Dyp pakkeinspeksjon (Dpi)er en teknologi som brukes i nettverkspakkemeglere (NPB) for å inspisere og analysere innholdet i nettverkspakker på et granulært nivå. Det innebærer å undersøke nyttelasten, overskriftene og annen protokollspesifikk informasjon innen pakker for å få detaljert innsikt i nettverkstrafikk.
DPI går utover enkel overskriftsanalyse og gir en dyp forståelse av dataene som strømmer gjennom et nettverk. Det gir mulighet for en grundig inspeksjon av applikasjonslagsprotokollene, for eksempel HTTP, FTP, SMTP, VOIP eller videostreamingprotokoller. Ved å undersøke det faktiske innholdet i pakker, kan DPI oppdage og identifisere spesifikke applikasjoner, protokoller eller til og med spesifikke datamønstre.
I tillegg til den hierarkiske analysen av kildeadresser, destinasjonsadresser, kildeporter, destinasjonsporter og protokolltyper, legger DPI også applikasjonslagsanalyse for å identifisere forskjellige applikasjoner og innholdet. Når 1P -pakken, TCP- eller UDP -dataene flyter gjennom båndbreddestyringssystemet basert på DPI -teknologi, leser systemet innholdet i 1P -pakkebelastningen for å omorganisere applikasjonslagets informasjon i OSI Layer 7 -protokollen, for å få innholdet i hele applikasjonsprogrammet, og deretter utforming av trafikken i henhold til styringspolitikken som er definert av systemet.
Hvordan fungerer DPI?
Tradisjonelle brannmurer mangler ofte prosessorkraften til å utføre grundige sanntidskontroller på store volum av trafikk. Etter hvert som teknologien fremmer, kan DPI brukes til å utføre mer komplekse sjekker for å sjekke overskrifter og data. Vanligvis bruker brannmurer med inntrengningsdeteksjonssystemer ofte DPI. I en verden der digital informasjon er viktig, leveres hvert stykke digital informasjon over internett i små pakker. Dette inkluderer e -post, meldinger sendt gjennom appen, besøkte nettsteder, videosamtaler og mer. I tillegg til de faktiske dataene, inkluderer disse pakkene metadata som identifiserer trafikkilden, innhold, destinasjon og annen viktig informasjon. Med pakkefiltreringsteknologi kan data kontinuerlig overvåkes og administreres for å sikre at de blir videresendt til rett sted. Men for å sikre nettverkssikkerhet, er tradisjonell pakkefiltrering langt fra nok. Noen av hovedmetodene for dyp pakkeinspeksjon i nettverksadministrasjon er listet opp nedenfor:
Matchende modus/signatur
Hver pakke sjekkes for en kamp mot en database med kjente nettverksangrep fra en brannmur med inntrengingsdeteksjonssystem (IDS) -funksjoner. IDS søker etter kjente ondsinnede spesifikke mønstre og deaktiverer trafikken når ondsinnede mønstre blir funnet. Ulempen med signaturens samsvarende policy er at den bare gjelder underskrifter som ofte oppdateres. I tillegg kan denne teknologien bare forsvare seg mot kjente trusler eller angrep.
Protokoll unntak
Siden protokollens unntaksteknikk ikke bare tillater alle data som ikke samsvarer med signaturdatabasen, har ikke protokollens unntaksteknikk som brukes av IDS -brannmuren de iboende feilene i mønster/signatur -matching -metoden. I stedet vedtar den standardavstøtningspolitikken. Ved definisjon av protokoll bestemmer brannmurer hvilken trafikk som skal tillates og beskytte nettverket mot ukjente trusler.
Inntrengingsforebyggende system (IPS)
IPS -løsninger kan blokkere overføring av skadelige pakker basert på innholdet, og dermed stoppe mistenkte angrep i sanntid. Dette betyr at hvis en pakke representerer en kjent sikkerhetsrisiko, vil IP -er proaktivt blokkere nettverkstrafikk basert på et definert sett med regler. En ulempe med IPS er behovet for å regelmessig oppdatere en cybertrusseldatabase med detaljer om nye trusler, og muligheten for falske positiver. Men denne faren kan reduseres ved å skape konservative retningslinjer og tilpassede terskler, etablere passende baselineatferd for nettverkskomponenter, og med jevne mellomrom evaluere advarsler og rapporterte hendelser for å forbedre overvåking og varsling.
1- DPI (dyp pakkeinspeksjon) i nettverkspakkemegler
Den "dype" er nivå og vanlig pakkeanalyse -sammenligning, "vanlig pakkeinspeksjon" bare følgende analyse av IP -pakke 4 -lag, inkludert kildeadressen, destinasjonsadressen, kildeport, destinasjonsport og protokolltype, og DPI, bortsett fra med den hierarkiske analysen, økte også applikasjonslagsanalysen, identifiserer de forskjellige applikasjonene og innholdet, for å realisere hovedfunksjonene:
1) Applikasjonsanalyse - Nettverkstrafikksammensetningsanalyse, ytelsesanalyse og flytanalyse
2) Brukeranalyse - Brukergruppedifferensiering, atferdsanalyse, terminalanalyse, trendanalyse, etc.
