Profunda Pakaĵa Inspektado (DPI)estas teknologio uzata en Retaj Pakaĵaj Perantoj (NPB-oj) por inspekti kaj analizi la enhavon de retpakaĵoj je detala nivelo. Ĝi implikas ekzameni la utilan ŝarĝon, kapliniojn kaj aliajn protokol-specifajn informojn ene de pakaĵoj por akiri detalajn komprenojn pri rettrafiko.
DPI iras preter simpla analizo de kaplinioj kaj provizas profundan komprenon pri la datumoj fluantaj tra reto. Ĝi ebligas profundan inspektadon de la protokoloj de la aplikaĵtavolo, kiel ekzemple HTTP, FTP, SMTP, VoIP, aŭ video-retsendaj protokoloj. Ekzamenante la faktan enhavon ene de pakaĵoj, DPI povas detekti kaj identigi specifajn aplikaĵojn, protokolojn, aŭ eĉ specifajn datenajn ŝablonojn.
Aldone al la hierarkia analizo de fontadresoj, celadresoj, fontpordoj, celpordoj kaj protokoltipoj, DPI ankaŭ aldonas aplikaĵ-tavolan analizon por identigi diversajn aplikaĵojn kaj ilian enhavon. Kiam la 1P-pakaĵetoj, TCP- aŭ UDP-datumoj fluas tra la bendolarĝa administra sistemo bazita sur DPI-teknologio, la sistemo legas la enhavon de la 1P-pakaĵetoŝarĝo por reorganizi la aplikaĵtavolajn informojn en la OSI-Tavolo 7-protokolo, por akiri la enhavon de la tuta aplikaĵprogramo, kaj poste formi la trafikon laŭ la administra politiko difinita de la sistemo.
Kiel funkcias DPI?
Tradiciaj fajromuroj ofte ne havas la pretigan potencon por plenumi detalajn realtempajn kontrolojn de grandaj trafikvolumoj. Dum la teknologio progresas, DPI povas esti uzata por plenumi pli kompleksajn kontrolojn por kontroli kapliniojn kaj datumojn. Tipe, fajromuroj kun entrudiĝdetektaj sistemoj ofte uzas DPI. En mondo kie cifereca informo estas plej grava, ĉiu peco de cifereca informo estas liverita tra la Interreto en malgrandaj pakaĵetoj. Tio inkluzivas retpoŝton, mesaĝojn senditajn per la aplikaĵo, vizititajn retejojn, videokonversaciojn kaj pli. Aldone al la faktaj datumoj, ĉi tiuj pakaĵetoj inkluzivas metadatenojn, kiuj identigas la trafikfonton, enhavon, cellokon kaj aliajn gravajn informojn. Kun pakaĵfiltra teknologio, datumoj povas esti kontinue monitoritaj kaj administritaj por certigi, ke ili estas plusenditaj al la ĝusta loko. Sed por certigi retsekurecon, tradicia pakaĵfiltrado estas malproksima de sufiĉa. Kelkaj el la ĉefaj metodoj de profunda pakaĵinspektado en retadministrado estas listigitaj sube:
Kongrua Reĝimo/Subskribo
Ĉiu pakaĵeto estas kontrolata por kongruo kun datumbazo de konataj retaj atakoj per fajromuro kun kapabloj de entrudiĝa detekta sistemo (IDS). IDS serĉas konatajn malicajn specifajn ŝablonojn kaj malŝaltas trafikon kiam malicaj ŝablonoj estas trovitaj. La malavantaĝo de la subskribo-kongruiga politiko estas, ke ĝi validas nur por subskriboj, kiuj estas ĝisdatigataj ofte. Krome, ĉi tiu teknologio povas defendi nur kontraŭ konataj minacoj aŭ atakoj.
Protokola Escepto
Ĉar la protokola escepta tekniko ne simple permesas ĉiujn datumojn, kiuj ne kongruas kun la subskribo-datumbazo, la protokola escepta tekniko uzata de la IDS-fajroŝirmilo ne havas la enecajn difektojn de la ŝablono/subskribo-kongruiga metodo. Anstataŭe, ĝi adoptas la defaŭltan malakcepto-politikon. Laŭ protokola difino, fajroŝirmiloj decidas, kia trafiko estu permesita kaj protektas la reton kontraŭ nekonataj minacoj.
Sistemo por Preventado de Entrudiĝoj (IPS)
IPS-solvoj povas bloki la dissendon de damaĝaj pakaĵetoj surbaze de ilia enhavo, tiel haltigante suspektatajn atakojn en reala tempo. Tio signifas, ke se pakaĵeto reprezentas konatan sekurecriskon, IPS proaktive blokos retan trafikon surbaze de difinita aro da reguloj. Unu malavantaĝo de IPS estas la bezono regule ĝisdatigi ciberminacan datumbazon kun detaloj pri novaj minacoj kaj la ebleco de falsaj pozitivoj. Sed ĉi tiu danĝero povas esti mildigita per kreado de konservativaj politikoj kaj kutimaj sojloj, establante taŭgan bazan konduton por retkomponantoj, kaj periode taksante avertojn kaj raportitajn okazaĵojn por plibonigi monitoradon kaj avertadon.
1- La DPI (Profunda Pakaĵa Inspektado) en Reta Pakaĵa Peranto
La "profunda" estas komparo de nivelo kaj ordinara pakaĵanalizo, "ordinara pakaĵinspektado" nur la sekva analizo de IP-pakaĵa 4-tavola, inkluzive de la fontadreso, celadreso, fontpordo, celpordo kaj protokoltipo, kaj DPI krom per la hierarkia analizo, ankaŭ pliigis la aplikaĵtavolan analizon, identigante la diversajn aplikojn kaj enhavon, por realigi la ĉefajn funkciojn:
1) Aplikaĵa Analizo -- analizo de la konsisto de la reto-trafiko, analizo de la rendimento kaj analizo de la fluo
2) Analizo de uzantoj -- diferencigo de uzantoj, analizo de konduto, analizo de terminaloj, analizo de tendencoj, ktp.
