Identyfikacja aplikacji brokera pakietów sieciowych na podstawie DPI – głębokiej inspekcji pakietów

Głęboka inspekcja pakietów ((DPI)to technologia używana w Network Packet Brokers (NPB) do inspekcji i analizy zawartości pakietów sieciowych na poziomie granularnym. Obejmuje ona badanie ładunku, nagłówków i innych informacji specyficznych dla protokołu w pakietach w celu uzyskania szczegółowych informacji o ruchu sieciowym.

DPI wykracza poza prostą analizę nagłówków i zapewnia głębokie zrozumienie danych przepływających przez sieć. Umożliwia dogłębną inspekcję protokołów warstwy aplikacji, takich jak HTTP, FTP, SMTP, VoIP lub protokoły strumieniowania wideo. Poprzez badanie rzeczywistej zawartości w pakietach, DPI może wykrywać i identyfikować określone aplikacje, protokoły, a nawet określone wzorce danych.

Oprócz hierarchicznej analizy adresów źródłowych, adresów docelowych, portów źródłowych, portów docelowych i typów protokołów, DPI dodaje również analizę warstwy aplikacji w celu identyfikacji różnych aplikacji i ich zawartości. Gdy pakiet 1P, dane TCP lub UDP przepływają przez system zarządzania przepustowością oparty na technologii DPI, system odczytuje zawartość obciążenia pakietu 1P w celu reorganizacji informacji warstwy aplikacji w protokole warstwy 7 OSI, tak aby uzyskać zawartość całego programu aplikacji, a następnie kształtować ruch zgodnie z polityką zarządzania zdefiniowaną przez system.

Jak działa DPI?

Tradycyjne zapory sieciowe często nie mają mocy obliczeniowej, aby wykonywać dokładne kontrole w czasie rzeczywistym dużych wolumenów ruchu. Wraz z postępem technologii, DPI może być używane do wykonywania bardziej złożonych kontroli w celu sprawdzenia nagłówków i danych. Zazwyczaj zapory sieciowe z systemami wykrywania włamań często używają DPI. W świecie, w którym informacje cyfrowe są najważniejsze, każda część informacji cyfrowych jest dostarczana przez Internet w małych pakietach. Obejmuje to pocztę e-mail, wiadomości wysyłane za pośrednictwem aplikacji, odwiedzane strony internetowe, rozmowy wideo i wiele innych. Oprócz rzeczywistych danych, pakiety te zawierają metadane, które identyfikują źródło ruchu, zawartość, miejsce docelowe i inne ważne informacje. Dzięki technologii filtrowania pakietów dane mogą być stale monitorowane i zarządzane, aby zapewnić ich przekazywanie do właściwego miejsca. Jednak aby zapewnić bezpieczeństwo sieci, tradycyjne filtrowanie pakietów jest dalekie od wystarczającego. Poniżej wymieniono niektóre z głównych metod głębokiej inspekcji pakietów w zarządzaniu siecią:

Tryb dopasowywania/podpis

Każdy pakiet jest sprawdzany pod kątem dopasowania do bazy danych znanych ataków sieciowych przez zaporę z możliwościami systemu wykrywania włamań (IDS). IDS wyszukuje znane złośliwe wzorce i wyłącza ruch, gdy zostaną znalezione złośliwe wzorce. Wadą polityki dopasowywania sygnatur jest to, że dotyczy ona tylko sygnatur, które są często aktualizowane. Ponadto technologia ta może chronić tylko przed znanymi zagrożeniami lub atakami.

DPI

Wyjątek protokołu

Ponieważ technika wyjątku protokołu nie zezwala po prostu na wszystkie dane, które nie pasują do bazy danych podpisów, technika wyjątku protokołu używana przez zaporę IDS nie ma wad inherentnych metody dopasowywania wzorców/podpisów. Zamiast tego przyjmuje domyślną politykę odrzucania. Zgodnie z definicją protokołu zapory decydują, jaki ruch powinien być dozwolony i chronią sieć przed nieznanymi zagrożeniami.

System zapobiegania włamaniom (IPS)

Rozwiązania IPS mogą blokować transmisję szkodliwych pakietów na podstawie ich zawartości, zatrzymując w ten sposób podejrzane ataki w czasie rzeczywistym. Oznacza to, że jeśli pakiet stanowi znane zagrożenie bezpieczeństwa, IPS będzie proaktywnie blokować ruch sieciowy na podstawie zdefiniowanego zestawu reguł. Jedną z wad IPS jest konieczność regularnej aktualizacji bazy danych cyberzagrożeń o szczegóły dotyczące nowych zagrożeń i możliwość fałszywych alarmów. Jednak to zagrożenie można złagodzić, tworząc konserwatywne zasady i niestandardowe progi, ustalając odpowiednie zachowanie bazowe dla komponentów sieciowych i okresowo oceniając ostrzeżenia i zgłaszane zdarzenia w celu usprawnienia monitorowania i powiadamiania.

