Diep Pakkie Inspeksie (DPI)is 'n tegnologie wat in Netwerkpakketmakelaars (NPB's) gebruik word om die inhoud van netwerkpakkette op 'n gedetailleerde vlak te inspekteer en te analiseer. Dit behels die ondersoek van die vrag, opskrifte en ander protokolspesifieke inligting binne pakkette om gedetailleerde insigte in netwerkverkeer te verkry.
DPI gaan verder as eenvoudige koptekstanalise en bied 'n diepgaande begrip van die data wat deur 'n netwerk vloei. Dit maak voorsiening vir diepgaande inspeksie van die toepassingslaagprotokolle, soos HTTP-, FTP-, SMTP-, VoIP- of videostroomprotokolle. Deur die werklike inhoud binne pakkette te ondersoek, kan DPI spesifieke toepassings, protokolle of selfs spesifieke datapatrone opspoor en identifiseer.
Benewens die hiërargiese analise van bronadresse, bestemmingsadresse, bronpoorte, bestemmingpoorte en protokoltipes, voeg DPI ook toepassingslaaganalise by om verskeie toepassings en hul inhoud te identifiseer. Wanneer die 1P-pakket, TCP- of UDP-data deur die bandwydtebestuurstelsel vloei wat gebaseer is op DPI-tegnologie, lees die stelsel die inhoud van die 1P-pakketlading om die toepassingslaaginligting in die OSI Layer 7-protokol te herorganiseer, om sodoende die inhoud van die hele toepassingsprogram te kry, en dan die verkeer te vorm volgens die bestuursbeleid wat deur die stelsel gedefinieer is.
Hoe werk DPI?
Tradisionele brandmure het dikwels nie die verwerkingskrag om deeglike intydse kontroles op groot volumes verkeer uit te voer nie. Soos tegnologie vorder, kan DPI gebruik word om meer komplekse kontroles uit te voer om opskrifte en data na te gaan. Tipies gebruik brandmure met indringingsopsporingstelsels dikwels DPI. In 'n wêreld waar digitale inligting van kardinale belang is, word elke stukkie digitale inligting oor die internet in klein pakkies afgelewer. Dit sluit in e-pos, boodskappe wat deur die toepassing gestuur word, webwerwe wat besoek word, videogesprekke en meer. Benewens die werklike data, bevat hierdie pakkies metadata wat die verkeersbron, inhoud, bestemming en ander belangrike inligting identifiseer. Met pakkiefiltertegnologie kan data voortdurend gemonitor en bestuur word om te verseker dat dit na die regte plek gestuur word. Maar om netwerksekuriteit te verseker, is tradisionele pakkiefiltering ver van genoeg. Van die hoofmetodes van diep pakkie-inspeksie in netwerkbestuur word hieronder gelys:
Ooreenstemmende modus/handtekening
Elke pakkie word deur 'n firewall met indringingsopsporingstelsel (IDS)-vermoëns nagegaan vir 'n ooreenkoms met 'n databasis van bekende netwerkaanvalle. IDS soek na bekende kwaadwillige spesifieke patrone en deaktiveer verkeer wanneer kwaadwillige patrone gevind word. Die nadeel van die handtekening-ooreenstemmingsbeleid is dat dit slegs van toepassing is op handtekeninge wat gereeld opgedateer word. Boonop kan hierdie tegnologie slegs teen bekende bedreigings of aanvalle verdedig.
Protokol-uitsondering
Aangesien die protokol-uitsonderingstegniek nie bloot alle data toelaat wat nie ooreenstem met die handtekeningdatabasis nie, het die protokol-uitsonderingstegniek wat deur die IDS-firewall gebruik word nie die inherente foute van die patroon-/handtekening-ooreenstemmingsmetode nie. In plaas daarvan neem dit die standaardverwerpingsbeleid aan. Volgens protokoldefinisie besluit firewalls watter verkeer toegelaat moet word en beskerm die netwerk teen onbekende bedreigings.
Indringingsvoorkomingstelsel (IPS)
IPS-oplossings kan die oordrag van skadelike pakkette blokkeer op grond van hul inhoud, en sodoende vermoedelike aanvalle intyds stop. Dit beteken dat as 'n pakket 'n bekende sekuriteitsrisiko verteenwoordig, IPS proaktief netwerkverkeer sal blokkeer op grond van 'n gedefinieerde stel reëls. Een nadeel van IPS is die behoefte om gereeld 'n kuberbedreigingsdatabasis op te dateer met besonderhede oor nuwe bedreigings, en die moontlikheid van vals positiewe. Maar hierdie gevaar kan verminder word deur konserwatiewe beleide en persoonlike drempels te skep, toepaslike basislyngedrag vir netwerkkomponente te vestig, en periodiek waarskuwings en gerapporteerde gebeurtenisse te evalueer om monitering en waarskuwings te verbeter.
