什么是深度数据包检测 （DPI）？

什么是深度数据包检测 （DPI）？

深度数据包检测（DPI）是一种先进的网络数据包检查技术，它不仅检查数据包的标头信息，还会深入分析数据包的内容，从而实现更精准的安全威胁检测和网络流量管理。本文将为您详细介绍DPI的工作原理、优势及其在网络安全领域的具体应用。

深度数据包检测 （DPI） 定义

深度数据包检测 （DPI） 也称为数据包嗅探，是一种在数据包通过网络检查点时检查数据包内容的方法。对于正常类型的状态数据包检测，设备仅检查数据包标头中的信息，例如目标互联网协议 （IP） 地址、源IP 地址和端口号。DPI 检查与设备接口的每个数据包连接的更大范围的元数据和数据。在此 DPI 含义中，检查过程包括检查数据包承载的标头和数据。

因此，DPI为执行网络数据包过滤提供了一种更有效的机制。除了常规数据包嗅探技术的检测功能外，DPI 还可以在数据流中发现其他隐藏的威胁，例如尝试数据泄露、违反内容政策、恶意软件 恶意软件 等。

深度数据包检测的工作原理

DPI 使用用户、管理员或互联网服务提供商 （ISP） 预先编程的特定规则检查数据包的内容。然后，它决定如何处理发现的威胁。DPI 不仅可以识别威胁的存在，而且使用数据包的内容及其标头，还可以找出威胁的来源。通过这种方式，DPI 可以精确定位发起威胁的应用程序或服务。

DPI 还可以设置为与过滤器配合使用，使其能够识别和重新路由来自特定在线服务或 IP 地址网络流量。

深度数据包检测与传统数据包过滤

常规数据包过滤只能读取每个数据包附带数据包的标头信息中的内容。这是一种早期技术限制所需的基本的、不太复杂的方法。由于防火墙无法快速处理大量数据，因此它们只关注标头信息，因为任何更多内容都需要更多的工作和时间，从而不牺牲网络性能。

然而，随着新技术的出现，我们有可能进行更深入的数据包检测并实时进行检测。

点击查看大图

深度数据包检测 （DPI） 技术

具有 IDS 功能的防火墙和旨在保护网络的 IDS 系统均使用 DPI。他们采用的技术包括协议异常、入侵防御服务 解决方案和模式或签名匹配。

协议异常

协议异常使用一种称为“默认拒绝”的方法。如果默认拒绝，则允许内容根据预设协议传递。只有符合可接受配置文件的内容才能通过。这与允许未被识别为恶意的所有内容通过不同，这仍然可能允许未知攻击渗透网络。

入侵防御服务 解决方案

入侵防御服务 解决方案可以实时阻止威胁，其中一些解决方案使用 DPI。然而，一个挑战是 入侵防御服务 解决方案有时可能会发出误报。使用保守策略可以减少 入侵防御服务 的影响，IPS 往往会指示误报警报。

模式或签名匹配

通过模式或签名匹配，对数据包的内容进行分析，并与先前识别的威胁数据库进行比较。如果系统不断更新威胁情报，这可能是一个非常有效的攻击防御。但是，如果攻击是新的，系统可能会错过它。

DPI 的优势

由于 DPI 为您提供更好的应用程序可见性和保护，因此将其集成到您的系统中有几个好处。

您可以使用 DPI 更好地管理网络。随着数据通过您的网络，它附带了大量有关其性质、来源和目的地的信息。借助 DPI，您可以对防火墙进行编程，以检查网络中移动的数据，并管理某些数据如何流动、路由位置以及如何处理。

DPI 还可用于增强安全性。黑客可能会使用某些网站或应用程序发起攻击。借助 DPI，您可以完全阻止来自某些站点或应用程序的所有数据，从而保护您的网络免受其相关威胁。您还可以从查看数据包的来源以及有效负载内部的内容中获益。DPI 可以识别可能被常规防火墙滑落的危险数据包。

在控制流经网络的流量方面，DPI 还为您提供了高级选项。例如，如果您的组织使用互联网语音协议 （VoIP） 或 Zoom，DPI 可用于优先处理该流量。除了想知道您的呼叫和会议是否会被其他流量中断外，您还可以使用 DPI 先发送这些数据。

DPI 还用于安全和数据管理以外的活动。政府可以使用 DPI 执行互联网审查计划。在这种情况下，DPI 扫描流量，阻止来自未经批准的来源的传输，特别是来自国外或政府认为对其人民构成威胁的站点的传输。此外，DPI 可用于窃听互联网通信和互联网数据挖掘。

深度数据包检测的应用场景

使用深度数据包嗅探器有多种不同的方法。DPI 可以单独提供入侵检测系统 （IDS），也可以同时用作入侵防御系统 （入侵防御服务） 和 IDS。它还使用户能够发现常规防火墙可能无法检测到的特定类型的攻击。

如果贵公司的员工带着自己的笔记本电脑上班，或使用它们连接到虚拟专用网络 （VPN），DPI 可用于防止他们将间谍软件、蠕虫和病毒意外传播到贵组织的网络。

此外，使用 DPI，您可以设置自己的规则。这让您可以选择决定员工可以与之交互的应用程序。如果存在可能威胁网络或妨碍生产力的应用程序，您可以使用 DPI 确定是否正在访问它们，并重新路由其传入流量。

对于希望更好地处理网络流量、减轻系统负担的管理人员来说，DPI 也是一个有用的工具。如果出现高优先级消息，DPI 可用于确保其立即通过。通过这种方式，可以优先考虑最重要的消息。

还可以确定哪些数据包是最关键的业务数据包，并确保它们优先于其他不太关键的数据包，例如定期浏览数据包。此外，如果组织试图克服点对点下载的负担，DPI 可用于识别这种特定类型的传输并限制数据。

ISP 可以使用 DPI 来防止攻击者通过阻止恶意请求来利用物联网 （IoT） 设备。通过这种方式，ISP 可以利用 DPI 来阻止物联网设备上的分布式拒绝服务攻击 （DDoS）。

阻止恶意软件

DPI 可以与威胁检测算法结合使用，然后用于阻止恶意软件。如果网络边缘有下一代防火墙（NGFW），DPI 将在恶意软件进入网络并危及其资产之前捕获恶意软件。

此外，DPI 还可以让管理员可见性整个网络，使用启发式技术分析活动，以识别任何异常情况。启发式分析涉及检查数据包，以发现任何可能预示潜在威胁的异常情况。

阻止数据泄露

DPI 还可以用于在尝试退出网络时检查出站流量。因此，企业可以设置过滤器，以防止数据泄露。您还可以使用 DPI 来弄清楚您的数据去向。例如，通过 UniFi 深度数据包检测，有关数据发送位置的数据将保存在网关中，供您在手动删除之前进行检查。

要了解如何以这种方式检查 DPI，您可以咨询特定设备制造商。

内容策略执行

借助 DPI，您可以获得增强的应用程序可见性，从而能够限制对未经授权或可疑应用程序的访问或阻止未经授权的或可疑的应用程序。您还可以使用 DPI 的分析功能来阻止违反公司政策的使用模式。DPI 还可用于阻止未经授权的访问公司批准的应用程序特定的数据。