DFI和DPI都是流量解析技术,对业务的应用、行为及具体信息进行识别,主要应用于流量分析及流量检测。
DPI:deep packet inspection,深度包检测技术
DPI是一种基于应用层的流量检测和控制技术,对流量进行拆包,分析包头和应用层的内容,从而识别应用程序和应用程序的内容。
大多数流量安全产品里的应用协议解析使用该技术,例如在网络中识别出http协议的五元组及各字段信息。
DFI:deep flow inspection,深度流检测技术
DFI是基于流量行为的应用识别技术,即识别不同应用的会话连接行为。流就是将一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议进行聚合,即一条流就是一个会话。
DFI可以识别一次会话的包数、流量字节大小、连接速率、持续时间等流量特征数据。通过对流数据进行研究,可以用来鉴别应用类型、网络异常现象等信息,如持续大流量、瞬时高速流、广播流、较小流等现象。
两个技术的区别
DPI技术能精准检测识别应用及协议字段,适用于精细管理的业务需求;DFI能识别会话流行为,适用于高效识别、粗放管理的业务需求。
从识别准确率来看: DPI采用逐包解析技术,能够对流量中具体应用类型、协议等精细化字段进行识别,适用于精细管理的业务需求;DFI能对流量行为,会话行为进行分析,只提取流特征以及相关统计数据,无法精确识别应用层数据,适用于高效识别、粗放管理的业务需求。
从处理速度来看: DFI识别粒度粗,因此处理速度相对快,而采用DPI技术需要逐包进行拆包操作,因此处理速度会慢些。
从维护成本来看: DPI技术是对具体应用的识别,而客户往往会有新业务需求,随之会产生新协议和新应用,因此需要定时对DPI数据库进行更新,维护成本较大;而同一类型的新应用和旧应用在流量特征上不会有较大的变化,因此DFI技术的管理维护成本较小。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/296731.html