Глибока перевірка пакетів (DPI)це технологія, яка використовується в брокерах мережевих пакетів (NPB) для перевірки та аналізу вмісту мережевих пакетів на детальному рівні. Він передбачає перевірку корисного навантаження, заголовків та іншої інформації, що стосується протоколу, у пакетах, щоб отримати детальну інформацію про мережевий трафік.
DPI виходить за рамки простого аналізу заголовків і забезпечує глибоке розуміння даних, що проходять через мережу. Це дозволяє детально перевіряти протоколи прикладного рівня, такі як HTTP, FTP, SMTP, VoIP або протоколи потокового відео. Досліджуючи фактичний вміст пакетів, DPI може виявляти та ідентифікувати конкретні програми, протоколи або навіть конкретні шаблони даних.
На додаток до ієрархічного аналізу адрес джерела, адрес призначення, портів джерела, портів призначення та типів протоколів, DPI також додає аналіз прикладного рівня для ідентифікації різних програм та їхнього вмісту. Коли пакети 1P, дані TCP або UDP проходять через систему керування смугою пропускання на основі технології DPI, система зчитує вміст завантаження пакетів 1P, щоб реорганізувати інформацію про прикладний рівень у протоколі рівня 7 OSI, щоб отримати вміст всю прикладну програму, а потім формувати трафік відповідно до політики керування, визначеної системою.
Як працює DPI?
Традиційним брандмауерам часто не вистачає обчислювальної потужності для виконання ретельних перевірок у реальному часі великих обсягів трафіку. У міру розвитку технологій DPI можна використовувати для виконання більш складних перевірок для перевірки заголовків і даних. Як правило, брандмауери з системами виявлення вторгнень часто використовують DPI. У світі, де цифрова інформація має першорядне значення, кожна частина цифрової інформації доставляється через Інтернет невеликими пакетами. Це стосується електронної пошти, повідомлень, надісланих через додаток, відвіданих веб-сайтів, відеорозмов тощо. Окрім фактичних даних, ці пакети містять метадані, які ідентифікують джерело трафіку, вміст, призначення та іншу важливу інформацію. Завдяки технології фільтрації пакетів дані можна безперервно відстежувати та керувати ними, щоб забезпечити їх пересилання в потрібне місце. Але для забезпечення безпеки мережі традиційної фільтрації пакетів далеко недостатньо. Деякі з основних методів глибокої перевірки пакетів в управлінні мережею перераховані нижче:
Режим відповідності/підпис
Кожен пакет перевіряється на відповідність базі даних відомих мережевих атак за допомогою брандмауера з можливостями системи виявлення вторгнень (IDS). IDS шукає відомі зловмисні конкретні шаблони та вимикає трафік у разі виявлення зловмисних шаблонів. Недоліком політики відповідності підписів є те, що вона застосовується лише до підписів, які часто оновлюються. Крім того, ця технологія може захистити лише від відомих загроз або атак.
Виняток протоколу
Оскільки метод виключення протоколу не просто дозволяє всі дані, які не відповідають базі даних підписів, метод виключення протоколу, який використовується брандмауером IDS, не має властивих недоліків методу зіставлення шаблону/підпису. Замість цього він приймає стандартну політику відхилення. За визначенням протоколу брандмауери вирішують, який трафік слід дозволити, і захищають мережу від невідомих загроз.
Система запобігання вторгненням (IPS)
Рішення IPS можуть блокувати передачу шкідливих пакетів на основі їх вмісту, тим самим зупиняючи підозрювані атаки в режимі реального часу. Це означає, що якщо пакет представляє відомий ризик безпеки, IPS проактивно блокуватиме мережевий трафік на основі визначеного набору правил. Одним із недоліків IPS є необхідність регулярно оновлювати базу даних кіберзагроз з інформацією про нові загрози та ймовірність помилкових спрацьовувань. Але цю небезпеку можна пом’якшити шляхом створення консервативних політик і спеціальних порогових значень, встановлення належної базової поведінки для мережевих компонентів і періодичної оцінки попереджень і повідомлених подій для покращення моніторингу та оповіщення.
1- DPI (Глибока перевірка пакетів) у Network Packet Broker
«Глибокий» — це порівняння рівня та звичайного аналізу пакетів, «звичайна перевірка пакетів» — лише наступний аналіз рівня IP-пакетів 4, включаючи адресу джерела, адресу призначення, порт джерела, порт призначення та тип протоколу та DPI, за винятком ієрархічного аналізу, а також збільшив аналіз прикладного рівня, ідентифікував різні програми та вміст, щоб реалізувати основні функції:
1) Аналіз додатків — аналіз складу мережевого трафіку, аналіз продуктивності та аналіз потоку
2) Аналіз користувачів -- диференціація груп користувачів, аналіз поведінки, аналіз терміналів, аналіз тенденцій тощо.
