NEWS

透过DPI、DFI技术看智能流控系统的发展. 2017-08-07


   随着互联网的的高速发展,信息交流和共享变得触手可及。自由畅通的网络极大地改变了人们获得信息和交流信息的习惯,给我们的工作、学习和生活等各个方面带来了高效和便捷。

   如同生活中可能出现交通堵塞一样,网络世界中也会存在着类似的“拥堵”。下面这些场景,您是否感到似曾相识呢?

   这就是流量(带宽)问题给我们带来的困扰。随着互联网用户数量和网络应用种类的激增,互联网上流量的管理正变得越来越迫切。

   根据谷歌公司(Google)的统计,如今网络上的网址数量已超过1万亿。互联网网站和网址的高速攀升意味着互联网提供的信息和内容在不断丰富。

   一方面,互联网提供的信息和内容在逐年丰富和显著增加;另一方面,互联网的使用者和互联网应用也在高速增长。怎样保证不同人群的不同的互联网应用,以及如何解决少数的用户产生了大量的网络流量,导致大多数用户的非敏感应用的业务性能降低,这是摆在运营商、ISP以及企业CIO面前的两个头痛的问题。对互联网和企业内部进行流量管理,已经成为当下迫在眉睫的事情。

   我们知道,传统的流量和带宽管理是基于OSI L2-L4层,通过IP包头的五元组(包括源地址、目的地址、源端口、目的端口以及协议类型)信息进行分析,通常我们称此为“普通报文检测”。“普通报文检测”仅分析IP包的4层以下的内容,通过端口号来识别应用类型。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络(例如 P2P下载软件大多采用动态协商端口机制),此时采用L2-L4层的传统检测方法就无能为力了。

   为了识别诸如基于开放端口、随机端口甚至采用加密方式等进行传输的应用类型, DPI 、 DFI 技术应运而生。DPI全称为“Deep PACket Inspection”,称为“深度包检测”。DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过基于DPI技术的流量管理系统时,该系统通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。

   针对不同的协议类型,DPI识别技术可划分为以下三类:

   (1)基于“特征字”的识别技术:不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的“指纹”,这些“指纹”可能是特定的端口、特定的字符串或者特定的bit 序列。

   (2)应用层网关识别技术:某些业务的控制流和业务流是分离的,业务流没有任何特征。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。

   (3)为模式识别技术:行为模式识别技术基于对终端已经实施的行为进行分析,判断出用户正在进行的动作或者即将实施的动作。

  DFI(Deep/Dynamic Flow Inspection,深度/动态流检测)与DPI进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。

  

  由于DPI技术与DFI技术实现机制不同,故它们在实现效果上各有优点,表现在如下几个方面:

  (1) DFI处理速度相对快:采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比;采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。

  (2) DFI维护成本相对较低:基于DPI技术的带宽管理系统,总是滞后新应用,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,提高模式匹配效率;而基于DFI技术的系统在管理维护上的工作量要少于DPI系统,因为同一类型的新应用与旧应用的流量特征不会出现大的变化,因此不需要频繁升级流量行为模型。

  (3) 识别准确率方面各有千秋:由于DPI采用逐包分析、模式匹配技术,因此,可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析,因此只能对应用类型进行笼统分类,如对满足P2P流量模型的应用统一识别为P2P流量。如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术则不受影响,因为应用流的状态行为特征不会因加密而根本改变。

  在网络带宽资源日益宝贵的今天,那些诸如P2P下载的应用正在迅速吞噬企业有限的带宽资源,少数的不良应用消耗着大部分的网络带宽,导致企业办公效率急剧下降。为了帮助企业解决日益严峻的带宽危机,北京网康科技有限公司推出了智能流量管理系统(Intelligent TraffIC Manager,简称网康NS-ITM)。

  网康NS-ITM产品是一款专业的L7应用层流量管理产品,适用于大中型企业、校园网、城域网等流量大、应用复杂的网络化境;通过监控网络流量,分析流量行为,设置流控策略,分时段、按用户、按应用实现流量控制和带宽保障,帮助企业减少带宽滥用,优化带宽资源,降低运营成本,保障工作效率,降低安全风险,全面提升带宽利用价值。

  

  据悉,网康NS-ITM产品融合了DPI和DFI两种技术,有如下四个显著特点:

  (1) 精确而广泛的应用识别能力

  对应用的识别是进行流量控制的基础,网康NS-ITM应用识别库能覆盖各种主流应用,特别是结合国内网络应用的实际情况,提供对迅雷、QQ等本土应用的识别。另外,网康NS-ITM能够对诸如QQ这种具有及时消息、文件传输、音频视频、游戏等多种子协议的网络应用,提供精细化的子应用识别。

  (2) 优异的产品性能及安全性保障

  网康NS-ITM对用户网络中的所有流量进行处理,能够承受巨大的流量压力,特别是在配置复杂策略情况下,不会造成设备性能的下降。另外,网康NS-ITM是以串接方式接入用户网络,具有良好的安全性,在设备出现运行断电或异常情况时,能够保障用户业务的畅通。

  (3) 强大的控制能力

  网康NS-ITM能够根据用户的实际需求,提供强大而完善的控制手段。通过不同时间段、不同用户、不同网络应用、不同控制动作等条件,实现不同情景下的策略配置。我们知道任何网络流量的使用都和人的因素密不可分,网康NS-ITM能够对用户进行灵活的分类管理,从而使控制策略更加符合实际需要。

  (4) 清晰而全面的信息查询

  网康NS-ITM产品不仅能实现对网络流量的控制,而且能帮助网络管理者对异常问题进行定位,以及通过网络应用现状的分析实现对网络的优化。网康NS-ITM产品可通过柱状图、饼状图、走势图等图表,以及从不同的分析角度,可向用户提供清晰而全面的实时信息查询、历史日志查询、以及自动生成报表等功能。

  

  综上所述,网康NS-ITM是一档面向企业级用户(企事业单位、学校、政府、小型运营商)的、专业的流量管理产品,通过实时监控、带宽保障、带宽限制、流量限额、应用封堵等策略,真正帮助企业做到对任何用户、任何时间、任何应用的流量进行全方位的管理,为彻底化解企业的带宽危机提供强有力的保障。



上一篇:威盾ViaControl,让内网安全管理更轻松
下一篇:上网行为管理网康NS-ICG产品优势价值