Tīkla pakešu brokera lietojumprogrammas identifikācija, pamatojoties uz DPI — dziļa pakešu pārbaude

Dziļā pakešu pārbaude (DPI)ir tehnoloģija, ko izmanto tīkla pakešu brokeros (NPB), lai pārbaudītu un analizētu tīkla pakešu saturu granulētā līmenī. Tas ietver lietderīgās slodzes, galvenes un citas ar protokolu saistītas informācijas pārbaudi paketēs, lai iegūtu detalizētu ieskatu tīkla trafikā.

DPI pārsniedz vienkāršu galvenes analīzi un sniedz dziļu izpratni par datiem, kas plūst caur tīklu. Tas ļauj padziļināti pārbaudīt lietojumprogrammas slāņa protokolus, piemēram, HTTP, FTP, SMTP, VoIP vai video straumēšanas protokolus. Pārbaudot pakešu faktisko saturu, DPI var atklāt un identificēt noteiktas lietojumprogrammas, protokolus vai pat konkrētus datu modeļus.

Papildus avota adrešu, galamērķa adrešu, avota portu, galamērķa portu un protokolu tipu hierarhiskajai analīzei DPI pievieno arī lietojumprogrammu slāņa analīzi, lai identificētu dažādas lietojumprogrammas un to saturu. Kad 1P pakete, TCP vai UDP dati plūst caur joslas platuma pārvaldības sistēmu, kuras pamatā ir DPI tehnoloģija, sistēma nolasa 1P pakešu ielādes saturu, lai reorganizētu lietojumprogrammas slāņa informāciju OSI Layer 7 protokolā, lai iegūtu visu lietojumprogrammu un pēc tam veidojot trafiku saskaņā ar sistēmas definēto pārvaldības politiku.

Kā darbojas DPI?

Tradicionālajiem ugunsmūriem bieži trūkst apstrādes jaudas, lai veiktu rūpīgas reāllaika pārbaudes liela apjoma trafikam. Tehnoloģijai attīstoties, DPI var izmantot, lai veiktu sarežģītākas pārbaudes, lai pārbaudītu galvenes un datus. Parasti ugunsmūri ar ielaušanās atklāšanas sistēmām bieži izmanto DPI. Pasaulē, kurā digitālā informācija ir vissvarīgākā, katra digitālā informācija tiek piegādāta internetā mazās paketēs. Tas ietver e-pastu, ziņojumus, kas nosūtīti, izmantojot lietotni, apmeklētās vietnes, video sarunas un daudz ko citu. Papildus faktiskajiem datiem šīs paketes ietver metadatus, kas identificē trafika avotu, saturu, galamērķi un citu svarīgu informāciju. Izmantojot pakešu filtrēšanas tehnoloģiju, datus var nepārtraukti uzraudzīt un pārvaldīt, lai nodrošinātu, ka tie tiek pārsūtīti uz pareizo vietu. Taču, lai nodrošinātu tīkla drošību, ar tradicionālo pakešu filtrēšanu nebūt nepietiek. Tālāk ir norādītas dažas no galvenajām pakešu dziļās pārbaudes metodēm tīkla pārvaldībā:

Atbilstības režīms/paraksts

Ugunsmūris ar ielaušanās noteikšanas sistēmas (IDS) iespējām pārbauda katras paketes atbilstību zināmo tīkla uzbrukumu datubāzei. IDS meklē zināmus ļaunprātīgus konkrētus modeļus un atspējo trafiku, kad tiek atrasti ļaunprātīgi modeļi. Parakstu atbilstības politikas trūkums ir tāds, ka tā attiecas tikai uz parakstiem, kas tiek bieži atjaunināti. Turklāt šī tehnoloģija var aizsargāties tikai pret zināmiem draudiem vai uzbrukumiem.

DPI

Protokola izņēmums

Tā kā protokola izņēmuma paņēmiens vienkārši neatļauj visus datus, kas neatbilst parakstu datu bāzei, IDS ugunsmūra izmantotajai protokola izņēmuma tehnikai nav raksturīgo rakstura/parakstu saskaņošanas metodes trūkumu. Tā vietā tiek pieņemta noklusējuma noraidīšanas politika. Pēc protokola definīcijas ugunsmūri izlemj, kāda trafika ir jāatļauj, un aizsargā tīklu no nezināmiem draudiem.

Ielaušanās novēršanas sistēma (IPS)

IPS risinājumi var bloķēt kaitīgu pakešu pārsūtīšanu, pamatojoties uz to saturu, tādējādi apturot iespējamos uzbrukumus reāllaikā. Tas nozīmē, ka, ja pakete rada zināmu drošības risku, IPS proaktīvi bloķēs tīkla trafiku, pamatojoties uz noteiktu noteikumu kopumu. Viens no IPS trūkumiem ir nepieciešamība regulāri atjaunināt kiberdraudu datubāzi ar informāciju par jauniem draudiem un viltus pozitīvu rezultātu iespējamību. Taču šīs briesmas var mazināt, izveidojot konservatīvas politikas un pielāgotus sliekšņus, izveidojot atbilstošu tīkla komponentu bāzes darbību un periodiski novērtējot brīdinājumus un ziņotos notikumus, lai uzlabotu uzraudzību un brīdinājumus.

