Глубокая проверка пакетов ((ДОИ)Технология, используемая в сетевых брокерах пакетов (NPB) для детального анализа содержимого сетевых пакетов. Она включает в себя проверку полезной нагрузки, заголовков и другой информации, относящейся к протоколу, в пакетах для получения детальной информации о сетевом трафике.
DPI выходит за рамки простого анализа заголовков и обеспечивает глубокое понимание данных, проходящих через сеть. Он позволяет проводить детальную проверку протоколов прикладного уровня, таких как HTTP, FTP, SMTP, VoIP или протоколы потокового видео. Анализируя фактическое содержимое пакетов, DPI может обнаруживать и идентифицировать конкретные приложения, протоколы и даже определённые шаблоны данных.
Помимо иерархического анализа адресов источника, адресов назначения, портов источника, портов назначения и типов протоколов, DPI также добавляет анализ на уровне приложений для идентификации различных приложений и их содержимого. При прохождении пакетов 1P, TCP или UDP через систему управления полосой пропускания на основе технологии DPI система считывает содержимое пакетов 1P для реорганизации информации прикладного уровня в протоколе OSI уровня 7, чтобы получить содержимое всей прикладной программы, а затем формирует трафик в соответствии с политикой управления, заданной системой.
Как работает DPI?
Традиционным межсетевым экранам часто не хватает вычислительной мощности для проведения тщательной проверки больших объёмов трафика в режиме реального времени. По мере развития технологий DPI может использоваться для выполнения более сложных проверок заголовков и данных. Как правило, DPI используется в межсетевых экранах с системами обнаружения вторжений. В мире, где цифровая информация имеет первостепенное значение, каждая цифровая информация доставляется через Интернет небольшими пакетами. Это включает в себя электронную почту, сообщения, отправленные через приложение, посещённые веб-сайты, видеопереговоры и многое другое. Помимо самих данных, эти пакеты содержат метаданные, которые идентифицируют источник трафика, его содержание, пункт назначения и другую важную информацию. Технология фильтрации пакетов позволяет непрерывно отслеживать и управлять данными, обеспечивая их пересылку по назначению. Однако для обеспечения безопасности сети традиционной фильтрации пакетов недостаточно. Ниже перечислены некоторые из основных методов глубокой проверки пакетов в управлении сетями:
Режим сопоставления/Подпись
Каждый пакет проверяется на соответствие базе данных известных сетевых атак межсетевым экраном с функциями системы обнаружения вторжений (IDS). IDS ищет известные вредоносные шаблоны и блокирует трафик при их обнаружении. Недостаток политики сопоставления сигнатур заключается в том, что она применяется только к часто обновляемым сигнатурам. Кроме того, эта технология способна защитить только от известных угроз и атак.
Исключение протокола
Поскольку метод исключения протокола не просто разрешает все данные, не соответствующие базе данных сигнатур, метод исключения протокола, используемый межсетевым экраном IDS, лишен недостатков, присущих методу сопоставления шаблонов и сигнатур. Вместо этого он использует политику отклонения по умолчанию. Согласно определению протокола, межсетевые экраны определяют, какой трафик следует разрешить, и защищают сеть от неизвестных угроз.
Система предотвращения вторжений (IPS)
Решения IPS могут блокировать передачу вредоносных пакетов на основе их содержимого, тем самым блокируя предполагаемые атаки в режиме реального времени. Это означает, что если пакет представляет известную угрозу безопасности, система IPS будет проактивно блокировать сетевой трафик на основе заданного набора правил. Одним из недостатков IPS является необходимость регулярного обновления базы данных киберугроз с информацией о новых угрозах и вероятность ложных срабатываний. Однако эту опасность можно снизить, создав консервативные политики и настраиваемые пороговые значения, установив соответствующее базовое поведение сетевых компонентов и периодически оценивая предупреждения и зарегистрированные события для улучшения мониторинга и оповещения.
1. DPI (глубокая проверка пакетов) в Network Packet Broker
«Глубокий» уровень - это сравнение обычного анализа пакетов, «обычная проверка пакетов» - это только следующий анализ 4-го уровня IP-пакета, включая адрес источника, адрес назначения, порт источника, порт назначения и тип протокола, а также DPI, за исключением иерархического анализа, также расширенный анализ уровня приложений, идентификация различных приложений и контента для реализации основных функций:
1) Анализ приложений — анализ состава сетевого трафика, анализ производительности и анализ потоков
2) Анализ пользователей — дифференциация групп пользователей, анализ поведения, анализ терминалов, анализ тенденций и т. д.
