DPI негізіндегі желілік пакеттік брокер қолданбасының идентификациясы – Deep Packet Inspection

Пакеттерді терең тексеру (DPI)желі пакеттерінің мазмұнын түйіршікті деңгейде тексеру және талдау үшін желілік пакет брокерлерінде (NPB) қолданылатын технология. Бұл желілік трафик туралы егжей-тегжейлі түсінік алу үшін пакеттердегі пайдалы жүктемені, тақырыптарды және басқа хаттамаға қатысты ақпаратты зерттеуді қамтиды.

DPI қарапайым тақырыпты талдаудан асып түседі және желі арқылы өтетін деректерді терең түсінуді қамтамасыз етеді. Ол HTTP, FTP, SMTP, VoIP немесе бейне ағынының протоколдары сияқты қолданбалы деңгей протоколдарын терең тексеруге мүмкіндік береді. Пакеттердің ішіндегі нақты мазмұнды зерттей отырып, DPI нақты қолданбаларды, хаттамаларды немесе тіпті нақты деректер үлгілерін анықтап, анықтай алады.

Бастапқы мекенжайлардың, тағайындалған мекенжайлардың, бастапқы порттардың, тағайындалған порттардың және протокол түрлерінің иерархиялық талдауынан басқа, DPI түрлі қолданбаларды және олардың мазмұнын анықтау үшін қолданба деңгейін талдауды қосады. 1P пакеті, TCP немесе UDP деректері DPI технологиясына негізделген өткізу қабілеттілігін басқару жүйесі арқылы ағып жатқанда, жүйе OSI Layer 7 хаттамасындағы қолданбалы деңгей ақпаратын қайта ұйымдастыру үшін 1P пакеттік жүктеменің мазмұнын оқиды, осылайша мазмұнды алу үшін бүкіл қолданбалы бағдарламаны, содан кейін жүйе анықтаған басқару саясатына сәйкес трафикті қалыптастыру.

DPI қалай жұмыс істейді?

Дәстүрлі желіаралық қалқандарда трафиктің үлкен көлемін нақты уақыт режимінде мұқият тексеруді орындау үшін жиі өңдеу қуаты жетіспейді. Технология дамыған сайын DPI тақырыптар мен деректерді тексеру үшін күрделірек тексерулерді орындау үшін пайдаланылуы мүмкін. Әдетте, шабуылды анықтау жүйелері бар брандмауэрлер жиі DPI пайдаланады. Цифрлық ақпарат Paramount болып табылатын әлемде цифрлық ақпараттың әрбір бөлігі Интернет арқылы шағын пакеттерде жеткізіледі. Бұған электрондық пошта, қолданба арқылы жіберілген хабарлар, кірген веб-сайттар, бейне сұхбаттар және т.б. кіреді. Нақты деректерден басқа, бұл пакеттер трафик көзін, мазмұнды, тағайындалған орынды және басқа маңызды ақпаратты анықтайтын метадеректерді қамтиды. Пакетті сүзу технологиясының көмегімен деректерді дұрыс жерге жіберуді қамтамасыз ету үшін үздіксіз бақылауға және басқаруға болады. Бірақ желі қауіпсіздігін қамтамасыз ету үшін дәстүрлі пакеттерді сүзу жеткіліксіз. Желіні басқарудағы пакеттерді терең тексерудің негізгі әдістерінің кейбірі төменде келтірілген:

Сәйкестік режимі/қолтаңба

Әрбір бума шабуылды анықтау жүйесі (IDS) мүмкіндіктері бар брандмауэр арқылы белгілі желілік шабуылдардың дерекқорына сәйкестігі тексеріледі. IDS белгілі зиянды үлгілерді іздейді және зиянды үлгілер табылған кезде трафикті өшіреді. Қолтаңбаны сәйкестендіру саясатының кемшілігі оның тек жиі жаңартылатын қолтаңбаларға қатысты болуы. Сонымен қатар, бұл технология тек белгілі қауіптерден немесе шабуылдардан қорғай алады.