1- DPI (głęboka inspekcja pakietów) w Network Packet Broker

„Głęboka” analiza pakietów to porównanie poziomu i zwykłej analizy pakietów, „zwykła inspekcja pakietów” obejmuje tylko analizę warstwy 4 pakietu IP, w tym adres źródłowy, adres docelowy, port źródłowy, port docelowy i typ protokołu oraz DPI, z wyjątkiem analizy hierarchicznej. Rozszerzono również analizę warstwy aplikacji, zidentyfikowano różne aplikacje i zawartość, aby zrealizować główne funkcje:

1) Analiza aplikacji – analiza składu ruchu sieciowego, analiza wydajności i analiza przepływu

2) Analiza użytkowników – różnicowanie grup użytkowników, analiza zachowań, analiza końcowa, analiza trendów itp.

3) Analiza elementów sieci – analiza oparta na atrybutach regionalnych (miasto, dzielnica, ulica itp.) i obciążeniu stacji bazowej

4) Kontrola ruchu – ograniczanie prędkości P2P, zapewnienie jakości usług (QoS), zapewnienie przepustowości, optymalizacja zasobów sieciowych itp.

5) Zapewnienie bezpieczeństwa – ataki DDoS, burze danych, zapobieganie złośliwym atakom wirusowym itp.

2- Ogólna klasyfikacja aplikacji sieciowych

Obecnie w Internecie dostępnych jest niezliczona ilość aplikacji, jednak liczba typowych aplikacji sieciowych może być ograniczona.

O ile wiem, najlepszą firmą rozpoznającą aplikacje jest Huawei, która twierdzi, że rozpoznaje 4000 aplikacji. Analiza protokołów jest podstawowym modułem wielu firm zajmujących się zaporami sieciowymi (Huawei, ZTE itp.), a także bardzo ważnym modułem, wspierającym realizację innych modułów funkcjonalnych, dokładną identyfikację aplikacji i znacznie poprawiającym wydajność i niezawodność produktów. W modelowaniu identyfikacji złośliwego oprogramowania na podstawie charakterystyki ruchu sieciowego, co robię teraz, dokładna i obszerna identyfikacja protokołu jest również bardzo ważna. Wyłączając ruch sieciowy typowych aplikacji z ruchu eksportowego firmy, pozostały ruch będzie stanowił niewielką część, co jest lepsze dla analizy złośliwego oprogramowania i alarmu.

Na podstawie mojego doświadczenia, istniejące powszechnie używane aplikacje można sklasyfikować według ich funkcji:

PS: Zgodnie z osobistym zrozumieniem klasyfikacji aplikacji, jeśli masz jakieś dobre sugestie, zapraszamy do pozostawienia propozycji wiadomości

1) E-mail

2) Wideo

3). Gry

4). Klasa OA w biurze

5). Aktualizacja oprogramowania

6). Finansowe (bank, Alipay)

7) Akcje

8). Komunikacja społeczna (oprogramowanie IM)

9) Przeglądanie stron internetowych (prawdopodobnie lepiej identyfikowane za pomocą adresów URL)

10). Narzędzia do pobierania (web disk, pobieranie P2P, związane z BT)

20191210153150_32811

Jak działa DPI (Deep Packet Inspection) w NPB:

1). Przechwytywanie pakietów: NPB przechwytuje ruch sieciowy z różnych źródeł, takich jak przełączniki, routery lub odczepy. Odbiera pakiety przepływające przez sieć.

2). Analiza pakietów: Przechwycone pakiety są analizowane przez NPB w celu wyodrębnienia różnych warstw protokołu i powiązanych danych. Ten proces analizy pomaga zidentyfikować różne komponenty w pakietach, takie jak nagłówki Ethernet, nagłówki IP, nagłówki warstwy transportowej (np. TCP lub UDP) i protokoły warstwy aplikacji.

3). Analiza ładunku: Dzięki DPI NPB wykracza poza inspekcję nagłówka i koncentruje się na ładunku, w tym na rzeczywistych danych w pakietach. Dogłębnie bada zawartość ładunku, niezależnie od używanej aplikacji lub protokołu, aby wyodrębnić istotne informacje.

4). Identyfikacja protokołu: DPI umożliwia NPB identyfikację konkretnych protokołów i aplikacji używanych w ruchu sieciowym. Może wykrywać i klasyfikować protokoły takie jak HTTP, FTP, SMTP, DNS, VoIP lub protokoły przesyłania strumieniowego wideo.

5). Inspekcja zawartości: DPI umożliwia NPB inspekcję zawartości pakietów pod kątem określonych wzorców, podpisów lub słów kluczowych. Umożliwia to wykrywanie zagrożeń sieciowych, takich jak złośliwe oprogramowanie, wirusy, próby włamań lub podejrzane działania. DPI można również wykorzystać do filtrowania zawartości, egzekwowania zasad sieciowych lub identyfikowania naruszeń zgodności danych.

6). Ekstrakcja metadanych: Podczas DPI NPB ekstrahuje istotne metadane z pakietów. Może to obejmować informacje takie jak adresy IP źródłowe i docelowe, numery portów, szczegóły sesji, dane transakcji lub wszelkie inne istotne atrybuty.

7). Trasowanie lub filtrowanie ruchu: Na podstawie analizy DPI NPB może kierować określone pakiety do wyznaczonych miejsc docelowych w celu dalszego przetwarzania, takich jak urządzenia zabezpieczające, narzędzia monitorujące lub platformy analityczne. Może również stosować reguły filtrowania w celu odrzucania lub przekierowywania pakietów na podstawie zidentyfikowanej zawartości lub wzorców.

ML-NPB-5660 3d


Czas publikacji: 25-06-2023