DPI技术简介_精品文档.pdfVIP

DPI技技术术简简介介

匹匹配配模模式式

根据规则的特点，可以分为两种

特征字符串模式：特征字符串模式实现⽅法简，将流量的特征字符串提取出来即可进⾏流识别，不过此种⽅式描述性较差，需要将

流量特征进⾏遍历，才可以将流量全部识别出来，通常使⽤“正则表达式”来概括性描述，正则表达式将可能出现的形式进⾏囊括遍历，

此种⽅式有较强的描述能⼒，但是识别性能较差，对设备的性能消耗很⼤。

特定⽐特流模式：主要是对应⽤层载荷信息及数据流信息进⾏识别，此类信息是以⼗六进制或者⼆进制形式描述应⽤层的信息，规则

描述性较差，但匹配效率很⾼。

DPI主主要要检检测测的的⼏⼏个个层层⾯⾯

基于三、四层信息识别：三、四层信息主要是IP地址和PORT信息，将数据包的IP地址与业务服务器IP地址进⾏匹配，若匹配到，则

可确定其业务类型及名称，常⽤业务⼝地址需长期收集和动态更新。根据公知端⼝来区分具体的业务，如服务器端⼝为80为HTTP业

务，端⼝号为21即为FTP业务，110即为邮件业务等。

基于包DPI：个数据包可以解析到七层信息，通过报⽂中的关键字符串识别业务，如多数APP利⽤HTTP承载报⽂HOST、URI字

段的信息；报⽂中还有⼀类重要的指纹信息，如微信载荷中的0对固定，可以作为微信应⽤的特征来匹配。

基于多包DPI：多包DPI即根据同⼀个数据流汇总多个数据包的关联规律识别[19]。挖掘多个数据包的七层信息并进⾏关联识别，通常

和包DPI⽅式联合识别，如连接建⽴后连续发3个载荷为100字节的包，或3个包的第⼀个字节分别为01、02、003，此类规则信息可

以作为整个流的特征。

基于DFI：

DFI是根据多个数据流的统计特征和连接⾏为识别的，统计特征是分析数据流参数，如包长度分布、包达到间隔、流⼤⼩、流连续时

间、流空闲时间、信令包与数据包的⽐例掣；连接⾏为包含分析通信模式，如所使⽤的协议个数，

连接的主机数⽬，连接的端⼝数等。

DPI主主要要功功能能

业务识别：业务识别是DPI最基本、最重要的功能，即能够在⽹络流量中准确辨别出所承载的业务类型。业务识别主要分为对运营商

开通的合法业务和运营商需要进⾏监管的业务进⾏识别。其中第⼀类业务可以通过五元组来进⾏识别，此类业务IP地址和端⼝固定。

第⼆种需要通过DPI技术来进⾏深度检测，通过解析数据包来确定业务具体内容和信息。

业务控制：通过深度包检测将业务识别出来之后，可以根据既定的策略对⽹络进⾏配置，从⽽对业务流实现控制，主要包括转发流

向、限制带宽、阻断、整形、丢弃等处理。

业务统计深度包检测技术的业务统计功能是基于识别结果的，对⼀定时间内的流量⾏为进⾏统计，如流量流向、业务占⽐、访问⽹站

TOPN等。统计应⽤类型的使⽤⽐率调整该业务的服务优先级，统计⽤户正在使⽤哪种业务进⾏视频播放、即时通讯、购物⽀付以及

游戏娱乐，也可以统计出消耗⽹络带宽的⾮法P2P、VOIP业务等等。

DPI接接⼊⼊⽅⽅式式

串接⽅式：直接将DPI设备以串接的⽅式部署在⽹络链路之间。串接⽅式以直连的形式接⼊，不需要进⾏⽹络连接配置，直接通过数

据链路层⼆层透传，串接⽅式对设备性能和可靠性都有很⾼的要求。串接⽅式的优点在于较好的⽹络控制，能够及时对流量进⾏阻断

和整形。但是该种⽅式也引⼊了故障点的缺陷，为增强设备的可靠性，通常在设备前段加⼊光路保护器，从⽽减⼩在设备升级或故障

时对现⽹的影响。

并接⽅式：并接⽅式是采⽤分光器等设备将⽹间的信号镜像到旁路的DPI设备当中，并不影响原链路的数据传输。采⽤并接⽅式，通

常⽤于业务的识别和统计，上⽹⽇志的留存等，在⽹络控制⽅⾯，只能通过⼲扰的⽅式进⾏流量控制，不能对⽹络流量进⾏直接的控

制和管理。同时，并接⽅式对TCP和UDP采⽤不同的控制策略。对于TCP流，并接⽅式通过发送reset或6分组，终⽌连接来进⾏控

制。⽽对于UDP流⽽⾔，主要是发送伪造分组，劣化通信质量来进⾏⽹络⼲扰。并接⽅式可靠性⾼，对现⽹业务⽆任何影响，设备性

能要求低，可以适度缓存流量进⾏识别即可，没有转发的需求。

DPI存存在在问问题题

⽹络建设是⼀个庞⼤⽽复杂的系统⼯程，在部署⽹络时，⾸先考虑的是业务的实现⽅案，⽽⽹络可视化⽅案被置后处理甚⾄