DPI(深度报文检测技术)
深度报文检测通常应用于流量监测与业务统计过程,是流量分析领域的重要工具。深度报文检测的英文全称为Deep Packet Inspection,该方法用于深入到数据报文的应用层部分,通过匹配特定字段或规则分析其具体协议或者类别,具体分析的结果通常根据需求产生。深度报文检测技术在数据报文加密出现之前,是用于流量分析最重要的手段。当然即使加密技术被广泛应用于网络服务中,深度报文检测技术也可配合其他流量分析技术进行加密流量识别和分类,例如传统机器学习算法、深度学习模型等。
nDPI
原文链接:nDPI: Open-Source High-SpeedDeep Packet Inspection](http://luca.ntop.org/nDPI.pdf)
开源工具链接:nDPI
由于DPI技术发展已久,目前已经存在许多知名的开源工具。本次介绍一款在国内很多DPI设备中被频繁采用的nDPI工具。DPI技术的产生是有原因的,早期端口号检测技术即可分析大多数的应用层协议,通过对传输层包头进行分析,提取端口号信息,将端口分为系统端口、用户端口以及动态端口三种类型。系统端口对应着常见的应用层服务,例如HTTP-80,DNS-53,SMTP-25,TELNET-23等等。
导致端口号检测准确率下降的原因主要有:
- RPC(远程过程调用)的出现,产生了诸如rpcbind和portmap等特定应用来处理端口号的动态映射。
- 端口号检测只能处理0-1023的基本系统