深度数据包检测（DPI）软件

带宽监控不再局限于分析网络流量，它已成为一种广泛的解决方案，可保护网络免受速度缓慢、中断或潜在安全威胁的影响，网络管理员用来使其带宽监控在所有上述方面都有效的一种重要技术是深度数据包检测 （DPI）。

深度数据包检测有利于企业分析网络数据包，并通过收集响应时间等数据来识别瓶颈，深度数据包检测是分析网络流量的过程，以提供流经端点的数据包的完整图片，以验证哪个数据包有故障。

深度数据包检测的工作原理

深度数据包检测根据网络管理员或 ISP 分配的规则评估数据包，与传统的数据包过滤不同，深度数据包检测监控这些数据包的内容，并确定其来源以及发送该数据包的服务或应用程序。然后，它根据预定义的规则决定如何处理此流量，并可以使用筛选器重定向来自特定在线服务或 IP 地址的非业务关键流量。

深度数据包检测软件与防火墙和入侵检测系统一起使用，作为传统安全系统的补充，以应对数据量增加、数据的复杂性以及安全威胁或异常。

深度数据包检测与传统数据包检测的比较

深度数据包检测（也称为信息提取）是一种分析通过检查点的数据包的标头和数据部分的技术，传统的数据包检测仅分析标头，即源和目标 IP 地址，而深度数据包检测则定位、检测、分类和限制某些数据包。

在组织中，作为数据包传输的信息通过整个网络的不同控制点，传统的数据包过滤还是在不完全减慢组织网络速度的情况下管理网络流量的最佳可用选项，但是，这有其局限性。传统的数据包过滤只读取每个数据包的标头信息，其中包括IP地址和端口号等数据，这使得威胁更容易避开防火墙，随着当今处理能力的提高和对更好可见性的需求，深度数据包检测监控每个数据包，包括来自网络上每个设备的数据和元数据，而不会完全降低网络速度。

然后，系统可以根据这些规则自动决定如何处理每个传入数据包，使组织能够防止隐藏的威胁和攻击。

深度数据包检测技术

DPI 主要由防火墙和入侵检测系统用于检测恶意软件和其他安全威胁，并作为监视网络基础结构整体运行状况和性能的主动方法。有几种技术用于执行 DPI，主要包括：

• 模式或签名匹配
• 协议异常
• 入侵防御系统(IPS)
• 启发式分析和行为分析

模式或签名匹配

模式或签名匹配是对每个网络数据包进行监控，并将其内容与常见攻击和先前识别的威胁索引进行分析和比较的一种方法，不断更新此威胁情报数据库，可有效防范攻击。然而，这也是该方法的一个主要限制，因为模式或签名匹配仅限于检测已知的攻击，而不能识别新的或不熟悉的攻击。

协议异常

协议异常可以防止未知攻击通过组织的网络。它使用“默认拒绝”方法，默认情况下拒绝对系统或网络的所有访问，然后选择性地只允许访问那些被允许的资源，它通常用于防火墙和其他安全系统，以防止对网络的未经授权的访问。正确配置后，此方法可确保仅允许业务关键型连接通过网络，只有授权的用户和设备才能访问这些资源，并且不会阻止合法流量。

入侵防御系统(IPS)

IPS是一种入侵检测系统，它不仅仅是检测恶意流量，它是一种监控网络流量以发现潜在威胁或恶意活动迹象并采取措施防止或阻止这些威胁的技术。它通常通过实时检查网络流量来运行，查找常见攻击的模式或特征或表明潜在攻击的异常。IPS可以使用多种技术，包括基于签名的检测、基于行为的检测和基于异常的检测。

启发式分析和行为分析

启发式分析和行为分析是检测和防止安全威胁活动的两种常用技术。

启发式分析是一种自动化安全工具或软件分析网络流量行为以识别可能指示威胁的模式或属性的方法，它使用一组规则或算法来检测已知的攻击模式或可疑行为，然后标记任何潜在的匹配。启发式分析通常用于识别以前未知的或“零日”攻击，其中正在使用可能没有已知签名的新恶意软件或恶意行为。

行为分析是一种监视系统或软件活动以发现异常或可疑行为的技术，它的工作原理是为被视为正常行为的行为设置基线，并在发生或阻止任何破坏模式和偏离这些基线的活动时发出警报，行为分析用于识别可能没有已知模式或签名的恶意软件或其他恶意活动。

通过使安全工具来识别和响应新的和以前未知的威胁，从而补充了传统的基于签名的检测方法。

深度数据包检测的挑战和局限性

所有技术，无论多么有益，都有其挑战和局限性。DPI的三大挑战和局限性是：

• 虽然DPI是检测和防止拒绝服务，溢出和缓冲攻击的极其有效的工具，但它可以促进创建类似的攻击，使网络容易受到其提供安全性的相同威胁的攻击。
• 深度数据包检测可能是一个带宽消耗，由于涉及大量数据，会对网络和防火墙造成压力。
• 高效的深度数据包检测工具可能很复杂且难以管理，它还需要不断更新和修订以获得最佳功能。

深度数据包检测的优势

深度数据包检测解决方案的一些主要优势包括：

• 提高网络安全性：DPI 可用于检测和预防各种安全威胁，包括恶意软件和垃圾邮件，通过分析每个数据包的内容，它可以检测可能超过传统防火墙和入侵检测系统的攻击。
• 服务质量和合规性监控：DPI 可用于根据网络流量的内容或来源确定其优先级，确保任务关键型应用程序和用户获得必要的带宽，这提高了整体网络性能和用户体验。DPI 还可用于确保策略合规性，并检测和标记任何违反法规的流量。
• 故障排除：DPI 可用于通过精细分析网络流量来确定网络流量问题的根本原因，例如数据包丢失过多、延迟或抖动。
• 带宽管理：DPI 主要用作安全系统，用于检测占用带宽的应用程序，它还可以有效地监视和控制网络带宽使用情况，减少拥塞并防止网络速度变慢。

深度数据包检测（DPI）工具

使用 NetFlow Analyzer 的网络数据包传感器支持网络的性能和安全性，NetFlow Analyzer是一种基于流量的带宽监控工具，可让管理员实时了解应用程序、接口和设备的网络流量，使用流数据，管理员可以找到可能占用带宽的应用程序、端口或协议以及 IP 地址。

为了获得最佳和准确的带宽监控，NetFlow Analyzer提供了一个网络数据包传感器，网络数据包传感器是一个基于代理的安装，它结合了NetFlow Analyzer的NetFlow Generator和DPI引擎的功能。NetFlow 生成器允许您监控来自非流导出设备的流量，而深度数据包检测工具则允许您识别网络问题的根源。

借助 NetFlow DPI 软件，管理员可以同时测量应用程序响应时间（ART）和网络响应时间（NRT），并通过查找带宽瓶颈的根本原因（无论是应用程序端还是网络端）来最大限度地减少故障排除时间。

• 使用 NetFlow 深度数据包检测（DPI）的优势。
• 通过对 ART 和 NRT 数据的可见性，您可以避免在升级带宽方面的昂贵投资，并分配可用资源以简化操作。
• 识别可能的攻击并在威胁影响整个网络之前将其隔离。
•  
• 通过过滤不合规的数据来保护易受攻击的网络系统。
• 检测源和目标 IP 地址，这有助于识别和禁止组织中的流量。

深度数据包检测在组织的网络安全和流量方面提供了许多好处，NetFlow Analyzer 提供深度数据包检测引擎，可监控和测量应用程序响应时间和网络响应时间，以确定网络流量问题和异常的根源。免费下载试用。