Netwurk Packet Broker Application Identification Basearre op DPI - Deep Packet Inspection

Djippe pakketynspeksje (DPI)is in technology dy't brûkt wurdt yn Network Packet Brokers (NPB's) om de ynhâld fan netwurkpakketten op granulêr nivo te ynspektearjen en te analysearjen. It giet om it ûndersiikjen fan de lading, kopteksten en oare protokol-spesifike ynformaasje binnen pakketten om detaillearre ynsjoch te krijen yn netwurkferkear.

DPI giet fierder as ienfâldige koptekstanalyse en leveret in djip begryp fan 'e gegevens dy't troch in netwurk streame. It soarget foar yngeande ynspeksje fan 'e protokollen foar applikaasjelaach, lykas HTTP, FTP, SMTP, VoIP, of fideostreamingprotokollen. Troch de eigentlike ynhâld binnen pakketten te ûndersiikjen, kin DPI spesifike applikaasjes, protokollen, of sels spesifike gegevenspatroanen detektearje en identifisearje.

Neist de hiërargyske analyze fan boarneadressen, bestimmingsadressen, boarnehavens, bestimmingspoarten en protokoltypen, foeget DPI ek applikaasje-laach-analyze ta om ferskate applikaasjes en har ynhâld te identifisearjen. As it 1P-pakket, TCP of UDP-gegevens troch it bânbreedtebehearsysteem streamt basearre op DPI-technology, lêst it systeem de ynhâld fan 'e 1P-pakketlading om de ynformaasje oer de applikaasjelaach te reorganisearjen yn it OSI Layer 7-protokol, om de ynhâld te krijen fan de hiele applikaasje programma, en dan foarmjen it ferkear neffens it behear belied definiearre troch it systeem.

Hoe wurket DPI?

Tradysjonele firewalls misse faaks de ferwurkingskrêft om yngeande real-time kontrôles út te fieren op grutte folumes ferkear. As technology foarútgong, kin DPI brûkt wurde om kompleksere kontrôles út te fieren om kopteksten en gegevens te kontrolearjen. Typysk brûke firewalls mei systemen foar ynbraakdeteksje faak DPI. Yn in wrâld dêr't digitale ynformaasje Paramount is, wurdt elk stikje digitale ynformaasje oer it ynternet yn lytse pakketten levere. Dit omfettet e-post, berjochten ferstjoerd fia de app, besochte websiden, fideokonversaasjes, en mear. Neist de eigentlike gegevens omfetsje dizze pakketten metadata dy't de ferkearsboarne, ynhâld, bestimming en oare wichtige ynformaasje identifisearje. Mei pakketfiltertechnology kinne gegevens kontinu wurde kontrolearre en beheard om te soargjen dat se nei it goede plak trochstjoerd wurde. Mar om netwurkfeiligens te garandearjen, is tradisjonele pakketfiltering fier fan genôch. Guon fan 'e wichtichste metoaden fan djippe pakketynspeksje yn netwurkbehear wurde hjirûnder neamd:

Matching Mode / Hântekening

Elts pakket wurdt kontrolearre foar in wedstriid tsjin in databank fan bekende netwurk oanfallen troch in brânmuorre mei intrusion detection systeem (IDS) mooglikheden. IDS siket nei bekende kweade spesifike patroanen en skeakelet ferkear út as kweade patroanen wurde fûn. It neidiel fan it oerienkommende belied foar hantekening is dat it allinnich jildt foar hantekeningen dy't faak bywurke wurde. Derneist kin dizze technology allinich ferdigenje tsjin bekende bedrigingen of oanfallen.

DPI

Protokol útsûndering

Sûnt de protokol útsûndering technyk net gewoan tastean alle gegevens dy't net oerien mei de hântekening databank, de protokol útsûndering technyk brûkt troch de IDS brânmuorre hat net de ynherinte gebreken fan it patroan / hântekening matching metoade. Ynstee nimt it it standert ôfwizingsbelied oan. Troch protokoldefinysje beslute firewalls hokker ferkear tastien wurde moat en beskermje it netwurk tsjin ûnbekende bedrigingen.

Intrusion Prevention System (IPS)

IPS-oplossingen kinne de oerdracht fan skealike pakketten blokkearje op basis fan har ynhâld, en stopje dêrmei fertochte oanfallen yn echte tiid. Dit betsjut dat as in pakket in bekend feiligensrisiko fertsjintwurdiget, sil IPS netwurkferkear proaktyf blokkearje op basis fan in definieare set regels. Ien neidiel fan IPS is de needsaak om regelmjittich in cyberbedrigingsdatabase te aktualisearjen mei details oer nije bedrigingen, en de mooglikheid fan falske positiven. Mar dit gefaar kin wurde fermindere troch it meitsjen fan konservatyf belied en oanpaste drompels, it fêststellen fan passend baselinegedrach foar netwurkkomponinten, en periodyk evaluearjen fan warskôgings en rapporteare eveneminten om tafersjoch en warskôging te ferbetterjen.

