隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)信息傳輸量的急劇增長(zhǎng)，網(wǎng)絡(luò)攻擊也不斷增加，企業(yè)網(wǎng)絡(luò)的安全性和自身利益受到了嚴(yán)重的威脅。為了降低風(fēng)險(xiǎn)，企業(yè)正在轉(zhuǎn)向新型安全解決方案，例如企業(yè)邊緣的安全訪問(wèn)服務(wù)邊緣 (SASE) 和零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)，以及針對(duì)端點(diǎn)和網(wǎng)絡(luò)的擴(kuò)展威脅檢測(cè)和響應(yīng) (XDR) 。

然而，這些新型解決方案的核心實(shí)則是一項(xiàng)眾所周知的技術(shù)——深度包檢測(cè) (DPI) 。

DPI——深藏功與名

深度包檢測(cè)技術(shù)即DPI技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過(guò)基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。

DPI 功能對(duì)于商業(yè)入侵檢測(cè)和防御系統(tǒng) (IDS/IPS)、服務(wù)器負(fù)載平衡器 (SLB)/應(yīng)用程序交付控制器 (ADC)、下一代防火墻 (NGFW) 和統(tǒng)一威脅管理 (UTM) 設(shè)備至關(guān)重要。早期的安全供應(yīng)商會(huì)采用和修改開(kāi)源庫(kù)或開(kāi)發(fā)專有的 DPI 方法，以深入了解通過(guò)其設(shè)備的每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包。隨著時(shí)間的推移，市場(chǎng)上出現(xiàn)了一些純粹的 DPI 廠商，安全公司通過(guò)授權(quán)第三方DPI引擎，不需要再繼續(xù)投資自己的引擎。

即使遷移到由 SASE、ZTNA 和 XDR 主導(dǎo)的新一代企業(yè)安全解決方案，DPI 技術(shù)對(duì)于當(dāng)今的安全仍然至關(guān)重要。安全服務(wù)邊緣（SSE）是SASE的關(guān)鍵組件，集成了多種網(wǎng)絡(luò)邊緣安全功能。SSE 功能包括通過(guò)安全 Web 網(wǎng)關(guān) (SWG) 保護(hù)網(wǎng)絡(luò)流量，通過(guò)云訪問(wèn)安全代理 (CASB) 控制和監(jiān)管對(duì)基于云的應(yīng)用程序的訪問(wèn)，以及通過(guò) ZTNA 保護(hù)私有應(yīng)用程序和資源。SSE 和 SASE 的所有這些基本功能和其他元素都需要能夠快速解析、識(shí)別和分類網(wǎng)絡(luò)流量。此外，它們依賴于圍繞已識(shí)別的應(yīng)用程序和會(huì)話生成相關(guān)元數(shù)據(jù)的能力，甚至可能執(zhí)行有效負(fù)載檢查。

舉例來(lái)看，每類解決方案中都包含 DPI技術(shù)：

SWG— DPI 是識(shí)別應(yīng)用程序以及在任何應(yīng)用程序中執(zhí)行的操作類型(例如，內(nèi)容上傳、下載)的關(guān)鍵，以便將其置于 SWG 的保護(hù)和控制之下。

CASB— DPI 可用于發(fā)現(xiàn)應(yīng)置于企業(yè)控制之下的影子 IT 應(yīng)用程序。同樣，DPI 元數(shù)據(jù)可用于構(gòu)建用戶行為配置文件來(lái)檢測(cè)異常行為。

ZTNA— DPI 用于識(shí)別需要控制的私有應(yīng)用程序，以及關(guān)于異常和惡意行為的實(shí)時(shí)信號(hào)。

XDR— DPI 可以檢測(cè)和控制對(duì)本地協(xié)議的訪問(wèn)，例如 NETBIOS/NETBIOS 命名服務(wù)和用于文件訪問(wèn)和共享的 Samba (SMB/CIFS)。同樣，DPI 可用于理解和解封裝端點(diǎn)流量的多層隧道，以進(jìn)行更深入的分析。

