Identifikazzjoni tal-Applikazzjoni tal-Broker tal-Pakketti tan-Netwerk Ibbażat fuq DPI – Spezzjoni Profonda tal-Pakketti

Spezzjoni tal-Pakketti Fond (DPI)hija teknoloġija użata fin-Netwerk Packet Brokers (NPBs) biex jispezzjonaw u janalizzaw il-kontenut tal-pakketti tan-netwerk f'livell granulari. Dan jinvolvi l-eżaminazzjoni tat-tagħbija, l-intestaturi u informazzjoni oħra speċifika għall-protokoll fi ħdan il-pakketti biex tikseb għarfien dettaljat dwar it-traffiku tan-netwerk.

DPI jmur lil hinn minn sempliċi analiżi tal-header u jipprovdi fehim profond tad-dejta li tgħaddi minn netwerk. Jippermetti spezzjoni fil-fond tal-protokolli tas-saff tal-applikazzjoni, bħal HTTP, FTP, SMTP, VoIP, jew protokolli tal-video streaming. Billi teżamina l-kontenut attwali fil-pakketti, DPI jista 'jsib u jidentifika applikazzjonijiet speċifiċi, protokolli, jew saħansitra mudelli speċifiċi ta' data.

Minbarra l-analiżi ġerarkika tal-indirizzi tas-sors, l-indirizzi tad-destinazzjoni, il-portijiet tas-sors, il-portijiet tad-destinazzjoni u t-tipi ta 'protokoll, DPI żżid ukoll analiżi tas-saff tal-applikazzjoni biex tidentifika diversi applikazzjonijiet u l-kontenut tagħhom. Meta d-data tal-pakkett 1P, TCP jew UDP tgħaddi mis-sistema ta 'ġestjoni tal-bandwidth ibbażata fuq it-teknoloġija DPI, is-sistema taqra l-kontenut tat-tagħbija tal-pakkett 1P biex torganizza mill-ġdid l-informazzjoni tas-saff tal-applikazzjoni fil-protokoll OSI Layer 7, sabiex tikseb il-kontenut ta' il-programm ta 'applikazzjoni kollu, u mbagħad iffurmar it-traffiku skond il-politika ta' ġestjoni definita mis-sistema.

Kif jaħdem id-DPI?

Il-firewalls tradizzjonali ħafna drabi ma jkollhomx is-saħħa tal-ipproċessar biex iwettqu kontrolli bir-reqqa f'ħin reali fuq volumi kbar ta' traffiku. Hekk kif tavvanza t-teknoloġija, id-DPI jista 'jintuża biex iwettaq kontrolli aktar kumplessi biex jiċċekkja l-intestaturi u d-dejta. Tipikament, firewalls b'sistemi ta 'detezzjoni ta' intrużjoni spiss jużaw DPI. F'dinja fejn l-informazzjoni diġitali hija ta' l-akbar importanza, kull biċċa informazzjoni diġitali titwassal fuq l-Internet f'pakketti żgħar. Dan jinkludi email, messaġġi mibgħuta permezz tal-app, websajts miżjura, konversazzjonijiet bil-vidjo, u aktar. Minbarra d-dejta attwali, dawn il-pakketti jinkludu metadejta li tidentifika s-sors tat-traffiku, il-kontenut, id-destinazzjoni, u informazzjoni importanti oħra. Bit-teknoloġija tal-filtrazzjoni tal-pakketti, id-dejta tista 'tiġi mmonitorjata u ġestita kontinwament biex tiżgura li tintbagħat fil-post it-tajjeb. Iżda biex tiġi żgurata s-sigurtà tan-netwerk, l-iffiltrar tal-pakketti tradizzjonali huwa 'l bogħod milli biżżejjed. Uħud mill-metodi ewlenin ta 'spezzjoni profonda tal-pakketti fil-ġestjoni tan-netwerk huma elenkati hawn taħt:

Modalità ta' Tqabbil/Firma

Kull pakkett jiġi ċċekkjat għal tqabbil ma 'database ta' attakki tan-netwerk magħrufa minn firewall b'kapaċitajiet ta 'sistema ta' skoperta ta 'intrużjoni (IDS). IDS tfittex mudelli speċifiċi malizzjużi magħrufa u tiddiżattiva t-traffiku meta jinstabu mudelli malizzjużi. L-iżvantaġġ tal-politika tat-tqabbil tal-firem huwa li tapplika biss għal firem li jiġu aġġornati ta' spiss. Barra minn hekk, din it-teknoloġija tista 'tiddefendi biss kontra theddid jew attakki magħrufa.

