Djúp pakkaskoðun (DPI)er tækni sem notuð er í Network Packet Brokers (NPBs) til að skoða og greina innihald netpakka á nákvæmu stigi. Það felur í sér að skoða farm, hausa og aðrar samskiptasértækar upplýsingar innan pakka til að fá nákvæma innsýn í netumferð.
DPI fer út fyrir einfalda hausagreiningu og veitir djúpan skilning á gögnunum sem streyma í gegnum netið. Það gerir ráð fyrir ítarlegri skoðun á samskiptareglum forritalagsins, svo sem HTTP, FTP, SMTP, VoIP eða straumspilunaraðferðum fyrir myndband. Með því að skoða raunverulegt innihald innan pakka getur DPI greint og auðkennt tiltekin forrit, samskiptareglur eða jafnvel tiltekin gagnamynstur.
Til viðbótar við stigveldisgreiningu á upprunavistföngum, ákvörðunarvistföngum, upprunahöfnum, ákvörðunarhöfnum og samskiptategundum, bætir DPI einnig við forritalagsgreiningu til að bera kennsl á ýmis forrit og innihald þeirra. Þegar 1P pakkinn, TCP eða UDP gögnin streyma í gegnum bandbreiddarstjórnunarkerfið sem byggir á DPI tækni, les kerfið innihald 1P pakkaálagsins til að endurskipuleggja umsóknarlagsupplýsingarnar í OSI Layer 7 samskiptareglunum, til að fá innihald allt forritið og móta síðan umferðina í samræmi við stjórnunarstefnuna sem kerfið skilgreinir.
Hvernig virkar DPI?
Hefðbundnar eldveggir skortir oft vinnslugetu til að framkvæma ítarlegar rauntímaathuganir á miklu umferðarmagni. Eftir því sem tækninni fleygir fram er hægt að nota DPI til að framkvæma flóknari athuganir til að athuga hausa og gögn. Venjulega nota eldveggir með innbrotsskynjunarkerfi oft DPI. Í heimi þar sem stafrænar upplýsingar eru í fyrirrúmi, eru allar stafrænar upplýsingar afhentar á netinu í litlum pökkum. Þetta felur í sér tölvupóst, skilaboð send í gegnum appið, heimsóttar vefsíður, myndsamtöl og fleira. Til viðbótar við raunveruleg gögn innihalda þessir pakkar lýsigögn sem auðkenna umferðaruppsprettu, innihald, áfangastað og aðrar mikilvægar upplýsingar. Með pakkasíutækni er hægt að fylgjast stöðugt með gögnum og stjórna þeim til að tryggja að þau séu send á réttan stað. En til að tryggja netöryggi er hefðbundin pakkasíun langt frá því að vera nóg. Sumar af helstu aðferðum við djúpa pakkaskoðun í netstjórnun eru taldar upp hér að neðan:
Samsvörunarstilling/undirskrift
Hver pakki er athugaður fyrir samsvörun á móti gagnagrunni yfir þekktar netárásir með eldvegg með innrásarskynjunarkerfi (IDS) getu. IDS leitar að þekktum skaðlegum tilteknum mynstrum og slekkur á umferð þegar skaðleg mynstur finnast. Ókosturinn við samsvörunarstefnu undirskrifta er að hún á aðeins við um undirskriftir sem eru uppfærðar oft. Að auki getur þessi tækni aðeins varið gegn þekktum ógnum eða árásum.
Undantekning frá bókun
Þar sem undantekningartæknin fyrir samskiptareglur leyfir ekki einfaldlega öll gögn sem passa ekki við undirskriftargagnagrunninn, þá hefur undantekningaraðferðin sem notuð er af IDS eldveggnum ekki innbyggða galla mynstur/undirskriftarsamsvörunaraðferðarinnar. Þess í stað samþykkir það sjálfgefna höfnunarstefnu. Samkvæmt samskiptaskilgreiningu ákveða eldveggir hvaða umferð ætti að leyfa og vernda netið gegn óþekktum ógnum.
Innbrotsvarnakerfi (IPS)
IPS lausnir geta hindrað sendingu skaðlegra pakka út frá innihaldi þeirra og stöðvað þar með grunaða árás í rauntíma. Þetta þýðir að ef pakki táknar þekkta öryggisáhættu mun IPS loka fyrir netumferð á grundvelli skilgreindra reglna. Einn ókostur IPS er nauðsyn þess að uppfæra gagnagrunn netógna reglulega með upplýsingum um nýjar ógnir og möguleikanum á fölskum jákvæðum. En þessa hættu er hægt að draga úr með því að búa til íhaldssamar stefnur og sérsniðna þröskulda, koma á viðeigandi grunnhegðun fyrir nethluti og meta reglulega viðvaranir og tilkynnta atburði til að auka eftirlit og viðvörun.
