Глибокий огляд пакетів (DPI)- це технологія, що використовується в брокерах мережевих пакетів (NPBS) для огляду та аналізу вмісту мережевих пакетів на детальному рівні. Він передбачає вивчення корисної навантаження, заголовків та іншої інформації, що стосується протоколу, в пакетах, щоб отримати детальну інформацію про мережевий трафік.
DPI виходить за рамки простого аналізу заголовків і дає глибоке розуміння даних, що протікають через мережу. Це дозволяє поглиблити протоколи програми застосування, такі як HTTP, FTP, SMTP, VOIP або протоколи потокового потоку відео. Вивчаючи фактичний вміст у пакетах, DPI може виявити та визначити конкретні програми, протоколи або навіть конкретні схеми даних.
На додаток до ієрархічного аналізу джерел-адрес, адрес призначення, портів джерел, портів призначення та типів протоколу, DPI також додає аналізу додатків для визначення різних програм та їх вмісту. Коли пакет 1P, дані TCP або UDP надходять через систему управління пропускною здатністю на основі технології DPI, система читає вміст завантаження пакетів 1P для реорганізації інформації про рівень програми в протоколу рівня 7, щоб отримати вміст всієї прикладної програми, а потім формувати трафік відповідно до політики управління, визначеної системою.
Як працює DPI?
Традиційним брандмауерам часто не вистачає обробки для проведення ретельних перевірок у реальному часі на великих обсягах трафіку. У міру просування технології DPI можна використовувати для виконання більш складних перевірок для перевірки заголовків та даних. Зазвичай брандмауери з системами виявлення вторгнень часто використовують DPI. У світі, де цифрова інформація є першорядною, кожна частина цифрової інформації доставляється через Інтернет у невеликих пакетах. Сюди входять електронна пошта, повідомлення, що надсилаються через додаток, відвідувані веб -сайти, відео розмови тощо. На додаток до фактичних даних, ці пакети включають метадані, які визначають джерело трафіку, вміст, призначення та іншу важливу інформацію. За допомогою технології фільтрації пакетів дані можна постійно контролювати та вдалося забезпечити її пересилання в потрібне місце. Але для забезпечення безпеки мережі традиційна фільтрація пакетів далеко не достатньо. Деякі з основних методів перевірки глибокого пакету в управлінні мережею наведені нижче:
Режим відповідності/підпис
Кожен пакет перевіряється на матч проти бази даних відомих мережевих атак брандмауером із можливостями системи виявлення вторгнень (IDS). IDS шукає відомі шкідливі конкретні візерунки та відключає трафік, коли виявляються шкідливі візерунки. Недолік політики відповідності підписів полягає в тому, що вона стосується лише підписів, які часто оновлюються. Крім того, ця технологія може захищатись лише від відомих загроз чи атак.
Виняток протоколу
Оскільки методика винятку протоколу не просто дозволяє всім даним, які не відповідають бази даних підписів, методика винятку протоколу, що використовується брандмауером IDS, не має притаманних недоліків методу відповідності шаблону/підпису. Натомість він приймає політику відхилення за замовчуванням. За визначенням протоколу, брандмауери вирішують, який трафік повинен бути дозволений, і захищати мережу від невідомої загрози.
Система профілактики вторгнень (IPS)
IPS Solutions може блокувати передачу шкідливих пакетів на основі їх вмісту, тим самим припинивши підозрювані атаки в режимі реального часу. Це означає, що якщо пакет представляє відомий ризик безпеки, IPS активно блокує мережевий трафік на основі визначеного набору правил. Одним недоліком IPS є необхідність регулярного оновлення бази даних кіберзагрози з деталями про нові загрози та можливість помилкових позитивних результатів. Але цю небезпеку можна пом'якшити, створивши консервативну політику та користувацькі пороги, встановлюючи відповідну базову поведінку для мережевих компонентів та періодично оцінюючи попередження та повідомляти про події для посилення моніторингу та оповіщення.
1- DPI (глибокий огляд пакетів) у брокера мережевого пакету
"Глибока" - це порівняння рівня аналізу пакетів ", звичайна перевірка пакетів" Тільки наступний аналіз шару IP пакет 4, включаючи адресу джерела, адресу призначення, порт джерела, порт призначення та тип протоколу та DPI, за винятком ієрархічного аналізу, також збільшило аналіз програми додатків, ідентифікуйте різні додатки та вміст, щоб реалізувати основні функції:
1) Аналіз додатків - Аналіз складу мережевого трафіку, аналіз ефективності та аналіз потоку
2) Аналіз користувача - диференціація групи користувачів, аналіз поведінки, аналіз терміналів, аналіз тенденцій тощо.
