加载中…
个人资料
一只老虎
一只老虎
  • 博客等级:
  • 博客积分:0
  • 博客访问:9,545
  • 关注人气:39
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

DFI 深度/动态流检测

(2012-11-06 16:01:20)
标签:

dfi

dpi

深度检测包

网络安全

it

分类: 操作系统相关知识

DFI(Deep/Dynamic Flow Inspection,深度/动态流检测) 它与DPI(Deep Packet Inspection,深度包检测)进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。

DPI:

  • 深度包检测,增加了对应用层分析,识别各种应用
  • 对应用流中的数据报文内容进行探测,从而确定数据报文真正应用
  • 基于“特征字”的识别技术
  • 应用层网关识别技术
  • 行为模式识别技术

DFI:

  • 深度/动态流检测
  • 基于流量行为的识别技术,即不同的应用类型体现在会话连接或数据流上的状态不同

DPI与DFI技术区别:
  由于DPI技术与DFI技术实现机制不同,故它们在实现效果上各有优点,表现在如下几个方面:
  (1) DFI处理速度相对快:采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比;采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。
  (2) DFI维护成本相对较低:基于DPI技术的带宽管理系统,总是滞后新应用,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,提高模式匹配效率;而基于DFI技术的系统在管理维护上的工作量要少于DPI系统,因为同一类型的新应用与旧应用的流量特征不会出现大的变化,因此不需要频繁升级流量行为模型。
  (3)识别准确率方面各有千秋:由于DPI采用逐包分析、模式匹配技术,因此,可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析,因此只能对应用类型进行笼统分类,如对满足P2P流量模型的应用统一识别为P2P流量。如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术则不受影响,因为应用流的状态行为特征不会因加密而根本改变

0

阅读 收藏 喜欢 打印举报/Report
后一篇:DNS查询过程
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有