Verkkopakettivälittäjäsovelluksen tunnistaminen DPI: hen - syvän pakettitarkastuksen perusteella

Syvä pakettitarkastus (DPI)on tekniikka, jota käytetään verkkopakettivälittäjissä (NPBS) tarkastamaan ja analysoimaan verkkopakettien sisältöä rakeisella tasolla. Siihen kuuluu hyötykuorman, otsikkojen ja muiden protokollikohtaisten tietojen tutkiminen pakettien sisällä saadaksesi yksityiskohtaisia ​​oivalluksia verkkoliikenteestä.

DPI ylittää yksinkertaisen otsikkoanalyysin ja tarjoaa syvän käsityksen verkon läpi kulkevasta tiedosta. Se mahdollistaa sovelluskerrosprotokollien, kuten HTTP-, FTP-, SMTP-, VoIP- tai Video Streaming -protokollien perusteellisen tarkastuksen. Tutkimalla pakettien todellista sisältöä, DPI pystyy havaitsemaan ja tunnistamaan erityiset sovellukset, protokollat ​​tai jopa erityiset datamallit.

Lähdeosoitteiden, kohdeosoitteiden, lähdeporttien, kohdeporttien ja protokollatyyppien hierarkkisen analyysin lisäksi DPI lisää myös sovelluskerrosanalyysin erilaisten sovellusten ja niiden sisällön tunnistamiseksi. Kun 1P -paketti, TCP- tai UDP -tietovirta kaistanleveyden hallintajärjestelmän läpi, joka perustuu DPI -tekniikkaan, järjestelmä lukee 1p -pakettikuorman sisällön OSI -kerroksen 7 protokollan sovelluskerroksen tietojen uudelleenjärjestelyyn, jotta saadaan koko sovellusohjelman sisältö ja sen jälkeen liikenteen muotoileminen järjestelmän määrittelemän hallintakäytännön mukaisesti.

Kuinka DPI toimii?

Perinteisistä palomuureista puuttuu usein prosessointiteho suorittaa perusteelliset reaaliaikaiset tarkistukset suurista liikenteestä. Teknologian edistyessä DPI: tä voidaan käyttää monimutkaisempien tarkistusten suorittamiseen otsikoiden ja datan tarkistamiseksi. Tyypillisesti tunkeutumisen havaitsemisjärjestelmien palomuurit käyttävät usein DPI: tä. Maailmassa, jossa digitaalinen tieto on ensiarvoisen tärkeää, jokainen digitaalinen tieto toimitetaan Internetissä pieninä paketeina. Tähän sisältyy sähköpostia, sovelluksen kautta lähetettyjä viestejä, verkkosivustoja vierailtuja, videokeskusteluja ja paljon muuta. Todellisten tietojen lisäksi nämä paketit sisältävät metatiedot, jotka tunnistavat liikenteen lähteen, sisällön, määränpään ja muut tärkeät tiedot. Pakettien suodatustekniikan avulla tietoja voidaan seurata jatkuvasti ja onnistunut varmistamaan, että se välitetään oikeaan paikkaan. Mutta verkon turvallisuuden varmistamiseksi perinteinen pakettien suodatus ei ole kaukana tarpeeksi. Jotkut tärkeimmistä syvän pakettitarkastusmenetelmistä verkonhallinnassa on lueteltu alla:

Sovitustila/allekirjoitus

Jokainen paketti tarkistetaan ottelun saamiseksi palomuurin tunnettujen verkkohyökkäysten tietokantaan tunkeutumisen havaitsemisjärjestelmän (IDS) ominaisuuksilla. IDS Etsi tunnettuja haitallisia erityisiä kuvioita ja poistaa liikenteen käytöstä, kun haitallisia kuvioita löytyy. Allekirjoituksen sovituskäytännön haitta on, että sitä sovelletaan vain allekirjoituksiin, joita päivitetään usein. Lisäksi tämä tekniikka voi puolustaa vain tunnettuja uhkia tai hyökkäyksiä.

DPI

Protokollapoikkeus

Koska protokollapoikkeustekniikka ei vain salli kaikkia tietoja, jotka eivät vastaa allekirjoitustietokantaa, IDS -palomuurin käyttämässä protokollapoikkeustekniikassa ei ole kuvion/allekirjoituksen sovitusmenetelmän luontaisia ​​puutteita. Sen sijaan se hyväksyy laiminlyöntipolitiikan. Protokollan määritelmän mukaan palomuurit päättävät, mitä liikennettä tulisi sallia, ja suojata verkko tuntemattomilta uhilta.

Tunkeutumisen ehkäisyjärjestelmä (IPS)

IPS -ratkaisut voivat estää haitallisten pakettien siirron niiden sisällön perusteella ja pysäyttäen siten epäillyt hyökkäykset reaaliajassa. Tämä tarkoittaa, että jos paketti edustaa tunnettua tietoturvariskiä, ​​IPS estää ennakoivasti verkkoliikennettä määritellyn sääntöjoukon perusteella. Yksi IPS: n haitta on tarve päivittää säännöllisesti tietoverkkojen uhkatietokanta, jossa on yksityiskohtia uusista uhista ja väärien positiivisten mahdollisuuksien. Tätä vaaraa voidaan kuitenkin lieventää luomalla konservatiivisia politiikkoja ja räätälöityjä kynnysarvoja, luomalla verkon komponenttien asianmukaisen lähtötilanteen käyttäytymisen ja arvioimalla säännöllisesti varoituksia ja ilmoitettuja tapahtumia seurannan ja hälytyksen parantamiseksi.

