然而，要準(zhǔn)確識別應(yīng)用流量，從技術(shù)實(shí)現(xiàn)上講并不簡單，難度主要體現(xiàn)在識別的算法及檢測深度。算法不但要解決流量的分類，而且要負(fù)責(zé)在多個(gè)分類中查找特征，所以最好的算法往往帶來的是精確的識別;另一個(gè)就是檢查數(shù)據(jù)的深度，深度總是和性能關(guān)聯(lián)，檢查的越多，消耗的系統(tǒng)資源越多。因此，檢查一個(gè)流的前20個(gè)包所付出的性能代價(jià)往往是超乎想象的，這就是我們提到的識別難度。

對于識別方法來說，從技術(shù)角度看，檢查一個(gè)應(yīng)用特征主要有三種方法。第一種方法稱為標(biāo)準(zhǔn)檢測，主要靠識別報(bào)頭信息的地址和端口，這種方法常見于做QoS的網(wǎng)關(guān)設(shè)備。第二種方法稱為DPI(深度包檢測)，這是業(yè)界常用的術(shù)語，絕大多數(shù)設(shè)備聲稱具有這樣的技術(shù)，常見于“下一代內(nèi)容檢測系統(tǒng)”及UTM類設(shè)備。從理論上，數(shù)據(jù)流中每個(gè)報(bào)文的任意字段或數(shù)據(jù)流傳輸過程中的任何特征都可以作為應(yīng)用協(xié)議識別的依據(jù)，但實(shí)際上，如何快速選擇最有效的數(shù)據(jù)流特征信息的難度遠(yuǎn)遠(yuǎn)超過了您的想象。第三種方法稱為解密檢測方法，就是將數(shù)據(jù)流送入一個(gè)分類器，數(shù)據(jù)流被分類之后，將加密數(shù)據(jù)流送入一個(gè)解密引擎，解密引擎通過預(yù)置的解密算法對數(shù)據(jù)解密，解密后再次返回分類器進(jìn)行檢查。如天融信TopFlow就采用這種技術(shù)來識別加密數(shù)據(jù)，通過這種獨(dú)有的技術(shù)，使得精確識別率能達(dá)到99%以上。

當(dāng)然，在我們介紹應(yīng)用流量識別時(shí)有幾個(gè)概念需要介紹：

數(shù)據(jù)流：基于應(yīng)用層協(xié)議識別的對象不能只是簡單的檢查單個(gè)報(bào)文，而是要將數(shù)據(jù)流作為一個(gè)整體來檢測。因此，數(shù)據(jù)流是指在某個(gè)會話生命周期內(nèi)，通過網(wǎng)絡(luò)上一個(gè)檢測節(jié)點(diǎn)的IP數(shù)據(jù)報(bào)文的集合。實(shí)際上，一個(gè)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)流的所有屬性是相同的。

數(shù)據(jù)流分類：利用數(shù)據(jù)流以及數(shù)據(jù)流中報(bào)文的某些信息，可將網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行分類，這種分類可加速應(yīng)用流量的分類，如游戲應(yīng)用數(shù)據(jù)流通常是小報(bào)文，而P2P流一般稱為大報(bào)文。

數(shù)據(jù)流類別：數(shù)據(jù)流類別是一個(gè)大型網(wǎng)狀結(jié)構(gòu)的分類器，按照行為特征及簽名進(jìn)行歸類。在數(shù)據(jù)流分類問題中，每個(gè)類別可能包含某些屬性類似的多種協(xié)議，典型的如IE下載即包括了多個(gè)類別，有分塊下載，有偽IE下載等，有另存單線程下載等，而協(xié)議識別必須對流進(jìn)行更精細(xì)的分類，使得每個(gè)類別中的流只使用一種應(yīng)用層協(xié)議。

協(xié)議識別：協(xié)議識別是指檢測引擎根據(jù)協(xié)議特征，識別出網(wǎng)絡(luò)數(shù)據(jù)流使用的應(yīng)用層協(xié)議。

應(yīng)用協(xié)議特征字符串：特征字符串是協(xié)議歸類的關(guān)鍵依據(jù)，字符串特征舉例協(xié)議特征字符串

ftp特征字符串a(chǎn)cct、cwd、smnt、port;

smtp特征字符串HELO、EHLO、MAIL FROM:、RCPT TO:、VRFY、EXPN;

pop3特征字符串+OK、-ERR、APOP、TOP、UIDL;

msn 特征字符串包括msg、nln、out、qng、ver、msnp;

OICQ特征字符串開頭第一個(gè)字節(jié)：0x02，第四、五字節(jié)：協(xié)議號;

sip特征字符串REGISTER、INVITE、ACK、BYE、CANCEL、SIP;

eMule特征字符串開頭第一個(gè)字節(jié)：0xe3 或 0xc5 或 0xd4;

應(yīng)用流量協(xié)議特征檢測方法

數(shù)據(jù)流檢測方法主要分為四個(gè)層次，讓我們描述一下從最簡單到最復(fù)雜的檢測過程。

首先，互聯(lián)網(wǎng)眾所周知的網(wǎng)絡(luò)應(yīng)用都是建立在固定網(wǎng)絡(luò)協(xié)議或端口上，如http、ftp等等常用協(xié)議，這些協(xié)議的特征非常明顯，在一定程度上幾乎不使用檢測引擎就可識別。

