一、DPI 技術(shù)產(chǎn)生的背景

近年來，網(wǎng)絡(luò)新業(yè)務(wù)層出不窮，有對等網(wǎng)絡(luò)（Peer-to-Peer，簡稱 P2P）、VoIP、流媒體、Web TV、音視頻聊天、互動在線游戲和虛擬現(xiàn)實等。這些新業(yè)務(wù)的普及為運營商吸納了大量的客戶資源，同時也對網(wǎng)絡(luò)的底層流量模型和上層應(yīng)用模式產(chǎn)生了很大的沖擊，帶來帶寬管理、內(nèi)容計費、信息安全、輿論管控等一系列新的問題。尤其是 P2P、VoIP、流媒體等業(yè)務(wù)。當(dāng)前 P2P 業(yè)務(wù)的流量已占互聯(lián)網(wǎng)數(shù)據(jù)流量的50%-70%，如果再加上流媒體等業(yè)務(wù)，新業(yè)務(wù)的數(shù)據(jù)流量是相當(dāng)巨大的，這打破了以往“高帶寬、低負載”的 IP 網(wǎng)絡(luò) QoS 提供模式，在很大程度上加重了網(wǎng)絡(luò)擁塞，降低了網(wǎng)絡(luò)性能，劣化了網(wǎng)絡(luò)服務(wù)質(zhì)量，妨礙了正常的網(wǎng)絡(luò)業(yè)務(wù)的開展和關(guān)鍵應(yīng)用的普及。同時，P2P 的廣泛使用也給網(wǎng)絡(luò)的信息安全監(jiān)測管理帶來了極大的挑戰(zhàn)。

由于 P2P 流量的帶寬吞噬特性，簡單的網(wǎng)絡(luò)升級擴容是無法滿足運營商數(shù)據(jù)流量增長需要的，加上網(wǎng)絡(luò)設(shè)備缺乏有效的技術(shù)監(jiān)管手段，不能實現(xiàn)對 P2P/WEB TV 等新興業(yè)務(wù)的感知和識別，導(dǎo)致網(wǎng)絡(luò)運營商對網(wǎng)絡(luò)的運行情況無法有效管理。

傳統(tǒng)的網(wǎng)絡(luò)運維管理，往往通過設(shè)備網(wǎng)管實現(xiàn)對網(wǎng)元級的管理，后來發(fā)展至網(wǎng)絡(luò)級管理，可以對上層的簡單應(yīng)用進行管控，而這些應(yīng)用級管控技術(shù)大多采用簡單網(wǎng)絡(luò)管理協(xié)議 SNMP 或者基于端口的流量識別進行進行分析和管理。

因此，如何深度感知互聯(lián)網(wǎng)/移動互聯(lián)網(wǎng)業(yè)務(wù)，提供應(yīng)用級管控手段，構(gòu)建“可運營、可管理”的網(wǎng)絡(luò)，成為運營商關(guān)注的焦點。

二、DPI 技術(shù)介紹

DPI 技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)，稱為“深度包檢測”。所謂“深度”是和普通的報文分析層次相比較而言的，普通報文檢測僅分析 IP 包的4層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。

傳統(tǒng)IP頭部報文分析

DPI技術(shù)對應(yīng)用特征的分析

OSI七層協(xié)議：
OSI是一個開放性的通信系統(tǒng)互連參考模型，他是一個定義得非常好的協(xié)議規(guī)范。OSI模型有7層結(jié)構(gòu)，每層都可以有幾個子層。 OSI 的7層從上到下分別是 7.應(yīng)用層、6.表示層、5.會話層、4.傳輸層、3.網(wǎng)絡(luò)層、2.數(shù)據(jù)鏈路層、1.物理層；其中高層（即7、6、5、4層）定義了應(yīng)用程序的功能，下面3層（即3、2、1層）主要面向通過網(wǎng)絡(luò)的端到端的數(shù)據(jù)流。

基于 DPI 技術(shù)的帶寬管理解決方案與我們熟知的防病毒軟件系統(tǒng)在某些方面比較類似，即其能識別的應(yīng)用類型必須為系統(tǒng)已知的，以用戶熟知的BT為例，其Handshake的協(xié)議特征字為“BitTorrent Protocol”；換句話說，防病毒系統(tǒng)后臺要有一個龐大的病毒特征數(shù)據(jù)庫，基于 DPI 技術(shù)的帶寬管理系統(tǒng)也要維護一個應(yīng)用特征數(shù)據(jù)庫。當(dāng)流量經(jīng)過時，通過將解包后的應(yīng)用信息與后臺特征數(shù)據(jù)庫進行比較來確定應(yīng)用類型；而當(dāng)有新的應(yīng)用出現(xiàn)時，后臺的應(yīng)用特征數(shù)據(jù)庫也要更新才能具有對新型應(yīng)用的識別和控制能力。

