Djup paketinspektion (DPI)är en teknik som används i Network Packet Brokers (NPB) för att inspektera och analysera innehållet i nätverkspaket på en detaljerad nivå. Det innebär att man undersöker nyttolasten, rubrikerna och annan protokollspecifik information i paketen för att få detaljerade insikter i nätverkstrafiken.
DPI går utöver enkel headeranalys och ger en djupgående förståelse för data som flödar genom ett nätverk. Det möjliggör djupgående inspektion av applikationslagerprotokollen, såsom HTTP, FTP, SMTP, VoIP eller videostreamingprotokoll. Genom att undersöka det faktiska innehållet i paket kan DPI upptäcka och identifiera specifika applikationer, protokoll eller till och med specifika datamönster.
Förutom den hierarkiska analysen av källadresser, destinationsadresser, källportar, destinationsportar och protokolltyper, lägger DPI även till applikationslageranalys för att identifiera olika applikationer och deras innehåll. När 1P-paketet, TCP- eller UDP-data flödar genom bandbreddshanteringssystemet baserat på DPI-teknik, läser systemet innehållet i 1P-paketbelastningen för att omorganisera applikationslagerinformationen i OSI Layer 7-protokollet, för att få innehållet i hela applikationsprogrammet och sedan forma trafiken enligt den hanteringspolicy som definierats av systemet.
Hur fungerar DPI?
Traditionella brandväggar saknar ofta processorkraften för att utföra grundliga realtidskontroller av stora trafikvolymer. Allt eftersom tekniken utvecklas kan DPI användas för att utföra mer komplexa kontroller för att kontrollera rubriker och data. Vanligtvis använder brandväggar med intrångsdetekteringssystem ofta DPI. I en värld där digital information är av största vikt levereras varje digital informationsbit över internet i små paket. Detta inkluderar e-post, meddelanden som skickas via appen, besökta webbplatser, videokonversationer och mer. Förutom själva data innehåller dessa paket metadata som identifierar trafikkällan, innehållet, destinationen och annan viktig information. Med paketfiltreringsteknik kan data kontinuerligt övervakas och hanteras för att säkerställa att den vidarebefordras till rätt plats. Men för att säkerställa nätverkssäkerhet är traditionell paketfiltrering långt ifrån tillräcklig. Några av de viktigaste metoderna för djup paketinspektion inom nätverkshantering listas nedan:
Matchningsläge/signatur
Varje paket kontrolleras för matchning mot en databas med kända nätverksattacker av en brandvägg med intrångsdetekteringssystem (IDS). IDS söker efter kända skadliga specifika mönster och inaktiverar trafik när skadliga mönster hittas. Nackdelen med signaturmatchningspolicyn är att den bara gäller signaturer som uppdateras ofta. Dessutom kan denna teknik bara försvara sig mot kända hot eller attacker.
Protokollundantag
Eftersom protokollundantagstekniken inte helt enkelt tillåter all data som inte matchar signaturdatabasen, har protokollundantagstekniken som används av IDS-brandväggen inte de inneboende bristerna hos mönster-/signaturmatchningsmetoden. Istället använder den standardpolicyn för avvisning. Enligt protokolldefinitionen bestämmer brandväggar vilken trafik som ska tillåtas och skyddar nätverket från okända hot.
Intrångsskyddssystem (IPS)
IPS-lösningar kan blockera överföringen av skadliga paket baserat på deras innehåll och därigenom stoppa misstänkta attacker i realtid. Det betyder att om ett paket representerar en känd säkerhetsrisk kommer IPS proaktivt att blockera nätverkstrafik baserat på en definierad uppsättning regler. En nackdel med IPS är behovet av att regelbundet uppdatera en databas över cyberhot med information om nya hot och risken för falska positiva resultat. Men denna fara kan mildras genom att skapa konservativa policyer och anpassade tröskelvärden, fastställa lämpligt grundläggande beteende för nätverkskomponenter och regelbundet utvärdera varningar och rapporterade händelser för att förbättra övervakning och aviseringar.
1- DPI (Deep Packet Inspection) i Network Packet Broker
"Djup" är en jämförelse mellan nivå och vanlig paketanalys. Vid "vanlig paketinspektion" görs endast följande analys av IP-paketets fjärde lager, inklusive källadress, destinationsadress, källport, destinationsport och protokolltyp, samt DPI, förutom den hierarkiska analysen. Dessutom ökar applikationslageranalysen, identifierar olika applikationer och innehåll för att uppnå huvudfunktionerna:
1) Applikationsanalys -- analys av nätverkstrafikens sammansättning, prestandaanalys och flödesanalys
2) Användaranalys -- differentiering av användargrupper, beteendeanalys, terminalanalys, trendanalys etc.