1- DPI (syvän pakettitarkastus) verkkopaketin välittäjällä

The "deep" is level and ordinary packet analysis comparison, "ordinary packet inspection" only the following analysis of IP packet 4 layer, including the source address, destination address, source port, destination port and protocol type, and DPI except with the hierarchical analysis, also increased the application layer analysis, identify the various applications and content, to realize the main functions:

1) Sovellusanalyysi - Verkkoliikenteen koostumuksen analyysi, suorituskykyanalyysi ja virtausanalyysi

2) Käyttäjäanalyysi - Käyttäjäryhmän erilaistuminen, käyttäytymisanalyysi, pääteanalyysi, trendianalyysi jne.

3) Verkkoelementtianalyysi - Alueellisten ominaisuuksien (kaupunki, piiri, katu jne.) Ja tukiaseman kuormituksen analyysi

4) Liikenteenohjaus - P2P -nopeuden rajoittaminen, QoS -varmuus, kaistanleveysvarmuus, verkkovarojen optimointi jne.

5) Turvallisuusvakuutus - DDoS -hyökkäykset, tietojen lähetysmyrsky, haitallisten virushyökkäysten estäminen jne.

2- Verkkosovellusten yleinen luokittelu

Nykyään Internetissä on lukemattomia sovelluksia, mutta yleiset verkkosovellukset voivat olla tyhjentäviä.

Sikäli kuin tiedän, paras sovelluksen tunnustusyritys on Huawei, joka väittää tunnustavansa 4000 sovellusta. Protokollaanalyysi on monien palomuuriyritysten (Huawei, ZTE jne.) Perusmoduuli, ja se on myös erittäin tärkeä moduuli, joka tukee muiden funktionaalisten moduulien toteuttamista, tarkka sovellustunnistus ja parantaa tuotteiden suorituskykyä ja luotettavuutta huomattavasti. Haittaohjelmien tunnistamisessa verkon liikenteen ominaisuuksiin perustuen, kuten nyt teen, tarkka ja laaja protokollan tunnistaminen on myös erittäin tärkeää. Lukuun ottamatta yleisten sovellusten verkkoliikennettä yrityksen vientilähteestä, jäljellä oleva liikenne vastaa pienestä osasta, mikä on parempi haittaohjelmien analysointiin ja hälytyksiin.

Kokemukseni perusteella olemassa olevat yleisesti käytetyt sovellukset luokitellaan niiden toimintojen mukaan:

PS: Hakemusluokituksen henkilökohtaisen ymmärryksen mukaan sinulla on hyviä ehdotuksia tervetulleita jättämään viestiehdotus

1). Sähköposti

2). Video

3). Pelit

4). Toimisto -luokka

5). Ohjelmistopäivitys

6). Taloudellinen (pankki, Alipay)

7). Varastot

8). Sosiaalinen viestintä (IM -ohjelmisto)

9). Web -selaus (todennäköisesti paremmin tunnistettu URL -osoitteilla)

10). Lataustyökalut (Web -levy, P2P -lataus, BT Aiheeseen liittyvä)

20191210153150_32811

Sitten kuinka DPI (syvän pakettitarkastus) toimii NPB: ssä:

1). Paketin sieppaus: NPB kaappaa verkkoliikenteen eri lähteistä, kuten kytkimistä, reitittimistä tai hanasta. Se vastaanottaa verkon läpi virtaavat paketit.

2). Pakettien jäsentäminen: NPB jäsentää sieppatut paketit erilaisten protokollikerrosten ja niihin liittyvien tietojen purkamiseksi. Tämä jäsentämisprosessi auttaa tunnistamaan pakettien eri komponentit, kuten Ethernet -otsikot, IP -otsikot, kuljetuskerroksen otsikot (esim. TCP tai UDP) ja sovelluskerrosprotokollat.

3). Hyötykuorma -analyysi: DPI: llä NPB ylittää otsikon tarkistuksen ja keskittyy hyötykuormaan, mukaan lukien pakettien todelliset tiedot. Se tutkii perusteellista hyötykuorman sisältöä käytetystä sovelluksesta tai protokollasta riippumatta asiaankuuluvien tietojen purkamiseksi.

4). Protokollan tunnistaminen: DPI antaa NPB: lle mahdollisuuden tunnistaa verkkoliikenteessä käytettävät erityiset protokollat ​​ja sovellukset. Se pystyy havaitsemaan ja luokittelemaan protokollat, kuten HTTP, FTP, SMTP, DNS, VoIP tai videon suoratoistoprotokollat.

5). Sisältötarkastus: DPI antaa NPB: lle tarkastaa pakettien sisällön tietyille kuvioille, allekirjoituksille tai avainsanoille. Tämä mahdollistaa verkkouhkien, kuten haittaohjelmien, virusten, tunkeutumisyritysten tai epäilyttävien toimintojen, havaitsemisen. DPI: tä voidaan käyttää myös sisällön suodattamiseen, verkkokäytäntöjen täytäntöönpanoon tai tietojen noudattamisen rikkomusten tunnistamiseen.

6). Metatietojen uuttaminen: DPI: n aikana NPB -uutteet ottivat asiaankuuluvat metatiedot paketeista. Tämä voi sisältää tietoja, kuten lähde- ja kohde -IP -osoitteet, porttinumerot, istuntotiedot, transaktiotiedot tai muut asiaankuuluvat ominaisuudet.

7). Liikenteen reititys tai suodatus: DPI -analyysin perusteella NPB voi reitittää erityisiä paketteja määritettyihin kohteisiin jatkokäsittelyä varten, kuten suojauslaitteet, seurantatyökalut tai analytiikkaalustat. Se voi myös soveltaa suodatussääntöjä hylätä tai ohjata paketteja tunnistetun sisällön tai kuvioiden perusteella.

ML-NPB-5660 3D


Viestin aika: kesäkuu-25-2023