Identifikace aplikace Network Packet Broker na základě DPI – Deep Packet Inspection

Hluboká kontrola paketů (DPI)je technologie používaná v Network Packet Brokers (NPB) ke kontrole a analýze obsahu síťových paketů na granulární úrovni. Zahrnuje zkoumání užitečného zatížení, hlaviček a dalších informací specifických pro protokol v rámci paketů, abyste získali podrobné informace o síťovém provozu.

DPI přesahuje jednoduchou analýzu hlaviček a poskytuje hluboké porozumění datům procházejícím sítí. Umožňuje hloubkovou kontrolu protokolů aplikační vrstvy, jako jsou HTTP, FTP, SMTP, VoIP nebo protokoly pro streamování videa. Zkoumáním skutečného obsahu v paketech může DPI detekovat a identifikovat konkrétní aplikace, protokoly nebo dokonce specifické datové vzory.

Kromě hierarchické analýzy zdrojových adres, cílových adres, zdrojových portů, cílových portů a typů protokolů přidává DPI také analýzu aplikační vrstvy k identifikaci různých aplikací a jejich obsahu. Když paket 1P, TCP nebo UDP protéká systémem správy šířky pásma založeným na technologii DPI, systém čte obsah zatížení paketů 1P, aby reorganizoval informace aplikační vrstvy v protokolu OSI Layer 7 tak, aby získal obsah celý aplikační program a poté tvarování provozu podle politiky správy definované systémem.

Jak funguje DPI?

Tradičním firewallům často chybí výpočetní výkon k provádění důkladných kontrol velkých objemů provozu v reálném čase. Jak technologie postupuje, DPI lze použít k provádění složitějších kontrol pro kontrolu záhlaví a dat. Firewally se systémy detekce narušení obvykle používají DPI. Ve světě, kde je nejdůležitější digitální informace, je každá digitální informace dodávána přes internet v malých balíčcích. To zahrnuje e-maily, zprávy odeslané prostřednictvím aplikace, navštívené webové stránky, videokonverzace a další. Kromě skutečných dat tyto pakety obsahují metadata, která identifikují zdroj provozu, obsah, cíl a další důležité informace. Díky technologii filtrování paketů lze data nepřetržitě monitorovat a spravovat, aby bylo zajištěno, že budou předána na správné místo. K zajištění bezpečnosti sítě však tradiční filtrování paketů zdaleka nestačí. Některé z hlavních metod hloubkové kontroly paketů ve správě sítě jsou uvedeny níže:

Režim shody/podpis

Každý paket je kontrolován na shodu s databází známých síťových útoků firewallem s funkcemi systému detekce narušení (IDS). IDS vyhledává známé škodlivé specifické vzory a zakáže provoz, když jsou nalezeny škodlivé vzory. Nevýhodou zásady párování podpisů je, že se vztahuje pouze na podpisy, které jsou často aktualizovány. Navíc se tato technologie dokáže bránit pouze proti známým hrozbám nebo útokům.

DPI

Výjimka protokolu

Protože technika výjimek protokolu jednoduše neumožňuje všechna data, která se neshodují s databází podpisů, technika výjimek protokolu používaná firewallem IDS nemá přirozené nedostatky metody porovnávání vzorů/podpisů. Místo toho přijme výchozí politiku odmítnutí. Podle definice protokolu firewally rozhodují o tom, jaký provoz by měl být povolen, a chrání síť před neznámými hrozbami.

Systém prevence narušení (IPS)

Řešení IPS mohou blokovat přenos škodlivých paketů na základě jejich obsahu, čímž v reálném čase zastaví podezřelé útoky. To znamená, že pokud paket představuje známé bezpečnostní riziko, IPS bude proaktivně blokovat síťový provoz na základě definované sady pravidel. Jednou nevýhodou IPS je nutnost pravidelně aktualizovat databázi kybernetických hrozeb s podrobnostmi o nových hrozbách a možnost falešných poplachů. Toto nebezpečí však lze zmírnit vytvořením konzervativních zásad a vlastních prahových hodnot, stanovením vhodného základního chování pro síťové komponenty a pravidelným vyhodnocováním varování a hlášených událostí za účelem zlepšení monitorování a upozornění.

1- DPI (Deep Packet Inspection) v Network Packet Broker

"Hluboké" je srovnání úrovně a běžné analýzy paketů, "běžná kontrola paketů" pouze následující analýza IP paketu 4 vrstvy, včetně zdrojové adresy, cílové adresy, zdrojového portu, cílového portu a typu protokolu a DPI s výjimkou hierarchického analýza, také zvýšila analýzu aplikační vrstvy, identifikovala různé aplikace a obsah, aby bylo možné realizovat hlavní funkce:

1) Analýza aplikací -- analýza složení síťového provozu, analýza výkonu a analýza toků

2) Uživatelská analýza -- diferenciace uživatelských skupin, analýza chování, terminálová analýza, analýza trendů atd.

