DPI深度包檢測(cè)技術(shù)及其作用

1、dpi深度包檢測(cè)技術(shù)及其作用何謂dpidpi 全稱為“deep packet inspection”，稱為“深度包檢測(cè)”。所謂“深度”是和普通的報(bào)文分析層次相比較而言的，“普通報(bào)文檢測(cè)”僅分析ip包的層4 以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而dpi 除了對(duì)前面的層次分析外，還增加了應(yīng)用層分析，識(shí)別各種應(yīng)用及其內(nèi)容，基本概念如下圖所示：窗體頂端窗體底端dpi技術(shù)原理dpi 的技術(shù)關(guān)鍵是高效的識(shí)別出網(wǎng)絡(luò)上的各種應(yīng)用。普通報(bào)文檢測(cè)是通過端口號(hào)來識(shí)別應(yīng)用類型的。如檢測(cè)到端口號(hào)為80時(shí)，則認(rèn)為該應(yīng)用代表著普通上網(wǎng)應(yīng)用。而當(dāng)前網(wǎng)絡(luò)上的一些非法應(yīng)用會(huì)采用隱藏或假冒端口號(hào)的方式躲

2、避檢測(cè)和監(jiān)管，造成仿冒合法報(bào)文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò)。此時(shí)采用l2l4層的傳統(tǒng)檢測(cè)方法已無能為力了。dpi 技術(shù)就是通過對(duì)應(yīng)用流中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行探測(cè)，從而確定數(shù)據(jù)報(bào)文的真正應(yīng)用。因?yàn)榉欠☉?yīng)用可以隱藏端口號(hào)，但目前較難以隱藏應(yīng)用層的協(xié)議特征。dpi的識(shí)別技術(shù)可以分為以下幾大類：（1）基于“特征字”的識(shí)別技術(shù)不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的bit 序列?；凇疤卣髯帧钡淖R(shí)別技術(shù)通過對(duì)業(yè)務(wù)流中特定數(shù)據(jù)報(bào)文中的“指紋”信息的檢測(cè)以確定業(yè)務(wù)流承載的應(yīng)用。根據(jù)具體檢測(cè)方式的不同，基于“特征字”的識(shí)別技術(shù)又可以被分為固定位置特征字

3、匹配、變動(dòng)位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過對(duì)“指紋”信息的升級(jí)，基于特征的識(shí)別技術(shù)可以很方便的進(jìn)行功能擴(kuò)展，實(shí)現(xiàn)對(duì)新協(xié)議的檢測(cè)。如：bittorrent 協(xié)議的識(shí)別，通過反向工程的方法對(duì)其對(duì)等協(xié)議進(jìn)行分析，所謂對(duì)等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對(duì)等協(xié)議由一個(gè)握手開始，后面是循環(huán)的消息流，每個(gè)消息的前面，都有一個(gè)數(shù)字來表示消息的長(zhǎng)度。在其握手過程中，首先是先發(fā)送19，跟著是字符串“bittorrent protocol”。那么“19bittorrent protocol”就是bittorrent的“特征字”。（2）應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，

4、業(yè)務(wù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識(shí)別出控制流，并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行解析，從協(xié)議內(nèi)容中識(shí)別出相應(yīng)的業(yè)務(wù)流。對(duì)于每一個(gè)協(xié)議，需要有不同的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行分析。如sip、h323協(xié)議都屬于這種類型。sip/h323通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是rtp格式封裝的語音流。也就是說，純粹檢測(cè)rtp流并不能得出這條rtp流是那通過那種協(xié)議建立的。只有通過檢測(cè)sip/h323的協(xié)議交互，才能得到其完整的分析。（3）行為模式識(shí)別技術(shù)行為模式識(shí)別技術(shù)基于對(duì)終端已經(jīng)實(shí)施的行為的分析，判斷出用戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作

