常见的安全应用识别技术有哪些?
常见的安全应用识别技术有哪些?
在网络空间,安全方面的应用的涵盖多之又多,由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面我们一起了解一下在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
第二,网络的安全机制与技术要不断地变化;
第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多;
因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业,安全应用识别技术将起到很大的作用。
常见的安全应用识别技术:
为了应对固定端口进行协议识别的缺陷,在实际使用过程中,主要有DPI和DFI两种技术:
1)DPI(Deep Packet Inspection),即深度包检测。在进行分析报文头的基础上,结合不同的应用协议的“指纹”综合判断所属的应用。
2)DFI(Deep Flow Inspection),即深度流检测。它是基于一种流量行为的应用识别技术。
不同的应用类型体现在会话连接或数据流上的状态各有不同,展现了不同的应用的流量特征:
应用 | 持续时间 | 平均数率 | 传输字节数 |
HTTP | 短 | 高 | 中-高 |
VPN | 长 | 低 | 高 |
Games | 长 | 低 | 高 |
Streaming | 长 | 中 | 高 |
P2P | 长 | 中-高 | 高 |
NAT | 短-长 | 低-高 | 低-高 |
这两种技术,由于实现机制的不同,在检测效果上也各有优缺点:
比较项 | DPI | DFI |
识别准确率 | 可以准确识别具体的应用 | 无法很准确的识别具体应用,可以泛泛的识别一类应用,如P2P加密类等 |
识别的误报率 | 通常情况下不同的应用具有不同的“指纹”特征,但是有些情况下,不同应用可能具有相似的“指纹”,甚至有些“指纹”较短,导致误报的几率增大 | 不同的应用类型,可能存在较为相近的流量特征,从而导致误报率的增大,如NAT之后的流量与P2P流量具有较大的相似性 |
对计算的要求 | 高,需要逐包检查,特征匹配 | 低 |
新应用支持效率 | 低,需要逐个分析具体应用,并更新特征库 | 高,对于已经支持的应用类型,可以快速的支持 |
实现技术 | 基于特征匹配技术 | 基于网络层、传输层信息、业务流持续时间、字节长度分布等参数进行统计分析技术 |
升级的方便性 | 简单,通过升级特征库即可 | 无需升级 |
DPI技术由于可以比较准确的识别出具体的应用,因此广泛的应用于各种需要准确识别应用的系统中,如运营商的用户行为分析系统等;而DFI技术由于采用流量模型方式可以识别出DPI技术无法识别的流量,如P2P加密流等,目前因此越来越多的在带宽控制系统中得到应用。