DPI深度包检测

　　最近在读网络协议方面的论文，接触到DPI技术。博主是个小白，这里写些查到的笔记。

　　原文出处因为比较多，杂乱。百度文库和许多地方都有，就不贴链接了。

　　1.　DPI 全称为“Deep Packet Inspection”，称为“深度包检测”。所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4 以

下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI 除了对前面的层次分析外，还增加了应用层分析，识别各种应用及其内容：

　　

　　2.　普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时，则认为该应用代表着普通上网应用。而当前网络上的一些非法应用会采用隐藏

或假冒端口 号的方式躲避检测和监管，造成仿冒合法报文的数据流侵蚀着网络。此时采用L2~L4层的传统检测方法已无能为力了。

　　DPI 技术就是通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。因为非法应用可以隐藏端口号，但目前较难以隐藏应用层的协议特征。

　　3.  DPI的识别技术可以分为以下几大类：

　　（1）基于“特征字”的识别技术

　　不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit 序列。基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。

　　根据具体检测方式的不同，基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。

　　通过对“指纹”信息的升级，基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。

　　如：Bittorrent 协议的识别，通过反向工程的方法对其对等协议进行分析，所谓对等协议指的是peer与peer之间交换信息的协议。对等协议由一个握手开始，后面是循环的消息流，每个消息的前面，都有一个数字来表示消息的长度。在其握手过程中，首先是先发送19，跟着是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。

　　（2）应用层网关识别技术

　　某些业务的控制流和业务流是分离的，业务流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。

　　应用层网关需要先识别出控制流，并根据控制流的协议通过特定的应用层网关对其进行解析，从协议内容中识别出相应的业务流。

　　对于每一个协议，需要有不同的应用层网关对其进行分析。

　　如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流。也就是说，纯粹检测RTP流并不能得出这条RTP流是那通过那种协议建立的。只有通过检测SIP/H323的协议交互，才能得到其完整的分析。

　　（3）行为模式识别技术

　　行为模式识别技术基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如：SPAM（垃圾邮件）业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出SPAM业务。