Tinklo paketų brokerio programos identifikavimas, pagrįstas DPI – gilus paketų patikrinimas

Gilus paketų patikrinimas (DPI)yra technologija, naudojama tinklo paketų brokeriuose (NPB), siekiant patikrinti ir analizuoti tinklo paketų turinį detaliu lygiu. Tai apima naudingosios apkrovos, antraščių ir kitos su protokolu susijusios informacijos tyrimą paketuose, kad gautumėte išsamių įžvalgų apie tinklo srautą.

DPI neapsiriboja paprasta antraščių analize ir leidžia giliai suprasti tinklu tekančius duomenis. Tai leidžia nuodugniai patikrinti taikomųjų programų lygmens protokolus, tokius kaip HTTP, FTP, SMTP, VoIP arba vaizdo transliacijos protokolai. Išnagrinėjęs tikrąjį paketų turinį, DPI gali aptikti ir identifikuoti konkrečias programas, protokolus ar net konkrečius duomenų šablonus.

Be hierarchinės šaltinio adresų, paskirties adresų, šaltinio prievadų, paskirties prievadų ir protokolų tipų analizės, DPI taip pat prideda taikomųjų programų lygmens analizę, kad nustatytų įvairias programas ir jų turinį. Kai 1P paketas, TCP arba UDP duomenys teka per pralaidumo valdymo sistemą, pagrįstą DPI technologija, sistema nuskaito 1P paketo įkėlimo turinį, kad pertvarkytų programos sluoksnio informaciją OSI Layer 7 protokole, kad gautų visą taikomąją programą, o tada formuoti srautą pagal sistemos apibrėžtą valdymo politiką.

Kaip veikia DPI?

Įprastoms ugniasienėms dažnai trūksta apdorojimo galios, kad būtų galima atlikti kruopščius didelio srauto patikrinimus realiuoju laiku. Tobulėjant technologijoms, DPI galima naudoti sudėtingesniems patikrinimams, siekiant patikrinti antraštes ir duomenis. Paprastai ugniasienės su įsibrovimo aptikimo sistemomis dažnai naudoja DPI. Pasaulyje, kuriame skaitmeninė informacija yra svarbiausia, kiekviena skaitmeninė informacija internetu pateikiama mažais paketais. Tai apima el. paštą, pranešimus, išsiųstus per programą, aplankytas svetaines, vaizdo pokalbius ir kt. Be faktinių duomenų, šiuose paketuose yra metaduomenų, identifikuojančių srauto šaltinį, turinį, paskirties vietą ir kitą svarbią informaciją. Naudojant paketų filtravimo technologiją, duomenys gali būti nuolat stebimi ir valdomi, siekiant užtikrinti, kad jie būtų persiųsti į reikiamą vietą. Tačiau norint užtikrinti tinklo saugumą, tradicinio paketų filtravimo toli gražu nepakanka. Kai kurie pagrindiniai tinklo valdymo gilaus paketų tikrinimo metodai yra išvardyti žemiau:

Atitikimo režimas / parašas

Užkarda su įsibrovimo aptikimo sistemos (IDS) galimybėmis tikrina kiekvieną paketą, ar jis atitinka žinomų tinklo atakų duomenų bazę. IDS ieško žinomų kenkėjiškų konkrečių šablonų ir išjungia srautą, kai randama kenkėjiškų šablonų. Parašų atitikties politikos trūkumas yra tas, kad ji taikoma tik dažnai atnaujinamiems parašams. Be to, ši technologija gali apsiginti tik nuo žinomų grėsmių ar atakų.

DPI

Protokolo išimtis

Kadangi protokolo išimčių technika tiesiog neįleidžia visų duomenų, kurie neatitinka parašų duomenų bazės, IDS užkardos naudojama protokolo išimties technika neturi būdingų šablono / parašo atitikimo metodo trūkumų. Vietoj to, ji priima numatytąją atmetimo politiką. Pagal protokolo apibrėžimą ugniasienės nusprendžia, koks srautas turėtų būti leidžiamas, ir apsaugo tinklą nuo nežinomų grėsmių.

Įsibrovimų prevencijos sistema (IPS)

IPS sprendimai gali blokuoti žalingų paketų perdavimą pagal jų turinį ir taip sustabdyti įtariamas atakas realiu laiku. Tai reiškia, kad jei paketas kelia žinomą saugumo riziką, IPS aktyviai blokuos tinklo srautą pagal apibrėžtą taisyklių rinkinį. Vienas iš IPS trūkumų yra būtinybė reguliariai atnaujinti kibernetinių grėsmių duomenų bazę su informacija apie naujas grėsmes ir klaidingų teigiamų rezultatų galimybę. Tačiau šį pavojų galima sumažinti kuriant konservatyvią politiką ir tinkintus slenksčius, nustatant tinkamą bazinį tinklo komponentų elgesį ir periodiškai įvertinant įspėjimus ir praneštus įvykius, siekiant pagerinti stebėjimą ir įspėjimus.

1 – DPI (gilus paketų tikrinimas) tinklo paketų brokeryje

"Giliai" yra lygis ir įprastas paketų analizės palyginimas, "įprastas paketų patikrinimas" tik tokia IP paketo 4 sluoksnio analizė, įskaitant šaltinio adresą, paskirties adresą, šaltinio prievadą, paskirties prievadą ir protokolo tipą bei DPI, išskyrus su hierarchine. analizė, taip pat padidino taikomųjų programų sluoksnio analizę, identifikuoja įvairias programas ir turinį, kad įgyvendintų pagrindines funkcijas:

1) Application Analysis – tinklo srauto sudėties analizė, našumo analizė ir srauto analizė

2) Vartotojo analizė – vartotojų grupių diferencijavimas, elgesio analizė, terminalo analizė, tendencijų analizė ir kt.