下一代DPI

盡管 DPI 對(duì)安全功能至關(guān)重要，但結(jié)合目前網(wǎng)絡(luò)的發(fā)展，DPI的需求也發(fā)生了變化。與最早提出DPI 解決方案時(shí)相比，企業(yè)流量現(xiàn)在至少高出兩個(gè)數(shù)量級(jí)。隨著端到端加密和 TLS 的采用，大多數(shù)流量都已加密。此外，不同應(yīng)用程序的數(shù)量呈爆炸式增長(zhǎng)，安全檢查正在從企業(yè)內(nèi)部遷移到云邊緣。這些共同的趨勢(shì)對(duì)新一代 DPI 解決方案提出了額外的要求。

無(wú)論供應(yīng)商選擇繼續(xù)開(kāi)發(fā)他們的內(nèi)部解決方案還是授權(quán)第三方庫(kù)，今天的 DPI 引擎都需要實(shí)現(xiàn)以下功能：

加密處理——即使數(shù)據(jù)保持加密狀態(tài)，下一代 DPI 也必須提供準(zhǔn)確的分類。通過(guò)使用流量模式、DNS 和其他技術(shù)以及 AI/ML，當(dāng)今行業(yè)領(lǐng)先的 DPI 引擎可以通過(guò)加密流量實(shí)現(xiàn)超過(guò) 95% 的應(yīng)用程序分類準(zhǔn)確率。

持續(xù)構(gòu)建廣泛的應(yīng)用程序庫(kù)——應(yīng)用程序的數(shù)量繼續(xù)快速增長(zhǎng)。軟件即服務(wù)提供了較低的進(jìn)入門檻并持續(xù)創(chuàng)新；下一個(gè) Figma、Canva、Box、SalesForce 和 Xero 指日可待，DPI 庫(kù)也需要跟上。

OT和 IT 的融合——?dú)v史上OT 和 IT 技術(shù)是分開(kāi)的，兩者具有不同的物理基礎(chǔ)設(shè)施， OT 使用專有和獨(dú)特的協(xié)議。但是，企業(yè)正在通過(guò)標(biāo)準(zhǔn)的基于以太網(wǎng)的有線和無(wú)線連接，將IP作為標(biāo)準(zhǔn)的第3層協(xié)議，來(lái)融合這兩種基礎(chǔ)設(shè)施。與此同時(shí)，攻擊者對(duì) OT 基礎(chǔ)設(shè)施的威脅有所增加，安全解決方案需要 DPI 技術(shù)來(lái)識(shí)別、解析和分類 OT 協(xié)議（如 PROFINET、PROFIBUS、DeviceNet、ControlNet 和 ModBus），或 MQTT等物聯(lián)網(wǎng)協(xié)議。

AI/ML 引擎的演進(jìn)——隨著流量模式的變化和應(yīng)用程序的發(fā)展，AI/ML 模型需要經(jīng)過(guò)不斷訓(xùn)練和更新以保持高精度。

持續(xù)更新規(guī)避技術(shù)——攻擊者不斷開(kāi)發(fā)新的規(guī)避技術(shù)以防止 DPI 引擎檢測(cè)到它們，DPI 引擎也需要隨之不斷進(jìn)行調(diào)整。

持續(xù)更新VPN 和其他匿名服務(wù)目錄——除了應(yīng)用程序類型之外，DPI 引擎通常為 VPN 和匿名服務(wù)提供更新的 IP 庫(kù)，這允許 DPI 引擎向安全應(yīng)用程序報(bào)告流是否正在通過(guò) VPN 運(yùn)行，從而允許安全應(yīng)用程序來(lái)確定如何最好地處理。例如，企業(yè)安全部門可能希望阻止通過(guò)不安全的匿名程序訪問(wèn)的應(yīng)用程序或者可疑的 VPN 服務(wù)等。

DPI——構(gòu)建還是購(gòu)買？

由于 TLS 的興起，TLS 解密通常與 DPI 一起部署，以方便內(nèi)容檢查或更準(zhǔn)確的分類。因此，DPI 引擎通常包含 TLS 解密功能。

協(xié)議插件更新周期

與過(guò)去一樣，一些企業(yè)選擇自己構(gòu)建引擎，將 DPI 視為戰(zhàn)略和關(guān)鍵差異化因素。這些企業(yè)可能已經(jīng)在他們的 DPI 上投資了數(shù)十年，從過(guò)去的 NGFW 廠商發(fā)展成為今天更全面的安全廠商。他們認(rèn)為持續(xù)的投資可以為他們提供差異化優(yōu)勢(shì)，從而帶來(lái)持久的投資回報(bào)。