3) Анализ элементов сети — анализ на основе региональных атрибутов (город, район, улица и т. д.) и нагрузки базовой станции
4) Управление трафиком — ограничение скорости P2P, обеспечение QoS, обеспечение пропускной способности, оптимизация сетевых ресурсов и т. д.
5) Обеспечение безопасности — DDoS-атаки, лавина потоков данных, предотвращение атак вредоносных вирусов и т. д.
2- Общая классификация сетевых приложений
Сегодня в Интернете существует бесчисленное множество приложений, однако обычные веб-приложения могут оказаться исчерпывающими.
Насколько мне известно, лучшей компанией по распознаванию приложений является Huawei, которая заявляет о распознавании 4000 приложений. Анализ протоколов является базовым модулем многих производителей брандмауэров (Huawei, ZTE и др.), а также очень важным модулем, поддерживающим реализацию других функциональных модулей, точную идентификацию приложений и значительно повышающим производительность и надежность продуктов. При моделировании идентификации вредоносных программ на основе характеристик сетевого трафика, чем я сейчас занимаюсь, точная и расширенная идентификация протоколов также очень важна. Если исключить сетевой трафик распространённых приложений из экспортного трафика компании, оставшийся трафик составит небольшую долю, что лучше подходит для анализа вредоносных программ и оповещения о них.
Исходя из моего опыта, существующие наиболее часто используемые приложения классифицируются в соответствии с их функциями:
PS: Согласно личному пониманию классификации заявок, у вас есть хорошие предложения, пожалуйста, оставьте сообщение.
1). Электронная почта
2). Видео
3). Игры
4). Класс Office OA
5). Обновление программного обеспечения
6). Финансы (банк, Alipay)
7). Акции
8). Социальное общение (программное обеспечение для обмена мгновенными сообщениями)
9). Просмотр веб-страниц (вероятно, лучше идентифицировать по URL-адресам)
10). Инструменты загрузки (веб-диск, загрузка P2P, связанные с BT)
Итак, как работает DPI (Deep Packet Inspection) в NPB:
1). Захват пакетов: NPB перехватывает сетевой трафик из различных источников, таких как коммутаторы, маршрутизаторы и ответвители. Он принимает пакеты, проходящие через сеть.
2) Анализ пакетов: захваченные пакеты анализируются брокером сетевых пакетов (NPB) для извлечения различных уровней протоколов и связанных данных. Этот процесс анализа помогает идентифицировать различные компоненты пакетов, такие как заголовки Ethernet, IP, заголовки транспортного уровня (например, TCP или UDP) и протоколы прикладного уровня.
3) Анализ полезной нагрузки: с помощью DPI NPB выходит за рамки проверки заголовков и фокусируется на полезной нагрузке, включая фактические данные в пакетах. Он тщательно анализирует содержимое полезной нагрузки, независимо от используемого приложения или протокола, для извлечения релевантной информации.
4). Идентификация протоколов: DPI позволяет брокеру сетевых пакетов идентифицировать конкретные протоколы и приложения, используемые в сетевом трафике. Он может обнаруживать и классифицировать такие протоколы, как HTTP, FTP, SMTP, DNS, VoIP и протоколы потокового видео.
5). Проверка содержимого: DPI позволяет брокеру сетевых пакетов проверять содержимое пакетов на наличие определённых шаблонов, сигнатур или ключевых слов. Это позволяет обнаруживать сетевые угрозы, такие как вредоносное ПО, вирусы, попытки вторжения или подозрительную активность. DPI также может использоваться для фильтрации содержимого, применения сетевых политик или выявления нарушений нормативных требований.
6) Извлечение метаданных: во время DPI-анализа (DPI) NPB извлекает из пакетов соответствующие метаданные. Это может включать в себя такую информацию, как IP-адреса источника и назначения, номера портов, сведения о сеансе, данные транзакции и любые другие важные атрибуты.
7) Маршрутизация или фильтрация трафика: на основе анализа DPI, брокер сетевых пакетов может направлять определённые пакеты в назначенные пункты назначения для дальнейшей обработки, например, устройствами безопасности, инструментами мониторинга или аналитическими платформами. Он также может применять правила фильтрации для отбрасывания или перенаправления пакетов на основе выявленного содержимого или шаблонов.
Время публикации: 25 июня 2023 г.
