5.2.2.3云环境下网络流量监控
为避免网络攻击对云系统的危害,需要在网络行为分析的基础上,根据特定的安全策略对网络流量进行审计。审计的方法可以包括:关键字、关键协议、关键数据来源等。本节主要讨论物理网络的流量监控,关于虚拟机网络监控可参见本章5.2.1小节IaaS安全。
网络流量审计主要使用深度包检测技术(DPI,deep packet inspection)和深度流检测技术(DFI,deep flow inspection)技术。
(1) DPI技术
DPI技术是一种基于应用层的流量检测和控制技术,可通过分光等方式检测网络数据流出入。当IP数据分组、TCP或UDP数据流通过基于DPI系统时,该系统通过深入读取IP分组载荷的内容来对OSI 7层协议中的应用层信
息进行重组,从而得到整个应用程序的内容。通过DPI技术分析IP报文中4~7层数据,识别业务类型、用户访问目标地址、用户接入方式、终端类型、位置等信息。
(2) DFI技术
在网络行为分析过程中,DFI技术可以作为DPI技术的补充。DFI与DPI进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同,并以此为特征量对流量进行识别。