Inspekcija dubokog paketa (DPI)je tehnologija koja se koristi u mrežnim brokerima paketa (NPBS) za pregled i analizu sadržaja mrežnih paketa na granuliranoj razini. To uključuje ispitivanje korisnog opterećenja, zaglavlja i drugih podataka specifičnih za protokol u paketima kako bi se dobili detaljni uvid u mrežni promet.
DPI nadilazi jednostavnu analizu zaglavlja i pruža duboko razumijevanje podataka koji teku kroz mrežu. Omogućuje dubinski pregled protokola sloja primjene, kao što su HTTP, FTP, SMTP, VoIP ili protokoli streaminga videozapisa. Ispitujući stvarni sadržaj unutar paketa, DPI može otkriti i identificirati specifične aplikacije, protokole ili čak specifične obrasce podataka.
Pored hijerarhijske analize adresa izvora, odredišnih adresa, izvora priključaka, odredišnih priključaka i vrsta protokola, DPI također dodaje analizu sloja aplikacije za identificiranje različitih aplikacija i njihovih sadržaja. Kada 1P paket, TCP ili UDP podaci prolaze kroz sustav upravljanja propusnošću na temelju DPI tehnologije, sustav čita sadržaj opterećenja paketa 1P kako bi reorganizirao podatke o aplikacijskom sloju u protokolu OSI sloja 7, kako bi dobio sadržaj cijelog programa aplikacije, a zatim oblikovanje prometa u skladu s politikom upravljanja.
Kako DPI djeluje?
Tradicionalni vatrozidovi često nedostaju moć obrade za provođenje temeljitog provjera u stvarnom vremenu na velikim količinama prometa. Kako tehnologija napreduje, DPI se može koristiti za obavljanje složenijih provjera za provjeru zaglavlja i podataka. Obično, vatrozidovi sa sustavima za otkrivanje upada često koriste DPI. U svijetu u kojem su digitalne informacije najvažnije, svaki dio digitalnih informacija isporučuje se putem Interneta u malim paketima. To uključuje e -poštu, poruke poslane putem aplikacije, posjećene web stranice, video razgovore i još mnogo toga. Pored stvarnih podataka, ovi paketi uključuju metapodate koji identificiraju izvor prometa, sadržaj, odredište i druge važne informacije. Pomoću tehnologije filtriranja paketa, podaci se mogu kontinuirano nadzirati i upravljati kako bi se osiguralo da se proslijedi na pravo mjesto. Ali kako bi se osigurala sigurnost mreže, tradicionalno filtriranje paketa još nije dovoljno. Neke od glavnih metoda inspekcije dubokog paketa u upravljanju mrežom navedene su u nastavku:
Način podudaranja/potpis
Svaki se paket provjerava na podudaranje s bazom podataka poznatih mrežnih napada pomoću vatrozida s mogućnostima sustava za otkrivanje upada (IDS). IDS traži poznate zlonamjerne specifične obrasce i onemogućuje promet kada se nađu zlonamjerni uzorci. Nedostatak politike podudaranja potpisa je taj što se odnosi samo na potpise koji se često ažuriraju. Pored toga, ova tehnologija može se braniti samo od poznatih prijetnji ili napada.
Izuzetak protokola
Budući da tehnika iznimke protokola ne dopušta jednostavno sve podatke koji ne odgovaraju bazi podataka s potpisom, tehnika iznimke protokola koju koristi vatrozid IDS -a nema inherentne nedostatke metode podudaranja uzorka/potpisa. Umjesto toga, prihvaća zadanu politiku odbacivanja. Po definiciji protokola, vatrozidovi odlučuju koji bi promet trebao biti dozvoljen i zaštititi mrežu od nepoznatih prijetnji.
Sustav za prevenciju upada (IPS)
IPS Solutions može blokirati prijenos štetnih paketa na temelju njihovog sadržaja, zaustavljajući sumnju na napade u stvarnom vremenu. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na temelju definiranog skupa pravila. Jedan nedostatak IPS -a je potreba za redovitom ažuriranjem baze podataka o cyber prijetnji s detaljima o novim prijetnjama i mogućnošću lažnih pozitivnih rezultata. Ali ta se opasnost može ublažiti stvaranjem konzervativnih politika i prilagođenih pragova, uspostavljanjem odgovarajućeg osnovnog ponašanja za mrežne komponente i povremeno procjenom upozorenja i prijavljenih događaja za poboljšanje nadzora i upozorenja.
1- DPI (duboki inspekcija paketa) u brokeru mrežnog paketa
"Duboka" je ravna i uobičajena usporedba analize paketa, "uobičajeni pregled paketa" samo sljedeća analiza sloja IP paketa 4, uključujući adresu izvora, adresu odredišta, izvorni priključak, odredišni priključak i vrstu protokola i DPI, osim s hijerarhijskom analizom, također je povećao analizu sloja aplikacije, identificirati različite aplikacije i sadržaj, kako bi se realizirale glavne funkcije:
1) Analiza aplikacije - Analiza sastava mrežnog prometa, analiza performansi i analiza protoka
2) Analiza korisnika - Diferencijacija korisničke grupe, analiza ponašanja, analiza terminala, analiza trendova itd.
