Deep Packet Inspection (DPI)er en teknologi som brukes i Network Packet Brokers (NPB) for å inspisere og analysere innholdet i nettverkspakker på et granulært nivå. Det innebærer å undersøke nyttelasten, overskriftene og annen protokollspesifikk informasjon i pakker for å få detaljert innsikt i nettverkstrafikk.
DPI går utover enkel header-analyse og gir en dyp forståelse av dataene som flyter gjennom et nettverk. Det gir mulighet for dyptgående inspeksjon av applikasjonslagsprotokollene, for eksempel HTTP, FTP, SMTP, VoIP eller videostrømmeprotokoller. Ved å undersøke det faktiske innholdet i pakker, kan DPI oppdage og identifisere spesifikke applikasjoner, protokoller eller til og med spesifikke datamønstre.
I tillegg til den hierarkiske analysen av kildeadresser, destinasjonsadresser, kildeporter, destinasjonsporter og protokolltyper, legger DPI også til applikasjonslagsanalyse for å identifisere ulike applikasjoner og deres innhold. Når 1P-pakken, TCP- eller UDP-dataene flyter gjennom båndbreddestyringssystemet basert på DPI-teknologi, leser systemet innholdet i 1P-pakkebelastningen for å omorganisere applikasjonslagsinformasjonen i OSI Layer 7-protokollen, for å få innholdet i hele applikasjonsprogrammet, og deretter forme trafikken i henhold til administrasjonspolicyen definert av systemet.
Hvordan fungerer DPI?
Tradisjonelle brannmurer mangler ofte prosessorkraft til å utføre grundige sanntidskontroller av store trafikkvolumer. Etter hvert som teknologien utvikler seg, kan DPI brukes til å utføre mer komplekse kontroller for å sjekke overskrifter og data. Vanligvis bruker brannmurer med inntrengningsdeteksjonssystemer ofte DPI. I en verden hvor digital informasjon er det viktigste, blir hver del av digital informasjon levert over Internett i små pakker. Dette inkluderer e-post, meldinger sendt gjennom appen, besøkte nettsteder, videosamtaler og mer. I tillegg til de faktiske dataene inkluderer disse pakkene metadata som identifiserer trafikkkilden, innholdet, destinasjonen og annen viktig informasjon. Med pakkefiltreringsteknologi kan data kontinuerlig overvåkes og administreres for å sikre at de sendes til rett sted. Men for å sikre nettverkssikkerhet er tradisjonell pakkefiltrering langt fra nok. Noen av hovedmetodene for dyp pakkeinspeksjon i nettverksadministrasjon er oppført nedenfor:
Matchende modus/signatur
Hver pakke sjekkes for samsvar mot en database med kjente nettverksangrep av en brannmur med funksjoner for inntrengningsdeteksjonssystem (IDS). IDS søker etter kjente ondsinnede spesifikke mønstre og deaktiverer trafikk når ondsinnede mønstre blir funnet. Ulempen med signaturmatching-policyen er at den kun gjelder signaturer som oppdateres ofte. I tillegg kan denne teknologien bare forsvare seg mot kjente trusler eller angrep.
Protokollunntak
Siden protokollunntaksteknikken ikke bare tillater alle data som ikke samsvarer med signaturdatabasen, har ikke protokollunntaksteknikken som brukes av IDS-brannmuren de iboende feilene til mønster-/signaturtilpasningsmetoden. I stedet vedtar den standard avvisningspolicy. Etter protokolldefinisjon bestemmer brannmurer hvilken trafikk som skal tillates og beskytter nettverket mot ukjente trusler.
Intrusion Prevention System (IPS)
IPS-løsninger kan blokkere overføring av skadelige pakker basert på innholdet, og dermed stoppe mistenkte angrep i sanntid. Dette betyr at hvis en pakke representerer en kjent sikkerhetsrisiko, vil IPS proaktivt blokkere nettverkstrafikk basert på et definert sett med regler. En ulempe med IPS er behovet for å jevnlig oppdatere en cybertrusseldatabase med detaljer om nye trusler, og muligheten for falske positiver. Men denne faren kan reduseres ved å lage konservative retningslinjer og tilpassede terskler, etablere passende grunnlinjeadferd for nettverkskomponenter, og periodisk evaluere advarsler og rapporterte hendelser for å forbedre overvåking og varsling.
1- DPI (Deep Packet Inspection) i Network Packet Broker
Den "dype" er nivå og vanlig pakkeanalyse sammenligning, "ordinær pakkeinspeksjon" bare følgende analyse av IP-pakke 4-lag, inkludert kildeadresse, destinasjonsadresse, kildeport, destinasjonsport og protokolltype, og DPI bortsett fra med den hierarkiske analysen, økte også applikasjonslagsanalysen, identifisere de forskjellige applikasjonene og innholdet, for å realisere hovedfunksjonene:
1) Applikasjonsanalyse -- analyse av nettverkstrafikksammensetning, ytelsesanalyse og flytanalyse
2) Brukeranalyse -- brukergruppedifferensiering, atferdsanalyse, terminalanalyse, trendanalyse, etc.
