DPI深度包检测技术
中国移动云计算服务DPI识别能力规范
中国移动云计算服务DPI识别能力规范
背景
移动云计算是一种将传统的计算资源与云计算技术相结合的新型计算模式。
中国移动作为中国领先的移动通信运营商,计划推出移动云计算服务以满足用户不断增长的计算需求。
其中,深度包检测(DPI)识别能力是中国移动云计算服务的关键技术之一。
目的
本文档旨在规范中国移动云计算服务中的DPI识别能力,确保该服务的高效性、准确性和安全性。
要求
1. DPI识别能力应具备高性能和高并发处理能力,以满足大规模用户同时访问的需求。
2. DPI识别能力应具备良好的准确性,能够对网络数据包进行
精确识别和分类。
3. DPI识别能力应具备良好的适应性,能够识别各种网络协议、应用和服务类型。
4. DPI识别能力应具备良好的安全性,能够防止恶意攻击和非
法访问,保护用户隐私和数据安全。
实施
为确保DPI识别能力规范的有效实施,以下步骤应被采取:
1. 设计和开发高性能的DPI识别引擎,以满足高并发访问的需求。
2. 不断更新和优化DPI识别算法,以提高准确性和适应性。
3. 配置和管理有效的网络流量监控系统,用于实时检测和防止
恶意攻击。
4. 建立严格的访问控制和用户权限管理,以保障用户隐私和数据安全。
结论
通过规范中国移动云计算服务中的DPI识别能力,可以确保该服务的高效性、准确性和安全性。
同时,积极实施相应的措施和策略,可以不断提升DPI识别能力的性能和稳定性,为用户提供优质的云计算服务体验。
---
*请注意,本文档仅为示例,具体要求和措施应根据实际情况进行调整和制定。
*。
详解深度数据包检测DPI技术
详解深度数据包检测(DPI) 技术深度数据包检测(DPI) 是一种基于应用层的流量检测和控制技术,企业和互联网服务提供商(ISP) 经常使用它来识别和阻止网络攻击、跟踪用户行为、阻止恶意软件和监控网络流量。
DPI 技术被技术专家和网络经理誉为解决互联网相关危险数量和复杂性的重要工具。
DPI 系统使用OSI模型应用层来提取统计信息,能够查找、识别、分类和重新路由或阻止包含特定数据或代码有效负载的数据包。
DPI 会检查与单个数据包相关的数据和元数据,而状态数据包检查仅评估包头信息,例如源IP 地址、目标IP 地址和端口号。
当数据包接近检查点时,DPI 会拦截任何协议违规、病毒、垃圾邮件和其他异常情况,并阻止数据包继续通过检查点。
DPI的历史是怎样的?DPI 技术拥有漫长的历史,跨越30 多年,可以追溯到1990 年代。
阿帕网是深度包检测首次出现的地方。
TCP/IP 数据传输协议最初由阿帕网使用,工程师学会了如何使用包头和元数据,通过管理原始数据包来解决UNIX 安全问题。
1990 年,阿帕网被关闭,但随着当代互联网的普及,TCP/IP 问题变得更加普遍。
网络工程师在1980 年代创建了OSI 概念,以标准化1990 年代中期收集的元数据。
OSI模型通过形式化数据包元数据的级别,使广泛的统计分析成为可能。
例如,辅助标头(也称为有状态数据或浅层数据)可减少带宽,同时实现正确的信息路由。
分组数据包元数据使ISP 更容易区分不同的数据类别,深度数据包可能会激发新的商业模式。
此外,二十多年来,网络中立性一直是一个有争议的问题,而DPI技术可将管道所有者转变为数据所有者。
DPI和传统包过滤有什么区别?网络中的每个数据包都有一个包头,其中包含关于其发送者、接收者和传输时间的基本信息。
使用传统的数据包过滤只能读取到此信息。
较旧的防火墙通常以这种方式运行,因为它们无法足够快地处理其他形式的数据。
现在,防火墙可以通过DPI来解决这些问题,以进行更彻底、连续的数据包扫描。
DPI技术在宽带大数据中的应用
DPI技术在宽带大数据中的应用发布时间:2021-07-13T03:48:18.838Z 来源:《现代电信科技》2021年第6期作者:张临生[导读] 转变自身在价值链中的地位,运营商在承载宽带业务的网络通道中运用DPI技术是必不可少的。
(山西通信通达微波技术有限公司山西省太原市 030006)摘要:随着我国的经济发展,我国的信息技术也在不断进步,并且在各个领域进行广泛的应用,为人们的生活和生产提供着便利服务,提升人们的生活与工作的水平和质量。
为解决宽带依赖于大数据的处理中逐渐凸显出传统数据处理技术的弊端、提升技术处理数据的效率和准确性等问题,本文从DPI技术的概述着手,对宽带大数据以及DPI技术在宽带大数据中的应用进行检验分析,从而总结出现代DPI 技术在宽带大数据中的应用,旨在为日后相关人员对DPI技术在宽带技术的应用提供参考性建议。
关键词:DPI技术;宽带大数据;技术应用与处理引言:在电信、移动、联通等运营商的语音的发展日益出现下降趋势时,网络技术的深入使得网络宽带技术得以出现,为其解决了语音类业务逐渐趋向饱和状态的问题。
但是由于互联网技术运用单一的技术对网络利润进行独自赚取,存在着开放性,在不依赖任何运营商的情况下,可以将网络中存在的海量数据进行采集和运用,使得运营商从网络的占有者逐渐变为网络的承载者,为宽带业务利润的获取提供运行通道,却无法从中获取附加利润,主体地位逐渐丧失。
为了避免这种状况,运营商可以运用自身发展中具有的先天优势掌握或承载网络中的资源和应用的状况,转变当前发展的现状,将DPI技术在宽带数据中进行应用。
基于此,为了获取此种能力的主导权,转变自身在价值链中的地位,运营商在承载宽带业务的网络通道中运用DPI技术是必不可少的。
一、DPI技术概述DPI的中文名称为深度包检测,而DPI技术在原技术对分析包头的基础上增加了对应用层的技术分析,并在应用层上对于其中存在的流量进行检测和控制的深层检测技术,主要应用于业务识别和带宽管理领域,其中存在的Hadoop技术和1拖N共享检测控制技术可以有效地对互联网用户的全面行为进行数据的采集分析和信息的推送服务[1]。
dpi带宽管理技术
dpi带宽管理技术(最新版)目录1.DPI 带宽管理技术的概述2.DPI 带宽管理技术的原理3.DPI 带宽管理技术的应用4.DPI 带宽管理技术的优势和局限性5.DPI 带宽管理技术的未来发展趋势正文一、DPI 带宽管理技术的概述DPI 带宽管理技术,全称为深度包检测带宽管理技术(Deep Packet Inspection Bandwidth Management),是一种基于数据包深度检测的网络流量管理技术。
通过对网络中的数据包进行深度检测和分析,实时监控网络中的带宽使用情况,并根据设定的策略对带宽进行分配和调整,以达到优化网络性能、保障关键业务应用的目的。
