Network Packet Broker Apliko-Identigo Bazita sur DPI - Profunda Paka Inspektado

Profunda Paka Inspektado (DPI)estas teknologio uzita en Network Packet Brokers (NPBoj) por inspekti kaj analizi la enhavon de retpakaĵetoj sur grajneca nivelo. Ĝi implikas ekzameni la utilan ŝarĝon, titolojn kaj aliajn protokol-specifajn informojn ene de pakaĵoj por akiri detalajn sciojn pri rettrafiko.

DPI preterpasas simplan kapan analizon kaj provizas profundan komprenon de la datumoj fluantaj tra reto. Ĝi ebligas profundan inspektadon de la aplikaj tavolaj protokoloj, kiel HTTP, FTP, SMTP, VoIP aŭ protokoloj de videofluado. Ekzamenante la realan enhavon ene de pakaĵoj, DPI povas detekti kaj identigi specifajn aplikojn, protokolojn aŭ eĉ specifajn datumpadronojn.

Aldone al la hierarkia analizo de fontadresoj, cellokaj adresoj, fonthavenoj, cellokaj havenoj kaj protokolspecoj, DPI ankaŭ aldonas aplikaĵ-tavolan analizon por identigi diversajn aplikojn kaj ilian enhavon. Kiam la 1P-pakaĵeto, TCP aŭ UDP-datumoj fluas tra la bendolarĝa administrada sistemo bazita sur DPI-teknologio, la sistemo legas la enhavon de la 1P-paka ŝarĝo por reorganizi la aplikaĵan tavolinformojn en la OSI-Tavolo 7-protokolo, por akiri la enhavon de la tuta aplika programo, kaj poste formi la trafikon laŭ la administradpolitiko difinita de la sistemo.

Kiel funkcias DPI?

Al Tradiciaj fajromuroj ofte mankas la pretigpovo fari ĝisfundajn realtempajn kontrolojn sur grandaj volumoj de trafiko. Dum teknologio progresas, DPI povas esti uzata por fari pli kompleksajn kontrolojn por kontroli titolojn kaj datumojn. Tipe, fajromuroj kun entrudiĝaj detektsistemoj ofte uzas DPI. En mondo kie ciferecaj informoj estas Plej gravaj, ĉiu peco de ciferecaj informoj estas liverita tra la Interreto en malgrandaj pakaĵoj. Ĉi tio inkluzivas retpoŝton, mesaĝojn senditajn per la programo, retejojn vizitatajn, videokonversaciojn kaj pli. Krom la realaj datumoj, ĉi tiuj pakoj inkluzivas metadatenojn, kiuj identigas la trafikfonton, enhavon, celon kaj aliajn gravajn informojn. Kun paka filtra teknologio, datumoj povas esti kontinue monitoritaj kaj administritaj por certigi, ke ĝi estas plusendita al la ĝusta loko. Sed por certigi retan sekurecon, tradicia paka filtrado estas malproksima de sufiĉa. Kelkaj el la ĉefaj metodoj de profunda paka inspektado en retadministrado estas listigitaj malsupre:

Kongrua Reĝimo/Signo

Ĉiu pakaĵeto estas kontrolita por matĉo kontraŭ datumbazo de konataj retaj atakoj per fajroŝirmilo kun entrudiĝdetektosistemo (IDS) kapabloj. IDS serĉas konatajn malicajn specifajn ŝablonojn kaj malŝaltas trafikon kiam malicaj ŝablonoj estas trovitaj. La malavantaĝo de la subskriba kongrua politiko estas ke ĝi nur validas por subskriboj kiuj estas ĝisdatigitaj ofte. Krome, ĉi tiu teknologio povas nur defendi kontraŭ konataj minacoj aŭ atakoj.

DPI

Protokolo-Escepto

Ĉar la protokola escepttekniko ne simple permesas ĉiujn datenojn kiuj ne kongruas kun la signaturdatumbazo, la protokola escepttekniko uzita per la IDS-fajroŝirmilo ne havas la enecajn difektojn de la padrono/signatura kongrua metodo. Anstataŭe, ĝi adoptas la defaŭltan malakceptopolitikon. Laŭ protokola difino, fajroŝirmiloj decidas kian trafikon estu permesita kaj protektas la reton kontraŭ nekonataj minacoj.

Entrudiĝo-Preventa Sistemo (IPS)

IPS-solvoj povas bloki la transdonon de malutilaj pakoj surbaze de ilia enhavo, tiel ĉesigante ŝajnajn atakojn en reala tempo. Ĉi tio signifas, ke se pakaĵeto reprezentas konatan sekurecan riskon, IPS proaktive blokos retan trafikon bazitan sur difinita aro de reguloj. Unu malavantaĝo de IPS estas la bezono regule ĝisdatigi ciberminacdatumbazon kun detaloj pri novaj minacoj, kaj la ebleco de falsaj pozitivoj. Sed ĉi tiu danĝero povas esti mildigita per kreado de konservativaj politikoj kaj kutimaj sojloj, establante taŭgan bazan konduton por retaj komponantoj, kaj periode taksante avertojn kaj raportitajn eventojn por plibonigi monitoradon kaj atentadon.

