Reto -paka maklerista aplika identigo bazita sur DPI - Profunda paka inspektado

Inspektado de Profunda Paketo (Dpi)estas teknologio uzata en retpakaj makleristoj (NPBS) por inspekti kaj analizi la enhavon de retaj pakaĵoj je granula nivelo. Ĝi implikas ekzameni la ŝarĝon, titolojn kaj aliajn protokolajn specifajn informojn ene de pakaĵoj por akiri detalajn komprenojn pri reta trafiko.

DPI preterpasas simplan kaplinian analizon kaj donas profundan komprenon pri la datumoj fluantaj tra reto. Ĝi permesas profundan inspektadon de la aplika tavolo-protokoloj, kiel HTTP, FTP, SMTP, VoIP, aŭ video-streaming-protokoloj. Ekzamenante la efektivan enhavon ene de pakaĵoj, DPI povas detekti kaj identigi specifajn aplikojn, protokolojn aŭ eĉ specifajn datumajn ŝablonojn.

Krom la hierarkia analizo de fontaj adresoj, cellokaj adresoj, fontaj havenoj, destinaj havenoj kaj protokolaj tipoj, DPI ankaŭ aldonas aplik-tavolan analizon por identigi diversajn aplikojn kaj iliajn enhavojn. Kiam la 1P -paketo, TCP aŭ UDP -datumoj fluas tra la larĝa larĝa administrada sistemo surbaze de DPI -teknologio, la sistemo legas la enhavon de la 1P -paka ŝarĝo por reorganizi la informojn pri la tavolo de la OSI en la protokolo de OSI -tavolo 7, por akiri la enhavon de la tuta aplika programo, kaj tiam formi la trafikon laŭ la administra politiko difinita per la sistemo.

Kiel DPI funkcias?

Tradiciaj firewalls ofte malhavas la pretigan potencon por plenumi ĝisfundajn realtempajn ĉekojn pri grandaj volumoj de trafiko. Dum teknologio progresas, DPI povas esti uzata por plenumi pli kompleksajn ĉekojn por kontroli kapliniojn kaj datumojn. Tipe, firewalls kun entrudaj detektaj sistemoj ofte uzas DPI. En mondo, kie cifereca informo estas plej grava, ĉiu peco de cifereca informo estas liverita per interreto en malgrandaj pakaĵoj. Ĉi tio inkluzivas retpoŝton, mesaĝojn senditajn per la app, retejoj vizititaj, video -konversacioj kaj pli. Krom la realaj datumoj, ĉi tiuj pakaĵoj inkluzivas metadatojn, kiuj identigas la trafikan fonton, enhavon, cellokon kaj aliajn gravajn informojn. Kun paka filtra teknologio, datumoj povas esti kontinue kontrolataj kaj sukcesitaj por certigi, ke ĝi estas plusendita al la ĝusta loko. Sed por certigi retan sekurecon, tradicia paka filtrado estas sufiĉe malproksima. Iuj el la ĉefaj metodoj de profunda paka inspektado en reto -administrado estas listigitaj sube:

Kongrua reĝimo/subskribo

Ĉiu pakaĵo estas kontrolita por matĉo kontraŭ datumbazo de konataj retaj atakoj per fajroŝirmilo kun kapabloj de detekto de entrudiĝoj (IDS). IDS -serĉoj por konataj malicaj specifaj ŝablonoj kaj malebligas trafikon kiam oni trovas malicajn padronojn. La malavantaĝo de la subskriba kongrua politiko estas, ke ĝi validas nur por subskriboj, kiuj estas ĝisdatigitaj ofte. Krome, ĉi tiu teknologio nur povas defendi kontraŭ konataj minacoj aŭ atakoj.

DPI

Protokola Escepto

Ĉar la protokola escepta tekniko ne simple permesas ĉiujn datumojn, kiuj ne kongruas kun la subskriba datumbazo, la protokola escepta tekniko uzata de la IDS -fajroŝirmilo ne havas la enajn difektojn de la ŝablono/subskriba kongrua metodo. Anstataŭe, ĝi adoptas la defaŭltan malakceptan politikon. Per protokola difino, fajroŝirmiloj decidas, kia trafiko devas esti permesita kaj protekti la reton kontraŭ nekonataj minacoj.

Intrusion Prevention System (IPS)

IPS -solvoj povas bloki la transdonon de malutilaj pakaĵoj surbaze de ilia enhavo, tiel ĉesigante suspektatajn atakojn en reala tempo. Ĉi tio signifas, ke se paketo reprezentas konatan sekurecan riskon, IPS proaktive blokos retan trafikon bazitan sur difinita aro de reguloj. Unu malavantaĝo de IPS estas la bezono regule ĝisdatigi ciber -minacan datumbazon kun detaloj pri novaj minacoj kaj la ebleco de falsaj pozitivoj. Sed ĉi tiu danĝero povas esti mildigita kreante konservativajn politikojn kaj kutimajn sojlojn, establante taŭgan bazan konduton por retaj komponentoj, kaj periode taksante avertojn kaj raportitajn eventojn por plibonigi monitoradon kaj atentigon.

