深度包检测技术(DPI),也称为应用层流量检测和控制技术,是一种在网络通信中对应用层信息进行分析的技术。它能够在IP数据包、TCP或UDP数据流通过带宽管理系统时,深入读取IP包载荷的内容,重组应用层信息并执行流量整形操作。
分类及特点
分类
特征字识别技术
基于“特征字”的识别技术通过检测业务流中特定数据报文中的“指纹”信息来确定所承载的应用。此技术可分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三类。通过更新“指纹”信息,该技术能方便地扩展功能,支持新协议的检测。
应用层网关识别技术
针对控制流和业务流分离的情况,应用层网关识别技术通过识别控制流并解析其协议内容来识别对应的业务流。例如,SIP/H323协议通过信令交互过程协商数据通道,因此仅检测RTP流不足以确定其来源。
行为模式识别技术
行为模式识别技术通过对终端已实施行为的分析,识别用户的动作或预测即将实施的动作。该技术适用于难以根据协议判断的业务识别,如区分SPAM业务流和普通电子邮件业务流。
特点
应用层加密/解密
深度包检测技术应具备处理SSL加密数据的能力,否则无法分析负载信息,也无法判断是否存在应用层攻击。SSL技术常用于保护关键应用程序的通信数据。
正常化
深度包检测技术通过正常化技术应对字符串匹配问题,防止攻击者利用技术手段绕过安全设备。正常化技术对于防范隐藏在帧数据、Unicode、URL编码等多种形式的攻击至关重要。
协议一致性
深度包检测技术在应用层进行状态检测,通过解码协议报文的不同字段并对照RFC规范来检查其合法性,确保应用层数据流与协议定义相符。
双向负载检测
深度包检测技术能够检查或修改第四至第七层的数据包,包括包头或负载。HTTP深度检测能够查看消息体中的URL、包头和参数等信息,并自动适应服务变量的变化。
功能
业务识别
深度包检测技术可通过两种方式识别业务:一是通过业务流的五元组标识合法业务;二是通过分析IP数据包内容识别其他业务。后者尤其需要DPI技术的支持。
业务控制
识别出业务流后,深度包检测技术可根据网络配置的条件,如用户、时间、带宽、历史流量等,对业务流进行控制,包括正常转发、阻塞、限速、整形、重标记优先级等。
业务统计
DPI技术的业务统计功能有助于直观地了解网络业务流量分布和用户业务使用情况,为网络和业务优化提供决策依据。
参考资料
深度包检测.深度包检测.2024-11-21
深度包检测技术(DPI)介绍及其在国内的应用.知乎专栏.2024-11-21
深度包检测技术详解.深度包检测技术详解.2024-11-21