二、DPI 带宽管理技术的原理DPI 带宽管理技术主要通过以下几个方面实现:1.数据包深度检测:DPI 技术可以对网络中的数据包进行深度检测,识别出数据包中的关键信息,如源 IP 地址、目的 IP 地址、协议类型、应用类型等。
2.带宽分配策略:根据检测到的数据包信息,DPI 技术可以制定不同的带宽分配策略。
例如,可以根据源 IP 地址、目的 IP 地址、协议类型等设定不同的带宽阈值,优先保障关键业务应用的带宽需求。
3.带宽调整:DPI 技术可以实时监控网络中的带宽使用情况,并根据设定的策略对带宽进行动态调整,以避免网络拥塞,确保网络性能。
三、DPI 带宽管理技术的应用DPI 带宽管理技术在以下场景中具有广泛的应用:1.企业网络:在企业网络中,DPI 技术可以帮助企业实现对网络带宽的精细化管理,保障关键业务应用的稳定运行,提高企业网络的利用率。
2.互联网服务提供商(ISP):对于 ISP 而言,DPI 技术可以实现对网络带宽的智能分配,提高网络资源的利用率,降低运营成本。
3.无线通信:在无线通信领域,DPI 技术可以实现对无线带宽的动态分配,提高无线网络的性能,满足移动设备的高速接入需求。
四、DPI 带宽管理技术的优势和局限性1.优势:DPI 带宽管理技术可以实现对网络带宽的精细化管理,提高网络性能,保障关键业务应用。
中国移动统一DPI设备技术规范标准-LTE信令采集解析服务器接口规范标准v2.0.9-LTE各接口XDR规范标准
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动统一D P I设备技术规范-L T E信令采集解析服务器接口规范Te c h n i c a l S p e c i f i c a t i o n o f D e e p P a c k e tI n s p e c t i o n E q u i p m e n t f o r C M C C(L T E S i g n a l l i n g C o l l e c t i o n S e r v e r I n t e r f a c eP a r t)版本号:2.0.9╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录1 范围 (3)2 规范性引用文件 (3)3 术语、定义和缩略语 (4)4 接口在网络中的位置 (6)5 LTE接口XDR数据构成方式 (8)5.1. XDR编号与上报要求 (8)6 Uu接口XDR数据结构 (9)6.1. 公共信息 (9)6.2. Uu接口信息 (11)6.3. Uu接口Keyword 1字段定义 (15)6.4. Uu接口事件流程开始/结束标识 (17)7 X2接口XDR数据结构 (17)7.1. 公共信息 (17)7.2. X2接口信息 (17)7.3. X2接口事件流程开始/结束标识 (23)8 UE_MR XDR数据结构 (23)8.1. 公共信息 (23)8.2. UE_MR信息 (23)9 Cell_MR XDR数据结构 (27)9.1. 公共信息 (27)9.2. Cell_MR信息 (27)10 S1-MME接口XDR数据结构 (28)10.1. 公共信息 (28)10.2. S1-MME接口信息 (28)10.3. S1-MME接口Keyword 1字段定义 (38)10.4. S1-MME接口Keyword 2字段定义 (40)10.5. S1-MME接口事件流程开始/结束标识 (47)11 S1-U接口XDR数据结构 (47)12 S6a 接口XDR数据结构 (47)12.1. 公共信息 (47)12.2. S6a接口信息 (48)13 S10、S11接口XDR数据结构 (50)13.1. 公共信息 (50)13.2. S10、S11接口信息 (50)14 S5/S8-C接口XDR数据结构 (57)14.1. 公共信息 (57)14.2. S5/S8-C接口信息 (57)15 SGs接口XDR数据结构 (61)15.1. 公共信息 (61)15.2. SGs接口信息 (62)16 Gn-C接口XDR数据结构 (65)16.1. 公共信息 (65)16.2. Gn-C接口信息 (65)17 基于XDR的原始码流上报 (68)17.1. 原始码流上报功能 (68)17.2. 基于XDR上报原始码流的格式 (68)17.3. 按帧封装的原始码流要求 (69)17.3.1. 通用包头格式 (70)17.3.2. 专用包头格式 (71)17.3.3. 原始数据 (71)18 接口协议 (71)18.1. SDTP协议概述 (72)18.2. 消息类型 (73)18.3. 消息结构 (74)18.4. 连接管理流程 (75)18.5. 连接管理消息 (77)18.5.1. 版本协商verNego (77)18.5.1.1. 请求 (77)18.5.1.2. 应答 (77)18.5.2. 链路认证linkAuth (78)18.5.2.1. 请求 (78)18.5.2.2. 应答 (79)18.5.3. 链路检测linkCheck (80)18.5.3.1. 请求 (80)18.5.3.2. 应答 (80)18.5.4. 链路数据发送校验linkDataCheck (80)18.5.4.1. 请求 (80)18.5.4.2. 应答 (81)18.5.5. 链路释放linkRel (82)18.5.5.1. 请求 (82)18.5.5.2. 应答 (82)18.6. 数据传输消息 (82)18.6.1. XDR数据传输notifyXDRData (83)18.6.1.1. 请求 (83)18.6.1.2. 应答 (83)18.6.2. XDR对应原始码流传输XDRRawDataSend (83)18.6.2.1. 请求 (83)18.6.2.2. 应答 (83)19 编制历史 (84)附录A:Uu/X2接口XDR事件流程和关键信令点 (85)附录B:S1-MME接口XDR事件流程和关键信令点 (85)前言本规范对中国移动网内使用的深度包检测(DPI)设备的功能和性能提出要求,是部署统一DPI设备需要遵从的技术文件。
基于DPI的应用层协议解析
基于DPI的应用层协议解析基于DPI(Deep Packet Inspection,深度数据包检测)的应用层协议解析是指通过深度分析网络流量数据包的内容,识别和解析传输协议的过程。
