Pagkakakilanlan ng Application ng Network Packet Broker Batay sa DPI - Inspeksyon ng Deep Packet

Malalim na inspeksyon ng packet (DPI)ay isang teknolohiyang ginamit sa network packet broker (NPB) upang suriin at pag -aralan ang mga nilalaman ng mga network packet sa isang antas ng butil. Ito ay nagsasangkot sa pagsusuri sa payload, header, at iba pang impormasyon na tiyak na protocol sa loob ng mga packet upang makakuha ng detalyadong pananaw sa trapiko sa network.

Ang DPI ay lampas sa simpleng pagsusuri ng header at nagbibigay ng isang malalim na pag -unawa sa data na dumadaloy sa pamamagitan ng isang network. Pinapayagan nito ang malalim na inspeksyon ng mga protocol ng application layer, tulad ng HTTP, FTP, SMTP, VoIP, o mga protocol ng streaming ng video. Sa pamamagitan ng pagsusuri sa aktwal na nilalaman sa loob ng mga packet, maaaring makita at matukoy ng DPI ang mga tukoy na aplikasyon, protocol, o kahit na mga tiyak na pattern ng data.

Bilang karagdagan sa hierarchical analysis ng mga source address, mga address ng patutunguhan, mga port ng mapagkukunan, mga port ng patutunguhan, at mga uri ng protocol, nagdaragdag din ang DPI ng pagsusuri ng application-layer upang makilala ang iba't ibang mga aplikasyon at kanilang mga nilalaman. Kapag ang 1P packet, TCP o UDP data daloy sa pamamagitan ng bandwidth management system batay sa teknolohiya ng DPI, binabasa ng system ang nilalaman ng 1P packet load upang muling ayusin ang impormasyon ng application layer sa OSI Layer 7 protocol, upang makuha ang nilalaman ng buong programa ng aplikasyon, at pagkatapos ay humuhubog sa trapiko ayon sa patakaran ng pamamahala na tinukoy ng system.

Paano gumagana ang DPI?

Ang mga tradisyunal na firewall ay madalas na kulang sa lakas ng pagproseso upang maisagawa ang masusing mga real-time na tseke sa malaking dami ng trapiko. Tulad ng pagsulong ng teknolohiya, ang DPI ay maaaring magamit upang maisagawa ang mas kumplikadong mga tseke upang suriin ang mga header at data. Karaniwan, ang mga firewall na may mga sistema ng pagtuklas ng panghihimasok ay madalas na gumagamit ng DPI. Sa isang mundo kung saan ang digital na impormasyon ay pinakamahalaga, ang bawat piraso ng digital na impormasyon ay naihatid sa internet sa maliit na mga packet. Kasama dito ang email, mga mensahe na ipinadala sa pamamagitan ng app, mga website na binisita, pag -uusap sa video, at marami pa. Bilang karagdagan sa aktwal na data, ang mga packet na ito ay nagsasama ng metadata na nagpapakilala sa mapagkukunan ng trapiko, nilalaman, patutunguhan, at iba pang mahalagang impormasyon. Sa teknolohiya ng pag -filter ng packet, ang data ay maaaring patuloy na masubaybayan at pinamamahalaang upang matiyak na maipasa ito sa tamang lugar. Ngunit upang matiyak ang seguridad sa network, ang tradisyonal na pag -filter ng packet ay malayo sa sapat. Ang ilan sa mga pangunahing pamamaraan ng malalim na inspeksyon ng packet sa pamamahala ng network ay nakalista sa ibaba:

Pagtutugma ng mode/pirma

Ang bawat packet ay sinuri para sa isang tugma laban sa isang database ng mga kilalang pag -atake sa network ng isang firewall na may mga kakayahan sa Intrusion Detection System (IDS). Ang mga ID ay naghahanap para sa kilalang mga nakakahamak na tiyak na mga pattern at hindi pinapagana ang trapiko kapag natagpuan ang mga nakakahamak na pattern. Ang kawalan ng patakaran sa pagtutugma ng lagda ay nalalapat lamang ito sa mga lagda na madalas na na -update. Bilang karagdagan, ang teknolohiyang ito ay maaari lamang ipagtanggol laban sa mga kilalang banta o pag -atake.

