Глубокая проверка пакетов (ДПИ)— это технология, используемая в брокерах сетевых пакетов (NPB) для проверки и анализа содержимого сетевых пакетов на детальном уровне. Он включает в себя проверку полезной нагрузки, заголовков и другой информации, относящейся к протоколу, в пакетах, чтобы получить подробную информацию о сетевом трафике.
DPI выходит за рамки простого анализа заголовков и обеспечивает глубокое понимание данных, проходящих через сеть. Он позволяет проводить углубленную проверку протоколов прикладного уровня, таких как HTTP, FTP, SMTP, VoIP или протоколы потокового видео. Изучая фактическое содержимое пакетов, DPI может обнаруживать и идентифицировать конкретные приложения, протоколы или даже конкретные шаблоны данных.
В дополнение к иерархическому анализу адресов источника, адресов назначения, портов источника, портов назначения и типов протоколов, DPI также добавляет анализ на уровне приложений для идентификации различных приложений и их содержимого. Когда пакет 1P, данные TCP или UDP проходят через систему управления полосой пропускания на основе технологии DPI, система считывает содержимое загрузки пакета 1P, чтобы реорганизовать информацию прикладного уровня в протоколе уровня 7 OSI, чтобы получить содержимое всю прикладную программу, а затем формирует трафик в соответствии с политикой управления, определенной системой.
Как работает ДПИ?
Традиционным межсетевым экранам часто не хватает вычислительной мощности для тщательной проверки больших объемов трафика в режиме реального времени. По мере развития технологий DPI можно использовать для выполнения более сложных проверок заголовков и данных. Обычно межсетевые экраны с системами обнаружения вторжений часто используют DPI. В мире, где цифровая информация имеет первостепенное значение, каждая часть цифровой информации доставляется через Интернет небольшими пакетами. Сюда входит электронная почта, сообщения, отправленные через приложение, посещенные веб-сайты, видеоразговоры и многое другое. Помимо самих данных, эти пакеты включают метаданные, идентифицирующие источник трафика, контент, пункт назначения и другую важную информацию. Благодаря технологии фильтрации пакетов данные можно постоянно отслеживать и управлять ими, чтобы обеспечить их пересылку в нужное место. Но для обеспечения сетевой безопасности традиционной фильтрации пакетов недостаточно. Некоторые из основных методов глубокой проверки пакетов при управлении сетью перечислены ниже:
Режим сопоставления/подпись
Каждый пакет проверяется на соответствие базе данных известных сетевых атак межсетевым экраном с возможностями системы обнаружения вторжений (IDS). IDS ищет известные вредоносные шаблоны и отключает трафик при обнаружении вредоносных шаблонов. Недостаток политики сопоставления подписей заключается в том, что она применяется только к часто обновляемым подписям. Кроме того, эта технология может защитить только от известных угроз или атак.
Исключение протокола
Поскольку метод исключения протокола не просто разрешает все данные, которые не соответствуют базе данных сигнатур, метод исключения протокола, используемый межсетевым экраном IDS, не имеет присущих методу сопоставления шаблона/сигнатуры недостатков. Вместо этого он принимает политику отклонения по умолчанию. По определению протокола межсетевые экраны решают, какой трафик следует разрешить, и защищают сеть от неизвестных угроз.
Система предотвращения вторжений (IPS)
Решения IPS могут блокировать передачу вредоносных пакетов на основе их содержимого, тем самым останавливая предполагаемые атаки в режиме реального времени. Это означает, что если пакет представляет собой известную угрозу безопасности, IPS будет активно блокировать сетевой трафик на основе определенного набора правил. Одним из недостатков IPS является необходимость регулярного обновления базы данных киберугроз с подробностями о новых угрозах, а также возможность ложных срабатываний. Но эту опасность можно смягчить, создав консервативные политики и настраиваемые пороговые значения, установив соответствующее базовое поведение для сетевых компонентов и периодически оценивая предупреждения и сообщаемые события для улучшения мониторинга и оповещения.
1- DPI (глубокая проверка пакетов) в брокере сетевых пакетов.
«Глубокий» — это сравнение уровня и обычного анализа пакетов, «обычная проверка пакетов» — только последующий анализ уровня IP-пакета 4, включая адрес источника, адрес назначения, порт источника, порт назначения и тип протокола, а также DPI, за исключением иерархического анализ, также увеличил анализ уровня приложений, идентифицировал различные приложения и контент, чтобы реализовать основные функции:
1) Анализ приложений — анализ состава сетевого трафика, анализ производительности и анализ потоков.