選擇自己構(gòu)建的企業(yè)需要確保他們能夠投入持續(xù)的資源來(lái)開(kāi)發(fā)和維護(hù)他們的應(yīng)用目錄和分類技術(shù)，包括 DNS 和 IP 數(shù)據(jù)庫(kù)，以及研究 AI/ML 輔助的分類方法。鑒于威脅形勢(shì)的持續(xù)演變和應(yīng)用程序數(shù)量的不斷增加，加上托管位置（私有數(shù)據(jù)中心、公共云、邊緣站點(diǎn)）的動(dòng)態(tài)特性，開(kāi)源或許也是一個(gè)不錯(cuò)的選擇。

一些企業(yè)擔(dān)心使用開(kāi)源可能會(huì)更容易受到攻擊，因?yàn)殚_(kāi)源人人可獲取，攻擊者也可以預(yù)先研究這些開(kāi)源庫(kù)并開(kāi)發(fā)出尚未發(fā)布的零日攻擊或變通方法。更甚者攻擊者會(huì)向開(kāi)源貢獻(xiàn)代碼，暗中引入隱藏的弱點(diǎn)。不過(guò)，一些開(kāi)源組織則認(rèn)為開(kāi)源是全球范圍內(nèi)的開(kāi)發(fā)人員共同努力的結(jié)果，集眾人之長(zhǎng)，相對(duì)漏洞應(yīng)該會(huì)更少。

然而，即使利用開(kāi)源，DPI 研發(fā)團(tuán)隊(duì)也是一項(xiàng)相當(dāng)大的投資，因?yàn)樗麄內(nèi)匀恍枰櫤透滦碌膮f(xié)議和應(yīng)用程序，并且需要具有專業(yè)知識(shí)的員工。

還有的企業(yè)可能將 DPI 視為一項(xiàng)基本功能，從第三方供應(yīng)商處獲得授權(quán)。供應(yīng)商利用 DPI 引擎輸出的分類和元數(shù)據(jù)，以獨(dú)特和智能的方式尋求差異化。

對(duì)于那些考慮授權(quán)的人來(lái)說(shuō)，除了上面列出的標(biāo)準(zhǔn)之外，還需要考慮庫(kù)集成的便利性、部署形式因素(Linux容器、SDK庫(kù)、VM等)、引擎在目標(biāo)平臺(tái)上的性能和有效性(CPU或具有DPU和SmartNIC支持的CPU)、對(duì)數(shù)據(jù)平面開(kāi)發(fā)工具包(DPDK)和矢量包處理(VPP)等加速庫(kù)的支持。

除了關(guān)注產(chǎn)品功能外，供應(yīng)商還應(yīng)關(guān)注DPI供應(yīng)商的歷史和市場(chǎng)信譽(yù)，是否擁有強(qiáng)大且信譽(yù)良好的客戶群，以及他們的支持和工程服務(wù)。采用 DPI 引擎是一項(xiàng)戰(zhàn)略決策，企業(yè)必須謹(jǐn)慎行事。

安全是一個(gè)秘密的領(lǐng)域，很少有安全供應(yīng)商愿意透露他們的底層解決方案組件。一些 DPI 引擎可能提供的不僅僅是直接的協(xié)議和應(yīng)用程序識(shí)別，還可以生成有用的安全元數(shù)據(jù)，可用于更快速或更準(zhǔn)確地檢測(cè)攻擊。

最后，即使在網(wǎng)絡(luò)安全高速發(fā)展的今天，DPI 仍然很重要。無(wú)論是新興的SASE、ZTNA ，抑或是 XDR，其核心技術(shù)依舊有DPI的一席之地。然而DPI也不再是最初的DPI，隨著需求的不斷變化，新的DPI也在隨之升級(jí)。