Identifiering av nätverkspaketet Baserat på DPI - Deep Packet Inspection

Djup paketinspektion (Dpi)är en teknik som används i nätverkspaketmäklare (NPBS) för att inspektera och analysera innehållet i nätverkspaket på granulär nivå. Det handlar om att undersöka nyttolast, rubriker och annan protokollspecifik information inom paket för att få detaljerad insikt i nätverkstrafik.

DPI går utöver enkel rubrikanalys och ger en djup förståelse av de data som flyter genom ett nätverk. Det möjliggör en djupgående inspektion av applikationslagerprotokollen, såsom HTTP, FTP, SMTP, VoIP eller videoströmningsprotokoll. Genom att undersöka det faktiska innehållet i paket kan DPI upptäcka och identifiera specifika applikationer, protokoll eller till och med specifika datamönster.

Förutom den hierarkiska analysen av källadresser, destinationsadresser, källportar, destinationsportar och protokolltyper lägger DPI också till applikationsskiktsanalys för att identifiera olika applikationer och deras innehåll. När 1p -paket-, TCP- eller UDP -data flyter genom bandbreddhanteringssystemet baserat på DPI -teknik, läser systemet innehållet i 1p -paketbelastningen för att omorganisera applikationslagerinformationen i OSI -skiktet 7 -protokollet för att få innehållet i hela applikationsprogrammet och sedan utforma trafiken enligt hanteringspolicyn i systemet.

Hur fungerar DPI?

Traditionella brandväggar saknar ofta bearbetningskraften för att utföra grundliga realtidskontroller av stora volymer trafik. När tekniken utvecklas kan DPI användas för att utföra mer komplexa kontroller för att kontrollera rubriker och data. Vanligtvis använder brandväggar med intrångsdetekteringssystem ofta DPI. I en värld där digital information är av största vikt levereras varje bit digital information via internet i små paket. Detta inkluderar e -post, meddelanden som skickas via appen, besökta webbplatser, videokonversationer och mer. Förutom de faktiska uppgifterna inkluderar dessa paket metadata som identifierar trafikkällan, innehållet, destinationen och annan viktig information. Med paketfiltreringsteknologi kan data kontinuerligt övervakas och hanteras för att se till att de vidarebefordras till rätt plats. Men för att säkerställa nätverkssäkerhet är traditionell paketfiltrering långt ifrån tillräckligt. Några av de viktigaste metoderna för djup paketinspektion i nätverkshantering listas nedan:

Matchningsläge/signatur

Varje paket kontrolleras för en matchning mot en databas med kända nätverksattacker av en brandvägg med intrångsdetekteringssystem (IDS). IDS söker efter kända skadliga specifika mönster och inaktiverar trafik när skadliga mönster hittas. Nackdelen med signaturmatchningspolicyn är att den endast gäller för signaturer som uppdateras ofta. Dessutom kan denna teknik bara försvara mot kända hot eller attacker.

Dpi

Protokollundantag

Eftersom protokollundantagstekniken inte bara tillåter all data som inte matchar signaturdatabasen, har protokollundantagstekniken som används av IDS -brandväggen inte de inneboende bristerna i mönster/signaturmatchningsmetoden. Istället antar den standardpolicyen för avslag. Genom protokolldefinition bestämmer brandväggar vilken trafik som ska tillåtas och skydda nätverket från okända hot.

Intrusion Prevention System (IPS)

IPS -lösningar kan blockera överföringen av skadliga paket baserat på deras innehåll och därmed stoppa misstänkta attacker i realtid. Detta innebär att om ett paket representerar en känd säkerhetsrisk kommer IPS proaktivt att blockera nätverkstrafik baserat på en definierad uppsättning regler. En nackdel med IPS är behovet av att regelbundet uppdatera en cyberhotdatabas med detaljer om nya hot och möjligheten till falska positiver. Men denna fara kan mildras genom att skapa konservativa policyer och anpassade trösklar, fastställa lämpligt baslinjebeteende för nätverkskomponenter och regelbundet utvärdera varningar och rapporterade händelser för att förbättra övervakning och varning.

1- DPI (djup paketinspektion) i nätverkspaketmäklare

Den "djupa" är jämförelse av nivå och vanlig paketanalys, "vanlig paketinspektion" endast följande analys av IP -paket 4 -lagret, inklusive källadressen, destinationsadressen, källporten, destinationsporten och protokolltypen och DPI utom med den hierarkiska analysen, ökade också applikationslageranalysen, identifiera de olika applikationerna och innehållet, för att förverkliga huvudfunktionen:

1) Applikationsanalys - Nätverkstrafikkompositionsanalys, prestationsanalys och flödesanalys

2) Användaranalys - Användargruppsdifferentiering, beteendeanalys, terminalanalys, trendanalys, etc.

