深度包檢測技術(DPI),也稱為應用層流量檢測和控制技術,是一種在網絡通信中對應用層信息進行分析的技術。它能夠在IP數據包、TCP或UDP數據流通過帶寬管理系統時,深入讀取IP包載荷的內容,重組應用層信息并執行流量整形操作。
分類及特點
分類
特征字識別技術
基于“特征字”的識別技術通過檢測業務流中特定數據報文中的“指紋”信息來確定所承載的應用。此技術可分為固定位置特征字匹配、變動位置的特征匹配以及狀態特征匹配三類。通過更新“指紋”信息,該技術能方便地擴展功能,支持新協議的檢測。
應用層網關識別技術
針對控制流和業務流分離的情況,應用層網關識別技術通過識別控制流并解析其協議內容來識別對應的業務流。例如,SIP/H323協議通過信令交互過程協商數據通道,因此僅檢測RTP流不足以確定其來源。
行為模式識別技術
行為模式識別技術通過對終端已實施行為的分析,識別用戶的動作或預測即將實施的動作。該技術適用于難以根據協議判斷的業務識別,如區分SPAM業務流和普通電子郵件業務流。
特點
應用層加密/解密
深度包檢測技術應具備處理SSL加密數據的能力,否則無法分析負載信息,也無法判斷是否存在應用層攻擊。SSL技術常用于保護關鍵應用程序的通信數據。
正常化
深度包檢測技術通過正常化技術應對字符串匹配問題,防止攻擊者利用技術手段繞過安全設備。正常化技術對于防范隱藏在幀數據、Unicode、URL編碼等多種形式的攻擊至關重要。
協議一致性
深度包檢測技術在應用層進行狀態檢測,通過解碼協議報文的不同字段并對照RFC規范來檢查其合法性,確保應用層數據流與協議定義相符。
雙向負載檢測
深度包檢測技術能夠檢查或修改第四至第七層的數據包,包括包頭或負載。HTTP深度檢測能夠查看消息體中的URL、包頭和參數等信息,并自動適應服務變量的變化。
功能
業務識別
深度包檢測技術可通過兩種方式識別業務:一是通過業務流的五元組標識合法業務;二是通過分析IP數據包內容識別其他業務。后者尤其需要DPI技術的支持。
業務控制
識別出業務流后,深度包檢測技術可根據網絡配置的條件,如用戶、時間、帶寬、歷史流量等,對業務流進行控制,包括正常轉發、阻塞、限速、整形、重標記優先級等。
業務統計
DPI技術的業務統計功能有助于直觀地了解網絡業務流量分布和用戶業務使用情況,為網絡和業務優化提供決策依據。
參考資料 >
深度包檢測.深度包檢測.2024-11-21
深度包檢測技術(DPI)介紹及其在國內的應用.知乎專欄.2024-11-21
深度包檢測技術詳解.深度包檢測技術詳解.2024-11-21