隨著網(wǎng)絡(luò)通訊技術(shù)進步與發(fā)展，網(wǎng)絡(luò)通訊已跨入大數(shù)據(jù)時代，如何監(jiān)控各類業(yè)務(wù)系統(tǒng)的通訊數(shù)據(jù)在大數(shù)據(jù)流量中傳輸質(zhì)量，以及針對海量的網(wǎng)絡(luò)通訊數(shù)據(jù)的范疇中存在少量的惡意流量的檢測，避免惡意通訊對主機、網(wǎng)絡(luò)設(shè)備的root權(quán)限的安全威脅，和通訊內(nèi)容的竊取，是網(wǎng)絡(luò)管理必須面對的一個難題。

有攻擊的矛，自有防御的盾，這是自然發(fā)展的規(guī)律。針對大數(shù)據(jù)的來臨，傳統(tǒng)的實時檢測與防御已不能勝任對海量數(shù)據(jù)中存在細微異常的甄別。為此，對原始通訊數(shù)據(jù)的實時備份逐漸彰顯出其必要性，而基于時間窗口的回溯分析技術(shù)加以對數(shù)據(jù)包的深度檢測，是對異常數(shù)據(jù)發(fā)現(xiàn)的顯微鏡。

DPI技術(shù)簡介

DPI(Deep Packet Inspection)深度包檢測技術(shù)是在傳統(tǒng)IP數(shù)據(jù)包檢測技術(shù)（OSI L2-L4之間包含的數(shù)據(jù)包元素的檢測分析）之上增加了對應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識別，數(shù)據(jù)包內(nèi)容檢測與深度解碼。

通過對網(wǎng)絡(luò)通訊的原始數(shù)據(jù)包捕獲，DPI技術(shù)可使用其三大類的檢測手段：基于應(yīng)用數(shù)據(jù)的“特征值”檢測、基于應(yīng)用層協(xié)議的識別檢測、基于行為模式的數(shù)據(jù)檢測。根據(jù)不同的檢測方法對通信數(shù)據(jù)包可能含有的異常數(shù)據(jù)做逐一的拆包分析，深度挖據(jù)出宏觀數(shù)據(jù)流中存在的細微數(shù)據(jù)變化。

DPI與傳統(tǒng)網(wǎng)絡(luò)分析技術(shù)

1. 利用數(shù)據(jù)特征值對業(yè)務(wù)類型進行識別判斷

在五元組分析技術(shù)之上，DPI通過對IP數(shù)據(jù)包的內(nèi)容進行分析，依據(jù)數(shù)據(jù)特征字的查找或者業(yè)務(wù)的行為統(tǒng)計，得到相關(guān)業(yè)務(wù)流的類型。

網(wǎng)絡(luò)分析技術(shù)對數(shù)據(jù)包內(nèi)容的解碼：

識別利用TCP/80端口傳輸BT流量的數(shù)據(jù)特征，如果只是通過常見的HTTP應(yīng)用特征進行判斷， 就很容易將它誤判為一個Web 訪問的應(yīng)用。數(shù)據(jù)特征值檢測技術(shù)不僅可以識別業(yè)務(wù)傳輸?shù)臄?shù)據(jù)內(nèi)容指紋，而且對利用已知通信端口（如：利用TCP/445端口進行蠕蟲傳播時所攜帶的病毒特征）或未知端口進行木馬傳輸?shù)臄?shù)據(jù)特征做識別判斷。

2. 應(yīng)用協(xié)議識別

DPI技術(shù)對網(wǎng)絡(luò)應(yīng)用及協(xié)議識別，采用識別數(shù)據(jù)內(nèi)容的簽名（類似于人體指紋）來進行辨別，簽名是被用來分析鑒別應(yīng)用及協(xié)議的特征有效的手段，當一個新的應(yīng)用或協(xié)議被發(fā)明，數(shù)據(jù)內(nèi)容中將攜帶有相應(yīng)的簽名。

網(wǎng)絡(luò)分析技術(shù)的應(yīng)用協(xié)議識別具備對數(shù)據(jù)內(nèi)容所攜帶的簽名，還可以依據(jù)數(shù)據(jù)通訊所采用的傳輸層端口做應(yīng)用協(xié)議的判別。

協(xié)議識別可作用于對通訊流量成分的規(guī)劃，以及對異常通訊流量的發(fā)現(xiàn)。

3. 業(yè)務(wù)交付統(tǒng)計

DPI 的業(yè)務(wù)統(tǒng)計功能可識別網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，發(fā)現(xiàn)影響網(wǎng)絡(luò)正常運行的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。

網(wǎng)絡(luò)回溯分析技術(shù)

回溯分析集合了傳統(tǒng)網(wǎng)絡(luò)分析和DPI技術(shù)各項優(yōu)點，并提供對原始通訊數(shù)據(jù)的海量存儲，滿足對微量異常通訊的發(fā)現(xiàn)能力。而且回溯分析通過對業(yè)務(wù)通訊的五元組和應(yīng)用協(xié)議特征識別，在基于時間窗口的獨特功能上，為各類業(yè)務(wù)通訊提供了每一時段的交互質(zhì)量檢測。