Ідэнтыфікацыя прыкладання сеткавага брокера пакетаў на аснове DPI - глыбокая праверка пакетаў

Глыбокая праверка пакетаў (DPI)гэта тэхналогія, якая выкарыстоўваецца ў брокерах сеткавых пакетаў (NPB) для праверкі і аналізу змесціва сеткавых пакетаў на дэталёвым узроўні. Гэта ўключае ў сябе вывучэнне карыснай нагрузкі, загалоўкаў і іншай інфармацыі, якая адносіцца да пратаколу ў пакетах, каб атрымаць падрабязную інфармацыю аб сеткавым трафіку.

DPI выходзіць за рамкі простага аналізу загалоўкаў і забяспечвае глыбокае разуменне даных, якія праходзяць праз сетку. Гэта дазваляе праводзіць глыбокую праверку пратаколаў прыкладнога ўзроўню, такіх як HTTP, FTP, SMTP, VoIP або пратаколы струменевага відэа. Вывучаючы фактычнае змесціва ў пакетах, DPI можа выяўляць і ідэнтыфікаваць пэўныя прыкладанні, пратаколы або нават пэўныя шаблоны даных.

У дадатак да іерархічнага аналізу адрасоў крыніц, адрасоў прызначэння, партоў крыніцы, партоў прызначэння і тыпаў пратаколаў, DPI таксама дадае аналіз прыкладнога ўзроўню для ідэнтыфікацыі розных прыкладанняў і іх змесціва. Калі пакет 1P, TCP або UDP даныя праходзяць праз сістэму кіравання паласой прапускання на аснове тэхналогіі DPI, сістэма счытвае змесціва загрузкі пакета 1P, каб рэарганізаваць інфармацыю прыкладнога ўзроўню ў пратаколе OSI Layer 7, каб атрымаць змест усю прыкладную праграму, а затым фармаванне трафіку ў адпаведнасці з палітыкай кіравання, вызначанай сістэмай.

Як працуе DPI?

Традыцыйным брандмаўэрам часта не хапае вылічальнай магутнасці для выканання дбайнай праверкі вялікіх аб'ёмаў трафіку ў рэальным часе. Па меры развіцця тэхналогій DPI можна выкарыстоўваць для выканання больш складаных праверак для праверкі загалоўкаў і даных. Як правіла, брандмаўэры з сістэмамі выяўлення ўварванняў часта выкарыстоўваюць DPI. У свеце, дзе лічбавая інфармацыя мае першараднае значэнне, кожная частка лічбавай інфармацыі дастаўляецца праз Інтэрнэт невялікімі пакетамі. Гэта ўключае ў сябе электронную пошту, паведамленні, адпраўленыя праз прыкладанне, наведаныя вэб-сайты, відэаразмовы і многае іншае. У дадатак да фактычных дадзеных гэтыя пакеты ўключаюць метададзеныя, якія ідэнтыфікуюць крыніцу трафіку, змест, пункт прызначэння і іншую важную інфармацыю. З дапамогай тэхналогіі фільтрацыі пакетаў даныя можна пастаянна кантраляваць і кіраваць імі, каб пераканацца, што яны накіроўваюцца ў патрэбнае месца. Але для забеспячэння бяспекі сеткі традыцыйнай фільтрацыі пакетаў далёка недастаткова. Некаторыя з асноўных метадаў глыбокай праверкі пакетаў у кіраванні сеткай пералічаны ніжэй:

Рэжым адпаведнасці/Подпіс

Кожны пакет правяраецца на супадзенне з базай дадзеных вядомых сеткавых атак брандмаўэрам з магчымасцямі сістэмы выяўлення ўварванняў (IDS). IDS шукае пэўныя вядомыя шкоднасныя шаблоны і адключае трафік пры выяўленні шкоднасных шаблонаў. Недахопам палітыкі супастаўлення подпісаў з'яўляецца тое, што яна прымяняецца толькі да подпісаў, якія часта абнаўляюцца. Акрамя таго, гэтая тэхналогія можа абараняць толькі ад вядомых пагроз або нападаў.

