Глубокая проверка пакетов (DPI)это технология, используемая в сетевых пакетных брокерах (NPBS) для проверки и анализа содержимого сетевых пакетов на гранулярном уровне. Он включает в себя изучение полезной нагрузки, заголовков и другой информации, специфичной для протокола в пакетах, чтобы получить подробную информацию о сетевом трафике.
DPI выходит за рамки простого анализа заголовков и обеспечивает глубокое понимание данных, проходящих через сеть. Это обеспечивает углубленную проверку протоколов слоя приложения, таких как HTTP, FTP, SMTP, VOIP или протоколы потоковой передачи видео. Изучая фактическое содержание в пакетах, DPI может обнаруживать и идентифицировать конкретные приложения, протоколы или даже конкретные шаблоны данных.
В дополнение к иерархическому анализу адресов источника, адресов назначения, исходных портов, портов назначения и типов протоколов, DPI также добавляет анализ приложений для выявления различных приложений и их содержимого. Когда пакет 1P пакета, TCP или UDP -поток данных через систему управления полосой пропускания, основанная на технологии DPI, система считывает содержание нагрузки на пакеты 1P для реорганизации информации об уровне приложения в протоколе Layer 7 OSI, чтобы получить содержание всей прикладной программы, а затем формировать движение в соответствии с политикой управления, определяемой системой.
Как работает DPI?
Традиционным брандмауэрам часто не хватает мощности обработки, чтобы выполнить тщательные проверки в режиме реального времени на большие объемы трафика. По мере продвижения технологий, DPI может использоваться для выполнения более сложных проверок для проверки заголовков и данных. Как правило, брандмауэры с системами обнаружения вторжений часто используют DPI. В мире, где цифровая информация имеет первостепенное значение, каждая часть цифровой информации доставляется через Интернет в небольших пакетах. Это включает электронное письмо, сообщения, отправленные через приложение, посещенные веб -сайты, видео разговоры и многое другое. В дополнение к фактическим данным, эти пакеты включают метаданные, которые идентифицируют источник трафика, контент, пункт назначения и другую важную информацию. Благодаря технологии фильтрации пакетов данные могут непрерывно контролироваться и управлять, чтобы обеспечить их передачу в нужное место. Но чтобы обеспечить безопасность сети, традиционная фильтрация пакетов далеко не достаточно. Некоторые из основных методов глубокой проверки пакетов в управлении сетью перечислены ниже:
Режим сопоставления/подпись
Каждый пакет проверяется на совпадение с базой данных известных сетевых атак с помощью брандмауэра с возможностями обнаружения вторжений (IDS). IDS ищет известные вредоносные специфические модели и отключает трафик, когда обнаруживаются вредоносные закономерности. Недостатком политики соответствия подписи является то, что она применяется только к подписям, которые часто обновляются. Кроме того, эта технология может защищаться только от известных угроз или атак.
Исключение протокола
Поскольку методика исключения протокола не позволяет просто всем данным, которые не соответствуют базе данных подписи, метод исключения протокола, используемый брандмауэром IDS, не имеет неотъемлемых недостатков метода соответствия шаблона/подписи. Вместо этого он принимает политику отклонения по умолчанию. По определению протокола брандмауэры решают, какой трафик должен быть разрешен и защищать сеть от неизвестных угроз.
Система профилактики вторжения (IPS)
Решения IPS могут блокировать передачу вредных пакетов на основе их контента, тем самым останавливая подозреваемые атаки в режиме реального времени. Это означает, что если пакет представляет собой известный риск безопасности, IPS будет активно блокировать сетевой трафик на основе определенного набора правил. Одним из недостатков IPS является необходимость регулярного обновления базы данных киберугроз с подробностями о новых угрозах и возможности ложных срабатываний. Но эта опасность может быть смягчена путем создания консервативной политики и пользовательских порогов, установления соответствующего базового поведения для сетевых компонентов и периодической оценки предупреждений и сообщений о событиях для улучшения мониторинга и оповещения.
1- DPI (Deep Packet Inspection) в брокере сетевых пакетов
«Глубокий» - это ровное и обычное сравнение анализа пакетов, «Обычная проверка пакетов» только в следующем анализе уровня IP Packet 4, включая адрес источника, адрес назначения, порт исходного порта, порт назначения и тип протокола и DPI, за исключением иерархического анализа, также увеличивал анализ уровня приложений, определение различных приложений и контента, чтобы реализовать основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции:: основные функции.:
1) Анализ приложений - анализ состава сетевого трафика, анализ производительности и анализ потока
2) Анализ пользователей - дифференциация группы пользователей, анализ поведения, анализ терминалов, анализ тенденций и т. Д.
