Инспекција за длабоки пакувања (Dpi)е технологија што се користи во брокерите за мрежни пакети (NPBS) за да ги провери и анализира содржините на мрежните пакети на грануларно ниво. Вклучува испитување на товарот, заглавија и други информации специфични за протоколот во рамките на пакетите за да се добијат детален увид во мрежниот сообраќај.
DPI надминува едноставна анализа на заглавието и обезбедува длабоко разбирање на податоците што течат низ мрежа. Овозможува детална инспекција на протоколите за примена на слојот, како што се HTTP, FTP, SMTP, VoIP или протоколи за видео стриминг. Со испитување на вистинската содржина во пакетите, DPI може да открие и идентификува специфични апликации, протоколи, па дури и специфични модели на податоци.
Покрај хиерархиската анализа на изворните адреси, адресите на дестинација, изворите на пристаништата, пристаништата за дестинации и типовите на протоколи, DPI, исто така, додава анализа на слој на апликации за да се идентификуваат различни апликации и нивни содржини. Кога пакетот 1P, TCP или UDP протокот на податоци преку системот за управување со ширина на опсег врз основа на DPI технологијата, системот ја чита содржината на оптоварувањето на пакетот 1P за да ги реорганизира информациите за слојот на апликацијата во протоколот OSI Layer 7, за да се добие содржината на целата програма за апликации, а потоа и обликувањето на сообраќајот според политиката за управување дефинирана од системот дефинирана од системот.
Како работи ДПИ?
На традиционалните заштитни идови често им недостасува моќ на обработка за да извршат темелни проверки во реално време на големи количини на сообраќај. Како што напредува технологијата, DPI може да се користи за извршување на посложени проверки за проверка на заглавија и податоци. Обично, огнените идови со системи за откривање на упад често користат DPI. Во свет каде што дигиталните информации се од огромни, секое парче дигитални информации се доставува преку Интернет во мали пакети. Ова вклучува е -пошта, пораки испратени преку апликацијата, посетени веб -страници, видео разговори и многу повеќе. Покрај вистинските податоци, овие пакети вклучуваат метаподатоци што ги идентификуваат изворот на сообраќај, содржината, дестинацијата и другите важни информации. Со технологијата за филтрирање на пакети, податоците можат постојано да се следат и да се успее да се обезбеди дека се проследува на вистинското место. Но, за да се обезбеди мрежна безбедност, традиционалното филтрирање на пакетите е далеку од доволно. Некои од главните методи на длабока инспекција на пакетите во управувањето со мрежата се наведени подолу:
Режим/потпис за појавување
Секој пакет се проверува за натпревар против базата на податоци за познати мрежни напади од заштитен ид со можности за откривање на упад (IDS). ИД бара за познати малициозни специфични обрасци и го оневозможува сообраќајот кога се наоѓаат малициозни обрасци. Недостаток на политиката за појавување на потписот е тоа што се однесува само на потписи што често се ажурираат. Покрај тоа, оваа технологија може да се брани само од познати закани или напади.
Исклучок на протокол
Бидејќи техниката на исклучок на протоколот не дозволува едноставно сите податоци што не одговараат на базата на податоци за потписи, техниката на исклучок на протоколот што ја користи Firewall IDS нема својствени недостатоци на методот за појавување на образецот/потписот. Наместо тоа, таа ја усвојува стандардната политика за отфрлање. Според дефиницијата на протоколот, огнените идови одлучуваат што треба да се дозволи сообраќај и да ја заштити мрежата од непознати закани.
Систем за превенција на упад (IPS)
IPS решенијата можат да го блокираат преносот на штетни пакети врз основа на нивната содржина, а со тоа да ги запрат сомнителните напади во реално време. Ова значи дека ако пакетот претставува познат безбедносен ризик, IPS проактивно ќе го блокира мрежниот сообраќај врз основа на дефиниран сет на правила. Еден недостаток на IPS е потребата редовно да се ажурира базата на податоци за компјутерски закани со детали за нови закани и можноста за лажни позитиви. Но, оваа опасност може да се ублажи со создавање на конзервативни политики и сопствени прагови, воспоставување соодветно основно однесување за мрежните компоненти и периодично проценка на предупредувањата и пријавени настани за подобрување на следењето и предупредувањето.
1- ДПИ (длабока инспекција на пакетот) во брокер за мрежни пакети
„Длабокото“ е ниво на ниво и обична анализа на пакетите, „Обична инспекција на пакетите“ само следната анализа на IP пакетот 4 слој, вклучувајќи ја и изворната адреса, адресата на дестинацијата, изворната порта, дестинацијата и видот на протоколот и DPI, освен со хиерархиската анализа, исто така ја зголеми анализата на слојот на апликацијата, да ги идентификува различните апликации и содржината, да ги реализира главните функции:
1) Анализа на апликација - Анализа на составот на мрежниот сообраќај, анализа на перформанси и анализа на проток
2) Анализа на корисниците - Диференцијација на групата на корисници, анализа на однесување, анализа на терминали, анализа на трендови, итн.
