一、概述
1.DPI(Deep packet inspection,深度报文解析)
所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包4 层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容,主要实现一下功能:
1)应用分析——网络流量构成分析、性能分析、流向分析等;
2)用户分析——用户群区分、行为分析、终端分析、趋势分析等;
3)网元分析——根据区域属性(市、区、街道等)、基站负载情况进行分析等;
4)流量管控——P2P限速、保证QoS、带宽保障、网络资源优化等;
5)安全保障——DDoS攻击、数据广播风暴、防范恶意病毒攻击等。
2.网络应用的大致分类
现在的上的应用不计其数,但大众常用的网络应用可以进行穷举。
据我的了解应用识别做的最好的就是华为,号称能识别4000种应用。协议分析是很多防火墙公司(华为、网神、天融信、网康等)的基础模块,也是很重要的模块,支撑着其他的功能模块的实现,精准的应用识别,大大提高产品的性能和可靠性。像我现在在做的基于网络流量特征识别恶意软件的建模,精准的,大量的协议识别也是很重要的一环。公司出口的流量剔除掉常用应用的网络流量,剩下的流量占比会很少,更好的进行恶意软件的分析,报警。
根据我的经验将现有常用的应用根据作用进行分类:
ps:根据个人对应用的理解进行应用分类,大家有什么好的建议欢迎留言提议
1、电子邮件类