3) Nätverkselementanalys - Analys baserad på regionala attribut (stad, distrikt, gata, etc.) och basstationsbelastning

4) Trafikstyrning - P2P -hastighetsbegränsning, QoS -försäkring, bandbreddförsäkring, optimering av nätverksresurser, etc.

5) Säkerhetsförsäkring - DDOS -attacker, Storm för data, förebyggande av skadliga virusattacker, etc.

2- Allmän klassificering av nätverksapplikationer

Idag finns det otaliga applikationer på internet, men de vanliga webbapplikationerna kan vara uttömmande.

Så vitt jag vet är det bästa företagets erkännandeföretag Huawei, som påstår sig känna igen 4 000 appar. Protokollanalys är den grundläggande modulen för många brandväggsföretag (Huawei, ZTE, etc.), och det är också en mycket viktig modul som stöder realiseringen av andra funktionella moduler, exakt tillämpningsidentifiering och förbättrar produktens prestanda och tillförlitlighet. Vid modellering av skadlig identifiering baserad på nätverkstrafikegenskaper, som jag gör nu, är exakt och omfattande protokollidentifiering också mycket viktig. Exklusive nätverkstrafiken för gemensamma applikationer från företagets exporttrafik kommer den återstående trafiken att stå för en liten andel, vilket är bättre för skadlig analys och larm.

Baserat på min erfarenhet klassificeras de befintliga vanliga applikationerna enligt deras funktioner:

PS: Enligt personlig förståelse för applikationsklassificeringen har du några bra förslag välkomna att lämna ett meddelandeförslag

1). E-post

2). Video

3). Spel

4). OA -klass OA

5). Mjukvaruuppdatering

6). Finans (Bank, Alipay)

7). Lager

8). Social kommunikation (IM -programvara)

9). Webbläsning (förmodligen bättre identifierad med URL: er)

10). Ladda ner verktyg (webbdisk, p2p nedladdning, bt -relaterad)

20191210153150_32811

Sedan, hur DPI (djup paketinspektion) fungerar i en NPB:

1). Paketupptagning: NPB fångar nätverkstrafik från olika källor, till exempel switchar, routrar eller kranar. Den tar emot paket som flyter genom nätverket.

2). Packet Parsing: De fångade paketen analyseras av NPB för att extrahera olika protokollskikt och tillhörande data. Denna analyseringsprocess hjälper till att identifiera de olika komponenterna i paketen, såsom Ethernet -rubriker, IP -rubriker, transportlagerhuvuden (t.ex. TCP eller UDP) och protokoll för applikationslager.

3). Nyttolastanalys: Med DPI går NPB utöver rubrikundersökningen och fokuserar på nyttolasten, inklusive de faktiska uppgifterna i paketen. Den undersöker nyttolastinnehållet djupgående, oavsett applikation eller protokoll som används, för att extrahera relevant information.

4). Protokollidentifiering: DPI gör det möjligt för NPB att identifiera de specifika protokollen och applikationerna som används inom nätverkstrafiken. Det kan upptäcka och klassificera protokoll som HTTP, FTP, SMTP, DNS, VoIP eller videoströmningsprotokoll.

5). Innehållsinspektion: DPI tillåter NPB att inspektera innehållet i paket för specifika mönster, signaturer eller nyckelord. Detta möjliggör upptäckt av nätverkshot, såsom skadlig programvara, virus, intrångsförsök eller misstänkta aktiviteter. DPI kan också användas för innehållsfiltrering, upprätthålla nätverkspolicyer eller identifiera överträdelser av dataöverensstämmelse.

6). Metadata -extraktion: Under DPI extraherar NPB relevanta metadata från paketen. Detta kan inkludera information som käll- och destinations -IP -adresser, portnummer, sessioninformation, transaktionsdata eller andra relevanta attribut.

7). Trafikruttning eller filtrering: Baserat på DPI -analysen kan NPB dirigera specifika paket till utsedda destinationer för ytterligare bearbetning, såsom säkerhetsapparater, övervakningsverktyg eller analysplattformar. Det kan också tillämpa filtreringsregler för att kassera eller omdirigera paket baserat på identifierat innehåll eller mönster.

ML-NPB-5660 3D


Posttid: juni-25-2023