3) Анализа на мрежни елементи - Анализа заснована на регионални атрибути (град, област, улица, итн.) И оптоварување на базната станица
4) Контрола на сообраќајот - Ограничување на брзината на P2P, уверување на QoS, осигурување на ширина на опсег, оптимизација на мрежни ресурси, итн.
5) Обезбедување на безбедност - напади на ДДОС, невреме за емитување на податоци, спречување на злонамерни напади на вируси, итн.
2- Општа класификација на мрежни апликации
Денес има безброј апликации на Интернет, но вообичаените веб -апликации можат да бидат исцрпувачки.
Колку што знам, најдобра компанија за препознавање апликации е Huawei, која тврди дека препознава 4.000 апликации. Анализата на протоколот е основен модул на многу компании за заштитен ид (Huawei, ZTE, итн.), И исто така е многу важен модул, поддржувајќи ја реализацијата на другите функционални модули, точна идентификација на апликација и значително подобрување на перформансите и сигурноста на производите. Во моделирање на идентификација на малициозен софтвер заснована врз карактеристиките на мрежниот сообраќај, како што правам сега, точна и обемна идентификација на протоколот е исто така многу важна. Исклучувајќи го мрежниот сообраќај на вообичаени апликации од извозниот сообраќај на компанијата, преостанатиот сообраќај ќе претставува мал дел, што е подобро за анализа и аларм за малициозен софтвер.
Врз основа на моето искуство, постојните најчесто користени апликации се класифицираат според нивните функции:
ПС: Според личното разбирање на класификацијата на апликацијата, имате добредојдени добри предлози да оставите предлог за порака
1). Е-пошта
2). Видео
3). Игри
4). Канцеларија ОА класа
5). Ажурирање на софтвер
6). Финансиски (банка, Алипеј)
7). Акции
8). Социјална комуникација (IM софтвер)
9). Веб прелистување (веројатно подобро идентификувано со УРЛ -адреси)
10). Алатки за преземање (веб -диск, преземање на P2P, поврзано со БТ)
Тогаш, како работи DPI (длабок пакет инспекција) во НПБ:
1). Снимање на пакети: НПБ фаќа мрежен сообраќај од различни извори, како што се прекинувачи, рутери или чешми. Добива пакети што течат низ мрежата.
2). Парсирање на пакетите: Зафатените пакети се анализираат од НПБ за да извлечат различни протоколи слоеви и придружни податоци. Овој процес на анализирање помага да се идентификуваат различните компоненти во рамките на пакетите, како што се заглавија на Етернет, заглавија на IP, заглавија на транспортни слоеви (на пр., TCP или UDP) и протоколи за примена на слој.
3). Анализа на оптоварување: Со DPI, НПБ надминува инспекција на заглавието и се фокусира на товарот, вклучувајќи ги и вистинските податоци во пакетите. Ја испитува содржината на оптоварување во длабочина, без оглед на користената апликација или протокол, за да се извлечат релевантни информации.
4). Идентификација на протокол: DPI му овозможува на НПБ да ги идентификува специфичните протоколи и апликации што се користат во рамките на мрежниот сообраќај. Може да открие и класифицира протоколи како HTTP, FTP, SMTP, DNS, VoIP или протоколи за видео стриминг.
5). Инспекција на содржината: DPI му дозволува на НПБ да ја провери содржината на пакетите за специфични обрасци, потписи или клучни зборови. Ова овозможува откривање на мрежни закани, како што се малициозен софтвер, вируси, обиди за упад или сомнителни активности. DPI може да се користи и за филтрирање на содржини, спроведување на мрежни политики или идентификување на прекршувања на усогласеноста на податоците.
6). Екстракција на метаподатоци: За време на DPI, NPB извлекува релевантни метаподатоци од пакетите. Ова може да вклучува информации како што се IP адреси на извор и дестинација, броеви на порта, детали за сесијата, податоци за трансакција или какви било други релевантни атрибути.
7). Рутирање или филтрирање во сообраќајот: Врз основа на анализата на DPI, НПБ може да ги насочи специфичните пакети до назначените дестинации за понатамошна обработка, како што се безбедносни уреди, алатки за набудување или платформи за аналитика. Исто така, може да примени правила за филтрирање за да ги отфрли или пренасочи пакетите врз основа на идентификуваната содржина или обрасци.
Време на објавување: јуни-25-2023
