Dyp pakkeinspeksjon (DPI)er en teknologi som brukes i Network Packet Brokers (NPB-er) for å inspisere og analysere innholdet i nettverkspakker på et detaljert nivå. Det innebærer å undersøke nyttelasten, overskriftene og annen protokollspesifikk informasjon i pakkene for å få detaljert innsikt i nettverkstrafikken.
DPI går utover enkel headeranalyse og gir en dyp forståelse av dataene som flyter gjennom et nettverk. Det muliggjør grundig inspeksjon av applikasjonslagsprotokollene, for eksempel HTTP, FTP, SMTP, VoIP eller videostreamingprotokoller. Ved å undersøke det faktiske innholdet i pakker kan DPI oppdage og identifisere spesifikke applikasjoner, protokoller eller til og med spesifikke datamønstre.
I tillegg til den hierarkiske analysen av kildeadresser, destinasjonsadresser, kildeporter, destinasjonsporter og protokolltyper, legger DPI også til applikasjonslagsanalyse for å identifisere ulike applikasjoner og innholdet deres. Når 1P-pakken, TCP- eller UDP-data flyter gjennom båndbreddehåndteringssystemet basert på DPI-teknologi, leser systemet innholdet i 1P-pakkelasten for å omorganisere applikasjonslagsinformasjonen i OSI Layer 7-protokollen, for å få innholdet i hele applikasjonsprogrammet, og deretter forme trafikken i henhold til administrasjonspolicyen som er definert av systemet.
Hvordan fungerer DPI?
Tradisjonelle brannmurer mangler ofte prosessorkraften til å utføre grundige sanntidskontroller av store trafikkmengder. Etter hvert som teknologien utvikler seg, kan DPI brukes til å utføre mer komplekse kontroller for å sjekke overskrifter og data. Vanligvis bruker brannmurer med inntrengingsdeteksjonssystemer ofte DPI. I en verden der digital informasjon er avgjørende, leveres all digital informasjon over Internett i små pakker. Dette inkluderer e-post, meldinger sendt gjennom appen, besøkte nettsteder, videosamtaler og mer. I tillegg til de faktiske dataene inneholder disse pakkene metadata som identifiserer trafikkilden, innholdet, destinasjonen og annen viktig informasjon. Med pakkefiltreringsteknologi kan data kontinuerlig overvåkes og administreres for å sikre at de videresendes til riktig sted. Men for å sikre nettverkssikkerhet er tradisjonell pakkefiltrering langt fra nok. Noen av de viktigste metodene for dyp pakkeinspeksjon i nettverksadministrasjon er listet opp nedenfor:
Samsvarsmodus/signatur
Hver pakke sjekkes for samsvar mot en database med kjente nettverksangrep av en brannmur med inntrengingsdeteksjonssystem (IDS). IDS søker etter kjente, ondsinnede, spesifikke mønstre og deaktiverer trafikk når ondsinnede mønstre blir funnet. Ulempen med signatursamsvarspolicyen er at den bare gjelder signaturer som oppdateres ofte. I tillegg kan denne teknologien bare forsvare seg mot kjente trusler eller angrep.
Protokollunntak
Siden protokollunntaksteknikken ikke bare tillater alle data som ikke samsvarer med signaturdatabasen, har ikke protokollunntaksteknikken som brukes av IDS-brannmuren de iboende feilene til mønster-/signatursamsvarsmetoden. I stedet bruker den standard avvisningspolicy. Per protokolldefinisjon bestemmer brannmurer hvilken trafikk som skal tillates og beskytter nettverket mot ukjente trusler.
Inntrengingssystem (IPS)
IPS-løsninger kan blokkere overføring av skadelige pakker basert på innholdet deres, og dermed stoppe mistenkte angrep i sanntid. Dette betyr at hvis en pakke representerer en kjent sikkerhetsrisiko, vil IPS proaktivt blokkere nettverkstrafikk basert på et definert sett med regler. En ulempe med IPS er behovet for regelmessig å oppdatere en cybertrusseldatabase med detaljer om nye trusler, og muligheten for falske positiver. Men denne faren kan reduseres ved å lage konservative retningslinjer og tilpassede terskler, etablere passende grunnlinjeatferd for nettverkskomponenter, og periodisk evaluere advarsler og rapporterte hendelser for å forbedre overvåking og varsling.
1- DPI (Deep Packet Inspection) i Network Packet Broker
"Dyp" er nivå- og vanlig pakkeanalyse sammenlignet med "vanlig pakkeinspeksjon". Bare følgende analyse av IP-pakke 4-laget, inkludert kildeadresse, destinasjonsadresse, kildeport, destinasjonsport og protokolltype, og DPI, unntatt med hierarkisk analyse, også økt applikasjonslagsanalyse, identifisering av ulike applikasjoner og innhold, for å realisere hovedfunksjonene:
1) Applikasjonsanalyse – analyse av nettverkstrafikksammensetning, ytelsesanalyse og flytanalyse
2) Brukeranalyse – differensiering av brukergrupper, atferdsanalyse, terminalanalyse, trendanalyse osv.
