Network Packet Broker Application Identification Baserat på DPI – Deep Packet Inspection

Deep Packet Inspection (DPI)är en teknik som används i Network Packet Brokers (NPB) för att inspektera och analysera innehållet i nätverkspaket på en granulär nivå. Det innebär att undersöka nyttolasten, rubrikerna och annan protokollspecifik information i paket för att få detaljerade insikter om nätverkstrafik.

DPI går utöver enkel rubrikanalys och ger en djup förståelse av data som flödar genom ett nätverk. Det möjliggör en djupgående inspektion av applikationslagerprotokollen, såsom HTTP, FTP, SMTP, VoIP eller videoströmningsprotokoll. Genom att undersöka det faktiska innehållet i paket kan DPI upptäcka och identifiera specifika applikationer, protokoll eller till och med specifika datamönster.

Förutom den hierarkiska analysen av källadresser, destinationsadresser, källportar, destinationsportar och protokolltyper, lägger DPI även till applikationslageranalys för att identifiera olika applikationer och deras innehåll. När 1P-paketet, TCP- eller UDP-data flödar genom bandbreddshanteringssystemet baserat på DPI-teknik, läser systemet innehållet i 1P-paketbelastningen för att omorganisera applikationslagerinformationen i OSI Layer 7-protokollet, för att få innehållet i hela applikationsprogrammet, och sedan forma trafiken enligt den hanteringspolicy som definieras av systemet.

Hur fungerar DPI?

Traditionella brandväggar saknar ofta processorkraft för att utföra noggranna realtidskontroller av stora trafikvolymer. Allt eftersom tekniken går framåt kan DPI användas för att utföra mer komplexa kontroller för att kontrollera rubriker och data. Brandväggar med intrångsdetekteringssystem använder vanligtvis DPI. I en värld där digital information är avgörande, levereras varje bit digital information över Internet i små paket. Detta inkluderar e-post, meddelanden som skickas via appen, besökta webbplatser, videokonversationer och mer. Utöver de faktiska uppgifterna innehåller dessa paket metadata som identifierar trafikkällan, innehållet, destinationen och annan viktig information. Med paketfiltreringsteknik kan data kontinuerligt övervakas och hanteras för att säkerställa att den vidarebefordras till rätt plats. Men för att säkerställa nätverkssäkerhet är traditionell paketfiltrering långt ifrån tillräckligt. Några av de viktigaste metoderna för djup paketinspektion i nätverkshantering listas nedan:

Matchningsläge/signatur

Varje paket kontrolleras för en matchning mot en databas med kända nätverksattacker av en brandvägg med intrångsdetekteringssystem (IDS). IDS söker efter kända skadliga specifika mönster och inaktiverar trafik när skadliga mönster hittas. Nackdelen med signaturmatchningspolicyn är att den bara gäller signaturer som uppdateras ofta. Dessutom kan denna teknik bara försvara sig mot kända hot eller attacker.

DPI

Protokollundantag

Eftersom protokollundantagstekniken inte helt enkelt tillåter all data som inte matchar signaturdatabasen, har protokollundantagstekniken som används av IDS-brandväggen inte de inneboende bristerna i mönster/signaturmatchningsmetoden. Istället antar den standardpolicyn för avvisning. Enligt protokolldefinition bestämmer brandväggar vilken trafik som ska tillåtas och skyddar nätverket från okända hot.

Intrångsskyddssystem (IPS)

IPS-lösningar kan blockera överföringen av skadliga paket baserat på deras innehåll och därigenom stoppa misstänkta attacker i realtid. Detta innebär att om ett paket representerar en känd säkerhetsrisk kommer IPS proaktivt att blockera nätverkstrafik baserat på en definierad uppsättning regler. En nackdel med IPS är behovet av att regelbundet uppdatera en databas för cyberhot med detaljer om nya hot och möjligheten till falska positiva resultat. Men denna fara kan mildras genom att skapa konservativa policyer och anpassade trösklar, etablera lämpligt baslinjebeteende för nätverkskomponenter och regelbundet utvärdera varningar och rapporterade händelser för att förbättra övervakning och varning.

1- DPI (Deep Packet Inspection) i Network Packet Broker

Den "djupa" är nivå och vanlig paketanalys jämförelse, "vanlig paketinspektion" endast följande analys av IP-paket 4 lager, inklusive källadress, destinationsadress, källport, destinationsport och protokolltyp, och DPI förutom med den hierarkiska analys, ökade också applikationslageranalys, identifiera de olika applikationerna och innehållet, för att förverkliga huvudfunktionerna:

1) Tillämpningsanalys -- analys av nätverkstrafikens sammansättning, prestandaanalys och flödesanalys

2) Användaranalys -- användargruppsdifferentiering, beteendeanalys, terminalanalys, trendanalys, etc.