5、。行為模式識(shí)別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識(shí)別。例如：spam（垃圾郵件）業(yè)務(wù)流和普通的email業(yè)務(wù)流從email的內(nèi)容上看是完全一致的，只有通過對(duì)用戶行為的分析，才能夠準(zhǔn)確的識(shí)別出spam業(yè)務(wù)。以上三種識(shí)別技術(shù)分別用于不同類型協(xié)議的識(shí)別，無法相互替代。而華為公司在應(yīng)用dpi 技術(shù)部署dpi 系統(tǒng)時(shí)采用了多業(yè)務(wù)控制網(wǎng)關(guān)mscg分層dpi 解決方案，綜合運(yùn)用了這三種技術(shù)，在檢測(cè)效率和靈活性方面均達(dá)到最優(yōu)。dpi 技術(shù)的應(yīng)用利用dpi 技術(shù)在ip網(wǎng)絡(luò)中部署dpi 系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營中的業(yè)務(wù)識(shí)別、業(yè)務(wù)控制和業(yè)務(wù)統(tǒng)計(jì)三大功能。業(yè)務(wù)識(shí)別一般而言，對(duì)于業(yè)務(wù)識(shí)別有兩種方法，一種是對(duì)運(yùn)營商開通的合法

6、業(yè)務(wù)，另外一種是運(yùn)營商需要進(jìn)行監(jiān)管的業(yè)務(wù)。前者可以通過業(yè)務(wù)流的五元組來標(biāo)識(shí)，如vod業(yè)務(wù)，其業(yè)務(wù)流的地址是屬于vod服務(wù)器網(wǎng)段的地址，其端口是一個(gè)固定的端口。系統(tǒng)一般采用acl的方式，識(shí)別出該類業(yè)務(wù)。后者需求dpi技術(shù)，通過前述的業(yè)務(wù)識(shí)別方法，通過對(duì)ip數(shù)據(jù)包的內(nèi)容進(jìn)行分析，通過特征字的查找或者業(yè)務(wù)的行為統(tǒng)計(jì)，得到業(yè)務(wù)流的類型。業(yè)務(wù)控制通過dpi 技術(shù)識(shí)別出各類業(yè)務(wù)流之后，根據(jù)網(wǎng)絡(luò)配置的組合條件，如用戶、時(shí)間、帶寬、歷史流量等，對(duì)業(yè)務(wù)流進(jìn)行控制?？刂品椒òǎ赫＾D(zhuǎn)發(fā)、阻塞、限制帶寬、整形、重標(biāo)記優(yōu)先級(jí)等。為了便于業(yè)務(wù)的運(yùn)營，業(yè)務(wù)控制策略一般集中配置在策略服務(wù)器中，用戶上線后動(dòng)態(tài)下發(fā)。業(yè)務(wù)統(tǒng)計(jì)dpi 的業(yè)務(wù)統(tǒng)計(jì)功能是為了直觀的統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，從而更好的發(fā)現(xiàn)促進(jìn)業(yè)務(wù)發(fā)展和影響網(wǎng)絡(luò)正常運(yùn)營的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。如：發(fā)掘?qū)τ脩粲形Φ臉I(yè)務(wù)、驗(yàn)證業(yè)務(wù)提供水平是否達(dá)到了用戶的服務(wù)等級(jí)協(xié)議sla、統(tǒng)計(jì)分析出網(wǎng)絡(luò)中的攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務(wù)、哪幾種業(yè)務(wù)最消耗網(wǎng)絡(luò)的帶寬和哪些用戶使用了非法voip等等。dpi 技術(shù)的發(fā)展可以看出，dpi 的檢測(cè)技術(shù)和網(wǎng)絡(luò)上非正常應(yīng)用的反檢測(cè)是矛和盾的關(guān)系。前面談到的dpi技術(shù)不是靜止不變的，隨著檢測(cè)技術(shù)的發(fā)展，非正常應(yīng)用的隱藏技術(shù)也在演進(jìn)。如對(duì)數(shù)