Mély csomag -ellenőrzés (DPI)egy olyan technológia, amelyet a hálózati csomag -brókerekben (NPB -k) használnak a hálózati csomagok tartalmának szemcsés szintű ellenőrzésére és elemzésére. Ez magában foglalja a hasznos teher, fejlécek és egyéb protokoll-specifikus információk vizsgálatát a csomagokban, hogy részletes betekintést nyerjen a hálózati forgalomba.
A DPI túlmutat az egyszerű fejléc -elemzésen, és mélyen megérti a hálózaton keresztül áramló adatokról. Ez lehetővé teszi az alkalmazásréteg-protokollok, például a HTTP, FTP, SMTP, VOIP vagy video streaming protokollok mélyreható ellenőrzését. A csomagokban a tényleges tartalom megvizsgálásával a DPI képes észlelni és azonosítani az egyes alkalmazásokat, protokollokat vagy akár speciális adatmintákat.
A forráscímek, a célcímek, a forrásportok, a célportok és a protokoll típusainak hierarchikus elemzése mellett a DPI az alkalmazás-réteg-elemzést is hozzáadja a különféle alkalmazások és azok tartalmának azonosításához. Amikor az 1P csomag, a TCP vagy az UDP adatok a DPI technológián alapuló sávszélesség -kezelési rendszeren átfolynak, a rendszer az 1P csomag terhelésének tartalmát olvassa el, hogy átszervezze az alkalmazásréteg -információkat az OSI Layer 7 protokollban, hogy megkapja a teljes alkalmazásprogram tartalmát, majd a forgalmat a rendszer által meghatározott kezelési házirend szerint.
Hogyan működik a DPI?
A hagyományos tűzfalaknak gyakran hiányzik a feldolgozási képessége, hogy alapos valós idejű ellenőrzéseket végezzen nagy mennyiségű forgalomban. A technológia fejlődésével a DPI felhasználható a fejlécek és az adatok ellenőrzésére szolgáló összetettebb ellenőrzések elvégzésére. Általában a behatolás detektáló rendszerekkel rendelkező tűzfalak gyakran használnak DPI -t. Egy olyan világban, ahol a digitális információk kiemelkedő fontosságúak, minden digitális információt kis csomagokban szállítanak az interneten keresztül. Ez magában foglalja az e -maileket, az alkalmazáson keresztül küldött üzeneteket, a meglátogatott webhelyeket, a videó beszélgetéseket és egyebeket. A tényleges adatok mellett ezek a csomagok olyan metaadatokat tartalmaznak, amelyek azonosítják a forgalmi forrást, a tartalmat, a rendeltetési helyet és más fontos információkat. A csomagszűrési technológiával az adatok folyamatosan ellenőrizhetők és sikerül annak biztosítása, hogy azt a megfelelő helyre továbbítsa. A hálózati biztonság biztosítása érdekében a hagyományos csomagszűrés messze nem elég. Az alábbiakban felsoroljuk a hálózati menedzsment mélycsomag -ellenőrzésének néhány fő módszerét:
Illesztési mód/aláírás
Mindegyik csomagot ellenőrizni kell, hogy az ismert hálózati támadások adatbázisával megegyezzenek egy tűzfal által behatolási detektáló rendszer (IDS) képességekkel. Az IDS ismert rosszindulatú specifikus mintákat keres, és letiltja a forgalmat, amikor rosszindulatú mintákat találnak. Az aláírás -illesztési politika hátránya, hogy csak a gyakran frissített aláírásokra vonatkozik. Ezenkívül ez a technológia csak az ismert fenyegetések vagy támadások ellen védi.
Protokoll kivétel
Mivel a protokoll -kivételi technika nem egyszerűen engedélyezi az összes olyan adatot, amely nem felel meg a Signature adatbázisnak, az IDS tűzfal által használt protokoll -kivételi technika nem rendelkezik a minta/aláírás -illesztési módszer velejáró hibáival. Ehelyett elfogadja az alapértelmezett elutasítási politikát. A protokoll meghatározásával a tűzfalak eldöntik, hogy milyen forgalmat kell engedélyezni, és védje meg a hálózatot az ismeretlen fenyegetésektől.
Behatolásmegelőzési rendszer (IPS)
Az IPS -megoldások blokkolhatják a káros csomagok tartalmuk alapján történő továbbítását, ezáltal leállítva a gyanús támadásokat valós időben. Ez azt jelenti, hogy ha egy csomag ismert biztonsági kockázatot képvisel, akkor az IPS proaktívan blokkolja a hálózati forgalmat egy meghatározott szabálykészlet alapján. Az IPS egyik hátránya az, hogy rendszeresen frissítsük a Cyber -fenyegetés -adatbázist az új fenyegetések részleteivel és a hamis pozitívok lehetőségével. Ez a veszély azonban enyhíthető a konzervatív politikák és az egyedi küszöbök kidolgozásával, a hálózati összetevők megfelelő alapvető viselkedésének létrehozásával, valamint a figyelmeztetések és a bejelentett események rendszeres értékelésével a megfigyelés és a riasztás javítása érdekében.
