Gilus paketų patikrinimas (DPI)yra technologija, naudojama tinklo paketų brokeriuose (NPB), siekiant detaliai patikrinti ir analizuoti tinklo paketų turinį. Tai apima paketuose esančios naudingosios apkrovos, antraščių ir kitos protokolui būdingos informacijos analizę, siekiant gauti išsamių įžvalgų apie tinklo srautą.
DPI neapsiriboja paprasta antraštės analize ir suteikia gilų supratimą apie tinkle tekančius duomenis. Tai leidžia nuodugniai patikrinti taikomųjų programų lygmens protokolus, tokius kaip HTTP, FTP, SMTP, VoIP arba vaizdo transliacijos protokolus. Nagrinėdamas tikrąjį paketų turinį, DPI gali aptikti ir identifikuoti konkrečias programas, protokolus ar net konkrečius duomenų modelius.
Be hierarchinės šaltinio adresų, paskirties adresų, šaltinio prievadų, paskirties prievadų ir protokolų tipų analizės, DPI taip pat prideda taikomojo lygmens analizę, kad nustatytų įvairias programas ir jų turinį. Kai 1P paketas, TCP arba UDP duomenys teka per pralaidumo valdymo sistemą, pagrįstą DPI technologija, sistema nuskaito 1P paketo įkėlimo turinį, kad pertvarkytų taikomojo lygmens informaciją OSI 7 lygmens protokole, kad gautų visos taikomosios programos turinį, o tada formuotų srautą pagal sistemos apibrėžtą valdymo politiką.
Kaip veikia DPI?
Tradicinėms užkardoms dažnai trūksta apdorojimo galios, kad būtų galima atlikti išsamius didelių srautų patikrinimus realiuoju laiku. Technologijoms tobulėjant, DPI gali būti naudojamas sudėtingesniems antraštių ir duomenų patikrinimams atlikti. Paprastai užkardos su įsilaužimų aptikimo sistemomis dažnai naudoja DPI. Pasaulyje, kuriame skaitmeninė informacija yra svarbiausia, kiekviena skaitmeninė informacija internetu pateikiama mažais paketais. Tai apima el. laiškus, per programėlę išsiųstus pranešimus, aplankytas svetaines, vaizdo pokalbius ir kt. Be faktinių duomenų, šiuose paketuose yra metaduomenų, kurie identifikuoja srauto šaltinį, turinį, paskirties vietą ir kitą svarbią informaciją. Naudojant paketų filtravimo technologiją, duomenis galima nuolat stebėti ir valdyti, siekiant užtikrinti, kad jie būtų persiųsti į tinkamą vietą. Tačiau norint užtikrinti tinklo saugumą, tradicinio paketų filtravimo toli gražu nepakanka. Toliau pateikiami kai kurie pagrindiniai giluminio paketų patikrinimo metodai tinklo valdyme:
Atitikimo režimas / parašas
Kiekvienas paketas tikrinamas, ar atitinka žinomų tinklo atakų duomenų bazę, naudojant užkardą su įsilaužimų aptikimo sistemos (IDS) galimybėmis. IDS ieško žinomų kenkėjiškų konkrečių šablonų ir išjungia srautą, kai jie randami. Parašų atitikimo politikos trūkumas yra tas, kad ji taikoma tik dažnai atnaujinamiems parašams. Be to, ši technologija gali apsiginti tik nuo žinomų grėsmių ar atakų.
Protokolo išimtis
Kadangi protokolo išimčių metodas ne tik leidžia visus duomenis, kurie neatitinka parašų duomenų bazės, IDS užkardos naudojamas protokolo išimčių metodas neturi būdingų šablono / parašo atitikimo metodo trūkumų. Vietoj to, jis taiko numatytąją atmetimo politiką. Pagal protokolo apibrėžimą užkardos nusprendžia, koks srautas turėtų būti leidžiamas, ir apsaugo tinklą nuo nežinomų grėsmių.
Įsilaužimų prevencijos sistema (IPS)
IPS sprendimai gali blokuoti kenksmingų paketų perdavimą pagal jų turinį ir taip realiuoju laiku sustabdyti įtariamas atakas. Tai reiškia, kad jei paketas kelia žinomą saugumo riziką, IPS iš anksto blokuos tinklo srautą pagal apibrėžtą taisyklių rinkinį. Vienas iš IPS trūkumų yra būtinybė reguliariai atnaujinti kibernetinių grėsmių duomenų bazę su informacija apie naujas grėsmes ir klaidingai teigiamų rezultatų galimybę. Tačiau šį pavojų galima sumažinti sukuriant konservatyvias politikas ir pasirinktines ribas, nustatant tinkamą tinklo komponentų bazinį elgesį ir periodiškai vertinant įspėjimus bei praneštus įvykius, siekiant pagerinti stebėjimą ir įspėjimus.
1. DPI (gilus paketų patikrinimas) tinklo paketų brokeryje
„Gilus“ yra lygus ir įprastos paketų analizės palyginimas, „įprasto paketų patikrinimo“ analizė apima tik šią IP paketų 4 sluoksnio analizę, įskaitant šaltinio adresą, paskirties adresą, šaltinio prievadą, paskirties prievadą ir protokolo tipą bei DPI, išskyrus hierarchinę analizę, taip pat padidino taikomųjų programų sluoksnio analizę, identifikavo įvairias programas ir turinį, kad būtų realizuotos pagrindinės funkcijos:
1) Programų analizė – tinklo srauto sudėties analizė, našumo analizė ir srauto analizė
2) Vartotojų analizė – vartotojų grupių diferenciacija, elgesio analizė, terminalų analizė, tendencijų analizė ir kt.
