1、DPI深度包檢測技術(shù)及其作用何謂DPIDPI 全稱為“Deep Packet Inspection”，稱為“深度包檢測”。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包的層4 以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI 除了對前面的層次分析外，還增加了應(yīng)用層分析，識別各種應(yīng)用及其內(nèi)容，基本概念如下圖所示：窗體頂端窗體底端DPI技術(shù)原理DPI 的技術(shù)關(guān)鍵是高效的識別出網(wǎng)絡(luò)上的各種應(yīng)用。普通報文檢測是通過端口號來識別應(yīng)用類型的。如檢測到端口號為80時，則認(rèn)為該應(yīng)用代表著普通上網(wǎng)應(yīng)用。而當(dāng)前網(wǎng)絡(luò)上的一些非法應(yīng)用會采用隱藏或假冒端口號的方式躲

2、避檢測和監(jiān)管，造成仿冒合法報文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò)。此時采用L2L4層的傳統(tǒng)檢測方法已無能為力了。DPI 技術(shù)就是通過對應(yīng)用流中的數(shù)據(jù)報文內(nèi)容進行探測，從而確定數(shù)據(jù)報文的真正應(yīng)用。因為非法應(yīng)用可以隱藏端口號，但目前較難以隱藏應(yīng)用層的協(xié)議特征。DPI的識別技術(shù)可以分為以下幾大類：（1）基于“特征字”的識別技術(shù)不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列?；凇疤卣髯帧钡淖R別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的“指紋”信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于“特征字”的識別技術(shù)又可以被分為固定位置特征字

3、匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過對“指紋”信息的升級，基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。如：Bittorrent 協(xié)議的識別，通過反向工程的方法對其對等協(xié)議進行分析，所謂對等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對等協(xié)議由一個握手開始，后面是循環(huán)的消息流，每個消息的前面，都有一個數(shù)字來表示消息的長度。在其握手過程中，首先是先發(fā)送19，跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。（2）應(yīng)用層網(wǎng)關(guān)識別技術(shù)某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，

4、業(yè)務(wù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。對于每一個協(xié)議，需要有不同的應(yīng)用層網(wǎng)關(guān)對其進行分析。如SIP、H323協(xié)議都屬于這種類型。SIP/H323通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測RTP流并不能得出這條RTP流是那通過那種協(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交互，才能得到其完整的分析。（3）行為模式識別技術(shù)行為模式識別技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作

5、。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。例如：SPAM（垃圾郵件）業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準(zhǔn)確的識別出SPAM業(yè)務(wù)。以上三種識別技術(shù)分別用于不同類型協(xié)議的識別，無法相互替代。而華為公司在應(yīng)用DPI 技術(shù)部署DPI 系統(tǒng)時采用了多業(yè)務(wù)控制網(wǎng)關(guān)MSCG分層DPI 解決方案，綜合運用了這三種技術(shù)，在檢測效率和靈活性方面均達到最優(yōu)。DPI 技術(shù)的應(yīng)用利用DPI 技術(shù)在IP網(wǎng)絡(luò)中部署DPI 系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)運營中的業(yè)務(wù)識別、業(yè)務(wù)控制和業(yè)務(wù)統(tǒng)計三大功能。業(yè)務(wù)識別一般而言，對于業(yè)務(wù)識別有兩種方法，一種是對運營商開通的合法

6、業(yè)務(wù)，另外一種是運營商需要進行監(jiān)管的業(yè)務(wù)。前者可以通過業(yè)務(wù)流的五元組來標(biāo)識，如VOD業(yè)務(wù)，其業(yè)務(wù)流的地址是屬于VOD服務(wù)器網(wǎng)段的地址，其端口是一個固定的端口。系統(tǒng)一般采用ACL的方式，識別出該類業(yè)務(wù)。后者需求DPI技術(shù)，通過前述的業(yè)務(wù)識別方法，通過對IP數(shù)據(jù)包的內(nèi)容進行分析，通過特征字的查找或者業(yè)務(wù)的行為統(tǒng)計，得到業(yè)務(wù)流的類型。業(yè)務(wù)控制通過DPI 技術(shù)識別出各類業(yè)務(wù)流之后，根據(jù)網(wǎng)絡(luò)配置的組合條件，如用戶、時間、帶寬、歷史流量等，對業(yè)務(wù)流進行控制?？刂品椒òǎ赫＾D(zhuǎn)發(fā)、阻塞、限制帶寬、整形、重標(biāo)記優(yōu)先級等。為了便于業(yè)務(wù)的運營，業(yè)務(wù)控制策略一般集中配置在策略服務(wù)器中，用戶上線后動態(tài)下發(fā)。業(yè)務(wù)統(tǒng)計DPI 的業(yè)務(wù)統(tǒng)計功能是為了直觀的統(tǒng)計網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，從而更好的發(fā)現(xiàn)促進業(yè)務(wù)發(fā)展和影響網(wǎng)絡(luò)正常運營的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。如：發(fā)掘?qū)τ脩粲形Φ臉I(yè)務(wù)、驗證業(yè)務(wù)提供水平是否達到了用戶的服務(wù)等級協(xié)議SLA、統(tǒng)計分析出網(wǎng)絡(luò)中的攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務(wù)、哪幾種業(yè)務(wù)最消耗網(wǎng)絡(luò)的帶寬和哪些用戶使用了非法VOIP等等。DPI 技術(shù)的發(fā)展可以看出，DPI 的檢測技術(shù)和網(wǎng)絡(luò)上非正常應(yīng)用的反檢測是矛和盾的關(guān)系。前面談到的DPI技術(shù)不是靜止不變的，隨著檢測技術(shù)的發(fā)展，非正常應(yīng)用的隱藏技術(shù)也在演進。如對數(shù)據(jù)部分加密、