2-4 深度动态流检测技术(DFI)

DPI与DFI优缺点分析——DFI维护成本相对较低
基于DPI技术的带宽管理系统，总是滞后新应用，需要紧跟新 协议和新型应用的产生而不断升级后台特征数据库，否则就不能有 效识别、管理新技术下的应用，提高模式匹配效率；而基于DFI技 术的系统在管理维护上的工作量要少于DPI系统，因为同一类型的 新应用与旧应用的流量特征不会出现大的变化，因此不需要频繁升 级流量行为模型。
DPI与DFI优缺点分析——识别准确率方面各有所长
由于DPI采用逐包分析、模式匹配的技术，因此，可以对流量中的 具体应用类型和协议做到比较准确的识别；而DFI仅对流量行为进行分 析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用 统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VoIP 流量，但是无法判断该流量是否采用H.323或其他协议。如果数据包是 经过加密传输的，则采用DPI方式的流控技术不能识别其具体应用，而 DFI方式的流量行为识别技术则不受影响，因为应用流的状态行为特征 不会因加密而根本改变。
IP网络流量各检测技术比较：
视频课程“由浅入深学习防火墙”参见51CTO、网易云课堂、腾讯课堂
DFI识别原理举例பைடு நூலகம்
例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流 的包长相对固定，一般在130～220byte，连接速率较低，为20～ 84kbit/s，同时会话持续时间也相对较长，所用传输层协议为UDP；而 基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下 载时间长、连接速率高、首选传输层协议为TCP等。
DFI技术正是基于这一系列流量的行为特征，建立流量特征模型， 通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的 间隔等信息来与流量模型对比，从而实现对应用类型的鉴别。
DPI与DFI优缺点分析——DFI处理速度相对较快
采用DPI技术由于要逐包进行拆包操作，并与后台数据库进行 匹配对比；采用DFI技术进行流量分析仅需将流量特征与后台流量 模型比较即可，因此，目前多数基于DPI的带宽管理系统的处理能 力达到线速1Gbit/s左右，而基于DFI的系统则可以达到线速 10Gbit/s的流量监控能力，完全可以满足运营商需求；
由浅入深学习—
一、防火墙的基本概述 二、防火墙的实现技术
1.数据包过滤 2.应用级网关 3.电路级网关 三、防火墙的体系结构 四、防火墙配置和应用
主讲：司海峰
深度/动态流检测技术（DFI）
与DPI进行应用层的载荷匹配不同，DFI采用的是一种基于流 量行为的应用识别技术，即不同的应用类型体现在会话连接或数 据流上的状态各有不同，DFI技术就是根据这些特征来判断应用类 型的。