DPI技术白皮书.pdf

DPI 技术白皮书 DPI 技术白皮书 2009 年3 月 DPI 技术白皮书 目 录 1. 前言 2 2. DPI 技术 2 2.1. 使用特征字与掩码相结合的协议识别 3 2.2. 使用正则表达式库的协议识别 3 3. DPI 引擎 4 3.1. NFA 与 DFA 的区别 4 3.2. 正则表达式特征库至 DFA 的转换 5 3.2.1. 正则表达式-NFA 5 3.2.2. NFA-DFA 6 3.2.3. 最小化 DFA 7 3.3. 数据包匹配模式 8 3.3.1. 单包匹配方式 8 3.3.2. 有选择的多包匹配方式 8 3.4. DFA 匹配方式 9 4. 综述 9 - I - 前言 在当今高速大容量的 Internet 环境中，内容安全是网络安全的重要组成部分。对于网络 管理来说，最重要的就是识别和区分网络流量，通过协议识别可以对网络进行流量控制、网 络计费、内容过滤、以及流量管理。 传统的协议识别采用的是端口识别，这种识别能达到较高的速率，但是现在大量的应用 层协议为了避免识别，逃避防火墙的检查，不使用固定的端口进行通信.这不仅包括众多近 年新出现的 P2P 协议，而且包括了越来越多的传统协议，比如 BitTorrent、eMule 等 P2P 协议，其采用动态端口进行通信；Skype、QQ 等协议则共用 80 端口。越来越多诸如此类 协议的产生，使得端口识别已无能无力，因此近年来很多的研究工作都致力于开发新的方法 来识别应用层协议。 DPI （Deep Packet Inspection，深度包检测）技术是近年来出现的一种协议识别技术， DPI 技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控 制技术，当 IP 数据包、TCP 或 UDP 数据流经过基于 DPI 技术的网络设备时，DPI 引擎通 过深入读取 IP 包载荷的内容来对 OSI 7 层协议中的应用层信息进行重组，从识别出 IP 包的 应用层协议。 DPI 技术 传统的 IP 包流量识别和 QoS 控制技术，仅对 IP 包头中的“5Tuples”,即“五元组”信息进 行分析，来确定当前流量的基本信息，传统 IP 路由器也正是通过这一系列信息来实现一定 程度的流量识别和 QoS 保障的，但其仅仅分析 IP 包的四层以下的内容，包括源地址、目的 地址、源端口、目的端口以及协议类型，随着网上应用类型的不断丰富，仅通过第四层端口 信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加 密方式进行传输的应用类型。 DPI 技术技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量 检测和控制技术，当 IP 数据包、TCP 或 UDP 数据流经过基于 DPI 技术的带宽管理系统时， 该系统通过深入读取 IP 包载荷的内容来对 OSI7 层协议中的应用层信息进行重组，从而得 到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。 不同的应用通常会采用不同的协议，而各种协议都有其特殊的指纹，这些指纹可能是特 定的端口、特定的字符串或者特定的 Bit 序列。基于特征字的识别技术，正是通过识别数据 报文中的指纹信息来确定业务所承载的应用。根据具体检测方式的不同，基于特征字的识别 技术又可细分为固定特征位置匹配、变动特征位置匹配和状态特征字匹配三种分支技术。通 过对指纹信息的升级，基于特