DPI

Eċċezzjoni tal-Protokoll

Peress li t-teknika tal-eċċezzjoni tal-protokoll ma tippermettix sempliċement id-dejta kollha li ma taqbilx mad-database tal-firma, it-teknika tal-eċċezzjoni tal-protokoll użata mill-firewall tal-IDS m'għandhiex id-difetti inerenti tal-metodu ta 'tqabbil tal-mudell/firma. Minflok, tadotta l-politika ta’ rifjut awtomatiku. Skont id-definizzjoni tal-protokoll, il-firewalls jiddeċiedu liema traffiku għandu jkun permess u jipproteġu n-netwerk minn theddid mhux magħruf.

Sistema ta' Prevenzjoni tal-Intrużjoni (IPS)

Is-soluzzjonijiet IPS jistgħu jimblukkaw it-trażmissjoni ta 'pakketti ta' ħsara bbażati fuq il-kontenut tagħhom, u b'hekk iwaqqfu attakki suspettati f'ħin reali. Dan ifisser li jekk pakkett jirrappreżenta riskju ta' sigurtà magħruf, l-IPS jimblokka b'mod proattiv it-traffiku tan-netwerk ibbażat fuq sett definit ta' regoli. Żvantaġġ wieħed tal-IPS huwa l-ħtieġa li tiġi aġġornata regolarment database ta’ theddid ċibernetiku b’dettalji dwar theddid ġdid, u l-possibbiltà ta’ pożittivi foloz. Iżda dan il-periklu jista' jittaffa billi jinħolqu politiki konservattivi u limiti tad-dwana, tiġi stabbilita imġieba bażi xierqa għall-komponenti tan-netwerk, u perjodikament jiġu evalwati twissijiet u avvenimenti rrappurtati biex itejbu l-monitoraġġ u l-allert.

1- Id-DPI (Deep Packet Inspection) fin-Netwerk Packet Broker

Il-"fond" huwa livell u paragun ordinarju ta 'analiżi tal-pakkett, "spezzjoni ordinarja tal-pakkett" biss l-analiżi li ġejja tal-pakkett IP 4 saff, inkluż l-indirizz tas-sors, indirizz tad-destinazzjoni, port tas-sors, port tad-destinazzjoni u tip ta' protokoll, u DPI ħlief mal-ġerarkika analiżi, żiedet ukoll l-analiżi tas-saff tal-applikazzjoni, tidentifika l-applikazzjonijiet varji u l-kontenut, biex tirrealizza l-funzjonijiet ewlenin:

1) Analiżi tal-Applikazzjoni -- analiżi tal-kompożizzjoni tat-traffiku tan-netwerk, analiżi tal-prestazzjoni, u analiżi tal-fluss

2) Analiżi tal-Utent -- differenzjazzjoni tal-grupp tal-utenti, analiżi tal-imġieba, analiżi terminali, analiżi tat-tendenza, eċċ.

3) Analiżi tal-Element tan-Netwerk -- analiżi bbażata fuq attributi reġjonali (belt, distrett, triq, eċċ.) u tagħbija tal-istazzjon bażi

4) Kontroll tat-Traffiku -- Limitazzjoni tal-veloċità P2P, assigurazzjoni QoS, assigurazzjoni tal-bandwidth, ottimizzazzjoni tar-riżorsi tan-netwerk, eċċ.

5) Assigurazzjoni tas-Sigurtà -- attakki DDoS, tempesta ta 'xandir ta' data, prevenzjoni ta 'attakki ta' virus malizzjużi, eċċ.

2- Klassifikazzjoni Ġenerali tal-Applikazzjonijiet tan-Netwerk

Illum hemm għadd ta' applikazzjonijiet fuq l-Internet, iżda l-applikazzjonijiet komuni tal-web jistgħu jkunu eżawrjenti.

Sa fejn naf jien, l-aqwa kumpanija ta’ rikonoxximent tal-app hija Huawei, li tippretendi li tirrikonoxxi 4,000 app. L-analiżi tal-Protokoll hija l-modulu bażiku ta 'ħafna kumpaniji tal-firewall (Huawei, ZTE, eċċ.), U huwa wkoll modulu importanti ħafna, li jappoġġja t-twettiq ta' moduli funzjonali oħra, identifikazzjoni preċiża tal-applikazzjoni, u jtejjeb ħafna l-prestazzjoni u l-affidabbiltà tal-prodotti. Fl-immudellar tal-identifikazzjoni tal-malware ibbażata fuq il-karatteristiċi tat-traffiku tan-netwerk, kif qed nagħmel issa, l-identifikazzjoni preċiża u estensiva tal-protokoll hija wkoll importanti ħafna. Eskluż it-traffiku tan-netwerk ta 'applikazzjonijiet komuni mit-traffiku tal-esportazzjoni tal-kumpanija, it-traffiku li jifdal se jgħodd għal proporzjon żgħir, li huwa aħjar għall-analiżi u l-allarm tal-malware.