DPI能够深入到网络数据包的应用层,并且通过解析数据包的负载来识别不同的应用层协议。
这种技术被广泛应用于网络安全、网络优化和数据监控等领域。
本文将介绍基于DPI的应用层协议解析的原理、方法和应用。
一、基于DPI的应用层协议解析原理基于DPI的应用层协议解析是通过深度分析网络数据包,提取和解析数据包负载中的字节流,进而识别和解析传输协议的一种技术。
它可以识别和解析常见的Web协议(如HTTP、HTTPS)、FTP、SMTP、POP3、DNS、IMAP等应用层协议。
DPI技术可以通过以下几个步骤来实现应用层协议解析:1.数据包捕获:通过网络设备(如路由器、交换机)或专门的捕获设备(如网络监控器)捕获网络数据包。
2.数据包过滤:根据预设规则或特定的过滤条件,对捕获的数据包进行过滤,筛选出需要分析的数据包。
3.数据包重组:将网络数据包中的分片数据包重新组装成完整的数据包。
4.数据包解析:对重组后的数据包进行解析,提取数据包的头部信息和负载数据。
5.应用层协议识别:通过解析数据包的负载,提取特定的特征信息,并与预设的规则或特征进行匹配,识别出应用层协议。
6.协议解析:对识别出的协议进行进一步的解析,提取协议的参数、字段和状态信息。
二、基于DPI的应用层协议解析方法1.签名匹配:通过预设规则或特定的特征,将应用层协议的特征信息与数据包负载进行匹配,从而识别出应用层协议。
通常使用的是字符串匹配、正则表达式匹配等方法。
2.流量统计:通过统计数据包的流量特征,如数据包长度、频率、传输速率等指标,来推测和识别出应用层协议。
例如,HTTP协议通常使用明文传输,数据包长度较小;而视频流协议通常具有较大的数据包长度和较高的传输速率。
3.机器学习:通过构建机器学习模型,对数据包进行训练和分类,实现应用层协议的自动识别和解析。
网络流量识别的基本方法与技术
网络流量识别的基本方法与技术1. 引言网络流量识别是在当今互联网时代中十分重要的一项技术。
随着网络的快速发展和应用的普及,对网络流量进行准确的识别和分析,有助于提高网络服务的质量、保护网络安全以及优化网络资源的分配。
本文将介绍网络流量识别的基本方法与技术,并探讨其在实际应用中的意义和挑战。
2. 传统基于端口的识别方法传统的基于端口的识别方法是最常见的一种方式。
该方法通过判断数据包传输时所使用的端口号,以识别通信协议或应用程序。
例如,HTTP通信通常使用80端口,而HTTPS通信则使用443端口。
然而,这种方法存在局限性,因为现代网络中存在大量的应用程序使用动态端口或进行端口的伪装。
3. 深度包检测(DPI)技术深度包检测(DPI)技术是一种较为先进的网络流量识别方法。
通过对数据包的内容进行深入分析,DPI能够实现对通信协议和应用程序的准确识别。
DPI技术能够判断特定应用程序的使用情况,例如视频流和音频流的传输。
然而,DPI技术也存在一些挑战,比如隐私保护和法律合规性等问题。
4. 基于机器学习的方法随着人工智能和机器学习的快速发展,基于机器学习的网络流量识别方法也得到了广泛应用。
这种方法利用训练好的机器学习模型,通过对流量数据进行特征提取和分类,以实现识别的目标。
例如,可以使用支持向量机(SVM)模型对网络流量进行分类。
但是,此方法对于大规模数据集处理的复杂性以及模型训练的困难性也是存在的挑战。
5. 基于行为分析的方法基于行为分析的方法是一种较新的网络流量识别技术。
该方法通过分析用户的行为模式和流量的特征,以识别出异常流量或潜在的安全威胁。
例如,当网络流量突然增加或用户行为异常时,可以通过行为分析来检测到潜在的网络攻击。
然而,该方法的准确性和实时性仍然需要进一步的研究和改进。
6. 结论网络流量识别是网络管理和安全保护中的关键技术。
本文介绍了传统基于端口的识别方法、深度包检测(DPI)技术、基于机器学习的方法以及基于行为分析的方法。
dpi指标 tcp协议
dpi指标 tcp协议TCP(传输控制协议)是一种常用的网络传输协议,它保证了数据的可靠传输。
而DPI(深度包检测)指标是用来评估网络中传输性能和质量的重要指标。
本文将从DPI指标的定义、TCP协议与DPI指标的关系以及DPI指标的应用等方面进行探讨。
一、DPI指标的定义DPI(Deep Packet Inspection),即深度包检测,是指网络管理系统对网络中传输的数据包进行深入分析和检测的技术手段。
通过对数据包的内容、协议、源地址、目的地址等信息进行全面检查,可以获得更为详细的网络流量信息。
DPI指标主要包括带宽利用率、延迟、抖动、丢包率等多个方面的指标。
二、TCP协议与DPI指标的关系TCP协议作为一种可靠的传输协议,对于保证数据的可靠传输有着重要的作用。
在网络中,DPI指标可以通过对TCP协议的应用进行评估。
具体而言,DPI指标可以通过监测TCP连接的建立时间、数据传输的速率、数据包的丢失情况等来评估TCP协议的性能。
TCP 协议的可靠性和稳定性直接影响着DPI指标的表现。
三、DPI指标的应用DPI指标在网络性能评估、故障排查、网络优化等方面都有着重要的应用价值。
首先,在网络性能评估中,通过监测DPI指标可以了解网络的带宽利用率、延迟、抖动、丢包率等情况,从而对网络进行合理规划和优化。
其次,在故障排查中,DPI指标可以帮助定位网络故障的原因,从而加快故障的修复速度。
最后,在网络优化中,DPI指标可以提供数据支撑,帮助网络管理员进行决策和改进。
在实际应用中,DPI指标可以通过网络管理系统来进行监测和分析。
网络管理系统可以通过对网络中的数据包进行深入检测和分析,从而得到DPI指标的数值。
通过不断地监测和分析,网络管理员可以了解网络的实际情况,及时发现问题并进行优化。
需要注意的是,在进行DPI指标的监测和分析时,应该遵循相关的法律法规和伦理规范。
DPI技术的应用需要保护用户的隐私权和信息安全,避免滥用和不当使用。
DPI深度包检测技术
基本解释DPI技术,即DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
基于DPI技术的带宽管理解决方案与我们熟知的防病毒软件系统在某些方面比较类似,即其能识别的应用类型必须为系统已知的,以用户熟知的BT为例,其Handshake的协议特征字为“.BitTorrent Protocol”;换句话说,防病毒系统后台要有一个庞大的病毒特征数据库,基于DPI技术的带宽管理系统也要维护一个应用特征数据库,当流量经过时,通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型;而当有新的应用出现时,后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能力。
