Глубокий анализ пакетов (ДПИ)Это технология, используемая в сетевых пакетных брокерах (NPB) для проверки и анализа содержимого сетевых пакетов на детальном уровне. Она включает в себя изучение полезной нагрузки, заголовков и другой информации, специфичной для протокола, внутри пакетов для получения подробной информации о сетевом трафике.
DPI выходит за рамки простого анализа заголовков и обеспечивает глубокое понимание данных, передаваемых по сети. Он позволяет проводить детальный анализ протоколов прикладного уровня, таких как HTTP, FTP, SMTP, VoIP или протоколы потоковой передачи видео. Изучая фактическое содержимое пакетов, DPI может обнаруживать и идентифицировать конкретные приложения, протоколы или даже определенные шаблоны данных.
В дополнение к иерархическому анализу адресов источника, адресов назначения, портов источника, портов назначения и типов протоколов, DPI также добавляет анализ прикладного уровня для идентификации различных приложений и их содержимого. Когда пакет 1P, данные TCP или UDP проходят через систему управления полосой пропускания, основанную на технологии DPI, система считывает содержимое загруженного пакета 1P для реорганизации информации прикладного уровня в протоколе OSI Layer 7, чтобы получить содержимое всей прикладной программы, а затем формирует трафик в соответствии с политикой управления, определенной системой.
Как работает DPI?
Традиционным межсетевым экранам часто не хватает вычислительной мощности для выполнения тщательных проверок больших объемов трафика в режиме реального времени. По мере развития технологий, глубокий анализ пакетов (DPI) может использоваться для выполнения более сложных проверок заголовков и данных. Как правило, межсетевые экраны с системами обнаружения вторжений часто используют DPI. В мире, где цифровая информация имеет первостепенное значение, каждый фрагмент цифровой информации передается через Интернет в виде небольших пакетов. Это включает электронную почту, сообщения, отправленные через приложения, посещенные веб-сайты, видеозвонки и многое другое. В дополнение к фактическим данным, эти пакеты содержат метаданные, которые идентифицируют источник трафика, контент, пункт назначения и другую важную информацию. С помощью технологии фильтрации пакетов данные могут непрерывно отслеживаться и управляться, чтобы гарантировать их пересылку в нужное место. Но для обеспечения сетевой безопасности традиционной фильтрации пакетов далеко недостаточно. Ниже перечислены некоторые из основных методов глубокого анализа пакетов в управлении сетью:
Режим сопоставления/Подпись
Каждый пакет проверяется на соответствие базе данных известных сетевых атак межсетевым экраном с возможностями системы обнаружения вторжений (IDS). IDS ищет известные вредоносные шаблоны и блокирует трафик при их обнаружении. Недостатком политики сопоставления сигнатур является то, что она применяется только к сигнатурам, которые часто обновляются. Кроме того, эта технология может защищать только от известных угроз или атак.
Исключение протокола
Поскольку метод исключений протокола не просто разрешает все данные, не соответствующие базе данных сигнатур, метод исключений протокола, используемый межсетевым экраном IDS, не имеет присущих методу сопоставления шаблонов/сигнатур недостатков. Вместо этого он использует политику отклонения по умолчанию. По определению протокола, межсетевые экраны определяют, какой трафик должен быть разрешен, и защищают сеть от неизвестных угроз.
Система предотвращения вторжений (IPS)
Решения IPS могут блокировать передачу вредоносных пакетов на основе их содержимого, тем самым останавливая предполагаемые атаки в режиме реального времени. Это означает, что если пакет представляет собой известную угрозу безопасности, IPS будет заблаговременно блокировать сетевой трафик на основе определенного набора правил. Одним из недостатков IPS является необходимость регулярного обновления базы данных киберугроз с подробной информацией о новых угрозах, а также возможность ложных срабатываний. Однако эту опасность можно снизить, создав консервативные политики и пользовательские пороговые значения, установив соответствующее базовое поведение для сетевых компонентов и периодически оценивая предупреждения и зарегистрированные события для повышения эффективности мониторинга и оповещения.
1. Функция DPI (глубокий анализ пакетов) в сетевом брокере пакетов.
«Глубокий» анализ представляет собой сравнение уровня и обычного анализа пакетов, а «Обычный анализ пакетов» включает только анализ 4-го уровня IP-пакетов, в том числе адрес источника, адрес назначения, порт источника, порт назначения и тип протокола, а также DPI, помимо иерархического анализа, расширенный анализ прикладного уровня, идентификацию различных приложений и содержимого, что позволяет реализовать основные функции:
1) Анализ приложений — анализ состава сетевого трафика, анализ производительности и анализ потоков.
