隨著網(wǎng)絡(luò)通訊技術(shù)進(jìn)步與發(fā)展，網(wǎng)絡(luò)通訊已跨入大數(shù)據(jù)時(shí)代，如何監(jiān)控各類業(yè)務(wù)系統(tǒng)的通訊數(shù)據(jù)在大數(shù)據(jù)流量中傳輸質(zhì)量，以及針對(duì)海量的網(wǎng)絡(luò)通訊數(shù)據(jù)的范疇中存在少量的惡意流量的檢測(cè)，避免惡意通訊對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備的root權(quán)限的安全威脅，和通訊內(nèi)容的竊取，是網(wǎng)絡(luò)管理必須面對(duì)的一個(gè)難題。

有攻擊的矛，自有防御的盾，這是自然發(fā)展的規(guī)律。針對(duì)大數(shù)據(jù)的來(lái)臨，傳統(tǒng)的實(shí)時(shí)檢測(cè)與防御已不能勝任對(duì)海量數(shù)據(jù)中存在細(xì)微異常的甄別。為此，對(duì)原始通訊數(shù)據(jù)的實(shí)時(shí)備份逐漸彰顯出其必要性，而基于時(shí)間窗口的回溯分析技術(shù)加以對(duì)數(shù)據(jù)包的深度檢測(cè)，是對(duì)異常數(shù)據(jù)發(fā)現(xiàn)的顯微鏡。

DPI技術(shù)簡(jiǎn)介

DPI(Deep Packet Inspection)深度包檢測(cè)技術(shù)是在傳統(tǒng)IP數(shù)據(jù)包檢測(cè)技術(shù)（OSI L2-L4之間包含的數(shù)據(jù)包元素的檢測(cè)分析）之上增加了對(duì)應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識(shí)別，數(shù)據(jù)包內(nèi)容檢測(cè)與深度解碼。

通過(guò)對(duì)網(wǎng)絡(luò)通訊的原始數(shù)據(jù)包捕獲，DPI技術(shù)可使用其三大類的檢測(cè)手段：基于應(yīng)用數(shù)據(jù)的“特征值”檢測(cè)、基于應(yīng)用層協(xié)議的識(shí)別檢測(cè)、基于行為模式的數(shù)據(jù)檢測(cè)。根據(jù)不同的檢測(cè)方法對(duì)通信數(shù)據(jù)包可能含有的異常數(shù)據(jù)做逐一的拆包分析，深度挖據(jù)出宏觀數(shù)據(jù)流中存在的細(xì)微數(shù)據(jù)變化。

DPI與傳統(tǒng)網(wǎng)絡(luò)分析技術(shù)

1. 利用數(shù)據(jù)特征值對(duì)業(yè)務(wù)類型進(jìn)行識(shí)別判斷

在五元組分析技術(shù)之上，DPI通過(guò)對(duì)IP數(shù)據(jù)包的內(nèi)容進(jìn)行分析，依據(jù)數(shù)據(jù)特征字的查找或者業(yè)務(wù)的行為統(tǒng)計(jì)，得到相關(guān)業(yè)務(wù)流的類型。

網(wǎng)絡(luò)分析技術(shù)對(duì)數(shù)據(jù)包內(nèi)容的解碼：

識(shí)別利用TCP/80端口傳輸BT流量的數(shù)據(jù)特征，如果只是通過(guò)常見(jiàn)的HTTP應(yīng)用特征進(jìn)行判斷， 就很容易將它誤判為一個(gè)Web 訪問(wèn)的應(yīng)用。數(shù)據(jù)特征值檢測(cè)技術(shù)不僅可以識(shí)別業(yè)務(wù)傳輸?shù)臄?shù)據(jù)內(nèi)容指紋，而且對(duì)利用已知通信端口（如：利用TCP/445端口進(jìn)行蠕蟲(chóng)傳播時(shí)所攜帶的病毒特征）或未知端口進(jìn)行木馬傳輸?shù)臄?shù)據(jù)特征做識(shí)別判斷。

2. 應(yīng)用協(xié)議識(shí)別

DPI技術(shù)對(duì)網(wǎng)絡(luò)應(yīng)用及協(xié)議識(shí)別，采用識(shí)別數(shù)據(jù)內(nèi)容的簽名（類似于人體指紋）來(lái)進(jìn)行辨別，簽名是被用來(lái)分析鑒別應(yīng)用及協(xié)議的特征有效的手段，當(dāng)一個(gè)新的應(yīng)用或協(xié)議被發(fā)明，數(shù)據(jù)內(nèi)容中將攜帶有相應(yīng)的簽名。

網(wǎng)絡(luò)分析技術(shù)的應(yīng)用協(xié)議識(shí)別具備對(duì)數(shù)據(jù)內(nèi)容所攜帶的簽名，還可以依據(jù)數(shù)據(jù)通訊所采用的傳輸層端口做應(yīng)用協(xié)議的判別。

協(xié)議識(shí)別可作用于對(duì)通訊流量成分的規(guī)劃，以及對(duì)異常通訊流量的發(fā)現(xiàn)。

3. 業(yè)務(wù)交付統(tǒng)計(jì)

DPI 的業(yè)務(wù)統(tǒng)計(jì)功能可識(shí)別網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，發(fā)現(xiàn)影響網(wǎng)絡(luò)正常運(yùn)行的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。

網(wǎng)絡(luò)回溯分析技術(shù)

回溯分析集合了傳統(tǒng)網(wǎng)絡(luò)分析和DPI技術(shù)各項(xiàng)優(yōu)點(diǎn)，并提供對(duì)原始通訊數(shù)據(jù)的海量存儲(chǔ)，滿足對(duì)微量異常通訊的發(fā)現(xiàn)能力。而且回溯分析通過(guò)對(duì)業(yè)務(wù)通訊的五元組和應(yīng)用協(xié)議特征識(shí)別，在基于時(shí)間窗口的獨(dú)特功能上，為各類業(yè)務(wù)通訊提供了每一時(shí)段的交互質(zhì)量檢測(cè)。