DPI，深度包解析技術，是一種能夠對OSI網絡模型中的最高層——應用層信息進行識別、檢測的技術。如果把流量中的數據包比作包裹，DPI技術就是X光，是“安檢儀”類的網關設備必備的核心技術。

上網行為管理就是這么一款典型的依賴于應用層信息提供管理價值的網絡設備：要判斷用戶的使用的應用是否合規、用戶瀏覽的網頁是否違法、外發的文件是否涉密，歸其根本，我們需要知道用戶是誰、在使用什么應用、在訪問什么類型的網站、外發了什么內容的文件。之后，或根據應用、網站、文件類型，或根據內容關鍵字，我們制定策略，分而治之，阻斷也好，告警也罷，一個上網行為管控的框架就可以搭建起來了。

所以，能夠在流量中識別用戶、應用、內容的關鍵——DPI技術，顯然是上網行為管理的基石。如何判斷產品DPI實力的強弱?秉要執本，抓住關鍵幾點即可：

應用特征數據庫的完整性與細粒度

機場安檢儀斷一個物件有無危險性是通過查看這個物件是否“長得”像一把槍，或者一把匕首。同樣，DPI識別一個應用也是依據他的流量特征——某個協議、在包頭的某個位置、必然會出現的某個字段。隨后，上網行為管理需要將流量特征與自己的數據庫記錄的特征進行比對，判斷種類。

很明顯，上網行為管理的特征數據庫是否足夠完整，很大程度影響應用的識別準確率。那么協議數量達到多少算完整呢?合格的上網行為管理一般在2000左右，達到4000的都是有多年積累的專業“尖子生”。

另外，雖然有不少用戶喜歡“小而美”的互聯網應用，但不可否認“大而全”是今天APP的主流。如何準確識別用戶在一個應用下不同行為，幫助客戶實現“只能QQ聊天而禁止QQ文件傳輸”等保密需求，也是上網行為管理專業性的門檻之一。

高逃逸性應用的識別機制

應用流量特征不能解決所有問題，尤其是在APP越來越傾向于共用一種協議的時候，上網行為管理很可能會犯錯。例如，VPN是翻墻軟件常用的協議，由于其應用層加密特性，普通上網行為管理的流量記錄里會將“自由門”之類的軟件標示為VPN。

專業的上網行為管理必須具有對“自由門”這類高逃逸性應用進行識別的能力，一線廠商主要采用的是應用行為特征識別技術：自由門等翻墻軟件在啟用后會向國外特定IP發起試探性鏈接，來檢測對端服務器地址是否可用，在輪詢到某個可用地址后，才會建立VPN隧道。而如何及時發現與這些行為特征就得看廠商的實力與積累了。

網頁自動分類技術

對網站訪問進行分類管控是上網行為管理最常用的功能。但網頁浩如煙海，如何準確判斷一個網頁的主要內容?自動爬蟲+人工分類是傳統上網行為管理一直采用的方法。然而，分類效率的低下使得大多數廠商的URL分類庫停留在數十萬至百萬之間。

但專業的產品總有專業的解決方案：網頁自動分類技術是網康的核心專利之一，通過分析一個網頁的關聯URL，建立“網頁關聯拓撲”，發現更多相鄰網頁的URL;并能夠自動根據URL的路徑、命名來判斷關聯URL的分類，確定這些URL審計價值。

所以，網康之所以能夠迅速積累數千萬的URL分類庫，頻頻在項目競爭中宣稱URL管控具有極高準確性的底氣也來源于此。

結語

DPI是上網行為管理安身立命的基石。“產品是否專業，DPI拉出來溜溜”。因此，如果您的場景復雜、需求多樣，不妨把握住關鍵脈絡，去試試哪款產品最專業。