Εφαρμογή εφαρμογής πακέτων πακέτων δικτύου με βάση την επιθεώρηση DPI - Deep Packet

Βαθιά επιθεώρηση πακέτων (DPI)είναι μια τεχνολογία που χρησιμοποιείται στους μεσίτες πακέτων δικτύου (NPBS) για την επιθεώρηση και την ανάλυση των περιεχομένων των πακέτων δικτύων σε κοκκώδες επίπεδο. Περιλαμβάνει την εξέταση του ωφέλιμου φορτίου, των κεφαλίδων και άλλων ειδικών πληροφοριών για το πρωτόκολλο εντός πακέτων για να αποκτήσετε λεπτομερείς πληροφορίες σχετικά με την κυκλοφορία δικτύου.

Το DPI ξεπερνά την απλή ανάλυση κεφαλίδας και παρέχει μια βαθιά κατανόηση των δεδομένων που ρέουν μέσω ενός δικτύου. Επιτρέπει την εμπεριστατωμένη επιθεώρηση των πρωτοκόλλων στρώματος εφαρμογής, όπως πρωτόκολλα HTTP, FTP, SMTP, VOIP ή βίντεο. Με την εξέταση του πραγματικού περιεχομένου στα πακέτα, το DPI μπορεί να εντοπίσει και να εντοπίσει συγκεκριμένες εφαρμογές, πρωτόκολλα ή ακόμα και συγκεκριμένα πρότυπα δεδομένων.

Εκτός από την ιεραρχική ανάλυση των διευθύνσεων προέλευσης, των διευθύνσεων προορισμού, των θυρών προέλευσης, των θυρών προορισμού και των τύπων πρωτοκόλλων, η DPI προσθέτει επίσης ανάλυση στρώματος εφαρμογών για τον εντοπισμό διαφόρων εφαρμογών και του περιεχομένου τους. Όταν το πακέτο 1P, η ροή δεδομένων TCP ή UDP μέσω του συστήματος διαχείρισης εύρους ζώνης βασισμένο στην τεχνολογία DPI, το σύστημα διαβάζει το περιεχόμενο του φορτίου πακέτου 1P για την αναδιοργάνωση των πληροφοριών του επιπέδου εφαρμογής στο πρωτόκολλο OSI Layer 7, έτσι ώστε να αποκτήσει το περιεχόμενο ολόκληρου του προγράμματος εφαρμογής και στη συνέχεια να διαμορφώνει την κυκλοφορία σύμφωνα με την πολιτική διαχείρισης που καθορίζεται από το σύστημα.

Πώς λειτουργεί το DPI;

Τα παραδοσιακά τείχη προστασίας συχνά στερούνται της ισχύος επεξεργασίας για την εκτέλεση διεξοδικών ελέγχων σε πραγματικό χρόνο σε μεγάλους όγκους κυκλοφορίας. Ως τεχνολογική πρόοδο, το DPI μπορεί να χρησιμοποιηθεί για να εκτελέσει πιο πολύπλοκες ελέγχους για να ελέγξει τις κεφαλίδες και τα δεδομένα. Συνήθως, τα τείχη προστασίας με συστήματα ανίχνευσης εισβολών χρησιμοποιούν συχνά DPI. Σε έναν κόσμο όπου οι ψηφιακές πληροφορίες είναι πρωταρχικές, κάθε κομμάτι ψηφιακών πληροφοριών παραδίδεται μέσω του Διαδικτύου σε μικρά πακέτα. Αυτό περιλαμβάνει ηλεκτρονικό ταχυδρομείο, μηνύματα που αποστέλλονται μέσω της εφαρμογής, επισκέπτες ιστοσελίδων, συνομιλίες βίντεο και πολλά άλλα. Εκτός από τα πραγματικά δεδομένα, αυτά τα πακέτα περιλαμβάνουν μεταδεδομένα που προσδιορίζουν την πηγή κυκλοφορίας, το περιεχόμενο, τον προορισμό και άλλες σημαντικές πληροφορίες. Με την τεχνολογία φιλτραρίσματος πακέτων, τα δεδομένα μπορούν να παρακολουθούνται συνεχώς και να διαχειριστούν να διασφαλιστεί ότι προωθείται στη σωστή θέση. Αλλά για να εξασφαλιστεί η ασφάλεια του δικτύου, το παραδοσιακό φιλτράρισμα πακέτων απέχει πολύ από αρκετά. Ορισμένες από τις κύριες μεθόδους επιθεώρησης βαθιάς πακέτων στη διαχείριση δικτύου παρατίθενται παρακάτω:

