Глубокая проверка пакетов (ДОИ)— это технология, используемая в сетевых брокерах пакетов (NPB) для проверки и анализа содержимого сетевых пакетов на гранулярном уровне. Она включает проверку полезной нагрузки, заголовков и другой специфичной для протокола информации в пакетах для получения детального представления о сетевом трафике.
DPI выходит за рамки простого анализа заголовков и обеспечивает глубокое понимание данных, проходящих через сеть. Он позволяет проводить углубленную проверку протоколов прикладного уровня, таких как HTTP, FTP, SMTP, VoIP или протоколов потокового видео. Проверяя фактическое содержимое пакетов, DPI может обнаруживать и идентифицировать определенные приложения, протоколы или даже определенные шаблоны данных.
В дополнение к иерархическому анализу исходных адресов, адресов назначения, исходных портов, портов назначения и типов протоколов, DPI также добавляет анализ на уровне приложений для идентификации различных приложений и их содержимого. Когда пакет 1P, данные TCP или UDP проходят через систему управления полосой пропускания на основе технологии DPI, система считывает содержимое загрузки пакета 1P для реорганизации информации уровня приложений в протоколе OSI Layer 7, чтобы получить содержимое всей прикладной программы, а затем формирует трафик в соответствии с политикой управления, определенной системой.
Как работает DPI?
Традиционным брандмауэрам часто не хватает вычислительной мощности для выполнения тщательных проверок в реальном времени больших объемов трафика. По мере развития технологий DPI может использоваться для выполнения более сложных проверок заголовков и данных. Обычно брандмауэры с системами обнаружения вторжений часто используют DPI. В мире, где цифровая информация имеет первостепенное значение, каждая часть цифровой информации доставляется через Интернет небольшими пакетами. Это включает в себя электронную почту, сообщения, отправленные через приложение, посещенные веб-сайты, видеопереговоры и многое другое. Помимо фактических данных, эти пакеты включают метаданные, которые идентифицируют источник трафика, контент, пункт назначения и другую важную информацию. С помощью технологии фильтрации пакетов данные можно постоянно контролировать и управлять, чтобы гарантировать, что они пересылаются в нужное место. Но для обеспечения безопасности сети традиционной фильтрации пакетов далеко недостаточно. Ниже перечислены некоторые из основных методов глубокой проверки пакетов в управлении сетью:
Режим сопоставления/Подпись
Каждый пакет проверяется на соответствие базе данных известных сетевых атак брандмауэром с возможностями системы обнаружения вторжений (IDS). IDS ищет известные вредоносные специфические шаблоны и отключает трафик при обнаружении вредоносных шаблонов. Недостатком политики сопоставления сигнатур является то, что она применяется только к сигнатурам, которые часто обновляются. Кроме того, эта технология может защищать только от известных угроз или атак.
Исключение протокола
Поскольку метод исключения протокола не просто разрешает все данные, которые не соответствуют базе данных сигнатур, метод исключения протокола, используемый брандмауэром IDS, не имеет присущих ему недостатков метода сопоставления шаблонов/сигнатур. Вместо этого он принимает политику отклонения по умолчанию. По определению протокола брандмауэры решают, какой трафик следует разрешить, и защищают сеть от неизвестных угроз.
Система предотвращения вторжений (IPS)
Решения IPS могут блокировать передачу вредоносных пакетов на основе их содержимого, тем самым останавливая предполагаемые атаки в режиме реального времени. Это означает, что если пакет представляет собой известный риск безопасности, IPS будет проактивно блокировать сетевой трафик на основе определенного набора правил. Одним из недостатков IPS является необходимость регулярного обновления базы данных киберугроз с подробностями о новых угрозах и возможностью ложных срабатываний. Но эту опасность можно смягчить, создав консервативные политики и настраиваемые пороговые значения, установив соответствующее базовое поведение для сетевых компонентов и периодически оценивая предупреждения и сообщаемые события для улучшения мониторинга и оповещения.
1- DPI (глубокая проверка пакетов) в Network Packet Broker
«Глубокий» уровень - это сравнение обычного анализа пакетов, «обычная проверка пакетов» - это только следующий анализ 4-го уровня IP-пакета, включая исходный адрес, адрес назначения, исходный порт, порт назначения и тип протокола, а также DPI, за исключением иерархического анализа, также расширенный анализ уровня приложений, идентификация различных приложений и контента для реализации основных функций:
1) Анализ приложений — анализ состава сетевого трафика, анализ производительности и анализ потоков.
