Pemeriksaan paket dalam (Dpi)adalah teknologi yang digunakan dalam broker paket rangkaian (NPBS) untuk memeriksa dan menganalisis kandungan paket rangkaian pada tahap berbutir. Ia melibatkan pemeriksaan muatan, tajuk, dan maklumat khusus protokol lain dalam paket untuk mendapatkan pandangan terperinci ke dalam trafik rangkaian.
DPI melampaui analisis header mudah dan memberikan pemahaman yang mendalam tentang data yang mengalir melalui rangkaian. Ia membolehkan pemeriksaan mendalam protokol lapisan aplikasi, seperti protokol HTTP, FTP, SMTP, VOIP, atau video. Dengan mengkaji kandungan sebenar dalam paket, DPI dapat mengesan dan mengenal pasti aplikasi tertentu, protokol, atau corak data tertentu.
Sebagai tambahan kepada analisis hierarki alamat sumber, alamat destinasi, port sumber, pelabuhan destinasi, dan jenis protokol, DPI juga menambah analisis lapisan aplikasi untuk mengenal pasti pelbagai aplikasi dan kandungannya. Apabila paket 1P, aliran data TCP atau UDP melalui sistem pengurusan jalur lebar berdasarkan teknologi DPI, sistem membaca kandungan beban paket 1P untuk menyusun semula maklumat lapisan aplikasi dalam protokol OSI Layer 7, untuk mendapatkan kandungan keseluruhan program aplikasi, dan kemudian membentuk trafik mengikut dasar pengurusan yang ditakrifkan oleh sistem pengurusan.
Bagaimana DPI berfungsi?
Firewall tradisional sering kekurangan kuasa pemprosesan untuk melakukan pemeriksaan masa nyata yang menyeluruh mengenai jumlah lalu lintas yang besar. Sebagai kemajuan teknologi, DPI boleh digunakan untuk melakukan pemeriksaan yang lebih kompleks untuk memeriksa tajuk dan data. Biasanya, firewall dengan sistem pengesanan pencerobohan sering menggunakan DPI. Di dunia di mana maklumat digital adalah yang paling utama, setiap maklumat digital disampaikan melalui internet dalam paket kecil. Ini termasuk e -mel, mesej yang dihantar melalui aplikasi, laman web yang dikunjungi, perbualan video, dan banyak lagi. Sebagai tambahan kepada data sebenar, paket ini termasuk metadata yang mengenal pasti sumber trafik, kandungan, destinasi, dan maklumat penting lain. Dengan teknologi penapisan paket, data boleh dipantau secara berterusan dan berjaya memastikan ia dikemukakan ke tempat yang betul. Tetapi untuk memastikan keselamatan rangkaian, penapisan paket tradisional jauh dari cukup. Beberapa kaedah utama pemeriksaan paket dalam dalam pengurusan rangkaian disenaraikan di bawah:
Mod padanan/tandatangan
Setiap paket diperiksa untuk perlawanan terhadap pangkalan data serangan rangkaian yang diketahui oleh firewall dengan keupayaan sistem pengesanan pencerobohan (IDS). IDS mencari corak khusus yang berniat jahat dan melumpuhkan lalu lintas apabila corak berniat jahat ditemui. Kelemahan dasar yang sepadan dengan tandatangan adalah bahawa ia hanya terpakai kepada tandatangan yang dikemas kini dengan kerap. Di samping itu, teknologi ini hanya boleh mempertahankan ancaman atau serangan yang diketahui.
Pengecualian Protokol
Oleh kerana teknik pengecualian protokol tidak semata -mata membenarkan semua data yang tidak sepadan dengan pangkalan data tandatangan, teknik pengecualian protokol yang digunakan oleh firewall IDS tidak mempunyai kelemahan yang wujud dari kaedah pencocokan corak/tandatangan. Sebaliknya, ia mengamalkan dasar penolakan lalai. Dengan definisi protokol, firewall memutuskan apa lalu lintas dibenarkan dan melindungi rangkaian dari ancaman yang tidak diketahui.
Sistem Pencegahan Pencerobohan (IPS)
Penyelesaian IPS boleh menghalang penghantaran paket berbahaya berdasarkan kandungan mereka, dengan itu menghentikan serangan yang disyaki dalam masa nyata. Ini bermakna jika satu paket mewakili risiko keselamatan yang diketahui, IP akan secara proaktif menghalang trafik rangkaian berdasarkan set peraturan yang ditetapkan. Satu kelemahan IP adalah keperluan untuk mengemas kini pangkalan data ancaman siber dengan butiran mengenai ancaman baru, dan kemungkinan positif palsu. Tetapi bahaya ini dapat dikurangkan dengan mewujudkan dasar konservatif dan ambang tersuai, mewujudkan tingkah laku asas yang sesuai untuk komponen rangkaian, dan secara berkala menilai amaran dan peristiwa yang dilaporkan untuk meningkatkan pemantauan dan peringatan.