DPI

Протоколдан ерекшелік

Хаттаманың ерекшелік техникасы қолтаңба дерекқорына сәйкес келмейтін барлық деректерге жай ғана рұқсат бермейтіндіктен, IDS брандмауэрі пайдаланатын протоколды ерекшелеу әдістемесінде үлгі/қолтаңбаны сәйкестендіру әдісінің тән кемшіліктері жоқ. Оның орнына ол әдепкі бас тарту саясатын қабылдайды. Протокол анықтамасы бойынша брандмауэр қандай трафикке рұқсат беру керектігін шешеді және желіні белгісіз қауіптерден қорғайды.

Интрузияның алдын алу жүйесі (IPS)

IPS шешімдері зиянды пакеттерді олардың мазмұнына қарай жіберуді блоктай алады, осылайша нақты уақытта күдікті шабуылдарды тоқтатады. Бұл пакет белгілі қауіпсіздік қаупін білдірсе, IPS анықталған ережелер жиынтығы негізінде желілік трафикті белсенді түрде блоктайтынын білдіреді. IPS бір кемшілігі жаңа қауіптер туралы мәліметтермен және жалған позитивтердің ықтималдығымен киберқауіптердің дерекқорын жүйелі түрде жаңарту қажеттілігі болып табылады. Бірақ бұл қауіпті консервативті саясаттар мен теңшелетін шектерді жасау, желі құрамдастары үшін сәйкес бастапқы тәртіпті орнату және бақылау мен ескертуді жақсарту үшін ескертулер мен хабарланған оқиғаларды мерзімді бағалау арқылы азайтуға болады.

1- Желілік пакет брокеріндегі DPI (Deep Packet Inspection).

«Терең» деңгей және кәдімгі пакеттік талдауды салыстыру, «қарапайым пакеттік тексеру» тек қана IP-пакет 4-деңгейінің келесі талдауы, соның ішінде бастапқы мекенжай, тағайындалған мекенжай, бастапқы порт, тағайындалған порт және хаттама түрі және иерархиялық талдаудан басқа DPI. талдау, сонымен қатар қолданбалы қабаттың талдауын арттырды, негізгі функцияларды жүзеге асыру үшін әртүрлі қолданбалар мен мазмұнды анықтайды:

1) Қолданбаларды талдау -- желілік трафик құрамын талдау, өнімділікті талдау және ағынды талдау

2) Пайдаланушыларды талдау -- пайдаланушылар тобын саралау, мінез-құлық талдауы, терминалдық талдау, трендтерді талдау және т.б.

3) Желілік элементтерді талдау -- аймақтық атрибуттарға (қала, аудан, көше және т.б.) және базалық станция жүктемесіне негізделген талдау

4) Traffic Control -- P2P жылдамдығын шектеу, QoS кепілдігі, өткізу қабілеттілігін қамтамасыз ету, желі ресурстарын оңтайландыру және т.б.

5) Қауіпсіздікті қамтамасыз ету -- DDoS шабуылдары, деректерді тарату дауылы, зиянды вирустық шабуылдардың алдын алу және т.б.

2- Желілік қолданбалардың жалпы классификациясы

Бүгінгі күні Интернетте сансыз қосымшалар бар, бірақ жалпы веб-қосымшалар толық болуы мүмкін.

Менің білуімше, қолданбаларды тану бойынша ең жақсы компания Huawei болып табылады, ол 4000 қолданбаны таниды деп мәлімдейді. Протоколды талдау көптеген брандмауэр компанияларының негізгі модулі болып табылады (Huawei, ZTE және т. Желі трафигі сипаттамаларына негізделген зиянды бағдарламаны сәйкестендіруді модельдеуде, мен қазір істеп жатқанымдай, дәл және кең хаттама сәйкестендіру де өте маңызды. Компанияның экспорттық трафигінен жалпы қолданбалардың желілік трафигін қоспағанда, қалған трафик азғантай үлесті құрайды, бұл зиянды бағдарламаны талдау және дабыл үшін жақсырақ.

