端口識別技術是利用IP流量的端口號完成識別過程，前提流量是TCP和UDP類型報文。TCP和UDP采用16位的端口號來區分不同應用進程，端口號范圍為0~65535，其中 1~1023端口號常用。比如：HTTP協議通常使用80端口，DNS協議通常使用53號端口，SSH協議使用22號端口， Telnet協議使用23號端口， TFTP協議使用69號端口，SNMP協議使用161號端口等等，還有更多的端口號并不作為特定的協議使用，而是作為流量轉發時，相互之間交互使用。端口識別技術只檢查數據包端口號，將不同的端口流量進行甄別，并列出，從而知曉流量中都有哪些協議在應用。當然，如果是一些未定義的端口號，則認為是普通數據傳輸應用。顯然，端口識別技術僅能識別TCP和UDP類型報文，并且當業務流量使用動態端口或知名端口進行傳輸，部分數據包如ICMP報文等并沒有端口號，這類流量就無法通過端口識別技術去識別。

 

 

深度包識別技術即DPI(Deep Packet Inspection)，DPI根據協議特征簽名，對數據包的應用層數據進行深度分析，識別出相應協議，協議特征簽名通常表現為數據包出現特定字符串或特定數字。在識別過程中，還可以同時結合數據包首部信息。DPI技術叫深度識別，就是可以做到精確識別，不僅僅分析數據包的淺層信息，并且DPI識別的協議類型更多，很多數據包頭沒有明顯特征，也可以通過DPI技術識別出來。比如：一些視頻語音文件，一些流量的局部微小特征如版本號或者負載大小等。不僅流量特征，DPI還可以作為應用層網關識別和行為模式識別，這類流量已經看不出任何協議特征之處，但通過流量行為或網關識別仍能找出規律。DPI多用于網絡應用層，直接對應用進行識別。在防火墻、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有應用。DPI技術可以識別四層到七層的流量特征，從應用層面進行識別，精度高。

 

 

深度流識別技術即DFI(Deep Flow Inspection)，與DPI就差一個字，意義就不同了。DFI是一種基于對網絡流量行為檢測的識別技術，利用流的統計特征進行識別。DFI不需要訪問應用層信息，只需分析流的特征，如分析流的數據包長度規律、接入連接與連出連接的比值，上行流量與下行流量的比值等。例如：網上IP語音流量體現在流狀態上的特征就非常明顯，RTP流的包長相對固定，一般在130~220Byte，連接速率較低，為20~84kbit/s，同時會話持續時間也相對較長，基于P2P下載應用的流量模型的特點為平均包長都在450byte以上，下載時間長，連接速率高。DFI基于這一系列流量的行為特征，建立流量特征模型，鑒別應用類型。當然，絕大部分的應用這類特征并不明顯，DFI技術就無能為力了。

 

圖1列了以上三種流量識別技術的對比，各有優缺點，端口識別技術識別速度快，但能夠識別的流量類型比較有限，是二到四層的流量識別技術。DPI和DFI都是四到七層的識別技術。DPI適用于需要精細和準確識別、精細管理的環境，DFI適用于需要高效識別、粗放管理的環境。從處理速度上看，DFI識別速度快，DPI識別速度慢。從維護成本上來看，DFI維護成本低。所以，三種流量技術在識別率、準確率、實時性、可擴展性方面表現均有所不同，對于客戶要看其更注重哪個方面，然后綜合比較，再去選擇相應的流量識別技術部署。

 

 

流量識別的目標是對網絡流量按照協議、應用和WEB服務三個層次進行實時識別，盡可能做到細粒度的分類，為網絡監控提供決策參考。在流量識別的基礎上，網絡監控可以采取多種措施。例如：將占據網絡帶寬大而并不關鍵的應用進行限速，而將更多的網絡資源分給一些重要任務流量上；可以對網絡深層次進行剖析，為檢測網絡中的異常流量提供參考依據，起到防攻擊效果，其實在不少的防火墻上防攻擊的過濾功能就是基于DFI和DPI的識別技術；流量識別可以用于流量計費、提升用戶體驗和保障網絡安全方面，還可以用于日常運維，通過流量識別及早發現網絡流量異動，從而采取保障措施，確保業務不受影響。流量識別技術已經成為數據中心網絡的一項必備功能，在網絡監控中不可缺少。