科来：详解DPI与网络回溯分析技术

ZDNet至顶网软件频道消息： 随着网络通讯技术进步与发展，网络通讯已跨入大数据时代，如何监控各类业务系统的通讯数据在大数据流量中传输质量，以及针对海量的网络通讯数据的范畴中存在少量的恶意流量的检测，避免恶意通讯对主机、网络设备的root权限的安全威胁，和通讯内容的窃取。是网络管理必须面对的一个难题。

有攻击的矛，自有防御的盾，这是自然发展的规律。针对大数据的来临，传统的实时检测与防御已不能胜任对海量数据中存在细微异常的甄别。为此，对原始通讯数据的实时备份逐渐彰显出其必要性，而基于时间窗口的回溯分析技术加以对数据包的深度检测，是对异常数据发现的显微镜。

DPI技术简介

DPI(Deep Packet Inspection)深度包检测技术是在传统IP数据包检测技术（OSI L2-L4之间包含的数据包元素的检测分析）之上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码。

通过对网络通讯的原始数据包捕获，DPI技术可使用其三大类的检测手段：基于应用数据的“特征值”检测、基于应用层协议的识别检测、基于行为模式的数据检测。根据不同的检测方法对通信数据包可能含有的异常数据做逐一的拆包分析，深度挖据出宏观数据流中存在的细微数据变化。

DPI与传统网络分析技术

利用数据特征值对业务类型进行识别判断

在五元组分析技术之上，DPI通过对IP数据包的内容进行分析，依据数据特征字的查找或者业务的行为统计，得到相关业务流的类型。

网络分析技术对数据包内容的解码：

识别利用TCP/80端口传输BT流量的数据特征，如果只是通过常见的HTTP应用特征进行判断， 就很容易将它误判为一个Web 访问的应用。数据特征值检测技术不仅可以识别业务传输的数据内容指纹，而且对利用已知通信端口（如：利用TCP/445端口进行蠕虫传播时所携带的病毒特征）或未知端口进行木马传输的数据特征做识别判断。

应用协议识别

DPI技术对网络应用及协议识别，采用识别数据内容的签名（类似于人体指纹）来进行辨别，签名是被用来分析鉴别应用及协议的特征有效的手段，当一个新的应用或协议被发明，数据内容中将携带有相应的签名。

网络分析技术的应用协议识别具备对数据内容所携带的签名，还可以依据数据通讯所采用的传输层端口做应用协议的判别。

协议识别可作用于对通讯流量成分的规划，以及对异常通讯流量的发现。

业务交付统计

DPI 的业务统计功能可识别网络的业务流量分布和用户的各种业务使用情况，发现影响网络正常运行的因素，为网络和业务优化提供依据。

网络回溯分析技术

回溯分析集合了传统网络分析和DPI技术各项优点，并提供对原始通讯数据的海量存储，满足对微量异常通讯的发现能力。而且回溯分析通过对业务通讯的五元组和应用协议特征识别，在基于时间窗口的独特功能上，为各类业务通讯提供了每一时段的交互质量检测。