态流检测DFI是另一种常用的非法业务识别技术。深度流检测技术是基于流行为的流深度检测技术。根据各种不同业务类型的各个应用特性,该技术可以区分流的业务类型,并且实现正确的流识别和流分类[2]。 与深度包检测不同的是,深度/动态流检测并不是对每一个网络包进行检测,而是对众多网络包的统计信息或网络流信息进行统计分析比对,这些统计信息可以是网络包的平均大小、平均传送速率以及会话时长等。正常应用业务的统计信息大多相同。因此,通过这些信息的检测可以进行分类分流,从而进行非法业务识别。深度/动态流检测是对网络流进行分析,而不像深度包检测那样逐包分析。 因此,该技术的精度比深度包检测技术低。但同时,因为不用逐包分析,速度比深度包检测快得多。另外,即使应用进行了升级,并且对每一包的应用进行了加密,虽然每一包的网络信息可能发生改变,但整体统计分析信息并不会发生太多改变,这也利于系统升级。如果充分利用深度/动态流检测的优点并规避弊端,该技术将有较好的应用前景。
目前,很多应用识别系统,通常都也都结合了DPI和DFI技术。现有的很多DPI识别引擎都是基于正则表达式引擎。有的利用软件的正则表达式引擎进行改造,性能较差;有的利用某些CPU自带的硬件正则表达库,性能虽然较好,但是特征库的扩展性差。
在DFI识别技术中,现有技术方案有的依靠人工经验建立起DFI识别所需的数学模型,然后将其固化到检测设备中;还有少量技术方案利用机器学习方法,通过离线的训练学习,将学习到的数学模型固化到在线检测设备中。然而,通过离线学习的数学模型,更多地学习了训练流量所对应的P2P流量特征,该模型不一定适用于当前设备所在的网络环境。
综上所述,目前的技术方案存在如下问题:1在需要同时对大量应用识别软件进行识别时,性能较差,影响用户上网体验;2网络应用软件变化很快,应用识别系统的特征变化无法跟上网络应用软件的变化速度,具有一定滞后性;3P2P业务和应用发展迅速。现在很多P2P软件的流量都是加密的,大多应用识别系统无法识别出这样的加密流量,因此无法进行有效的流量管控。少数能够识别加密流量,但无法适应网络环境的变化,因为采用的是离线训练学习方法。
2系统实施方案
2.1 AC多模匹配
AC算法是经典的多模匹配算法,至今大部分多模匹配算法都是针对AC算法进行改进的。AC算法对所有关键字建立有限自动机,利用该自动机对输入文本进行扫描[3]。AC多模匹配的时间复杂度与匹配特征库里的字符串数量无关,也即意味着,无论特征库的数量多么庞大,所要执行的匹配时间都与其无关。因此,在DPI的特征匹配阶段,如果引入AC多模匹配,只需进行特征库的更新和预编译,构造出规则树,同时进行多特征的匹配便会执行得非常迅速。
2.2基于SVM的机器学习
统计学习理论是一种专门的小样本统计理论,为研究有限样本情况下的统计模式识别和更广泛的机器学习问题建立了一个较好的理论框架,同时也发展了一种模式识别方法———支持向量机(Support Vector Machine,简称SVM)。该方法在解决小样本、非线性及高维模式识别问题中表现出许多独特优势,并能推广应用到函数拟合等其它机器学习问题中。目前,统计学习理论和SVM已成为国际上机器学习领域新的研究热点并被应用于人脸识别、 文本识别、手写体识别等领域[4]。利用基于SVM的机器学习技术,通过分类和训练源源不断地扩充DPI和DFI特征库,从而提高整个系统的识别精度,还能降低更新特征库的开销。
2.3非法源IP概率库
非法数据量通常来自于某些攻击者,如果能在检测到大量来自于某个地址的非法业务流之后,屏蔽所有来自该IP地址的数据,便能节省网络流量,还能节省检测这些攻击数据的开销,以及起到抵御拒绝服务攻击的效果。因此,可以为每个非法业务特征字符串设置分值,每匹配到一个地址的非法业务包,就扫描源IP概率库,同时将该IP地址对应的总分值累加。如果分值达某每个阈值,便屏蔽该地址发送的数据。例如,特征字“ABC”对应的分值为5,当一个IP地址发送的网络包含有“ABC”时,首先扫描该IP概率库,若没有该IP,则写入该IP,同时写入其对应的分值5,若有该IP,则将其当前的分值加5。检测非法业务时首先扫描该库,如果该IP对应的总分值超过某个阈值如100,则退回或丢弃相关数据流。
2.4系统概述
本系统将DPI和DFI相结合,充分利用了两种技术的优点,同时也规避了它们的缺点,既提高了性能,也具有良好的扩展性。本系统主要分为两部分,包括检测模块和执行模块。其中检测模块包括DPI检测部分和DFI检测部分,可对输入信息流进行检测和监控。而执行模块是根据检测模块的检测结果来决定执行哪种行为。系统整体结构如图1所示。
2.5具体设计方案
首先,网络信息流通过系统入口进入,到达系统的检测模块。在检测模块中,首先提取出该网络包的源IP,扫描非法源IP概率库,若该IP地址的累计分值超过阈值, 该包则是非法业务包,若未超过阈值,则进行接下来的检测。源IP地址检测流程如图2所示。
