Network Packet Broker -sovelluksen tunnistus DPI:n perusteella – Deep Packet Inspection

Pakettien syvä tarkastus (DPI)on teknologia, jota käytetään Network Packet Brokereissa (NPB) verkkopakettien sisällön tarkastamiseen ja analysointiin rakeisella tasolla. Se sisältää pakettien hyötykuorman, otsikoiden ja muiden protokollakohtaisten tietojen tutkimisen saadakseen yksityiskohtaista tietoa verkkoliikenteestä.

DPI menee yksinkertaista otsikkoanalyysiä pidemmälle ja tarjoaa syvän ymmärryksen verkon läpi virtaavasta tiedosta. Se mahdollistaa sovelluskerroksen protokollien, kuten HTTP-, FTP-, SMTP-, VoIP- tai videon suoratoistoprotokollien perusteellisen tarkastuksen. Tutkimalla pakettien todellista sisältöä DPI voi havaita ja tunnistaa tietyt sovellukset, protokollat ​​tai jopa tietyt tietomallit.

Lähdeosoitteiden, kohdeosoitteiden, lähdeporttien, kohdeporttien ja protokollatyyppien hierarkkisen analyysin lisäksi DPI lisää myös sovellustason analyysin eri sovellusten ja niiden sisällön tunnistamiseksi. Kun 1P-paketti, TCP tai UDP-data virtaa DPI-tekniikkaan perustuvan kaistanleveyden hallintajärjestelmän läpi, järjestelmä lukee 1P-pakettilatauksen sisällön järjestääkseen sovelluskerroksen tiedot uudelleen OSI Layer 7 -protokollassa saadakseen koko sovellusohjelma ja sitten liikenteen muokkaaminen järjestelmän määrittelemän hallintapolitiikan mukaisesti.

Miten DPI toimii?

Perinteisiltä palomuureilta puuttuu usein prosessointiteho suurten liikennemäärien perusteellisten reaaliaikaisten tarkistusten suorittamiseen. Tekniikan kehittyessä DPI:tä voidaan käyttää monimutkaisempiin tarkistuksiin otsikoiden ja tietojen tarkistamiseksi. Tyypillisesti tunkeutumisen havaitsemisjärjestelmillä varustetut palomuurit käyttävät usein DPI:tä. Maailmassa, jossa digitaalinen tieto on ensiarvoisen tärkeää, jokainen digitaalinen tieto toimitetaan Internetin kautta pieninä paketteina. Tämä sisältää sähköpostin, sovelluksen kautta lähetetyt viestit, vieraillut verkkosivustot, videokeskustelut ja paljon muuta. Varsinaisten tietojen lisäksi nämä paketit sisältävät metatietoja, jotka tunnistavat liikenteen lähteen, sisällön, määränpään ja muita tärkeitä tietoja. Pakettisuodatustekniikan avulla tietoja voidaan valvoa ja hallita jatkuvasti, jotta ne välitetään oikeaan paikkaan. Mutta verkon turvallisuuden takaamiseksi perinteinen pakettisuodatus ei riitä. Alla on lueteltu joitakin tärkeimmistä syvän pakettien tarkastuksen menetelmistä verkonhallinnassa:

Vastaava tila/allekirjoitus

Palomuuri, jossa on tunkeutumisen havainnointijärjestelmä (IDS), tarkistaa jokaisen paketin vastaavuuden tunnettujen verkkohyökkäysten tietokantaan. IDS etsii tunnettuja haitallisia malleja ja poistaa liikenteen käytöstä, kun haitallisia malleja löytyy. Allekirjoitusten täsmäyskäytännön haittana on, että se koskee vain usein päivitettäviä allekirjoituksia. Lisäksi tämä tekniikka voi suojautua vain tunnettuja uhkia tai hyökkäyksiä vastaan.

DPI

Protokollapoikkeus

Koska protokollapoikkeustekniikka ei yksinkertaisesti salli kaikkea dataa, joka ei vastaa allekirjoitustietokantaa, IDS-palomuurin käyttämässä protokollapoikkeustekniikassa ei ole kuvion/allekirjoituksen täsmäysmenetelmän luontaisia ​​puutteita. Sen sijaan se ottaa käyttöön oletusarvoisen hylkäyskäytännön. Protokollamääritelmän mukaan palomuurit päättävät sallitun liikenteen ja suojaavat verkkoa tuntemattomilta uhilta.

Tunkeutumisen estojärjestelmä (IPS)

IPS-ratkaisut voivat estää haitallisten pakettien siirron niiden sisällön perusteella ja siten pysäyttää epäillyt hyökkäykset reaaliajassa. Tämä tarkoittaa, että jos paketti edustaa tunnettua tietoturvariskiä, ​​IPS estää ennakoivasti verkkoliikenteen määritettyjen sääntöjen perusteella. Yksi IPS:n haittapuoli on tarve päivittää säännöllisesti kyberuhkien tietokanta uusien uhkien tiedoilla ja väärien positiivisten tulosten mahdollisuus. Mutta tätä vaaraa voidaan lieventää luomalla konservatiivisia käytäntöjä ja mukautettuja kynnysarvoja, luomalla verkkokomponenteille asianmukainen peruskäyttäytyminen ja arvioimalla säännöllisesti varoituksia ja raportoituja tapahtumia valvonnan ja hälytyksen tehostamiseksi.

