超级会员免费看
DPI(深度包检测)技术通过维护应用特征数据库,利用协议特征、Payload特征、关联识别和行为模式识别来确定网络应用类型。其关键在于保持特征库的准确性、实时性及高性能,确保业务识别的精确和及时。特征识别包括固定位置和变动位置的特征匹配,Payload特征通过正则表达式进行识别,关联识别用于控制流和业务流分离的情况,而行为识别则通过用户行为分析识别复杂业务。
目录
DPI 的业务识别技术类型
DPI 的关键技术是能够高效的识别出网络上的各种应用类型。
浅报文检测是通过端口号来识别应用类型的。如:检测到端口号为 80 时,则认为是 HTTP 协议。但实际上,为了应用的安全性考虑通常不会使用默认端口来暴露业务能力。此时采用 L2 ~ L4 层的传统检测方法已无能为力了。
而 DPI 技术与我们熟知的防病毒软件在某些方面比较类似,即:其能识别的应用类型必须是系统已知的应用类型。换句话说,防病毒软件要防御病毒攻击,前提是后台要有一个庞大的病毒特征数据库。DPI 一样也要维护一个应用特征数据库,当流量经过时,通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型。而当有新的应用出现时,后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能力。
DPI 的应用类型识别技术可以分为以下几大类:
- 基于 “特征” 的业务识别技术
- 基于 “应用层网关” 的业务识别技术
- 基于 “行为模式” 的业务识别技术
可见,DPI 的技术核心点在于如何维护一个高准确性、高实时性的应用特征库,同时兼具性能,进而才能保障检测的准确
订阅专栏 解锁全文
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
