Inspekcija dubokog paketa (DPI)je tehnologija koja se koristi u brokerima mrežnih paketa (NPBS) za pregled i analizu sadržaja mrežnih paketa na zrnalijskoj razini. Uključuje ispitivanje korisnog tereta, zaglavlja i drugih informacija o protokolu u okviru paketa kako bi se dobio detaljni uvid u mrežni promet.
DPI nadilazi jednostavnu analizu zaglavlja i pruža duboko razumijevanje podataka koji teče kroz mrežu. Omogućuje dubinsko inspekciju protokola aplikacijskog sloja, poput HTTP, FTP, SMTP, VoIP ili protokola za streaming video zapisa. Ispitivanjem stvarnog sadržaja unutar paketa DPI može otkriti i identificirati specifične aplikacije, protokole ili čak određene obrasce podataka.
Pored hijerarhijske analize izvornih adresa, odredišnih adresa, izvornih portova, odredišnih portova i tipova protokola, DPI dodaje analizu aplikacija za identifikaciju različitih aplikacija i njihovog sadržaja. Kada protok podataka 1P paketa, TCP ili UDP-a za upravljanje opsegom zasnovanim na DPI tehnologiji, sustav čita sadržaj opterećenja od 1P-a za reorganiziranje informacija o aplikacijskom sloju u protokolu OSI 7, kako bi se dobio sadržaj cijelog aplikacijskog programa, a zatim oblikovanje prometa u skladu sa politikom upravljanja definiranim sistemom.
Kako funkcionira DPI?
Tradicionalni zaštitni zidovi često nedostaju energije za obradu za obavljanje detaljnih provjera u stvarnom vremenu na velikim količinama prometa. Kao napredak tehnologije, DPI se može koristiti za obavljanje složenijih provjera za provjeru zaglavlja i podataka. Obično, vatrozidovi sa sustavima otkrivanja upada često koriste DPI. U svijetu u kojem su digitalni podaci najvažniji, svaki dio digitalnih informacija isporučuje se putem interneta u malim paketima. Ovo uključuje e-poštu, poruke poslane putem aplikacije, web stranice posjećene, video razgovore i još mnogo toga. Pored stvarnih podataka, ovi paketi uključuju metapodatke koji identificiraju izvor prometa, sadržaj, odredište i druge važne informacije. Pomoću tehnologije filtriranja paketa, podaci se mogu kontinuirano nadgledati i upravljati kako bi se osiguralo da se prosljeđuje na pravo mjesto. Ali da bi se osigurala sigurnost mreže, tradicionalni filtriranje paketa daleko je dovoljno. Neke od glavnih metoda inspekcije dubokog paketa u upravljanju mrežom navedene su u nastavku:
Režim podudaranja / potpis
Svaki paket se provjerava za utakmicu protiv baze podataka poznatih mrežnih napada vatrozida sa mogućnostima sustava za otkrivanje upada (IDS). IDS traži poznate zlonamjerne specifične obrasce i onesposobljavaju promet kada su pronađeni zlonamjerni uzorci. Nedostatak politike podudaranja potpisa je da se odnosi samo na potpise koje se često ažuriraju. Pored toga, ova tehnologija može se braniti samo od poznatih prijetnji ili napada.
Izuzetak protokola
Budući da tehnika iznimka protokola ne dopušta jednostavno sve podatke koji ne odgovaraju bazi podataka o potpisu, tehnika iznimka protokola koja koristi vatrozid IDS-a nema svojstvene mane metode podudaranja uzorak / potpis. Umjesto toga, prihvaća zadanu politiku odbijanja. Prema definiciji protokola, vatrozidi odlučuju koji promet treba dopustiti i zaštititi mrežu od nepoznatih prijetnji.
Sistem prevencije upada (IPS)
IPS rješenja mogu blokirati prijenos štetnih paketa na osnovu njihovog sadržaja, čime zaustavljaju sumnjive napade u stvarnom vremenu. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na temelju definiranog skupa pravila. Jedan nedostatak IP-a je potreba za redovnim ažuriranjem baze podataka cyber prijetnje s detaljima o novim prijetnjama i mogućnošću lažnih pozitiva. Ali ta se opasnost može ublažiti stvaranjem konzervativnih politika i prilagođenih pragova, uspostavljanje odgovarajućeg osnovnog ponašanja za mrežne komponente i periodično ocjenjujući upozorenja i prijavljene događaje za poboljšanje praćenja i upozorenja.
1- The DPI (Inspecting Deep Paket) u mrežnom paketu brokeru
"Duboko" je ravna i redovna usporedba paketa, "obična inspekcija paketa", uključujući i IP paket 4 sloja, odredišna adresa, izvornu port, i DPI, osim sa hijerarhijskom analizom, identificirati različite aplikacije i sadržaj, za realizaciju glavnih funkcija:
1) Analiza aplikacije - Analiza kompozicije mreže, analiza performansi i analiza protoka
2) Analiza korisnika - diferencijacija korisnika, analiza ponašanja, analiza terminala, analiza trenda itd.
