本文讲的是DPI是检验上网行为管理专业性的试金石,DPI,深度包解析技术,是一种能够对OSI网络模型中的最高层——应用层信息进行识别、检测的技术。如果把流量中的数据包比作包裹,DPI技术就是X光,是“安检仪”类的网关设备必备的核心技术。
上网行为管理就是这么一款典型的依赖于应用层信息提供管理价值的网络设备:要判断用户的使用的应用是否合规、用户浏览的网页是否违法、外发的文件是否涉密,归其根本,我们需要知道用户是谁、在使用什么应用、在访问什么类型的网站、外发了什么内容的文件。之后,或根据应用、网站、文件类型,或根据内容关键字,我们制定策略,分而治之,阻断也好,告警也罢,一个上网行为管控的框架就可以搭建起来了。
所以,能够在流量中识别用户、应用、内容的关键——DPI技术,显然是上网行为管理的基石。如何判断产品DPI实力的强弱?秉要执本,抓住关键几点即可:
应用特征数据库的完整性与细粒度
机场安检仪断一个物件有无危险性是通过查看这个物件是否“长得”像一把枪,或者一把匕首。同样,DPI识别一个应用也是依据他的流量特征——某个协议、在包头的某个位置、必然会出现的某个字段。随后,上网行为管理需要将流量特征与自己的数据库记录的特征进行比对,判断种类。
很明显,上网行为管理的特征数据库是否足够完整,很大程度影响应用的识别准确率。那么协议数量达到多少算完整呢?合格的上网行为管理一般在2000左右,达到4000的都是有多年积累的专业“尖子生”。
另外,虽然有不少用户喜欢“小而美”的互联网应用,但不可否认“大而全”是今天APP的主流。如何准确识别用户在一个应用下不同行为,帮助客户实现“只能QQ聊天而禁止QQ文件传输”等保密需求,也是上网行为管理专业性的门槛之一。
高逃逸性应用的识别机制
应用流量特征不能解决所有问题,尤其是在APP越来越倾向于共用一种协议的时候,上网行为管理很可能会犯错。例如,VPN是翻墙软件常用的协议,由于其应用层加密特性,普通上网行为管理的流量记录里会将“自由门”之类的软件标示为VPN。
专业的上网行为管理必须具有对“自由门”这类高逃逸性应用进行识别的能力,一线厂商主要采用的是应用行为特征识别技术:自由门等翻墙软件在启用后会向国外特定IP发起试探性链接,来检测对端服务器地址是否可用,在轮询到某个可用地址后,才会建立VPN隧道。而如何及时发现与这些行为特征就得看厂商的实力与积累了。
网页自动分类技术
对网站访问进行分类管控是上网行为管理最常用的功能。但网页浩如烟海,如何准确判断一个网页的主要内容?自动爬虫+人工分类是传统上网行为管理一直采用的方法。然而,分类效率的低下使得大多数厂商的URL分类库停留在数十万至百万之间。
但专业的产品总有专业的解决方案:网页自动分类技术是网康的核心专利之一,通过分析一个网页的关联URL,建立“网页关联拓扑”,发现更多相邻网页的URL;并能够自动根据URL的路径、命名来判断关联URL的分类,确定这些URL审计价值。
所以,网康之所以能够迅速积累数千万的URL分类库,频频在项目竞争中宣称URL管控具有极高准确性的底气也来源于此。
结语
DPI是上网行为管理安身立命的基石。“产品是否专业,DPI拉出来溜溜”。因此,如果您的场景复杂、需求多样,不妨把握住关键脉络,去试试哪款产品最专业。