Λειτουργία αντιστοίχισης/υπογραφή

Κάθε πακέτο ελέγχεται για έναν αγώνα με μια βάση δεδομένων γνωστών επιθέσεων δικτύου από ένα τείχος προστασίας με δυνατότητες συστήματος ανίχνευσης εισβολών (IDS). Το IDS αναζητά γνωστά κακόβουλα συγκεκριμένα πρότυπα και απενεργοποιεί την κυκλοφορία όταν εντοπίζονται κακόβουλα σχέδια. Το μειονέκτημα της πολιτικής αντιστοίχισης υπογραφής είναι ότι ισχύει μόνο για υπογραφές που ενημερώνονται συχνά. Επιπλέον, αυτή η τεχνολογία μπορεί να υπερασπιστεί μόνο γνωστές απειλές ή επιθέσεις.

DPI

Εξαίρεση πρωτοκόλλου

Δεδομένου ότι η τεχνική εξαίρεσης πρωτοκόλλου δεν επιτρέπει απλώς σε όλα τα δεδομένα που δεν ταιριάζουν με τη βάση δεδομένων υπογραφής, η τεχνική εξαίρεσης του πρωτοκόλλου που χρησιμοποιείται από το τείχος προστασίας IDS δεν έχει τις εγγενείς ατέλειες της μεθόδου αντιστοίχισης προτύπων/υπογραφής. Αντ 'αυτού, υιοθετεί την προεπιλεγμένη πολιτική απόρριψης. Με τον ορισμό του πρωτοκόλλου, τα τείχη προστασίας αποφασίζουν ποια κυκλοφορία πρέπει να επιτρέπεται και να προστατεύει το δίκτυο από άγνωστες απειλές.

Σύστημα πρόληψης εισβολών (IPS)

Οι λύσεις IPS μπορούν να εμποδίσουν τη μετάδοση επιβλαβών πακέτων με βάση το περιεχόμενό τους, σταματώντας έτσι υποψίες επιθέσεων σε πραγματικό χρόνο. Αυτό σημαίνει ότι εάν ένα πακέτο αντιπροσωπεύει έναν γνωστό κίνδυνο ασφαλείας, η IPS θα εμποδίσει την κυκλοφορία δικτύου με βάση ένα καθορισμένο σύνολο κανόνων. Ένα μειονέκτημα της IPS είναι η ανάγκη να ενημερώνονται τακτικά μια βάση δεδομένων απειλών στον κυβερνοχώρο με λεπτομέρειες σχετικά με τις νέες απειλές και τη δυνατότητα ψευδών θετικών. Αλλά αυτός ο κίνδυνος μπορεί να μετριαστεί με τη δημιουργία συντηρητικών πολιτικών και των προσαρμοσμένων κατωφλίων, την καθιέρωση της κατάλληλης βασικής συμπεριφοράς για τα στοιχεία του δικτύου και την περιοδική αξιολόγηση των προειδοποιήσεων και τα αναφερόμενα γεγονότα για την ενίσχυση της παρακολούθησης και της ειδοποίησης.