1- La DPI (Deep Packet Inspection) en Network Packet Broker

La "profunda" estas nivelo kaj ordinara paka analizo komparo, "ordinara paka inspektado" nur la sekva analizo de IP pakaĵeto 4 tavolo, inkluzive de la fonta adreso, destina adreso, fonto haveno, destina haveno kaj protokolo tipo, kaj DPI krom kun la hierarkia analizo, ankaŭ pliigis la aplikan tavolon analizon, identigu la diversajn aplikojn kaj enhavon, por realigi la ĉefajn funkciojn:

1) Analizo de aplikaĵo -- analizo pri komponado de la reto, analizo de rendimento kaj analizo de fluo

2) Uzantanalizo -- uzantgrupo-diferencigo, konduta analizo, fina analizo, tendencanalizo ktp.

3) Reta Elementa Analizo -- analizo bazita sur regionaj atributoj (urbo, distrikto, strato, ktp.) kaj bazstacioŝarĝo

4) Trafika Kontrolo -- P2P-rapideco-limigo, QoS-certigo, bendolarĝa certigo, ret-rimeda optimumigo, ktp.

5) Sekureca Asekuro -- DDoS-atakoj, datumelsenda ŝtormo, antaŭzorgo de malicaj virusatakoj ktp.

2- Ĝenerala Klasifiko de Retaj Aplikoj

Hodiaŭ ekzistas sennombraj aplikoj en la Interreto, sed la komunaj retejo-aplikoj povas esti ĝisfundaj.

Laŭ mia scio, la plej bona kompanio por rekono de aplikaĵoj estas Huawei, kiu asertas rekoni 4 000 programojn. Protokola analizo estas la baza modulo de multaj fajroŝirmilaj kompanioj (Huawei, ZTE, ktp.), kaj ĝi ankaŭ estas tre grava modulo, subtenanta la realigon de aliaj funkciaj moduloj, preciza identigo de aplikaĵo kaj multe plibonigas la rendimenton kaj fidindecon de produktoj. En modeligado de malware-identigo bazita sur retaj trafikaj trajtoj, kiel mi faras nun, preciza kaj ampleksa protokola identigo ankaŭ estas tre grava. Ekskludante la retan trafikon de oftaj aplikoj de la eksporta trafiko de la kompanio, la restanta trafiko konsistigos malgrandan proporcion, kio estas pli bona por malware analizo kaj alarmo.

Surbaze de mia sperto, la ekzistantaj ofte uzataj aplikaĵoj estas klasifikitaj laŭ siaj funkcioj:

PS: Laŭ persona kompreno de la aplika klasifiko, vi havas bonajn sugestojn bonvena lasi mesaĝproponon

1). Retpoŝto

2). Video

3). Ludoj

4). Oficeja OA-klaso

5). Ĝisdatigo de programaro

6). Financa (banko, Alipay)

7). Akcioj

8). Socia Komunikado (IM-programaro)

9). Retumado (verŝajne pli bone identigita kun URL-oj)

10). Elŝutu ilojn (retdisko, P2P elŝuto, BT rilata)

20191210153150_32811

Tiam, kiel DPI (Profunda Paka Inspektado) funkcias en NPB:

1). Paka Kapto: La NPB kaptas retan trafikon de diversaj fontoj, kiel ŝaltiloj, enkursigiloj aŭ frapetoj. Ĝi ricevas pakaĵetojn fluantajn tra la reto.

2). Analizado de pakaĵetoj: La kaptitaj pakaĵetoj estas analizitaj de la NPB por ĉerpi diversajn protokoltavolojn kaj rilatajn datumojn. Ĉi tiu analizprocezo helpas identigi la malsamajn komponentojn ene de la pakaĵetoj, kiel Eterreto-titoloj, Ip-titoloj, transporttavolaj kaplinioj (ekz., TCP aŭ UDP), kaj aplikaj tavolprotokoloj.

3). Utila Analizo: Kun DPI, la NPB iras preter titola inspektado kaj temigas la utilan ŝarĝon, inkluzive de la realaj datumoj ene de la pakaĵoj. Ĝi ekzamenas la ŝarĝan enhavon profunde, sendepende de la aplikaĵo aŭ protokolo uzata, por ĉerpi koncernajn informojn.

4). Protokolo-Identigo: DPI ebligas la NPB identigi la specifajn protokolojn kaj aplikojn estantajn uzitaj ene de la rettrafiko. Ĝi povas detekti kaj klasifiki protokolojn kiel HTTP, FTP, SMTP, DNS, VoIP aŭ protokolojn de videofluado.

5). Enhavo-Inspektado: DPI permesas al la NPB inspekti la enhavon de pakaĵetoj por specifaj padronoj, signaturoj aŭ ŝlosilvortoj. Ĉi tio ebligas la detekton de retaj minacoj, kiel malware, virusoj, entrudiĝaj provoj aŭ suspektindaj agadoj. DPI ankaŭ povas esti uzata por filtrado de enhavo, devigi retajn politikojn aŭ identigi malobservojn pri datumkonformeco.

6). Eltiro de Metadatenoj: Dum DPI, la NPB eltiras signifajn metadatenojn de la pakaĵetoj. Ĉi tio povas inkluzivi informojn kiel fonto kaj celloko IP-adresoj, havenaj nombroj, sesiodetaloj, transakciaj datumoj aŭ ajnaj aliaj rilataj atributoj.

7). Trafika Vokado aŭ Filtrado: Surbaze de la DPI-analizo, la NPB povas direkti specifajn pakaĵojn al elektitaj cellokoj por plia pretigo, kiel ekzemple sekurecaj aparatoj, monitoraj iloj aŭ analizaj platformoj. Ĝi ankaŭ povas apliki filtrajn regulojn por forĵeti aŭ redirekti pakaĵojn bazitajn sur la identigitaj enhavo aŭ ŝablonoj.

ML-NPB-5660 3d


Afiŝtempo: Jun-25-2023