Hluboká inspekce paketů (DPI)je technologie používaná v síťových paketových makléřích (NPBS) ke kontrole a analýze obsahu síťových paketů na granulární úrovni. Zahrnuje zkoumání užitečného zatížení, záhlaví a dalších informací o protokolu v rámci paketů, aby se získalo podrobné informace o síťovém provozu.
DPI jde nad rámec jednoduché analýzy záhlaví a poskytuje hluboké porozumění datům proudícím prostřednictvím sítě. Umožňuje hloubkovou kontrolu protokolů protokolů HTTP, FTP, SMTP, SMTP, VoIP nebo Video streamingové protokoly. Zkoumáním skutečného obsahu v paketech může DPI detekovat a identifikovat konkrétní aplikace, protokoly nebo dokonce specifické vzory dat.
Kromě hierarchické analýzy zdrojových adres, cílových adres, zdrojových portů, cílových portů a typů protokolů, DPI také přidává analýzu aplikačních vrstev k identifikaci různých aplikací a jejich obsahu. Když systém 1P paket, TCP nebo UDP tok dat prostřednictvím systému správy šířky pásma založený na technologii DPI, systém čte obsah 1P paketu zatížení, aby reorganizoval informace o aplikační vrstvě v protokolu OSI vrstvy 7, aby se získal obsah celého aplikačního programu, a poté formoval provoz podle zásady správy definované systémem.
Jak funguje DPI?
Tradiční firewally často postrádají zpracovatelskou sílu pro provádění důkladných kontrol v reálném čase na velkých objemech provozu. Jak postupuje technologie, lze DPI použít ke kontrole složitějších kontrol ke kontrole záhlaví a dat. Obvykle firewally se systémy detekce narušení často používají DPI. Ve světě, kde jsou digitální informace prvořadé, je každý kus digitálních informací dodáván přes internet v malých paketech. To zahrnuje e -mail, zprávy odeslané prostřednictvím aplikace, navštívené webové stránky, video konverzace a další. Kromě skutečných dat tyto pakety zahrnují metadata, která identifikují zdroj provozu, obsah, cíl a další důležité informace. S technologií filtrování paketů lze data nepřetržitě monitorovat a spravovat, aby byla zajištěna, že je předána na správné místo. Pro zajištění zabezpečení sítě však tradiční filtrování paketů zdaleka není dost. Níže jsou uvedeny některé z hlavních metod inspekce hlubokého paketu ve správě sítě:
Režim odpovídající/podpis
Každý paket je zkontrolován na shodu proti databázi známých síťových útoků pomocí brány firewall se schopnostmi systému detekce narušení (IDS). IDS vyhledává známé škodlivé specifické vzorce a deaktivuje provoz, když jsou nalezeny škodlivé vzory. Nevýhodou politiky porovnávání podpisů je to, že se vztahuje pouze na podpisy, které jsou často aktualizovány. Tato technologie se navíc může bránit pouze proti známým hrozbám nebo útokům.
Výjimka protokolu
Vzhledem k tomu, že technika výjimky protokolu neumožňuje jednoduše všechna data, která neodpovídají databázi podpisu, technika výjimky protokolu používaná bránou brány IDS nemá přirozené nedostatky metody porovnávání vzorů/podpisu. Místo toho přijímá výchozí politiku odmítnutí. Podle definice protokolu se firewally rozhodují o tom, jaký provoz by měl být povolen, a chránit síť před neznámými hrozbami.
Systém prevence narušení (IPS)
Řešení IPS mohou blokovat přenos škodlivých paketů na základě jejich obsahu, čímž zastaví podezření na útoky v reálném čase. To znamená, že pokud paket představuje známé bezpečnostní riziko, IPS bude aktivně blokovat síťový provoz na základě definované sady pravidel. Jednou z nevýhod IPS je potřeba pravidelně aktualizovat databázi kybernetických hrozeb s podrobnostmi o nových hrozbách a možnosti falešných pozitiv. Toto nebezpečí však lze zmírnit vytvořením konzervativních politik a vlastních prahů, stanovením vhodného základního chování pro síťové komponenty a pravidelným hodnocením varování a vykazovanými událostmi pro zlepšení monitorování a upozornění.
