XAI是下一代应用识别技术的发展方向。我想更全面地解释一下XAI,从应用识别技术的发展开始。
端口识别:
应用程序识别最初依赖于端口识别。例如,对于网页,识别80端口作为网页的特征,相应的堵塞也依赖于端口。作为路由器或防火墙的辅助功能,网络管理者长期管理应用程序***手段。
但随着IT随着技术的普及和应用的爆炸性发展,越来越不依赖端口。对于网页来说,就像QQ也在使用80口,而迅雷随机占用大量端口。
DPI:
此时,不依赖端口的应用识别技术应运而生。DPI,它通过检测包中的特殊字段来确定应用程序,这更准确。以网页应用程序为例,如果在数据包中存在http和website可以判断这个应用是字段http网页访问。
原本做到这样就足以满足网络管理者对应用管理的需求。可是,随着以VOIP和P2P以加密应用为代表,DPI在这些包中无法检测到明文字段。
DFI:
由此引发了DFI随着技术的出现,其工作原理是根据流特性来判断应用。如下表所示,不同应用程序的流特性存在许多差异。通过识别对流特性,可以识别应用程序。
流量特征
VOIP
P2P
数据包大小
130-220 byte
>1000byte
传输速率
20-90kbit/s
视带宽而定
连接持续时间
较长
较长
连接目标地址
单一目标地址
多个目标地址
所用协议
主要是UDP
主要是TCP
随着应用层管理技术的深入,作为应用层管理技术基础的应用识别技术也迎来了新时代。也就是说,XAI(extensive application inspection),也就是说,综合应用识别技术。它不满足于只知道应用程序是什么,而是更深入地知道应用程序在做什么。QQ,DPI只知道在用QQ;但XAI知道是在用QQ聊天,还在用QQ传文件。#p#
XAI:
识别是许多应用层管理手段的基础,如审计或控制。传统的识别只包括应用程序识别和用户识别。XAI我们所做的就是扩大识别的基础。这样,上层建筑就可以做更多的事情。包括应用识别、应用元信息分析识别、拓扑识别和用户识别。
传统识别领域已经存在了应用识别和用户识别。应用元信息分析识别和拓扑识别是传统识别范围的扩展。
应用元信息分析识别是指基于应用的信息和内容层次的描述信息。例如,文件名和后缀名、视频类型、VOIP参数、数据库操作等。
例如,应用程序识别相当于识别一个人是谁;应用程序元信息是指他穿什么衣服、身高、体重、身体特征等信息。在此基础上,我们可以根据他穿的衣服看起来不错,所以我们可以拍照来推广;他很高,所以我们可以选择模型和其他深度操作。如果你只知道是谁,这些都做不到。
拓扑识别是挖掘流量中位置等拓扑信息。有了拓扑识别,我们可以进行拓扑分析等高层次的分析和操作。
实际上,通过流量信息中的拓扑识别,可以识别移动网络等蜂窝WLAN节点、NAT在此基础上,拓扑分析可以绘制整个移动网络的蜂窝结构,WLAN网络结构,NAT用户结构信息等。
就像苹果的PAD一样,PAD它提供了重力感应、光学感应、多点触摸等,并在此基础上增加了各种应用。XAI也是一个平台,甚至可以说平台有多好,上层建筑的潜力有多大。
现在XAI例如QQ上传文件、WLAN识别节点信息就像窥豹。冰山一角后面的庞然大物,如果露出水面,必然会让座位大吃一惊。