1- Το DPI (Deep Packet Inspection) στον μεσίτη πακέτων δικτύου

Το "Deep" είναι το επίπεδο και η συνηθισμένη σύγκριση της ανάλυσης πακέτων, "συνηθισμένη επιθεώρηση πακέτων" μόνο η ακόλουθη ανάλυση του στρώματος IP Packet 4, συμπεριλαμβανομένης της διεύθυνσης προέλευσης, της διεύθυνσης προορισμού, της θύρας προέλευσης, της θύρας προορισμού και του τύπου πρωτοκόλλου και του DPI εκτός από την ιεραρχική ανάλυση, αύξησε επίσης την ανάλυση στρώματος εφαρμογής, προσδιορίστε τις διάφορες εφαρμογές και το περιεχόμενο, για να πραγματοποιήσετε τις κύριες λειτουργίες:

1) Ανάλυση εφαρμογών - Ανάλυση σύνθεσης κυκλοφορίας δικτύου, ανάλυση απόδοσης και ανάλυση ροής

2) Ανάλυση χρήστη - Διαφοροποίηση ομάδας χρηστών, Ανάλυση συμπεριφοράς, ανάλυση τερματικού, ανάλυση τάσεων κ.λπ.

3) Ανάλυση στοιχείων δικτύου - Ανάλυση που βασίζεται σε περιφερειακά χαρακτηριστικά (πόλη, περιοχή, οδός κ.λπ.) και φορτίο σταθμού βάσης

4) Έλεγχος κυκλοφορίας - Περιορισμός ταχύτητας P2P, Διασφάλιση QoS, Διασφάλιση εύρους ζώνης, βελτιστοποίηση πόρων δικτύου κ.λπ.

5) Διασφάλιση ασφάλειας - επιθέσεις DDOS, καταιγίδα εκπομπής δεδομένων, πρόληψη κακόβουλων επιθέσεων ιών κ.λπ.

2- Γενική ταξινόμηση εφαρμογών δικτύου

Σήμερα υπάρχουν αμέτρητες εφαρμογές στο Διαδίκτυο, αλλά οι κοινές εφαρμογές ιστού μπορεί να είναι εξαντλητικές.

Εξ όσων γνωρίζω, η καλύτερη εταιρεία αναγνώρισης εφαρμογών είναι η Huawei, η οποία ισχυρίζεται ότι αναγνωρίζει 4.000 εφαρμογές. Η ανάλυση πρωτοκόλλου είναι η βασική ενότητα πολλών εταιρειών τείχους προστασίας (Huawei, ZTE κ.λπ.) και είναι επίσης μια πολύ σημαντική ενότητα, υποστηρίζοντας την υλοποίηση άλλων λειτουργικών μονάδων, ακριβή αναγνώριση εφαρμογών και βελτιώνοντας σημαντικά την απόδοση και την αξιοπιστία των προϊόντων. Κατά τη μοντελοποίηση της ταυτότητας κακόβουλου λογισμικού που βασίζεται στα χαρακτηριστικά της κυκλοφορίας δικτύου, όπως κάνω τώρα, η ακριβής και εκτεταμένη αναγνώριση του πρωτοκόλλου είναι επίσης πολύ σημαντική. Εξαιρουμένων της κυκλοφορίας δικτύου κοινών εφαρμογών από την εξαγωγική κυκλοφορία της εταιρείας, η υπόλοιπη κυκλοφορία θα αντιπροσωπεύει ένα μικρό ποσοστό, το οποίο είναι καλύτερο για την ανάλυση κακόβουλου λογισμικού και τον συναγερμό.

Με βάση την εμπειρία μου, οι υπάρχουσες χρησιμοποιούμενες εφαρμογές ταξινομούνται ανάλογα με τις λειτουργίες τους:

PS: Σύμφωνα με την προσωπική κατανόηση της ταξινόμησης των εφαρμογών, έχετε καλές προτάσεις καλωσορίστε να αφήσετε μια πρόταση μηνυμάτων

1). E-mail

2). Βίντεο

3). Παιχνίδια

4). Γραφείο OA Τάξη

5). Ενημέρωση λογισμικού

6). Οικονομική (τράπεζα, Alipay)

7). Αποθέματα

8). Κοινωνική επικοινωνία (λογισμικό IM)

9). Περιήγηση στο Web (πιθανώς καλύτερα αναγνωρισμένη με διευθύνσεις URL)

10). Λήψη εργαλείων (δίσκο ιστού, λήψη P2P, BT)

20191210153150_32811

Στη συνέχεια, πώς λειτουργεί το DPI (Deep Packet Inspection) σε NPB:

1). Πακέτο: Το NPB καταγράφει την κυκλοφορία δικτύου από διάφορες πηγές, όπως διακόπτες, δρομολογητές ή βρύσες. Λαμβάνει πακέτα που ρέουν μέσω του δικτύου.

