DPI與DFI技術分析

dpi全稱為「deep packet inspection」，稱為「深度包檢測」。dpi技術在分析包頭的基礎上，增加了對應用層的分析，是一種基於應用層的流量檢測和控制技術，當ip資料報、tcp或udp資料流經過基於dpi技術的頻寬管理系統時，該系統通過深入讀取ip包載荷的內容來對osi7層協議中的應用層資訊進行重組，從而得到整個應用程式的內容，然後按照系統定義的管理策略對流量進行整形操作。針對不同的協議型別，dpi識別技術可劃分為以下三類：

第一類是特徵字的識別技術：不同的應用通常會採用不同的協議，而各種協議都有其特殊的指紋，這些指紋可能是特定的埠、特定的字串或者特定的bit序列。基於特徵字的識別技術，正是通過識別資料報文中的指紋資訊來確定業務所承載的應用。根據具體檢測方式的不同，基於特徵字的識別技術又可細分為固定特徵位置匹配、變動特徵位置匹配和狀態特徵字匹配三種分支技術。通過對指紋資訊的公升級，基於特徵字的識別技術可以方便的擴充套件到對新協議的檢測。

第二類是應用層閘道器識別技術：在業務中，有一類的控制流和業務流是分離的，如與7號信令相關的業務，其業務流沒有任何特徵，應用層網管識別技術針對的物件就是此類業務，首先由應用層網管識別出控制流，並根據控制流協議選擇特定的應用層閘道器對業務流進行解析，從而識別出相應的業務流。對於每乙個協議，需要不同的應用層閘道器對其進行分析。例如：h323、sip等協議，就屬於此類，其通過信令互動過程，協商得到其資料通道，一般是rtp格式封裝的語音流，純粹檢測rtp流並不能確定這條rtp流是通過那種協議建立起來的，即判斷其是何種業務，只有通過檢測sip或h232的協議互動，才能得到其完整的分析。

第三類是行為模式識別技術：在實施行為模式技術之前，運營商首先必須先對終端的各種行為進行研究，並在此基礎上建立行為識別模型，基於行為識別模型，行為模式識別技術即根據客戶已經實施的行為，判斷客戶正在進行的動作或者即將實施的動作。

行為模式識別技術通常用於那些無法由協議本身就能判別的業務，例如：從電子郵件的內容看，垃圾郵件和普通郵件的業務流兩者間根本沒有區別，只有進一步分析，具體根據傳送郵件的大小、頻率，目的郵件和源郵件位址、變化的頻率和被拒絕的頻率等綜合分析，建立綜合識別模型，才能判斷是否為垃圾郵件。

這三類識別技術分別適用於不同型別的協議，相互之間無法替代，只有綜合的運用這三大技術，才能有效的靈活的識別網路上的各類應用，從而實現控制和計費。

dpi與dfi優缺點分析

dfi處理速度相對快：採用dpi技術由於要逐包進行拆包操作，並與後台資料庫進行匹配對比；採用dfi技術進行流量分析僅需將流量特徵與後台流量模型比較即可，因此，目前多數基於dpi的頻寬管理系統的處理能力達到線速1gbit/s左右，而基於dfi的系統則可以達到線速10gbit/s的流量監控能力，完全可以滿足運營商需求；

dfi維護成本相對較低：基於dpi技術的頻寬管理系統，總是滯後新應用，需要緊跟新協議和新型應用的產生而不斷公升級後台應用資料庫，否則就不能有效識別、管理新技術下的頻寬，提高模式匹配效率；而基於dfi技術的系統在管理維護上的工作量要少於dpi系統，因為同一型別的新應用與舊應用的流量特徵不會出現大的變化，因此不需要頻繁公升級流量行為模型。

識別準確率方面各有千秋：由於dpi採用逐包分析、模式匹配技術，因此，可以對流量中的具體應用型別和協議做到比較準確的識別；而dfi僅對流量行為分析，因此只能對應用型別進行籠統分類，如對滿足p2p流量模型的應用統一識別為p2p流量，對符合網路語音流量模型的型別統一歸類為voip流量，但是無法判斷該流量是否採用h.323或其他協議。如果資料報是經過加密傳輸的，則採用dpi方式的流控技術則不能識別其具體應用，而dfi方式的流控技術則不受影響，因為應用流的狀態行為特徵不會因加密而根本改變。

DPI與DFI技術分析

流控技術之DPI介紹

全球DPI觀察之四 DPI分析和控制業務應用

畫素與DPI之間的關係

DPI與DFI技術分析

流控技術之DPI介紹

全球DPI觀察之四 DPI分析和控制業務應用

畫素與DPI之間的關係

相關推薦