Djúp pakkaskoðun (DPI)er tækni sem notuð er í netpakkamiðlurum (e. Network Packet Brokers, NPBs) til að skoða og greina innihald netpakka á nákvæman hátt. Hún felur í sér að skoða farm, hausa og aðrar samskiptareglur í pakka til að fá ítarlega innsýn í netumferð.
DPI fer lengra en einfalda hausgreiningu og veitir djúpa skilning á gögnunum sem flæða um net. Það gerir kleift að skoða ítarlega samskiptareglur forritslagsins, svo sem HTTP, FTP, SMTP, VoIP eða myndbandsstreymisreglur. Með því að skoða raunverulegt innihald pakka getur DPI greint og bent á tiltekin forrit, samskiptareglur eða jafnvel tiltekin gagnamynstur.
Auk stigveldisgreiningar á upprunavistföngum, áfangastaðvistföngum, upprunaportum, áfangastaðportum og samskiptareglum, bætir DPI einnig við greiningu á forritalaginu til að bera kennsl á ýmis forrit og innihald þeirra. Þegar 1P-pakkinn, TCP- eða UDP-gögn flæða í gegnum bandbreiddarstjórnunarkerfið sem byggir á DPI-tækni, les kerfið innihald 1P-pakkans til að endurskipuleggja upplýsingar um forritalagið í OSI Layer 7 samskiptareglunni, til að fá innihald alls forritsins og móta síðan umferðina í samræmi við stjórnunarstefnuna sem kerfið skilgreinir.
Hvernig virkar DPI?
Hefðbundnir eldveggir skortir oft vinnsluorku til að framkvæma ítarlegar rauntímaathuganir á miklu umferðarmagni. Með framförum í tækni er hægt að nota DPI til að framkvæma flóknari athuganir til að athuga hausa og gögn. Venjulega nota eldveggir með innbrotsgreiningarkerfum oft DPI. Í heimi þar sem stafrænar upplýsingar eru í fyrirrúmi er hver einasta stafræna upplýsing afhent yfir internetið í litlum pakka. Þetta felur í sér tölvupóst, skilaboð sem send eru í gegnum appið, vefsíður sem heimsóttar eru, myndsamtöl og fleira. Auk raunverulegra gagnanna innihalda þessir pakkar lýsigögn sem auðkenna umferðaruppsprettu, efni, áfangastað og aðrar mikilvægar upplýsingar. Með pakkasíun er hægt að fylgjast stöðugt með gögnum og stjórna þeim til að tryggja að þau berist á réttan stað. En til að tryggja netöryggi er hefðbundin pakkasíun langt frá því að vera nóg. Nokkrar af helstu aðferðum við djúpa pakkaskoðun í netstjórnun eru taldar upp hér að neðan:
Samsvörunarhamur/undirskrift
Eldveggur með innbrotsgreiningarkerfi (IDS) hefur prófað hvert pakka fyrir samsvörun við gagnagrunn þekktra netárása. IDS leitar að þekktum, skaðlegum, tilteknum mynstrum og slekkur á umferð þegar skaðleg mynstur finnast. Ókosturinn við undirskriftarsamsvörunarstefnuna er að hún á aðeins við um undirskriftir sem eru uppfærðar oft. Að auki getur þessi tækni aðeins varið gegn þekktum ógnum eða árásum.
Undantekning frá samskiptareglum
Þar sem undantekningaraðferðin fyrir samskiptareglur leyfir ekki einfaldlega öll gögn sem passa ekki við undirskriftargagnagrunninn, þá hefur undantekningaraðferðin fyrir samskiptareglur sem IDS-eldveggurinn notar ekki þá innbyggðu galla sem fylgja aðferðinni við að para saman mynstur/undirskrift. Í staðinn notar hún sjálfgefna höfnunarstefnu. Samkvæmt skilgreiningu samskiptareglna ákveða eldveggir hvaða umferð á að vera leyfð og vernda netið gegn óþekktum ógnum.
Innbrotsvarnakerfi (IPS)
IPS-lausnir geta lokað fyrir sendingu skaðlegra pakka út frá innihaldi þeirra og þannig stöðvað grun um árásir í rauntíma. Þetta þýðir að ef pakki felur í sér þekkta öryggisáhættu, mun IPS loka fyrir netumferð fyrirbyggjandi út frá skilgreindum reglum. Einn ókostur við IPS er þörfin á að uppfæra reglulega gagnagrunn um netógnir með upplýsingum um nýjar ógnir og möguleikann á fölskum jákvæðum niðurstöðum. En þessa hættu er hægt að draga úr með því að búa til íhaldssamar stefnur og sérsniðin þröskuldar, setja viðeigandi grunnviðmið fyrir netíhluti og meta reglulega viðvaranir og tilkynnta atburði til að bæta eftirlit og viðvaranir.