1- DPI (Deep Packet Inspection) í Network Packet Broker
The "djúpur" er stigi og venjuleg pakka greiningu samanburður, "venjuleg pakka skoðun" aðeins eftirfarandi greining á IP pakka 4 lag, þar á meðal uppruna heimilisfang, áfangastað heimilisfang, uppruna höfn, áfangastað höfn og samskiptareglur tegund, og DPI nema með stigveldi greining, jók einnig greining á forritalagi, auðkenndu hin ýmsu forrit og innihald, til að átta sig á helstu aðgerðum:
1) Forritsgreining - greining á samsetningu netumferðar, frammistöðugreining og flæðisgreining
2) Notendagreining -- aðgreining notendahópa, hegðunargreining, lokagreining, þróunargreining o.s.frv.
3) Greining netþátta -- greining byggð á svæðisbundnum eiginleikum (borg, hverfi, götu osfrv.) og álagi grunnstöðvar
4) Umferðarstýring -- P2P hraðatakmörkun, QoS trygging, bandbreiddartrygging, hagræðing netauðs osfrv.
5) Öryggistrygging - DDoS árásir, gagnaútsendingarstormur, forvarnir gegn skaðlegum vírusárásum osfrv.
2- Almenn flokkun netforrita
Í dag eru óteljandi forrit á netinu, en algeng vefforrit geta verið tæmandi.
Eftir því sem ég best veit er besta appaþekkingarfyrirtækið Huawei, sem segist viðurkenna 4.000 öpp. Bókunargreining er grunneining margra eldveggsfyrirtækja (Huawei, ZTE o.s.frv.), Og hún er líka mjög mikilvæg eining, sem styður framkvæmd annarra hagnýtra eininga, nákvæma auðkenningu forrita og bætir verulega afköst og áreiðanleika vara. Í líkanagerð fyrir auðkenningu spilliforrita á grundvelli eiginleika netumferðar, eins og ég er að gera núna, er nákvæm og víðtæk auðkenning samskiptareglur einnig mjög mikilvæg. Að frátöldum netumferð algengra forrita frá útflutningsumferð fyrirtækisins mun sú umferð sem eftir er vera lítill hluti, sem er betra fyrir greiningu á spilliforritum og viðvörun.
Byggt á reynslu minni eru núverandi algengu forritin flokkuð eftir virkni þeirra:
PS: Samkvæmt persónulegum skilningi á umsóknarflokkuninni hefurðu einhverjar góðar tillögur velkomið að skilja eftir skilaboðatillögu
1). Tölvupóstur
2). Myndband
3). Leikir
4). Skrifstofa OA flokkur
5). Hugbúnaðaruppfærsla
6). Fjármál (banki, Alipay)
7). Hlutabréf
8). Félagsleg samskipti (spjallhugbúnaður)
9). Vefskoðun (sennilega betur auðkennd með vefslóðum)
10). Sækja verkfæri (vefdiskur, P2P niðurhal, BT tengt)
Síðan, hvernig DPI (Deep Packet Inspection) virkar í NPB:
1). Packet Capture: NPB fangar netumferð frá ýmsum aðilum, svo sem rofa, beinum eða krönum. Það tekur á móti pökkum sem streyma í gegnum netið.
2). Pakkaþáttun: Handteknu pakkarnir eru flokkaðir af NPB til að draga út ýmis samskiptalög og tengd gögn. Þetta þáttunarferli hjálpar til við að bera kennsl á mismunandi hluti innan pakkana, svo sem Ethernet hausa, IP hausa, flutningslagshausa (td TCP eða UDP) og samskiptareglur forritalags.
3). Greining farms: Með DPI fer NPB lengra en hausaskoðun og einbeitir sér að farmálagi, þar með talið raunveruleg gögn innan pakkana. Það skoðar efni farmsins ítarlega, óháð því hvaða forriti eða samskiptareglum er notað, til að draga út viðeigandi upplýsingar.
4). Samskiptareglur: DPI gerir NPB kleift að bera kennsl á tilteknar samskiptareglur og forrit sem eru notuð innan netumferðarinnar. Það getur greint og flokkað samskiptareglur eins og HTTP, FTP, SMTP, DNS, VoIP eða vídeóstraumssamskiptareglur.
5). Innihaldsskoðun: DPI gerir NPB kleift að skoða innihald pakka fyrir sérstök mynstur, undirskriftir eða leitarorð. Þetta gerir kleift að greina netógnir, svo sem spilliforrit, vírusa, innbrotstilraunir eða grunsamlegar athafnir. DPI er einnig hægt að nota til að sía efni, framfylgja netreglum eða bera kennsl á brot á gagnasamræmi.
6). Útdráttur lýsigagna: Meðan á DPI stendur, dregur NPB viðeigandi lýsigögn úr pökkunum. Þetta getur falið í sér upplýsingar eins og uppruna- og áfangastað IP-tölur, gáttanúmer, lotuupplýsingar, viðskiptagögn eða aðra viðeigandi eiginleika.
7). Umferðarleiðing eða síun: Byggt á DPI greiningu getur NPB beint tilteknum pökkum til tiltekinna áfangastaða til frekari vinnslu, svo sem öryggisbúnaðar, eftirlitstækja eða greiningarvettvanga. Það getur einnig beitt síunarreglum til að fleygja eða beina pökkum út frá auðkenndu innihaldi eða mynstrum.
Birtingartími: 25-jún-2023