這里需要提一下UTM（Unified Threat Management），UTM 實現(xiàn)原理采用的方法就是DPI，這種方法將下載、電子郵件傳輸以及壓縮的文檔與全面且連續(xù)更新的預(yù)定義攻擊簽名數(shù)據(jù)庫進行比較和匹配。利用這些簽名可以實時掃描并檢測、阻止通過網(wǎng)絡(luò)傳輸?shù)淖冃偷模≒acked）可執(zhí)行文件和宏病毒文件，以實現(xiàn) UTM 的功能。

三、DPI 技術(shù)原理

DPI 的技術(shù)關(guān)鍵是高效的識別出網(wǎng)絡(luò)上的各種應(yīng)用。普通報文檢測是通過端口號來識別應(yīng)用類型的。如檢測到端口號為 80 時，則認為該應(yīng)用代表著普通上網(wǎng)應(yīng)用。而當(dāng)前網(wǎng)絡(luò)上的一些非法應(yīng)用會采用隱藏或假冒端口 號的方式躲避檢測和監(jiān)管，造成仿冒合法報文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò)。此時采用 L2 ~ L4 層的傳統(tǒng)檢測方法已無能為力了。DPI 技術(shù)就是通過對應(yīng)用流中的數(shù)據(jù)報文內(nèi)容進行探測，從而確定數(shù)據(jù)報文的真正應(yīng)用。因為非法應(yīng)用可以隱藏端口號，但目前較難以隱藏應(yīng)用層的協(xié)議特征。DPI 的識別技術(shù)可以分為以下幾大類：

1. 基于“特征字”的識別技術(shù)不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列?；凇疤卣髯帧钡淖R別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的“指紋”信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于“特征字”的識別技術(shù)又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過對“指紋”信息的升級，基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。如：Bittorrent 協(xié)議的識別，通過反向工程的方法對其對等協(xié)議進行分析，所謂對等協(xié)議指的是 Peer 與 Peer 之間交換信息的協(xié)議。對等協(xié)議由一個握手開始，后面是循環(huán)的 消息流，每個消息的前面，都有一個數(shù)字來表示消息的長度。在其握手過程中，首先是先發(fā)送 19，跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。
2. 應(yīng)用層網(wǎng)關(guān)識別技術(shù)某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，業(yè)務(wù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。對于每一個協(xié)議，需要有不同的應(yīng)用層網(wǎng)關(guān)對其進行分析。如 SIP、H323 協(xié)議都屬于這種類型。SIP/H323 通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測 RTP 流并不能得出這條RTP流是那通過那種協(xié)議建立的。只有通過檢測 SIP/H323 的協(xié)議交互，才能得到其完整的分析。
3. 行為模式識別技術(shù)行為模式識別技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識 別。例如：SPAM（垃圾郵件）業(yè)務(wù)流和普通的 Email 業(yè)務(wù)流從 Email 的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準確的識別出 SPAM 業(yè)務(wù)。

四、重要應(yīng)用

深度數(shù)據(jù)包檢測(DPI)是一項已經(jīng)在流量管理、安全和網(wǎng)絡(luò)分析等方面獲得成功的技術(shù)，同時該技術(shù)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)包進行內(nèi)容分析，但又與header或者基于元數(shù)據(jù)的數(shù)據(jù)包檢測有所不同，這兩種檢測通常是由交換機、防火墻和入侵檢測系統(tǒng)/IPS設(shè)備來執(zhí)行的。通常的 DPI 解決方案能夠為不同的應(yīng)用程序提供深度數(shù)據(jù)包檢測。

只針對header的處理限制了能夠從數(shù)據(jù)包處理過程中看到的內(nèi)容，并且不能夠檢測基于內(nèi)容的威脅或者區(qū)分使用共同通信平臺的應(yīng)用程序。DPI 能夠檢測出數(shù)據(jù)包的內(nèi)容及有效負載并且能夠提取出內(nèi)容級別的信息，如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類型。

隨著網(wǎng)絡(luò)運營商、互聯(lián)網(wǎng)服務(wù)提供商(ISP)以及類似的公司越來越依賴于其網(wǎng)絡(luò)以及網(wǎng)絡(luò)上運行的應(yīng)用程序的效率，管理帶寬和控制通信的復(fù)雜性以及安全的需要變得越來越重要。DPI 恰好能夠提供這些要求，尋求更好的網(wǎng)絡(luò)管理以及合規(guī)的用戶企業(yè)應(yīng)該把 DPI 作為一項重要的技術(shù)。

DPI 技術(shù)首先能夠?qū)?shù)據(jù)包組裝到網(wǎng)絡(luò)的流量中，數(shù)據(jù)處理(包括協(xié)議分類)接著可以從流量內(nèi)容中提取信息，流量重組和內(nèi)容提取都需要大量處理能力，尤其是在高流量的數(shù)據(jù)流中。成功的 DPI 技術(shù)必須能夠提供基本功能，如高性能計算和對分析任務(wù)的靈活的支持。

DPI 處理部門必須能夠提供符合通信網(wǎng)絡(luò)性能的可擴扎性和性能，深度內(nèi)容檢測要求比僅僅是header檢測更加多的處理。因此，DPI 通常使用并行處理結(jié)構(gòu)來加快計算任務(wù)。DPI 技術(shù)最終能夠向用戶提供從網(wǎng)絡(luò)流量中提取出的信息，實際內(nèi)容處理可能與提取出的信息有很大差異，DPI 技術(shù)的表現(xiàn)有點像一個平臺，提供內(nèi)容處理的實用工具，但是可以讓用戶決定處理哪些內(nèi)容。