接着,采用深度包检测(DPI)技术对输入的信息流进行逐包分析。将接收到的数据包进行拆分,提取出应用层数据,同时将其与特征库匹配。例如,某个包的应用层数据含有非法业务关键字,则特征匹配成功,意味着该数据包是潜在的非法业务包。另外,进行匹配的算法需要高效、快速,这里采用上述的AC多模匹配算法。同时,如果网络包进行了加密,也可以建立加密的特征库,以应对加密数据。系统还能实时接收中心数据库推送来的特征库, 进行本地特征库的更新,从而实现特征库的随时更新。在中心特征库更新时,采用基于SVM的机器学习理论技术,对样本进行源源不断地学习,从而扩充和更新中心数据库。DPI的具体检测过程如图3所示。
经过DPI检测后的数据接下来进入到DFI检测部分。由于DFI检测速度较快,因此可以建立庞大的分类特征库。在建立DFI特征库时也引入基于SVM的机器学习有关技术,对样本进行学习,源源不断地扩充中心特征库。而系统的本地特征库同DPI一样,可以实时接收中心特征库的推送来实现本地系统的更新。同时,DFI的检测与网络包是否加密无关,因此可以应对加密数据。匹配特征可以是本地应用的平均网络包大小、平均传送速率、建立的握手时长以及各种统计数据运算等。DFI检测过程如图4所示。
在进行完检测模块DPI和DFI的检测后,便进入到系统的执行模块。执行模块可以定义各种执行策略。例如,通过检测的网络信息流可以进入到应用系统部分进行数据处理,而未通过检测的信息流可以丢弃。同时,如果持续地收到某个IP发送的非法业务信息流,还可以屏蔽该IP地址。执行模块的各种执行策略可以根据应用系统业务流程自由灵活地设定。
2.6系统问题
检测模块中包括DPI和DFI两部分检测,因而花费时间可能稍长。如果非法业务特征较多,建立的特征库相对来说也会较大。另外,还需要建立远程中心特征库,进行特征库的扩充,成本相对较高。本地系统还需实时接收远程特征库的更新,同样会消耗部分资源和时间。不过相对而言,系统的安全性也由于这些开销而变得更加安全。
3结语
在P2P网络快速发展的今天,网络监控和非法业务识别已成为一个重要课题。本文基于DPI和DFI技术, 设计了过滤非法业务流的入侵检测系统。该系统融合了DPI和DFI的优点,并克服了各自缺点,能够有效区分非法业务和正常业务,并根据检测结果执行不同策略,从而使系统安全性得到了有效提升。
摘要:随着网络的普及,流量监控和非法业务识别已成为抵御网络攻击、过滤非法流量的重要技术。提出一种基于DPI和DFI的非法业务识别技术,通过业务处理过程的优化以及引入多模匹配和SVM机器学习技术,使该技术具有良好的性能和精度,同时又能更好地更新和维护特征库。同时,引入非法源IP概率库的概念,使其能更大程度地屏蔽某个地址发送的恶意网络信息流。
关键词:DPI,DFI,多模匹配,机器学习,数据流
参考文献
[1]CASCARANO N,CIMINIERA L,RISSO F.Improving cost and accu-racy of DPI traffic classifiers[C].Proc of ACM Symposium on Applied Computing,Switzerland:Sierre,2010:641-646.
[2] GUO LEI,WANG YADI,CHEN SHUQIAO,et al.Flow characteristic selection algorithm based on dynamic information in deep flow inspection[J].Computer Engineering,2012,38(16):1151-1216.
[3] LI LUN,LI DONG,TIAN ZHIHONG.A multi-pattern matching algorithm for the large-scale URL keywords[J].Computer Study,2011(3):20-26.
业务识别 篇5
关键词:LTE网络,S1接口,流量识别,DPI,机器学习
国内LTE网络已经商用,在移动通信网络不断演进过程中,网络中的新业务也层出不穷,例如音视频聊天、流媒体播放、Web TV、线上游戏等。这其中有些新业务采用动态端口、伪装端口和加密技术,还有些新业务协议升级频繁,种种情况都导致网络缺乏有效的流量监管设备,运营商无法对网络运行进行有效的感知。
目前,国内外已经提出了很多业务识别的方法,但要实现高效、准确、智能地识别网络业务,且有较强的可扩展性,即能识别加密流量和未知流量,仅靠某种单个的识别方法已经不能满足。本文主要针对LTE网络S1接口的数据业务提出了一种多识别方式的业务识别方案,通过多种识别来解决单一识别无法识别复杂业务的问题,并从数据采集层、数据解码层、业务识别层、应用层4个层面描述了识别方案框架。该方案可以广泛应用于所有的业务识别场景中。
1 LTE 网络 S1 接口
LTE网络由用户设备( UE) 、演进的接入网 ( E -UTRAN)和演进的核心网( EPC) 组成,E-UTRAN由基站( e Node B) 组成,EPC由分组交换域组成( 见图1) 。
