Идентификация на приложението за брокери на мрежови пакети въз основа на DPI - Инспекция на дълбоки пакети

Проверка на дълбоки пакети (DPI)е технология, използвана в брокерите на мрежови пакети (NPBs) за инспектиране и анализ на съдържанието на мрежови пакети на гранулирано ниво. Тя включва изследване на полезния товар, заглавки и друга специфична информация за протокол в пакетите, за да се получи подробна информация за мрежовия трафик.

DPI надхвърля простия анализ на заглавката и осигурява дълбоко разбиране на данните, преминаващи през мрежа. Той позволява задълбочена проверка на протоколите на слоя на приложения, като HTTP, FTP, SMTP, VOIP или протоколи за стрийминг на видео. Изследвайки действителното съдържание в пакетите, DPI може да открие и идентифицира специфични приложения, протоколи или дори специфични модели на данни.

В допълнение към йерархичния анализ на адреси на източника, адреси на местоназначение, портове на източници, дестинации и типове протоколи, DPI също добавя анализ на слоеве на приложението, за да идентифицира различни приложения и тяхното съдържание. Когато 1P пакетът, TCP или UDP данни преминават през системата за управление на честотната лента, базирана на DPI технологията, системата чете съдържанието на 1P пакета натоварване, за да реорганизира информацията за приложния слой в протокола на OSI Layer 7, за да се получи съдържанието на цялата програма за приложения, и след това да се оформи трафика според политиката на управление, определена от системата.

Как работи DPI?

Традиционните защитни стени често нямат мощност на преработка за извършване на задълбочени проверки в реално време на големи обеми трафик. С напредването на технологията DPI може да се използва за извършване на по -сложни проверки за проверка на заглавки и данни. Обикновено защитните стени с системи за откриване на проникване често използват DPI. В свят, в който цифровата информация е от първостепенно значение, всяко парче цифрова информация се доставя по интернет в малки пакети. Това включва имейл, съобщения, изпратени чрез приложението, посетени уебсайтове, видео разговори и други. В допълнение към действителните данни, тези пакети включват метаданни, които идентифицират източника на трафик, съдържанието, местоназначението и друга важна информация. С технологията за филтриране на пакети данните могат да се наблюдават непрекъснато и да се управляват, за да се гарантира, че се препраща на правилното място. Но за да се гарантира мрежовата сигурност, традиционното филтриране на пакети е далеч от достатъчно. Някои от основните методи за инспекция на дълбоки пакети в управлението на мрежата са изброени по -долу:

Режим на съвпадение/подпис

Всеки пакет се проверява за съвпадение срещу база данни с известни мрежови атаки от защитна стена с възможности за откриване на проникване (IDS). IDS търси известни злонамерени специфични модели и деактивира трафика, когато се намерят злонамерени модели. Недостатъкът на политиката за съвпадение на подписа е, че тя се прилага само за подписи, които се актуализират често. В допълнение, тази технология може да се защитава само срещу известни заплахи или атаки.

DPI

Изключение на протокол

Тъй като техниката за изключение на протокола не позволява просто всички данни, които не съвпадат с базата данни за подпис, техниката на изключение на протокола, използвана от защитната стена на IDS, няма присъщите недостатъци на метода за съвпадение на модел/подпис. Вместо това тя приема политиката за отхвърляне по подразбиране. По дефиниция на протокола защитните стени решават какъв трафик трябва да бъде разрешен и да предпази мрежата от неизвестни заплахи.

Система за предотвратяване на проникване (IPS)

IPS решения могат да блокират предаването на вредни пакети въз основа на тяхното съдържание, като по този начин спират предполагаемите атаки в реално време. Това означава, че ако пакетът представлява известен риск за сигурността, IPS ще блокира активно мрежовия трафик въз основа на определен набор от правила. Един недостатък на IPS е необходимостта от редовно актуализиране на база данни за кибер заплаха с подробности относно новите заплахи и възможността за фалшиви позитиви. Но тази опасност може да бъде смекчена чрез създаване на консервативни политики и персонализирани прагове, установяване на подходящо базово поведение за мрежовите компоненти и периодично оценяване на предупрежденията и отчетени събития за подобряване на мониторинга и сигнализирането.