3) Аналіз елементів мережі -- аналіз на основі регіональних атрибутів (місто, район, вулиця тощо) і навантаження на базову станцію
4) Контроль трафіку — обмеження швидкості P2P, забезпечення якості обслуговування, забезпечення пропускної здатності, оптимізація мережевих ресурсів тощо.
5) Гарантія безпеки -- DDoS-атаки, шторм трансляції даних, запобігання атакам шкідливих вірусів тощо.
2- Загальна класифікація мережевих додатків
Сьогодні в Інтернеті існує незліченна кількість програм, але загальні веб-програми можуть бути вичерпними.
Наскільки я знаю, найкращою компанією з розпізнавання програм є Huawei, яка стверджує, що розпізнає 4000 програм. Аналіз протоколів є основним модулем багатьох компаній-брандмауерів (Huawei, ZTE тощо), а також дуже важливим модулем, який підтримує реалізацію інших функціональних модулів, точну ідентифікацію додатків і значно покращує продуктивність і надійність продуктів. У моделюванні ідентифікації зловмисного програмного забезпечення на основі характеристик мережевого трафіку, як я зараз роблю, точна та широка ідентифікація протоколу також дуже важлива. Якщо виключити мережевий трафік звичайних програм із експортного трафіку компанії, трафік, що залишився, становитиме невелику частку, що краще для аналізу зловмисного програмного забезпечення та сигналізації.
Виходячи з мого досвіду, існуючі програми, які часто використовуються, класифіковані відповідно до їх функцій:
PS: Відповідно до особистого розуміння класифікації програми, у вас є будь-які гарні пропозиції, ласкаво просимо залишити пропозицію повідомлення
1). Електронна пошта
2). відео
3). Ігри
4). Офіс класу ОА
5). Оновлення програмного забезпечення
6). Фінансовий (банк, Alipay)
7). Акції
8). Соціальні комунікації (програмне забезпечення для обміну миттєвими повідомленнями)
9). Перегляд веб-сторінок (ймовірно, краще ідентифікувати за URL-адресами)
10). Інструменти завантаження (веб-диск, завантаження P2P, пов’язані з BT)
Потім, як DPI (Deep Packet Inspection) працює в NPB:
1). Перехоплення пакетів: NPB фіксує мережевий трафік з різних джерел, таких як комутатори, маршрутизатори або крани. Він отримує пакети, що проходять через мережу.
2). Розбір пакетів: захоплені пакети аналізуються NPB для вилучення різних рівнів протоколу та пов’язаних даних. Цей процес синтаксичного аналізу допомагає ідентифікувати різні компоненти всередині пакетів, такі як заголовки Ethernet, заголовки IP, заголовки транспортного рівня (наприклад, TCP або UDP) і протоколи прикладного рівня.
3). Аналіз корисного навантаження: за допомогою DPI NPB виходить за рамки перевірки заголовків і зосереджується на корисному навантаженні, включаючи фактичні дані в пакетах. Він детально перевіряє вміст корисного навантаження, незалежно від використовуваної програми чи протоколу, щоб отримати відповідну інформацію.
4). Ідентифікація протоколу: DPI дозволяє NPB ідентифікувати конкретні протоколи та програми, що використовуються в мережевому трафіку. Він може виявляти та класифікувати такі протоколи, як HTTP, FTP, SMTP, DNS, VoIP або протоколи потокового відео.
5). Перевірка вмісту: DPI дозволяє NPB перевіряти вміст пакетів на наявність певних шаблонів, підписів або ключових слів. Це дозволяє виявляти мережеві загрози, такі як зловмисне програмне забезпечення, віруси, спроби вторгнень або підозрілі дії. DPI також можна використовувати для фільтрації вмісту, застосування мережевих політик або виявлення порушень відповідності даних.
6). Вилучення метаданих: під час DPI NPB витягує відповідні метадані з пакетів. Це може включати таку інформацію, як IP-адреси джерела та призначення, номери портів, деталі сеансу, дані транзакцій або будь-які інші відповідні атрибути.
7). Маршрутизація або фільтрація трафіку: на основі аналізу DPI NPB може направляти певні пакети до визначених пунктів призначення для подальшої обробки, таких як пристрої безпеки, інструменти моніторингу або аналітичні платформи. Він також може застосовувати правила фільтрації для відхилення або перенаправлення пакетів на основі ідентифікованого вмісту або шаблонів.
Час публікації: 25 червня 2023 р