1- A DPI (mély csomag ellenőrzése) a hálózati csomag-brókerben
A "mély" a szint és a szokásos csomag -elemzés összehasonlítás, a "szokásos csomagellenőrzés" csak az IP Packet 4 réteg következő elemzése, beleértve a forráscímet, a célcímet, a forrásportot, a célportot és a protokoll típusát, valamint a DPI -t, kivéve a hierarchikus elemzést, szintén növelte az alkalmazásréteg elemzését, azonosítja a különféle alkalmazásokat és tartalmakat, hogy megvalósítsa a fő funkciókat:
1) Alkalmazás -elemzés - Hálózati forgalom összetétel elemzése, teljesítmény -elemzés és áramlási elemzés
2) Felhasználói elemzés - Felhasználói csoportok differenciálása, viselkedés elemzése, terminális elemzés, trendelemzés stb.
3) Hálózati elem elemzése - A regionális tulajdonságok (város, kerület, utca stb.) És a bázisállomás -terhelés alapján történő elemzés
4) Forgalomirányítás - P2P sebességkorlátozás, QOS -bizonyosság, sávszélesség -biztosítás, hálózati erőforrások optimalizálása stb.
5) Biztonsági biztosíték - DDOS támadások, adatmenet -vihar, rosszindulatú vírus támadások megelőzése stb.
2- A hálózati alkalmazások általános osztályozása
Manapság számtalan alkalmazás működik az interneten, de a közös webes alkalmazások kimerítőek lehetnek.
Tudomásom szerint a legjobb alkalmazásfelismerő vállalat a Huawei, amely állítólag 4000 alkalmazást ismer fel. A protokoll -elemzés számos tűzfal -társaság (Huawei, ZTE stb.) Alapmodulja, és ez is egy nagyon fontos modul, amely támogatja más funkcionális modulok megvalósítását, pontos alkalmazás azonosítását, és jelentősen javítja a termékek teljesítményét és megbízhatóságát. A malware azonosításának modellezésében a hálózati forgalmi jellemzők alapján, amint most ezt teszem, a pontos és kiterjedt protokoll -azonosítás is nagyon fontos. A közös alkalmazások hálózati forgalmának kivételével a vállalat exportforgalmából, a fennmaradó forgalom egy kis arányt jelent, ami jobb a rosszindulatú programok elemzéséhez és a riasztáshoz.
Tapasztalataim alapján a meglévő általánosan használt alkalmazásokat funkcióik szerint osztályozzuk:
PS: Az alkalmazás besorolásának személyes megértése szerint bármilyen jó javaslata van, és üdvözölheti az üzenet javaslatát
1). Email
2). Videó
3). Játék
4). Irodai OA osztály
5). Szoftverfrissítés
6). Pénzügyi (Bank, Alipay)
7). Készletek
8). Társadalmi kommunikáció (IM szoftver)
9). Web böngészés (valószínűleg jobban azonosítva az URL -ekkel)
10). Töltse le az eszközöket (weblemez, P2P letöltés, BT kapcsolódó)
Ezután hogyan működik a DPI (mély csomag ellenőrzése) egy NPB -ben:
1). Csomagfogás: Az NPB különféle forrásokból, például kapcsolókból, útválasztókból vagy csapokból rögzíti a hálózati forgalmat. A hálózaton keresztül áramló csomagokat kap.
2). Csomagelemelés: A rögzített csomagokat az NPB elemzi, hogy kinyerje a különféle protokollrétegeket és a kapcsolódó adatokat. Ez az elemzési folyamat segít azonosítani a csomagok különböző alkatrészeit, például az Ethernet fejléceket, az IP -fejléceket, a szállítási réteg fejléceket (pl. TCP vagy UDP) és az alkalmazásréteg protokollokat.
3). Hasznos teher elemzése: A DPI -vel az NPB túlmutat a fejléc -ellenőrzésen, és a hasznos teherre összpontosít, beleértve a csomagok tényleges adataira is. Megvizsgálja a hasznos teher tartalmát mélyreható, függetlenül az alkalmazástól vagy a protokolltól, hogy kinyerje a releváns információkat.
4). Protokoll azonosítása: A DPI lehetővé teszi az NPB számára, hogy azonosítsa a hálózati forgalomban használt konkrét protokollokat és alkalmazásokat. Detektálhatja és osztályozhatja a protokollokat, mint például a HTTP, FTP, SMTP, DNS, VOIP vagy video streaming protokollok.
5). Tartalomellenőrzés: A DPI lehetővé teszi az NPB számára, hogy megvizsgálja a csomagok tartalmát meghatározott minták, aláírások vagy kulcsszavak szempontjából. Ez lehetővé teszi a hálózati fenyegetések, például rosszindulatú programok, vírusok, behatolási kísérletek vagy gyanús tevékenységek észlelését. A DPI felhasználható a tartalomszűréshez, a hálózati politikák végrehajtásához vagy az adatok megfelelés megsértésének azonosításához.
6). Metaadatok extrahálás: A DPI során az NPB kivonja a csomagok releváns metaadatait. Ez tartalmazhat olyan információkat, mint például a forrás és a cél IP -címek, a portszámok, a munkamenet részletei, a tranzakciós adatok vagy bármilyen más releváns attribútum.
7). Forgalmi útválasztás vagy szűrés: A DPI -elemzés alapján az NPB a konkrét csomagokat a kijelölt rendeltetési helyekre irányíthatja a további feldolgozáshoz, például biztonsági eszközök, megfigyelő eszközök vagy elemző platformok. A szűrési szabályokat is alkalmazhatja a csomagok eldobására vagy átirányítására az azonosított tartalom vagy minták alapján.
A postai idő: június-25-2023