重要应用深度数据包检测(DPI)是一项已经在流量管理、安全和网络分析等方面获得成功的技术,同时该技术能够对网络数据包进行内容分析,但又与header或者基于元数据的数据包检测有所不同,这两种检测通常是由交换机、防火墙和入侵检测系统/IPS设备来执行的。
通常的DPI解决方案能够为不同的应用程序提供深度数据包检测。
只针对header的处理限制了能够从数据包处理过程中看到的内容,并且不能够检测基于内容的威胁或者区分使用共同通信平台的应用程序。
DPI能够检测出数据包的内容及有效负载并且能够提取出内容级别的信息,如恶意软件、具体数据和应用程序类型。
随着网络运营商、互联网服务提供商(ISP)以及类似的公司越来越依赖于其网络以及网络上运行的应用程序的效率,管理带宽和控制通信的复杂性以及安全的需要变得越来越重要。
DPI恰好能够提供这些要求,寻求更好的网络管理以及合规的用户企业应该把DPI作为一项重要的技术。
2016年中国电信固网宽带深度包检测系统技术要求—骨干网DPI设备
DPI深度包检测技术
DPI深度包检测技术基本解释DPI技术,即DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
基于DPI 技术的带宽管理解决方案与我们熟知的防病毒软件系统在某些方面比较类似,即其能识别的应用类型必须为系统已知的,以用户熟知的BT为例,其Handshake的协议特征字为“。
BitTorrent Protocol”;换句话说,防病毒系统后台要有一个庞大的病毒特征数据库,基于DPI 技术的带宽管理系统也要维护一个应用特征数据库,当流量经过时,通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型;而当有新的应用出现时,后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能力。
重要应用深度数据包检测(DPI)是一项已经在流量管理、安全和网络分析等方面获得成功的技术,同时该技术能够对网络数据包进行内容分析,但又与header或者基于元数据的数据包检测有所不同,这两种检测通常是由交换机、防火墙和入侵检测系统/IPS设备来执行的。
通常的DPI解决方案能够为不同的应用程序提供深度数据包检测。
只针对header的处理限制了能够从数据包处理过程中看到的内容,并且不能够检测基于内容的威胁或者区分使用共同通信平台的应用程序。
DPI能够检测出数据包的内容及有效负载并且能够提取出内容级别的信息,如恶意软件、具体数据和应用程序类型。
随着网络运营商、互联网服务提供商(ISP)以及类似的公司越来越依赖于其网络以及网络上运行的应用程序的效率,管理带宽和控制通信的复杂性以及安全的需要变得越来越重要。
DPI恰好能够提供这些要求,寻求更好的网络管理以及合规的用户企业应该把DPI作为一项重要的技术。
dpi试点项目技术方案
保障网络安全和合规性
通过DPI技术,组织可以更好地监测和控制网络流量,及时发现和防范潜在的网络威胁和 攻击,保障网络安全和合规性。
DPI试点项目的目标
验证DPI技术的可行性和 有效性
通过试点项目,验证DPI技术在特定场景下 的可行性和有效性,为后续的推广和应用提 供依据。
对采集到的原始数据进行清洗、分类、识 别等处理,提取出有价值的信息,为后续 应用提供支持。
DPI关键技术选择
DPI技术
选择成熟的深度包检测(DPI)技 术,实现对网络流量的深度解析和
识别,支持多种应用协议。
负载均衡技术
采用负载均衡技术,将流量分 发到多个处理节点,提高系统 的处理能力和可靠性。
大数据处理技术
未来发展方向
技术创新
未来将继续探索新的DPI技术,以提高网络性能和用户体验。
应用拓展
将DPI技术应用于更多的场景,如物联网、云计算等,以发挥其更 大的价值。
标准化工作
积极参与DPI技术的标准化工作,推动DPI技术的发展和应用。
后续工作安排
01
完善技术方案
推广应用
02
03
持续跟进
对现有技术方案进行完善和优化, 以提高项目的稳定性和可靠性。
3
评估结果
根据评估结果,确定技术风险的大小和可能影响 范围,为后续的风险应对提供依据。
风险应对策略
预防策略
针对可能出现的风险,提前制定预防措施,降低风险发生的概率。
应对策略
针对已经出现的风险,采取有效的应对措施,减小风险的影响范 围和程度。
dpi 网络安全
dpi 网络安全DPI(Deep Packet Inspection)网络安全在当今数字化时代,网络安全面临着越来越多的威胁。
为了保护用户的隐私和数据安全,网络安全技术也得到了不断的更新和完善。
其中一项重要的技术就是DPI(Deep Packet Inspection)深度包检测技术。
本文将对DPI技术进行解析,探讨其在网络安全中的作用和意义。
DPI技术是一种网络流量分析技术,它可以深入检查网络数据包的内容,识别其中的协议、应用程序和操作系统等信息。
与传统的包过滤技术相比,DPI技术能够更加准确地识别和分析网络流量,从而实现对恶意行为的检测和阻止。
DPI技术的应用范围非常广泛。
首先,在网络边界设备上使用DPI技术可以有效地识别和过滤掉恶意流量,比如网络病毒、僵尸网络、DDoS攻击等,提高网络的安全性和可靠性。
其次,DPI技术还可以用于网络监管和管理,比如实时监测网络流量,分析网络使用情况和应用程序的行为,对违规行为进行追踪和处理。
此外,DPI技术还可以应用于安全网关设备、入侵检测系统、防火墙等网络安全产品中,提供更加高效和精确的网络安全防护。
然而,DPI技术也存在一些争议。
一方面,DPI技术需要对网络数据包进行深度分析,这可能会引发一些隐私问题。
例如,个人的隐私数据可能会被检测和记录下来,这对用户的隐私权是一种侵犯。
另一方面,DPI技术的使用也可能会受到政府和组织的滥用,用于网络监控和信息控制等行为。
因此,对DPI 技术的使用需要有一定的法律和道德规范。
为了解决这些问题,一些科技公司和研究机构提出了一些改进DPI技术的方法。
比如,隐私保护技术可以通过对用户隐私数据进行加密和匿名化处理,保护用户的隐私信息不被泄露。
此外,国家和政府可以通过立法和监管,规定DPI技术的使用范围和准则,确保其在合法和透明的条件下进行使用。