3) Nettverkselementanalyse - Analyse basert på regionale attributter (by, distrikt, gate, etc.) og basestasjonsbelastning
4) Trafikkontroll - P2P -hastighetsbegrensning, QoS Assurance, båndbreddeforsikring, nettverksressursoptimalisering, etc.
5) Sikkerhetssikring - DDoS -angrep, datasendingsstorm, forebygging av ondsinnede virusangrep, etc.
2- Generell klassifisering av nettverksapplikasjoner
I dag er det utallige applikasjoner på internett, men de vanlige webapplikasjonene kan være uttømmende.
Så vidt jeg vet er det beste appgjenkjenningsselskapet Huawei, som hevder å anerkjenne 4000 apper. Protokollanalyse er den grunnleggende modulen for mange brannmurselskaper (Huawei, ZTE, etc.), og det er også en veldig viktig modul, som støtter realiseringen av andre funksjonelle moduler, nøyaktig applikasjonsidentifikasjon og forbedrer ytelsen og påliteligheten til produkter. I modellering av identifikasjon av malware basert på nettverkstrafikkegenskaper, som jeg gjør nå, er nøyaktig og omfattende protokollidentifikasjon også veldig viktig. Ekskludert nettverkstrafikken til vanlige applikasjoner fra selskapets eksporttrafikk, vil den gjenværende trafikken utgjøre en liten andel, noe som er bedre for malware -analyse og alarm.
Basert på min erfaring er de eksisterende ofte brukte applikasjonene klassifisert i henhold til deres funksjoner:
PS: I henhold til personlig forståelse av applikasjonsklassifiseringen, har du noen gode forslag som er velkomne til å legge igjen et meldingsforslag
1). E-post
2). Video
3). Spill
4). Kontor OA -klasse
5). Programvareoppdatering
6). Financial (Bank, Alipay)
7). Aksjer
8). Sosial kommunikasjon (IM -programvare)
9). Nettlesing (sannsynligvis bedre identifisert med nettadresser)
10). Last ned verktøy (webdisk, p2p nedlasting, bt relatert)
Deretter fungerer hvordan DPI (Deep Packet Inspection) fungerer i en NPB:
1). Pakkefangst: NPB fanger nettverkstrafikk fra forskjellige kilder, for eksempel brytere, rutere eller kraner. Den mottar pakker som strømmer gjennom nettverket.
2). Pakkeparsing: De fangede pakkene er analysert av NPB for å trekke ut forskjellige protokolllag og tilhørende data. Denne analyseringsprosessen hjelper til med å identifisere de forskjellige komponentene i pakkene, for eksempel Ethernet -overskrifter, IP -overskrifter, transportlagsoverskrifter (f.eks. TCP eller UDP) og applikasjonslagsprotokoller.
3). Nyttelastanalyse: Med DPI går NPB utover inspeksjon av overskrifter og fokuserer på nyttelasten, inkludert de faktiske dataene i pakkene. Den undersøker nyttelastinnholdet i dybden, uavhengig av applikasjonen eller protokollen som brukes, for å trekke ut relevant informasjon.
4). Protokollidentifikasjon: DPI gjør det mulig for NPB å identifisere de spesifikke protokollene og applikasjonene som brukes i nettverkstrafikken. Det kan oppdage og klassifisere protokoller som HTTP, FTP, SMTP, DNS, VOIP eller videostreamingprotokoller.
5). Innholdsinspeksjon: DPI lar NPB inspisere innholdet i pakker for spesifikke mønstre, signaturer eller nøkkelord. Dette muliggjør påvisning av nettverkstrusler, for eksempel skadelig programvare, virus, inntrengingsforsøk eller mistenkelige aktiviteter. DPI kan også brukes til innholdsfiltrering, håndheving av nettverkspolicyer eller identifisere brudd på dataoverholdelse.
6). Metadataekstraksjon: Under DPI trekker NPB ut relevante metadata fra pakkene. Dette kan omfatte informasjon som IP -adresser for kilde og destinasjon, portnumre, øktopplysninger, transaksjonsdata eller andre relevante attributter.
7). Trafikkruting eller filtrering: Basert på DPI -analysen kan NPB rute spesifikke pakker til utpekte destinasjoner for videre behandling, for eksempel sikkerhetsapparater, overvåkingsverktøy eller analyseplattformer. Den kan også bruke filtreringsregler for å kaste eller omdirigere pakker basert på det identifiserte innholdet eller mønstrene.
Post Time: Jun-25-2023