Глыбокая інспекцыя пакета (DPI)гэта тэхналогія, якая выкарыстоўваецца ў сеткавых пакетах (NPBS) для праверкі і аналізу змесціва сеткавых пакетаў на дэталёвым узроўні. Гэта ўключае ў сябе вывучэнне карыснай нагрузкі, загалоўкаў і іншай інфармацыі, характэрнай для пратакола ў пакетах, каб атрымаць падрабязную інфармацыю пра сеткавы трафік.
DPI выходзіць за рамкі простага аналізу загалоўкаў і забяспечвае глыбокае разуменне дадзеных, якія праходзяць праз сетку. Гэта дазваляе ажыццяўляць паглыбленыя пратаколы пласта прыкладання, такія як пратаколы HTTP, FTP, SMTP, VOIP або відэа. Вывучаючы фактычны змест у пакетах, DPI можа выяўляць і вызначыць канкрэтныя прыкладанні, пратаколы ці нават канкрэтныя мадэлі дадзеных.
У дадатак да іерархічнага аналізу адрасоў крыніцы, адрасаў прызначэння, партаў зыходных, партаў прызначэння і тыпаў пратаколаў, DPI таксама дадае аналіз пласта прыкладанняў для выяўлення розных прыкладанняў і іх змесціва. Калі пакет 1P, TCP або UDP паступаюць праз сістэму кіравання прапускной здольнасцю на аснове тэхналогіі DPI, сістэма чытае змест нагрузкі пакета 1P, каб рэарганізаваць інфармацыю пра прыкладанне ў пратаколе пласта OSI 7, каб атрымаць змест усёй праграмы, а потым сфармаваць трафік у адпаведнасці з палітыкай кіравання, вызначанай сістэмай.
Як працуе DPI?
У традыцыйных брандмаўэрах часта не хапае магутнасці апрацоўкі, каб ажыццявіць дбайныя праверкі ў рэжыме рэальнага часу на вялікія аб'ёмы руху. Па меры прасоўвання тэхналогій DPI можна выкарыстоўваць для выканання больш складаных праверкі для праверкі загалоўкаў і дадзеных. Звычайна брандмаўэры з сістэмамі выяўлення ўварванняў часта выкарыстоўваюць DPI. У свеце, дзе лічбавая інфармацыя мае першараднае значэнне, кожная лічбавая інфармацыя дастаўляецца праз Інтэрнэт у невялікіх пакетах. Гэта ўключае ў сябе электронную пошту, паведамленні, адпраўленыя праз прыкладанне, наведаныя вэб -сайты, відэа размовы і шмат іншага. У дадатак да фактычных дадзеных, гэтыя пакеты ўключаюць метададзеныя, якія вызначаюць крыніцу трафіку, змест, пункт прызначэння і іншую важную інфармацыю. З дапамогай тэхналогіі фільтрацыі пакетаў, дадзеныя можна пастаянна кантраляваць і ўмацавацца, каб пераканацца, што яна перададзена ў патрэбнае месца. Але для забеспячэння бяспекі сеткі традыцыйная фільтрацыя пакетаў далёка не дастаткова. Ніжэй прыведзены некаторыя асноўныя метады інспекцыі глыбокага пакета ў кіраванні сеткамі:
Рэжым супадзення/подпіс
Кожны пакет правяраецца на супадзенне з базай дадзеных вядомых сеткавых нападаў брандмаўэрам з магчымасцямі выяўлення ўварвання (IDS). ІД шукае вядомыя шкоднасныя канкрэтныя ўзоры і адключае трафік, калі знойдзены шкоднасныя ўзоры. Недахопам палітыкі супастаўлення подпісаў з'яўляецца тое, што яна распаўсюджваецца толькі на подпісы, якія часта абнаўляюцца. Акрамя таго, гэтая тэхналогія можа абараніць толькі ад вядомых пагроз і нападаў.
