Network Packet Broker alkalmazás azonosítás DPI alapján – Mély csomagvizsgálat

Mély csomagellenőrzés (DPI)a Network Packet Brokersben (NPB) használt technológia a hálózati csomagok tartalmának szemcsés szintű ellenőrzésére és elemzésére. Ez magában foglalja a csomagokon belüli hasznos terhelés, fejlécek és egyéb protokoll-specifikus információk vizsgálatát, hogy részletes betekintést nyerhessen a hálózati forgalomba.

A DPI túlmutat az egyszerű fejlécelemzésen, és mélyen megérti a hálózaton keresztül áramló adatokat. Lehetővé teszi az alkalmazási réteg protokolljainak, például a HTTP, FTP, SMTP, VoIP vagy video streaming protokollok mélyreható vizsgálatát. A csomagokon belüli tényleges tartalom vizsgálatával a DPI képes felismerni és azonosítani az egyes alkalmazásokat, protokollokat vagy akár meghatározott adatmintáikat.

A forráscímek, célcímek, forrásportok, célportok és protokolltípusok hierarchikus elemzése mellett a DPI alkalmazásszintű elemzést is hozzáad a különféle alkalmazások és azok tartalmának azonosításához. Amikor az 1P-csomag, a TCP vagy az UDP adatfolyam áthalad a DPI-technológián alapuló sávszélesség-kezelő rendszeren, a rendszer beolvassa az 1P-csomagbetöltés tartalmát, hogy átszervezze az alkalmazási réteg információit az OSI Layer 7 protokollban, hogy megkapja a a teljes alkalmazási programot, majd a forgalom alakítását a rendszer által meghatározott kezelési szabályzat szerint.

Hogyan működik a DPI?

A hagyományos tűzfalakból gyakran hiányzik a feldolgozási teljesítmény a nagy mennyiségű forgalom alapos valós idejű ellenőrzéséhez. A technológia fejlődésével a DPI-vel bonyolultabb ellenőrzéseket lehet végrehajtani a fejlécek és adatok ellenőrzéséhez. A behatolásérzékelő rendszerekkel rendelkező tűzfalak általában DPI-t használnak. Egy olyan világban, ahol a digitális információ a legfontosabb, minden digitális információt kis csomagokban szállítanak az interneten keresztül. Ez magában foglalja az e-maileket, az alkalmazáson keresztül küldött üzeneteket, a felkeresett webhelyeket, a videobeszélgetéseket és egyebeket. A tényleges adatokon kívül ezek a csomagok metaadatokat is tartalmaznak, amelyek azonosítják a forgalom forrását, a tartalmat, a célállomást és egyéb fontos információkat. A csomagszűrő technológiával az adatok folyamatosan nyomon követhetők és kezelhetők, hogy a megfelelő helyre kerüljenek továbbításra. A hálózat biztonsága érdekében azonban a hagyományos csomagszűrés messze nem elég. Az alábbiakban felsorolunk néhány fő módszert a mély csomagellenőrzéshez a hálózatkezelésben:

Egyező mód/aláírás

A behatolásészlelő rendszer (IDS) képességekkel rendelkező tűzfal minden egyes csomagot ellenőriz, hogy megfelel-e az ismert hálózati támadások adatbázisával. Az IDS megkeresi az ismert rosszindulatú specifikus mintákat, és letiltja a forgalmat, ha rosszindulatú mintákat talál. Az aláírásegyeztetési szabályzat hátránya, hogy csak a gyakran frissített aláírásokra vonatkozik. Ezenkívül ez a technológia csak az ismert fenyegetésekkel vagy támadásokkal szemben tud védekezni.

DPI

Protokoll kivétel

Mivel a protokollkivétel-technika nem egyszerűen engedélyez minden olyan adatot, amely nem egyezik meg az aláírás-adatbázissal, az IDS tűzfal által használt protokollkivétel-technika nem rendelkezik a minta/aláírás-illesztési módszer eredendő hibáival. Ehelyett az alapértelmezett elutasítási szabályzatot alkalmazza. A protokoll definíciója szerint a tűzfalak határozzák meg, hogy milyen forgalmat engedélyezzenek, és védik a hálózatot az ismeretlen fenyegetésektől.

Behatolás-megelőzési rendszer (IPS)

Az IPS-megoldások tartalmuk alapján blokkolhatják a káros csomagok továbbítását, így valós időben megállíthatják a feltételezett támadásokat. Ez azt jelenti, hogy ha egy csomag ismert biztonsági kockázatot jelent, az IPS proaktívan blokkolja a hálózati forgalmat egy meghatározott szabálykészlet alapján. Az IPS egyik hátránya, hogy rendszeresen frissíteni kell a kiberfenyegetések adatbázisát az új fenyegetések részleteivel és a hamis pozitív eredmények lehetőségével. Ez a veszély azonban mérsékelhető konzervatív irányelvek és egyéni küszöbértékek létrehozásával, a hálózati összetevők megfelelő alapviselkedésének megállapításával, valamint a figyelmeztetések és jelentett események időszakos értékelésével a figyelés és riasztás javítása érdekében.

