Deep Packet Inspection (DPI)ay isang teknolohiyang ginagamit sa Network Packet Brokers (NPBs) upang siyasatin at pag-aralan ang mga nilalaman ng mga network packet sa isang granular na antas. Kabilang dito ang pagsusuri sa payload, mga header, at iba pang impormasyong tukoy sa protocol sa loob ng mga packet upang makakuha ng mga detalyadong insight sa trapiko ng network.
Ang DPI ay higit pa sa simpleng pagsusuri ng header at nagbibigay ng malalim na pag-unawa sa data na dumadaloy sa isang network. Nagbibigay-daan ito para sa malalim na inspeksyon ng mga protocol ng layer ng application, tulad ng HTTP, FTP, SMTP, VoIP, o mga protocol ng video streaming. Sa pamamagitan ng pagsusuri sa aktwal na nilalaman sa loob ng mga packet, maaaring matukoy at matukoy ng DPI ang mga partikular na application, protocol, o kahit na mga partikular na pattern ng data.
Bilang karagdagan sa hierarchical analysis ng mga source address, destination address, source port, destination port, at mga uri ng protocol, ang DPI ay nagdaragdag din ng application-layer analysis upang matukoy ang iba't ibang mga application at ang kanilang mga nilalaman. Kapag ang 1P packet, TCP o UDP data ay dumadaloy sa bandwidth management system batay sa DPI technology, binabasa ng system ang nilalaman ng 1P packet load upang muling ayusin ang application layer information sa OSI Layer 7 protocol, upang makuha ang nilalaman ng ang buong application program, at pagkatapos ay hinuhubog ang trapiko ayon sa patakaran sa pamamahala na tinukoy ng system.
Paano gumagana ang DPI?
Ang mga tradisyunal na firewall ay kadalasang kulang sa kapangyarihan sa pagpoproseso upang magsagawa ng masusing real-time na mga pagsusuri sa malalaking volume ng trapiko. Habang umuunlad ang teknolohiya, maaaring gamitin ang DPI upang magsagawa ng mas kumplikadong mga pagsusuri upang suriin ang mga header at data. Kadalasan, ang mga firewall na may mga intrusion detection system ay kadalasang gumagamit ng DPI. Sa isang mundo kung saan ang digital na impormasyon ay Paramount, ang bawat piraso ng digital na impormasyon ay inihahatid sa Internet sa maliliit na packet. Kabilang dito ang email, mga mensaheng ipinadala sa pamamagitan ng app, mga website na binisita, mga pag-uusap sa video, at higit pa. Bilang karagdagan sa aktwal na data, kasama sa mga packet na ito ang metadata na tumutukoy sa pinagmulan ng trapiko, nilalaman, patutunguhan, at iba pang mahalagang impormasyon. Sa teknolohiya ng packet filtering, ang data ay maaaring patuloy na masubaybayan at mapamahalaan upang matiyak na maipapasa ito sa tamang lugar. Ngunit upang matiyak ang seguridad ng network, ang tradisyonal na packet filtering ay malayo sa sapat. Ang ilan sa mga pangunahing paraan ng malalim na packet inspeksyon sa pamamahala ng network ay nakalista sa ibaba:
Pagtutugma ng Mode/Lagda
Ang bawat packet ay sinusuri para sa isang tugma laban sa isang database ng mga kilalang pag-atake sa network ng isang firewall na may mga kakayahan sa intrusion detection system (IDS). Ang IDS ay naghahanap ng mga kilalang nakakahamak na partikular na pattern at hindi pinapagana ang trapiko kapag may nakitang mga nakakahamak na pattern. Ang kawalan ng patakaran sa pagtutugma ng lagda ay nalalapat lamang ito sa mga lagda na madalas na ina-update. Bilang karagdagan, maaari lamang ipagtanggol ang teknolohiyang ito laban sa mga kilalang banta o pag-atake.
