Gilus paketų patikrinimas (Dpi)yra technologija, naudojama tinklo paketų brokeriuose (NPBS), kad patikrintų ir išanalizuotų tinklo paketų turinį granuliuoto lygyje. Tai apima naudingumo apkrovos, antraščių ir kitos protokolo informacijos apie paketus ištyrimą, kad būtų galima gauti išsamios įžvalgos apie tinklo srautą.
DPI peržengia paprastą antraštės analizę ir suteikia giliai supratimą apie duomenis, tekančius per tinklą. Tai leidžia išsamiai apžiūrėti programų sluoksnio protokolus, tokius kaip HTTP, FTP, SMTP, VoIP arba vaizdo transliacijos protokolai. Ištyręs tikrąjį paketų turinį, DPI gali aptikti ir nustatyti konkrečias programas, protokolus ar net konkrečius duomenų modelius.
Be hierarchinės šaltinio adresų, paskirties adresų, šaltinių prievadų, paskirties prievadų ir protokolo tipų analizės, DPI taip pat prideda programų sluoksnio analizę, kad nustatytų įvairias programas ir jų turinį. Kai 1P paketas, TCP arba UDP duomenys teka per pralaidumo valdymo sistemą, pagrįstą DPI technologija, sistema nuskaito 1P paketo apkrovos turinį, kad pertvarkytų programos sluoksnio informaciją OSI sluoksnio 7 protokole, kad būtų galima gauti visos programos programos turinį ir tada formuoti srautą pagal sistemą apibrėžtą valdymo politiką.
Kaip veikia DPI?
Tradicinėms ugniasienėms dažnai trūksta perdirbimo galios atlikti kruopščius realaus laiko patikrinimus dėl didelių srautų. Tobulėjant technologijoms, DPI gali būti naudojamas atliekant sudėtingesnius patikrinimus, kad patikrintų antraštes ir duomenis. Paprastai ugniasienės su įsibrovimo aptikimo sistemomis dažnai naudoja DPI. Pasaulyje, kuriame skaitmeninė informacija yra svarbiausia, kiekviena skaitmeninės informacijos dalis pateikiama internete mažuose pakuotėse. Tai apima el. Pašto adresą, pranešimus, atsiųstus per programą, apsilankytos svetainės, vaizdo įrašų pokalbiai ir dar daugiau. Be faktinių duomenų, šie paketai apima metaduomenis, kurie nustato eismo šaltinį, turinį, paskirties vietą ir kitą svarbią informaciją. Naudodamiesi paketų filtravimo technologija, duomenis galima nuolat stebėti ir jiems pavyko užtikrinti, kad jis būtų persiunčiamas į reikiamą vietą. Tačiau norint užtikrinti tinklo saugumą, tradicinis paketų filtravimas nėra pakankamai. Kai kurie pagrindiniai giliųjų paketų patikrinimo tinklo valdyme metodai yra išvardyti žemiau:
Atitikimo režimas/parašas
Kiekvienas paketas yra tikrinamas, ar nėra atitikmenų su žinomų tinklo atakų duomenų baze, kurią yra užkardos su įsibrovimo aptikimo sistemos (IDS) galimybėmis. IDS ieško žinomų kenkėjiškų specifinių modelių ir išjungia srautą, kai randami kenkėjiški modeliai. Parašo atitikimo politikos trūkumas yra tas, kad ji taikoma tik dažnai atnaujinami parašai. Be to, ši technologija gali apsiginti tik nuo žinomų grėsmių ar išpuolių.
Protokolo išimtis
Kadangi protokolo išimties technika neleidžia tiesiog visiems duomenims, kurie neatitinka parašo duomenų bazės, IDS ugniasienė naudojama protokolo išimties technika neturi įgimtų modelio/parašo atitikimo metodo trūkumų. Vietoj to, ji priima numatytąją atmetimo politiką. Pagal protokolo apibrėžimą ugniasienės nusprendžia, koks srautas turėtų būti leidžiamas, ir apsaugoti tinklą nuo nežinomų grėsmių.
Įsibrovimo prevencijos sistema (IPS)
„IPS Solutions“ gali blokuoti kenksmingų paketų perdavimą pagal jų turinį ir taip sustabdyti įtariamus išpuolius realiu laiku. Tai reiškia, kad jei paketas kelia žinomą saugumo riziką, IPS aktyviai blokuos tinklo srautą pagal apibrėžtą taisyklių rinkinį. Vienas iš IPS trūkumų yra poreikis reguliariai atnaujinti kibernetinės grėsmės duomenų bazę su išsamia informacija apie naujas grėsmes ir klaidingų teigiamų galimybių. Tačiau šį pavojų galima sušvelninti sukuriant konservatyvią politiką ir pasirinktines ribas, nustatant tinkamą pradinį tinklo komponentų elgseną ir periodiškai vertinant įspėjimus ir pranešus įvykius, kad būtų pagerintas stebėjimas ir įspėjimas.
1- DPI (gilus paketų patikrinimas) tinklo paketų brokeris
„Gilus“ yra lygio ir įprasto paketų analizės palyginimas “,„ Įprastas paketų patikrinimas “tik ši IP paketo 4 sluoksnio analizė, įskaitant šaltinio adresą, paskirties adresą, šaltinio prievadą, paskirties prievadą ir protokolo tipą ir DPI, išskyrus atliktą hierarchinę analizę, taip pat padidino taikymo sluoksnių analizę, nustatykite įvairius programas ir turinį, kad būtų galima atlikti pagrindines funkcijas:
1) Taikymo analizė - tinklo srauto kompozicijos analizė, našumo analizė ir srauto analizė
2) Vartotojų analizė - vartotojų grupės diferenciacija, elgesio analizė, terminalo analizė, tendencijų analizė ir kt.