3) Nettverkselementanalyse – analyse basert på regionale attributter (by, distrikt, gate osv.) og basestasjonsbelastning
4) Trafikkontroll – P2P-hastighetsbegrensning, QoS-sikring, båndbreddesikring, optimalisering av nettverksressurser osv.
5) Sikkerhetsforsikring – DDoS-angrep, datakringkastingsstorm, forebygging av ondsinnede virusangrep osv.
2- Generell klassifisering av nettverksapplikasjoner
I dag finnes det utallige applikasjoner på internett, men de vanlige nettapplikasjonene kan være uttømmende.
Så vidt jeg vet er det beste selskapet for appgjenkjenning Huawei, som hevder å gjenkjenne 4000 apper. Protokollanalyse er den grunnleggende modulen til mange brannmurselskaper (Huawei, ZTE, osv.), og det er også en veldig viktig modul som støtter realiseringen av andre funksjonelle moduler, nøyaktig applikasjonsidentifikasjon og forbedrer ytelsen og påliteligheten til produkter betraktelig. Ved modellering av identifisering av skadelig programvare basert på nettverkstrafikkegenskaper, slik jeg gjør nå, er nøyaktig og omfattende protokollidentifikasjon også veldig viktig. Hvis man ekskluderer nettverkstrafikken til vanlige applikasjoner fra selskapets eksporttrafikk, vil den gjenværende trafikken utgjøre en liten andel, noe som er bedre for analyse og alarmering av skadelig programvare.
Basert på min erfaring er de eksisterende vanlige applikasjonene klassifisert i henhold til funksjonene deres:
PS: I henhold til personlig forståelse av applikasjonsklassifiseringen, er du velkommen til å legge igjen en melding hvis du har gode forslag.
1). E-post
2). Video
3). Spill
4). Kontor OA-klasse
5). Programvareoppdatering
6). Finansiell (bank, Alipay)
7). Aksjer
8). Sosial kommunikasjon (IM-programvare)
9). Nettsurfing (sannsynligvis bedre identifisert med URL-er)
10). Nedlastingsverktøy (nettdisk, P2P-nedlasting, BT-relatert)
Så, hvordan DPI (Deep Packet Inspection) fungerer i en NPB:
1). Pakkefangst: NPB-en fanger opp nettverkstrafikk fra ulike kilder, for eksempel svitsjer, rutere eller tapper. Den mottar pakker som flyter gjennom nettverket.
2). Pakkeparsing: De innsamlede pakkene analyseres av NPB for å trekke ut ulike protokolllag og tilhørende data. Denne parseprosessen bidrar til å identifisere de ulike komponentene i pakkene, for eksempel Ethernet-overskrifter, IP-overskrifter, transportlagsoverskrifter (f.eks. TCP eller UDP) og applikasjonslagsprotokoller.
3). Nyttelastanalyse: Med DPI går NPB lenger enn bare headerinspeksjon og fokuserer på nyttelasten, inkludert de faktiske dataene i pakkene. Den undersøker nyttelastinnholdet grundig, uavhengig av applikasjon eller protokoll som brukes, for å trekke ut relevant informasjon.
4). Protokollidentifikasjon: DPI gjør det mulig for NPB å identifisere de spesifikke protokollene og applikasjonene som brukes i nettverkstrafikken. Den kan oppdage og klassifisere protokoller som HTTP, FTP, SMTP, DNS, VoIP eller videostreamingprotokoller.
5). Innholdsinspeksjon: DPI lar NPB inspisere innholdet i pakker for spesifikke mønstre, signaturer eller nøkkelord. Dette muliggjør deteksjon av nettverkstrusler, for eksempel skadelig programvare, virus, inntrengingsforsøk eller mistenkelig aktivitet. DPI kan også brukes til innholdsfiltrering, håndheving av nettverkspolicyer eller identifisering av brudd på datasamsvar.
6). Metadatautvinning: Under DPI trekker NPB ut relevante metadata fra pakkene. Dette kan inkludere informasjon som kilde- og destinasjons-IP-adresser, portnumre, øktdetaljer, transaksjonsdata eller andre relevante attributter.
7). Trafikkroting eller filtrering: Basert på DPI-analysen kan NPB rute spesifikke pakker til angitte destinasjoner for videre behandling, for eksempel sikkerhetsutstyr, overvåkingsverktøy eller analyseplattformer. Den kan også bruke filtreringsregler for å forkaste eller omdirigere pakker basert på identifisert innhold eller mønstre.
Publisert: 25. juni 2023
