DPI&DFI技术

          中创腾锐以会话为基本维度对网络数据流量实时分析与分类,实现对报文和会话流的深度检测、识别和关联。所谓深度检测,是相对普通(浅度)检测而言。普通报文检测只检测四层及以下特征分类(即源/目的IP号、源/目的端口号、协议号),无法感知应用层情况。而深度检测则能够在普通检测基础上增加应用层分析,把各种网络应用真正细致分辨识别出来。

DPI深度包检测示意图

 

  • 技术实现

              中创腾锐DPI技术模块提供简单灵活的特征规则描述语法,通过定义端口、特征字符串及PCRE 正则表达式描述应用协议;特征协议规则由配套编译器编译后,可以动态加载到硬件系统上,实现特征的在线无缝切换。
    中创腾锐DPI应用协议规则主要特点如下:

    • 支持特定PCRE 子集的正则表达和逻辑组合
    • 应用协议规则可灵活定义优先级
    • 支持HTTP 域限定描述(如Host/URI/User-Agent)
    • 支持非标端口HTTP 报文检测
    • 支持FTP/TFTP/DNS等协议关联识别
    • 内置跨包检索支持
    • 规则支持在线热切换
    • 用户可自定义达8000 类应用协议特征
  • 优势特点

    • 灵活的应用规则定义和处理
      基于PDL语法描述,用户可自定义应用协议规则特征;
      支持规则热切换,实现在不中断业务情况下在线升级。
    • 高效的内置逻辑信令解码
      支持规则优先级;输出高优先级应用识别结果;支持跨包搜索匹配;支持关联识别、相关信令解码与合成;支持原始报文打标处理。
    • 智能的会话关联合成技术
      不仅支持FTP/DNS 等单事务多会话的内部关联,还支持信令/业务之间的多事物多会话的外部关联,合成成为完整有效元数据,为大数据分析计算提供基础数据源。