Syvä pakettitarkastus (DPI)on tekniikka, jota käytetään verkkopakettien välityspalveluissa (NPB) verkkopakettien sisällön tarkastamiseen ja analysointiin yksityiskohtaisella tasolla. Se sisältää pakettien hyötykuorman, otsikoiden ja muiden protokollakohtaisten tietojen tutkimisen, jotta saadaan yksityiskohtaisia tietoja verkkoliikenteestä.
DPI menee yksinkertaisen otsikkoanalyysin pidemmälle ja tarjoaa syvällisen ymmärryksen verkon läpi virtaavasta datasta. Se mahdollistaa sovelluskerroksen protokollien, kuten HTTP:n, FTP:n, SMTP:n, VoIP:n tai videoiden suoratoistoprotokollien, perusteellisen tarkastelun. Tutkimalla pakettien varsinaista sisältöä DPI voi havaita ja tunnistaa tiettyjä sovelluksia, protokollia tai jopa tiettyjä datakuvioita.
Lähdeosoitteiden, kohdeosoitteiden, lähdeporttien, kohdeporttien ja protokollatyyppien hierarkkisen analyysin lisäksi DPI lisää myös sovelluskerroksen analyysin tunnistaakseen erilaisia sovelluksia ja niiden sisältöä. Kun 1P-paketti, TCP- tai UDP-data kulkee DPI-tekniikkaan perustuvan kaistanleveydenhallintajärjestelmän läpi, järjestelmä lukee 1P-pakettilatauksen sisällön järjestääkseen sovelluskerroksen tiedot uudelleen OSI Layer 7 -protokollassa saadakseen koko sovellusohjelman sisällön ja muokatakseen sitten liikennettä järjestelmän määrittelemän hallintapolitiikan mukaisesti.
Miten DPI toimii?
Perinteisillä palomuureilla ei usein ole riittävästi prosessointitehoa suurten liikennemäärien perusteellisiin reaaliaikaisiin tarkistuksiin. Teknologian kehittyessä DPI:tä voidaan käyttää monimutkaisempien otsikoiden ja datan tarkistusten suorittamiseen. Tyypillisesti palomuurit, joissa on tunkeutumisen havaitsemisjärjestelmät, käyttävät usein DPI:tä. Maailmassa, jossa digitaalinen tieto on ensiarvoisen tärkeää, jokainen digitaalinen tieto toimitetaan internetin kautta pieninä paketteina. Näitä ovat sähköpostit, sovelluksen kautta lähetetyt viestit, vieraillut verkkosivustot, videokeskustelut ja paljon muuta. Varsinaisen datan lisäksi nämä paketit sisältävät metatietoja, jotka tunnistavat liikenteen lähteen, sisällön, kohteen ja muita tärkeitä tietoja. Pakettisuodatustekniikan avulla tietoja voidaan jatkuvasti seurata ja hallita sen varmistamiseksi, että ne välitetään oikeaan paikkaan. Mutta verkon turvallisuuden varmistamiseksi perinteinen pakettisuodatus ei riitä. Joitakin verkonhallinnan syvällisen pakettitarkastuksen tärkeimpiä menetelmiä on lueteltu alla:
Täsmäytystila/allekirjoitus
Palomuuri, jossa on tunkeutumisen havaitsemisjärjestelmä (IDS), tarkistaa jokaisen paketin vastaavuuden tunnettujen verkkohyökkäysten tietokantaa vasten. IDS etsii tunnettuja haitallisia malleja ja poistaa liikenteen käytöstä, kun haitallisia malleja löytyy. Allekirjoitusten yhteensopivuuskäytännön haittapuolena on, että se koskee vain usein päivitettäviä allekirjoituksia. Lisäksi tämä tekniikka voi puolustautua vain tunnettuja uhkia tai hyökkäyksiä vastaan.
Protokollapoikkeus
Koska protokollapoikkeustekniikka ei yksinkertaisesti salli kaikkea dataa, joka ei vastaa allekirjoitustietokantaa, IDS-palomuurin käyttämässä protokollapoikkeustekniikassa ei ole kuvion/allekirjoituksen yhteensovitusmenetelmän luontaisia puutteita. Sen sijaan se käyttää oletusarvoista hylkäyskäytäntöä. Protokollamääritelmän mukaan palomuurit päättävät, mikä liikenne sallitaan, ja suojaavat verkkoa tuntemattomilta uhilta.
Tunkeutumisenestojärjestelmä (IPS)
IPS-ratkaisut voivat estää haitallisten pakettien lähetyksen niiden sisällön perusteella ja siten pysäyttää epäillyt hyökkäykset reaaliajassa. Tämä tarkoittaa, että jos paketti edustaa tunnettua tietoturvariskiä, IPS estää verkkoliikenteen ennakoivasti määriteltyjen sääntöjen perusteella. Yksi IPS:n haittapuoli on tarve päivittää säännöllisesti kyberuhkatietokantaa uusien uhkien tiedoilla ja väärien positiivisten mahdollisuuksien varalta. Tätä vaaraa voidaan kuitenkin lieventää luomalla konservatiivisia käytäntöjä ja mukautettuja kynnysarvoja, määrittämällä asianmukaiset lähtökäyttäytymiset verkkokomponenteille ja arvioimalla säännöllisesti varoituksia ja raportoituja tapahtumia valvonnan ja hälytysten parantamiseksi.
