1.根据流量的三四层信息识别 该方式是DPI识别最简单的方式,三层信息识别是将数据包的IP地址与已知的业务服务器IP地址进行匹配,进而得知数据包所归属的业务类型,其中业务服务器的IP地址需长期收集和动态更新。四层信息识别是根据公知端口区分业务,如识别服务器端口为21的数据流为FTP、110的数据流为邮件。 2.根据单个数据包的七层信息识别(单包DPI) 该方式是DPI识别最常用的方式,又分为两种情况。方式一是七层协议为标准的公知协议,如HTTPS协议,将七层包头中的关键字段进行提取,其字段带有业务特征,利用特征可以确定流量的业务归属。如HTTP包头中的host字段为weixin.qq.com时,可以确定该流量为微信流量。方式二是利用流量净荷中的某些特征字符作为业务身份的标识,如微信载荷中的0x00100001相对固定,可以认为当TCP流中偏移3个字节出现此特征时,认为该流量为微信流量。 3.根据同一数据流中多个数据包的关联规律识别(多包DPI) 该方式是挖掘同一条流中多个数据包的七层信息并进行关联识别,通常和单包DPI方式联合识别。如连接建立后连续发3个载荷为120字节的包,或三个包的第一个字节分别为01、02、03,即可认定该条流是某个业务的流量。 4.根据多个数据流的统计特征和连接行为识别(DFI:Deep Flow Inspection)
|