Менің тәжірибемнің негізінде қолданыстағы жиі қолданылатын қолданбалар функцияларына қарай жіктеледі:

PS: Қолданбаның жіктелуін жеке түсінуге сәйкес, сізде жақсы ұсыныстар бар, хабарлама ұсынысын қалдыруға қош келдіңіз.

1). Электрондық пошта

2). Бейне

3). Ойындар

4). Office OA класы

5). Бағдарламалық құралды жаңарту

6). Қаржы (банк, Alipay)

7). Акциялар

8). Әлеуметтік коммуникация (IM бағдарламалық құралы)

9). Интернетті шолу (URL мекенжайларымен жақсы сәйкестендірілуі мүмкін)

10). Жүктеп алу құралдары (веб-диск, P2P жүктеу, BT қатысты)

20191210153150_32811

Содан кейін NPB-де DPI (Deep Packet Inspection) қалай жұмыс істейді:

1). Пакеттерді түсіру: NPB коммутаторлар, маршрутизаторлар немесе түртулер сияқты әртүрлі көздерден желілік трафикті түсіреді. Ол желі арқылы өтетін пакеттерді қабылдайды.

2). Пакеттерді талдау: түсірілген пакеттер әртүрлі протокол деңгейлерін және байланысты деректерді шығару үшін NPB арқылы талданады. Бұл талдау процесі Ethernet тақырыптары, IP тақырыптары, тасымалдау деңгейі тақырыптары (мысалы, TCP немесе UDP) және қолданбалы деңгей протоколдары сияқты пакеттердегі әртүрлі құрамдастарды анықтауға көмектеседі.

3). Пайдалы жүктемені талдау: DPI көмегімен NPB тақырыпты тексеруден шығып, пайдалы жүктемеге, соның ішінде пакеттердегі нақты деректерге назар аударады. Ол тиісті ақпаратты алу үшін қолданылатын қолданбаға немесе протоколға қарамастан пайдалы жүктеме мазмұнын терең зерттейді.

4). Протоколды идентификациялау: DPI NPB-ге желі трафигінде пайдаланылатын арнайы протоколдар мен қолданбаларды анықтауға мүмкіндік береді. Ол HTTP, FTP, SMTP, DNS, VoIP немесе бейне ағынының протоколдары сияқты протоколдарды анықтап, жіктей алады.

5). Мазмұнды тексеру: DPI NPB-ге арнайы үлгілер, қолтаңбалар немесе кілт сөздер үшін пакеттердің мазмұнын тексеруге мүмкіндік береді. Бұл зиянды бағдарламалар, вирустар, басып кіру әрекеттері немесе күдікті әрекеттер сияқты желілік қауіптерді анықтауға мүмкіндік береді. DPI мазмұнын сүзу, желілік саясаттарды орындау немесе деректер сәйкестігінің бұзылуын анықтау үшін де пайдаланылуы мүмкін.

6). Метадеректерді шығару: DPI кезінде NPB пакеттерден сәйкес метадеректерді шығарады. Бұл бастапқы және тағайындалған IP мекенжайлары, порт нөмірлері, сеанс мәліметтері, транзакция деректері немесе кез келген басқа қатысты атрибуттар сияқты ақпаратты қамтуы мүмкін.

7). Трафикті бағыттау немесе сүзу: DPI талдауының негізінде NPB қауіпсіздік құрылғылары, бақылау құралдары немесе аналитикалық платформалар сияқты одан әрі өңдеу үшін арнайы пакеттерді белгіленген орындарға бағыттай алады. Ол сонымен қатар анықталған мазмұн немесе үлгілер негізінде пакеттерді жою немесе қайта бағыттау үшін сүзу ережелерін қолдана алады.

ML-NPB-5660 3d


Жіберу уақыты: 25 маусым-2023 ж