综上所述,DPI技术在网络安全中发挥着重要的作用。
它可以通过深入检测网络数据包,识别和阻止恶意活动,提高网络的安全性和可靠性。
中国移动统一DPI设备技术规范-LTE信令采集解析服务器设备规范(软采分册)v2.0.9-20141031
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动统一D P I设备技术规范-L T E信令采集解析服务器设备规范(软采分册)T e c h n i c a l S p e c i f i c a t i o n o f D e e p P a c k e t I n s p e c t i o nE q u i p m e n t f o r C M C C(L T E S i g n a l l i n g C o l l e c t i o n S e r v e r E q u i p m e n tP a r t)版本号:2.0.9╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录1范围 (1)2规范性引用文件 (1)3术语、定义和缩略语 (2)3.1术语、定义 (2)3.2缩略语 (2)4设备在网络中的位置 (3)5功能要求 (4)5.1采集接入设备和采集解析设备 (4)5.2采集解析功能要求 (4)5.3数据处理功能要求 (4)5.4数据存储功能要求 (5)5.5数据输出功能 (5)5.6上报告警功能要求 (6)6性能指标和可靠性要求 (6)6.1可靠性 (6)6.2安全性 (7)6.3性能要求 (7)6.4完整性和准确性要求 (8)6.5时延要求 (8)6.6软件要求 (8)6.7硬件要求 (9)6.8可扩展要求 (9)6.9部署要求 (9)6.10处理容量要求 (9)6.11容灾能力要求 (9)7接口要求 (10)7.1设备输入接口 (10)7.2设备输出接口 (11)8时间同步要求 (11)9网管要求 (12)9.1配置管理 (12)9.2查询设备信息 (13)9.3查询设备状态 (14)9.3.1设备负荷 (15)9.4设备状态管理 (15)9.4.1故障管理 (15)9.4.2心跳信号 (16)9.5性能管理 (16)9.6安全管理 (17)10操作维护要求 (17)10.1可管理性 (17)10.2可维护性 (17)11网络安全要求 (18)12编制历史 (18)前言本规范对中国移动网内使用的深度包检测(DPI)设备的功能和性能提出要求,是部署统一DPI设备需要遵从的技术文件。
DPI深度包检测技术
DPI深度包检测技术∙全球范围内,P2P流量不断增加,但是运营商们并没有从其中获得任何的收益,而对于小运营商来说,因为P2P流量而不得不向“对接运营商”支付额外的流量费用。
即使是对这些费用不在意的大运营商,也越来越觉得P2P流量会导致企业更多的固定资产投入capex,而没有任何增加的收入。
全世界的运营商都面临这样的问题。
少数的用户产生了大多数的网络流量,导致大多数用户的非敏感应用的业务性能降低,例如email、web浏览,网络性能恶劣导致用户业务拥塞,导致业务收入的降低。
深度包检测Deep packet inspection (DPI)技术最早应用在企业市场,是因为P2P流量的泛滥,越来越多的运营商应用DPI产品。
对于大多数厂家来说,亚洲因为P2P流量增加和高额的网外通讯(off-net traffic)成本最先采用DPI产品。
欧洲也是比较早的采用DPI技术的,但是因为另外一个截然不同的原因:由于提供DSL业务的运营商间激烈的竞争,运营商们部署DPI技术来提供差异化的服务。
在美国,MSOs,即有线运营商是最早采用DPI技术的,因为比起DLS运营商来,MSOs在“用户最后一公里处”面临更激烈的竞争。
有线网络用户接入部分是共享的,而DSL线路是每个用户专有的。
小的DSL也比较早地采用DPI技术,因为P2P流量的剧增和高额的网际对接费用peering costs.。
而最近,美国很多大的有线和无线运营商也开始大规模应用DPI技术,这是因为IPTV的部署,这些大的运营商需要在POP点(in tandem)、(即业务汇聚点)部署DPI设备,这样的一个趋势会刺激设备厂家加快在汇聚点的数据设备上增加DPI的功能或DPI的板卡,最终,汇聚点的DPI设备会同数据设备合为一,如在cisco的7600系列上提供DPI功能、Alcatel的7750SR上提供DPI功能,这是个无可质疑的趋势。
观察这一类的产品将会包括使用实时用户数据分析、状态协议识别、业务流监控、应用程序监控、会话监控,业务策略部署、使用和控制,业务质量、安全、流量管理。
dpi对流量的统计可包括
DPI对流量的统计可包括在网络通信中,深度数据包检测(Deep Packet Inspection,DPI)是一种网络流量分析技术,可对网络数据包进行深入分析,从而实现对流量的统计和监控。
DPI技术的出现对于网络管理和安全具有重要意义,本文将介绍DPI技术在流量统计中的作用,并对其可包括的内容进行探讨。
1. DPI技术概述DPI技术是一种通过对网络通信中的数据包进行深入分析和解析,识别和分析数据包中的协议、应用和内容等信息的技术。
它可以通过检查数据包的头部和负载部分,分析出数据包的来源、目的、协议类型、数据内容和应用行为等信息。
通过对这些信息的统计和分析,可以实现对网络流量的监控、管理和控制。
2. DPI技术在流量统计中的作用2.1 流量分类和识别通过DPI技术可以对网络流量进行分类和识别,实现对不同应用和协议的流量进行统计和分析。
DPI技术可以通过对数据包的解析和识别,确定数据包所属的协议类型,例如HTTP、FTP、SMTP等,进而实现对不同协议的流量进行统计和监控。
2.2 流量量化和测量DPI技术可以实现对网络流量的量化和测量。
通过对数据包的解析和统计,可以确定流量的大小、带宽占用和流量变化趋势等指标。
这些指标对于网络管理人员来说非常重要,可以帮助他们了解网络流量的情况,及时发现流量异常和瓶颈问题,并做出相应的调整和优化。
2.3 流量分析和应用识别DPI技术可以对网络流量进行分析和应用识别,帮助网络管理人员了解网络中所运行的应用和服务。
通过对数据包的解析和应用特征的匹配,可以确定数据包所属的应用类型,例如视频流、实时通信、文件下载等。
这些信息对于网络管理和安全具有重要意义,可以帮助他们及时发现和应对潜在的风险和安全威胁。
