Djippe pakketynspeksje (DPI)is in technology dy't brûkt wurdt yn Network Packet Brokers (NPB's) om de ynhâld fan netwurkpakketten op in granulêr nivo te ynspektearjen en te analysearjen. It giet om it ûndersykjen fan 'e payload, headers en oare protokolspesifike ynformaasje binnen pakketten om detaillearre ynsjoch te krijen yn netwurkferkear.
DPI giet fierder as ienfâldige header-analyze en jout in djip begryp fan 'e gegevens dy't troch in netwurk streame. It makket in yngeande ynspeksje fan 'e protokollen fan' e applikaasjelaach mooglik, lykas HTTP-, FTP-, SMTP-, VoIP- of fideostreamingprotokollen. Troch de werklike ynhâld binnen pakketten te ûndersykjen, kin DPI spesifike applikaasjes, protokollen of sels spesifike gegevenspatroanen detektearje en identifisearje.
Neist de hiërargyske analyze fan boarneadressen, bestimmingsadressen, boarnepoarten, bestimmingspoarten en protokoltypen, foeget DPI ek applikaasjelaachanalyse ta om ferskate applikaasjes en har ynhâld te identifisearjen. As it 1P-pakket, TCP- of UDP-gegevens troch it bânbreedtebehearsysteem streamt basearre op DPI-technology, lêst it systeem de ynhâld fan 'e 1P-pakketlading om de applikaasjelaachynformaasje yn it OSI Layer 7-protokol te reorganisearjen, om de ynhâld fan it heule applikaasjeprogramma te krijen, en dan it ferkear te foarmjen neffens it behearbelied dat troch it systeem definieare is.
Hoe wurket DPI?
Tradisjonele firewalls hawwe faak net de ferwurkingskrêft om yngeande real-time kontrôles út te fieren op grutte hoemannichten ferkear. Mei de foarútgong fan 'e technology kin DPI brûkt wurde om kompleksere kontrôles út te fieren om headers en gegevens te kontrolearjen. Typysk brûke firewalls mei ynbraakdeteksjesystemen faak DPI. Yn in wrâld wêr't digitale ynformaasje fan it grutste belang is, wurdt elk stik digitale ynformaasje oer it ynternet levere yn lytse pakketten. Dit omfettet e-post, berjochten dy't fia de app ferstjoerd wurde, besochte websiden, fideokonversaasjes en mear. Neist de werklike gegevens befetsje dizze pakketten metadata dy't de ferkearsboarne, ynhâld, bestimming en oare wichtige ynformaasje identifisearje. Mei pakketfiltertechnology kinne gegevens kontinu wurde kontroleare en beheard om te soargjen dat se nei it juste plak trochstjoerd wurde. Mar om netwurkfeiligens te garandearjen, is tradisjonele pakketfiltering fier fan genôch. Guon fan 'e wichtichste metoaden fan djippe pakketynspeksje yn netwurkbehear binne hjirûnder neamd:
Oerienkomstmodus/Hântekening
Elk pakket wurdt kontrolearre op in oerienkomst mei in database fan bekende netwurkoanfallen troch in firewall mei ynbraakdeteksjesysteem (IDS) mooglikheden. IDS siket nei bekende kweade spesifike patroanen en útskeakelt ferkear as kweade patroanen fûn wurde. It neidiel fan it hantekeningsmatchingbelied is dat it allinich jildt foar hantekeningen dy't faak bywurke wurde. Derneist kin dizze technology allinich ferdigenje tsjin bekende bedrigingen of oanfallen.
Protokolútsûndering
Omdat de protokol-útsûnderingstechnyk net gewoan alle gegevens tastean dy't net oerienkomme mei de hantekeningsdatabase, hat de protokol-útsûnderingstechnyk dy't brûkt wurdt troch de IDS-firewall net de ynherinte gebreken fan 'e patroan-/hantekeningsmatchingmetoade. Ynstee dêrfan brûkt it it standert ôfwizingsbelied. Neffens protokoldefinysje beslute firewalls hokker ferkear tastien wurde moat en beskermje se it netwurk tsjin ûnbekende bedrigingen.
Ynbraakprevinsjesysteem (IPS)
IPS-oplossingen kinne de oerdracht fan skealike pakketten blokkearje op basis fan har ynhâld, wêrtroch fertochte oanfallen yn realtime stopje. Dit betsjut dat as in pakket in bekend feiligensrisiko foarmet, IPS proaktyf netwurkferkear sil blokkearje op basis fan in definieare set regels. Ien neidiel fan IPS is de needsaak om in cyberbedrigingsdatabase regelmjittich by te wurkjen mei details oer nije bedrigingen, en de mooglikheid fan falske positiven. Mar dit gefaar kin wurde fermindere troch konservatyf belied en oanpaste drompelwearden te meitsjen, passend basisgedrach foar netwurkkomponinten fêst te stellen, en periodyk warskôgings en rapporteare eveneminten te evaluearjen om monitoring en warskôgings te ferbetterjen.
