其次,但當(dāng)應(yīng)用變得復(fù)雜時(shí),很多應(yīng)用都會(huì)啟用隨機(jī)端口進(jìn)行通信����,因此,新啟用的端口我們事先無法預(yù)知�,此時(shí)DPI必須實(shí)時(shí)監(jiān)控會(huì)話,通過監(jiān)測(cè)數(shù)以千計(jì)的并發(fā)會(huì)話來判斷其應(yīng)用特征��。
很多新的網(wǎng)絡(luò)應(yīng)用偽裝使用已知的固定端口��,如使用80����、8080����、443等知名端口����,特別像使用80端口的偽裝,偽裝的目的首先是被防火墻認(rèn)可�,不至于在防火墻上被阻斷,被作為正常的web訪問而通行�����。這種應(yīng)用如P2P偽裝����、視頻偽裝,都使用這些知名端口��。此時(shí)設(shè)備需要在多個(gè)會(huì)話中開始尋找所謂的簽名����,通常這是一個(gè)復(fù)雜的字符串,是檢測(cè)引擎預(yù)先定義好的,而且是唯一一個(gè)應(yīng)用�。隨著應(yīng)用的增加,DPI特征庫需要不斷更新�。如下圖迅雷采用偽IE下載就屬于典型的偽裝。
第三�����,對(duì)于完全加密的應(yīng)用�����,我們稱為加密流��,對(duì)于加密數(shù)據(jù)流���,去尋求一個(gè)端口或簽名是毫無意義的���。因此,檢測(cè)引擎需要開發(fā)出一種新方法�����,著眼于數(shù)據(jù)包長(zhǎng)度和它們的順序排序���。而實(shí)際上��,其中的一些加密應(yīng)用總是使用同一系列的包長(zhǎng)度��、在同一位置��、在同一順序�����,這就是所謂的行為特征����。通常�,檢測(cè)引擎能夠這些加密流進(jìn)行行為分析,而實(shí)際上�,這里存在兩個(gè)難度,一個(gè)是加密流特征字符串的獲取本身需要扎實(shí)的獨(dú)特的算法���,另外��,單單對(duì)于位置的檢測(cè)還遠(yuǎn)遠(yuǎn)不夠����,如加密傳輸?shù)膽?yīng)用協(xié)議的加密方法幾乎每周都在變換位置,而天融信TopFlow獨(dú)特的算法不但能對(duì)加密數(shù)據(jù)流的位置進(jìn)行檢查�����,而且能對(duì)加密數(shù)據(jù)流進(jìn)行解密��,這使得他對(duì)應(yīng)用的識(shí)別率可高達(dá)99%以上�。
如何評(píng)價(jià)應(yīng)用識(shí)別引擎:
應(yīng)用識(shí)別引擎是應(yīng)用流量管理系統(tǒng)的核心,所以下面五點(diǎn)則能較好的評(píng)價(jià)產(chǎn)品����。
第一、應(yīng)用程序的識(shí)別數(shù)量多少����,特別對(duì)復(fù)雜協(xié)議及新協(xié)議的識(shí)別數(shù)量成為產(chǎn)品的核心,而不是單單用端口號(hào)來標(biāo)識(shí)的簡(jiǎn)單應(yīng)用或標(biāo)準(zhǔn)應(yīng)用�。
第二、應(yīng)用協(xié)議識(shí)別的準(zhǔn)確性���。一個(gè)好的引擎或好的算法才能保證低的誤報(bào)和漏報(bào)���。
第三、應(yīng)用檢測(cè)的時(shí)間消耗�����。一個(gè)好的引擎能夠花費(fèi)很少的時(shí)間即可檢查出特征����。
第四、對(duì)高性能和高帶寬處理����。一個(gè)好的引擎才能部署到大的網(wǎng)絡(luò)環(huán)境中,如高校�����、大集團(tuán)用戶�、運(yùn)營商網(wǎng)絡(luò)。
第五��、協(xié)議庫更新的頻率及協(xié)議庫庫更新的難易程度���。一個(gè)好的引擎才能保證協(xié)議庫的更新有驗(yàn)證����、計(jì)算��、校對(duì),使系統(tǒng)不斷網(wǎng)���、不重啟���,即使出現(xiàn)升級(jí)失敗,也能保證原有特征庫不被損壞�,正常運(yùn)行。
天融信TopFlow應(yīng)用流量管理系統(tǒng)通過天融信公司近17年的技術(shù)積累���,對(duì)多達(dá)數(shù)萬用戶應(yīng)用的分析��、歸納����,并在天融信自主操作系統(tǒng)TOS基礎(chǔ)上開發(fā)的基于用戶應(yīng)用分析及管控的系統(tǒng)��。TopFlow依靠自主知識(shí)產(chǎn)權(quán)的 TOS (Topsec Operating System) 安全操作系統(tǒng)�����,采用全模塊化設(shè)計(jì)���,使用中間層理念��,減少系統(tǒng)對(duì)硬件的依賴性�,使得內(nèi)核更為精簡(jiǎn)和優(yōu)化,特別在天融信多核處理硬件平臺(tái)上�,通過大量的協(xié)議棧優(yōu)化�,針對(duì)高性能處理需求進(jìn)行了中斷處理和驅(qū)動(dòng)優(yōu)化,保證系統(tǒng)在天融信專有多核處理平臺(tái)上����,數(shù)據(jù)以最快速度執(zhí)行、以較高優(yōu)先級(jí)運(yùn)行�、以超高速放行。
通過完善的應(yīng)用協(xié)議特征庫檢測(cè)和偽裝探測(cè)技術(shù)��,并采用(DPI)深度包檢測(cè)技術(shù)來識(shí)別各種用戶應(yīng)用�����,應(yīng)用識(shí)別率超過99%��。特別對(duì)采用逃避技術(shù)的加密協(xié)議進(jìn)行精準(zhǔn)識(shí)別�,如采用加密傳輸?shù)难咐讌f(xié)議族、QVOD視頻等等加密類協(xié)議進(jìn)行及時(shí)而精準(zhǔn)識(shí)別�����,這是其他產(chǎn)品技術(shù)所不能比擬的。