3) Tinklo elementų analizė – analizė, pagrįsta regioniniais požymiais (miestas, rajonas, gatvė ir kt.) ir bazinės stoties apkrova
4) Eismo valdymas – P2P greičio ribojimas, QoS užtikrinimas, pralaidumo užtikrinimas, tinklo išteklių optimizavimas ir kt.
5) Saugumo užtikrinimas – DDoS atakos, duomenų transliavimo audra, kenkėjiškų virusų atakų prevencija ir kt.
2. Bendra tinklo programų klasifikacija
Šiandien internete yra daugybė programų, tačiau įprastos žiniatinklio programos gali būti labai įvairios.
Kiek žinau, geriausia programėlių atpažinimo bendrovė yra „Huawei“, kuri teigia atpažįstanti 4000 programėlių. Protokolų analizė yra daugelio užkardų bendrovių („Huawei“, „ZTE“ ir kt.) pagrindinis modulis, be to, tai labai svarbus modulis, palaikantis kitų funkcinių modulių realizavimą, tikslų programų identifikavimą ir žymiai pagerinantis produktų našumą bei patikimumą. Modeliuojant kenkėjiškų programų identifikavimą pagal tinklo srauto charakteristikas, kaip aš darau dabar, tikslus ir išsamus protokolų identifikavimas taip pat labai svarbus. Iš įmonės eksportuojamo srauto neįtraukus įprastų programų tinklo srauto, likęs srautas sudarys nedidelę dalį, o tai geriau tinka kenkėjiškų programų analizei ir signalizacijai.
Remiantis mano patirtimi, esamos dažniausiai naudojamos programos klasifikuojamos pagal jų funkcijas:
P. S.: Remiantis asmeniniu paraiškos klasifikavimo supratimu, galite palikti gerų pasiūlymų.
1). El. paštas
2). Vaizdo įrašas
3). Žaidimai
4). Biuro OA klasė
5). Programinės įrangos atnaujinimas
6). Finansinės paslaugos (bankas, „Alipay“)
7). Atsargos
8). Socialinė komunikacija (IM programinė įranga)
9). Naršymas internete (tikriausiai geriau atpažįstamas pagal URL adresus)
10). Atsisiuntimo įrankiai (internetinis diskas, P2P atsisiuntimas, susiję su BT)
Taigi, kaip NPB veikia giluminė paketų inspekcija (DPI):
1). Paketų fiksavimas: NPB fiksuoja tinklo srautą iš įvairių šaltinių, tokių kaip komutatoriai, maršrutizatoriai ar čiaupų. Jis gauna paketus, tekančius tinklu.
2). Paketų analizavimas: NPB analizuoja užfiksuotus paketus, kad išskirtų įvairius protokolo sluoksnius ir susijusius duomenis. Šis analizavimo procesas padeda identifikuoti skirtingus paketų komponentus, tokius kaip Ethernet antraštės, IP antraštės, transportavimo sluoksnio antraštės (pvz., TCP arba UDP) ir taikomojo sluoksnio protokolai.
3). Naudingosios apkrovos analizė: Naudodama DPI, NPB ne tik tikrina antraštę, bet ir sutelkia dėmesį į naudingąją apkrovą, įskaitant faktinius duomenis paketuose. Jis nuodugniai išnagrinėja naudingosios apkrovos turinį, nepriklausomai nuo naudojamos programos ar protokolo, kad išskirtų svarbią informaciją.
4). Protokolo identifikavimas: DPI leidžia NPB identifikuoti konkrečius protokolus ir programas, naudojamas tinklo sraute. Jis gali aptikti ir klasifikuoti tokius protokolus kaip HTTP, FTP, SMTP, DNS, VoIP arba vaizdo transliacijos protokolai.
5). Turinio patikra: DPI leidžia NPB tikrinti paketų turinį, ieškant konkrečių šablonų, parašų ar raktinių žodžių. Tai leidžia aptikti tinklo grėsmes, tokias kaip kenkėjiškos programos, virusai, įsilaužimo bandymai ar įtartina veikla. DPI taip pat gali būti naudojamas turinio filtravimui, tinklo politikos vykdymui arba duomenų atitikties pažeidimams nustatyti.
6). Metaduomenų išgavimas: DPI metu NPB iš paketų išgauna atitinkamus metaduomenis. Tai gali būti tokia informacija kaip šaltinio ir paskirties IP adresai, prievadų numeriai, sesijos informacija, operacijų duomenys ar bet kokie kiti svarbūs atributai.
7). Srauto maršrutizavimas arba filtravimas: remdamasis DPI analize, NPB gali nukreipti konkrečius paketus į paskirtas vietas tolesniam apdorojimui, pvz., saugumo įrenginius, stebėjimo įrankius arba analizės platformas. Jis taip pat gali taikyti filtravimo taisykles, kad atmestų arba nukreiptų paketus pagal nustatytą turinį arba modelius.
Įrašo laikas: 2023 m. birželio 25 d.
