Dziļa pakešu pārbaude (DPI)ir tehnoloģija, ko izmanto tīkla pakešu brokeros (NPBS), lai pārbaudītu un analizētu tīkla pakešu saturu granulētā līmenī. Tas ietver kravas, galveņu un citas protokolam raksturīgas informācijas pārbaudi paketēs, lai iegūtu detalizētu ieskatu tīkla trafikā.
DPI pārsniedz vienkāršu galvenes analīzi un sniedz dziļu izpratni par datiem, kas plūst caur tīklu. Tas ļauj padziļināti pārbaudīt lietojumprogrammas slāņa protokolus, piemēram, HTTP, FTP, SMTP, VOIP vai video straumēšanas protokolus. Pārbaudot faktisko saturu paketēs, DPI var noteikt un noteikt īpašas lietojumprogrammas, protokolus vai pat īpašus datu modeļus.
Papildus avota adrešu hierarhiskajai analīzei, mērķa adreses, avota porti, mērķa porti un protokola veidi, DPI pievieno arī lietojumprogrammu slāņa analīzi, lai identificētu dažādas lietojumprogrammas un to saturu. Kad 1p pakešu, TCP vai UDP datu plūsma caur joslas platuma pārvaldības sistēmu, pamatojoties uz DPI tehnoloģiju, sistēma nolasa 1p pakešu slodzes saturu, lai reorganizētu lietojumprogrammas slāņa informāciju OSI 7. slāņa protokolā, lai iegūtu visas lietojumprogrammas saturu un pēc tam veidotu trafiku atbilstoši pārvaldības politikai, kas definēta ar sistēmu.
Kā darbojas DPI?
Tradicionālajiem ugunsmūriem bieži trūkst apstrādes jaudas, lai veiktu rūpīgas reālā laika pārbaudes lielos datplūsmas apjomos. Tā kā tehnoloģija attīstās, DPI var izmantot, lai veiktu sarežģītākas pārbaudes, lai pārbaudītu galvenes un datus. Parasti ugunsmūri ar ielaušanās atklāšanas sistēmām bieži izmanto DPI. Pasaulē, kurā digitālā informācija ir ārkārtīgi svarīga, katra digitālā informācija tiek piegādāta internetā mazās paketēs. Tas ietver e -pastu, ziņojumus, kas nosūtīti caur lietotni, apmeklētās vietnes, video sarunas un daudz ko citu. Papildus faktiskajiem datiem šīs paketes ietver metadatus, kas identificē trafika avotu, saturu, galamērķi un citu svarīgu informāciju. Izmantojot pakešu filtrēšanas tehnoloģiju, datus var nepārtraukti uzraudzīt un pārvaldīt, lai pārliecinātos, ka tie tiek pārsūtīti uz pareizo vietu. Bet, lai nodrošinātu tīkla drošību, tradicionālā pakešu filtrēšana nebūt nav pietiekami. Dažas no galvenajām dziļās pakešu pārbaudes metodēm tīkla pārvaldībā ir uzskaitītas zemāk:
Saskaņošanas režīms/paraksts
Katrai paketei tiek pārbaudīta spēle pret ugunsmūra ar zināmu tīkla uzbrukumu datu bāzi ar ielaušanās atklāšanas sistēmas (IDS) iespējām. ID meklē zināmus ļaunprātīgus specifiskus modeļus un atspējo satiksmi, kad tiek atrasti ļaunprātīgi raksti. Parakstu saskaņošanas politikas trūkums ir tāds, ka tā attiecas tikai uz parakstiem, kas bieži tiek atjaunināti. Turklāt šī tehnoloģija var aizstāvēties tikai pret zināmiem draudiem vai uzbrukumiem.
Protokola izņēmums
Tā kā protokola izņēmuma paņēmiens ne tikai pieļauj visus datus, kas neatbilst paraksta datu bāzei, IDS ugunsmūra izmantotajam protokola izņēmuma paņēmienam nav raksturīgā modeļa/paraksta saskaņošanas metodes raksturīgo trūkumu. Tā vietā tā pieņem noklusējuma noraidīšanas politiku. Pēc protokola definīcijas ugunsmūri izlemj, kāda trafika ir jāatļauj, un aizsargā tīklu no nezināmiem draudiem.
Ielaušanas profilakses sistēma (IPS)
IPS risinājumi var bloķēt kaitīgo pakešu pārraidi, pamatojoties uz to saturu, tādējādi pārtraukt aizdomās par uzbrukumiem reālā laikā. Tas nozīmē, ka, ja pakete atspoguļo zināmu drošības risku, IP proaktīvi bloķēs tīkla trafiku, pamatojoties uz noteiktu noteikumu kopumu. Viens no IPS trūkumiem ir nepieciešamība regulāri atjaunināt kiberdraudu datu bāzi ar informāciju par jauniem draudiem un viltus pozitīvu iespēju. Bet šīs briesmas var mazināt, izveidojot konservatīvu politiku un pielāgotus sliekšņus, izveidojot atbilstošu bāzes izturēšanos tīkla komponentiem un periodiski novērtējot brīdinājumus un ziņotos notikumus, lai uzlabotu uzraudzību un brīdināšanu.