1- DPI (Deep Packet Inspection) Network Packet Brokerissa

"Syvä" on taso ja tavallinen pakettianalyysin vertailu, "tavallinen pakettitarkastus" vain seuraava IP-paketin 4 kerroksen analyysi, mukaan lukien lähdeosoite, kohdeosoite, lähdeportti, kohdeportti ja protokollatyyppi ja DPI paitsi hierarkkinen analyysi, lisäsi myös sovelluskerroksen analysointia, tunnistaa eri sovellukset ja sisällön, toteuttaa päätoiminnot:

1) Sovellusanalyysi – verkkoliikenteen kokoonpanoanalyysi, suorituskykyanalyysi ja virtausanalyysi

2) Käyttäjäanalyysi - käyttäjäryhmien erottelu, käyttäytymisanalyysi, pääteanalyysi, trendianalyysi jne.

3) Verkkoelementtianalyysi -- analyysi, joka perustuu alueellisiin ominaisuuksiin (kaupunki, alue, katu jne.) ja tukiaseman kuormitukseen

4) Traffic Control -- P2P-nopeuden rajoitus, QoS-varmistus, kaistanleveyden varmuus, verkkoresurssien optimointi jne.

5) Security Assurance -- DDoS-hyökkäykset, datalähetysmyrsky, haitallisten virushyökkäysten estäminen jne.

2- Verkkosovellusten yleinen luokitus

Nykyään Internetissä on lukemattomia sovelluksia, mutta yleiset verkkosovellukset voivat olla tyhjentäviä.

Sikäli kuin tiedän, paras sovellusten tunnistusyritys on Huawei, joka väittää tunnistavansa 4000 sovellusta. Protokollaanalyysi on monien palomuuriyritysten (Huawei, ZTE jne.) perusmoduuli, ja se on myös erittäin tärkeä moduuli, joka tukee muiden toiminnallisten moduulien toteuttamista, tarkkaa sovellusten tunnistamista ja parantaa huomattavasti tuotteiden suorituskykyä ja luotettavuutta. Verkkoliikenteen ominaisuuksiin perustuvan haittaohjelmien tunnistamisen mallintamisessa, kuten nyt teen, myös tarkka ja kattava protokollatunnistus on erittäin tärkeä. Kun yrityksen vientiliikenteestä jätetään pois tavallisten sovellusten verkkoliikenne, jäljelle jäävä liikenne jää pieneksi, mikä sopii paremmin haittaohjelmien analysointiin ja hälytykseen.

Kokemukseni perusteella olemassa olevat yleisesti käytetyt sovellukset luokitellaan toimintojensa mukaan:

PS: Henkilökohtaisen käsityksen mukaan sovellusluokittelusta, sinulla on hyviä ehdotuksia tervetuloa jättämään viestiehdotus

1). Sähköposti

2). Video

3). Pelit

4). Office OA luokka

5). Ohjelmistopäivitys

6). Rahoitus (pankki, Alipay)

7). Osakkeet

8). Sosiaalinen viestintä (IM-ohjelmisto)

9). Web-selailu (luultavasti paremmin tunnistettu URL-osoitteilla)

10). Lataustyökalut (verkkolevy, P2P-lataus, BT:hen liittyvät)

20191210153150_32811

Sitten kuinka DPI (Deep Packet Inspection) toimii NPB:ssä:

1). Packet Capture: NPB kaappaa verkkoliikenteen eri lähteistä, kuten kytkimistä, reitittimistä tai kosketuksista. Se vastaanottaa verkon läpi kulkevia paketteja.

2). Pakettien jäsentäminen: NPB jäsentää kaapatut paketit erilaisten protokollakerrosten ja niihin liittyvien tietojen poimimiseksi. Tämä jäsennysprosessi auttaa tunnistamaan pakettien eri komponentit, kuten Ethernet-otsikot, IP-otsikot, siirtokerroksen otsikot (esim. TCP tai UDP) ja sovelluskerroksen protokollat.

3). Hyötykuorman analyysi: DPI:n avulla NPB ylittää otsikon tarkastuksen ja keskittyy hyötykuormaan, mukaan lukien pakettien todelliset tiedot. Se tutkii hyötykuorman sisällön perusteellisesti, riippumatta käytetystä sovelluksesta tai protokollasta, poimiakseen asiaankuuluvia tietoja.

4). Protokollan tunnistus: DPI:n avulla NPB voi tunnistaa verkkoliikenteessä käytetyt tietyt protokollat ​​ja sovellukset. Se voi havaita ja luokitella protokollia, kuten HTTP, FTP, SMTP, DNS, VoIP tai videon suoratoistoprotokollat.

5). Sisällön tarkastus: DPI:n avulla NPB voi tarkastaa pakettien sisällön tiettyjen mallien, allekirjoitusten tai avainsanojen varalta. Tämä mahdollistaa verkkouhkien, kuten haittaohjelmien, virusten, tunkeutumisyritysten tai epäilyttävien toimintojen havaitsemisen. DPI:tä voidaan käyttää myös sisällön suodattamiseen, verkkokäytäntöjen pakottamiseen tai tietojen vaatimustenmukaisuusrikkomusten tunnistamiseen.

6). Metatietojen purkaminen: DPI:n aikana NPB poimii olennaiset metatiedot paketeista. Tämä voi sisältää tietoja, kuten lähde- ja kohde-IP-osoitteet, porttinumerot, istunnon tiedot, tapahtumatiedot tai muut asiaankuuluvat attribuutit.

7). Liikenteen reititys tai suodatus: DPI-analyysin perusteella NPB voi reitittää tietyt paketit määrättyihin kohteisiin jatkokäsittelyä varten, kuten suojauslaitteisiin, valvontatyökaluihin tai analytiikkaalustoille. Se voi myös soveltaa suodatussääntöjä pakettien hylkäämiseen tai uudelleenohjaamiseen tunnistetun sisällön tai mallien perusteella.

ML-NPB-5660 3d


Postitusaika: 25.6.2023