3) Analiza mrežnih elemenata - Analiza na temelju regionalnih atributa (grad, okrug, ulica itd.) I opterećenja bazne stanice
4) Kontrola prometa - Ograničavanje brzine P2P, osiguranje QOS -a, osiguranje propusnosti, optimizacija mrežnih resursa itd.
5) Sigurnosno osiguranje - napadi DDOS -a, oluja s emitiranjem podataka, sprječavanje zlonamjernih napada virusa itd.
2- Opće klasifikacija mrežnih aplikacija
Danas na Internetu postoji bezbroj aplikacija, ali uobičajene web aplikacije mogu biti iscrpne.
Koliko znam, najbolja tvrtka za prepoznavanje aplikacija je Huawei, koja tvrdi da priznaje 4.000 aplikacija. Analiza protokola osnovni je modul mnogih tvrtki za vatrozid (Huawei, ZTE itd.), A također je vrlo važan modul, koji podržava realizaciju drugih funkcionalnih modula, točnu identifikaciju aplikacije i uvelike poboljšava performanse i pouzdanost proizvoda. U modeliranju identifikacije zlonamjernog softvera na temelju karakteristika mrežnog prometa, kao što to radim, točna i opsežna identifikacija protokola također je vrlo važna. Izuzevši mrežni promet uobičajenih aplikacija iz izvoznog prometa Društva, preostali promet će objasniti mali udio, što je bolje za analizu i alarm zlonamjernog softvera.
Na temelju mog iskustva, postojeće najčešće korištene aplikacije klasificirane su prema njihovim funkcijama:
PS: Prema osobnom razumijevanju klasifikacije aplikacije, imate bilo kakve dobre prijedloge da ostavite prijedlog za poruku
1). E-mail
2). Video
3). Igre
4). Office OA klasa
5). Ažuriranje softvera
6). Financijska (banka, Alipay)
7). Zalihe
8). Društvena komunikacija (IM softver)
9). Internetsko pregledavanje (vjerojatno bolje identificirano s URL -ovima)
10). Preuzmite alate (web disk, P2P preuzimanje, BT povezano)
Tada, kako DPI (Deep Packet Inspection) djeluje u NPB:
1). Snimanje paketa: NPB bilježi mrežni promet iz različitih izvora, poput sklopki, usmjerivača ili slavina. Prima pakete koji teku kroz mrežu.
2). Paketić Raščlanjivanje: Zarobljeni paketi raščlanjuju NPB za izvlačenje različitih slojeva protokola i pridruženih podataka. Ovaj postupak raščlanjivanja pomaže identificirati različite komponente unutar paketa, poput Ethernet zaglavlja, IP zaglavlja, zaglavlja transportnog sloja (npr. TCP ili UDP) i protokola sloja primjene.
3). Analiza korisnog opterećenja: S DPI -om, NPB nadilazi inspekciju zaglavlja i usredotočuje se na opterećenje, uključujući stvarne podatke unutar paketa. Ispituje detaljni sadržaj korisnog opterećenja, bez obzira na primjenu ili protokol koji se koristi za izvlačenje relevantnih informacija.
4). Identifikacija protokola: DPI omogućuje NPB -u da identificira specifične protokole i aplikacije koje se koriste u mrežnom prometu. Može otkriti i klasificirati protokole poput HTTP, FTP, SMTP, DNS, VoIP ili protokole streaminga videozapisa.
5). Inspekcija sadržaja: DPI omogućuje NPB -u da pregleda sadržaj paketa za određene uzorke, potpise ili ključne riječi. To omogućava otkrivanje mrežnih prijetnji, poput zlonamjernog softvera, virusa, pokušaja upada ili sumnjivih aktivnosti. DPI se također može koristiti za filtriranje sadržaja, provođenje mrežnih pravila ili identificiranje kršenja usklađenosti podataka.
6). Ekstrakcija metapodataka: Tijekom DPI -a, NPB ekstrahira relevantne metapodatke iz paketa. To može uključivati informacije kao što su izvorni i odredišni IP adrese, brojevi priključaka, detalje sesije, podaci o transakcijama ili bilo koji drugi relevantni atributi.
7). Usmjeravanje ili filtriranje prometa: Na temelju DPI analize, NPB može usmjeriti specifične pakete na određene destinacije za daljnju obradu, poput sigurnosnih uređaja, alata za praćenje ili analitičkih platformi. Također može primijeniti pravila filtriranja za odbacivanje ili preusmjeravanje paketa na temelju identificiranog sadržaja ili uzoraka.
Post Vrijeme: lipnja-25-2023