DPI

Выключэнне з пратаколу

Паколькі метад выключэння пратаколу не проста дазваляе ўсе даныя, якія не супадаюць з базай дадзеных подпісаў, метад выключэння пратаколу, які выкарыстоўваецца брандмаўэрам IDS, не мае недахопаў, уласцівых метаду супастаўлення шаблону/подпісу. Замест гэтага ён прымае палітыку адхілення па змаўчанні. Па вызначэнні пратаколу брандмаўэры вырашаюць, які трафік павінен быць дазволены, і абараняюць сетку ад невядомых пагроз.

Сістэма прадухілення ўварванняў (IPS)

Рашэнні IPS могуць блакаваць перадачу шкодных пакетаў на аснове іх змесціва, тым самым спыняючы падазраваныя атакі ў рэжыме рэальнага часу. Гэта азначае, што калі пакет уяўляе вядомую пагрозу бяспецы, IPS будзе актыўна блакіраваць сеткавы трафік на аснове вызначанага набору правілаў. Адным з недахопаў IPS з'яўляецца неабходнасць рэгулярна абнаўляць базу дадзеных кіберпагроз з падрабязнай інфармацыяй аб новых пагрозах і магчымасць ілжывых спрацоўванняў. Але гэтую небяспеку можна зменшыць шляхам стварэння кансерватыўных палітык і карыстальніцкіх парогаў, усталявання адпаведных базавых паводзін для сеткавых кампанентаў і перыядычнай ацэнкі папярэджанняў і паведамленых падзей для паляпшэння кантролю і абвесткі.

1- DPI (глыбокая праверка пакетаў) у Network Packet Broker

"Глыбокае" - гэта параўнанне ўзроўню і звычайнага аналізу пакетаў, "звычайная праверка пакетаў" - толькі наступны аналіз ўзроўню IP-пакетаў 4, у тым ліку адрас крыніцы, адрас прызначэння, порт крыніцы, порт прызначэння і тып пратаколу, а таксама DPI, за выключэннем іерархічных аналіз, таксама павялічаны аналіз ўзроўню прыкладанняў, ідэнтыфікацыя розных прыкладанняў і кантэнту, каб рэалізаваць асноўныя функцыі:

1) Аналіз прыкладанняў - аналіз складу сеткавага трафіку, аналіз прадукцыйнасці і аналіз патоку

2) Аналіз карыстальнікаў -- дыферэнцыяцыя груп карыстальнікаў, аналіз паводзін, тэрмінальны аналіз, аналіз тэндэнцый і г.д.

3) Аналіз элементаў сеткі -- аналіз на аснове рэгіянальных атрыбутаў (горад, раён, вуліца і г.д.) і загрузкі базавай станцыі

4) Кантроль трафіку - абмежаванне хуткасці P2P, забеспячэнне QoS, забеспячэнне прапускной здольнасці, аптымізацыя сеткавых рэсурсаў і г.д.

5) Гарантыя бяспекі -- DDoS-атакі, шторм трансляцыі дадзеных, прадухіленне нападаў шкоднасных вірусаў і г.д.

2- Агульная класіфікацыя сеткавых прыкладанняў

Сёння існуе незлічоная колькасць прыкладанняў у Інтэрнэце, але агульныя вэб-прыкладанні могуць быць вычарпальнымі.

Наколькі я ведаю, найлепшай кампаніяй па распазнанні праграм з'яўляецца Huawei, якая сцвярджае, што распазнае 4000 праграм. Аналіз пратаколаў з'яўляецца базавым модулем многіх кампаній-брандмаўэраў (Huawei, ZTE і інш.), а таксама вельмі важным модулем, які падтрымлівае рэалізацыю іншых функцыянальных модуляў, дакладную ідэнтыфікацыю прыкладанняў і значна паляпшае прадукцыйнасць і надзейнасць прадуктаў. Пры мадэляванні ідэнтыфікацыі шкоднасных праграм на аснове характарыстык сеткавага трафіку, як я зараз раблю, дакладная і шырокая ідэнтыфікацыя пратаколу таксама вельмі важная. Калі выключыць сеткавы трафік звычайных прыкладанняў з экспартнага трафіку кампаніі, астатні трафік будзе складаць невялікую долю, што лепш для аналізу шкоднасных праграм і сігналізацыі.