3. DPI技术可包括的内容DPI技术在流量统计中可以包括以下内容:3.1 流量计数DPI技术可以实现对流量进行计数,统计流量的大小、速率和变化趋势等信息。
通过流量计数,可以了解网络的负载情况,判断网络的拥堵和瓶颈问题,并进行相应的调整和优化。
网络流量分析的工具与技术
网络流量分析的工具与技术网络流量分析是指对网络传输过程中产生的数据流进行收集、分析和解读的过程。
在当今数字化时代,网络流量分析不仅对企业和组织的网络安全非常重要,也对网络性能优化和用户体验改进具有重要意义。
本文将重点介绍网络流量分析的工具和技术,帮助读者了解如何有效地分析和利用网络流量数据。
一、网络流量分析工具1. Wireshark:Wireshark 是一款免费的开源网络协议分析工具,它能够通过捕获网络数据包并对其进行解析,帮助用户深入了解网络协议的运行机制和数据流动情况。
Wireshark 提供了丰富的过滤和分析功能,可用于检测和排查网络故障、安全漏洞等问题。
2. tcpdump:tcpdump 是另一个强大的网络流量分析工具,它能够捕获和显示经过指定网络接口的数据包。
tcpdump 提供了灵活的过滤语法,使用户可以根据各种条件筛选感兴趣的数据包进行分析。
它可以运行在各种操作系统上,非常适合用于网络故障排查和入侵检测。
3. NetFlow Analyzer:NetFlow Analyzer 是一款商业化的网络流量分析工具,它能够监视、报告和分析实时网络流量情况。
NetFlow Analyzer 可以收集网络流量数据,并提供清晰的图表和报告,帮助用户了解网络中的流量模式、优化带宽利用和识别异常活动。
二、网络流量分析技术1. 深度包检测(DPI):深度包检测技术通过彻底解析数据包中的各个字段和特征信息,包括源IP地址、目标IP地址、协议类型、应用层协议等,从而能够更全面地分析和识别流量数据。
DPI 技术在网络安全领域广泛应用,可以检测和阻止恶意软件、网络攻击和数据泄露等威胁。
2. 数据包捕获与分析:这是网络流量分析的核心技术之一。
数据包捕获技术可以通过在网络设备上设置监听器或使用专用的捕获工具(如Wireshark和tcpdump)来获取网络中的数据包。
数据包分析技术则通过对捕获到的数据包进行解析、过滤和统计,获得有关流量特征、应用使用和性能状况等信息。
dpi报文解析
dpi报文解析DPI报文解析引言:深度包检测(Deep Packet Inspection,简称DPI)是一种网络流量分析技术,它能够对网络传输中的数据包进行全面的解析和检查。
DPI技术在网络安全、流量管理、内容过滤等领域有着广泛的应用。
本文将对DPI报文解析进行探讨,包括DPI报文的结构和解析过程,以及DPI在网络安全中的应用。
一、DPI报文结构DPI报文是网络数据包的一种特殊形式,它包含了丰富的信息用于分析和判断。
一个标准的DPI报文通常由以下几个部分组成:1. 报文头部(Header):报文头部包含了一些必要的元数据,如源IP地址、目标IP地址、报文长度等。
这些信息可以用于标识报文的发送者和接收者,以及报文的大小。
2. 报文载荷(Payload):报文载荷是DPI报文中最重要的部分,它包含了实际的数据内容。
在网络传输中,报文载荷可以是各种各样的数据,如文本、图片、视频等。
DPI技术可以对报文载荷进行深入分析,以提取有用的信息。
3. 报文尾部(Footer):报文尾部通常包含了一些校验和信息,用于检测报文在传输过程中是否发生了错误。
校验和可以帮助DPI设备判断报文的完整性和可靠性。
二、DPI报文解析过程DPI报文解析是指将原始的网络数据包转化为可读的、结构化的信息的过程。
DPI设备通过对报文进行解析,可以提取出报文中的各种元数据和载荷数据,并进行进一步的分析和处理。
DPI报文解析的过程通常包括以下几个步骤:1. 报文捕获:DPI设备首先需要从网络中捕获到原始的数据包。
这可以通过网络交换机、路由器等设备实现,也可以通过网络嗅探技术来实现。
2. 报文重组:由于网络传输中的数据包通常会被分割成多个片段进行传输,所以DPI设备需要将这些片段重新组装成完整的数据包。
这个过程需要根据报文头部中的信息来确定片段的正确顺序。
3. 报文解析:在报文重组完成之后,DPI设备开始对报文进行解析。
这包括解析报文头部的各种元数据,如源IP地址、目标IP地址、报文长度等;解析报文尾部的校验和信息;以及解析报文载荷中的具体数据。
高级安全审核设置
高级安全审核设置在互联网飞速发展的时代,网络安全问题日益凸显。
为了应对各种网络安全威胁,高级安全审核设置成为了企业和个人用户必不可少的防护措施。
本文将详细介绍高级安全审核设置的相关内容,包括其重要性、涉及的技术、应用场景和未来发展趋势等。
一、高级安全审核设置的重要性随着网络攻击手段的不断升级,普通的网络安全防护措施已经难以应对。
高级安全审核设置通过对网络流量、用户行为等进行实时监测和分析,能够及时发现并阻止潜在的安全威胁,有效保护企业和个人用户的数据安全。
同时,高级安全审核设置还可以提高网络性能和用户体验,确保用户在安全的环境下畅享互联网带来的便利。
二、高级安全审核设置涉及的技术1.深度包检测技术深度包检测技术(Deep Packet Inspection,DPI)是对网络流量进行深度分析的一种技术。
通过对数据包的协议解析、内容检测等方面进行深入分析,DPI可以识别出各种潜在的安全威胁,如恶意软件、网络攻击等。
DPI技术的应用范围广泛,能够满足各种不同场景下的安全审核需求。
2.用户行为分析技术用户行为分析技术通过对用户的网络行为进行监测和分析,发现异常行为并及时预警。
该技术可以有效地检测出潜在的内部威胁,如内部人员滥用权限、违规操作等。
通过对用户行为的深入分析,还可以为企业提供数据挖掘和业务优化等方面的支持。
3.威胁情报技术威胁情报技术通过对网络安全威胁进行收集、分析和共享,帮助企业和个人用户及时了解并应对网络安全威胁。
威胁情报技术的应用场景多样,如漏洞情报、恶意软件情报等。
该技术可以为高级安全审核设置提供有力支持,帮助企业构建更为完善的安全防护体系。
三、高级安全审核设置的应用场景1.企业网络安全防护在企业网络安全防护方面,高级安全审核设置可以应用于多个场景。
例如,在企业内网部署DPI设备,对进出网络的数据包进行深度检测和分析,及时发现并阻止潜在的安全威胁;通过用户行为分析技术,监测企业员工的网络行为,发现异常行为并及时处置;利用威胁情报技术,及时了解企业面临的网络安全威胁,制定相应的应对措施。
