什么是深度包检测及其安全挑战

2020 年 5 月 16 日 By 克里斯汀·玛格丽特没有评论 5分钟

深度包检测是云生成防火墙和网络提供商使用的一种技术。它在传输时监视数据。 DPI 用于检查数据并过滤掉任何恶意或不需要的流量。让我们更深入地了解深度包检测是什么、它是如何工作的，以及为什么它是必要的。

深度包检测

什么是深度包检测？

DPI 或信息提取或完整的数据包检查是一种数据包过滤技术。它对数据进行详细处理，检查正在发送和接收的数据包中的所有内容。稍后，在需要时重新路由数据。

典型的静态/无状态数据包过滤仅检查数据包的标头。另一方面，DPI 检查标头和其中的内容。没有它，恶意软件将很容易通过防火墙，因此 DPI 安全性是必要的。

由 ISP 或网络管理员批准的规则集是该技术的核心部分。任何不符合规则集的数据包都将被丢弃。 DPI 规则集是一个标准，如果数据与协议不匹配，或者有病毒、垃圾邮件、恶意软件或入侵，则批准或拒绝数据。

包含 IDS 功能（包括内容检查）的防火墙通常遵循 DPI 方法。除了防火墙，IDS（入侵检测系统）也使用 DPI 技术。 IDS 强调保护整个网络而不是检测特定的攻击。但是，要解决问题，需要一些 DPI 工具：

模式或签名匹配适用于启用 IDS 功能的防火墙。它根据已识别网络攻击的数据库检查每个数据包。

该技术非常适合熟悉的攻击。这意味着这种方法不适合保护您的系统免受新的或未知的攻击。

协议异常也称为默认拒绝方法。启用 IDS 功能的防火墙可以依赖此协议。协议异常非常严格，但可以保护系统免受未知攻击。如果不符合协议规则，它会一次性拒绝流量。

IPS 解决方案也与 DPI 技术兼容。 IPS指的是入侵防御系统。 DPI 和 IPS 一起可以检测和对抗威胁。该方法的一个缺点是误报的风险，可以通过一些保守的政策稍微控制一下。

通过 DPI 技术可以达到多种目的。在有效地作为入侵检测系统工作的同时，DPI 还可以结合入侵防御和入侵检测的功能。

深度包检测非常适合 网络安全. 它允许您的网络识别特定的攻击，如拒绝服务和缓冲区溢出攻击。 DPI 还检测由恶意流量引起的其他安全漏洞、病毒和间谍软件。另一方面，其他安全工具无法做到这一点。

就像一个防病毒程序, DPI 还可以防止和检测恶意软件。但是，它会在攻击最终用户之前识别出非常初始级别的威胁。大型网络公司可以使用 DPI 来检测病毒。它还将防止病毒在整个公司网络中传播。

这种深度流量分析技术还可以帮助组织 防止数据丢失。 它要求员工在发送任何包含机密数据的电子邮件之前获得必要的许可和许可。

DPI 网络还有更多好处。它可以帮助您确定重要消息的优先级并管理网络流量。使用 DPI，P2P 下载更易于管理。深度数据包检测还使您能够限制或降低数据传输速率。

与大多数技术一样，DPI 也用于更高级别的 窃听和在线审查。 政府当局使用此技术来监控和限制对不当内容的访问。

更重要的是？它还支持 有针对性的广告. DPI 包含数据包并标识这些数据包的来源和去向。您的 ISP 可以收集此信息以发送给第三方广告商。这些广告商将此类数据用于有针对性的广告活动。

就像所有其他技术一样，DPI 也有一些漏洞。在实施 DPI 之前，您应该仔细考虑。以防万一，如果您有能力应对 DPI 挑战，那么就可以保护您的流量免受深度包检测。以下是一些 DPI 漏洞的概述。

DPI 使您的网络变慢，因为它将资源专用于防火墙来管理处理负载。
DPI 需要不断更新和修订才能有效工作。它还需要巨大的处理能力。
DPI 使 ISP 和政府能够监视您并阻止某些内容。
HTTPS 和 VPN 流量可能会影响 DPI 性能，因为数据是加密的，并且很难查看加密的数据包。防火墙现在提供 HTTPS 检查，可以解密受 HTTPS 保护的流量并分析是否允许流量通过。