5.2.2.3云環境下網絡流量監控

為避免網絡攻擊對云系統的危害，需要在網絡行為分析的基礎上，根據特定的安全策略對網絡流量進行審計。審計的方法可以包括：關鍵字、關鍵協議、關鍵數據來源等。本節主要討論物理網絡的流量監控，關于虛擬機網絡監控可參見本章5.2.1小節IaaS安全。

網絡流量審計主要使用深度包檢測技術(DPI，deep packet inspection)和深度流檢測技術(DFI，deep flow inspection)技術。

(1) DPI技術

DPI技術是一種基于應用層的流量檢測和控制技術，可通過分光等方式檢測網絡數據流出入。當IP數據分組、TCP或UDP數據流通過基于DPI系統時，該系統通過深入讀取IP分組載荷的內容來對OSI 7層協議中的應用層信

息進行重組，從而得到整個應用程序的內容。通過DPI技術分析IP報文中4～7層數據，識別業務類型、用戶訪問目標地址、用戶接入方式、終端類型、位置等信息。

(2) DFI技術

在網絡行為分析過程中，DFI技術可以作為DPI技術的補充。DFI與DPI進行應用層的載荷匹配不同，采用的是一種基于流量行為的應用識別技術，即不同的應用類型體現在會話連接或數據流上的狀態各有不同，并以此為特征量對流量進行識別。