1.深度流检测技术
深度流检测的英文为Deep Flow Inspection,简称DFI,这是一种基于流量行为的应用识别技术,以流为基本研究对象,从庞大的网络流数据中提取流的特征,比如流大小、流速度等。也就是不同的应用类型体现在会话连接或者数据流上的状态不同。
深度流检测技术主要分为三部分:流特征选择、流特征提取、分类器。其中常见的流特征有:
·流中数据包的总个数;
·流中数据包的总大小;
·流的持续时间
2.深度包检测技术
深度包检测的英文为CDeep Packet Inspection,简称DPI,指的是通过相关技术检测数据包的有用载荷,而不是简单的检测数据包的头部。是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
可以把深度包检测总结为以下几个方面:
·深度包检测,增加了对应用层分析,识别各种应用;
·对应用流中的数据报文内容进行探测,从而确定数据报文真正应用;
·基于“特征字”的识别技术;
·应用层网关识别技术;
·行为模式识别技术。
目前,深度包检测技术可以用多种分析方法来识别和分类数据流量,这些方法包括端口识别法、字符串匹配法、数值属性法、行为和启发式方法等。