2) Анализ пользователей — дифференциация групп пользователей, анализ поведения, анализ конечных пользователей, анализ тенденций и т. д.
3) Анализ сетевых элементов — анализ на основе региональных характеристик (город, район, улица и т. д.) и нагрузки базовой станции.
4) Управление трафиком — ограничение скорости P2P, обеспечение качества обслуживания (QoS), обеспечение пропускной способности, оптимизация сетевых ресурсов и т. д.
5) Обеспечение безопасности — DDoS-атаки, шторм широковещательной передачи данных, предотвращение атак вредоносных вирусов и т. д.
2. Общая классификация сетевых приложений
Сегодня в интернете существует бесчисленное множество приложений, но перечень наиболее распространенных веб-приложений может быть исчерпывающим.
Насколько мне известно, лучшей компанией по распознаванию приложений является Huawei, которая, по её утверждению, распознает 4000 приложений. Анализ протоколов — это базовый модуль многих компаний, производящих межсетевые экраны (Huawei, ZTE и др.), и это также очень важный модуль, поддерживающий реализацию других функциональных модулей, точную идентификацию приложений и значительно повышающий производительность и надежность продуктов. При моделировании идентификации вредоносных программ на основе характеристик сетевого трафика, как я сейчас делаю, точная и полная идентификация протоколов также очень важна. Исключение сетевого трафика обычных приложений из экспортного трафика компании позволит выделить небольшую долю оставшегося трафика, что лучше подходит для анализа вредоносных программ и оповещения.
Исходя из моего опыта, существующие широко используемые приложения классифицируются по их функциям:
P.S.: Исходя из моего личного понимания классификации приложений, любые ваши предложения приветствуются, пожалуйста, оставляйте сообщения с предложениями.
1). Электронная почта
2). Видео
3). Игры
4). Курс Office OA
5). Обновление программного обеспечения
6). Финансовые услуги (банк, Alipay)
7). Акции
8). Социальная коммуникация (программное обеспечение для обмена мгновенными сообщениями)
9). Просмотр веб-страниц (вероятно, лучше ассоциировать с URL-адресами).
10). Инструменты для загрузки (веб-диск, P2P-загрузка, связанные с BT)
Итак, как работает DPI (глубокий анализ пакетов) в NPB:
1). Захват пакетов: NPB захватывает сетевой трафик из различных источников, таких как коммутаторы, маршрутизаторы или ответвители. Он принимает пакеты, проходящие через сеть.
2). Анализ пакетов: Захваченные пакеты анализируются NPB для извлечения информации о различных уровнях протокола и связанных с ними данных. Этот процесс анализа помогает идентифицировать различные компоненты внутри пакетов, такие как заголовки Ethernet, заголовки IP, заголовки транспортного уровня (например, TCP или UDP) и протоколы прикладного уровня.
3). Анализ полезной нагрузки: При использовании DPI, NPB выходит за рамки проверки заголовка и фокусируется на полезной нагрузке, включая фактические данные внутри пакетов. Он углубленно изучает содержимое полезной нагрузки, независимо от используемого приложения или протокола, чтобы извлечь соответствующую информацию.
4). Идентификация протоколов: DPI позволяет NPB идентифицировать конкретные протоколы и приложения, используемые в сетевом трафике. Он может обнаруживать и классифицировать такие протоколы, как HTTP, FTP, SMTP, DNS, VoIP или протоколы потоковой передачи видео.
5). Проверка содержимого: DPI позволяет NPB проверять содержимое пакетов на наличие определенных шаблонов, сигнатур или ключевых слов. Это позволяет обнаруживать сетевые угрозы, такие как вредоносное ПО, вирусы, попытки вторжения или подозрительная активность. DPI также может использоваться для фильтрации контента, обеспечения соблюдения сетевых политик или выявления нарушений соответствия данных требованиям.
6). Извлечение метаданных: Во время DPI NPB извлекает из пакетов соответствующие метаданные. Это может включать такую информацию, как исходный и целевой IP-адреса, номера портов, сведения о сеансе, данные транзакций или любые другие соответствующие атрибуты.
7). Маршрутизация или фильтрация трафика: На основе анализа DPI, NPB может направлять определенные пакеты в указанные пункты назначения для дальнейшей обработки, такие как устройства безопасности, инструменты мониторинга или аналитические платформы. Он также может применять правила фильтрации для отбрасывания или перенаправления пакетов на основе выявленного содержимого или шаблонов.
Дата публикации: 25 июня 2023 г.
