Dyb pakkeinspektion (DPI)er en teknologi, der bruges i Network Packet Brokers (NPB'er) til at inspicere og analysere indholdet af netværkspakker på et detaljeret niveau. Det involverer undersøgelse af nyttelast, headere og andre protokolspecifikke oplysninger i pakker for at få detaljeret indsigt i netværkstrafikken.
DPI går ud over simpel headeranalyse og giver en dyb forståelse af de data, der flyder gennem et netværk. Det muliggør en dybdegående inspektion af applikationslagsprotokollerne, såsom HTTP, FTP, SMTP, VoIP eller videostreamingprotokoller. Ved at undersøge det faktiske indhold i pakker kan DPI registrere og identificere specifikke applikationer, protokoller eller endda specifikke datamønstre.
Ud over den hierarkiske analyse af kildeadresser, destinationsadresser, kildeporte, destinationsporte og protokoltyper tilføjer DPI også applikationslagsanalyse for at identificere forskellige applikationer og deres indhold. Når 1P-pakken, TCP- eller UDP-data flyder gennem båndbreddestyringssystemet baseret på DPI-teknologi, læser systemet indholdet af 1P-pakkeindlæsningen for at omorganisere applikationslagsinformationen i OSI Layer 7-protokollen for at få indholdet af hele applikationsprogrammet og derefter forme trafikken i henhold til den administrationspolitik, der er defineret af systemet.
Hvordan fungerer DPI?
Traditionelle firewalls mangler ofte processorkraften til at udføre grundige realtidskontroller af store mængder trafik. Efterhånden som teknologien udvikler sig, kan DPI bruges til at udføre mere komplekse kontroller for at kontrollere headere og data. Firewalls med indtrængningsdetektionssystemer bruger typisk ofte DPI. I en verden, hvor digital information er altafgørende, leveres alle digitale oplysninger via internettet i små pakker. Dette inkluderer e-mail, beskeder sendt via appen, besøgte websteder, videosamtaler og mere. Ud over de faktiske data indeholder disse pakker metadata, der identificerer trafikkilden, indholdet, destinationen og andre vigtige oplysninger. Med pakkefiltreringsteknologi kan data løbende overvåges og administreres for at sikre, at de videresendes til det rigtige sted. Men for at sikre netværkssikkerhed er traditionel pakkefiltrering langt fra nok. Nogle af de vigtigste metoder til dyb pakkeinspektion i netværksadministration er anført nedenfor:
Matchningstilstand/signatur
Hver pakke kontrolleres for match i en database over kendte netværksangreb af en firewall med IDS-funktioner (Intrusion Detection System). IDS søger efter kendte, ondsindede, specifikke mønstre og deaktiverer trafik, når der findes ondsindede mønstre. Ulempen ved signaturmatchningspolitikken er, at den kun gælder for signaturer, der opdateres ofte. Derudover kan denne teknologi kun forsvare mod kendte trusler eller angreb.
Protokolundtagelse
Da protokolundtagelsesteknikken ikke blot tillader alle data, der ikke matcher signaturdatabasen, har den protokolundtagelsesteknik, der anvendes af IDS-firewallen, ikke de iboende mangler ved mønster-/signaturmatchningsmetoden. I stedet anvender den standardafvisningspolitikken. Per protokoldefinition bestemmer firewalls, hvilken trafik der skal tillades, og beskytter netværket mod ukendte trusler.
System til forebyggelse af indtrængen (IPS)
IPS-løsninger kan blokere transmissionen af skadelige pakker baseret på deres indhold og dermed stoppe mistænkte angreb i realtid. Det betyder, at hvis en pakke repræsenterer en kendt sikkerhedsrisiko, vil IPS proaktivt blokere netværkstrafik baseret på et defineret sæt regler. En ulempe ved IPS er behovet for regelmæssigt at opdatere en cybertrusselsdatabase med detaljer om nye trusler og muligheden for falske positiver. Men denne fare kan afbødes ved at oprette konservative politikker og brugerdefinerede tærskler, etablere passende baseline-adfærd for netværkskomponenter og regelmæssigt evaluere advarsler og rapporterede hændelser for at forbedre overvågning og alarmering.
1- DPI (Deep Packet Inspection) i Network Packet Broker
"Dybde" er niveau og almindelig pakkeanalyse sammenligning, "almindelig pakkeinspektion" kun følgende analyse af IP-pakke 4-lag, inklusive kildeadresse, destinationsadresse, kildeport, destinationsport og protokoltype, og DPI undtagen med den hierarkiske analyse, også øget applikationslagsanalyse, identifikation af de forskellige applikationer og indhold, for at realisere de vigtigste funktioner:
1) Applikationsanalyse -- analyse af netværkstrafiksammensætning, ydeevneanalyse og flowanalyse
2) Brugeranalyse -- differentiering af brugergrupper, adfærdsanalyse, terminalanalyse, trendanalyse osv.
