何謂DPI

DPI 全稱為“Deep Packet Inspection”，稱為“深度包檢測”。所謂“深度”是和普通的報(bào)文分析層次相比較而言的，“普通報(bào)文檢測”僅分析IP包的層4 以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI 除了對前面的層次分析外，還增加了應(yīng)用層分析，識別各種應(yīng)用及其內(nèi)容，基本概念如下圖所示：

DPI技術(shù)原理

DPI 的技術(shù)關(guān)鍵是高效的識別出網(wǎng)絡(luò)上的各種應(yīng)用。

普通報(bào)文檢測是通過端口號來識別應(yīng)用類型的。如檢測到端口號為80時(shí)，則認(rèn)為該應(yīng)用代表著普通上網(wǎng)應(yīng)用。而當(dāng)前網(wǎng)絡(luò)上的一些非法應(yīng)用會(huì)采用隱藏或假冒端口號的方式躲避檢測和監(jiān)管，造成仿冒合法報(bào)文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò)。此時(shí)采用L2~L4層的傳統(tǒng)檢測方法已無能為力了。

DPI 技術(shù)就是通過對應(yīng)用流中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行探測，從而確定數(shù)據(jù)報(bào)文的真正應(yīng)用。因?yàn)榉欠☉?yīng)用可以隱藏端口號，但目前較難以隱藏應(yīng)用層的協(xié)議特征。

DPI的識別技術(shù)可以分為以下幾大類：

（1）基于“特征字”的識別技術(shù)

不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列。基于“特征字”的識別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報(bào)文中的“指紋”信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用。

根據(jù)具體檢測方式的不同，基于“特征字”的識別技術(shù)又可以被分為固定位置特征字匹配、變動(dòng)位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。

通過對“指紋”信息的升級，基于特征的識別技術(shù)可以很方便的進(jìn)行功能擴(kuò)展，實(shí)現(xiàn)對新協(xié)議的檢測。

如：Bittorrent 協(xié)議的識別，通過反向工程的方法對其對等協(xié)議進(jìn)行分析，所謂對等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對等協(xié)議由一個(gè)握手開始，后面是循環(huán)的消息流，每個(gè)消息的前面，都有一個(gè)數(shù)字來表示消息的長度。在其握手過程中，首先是先發(fā)送19，跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。

（2）應(yīng)用層網(wǎng)關(guān)識別技術(shù)

某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，業(yè)務(wù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。

應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。

對于每一個(gè)協(xié)議，需要有不同的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行分析。

如SIP、H323協(xié)議都屬于這種類型。SIP/H323通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測RTP流并不能得出這條RTP流是那通過那種協(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交互，才能得到其完整的分析。

（3）行為模式識別技術(shù)

行為模式識別技術(shù)基于對終端已經(jīng)實(shí)施的行為的分析，判斷出用戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。例如：SPAM（垃圾郵件）業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準(zhǔn)確的識別出SPAM業(yè)務(wù)。

以上三種識別技術(shù)分別用于不同類型協(xié)議的識別，無法相互替代。而華為公司在應(yīng)用DPI 技術(shù)部署DPI 系統(tǒng)時(shí)采用了多業(yè)務(wù)控制網(wǎng)關(guān)MSCG分層DPI 解決方案，綜合運(yùn)用了這三種技術(shù)，在檢測效率和靈活性方面均達(dá)到最優(yōu)。

DPI 技術(shù)的應(yīng)用

利用DPI 技術(shù)在IP網(wǎng)絡(luò)中部署DPI 系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營中的業(yè)務(wù)識別、業(yè)務(wù)控制和業(yè)務(wù)統(tǒng)計(jì)三大功能。

業(yè)務(wù)識別

一般而言，對于業(yè)務(wù)識別有兩種方法，一種是對運(yùn)營商開通的合法業(yè)務(wù)，另外一種是運(yùn)營商需要進(jìn)行監(jiān)管的業(yè)務(wù)。

前者可以通過業(yè)務(wù)流的五元組來標(biāo)識，如VOD業(yè)務(wù)，其業(yè)務(wù)流的地址是屬于VOD服務(wù)器網(wǎng)段的地址，其端口是一個(gè)固定的端口。系統(tǒng)一般采用ACL的方式，識別出該類業(yè)務(wù)。

后者需求DPI技術(shù)，通過前述的業(yè)務(wù)識別方法，通過對IP數(shù)據(jù)包的內(nèi)容進(jìn)行分析，通過特征字的查找或者業(yè)務(wù)的行為統(tǒng)計(jì)，得到業(yè)務(wù)流的類型。

業(yè)務(wù)控制

通過DPI 技術(shù)識別出各類業(yè)務(wù)流之后，根據(jù)網(wǎng)絡(luò)配置的組合條件，如用戶、時(shí)間、帶寬、歷史流量等，對業(yè)務(wù)流進(jìn)行控制?？刂品椒òǎ赫＾D(zhuǎn)發(fā)、阻塞、限制帶寬、整形、重標(biāo)記優(yōu)先級等。

為了便于業(yè)務(wù)的運(yùn)營，業(yè)務(wù)控制策略一般集中配置在策略服務(wù)器中，用戶上線后動(dòng)態(tài)下發(fā)。

業(yè)務(wù)統(tǒng)計(jì)

DPI 的業(yè)務(wù)統(tǒng)計(jì)功能是為了直觀的統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，從而更好的發(fā)現(xiàn)促進(jìn)業(yè)務(wù)發(fā)展和影響網(wǎng)絡(luò)正常運(yùn)營的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。如：發(fā)掘?qū)τ脩粲形Φ臉I(yè)務(wù)、驗(yàn)證業(yè)務(wù)提供水平是否達(dá)到了用戶的服務(wù)等級協(xié)議SLA、統(tǒng)計(jì)分析出網(wǎng)絡(luò)中的攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務(wù)、哪幾種業(yè)務(wù)最消耗網(wǎng)絡(luò)的帶寬和哪些用戶使用了非法VOIP等等。

DPI 技術(shù)的發(fā)展

可以看出，DPI 的檢測技術(shù)和網(wǎng)絡(luò)上非正常應(yīng)用的反檢測是矛和盾的關(guān)系。前面談到的DPI技術(shù)不是靜止不變的，隨著檢測技術(shù)的發(fā)展，非正常應(yīng)用的隱藏技術(shù)也在演進(jìn)。如對數(shù)據(jù)部分加密、隱藏特征字和通過隧道技術(shù)躲避檢測等等。

DPI 技術(shù)在發(fā)展中將不斷調(diào)整上述的檢測方法，從而達(dá)到比較高的檢測精度。

總之，DPI 技術(shù)將逐漸在安全、業(yè)務(wù)控制等方面廣泛應(yīng)用，為運(yùn)營商精細(xì)控制和運(yùn)營網(wǎng)絡(luò)提供一種利器。