Identificarea aplicației Network Packet Broker pe baza DPI – Deep Packet Inspection

Inspecție profundă a pachetelor (DPI)este o tehnologie utilizată în Network Packet Brokers (NPB) pentru a inspecta și analiza conținutul pachetelor de rețea la nivel granular. Aceasta implică examinarea sarcinii utile, antetelor și a altor informații specifice protocolului din pachete pentru a obține informații detaliate despre traficul de rețea.

DPI depășește simpla analiză a antetului și oferă o înțelegere profundă a datelor care circulă printr-o rețea. Permite o inspecție aprofundată a protocoalelor stratului de aplicație, cum ar fi protocoalele HTTP, FTP, SMTP, VoIP sau streaming video. Prin examinarea conținutului real din pachete, DPI poate detecta și identifica aplicații specifice, protocoale sau chiar modele de date specifice.

Pe lângă analiza ierarhică a adreselor sursă, a adreselor de destinație, a porturilor sursă, a porturilor de destinație și a tipurilor de protocoale, DPI adaugă, de asemenea, analiza stratului de aplicație pentru a identifica diverse aplicații și conținutul acestora. Când pachetul 1P, TCP sau UDP circulă prin sistemul de gestionare a lățimii de bandă bazat pe tehnologia DPI, sistemul citește conținutul încărcării pachetului 1P pentru a reorganiza informațiile din stratul de aplicație în protocolul OSI Layer 7, astfel încât să obțină conținutul întregul program de aplicație, iar apoi modelarea traficului conform politicii de management definită de sistem.

Cum funcționează DPI?

Firewall-urilor tradiționale le lipsește adesea puterea de procesare pentru a efectua verificări amănunțite în timp real asupra unor volume mari de trafic. Pe măsură ce tehnologia avansează, DPI poate fi utilizat pentru a efectua verificări mai complexe pentru a verifica anteturile și datele. De obicei, firewall-urile cu sisteme de detectare a intruziunilor folosesc adesea DPI. Într-o lume în care informațiile digitale sunt primordiale, fiecare informație digitală este livrată prin Internet în pachete mici. Acestea includ e-mailuri, mesaje trimise prin aplicație, site-uri web vizitate, conversații video și multe altele. Pe lângă datele reale, aceste pachete includ metadate care identifică sursa de trafic, conținutul, destinația și alte informații importante. Cu tehnologia de filtrare a pachetelor, datele pot fi monitorizate și gestionate continuu pentru a se asigura că sunt transmise la locul potrivit. Dar pentru a asigura securitatea rețelei, filtrarea tradițională a pachetelor este departe de a fi suficientă. Unele dintre principalele metode de inspecție profundă a pachetelor în managementul rețelei sunt enumerate mai jos:

Mod de potrivire/Semnătură

Fiecare pachet este verificat pentru o potrivire cu o bază de date de atacuri de rețea cunoscute de către un firewall cu capabilități de sistem de detectare a intruziunilor (IDS). IDS caută modele specifice malițioase cunoscute și dezactivează traficul atunci când sunt găsite modele rău intenționate. Dezavantajul politicii de potrivire a semnăturilor este că se aplică numai semnăturilor care sunt actualizate frecvent. În plus, această tehnologie poate apăra doar împotriva amenințărilor sau atacurilor cunoscute.

DPI

Excepție de protocol

Deoarece tehnica de excepție a protocolului nu permite pur și simplu toate datele care nu se potrivesc cu baza de date de semnături, tehnica de excepție a protocolului utilizată de firewall-ul IDS nu are defectele inerente ale metodei de potrivire a modelului/semnăturilor. În schimb, adoptă politica implicită de respingere. Prin definiția protocolului, firewall-urile decid ce trafic ar trebui permis și protejează rețeaua de amenințări necunoscute.

Sistem de prevenire a intruziunilor (IPS)

Soluțiile IPS pot bloca transmiterea pachetelor dăunătoare pe baza conținutului acestora, oprind astfel atacurile suspectate în timp real. Aceasta înseamnă că, dacă un pachet reprezintă un risc de securitate cunoscut, IPS va bloca în mod proactiv traficul de rețea pe baza unui set definit de reguli. Un dezavantaj al IPS este necesitatea de a actualiza în mod regulat o bază de date a amenințărilor cibernetice cu detalii despre noile amenințări și posibilitatea unor fals pozitive. Dar acest pericol poate fi atenuat prin crearea de politici conservatoare și praguri personalizate, stabilirea unui comportament de bază adecvat pentru componentele rețelei și evaluarea periodică a avertismentelor și a evenimentelor raportate pentru a îmbunătăți monitorizarea și alertele.

