匹配模式

根據(jù)規(guī)則的特點(diǎn)，可以分為兩種

特征字符串模式：特征字符串模式實(shí)現(xiàn)方法簡(jiǎn)單，將流量的特征字符串提取出來即可進(jìn)行流識(shí)別，不過此種方式描述性較差，需要將流量特征進(jìn)行遍歷，才可以將流量全部識(shí)別出來，通常使用“正則表達(dá)式”來概括性描述，正則表達(dá)式將可能出現(xiàn)的形式進(jìn)行囊括遍歷，此種方式有較強(qiáng)的描述能力，但是識(shí)別性能較差，對(duì)設(shè)備的性能消耗很大。
特定比特流模式：主要是對(duì)應(yīng)用層載荷信息及數(shù)據(jù)流信息進(jìn)行識(shí)別，此類信息是以十六進(jìn)制或者二進(jìn)制形式描述應(yīng)用層的信息，規(guī)則描述性較差，但匹配效率很高。

DPI主要檢測(cè)的幾個(gè)層面

基于三、四層信息識(shí)別 ： 三、四層信息主要是IP地址和PORT信息，將數(shù)據(jù)包的IP地址與業(yè)務(wù)服務(wù) 器IP地址進(jìn)行匹配，若匹配到，則可確定其業(yè)務(wù)類型及名稱，常用業(yè)務(wù)口地址 需長(zhǎng)期收集和動(dòng)態(tài)更新。根據(jù)公知端口來區(qū)分具體的業(yè)務(wù)，如服務(wù)器端口為80 為HTTP業(yè)務(wù)，端口號(hào)為21即為FTP業(yè)務(wù)，110即為郵件業(yè)務(wù)等。
基于單包DPI ： 單個(gè)數(shù)據(jù)包可以解析到七層信息，通過報(bào)文中的關(guān)鍵字符串識(shí)別業(yè)務(wù)，如多 數(shù)APP利用HTTP承載報(bào)文HOST、URI字段的信息；報(bào)文中還有一類重要的 指紋信息，如微信載荷中的0x00100001相對(duì)固定，可以作為微信應(yīng)用的特征來 匹配。
基于多包DPI ： 多包DPI即根據(jù)同一個(gè)數(shù)據(jù)流匯總多個(gè)數(shù)據(jù)包的關(guān)聯(lián)規(guī)律識(shí)別[19]。挖掘多 個(gè)數(shù)據(jù)包的七層信息并進(jìn)行關(guān)聯(lián)識(shí)別，通常和單包DPI方式聯(lián)合識(shí)別，如連接建立后連續(xù)發(fā)3個(gè)載荷為100字節(jié)的包，或3個(gè)包的第一個(gè)字節(jié)分別為01、02、003，此類規(guī)則信息可以作為整個(gè)流的特征。
基于DFI：
DFI是根據(jù)多個(gè)數(shù)據(jù)流的統(tǒng)計(jì)特征和連接行為識(shí)別的，統(tǒng)計(jì)特征是分析數(shù)據(jù)流參數(shù)，如包長(zhǎng)度分布、包達(dá)到間隔、流大小、流連續(xù)時(shí)間、流空閑時(shí)間、信令包與數(shù)據(jù)包的比例掣；連接行為包含分析通信模式，如所使用的協(xié)議個(gè)數(shù)，
連接的主機(jī)數(shù)目，連接的端口數(shù)等。

DPI主要功能

業(yè)務(wù)識(shí)別： 業(yè)務(wù)識(shí)別是DPI最基本、最重要的功能，即能夠在網(wǎng)絡(luò)流量中準(zhǔn)確辨別出所承載的業(yè)務(wù)類型。業(yè)務(wù)識(shí)別主要分為對(duì)運(yùn)營(yíng)商開通的合法業(yè)務(wù)和運(yùn)營(yíng)商需要進(jìn)行監(jiān)管的業(yè)務(wù)進(jìn)行識(shí)別。其中第一類業(yè)務(wù)可以通過五元組來進(jìn)行識(shí)別，此類業(yè)務(wù)IP地址和端口固定。第二種需要通過DPI技術(shù)來進(jìn)行深度檢測(cè)，通過解析數(shù)據(jù)包來確定業(yè)務(wù)具體內(nèi)容和信息。
業(yè)務(wù)控制：通過深度包檢測(cè)將業(yè)務(wù)識(shí)別出來之后，可以根據(jù)既定的策略對(duì)網(wǎng)絡(luò)進(jìn)行配置，從而對(duì)業(yè)務(wù)流實(shí)現(xiàn)控制，主要包括轉(zhuǎn)發(fā)流向、限制帶寬、阻斷、整形、丟棄 等處理。
業(yè)務(wù)統(tǒng)計(jì) 深度包檢測(cè)技術(shù)的業(yè)務(wù)統(tǒng)計(jì)功能是基于識(shí)別結(jié)果的，對(duì)一定時(shí)間內(nèi)的流量行 為進(jìn)行統(tǒng)計(jì)，如流量流向、業(yè)務(wù)占比、訪問網(wǎng)站TOPN等。統(tǒng)計(jì)應(yīng)用類型的使 用比率調(diào)整該業(yè)務(wù)的服務(wù)優(yōu)先級(jí)，統(tǒng)計(jì)用戶正在使用哪種業(yè)務(wù)進(jìn)行視頻播放、即 時(shí)通訊、購物支付以及游戲娛樂，也可以統(tǒng)計(jì)出消耗網(wǎng)絡(luò)帶寬的非法P2P、VOIP 業(yè)務(wù)等等。

