状态检测技术只能根据数据报文的四层信息进行分析和检测,包括源地址、目的地址、源端口、目的端口以及协议类型等,而应用层检测除了可以对数据报文的前四层信息进行分析检测外,还可以针对数据报文的应用层信息进行深度的分析和检测,从而识别数据报应用层封装的各种内容,其工作的过程如下图所示:
通过应用层的深度检测,可以发现隐藏在应用层的各种攻击和病毒,识别具体的应用类型,从而实现对封装在应用层的攻击、病毒进行相应的过滤和查杀,对具体应用进行相应的策略性控制等。DPI技术现在被广泛的运用在各种安全检测设备中。
深度检测在实际环境下对网络和业务的影响
深度包检测技术在大大提升网络安全性的同时,也给实际的网络和业务带来一些的影响。
增加网络延时
深度包检测由于需要检测数据报文的应用层内容,其必然会消耗较大的设备资源,在数据量大的时候,很可能造成设备转发延时变大,从而导致网络变慢或业务应用变慢的现象出现。我们在实际分析网络延时时,启用深度检测功能的中间设备就是首先需要的关注的关键点。
策略误报导致丢包
深度包检测技术也是根据各种关键字段和规则特征来进行识别和检测的,这就有可能造成对一些应用数据报文的误检测,导致正常应用报文的丢失,从而影响业务应用的正常运行,如本章的《视频点播服务间歇性中断故障分析》与本案例均属于此种类型。