2) Анализ пользователей — дифференциация групп пользователей, анализ поведения, анализ терминалов, анализ тенденций и т. д.
3) Анализ сетевых элементов — анализ на основе региональных атрибутов (город, район, улица и т. д.) и нагрузки базовой станции.
4) Управление трафиком — ограничение скорости P2P, обеспечение качества обслуживания, обеспечение пропускной способности, оптимизация сетевых ресурсов и т. д.
5) Обеспечение безопасности — DDoS-атаки, широковещательный шторм данных, предотвращение вредоносных вирусных атак и т. д.
2- Общая классификация сетевых приложений
Сегодня в Интернете существует бесчисленное множество приложений, но общие веб-приложения могут оказаться исчерпывающими.
Насколько я знаю, лучшей компанией по распознаванию приложений является Huawei, которая утверждает, что распознает 4000 приложений. Анализ протокола является базовым модулем многих компаний-производителей межсетевых экранов (Huawei, ZTE и т. д.), а также очень важным модулем, поддерживающим реализацию других функциональных модулей, точную идентификацию приложений и значительно повышающим производительность и надежность продуктов. При моделировании идентификации вредоносного ПО на основе характеристик сетевого трафика, как я это делаю сейчас, также очень важна точная и обширная идентификация протокола. Если исключить сетевой трафик общих приложений из экспортного трафика компании, оставшийся трафик будет составлять небольшую долю, что лучше подходит для анализа вредоносных программ и сигнализации.
Исходя из моего опыта, существующие часто используемые приложения классифицируются по своим функциям:
PS: В соответствии с личным пониманием классификации приложений, у вас есть хорошие предложения, оставьте сообщение.
1). Электронная почта
2). Видео
3). Игры
4). Офис класса ОА
5). Обновление программного обеспечения
6). Финансовые (банк, Alipay)
7). Акции
8). Социальная коммуникация (программное обеспечение IM)
9). Просмотр веб-страниц (вероятно, лучше идентифицируется по URL-адресам)
10). Инструменты загрузки (веб-диск, загрузка P2P, связанные с BT)
Затем, как работает DPI (глубокая проверка пакетов) в NPB:
1). Захват пакетов: NPB захватывает сетевой трафик из различных источников, таких как коммутаторы, маршрутизаторы или ответвители. Он принимает пакеты, проходящие через сеть.
2). Анализ пакетов: захваченные пакеты анализируются NPB для извлечения различных уровней протокола и связанных с ними данных. Этот процесс анализа помогает идентифицировать различные компоненты в пакетах, такие как заголовки Ethernet, заголовки IP, заголовки транспортного уровня (например, TCP или UDP) и протоколы прикладного уровня.
3). Анализ полезной нагрузки. Благодаря DPI NPB выходит за рамки проверки заголовка и фокусируется на полезной нагрузке, включая фактические данные в пакетах. Он тщательно анализирует содержимое полезной нагрузки, независимо от используемого приложения или протокола, для извлечения соответствующей информации.
4). Идентификация протокола: DPI позволяет NPB идентифицировать конкретные протоколы и приложения, используемые в сетевом трафике. Он может обнаруживать и классифицировать такие протоколы, как HTTP, FTP, SMTP, DNS, VoIP или протоколы потокового видео.
5). Проверка содержимого: DPI позволяет NPB проверять содержимое пакетов на предмет определенных шаблонов, сигнатур или ключевых слов. Это позволяет обнаруживать сетевые угрозы, такие как вредоносное ПО, вирусы, попытки вторжения или подозрительные действия. DPI также можно использовать для фильтрации контента, обеспечения соблюдения сетевых политик или выявления нарушений соответствия данных.
6). Извлечение метаданных: во время DPI NPB извлекает соответствующие метаданные из пакетов. Сюда может входить такая информация, как IP-адреса источника и назначения, номера портов, сведения о сеансе, данные транзакций или любые другие соответствующие атрибуты.
7). Маршрутизация или фильтрация трафика. На основе анализа DPI NPB может направлять определенные пакеты в назначенные пункты назначения для дальнейшей обработки, например, устройствам безопасности, инструментам мониторинга или аналитическим платформам. Он также может применять правила фильтрации для отклонения или перенаправления пакетов на основе идентифицированного содержимого или шаблонов.
Время публикации: 25 июня 2023 г.