1 背景
隨著信息技術的飛速發展，對等網絡（Peer-to-Peer，簡稱P2P）、流媒體、互動在線游戲和虛擬現實等新型網絡業務層出不窮。在這些新興業務中，P2P業務的流量占互聯網數據流量的50%-70%，再加上其他業務流量，極大地加重了網絡擁塞，影響了正常網絡業務的開展和關鍵應用的普及。同時，P2P應用的廣泛使用也給網絡管理帶來了極大的挑戰。
為了應對新興業務帶來的帶寬負載，傳統的解決方案是通過簡單的網絡升級擴容，其弊端也是顯而易見的：

● 帶寬管理方面：面對不斷增長的數據流量，需要不斷地增加網絡設備，增加硬件成本和運維成本。

● 網絡運維方面：缺乏有效的技術監管手段，不能對新型業務數據進行感知和識別。

● 網絡安全方面：傳統的網絡安全檢測只能對報文進行四層檢測（IP+端口），攻擊者可以構造報文（將攻擊信息插入到應用層）來繞開檢測，從而達到攻擊目的。

因此，如何深度感知互聯網/移動互聯網業務，提供應用級管控手段，成為運營商關注的焦點。為了解決這些問題，DPI技術應運而生。

2 DPI技術介紹

DPI（Deep Packet Inspection，深度報文檢測）是一種基于報文的應用層信息對流量進行檢測和控制的功能。普通報文檢測只能分析報文四層以下的內容，如IP、端口、協議類型等。而DPI技術除了能對這些信息進行分析外，還增加了對應用層的分析，能夠識別各種應用及其內容。當IP數據包、TCP或UDP數據流通過支持DPI技術的設備時，設備會通過深入讀取報文載荷來進行重組和分析，從而識別整個應用程序的內容，然后按照設備定義的管理策略對流量進行后續處理。

正是由于其應用識別的特性，DPI技術在應用審計、應用路由、IPS、流量管理等方面獲得廣泛的應用，可以阻斷外部攻擊、審計用戶上網行為，極大地提高了網絡的安全性。

3 DPI工作原理

3.1   DPI檢測原理

不同類型的應用通常依賴于不同的協議，而不同的協議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或Bit序列。這些指紋由專業的安全專家收集并整理，形成“特性庫”，當DPI設備收到報文后，就會通過特征庫中的特征規則對報文載荷進行匹配，最終識別出數據流所屬的應用類型。

一個特征庫中可能有上千條特征規則，匹配報文時，為了能夠盡可能的提高報文匹配的效率，降低對報文轉發性能的影響。DPI技術提出了快速匹配方法，其原理如下：

(1)先進行近似匹配：取出每條規則的最長特征串，進行最長特征串的多模AC算法匹配。根據最長特征串找到可能匹配的候選規則。

(2)再進行精確匹配：對候選規則進行單模算法的字符串匹配或者正則表達式字符串匹配。

特征碼的距離固定，可以用特征庫載荷規則選項進行精確特征描述，然后轉化為單模算法的字符串匹配進行精確匹配。通常我們會采用改良的單模BM算法進行匹配。

特征碼的距離不固定難以描述，可以用正則表達式文法描述，采用正則表達式算法進行匹配。

3.2   DPI檢測流程

DPI深度檢測流程如下：

(1)設備加載特征庫文件。

(2) 當設備收到報文后，在協議和端口的識別基礎上對報文載荷進行解碼，然后通過特征庫中的特征規則對載荷進行匹配，識別報文內容。

(3)根據匹配結果處理報文：

匹配成功，將報文轉發給其他業務模塊（如IPS、應用路由）進行后續處理等。

匹配失敗，放行報文。

4 DPI技術優勢

4.1   和傳統四層檢測比較

傳統的四層檢測只能識別報文二到四層的信息，如IP、端口號等。而DPI技術不僅能識別這些信息，還能識別應用層信息，識別更精細、更準確。

圖4-1    DPI深度檢測和傳統四層檢測對比

4.2   和DFI技術比較

與DPI進行報文應用層載荷的檢測不同，DFI采用的是一種基于流量行為的應用識別技術。不同類型的應用，其會話連接或數據流的狀態不同。例如，P2P下載應用的流量模型的特點為平均包長都在450byte以上、下載時間長、連接速率高、首選傳輸層協議為TCP等。DFI技術正是基于這一系列流量的行為特征，通過機器學習算法建立流量特征模型，分析會話連接流的包長、連接速率、傳輸字節量、包與包之間的間隔等信息來與流量模型對比，從而鑒別應用類型。

DFI與DPI兩種技術的基本目標都是為了實現應用識別，但是兩者在實現的著眼點和技術細節方面又有著較大的區別，具體如表4-1所示。

5 典型應用

銳捷的防火墻和出口網關系列產品已經全面支持DPI技術，本章以RG-EG3250多業務安全網關為例，介紹DPI技術在網吧場景中的使用及配置思路。

5.1   組網需求

網吧出口有1條光纖線路和多條ADSL線路，根據業務需求，要求關鍵應用（如游戲、網頁瀏覽、即時通訊等）走光纖鏈路；抑制應用（如在線影視、P2P下載等）走ADSL線路。視頻流媒體軟件和HTTP視頻流媒體類型等應用在午夜時間不進行抑制，可以走光纖線路。

圖5-1    網吧組網需求

5.2   配置思路

● 所有的P2P應用軟件、在線影視等非關鍵應用走ADSL線路，能夠在ADSL線路充分應用帶寬。

● 設置光纖線路為缺省路由，確保關鍵應用走光纖線路，網絡流暢。

● 當出口帶寬不足時，Web業務可以走ADSL線路，減少光纖的使用，為關鍵業務減少帶寬。