Identifikacija aplikacije omrežnega paketnega posrednika na podlagi DPI – Deep Packet Inspection

Globoko preverjanje paketov (DPI)je tehnologija, ki se uporablja v posrednikih omrežnih paketov (NPB) za pregledovanje in analizo vsebine omrežnih paketov na podrobni ravni. Vključuje preučevanje koristnega tovora, glav in drugih informacij, specifičnih za protokol, znotraj paketov, da pridobimo podroben vpogled v omrežni promet.

DPI presega preprosto analizo glave in zagotavlja globoko razumevanje podatkov, ki tečejo skozi omrežje. Omogoča poglobljen pregled protokolov aplikacijskega sloja, kot so HTTP, FTP, SMTP, VoIP ali protokoli za pretakanje videa. S preučevanjem dejanske vsebine v paketih lahko DPI odkrije in prepozna specifične aplikacije, protokole ali celo posebne podatkovne vzorce.

Poleg hierarhične analize izvornih naslovov, ciljnih naslovov, izvornih vrat, ciljnih vrat in vrst protokolov DPI dodaja tudi analizo aplikacijskega sloja za prepoznavanje različnih aplikacij in njihove vsebine. Ko paket 1P, podatki TCP ali UDP tečejo skozi sistem za upravljanje pasovne širine, ki temelji na tehnologiji DPI, sistem prebere vsebino naloženega paketa 1P, da reorganizira informacije o aplikacijskem sloju v protokolu OSI Layer 7, tako da dobi vsebino celotnega aplikativnega programa in nato oblikovanje prometa v skladu s politiko upravljanja, ki jo določa sistem.

Kako deluje DPI?

Tradicionalnim požarnim zidovim pogosto primanjkuje procesne moči za izvajanje temeljitih pregledov velikih količin prometa v realnem času. Z napredkom tehnologije se lahko DPI uporablja za izvajanje bolj zapletenih pregledov za preverjanje glav in podatkov. Običajno požarni zidovi s sistemi za zaznavanje vdorov pogosto uporabljajo DPI. V svetu, kjer so digitalne informacije najpomembnejše, je vsak kos digitalne informacije dostavljen prek interneta v majhnih paketih. To vključuje e-pošto, sporočila, poslana prek aplikacije, obiskana spletna mesta, video pogovore in drugo. Poleg dejanskih podatkov ti paketi vključujejo metapodatke, ki identificirajo vir prometa, vsebino, destinacijo in druge pomembne informacije. S tehnologijo filtriranja paketov je mogoče podatke nenehno spremljati in upravljati, da se zagotovi posredovanje na pravo mesto. Toda za zagotavljanje varnosti omrežja tradicionalno filtriranje paketov še zdaleč ni dovolj. Nekaj ​​glavnih metod globokega pregleda paketov pri upravljanju omrežja je navedenih spodaj:

Način ujemanja/podpis

Požarni zid z zmožnostmi sistema za zaznavanje vdorov (IDS) preveri, ali se vsak paket ujema z bazo podatkov znanih omrežnih napadov. IDS išče znane specifične zlonamerne vzorce in onemogoči promet, ko najde zlonamerne vzorce. Pomanjkljivost pravilnika o ujemanju podpisov je, da velja le za podpise, ki se pogosto posodabljajo. Poleg tega lahko ta tehnologija brani samo pred znanimi grožnjami ali napadi.

DPI

Izjema protokola

Ker tehnika izjeme protokola preprosto ne dovoli vseh podatkov, ki se ne ujemajo s podatkovno bazo podpisov, tehnika izjeme protokola, ki jo uporablja požarni zid IDS, nima inherentnih pomanjkljivosti metode ujemanja vzorca/podpisa. Namesto tega sprejme privzeto politiko zavrnitve. Po definiciji protokola požarni zidovi odločajo, kakšen promet je dovoljen, in ščitijo omrežje pred neznanimi grožnjami.

Sistem za preprečevanje vdorov (IPS)

Rešitve IPS lahko blokirajo prenos škodljivih paketov na podlagi njihove vsebine in tako ustavijo domnevne napade v realnem času. To pomeni, da če paket predstavlja znano varnostno tveganje, bo IPS proaktivno blokiral omrežni promet na podlagi definiranega niza pravil. Ena od pomanjkljivosti IPS je potreba po rednem posodabljanju zbirke podatkov o kibernetskih grožnjah s podrobnostmi o novih grožnjah in možnost lažnih pozitivnih rezultatov. Toda to nevarnost je mogoče ublažiti z oblikovanjem konzervativnih politik in pragov po meri, vzpostavitvijo ustreznega osnovnega vedenja za omrežne komponente ter občasnim ocenjevanjem opozoril in prijavljenih dogodkov za izboljšanje spremljanja in opozarjanja.