其次，但當(dāng)應(yīng)用變得復(fù)雜時(shí)，很多應(yīng)用都會啟用隨機(jī)端口進(jìn)行通信，因此，新啟用的端口我們事先無法預(yù)知，此時(shí)DPI必須實(shí)時(shí)監(jiān)控會話，通過監(jiān)測數(shù)以千計(jì)的并發(fā)會話來判斷其應(yīng)用特征。

很多新的網(wǎng)絡(luò)應(yīng)用偽裝使用已知的固定端口，如使用80、8080、443等知名端口，特別像使用80端口的偽裝，偽裝的目的首先是被防火墻認(rèn)可，不至于在防火墻上被阻斷，被作為正常的web訪問而通行。這種應(yīng)用如P2P偽裝、視頻偽裝，都使用這些知名端口。此時(shí)設(shè)備需要在多個(gè)會話中開始尋找所謂的簽名，通常這是一個(gè)復(fù)雜的字符串，是檢測引擎預(yù)先定義好的，而且是唯一一個(gè)應(yīng)用。隨著應(yīng)用的增加，DPI特征庫需要不斷更新。如下圖迅雷采用偽IE下載就屬于典型的偽裝。

第三，對于完全加密的應(yīng)用，我們稱為加密流，對于加密數(shù)據(jù)流，去尋求一個(gè)端口或簽名是毫無意義的。因此，檢測引擎需要開發(fā)出一種新方法，著眼于數(shù)據(jù)包長度和它們的順序排序。而實(shí)際上，其中的一些加密應(yīng)用總是使用同一系列的包長度、在同一位置、在同一順序，這就是所謂的行為特征。通常，檢測引擎能夠這些加密流進(jìn)行行為分析，而實(shí)際上，這里存在兩個(gè)難度，一個(gè)是加密流特征字符串的獲取本身需要扎實(shí)的獨(dú)特的算法，另外，單單對于位置的檢測還遠(yuǎn)遠(yuǎn)不夠，如加密傳輸?shù)膽?yīng)用協(xié)議的加密方法幾乎每周都在變換位置，而天融信TopFlow獨(dú)特的算法不但能對加密數(shù)據(jù)流的位置進(jìn)行檢查，而且能對加密數(shù)據(jù)流進(jìn)行解密，這使得他對應(yīng)用的識別率可高達(dá)99%以上。

如何評價(jià)應(yīng)用識別引擎：

應(yīng)用識別引擎是應(yīng)用流量管理系統(tǒng)的核心，所以下面五點(diǎn)則能較好的評價(jià)產(chǎn)品。

第一、應(yīng)用程序的識別數(shù)量多少，特別對復(fù)雜協(xié)議及新協(xié)議的識別數(shù)量成為產(chǎn)品的核心，而不是單單用端口號來標(biāo)識的簡單應(yīng)用或標(biāo)準(zhǔn)應(yīng)用。

第二、應(yīng)用協(xié)議識別的準(zhǔn)確性。一個(gè)好的引擎或好的算法才能保證低的誤報(bào)和漏報(bào)。

第三、應(yīng)用檢測的時(shí)間消耗。一個(gè)好的引擎能夠花費(fèi)很少的時(shí)間即可檢查出特征。

第四、對高性能和高帶寬處理。一個(gè)好的引擎才能部署到大的網(wǎng)絡(luò)環(huán)境中，如高校、大集團(tuán)用戶、運(yùn)營商網(wǎng)絡(luò)。

第五、協(xié)議庫更新的頻率及協(xié)議庫庫更新的難易程度。一個(gè)好的引擎才能保證協(xié)議庫的更新有驗(yàn)證、計(jì)算、校對，使系統(tǒng)不斷網(wǎng)、不重啟，即使出現(xiàn)升級失敗，也能保證原有特征庫不被損壞，正常運(yùn)行。

天融信TopFlow應(yīng)用流量管理系統(tǒng)通過天融信公司近17年的技術(shù)積累，對多達(dá)數(shù)萬用戶應(yīng)用的分析、歸納，并在天融信自主操作系統(tǒng)TOS基礎(chǔ)上開發(fā)的基于用戶應(yīng)用分析及管控的系統(tǒng)。TopFlow依靠自主知識產(chǎn)權(quán)的 TOS (Topsec Operating System) 安全操作系統(tǒng)，采用全模塊化設(shè)計(jì)，使用中間層理念，減少系統(tǒng)對硬件的依賴性，使得內(nèi)核更為精簡和優(yōu)化，特別在天融信多核處理硬件平臺上，通過大量的協(xié)議棧優(yōu)化，針對高性能處理需求進(jìn)行了中斷處理和驅(qū)動(dòng)優(yōu)化，保證系統(tǒng)在天融信專有多核處理平臺上，數(shù)據(jù)以最快速度執(zhí)行、以較高優(yōu)先級運(yùn)行、以超高速放行。

通過完善的應(yīng)用協(xié)議特征庫檢測和偽裝探測技術(shù)，并采用(DPI)深度包檢測技術(shù)來識別各種用戶應(yīng)用，應(yīng)用識別率超過99%。特別對采用逃避技術(shù)的加密協(xié)議進(jìn)行精準(zhǔn)識別，如采用加密傳輸?shù)难咐讌f(xié)議族、QVOD視頻等等加密類協(xié)議進(jìn)行及時(shí)而精準(zhǔn)識別，這是其他產(chǎn)品技術(shù)所不能比擬的。