Protocol Exception
Dahil ang pamamaraan ng pagbubukod ng protocol ay hindi lamang pinapayagan ang lahat ng data na hindi tumutugma sa database ng lagda, ang pamamaraan ng pagbubukod ng protocol na ginagamit ng firewall ng IDS ay walang mga likas na bahid ng pamamaraan ng pagtutugma ng pattern/pirma. Sa halip, pinagtibay nito ang default na patakaran sa pagtanggi. Sa pamamagitan ng kahulugan ng protocol, nagpapasya ang mga firewall kung anong trapiko ang dapat payagan at protektahan ang network mula sa hindi kilalang mga banta.
Intrusion Prevention System (IPS)
Maaaring harangan ng mga solusyon sa IPS ang pagpapadala ng mga mapaminsalang packet batay sa nilalaman ng mga ito, at sa gayon ay mapapahinto ang mga pinaghihinalaang pag-atake sa real time. Nangangahulugan ito na kung ang isang packet ay kumakatawan sa isang kilalang panganib sa seguridad, ang IPS ay aktibong haharangin ang trapiko sa network batay sa isang tinukoy na hanay ng mga panuntunan. Ang isang kawalan ng IPS ay ang pangangailangan na regular na i-update ang isang cyber threat database na may mga detalye tungkol sa mga bagong banta, at ang posibilidad ng mga maling positibo. Ngunit ang panganib na ito ay maaaring mabawasan sa pamamagitan ng paglikha ng mga konserbatibong patakaran at mga custom na threshold, pagtatatag ng naaangkop na baseline na gawi para sa mga bahagi ng network, at pana-panahong pagsusuri ng mga babala at iniulat na mga kaganapan upang mapahusay ang pagsubaybay at pag-alerto.
1- Ang DPI (Deep Packet Inspection) sa Network Packet Broker
Ang "malalim" ay antas at ordinaryong packet analysis paghahambing, "ordinaryong packet inspection" lamang ang sumusunod na pagsusuri ng IP packet 4 layer, kabilang ang source address, destination address, source port, destination port at protocol type, at DPI maliban sa hierarchical pagtatasa, din nadagdagan ang application layer analysis, kilalanin ang iba't ibang mga application at nilalaman, upang mapagtanto ang mga pangunahing pag-andar:
1) Pagsusuri ng Aplikasyon -- pagsusuri sa komposisyon ng trapiko sa network, pagsusuri sa pagganap, at pagsusuri sa daloy
2) Pagsusuri ng User -- pagkakaiba ng pangkat ng gumagamit, pagsusuri ng pag-uugali, pagsusuri sa terminal, pagsusuri sa trend, atbp.
3) Pagsusuri ng Elemento ng Network -- pagsusuri batay sa mga katangian ng rehiyon (lungsod, distrito, kalye, atbp.) at pagkarga ng base station
4) Traffic Control -- P2P speed limiting, QoS assurance, bandwidth assurance, network resource optimization, atbp.
5) Security Assurance -- Mga pag-atake ng DDoS, data broadcast storm, pag-iwas sa mga nakakahamak na pag-atake ng virus, atbp.
2- Pangkalahatang Pag-uuri ng Mga Aplikasyon sa Network
Ngayon ay may hindi mabilang na mga application sa Internet, ngunit ang mga karaniwang web application ay maaaring kumpleto.
Sa pagkakaalam ko, ang pinakamahusay na kumpanya sa pagkilala ng app ay ang Huawei, na nagsasabing kinikilala ang 4,000 na apps. Ang pagtatasa ng protocol ay ang pangunahing module ng maraming kumpanya ng firewall (Huawei, ZTE, atbp.), at ito rin ay isang napakahalagang module, na sumusuporta sa pagsasakatuparan ng iba pang mga functional na module, tumpak na pagkakakilanlan ng aplikasyon, at lubos na pagpapabuti ng pagganap at pagiging maaasahan ng mga produkto. Sa pagmomodelo ng pagkilala sa malware batay sa mga katangian ng trapiko sa network, tulad ng ginagawa ko ngayon, ang tumpak at malawak na pagkakakilanlan ng protocol ay napakahalaga din. Hindi kasama ang trapiko sa network ng mga karaniwang application mula sa trapiko sa pag-export ng kumpanya, ang natitirang trapiko ay magkakaroon ng maliit na proporsyon, na mas mahusay para sa pagsusuri at alarma ng malware.