DPI

Pagbubukod ng Protocol

Dahil ang pamamaraan ng pagbubukod ng protocol ay hindi lamang pinapayagan ang lahat ng data na hindi tumutugma sa database ng lagda, ang pamamaraan ng pagbubukod ng protocol na ginamit ng IDS firewall ay walang likas na mga bahid ng pamamaraan ng pattern/pirma na tumutugma. Sa halip, pinagtibay nito ang default na patakaran sa pagtanggi. Sa pamamagitan ng kahulugan ng protocol, magpasya ang mga firewall kung anong trapiko ang dapat pahintulutan at protektahan ang network mula sa hindi kilalang mga banta.

Intrusion Prevention System (IPS)

Ang mga solusyon sa IPS ay maaaring hadlangan ang paghahatid ng mga nakakapinsalang packet batay sa kanilang nilalaman, sa gayon ay huminto sa mga pinaghihinalaang pag -atake sa real time. Nangangahulugan ito na kung ang isang packet ay kumakatawan sa isang kilalang panganib sa seguridad, ang mga IP ay maagap na hadlangan ang trapiko sa network batay sa isang tinukoy na hanay ng mga patakaran. Ang isang kawalan ng IPS ay ang pangangailangan na regular na i -update ang isang database ng pagbabanta sa cyber na may mga detalye tungkol sa mga bagong banta, at ang posibilidad ng mga maling positibo. Ngunit ang panganib na ito ay maaaring mapagaan sa pamamagitan ng paglikha ng mga patakaran ng konserbatibo at pasadyang mga threshold, pagtatatag ng naaangkop na pag -uugali ng baseline para sa mga sangkap ng network, at pana -panahong pagsusuri ng mga babala at naiulat na mga kaganapan upang mapahusay ang pagsubaybay at pag -aalerto.

1- Ang DPI (Deep Packet Inspection) sa Network Packet Broker

Ang "malalim" ay antas at ordinaryong paghahambing ng packet analysis, "ordinaryong packet inspeksyon" lamang ang sumusunod na pagsusuri ng IP packet 4 layer, kasama ang source address, patutunguhang address, source port, patutunguhan port at protocol type, at DPI maliban sa hierarchical analysis, nadagdagan din ang pagsusuri ng layer ng application, kilalanin ang iba't ibang mga aplikasyon at nilalaman, upang mapagtanto ang pangunahing mga pag -andar:

1) Pagtatasa ng Application - Pagsusuri ng Komposisyon ng Trapiko sa Trapiko, Pagtatasa ng Pagganap, at Pagsusuri ng Daloy

2) Pagtatasa ng Gumagamit - Pagkakaiba ng pangkat ng gumagamit, pagsusuri ng pag -uugali, pagtatasa ng terminal, pagtatasa ng takbo, atbp.

3) Pagsusuri ng Elemento ng Network - Pagtatasa batay sa mga katangian ng rehiyon (lungsod, distrito, kalye, atbp.) At pag -load ng base station

4) Kontrol ng Trapiko - P2P bilis ng paglilimita, katiyakan ng QoS, katiyakan ng bandwidth, pag -optimize ng mapagkukunan ng network, atbp.

5) Seguridad ng Seguridad - Mga pag -atake ng DDOS, Data Broadcast Storm, Pag -iwas sa Mga Malic na Pag -atake ng Virus, atbp.

2- Pangkalahatang pag-uuri ng mga aplikasyon ng network

Ngayon maraming mga aplikasyon sa Internet, ngunit ang karaniwang mga aplikasyon ng web ay maaaring maging kumpleto.

Sa pagkakaalam ko, ang pinakamahusay na kumpanya ng pagkilala sa app ay ang Huawei, na sinasabing kilalanin ang 4,000 apps. Ang pagsusuri ng protocol ay ang pangunahing module ng maraming mga kumpanya ng firewall (Huawei, ZTE, atbp.), At ito rin ay isang napakahalagang module, pagsuporta sa pagsasakatuparan ng iba pang mga functional module, tumpak na pagkakakilanlan ng aplikasyon, at lubos na pagpapabuti ng pagganap at pagiging maaasahan ng mga produkto. Sa pagmomodelo ng pagkakakilanlan ng malware batay sa mga katangian ng trapiko sa network, tulad ng ginagawa ko ngayon, tumpak at malawak na pagkakakilanlan ng protocol ay napakahalaga din. Hindi kasama ang trapiko ng network ng mga karaniwang aplikasyon mula sa trapiko ng pag -export ng kumpanya, ang natitirang trapiko ay magkakaroon ng account para sa isang maliit na proporsyon, na mas mahusay para sa pagsusuri ng malware at alarma.

