隨著網絡通訊技術進步與發展，網絡通訊已跨入大數據時代，如何監控各類業務系統的通訊數據在大數據流量中傳輸質量，以及針對海量的網絡通訊數據的范疇中存在少量的惡意流量的檢測，避免惡意通訊對主機、網絡設備的root權限的安全威脅，和通訊內容的竊取，是網絡管理必須面對的一個難題。

有攻擊的矛，自有防御的盾，這是自然發展的規律。針對大數據的來臨，傳統的實時檢測與防御已不能勝任對海量數據中存在細微異常的甄別。為此，對原始通訊數據的實時備份逐漸彰顯出其必要性，而基于時間窗口的回溯分析技術加以對數據包的深度檢測，是對異常數據發現的顯微鏡。

DPI技術簡介

DPI(Deep Packet Inspection)深度包檢測技術是在傳統IP數據包檢測技術（OSI L2-L4之間包含的數據包元素的檢測分析）之上增加了對應用層數據的應用協議識別，數據包內容檢測與深度解碼。

通過對網絡通訊的原始數據包捕獲，DPI技術可使用其三大類的檢測手段：基于應用數據的“特征值”檢測、基于應用層協議的識別檢測、基于行為模式的數據檢測。根據不同的檢測方法對通信數據包可能含有的異常數據做逐一的拆包分析，深度挖據出宏觀數據流中存在的細微數據變化。

DPI與傳統網絡分析技術

1. 利用數據特征值對業務類型進行識別判斷

在五元組分析技術之上，DPI通過對IP數據包的內容進行分析，依據數據特征字的查找或者業務的行為統計，得到相關業務流的類型。

網絡分析技術對數據包內容的解碼：

識別利用TCP/80端口傳輸BT流量的數據特征，如果只是通過常見的HTTP應用特征進行判斷， 就很容易將它誤判為一個Web 訪問的應用。數據特征值檢測技術不僅可以識別業務傳輸的數據內容指紋，而且對利用已知通信端口（如：利用TCP/445端口進行蠕蟲傳播時所攜帶的病毒特征）或未知端口進行木馬傳輸的數據特征做識別判斷。

2. 應用協議識別

DPI技術對網絡應用及協議識別，采用識別數據內容的簽名（類似于人體指紋）來進行辨別，簽名是被用來分析鑒別應用及協議的特征有效的手段，當一個新的應用或協議被發明，數據內容中將攜帶有相應的簽名。

網絡分析技術的應用協議識別具備對數據內容所攜帶的簽名，還可以依據數據通訊所采用的傳輸層端口做應用協議的判別。

協議識別可作用于對通訊流量成分的規劃，以及對異常通訊流量的發現。

3. 業務交付統計

DPI 的業務統計功能可識別網絡的業務流量分布和用戶的各種業務使用情況，發現影響網絡正常運行的因素，為網絡和業務優化提供依據。

網絡回溯分析技術

回溯分析集合了傳統網絡分析和DPI技術各項優點，并提供對原始通訊數據的海量存儲，滿足對微量異常通訊的發現能力。而且回溯分析通過對業務通訊的五元組和應用協議特征識別，在基于時間窗口的獨特功能上，為各類業務通訊提供了每一時段的交互質量檢測。