DPI和DFI技術(shù)的詳細(xì)介紹，DPI和DFI有什么區(qū)別，DPI與DFI優(yōu)缺點分析

DPI全稱為“Deep Packet Inspection”，稱為“深度包檢測”。DPI技術(shù)在分析包頭的基礎(chǔ)上，增加了對應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、,或UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。

針對不同的協(xié)議類型，DPI識別技術(shù)可劃分為以下三類：

特征字的識別技術(shù)：

不同的應(yīng)用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的識別技術(shù)，正是通過識別數(shù)據(jù)報文中的指紋信息來確定業(yè)務(wù)所承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于特征字的識別技術(shù)又可細(xì)分為固定特征位置匹配、變動特征位置匹配和狀態(tài)特征字匹配三種分支技術(shù)。通過對指紋信息的升級，基于特征字的識別技術(shù)可以方便的擴(kuò)展到對新協(xié)議的檢測。

應(yīng)用層網(wǎng)關(guān)識別技術(shù)：

在業(yè)務(wù)中，有一類的控制流和業(yè)務(wù)流是分離的，如與7號信令相關(guān)的業(yè)務(wù)，其業(yè)務(wù)流沒有任何特征，應(yīng)用層網(wǎng)管識別技術(shù)針對的對象就是此類業(yè)務(wù)，首先由應(yīng)用層網(wǎng)管識別出控制流，并根據(jù)控制流協(xié)議選擇特定的應(yīng)用層網(wǎng)關(guān)對業(yè)務(wù)流進(jìn)行解析，從而識別出相應(yīng)的業(yè)務(wù)流。對于每一個協(xié)議，需要不同的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行分析。例如：H323、SIP等協(xié)議，就屬于此類，其通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流，純粹檢測RTP流并不能確定這條RTP流是通過那種協(xié)議建立起來的，即判斷其是何種業(yè)務(wù)，只有通過檢測SIP或H232的協(xié)議交互，才能得到其完整的分析。

行為模式識別技術(shù)：

在實施行為模式技術(shù)之前，運(yùn)營商首先必須先對終端的各種行為進(jìn)行研究，并在此基礎(chǔ)上建立行為識別模型，基于行為識別模型，行為模式識別技術(shù)即根據(jù)客戶已經(jīng)實施的行為，判斷客戶正在進(jìn)行的動作或者即將實施的動作。

行為模式識別技術(shù)通常用于那些無法由協(xié)議本身就能判別的業(yè)務(wù)，例如：從電子郵件的內(nèi)容看，垃圾郵件和普通郵件的業(yè)務(wù)流兩者間根本沒有區(qū)別，只有進(jìn)一步分析，具體根據(jù)發(fā)送郵件的大小、頻率，目的郵件和源郵件地址、變化的頻率和被拒絕的頻率等綜合分析，建立綜合識別模型，才能判斷是否為垃圾郵件。

這三類識別技術(shù)分別適用于不同類型的協(xié)議，相互之間無法替代，只有綜合的運(yùn)用這三大技術(shù)，才能有效的靈活的識別網(wǎng)絡(luò)上的各類應(yīng)用，從而實現(xiàn)控制和計費(fèi)。

DFI(Deep/Dynamic Flow Inspection，深度/動態(tài)流檢測)與DPI進(jìn)行應(yīng)用層的載荷匹配不同，采用的是一種基于流量行為的應(yīng)用識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。

例如，網(wǎng)上IP語音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯：RTP流的包長相對固定，一般在130～220byte，連接速率較低，為20～84kbit/s，同時會話持續(xù)時間也相對較長；而基于P2P下載應(yīng)用的流量模型的特點為平均包長都在450byte以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TCP等。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，從而實現(xiàn)鑒別應(yīng)用類型。

DPI與DFI優(yōu)缺點分析

DFI處理速度相對快：

采用DPI技術(shù)由于要逐包進(jìn)行拆包操作，并與后臺數(shù)據(jù)庫進(jìn)行匹配對比；采用DFI技術(shù)進(jìn)行流量分析僅需將流量特征與后臺流量模型比較即可，因此，目前多數(shù)基于DPI的帶寬管理系統(tǒng)的處理能力達(dá)到線速1Gbit/s左右，而基于DFI的系統(tǒng)則可以達(dá)到線速10Gbit/s的流量監(jiān)控能力，完全可以滿足運(yùn)營商需求；

DFI維護(hù)成本相對較低：

基于DPI技術(shù)的帶寬管理系統(tǒng)，總是滯后新應(yīng)用，需要緊跟新協(xié)議和新型應(yīng)用的產(chǎn)生而不斷升級后臺應(yīng)用數(shù)據(jù)庫，否則就不能有效識別、管理新技術(shù)下的帶寬，提高模式匹配效率；而基于DFI技術(shù)的系統(tǒng)在管理維護(hù)上的工作量要少于DPI系統(tǒng)，因為同一類型的新應(yīng)用與舊應(yīng)用的流量特征不會出現(xiàn)大的變化，因此不需要頻繁升級流量行為模型。

識別準(zhǔn)確率方面各有千秋：

由于DPI采用逐包分析、模式匹配技術(shù)，因此，可以對流量中的具體應(yīng)用類型和協(xié)議做到比較準(zhǔn)確的識別；而DFI僅對流量行為分析，因此只能對應(yīng)用類型進(jìn)行籠統(tǒng)分類，如對滿足P2P流量模型的應(yīng)用統(tǒng)一識別為P2P流量，對符合網(wǎng)絡(luò)語音流量模型的類型統(tǒng)一歸類為VOIP流量，但是無法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過加密傳輸?shù)模瑒t采用DPI方式的流控技術(shù)則不能識別其具體應(yīng)用，而DFI方式的流控技術(shù)則不受影響，因為應(yīng)用流的狀態(tài)行為特征不會因加密而根本改變。