3) Nätverkselementanalys -- analys baserad på regionala attribut (stad, distrikt, gata etc.) och basstationsbelastning
4) Trafikkontroll -- P2P-hastighetsbegränsning, QoS-säkring, bandbreddssäkring, optimering av nätverksresurser etc.
5) Säkerhetsgaranti -- DDoS-attacker, datasändningsstorm, förebyggande av skadliga virusattacker etc.
2- Allmän klassificering av nätverksapplikationer
Idag finns det otaliga applikationer på internet, men de vanliga webbapplikationerna kan vara uttömmande.
Så vitt jag vet är det bästa företaget för appigenkänning Huawei, som påstår sig känna igen 4 000 appar. Protokollanalys är den grundläggande modulen hos många brandväggsföretag (Huawei, ZTE, etc.), och det är också en mycket viktig modul som stöder realiseringen av andra funktionella moduler, korrekt applikationsidentifiering och avsevärt förbättrar produkternas prestanda och tillförlitlighet. Vid modellering av identifiering av skadlig kod baserat på nätverkstrafikegenskaper, som jag gör nu, är korrekt och omfattande protokollidentifiering också mycket viktigt. Om man exkluderar nätverkstrafiken från vanliga applikationer från företagets exporttrafik, kommer den återstående trafiken att stå för en liten andel, vilket är bättre för analys och larm om skadlig kod.
Baserat på min erfarenhet klassificeras de vanligaste applikationerna efter deras funktioner:
PS: Baserat på personlig förståelse av applikationsklassificeringen, om du har några bra förslag, är du välkommen att lämna ett meddelandeförslag.
1). E-post
2). Video
3). Spel
4). Kontors OA-klass
5). Programuppdatering
6). Finansiellt (bank, Alipay)
7). Aktier
8). Social kommunikation (programvara för snabbmeddelanden)
9). Webbsurfning (förmodligen bättre identifierad med webbadresser)
10). Nedladdningsverktyg (webbdisk, P2P-nedladdning, BT-relaterat)
Sedan, hur DPI (Deep Packet Inspection) fungerar i en NPB:
1). Paketinsamling: NPB:n fångar nätverkstrafik från olika källor, såsom switchar, routrar eller taps. Den tar emot paket som flödar genom nätverket.
2). Paketparsning: De insamlade paketen parsas av NPB för att extrahera olika protokolllager och tillhörande data. Denna parsningsprocess hjälper till att identifiera de olika komponenterna i paketen, såsom Ethernet-headers, IP-headers, transportlagerheaders (t.ex. TCP eller UDP) och applikationslagerprotokoll.
3). Nyttolastanalys: Med DPI går NPB bortom headerinspektion och fokuserar på nyttolasten, inklusive de faktiska data i paketen. Den undersöker nyttolastens innehåll på djupet, oavsett vilken applikation eller protokoll som används, för att extrahera relevant information.
4). Protokollidentifiering: DPI gör det möjligt för NPB att identifiera de specifika protokoll och applikationer som används inom nätverkstrafiken. Den kan upptäcka och klassificera protokoll som HTTP, FTP, SMTP, DNS, VoIP eller videostreamingprotokoll.
5). Innehållsinspektion: DPI gör det möjligt för NPB att inspektera innehållet i paket för specifika mönster, signaturer eller nyckelord. Detta möjliggör upptäckt av nätverkshot, såsom skadlig kod, virus, intrångsförsök eller misstänkta aktiviteter. DPI kan också användas för innehållsfiltrering, upprätthållande av nätverkspolicyer eller identifiering av brott mot dataefterlevnad.
6). Metadataextraktion: Under DPI extraherar NPB relevant metadata från paketen. Detta kan inkludera information som käll- och destinations-IP-adresser, portnummer, sessionsdetaljer, transaktionsdata eller andra relevanta attribut.
7). Trafikdirigering eller filtrering: Baserat på DPI-analysen kan NPB dirigera specifika paket till utsedda destinationer för vidare bearbetning, såsom säkerhetsutrustning, övervakningsverktyg eller analysplattformar. Den kan också tillämpa filtreringsregler för att kassera eller omdirigera paket baserat på identifierat innehåll eller mönster.
Publiceringstid: 25 juni 2023
