DPI提供了网络中所有知识的总和，从中获得的洞见更有助于公司为网络创建一道不可磨灭的防线。

单纯从数据包中收集元数据，甚至进行深度包检测（Deep Packet Inspection，简称DPI）是相对容易的，但要实现全线速且跨全网的DPI却相对困难。随着信息进入网络，要实时收集有意义的上下文数据去建立已知的良好行为和跟踪异常更加困难。我们先从基于DPI的网络情报是如何理解和影响网络开始：

» 网络在本质上是所发生的事情的绝对真相。对手（Adversary）可以通过加密通道掩盖活动、更改MAC地址、欺骗或伪装IP地址、清除数据，然后模仿合法用户或掩盖不法活动。然而，数据包是不能改变的，它们包含了绝对的真相。

»对手是特别复杂和多层次的。 IDC 观察到，大约有一半的网络攻击使用超过一种的恶意软件特征。此外，攻击可以从OSI模型的第2层到第7层的任何地方发起。从数据链路事件（第2层）到应用层（第7层），任何地方都可以确定潜在的网络攻击线索。

» 网络安全工具和程序是设计为反应性和/或响应性的，在预先设定的过滤阈值超出时启动。IDS/IPS 设备用于检测对手；防火墙规则检测策略违反；端点工具检测到内存损坏或检测到异常的PowerShell命令。然而，通过分析数据包，网络情报工具可在入侵发生前收集事件信息并产生上下文数据。

» 网络情报工具是设计用来监控网络的健康状况。这个结论似乎过于简单，其实并不是。网络的作用是处理最终用户和应用之间的连接，处理包括TCP/ IP握手、HTTPS会话数据等协议。应用具有已知的性能特征，最终用户具有可预测的行为。网络性能监控（NPM）的好处是最大化网络的性能，保障更好的终端用户体验和应用的安全执行。同样重要的是，不同的NPM指标，如数据包的状态、应用延迟或抖动，也可以成为网络安全上下文数据中的失陷指标（Indicators of Compromise，简称IoC）。此外，网络有一个“黄金状态”，在这种状态下它的性能是优化的，它的实体之间的关联是固定的。如果当前的网络状态偏离了黄金状态，NPM可以很快地检测到（造成偏离的一个原因正是对手在“低和慢”的工作）。

» 网络是一根非常能反映现场的导线。在现实世界中，公司可以购买的安全工具数量有限，但如果预算允许，网络情报工具可以与端点检测和响应工具（EDR）、扩展检测和响应（XDR）、威胁情报设备、下一代防火墙（NGFW）、身份和访问管理工具（IDM）、安全信息与事件管理（SIEM）和安全协调、自动化与响应工具（SOAR），以完善告警和来自各种资源的遥测数据，产生单一版本的真相，并创建一个统一的安全工作流。

» 网络本身也在不断发展和演进。现代的网络是一个由传统数据中心、100G交换、SD-WAN以及私有云和公有云组成的复杂组合。这些现代网络需要仪器和网络情报，能够对所有区域提供持续和一致的可见性，以弥补可能隐藏着潜在威胁的可见性缺口。

释放互联网力量的真正魔力是利用数据包的能量。数据报文被设计用来启动会话、提供路由信息、携带有效负载、 对下一个包进行排队，最后终止会话。应用是数据报文的集合。简单地说，深度包检测对应该是可预测且不可改变的应用事件提供了可见性。

NPM和DPI应该被看作一个组合。NPM寻找网络性能中的故障，从而影响应用、终端用户体验和安全设备的效率。而被DPI评估过的丰富数据，可以为数据包过滤提供更强大的机制，因为DPI可以用来识别和阻止隐藏在网络数据流中的一系列复杂威胁，包括：

»透视加密数据包。在对数据包进行加密时，安全工具可能会丢失有效载荷的可见性。但是，如果将包解密作为企业内部网络架构的一个精心管理的组件，部署在云和数据中心的关键位置， DPI工具可以完全访问数据包内的所有层。