1- De DPI (Deep Packet Inspection) yn Network Packet Broker

De "djippe" is nivo en gewoane pakket analyse ferliking, "gewoane pakket ynspeksje" allinnich de folgjende analyze fan IP pakket 4 laach, ynklusyf de boarne adres, bestimming adres, boarne haven, bestimming poarte en protokol type, en DPI útsein mei de hiërargyske analyze, ek tanommen de applikaasje laach analyze, identifisearje de ferskate applikaasjes en ynhâld, te realisearjen de wichtichste funksjes:

1) Applikaasje-analyze - analyze fan netwurkferkearkomposysje, prestaasjesanalyse en streamanalyse

2) Brûkeranalyse - differinsjaasje fan brûkersgroep, gedrachsanalyse, terminalanalyse, trendanalyse, ensfh.

3) Analysis fan netwurkeleminten - analyze basearre op regionale attributen (stêd, wyk, strjitte, ensfh.) en lading fan basisstasjon

4) Ferkearskontrôle - P2P-snelheidsbeheining, QoS-fersekering, bandbreedtefersekering, optimalisaasje fan netwurkboarnen, ensfh.

5) Feiligensfersekering - DDoS-oanfallen, data-útstjoerstoarm, previnsje fan kweade firusoanfallen, ensfh.

2- Algemiene klassifikaasje fan netwurkapplikaasjes

Tsjintwurdich binne d'r ûntelbere applikaasjes op it ynternet, mar de mienskiplike webapplikaasjes kinne útputtend wêze.

Foar safier't ik wit, is it bêste bedriuw foar app-erkenning Huawei, dat beweart 4.000 apps te werkennen. Protokolanalyse is de basismodule fan in protte brânmuorrebedriuwen (Huawei, ZTE, ensfh.), En it is ek in tige wichtige module, dy't de realisaasje fan oare funksjonele modules stipet, krekte identifikaasje fan applikaasjes, en de prestaasjes en betrouberens fan produkten sterk ferbetterje. By it modellearjen fan malware-identifikaasje basearre op skaaimerken fan netwurkferkear, lykas ik no doch, is krekte en wiidweidige protokolidentifikaasje ek heul wichtich. Utsein it netwurkferkear fan mienskiplike applikaasjes fan it eksportferkear fan it bedriuw, sil it oerbleaune ferkear in lyts part ferantwurdzje, wat better is foar malware-analyze en alarm.

Op grûn fan myn ûnderfining wurde de besteande meast brûkte applikaasjes yndield neffens har funksjes:

PS: Neffens persoanlik begryp fan 'e applikaasjeklassifikaasje hawwe jo goede suggestjes wolkom om in berjochtfoarstel efter te litten

1). E-post

2). Video

3). Games

4). Office OA klasse

5). Software update

6). Finansjeel (bank, Alipay)

7). Stocks

8). Sosjale kommunikaasje (IM-software)

9). Blêdzje op it web (wierskynlik better identifisearre mei URL's)

10). Download-ark (webdisk, P2P-download, BT-relatearre)

20191210153150_32811

Dan, hoe't DPI (Deep Packet Inspection) wurket yn in NPB:

1). Packet Capture: De NPB vangt netwurkferkear fan ferskate boarnen, lykas skeakels, routers of kranen. It ûntfangt pakketten dy't troch it netwurk streame.

2). Pakketparsing: De fongen pakketten wurde parseard troch de NPB om ferskate protokollagen en byhearrende gegevens te ekstrahearjen. Dit parsearproses helpt om de ferskate komponinten binnen de pakketten te identifisearjen, lykas Ethernet-headers, IP-headers, transportlaachkoppen (bygelyks TCP of UDP), en applikaasjelaachprotokollen.

3). Payload-analyze: Mei DPI giet de NPB fierder as header-ynspeksje en rjochtet him op 'e payload, ynklusyf de eigentlike gegevens binnen de pakketten. It ûndersiket de ynhâld fan de lading yngeand, nettsjinsteande de brûkte applikaasje of protokol, om relevante ynformaasje te ekstrahearjen.

4). Protokolidentifikaasje: DPI stelt de NPB yn steat om de spesifike protokollen en applikaasjes te identifisearjen dy't brûkt wurde yn it netwurkferkear. It kin protokollen detektearje en klassifisearje lykas HTTP, FTP, SMTP, DNS, VoIP, of fideostreamingprotokollen.

5). Ynhâldynspeksje: DPI lit de NPB de ynhâld fan pakketten ynspektearje foar spesifike patroanen, hantekeningen of kaaiwurden. Dit makket it opspoaren fan netwurkbedrigingen mooglik, lykas malware, firussen, ynbraakpogingen of fertochte aktiviteiten. DPI kin ek brûkt wurde foar filterjen fan ynhâld, it hanthavenjen fan netwurkbelied, of it identifisearjen fan oertredings fan oertrêding fan gegevens.

6). Metadata-ekstraksje: Tidens DPI ekstrakt de NPB relevante metadata út 'e pakketten. Dit kin ynformaasje omfetsje lykas boarne- en bestimmings-IP-adressen, poartenûmers, sesjedetails, transaksjegegevens of oare relevante attributen.

7). Ferkearrouting of filtering: Op grûn fan 'e DPI-analyse kin de NPB spesifike pakketten rûte nei oanwiisde bestimmingen foar fierdere ferwurking, lykas befeiligingsapparatuer, monitoaring-ark, of analytyske platfoarms. It kin ek filterregels tapasse om pakketten te ferwiderjen of troch te lieden basearre op de identifisearre ynhâld of patroanen.

ML-NPB-5660 3d


Post tiid: Jun-25-2023