1- DPI (Deep Packet Inspection) v posredniku omrežnih paketov

"Globoka" je raven in običajna primerjava analize paketov, "navadna inšpekcija paketov" pa samo naslednja analiza ravni paketa IP 4, vključno z izvornim naslovom, ciljnim naslovom, izvornimi vrati, ciljnimi vrati in vrsto protokola ter DPI, razen s hierarhičnim analiza, povečala tudi analizo aplikacijskega sloja, identificirala različne aplikacije in vsebino, da bi uresničila glavne funkcije:

1) Analiza aplikacij -- analiza sestave omrežnega prometa, analiza zmogljivosti in analiza toka

2) Analiza uporabnikov -- razlikovanje skupin uporabnikov, analiza vedenja, analiza terminalov, analiza trendov itd.

3) Analiza omrežnih elementov -- analiza na podlagi regionalnih atributov (mesto, okrožje, ulica itd.) in obremenitve bazne postaje

4) Nadzor prometa -- omejevanje hitrosti P2P, zagotavljanje QoS, zagotavljanje pasovne širine, optimizacija omrežnih virov itd.

5) Zagotavljanje varnosti -- napadi DDoS, nevihta oddajanja podatkov, preprečevanje napadov zlonamernih virusov itd.

2- Splošna klasifikacija omrežnih aplikacij

Danes je na internetu nešteto aplikacij, vendar so običajne spletne aplikacije lahko izčrpne.

Kolikor vem, je najboljše podjetje za prepoznavanje aplikacij Huawei, ki trdi, da prepozna 4000 aplikacij. Analiza protokola je osnovni modul številnih podjetij za požarne zidove (Huawei, ZTE itd.), prav tako pa je zelo pomemben modul, ki podpira realizacijo drugih funkcionalnih modulov, natančno identifikacijo aplikacij in močno izboljša zmogljivost in zanesljivost izdelkov. Pri modeliranju identifikacije zlonamerne programske opreme na podlagi značilnosti omrežnega prometa, kar počnem zdaj, je zelo pomembna tudi natančna in obsežna identifikacija protokola. Če iz izvoznega prometa podjetja izvzamemo omrežni promet običajnih aplikacij, bo preostali promet predstavljal majhen delež, kar je boljše za analizo zlonamerne programske opreme in alarm.

Na podlagi mojih izkušenj so obstoječe pogosto uporabljene aplikacije razvrščene glede na njihove funkcije:

PS: Glede na osebno razumevanje klasifikacije aplikacij imate dobre predloge, dobrodošli, da pustite predlog sporočila

1). E-pošta

2). Video

3). igre

4). Office OA razred

5). Posodobitev programske opreme

6). Finančni (banka, Alipay)

7). Zaloge

8). Družbena komunikacija (programska oprema za neposredno sporočanje)

9). Brskanje po spletu (verjetno ga je bolje identificirati z URL-ji)

10). Orodja za prenos (spletni disk, prenos P2P, povezano z BT)

20191210153150_32811

Nato, kako deluje DPI (Deep Packet Inspection) v NPB:

1). Zajem paketov: NPB zajema omrežni promet iz različnih virov, kot so stikala, usmerjevalniki ali pipe. Prejema pakete, ki tečejo po omrežju.

2). Razčlenjevanje paketov: NPB razčleni zajete pakete, da izvleče različne plasti protokola in povezane podatke. Ta postopek razčlenjevanja pomaga identificirati različne komponente znotraj paketov, kot so glave Ethernet, glave IP, glave transportne plasti (npr. TCP ali UDP) in protokoli aplikacijske plasti.

3). Analiza koristne obremenitve: Z DPI NPB presega pregled glave in se osredotoči na koristno obremenitev, vključno z dejanskimi podatki v paketih. Poglobljeno preuči vsebino koristnega tovora, ne glede na uporabljeno aplikacijo ali protokol, da izvleče ustrezne informacije.

4). Identifikacija protokola: DPI omogoča NPB identifikacijo specifičnih protokolov in aplikacij, ki se uporabljajo v omrežnem prometu. Lahko zazna in razvrsti protokole, kot so HTTP, FTP, SMTP, DNS, VoIP ali protokole za pretakanje videa.

5). Pregled vsebine: DPI omogoča NPB, da pregleda vsebino paketov za posebne vzorce, podpise ali ključne besede. To omogoča zaznavanje omrežnih groženj, kot so zlonamerna programska oprema, virusi, poskusi vdorov ali sumljive dejavnosti. DPI se lahko uporablja tudi za filtriranje vsebine, uveljavljanje omrežnih pravilnikov ali prepoznavanje kršitev skladnosti podatkov.

6). Ekstrakcija metapodatkov: Med DPI NPB iz paketov izvleče ustrezne metapodatke. To lahko vključuje informacije, kot so izvorni in ciljni naslovi IP, številke vrat, podrobnosti seje, podatki o transakcijah ali kateri koli drugi ustrezni atributi.

7). Usmerjanje ali filtriranje prometa: Na podlagi analize DPI lahko NPB usmeri določene pakete na določene cilje za nadaljnjo obdelavo, kot so varnostne naprave, orodja za spremljanje ali analitične platforme. Uporabi lahko tudi pravila filtriranja, da zavrže ali preusmeri pakete na podlagi identificirane vsebine ali vzorcev.

ML-NPB-5660 3d


Čas objave: 25. junij 2023