Dyb pakkeinspektion (Dpi)er en teknologi, der bruges i netværkspakke mæglere (NPBS) til at inspicere og analysere indholdet af netværkspakker på et granulært niveau. Det involverer at undersøge nyttelast, overskrifter og anden protokolspecifik information inden for pakker for at få detaljeret indsigt i netværkstrafik.
DPI går ud over simpel overskriftsanalyse og giver en dyb forståelse af de data, der flyder gennem et netværk. Det giver mulighed for dybdegående inspektion af applikationslaget protokoller, såsom HTTP, FTP, SMTP, VoIP eller videostreamingsprotokoller. Ved at undersøge det faktiske indhold inden for pakker kan DPI registrere og identificere specifikke applikationer, protokoller eller endda specifikke datamønstre.
Ud over den hierarkiske analyse af kildeadresser, destinationsadresser, kildeporte, destinationsporte og protokoltyper tilføjer DPI også applikationslagsanalyse til at identificere forskellige applikationer og deres indhold. Når 1P -pakken, TCP- eller UDP -dataflow gennem båndbreddestyringssystemet baseret på DPI -teknologi, læser systemet indholdet af 1P -pakkebelastningen for at omorganisere applikationslagets oplysninger i OSI -laget 7 -protokollen for at få indholdet af hele applikationsprogrammet og derefter forme trafikken i henhold til styringspolitikken, der er defineret af systemet.
Hvordan fungerer DPI?
Traditionelle firewalls mangler ofte behandlingskraft til at udføre grundige realtidskontrol af store mængder trafik. Efterhånden som teknologien skrider frem, kan DPI bruges til at udføre mere komplekse kontroller for at kontrollere overskrifter og data. Typisk bruger firewalls med indtrængningsdetektionssystemer ofte DPI. I en verden, hvor digital information er vigtig, leveres hvert stykke digital information over internettet i små pakker. Dette inkluderer e -mail, meddelelser sendt gennem appen, besøgte websteder, videosamtaler og mere. Ud over de faktiske data inkluderer disse pakker metadata, der identificerer trafikkilden, indhold, destination og anden vigtig information. Med pakkefiltreringsteknologi kan data kontinuerligt overvåges og formåes at sikre, at de videresendes til det rigtige sted. Men for at sikre netværkssikkerhed er traditionel pakkefiltrering langt fra nok. Nogle af de vigtigste metoder til dyb pakkeinspektion i netværksstyring er anført nedenfor:
Match -tilstand/signatur
Hver pakke kontrolleres for en match mod en database med kendte netværksangreb fra en firewall med IDS -kapacitet (IDS). IDS søger efter kendte ondsindede specifikke mønstre og deaktiverer trafik, når ondsindede mønstre findes. Ulempen ved signatur matchende politik er, at den kun gælder for underskrifter, der ofte opdateres. Derudover kan denne teknologi kun forsvare sig mod kendte trusler eller angreb.
Protokol undtagelse
Da protokolundtagelsesteknikken ikke blot tillader alle data, der ikke stemmer overens med signaturdatabasen, har protokol undtagelsesteknik, der bruges af IDS -firewall, ikke de iboende mangler ved mønster/signatur matchningsmetoden. I stedet vedtager den standardafvisningspolitikken. Ved protokoldefinition beslutter firewalls, hvilken trafik der skal tillades og beskytter netværket mod ukendte trusler.
Intrusion Prevention System (IPS)
IPS -løsninger kan blokere transmission af skadelige pakker baseret på deres indhold og derved stoppe mistænkte angreb i realtid. Dette betyder, at hvis en pakke repræsenterer en kendt sikkerhedsrisiko, vil IPS proaktivt blokere netværkstrafik baseret på et defineret sæt regler. En ulempe ved IPS er behovet for regelmæssigt at opdatere en cybertrusselsdatabase med detaljer om nye trusler og muligheden for falske positiver. Men denne fare kan mindskes ved at skabe konservative politikker og brugerdefinerede tærskler, etablere passende baselineadfærd for netværkskomponenter og med jævne mellemrum evaluere advarsler og rapporterede begivenheder for at forbedre overvågning og alarmering.
1- DPI (dyb pakkeinspektion) i netværkspakkemægler
"Deep" er niveau- og almindelig sammenligning af pakkeanalyse ", almindelig pakkeinspektion", kun følgende analyse af IP -pakke 4 -lag, inklusive kildeadressen, destinationsadressen, kildeport, destinationsport og protokoltype og DPI undtagen med den hierarkiske analyse, øgede også applikationslagsanalysen, identificerer de forskellige applikationer og indhold for at realisere hovedfunktionerne:
1) Anvendelsesanalyse - Netværkstrafiksammensætningsanalyse, præstationsanalyse og flowanalyse
2) Brugeranalyse - Brugergruppedifferentiering, adfærdsanalyse, terminalanalyse, trendanalyse osv.