»检测数据泄露。DPI不仅可以用于入站流量，还可以用于出站网络活动。这意味着组织可以使用DPI分析来设置过滤器，以阻止外部攻击者的数据泄露尝试，或由恶意和疏忽的内部人员造成的潜在数据泄露。

图1. 研究发现，由人为疏忽导致的网络攻击占77%。DPI工具能用于分析入站和出站活动，能提早发现由恶意和疏忽的内部人员造成的潜在数据泄露。（信息来源：BCG于2021年对50起重大数据泄露的分析报告）

»发现内容策略违规。DPI提供的附加应用可见性允许组织阻止或限制对危险或未经授权的应用（如点对点下载程序）的访问。同样的，DPI的深入分析，为组织阻断违反政策的行为，或防止在公司批准的应用中进行未经授权的数据访问，开辟了道路。

»检测命令与控制通信（C2通信）。对手一般会通过接管机器来窃取数据或启动僵尸软件（Botware），当然，未经允许接管机器本身就是违法行为。C2通信路由让威胁来源的发现变得复杂，而且就像加密数据包一样，C2通信活动可能看起来并不异常，但是，DPI可以揭示“低和慢“的C2通信活动的证据特征。

» NetFlow的可见性有限。NetFlow协议提供的信息，如入站接口（SNMP）、源IP地址、目的IP地址和IP 协议是有帮助的，但无法提供足够的可见性。另一个相关并且值得注意的问题是，有些环境无法部署EDR代理，例如物联网（IoT）和公有云环境。DPI却不论在任何安全层面都可以被广泛使用。

DPI功能的发展，克服了传统安全检查系统依赖于状态性的包检查的局限性。DPI分析提供的额外可见性有助于IT 团队执行更全面和详细的网络安全策略。

让DPI网络情报闪亮的应用场景

上面重点讨论了DPI作为加强网络检测和响应以及网络用户行为分析的功能，换句话说，就是利用网络来执行合规或检测IOC或帮助安全运营中心（SOC）调查和处理的方法。

DPI有直接的效益，也加添了长期的取证和战术优势。可扩展的DPI智能地从报文中实时提取OSI 2-7 层的元数据，元数据和数据包被智能地存储在本地并建立索引（而不是移动到云上），以支持快速和长期（例如，回溯到一年前）的威胁检测与调查。在入侵点，网络情报系统必须提供攻击前、期间和之后的持续性并可扩展的数据包捕获。

我们希望取证分析是简单的，但实际上并不是。如果SOC团队可以使用一条直线来确定告警是良性的、是跟网络相关的，还是一件安全事件，那么他们肯定会用上它。此外，告警只指示网络上某个时间点上发生的事情，然而，要弄清楚到底已经造成了什么伤害，具体哪个是目标，对手的动机是什么，攻击面可能是什么（以及如何减少它），都需要额外的工作和洞察力。DPI可以通过以下方法缩短这些过程：

»数字还原能力。在一次雨刷攻击（WiperAttack）中，对手可能会开始尝试清除日志、解除安全工具、并积极地避开沙箱。然而，对手无法更改进出的数据包。如果数据包被解析开，攻击者使用的有效负载及操作方法就无所遁形。

»网络的网络。由DPI驱动的安全方式的一个很好的功能是，它可以利用其他网络中发现的模式来找出每个网络中的IoC。匿名数据可以帮助检测其他攻击（以及分布式拒绝服务DDoS活动）中对手的模式，并主动将之应用到本地网络检测中。

»取证能力。DPI不仅仅是日志、元数据和报文。在事件发生之前、期间和之后可以产生关联分析；反过来，SOC团队可以访问高分辨率的历史证据，回到过去，了解攻击是如何开始的，以防范类似的入侵并停止正在发生中的恶意活动。此外，SecOps团队可以监控基础设施内暴露的攻击面，对已部署的防御进行效能优化。