S1接口在LTE网络中占据很重要的位置,它连接了EUTRAN和EPC,对其进行研究可以充分掌握网络的整体运行情况,充分挖掘网络流量信息[1]。因此本文中提出的业务识别方案针对S1接口,通过监测S1接口的用户面数据,分析数据的业务类型。S1接口用户面的协议栈结构如图2所示。
2 多识别的网络业务识别方案
由于常规的网络业务识别方法具有很大的局限性,所以需要一个高效、准确、智能的业务识别方案来对LTE网络中复杂的业务类型进行识别。为此,本文建立了一个业务识别分层模型,见图3。
数据采集层主要对接口数据进行采集,采用不同速率的采集技术,保证数据可以完整、可靠地传送至数据解码层。
数据解码层提供对原始数据的协议解析,向上层提供准确的原始数据信息,满足业务识别层对业务的感知和识别。解码过程采用从底到顶逐层解码的方式,提取需要的关键字段[2]。由图2中S1接口协议栈可知,解码的协议层次依次为: Ethernet协议、IP协议、UDP协议、GTP-U协议以及用户面IP协议、TCP/UDP协议以及应用层协议。数据解码层向上层提供原始呼叫详细记录( Call Detail Record,CDR) ,CDR中包含一些必要数据信息: IP五元组( 源IP、目的IP、源端口、目的端口、承载协议) 、净荷信息、分组长度、分组到达间隔、流持续时间等。这些信息由协议解码和合成获得,作为上层进行业务识别的依据。
业务识别层实现对业务类型的识别,主要依据为下层上传的CDR信息。识别过程中综合应用多种识别方法,这些识别方法包括端口匹配、深度包检测( Deep Packet Inspection,DPI) 识别、连接模式识别、业务特性识别、机器学习识别等。该层向应用层提供的接口是业务识别CDR,组成为数据解码层上传的CDR + 业务类型。具体识别流程如图4所示。
基本步骤如下:
1) 首先采用端口匹配识别,可以完成固定端口业务的识别。用源端口或目的端口来查找端口映射表即可得到对应的业务类型。但随着越来越多的业务采用伪装端口或者随机端口( 如80、443) ,仅靠端口识别的识别准确率越来越低。若为未知端口则可进行连接模式和业务特性识别,还可验证端口匹配识别结果。
2) 未查询到结果则转到DPI识别模块进行查询,用各个特征字符串匹配建立的特征库,即可得到对应的业务类型。识别出业务类型后,更新数据流特征与业务类型映射表。
3) 若仍未查询到结果则转到决策树识别,识别未知业务或加密业务,同时完成学习过程,不断修剪决策树,将业务类型纳入决策树中。
应用层包含运营商各种应用系统,比如经营分析系统、性能管理系统、业务分析系统等。数据解码层通过灵活的接口及转发功能将业务识别CDR提供给各个应用系统,为运营商的市场开发、精细化经营、差异化服务提供数据支持[3]。
为了验证方案的识别准确性,用实际网络数据对根据本方案开发出的业务识别系统进行了具体的测试。网络数据在中国移动重庆分公司网络上通过拨测采集得到。部分测试结果如表1所示。
3 业务识别方法分析
3. 1 DPI 识别
方案中使用的DPI识别技术通过分析数据包载荷中的特征字段来将网络流量关联到具体的应用。大多数业务在数据包的净荷中含有特定的协议字符串,可以通过检测和匹配这一字符串来进行业务的识别[4]。对于某些更复杂的应用,则需要通过几个特征字符串综合起来才能对其进行识别。为进行DPI识别,首先用爬虫程序对应用进行分析,建立特征库,特征库中包含特征和相对应的业务类型。由于不断有业务更新和协议升级,特征库也需不断更新。特征库建立后就可以用在数据包中取得的字符串与特征库进行匹配,即可获得数据的业务类型。
显然匹配过程在DPI识别中是非常重要的,正则表达式在这里得到了充分的应用,可以将正则表达式转化成确定有限自动机 ( Deterministic Finite Automation,DFA) 来进行处理[5]。DFA用五元组( Q,Σ,q0,δ,A) 表示,其中Q为状态点集合,Σ为字符表,q0为初始状态点,A为终止状态点,δ为状态转移函数。正则表达式描述了一种字符串匹配的模式。将所有模式构造为一个DFA可获得很好的匹配速度,但所需内存可能非常大,超过系统物理内存。而每个模式构造一个DFA时,匹配速度可能无法满足性能要求。下面是一个满足有限内存资源限制且时间复杂度最小的算法。
首先构造 算法所需 的图。将模 式集合{m1,m2,m3,…,m p}中每个模式通过词法分析器Flex得到模式mi生成DFA的状态数Dmi,然后取得模式集合中两两一组mimj的状态数Dmij。若两个模式构造的DFA状态数大于它们分别构造的DFA状态数之和,那么两个模式,即图中的两点之间存在一条边。P个模式对应图中p个顶点。
第二步是构造模式集合R = {M1,M2,M3,…,M k}。首先在构造的图中查找度数最小的点i加入Mi,在图中去掉点i,同时可用内存减少Dmi。然后在图中剩余点中找到与点i连接最少的点j,测试将点j加入模式集合R中是否会引起所需内存爆发式的增加,若是则Mi构造完毕,否则将点j加入到Mi中,可用内存减少DRi。重复本步骤,直到无点j的存在。最后,若图中还存在边,则返回到第一步,构造Mi + 1,若图中不存在边或已经无剩余点,则进行算法的最后一部分。