1- Die DPI (Diep Pakkie-inspeksie) in Netwerkpakkiemakelaar
Die "diep" is vlak en gewone pakkie-analise vergelyking, "gewone pakkie-inspeksie" slegs die volgende analise van IP-pakkie 4 laag, insluitend die bronadres, bestemmingsadres, bronpoort, bestemmingspoort en protokoltipe, en DPI behalwe met die hiërargiese analise, ook verhoogde toepassingslaag analise, identifiseer die verskillende toepassings en inhoud, om die hooffunksies te verwesenlik:
1) Toepassingsanalise -- netwerkverkeersamestellingsanalise, werkverrigtingsanalise en vloei-analise
2) Gebruikersanalise -- gebruikersgroepdifferensiasie, gedragsanalise, terminale analise, tendensanalise, ens.
3) Netwerkelementanalise -- analise gebaseer op streekseienskappe (stad, distrik, straat, ens.) en basisstasielas
4) Verkeersbeheer -- P2P-spoedbeperking, QoS-versekering, bandwydteversekering, netwerkhulpbronoptimalisering, ens.
5) Sekuriteitsversekering -- DDoS-aanvalle, data-uitsendingstorms, voorkoming van kwaadwillige virusaanvalle, ens.
2- Algemene Klassifikasie van Netwerktoepassings
Vandag is daar tallose toepassings op die internet, maar die algemene webtoepassings kan uitputtend wees.
Sover ek weet, is die beste toepassingsherkenningsmaatskappy Huawei, wat beweer dat hulle 4 000 toepassings herken. Protokolontleding is die basiese module van baie brandmuurmaatskappye (Huawei, ZTE, ens.), en dit is ook 'n baie belangrike module wat die realisering van ander funksionele modules, akkurate toepassingsidentifikasie en die prestasie en betroubaarheid van produkte aansienlik verbeter, ondersteun. In die modellering van wanware-identifikasie gebaseer op netwerkverkeerkenmerke, soos ek nou doen, is akkurate en uitgebreide protokolidentifikasie ook baie belangrik. As die netwerkverkeer van algemene toepassings van die maatskappy se uitvoerverkeer uitgesluit word, sal die oorblywende verkeer 'n klein deel uitmaak, wat beter is vir wanware-ontleding en alarm.
Gebaseer op my ervaring, word die bestaande algemeen gebruikte toepassings volgens hul funksies geklassifiseer:
PS: Volgens persoonlike begrip van die toepassingsklassifikasie, het u enige goeie voorstelle, welkom om 'n boodskapvoorstel te los
1). E-pos
2). Video
3). Speletjies
4). Kantoor OA klas
5). Sagteware-opdatering
6). Finansies (bank, Alipay)
7). Aandele
8). Sosiale Kommunikasie (IM sagteware)
9). Webblaai (waarskynlik beter geïdentifiseer met URL'e)
10). Laai gereedskap af (webskyf, P2P-aflaai, BT-verwant)
Dan, hoe DPI (Diep Pakkie-inspeksie) in 'n NPB werk:
1). Pakketvaslegging: Die NPB vang netwerkverkeer van verskeie bronne vas, soos skakelaars, routers of taps. Dit ontvang pakkies wat deur die netwerk vloei.
2). Pakketontleding: Die vasgelegde pakkies word deur die NPB ontleed om verskeie protokollae en geassosieerde data te onttrek. Hierdie ontledingsproses help om die verskillende komponente binne die pakkies te identifiseer, soos Ethernet-opskrifte, IP-opskrifte, transportlaagopskrifte (bv. TCP of UDP), en toepassingslaagprotokolle.
3). Vragladinganalise: Met DPI gaan die NPB verder as kopinspeksie en fokus op die vrag, insluitend die werklike data binne die pakkette. Dit ondersoek die vraginhoud in diepte, ongeag die toepassing of protokol wat gebruik word, om relevante inligting te onttrek.
4). Protokolidentifikasie: DPI stel die NPB in staat om die spesifieke protokolle en toepassings wat binne die netwerkverkeer gebruik word, te identifiseer. Dit kan protokolle soos HTTP-, FTP-, SMTP-, DNS-, VoIP- of videostroomprotokolle opspoor en klassifiseer.
5). Inhoudinspeksie: DPI laat die NPB toe om die inhoud van pakkette te inspekteer vir spesifieke patrone, handtekeninge of sleutelwoorde. Dit maak die opsporing van netwerkbedreigings, soos wanware, virusse, indringingspogings of verdagte aktiwiteite, moontlik. DPI kan ook gebruik word vir inhoudsfiltrering, die afdwinging van netwerkbeleide of die identifisering van data-nakomingskendings.
6). Metadata-ekstraksie: Tydens DPI onttrek die NPB relevante metadata uit die pakkette. Dit kan inligting soos bron- en bestemmings-IP-adresse, poortnommers, sessiebesonderhede, transaksiedata of enige ander relevante eienskappe insluit.
7). Verkeersroetering of -filtrering: Gebaseer op die DPI-analise, kan die NPB spesifieke pakkette na aangewese bestemmings roeteer vir verdere verwerking, soos sekuriteitstoestelle, moniteringsinstrumente of analitiese platforms. Dit kan ook filterreëls toepas om pakkette weg te gooi of te herlei gebaseer op die geïdentifiseerde inhoud of patrone.
Plasingstyd: 25 Junie 2023
