DFI以及DPI简单通俗以自己的理解来将就是网络带宽的一种检测技术,既然是检测技术也就是说其可以进行查看流量情况,那么最简单的企业应用也就是拿来看DDOS攻击情况之类的了。
DFI(Deep/Dynamic Flow Inspection,深度/动态流检测) 它与DPI(Deep Packet Inspection,深度包检测)进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。
DPI:
- 深度包检测,增加了对应用层分析,识别各种应用
- 对应用流中的数据报文内容进行探测,从而确定数据报文真正应用
- 基于“特征字”的识别技术
- 应用层网关识别技术
- 行为模式识别技术
DFI:
- 深度/动态流检测
- 基于流量行为的识别技术,即不同的应用类型体现在会话连接或数据流上的状态不同
流量识别技术:
1. 端口识别技术:仅分析IP包的层4 以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。
2. DPI(深度包检测):Deep Packet Inspection。除了对前面的层次分析外,还增加了应用层分析,深入读取IP包载荷的内容来对协议中的应用层信息进行分析读取,进而识别各类型应用。
3. DFI(深度/动态流检测):Deep/Dynamic Flow Inspection。采用基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。数据流状态包括流时长分布、报文到达间隔分布、报文长度分布等。
DPI与DFI技术区别:
1. DFI处理速度相对快:
(1)采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比;
(2)采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。
2. DFI维护成本相对较低:
(1)基于DPI技术的带宽管理系统,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,提高模式匹配效率;
(2)基于DFI技术的系统在管理维护上的工作量要少于DPI系统,因为同一类型的新应用与旧应用的流量特征不会出现大的变化,因此不需要频繁升级流量行为模型。
3. 识别准确率方面各有千秋:
(1)由于DPI采用逐包分析、模式匹配技术,因此,可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析,因此只能对应用类型进行笼统分类,如对满足P2P流量模型的应用统一识别为P2P流量。
(2)如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术则不受影响,因为应用流的状态行为特征不会因加密而根本改变。