2). Πακέτα: Τα κατακτημένα πακέτα αναλύονται από το NPB για να εξαγάγουν διάφορα στρώματα πρωτοκόλλου και συναφή δεδομένα. Αυτή η διαδικασία ανάλυσης βοηθά στον εντοπισμό των διαφόρων εξαρτημάτων εντός των πακέτων, όπως κεφαλίδες Ethernet, κεφαλίδες IP, κεφαλίδες στρώματος μεταφοράς (π.χ. TCP ή UDP) και πρωτόκολλα στρώματος εφαρμογής.

3). Ανάλυση ωφέλιμου φορτίου: Με το DPI, το NPB ξεπερνά την επιθεώρηση κεφαλίδας και επικεντρώνεται στο ωφέλιμο φορτίο, συμπεριλαμβανομένων των πραγματικών δεδομένων εντός των πακέτων. Εξετάζει σε βάθος το περιεχόμενο ωφέλιμου φορτίου, ανεξάρτητα από την εφαρμογή ή το πρωτόκολλο που χρησιμοποιείται, για την εξαγωγή σχετικών πληροφοριών.

4). Αναγνώριση πρωτοκόλλου: Το DPI επιτρέπει στο NPB να προσδιορίσει τα συγκεκριμένα πρωτόκολλα και εφαρμογές που χρησιμοποιούνται στην κυκλοφορία του δικτύου. Μπορεί να ανιχνεύσει και να ταξινομήσει πρωτόκολλα όπως HTTP, FTP, SMTP, DNS, VOIP ή πρωτόκολλα ροής βίντεο.

5). Επιθεώρηση περιεχομένου: Το DPI επιτρέπει στο NPB να επιθεωρήσει το περιεχόμενο των πακέτων για συγκεκριμένα πρότυπα, υπογραφές ή λέξεις -κλειδιά. Αυτό επιτρέπει την ανίχνευση απειλών δικτύου, όπως κακόβουλο λογισμικό, ιούς, προσπάθειες εισβολής ή ύποπτες δραστηριότητες. Το DPI μπορεί επίσης να χρησιμοποιηθεί για φιλτράρισμα περιεχομένου, επιβολή πολιτικών δικτύου ή εντοπισμός παραβιάσεων συμμόρφωσης των δεδομένων.

6). Εξαγωγή μεταδεδομένων: Κατά τη διάρκεια του DPI, το NPB εκχυλίζει σχετικά μεταδεδομένα από τα πακέτα. Αυτό μπορεί να περιλαμβάνει πληροφορίες όπως διευθύνσεις IP προέλευσης και προορισμού, αριθμούς θύρας, στοιχεία περιόδου σύνδεσης, δεδομένα συναλλαγών ή οποιαδήποτε άλλα σχετικά χαρακτηριστικά.

7). Δρομολόγηση ή φιλτράρισμα κυκλοφορίας: Με βάση την ανάλυση DPI, το NPB μπορεί να δρομολογήσει συγκεκριμένα πακέτα σε καθορισμένους προορισμούς για περαιτέρω επεξεργασία, όπως συσκευές ασφαλείας, εργαλεία παρακολούθησης ή πλατφόρμες ανάλυσης. Μπορεί επίσης να εφαρμόσει κανόνες φιλτραρίσματος για να απορρίψει ή να ανακατευθύνει πακέτα με βάση το προσδιορισμένο περιεχόμενο ή μοτίβα.

ML-NPB-5660 3D


Χρόνος δημοσίευσης: Ιούνιος 25-2023