Deep Packet Inspection (DPI)er en teknologi, der bruges i Network Packet Brokers (NPB'er) til at inspicere og analysere indholdet af netværkspakker på et granulært niveau. Det involverer at undersøge nyttelasten, overskrifterne og andre protokolspecifikke oplysninger i pakker for at få detaljeret indsigt i netværkstrafikken.
DPI går ud over simpel header-analyse og giver en dyb forståelse af de data, der strømmer gennem et netværk. Det giver mulighed for dybdegående inspektion af applikationslagsprotokollerne, såsom HTTP, FTP, SMTP, VoIP eller videostreamingprotokoller. Ved at undersøge det faktiske indhold i pakker kan DPI detektere og identificere specifikke applikationer, protokoller eller endda specifikke datamønstre.
Ud over den hierarkiske analyse af kildeadresser, destinationsadresser, kildeporte, destinationsporte og protokoltyper, tilføjer DPI også applikationslagsanalyse for at identificere forskellige applikationer og deres indhold. Når 1P-pakken, TCP- eller UDP-data strømmer gennem båndbreddestyringssystemet baseret på DPI-teknologi, læser systemet indholdet af 1P-pakkebelastningen for at omorganisere applikationslagsinformationen i OSI Layer 7-protokollen for at få indholdet af hele applikationsprogrammet, og derefter forme trafikken i overensstemmelse med den ledelsespolitik, der er defineret af systemet.
Hvordan virker DPI?
Traditionelle firewalls mangler ofte processorkraften til at udføre grundige realtidstjek af store mængder trafik. Efterhånden som teknologien udvikler sig, kan DPI bruges til at udføre mere komplekse kontroller for at kontrollere overskrifter og data. Typisk bruger firewalls med indtrængningsdetektionssystemer ofte DPI. I en verden, hvor digital information er i højsædet, bliver hvert stykke digital information leveret over internettet i små pakker. Dette inkluderer e-mail, beskeder sendt via appen, besøgte websteder, videosamtaler og meget mere. Ud over de faktiske data indeholder disse pakker metadata, der identificerer trafikkilden, indholdet, destinationen og andre vigtige oplysninger. Med pakkefiltreringsteknologi kan data løbende overvåges og administreres for at sikre, at de sendes til det rigtige sted. Men for at sikre netværkssikkerhed er traditionel pakkefiltrering langt fra nok. Nogle af de vigtigste metoder til dyb pakkeinspektion i netværksstyring er anført nedenfor:
Matchende tilstand/signatur
Hver pakke kontrolleres for en match mod en database med kendte netværksangreb af en firewall med indtrængendetektionssystem (IDS)-funktioner. IDS søger efter kendte ondsindede specifikke mønstre og deaktiverer trafik, når der findes ondsindede mønstre. Ulempen ved signaturmatching-politikken er, at den kun gælder for signaturer, der opdateres hyppigt. Derudover kan denne teknologi kun forsvare sig mod kendte trusler eller angreb.
Protokolundtagelse
Da protokolundtagelsesteknikken ikke blot tillader alle data, der ikke matcher signaturdatabasen, har protokolundtagelsesteknikken, der anvendes af IDS-firewallen, ikke de iboende fejl i metoden til matchning af mønster/signatur. I stedet vedtager den standardafvisningspolitikken. Ved protokoldefinition bestemmer firewalls, hvilken trafik der skal tillades, og beskytter netværket mod ukendte trusler.
Intrusion Prevention System (IPS)
IPS-løsninger kan blokere transmissionen af skadelige pakker baseret på deres indhold og derved stoppe formodede angreb i realtid. Det betyder, at hvis en pakke repræsenterer en kendt sikkerhedsrisiko, vil IPS proaktivt blokere netværkstrafikken baseret på et defineret sæt regler. En ulempe ved IPS er behovet for regelmæssigt at opdatere en cybertrusselsdatabase med detaljer om nye trusler og muligheden for falske positiver. Men denne fare kan afbødes ved at skabe konservative politikker og tilpassede tærskler, etablere passende baselineadfærd for netværkskomponenter og periodisk evaluere advarsler og rapporterede hændelser for at forbedre overvågning og alarmering.
1- DPI'en (Deep Packet Inspection) i Network Packet Broker
Den "dybe" er niveau og almindelig pakkeanalyse sammenligning, "almindelig pakkeinspektion" kun den følgende analyse af IP-pakke 4 lag, inklusive kildeadressen, destinationsadressen, kildeporten, destinationsporten og protokoltypen og DPI undtagen med den hierarkiske analyse, øgede også applikationslagsanalysen, identificer de forskellige applikationer og indhold for at realisere hovedfunktionerne:
1) Applikationsanalyse -- analyse af netværkstrafiksammensætning, præstationsanalyse og flowanalyse
2) Brugeranalyse -- brugergruppedifferentiering, adfærdsanalyse, terminalanalyse, trendanalyse osv.
