Identyfikacja aplikacji Broker Pakiet sieciowych na podstawie DPI - głęboka inspekcja pakietów

Głęboka inspekcja pakietów (DPI)jest technologią stosowaną w pakietach sieciowych (NPB) do sprawdzania i analizy zawartości pakietów sieciowych na poziomie ziarnistym. Obejmuje zbadanie ładunku, nagłówków i innych informacji specyficznych dla protokołu w pakietach, aby uzyskać szczegółowy wgląd w ruch sieciowy.

DPI wykracza poza prostą analizę nagłówka i zapewnia głębokie zrozumienie danych przepływających przez sieć. Pozwala na dogłębną kontrolę protokołów warstwy aplikacji, takich jak protokoły strumieniowe HTTP, FTP, SMTP, VOIP lub wideo. Badając rzeczywistą zawartość w pakietach, DPI może wykrywać i identyfikować określone zastosowania, protokoły, a nawet określone wzorce danych.

Oprócz hierarchicznej analizy adresów źródłowych, adresów docelowych, portów źródłowych, portów docelowych i typów protokołów, DPI dodaje również analizę warstwy aplikacji w celu zidentyfikowania różnych aplikacji i ich zawartości. Gdy pakiet danych 1p, TCP lub UDP przepływają przez system zarządzania przepustowością oparty na technologii DPI, system odczytuje zawartość obciążenia pakietu 1p, aby zreorganizować informacje o warstwie aplikacji w protokole OSI Warstwa 7, aby uzyskać zawartość całego programu aplikacji, a następnie kształtuje ruch zgodnie z zasadami zarządzania określonymi przez system.

Jak działa DPI?

Tradycyjne zapory często nie mają mocy obliczeniowej do dokładnych kontroli w czasie rzeczywistym dużych ilości ruchu. W miarę postępu technologii DPI można wykorzystać do wykonywania bardziej złożonych kontroli w celu sprawdzania nagłówków i danych. Zazwyczaj zapory ogniowe z systemami wykrywania włamań często używają DPI. W świecie, w którym informacje cyfrowe są najważniejsze, każda informacja cyfrowa jest dostarczana przez Internet w małych pakietach. Obejmuje to e -mail, wiadomości wysyłane za pośrednictwem aplikacji, odwiedzane strony internetowe, rozmowy wideo i wiele innych. Oprócz rzeczywistych danych pakiety te obejmują metadane, które identyfikują źródło ruchu, treść, miejsce docelowe i inne ważne informacje. Dzięki technologii filtrowania pakietów dane mogą być ciągłe monitorowane i zarządzane, aby zapewnić ich przekazanie we właściwym miejscu. Ale aby zapewnić bezpieczeństwo sieci, tradycyjne filtrowanie pakietów jest dalekie od wystarczającej ilości. Niektóre z głównych metod kontroli głębokiego pakietu w zarządzaniu siecią wymieniono poniżej:

Tryb dopasowywania/podpis

Każdy pakiet jest sprawdzany pod kątem dopasowania do bazy danych znanych ataków sieciowych przez zaporę z funkcjami systemu wykrywania włamań (IDS). IDS szuka znanych złośliwych, specyficznych wzorów i wyłącza ruch, gdy znajdują się złośliwe wzory. Wadą zasad dopasowania podpisu jest to, że dotyczy ona tylko często aktualizowanych podpisów. Ponadto technologia ta może obronić jedynie przed znanymi zagrożeniami lub atakami.

DPI

Wyjątek protokołu

Ponieważ technika wyjątku protokołu nie pozwala po prostu wszystkich danych, które nie pasują do bazy danych podpisu, technika wyjątku protokołu stosowana przez zaporę IDS nie ma nieodłącznych wad metody dopasowania wzorca/podpisu. Zamiast tego przyjmuje domyślną politykę odrzucenia. Według definicji protokołu zapory ogniowe decydują o tym, jaki ruch powinien być dozwolony i chronić sieć przed nieznanymi zagrożeniami.

System zapobiegania włamaniu (IPS)

Rozwiązania IPS mogą blokować transmisję szkodliwych pakietów na podstawie ich treści, tym samym zatrzymując podejrzane ataki w czasie rzeczywistym. Oznacza to, że jeśli pakiet stanowi znane ryzyko bezpieczeństwa, IPS proaktywnie blokuje ruch sieciowy w oparciu o zdefiniowany zestaw reguł. Jedną z wad IPS jest potrzeba regularnej aktualizacji bazy danych cyberprzestępczości ze szczegółowymi szczegółami na temat nowych zagrożeń i możliwości fałszywych pozytywów. Ale to niebezpieczeństwo można złagodzić, tworząc konserwatywne polityki i niestandardowe progi, ustanawiając odpowiednie zachowanie wyjściowe dla komponentów sieciowych oraz okresowo oceniając ostrzeżenia i zgłoszone zdarzenia w celu zwiększenia monitorowania i ostrzegania.

