DPI（DeepPacketInspection）深度包检测技术

协商得到其数据通道，⼀般是RTP格式封装的语⾳流。也就是说，纯粹检测 RTP 流并不能得出这条RTP流是那通过那种协议建⽴的。 只有通过检测 SIP/H323 的协议交互，才能得到其完整的分析。 3. ⾏为模式识别技术⾏为模式识别技术基于对终端已经实施的⾏为的分析，判断出⽤户正在进⾏的动作或者即将实施的动作。⾏为模式 识别技术通常⽤于⽆法根据协议判断的业务的识 别。例如：SPAM（垃圾邮件）业务流和普通的 Email 业务流从 Email 的内容上看是 完全⼀致的，只有通过对⽤户⾏为的分析，才能够准确的识别出 SPAM 业务。 四、重要应⽤ 深度数据包检测(DPI)是⼀项已经在流量管理、安全和⽹络分析等⽅⾯获得成功的技术，同时该技术能够对⽹络数据包进⾏内容分析，但⼜ 与header或者基于元数据的数据包检测有所不同，这两种检测通常是由交换机、防⽕墙和⼊侵检测系统/IPS设备来执⾏的。通常的 DPI 解决 ⽅案能够为不同的应⽤程序提供深度数据包检测。 只针对header的处理限制了能够从数据包处理过程中看到的内容，并且不能够检测基于内容的威胁或者区分使⽤共同通信平台的应⽤程序。 DPI 能够检测出数据包的内容及有效负载并且能够提取出内容级别的信息，如恶意软件、具体数据和应⽤程序类型。 随着⽹络运营商、互联⽹服务提供商(ISP)以及类似的公司越来越依赖于其⽹络以及⽹络上运⾏的应⽤程序的效率，管理带宽和控制通信的复 杂性以及安全的需要变得越来越重要。DPI 恰好能够提供这些要求，寻求更好的⽹络管理以及合规的⽤户企业应该把 DPI 作为⼀项重要的技 术。 DPI 技术⾸先能够将数据包组装到⽹络的流量中，数据处理(包括协议分类)接着可以从流量内容中提取信息，流量重组和内容提取都需要⼤ 量处理能⼒，尤其是在⾼流量的数据流中。成功的 DPI 技术必须能够提供基本功能，如⾼性能计算和对分析任务的灵活的⽀持。 DPI 处理部门必须能够提供符合通信⽹络性能的可扩扎性和性能，深度内容检测要求⽐仅仅是header检测更加多的处理。因此，DPI 通常使 ⽤并⾏处理结构来加快计算任务。DPI 技术最终能够向⽤户提供从⽹络流量中提取出的信息，实际内容处理可能与提取出的信息有很⼤差 异，DPI 技术的表现有点像⼀个平台，提供内容处理的实⽤⼯具，但是可以让⽤户决定处理哪些内容。 五、服务供应商使⽤ DPI 来分离⽹络流量 很多服务供应商现在使⽤ DPI 来将流量分为低延时(语⾳)、保证延时(⽹络流量)、保证交付(应⽤流量)和尽最⼤努⼒交付的应⽤程序(⽂件共 享)。使⽤这种分类，他们可以更好的根据关键任务流量、⾮关键流量来优化资源并减少⽹络拥挤。因为廉价的带宽，服务供应商可以增加 增值服务来获得额外的收⼊，包括安全、⾼峰使⽤管理、内容计费和针对性的⼴告。这些都需要对⽹络流量的深度检测。 六、⼤型企业可以使⽤ DPI 来管理⽹络性能 拥有⼤型⽹络覆盖很多地理区域的企业在他们的内部⽹络间可能运⾏着完全不同的通信类型。除了控制成本和带宽使⽤外，安全⼀直是⼀个 挑战，这要求对⽹络应⽤程序流量的理解。这些企业已经开始看到 DPI 分析带来的好处，例如，⽹络管理员可以使⽤ DPI 技术来控制⽹络 性能，当⽹络性能较低时，限制某种应⽤程序流量，当性能恢复到正常时，再提升流量。 现在越来越多的⽹络安全功能需要有效载荷级别的知识，数据泄漏防护要求深度理解通过线路发送的实际内容。应⽤层防⽕墙负责有效载荷 的内容，⽽不是 Header 内容。在云计算中的安全服务提供商，如反垃圾邮件或者 Web 过滤服务等供应商，必须获取通过多个客户通信的 实时可见的内容，以便迅速获取抵御威胁和攻击的信息。这样也要求内容级别的情报。 　 传统上来说，这些安全功能都由特殊⽤途的技术所提供，这些可能包括⼀些 DPI 功能。例如，IPS 就有内置的 DPI。保护 Web ⽹关同样提 供对 Web 内容的 DPI 分析，但是每种特殊⽤途技术引⽤其特殊的⽬的或者不兼容的软件，都会使⽹络基础设施效率低下。⼀个数据包可能 会因为多种⽤途⽽被进⾏多次检查。另外，这些技术并不能提供可编程的接⼝，这就以为着你不能够提取任意信息。 除了安全问题外，DPI 对于云计算服务供应商还有着重⼤的影响，对于云计算供应商⽽⾔，服务订阅和⽤户管理是⼀个重⼤挑战。很多供应 商使⽤⾃⾝开发的或者现成的技术来管理服务订阅，他们发现这样做既缺乏可扩展性⼜不能为复杂的管理任务提供⾜够的信息。另⼀⽅ ⾯，DPI 能够提供关于⽤户流量、应⽤程序使⽤、内容传递和异常模式的情报信息，这些服务供应商还可以利⽤可编程界⾯来收集其他有⽤ 信息，如市场营销情报和客户档案等。 七、编辑本段深度数据包检测仍然⾯临着挑战 作为⼀个相对年轻的市场，DPI ⾏业还⾯临着很多挑战，例如： 1. 不存在标准的基准。现在的 DPI 市场还充满了困惑的、⼀站式的、针对特定应⽤程序的性能信息，这个⾏业需要标准基准来规定连接 安全时间、TCP、UDP 和吞吐量测试等。这些基准对于在相互竞争的产品间建⽴可⽐性能指标是很重要的。 2. 不同的 DPI 技术不断的涌现，“OpenDPI” 将允许第三⽅开发者在不同的商业解决⽅案上编写 DPI 应⽤程序。 3. DPI 技术市场将继续存在下去，现在看来，这个市场的应⽤程序可能还是分散和不⼀致的，但是存在的巨⼤潜⼒和⾏业利益将最终推 动其⾛向标准和开放的市场。

上一页第2页