最后,若图中已无剩余点,则 {M1,M2,M3,…,M k}构造结束,若否,对图中剩余点进行新的构造。首先判断将剩余的点构造成一个DFA是否会超过目前内存的限制,若否,就将剩余的模式构造成一个DFA,完成构造。若是,则将剩余点中某一个点单独构造一个DFA,然后看将剩余点构造成一个DFA是否会超过当前内存的限制,若是,再将剩余点中某一个划分出去,然后判断剩余的模式集,直到p个模式都加入到集合 {M1,M2,M3,…,M k}中,完成构造。
DPI识别是一种应用很广的识别方法,但仍存在一些缺陷。比如: 无法识别加密业务和未知业务,更新特征库的工作量很大。机器学习识别可以弥补DPI识别的一些缺陷。
3. 2 机器学习识别
方案中的机器学习识别是通过统计分组数据到达间隔、流持续时间等统计特征,采用机器学习的方法实现业务分类。采用机器学习中的决策树算法来实现网络业务的识别。这种识别方法是从决策树的根结点开始,按照给定实例的属性值对应的树枝向下移动,这个过程不断在以新结点为根的子树上重复,最后到达的一片叶子代表业务分类,即实现了分类学习,达到业务识别的目的[6]。
决策树形成过程中最重要的是对分裂属性的选择,常用的方法是计算信息增益
式中为熵定义,S为数据样本集合,数据样本S的属性具有m个不同的值,定义m个不同类Ci( i =1,2,3,…,m) 。属性A具有v个不同的值{ a1,a2,a3,…,av} ,用属性A将S划分为v个子集 {S1,S2,S3,…,S v},对应S节点生长出来的v个分枝。设si,j是子集Sj中类Ci的样本数,Sv定义为Sv= s1,j+ s2,j+ s3,j+ … + sm,j。
采用C4. 5算法来建立决策树,C4. 5算法采用信息增益率来处理样本分类。算法要求选择信息增益率最大的属性为决策树的新结点,并对属性的每个值建立分枝,依据此思想划分训练数据样本集。信息增益率是信息增益与分裂信息量的比,分裂信息量可以衡量属性分裂的广度和均匀性
式中: Si为C个值的属性A划分S形成的C个样本子集。由此得到信息增益率为[7]
信息增益率最高的属性将被作为测试属性。依次不断对生成的样本子集进行分割,直到无法分割或达到停止条件即可得到决策树,决策树的生成过程就是使划分后不确定性逐渐减小的过程。
决策树建立后还需不断修剪,用样本对生成的决策树进行检验,调整不正确的分枝,增加节点或者进行剪枝。用决策树对未知类型业务进行分类时,从根节点开始依次对样本的属性进行分类,直到到达一片叶子为止,即可得到样本的业务类型。
4 微信业务的识别验证
微信支持发送/接收语音、视频、图片和文字,支持许多社交插件,因此拥有了庞大的用户群,对运营商的短信、彩信、语音业务产生了巨大竞争。同时微信需要频繁占用网络资源,而运营商获得的却只是极低的流量收入,所以运营商希望能找到应对策略和方法,而微信业务的识别是制定应对策略的前提和保证。
将从S1接口采集到的包含微信业务的用户面数据发送到数据解码层,经过解码后将原始CDR提交到业务识别层,用提取到的必要信息进行业务类型的识别。微信业务大类的识别可根据特征字符串,如果HOST字段中包含key: “weixin.qq. com”或“mmsns. qpic. cn”或“wx. qlogo. cn”,则可认定分组为微信业务。为进一步识别微信业务中业务小类,如发送图片、语音、文字、摇一摇等,需分析微信私有协议,经过大量爬虫抓包分析,总结出微信私有协议基本结构,如表2所示。
其中报文类型代表不同的业务小类,如表3所示。
因此,为识别业务小类可将报文类型作为特征字,用DPI识别法进行识别。
由于微信业务小类在不断增加,私有协议也随时存在更新的情况,且DPI特征库的更新耗时费力,所以机器学习识别法此时将弥补DPI识别的不足。机器学习根据流量的各种属性特征,如流持续时间、分组长度和分组到达间隔等,来进行流量分类,能够适应对加密业务和未知业务的识别,克服DP识别的缺陷。
图5是业务识别CDR出表的一部分。不同的业务类型用不同的数字表示,图中D,E列为1,9则表示识别出微信业务。一条CDR根据微信业务中某TCP流合成,其他字段还包括: 源IP、目的IP、源端口、目的端口、HOST、URI、上下行包数、上下行流量。经过统计验证分析,发现识别方案能较为准确地识别各种业务类型。
5 小结
业务识别 篇6
1 银行卡使用安全现状
随着银行卡产业的发展, 网上银行, 转帐支付, ATM存取款等已成为我国居民个人使用最为频繁的非现金交易工具。银行卡的发展大大降低了社会交易成本, 提高了国民经济运行效率, 但与此同时, 银行卡在使用中也出现了许多安全问题。
1.1 银行卡丢失
各个商业银行都有自己的银行卡业务, 为满足人们不同需求, 相继推出了存储卡、信用卡、借记卡等诸多银行卡产品, 致使人们外出或者办理业务需要携带大量银行卡, 使用时容易记混或者丢失。
1.2 密码忘记
为了安全, 人们往往为每个银行卡设置不同的密码, 以防一个密码泄露还能维护其他银行卡的安全。由于密码太多人们容易记混或者忘记密码。
1.3 安全隐患