3) Analiza mrežnih elemenata - analiza zasnovana na regionalnim atributima (grad, okrug, ulica itd.) I bazne stanice
4) Kontrola saobraćaja - P2P ograničavanje brzine, QoS osiguranje, osiguranje propusnosti, opsega mrežnog resursa itd.
5) Sigurnosno osiguranje - DDOS napadi, emitiranje podataka, prevencija zlonamjernih napada virusa itd.
2- Opća klasifikacija mrežnih aplikacija
Danas postoje bezbroj aplikacija na Internetu, ali zajedničke web aplikacije mogu biti iscrpne.
Koliko znam, najbolja kompanija za priznavanje aplikacija je Huawei, koja tvrdi da prepoznaju 4.000 aplikacija. Analiza protokola je osnovni modul mnogih firewall kompanija (Huawei, Zte itd.), A također je vrlo važan modul, koji podržava realizaciju drugih funkcionalnih modula, tačne identifikacije aplikacije i značajno poboljšanje performansi i pouzdanosti proizvoda. U modeliranju identifikacije zlonamjernog softvera na osnovu mrežnih prometnih karakteristika, kao što sada radim, precizna i opsežna identifikacija protokola također je vrlo važna. Isključivanje mrežnog prometa zajedničkih aplikacija iz izvoznog prometa kompanije, preostali promet će umanjiti mali udio, što je bolje za analizu i alarm zlonamjernog softvera.
Na osnovu mog iskustva, postojeće najčešće korištene aplikacije klasificiraju se u skladu sa svojim funkcijama:
PS: Prema osobnom razumijevanju klasifikacije aplikacije, imate bilo kakve dobre prijedloge dobrodošlice da biste ostavili prijedlog poruke
1). E-mail
2). Video
3). Igre
4). Office OA klasa
5). Ažuriranje softvera
6). Finansijska (banka, alipay)
7). Zalihe
8). Socijalna komunikacija (IM softver)
9). Web pretraživanje (vjerovatno bolje identificirano sa URL-ovima)
10). Preuzmite alate (web disk, p2p download, bt povezano)
Zatim, kako DPI (Inspekcija dubokih paketa) radi u NPB-u:
1). Snimanje paketa: NPB snima mrežni promet iz različitih izvora, poput prekidača, usmjerivača ili slavina. Dobija pakete koji teče kroz mrežu.
2). Paketni raščlanjivanje: Zarobljeni paketi raščlanjuju NPB za izdvajanje različitih slojeva protokola i povezane podatke. Ovaj postupak analize pomaže u identifikaciji različitih komponenti unutar paketa, poput Ethernet zaglavlja, IP zaglavlja, zaglavlja transportnog sloja (npr. TCP ili UDP) i protokoli na aplikacijskim slojevima.
3). Analiza korisnog tereta: sa DPI-om, NPB nadilazi inspekciju zaglavlja i fokusira se na korisni teret, uključujući stvarne podatke unutar paketa. Ispituje sadržaj korisnog opterećenja, bez obzira na primjenu ili protokol koji se koristi za izdvajanje relevantnih informacija.
4). Identifikacija protokola: DPI omogućava NPB da identificira određene protokole i aplikacije koji se koriste u mrežnom prometu. Može otkriti i klasificirati protokole poput HTTP, FTP, SMTP, DNS, VoIP ili protokola za streaming video zapisa.
5). Sadržajna inspekcija: DPI omogućava NPB-u da pregleda sadržaj paketa za određene obrasce, potpise ili ključne riječi. To omogućava otkrivanje mrežnih prijetnji, poput zlonamjernog softvera, virusa, pokušaja provale ili sumnjivih aktivnosti. DPI se može koristiti i za filtriranje sadržaja, provođenje mrežnih politika ili identificiranje kršenja poštivanja podataka.
6). Vađenje metapodataka: Za vrijeme DPI-a, NPB izvlači relevantne metapodatke iz paketa. Ovo može uključivati informacije kao što su izvorne i odredišne IP adrese, brojevi porta, detalji sesije, podaci o transakciji ili bilo koji drugi relevantni atributi.
7). Prometno usmjeravanje ili filtriranje: Na osnovu DPI analize, NPB može usmjeriti određene pakete na određene destinacije za daljnju obradu, poput sigurnosnih uređaja, alata za praćenje ili analitičke platforme. Također može primijeniti pravila filtriranja kako bi se odbacila ili preusmjeravala pakete na temelju identificiranog sadržaja ili obrazaca.
Pošta: Jun-25-2023
