DPI 技术白皮书 前言 在当今高速大容量的 Internet环境中,内容安全是网络安全的重要组成部分。对于网络管理来说,最重要的就是识别和区分网络流量,通过协议识别可以对网络进行流量控制、网络计费、内容过滤、以及流量管理。 传统的协议识别采用的是端口识别,这种识别能达到较高的速率,但是现在大量的应用层协议为了避免识别,逃避防火墙的检查,不使用固定的端口进行通信。这不仅包括众多近年新出现的 P 2P 协议,而且包括了越来越多的传统协议,比如 BitTorrent、eMule等 P 2P 协议,其采用动态端口进行通信;Skype、QQ等协议则共用 80端口。越来越多诸如此类协议的产生,使得端口识别已无能无力,因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议。 DP I(Deep P acket Inspection,深度包检测)技术是近年来出现的一种协议识别技术, DP I 技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,当 IP 数据包、TCP或 UDP 数据流经过基于 DP I 技术的网络设备时,DP I 引擎通过深入读取 IP 包载荷的内容来对 OSI 7层协议中的应用层信息进行重组,从识别出 IP 包的应用层协议。 DP I 技术 传统的 IP 包流量识别和 QoS控制技术,仅对 IP 包头中的“5Tuples”,即“五元组”信息进行分析,来确定当前流量的基本信息,传统 IP 路由器也正是通过这一系列信息来实现一定程度的流量识别和 QoS保障的,但其仅仅分析 IP 包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。 DP I 技术技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,当 IP 数据包、TCP或 UDP 数据流经过基于 DP I技术的带宽管理系统时,该系统通过深入读取 IP 包载荷的内容来对 OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。 不同的应用通常会采用不同的协议,而各种协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的 Bit序列。基于特征字的识别技术,正是通过识别数据报文中的指纹信息来确定业务所承载的应用。根据具体检测方式的不同,基于特征...