DPI接入方式

串接方式： 直接將DPI設(shè)備以串接的方式部署在網(wǎng)絡(luò)鏈路之間。串接方式以直連的形 式接入，不需要進(jìn)行網(wǎng)絡(luò)連接配置，直接通過數(shù)據(jù)鏈路層二層透?jìng)?，串接方式?duì) 設(shè)備性能和可靠性都有很高的要求。串接方式的優(yōu)點(diǎn)在于較好的網(wǎng)絡(luò)控制， 能夠及時(shí)對(duì)流量進(jìn)行阻斷和整形。但是該種方式也引入了故障點(diǎn)的缺陷，為增強(qiáng) 設(shè)備的可靠性，通常在設(shè)備前段加入光路保護(hù)器，從而減小在設(shè)備升級(jí)或故障時(shí)對(duì)現(xiàn)網(wǎng)的影響。

并接方式 ： 并接方式是采用分光器等設(shè)備將網(wǎng)間的信號(hào)鏡像到旁路的DPI設(shè)備當(dāng)中， 并不影響原鏈路的數(shù)據(jù)傳輸。采用并接方式，通常用于業(yè)務(wù)的識(shí)別和統(tǒng)計(jì)，上網(wǎng) 日志的留存等，在網(wǎng)絡(luò)控制方面，只能通過干擾的方式進(jìn)行流量控制，不能對(duì)網(wǎng) 絡(luò)流量進(jìn)行直接的控制和管理。同時(shí)，并接方式對(duì)TCP和UDP采用不同的控制策略。對(duì)于TCP流，并接方式通過發(fā)送reset或6n分組，終止連接來進(jìn)行控 制。而對(duì)于UDP流而言，主要是發(fā)送偽造分組，劣化通信質(zhì)量來進(jìn)行網(wǎng)絡(luò)干擾。 并接方式可靠性高，對(duì)現(xiàn)網(wǎng)業(yè)務(wù)無任何影響，設(shè)備性能要求低，可以適度緩存流 量進(jìn)行識(shí)別即可，沒有轉(zhuǎn)發(fā)的需求。

DPI存在問題

網(wǎng)絡(luò)建設(shè)是一個(gè)龐大而復(fù)雜的系統(tǒng)工程，在部署網(wǎng)絡(luò)時(shí)，首先考慮的是業(yè)務(wù)的實(shí)現(xiàn)方案，而網(wǎng)絡(luò)可視化方案被置后處理甚至不處理。等到有可視化的需求之后，再加裝分光設(shè)備，這導(dǎo)致每次增加網(wǎng)絡(luò)可視化設(shè)備都需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造，對(duì)業(yè)務(wù)和運(yùn)維人員都是巨大的挑戰(zhàn)。

網(wǎng)絡(luò)管理、應(yīng)用管理、安全管理、業(yè)務(wù)平臺(tái)等不同職能部門各自有不同的功能需求，各自規(guī)劃自己的網(wǎng)絡(luò)可視化方案，在同一條鏈路上，可能會(huì)部署多次，重復(fù)建設(shè)。

應(yīng)用分析僅需要提取特定的流量，而分光器不加區(qū)分，將所有流量全部復(fù)制給DPI設(shè)備，增加DPI設(shè)備壓力，效率低下。雖然部署前置機(jī)之后對(duì)流量進(jìn)行了選擇性過濾，但是前置機(jī)的過濾規(guī)則是靜態(tài)的，不能自動(dòng)化調(diào)整，且一臺(tái)前置機(jī)只能服務(wù)一種特定業(yè)務(wù)，造成資源的浪費(fèi)。

在網(wǎng)絡(luò)建設(shè)前期，沒有對(duì)網(wǎng)絡(luò)可視化和應(yīng)用可視化給予足夠的重視，等有需求之后，再通過在網(wǎng)絡(luò)節(jié)點(diǎn)上打補(bǔ)丁，解決架構(gòu)上的問題，這種解決方案，存在眾多通用性和兼容性等問題，實(shí)現(xiàn)效率低下。

目前的DPI設(shè)備形式無法適應(yīng)“大數(shù)據(jù)”“云計(jì)算”等新技術(shù)所提出的虛擬化的要求，無法適應(yīng)網(wǎng)絡(luò)云化的趨勢(shì)。

---

參考文獻(xiàn)《基于SDN深度包檢測(cè)技術(shù)研究》--姚龍

總結(jié)

以上是生活随笔為你收集整理的DPI技术简介的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。