1- DPI (Inspekce hlubokého paketu) v síťovém makléři
„Hluboká“ je srovnání úrovně a běžné analýzy paketů, „běžná inspekce paketů“ pouze následující analýza vrstvy IP paketu 4, včetně zdrojové adresy, cílové adresy, zdrojového portu, cílového portu a typu protokolu a DPI, s výjimkou hierarchické analýzy, také zvýšila analýzu vrstvy aplikací, identifikovala různé aplikace a obsah, aby bylo možné realizovat hlavní funkce:
1) Analýza aplikací - Analýza složení síťového provozu, analýza výkonu a analýza toku
2) Analýza uživatelů - diferenciace skupiny uživatelů, analýza chování, analýza terminálu, analýza trendů atd.
3) Analýza prvků sítě - Analýza založená na regionálních atributách (město, okres, ulice atd.) A základny základny
4) Ovládání provozu - Omezení rychlosti P2P, ujištění QoS, zajištění šířky pásma, optimalizace síťových zdrojů atd.
5) Zajištění zabezpečení - útoky DDOS, datová vysílání bouře, prevence škodlivých útoků virů atd.
2- Obecná klasifikace síťových aplikací
Dnes je na internetu nespočet aplikací, ale běžné webové aplikace mohou být vyčerpávající.
Pokud vím, nejlepší společnost pro rozpoznávání aplikací je Huawei, která tvrdí, že rozpozná 4 000 aplikací. Analýza protokolu je základní modul mnoha firewall společností (Huawei, Zte atd.) A je to také velmi důležitý modul, který podporuje realizaci dalších funkčních modulů, přesnou identifikaci aplikací a výrazně zlepšuje výkon a spolehlivost produktů. Při modelování identifikace malwaru založeného na charakteristikách síťového provozu, jak to dělám nyní, je také velmi důležitá přesná a rozsáhlá identifikace protokolu. S výjimkou síťového provozu běžných aplikací z exportního provozu společnosti bude zbývající provoz představovat malou část, což je lepší pro analýzu malwaru a poplach.
Na základě mých zkušeností jsou stávající běžně používané aplikace klasifikovány podle jejich funkcí:
PS: Podle osobního porozumění klasifikaci aplikací máte nějaké dobré návrhy vítány k ponechání návrhu zprávy
1). E-mail
2). Video
3). Hry
4). Kancelář OA třídy
5). Aktualizace softwaru
6). Finanční (banka, Alipay)
7). Zásoby
8). Sociální komunikace (software IM)
9). Procházení webu (pravděpodobně lépe identifikováno s adresami URL)
10). Stahování nástrojů (webový disk, stahování P2P, BT související)
Poté, jak DPI (Deep Packet Inspection) funguje v NPB:
1). Zachycení paketů: NPB zachycuje síťový provoz z různých zdrojů, jako jsou přepínače, směrovače nebo kohoutky. Přijímá pakety protékající síť.
2). Pájecí analýza: Zachycené pakety jsou analyzovány NPB pro extrahování různých vrstev protokolu a souvisejících dat. Tento proces analýzy pomáhá identifikovat různé komponenty v paketech, jako jsou záhlaví Ethernetu, záhlaví IP, záhlaví přepravy (např. TCP nebo UDP) a protokoly aplikačních vrstev.
3). Analýza užitečného zatížení: S DPI NPB přesahuje kontrolu záhlaví a zaměřuje se na užitečné zatížení, včetně skutečných dat v paketech. Zkoumá podrobný obsah užitečného zatížení, bez ohledu na použitý aplikační nebo protokol, k extrahování relevantních informací.
4). Identifikace protokolu: DPI umožňuje NPB identifikovat specifické protokoly a aplikace používané v síťovém provozu. Může detekovat a klasifikovat protokoly, jako jsou protokoly HTTP, FTP, SMTP, DNS, VoIP nebo Video.
5). Inspekce obsahu: DPI umožňuje NPB kontrolovat obsah paketů pro konkrétní vzory, podpisy nebo klíčová slova. To umožňuje detekci síťových hrozeb, jako je malware, viry, pokusy o narušení nebo podezřelé činnosti. DPI lze také použít pro filtrování obsahu, prosazování zásad sítě nebo identifikaci porušení dodržování dat.
6). Extrakce metadat: Během DPI extrahuje NPB relevantní metadata z paketů. To může zahrnovat informace, jako jsou zdrojové a cílové adresy IP, čísla portu, podrobnosti o relaci, transakční data nebo jiné relevantní atributy.
7). Směrování provozu nebo filtrování: Na základě analýzy DPI může NPB směrovat specifické pakety do určených destinací pro další zpracování, jako jsou bezpečnostní spotřebiče, monitorovací nástroje nebo analytické platformy. Může také použít pravidla filtrování k vyřazení nebo přesměrování paketů na základě identifikovaného obsahu nebo vzorů.
Čas příspěvku:-25-2023