Зыходзячы з майго вопыту, існуючыя часта выкарыстоўваюцца прыкладанні класіфікуюцца ў залежнасці ад іх функцый:

PS: Згодна з асабістым разуменнем класіфікацыі прыкладанняў, у вас ёсць добрыя прапановы, вітаем пакінуць паведамленне

1). Электронная пошта

2). Відэа

3). гульні

4). Офіс ОА класа

5). Абнаўленне праграмнага забеспячэння

6). Фінансавыя (банк, Alipay)

7). Акцыі

8). Сацыяльная камунікацыя (праграмнае забеспячэнне IM)

9). Прагляд вэб-старонак (верагодна, лепш ідэнтыфікаваць па URL-адрасах)

10). Інструменты спампоўкі (вэб-дыск, загрузка P2P, звязаныя з BT)

20191210153150_32811

Затым, як DPI (глыбокая праверка пакетаў) працуе ў NPB:

1). Захоп пакетаў: NPB захоплівае сеткавы трафік з розных крыніц, такіх як камутатары, маршрутызатары або краны. Ён прымае пакеты, якія ідуць па сетцы.

2). Разбор пакетаў: захопленыя пакеты аналізуюцца NPB для здабывання розных узроўняў пратаколаў і звязаных з імі даных. Гэты працэс аналізу дапамагае ідэнтыфікаваць розныя кампаненты ўнутры пакетаў, такія як загалоўкі Ethernet, IP-загалоўкі, загалоўкі транспартнага ўзроўню (напрыклад, TCP або UDP) і пратаколы прыкладнога ўзроўню.

3). Аналіз карыснай нагрузкі: з дапамогай DPI NPB выходзіць за рамкі праверкі загалоўкаў і засяроджваецца на карыснай нагрузцы, уключаючы фактычныя дадзеныя ў пакетах. Ён дэталёва вывучае змесціва карыснай нагрузкі, незалежна ад выкарыстоўванага прыкладання або пратаколу, каб атрымаць адпаведную інфармацыю.

4). Ідэнтыфікацыя пратаколу: DPI дазваляе NPB ідэнтыфікаваць канкрэтныя пратаколы і прыкладанні, якія выкарыстоўваюцца ў сеткавым трафіку. Ён можа выяўляць і класіфікаваць такія пратаколы, як HTTP, FTP, SMTP, DNS, VoIP або пратаколы струменевага відэа.

5). Праверка змесціва: DPI дазваляе NPB правяраць змесціва пакетаў на наяўнасць пэўных шаблонаў, подпісаў або ключавых слоў. Гэта дазваляе выяўляць сеткавыя пагрозы, такія як шкоднасныя праграмы, вірусы, спробы ўварвання або падазроныя дзеянні. DPI таксама можна выкарыстоўваць для фільтрацыі змесціва, забеспячэння выканання сеткавых палітык або выяўлення парушэнняў адпаведнасці даных.

6). Выманне метададзеных: падчас DPI NPB здабывае адпаведныя метададзеныя з пакетаў. Гэта можа ўключаць такую ​​інфармацыю, як IP-адрасы крыніцы і прызначэння, нумары партоў, звесткі аб сеансе, дадзеныя транзакцый або любыя іншыя адпаведныя атрыбуты.

7). Маршрутызацыя або фільтраванне трафіку: на аснове аналізу DPI NPB можа накіроўваць пэўныя пакеты ў вызначаныя пункты прызначэння для далейшай апрацоўкі, такія як прылады бяспекі, інструменты маніторынгу або аналітычныя платформы. Ён таксама можа прымяняць правілы фільтрацыі для адхілення або перанакіравання пакетаў на аснове ідэнтыфікаванага кантэнту або шаблонаў.

ML-NPB-5660 3d


Час публікацыі: 25 чэрвеня 2023 г