3) Анализ сетевых элементов - Анализ на основе региональных атрибутов (город, район, улица и т. Д.) И нагрузка базовой станции
4) Управление трафиком - ограничение скорости P2P, обеспечение QoS, обеспечение полосы пропускания, оптимизация сетевых ресурсов и т. Д.
5) Обеспечение безопасности - атаки DDOS, шторм трансляции данных, профилактика атак вредоносных вирусов и т. Д.
2- Общая классификация сетевых приложений
Сегодня в Интернете есть бесчисленное количество приложений, но общие веб -приложения могут быть исчерпывающими.
Насколько я знаю, лучшая компания по признанию приложений - Huawei, которая утверждает, что признает 4000 приложений. Анализ протокола является основным модулем многих брандмауэров (Huawei, ZTE и т. Д.), А также очень важный модуль, поддерживающий реализацию других функциональных модулей, точную идентификацию приложений и значительно повышение производительности и надежности продуктов. В моделировании идентификации вредоносных программ на основе характеристик сетевого трафика, как я сейчас делаю, точная и обширная идентификация протокола также очень важна. За исключением сетевого трафика общих приложений от экспортного трафика компании, оставшийся трафик будет учитывать небольшую долю, что лучше для анализа вредоносных программ и тревоги.
Основываясь на моем опыте, существующие часто используемые приложения классифицируются в соответствии с их функциями:
PS: Согласно личному пониманию классификации приложений, у вас есть какие -либо хорошие предложения, чтобы оставить предложение о сообщении
1). Электронная почта
2). Видео
3). Игры
4). Офис класса
5). Обновление программного обеспечения
6). Финансовый (Банк, Алипай)
7). Акции
8). Социальная коммуникация (IM Software)
9). Просмотр веб -сайта (вероятно, лучше отождествлен с URL)
10). Скачать инструменты (Web Disk, P2P Download, BT связано)
Затем, как DPI (глубокая проверка пакетов) работает в NPB:
1). Захват пакетов: NPB захватывает сетевой трафик из различных источников, таких как коммутаторы, маршрутизаторы или краны. Он получает пакеты, протекающие через сеть.
2). Подбор пакетов: захваченные пакеты анализируются NPB для извлечения различных слоев протокола и связанных с ними данных. Этот процесс анализа помогает идентифицировать различные компоненты в пакетах, такие как заголовки Ethernet, заголовки IP, заголовки транспортных слоев (например, TCP или UDP) и протоколы приложений.
3). Анализ полезной нагрузки: с DPI NPB выходит за рамки проверки заголовка и фокусируется на полезной нагрузке, включая фактические данные в пакетах. Он изучает подробное содержание полезной нагрузки, независимо от используемого приложения или протокола, для извлечения соответствующей информации.
4). Идентификация протокола: DPI позволяет NPB идентифицировать конкретные протоколы и приложения, используемые в сетевом трафике. Он может обнаружить и классифицировать протоколы, такие как HTTP, FTP, SMTP, DNS, VoIP или протоколы потоковой передачи видео.
5). Инспекция контента: DPI позволяет NPB осматривать содержание пакетов на наличие конкретных шаблонов, подписей или ключевых слов. Это позволяет обнаружить сетевые угрозы, такие как вредоносное ПО, вирусы, попытки вторжения или подозрительные действия. DPI также может использоваться для фильтрации контента, обеспечения соблюдения сетевых политик или определения нарушений соответствия данных.
6). Извлечение метаданных: во время DPI экстракты NPB соответствующие метаданные из пакетов. Это может включать такую информацию, как IP -адреса источника и назначения, номера портов, данные сеанса, данные о транзакции или любые другие соответствующие атрибуты.
7). Маршрутизация или фильтрация трафика: на основе анализа DPI NPB может направлять конкретные пакеты в назначенные направления для дальнейшей обработки, таких как приборы безопасности, инструменты мониторинга или аналитические платформы. Он также может применять правила фильтрации для отказа или перенаправления пакетов на основе идентифицированного контента или шаблонов.
Время сообщения: 25-25 июня 2013 года