1- DPI (pemeriksaan paket dalam) dalam broker paket rangkaian
Perbandingan analisis paras dan analisis paket biasa, "pemeriksaan paket biasa" hanya analisis berikut bagi paket IP 4 lapisan, termasuk alamat sumber, alamat destinasi, port sumber, pelabuhan destinasi dan jenis protokol, dan DPI kecuali dengan analisis hierarki, juga meningkatkan analisis lapisan aplikasi, mengenal pasti pelbagai aplikasi dan kandungan, untuk merealisasikan fungsi utama:
1) Analisis Aplikasi - Analisis Komposisi Lalu Lintas Rangkaian, Analisis Prestasi, dan Analisis Aliran
2) Analisis Pengguna - Pembezaan kumpulan pengguna, analisis tingkah laku, analisis terminal, analisis trend, dll.
3) Analisis Elemen Rangkaian - Analisis berdasarkan atribut serantau (bandar, daerah, jalan, dll) dan beban stesen pangkalan
4) Kawalan Lalu Lintas - Mengehadkan kelajuan P2P, jaminan QoS, jaminan jalur lebar, pengoptimuman sumber rangkaian, dll.
5) Jaminan Keselamatan - Serangan DDoS, ribut siaran data, pencegahan serangan virus berniat jahat, dll.
2- Klasifikasi Umum Aplikasi Rangkaian
Hari ini terdapat banyak aplikasi di Internet, tetapi aplikasi web biasa boleh lengkap.
Setakat yang saya tahu, syarikat pengiktirafan aplikasi terbaik ialah Huawei, yang mendakwa mengiktiraf 4,000 aplikasi. Analisis protokol adalah modul asas banyak syarikat firewall (Huawei, ZTE, dan lain -lain), dan ia juga merupakan modul yang sangat penting, menyokong realisasi modul berfungsi lain, pengenalan aplikasi yang tepat, dan meningkatkan prestasi dan kebolehpercayaan produk. Dalam pemodelan pengenalan malware berdasarkan ciri -ciri trafik rangkaian, seperti yang saya lakukan sekarang, pengenalan protokol yang tepat dan luas juga sangat penting. Tidak termasuk trafik rangkaian aplikasi biasa dari trafik eksport syarikat, trafik yang tinggal akan menyumbang sebahagian kecil, yang lebih baik untuk analisis dan penggera malware.
Berdasarkan pengalaman saya, aplikasi yang biasa digunakan diklasifikasikan mengikut fungsi mereka:
PS: Mengikut pemahaman peribadi mengenai klasifikasi aplikasi, anda mempunyai cadangan yang baik untuk meninggalkan cadangan mesej
1). E-mel
2). Video
3). Permainan
4). Kelas OA Office
5). Kemas kini perisian
6). Kewangan (Bank, Alipay)
7). Stok
8). Komunikasi Sosial (perisian IM)
9). Pelayaran Web (mungkin lebih baik dikenal pasti dengan URL)
10). Muat turun alat (cakera web, muat turun p2p, bt berkaitan)
Kemudian, bagaimana DPI (pemeriksaan paket dalam) berfungsi dalam NPB:
1). Penangkapan paket: NPB menangkap trafik rangkaian dari pelbagai sumber, seperti suis, router, atau paip. Ia menerima paket yang mengalir melalui rangkaian.
2). Pakej Pakej: Paket yang ditangkap dihuraikan oleh NPB untuk mengekstrak pelbagai lapisan protokol dan data yang berkaitan. Proses parsing ini membantu mengenal pasti komponen yang berbeza dalam paket, seperti tajuk Ethernet, tajuk IP, tajuk lapisan pengangkutan (misalnya, TCP atau UDP), dan protokol lapisan aplikasi.
3). Analisis muatan: Dengan DPI, NPB melampaui pemeriksaan header dan memberi tumpuan kepada muatan, termasuk data sebenar dalam paket. Ia mengkaji kandungan muatan yang mendalam, tanpa mengira permohonan atau protokol yang digunakan, untuk mengekstrak maklumat yang relevan.
4). Pengenalpastian Protokol: DPI membolehkan NPB mengenal pasti protokol dan aplikasi tertentu yang digunakan dalam trafik rangkaian. Ia boleh mengesan dan mengklasifikasikan protokol seperti protokol HTTP, FTP, SMTP, DNS, VOIP, atau video.
5). Pemeriksaan Kandungan: DPI membolehkan NPB memeriksa kandungan paket untuk corak, tandatangan, atau kata kunci tertentu. Ini membolehkan pengesanan ancaman rangkaian, seperti perisian hasad, virus, percubaan pencerobohan, atau aktiviti yang mencurigakan. DPI juga boleh digunakan untuk penapisan kandungan, menguatkuasakan dasar rangkaian, atau mengenal pasti pelanggaran pematuhan data.
6). Pengekstrakan Metadata: Semasa DPI, NPB mengekstrak metadata yang relevan dari paket. Ini termasuk maklumat seperti alamat IP sumber dan destinasi, nombor port, butiran sesi, data transaksi, atau sebarang atribut lain yang berkaitan.
7). Routing atau penapisan lalu lintas: Berdasarkan analisis DPI, NPB boleh mengarahkan paket khusus ke destinasi yang ditetapkan untuk pemprosesan selanjutnya, seperti peralatan keselamatan, alat pemantauan, atau platform analisis. Ia juga boleh menggunakan peraturan penapisan untuk membuang atau mengalihkan paket berdasarkan kandungan atau corak yang dikenal pasti.
Masa Post: Jun-25-2023
