一、DPI 的引入
1、宽带业务的困惑
     随着宽带网络的不断普及，宽带数据业务得到了飞速的发展。P2P 业务、网络游戏、
VoIP 等应用的广泛普及为运营商带来了大批的客户，同时也带来了巨大的烦恼。
2、安全问题
     近年来，网络攻击的发展趋势逐渐转向高层应用。据统计，目前对网络的攻击有 70％
以上集中在应用层，并且这一数字呈上升趋势。内容安全开始成为信息安全中的关键
问题。运营商对高层应用信息的防护也越来越受到到人们的重视。
3、用户管理
     随着网络技术的不断发展，各种新的应用层出不穷，但由于缺乏有效的技术手段，对
很多新的应用不能感知和精细化的管理，导致网络运营非常困难。比如P2P 应用对网
络资源进行“恶意的”占用、非法VOIP 的运营、地址盗用、帐号盗用、帐户分时使
用、私接用户以及黑网吧NAT 上网等非法使用网络现在很难得到解决。
二、解决方案
     DPI（Deep Packet Inspection）能够感知网络应用，给运营商提供网络控制和管理的手
段。利用 DPI，给运营商提供一个DPI 运营解决方案。通过部署DPI 系统，运营商可以：
1、了解网络的实际运营情况。通过报表功能，DPI 系统能够将网络上的流量情况从
各个不同的角度呈现给运营商。
2、细化 IP 业务，根据不同的用户群推出不同的业务套餐。运营商可以通过向ASP
（Applications Service Provider）或者最终用户收费获得收益。
3、优化网络。在理解网络的运营情况和抑制网络带宽滥用的基础上，运营商可以利
用自身的网络资源，重新整合宽带价值链，降低投资成本。
4、开展用户自助服务，降低运营成本。
三、DPI 的基本原理
     如图所示，普通报文分析仅分析IP 包的4 层以下的内容，包括源地址、目的地
址、源端口、目的端口以及业务类型。DPI 除了对前面的层次分析外，还增加了对应
用层内容分析，识别各种业务和应用。

图4-1 深度分析报文原理图

普通报文分析

     DPI 将网络上的数据报文根据五元组分为若干个的应用流，并通过识别技术对应用流
中的特定的数据报文进行探测，从而确定应用流对应的应用或者用户动作。识别技术
可以分为以下三类。

1、基于“特征字”的识别技术
     不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的“指纹”，这些“指
纹”可能是特定的端口、特定的字符串或者特定的Bit 序列。基于“特征字”的识别技
术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用和
业务。
     根据具体检测方式的不同，基于“特征字”的识别技术又可以被分为固定位置特征字
匹配、变动位置的特征字匹配以及状态特征字匹配三种技术。
比如 Bittorrent 协议的识别，是通过反向工程的方法对其对等协议进行分析。对等协议
由一个握手开始，后面是循环的消息流，每个消息的前面，都有一个数字来表示消息
的长度。在其握手过程中，首先是先发送19，跟着是字符串“BitTorrent protocol”。那
么“19BitTorrent Protocol”就是Bittorrent 的“特征字”。
2、应用层网关识别技术
     有些业务的控制流和业务流是分离的，业务流没有任何特征。这种情况下，就需要采
用应用层网关识别技术。
应用层网关首先识别出控制流，并根据控制流的协议通过特定的应用层网关对业务流
进行解析，从而识别出相应的业务流。
对于每一个协议，需要有不同的应用层网关对其进行分析。
3、行为模式识别技术
     行为模式识别技术基于对终端已经实施的行为的分析，判断出用户正在进行的动作或
者即将实施的动作。通常用于无法根据协议判断的业务的识别。
比如 SPAM（垃圾邮件）业务流和普通的Email 业务流从Email 的内容上看是完全一致
的，只有通过对用户行为的分析，才能够准确的识别出SPAM 业务。可以通过构建包
含一下参数的行为模型来进行识别：