首页 » 功能特性 » IP服务级别协议(SLA)模块

什么是深度数据包检测 (DPI)?

伴随着混合态成为生活的正常组成部分,新技术日益更新,不可避免的会通过网络传输大量数据。至关重要的是,要提供高可用性、快速解决问题和完美洞察的无缝用户体验。为了实现这一点,对网络进行端到端监控是很重要的。

深度数据包检查是一种用于在数据包流经网络时实时检查和分析数据包内容的技术,实现实时分析和决策。它用于各种目的,包括安全、流量管理、数据泄露、违反策略、恶意软件和服务质量。DPI允许在网络的应用层检查分组数据,而不仅仅是报头信息,后者提供了关于分组内容的更多信息。它包括查看数据包的实际有效载荷或内容,包括正在传输的数据和生成数据包的应用程序。.

 

深度数据包检测的工作原理

深度数据包检测根据网络管理员或 ISP 分配的规则评估数据包。与传统的数据包过滤不同,深度数据包检测监控这些数据包的内容,并确定其来源以及发送该数据包的服务或应用程序。然后,它根据预定义的规则决定如何处理此流量,并可以使用筛选器重定向来自特定在线服务或 IP 地址的非业务关键流量。

深度数据包检测软件与防火墙和入侵检测系统一起使用,作为传统安全系统的补充,以应对数据量增加、数据的复杂性以及安全威胁或异常。

深度数据包检测与传统数据包过滤

在组织中,作为数据包传输的信息通过整个网络的不同控制点。直到几年前,传统的数据包过滤还是在不完全减慢组织网络速度的情况下管理网络流量的最佳可用选项。但是,这有其局限性。传统的数据包过滤只读取每个数据包的标头信息,其中包括IP地址和端口号等数据。这使得威胁更容易避开防火墙。随着当今处理能力的提高和对更好可见性的需求,深度数据包检测监控每个数据包,包括来自网络上每个设备的数据和元数据,而不会完全降低网络速度。

然后,系统可以根据这些规则自动决定如何处理每个传入数据包,使组织能够防止隐藏的威胁和攻击。

Deep Packet Inspection - ManageEngine NetFlow Analyzer

根据 验证市场研究的一项报告, 深度数据包检测 (DPI) 市场规模在 16 年为 484.81 亿美元,预计到 2021 年将达到 114.043 亿美元,从 93 年到 2030 年的复合年增长率为 24.61%。

深度数据包检测技术

DPI 主要由防火墙和入侵检测系统用于检测恶意软件和其他安全威胁,并作为监视网络基础结构整体运行状况和性能的主动方法。有几种技术用于执行 DPI,四种主要的 DPI 技术包括:

图案或签名匹配协议异常入侵防御系统 (IPS)启发式和行为分析

图案或签名匹配

特征码或特征码匹配是一种监视每个网络数据包的方法,以分析其内容并将其内容与常见攻击和先前识别的威胁的索引进行比较。不断更新此威胁情报数据库可以有效防止攻击。但是,这也是此方法的主要限制,因为模式或签名匹配仅限于检测已知攻击,而无法识别新的或不熟悉的攻击。

协议异常

协议异常可确保防止通过组织网络的未知攻击。它使用“默认拒绝”方法,该方法默认拒绝对系统或网络的所有访问,然后有选择地仅允许访问允许的那些资源。它通常用于防火墙和其他安全系统,以防止未经授权访问网络。正确配置后,此方法可确保仅允许业务关键型连接通过网络,只有授权的用户和设备才能访问这些资源,并且不会阻止合法流量。

入侵防御系统(IPS)

IPS 是一种入侵检测系统,它不仅仅是检测恶意流量。它是一种监控网络流量以查找潜在威胁或恶意活动迹象并采取措施防止或阻止这些威胁的技术。它通常通过实时检查网络流量来运行,查找指示潜在攻击的常见攻击或异常的模式或特征。IPS 可以使用一系列技术,包括基于签名的检测、基于行为的检测和基于异常的检测。

启发式和行为分析

启发式分析和行为分析是检测和防止安全威胁活动的两种常用技术。. 