3) Nätverkselementanalys -- analys baserad på regionala attribut (stad, distrikt, gata, etc.) och basstationsbelastning

4) Trafikkontroll -- P2P-hastighetsbegränsning, QoS-säkring, bandbreddssäkring, nätverksresursoptimering, etc.

5) Säkerhetsgaranti -- DDoS-attacker, datasändningsstorm, förhindrande av skadliga virusattacker, etc.

2- Allmän klassificering av nätverksapplikationer

Idag finns det otaliga applikationer på Internet, men de vanliga webbapplikationerna kan vara uttömmande.

Så vitt jag vet är det bästa företaget för appigenkänning Huawei, som påstår sig känna igen 4 000 appar. Protokollanalys är grundmodulen för många brandväggsföretag (Huawei, ZTE, etc.), och det är också en mycket viktig modul som stödjer förverkligandet av andra funktionella moduler, exakt applikationsidentifiering och avsevärt förbättrar produkternas prestanda och tillförlitlighet. Vid modellering av identifiering av skadlig programvara baserad på nätverkstrafikegenskaper, som jag gör nu, är korrekt och omfattande protokollidentifiering också mycket viktig. Exklusive nätverkstrafiken för vanliga applikationer från företagets exporttrafik, kommer den återstående trafiken att stå för en liten andel, vilket är bättre för skadlig programvara analys och larm.

Baserat på min erfarenhet klassificeras de befintliga vanliga applikationerna efter deras funktioner:

PS: Enligt personlig förståelse av applikationsklassificeringen har du några bra förslag, välkommen att lämna ett meddelandeförslag

1). E-post

2). Video

3). Spel

4). Office OA klass

5). Programuppdatering

6). Finansiella (bank, Alipay)

7). Aktier

8). Social kommunikation (IM-programvara)

9). Webbläsning (förmodligen bättre identifierad med webbadresser)

10). Ladda ner verktyg (webbdisk, P2P-nedladdning, BT-relaterat)

20191210153150_32811

Sedan, hur DPI (Deep Packet Inspection) fungerar i en NPB:

1). Packet Capture: NPB fångar nätverkstrafik från olika källor, såsom switchar, routrar eller kranar. Den tar emot paket som flödar genom nätverket.

2). Packet Parsing: De fångade paketen analyseras av NPB för att extrahera olika protokolllager och tillhörande data. Denna analysprocess hjälper till att identifiera de olika komponenterna i paketen, såsom Ethernet-huvuden, IP-huvuden, transportlagerhuvuden (t.ex. TCP eller UDP) och applikationslagerprotokoll.

3). Nyttolastanalys: Med DPI går NPB bortom rubrikinspektion och fokuserar på nyttolasten, inklusive faktiska data i paketen. Den undersöker nyttolastens innehåll på djupet, oavsett applikation eller protokoll som används, för att extrahera relevant information.

4). Protokollidentifiering: DPI gör det möjligt för NPB att identifiera de specifika protokoll och applikationer som används inom nätverkstrafiken. Den kan upptäcka och klassificera protokoll som HTTP, FTP, SMTP, DNS, VoIP eller videoströmningsprotokoll.

5). Innehållsinspektion: DPI tillåter NPB att inspektera innehållet i paket för specifika mönster, signaturer eller nyckelord. Detta möjliggör upptäckt av nätverkshot, såsom skadlig programvara, virus, intrångsförsök eller misstänkta aktiviteter. DPI kan också användas för innehållsfiltrering, upprätthållande av nätverkspolicyer eller för att identifiera överträdelser av dataefterlevnad.

6). Metadataextraktion: Under DPI extraherar NPB relevant metadata från paketen. Detta kan inkludera information som käll- och destinations-IP-adresser, portnummer, sessionsdetaljer, transaktionsdata eller andra relevanta attribut.

7). Trafikdirigering eller -filtrering: Baserat på DPI-analysen kan NPB dirigera specifika paket till angivna destinationer för vidare bearbetning, såsom säkerhetsanordningar, övervakningsverktyg eller analysplattformar. Det kan också tillämpa filtreringsregler för att kassera eller omdirigera paket baserat på det identifierade innehållet eller mönstren.

ML-NPB-5660 3d


Posttid: 2023-jun-25