由于银行卡现有交易方式存在漏洞, 不法分子通过各种手段或渠道窃取银行卡信息, 而非法获得他人钱财。银行卡磁条被复制, 卡内资金被盗;利用黑客软件、病毒窃取用户银行卡号和密码;在用户用卡交易时, 偷窥密码;在ATM机上设置障碍, 制造假吞卡现象, 持卡人离开后窃取银行卡等犯罪案件不断增加, 如何保证银行卡交易安全是摆在我们面前最严峻的问题。
2 生物识别技术
生物识别技术, 是通过计算机技术、光学、声学、生物传感器等多门学科密切结合, 利用人体固有的特性来进行个人身份的鉴定。由于人体特征具有不可复制的唯一性特征, 不易遗忘、不易伪造、不易窃取、随身携带, 使生物识别技术比传统的证件、用户名和密码等身份鉴定方法更具有安全性、保密性和方便性。
目前, 常见的生物识别技术有:
(1) 指纹识别:通过和指纹库预存指纹做比对, 确定查询人身份。
(2) 手掌几何学识别:通过测量使用者的手掌和手指的物理特征来进行识别。
(3) 声音识别:通过分析使用者的声音的物理特性来进行识别的技术, 将说话人发出的声波转换成能够表达说话内容的序列号来进行识别。
(4) 视网膜识别:使用光学设备发出的低强度光源扫描视网膜上独特的图案。
(5) 人脸识别:利用分析比较人脸视觉特征信息进行身份鉴别的计算机技术。
另外, 还有虹膜识别、签名识别、步态识别、静脉识别、基因识别等识别技术。各种生物识别技术各有优劣, 如指纹识别技术, 扫描速度快, 指纹采集器体积小, 价格低;但有些人的指纹特征很少, 很难成像, 磨损或者意外都可能造成识别不准确;每次使用指纹都会留下印痕, 易被不发分子复制利用;有些人害怕指纹记录在案, 操作不便。虹膜识别具有唯一性高、稳定性高、抗欺骗性强等特点, 但很难将图像获取设备小型化、而且摄像头价格昂贵, 很难推广使用。视网膜识别精确度高、难以伪造, 但使用较困难, 被识别对象感觉不好而且成本高。
人脸识别具有识别速度快、可直观对比、无须学习等特点, 但面部的位置和周围的光环境可能影响系统的精确性, 面部的相似也可能会影响识别的准确性。手掌识别使用时很容易接受, 且准确性较高, 读取器也很容易集成到其他系统中。二者的结合能相互弥补不足, 提高识别的唯一性和安全性。
3 生物识别技术在银联业务中的应用
将人脸识别技术和手掌识别技术运用到银联业务中, 能有效解决银行卡在使用过程中的诸多问题, 改善银联业务的业务流程和安全性。
在银联跨行结算系统的基础上, 增加人脸识别和手掌识别身份认证, 形成“人脸识别+手掌识别+账号密码”三层安全认证, 增强交易的安全性和方便性。以ATM机交易为例。用户可以在不带银行卡的情况下通过ATM机存取款和转账, 通过人脸识别和手掌识别确定用户身份后, 列出该身份下的所有银行卡账号, 用户选择用哪个银行卡账号进行交易, 输入正确密码后显示该账号的所有信息, 然后进行交易;如果插入银行卡, 进行人脸识别和手掌识别后直接要求输入该银行卡账号密码, 三层认证通过后显示该银行卡账号信息, 进行操作。链接拓扑图如图1:
“人脸识别+手掌识别+账号密码”三层安全认证方式与银联交易系统的完美结合, 可以应用到任何银联业务中, 如超市购物、post刷卡、网上支付、柜台交易等, 与各种交易平台都能很好的集成, 弥补传统的“账号+密码”认证方式的不足, 维护用户的经济利益, 促进银联业务的健康发展。
4 人脸识别+手掌识别+账号密码”三层安全认证流程
采用“人脸识别+手掌识别+账号密码”三层安全认证, 使人脸识别技术、手掌几何识别技术与现有银行交易系统相结合, 大大减少了因遗失银行卡或被盗取密码而造成的损失, 减小了利用银行安保系统的漏洞犯罪的可能性。
所有在现金交易柜台进行现金交易的客户的面像都会自动被捕捉在案, 银行可将有犯罪在案或者有经济信用问题的人物列为黑名单, 在现金交易柜台被捕捉的面像都会首先与黑名单作比较, 当找到黑名单里的面像相匹配的面像时, 系统可报警通知银行工作人员, 否则都作为正常交易备案。
所有银行用户可申请采用“人脸识别+手掌识别+账号密码”三层安全认证, 只需到现金交易柜台办理手续, 采集本人面像和手掌几何图形当模板。当用户到现金柜台用取款时, 则需按照系统指示面对着现金交易柜台上的摄像头, 系统捕捉该用户面像资料与相对应的银行卡账号所采集的面像相比对, 比对成功后, 提示用户进行手掌识别, 通过后方可取款, 系统同时捕捉该用户照片存档备案, 方便查询。
当用户采用ATM自动取款系统时, 系统自动捕捉该用户面像资料, 与黑名单里的身份资料进行比对, 比对该用户是否属于黑名单里的人, 如是系统可作报警通知银行工作人员, 通过人脸识别后提示用户将手掌放入手掌几何识别器里进行手掌识别, 通过人脸识别和手掌识别后, 方能显示用户身份下所有银行账号, 用户选择交易账号输入正确密码后方可取款, 系统同时捕捉该用户照片信息存档备案, 方便查询。交易流程图如图2所示:
5 人脸识别+手掌识别+账号密码”三层安全认证在银联业务中应用的意义
5.1 使交易更具安全性