2) Анализ пользователей — дифференциация групп пользователей, анализ поведения, анализ терминалов, анализ тенденций и т. д.
3) Анализ элементов сети — анализ на основе региональных атрибутов (город, район, улица и т. д.) и нагрузки базовой станции.
4) Управление трафиком — ограничение скорости P2P, обеспечение QoS, обеспечение пропускной способности, оптимизация сетевых ресурсов и т. д.
5) Обеспечение безопасности — DDoS-атаки, штормовая передача данных, предотвращение атак вредоносных вирусов и т. д.
2- Общая классификация сетевых приложений
Сегодня в Интернете существует бесчисленное множество приложений, но обычные веб-приложения могут оказаться исчерпывающими.
Насколько мне известно, лучшей компанией по распознаванию приложений является Huawei, которая утверждает, что распознает 4000 приложений. Анализ протоколов является базовым модулем многих компаний-производителей брандмауэров (Huawei, ZTE и т. д.), и это также очень важный модуль, поддерживающий реализацию других функциональных модулей, точную идентификацию приложений и значительно повышающий производительность и надежность продуктов. При моделировании идентификации вредоносных программ на основе характеристик сетевого трафика, как я сейчас делаю, точная и обширная идентификация протоколов также очень важна. Исключая сетевой трафик обычных приложений из экспортного трафика компании, оставшийся трафик будет составлять небольшую долю, что лучше для анализа вредоносных программ и оповещения.
На основе моего опыта существующие наиболее часто используемые приложения классифицируются в соответствии с их функциями:
PS: Согласно личному пониманию классификации приложений, у вас есть хорошие предложения, пожалуйста, оставьте сообщение-предложение.
1). Электронная почта
2) Видео
3) Игры
4). Офисный класс OA
5). Обновление ПО
6). Финансы (банк, Alipay)
7). Акции
8). Социальная коммуникация (программное обеспечение для обмена мгновенными сообщениями)
9) Просмотр веб-страниц (вероятно, лучше идентифицировать по URL-адресам)
10). Инструменты загрузки (веб-диск, загрузка P2P, связанные с BT)
Итак, как работает DPI (глубокая проверка пакетов) в NPB:
1). Захват пакетов: NPB захватывает сетевой трафик из различных источников, таких как коммутаторы, маршрутизаторы или ответвители. Он получает пакеты, проходящие через сеть.
2). Анализ пакетов: захваченные пакеты анализируются NPB для извлечения различных уровней протоколов и связанных данных. Этот процесс анализа помогает идентифицировать различные компоненты в пакетах, такие как заголовки Ethernet, заголовки IP, заголовки транспортного уровня (например, TCP или UDP) и протоколы прикладного уровня.
3). Анализ полезной нагрузки: с DPI NPB выходит за рамки проверки заголовков и фокусируется на полезной нагрузке, включая фактические данные в пакетах. Он глубоко изучает содержимое полезной нагрузки, независимо от используемого приложения или протокола, для извлечения соответствующей информации.
4). Идентификация протокола: DPI позволяет NPB идентифицировать конкретные протоколы и приложения, используемые в сетевом трафике. Он может обнаруживать и классифицировать такие протоколы, как HTTP, FTP, SMTP, DNS, VoIP или протоколы потокового видео.
5). Проверка содержимого: DPI позволяет NPB проверять содержимое пакетов на наличие определенных шаблонов, сигнатур или ключевых слов. Это позволяет обнаруживать сетевые угрозы, такие как вредоносное ПО, вирусы, попытки вторжения или подозрительные действия. DPI также может использоваться для фильтрации содержимого, обеспечения соблюдения сетевых политик или выявления нарушений соответствия данных.
6). Извлечение метаданных: Во время DPI NPB извлекает соответствующие метаданные из пакетов. Это может включать такую информацию, как IP-адреса источника и назначения, номера портов, сведения о сеансе, данные транзакции или любые другие соответствующие атрибуты.
7). Маршрутизация или фильтрация трафика: на основе анализа DPI NPB может направлять определенные пакеты в назначенные пункты назначения для дальнейшей обработки, такие как устройства безопасности, инструменты мониторинга или аналитические платформы. Он также может применять правила фильтрации для отбрасывания или перенаправления пакетов на основе идентифицированного контента или шаблонов.
Время публикации: 25 июня 2023 г.
