DPI(深度报文检测),其中的“深度”是相对普通报文而言的。其具有几个特点:基于报文特征分析、流量复制后分析。
普通报文仅检测IP包的以下5个元素:源地址、目的地址、源端口、目的端口和协议类型,其通过端口号来识别应用类型,就容易导致一些病毒或垃圾应用采用假冒端口号的方式伪装成合法报文,那么就没法检测。
DPI除了以上5个元素外,还添加了对应用层的分析,可以识别到各种应用及其内容。
DPI常用识别技术
特征识别:不同的应用会采用不同的协议,从而使得每个应用都有自己的指纹特征。采用基于特征的识别技术,可以识别业务流所承载的应用。
关联识别:像在线游戏等业务采用控制流与业务流分离的模式,通过控制流完成握手,而业务流没有任何特征。因此,首先要由网关识别出控制流,然后根据控制流协议识别出业务流的端口等信息,从而识别业务流。
行为识别:基于终端的行为进行分析,判断用户正在进行的动作,常用于无法通过协议判断的业务识别,如垃圾邮件。
铺垫了那么多,我们接下来看最核心的内容——DPI能做什么。
DPI实现的功能
应用分析——网络流量构成分析、性能分析、流向分析等;
用户分析——用户群区分、行为分析、终端分析、趋势分析等;
网元分析——根据区域属性、基站负载等进行分析;
流量管控——P2P限速、带宽保证、网络资源优化等;
安全保障——防范DDoS攻击、数据广播风暴、恶意病毒攻击等。
DPI识别APP数据的能力
分为两个维度
一是看DPI能识别的协议的数量,能够识别出的协议越多,则DPI的控制就越精确,控制范围就越广。
二是看从新协议出现到能够是别的响应速度。