3) Netværkselementanalyse -- analyse baseret på regionale attributter (by, distrikt, gade osv.) og basestationsbelastning
4) Trafikkontrol -- P2P-hastighedsbegrænsning, QoS-sikring, båndbreddesikring, netværksressourceoptimering osv.
5) Security Assurance -- DDoS-angreb, dataudsendelsesstorm, forebyggelse af ondsindede virusangreb osv.
2- Generel klassificering af netværksapplikationer
I dag findes der utallige applikationer på internettet, men de almindelige webapplikationer kan være udtømmende.
Så vidt jeg ved, er det bedste appgenkendelsesfirma Huawei, som hævder at genkende 4.000 apps. Protokolanalyse er grundmodulet for mange firewallvirksomheder (Huawei, ZTE osv.), og det er også et meget vigtigt modul, der understøtter realiseringen af andre funktionelle moduler, nøjagtig applikationsidentifikation og i høj grad forbedrer produkternes ydeevne og pålidelighed. Ved modellering af malware-identifikation baseret på netværkstrafikkarakteristika, som jeg gør nu, er nøjagtig og omfattende protokolidentifikation også meget vigtig. Eksklusiv netværkstrafikken af almindelige applikationer fra virksomhedens eksporttrafik, vil den resterende trafik udgøre en lille andel, hvilket er bedre til malware-analyse og alarm.
Baseret på min erfaring er de eksisterende almindeligt anvendte applikationer klassificeret efter deres funktioner:
PS: I henhold til personlig forståelse af ansøgningsklassificeringen, har du gode forslag velkommen til at efterlade et budskabsforslag
1). E-mail
2). Video
3). Spil
4). Office OA klasse
5). Softwareopdatering
6). Finansiel (bank, Alipay)
7). Aktier
8). Social kommunikation (IM-software)
9). Webbrowsing (sandsynligvis bedre identificeret med URL'er)
10). Downloadværktøjer (webdisk, P2P-download, BT-relateret)
Så, hvordan DPI (Deep Packet Inspection) fungerer i en NPB:
1). Pakkefangst: NPB fanger netværkstrafik fra forskellige kilder, såsom switches, routere eller taps. Den modtager pakker, der flyder gennem netværket.
2). Pakkeparsing: De opfangede pakker parses af NPB for at udtrække forskellige protokollag og tilhørende data. Denne parsing-proces hjælper med at identificere de forskellige komponenter i pakkerne, såsom Ethernet-headere, IP-headere, transportlagsheadere (f.eks. TCP eller UDP) og applikationslagsprotokoller.
3). Nyttelastanalyse: Med DPI går NPB ud over headerinspektion og fokuserer på nyttelasten, inklusive de faktiske data i pakkerne. Den undersøger nyttelastindholdet i dybden, uanset den anvendte applikation eller protokol, for at udtrække relevant information.
4). Protokolidentifikation: DPI gør det muligt for NPB at identificere de specifikke protokoller og applikationer, der bruges i netværkstrafikken. Det kan registrere og klassificere protokoller som HTTP, FTP, SMTP, DNS, VoIP eller videostreamingprotokoller.
5). Indholdsinspektion: DPI giver NPB mulighed for at inspicere indholdet af pakker for specifikke mønstre, signaturer eller nøgleord. Dette muliggør detektering af netværkstrusler, såsom malware, vira, forsøg på indtrængen eller mistænkelige aktiviteter. DPI kan også bruges til indholdsfiltrering, håndhævelse af netværkspolitikker eller identifikation af overtrædelser af dataoverholdelse.
6). Metadataekstraktion: Under DPI udtrækker NPB relevante metadata fra pakkerne. Dette kan omfatte oplysninger såsom kilde- og destinations-IP-adresser, portnumre, sessionsdetaljer, transaktionsdata eller andre relevante attributter.
7). Trafikrouting eller -filtrering: Baseret på DPI-analysen kan NPB dirigere specifikke pakker til udpegede destinationer for yderligere behandling, såsom sikkerhedsapparater, overvågningsværktøjer eller analyseplatforme. Det kan også anvende filtreringsregler til at kassere eller omdirigere pakker baseret på det identificerede indhold eller mønstre.
Indlægstid: 25-jun-2023