启发式分析是一种自动安全工具或软件分析网络流量行为以识别可能指示威胁的模式或属性的方法。它使用一组规则或算法来检测已知的攻击模式或可疑行为,然后标记任何潜在的匹配项。启发式分析通常用于识别以前未知或“零日”攻击,其中正在使用可能没有已知签名的新恶意软件或恶意行为。

行为分析是一种监视系统或软件活动以发现异常或可疑行为的技术。它的工作原理是为被视为正常行为的行为设置基线,并在发生或阻止任何破坏模式和偏离这些基线的活动时发出警报。行为分析用于识别可能没有已知模式或签名的恶意软件或其他恶意活动。

它们通过使安全工具来识别和响应新的和以前未知的威胁,从而补充了传统的基于签名的检测方法。

使用案例

深度数据包检测有多种用途,例如阻止恶意软件、合法拦截、入侵检测、检测收件人和发件人以及网络管理。

阻止恶意软件

DPI 与威胁检测结合使用时,可用于在恶意软件影响您的网络之前阻止恶意软件。此过程包括基于模式匹配和启发式分析检测现有威胁。

内容策略实施

DPI 允许组织阻止或限制对任何未经授权的应用程序的访问。它可用于检测或阻止违反策略和未经授权的数据访问的流量模式。

阻止数据泄露

DPI 有助于管理流入和流出流量以及网络活动。可以对其进行自定义以过滤掉敏感数据,以防止潜在的泄漏。

深度数据包检测的挑战和局限性

所有技术,都有其挑战和局限性。DPI的三大挑战和局限性是:

  • 虽然DPI是检测和防止拒绝服务,溢出和缓冲攻击的极其有效的工具,但它可以促进创建类似的攻击,使网络容易受到其提供安全性的相同威胁的攻击。
  • 深度数据包检测可能是一个带宽消耗,由于涉及大量数据,会对网络和防火墙造成压力。
  • 高效的深度数据包检测工具可能很复杂且难以管理。它还需要不断更新和修订以获得最佳功能。

深度数据包检测的优势

深度数据包检测解决方案的一些主要优势包括:

  • 提高网络安全性: DPI 可用于检测和预防各种安全威胁,包括恶意软件和垃圾邮件。通过分析每个数据包的内容,它可以检测可能超过传统防火墙和入侵检测系统的攻击。
  • 服务质量和合规性监控: DPI 可用于根据网络流量的内容或来源确定其优先级,确保任务关键型应用程序和用户获得必要的带宽。这提高了整体网络性能和用户体验。DPI 还可用于确保策略合规性,并检测和标记任何违反法规的流量。
  • 故障排除 DPI 可用于通过精细分析网络流量来确定网络流量问题的根本原因,例如数据包丢失过多、延迟或抖动。
  • 带宽管理: DPI 主要用作安全系统,用于检测占用带宽的应用程序。它还可以有效地监视和控制网络带宽使用情况,减少拥塞并防止网络速度变慢。

将 DPI 集成到您的企业

深度数据包检测在组织的网络安全和流量方面提供了许多好处。ManageEngine NetFlow Analyzer 提供深度数据包检测引擎,可监控和测量应用程序响应时间和网络响应时间,以确定网络流量问题和异常的根源。

单击此处了解有关 ManageEngine 深度数据包检测代理的更多信息。如果您想了解有关在您的组织中集成 DPI 的更多信息,我们很乐意与您沟通,以使用 NetFlow Analyzer 优化您的 DPI 流程。安排免费的个性化演示安排免费的个性化演示或 开始 30 天免费试用。

 

有关深度数据包检测的更多信息

深度数据包检测有什么作用?

+

为什么要使用深度数据包检测?

+

如何完成深度数据包检测?

+

 

 

 

 

其他资源

Deep packet inspection: An inside look into evolving IT security technology功能深度数据包检测:深入了解不断发展的 IT 安全技术ManageEngine NetFlow AnalyzerBlog网络流量分析:关于重要网络性能监控途径的简要报告NetFlow Analyzer - ManageEngine NetFlow Analyzer视频全面的网络流量监控:NetFlow Analyzer!ManageEngine NetFlow Analyzer案例研究看看NetFlow Analyzer是如何为全球各种企业简化性能难题。

典型客户

合作伙伴

相关产品