网络安全
深度包检测(DPI)
别称: DPI, 内容检测
定义
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
深度包检测(DPI)在 IP、TCP/UDP 头部之外继续解析应用层协议(HTTP、DNS、SMB、TLS 元数据等),以识别真实的应用或内容。它是应用感知防火墙、IPS、NDR、反恶意软件网关和流量整形工具的核心,对于发现协议滥用、数据外泄和基于特征的威胁至关重要。由于现代流量大量采用 TLS 加密,DPI 通常需要与 TLS 拦截或基于元数据的方法(JA3、JA4、证书指纹、流量分析)结合使用。在部署时,需要在安全收益与隐私、性能以及关于检查用户内容的法律法规要求之间取得平衡。
示例
- IPS 通过对 HTTP 流量中的特征匹配检测到 Cobalt Strike 信标。
- NGFW 即使流量走 TCP/443,也能借助 DPI 将其识别为 Zoom 或 YouTube。
相关术语
下一代防火墙(NGFW)
在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
包过滤
一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
SSL 剥离
一种中间人攻击,悄悄将受害者的 HTTPS 连接降级为明文 HTTP,使攻击者能够读取并篡改流量。