3) Analýza síťových prvků -- analýza založená na regionálních atributech (město, okres, ulice atd.) a vytížení základnových stanic

4) Řízení provozu - omezení rychlosti P2P, zajištění QoS, zajištění šířky pásma, optimalizace síťových zdrojů atd.

5) Zabezpečení zabezpečení – útoky DDoS, bouře vysílání dat, prevence útoků škodlivých virů atd.

2- Obecná klasifikace síťových aplikací

Dnes je na internetu nespočet aplikací, ale běžné webové aplikace mohou být vyčerpávající.

Pokud vím, nejlepší společností pro rozpoznávání aplikací je Huawei, která tvrdí, že rozpoznává 4000 aplikací. Protokolová analýza je základním modulem mnoha firewallových firem (Huawei, ZTE atd.) a je také velmi důležitým modulem, podporujícím realizaci dalších funkčních modulů, přesnou identifikaci aplikací a výrazně zlepšující výkon a spolehlivost produktů. Při modelování identifikace malwaru na základě charakteristik síťového provozu, jak to dělám nyní, je také velmi důležitá přesná a rozsáhlá identifikace protokolu. Po vyloučení síťového provozu běžných aplikací z exportního provozu společnosti bude zbývající provoz tvořit malý podíl, což je lepší pro analýzu malwaru a alarm.

Na základě mých zkušeností jsou stávající běžně používané aplikace klasifikovány podle jejich funkcí:

PS: Podle osobního chápání klasifikace aplikací máte nějaké dobré návrhy, uvítáme zanechat návrh zprávy

1). E-mail

2). Video

3). Hry

4). Třída Office OA

5). Aktualizace softwaru

6). Finanční (banka, Alipay)

7). Zásoby

8). Sociální komunikace (IM software)

9). Procházení webu (pravděpodobně lépe identifikovatelné pomocí URL)

10). Nástroje pro stahování (webový disk, stahování P2P, související s BT)

20191210153150_32811

Jak potom funguje DPI (Deep Packet Inspection) v NPB:

1). Packet Capture: NPB zachycuje síťový provoz z různých zdrojů, jako jsou přepínače, směrovače nebo odbočky. Přijímá pakety procházející sítí.

2). Analýza paketů: Zachycené pakety jsou analyzovány NPB za účelem extrahování různých protokolových vrstev a souvisejících dat. Tento proces analýzy pomáhá identifikovat různé komponenty v paketech, jako jsou ethernetové hlavičky, IP hlavičky, hlavičky transportní vrstvy (např. TCP nebo UDP) a protokoly aplikační vrstvy.

3). Analýza užitečného zatížení: S DPI překračuje NPB kontrolu záhlaví a zaměřuje se na užitečné zatížení, včetně skutečných dat v paketech. Zkoumá obsah užitečného zatížení do hloubky, bez ohledu na použitou aplikaci nebo protokol, aby získal relevantní informace.

4). Identifikace protokolu: DPI umožňuje NPB identifikovat specifické protokoly a aplikace používané v rámci síťového provozu. Dokáže detekovat a klasifikovat protokoly jako HTTP, FTP, SMTP, DNS, VoIP nebo protokoly pro streamování videa.

5). Kontrola obsahu: DPI umožňuje NPB kontrolovat obsah paketů na konkrétní vzory, podpisy nebo klíčová slova. To umožňuje detekci síťových hrozeb, jako je malware, viry, pokusy o narušení nebo podezřelé aktivity. DPI lze také použít pro filtrování obsahu, vynucování síťových zásad nebo identifikaci porušení souladu s daty.

6). Extrakce metadat: Během DPI NPB extrahuje relevantní metadata z paketů. To může zahrnovat informace, jako jsou zdrojové a cílové IP adresy, čísla portů, podrobnosti o relacích, transakční data nebo jakékoli další relevantní atributy.

7). Směrování nebo filtrování provozu: Na základě analýzy DPI může NPB směrovat konkrétní pakety do určených cílů pro další zpracování, jako jsou bezpečnostní zařízení, monitorovací nástroje nebo analytické platformy. Může také použít pravidla filtrování pro vyřazení nebo přesměrování paketů na základě identifikovaného obsahu nebo vzorů.

ML-NPB-5660 3d


Čas odeslání: 25. června 2023