通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  上等兵

注册:2019-11-222
跳转到指定楼层
1#
发表于 2021-10-5 17:38:27 |只看该作者 |倒序浏览
1.根据流量的三四层信息识别
该方式是DPI识别最简单的方式,三层信息识别是将数据包的IP地址与已知的业务服务器IP地址进行匹配,进而得知数据包所归属的业务类型,其中业务服务器的IP地址需长期收集和动态更新。四层信息识别是根据公知端口区分业务,如识别服务器端口为21的数据流为FTP、110的数据流为邮件。
2.根据单个数据包的七层信息识别(单包DPI)
该方式是DPI识别最常用的方式,又分为两种情况。方式一是七层协议为标准的公知协议,如HTTPS协议,将七层包头中的关键字段进行提取,其字段带有业务特征,利用特征可以确定流量的业务归属。如HTTP包头中的host字段为weixin.qq.com时,可以确定该流量为微信流量。方式二是利用流量净荷中的某些特征字符作为业务身份的标识,如微信载荷中的0x00100001相对固定,可以认为当TCP流中偏移3个字节出现此特征时,认为该流量为微信流量。
3.根据同一数据流中多个数据包的关联规律识别(多包DPI)
该方式是挖掘同一条流中多个数据包的七层信息并进行关联识别,通常和单包DPI方式联合识别。如连接建立后连续发3个载荷为120字节的包,或三个包的第一个字节分别为01、02、03,即可认定该条流是某个业务的流量。
4.根据多个数据流的统计特征和连接行为识别(DFI:Deep Flow Inspection)

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-18 15:27 , Processed in 0.098304 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部