1- DPI (głęboka inspekcja pakietów) w brokerze pakietów sieciowych

„Głębokie” to porównanie poziomu i zwykłej analizy pakietów, „zwykła inspekcja pakietów” tylko następująca analiza warstwy pakietu IP 4, w tym adres źródłowy, adres docelowy, port źródłowy, port docelowy i typ protokołu oraz DPI, z wyjątkiem analizy hierarchicznej, również zwiększyła analizę warstwy aplikacji, identyfikuj różne aplikacje i treść, aby zrealizować główne funkcje:

1) Analiza aplikacji - analiza składu ruchu, analiza wydajności i analiza przepływu

2) Analiza użytkowników - różnicowanie grupy użytkowników, analiza zachowania, analiza terminali, analiza trendów itp.

3) Analiza elementów sieci - analiza oparta na regionalnych atrybutach (miasto, dystrykt, ulica itp.) I obciążenie stacji bazowej

4) Kontrola ruchu - ograniczenie prędkości P2P, zapewnienie QoS, zapewnienie przepustowości, optymalizacja zasobów sieciowych itp.

5) Zapewnienie bezpieczeństwa - ataki DDOS, burza nadawania danych, zapobieganie złośliwym atakom wirusowym itp.

2- Ogólna klasyfikacja aplikacji sieciowych

Obecnie w Internecie istnieją niezliczone aplikacje, ale wspólne aplikacje internetowe mogą być wyczerpujące.

O ile mi wiadomo, najlepszą firmą rozpoznawania aplikacji jest Huawei, która twierdzi, że rozpoznaje 4000 aplikacji. Analiza protokołu jest podstawowym modułem wielu firm zapory (Huawei, ZTE itp.), A także jest bardzo ważnym modułem, wspierającym realizację innych modułów funkcjonalnych, dokładną identyfikację aplikacji oraz znacznie poprawa wydajności i niezawodności produktów. W modelowaniu identyfikacji złośliwego oprogramowania w oparciu o charakterystykę ruchu sieciowego, tak jak robię to teraz, dokładna i obszerna identyfikacja protokołu jest również bardzo ważna. Z wyłączeniem ruchu sieciowego wspólnych aplikacji z ruchu eksportowego firmy, pozostały ruch będzie uwzględnia niewielki odsetek, co jest lepsze do analizy złośliwego oprogramowania i alarmu.

W oparciu o moje doświadczenie istniejące powszechnie używane aplikacje są klasyfikowane zgodnie z ich funkcjami:

PS: Zgodnie z osobistym zrozumieniem klasyfikacji aplikacji masz dobre sugestie, aby zostawić propozycję wiadomości

1). E-mail

2). Wideo

3). Zawody sportowe

4). Office OA Class

5). Aktualizacja oprogramowania

6). Financial (bank, Alipay)

7). Dyby

8). Komunikacja społeczna (oprogramowanie IM)

9). Przeglądanie internetowe (prawdopodobnie lepiej identyfikowane z adresami URL)

10). Pobierz narzędzia (Dysk Web, P2P Pobierz, BT Powiązane)

20191210153150_32811

Następnie, jak DPI (głęboka inspekcja pakietów) działa w NPB:

1). Pakiet pakietu: NPB przechwytuje ruch sieciowy z różnych źródeł, takich jak przełączniki, routery lub krany. Otrzymuje pakiety przepływające przez sieć.

2). Pakowanie pakietów: Zabryczone pakiety są analizowane przez NPB w celu wyodrębnienia różnych warstw protokołu i powiązanych danych. Ten proces analizowania pomaga zidentyfikować różne komponenty w pakietach, takie jak nagłówki Ethernet, nagłówki IP, nagłówki warstw transportowych (np. TCP lub UDP) oraz protokoły warstwy aplikacji.

3). Analiza ładunku: W przypadku DPI NPB wykracza poza kontrolę nagłówka i koncentruje się na ładowności, w tym na rzeczywistych danych w pakietach. Bada zawartość ładunku dogłębnie, niezależnie od zastosowanego aplikacji lub protokołu, w celu wyodrębnienia odpowiednich informacji.

4). Identyfikacja protokołu: DPI umożliwia NPB identyfikację konkretnych protokołów i aplikacji używanych w ruchu sieciowym. Może wykrywać i klasyfikować protokoły, takie jak HTTP, FTP, SMTP, DNS, VOIP lub protokoły przesyłania strumieniowego wideo.

5). Kontrola treści: DPI pozwala NPB sprawdzić zawartość pakietów pod kątem określonych wzorców, podpisów lub słów kluczowych. Umożliwia to wykrycie zagrożeń sieciowych, takich jak złośliwe oprogramowanie, wirusy, próby włamań lub podejrzane działania. DPI może być również używane do filtrowania treści, egzekwowania zasad sieciowych lub identyfikacji naruszeń zgodności danych.

6). Ekstrakcja metadanych: Podczas DPI NPB wyciąga odpowiednie metadane z pakietów. Może to obejmować takie informacje, jak źródło i docelowe adresy IP, numery portów, szczegóły sesji, dane transakcyjne lub inne istotne atrybuty.

7). ROUTowanie lub filtrowanie ruchu: Na podstawie analizy DPI NPB może kierować określone pakiety do wyznaczonych miejsc docelowych w celu dalszego przetwarzania, takich jak urządzenia bezpieczeństwa, narzędzia monitorujące lub platformy analityczne. Może również stosować reguły filtrowania w celu odrzucania lub przekierowania pakietów na podstawie zidentyfikowanej treści lub wzorców.

ML-NPB-5660 3D


Czas po: 25 czerwca-201023