DPI识别流程和基于DPI实现的功能
DPI识别流程和基于DPI实现的功能DPI识别流程和基于DPI实现的功能有同事近来问我DPI收集的信息有哪些,可能他并不太熟悉DPI的功能,所以启发我写⼀些⼩短⽂向他解释DPI的⼯作。
DPI并不是⽤来收集⽤户数据的,基于DPI的上层应⽤才会这样做,当然你也可以将上层应⽤统⼀理解为⼀个⼤的DPI系统,那我们就按⼤DPI系统说吧。
1. 所谓DPIDPI,Deep Packet Inspection,⼀般称之为「深度报⽂检测」或「深度包检测」。
从字⾯意思来讲,所谓「深度」是相对于普通的报⽂检测⽽⾔的。
普通的报⽂检测仅分析IP包的层4以下5元素:源地址、⽬的地址、源端⼝、⽬的端⼝及协议类型。
因些可以说,普通报⽂检测是通过端⼝号来识别应⽤类型的。
如端⼝为80时,则代表为上⽹应⽤,但具体是哪种上⽹应⽤,就⽆能为⼒了,并且单端⼝识别情况下也会产⽣很多风险,如⼀些病毒或者垃圾应⽤会采取假冒的端⼝号来伪装成合法报⽂,普通检测⽅法同样也就没办法识别了。
⽽DPI除了对上述5元素进⾏分析外,增加了应⽤层分析,就是对报⽂内容和协议特征进⾏检测的,⾮法的应⽤可以隐藏和变换端⼝号,但是⽐较难以隐藏应⽤层的协议特征。
2. DPI常⽤识别技术特征识别-建⽴应⽤特征库不同的应⽤通常会采⽤不同的协议,⽽各种协议都有其特殊的指纹,这些指纹可能是特定的端⼝、特定的字符串或者特定的Bit序列。
基于特征的识别技术,正是通过识别数据报⽂中的指纹信息来确定业务流所承载的应⽤。
关联识别-使⽤过滤器像RTSP/VoIP/FTP/在线游戏等业务普遍采⽤控制流与业务流分离的⽅式,通过控制流完成握⼿,其业务流没有任何特征。
因此⾸先由应⽤层⽹关识别出控制流,并根据控制流协议分析识别出业务流的端⼝和对端⽹关地址等信息,然后对业务流进⾏解析,从⽽识别出相应的业务流。
⾏为识别基于终端已经实施的⾏为进⾏分析,判读⽤户正在进⾏的动作或即将实施的动作。
⾏为识别技术通常⽤于⽆法根据协议判断的业务识别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
D P I深度包检测技术Newly compiled on November 23, 20201 DPI技术介绍1.1 DPI技术产生的背景近年来,网络新业务层出不穷,有对等网络(Peer-to-Peer,简称P2P)、VoIP、流媒体、Web TV、音视频聊天、互动在线游戏和虚拟现实等。
这些新业务的普及为运营商吸纳了大量的客户资源,同时也对网络的底层流量模型和上层应用模式产生了很大的冲击,带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。
尤其是P2P、VoIP、流媒体等业务,当前P2P业务的流量已图1 各种业务对带宽的抢占占互联网数据流量的50%-70%,如果再加上流媒体等业务,新业务的数据流量是相当巨大的,这打破了以往“高带宽、低负载”的IP网络QoS提供模式,在很大程度上加重了网络拥塞,降低了网络性能,劣化了网络服务质量,妨碍了正常的网络业务的开展和关键应用的普及。
同时,P2P的广泛使用也给网络的信息安全监测管理带来了极大的挑战。
由于P2P流量的带宽吞噬特性,简单的网络升级扩容是无法满足运营商数据流量增长需要的,加上网络设备缺乏有效的技术监管手段,不能实现对P2P/WEB TV等新兴业务的感知和识别,导致网络运营商对网络的运行情况无法有效管理。
传统的网络运维管理,往往通过设备网管实现对网元级的管理,后来发展至网络级管理,可以对上层的简单应用进行管控,而这些应用级管控技术大多采用简单网络管理协议SNMP或者基于端口的流量识别进行进行分析和管理。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,构建“可运营、可管理”的网络,成为运营商关注的焦点。
1.2 DPI能够为运营商解决什么问题互联网及移动互联网面临大量“高消耗、低价值”的业务对带宽的吞噬压力,网络安全和服务质量问题亟待解决,主要面临如下问题:⏹网络出口带宽增加了一倍,可没几天还有大量用户投诉上网慢,收邮件慢,流媒体缓冲时间长,为什么⏹不断升级换代交换机、路由器等核心网设备,投资不少可网络设备的性能总是无法跟上带宽的增长速度。
⏹核心网络的服务质量现状如何互联互通出口链路带宽占用率情况链路丢包率链路延时关键业务的平均带宽最大带宽最小带宽WAP/WEB浏览的平均延时最大延时最小延时⏹整个宽带业务网络中流量是如何构成的哪些业务占据了主要的带宽WAP浏览/彩信/139邮箱/WEB浏览/流媒体/P2P/VoIP/IM等热点业务各占据了多大带宽⏹核心网到各个其它运营商的流量流向如何同各运营商的互联带宽多大为此所缴纳的互联带宽费用是否与用户量的增长成比例⏹目前的出口带宽占用情况是否需要扩容同各地市汇聚网的链路性能、带宽如何业务性能如何⏹用户投诉上网慢,网管系统也无法找到故障源,性能故障到底在哪里⏹集团客户的上网或视频会议总是很慢,问题根源在哪里⏹P2P/流媒体等高消耗、低价值业务占用带宽过大,怎么精细化控制其带宽⏹网络中产生异常流量(包括端口扫描、DDOS攻击、广播风暴),如何定位发起攻击源⏹能否有种设备,能按时、按人、按集团客户、按业务来调整带宽分配,限制哪些无节制占用网络的次要业务,保障WAP/彩信/WEB/视频会议/VOIP/ERP等关键业务畅通无阻。
⏹交换机、路由器、防火墙、IDS等等等等,装了一大堆设备和软件,还要不断升级病毒库,可病毒和攻击还是防不住。
能否从网络上拦截这些异常流量,防止其对网络造成破坏性影响1.3 DPI为运营商带来的好处DPI技术的出现,为互联网和移动互联网运营商带来了曙光,通过部署DPI系统,运营商可以:⏹可视化全网。
可以深入了解整个网络带宽由哪些应用占用(P2P/WEBTV/流媒体/IM/Games等。
),哪些用户(手机号码/上网账号)是大用户,哪些小区是带宽吞噬大户,哪些手机终端使用业务最多…⏹流量精细化管理。
通过灵活的带宽管理机制(带宽整形、QoS管理、限速、提速、封堵等。
),来限制“高消耗、低价值”的业务和用户,从而有效的保障关键业务、关键用户,提升用户感知,提高带宽使用的性价比。
⏹丰富的QoS提供能力。
根据不同的QoS需求,可提供CBR、VBR、UBR业务,可以在IP网络中提供虚拟专线业务。
⏹及时发现和抑制异常流量。
可从网络通路上第一时间拦截异常流量,避免其对网络造成破坏性影响。
