DPI技术——关键业务不卡顿的保障!
【DPI技术】本文主要是对DPI技术进行介绍,指出DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。并详细介绍了DPI工作原理、DPI技术优势以及DPI技术的典型应用。
1 背景
随着信息技术的飞速发展,对等网络(Peer-to-Peer,简称P2P)、流媒体、互动在线游戏和虚拟现实等新型网络业务层出不穷。在这些新兴业务中,P2P业务的流量占互联网数据流量的50%-70%,再加上其他业务流量,极大地加重了网络拥塞,影响了正常网络业务的开展和关键应用的普及。同时,P2P应用的广泛使用也给网络管理带来了极大的挑战。
为了应对新兴业务带来的带宽负载,传统的解决方案是通过简单的网络升级扩容,其弊端也是显而易见的:
● 带宽管理方面:面对不断增长的数据流量,需要不断地增加网络设备,增加硬件成本和运维成本。
● 网络运维方面:缺乏有效的技术监管手段,不能对新型业务数据进行感知和识别。
● 网络安全方面:传统的网络安全检测只能对报文进行四层检测(IP+端口),攻击者可以构造报文(将攻击信息插入到应用层)来绕开检测,从而达到攻击目的。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,成为运营商关注的焦点。为了解决这些问题,DPI技术应运而生。
2 DPI技术介绍
DPI(Deep Packet Inspection,深度报文检测)是一种基于报文的应用层信息对流量进行检测和控制的功能。普通报文检测只能分析报文四层以下的内容,如IP、端口、协议类型等。而DPI技术除了能对这些信息进行分析外,还增加了对应用层的分析,能够识别各种应用及其内容。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时,设备会通过深入读取报文载荷来进行重组和分析,从而识别整个应用程序的内容,然后按照设备定义的管理策略对流量进行后续处理。
正是由于其应用识别的特性,DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。
3 DPI工作原理
3.1 DPI检测原理
不同类型的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或Bit序列。这些指纹由专业的安全专家收集并整理,形成“特性库”,当DPI设备收到报文后,就会通过特征库中的特征规则对报文载荷进行匹配,最终识别出数据流所属的应用类型。
一个特征库中可能有上千条特征规则,匹配报文时,为了能够尽可能的提高报文匹配的效率,降低对报文转发性能的影响。DPI技术提出了快速匹配方法,其原理如下:
(1)先进行近似匹配:取出每条规则的最长特征串,进行最长特征串的多模AC算法匹配。根据最长特征串找到可能匹配的候选规则。
(2)再进行精确匹配:对候选规则进行单模算法的字符串匹配或者正则表达式字符串匹配。
特征码的距离固定,可以用特征库载荷规则选项进行精确特征描述,然后转化为单模算法的字符串匹配进行精确匹配。通常我们会采用改良的单模BM算法进行匹配。
特征码的距离不固定难以描述,可以用正则表达式文法描述,采用正则表达式算法进行匹配。
3.2 DPI检测流程
DPI深度检测流程如下:
(1)设备加载特征库文件。
(2) 当设备收到报文后,在协议和端口的识别基础上对报文载荷进行解码,然后通过特征库中的特征规则对载荷进行匹配,识别报文内容。
(3)根据匹配结果处理报文:
匹配成功,将报文转发给其他业务模块(如IPS、应用路由)进行后续处理等。
匹配失败,放行报文。
4 DPI技术优势
4.1 和传统四层检测比较
传统的四层检测只能识别报文二到四层的信息,如IP、端口号等。而DPI技术不仅能识别这些信息,还能识别应用层信息,识别更精细、更准确。
图4-1 DPI深度检测和传统四层检测对比
4.2 和DFI技术比较
与DPI进行报文应用层载荷的检测不同,DFI采用的是一种基于流量行为的应用识别技术。不同类型的应用,其会话连接或数据流的状态不同。例如,P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,通过机器学习算法建立流量特征模型,分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而鉴别应用类型。
DFI与DPI两种技术的基本目标都是为了实现应用识别,但是两者在实现的着眼点和技术细节方面又有着较大的区别,具体如表4-1所示。
| 技术类型 | 处理速度 | 维护成本 | 识别准确率 | 适用场景 |
| DPI | 较慢(逐包) | 较高(特征库维护) | 较高 | 适用于精细和准确识别、精细管理的场景 |
| DFI | 较快(逐流) | 较低 | 较低 | 适用于高效识别、粗放管理的场景 |
5 典型应用
锐捷的防火墙和出口网关系列产品已经全面支持DPI技术,本章以RG-EG3250多业务安全网关为例,介绍DPI技术在网吧场景中的使用及配置思路。
5.1 组网需求
网吧出口有1条光纤线路和多条ADSL线路,根据业务需求,要求关键应用(如游戏、网页浏览、即时通讯等)走光纤链路;抑制应用(如在线影视、P2P下载等)走ADSL线路。视频流媒体软件和HTTP视频流媒体类型等应用在午夜时间不进行抑制,可以走光纤线路。
图5-1 网吧组网需求
5.2 配置思路
● 所有的P2P应用软件、在线影视等非关键应用走ADSL线路,能够在ADSL线路充分应用带宽。
● 设置光纤线路为缺省路由,确保关键应用走光纤线路,网络流畅。
● 当出口带宽不足时,Web业务可以走ADSL线路,减少光纤的使用,为关键业务减少带宽。
相关标签:
点赞
更多技术博文
-
一文帮助您了解如何进行风险辨识,确保计算机系统安全本文探讨了在计算机系统安全中的关键一环——如何进行风险辨识。通过系统化方法,识别和评估潜在的安全威胁和漏洞,从而全面了解系统中存在的潜在风险。采取多种方法,如安全漏洞扫描、安全威胁模拟等,有助于发现安全威胁,并为进一步的安全保护提供基础。
-
#知识百科
-
#安全
-
-
风险检测系统:如何保障计算机系统安全?本文探讨了风险检测系统在计算机安全中的关键作用。通过监测系统行为、分析网络流量等方式,风险检测系统能及时发现潜在安全威胁,提高系统安全性和稳定性。文章强调建立和使用风险检测系统是保护计算机系统安全的重要措施,对各个领域的安全保障具有重要意义。
-
#知识百科
-
#安全
-
-
企业办公场所智能化核心技术之POE网关是什么本文探讨了POE网关在提升企业办公智能化水平中的关键作用。通过以太网电缆为智能设备提供数据和电力,POE网关简化了设备管理流程,提高了工作效率,降低了总体成本。这项关键技术不仅满足了企业对智能化办公环境的需求,还为企业创造出更智能、高效、节能的办公环境。
-
#知识百科
-
#安全
-
-
一文带你了解POE交换机与POE路由器是什么?本文探讨了POE交换机和POE路由器在智能化办公环境中的关键作用。它们通过为智能设备提供电力和数据传输,实现了高效通信和智能管理。POE交换机简化了设备连接并提升了工作效率,而POE路由器作为核心枢纽,打造了灵活、可靠和安全的网络环境。
-
#交换机
-
#知识百科
-
