Терең пакеттік тексеру (DPI)желілік пакет брокерлерінде (NPB) желілік пакеттердің мазмұнын егжей-тегжейлі деңгейде тексеру және талдау үшін қолданылатын технология. Ол желілік трафик туралы егжей-тегжейлі түсінік алу үшін пакеттердегі пайдалы жүктемені, тақырыптарды және басқа да хаттамаға тән ақпаратты зерттеуді қамтиды.
DPI қарапайым тақырып талдауынан тысқары шығып, желі арқылы өтетін деректерді терең түсінуді қамтамасыз етеді. Ол HTTP, FTP, SMTP, VoIP немесе бейне ағыны хаттамалары сияқты қолданбалы деңгей хаттамаларын терең тексеруге мүмкіндік береді. Пакеттердегі нақты мазмұнды тексеру арқылы DPI нақты қолданбаларды, хаттамаларды немесе тіпті нақты деректер үлгілерін анықтай және анықтай алады.
Бастапқы мекенжайлардың, тағайындалған мекенжайлардың, бастапқы порттардың, тағайындалған порттардың және хаттама түрлерінің иерархиялық талдауынан басқа, DPI әртүрлі қолданбалар мен олардың мазмұнын анықтау үшін қолданбалы деңгей талдауын да қосады. 1P пакеті, TCP немесе UDP деректері DPI технологиясына негізделген өткізу қабілеттілігін басқару жүйесі арқылы өткен кезде, жүйе OSI 7 деңгей хаттамасындағы қолданбалы деңгей туралы ақпаратты қайта ұйымдастыру үшін 1P пакеттік жүктемесінің мазмұнын оқиды, осылайша бүкіл қолданбалы бағдарламаның мазмұнын алады, содан кейін жүйе анықтаған басқару саясатына сәйкес трафикті қалыптастырады.
DPI қалай жұмыс істейді?
Дәстүрлі брандмауэрлерде үлкен көлемдегі трафикті нақты уақыт режимінде мұқият тексеру үшін өңдеу қуаты көбінесе жетіспейді. Технология дамыған сайын, DPI тақырыптар мен деректерді тексеру үшін күрделі тексерулерді орындау үшін пайдаланылуы мүмкін. Әдетте, бұзушылықты анықтау жүйелері бар брандмауэрлер көбінесе DPI пайдаланады. Сандық ақпарат басты орында тұрған әлемде әрбір сандық ақпарат Интернет арқылы шағын пакеттермен жеткізіледі. Бұған электрондық пошта, қолданба арқылы жіберілген хабарламалар, кірген веб-сайттар, бейне әңгімелер және т.б. кіреді. Нақты деректерден басқа, бұл пакеттерге трафик көзін, мазмұнын, тағайындалған жерін және басқа да маңызды ақпаратты анықтайтын метадеректер кіреді. Пакеттерді сүзу технологиясының көмегімен деректерді үздіксіз бақылауға және басқаруға болады, бұл олардың дұрыс жерге жіберілуін қамтамасыз етеді. Бірақ желі қауіпсіздігін қамтамасыз ету үшін дәстүрлі пакеттерді сүзу жеткіліксіз. Желіні басқарудағы терең пакеттерді тексерудің кейбір негізгі әдістері төменде келтірілген:
Сәйкестендіру режимі/қолтаңба
Әрбір пакет белгілі желілік шабуылдардың дерекқорымен сәйкестігіне енуді анықтау жүйесі (IDS) мүмкіндіктері бар брандмауэр арқылы тексеріледі. IDS белгілі зиянды үлгілерді іздейді және зиянды үлгілер табылған кезде трафикті өшіреді. Қолтаңбаны сәйкестендіру саясатының кемшілігі - ол тек жиі жаңартылып отыратын қолтаңбаларға қолданылады. Сонымен қатар, бұл технология тек белгілі қауіптерден немесе шабуылдардан қорғана алады.