Выключэнне пратакола
Паколькі методыка выключэння пратакола не проста дазваляе ўсе дадзеныя, якія не адпавядаюць базе дадзеных подпісу, тэхніка выключэння пратакола, які выкарыстоўваецца ў брандмаўэры IDS, не мае ўласцівых недахопаў метаду ўзгаднення/падпісання. Замест гэтага ён прымае палітыку адхілення па змаўчанні. Па вызначэнні пратакола брандмаўэры вырашаюць, які трафік павінен быць дазволены і абараніць сетку ад невядомых пагроз.
Сістэма прафілактыкі пранікнення (IPS)
IPS Solutions можа блакаваць перадачу шкодных пакетаў на аснове іх зместу, спыняючы тым самым падазраваныя напады ў рэжыме рэальнага часу. Гэта азначае, што калі пакет уяўляе сабой вядомы рызыка бяспекі, IPS будзе актыўна блакаваць сеткавы трафік на аснове вызначанага набору правілаў. Адным з недахопаў IPS з'яўляецца неабходнасць рэгулярна абнаўляць базу дадзеных кібер -пагрозы з падрабязнасцямі пра новыя пагрозы і магчымасць ілжывых пазітываў. Але гэтую небяспеку можна змякчыць шляхам стварэння кансерватыўнай палітыкі і на заказ, устанаўліваючы адпаведныя базавыя паводзіны для сеткавых кампанентаў і перыядычна ацэньваючы папярэджанні і паведамляюць пра падзеі для павышэння маніторынгу і папярэджання.
1- DPI (глыбокая інспекцыя пакетаў) у сеткавым брокеры
"Глыбокі" - гэта параўнанне ўзроўню і звычайнага аналізу пакетаў "," Звычайная інспекцыя пакетаў "толькі наступны аналіз 4 -га ўзроўню IP Packet, уключаючы адрас крыніцы, адрас прызначэння, порт зыходнага порта, порт прызначэння і тып пратакола і DPI, за выключэннем іерархічнага аналізу, таксама павялічыў аналіз пласта прыкладанняў, вызначыць розныя прыкладанні і змест, каб рэалізаваць асноўныя функцыі:
1) Аналіз прыкладанняў - Аналіз складу сеткавага руху, аналіз прадукцыйнасці і аналіз патоку
2) Аналіз карыстальнікаў - дыферэнцыяцыя групы карыстальнікаў, аналіз паводзін, тэрмінальны аналіз, аналіз тэндэнцый і г.д.
3) Аналіз сеткавых элементаў - Аналіз на аснове рэгіянальных атрыбутаў (горад, раён, вуліца і г.д.) і нагрузку на базавую станцыю
4) Кантроль трафіку - абмежаванне хуткасці P2P, забеспячэнне QoS, забеспячэнне прапускной здольнасці, аптымізацыю сеткавых рэсурсаў і г.д.
5) Забяспечанасць бяспекай - Атакі DDOS, навальніца, якая транслявала дадзеныя, прафілактыка шкоднасных нападаў вірусаў і г.д.
2- Агульная класіфікацыя сеткавых прыкладанняў
Сёння ў Інтэрнэце існуе незлічонае мноства прыкладанняў, але агульныя вэб -прыкладанні могуць быць вычарпальнымі.
Наколькі я ведаю, лепшай кампаніяй па распазнанні прыкладанняў з'яўляецца Huawei, якая сцвярджае, што распазнае 4000 прыкладанняў. Аналіз пратаколу з'яўляецца асноўным модулем многіх кампаній -брандмаўэраў (Huawei, ZTE і г.д.), а таксама з'яўляецца вельмі важным модулем, які падтрымлівае рэалізацыю іншых функцыянальных модуляў, дакладнай ідэнтыфікацыі прыкладанняў і значна павышэння прадукцыйнасці і надзейнасці прадуктаў. У мадэляванні ідэнтыфікацыі шкоднасных праграм на аснове сеткавых характарыстык трафіку, як я зараз раблю, дакладная і шырокая ідэнтыфікацыя пратаколаў таксама вельмі важна. За выключэннем сеткавага трафіку агульных прыкладанняў з экспартнага трафіку кампаніі, астатнія трафікі будуць улічваць невялікую прапорцыю, што лепш для аналізу шкоднасных праграм і сігналізацыі.