»在多种环境中具有卓越的可见性。从许多公司转向云环境来看，云的效益显而易见。为了保持对网络和资产控制的同时获得这些效益，企业需要将现有网络功能扩展到新的云环境的解决方案。在传统局域网络中，TAP（测试访问点）这种物理设备串接到网络链路中，它可以保证安全监控设备以线速能力复制包数据。公有云的提供商，如AWS、Azure和谷歌云平台现在拥有相当于TAP的能力，公有云中的流量镜像技术提供了相同的功能。仿效NPM的理念，目前一个适当的云TAP部署能让SOC在混合和多云环境中具有实时的可见性。

» 零信任网络原则。所有零信任的营销策略，前提很简单，A不能相信B。握手、身份验证和互联网协议现在为A可以相信B创造了条件。但是，A和B双方还必须有一个分析后端，以考虑多种环境，包括多云和虚拟机。同样，使用单一的NPM平台允许NetOps团队应用适当的策略来实施零信任安全架构，并验证策略和架构是否按照设计的那样工作。

NETSCOUT对DPI技术的应用

Omnis CyberStream网络传感器最重要的能力之一是，它可以以高达100Gbps的速度连续捕获完整的数据包。这是CyberStream与其他厂商的网络传感器的重大区别，后者在检测到威胁后才开始捕获数据包并使用数据包切片，或使用其它完整性较差的数据（如NetFlow）。CyberStream结合使用NETSCOUT ASI技术及索引和压缩技术来创建一个强劲的2-7层元数据集，NETSCOUT称之为“智能数据”。智能数据存储在本地的CyberStream 传感器上（存储容量达数百TB）。

使用Omnis Cyber Intelligence的优势在于，通过提供对底层流量的实时颗粒度分析，使用者可以无缝高效地为云流量提供与On-premises本地的流量相同的流量管理、安全性和监控策略，即在云环境中也具有与传统数据中心相同的功能。

对于网络和安全操作，NETSCOUT的技术可以将大容量的网络流量实时转换为高度结构化、多维的元数据，即“智能数据”（见图3）。vSTREAM传感器为云和虚拟化环境提供了CyberStream设备的全部功能。 vSTREAM传感器可以作为云环境中的实例部署，也可以作为hypervisor中的虚拟机部署。此外，传感器可以作为公有云的实例实现，包括AWS、Azure、GCP和Oracle云基础设施。

图3. 面向企业网络中所有表面可见性的Omnis Cyber Intelligence架构

在网络环境中，用户体验和应用安全可能会发生冲突。如果没有适当的经验，日志数据和应用洞察分析之间的差距很大。随着DPI提供的强大可见性，网络安全设备可以更多地了解在网络上运行的实际应用、传递的信息以及这些信息是否适合于所使用的协议和预期的目的地。这让信任区域中流量的重新路由，比早期实施的隐式“拒绝所有入站”和“允许所有出站”的访问控制，更有效地实现一个精细的零信任策略网络。通过在电信和各个垂直行业（医疗保健提供商、金融科技等）长期积累的经验，NETSCOUT可以快速识别正在运行的应用以及每个会话中的预期标准体验值（延迟、路由等）。

NETSCOUT的ASI利用对网络事件的洞察来揭示网络异常和IoC。图4解释了ASI技术提供了什么类型的可见性来理解正常和异常行为。

图4. 自适应服务智能的架构

Omnis Cyber Intelligence 和ASI技术的技术组件强调了NETSCOUT为客户提供的目标。如前所述，使用DPI作为支撑和统一的Omnis Cyber Intelligence平台，NETSCOUT提供了一种它称之为“可视性无边界”的能力。DPI 触发了“智能检测”，对应用中出现的变化进行线速分析及提供可见性，增强的数据帮助SOC确定要调查哪些应用。在一个应用中，例如域名系统（DNS）会话，服务器可能需要更长的时间来响应，或者 DNS包的大小已经增长，这都意味着可能的DNS隧道。基于DPI的Omnis Cyber Intelligence可以检测到正在发生的事情。