1- De DPI (Djippe pakketynspeksje) yn Network Packet Broker
De "djippe" is nivo en gewoane pakketanalyseferliking, "gewoane pakketynspeksje" allinich de folgjende analyze fan IP-pakket 4-laach, ynklusyf it boarneadres, bestimmingsadres, boarnepoarte, bestimmingspoarte en protokoltype, en DPI útsein mei de hiërargyske analyze, ek de applikaasjelaachanalyse ferhege, de ferskate applikaasjes en ynhâld identifisearje, om de wichtichste funksjes te realisearjen:
1) Applikaasje-analyze -- analyse fan netwurkferkearskomposysje, prestaasje-analyze en streamanalyse
2) Brûkersanalyse -- differinsjaasje fan brûkersgroepen, gedrachsanalyse, terminalanalyse, trendanalyse, ensfh.
3) Netwurkelemintanalyse -- analyse basearre op regionale attributen (stêd, distrikt, strjitte, ensfh.) en basisstasjonbelesting
4) Ferkearskontrôle -- P2P-snelheidsbeperking, QoS-garânsje, bânbreedtegarânsje, optimalisaasje fan netwurkboarnen, ensfh.
5) Feiligensfersekering -- DDoS-oanfallen, data-útstjoeringsstoarm, previnsje fan kweade firusoanfallen, ensfh.
2- Algemiene klassifikaasje fan netwurkapplikaasjes
Tsjintwurdich binne der ûntelbere applikaasjes op it ynternet, mar de gewoane webapplikaasjes kinne útwreide wêze.
Foar safier't ik wit, is it bêste app-erkenningsbedriuw Huawei, dat beweart 4.000 apps te werkennen. Protokolanalyse is de basismodule fan in protte firewallbedriuwen (Huawei, ZTE, ensfh.), en it is ek in heul wichtige module, dy't de realisaasje fan oare funksjonele modules stipet, krekte applikaasje-identifikaasje, en de prestaasjes en betrouberens fan produkten sterk ferbetteret. By it modellearjen fan malware-identifikaasje basearre op netwurkferkearskarakteristiken, lykas ik no doch, is krekte en wiidweidige protokolidentifikaasje ek heul wichtich. Utsein it netwurkferkear fan mienskiplike applikaasjes fan it eksportferkear fan it bedriuw, sil it oerbleaune ferkear in lyts part útmeitsje, wat better is foar malware-analyse en alarm.
Op basis fan myn ûnderfining wurde de besteande faak brûkte applikaasjes klassifisearre neffens har funksjes:
PS: Neffens persoanlik begryp fan 'e applikaasjeklassifikaasje, hawwe jo goede suggestjes wolkom om in berjochtfoarstel efter te litten
1). E-post
2). Fideo
3). Spultsjes
4). Kantoar OA-klasse
5). Software-update
6). Finansjeel (bank, Alipay)
7). Oandielen
8). Sosjale kommunikaasje (IM-software)
9). Webblêdzjen (wierskynlik better identifisearre mei URL's)
10). Download-ark (webskiif, P2P-download, BT-relatearre)
Dan, hoe't DPI (Deep Packet Inspection) wurket yn in NPB:
1). Pakketfangst: De NPB fangt netwurkferkear fan ferskate boarnen, lykas switches, routers of taps. It ûntfangt pakketten dy't troch it netwurk streame.
2). Pakketparsing: De fongen pakketten wurde parsearre troch de NPB om ferskate protokollagen en byhearrende gegevens te ekstrahearjen. Dit parseproses helpt by it identifisearjen fan de ferskate komponinten binnen de pakketten, lykas Ethernet-headers, IP-headers, transportlaachheaders (bygelyks TCP of UDP), en applikaasjelaachprotokollen.
3). Payload-analyze: Mei DPI giet de NPB fierder as header-ynspeksje en rjochtet him op 'e payload, ynklusyf de werklike gegevens binnen de pakketten. It ûndersiket de ynhâld fan 'e payload yngeand, ûnôfhinklik fan 'e brûkte applikaasje of protokol, om relevante ynformaasje te ekstrahearjen.
4). Protokolidentifikaasje: DPI stelt de NPB yn steat om de spesifike protokollen en applikaasjes te identifisearjen dy't brûkt wurde binnen it netwurkferkear. It kin protokollen lykas HTTP-, FTP-, SMTP-, DNS-, VoIP- of fideostreamingprotokollen detektearje en klassifisearje.
5). Ynhâldsynspeksje: DPI lit de NPB de ynhâld fan pakketten ynspektearje op spesifike patroanen, hantekeningen of kaaiwurden. Dit makket it mooglik om netwurkbedrigingen te detektearjen, lykas malware, firussen, ynbraakpogingen of fertochte aktiviteiten. DPI kin ek brûkt wurde foar ynhâldsfilterjen, it hanthavenjen fan netwurkbelied of it identifisearjen fan oertredings fan gegevensneilibjen.
6). Metadata-ekstraksje: Tidens DPI ekstraheart de NPB relevante metadata út 'e pakketten. Dit kin ynformaasje omfetsje lykas boarne- en bestimmings-IP-adressen, poartenûmers, sesjedetails, transaksjegegevens of oare relevante attributen.
7). Ferkearsrouting of filterjen: Op basis fan 'e DPI-analyze kin de NPB spesifike pakketten nei oanwiisde bestimmingen rûtearje foar fierdere ferwurking, lykas befeiligingsapparaten, monitoring-ark of analytyske platfoarms. It kin ek filterregels tapasse om pakketten te ferwiderjen of om te lieden op basis fan 'e identifisearre ynhâld of patroanen.
Pleatsingstiid: 25 juny 2023