Протокол ерекшелігі
Хаттама ерекшелігі әдісі қолтаңба дерекқорына сәйкес келмейтін барлық деректерге рұқсат бермейтіндіктен, IDS брандмауэрі пайдаланатын хаттама ерекшелігі әдісі үлгі/қолтаңбаны сәйкестендіру әдісінің кемшіліктеріне ие емес. Оның орнына, ол әдепкі бас тарту саясатын қабылдайды. Хаттама анықтамасы бойынша, брандмауэрлер қандай трафикке рұқсат етілуі керектігін шешеді және желіні белгісіз қауіптерден қорғайды.
Басып кірудің алдын алу жүйесі (IPS)
IPS шешімдері зиянды пакеттердің мазмұнына байланысты берілуін бұғаттай алады, осылайша күдікті шабуылдарды нақты уақыт режимінде тоқтатады. Бұл дегеніміз, егер пакет белгілі бір қауіпсіздік қаупін білдірсе, IPS белгілі бір ережелер жиынтығына негізделіп желілік трафикті белсенді түрде бұғаттайды. IPS-тің бір кемшілігі - киберқауіптер дерекқорын жаңа қауіптер туралы мәліметтермен және жалған оң нәтижелер мүмкіндігімен үнемі жаңартып отыру қажеттілігі. Бірақ бұл қауіпті консервативті саясат пен арнайы шекті мәндерді жасау, желі компоненттері үшін тиісті бастапқы мінез-құлықты белгілеу және бақылау мен ескертуді жақсарту үшін ескертулер мен хабарланған оқиғаларды мезгіл-мезгіл бағалау арқылы азайтуға болады.
1- Желілік пакет брокеріндегі DPI (терең пакеттік тексеру)
«Терең» деңгейлі және қарапайым пакеттік талдауды салыстыру, «қарапайым пакеттік тексеру» тек IP пакетінің 4-қабатының келесі талдауын қамтиды, оның ішінде бастапқы мекенжай, тағайындалған мекенжай, бастапқы порт, тағайындалған порт және хаттама түрі, сондай-ақ иерархиялық талдаудан басқа DPI, сонымен қатар қолданбалы деңгейдің талдауын күшейту, әртүрлі қолданбалар мен мазмұнды анықтау, негізгі функцияларды жүзеге асыру:
1) Қолданбаны талдау -- желілік трафик құрамын талдау, өнімділікті талдау және ағынды талдау
2) Пайдаланушы талдауы -- пайдаланушы тобын саралау, мінез-құлықты талдау, терминалды талдау, трендтерді талдау және т.б.
3) Желі элементтерін талдау -- аймақтық атрибуттарға (қала, аудан, көше және т.б.) және базалық станция жүктемесіне негізделген талдау
4) Трафикті басқару -- P2P жылдамдығын шектеу, QoS кепілдігі, өткізу қабілеттілігін қамтамасыз ету, желілік ресурстарды оңтайландыру және т.б.
5) Қауіпсіздікті қамтамасыз ету -- DDoS шабуылдары, деректерді тарату дауылы, зиянды вирустық шабуылдардың алдын алу және т.б.
2- Желілік қолданбалардың жалпы жіктелуі
Бүгінгі таңда Интернетте сансыз қосымшалар бар, бірақ кең таралған веб-қосымшалар жан-жақты болуы мүмкін.
Менің білуімше, қолданбаларды танудың ең жақсы компаниясы - Huawei, ол 4000 қолданбаны таниды деп мәлімдейді. Хаттаманы талдау көптеген брандмауэр компанияларының (Huawei, ZTE және т.б.) негізгі модулі болып табылады және ол басқа функционалды модульдерді жүзеге асыруды, қолданбаларды дәл анықтауды және өнімдердің өнімділігі мен сенімділігін айтарлықтай жақсартуды қолдайтын өте маңызды модуль болып табылады. Қазір жасап жатқанымдай, желілік трафик сипаттамаларына негізделген зиянды бағдарламаларды анықтауды модельдеуде дәл және кең ауқымды хаттаманы анықтау да өте маңызды. Компанияның экспорттық трафигінен жалпы қолданбалардың желілік трафигін алып тастағанда, қалған трафик аз ғана үлесті құрайды, бұл зиянды бағдарламаларды талдау және дабыл беру үшін жақсырақ.