NETSCOUT网络性能监控所产生的协同效应带来了一系列的效益，这不仅仅包括威胁检测和应用保证。重要的能力包括：

»NETSCOUT提供的安全能力是“风起于青萍之末，浪成于微澜之间”。在活动变成事件之前，SOC建立正常的操作监控，对可疑活动发出警报，然后确认事件已被检测，告警机制包括早期预警和持续的攻击面监控。如果确实发生了攻击或疑似攻击，SOC可以启动接触者追踪，并对2-7层元数据或数据包进行回溯调查。

»NETSCOUT促进安全和ITOps团队的整合，并放大他们的协作效益。安全和ITOps的联手以几种不同的方式表现。网络本身在满负荷前运行得最好。如果应用很慢或者用户体验很差，通常需要某种类型的负载平衡。如果安全设备的容量达到最大，它们要么丢包，要么允许不受监控的活动进入。可观察性和持续性监控不是同一件事，但肯定是亲兄弟。实施关键性能指标（KPI）对网络和安全性都有好处。

»NETSCOUT可以启动智能缓解。Omnis Cyber Intelligence评估安全态势，通过与领先的SIEM、SOAR和 NGFW平台的集成有助于安全团队的衔接，并阻止对手的下一步行动。Omnis Cyber Intelligence还可以通过Omnis Arbor Edge Defense（AED）防御解决方案在网络边缘支配缓解措施，以阻止入站和出站威胁。Omnis Cyber Intelligence旨在这些安全栈中发挥作用，包括将NETSCOUT智能数据导出到第三方数据湖的能力，让安全分析师能结合其他安全数据集来丰富信息，进行自定义分析。

» NETSCOUT 帮助未来的网络验证。不断变化的、崭新的环境在我们眼前诞生——拥有专有操作系统的IoT/OT场景、5G网络和元宇宙。在这些环境中，网络的原基础变得更加重要。NETSCOUT平台随着网络的演进一起发展。

本文描述了网络和安全之间的共生关系。然而，对于NETSCOUT来说，丰富的内容、网络性能和应用保证是达到目的的一种手段。对于NETSCOUT而言，它已经管理了最复杂的网络超过20年，真正的目标是为网络和安全专业人士提供卓越的工具和洞见，让他们能够保护他们公司的资产。NETSCOUT的Omnis Cyber Intelligence平台和技术旨在确保一致的SOC分析师体验，并创建一个分析流程，以达到更快的检测，安全的提高，更好的缓解，并改善未来的安全态势。

总结

每个攻击面共同的是不起眼的数据包。DPI作为网络安全检测和响应的四分卫，然后移交给取证调查和补救似乎是合乎逻辑的。SOC越快地将日志和数据包融入到应用、用户和网络统计常态，安全的可观察性就越强。DPI能够创建基于网络的可操作的元数据，以增加洞见和日志上下文（所有安全设备都会生成日志），帮助调查人员找到唯一的真相来源。实现对网络或混合云的可见性也是一项艰巨的任务。拥有能够为任何网络环境（例如，传统数据中心或混合云）带来同样效益的设备，是当今网络安全的基本要求。此外，虽然对手很狡猾，但数据包分析中包含的信息类型是不可变的，因此仍然是提供真相的来源。

网络性能监控NPM和深度包检测DPI的结合，增强了其他SOC工具，并简化了工作流程。具体来说，NETSCOUT CyberStream网络传感器为数据包的可观察性提供了适当的工具和设备。不仅如此，NETSCOUT还利用它在处理最复杂的网络方面的丰富经验来促进对应用、网络性能和安全性的可见性。