1- La DPI (Profunda Paketo-Inspektado) en Reto-Paka Makleristo

La "profunda" estas nivelo kaj ordinara paka analizo, "ordinara paka inspektado" nur la sekva analizo de IP -paketo 4 tavolo, inkluzive de la fontadreso, celloko, fonto -haveno, destina haveno kaj protokola tipo, kaj DPI krom kun la hierarkia analizo, ankaŭ pliigis la aplikan tavolan analizon, identigas la diversajn aplikojn kaj enhavon, por realigi la ĉefajn funkciojn: ankaŭ pliigis la aplikan tavolan analizon, identigas la diversajn aplikojn kaj enhavon, por realigi la ĉefajn funkciojn::

1) Aplika Analizo - Analizo de Retaj Trafikaj Kunmetaĵoj, Analizo de Rendimento, kaj Flua Analizo

2) Uzanto -Analizo - Uzanto -Grupo -Diferenco, Konduta Analizo, Terminala Analizo, Tendenco -Analizo, ktp.

3) Analizo de Reto -Elemento - Analizo bazita sur regionaj atributoj (urbo, distrikto, strato, ktp.) Kaj ŝarĝo de bazstacio

4) Trafika kontrolo - P2P -rapideca limigo, QoS -garantio, larĝa bando -certigo, reta rimedo -optimumigo, ktp.

5) Sekureca certigo - DDoS -atakoj, datum -elsendita ŝtormo, preventado de malicaj virusaj atakoj, ktp.

2- Ĝenerala klasifiko de retaj aplikoj

Hodiaŭ estas sennombraj aplikoj en la interreto, sed la komunaj retaj aplikoj povas esti ĝisfundaj.

Laŭ mia scio, la plej bona kompanio pri rekono de aplikoj estas Huawei, kiu asertas rekoni 4.000 programojn. Protokola analizo estas la baza modulo de multaj firewall -kompanioj (Huawei, ZTE, ktp.), Kaj ĝi ankaŭ estas tre grava modulo, subtenanta la realigon de aliaj funkciaj moduloj, preciza aplika identigo kaj multe plibonigante la agadon kaj fidindecon de produktoj. En modeligado de malware -identigo bazita sur retaj trafikaj trajtoj, kiel mi faras nun, preciza kaj vasta protokola identigo ankaŭ estas tre grava. Ekskludante la retan trafikon de komunaj aplikoj de la eksporta trafiko de la kompanio, la restanta trafiko respondecos pri malgranda proporcio, kiu estas pli bona por malware -analizo kaj alarmo.

Surbaze de mia sperto, la ekzistantaj komune uzataj aplikoj estas klasifikitaj laŭ iliaj funkcioj:

PS: Laŭ persona kompreno de la aplika klasifiko, vi havas bonajn sugestojn bonvenajn lasi mesaĝan proponon

1). Retpoŝto

2). Video

3). Ludoj

4). Oficeja OA -Klaso

5). Programaro -Ĝisdatigo

6). Financa (Banko, Alipay)

7). Akcioj

8). Socia Komunikado (IM -Programaro)

9). Retumado (probable pli bone identigita kun URLoj)

10). Elŝutaj Iloj (Reteja Disko, P2P Elŝuti, BT Rilata)

20191210153150_32811

Tiam, kiel DPI (profunda paka inspektado) funkcias en NPB:

1). Packet Capture: La NPB kaptas retan trafikon el diversaj fontoj, kiel ŝaltiloj, enkursigiloj aŭ frapetoj. Ĝi ricevas pakaĵojn fluantajn tra la reto.

2). Packet Parsing: La kaptitaj pakaĵoj estas analizitaj de la NPB por ĉerpi diversajn protokolajn tavolojn kaj asociitajn datumojn. Ĉi tiu analiza procezo helpas identigi la malsamajn komponentojn ene de la pakaĵoj, kiel Ethernet -kapoj, IP -kapoj, transportaj tavolaj kapoj (ekz. TCP aŭ UDP), kaj aplikaj tavolaj protokoloj.

3). Analizo de ŝarĝo: Kun DPI, la NPB iras preter kaplinia inspektado kaj fokusas pri la ŝarĝo, inkluzive de la efektivaj datumoj ene de la pakaĵoj. Ĝi ekzamenas la ŝarĝan enhavon profunde, sendepende de la aplikaĵo aŭ protokolo uzata, por ĉerpi koncernajn informojn.

4). Protokola identigo: DPI ebligas al NPB identigi la specifajn protokolojn kaj aplikojn uzatajn en la reto -trafiko. Ĝi povas detekti kaj klasifiki protokolojn kiel HTTP, FTP, SMTP, DNS, VoIP, aŭ video -streaming -protokoloj.

5). Inspektado pri enhavo: DPI permesas al NPB inspekti la enhavon de pakaĵoj por specifaj ŝablonoj, subskriboj aŭ ŝlosilvortoj. Ĉi tio ebligas la detekton de retaj minacoj, kiel malware, virusoj, entrudaj provoj aŭ suspektindaj agadoj. DPI ankaŭ povas esti uzata por enhavo -filtrado, apliki retajn politikojn aŭ identigi malobservojn de datuma plenumo.

6). Metadata Eltiro: Dum DPI, la NPB ĉerpas koncernajn metadatojn el la pakaĵoj. Ĉi tio povas inkluzivi informojn kiel fontaj kaj cellokaj IP -adresoj, havenaj nombroj, sesiaj detaloj, transakciaj datumoj aŭ iuj aliaj koncernaj atributoj.

7). Trafika enrutado aŭ filtrado: Surbaze de la DPI -analizo, la NPB povas direkti specifajn pakaĵojn al nomumitaj cellokoj por plua prilaborado, kiel sekurecaj aparatoj, monitoradaj iloj aŭ analizaj platformoj. Ĝi ankaŭ povas apliki filtrajn regulojn por forĵeti aŭ redirekti pakaĵojn bazitajn sur la identigita enhavo aŭ ŝablonoj.

ML-NPB-5660 3D


Afiŝotempo: Jun-25-2023