1- DPI (djúp pakkaskoðun) í netpakkamiðlara
„Djúp“ greiningin er samanburður á stigi og venjulegri pakkagreiningu. Í „venjulegri pakkaskoðun“ er aðeins eftirfarandi greining gerð á fjórða lagi IP-pakka, þar á meðal upprunafang, áfangastaðfang, upprunagátt, áfangastaðgátt og samskiptareglugerð, og DPI, nema með stigveldisgreiningu. Einnig er greining á forritalaginu aukin, til að bera kennsl á ýmis forrit og efni, til að ná fram helstu aðgerðum:
1) Greining á forritum -- greining á samsetningu netumferðar, afköstagreining og flæðisgreining
2) Notendagreining -- aðgreining notendahópa, hegðunargreining, endapunktagreining, þróunargreining o.s.frv.
3) Greining netþátta -- greining byggð á svæðisbundnum eiginleikum (borg, hverfi, götu o.s.frv.) og álagi á stöðvarstöðvar
4) Umferðarstýring -- P2P hraðatakmörkun, QoS trygging, bandvíddartrygging, hagræðing netauðlinda o.s.frv.
5) Öryggistrygging -- DDoS árásir, gagnastormur, forvarnir gegn illgjarnum vírusárásum o.s.frv.
2- Almenn flokkun netforrita
Í dag eru ótal forrit á Netinu, en algengustu vefforritin geta verið tæmandi.
Svo vitað sé er besta fyrirtækið sem þekkir forrit Huawei, sem segist þekkja 4.000 forrit. Samskiptareglur eru grunneining margra eldveggjafyrirtækja (Huawei, ZTE, o.fl.) og hún er einnig mjög mikilvæg eining sem styður við framkvæmd annarra virknieininga, nákvæma forritagreiningu og bætir verulega afköst og áreiðanleika vara. Við gerð líkana á spilliforritagreiningu út frá einkennum netumferðar, eins og ég er að gera núna, er nákvæm og víðtæk samskiptareglur einnig mjög mikilvægar. Ef netumferð algengra forrita er undanskilin útflutningsumferð fyrirtækisins, mun eftirstandandi umferð nema litlum hluta, sem er betra fyrir spilliforritagreiningu og viðvörun.
Byggt á minni reynslu eru algengustu forritin flokkuð eftir virkni þeirra:
Viðbót: Samkvæmt persónulegri skilningi á flokkun forritsins, ef þú hefur einhverjar góðar tillögur, þá er velkomið að skilja eftir tillögu í skilaboðum.
1). Tölvupóstur
2). Myndband
3). Leikir
4). Skrifstofu OA námskeið
5). Hugbúnaðaruppfærsla
6). Fjármál (banki, Alipay)
7). Hlutabréf
8). Félagsleg samskipti (spjallforrit)
9). Vefskoðun (líklega betur auðkennd með vefslóðum)
10). Niðurhalstól (vefdiskur, P2P niðurhal, BT tengt)
Svo, hvernig virkar DPI (Deep Packet Inspection) í NPB:
1). Pakkaupptaka: NPB skráir netumferð frá ýmsum aðilum, svo sem rofum, leiðum eða tengipunktum. Það tekur við pökkum sem flæða um netið.
2). Pakkagreining: NPB greinir pakkana sem eru teknir til að vinna úr ýmsum samskiptareglum og tengdum gögnum. Þessi greiningarferli hjálpar til við að bera kennsl á mismunandi íhluti pakkanna, svo sem Ethernet-hausa, IP-hausa, flutningslagshausa (t.d. TCP eða UDP) og samskiptareglur forritslagsins.
3). Greining á gagnamagni: Með DPI fer NPB lengra en bara hausskoðun og einbeitir sér að gagnamagninu, þar á meðal raunverulegum gögnum í pakkanum. Það skoðar innihald gagnamagnsins ítarlega, óháð forriti eða samskiptareglum sem notaðar eru, til að draga út viðeigandi upplýsingar.
4). Auðkenning samskiptareglna: DPI gerir NPB kleift að bera kennsl á tilteknar samskiptareglur og forrit sem eru notuð innan netumferðarinnar. Það getur greint og flokkað samskiptareglur eins og HTTP, FTP, SMTP, DNS, VoIP eða samskiptareglur fyrir myndbandsstreymi.
5). Innihaldsskoðun: DPI gerir NPB kleift að skoða innihald pakka til að leita að tilteknum mynstrum, undirskriftum eða leitarorðum. Þetta gerir kleift að greina netógnir, svo sem spilliforrit, vírusa, innbrotstilraunir eða grunsamlega starfsemi. DPI er einnig hægt að nota til að sía efni, framfylgja netstefnum eða bera kennsl á brot á gagnareglum.
6). Útdráttur lýsigagna: Við DPI dregur NPB út viðeigandi lýsigögn úr pökkunum. Þetta getur innihaldið upplýsingar eins og IP-tölur uppruna og áfangastaðar, tenginúmer, upplýsingar um lotur, færslugögn eða aðra viðeigandi eiginleika.
7). Umferðarleiðsögn eða síun: Byggt á DPI greiningunni getur NPB beint tilteknum pökkum til tilgreindra áfangastaða til frekari vinnslu, svo sem öryggisbúnaðar, eftirlitstækja eða greiningarpalla. Það getur einnig beitt síunarreglum til að farga eða beina pökkum út frá greindu efni eða mynstrum.
Birtingartími: 25. júní 2023