1. DPI (dziļā pakešu pārbaude) tīkla pakešu brokerī

"Dziļi" ir līmeņa un parastās pakešu analīzes salīdzinājums, "parastā pakešu pārbaude" ir tikai šāda IP pakešu 4. slāņa analīze, ieskaitot avota adresi, galamērķa adresi, avota portu, galamērķa portu un protokola veidu un DPI, izņemot ar hierarhisko. analīzi, arī palielināja lietojumprogrammu slāņa analīzi, identificē dažādas lietojumprogrammas un saturu, lai realizētu galvenās funkcijas:

1) Lietojumprogrammu analīze — tīkla trafika sastāva analīze, veiktspējas analīze un plūsmas analīze

2) Lietotāju analīze - lietotāju grupu diferencēšana, uzvedības analīze, termināļa analīze, tendenču analīze utt.

3) Tīkla elementu analīze — analīze, pamatojoties uz reģionālajiem atribūtiem (pilsēta, rajons, iela utt.) un bāzes stacijas slodzi

4) Traffic Control -- P2P ātruma ierobežošana, QoS garantija, joslas platuma nodrošināšana, tīkla resursu optimizācija utt.

5) Drošības garantija - DDoS uzbrukumi, datu pārraides vētra, ļaunprātīgu vīrusu uzbrukumu novēršana utt.

2- Tīkla lietojumprogrammu vispārīgā klasifikācija

Mūsdienās internetā ir neskaitāmas lietojumprogrammas, taču parastās tīmekļa lietojumprogrammas var būt izsmeļošas.

Cik man zināms, labākā lietotņu atpazīšanas kompānija ir Huawei, kas apgalvo, ka atpazīst 4000 lietotņu. Protokola analīze ir daudzu ugunsmūra uzņēmumu (Huawei, ZTE uc) pamata modulis, un tas ir arī ļoti svarīgs modulis, kas atbalsta citu funkcionālo moduļu realizāciju, precīzu lietojumprogrammu identificēšanu un ievērojami uzlabo produktu veiktspēju un uzticamību. Modelējot ļaunprātīgas programmatūras identificēšanu, pamatojoties uz tīkla trafika raksturlielumiem, kā es to daru tagad, ļoti svarīga ir arī precīza un plaša protokola identifikācija. Izslēdzot izplatīto lietojumprogrammu tīkla trafiku no uzņēmuma eksporta trafika, atlikušā trafika daļa veidos nelielu daļu, kas ir labāka ļaunprātīgas programmatūras analīzei un trauksmei.

Pamatojoties uz manu pieredzi, esošās plaši izmantotās lietojumprogrammas tiek klasificētas pēc to funkcijām:

PS. Saskaņā ar personīgo izpratni par lietojumprogrammu klasifikāciju jums ir kādi labi ieteikumi, laipni lūdzam atstāt ziņojuma priekšlikumu

1). E-pasts

2). Video

3). Spēles

4). Biroja OA klase

5). Programmatūras atjaunināšana

6). Finanšu (banka, Alipay)

7). Akcijas

8). Sociālā saziņa (IM programmatūra)

9). Tīmekļa pārlūkošana (iespējams, labāk identificējama ar URL)

10). Lejupielādes rīki (tīmekļa disks, P2P lejupielāde, saistīti ar BT)

20191210153150_32811

Pēc tam, kā DPI (Deep Packet Inspection) darbojas NPB:

1). Pakešu uztveršana: NPB uztver tīkla trafiku no dažādiem avotiem, piemēram, slēdžiem, maršrutētājiem vai pieskārieniem. Tas saņem paketes, kas plūst caur tīklu.

2). Pakešu parsēšana: NPB parsē uzņemtās paketes, lai iegūtu dažādus protokola slāņus un saistītos datus. Šis parsēšanas process palīdz identificēt dažādus paketes komponentus, piemēram, Ethernet galvenes, IP galvenes, transporta slāņa galvenes (piemēram, TCP vai UDP) un lietojumprogrammu slāņa protokolus.

3). Lietderīgās slodzes analīze: izmantojot DPI, NPB pārsniedz galvenes pārbaudi un koncentrējas uz lietderīgo slodzi, tostarp pakešu faktiskajiem datiem. Tā padziļināti pārbauda lietderīgās slodzes saturu neatkarīgi no izmantotās lietojumprogrammas vai protokola, lai iegūtu attiecīgo informāciju.

4). Protokola identifikācija: DPI ļauj NPB identificēt konkrētos protokolus un lietojumprogrammas, kas tiek izmantotas tīkla trafikā. Tas var noteikt un klasificēt protokolus, piemēram, HTTP, FTP, SMTP, DNS, VoIP vai video straumēšanas protokolus.

5). Satura pārbaude: DPI ļauj NPB pārbaudīt pakešu saturu, lai noteiktu konkrētus modeļus, parakstus vai atslēgvārdus. Tas ļauj noteikt tīkla apdraudējumus, piemēram, ļaunprātīgu programmatūru, vīrusus, ielaušanās mēģinājumus vai aizdomīgas darbības. DPI var izmantot arī satura filtrēšanai, tīkla politiku ieviešanai vai datu atbilstības pārkāpumu identificēšanai.

6). Metadatu ekstrakcija: DPI laikā NPB no paketēm izvelk attiecīgos metadatus. Tas var ietvert informāciju, piemēram, avota un galamērķa IP adreses, portu numurus, sesijas informāciju, darījumu datus vai citus atbilstošus atribūtus.

7). Trafika maršrutēšana vai filtrēšana: pamatojoties uz DPI analīzi, NPB var novirzīt noteiktas paketes uz noteiktiem galamērķiem tālākai apstrādei, piemēram, drošības ierīcēm, uzraudzības rīkiem vai analīzes platformām. Tā var arī piemērot filtrēšanas noteikumus, lai atmestu vai novirzītu paketes, pamatojoties uz identificēto saturu vai modeļiem.

ML-NPB-5660 3d


Izlikšanas laiks: 25.06.2023