人脸和手掌特征都是人体所固有的生物特征, 具有唯一性、不可复制性和自身的防伪性, 使得生物识别是当今认证识别技术中最高级别的安全密钥系统。传统的认证方式和生物识别的融合, 使身份识别更加准确和安全, 应用于银联业务和银行门禁系统, 可以有效防止和避免盗取密码、挟持抢劫、复制磁条等违法行为。
5.2 使交易更具方便性
生物识别在银联业务应用中除了保障交易安全之外, 还可以使交易变得便捷。在现实的交易环境中, 每一次交易进行都要信任审核。在很多情况下, 用户并不愿意向对方留下诸如身份证号码一类个人隐私信息。这会给建立交易互信造成障碍。生物特征的使用, 使得双方确立信任的时间成本和承担的风险大大降低。交易便捷还体现在交易的操作过程中。传统的类似银行卡的结算方式, 需要输入帐号, 密码, 加载数字证书等诸多环节, 若采用生物识别的方式, 确认交易的过程只需完成身份的认证即可。生物识别特征与生俱来、不需记忆、随身携带, 免去了带卡交易、遗忘密码、丢失印章等烦恼。
5.3 引发了领域技术革命
人脸采集器和手掌几何识别器成本低、体积小, 能很好的集成到各类系统, 中科院计算所与成都银晨网讯与2000年5月联合创立了国内首家专门从事面像识别核心技术研究与开发的实验室。主要研究领域涉及计算机视觉、模式识别、机器学习等, 尤其关注于人脸识别以及多模式人机交互技术。有传统的相等验证法认证技术转变为以相似匹配法为核心的认证技术。
随着计算机技术、数字图像处理、生物科学等学科的发展, 为利用计算机实现生物识别技术在各领域运用开拓了美好前景。此种认证方式须有社会各界的支持、银联和各商业银行的相互配合、密切合作才能得以实施和推广。我们相信, 人脸识别技术和手掌几何识别技术以其特有的稳定性、唯一性和方便性等特征, 会被越来越广泛地被应用在需要身份识别的领域。
参考文献
[1]喻凌云, 王加阳.基于生物识别技术的电子商务应用研究[J].湖南商学院学报, 2010 (03) .
[2]毛巨勇.生物识别技术的发展与现状[J].中国安防, 2010 (08) .
[3]吴竹君.谈DNA生物识别技术及其应用[J].中国安防, 2010 (08) .
[4]庞尚珍, 冯雪.生物识别技术研究[J].科技传播, 2010 (16) .
[5]肖冰, 王映辉.人脸识别研究综述[J].计算机应用研究, 2005 (08) .
业务识别 篇7
关键词:招商银行,网上银行,风险识别,风险分析
一、引言
自1995年世界上第一家网络银行——安全第一网上银行在美国诞生以后,迅速地在世界范围内扩展,我国也在1996年出现了第一家网络银行业务提供银行——招商银行。
招商银行网上银行业务在国内网上银行体系中起步很早,也较早而且更容易遭遇到网上银行风险管理的诸多棘手的难题,同时,与传统业务相比,网上银行业务有着其特有的风险形式,因此深入研究招商银行网上银行业务风险管理的问题,对于中国整个网上银行体系的风险管理有着非常重要的现实意义。
本文依据锁定管理和控制目标的过程,通过对招商银行网上银行业务的风险进行定性和定量相结合地识别与分析,归纳出其风险结构。
二、招商银行网上银行业务发展战略
1. 网上银行业务经营目标
“打造一流的网上银行”也一直是招商银行网上银行的发展目标。
2. 网上银行发展战略的实施
1998年,“一网通”推出“网上企业银行”,“一网通”的成功推出标志着招商银行在银行电子化建设方面开始走向国际水平,并进而确立了招商银行在国内网上银行领跑者的地位。
三、网上银行业务流
从客户跟从银行的角度来看,各有侧重。用户更重视结果,而银行重视过程。从客户的角度看业务流程如下:用户打开浏览器,连接到网上银行站点,然后通过安全审核后,访问网上银行的主页面,点击相应功能按钮,接着按屏幕提示要求依序填写交易请求表格查看交易处理结果。另一方面,从银行内部处理角度看,交易流程如下:接收用户连接要求,对用户进行安全审核决定接收用户交易请求,进而审核用户交易请求,再将交易请求转发银行交易主机,主机系统接收网银中心代用户转来的交易请求。接着,主机系统处理交易请求并将处理结果返回网银中心,网银中心接收主机返回的处理结果,进行必要的再处理,最后返回用户交易处理结果。
四、网上银行风险识别
1. 网上银行风险
本文主要从传统银行风险新的表现形式和网上银行特有风险这两个角度将网上银行分为两大类风险,前者包括信用风险、市场风险等;后者包括战略风险、法律风险等。
2. 识别方法介绍
本部分使用组织结构图示法和流程图分析法,从外部环境和内部运营两个角度,对招商银行网上银行业务存在的风险进行识别。
3. 招商银行网上银行风险识别
通过对银行组织体系和业务流程的分析,本文确定招商银行网上银行业务的三类主要风险:基于网络信息技术导致的系统风险,基于网络金融业务特征导致的业务风险,以及操作风险。
3.1系统风险
(1) 网络故障风险
因网上银行的计算机系统停机、磁盘破坏等不确定因素形成的网上银行系统风险。
(2) 黑客攻击风险
因黑客攻击,侵入系统内带来的风险。
(3) 技术更新风险
技术的快速发展而导致银行所购设备贬值和不安全带来的风险。
(4) 外部供应商风险
目前我国在金融电子化业务中使用的软、硬件系统大部分由国外引进,而且信息技术相对落后,因此增大了网上银行的安全风险和技术选择风险。