⏹透视全网服务质量,保障关键业务质量。
可透视全网各种业务的延时、抖动、带宽占用等QoS指标,从而精确定位QoS劣化点。
⏹智能业务性能分析,减少网络瘫痪和性能劣化的时间。
⏹减少或延迟带宽投入,降低网络运营成本。
通过××产品解决方案所提供的长期统计报告,可以准确了解网络带宽过去、现在和将来的总体使用情况,识别出实际带宽需求小于实际分配(租用)带宽的链路。
对于广域网(WAN)连接,可以减少或者推迟网络升级计划(例如升级为千兆网,购买新的路由器等);从而节省了大笔费用。
通过量化依据为带宽扩容提供科学的决策支持。
⏹转变被动维护局面,先于用户发现故障。
××产品以其迅捷的故障响应机制和完善的主动监测流程为宽带网络的运营维护提供全面的保障机制,加快故障响应处理速度,缩短平均故障响应时间,大大提高了维护效率。
⏹提高市场竞争力,树立移动宽带精品网品牌。
1.4 传统的业务识别方法普通的报文检测往往仅分析IP分组的四层以下内容,一般包括源地址、源端口、目的地址、目的端口以及协议类型,如图所示。
图传统的IP头部报文分析然而,仅通过分析IP地址和端口来识别业务存在很多的问题,包括:1.端口可变的业务。
比如BT/EDK等业务,可以由用户自行设定端口。
2.隐藏在合法端口之后的隧道业务。
比如为躲避防火墙封锁而隐藏在80端口通过隧道传输VoIP语音或数据的应用。
3.IP地址可变业务。
比如部分应用为了逃避封锁,不断变换IP地址。
4.交互式业务。
比如FTP/流媒体/VoIP等,其媒体流的端口是通过交互协商出来的,非固定端口。
1.5 深度分组检测-DPIDPI,Deep Packet Inspection,深度分组检测,通常简称为DPI。
所谓深度分组检测是相对普通报文检测而言的一种新的检测技术,即对第七层,也即应用层的内容(净荷)进行深度分析,从而根据应用层的净荷特征识别其应用类型或内容。
如图所示。
当IP数据包、TCP或者UDP数据流经过基于DPI技术的网络设备时,DPI引擎通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组,从而识别出IP包的应用层协议。
图 DPI技术对应用特征的分析1.6 传统业务识别与DPI的对比传统的业务识别方法是通过分析5元组或7元组信息(增加输入输出接口索引信息),无法细分不同的应用类型,尤其是应用类型不依赖于5元组或7元组信息的应用。
而DPI技术是通过深入重组、分析第七层分组的净荷内容,匹配业务特征,从而判断业务和应用类型,DPI技术可以细分不同的应用类型。
2 DPI关键技术介绍DPI技术主要应用于业务识别和带宽管理领域,下面就分别将这两项主要技术进行详细阐述。
2.1 业务识别技术2.1.1 净荷特征匹配技术不同的应用通常会采用不同的协议,而各种协议都有其特殊的特征(除加密应用),这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。
基于净荷特征匹配技术,正是通过识别数据报文中的净荷特征来确定业务流所承载的应用。
根据具体检测方式的不同,基于净荷特征匹配技术又可细分为固定(或可变)位置特征匹配、多连接联合匹配和状态特征匹配四种分支技术。
通过对特征信息的升级,基于净荷特征匹配技术可以很方便地扩展到对新协议的检测。
固定位置匹配是最为简单的一种匹配方法。
以Kazaa协议的识别为例,其握手消息中总包含字符串“User-Agent:Kazaa”。
因此可以确定,“User-Agent:Kazaa”就是Kazaa协议的特征字。
如图所示。
图净荷特征匹配(固定位置匹配)多连接联合匹配是一种需要结合该应用中的多个连接联合匹配特征的方法。
如John Doe Protocol这种协议,其每个连接的相同位置具有相同的特征,如下图所示。
图多连接联合识别技术2.1.2 交互式业务识别技术目前VoIP/FTP/网络游戏等业务普遍采用控制流与业务流分离的方式,通过控制流完成握手,协商出业务流的端口信息然后进行信息流传输,其业务流没有任何特征。
因此通过DPI技术首先识别出控制流,并根据控制流协议分析识别出业务流的端口或对端网关地址等信息,然后对业务流进行解析,从而识别出相应的业务流。
典型的业务如SIP、H323协议都属于这种类型的协议。
SIP、H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。
也就是说,纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的,只有通过检测SIP或H323的协议交互,才能得到其完整的分析。
2.1.3 行为模式识别技术在实施行为模式识别技术之前,运营商必须首先对终端的各种行为进行研究,并在此基础上建立起行为识别模型。
基于行为识别模型,行为模式识别技术即可根据用户已经实施的行为,判断用户正在进行的动作或者即将实施的动作。
行为模式识别技术通常用于那些无法由协议本身就能判定的业务。
例如,从Email的内容看,SPAM(垃圾邮件)业务流与普通邮件业务流两者没有区别,只有进一步分析才能识别出SPAM邮件。
具体可通过发送邮件的速率、目的邮件地址数目、变化频率、源邮件地址数目、变化频率、邮件被拒绝的频率等参数,建立起行为识别模型,并以此分拣出垃圾邮件。
2.1.4 深度流检测技术DFI各种业务应用的数据包自身特性及传输特性都有所区别,因此,基于流的行为特征,通过与已建立的应用数据流的数据模型进行比对,也可以判别出该流的业务或应用类型。
深度流检测法即是基于这种原理,根据各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标的不同与DFI 检测模型进行匹配,进而从中区分出P2P 应用类型。
DFI 检测存在如下优点:能够发现未知P2P 应用,具有对新P2P 应用的感知能力。
加密协议对检测算法影响较小。
避免查看应用层协议内容,检测效率较高。
缺点在于检测准确度与DPI 相比稍低。
有将非P2P 应用误判为P2P 应用的情况。
2.2 带宽管理技术2.2.1 串联流量控制串接流控通常以透明模式串接到网络设备中使用。
通过对网络上的各种类型的应用流量进行分类,并根据控制策略,可将需要控制的P2P 流量数据包丢弃。
P2P 数据传输的两端客户端由于再一定的时间内未收到数据包或确认信息,将启用TCP/IP 协议的拥塞控制机制或应用层协议进行降速传输,从而实现对P2P流量进行控制的目的。