五、服務(wù)供應(yīng)商使用 DPI 來分離網(wǎng)絡(luò)流量

很多服務(wù)供應(yīng)商現(xiàn)在使用 DPI 來將流量分為低延時(語音)、保證延時(網(wǎng)絡(luò)流量)、保證交付(應(yīng)用流量)和盡最大努力交付的應(yīng)用程序(文件共享)。使用這種分類，他們可以更好的根據(jù)關(guān)鍵任務(wù)流量、非關(guān)鍵流量來優(yōu)化資源并減少網(wǎng)絡(luò)擁擠。因為廉價的帶寬，服務(wù)供應(yīng)商可以增加增值服務(wù)來獲得額外的收入，包括安全、高峰使用管理、內(nèi)容計費和針對性的廣告。這些都需要對網(wǎng)絡(luò)流量的深度檢測。

六、大型企業(yè)可以使用 DPI 來管理網(wǎng)絡(luò)性能

擁有大型網(wǎng)絡(luò)覆蓋很多地理區(qū)域的企業(yè)在他們的內(nèi)部網(wǎng)絡(luò)間可能運行著完全不同的通信類型。除了控制成本和帶寬使用外，安全一直是一個挑戰(zhàn)，這要求對網(wǎng)絡(luò)應(yīng)用程序流量的理解。這些企業(yè)已經(jīng)開始看到 DPI 分析帶來的好處，例如，網(wǎng)絡(luò)管理員可以使用 DPI 技術(shù)來控制網(wǎng)絡(luò)性能，當(dāng)網(wǎng)絡(luò)性能較低時，限制某種應(yīng)用程序流量，當(dāng)性能恢復(fù)到正常時，再提升流量。

現(xiàn)在越來越多的網(wǎng)絡(luò)安全功能需要有效載荷級別的知識，數(shù)據(jù)泄漏防護要求深度理解通過線路發(fā)送的實際內(nèi)容。應(yīng)用層防火墻負責(zé)有效載荷的內(nèi)容，而不是 Header 內(nèi)容。在云計算中的安全服務(wù)提供商，如反垃圾郵件或者 Web 過濾服務(wù)等供應(yīng)商，必須獲取通過多個客戶通信的實時可見的內(nèi)容，以便迅速獲取抵御威脅和攻擊的信息。這樣也要求內(nèi)容級別的情報。
　
傳統(tǒng)上來說，這些安全功能都由特殊用途的技術(shù)所提供，這些可能包括一些 DPI 功能。例如，IPS 就有內(nèi)置的 DPI。保護 Web 網(wǎng)關(guān)同樣提供對 Web 內(nèi)容的 DPI 分析，但是每種特殊用途技術(shù)引用其特殊的目的或者不兼容的軟件，都會使網(wǎng)絡(luò)基礎(chǔ)設(shè)施效率低下。一個數(shù)據(jù)包可能會因為多種用途而被進行多次檢查。另外，這些技術(shù)并不能提供可編程的接口，這就以為著你不能夠提取任意信息。

除了安全問題外，DPI 對于云計算服務(wù)供應(yīng)商還有著重大的影響，對于云計算供應(yīng)商而言，服務(wù)訂閱和用戶管理是一個重大挑戰(zhàn)。很多供應(yīng)商使用自身開發(fā)的或者現(xiàn)成的技術(shù)來管理服務(wù)訂閱，他們發(fā)現(xiàn)這樣做既缺乏可擴展性又不能為復(fù)雜的管理任務(wù)提供足夠的信息。另一方面，DPI 能夠提供關(guān)于用戶流量、應(yīng)用程序使用、內(nèi)容傳遞和異常模式的情報信息，這些服務(wù)供應(yīng)商還可以利用可編程界面來收集其他有用信息，如市場營銷情報和客戶檔案等。

七、編輯本段深度數(shù)據(jù)包檢測仍然面臨著挑戰(zhàn)

作為一個相對年輕的市場，DPI 行業(yè)還面臨著很多挑戰(zhàn)，例如：

1. 不存在標準的基準?，F(xiàn)在的 DPI 市場還充滿了困惑的、一站式的、針對特定應(yīng)用程序的性能信息，這個行業(yè)需要標準基準來規(guī)定連接安全時間、TCP、UDP 和吞吐量測試等。這些基準對于在相互競爭的產(chǎn)品間建立可比性能指標是很重要的。
2. 不同的 DPI 技術(shù)不斷的涌現(xiàn)，“OpenDPI” 將允許第三方開發(fā)者在不同的商業(yè)解決方案上編寫 DPI 應(yīng)用程序。
3. DPI 技術(shù)市場將繼續(xù)存在下去，現(xiàn)在看來，這個市場的應(yīng)用程序可能還是分散和不一致的，但是存在的巨大潛力和行業(yè)利益將最終推動其走向標準和開放的市場。