DFI、DPI、端口识别技术

DFI以及DPI简单通俗以自己的理解来将就是网络带宽的一种检测技术，既然是检测技术也就是说其可以进行查看流量情况，那么最简单的企业应用也就是拿来看DDOS攻击情况之类的了。

 DFI（Deep/Dynamic Flow Inspection，深度/动态流检测） 它与DPI（Deep Packet Inspection，深度包检测）进行应用层的载荷匹配不同，采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。

DPI:

• 深度包检测,增加了对应用层分析，识别各种应用
• 对应用流中的数据报文内容进行探测，从而确定数据报文真正应用
• 基于“特征字”的识别技术
• 应用层网关识别技术
• 行为模式识别技术

DFI:

• 深度/动态流检测
• 基于流量行为的识别技术，即不同的应用类型体现在会话连接或数据流上的状态不同

流量识别技术：

1. 端口识别技术：仅分析IP包的层4 以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。

2. DPI（深度包检测）：Deep Packet Inspection。除了对前面的层次分析外，还增加了应用层分析，深入读取IP包载荷的内容来对协议中的应用层信息进行分析读取，进而识别各类型应用。

3. DFI（深度/动态流检测）：Deep/Dynamic Flow Inspection。采用基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。数据流状态包括流时长分布、报文到达间隔分布、报文长度分布等。

DPI与DFI技术区别:

​1. DFI处理速度相对快：

（1）采用DPI技术由于要逐包进行拆包操作，并与后台数据库进行匹配对比；

（2）采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。

2. DFI维护成本相对较低：

（1）基于DPI技术的带宽管理系统，需要紧跟新协议和新型应用的产生而不断升级后台应用数据库，否则就不能有效识别、管理新技术下的带宽，提高模式匹配效率；

（2）基于DFI技术的系统在管理维护上的工作量要少于DPI系统，因为同一类型的新应用与旧应用的流量特征不会出现大的变化，因此不需要频繁升级流量行为模型。

3. 识别准确率方面各有千秋：

（1）由于DPI采用逐包分析、模式匹配技术，因此，可以对流量中的具体应用类型和协议做到比较准确的识别；而DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量。

（2）如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。