3) Netværkselementanalyse - Analyse baseret på regionale attributter (by, distrikt, gade osv.) Og basisstationsbelastning
4) Trafikstyring - P2P -hastighedsbegrænsende, QoS -sikkerhed, båndbreddeforsikring, netværksressourceoptimering osv.
5) Sikkerhedssikring - DDoS -angreb, Data Broadcast Storm, forebyggelse af ondsindede virusangreb osv.
2- Generel klassificering af netværksapplikationer
I dag er der utallige applikationer på Internettet, men de almindelige webapplikationer kan være udtømmende.
Så vidt jeg ved, er det bedste appgenkendelsesfirma Huawei, der hævder at genkende 4.000 apps. Protokolanalyse er det grundlæggende modul for mange firewall -virksomheder (Huawei, ZTE osv.), Og det er også et meget vigtigt modul, der understøtter realiseringen af andre funktionelle moduler, nøjagtig applikationsidentifikation og forbedrer produkternes ydelse og pålidelighed. Ved modellering af malware -identifikation baseret på netværkstrafikegenskaber, som jeg gør nu, er nøjagtig og omfattende protokolidentifikation også meget vigtig. Ekskluderet netværkstrafikken for fælles applikationer fra selskabets eksporttrafik vil den resterende trafik tage højde for en lille andel, hvilket er bedre til malware -analyse og alarm.
Baseret på min erfaring klassificeres de eksisterende almindeligt anvendte applikationer i henhold til deres funktioner:
PS: I henhold til personlig forståelse af applikationsklassificeringen har du nogle gode forslag velkomne til at efterlade et meddelelsesforslag
1). E-mail
2). Video
3). Spil
4). Office OA -klasse
5). Softwareopdatering
6). Financial (Bank, Alipay)
7). Lagre
8). Social kommunikation (IM -software)
9). Web browsing (sandsynligvis bedre identificeret med webadresser)
10). Download værktøjer (webdisk, P2P -download, BT -relateret)
Derefter, hvordan DPI (dyb pakkeinspektion) fungerer i en NPB:
1). Pakkeoptagelse: NPB fanger netværkstrafik fra forskellige kilder, såsom switches, routere eller vandhaner. Den modtager pakker, der flyder gennem netværket.
2). Pakkeparsing: De fangede pakker er parset af NPB for at udtrække forskellige protokollag og tilknyttede data. Denne analyseringsproces hjælper med at identificere de forskellige komponenter inden for pakkerne, såsom Ethernet -overskrifter, IP -overskrifter, transportlagoverskrifter (f.eks. TCP eller UDP) og applikationslagsprotokoller.
3). NPB -nyttelast: Med DPI går NPB ud over hovedinspektion og fokuserer på nyttelasten, inklusive de faktiske data i pakkerne. Det undersøger nyttelastindholdet dybtgående, uanset den anvendte applikation eller protokol til at udtrække relevant information.
4). Protokolidentifikation: DPI gør det muligt for NPB at identificere de specifikke protokoller og applikationer, der bruges i netværkstrafikken. Det kan registrere og klassificere protokoller som HTTP, FTP, SMTP, DNS, VoIP eller videostreamingprotokoller.
5). Indholdsinspektion: DPI giver NPB mulighed for at inspicere indholdet af pakker til specifikke mønstre, underskrifter eller nøgleord. Dette muliggør påvisning af netværkstrusler, såsom malware, vira, indtrængen forsøg eller mistænkelige aktiviteter. DPI kan også bruges til indholdsfiltrering, håndhævelse af netværkspolitikker eller identificering af overtrædelser af dataoverholdelse.
6). Metadata -ekstraktion: Under DPI ekstrakter NPB relevante metadata fra pakkerne. Dette kan omfatte information såsom kilde- og destinations -IP -adresser, portnumre, sessiondetaljer, transaktionsdata eller andre relevante attributter.
7). Trafikrutning eller filtrering: Baseret på DPI -analysen kan NPB rute specifikke pakker til udpegede destinationer til videre behandling, såsom sikkerhedsapparater, overvågningsværktøjer eller analytiske platforme. Det kan også anvende filtreringsregler for at kassere eller omdirigere pakker baseret på det identificerede indhold eller mønstre.
Posttid: Jun-25-2023