3.2业务风险
(1) 信用风险
网上银行服务方式的虚拟性使交易只是通过网络发生联系,这使对交易者的身份、交易的真实性验证的难度加大,从而增大了信用风险。
(2) 流动性风险
网上银行交易的实时、快捷、使参加交易清算的机构倾向于减少实际货币的超额储备,从而增大流动性风。
(3) 法律风险
网络银行的虚拟性、无国界性等特征打破了国家和地区的有形界限,从而对传统的法律提出了严峻的挑战与冲击。
(4) 交易风险
交易风险存在于所提供的每一个产品和服务之中,网上银行产品会伴随较大的交易风险。
(5) 战略风险
目前,网上银行的业务更像是传统银行业务的无场所化,只是讲业务办理的地点放置网上,并没有发展出完全基于互联网和信息技术的网上银行业务,招商银行的崛起源于互联网带来的机遇,但若没有网上银行特色业务的创新很难吸引到新的客户,创新必然陪伴着不确定性,加大了招行的战略风险。
(6) 信誉风险
当客户在使用网络银行提供的产品过程中遇到困难,而网络银行又不能解决这些问题,或者网络银行不能提供所称产品、准确及时的服务,使其提供的虚拟金融产品不能满足公众所期望的水平,就会在社会上产生不良的反映,形成信誉风险。
3.3操作风险
(1) 内部员工风险
网上交易程序化的运行方式将运行过程隐蔽不为客户所知因此增大了员工的道德风险。
(2)
客户安全意识风险
五、网上银行风险分析
1. 分析方法介绍
由于招商银行网上银行的风险种类比较多也比较复杂,因此要评估的网上银行风险的因素指标是多层次、立体的。对于不同的部分可以分别采取不同的风险评估方法,同时定量和定性相结合。
考虑到网上银行风险的复杂性,及对于一些数据的采集存在一定困难,为了能够比较准确的反映出真实的网上银行风险,我们可以使用模糊综合评价法。它正是一种可以较好的评估网上银行风险、定性与定量相结合的系统评估方法,该部分主要结合模糊综合法来对招商银行网上银行的风险进行风险评估分析。
2. 招商银行网上银行风险分析
本文依据层次分析原理构建基本的层次结构图,来描绘招商银行网上银行的各个风险因素指标之间的关系。在上文对于网上银行风险识别的基础上,可总结出,系统风险包含网络技术、外部环境因素;业务风险包含外部环境、经营决策、人力资源、网络技术因素;操作风险包含人力资源、系统与流程、外部环境因素。探究并且整合这些风险敞口,可以将其风险因素归纳为五种:网络技术因素,外部环境因素,人力资源因素,经营决策因素和系统与流程因素。每个风险因素又有各自具体的风险因子。由于风险因子众多,为了便于分析,本文选取几个起决定影响的因子来对招商银行网上银行业务面临的风险进行评估。
(1) 网络维护与防御能力; (2) 产品、服务创新; (3) 客户网络安全意识; (4) 员工职业道德与操守; (5) 规范的系统管理为了便于后面的后续数学计算,采用数学字母表示相应的五个风险因子,从 (1) 到 (5) 分X1 x2 x3 x4 x5,并将影响招商银行网上银行业务风险的因素集,即论域记为U={x1, x2, x3, x4, x5}。根据因素集U中不同因素xi影响网上银行业务风险的相对重要程度赋予各因素相应权重ai, ai>0,∑ai=1, i=1, 2, …, 5,则A={a1, a2, a3, a4, a5}是U上的一个模糊集合。集根据主观经验与判断,可确定模糊集为A={0.35, 0.2, 0.2, 0.1, 0.15}。
根据经验和偏好,可选取评判集为V={优,良,差}。根据对专家、员工、一般群众进行的招商银行网上银行风险评价得出统计,进行数据处理,得出单因素评判结果,如表5-2所示:
表5-2单因素评判结果
于是, 根据表5-2, 可以得到模糊矩阵为
采用bj=V (ai·rij) 对招商银行网上银行风险进行模糊综合评判:
由于b1=V bi,因此可以判定招商银行网上银行业务的风险水平为“优”。
尽管模糊综合评价法的数值取值及本文的评价结构具有一定的主观性和局限性,但是使用模糊综合评价方法对网上银行的风险状况进行分析、评价也不失为一种较好的量化方法。
六、总结
通过定性识别与定量分析结果,可以清楚地认识到招商银行网上银行的风险状况,便于其通过风险识别与分析反映出来的结果来进一步进行风险度量、采取相应对策,这样就可以有效降低网上银行风险,从而降低、控制银行整体风险,实现其经营目标。
参考文献
[1]张金清.金融风险管理, 复旦大学出版社, 2010年版
[2]施兵超, 杨文泽.金融风险管理.上海财经大学出版社, 2002
业务识别 篇8
1 QoS技术
各厂家的QoS管理在标准QoS模型上实现了统一, 当前主要存在InterServ以及DiffServ两个QoS模型。最初只有“尽力而为”一种QoS模型, 也被称为先进先出模型。1994年, 由IETF工作组提出了InterServ模型, 4年后, 由其差分业务组研发出来DiffServ模型。