Ibbażat fuq l-esperjenza tiegħi, l-applikazzjonijiet eżistenti użati komunement huma kklassifikati skont il-funzjonijiet tagħhom:

PS: Skont il-fehim personali tal-klassifikazzjoni tal-applikazzjoni, għandek xi suġġerimenti tajbin biex tħalli proposta ta 'messaġġ

1). E-mail

2). Video

3). Logħob

4). Klassi Uffiċċju OA

5). Aġġornament tas-softwer

6). Finanzjarju (bank, Alipay)

7). Ħażniet

8). Komunikazzjoni Soċjali (softwer IM)

9). Web browsing (probabbilment identifikat aħjar bl-URLs)

10). Niżżel l-għodda (disk tal-web, tniżżil P2P, relatat mal-BT)

20191210153150_32811

Imbagħad, kif taħdem id-DPI (Deep Packet Inspection) f'NPB:

1). Packet Capture: L-NPB jaqbad traffiku tan-netwerk minn diversi sorsi, bħal swiċċijiet, routers jew viti. Jirċievi pakketti li jgħaddu min-netwerk.

2). Packet Parsing: Il-pakketti maqbuda huma parsed mill-NPB biex jiġu estratti diversi saffi ta 'protokoll u data assoċjata. Dan il-proċess ta 'parsing jgħin biex jiġu identifikati l-komponenti differenti fi ħdan il-pakketti, bħal headers Ethernet, headers IP, headers ta' saff ta 'trasport (eż., TCP jew UDP), u protokolli ta' saff ta 'applikazzjoni.

3). Analiżi tat-tagħbija: B'DPI, l-NPB imur lil hinn mill-ispezzjoni tal-header u jiffoka fuq it-tagħbija, inkluża d-dejta attwali fil-pakketti. Jeżamina l-kontenut tat-tagħbija fil-fond, irrispettivament mill-applikazzjoni jew il-protokoll użat, biex jiġi estratt l-informazzjoni rilevanti.

4). Identifikazzjoni tal-Protokoll: DPI jippermetti lill-NPB jidentifika l-protokolli u l-applikazzjonijiet speċifiċi li qed jintużaw fit-traffiku tan-netwerk. Jista 'jsib u jikklassifika protokolli bħal HTTP, FTP, SMTP, DNS, VoIP, jew protokolli ta' streaming tal-vidjo.

5). Spezzjoni tal-Kontenut: DPI jippermetti lill-NPB jispezzjona l-kontenut tal-pakketti għal mudelli, firem jew kliem prinċipali speċifiċi. Dan jippermetti l-iskoperta ta 'theddid tan-netwerk, bħal malware, viruses, tentattivi ta' intrużjoni, jew attivitajiet suspettużi. DPI jista 'jintuża wkoll għall-iffiltrar tal-kontenut, l-infurzar tal-politiki tan-netwerk, jew l-identifikazzjoni ta' ksur tal-konformità tad-dejta.

6). Estrazzjoni tal-Metadata: Matul DPI, l-NPB estratti metadata rilevanti mill-pakketti. Dan jista 'jinkludi informazzjoni bħal indirizzi IP tas-sors u tad-destinazzjoni, numri tal-port, dettalji tas-sessjoni, data tat-tranżazzjonijiet, jew kwalunkwe attribut ieħor rilevanti.

7). Rotot tat-Traffiku jew Iffiltrar: Ibbażat fuq l-analiżi DPI, l-NPB jista 'jrotta pakketti speċifiċi lejn destinazzjonijiet magħżula għal aktar ipproċessar, bħal apparat tas-sigurtà, għodod ta' monitoraġġ, jew pjattaformi analitiċi. Jista' wkoll japplika regoli ta' filtrazzjoni biex jarmi jew jidderieġi mill-ġdid pakketti bbażati fuq il-kontenut jew il-mudelli identifikati.

ML-NPB-5660 3d


Ħin tal-post: Ġunju-25-2023