3) Tinklo elementų analizė - analizė, pagrįsta regioniniais požymiais (miestas, rajonas, gatvėje ir kt.) Ir bazinės stoties apkrova
4) Eismo valdymas - P2P greičio apribojimas, QoS užtikrinimas, pralaidumo užtikrinimas, tinklo išteklių optimizavimas ir kt.
5) Saugumo užtikrinimas - DDOS išpuoliai, duomenų transliacijos audra, kenksmingų virusų išpuolių prevencija ir kt.
2- Bendra tinklo programų klasifikacija
Šiandien internete yra daugybė programų, tačiau bendros interneto programos gali būti išsamios.
Kiek žinau, geriausia programų atpažinimo įmonė yra „Huawei“, kuri teigia atpažinusi 4000 programų. Protokolo analizė yra pagrindinis daugelio ugniasienių kompanijų („Huawei“, „ZTE“ ir kt.) Modulis. Tai taip pat yra labai svarbus modulis, palaikantis kitų funkcinių modulių realizavimą, tikslų programos identifikavimą ir žymiai pagerinant produktų našumą ir patikimumą. Modeliuojant kenkėjiškų programų identifikavimą, pagrįstą tinklo srauto charakteristikomis, kaip aš darau dabar, taip pat labai svarbus yra tikslus ir platus protokolo identifikavimas. Išskyrus bendrų programų tinklo srautą iš bendrovės eksporto srauto, likęs srautas sudarys nedidelę dalį, o tai geriau skirta kenkėjiškų programų analizei ir aliarmui.
Remiantis mano patirtimi, esamos dažniausiai naudojamos programos klasifikuojamos pagal jų funkcijas:
PS: Remiantis asmeniniu paraiškos klasifikacijos supratimu, turite gerų pasiūlymų, kaip palikti pranešimo pasiūlymą
1). El. Paštas
2). Vaizdo įrašas
3). Žaidimai
4). „Office OA“ klasė
5). Programinės įrangos atnaujinimas
6). Finansinis (bankas, „Alipay“)
7). Atsargos
8). Socialinė komunikacija (IM programinė įranga)
9). Naršymas internete (tikriausiai geriau tapatinamas su URL)
10). Atsisiųskite įrankius (žiniatinklio diskas, P2P atsisiuntimas, BT susiję)
Tada kaip DPI (gilus paketų patikrinimas) veikia NPB:
1). Paketų fiksavimas: NPB fiksuoja tinklo srautą iš įvairių šaltinių, tokių kaip jungikliai, maršrutizatoriai ar čiaupai. Jis gauna paketus, tekančius per tinklą.
2). Paketų analizė: NPB analizuoja užfiksuotus paketus, kad būtų galima išgauti įvairius protokolo sluoksnius ir susijusius duomenis. Šis analizės procesas padeda nustatyti skirtingas paketų komponentus, tokius kaip „Ethernet“ antraštės, IP antraštės, transporto sluoksnio antraštės (pvz., TCP arba UDP) ir taikymo sluoksnio protokolai.
3). Naudingo krovinio analizė: Naudojant DPI, NPB peržengia antraštės patikrinimą ir daugiausia dėmesio skiria naudingam kroviniui, įskaitant faktinius paketų duomenis. Jis išsamiai nagrinėja naudingo krovinio turinį, neatsižvelgiant į naudojamą programą ar protokolą, norint išgauti svarbią informaciją.
4). Protokolo identifikavimas: DPI leidžia NPB nustatyti konkrečius protokolus ir programas, naudojamas tinklo sraute. Tai gali aptikti ir klasifikuoti tokius protokolus kaip HTTP, FTP, SMTP, DNS, VoIP arba vaizdo transliacijos protokolai.
5). Patikrinimas turinys: DPI leidžia NPB apžiūrėti paketų turinį konkrečiems modeliams, parašams ar raktiniams žodžiams. Tai leidžia aptikti tinklo grėsmes, tokias kaip kenkėjiškos programos, virusai, bandymai įsibrovinėti ar įtartini veikla. DPI taip pat gali būti naudojamas turinio filtravimui, tinklo politikos įgyvendinimui arba duomenų atitikties pažeidimams nustatyti.
6). Metaduomenų ištraukimas: DPI metu NPB ištraukia atitinkamus metaduomenis iš paketų. Tai gali apimti tokią informaciją kaip šaltinio ir paskirties IP adresai, prievado numeriai, sesijos duomenys, operacijų duomenys ar kiti svarbūs atributai.
7). Eismo maršrutas arba filtravimas: Remiantis DPI analize, NPB gali nukreipti konkrečius paketus į nurodytas tolesnio apdorojimo vietas, tokias kaip apsaugos prietaisai, stebėjimo įrankiai ar analizės platformos. Tai taip pat gali pritaikyti filtravimo taisykles, kad būtų galima išmesti ar nukreipti paketus pagal nustatytą turinį ar modelius.
Pašto laikas: 2012 m. Birželio 25 d