1. DPI (Deep Packet Inspection) verkkopakettivälittäjässä
"Syvä" on tason ja tavallisen pakettianalyysin vertailu, "tavallinen pakettitarkastus" vain seuraava IP-paketin 4 kerroksen analyysi, mukaan lukien lähdeosoite, kohdeosoite, lähdeportti, kohdeportti ja protokollatyyppi sekä DPI hierarkkisen analyysin lisäksi, myös sovelluskerroksen analyysi, eri sovellusten ja sisällön tunnistaminen päätoimintojen toteuttamiseksi:
1) Sovellusanalyysi -- verkkoliikenteen koostumusanalyysi, suorituskykyanalyysi ja virtausanalyysi
2) Käyttäjäanalyysi -- käyttäjäryhmien erottelu, käyttäytymisanalyysi, pääteanalyysi, trendianalyysi jne.
3) Verkkoelementtianalyysi -- analyysi alueellisten ominaisuuksien (kaupunki, alue, katu jne.) ja tukiasemien kuormituksen perusteella
4) Liikenteen hallinta -- P2P-nopeudenrajoitus, QoS-varmistus, kaistanleveyden varmistus, verkkoresurssien optimointi jne.
5) Tietoturvan varmistus -- DDoS-hyökkäykset, tietoliikennemyrskyt, haitallisten virushyökkäysten estäminen jne.
2- Verkkosovellusten yleinen luokittelu
Nykyään internetissä on lukemattomia sovelluksia, mutta yleisimmät verkkosovellukset voivat olla tyhjiä.
Tietojeni mukaan paras sovellusten tunnistusyritys on Huawei, joka väittää tunnistavansa 4 000 sovellusta. Protokolla-analyysi on monien palomuuriyritysten (Huawei, ZTE jne.) perusmoduuli, ja se on myös erittäin tärkeä moduuli, joka tukee muiden toiminnallisten moduulien toteutusta, tarkkaa sovellusten tunnistusta ja parantaa huomattavasti tuotteiden suorituskykyä ja luotettavuutta. Verkkoliikenteen ominaisuuksiin perustuvassa haittaohjelmien tunnistuksen mallintamisessa, kuten nyt teen, tarkka ja kattava protokolla-tunnistus on myös erittäin tärkeää. Jos yleisten sovellusten verkkoliikenne jätetään pois yrityksen vientiliikenteestä, jäljelle jäävä liikenne muodostaa pienen osan, mikä on parempi haittaohjelmien analysoinnin ja hälytysten kannalta.
Kokemukseni perusteella yleisesti käytetyt sovellukset luokitellaan niiden toimintojen mukaan:
PS: Henkilökohtaisen ymmärrykseni mukaan hakemusluokituksesta, jos sinulla on hyviä ehdotuksia, jätäthän viestiehdotuksen.
1). Sähköposti
2). Video
3). Pelit
4). Toimiston OA-luokka
5). Ohjelmistopäivitys
6). Rahoitus (pankki, Alipay)
7). Osakkeet
8). Sosiaalinen viestintä (pikaviestintäohjelmisto)
9). Verkkoselailu (luultavasti tunnistettavissa paremmin URL-osoitteista)
10). Lataustyökalut (verkkolevy, P2P-lataus, BT:hen liittyvät)
Sitten, miten DPI (Deep Packet Inspection) toimii NPB:ssä:
1). Pakettien sieppaus: NPB sieppaa verkkoliikennettä eri lähteistä, kuten kytkimistä, reitittimistä tai väliottimista. Se vastaanottaa verkon läpi kulkevia paketteja.
2). Pakettien jäsennys: NPB jäsentää kaapatut paketit poimiakseen eri protokollakerroksia ja niihin liittyviä tietoja. Tämä jäsennysprosessi auttaa tunnistamaan pakettien eri komponentit, kuten Ethernet-otsikot, IP-otsikot, siirtokerroksen otsikot (esim. TCP tai UDP) ja sovelluskerroksen protokollat.
3). Hyötykuorma-analyysi: DPI:ssä NPB ei pelkästään tarkista otsikkoa, vaan keskittyy hyötykuormaan, mukaan lukien pakettien sisällä olevaan varsinaiseen dataan. Se tutkii hyötykuorman sisällön perusteellisesti käytetystä sovelluksesta tai protokollasta riippumatta ja poimii siitä olennaisia tietoja.
4). Protokollan tunnistus: DPI:n avulla NPB voi tunnistaa verkkoliikenteessä käytettävät tietyt protokollat ja sovellukset. Se voi havaita ja luokitella protokollia, kuten HTTP, FTP, SMTP, DNS, VoIP tai videoiden suoratoistoprotokollat.
5). Sisällön tarkastus: DPI:n avulla NPB voi tarkastaa pakettien sisällön tiettyjen kuvioiden, allekirjoitusten tai avainsanojen varalta. Tämä mahdollistaa verkkouhkien, kuten haittaohjelmien, virusten, tunkeutumisyritysten tai epäilyttävien toimintojen, havaitsemisen. DPI:tä voidaan käyttää myös sisällön suodattamiseen, verkkokäytäntöjen valvontaan tai tietojen vaatimustenmukaisuusrikkomusten tunnistamiseen.
6). Metadatan poiminta: DPI:n aikana NPB poimii paketeista asiaankuuluvat metatiedot. Näihin voi sisältyä tietoja, kuten lähde- ja kohde-IP-osoitteet, porttinumerot, istunnon tiedot, tapahtumatiedot tai muita asiaankuuluvia ominaisuuksia.
7). Liikenteen reititys tai suodatus: DPI-analyysin perusteella NPB voi reitittää tietyt paketit määrättyihin kohteisiin jatkokäsittelyä varten, kuten tietoturvalaitteisiin, valvontatyökaluihin tai analytiikka-alustoille. Se voi myös soveltaa suodatussääntöjä pakettien hylkäämiseksi tai uudelleenohjaamiseksi tunnistetun sisällön tai mallien perusteella.
Julkaisun aika: 25. kesäkuuta 2023
