DPI是Deep packet inspection. 基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。(From Baidu)
深度检测是与普通的报文分析层次相比较得出的:
普通检测:只检测IP包4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。
深度检测:除了以上5点外,还会对应用层进行分析,该系统会对OSI七层协议中的应用层进行重组,从而得到整个应用程序的内容。
OSI七层协议:
从上至下:7.应用层 --> 6.表示层 --> 5.会话层 --> 4.传输层 --> 3.网络层 --> 2.数据链路层 --> 1.物理层。高层(7、6、5、4)定义了应用程序的功能,下面三层(3、2、1)主要面向通过网络的端到端的数据流。
基于DPI技术的带宽管理解决方案与病毒防护软件类似,其能识别的应用类型必须为系统已知的,所以DPI也要有一个应用特征数据库来进行比对。
UTM(Unified Threat Managemrnt)也采用的DPI来实现的。
DPI技术原理
DPI的技术关键是高效的识别出网络上的各种应用。普通报文通过检测端口来识别应用类型,而DPI则会通过探测应用流中的数据报文内容,从而定义数据报文的真正应用。
重要应用
深度数据包检测(DPI)是一项已经在流量管理、安全和网络分析等方面获得成功的技术,同时该技术能够对网络数据包进行内容分析。
服务供应商使用 DPI 来分离网络流量,很多服务供应商现在使用 DPI 来将流量分为低延时(语音)、保证延时(网络流量)、保证交付(应用流量)和尽最大努力交付的应用程序(文件共享)。
大型企业可以使用DPI来管理网络性能。
风险:目前还没有一个标准来定义。
相关案例:
2022.11.18 中移动集采预算19655万元,其中浩瀚深度中标占比约59.1%,百卓(通鼎互联信息股份有限公司)设备占比约40.9%,实际集采总额约为13783万元。
浩瀚深度硬件架构方案:
浩瀚深度软件架构:
百卓网络ISMS系统架构图:
百卓网络ISMS信息安全管理系统包括控制单元(Control Unit,简称CU)和执行单元(Execution Unit,简称EU)两个部分,其中EU执行单元根据需要可拆分为流量采集子系统、汇聚分流子系统、流量分析及控制子系统、集中管理子系统。
中科曙光方案架构:
复用方式
按照应用系统所需数据内容和格式不同,DPI复用分为四种方式,第一种可以由分光器复用实现,后三种由DPI设备复用实现,统一DPI复用主要指后三种复用方式。
1. 分光复用
指通过联路分光器或者DPI设备分光功能,将光路信号完整的复制分发给应用系统。适用于系统特征库特殊,不易整合的应用系统。
- 分光器(OBD):
分光器是一种无源器件,又称光分路器,它们不需要外部能量,只要有输入光即可。分光器由入射和出射狭缝、反射镜和色散元件组成,其作用是将所需要的共振吸收线分离出来。分光器的关键部件是色散元件,现在商品仪器都是使用光栅。
分光器又称OBD,是接入FTTH方式的一种无源设备,一般是通信行业的运营商在家庭宽带侧需要接入使用。
2. 原始报文镜像
指DPI设备将全部原始报文或者经过特定条件过滤后的部分原始报文复制分发给应用系统。 适用于系统明确需要某种报文的应用系统。
3. 会话级数据
指DPI设备分析记录流量的会话数据(XDR),并将会话数据按指定格式发送给应用系统。 适用于以分析流量日志为主的应用系统。
4. 统计级数据
指DPI设备统计流量的各项指标,并将统计结果发送给应用系统。 适用于需要简单明确的统计指标的应用系统。
References:
1. (41条消息) DPI技术_惹不起的程咬金的博客-CSDN博客
3. DPI(深度报文检测)_百度百科 (baidu.com)
4. 中国移动互联网DPI集采:浩瀚深度、百卓两家瓜分 - 中国移动 — C114通信网
5. 分光器_百度百科
6. 硬件DPI系统_浩瀚深度