3) Analizo de Retaj Elementoj -- analizo bazita sur regionaj atributoj (urbo, distrikto, strato, ktp.) kaj ŝarĝo de bazstacio
4) Trafikregado -- P2P-rapidlimigo, QoS-certigo, bendolarĝo-certigo, retresursa optimumigo, ktp.
5) Sekureca certigo -- DDoS-atakoj, daten-elsenda ŝtormo, preventado de malicaj virusatakoj, ktp.
2- Ĝenerala Klasifiko de Retaj Aplikoj
Hodiaŭ ekzistas sennombraj aplikaĵoj en la Interreto, sed la komunaj TTT-aplikaĵoj povas esti elĉerpaj.
Laŭ mia scio, la plej bona aplikaĵ-rekona kompanio estas Huawei, kiu asertas rekoni 4 000 aplikaĵojn. Protokola analizo estas la baza modulo de multaj fajromurfirmaoj (Huawei, ZTE, ktp.), kaj ĝi estas ankaŭ tre grava modulo, subtenante la realigon de aliaj funkciaj moduloj, precizan aplikaĵ-identigon, kaj multe plibonigante la rendimenton kaj fidindecon de produktoj. En modelado de malica programaro-identigo bazita sur ret-trafikaj karakterizaĵoj, kiel mi nun faras, preciza kaj ampleksa protokola identigo ankaŭ estas tre grava. Ekskludante la retan trafikon de komunaj aplikaĵoj el la eksporta trafiko de la kompanio, la restanta trafiko konsistigos malgrandan proporcion, kio estas pli bona por malica programaro-analizo kaj alarmo.
Surbaze de mia sperto, la ekzistantaj ofte uzataj aplikaĵoj estas klasifikitaj laŭ siaj funkcioj:
PS: Laŭ persona kompreno pri la klasifiko de la aplikoj, se vi havas bonajn sugestojn, bonvenon lasi mesaĝon kiel proponon.
1). Retpoŝto
2). Video
3). Ludoj
4). Oficeja OA-klaso
5). Programara ĝisdatigo
6). Financa (banko, Alipay)
7). Akcioj
8). Socia Komunikado (IM-programaro)
9). Retumado (verŝajne pli bone identigebla per URL-oj)
10). Elŝutaj iloj (TTT-disko, P2P-elŝuto, BT-rilataj)
Do, kiel DPI (Profunda Pakaĵa Inspektado) funkcias en NPB:
1). Pakaĵkaptado: La NPB kaptas rettrafikon el diversaj fontoj, kiel ŝaltiloj, enkursigiloj aŭ konektiloj. Ĝi ricevas pakaĵojn fluantajn tra la reto.
2). Pakaĵa Analizo: La kaptitaj pakaĵoj estas analizitaj de la NPB por ĉerpi diversajn protokoltavolojn kaj rilatajn datumojn. Ĉi tiu analiza procezo helpas identigi la malsamajn komponantojn ene de la pakaĵoj, kiel ekzemple Eterretaj kaplinioj, IP-kaplinioj, transporttavolaj kaplinioj (ekz., TCP aŭ UDP), kaj aplikaĵtavolaj protokoloj.
3). Analizo de Utila Ŝarĝo: Kun DPI, la NPB iras preter la inspektado de la kaplinio kaj fokusiĝas al la utila ŝarĝo, inkluzive de la faktaj datumoj ene de la pakaĵoj. Ĝi detale ekzamenas la enhavon de la utila ŝarĝo, sendepende de la uzata aplikaĵo aŭ protokolo, por ĉerpi koncernajn informojn.
4). Protokola Identigo: DPI ebligas al la NPB identigi la specifajn protokolojn kaj aplikojn uzatajn ene de la rettrafiko. Ĝi povas detekti kaj klasifiki protokolojn kiel HTTP, FTP, SMTP, DNS, VoIP, aŭ video-retsendajn protokolojn.
5). Enhavo-Inspektado: DPI permesas al NPB inspekti la enhavon de pakaĵoj por specifaj ŝablonoj, subskriboj aŭ ŝlosilvortoj. Ĉi tio ebligas la detekton de retminacoj, kiel ekzemple malica programaro, virusoj, entrudiĝaj provoj aŭ suspektindaj agadoj. DPI ankaŭ povas esti uzata por enhavfiltrado, devigado de retpolitikoj aŭ identigado de datenkonformecaj malobservoj.
6). Metadatena Ekstraktado: Dum DPI, la NPB ekstraktas koncernajn metadatenojn el la pakaĵoj. Tio povas inkluzivi informojn kiel fontajn kaj celajn IP-adresojn, havennumerojn, seancajn detalojn, transakciajn datumojn aŭ iujn ajn aliajn koncernajn atributojn.
7). Trafika Vojigo aŭ Filtrado: Surbaze de la DPI-analizo, la NPB povas sendi specifajn pakaĵetojn al difinitaj cellokoj por plia prilaborado, kiel ekzemple sekurecaj aparatoj, monitoraj iloj aŭ analizaj platformoj. Ĝi ankaŭ povas apliki filtradregulojn por forĵeti aŭ redirekti pakaĵetojn surbaze de la identigita enhavo aŭ ŝablonoj.
Afiŝtempo: 25-a de junio 2023