3) Nettverkselementanalyse -- analyse basert på regionale attributter (by, distrikt, gate, etc.) og basestasjonsbelastning
4) Trafikkkontroll -- P2P-hastighetsbegrensning, QoS-sikkerhet, båndbreddesikring, nettverksressursoptimalisering, etc.
5) Security Assurance -- DDoS-angrep, datakringkastingsstorm, forebygging av ondsinnede virusangrep, etc.
2- Generell klassifisering av nettverksapplikasjoner
I dag finnes det utallige applikasjoner på Internett, men de vanlige nettapplikasjonene kan være uttømmende.
Så vidt jeg vet, er det beste appgjenkjenningsselskapet Huawei, som hevder å gjenkjenne 4000 apper. Protokollanalyse er den grunnleggende modulen til mange brannmurselskaper (Huawei, ZTE, etc.), og det er også en veldig viktig modul, som støtter realiseringen av andre funksjonelle moduler, nøyaktig applikasjonsidentifikasjon og forbedrer ytelsen og påliteligheten til produktene betydelig. Ved modellering av identifikasjon av skadelig programvare basert på nettverkstrafikkegenskaper, som jeg gjør nå, er nøyaktig og omfattende protokollidentifikasjon også svært viktig. Ekskluderer nettverkstrafikken til vanlige applikasjoner fra selskapets eksporttrafikk, vil den gjenværende trafikken utgjøre en liten andel, noe som er bedre for malware-analyse og alarm.
Basert på min erfaring er de eksisterende vanlig brukte applikasjonene klassifisert i henhold til deres funksjoner:
PS: I henhold til personlig forståelse av søknadsklassifiseringen, har du noen gode forslag velkommen til å legge igjen et meldingsforslag
1). E-post
2). Video
3). Spill
4). Kontor OA klasse
5). Programvareoppdatering
6). Finansiell (bank, Alipay)
7). Aksjer
8). Sosial kommunikasjon (IM-programvare)
9). Nettsurfing (sannsynligvis bedre identifisert med URL-er)
10). Last ned verktøy (nettdisk, P2P-nedlasting, BT-relatert)
Så, hvordan DPI (Deep Packet Inspection) fungerer i en NPB:
1). Pakkefangst: NPB fanger opp nettverkstrafikk fra ulike kilder, for eksempel brytere, rutere eller trykk. Den mottar pakker som strømmer gjennom nettverket.
2). Pakkeparsing: De fangede pakkene analyseres av NPB for å trekke ut ulike protokolllag og tilhørende data. Denne analyseringsprosessen hjelper til med å identifisere de forskjellige komponentene i pakkene, for eksempel Ethernet-hoder, IP-hoder, transportlaghoder (f.eks. TCP eller UDP) og applikasjonslagsprotokoller.
3). Nyttelastanalyse: Med DPI går NPB utover headerinspeksjon og fokuserer på nyttelasten, inkludert de faktiske dataene i pakkene. Den undersøker nyttelastinnholdet i dybden, uavhengig av applikasjonen eller protokollen som brukes, for å trekke ut relevant informasjon.
4). Protokollidentifikasjon: DPI gjør det mulig for NPB å identifisere de spesifikke protokollene og applikasjonene som brukes i nettverkstrafikken. Den kan oppdage og klassifisere protokoller som HTTP, FTP, SMTP, DNS, VoIP eller videostrømmeprotokoller.
5). Innholdsinspeksjon: DPI lar NPB inspisere innholdet i pakker for spesifikke mønstre, signaturer eller nøkkelord. Dette gjør det mulig å oppdage nettverkstrusler, for eksempel skadelig programvare, virus, inntrengingsforsøk eller mistenkelige aktiviteter. DPI kan også brukes til innholdsfiltrering, håndheving av nettverkspolicyer eller identifisere brudd på dataoverholdelse.
6). Metadataekstraksjon: Under DPI trekker NPB ut relevante metadata fra pakkene. Dette kan inkludere informasjon som kilde- og destinasjons-IP-adresser, portnumre, øktdetaljer, transaksjonsdata eller andre relevante attributter.
7). Trafikkruting eller -filtrering: Basert på DPI-analysen kan NPB rute spesifikke pakker til utpekte destinasjoner for videre behandling, for eksempel sikkerhetsutstyr, overvåkingsverktøy eller analyseplattformer. Den kan også bruke filtreringsregler for å forkaste eller omdirigere pakker basert på identifisert innhold eller mønstre.
Innleggstid: 25. juni 2023