3) Netværkselementanalyse -- analyse baseret på regionale attributter (by, distrikt, gade osv.) og basestationsbelastning
4) Trafikkontrol -- P2P-hastighedsbegrænsning, QoS-sikring, båndbreddesikring, optimering af netværksressourcer osv.
5) Sikkerhedssikring -- DDoS-angreb, data broadcast storm, forebyggelse af ondsindede virusangreb osv.
2- Generel klassificering af netværksapplikationer
I dag findes der utallige applikationer på internettet, men de almindelige webapplikationer kan være udtømmende.
Så vidt jeg ved, er det bedste firma inden for app-genkendelse Huawei, som hævder at genkende 4.000 apps. Protokolanalyse er det grundlæggende modul hos mange firewallfirmaer (Huawei, ZTE osv.), og det er også et meget vigtigt modul, der understøtter realiseringen af andre funktionelle moduler, præcis applikationsidentifikation og forbedrer produkters ydeevne og pålidelighed betydeligt. Ved modellering af malwareidentifikation baseret på netværkstrafikkarakteristika, som jeg gør nu, er præcis og omfattende protokolidentifikation også meget vigtig. Hvis man udelukker netværkstrafikken fra almindelige applikationer fra virksomhedens eksporttrafik, vil den resterende trafik udgøre en lille andel, hvilket er bedre til malwareanalyse og alarmering.
Baseret på min erfaring er de eksisterende almindeligt anvendte applikationer klassificeret efter deres funktioner:
PS: I henhold til min personlige forståelse af ansøgningsklassificeringen, er du velkommen til at efterlade et forslag via besked, hvis du har gode forslag.
1). E-mail
2). Video
3). Spil
4). Kontor OA-klasse
5). Softwareopdatering
6). Finansiel (bank, Alipay)
7). Aktier
8). Social kommunikation (IM-software)
9). Websurfing (sandsynligvis bedre identificeret med URL'er)
10). Downloadværktøjer (webdisk, P2P-download, BT-relateret)
Så hvordan fungerer DPI (Deep Packet Inspection) i en NPB:
1). Pakkeopsamling: NPB'en opfanger netværkstrafik fra forskellige kilder, såsom switche, routere eller taps. Den modtager pakker, der flyder gennem netværket.
2). Pakkeparsing: De optagne pakker parses af NPB'en for at udtrække forskellige protokollag og tilhørende data. Denne parsingproces hjælper med at identificere de forskellige komponenter i pakkerne, såsom Ethernet-headere, IP-headere, transportlagsheadere (f.eks. TCP eller UDP) og applikationslagsprotokoller.
3). Nyttelastanalyse: Med DPI går NPB'en ud over header-inspektion og fokuserer på nyttelasten, inklusive de faktiske data i pakkerne. Den undersøger nyttelastens indhold grundigt, uanset hvilken applikation eller protokol der anvendes, for at udtrække relevante oplysninger.
4). Protokolidentifikation: DPI gør det muligt for NPB at identificere de specifikke protokoller og applikationer, der bruges i netværkstrafikken. Den kan registrere og klassificere protokoller som HTTP, FTP, SMTP, DNS, VoIP eller videostreamingprotokoller.
5). Indholdsinspektion: DPI giver NPB'en mulighed for at inspicere indholdet af pakker for specifikke mønstre, signaturer eller nøgleord. Dette muliggør detektering af netværkstrusler, såsom malware, virus, indtrængningsforsøg eller mistænkelige aktiviteter. DPI kan også bruges til indholdsfiltrering, håndhævelse af netværkspolitikker eller identifikation af overtrædelser af dataoverholdelse.
6). Metadataudtrækning: Under DPI udtrækker NPB relevante metadata fra pakkerne. Dette kan omfatte oplysninger såsom kilde- og destinations-IP-adresser, portnumre, sessionsdetaljer, transaktionsdata eller andre relevante attributter.
7). Trafikrouting eller filtrering: Baseret på DPI-analysen kan NPB'en dirigere specifikke pakker til udpegede destinationer til videre behandling, såsom sikkerhedsudstyr, overvågningsværktøjer eller analyseplatforme. Den kan også anvende filtreringsregler til at kassere eller omdirigere pakker baseret på identificeret indhold eller mønstre.
Opslagstidspunkt: 25. juni 2023
