DPI全稱(chēng)為“Deep Packet Inspection”，稱(chēng)為“深度包檢測(cè)”。DPI技術(shù)在分析包頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、,或UDP數(shù)據(jù)流經(jīng)過(guò)基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。

針對(duì)不同的協(xié)議類(lèi)型，DPI識(shí)別技術(shù)可劃分為以下三類(lèi)：

特征字的識(shí)別技術(shù)：

不同的應(yīng)用通常會(huì)采用不同的協(xié)議，而各種協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的識(shí)別技術(shù)，正是通過(guò)識(shí)別數(shù)據(jù)報(bào)文中的指紋信息來(lái)確定業(yè)務(wù)所承載的應(yīng)用。根據(jù)具體檢測(cè)方式的不同，基于特征字的識(shí)別技術(shù)又可細(xì)分為固定特征位置匹配、變動(dòng)特征位置匹配和狀態(tài)特征字匹配三種分支技術(shù)。通過(guò)對(duì)指紋信息的升級(jí)，基于特征字的識(shí)別技術(shù)可以方便的擴(kuò)展到對(duì)新協(xié)議的檢測(cè)。

應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)：

在業(yè)務(wù)中，有一類(lèi)的控制流和業(yè)務(wù)流是分離的，如與7號(hào)信令相關(guān)的業(yè)務(wù)，其業(yè)務(wù)流沒(méi)有任何特征，應(yīng)用層網(wǎng)管識(shí)別技術(shù)針對(duì)的對(duì)象就是此類(lèi)業(yè)務(wù)，首先由應(yīng)用層網(wǎng)管識(shí)別出控制流，并根據(jù)控制流協(xié)議選擇特定的應(yīng)用層網(wǎng)關(guān)對(duì)業(yè)務(wù)流進(jìn)行解析，從而識(shí)別出相應(yīng)的業(yè)務(wù)流。對(duì)于每一個(gè)協(xié)議，需要不同的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行分析。例如：H323、SIP等協(xié)議，就屬于此類(lèi)，其通過(guò)信令交互過(guò)程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語(yǔ)音流，純粹檢測(cè)RTP流并不能確定這條RTP流是通過(guò)那種協(xié)議建立起來(lái)的，即判斷其是何種業(yè)務(wù)，只有通過(guò)檢測(cè)SIP或H232的協(xié)議交互，才能得到其完整的分析。

行為模式識(shí)別技術(shù)：

在實(shí)施行為模式技術(shù)之前，運(yùn)營(yíng)商首先必須先對(duì)終端的各種行為進(jìn)行研究，并在此基礎(chǔ)上建立行為識(shí)別模型，基于行為識(shí)別模型，行為模式識(shí)別技術(shù)即根據(jù)客戶(hù)已經(jīng)實(shí)施的行為，判斷客戶(hù)正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作。

行為模式識(shí)別技術(shù)通常用于那些無(wú)法由協(xié)議本身就能判別的業(yè)務(wù)，例如：從電子郵件的內(nèi)容看，垃圾郵件和普通郵件的業(yè)務(wù)流兩者間根本沒(méi)有區(qū)別，只有進(jìn)一步分析，具體根據(jù)發(fā)送郵件的大小、頻率，目的郵件和源郵件地址、變化的頻率和被拒絕的頻率等綜合分析，建立綜合識(shí)別模型，才能判斷是否為垃圾郵件。

這三類(lèi)識(shí)別技術(shù)分別適用于不同類(lèi)型的協(xié)議，相互之間無(wú)法替代，只有綜合的運(yùn)用這三大技術(shù)，才能有效的靈活的識(shí)別網(wǎng)絡(luò)上的各類(lèi)應(yīng)用，從而實(shí)現(xiàn)控制和計(jì)費(fèi)。

DFI(Deep/Dynamic Flow Inspection，深度/動(dòng)態(tài)流檢測(cè))與DPI進(jìn)行應(yīng)用層的載荷匹配不同，采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù)，即不同的應(yīng)用類(lèi)型體現(xiàn)在會(huì)話(huà)連接或數(shù)據(jù)流上的狀態(tài)各有不同。

例如，網(wǎng)上IP語(yǔ)音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯：RTP流的包長(zhǎng)相對(duì)固定，一般在130～220byte，連接速率較低，為20～84kbit/s，同時(shí)會(huì)話(huà)持續(xù)時(shí)間也相對(duì)較長(zhǎng)；而基于P2P下載應(yīng)用的流量模型的特點(diǎn)為平均包長(zhǎng)都在450byte以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為T(mén)CP等。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過(guò)分析會(huì)話(huà)連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來(lái)與流量模型對(duì)比，從而實(shí)現(xiàn)鑒別應(yīng)用類(lèi)型。

DPI與DFI優(yōu)缺點(diǎn)分析

DFI處理速度相對(duì)快：

采用DPI技術(shù)由于要逐包進(jìn)行拆包操作，并與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行匹配對(duì)比；采用DFI技術(shù)進(jìn)行流量分析僅需將流量特征與后臺(tái)流量模型比較即可，因此，目前多數(shù)基于DPI的帶寬管理系統(tǒng)的處理能力達(dá)到線(xiàn)速1Gbit/s左右，而基于DFI的系統(tǒng)則可以達(dá)到線(xiàn)速10Gbit/s的流量監(jiān)控能力，完全可以滿(mǎn)足運(yùn)營(yíng)商需求；

DFI維護(hù)成本相對(duì)較低：

基于DPI技術(shù)的帶寬管理系統(tǒng)，總是滯后新應(yīng)用，需要緊跟新協(xié)議和新型應(yīng)用的產(chǎn)生而不斷升級(jí)后臺(tái)應(yīng)用數(shù)據(jù)庫(kù)，否則就不能有效識(shí)別、管理新技術(shù)下的帶寬，提高模式匹配效率；而基于DFI技術(shù)的系統(tǒng)在管理維護(hù)上的工作量要少于DPI系統(tǒng)，因?yàn)橥活?lèi)型的新應(yīng)用與舊應(yīng)用的流量特征不會(huì)出現(xiàn)大的變化，因此不需要頻繁升級(jí)流量行為模型。

識(shí)別準(zhǔn)確率方面各有千秋：

由于DPI采用逐包分析、模式匹配技術(shù)，因此，可以對(duì)流量中的具體應(yīng)用類(lèi)型和協(xié)議做到比較準(zhǔn)確的識(shí)別；而DFI僅對(duì)流量行為分析，因此只能對(duì)應(yīng)用類(lèi)型進(jìn)行籠統(tǒng)分類(lèi)，如對(duì)滿(mǎn)足P2P流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量，對(duì)符合網(wǎng)絡(luò)語(yǔ)音流量模型的類(lèi)型統(tǒng)一歸類(lèi)為VOIP流量，但是無(wú)法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過(guò)加密傳輸?shù)模瑒t采用DPI方式的流控技術(shù)則不能識(shí)別其具體應(yīng)用，而DFI方式的流控技術(shù)則不受影響，因?yàn)閼?yīng)用流的狀態(tài)行為特征不會(huì)因加密而根本改變。