Batay sa aking karanasan, ang umiiral na karaniwang ginagamit na mga application ay inuri ayon sa kanilang mga pag-andar:
PS: Ayon sa personal na pag-unawa sa pag-uuri ng aplikasyon, mayroon kang anumang magagandang mungkahi na malugod na mag-iwan ng panukalang mensahe
1). E-mail
2). Video
3). Mga laro
4). Klase sa opisina ng OA
5). Pag-update ng software
6). Pinansyal (bangko, Alipay)
7). Mga stock
8). Social Communication (IM software)
9). Pagba-browse sa web (marahil mas mahusay na natukoy sa mga URL)
10). Mga tool sa pag-download (web disk, P2P download, nauugnay sa BT)
Pagkatapos, kung paano gumagana ang DPI(Deep Packet Inspection) sa isang NPB:
1). Pagkuha ng Packet: Kinukuha ng NPB ang trapiko ng network mula sa iba't ibang mapagkukunan, tulad ng mga switch, router, o pag-tap. Tumatanggap ito ng mga packet na dumadaloy sa network.
2). Packet Parsing: Ang mga nakuhang packet ay na-parse ng NPB upang kunin ang iba't ibang mga layer ng protocol at nauugnay na data. Ang proseso ng pag-parse na ito ay tumutulong na matukoy ang iba't ibang bahagi sa loob ng mga packet, tulad ng mga Ethernet header, IP header, transport layer header (hal., TCP o UDP), at application layer protocol.
3). Pagsusuri ng Payload: Sa DPI, ang NPB ay lumalampas sa inspeksyon ng header at nakatutok sa payload, kasama ang aktwal na data sa loob ng mga packet. Sinusuri nito ang nilalaman ng payload nang malalim, anuman ang aplikasyon o protocol na ginamit, upang kunin ang nauugnay na impormasyon.
4). Protocol Identification: Ang DPI ay nagbibigay-daan sa NPB na tukuyin ang mga partikular na protocol at application na ginagamit sa loob ng trapiko ng network. Maaari nitong makita at uriin ang mga protocol tulad ng HTTP, FTP, SMTP, DNS, VoIP, o mga protocol ng video streaming.
5). Inspeksyon ng Nilalaman: Ang DPI ay nagpapahintulot sa NPB na suriin ang nilalaman ng mga packet para sa mga partikular na pattern, lagda, o keyword. Nagbibigay-daan ito sa pagtuklas ng mga banta sa network, gaya ng malware, mga virus, mga pagtatangka sa pagpasok, o mga kahina-hinalang aktibidad. Magagamit din ang DPI para sa pag-filter ng nilalaman, pagpapatupad ng mga patakaran sa network, o pagtukoy ng mga paglabag sa pagsunod sa data.
6). Metadata Extraction: Sa panahon ng DPI, kinukuha ng NPB ang mga nauugnay na metadata mula sa mga packet. Maaaring kabilang dito ang impormasyon gaya ng pinagmulan at patutunguhang mga IP address, mga numero ng port, mga detalye ng session, data ng transaksyon, o anumang iba pang nauugnay na katangian.
7). Pagruruta o Pag-filter ng Trapiko: Batay sa pagsusuri ng DPI, maaaring iruta ng NPB ang mga partikular na packet sa mga itinalagang destinasyon para sa karagdagang pagpoproseso, gaya ng mga security appliances, monitoring tool, o analytics platform. Maaari rin itong maglapat ng mga panuntunan sa pag-filter upang itapon o i-redirect ang mga packet batay sa natukoy na nilalaman o mga pattern.
Oras ng post: Hun-25-2023