1- DPI (dziļa pakešu pārbaude) tīkla pakešu brokerī
"Dziļais" ir līmenis un parasts pakešu analīzes salīdzinājums, "parastā pakešu pārbaude" Tikai šāda IP paketes 4 slāņa analīze, ieskaitot avota adresi, mērķa adresi, avota portu, mērķa portu un protokola tipu un DPI, izņemot hierarhisko analīzi, arī palielināja lietojumprogrammu slāņa analīzi, identificē dažādas lietojumprogrammas un saturu, lai realizētu galvenās funkcijas:
1) Lietojumprogrammu analīze - tīkla trafika sastāva analīze, veiktspējas analīze un plūsmas analīze
2) Lietotāju analīze - lietotāju grupas diferenciācija, uzvedības analīze, termināļa analīze, tendenču analīze utt.
3) Tīkla elementu analīze - analīze, kuras pamatā ir reģionālie atribūti (pilsēta, rajons, iela utt.) Un pamatstaciju slodze
4) Satiksmes kontrole - P2P ātruma ierobežošana, QoS nodrošināšana, joslas platuma nodrošināšana, tīkla resursu optimizācija utt.
5) Drošības nodrošināšana - DDoS uzbrukumi, datu apraides vētra, ļaunprātīgu vīrusu uzbrukumu novēršana utt.
2- Tīkla lietojumprogrammu vispārējā klasifikācija
Mūsdienās internetā ir neskaitāmas lietojumprogrammas, taču kopējās tīmekļa lietojumprogrammas var būt izsmeļošas.
Cik es zinu, labākais lietotņu atpazīšanas uzņēmums ir Huawei, kas apgalvo, ka atpazīst 4000 lietotnes. Protokola analīze ir daudzu ugunsmūra uzņēmumu (Huawei, ZTE utt.) Pamata modulis, un tas ir arī ļoti svarīgs modulis, kas atbalsta citu funkcionālo moduļu realizāciju, precīzu lietojumprogrammu identificēšanu un ievērojami uzlabojot produktu veiktspēju un uzticamību. Modelējot ļaunprātīgas programmatūras identifikāciju, pamatojoties uz tīkla trafika raksturlielumiem, kā es daru tagad, ļoti svarīga ir arī precīza un plaša protokola identificēšana. Izņemot uzņēmuma eksporta trafika tīkla trafiku no uzņēmuma eksporta trafika, atlikušā trafika veidos nelielu proporciju, kas ir labāka ļaunprātīgas programmatūras analīzei un trauksmei.
Balstoties uz manu pieredzi, esošās parasti izmantotās lietojumprogrammas tiek klasificētas atbilstoši to funkcijām:
PS: Saskaņā ar personīgo izpratni par lietojumprogrammas klasifikāciju, jums ir kādi labi ieteikumi, laipni lūdzam atstāt ziņojuma priekšlikumu
1). E-pasts
2). Video
3). Spēles
4). Office OA klase
5). Programmatūras atjauninājums
6). Finanšu (Bank, Alipay)
7). Krājums
8). Sociālā komunikācija (IM programmatūra)
9). Tīmekļa pārlūkošana (iespējams, labāk identificēta ar URL)
10). Lejupielādes rīki (tīmekļa disks, P2P Download, BT saistīta)
Tad kā DPI (dziļa pakešu pārbaude) darbojas NPB:
1). Pakešu uztveršana: NPB uztver tīkla trafiku no dažādiem avotiem, piemēram, slēdžiem, maršrutētājiem vai pieskārieniem. Tas saņem paketes, kas plūst caur tīklu.
2). Pakešu parsēšana: notvertās paketes tiek parsētas ar NPB, lai iegūtu dažādus protokola slāņus un saistītos datus. Šis parsēšanas process palīdz identificēt dažādus komponentus paketēs, piemēram, Ethernet galvenes, IP galvenes, transporta slāņu galvenes (piemēram, TCP vai UDP) un lietojumprogrammu slāņa protokolus.
3). Lietderīgās slodzes analīze: Izmantojot DPI, NPB pārsniedz galvenes pārbaudi un koncentrējas uz kravu, ieskaitot faktiskos datus paketēs. Tas padziļināti pārbauda kravas saturu neatkarīgi no izmantotā lietojumprogrammas vai protokola, lai iegūtu atbilstošu informāciju.
4). Protokola identifikācija: DPI ļauj NPB noteikt īpašos protokolus un lietojumprogrammas, kas tiek izmantotas tīkla trafikā. Tas var noteikt un klasificēt protokolus, piemēram, HTTP, FTP, SMTP, DNS, VoIP vai video straumēšanas protokolus.
5). Satura pārbaude: DPI ļauj NPB pārbaudīt pakešu saturu, vai nav konkrētu modeļu, parakstu vai atslēgvārdu. Tas ļauj atklāt tīkla draudus, piemēram, ļaunprātīgu programmatūru, vīrusus, ielaušanās mēģinājumus vai aizdomīgas darbības. DPI var izmantot arī satura filtrēšanai, tīkla politikas ieviešanai vai datu atbilstības pārkāpumu identificēšanai.
6). Metadatu ekstrakcija: DPI laikā NPB ekstraktē attiecīgos metadatus no paketēm. Tas var ietvert tādu informāciju kā avota un mērķa IP adreses, porta numuri, sesijas informācija, darījumu dati vai citi attiecīgie atribūti.
7). Satiksmes maršrutēšana vai filtrēšana: Balstoties uz DPI analīzi, NPB var novirzīt īpašas paketes uz norādītajiem galamērķiem turpmākai apstrādei, piemēram, drošības ierīcēm, uzraudzības rīkiem vai analītikas platformām. Tas var arī piemērot filtrēšanas noteikumus, lai izmestu vai novirzītu paketes, pamatojoties uz identificēto saturu vai modeļiem.
Pasta laiks: 20. jūnijs-2023