Batay sa aking karanasan, ang umiiral na mga karaniwang ginagamit na aplikasyon ay naiuri ayon sa kanilang mga pag -andar:

PS: Ayon sa personal na pag -unawa sa pag -uuri ng aplikasyon, mayroon kang anumang magagandang mungkahi na malugod na mag -iwan ng mungkahi ng mensahe

1). E-mail

2). Video

3). Mga laro

4). Opisina OA Class

5). Update ng software

6). Pinansyal (Bank, Alipay)

7). Stock

8). Komunikasyon sa Panlipunan (IM Software)

9). Pag -browse sa Web (marahil mas mahusay na nakilala sa mga URL)

10). I -download ang Mga Tool (Web Disk, P2P Download, Kaugnay na BT)

20191210153150_32811

Pagkatapos, kung paano gumagana ang DPI (malalim na inspeksyon ng packet) sa isang NPB:

1). Packet Capture: Kinukuha ng NPB ang trapiko sa network mula sa iba't ibang mga mapagkukunan, tulad ng mga switch, router, o taps. Tumatanggap ito ng mga packet na dumadaloy sa network.

2). Packet Parsing: Ang mga nakunan na packet ay na -parse ng NPB upang kunin ang iba't ibang mga layer ng protocol at mga nauugnay na data. Ang proseso ng pag -parse na ito ay tumutulong na makilala ang iba't ibang mga sangkap sa loob ng mga packet, tulad ng mga header ng Ethernet, mga header ng IP, header ng transportasyon (EG, TCP o UDP), at mga protocol ng application layer.

3). Pagtatasa ng Payload: Sa DPI, ang NPB ay lampas sa inspeksyon ng header at nakatuon sa payload, kasama ang aktwal na data sa loob ng mga packet. Sinusuri nito ang malalalim na nilalaman ng payload, anuman ang application o protocol na ginamit, upang kunin ang may-katuturang impormasyon.

4). Pagkilala sa Protocol: Pinapayagan ng DPI ang NPB upang makilala ang mga tukoy na protocol at application na ginagamit sa loob ng trapiko sa network. Maaari itong makita at maiuri ang mga protocol tulad ng HTTP, FTP, SMTP, DNS, VoIP, o mga protocol ng streaming ng video.

5). Inspeksyon ng Nilalaman: Pinapayagan ng DPI ang NPB na suriin ang nilalaman ng mga packet para sa mga tiyak na pattern, lagda, o mga keyword. Pinapayagan nito ang pagtuklas ng mga banta sa network, tulad ng malware, mga virus, pagtatangka ng panghihimasok, o mga kahina -hinalang aktibidad. Maaari ring magamit ang DPI para sa pag -filter ng nilalaman, pagpapatupad ng mga patakaran sa network, o pagkilala sa mga paglabag sa pagsunod sa data.

6). Metadata Extraction: Sa panahon ng DPI, ang mga extract ng NPB ay may kaugnayan na metadata mula sa mga packet. Maaari itong isama ang impormasyon tulad ng mapagkukunan at patutunguhang IP address, mga numero ng port, mga detalye ng session, data ng transaksyon, o anumang iba pang mga kaugnay na katangian.

7). Ruta o pag -filter ng trapiko: Batay sa pagsusuri ng DPI, ang NPB ay maaaring mag -ruta ng mga tiyak na packet sa mga itinalagang patutunguhan para sa karagdagang pagproseso, tulad ng mga kasangkapan sa seguridad, mga tool sa pagsubaybay, o mga platform ng analytics. Maaari rin itong mag -aplay ng mga patakaran sa pag -filter upang itapon o i -redirect ang mga packet batay sa natukoy na nilalaman o pattern.

ML-NPB-5660 3D


Oras ng Mag-post: Hunyo-25-2023