1- A DPI (Deep Packet Inspection) a Network Packet Brokerben

A "mély" a szint és a közönséges csomagelemzés összehasonlítása, a "rendes csomagvizsgálat" csak az IP-csomag 4 rétegének következő elemzése, beleértve a forráscímet, a célcímet, a forrásportot, a célportot és a protokoll típusát, valamint a DPI-t, kivéve a hierarchikus elemzése is növelte az alkalmazási réteg elemzését, azonosítja a különböző alkalmazásokat és tartalmakat, hogy megvalósítsa a főbb funkciókat:

1) Alkalmazáselemzés – hálózati forgalom összetételének elemzése, teljesítményelemzés és áramláselemzés

2) Felhasználói elemzés -- felhasználói csoportok megkülönböztetése, viselkedéselemzés, terminálelemzés, trendelemzés stb.

3) Hálózati elem elemzés -- regionális jellemzők (város, kerület, utca stb.) és a bázisállomás terhelésén alapuló elemzés

4) Forgalomvezérlés -- P2P sebességkorlátozás, QoS-biztosítás, sávszélesség-biztosítás, hálózati erőforrás-optimalizálás stb.

5) Biztonsági garancia -- DDoS támadások, adatszórási vihar, rosszindulatú vírustámadások megelőzése stb.

2- A hálózati alkalmazások általános osztályozása

Ma már számtalan alkalmazás található az interneten, de a gyakori webes alkalmazások kimerítőek lehetnek.

Amennyire én tudom, a legjobb alkalmazásfelismerő cég a Huawei, amely állítása szerint 4000 alkalmazást ismer fel. A protokollelemzés számos tűzfalgyártó cég (Huawei, ZTE stb.) alapmodulja, emellett nagyon fontos modul, amely támogatja más funkcionális modulok megvalósítását, az alkalmazás pontos azonosítását, valamint nagymértékben javítja a termékek teljesítményét és megbízhatóságát. A rosszindulatú programok hálózati forgalmi jellemzői alapján történő azonosításának modellezésénél, ahogyan most is teszem, szintén nagyon fontos a pontos és kiterjedt protokoll-azonosítás. A közös alkalmazások hálózati forgalmát a cég exportforgalmából kihagyva a fennmaradó forgalom kis hányadát teszi ki, ami a rosszindulatú programok elemzésére és riasztására alkalmasabb.

Tapasztalataim alapján a meglévő általánosan használt alkalmazásokat funkciójuk szerint osztályozzuk:

PS: Az alkalmazás besorolásának személyes megértése szerint, ha bármilyen jó javaslata van, szívesen hagyjon üzenetet

1). Email

2). Videó

3). Játékok

4). Office OA osztály

5). Szoftver frissítés

6). Pénzügyi (bank, Alipay)

7). Készletek

8). Közösségi kommunikáció (IM szoftver)

9). Internetes böngészés (valószínűleg jobban azonosítható az URL-ekkel)

10). Letöltési eszközök (weblemez, P2P letöltés, BT-vel kapcsolatos)

20191210153150_32811

Ezután hogyan működik a DPI (Deep Packet Inspection) egy NPB-ben:

1). Packet Capture: Az NPB rögzíti a hálózati forgalmat különböző forrásokból, például kapcsolókról, útválasztókról vagy csapokról. A hálózaton keresztül áramló csomagokat fogadja.

2). Csomagelemzés: A rögzített csomagokat az NPB elemzi a különböző protokollrétegek és a kapcsolódó adatok kinyerése érdekében. Ez az elemzési folyamat segít azonosítani a csomagokon belüli különböző összetevőket, például az Ethernet-fejléceket, az IP-fejléceket, a szállítási réteg fejléceit (pl. TCP vagy UDP) és az alkalmazási réteg protokolljait.

3). Hasznos terhelés elemzése: A DPI-vel az NPB túllép a fejléc ellenőrzésén, és a hasznos terhelésre összpontosít, beleértve a csomagokon belüli tényleges adatokat. A releváns információk kinyerése érdekében alaposan megvizsgálja a hasznos tartalmat, függetlenül a használt alkalmazástól vagy protokolltól.

4). Protokoll azonosítás: A DPI lehetővé teszi az NPB számára, hogy azonosítsa a hálózati forgalomban használt protokollokat és alkalmazásokat. Képes felismerni és osztályozni az olyan protokollokat, mint a HTTP, FTP, SMTP, DNS, VoIP vagy video streaming protokollok.

5). Tartalomvizsgálat: A DPI lehetővé teszi az NPB számára, hogy megvizsgálja a csomagok tartalmát meghatározott minták, aláírások vagy kulcsszavak szempontjából. Ez lehetővé teszi a hálózati fenyegetések, például rosszindulatú programok, vírusok, behatolási kísérletek vagy gyanús tevékenységek észlelését. A DPI használható tartalomszűrésre, hálózati házirendek betartatására vagy az adatmegfelelőség megsértésének azonosítására is.

6). Metaadat-kinyerés: A DPI során az NPB kivonja a releváns metaadatokat a csomagokból. Ez magában foglalhat olyan információkat, mint a forrás és cél IP-cím, portszám, munkamenet részletei, tranzakciós adatok vagy bármely más releváns attribútum.

7). Forgalom átirányítása vagy szűrése: A DPI-elemzés alapján az NPB meghatározott csomagokat továbbíthat a kijelölt célhelyekre további feldolgozás céljából, például biztonsági berendezésekhez, megfigyelőeszközökhöz vagy analitikai platformokhoz. Szűrési szabályokat is alkalmazhat a csomagok elvetésére vagy átirányítására az azonosított tartalom vagy minták alapján.

ML-NPB-5660 3d


Feladás időpontja: 2023. június 25