Менің тәжірибеме сүйене отырып, кең таралған қолданбалар функцияларына сәйкес жіктеледі:
PS: Өтініштің жіктелуін жеке түсінгеніңізге сәйкес, сізде кез келген жақсы ұсыныстар бар, хабарлама қалдыруға болады
1). Электрондық пошта
2). Бейне
3). Ойындар
4). Кеңсенің OA класы
5). Бағдарламалық жасақтаманы жаңарту
6). Қаржылық (банк, Alipay)
7). Акциялар
8). Әлеуметтік коммуникация (IM бағдарламалық жасақтамасы)
9). Веб-шолу (URL мекенжайларымен жақсырақ анықталған болуы мүмкін)
10). Жүктеу құралдары (веб-диск, P2P жүктеу, BT қатысты)
Содан кейін, NPB-де DPI (терең пакеттік тексеру) қалай жұмыс істейді:
1). Пакеттерді ұстап алу: NPB желілік трафикті коммутаторлар, маршрутизаторлар немесе крандар сияқты әртүрлі көздерден ұстап алады. Ол желі арқылы ағып жатқан пакеттерді қабылдайды.
2). Пакеттерді талдау: Түсірілген пакеттер әртүрлі хаттама қабаттарын және онымен байланысты деректерді алу үшін NPB арқылы талданады. Бұл талдау процесі пакеттер ішіндегі әртүрлі компоненттерді, мысалы, Ethernet тақырыптарын, IP тақырыптарын, тасымалдау қабатының тақырыптарын (мысалы, TCP немесе UDP) және қолданбалы қабат хаттамаларын анықтауға көмектеседі.
3). Пайдалы жүктемені талдау: DPI көмегімен NPB тақырыпты тексеруден тыс шығып, пакеттердегі нақты деректерді қоса алғанда, пайдалы жүктемеге назар аударады. Тиісті ақпаратты алу үшін қолданылатын қолданбаға немесе хаттамаға қарамастан, пайдалы жүктеме мазмұнын терең зерттейді.
4). Хаттаманы сәйкестендіру: DPI NPB-ге желілік трафикте пайдаланылатын нақты хаттамалар мен қолданбаларды анықтауға мүмкіндік береді. Ол HTTP, FTP, SMTP, DNS, VoIP немесе бейне ағыны хаттамалары сияқты хаттамаларды анықтай және жіктей алады.
5). Мазмұнды тексеру: DPI NPB-ге пакеттердің мазмұнын белгілі бір үлгілерге, қолтаңбаларға немесе кілт сөздерге тексеруге мүмкіндік береді. Бұл зиянды бағдарламалар, вирустар, басып кіру әрекеттері немесе күдікті әрекеттер сияқты желілік қауіптерді анықтауға мүмкіндік береді. DPI сонымен қатар мазмұнды сүзу, желілік саясатты орындау немесе деректерге сәйкестік бұзушылықтарын анықтау үшін пайдаланылуы мүмкін.
6). Метадеректерді алу: DPI кезінде NPB пакеттерден тиісті метадеректерді алады. Бұған бастапқы және тағайындалған IP мекенжайлары, порт нөмірлері, сеанс мәліметтері, транзакция деректері немесе кез келген басқа тиісті атрибуттар сияқты ақпарат кіруі мүмкін.
7). Трафикті бағыттау немесе сүзу: DPI талдауына сүйене отырып, NPB қауіпсіздік құрылғылары, бақылау құралдары немесе аналитикалық платформалар сияқты әрі қарай өңдеу үшін белгілі бір пакеттерді белгіленген бағыттарға бағыттай алады. Сондай-ақ, ол анықталған мазмұнға немесе үлгілерге негізделген пакеттерді тастау немесе қайта бағыттау үшін сүзу ережелерін қолдана алады.
Жарияланған уақыты: 2023 жылғы 25 маусым