在QoS控制提供前, 需要对不同的业务流量加以识别并进行分类。在输入业务流量的地方, 不但要识别Tos, 还需要根据协议中相应字段的内容完成对流量的分类工作。完成入口处分类工作后, 一般包头会做出Tos标记。为了更好的适应多业务路由器, IP包头的Tos字段有6bit的DSCP, 其余2bit用来显示堵塞通知;作为城域网及局域网使用范围最广的以太网, 包头中采用的是标准的Tos字段, 3bit IEEE802.1p可以表示八种QoS标记, 并有关于提供QoS的建议;IEEE802.1Q标签, 也就是通常所说的VLAN标签, 可以在保证各个局域网安全性的前提下, 实现多个局域网公用一个物理网络, 其QoS需求主要由一个Tos字段表示。
2 流量识别与QoS控制实现原理
笔者将以在IP/MPLS网络中使用范围最广的DiffServ模型为例, 分析流量识别以及QoS控制的实现原理。
2.1 接入端到网络端的流量映射
假设网流量需要经过3个路由器才能由CE-A到CE-B, 接入端口为面对用户一侧的路由器端口, 剩余的则为网络端口。在节点1输入侧的相关数据中的有关标准Tos字段存在两种可能, 即:可信和不可信, 对这方面起到决定作用的是客户与网络运营商之间签订的服务协议以及CE-A的具体配置。所以, 对于接入端的输入侧, 运营商所采用的节点设备除了要有建立在Tos标准标识基础上的对流量加以分类的性能之外, 还需要能够根据报文头中诸如端口号或者目的IP/MPLS等相关参数进行对流量的分类。
2.2 转发类及优先级
以上海贝尔多业务路由器为例, 可以支持八个转发等级, 并可以实现对任何一个转发等级的流量优先级的区分, 也就是可以将流量分为高、低两个队伍优先级。每个转发等级的表现可以配置, 所以可以根据实际需要对转发等级进行调整。
转发等级可以为峰值速率以及保障速率提供支持。只要核心网中的带宽足以满足需要, 就可以实现高优先级数据包向目的服务节点的传输, 在网络堵塞的情况下, 会自动选择先丢弃低优先级数据包。
对于出现堵塞的队列来说, 在决定数据包是否被丢弃上, 队列等级发挥着较为重要的作用。具体点讲, 就是当队伍达到一定长度时, 如果再有数据包达到, 则首先对其优先级别加以分析, 如果属于高优先级, 则会被接受, 如果属于低优先级, 就会被丢弃。
2.3 报文及队列状态
数据包的队列Profile状态就是数据包的队列等级, 高优先级数据包被称为in-profile, 相应的, 低优先级数据包就被称为是out-of-profile。本文所探讨的上海贝尔多业务路由器中的profile可以适用于数据包及队列, 但二者之间有所差别。
队列的in-profile就意味着队列目前速率不大于CIR, 相应的, 如果队伍处于out-of-profile状态, 就意味着队伍当时的速率处于PIR与CIR之间, 这也表明, 随着速率的变化, 队伍的profile状态也会相应的改变。
由于只有在acccess ingree中优先级才具有讨论意义, 所以在流量的分类阶段仅确定临时性的优先级别, 只有在数据包与acccess ingree相分离时, 才会确定最终的优先级别, 同时, 在数据包进入队伍时, 来自于用户网络的标记也具有可信性。
2.4 网络端口的QoS
QoS策略在网络端口具有方向性, 可以分为入和出两种, 但并不需要对其进行分别部署。由于网络端口与接入端口的网络服务质量控制具有不同的功效, 这可以通过流量的不同处理方式加以体现。网络用户和运营商之间签订的网络服务协议是建立acccess ingree策略的基础, 而网络策略的基础则是网络运营商根据自身实际的运营模型来构建的。
由用户接入侧所确定的转发级别以及队伍的优先级别会在数据包中的某处ToS字段中加以标记, 这样做的目的主要为了避免对流量进行重复分类。因为只要完成了对数据包的标记, 之后的网络节点的输入侧就只会进行对所选定的字段的检查工作, 并根据相应的检查结果对数据包进行再次分类, 并完成最终的转发处理。另外, 为了确保转发等级能够区分出不同的队伍优先等级, 所选定的ToS字段要对16种标记提供支持。
网络输入侧的流量与用户接入侧的流量相比, 更加直接也更加简单, 在不存在可以匹配的映射规则的情况下, 数据包就会相应的做出缺省映射的处理, 如果到达的数据包所使用的标记为802.1p, 就会做出划分到缺省转发等级中的处理。
(上接第220页) (上接第226页) 算机工程与设计, 20 (10) :45-47.
[2]雷纪海.空间辅助决策支持系统的应用模型及管理研究[J].郑州大学学报, 22 (8) :39-41.
[3]刘静亮.电子政务空间辅助决策综合数据管理研究与实践[J].科技博览, 2009, 33 (14) :71-73.
[4]祝平雷.基于GIS与DSS技术的空间辅助决策软件平台设计与开发[J].测绘科学, 2009, 14 (5) :37-39.
参考文献
[1]杨涛.MPLS流量工程中QoS路由算法的研究与仿真[D].沈阳航空工业学院, 2009.
[2]邓宇峰, 傅喜泉.用DiffServMPLS流量工程保证NGN承载网的Qos[J].现代传输, 2006 (2) .
[3]许经彩.基于MPLS网络的QoS路由技术研究[D].山东师范大学, 2010.