1- DPI (Deep Packet Inspection) în Network Packet Broker

„Deep” este comparația nivelului și analiza pachetelor obișnuite, „inspecția obișnuită a pachetelor” doar următoarea analiză a stratului de pachete IP 4, inclusiv adresa sursă, adresa de destinație, portul sursă, portul de destinație și tipul de protocol și DPI, cu excepția ierarhiei analiza, a crescut, de asemenea, analiza stratului de aplicație, identificarea diferitelor aplicații și conținut, pentru a realiza principalele funcții:

1) Analiza aplicației -- analiza compoziției traficului în rețea, analiza performanței și analiza fluxului

2) Analiza utilizatorilor -- diferențierea grupului de utilizatori, analiza comportamentului, analiza terminalului, analiza tendințelor etc.

3) Analiza elementelor de rețea -- analiză bazată pe atributele regionale (oraș, cartier, stradă etc.) și încărcarea stației de bază

4) Controlul traficului -- limitarea vitezei P2P, asigurarea QoS, asigurarea lățimii de bandă, optimizarea resurselor de rețea etc.

5) Asigurarea securității -- atacuri DDoS, furtuna de difuzare a datelor, prevenirea atacurilor de viruși rău intenționați etc.

2- Clasificarea generală a aplicațiilor de rețea

Astăzi există nenumărate aplicații pe Internet, dar aplicațiile web comune pot fi exhaustive.

Din câte știu, cea mai bună companie de recunoaștere a aplicațiilor este Huawei, care pretinde că recunoaște 4.000 de aplicații. Analiza protocolului este modulul de bază al multor companii de firewall (Huawei, ZTE, etc.) și este, de asemenea, un modul foarte important, care sprijină realizarea altor module funcționale, identificarea precisă a aplicațiilor și îmbunătățind considerabil performanța și fiabilitatea produselor. În modelarea identificării malware-ului pe baza caracteristicilor traficului de rețea, așa cum fac acum, identificarea precisă și extinsă a protocolului este, de asemenea, foarte importantă. Excluzând traficul de rețea al aplicațiilor obișnuite din traficul de export al companiei, traficul rămas va reprezenta o proporție mică, ceea ce este mai bun pentru analiza și alarmarea malware.

Pe baza experienței mele, aplicațiile existente utilizate în mod obișnuit sunt clasificate în funcție de funcțiile lor:

PS: În conformitate cu înțelegerea personală a clasificării aplicației, aveți orice sugestii bune binevenite pentru a lăsa o propunere de mesaj

1). E-mail

2). Video

3). Jocuri

4). Clasa Office OA

5). Actualizare software

6). financiar (bancă, Alipay)

7). Stocuri

8). Comunicare socială (software IM)

9). Navigarea pe web (probabil mai bine identificată cu adrese URL)

10). Instrumente de descărcare (disc web, descărcare P2P, legate de BT)

20191210153150_32811

Apoi, cum funcționează DPI (Deep Packet Inspection) într-un NPB:

1). Captură de pachete: NPB captează traficul de rețea din diverse surse, cum ar fi comutatoare, routere sau robinete. Acesta primește pachete care circulă prin rețea.

2). Analiza pachetelor: pachetele capturate sunt analizate de NPB pentru a extrage diferite straturi de protocol și date asociate. Acest proces de analizare ajută la identificarea diferitelor componente din pachete, cum ar fi anteturile Ethernet, anteturile IP, anteturile stratului de transport (de exemplu, TCP sau UDP) și protocoalele stratului de aplicație.

3). Analiza sarcinii utile: Cu DPI, NPB merge dincolo de inspecția antetului și se concentrează pe sarcina utilă, inclusiv pe datele reale din pachete. Acesta examinează în profunzime conținutul sarcinii utile, indiferent de aplicația sau protocolul utilizat, pentru a extrage informații relevante.

4). Identificare protocol: DPI permite NPB să identifice protocoalele și aplicațiile specifice utilizate în traficul de rețea. Poate detecta și clasifica protocoale precum HTTP, FTP, SMTP, DNS, VoIP sau protocoale de streaming video.

5). Inspecția conținutului: DPI permite NPB să inspecteze conținutul pachetelor pentru anumite modele, semnături sau cuvinte cheie. Acest lucru permite detectarea amenințărilor de rețea, cum ar fi malware, viruși, încercări de intruziune sau activități suspecte. DPI poate fi folosit și pentru filtrarea conținutului, aplicarea politicilor de rețea sau identificarea încălcărilor conformității datelor.

6). Extragerea metadatelor: în timpul DPI, NPB extrage metadate relevante din pachete. Acestea pot include informații precum adrese IP sursă și destinație, numere de port, detalii de sesiune, date despre tranzacție sau orice alte atribute relevante.

7). Rutarea sau filtrarea traficului: Pe baza analizei DPI, NPB poate direcționa anumite pachete către destinații desemnate pentru procesare ulterioară, cum ar fi dispozitive de securitate, instrumente de monitorizare sau platforme de analiză. De asemenea, poate aplica reguli de filtrare pentru a elimina sau redirecționa pachetele pe baza conținutului sau modelelor identificate.

ML-NPB-5660 3d


Ora postării: 25-jun-2023