1- DPI (инспекция на дълбоки пакети) в брокера на мрежовия пакет

The "deep" is level and ordinary packet analysis comparison, "ordinary packet inspection" only the following analysis of IP packet 4 layer, including the source address, destination address, source port, destination port and protocol type, and DPI except with the hierarchical analysis, also increased the application layer analysis, identify the various applications and content, to realize the main functions:

1) Анализ на приложението - анализ на състава на мрежовия трафик, анализ на ефективността и анализ на потока

2) Анализ на потребителите - Диференциация на групата на потребителите, анализ на поведението, анализ на терминала, анализ на тенденциите и др.

3) Анализ на мрежовите елементи - Анализ въз основа на регионални атрибути (град, област, улица и др.) И натоварване на базовата станция

4) Контрол на трафика - ограничаване на скоростта на P2P, QoS Assurance, Assurance Chandwidth, оптимизация на мрежовите ресурси и др.

5) Осигуряване на сигурността - DDOS атаки, буря за излъчване на данни, предотвратяване на злонамерени вирусни атаки и т.н.

2- Обща класификация на мрежовите приложения

Днес в Интернет има безброй приложения, но общите уеб приложения могат да бъдат изчерпателни.

Доколкото знам, най -добрата компания за разпознаване на приложения е Huawei, която твърди, че разпознава 4000 приложения. Анализът на протокола е основният модул на много компании за защитна стена (Huawei, ZTE и др.), А също така е много важен модул, поддържащ реализирането на други функционални модули, точна идентификация на приложението и значително подобряване на производителността и надеждността на продуктите. При моделиране на идентификация на злонамерен софтуер въз основа на характеристиките на мрежовия трафик, както правя сега, точната и обширна идентификация на протокол също е много важна. С изключение на мрежовия трафик на общи приложения от експортния трафик на компанията, оставащият трафик ще отчита малка пропорция, което е по -добре за анализ на злонамерен софтуер и аларма.

Въз основа на моя опит съществуващите често използвани приложения се класифицират според техните функции:

PS: Според личното разбиране на класификацията на приложенията имате някакви добри предложения, добре дошли да оставите предложение за съобщение

1). Електронна поща

2). Видео

3). Игри

4). Office OA клас

5). Актуализация на софтуера

6). Финансови (банка, Alipay)

7). Запаси

8). Социална комуникация (IM софтуер)

9). Разглеждане на уеб (вероятно по -добре идентифицирано с URL адреси)

10). Изтегляне на инструменти (Web Disk, P2P Изтегляне, BT Свързано)

20191210153150_32811

След това, как работи DPI (Deep Packet Inspection) в NPB:

1). Заснемане на пакети: NPB улавя мрежовия трафик от различни източници, като превключватели, рутери или кранове. Той получава пакети, преминаващи през мрежата.

2). Пакетно анализиране: Заснетите пакети се анализират от NPB за извличане на различни протоколни слоеве и свързани данни. Този процес на анализиране помага да се идентифицират различните компоненти в пакетите, като заглавки на Ethernet, IP заглавки, заглавки на транспортните слоеве (напр. TCP или UDP) и протоколи на слоя на приложения.

3). Анализ на полезния товар: С DPI NPB надхвърля проверката на заглавката и се фокусира върху полезния товар, включително действителните данни в пакетите. Той изследва задълбоченото съдържание на полезен товар, независимо от използваното приложение или протокол, за извличане на подходяща информация.

4). Идентификация на протокол: DPI дава възможност на NPB да идентифицира специфичните протоколи и приложения, които се използват в мрежовия трафик. Той може да открива и класифицира протоколи като HTTP, FTP, SMTP, DNS, VOIP или протоколи за стрийминг на видео.

5). Проверка на съдържанието: DPI позволява на NPB да инспектира съдържанието на пакети за конкретни модели, подписи или ключови думи. Това дава възможност за откриване на мрежови заплахи, като зловреден софтуер, вируси, опити за проникване или подозрителни дейности. DPI може да се използва и за филтриране на съдържание, прилагане на мрежови политики или идентифициране на нарушения на спазването на данните.

6). Извличане на метаданни: По време на DPI, NPB извлича съответните метаданни от пакетите. Това може да включва информация като IP адреси на източник и дестинация, номера на порта, подробности за сесията, данни за транзакции или други подходящи атрибути.

7). Трафично маршрутизиране или филтриране: Въз основа на анализа на DPI, NPB може да насочи специфични пакети към определени дестинации за по -нататъшна обработка, като уреди за сигурност, инструменти за мониторинг или платформи за анализи. Той може също да прилага правила за филтриране за изхвърляне или пренасочване на пакети въз основа на идентифицираното съдържание или модели.

ML-NPB-5660 3D


Време за публикация: юни-25-2023