3) Аналіз мережевих елементів - аналіз на основі регіональних ознак (місто, район, вулиця тощо) та навантаження на базову станцію
4) Контроль трафіку - обмеження швидкості P2P, впевненість QOS, забезпечення пропускної здатності, оптимізація мережевих ресурсів тощо.
5) Забезпечення безпеки - DDOS -атаки, буря трансляції даних, запобігання шкідливим атакам вірусу тощо.
2- Загальна класифікація мережевих додатків
Сьогодні в Інтернеті є незліченна кількість додатків, але загальні веб -програми можуть бути вичерпними.
Наскільки я знаю, найкраща компанія з розпізнавання додатків - Huawei, яка стверджує, що визнає 4000 додатків. Аналіз протоколу є основним модулем багатьох компаній брандмауера (Huawei, ZTE тощо), а також є дуже важливим модулем, що підтримує реалізацію інших функціональних модулів, точну ідентифікацію додатків та значно підвищення продуктивності та надійності продукції. У моделюванні ідентифікації зловмисного програмного забезпечення на основі характеристик мережевого трафіку, як я зараз роблю, точна та широка ідентифікація протоколу також є дуже важливим. За винятком мережевого трафіку загальних додатків від експорту компанії, решта трафіку буде становити невелику частку, що краще для аналізу зловмисних програм та тривоги.
На основі мого досвіду існуючі часто використовувані програми класифікуються відповідно до їх функцій:
PS: Відповідно до особистого розуміння класифікації додатків, у вас є хороші пропозиції, ласкаво просимо залишити пропозицію повідомлення
1). Електронна пошта
2). Відео
3). Ігор
4). Офіс OA клас
5). Оновлення програмного забезпечення
6). Фінансовий (Банк, Аліпей)
7). Запаси
8). Соціальна комунікація (програмне забезпечення IM)
9). Веб -перегляд (напевно, краще ототожнюватися з URL -адресами)
10). Завантажити інструменти (веб -диск, завантаження P2P, BT, пов’язаний)
Потім, як працює DPI (глибокий огляд пакетів) у NPB:
1). Захоплення пакетів: NPB фіксує мережевий трафік з різних джерел, таких як комутатори, маршрутизатори або крани. Він отримує пакети, що протікають через мережу.
2). Парсування пакетів: Захоплені пакети розбираються NPB для вилучення різних протокольних шарів та пов'язаних з ними даних. Цей процес розбору допомагає визначити різні компоненти всередині пакетів, таких як заголовки Ethernet, заголовки IP, заголовки транспортних шарів (наприклад, TCP або UDP) та протоколи додатків.
3). Аналіз корисної навантаження: За допомогою DPI NPB виходить за рамки перевірки заголовка і фокусується на корисному навантаженні, включаючи фактичні дані в пакетах. Він вивчає вміст корисного навантаження поглиблений, незалежно від застосування програми або протоколу для отримання відповідної інформації.
4). Ідентифікація протоколу: DPI дозволяє NPB визначити конкретні протоколи та програми, що використовуються в мережевому трафіку. Він може виявити та класифікувати протоколи, такі як HTTP, FTP, SMTP, DNS, VoIP або протоколи потокового потоку відео.
5). Огляд вмісту: DPI дозволяє NPB перевіряти вміст пакетів на конкретні шаблони, підписи або ключові слова. Це дозволяє виявити мережеві загрози, такі як зловмисне програмне забезпечення, віруси, спроби вторгнення або підозрілі заходи. DPI також може використовуватися для фільтрації вмісту, застосування мережевої політики або виявлення порушень відповідності даних.
6). Вилучення метаданих: Під час DPI витягують відповідні метадані з пакетів. Це може включати інформацію, таку як IP -адреси джерела та призначення, номери портів, деталі сеансу, дані про транзакції або будь -які інші відповідні атрибути.
7). Маршрут або фільтрація трафіку: на основі аналізу DPI, NPB може направляти конкретні пакети до визначених напрямків для подальшої обробки, таких як прилади безпеки, інструменти моніторингу або платформи аналітики. Він також може застосовувати правила фільтрації для відкидання або перенаправлення пакетів на основі ідентифікованого вмісту або шаблонів.
Час посади: 25-2023 червня