Зыходзячы з майго досведу, існуючыя звычайна выкарыстоўваюцца прыкладанні класіфікуюцца ў адпаведнасці з іх функцыямі:
PS: Згодна з асабістым разуменнем класіфікацыі прыкладанняў, у вас ёсць добрыя прапановы, каб пакінуць прапанову паведамлення
1). Па электроннай пошце
2). Відэа
3). Гульні
4). Office OA клас
5). Абнаўленне праграмнага забеспячэння
6). Фінансавы (банк, Аліпай)
7). Запасы
8). Сацыяльная камунікацыя (праграмнае забеспячэнне IM)
9). Прагляд вэб -сайтаў (напэўна, лепш ідэнтыфікаваць з URL)
10). Загрузіце інструменты (Web Disk, P2P Download, BT, звязаны)
Затым, як працуе DPI (глыбокая інспекцыя пакетаў) у NPB:
1). Захоп пакета: NPB фіксуе сеткавы трафік з розных крыніц, такіх як перамыкачы, маршрутызатары або краны. Ён атрымлівае пакеты, якія праходзяць праз сетку.
2). Разбор пакетаў: Захопленыя пакеты разабраны NPB для здабывання розных пратакольных слаёў і звязаных з імі дадзеных. Гэты працэс разбору дапамагае вызначыць розныя кампаненты ў пакетах, такіх як загалоўкі Ethernet, загалоўкі IP, загалоўкі транспартнага пласта (напрыклад, TCP або UDP) і пратаколы прыкладанняў.
3). Аналіз карыснай нагрузкі: З дапамогай DPI NPB выходзіць за рамкі праверкі загалоўкаў і засяроджваецца на карыснай нагрузцы, уключаючы фактычныя дадзеныя ў пакетах. Ён вывучае паглыбленае ўтрыманне карыснай нагрузкі, незалежна ад прыкладання або пратакола, які выкарыстоўваецца, для атрымання адпаведнай інфармацыі.
4). Ідэнтыфікацыя пратаколу: DPI дазваляе NPB вызначыць канкрэтныя пратаколы і прыкладанні, якія выкарыстоўваюцца ў сеткавым трафіку. Ён можа выявіць і класіфікаваць пратаколы, такія як HTTP, FTP, SMTP, DNS, VOIP або пратаколы струменевага відэа.
5). Інспекцыя зместу: DPI дазваляе NPB праводзіць праверку зместу пакетаў на прадмет пэўных узораў, подпісаў або ключавых слоў. Гэта дазваляе выявіць сеткавыя пагрозы, такія як шкоднаснае праграмнае забеспячэнне, вірусы, спробы ўварвання альбо падазроныя мерапрыемствы. DPI таксама можа быць выкарыстаны для фільтрацыі змесціва, выканання сеткавай палітыкі альбо выяўлення парушэнняў захавання дадзеных.
6). Выманне метададзеных: падчас DPI NPB здабывае адпаведныя метададзеныя з пакетаў. Гэта можа ўключаць у сябе такую інфармацыю, як IP -адрасы крыніцы і прызначэння, нумары порта, дэталі сесіі, дадзеныя аб транзакцыях ці любыя іншыя адпаведныя атрыбуты.
7). Маршрутызацыя дарожнага руху або фільтраванне: Зыходзячы з аналізу DPI, NPB можа накіраваць пэўныя пакеты ў прызначаныя напрамкі для далейшай апрацоўкі, напрыклад, прыборы бяспекі, інструменты маніторынгу або платформы аналітыкі. Ён таксама можа прымяніць правілы фільтрацыі, каб выкінуць або перанакіраваць пакеты на аснове выяўленага змесціва або ўзораў.
Час паведамлення: 25 чэрвеня-2023
