DPI被称为“深度包检测”和“深度包检测”。DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当IP包,或UDP数据流通过基于DPI技术的带宽管理系统时,系统通过深度读取IP包的内容,重组OSI7层协议中的应用层信息,从而获得整个应用程序的内容,然后根据系统定义的管理策略对流量进行整形。
根据协议类型的不同,DPI识别技术可以分为以下三类:
字符识别技术:
不同的应用通常采用不同的协议,每个协议都有自己特殊的指纹,可能是特定的端口、特定的字符串或者特定的位序列。基于特征词的识别技术是通过识别数据报文中的指纹信息来识别服务所承载的应用。根据检测方法的不同,基于特征词的识别技术可以细分为三个分支:固定特征位置匹配、变化特征位置匹配和状态特征词匹配。通过升级指纹信息,基于特征词的识别技术可以很容易地扩展到新协议的检测。
应用层网关识别技术;
在业务中,有一类控制流是从业务流中分离出来的,比如七号信令相关的业务,其业务流没有特征。应用层网管识别技术就是针对这类业务的。首先应用层网管识别控制流,然后根据控制流协议选择特定的应用层网关对业务流进行分析,从而识别出对应的业务流。对于每个协议,需要不同的应用层网关来分析它。比如H323、SIP等协议就属于这一类,其数据通道是通过信令交互过程协商获得的,一般是封装成RTP格式的语音流。单纯检测RTP流并不能确定这个RTP流是通过哪种协议建立的,也就是判断它是哪种业务。只有检测SIP或H232的协议交互,才能得到其完整的分析。
模式识别技术:
在实施行为模式技术之前,运营商必须首先研究终端的各种行为,并在此基础上建立行为识别模型。行为模式识别技术是在行为识别模型的基础上,根据客户已经实施的动作来判断客户正在进行的动作或即将进行的动作。
模式识别技术通常用于协议本身无法识别的业务。例如,从电子邮件的内容来看,垃圾邮件和普通邮件的业务流程没有区别。只有通过进一步的分析,根据发送邮件的大小和频率、目的邮件和源邮件的地址、更改频率和拒绝频率的综合分析,才能建立综合识别模型,确定是否为垃圾邮件。
这三种识别技术适用于不同类型的协议,不能相互替代。只有综合运用这三种技术,才能有效灵活地识别网络上的各种应用,从而实现控制和计费。
DFI(深度/动态流量检测)在应用层的负载匹配上不同于DPI。它采用了一种基于流量行为的应用识别技术,即不同的应用类型在会话连接或数据流中有不同的状态。
比如互联网上的IP语音流量的特点非常明显:RTP流的包长比较固定,一般为130 ~ 220字节,接通率比较低,20 ~ 84 kbit/s,会话时长比较长;基于P2P下载应用的流量模型的特点是平均数据包长度超过450字节,下载时间长,连接率高,TCP为首选传输层协议。基于这一系列的交通行为特征,DFI科技建立了一个交通特征模型,并与ana的交通模型进行了比较
使用DPI技术,我们需要对每个包进行解包,并与后台数据库进行比较。使用DFI技术分析流量只需要将流量特征与背景流量模型进行比较。因此,目前大多数基于DPI的带宽管理系统的处理能力可以达到1Gbit/s的线速,而基于DFI的系统可以达到10Gbit/s的流量监控能力,完全可以满足运营商的需求。
DFI的维护成本相对较低:
基于DPI技术的带宽管理系统总是滞后于新的应用,需要跟上新协议和新应用的出现,不断升级后台应用数据库,否则将无法有效识别和管理新技术下的带宽,提高模式匹配的效率。而基于DFI技术的系统在管理和维护上的工作量比DPI系统要小,因为新应用和同类型老应用的流量特性不会有大的变化,所以不需要频繁升级流量行为模型。
识别精度不同:
由于DPI采用逐包分析和模式匹配技术,因此可以准确识别流量中的特定应用类型和协议。但是,DFI只分析交通行为,所以它只能对应用类型进行大致分类。比如符合P2P流量模型的应用统一标识为P2P流量,符合网络语音流量模型的应用统一归类为VOIP流量。但无法判断流量采用的是H.323还是其他协议。如果对数据包进行加密,DPI模式的流控技术无法识别其具体应用,而DFI模式的流控技术不受影响,因为应用流的状态和行为特征不会因为加密而发生根本改变。
标签:技术协议流量