3) Tinklo elementų analizė – analizė, pagrįsta regioniniais atributais (miestas, rajonas, gatvė ir kt.) ir bazinės stoties apkrova

4) Eismo valdymas – P2P greičio ribojimas, QoS užtikrinimas, pralaidumo užtikrinimas, tinklo išteklių optimizavimas ir kt.

5) Saugumo užtikrinimas – DDoS atakos, duomenų transliavimo audra, kenkėjiškų virusų atakų prevencija ir kt.

2- Bendroji tinklo taikomųjų programų klasifikacija

Šiandien internete yra daugybė programų, tačiau įprastos žiniatinklio programos gali būti išsamios.

Kiek žinau, geriausia programėlių atpažinimo įmonė yra „Huawei“, kuri teigia atpažįstanti 4000 programėlių. Protokolo analizė yra pagrindinis daugelio ugniasienės kompanijų (Huawei, ZTE ir kt.) modulis, taip pat labai svarbus modulis, padedantis realizuoti kitus funkcinius modulius, tiksliai identifikuoti programas ir gerokai pagerinti produktų našumą bei patikimumą. Modeliuojant kenkėjiškų programų identifikavimą pagal tinklo srauto charakteristikas, kaip aš darau dabar, tikslus ir platus protokolo identifikavimas taip pat yra labai svarbus. Iš įmonės eksporto srauto neįtraukus įprastų programų tinklo srauto, likęs srautas sudarys nedidelę dalį, o tai geriau tinka kenkėjiškų programų analizei ir aliarmui.

Remiantis mano patirtimi, esamos dažniausiai naudojamos programos yra klasifikuojamos pagal jų funkcijas:

PS: Atsižvelgdami į asmeninį programos klasifikavimo supratimą, turite gerų pasiūlymų, kviečiame palikti pranešimą

1). paštas

2). Vaizdo įrašas

3). Žaidimai

4). Biuro OA klasė

5). Programinės įrangos atnaujinimas

6). Finansų (bankas, Alipay)

7). Atsargos

8). Socialinis bendravimas (IM programinė įranga)

9). Naršymas žiniatinklyje (turbūt geriau identifikuojamas su URL)

10). Atsisiuntimo įrankiai (žiniatinklio diskas, P2P atsisiuntimas, susiję su BT)

20191210153150_32811

Tada, kaip DPI (Deep Packet Inspection) veikia NPB:

1). Paketų fiksavimas: NPB fiksuoja tinklo srautą iš įvairių šaltinių, pvz., jungiklių, maršruto parinktuvų ar čiaupo. Jis priima paketus, tekančius per tinklą.

2). Paketų analizė: užfiksuotus paketus analizuoja NPB, kad išgautų įvairius protokolo sluoksnius ir susijusius duomenis. Šis analizavimo procesas padeda nustatyti skirtingus paketų komponentus, pvz., Ethernet antraštes, IP antraštes, transportavimo sluoksnio antraštes (pvz., TCP arba UDP) ir taikomųjų programų lygmens protokolus.

3). Naudingosios apkrovos analizė: naudojant DPI, NPB neapsiriboja antraštės tikrinimu ir sutelkia dėmesį į naudingą apkrovą, įskaitant tikrus paketų duomenis. Jis nuodugniai išnagrinėja naudingosios apkrovos turinį, neatsižvelgiant į naudojamą programą ar protokolą, kad gautų atitinkamą informaciją.

4). Protokolo identifikavimas: DPI leidžia NPB nustatyti konkrečius tinklo sraute naudojamus protokolus ir programas. Jis gali aptikti ir klasifikuoti tokius protokolus kaip HTTP, FTP, SMTP, DNS, VoIP arba vaizdo transliacijos protokolai.

5). Turinio tikrinimas: DPI leidžia NPB tikrinti, ar paketų turinyje nėra konkrečių šablonų, parašų ar raktinių žodžių. Tai leidžia aptikti tinklo grėsmes, pvz., kenkėjiškas programas, virusus, bandymus įsilaužti ar įtartiną veiklą. DPI taip pat gali būti naudojamas turinio filtravimui, tinklo politikos vykdymui arba duomenų atitikties pažeidimams nustatyti.

6). Metaduomenų ištraukimas: DPI metu NPB iš paketų ištraukia atitinkamus metaduomenis. Tai gali apimti informaciją, tokią kaip šaltinio ir paskirties IP adresai, prievadų numeriai, seanso informacija, operacijų duomenys ar bet kokie kiti svarbūs atributai.

7). Srauto nukreipimas arba filtravimas: remdamasis DPI analize, NPB gali nukreipti konkrečius paketus į nurodytas paskirties vietas tolesniam apdorojimui, pvz., saugos įrenginius, stebėjimo įrankius ar analizės platformas. Jis taip pat gali taikyti filtravimo taisykles, kad būtų atmestas arba peradresuojamas paketai pagal nustatytą turinį ar šablonus.

ML-NPB-5660 3d


Paskelbimo laikas: 2023-06-25