Diepgaande pakketinspectie (DPI)Dit is een technologie die wordt gebruikt in Network Packet Brokers (NPB's) om de inhoud van netwerkpakketten op een gedetailleerd niveau te inspecteren en analyseren. Het omvat het onderzoeken van de payload, headers en andere protocolspecifieke informatie binnen pakketten om gedetailleerd inzicht te krijgen in het netwerkverkeer.
DPI gaat verder dan eenvoudige headeranalyse en biedt een diepgaand inzicht in de data die door een netwerk stroomt. Het maakt een grondige inspectie mogelijk van de applicatielaagprotocollen, zoals HTTP, FTP, SMTP, VoIP of videostreamingprotocollen. Door de daadwerkelijke inhoud van pakketten te onderzoeken, kan DPI specifieke applicaties, protocollen of zelfs specifieke datap patronen detecteren en identificeren.
Naast de hiërarchische analyse van bronadressen, bestemmingsadressen, bronpoorten, bestemmingspoorten en protocoltypen, voegt DPI ook een analyse op applicatielaagniveau toe om verschillende applicaties en hun inhoud te identificeren. Wanneer een 1P-pakket, TCP- of UDP-data door het bandbreedtebeheersysteem op basis van DPI-technologie stroomt, leest het systeem de inhoud van de 1P-pakketlading om de informatie op applicatielaagniveau in het OSI Layer 7-protocol te reorganiseren, zodat de inhoud van het volledige applicatieprogramma wordt verkregen en het verkeer vervolgens wordt gevormd volgens het door het systeem gedefinieerde beheerbeleid.
Hoe werkt DPI?
Traditionele firewalls beschikken vaak niet over de verwerkingskracht om grondige realtime controles uit te voeren op grote hoeveelheden verkeer. Naarmate de technologie vordert, kan DPI (Deep Packet Inspection) worden gebruikt om complexere controles uit te voeren op headers en data. Firewalls met inbraakdetectiesystemen maken doorgaans gebruik van DPI. In een wereld waarin digitale informatie van het grootste belang is, wordt elk stukje digitale informatie via internet verzonden in kleine pakketten. Dit omvat e-mail, berichten die via apps worden verzonden, bezochte websites, videogesprekken en meer. Naast de daadwerkelijke data bevatten deze pakketten metadata die de verkeersbron, inhoud, bestemming en andere belangrijke informatie identificeren. Met packetfilteringtechnologie kan data continu worden gemonitord en beheerd om ervoor te zorgen dat deze naar de juiste bestemming wordt doorgestuurd. Maar om netwerkbeveiliging te garanderen, is traditionele packetfiltering lang niet voldoende. Enkele van de belangrijkste methoden voor deep packet inspection in netwerkbeheer worden hieronder beschreven:
Bijpassende modus/handtekening
Elk datapakket wordt door een firewall met een inbraakdetectiesysteem (IDS) gecontroleerd op overeenkomsten met een database van bekende netwerkaanvallen. Het IDS zoekt naar bekende, kwaadaardige patronen en blokkeert het verkeer wanneer deze patronen worden gevonden. Het nadeel van dit beleid voor het matchen van signaturen is dat het alleen van toepassing is op signaturen die regelmatig worden bijgewerkt. Bovendien kan deze technologie alleen beschermen tegen bekende bedreigingen of aanvallen.
Protocoluitzondering
Omdat de protocoluitzonderingstechniek niet simpelweg alle gegevens toelaat die niet overeenkomen met de handtekeningendatabase, heeft de protocoluitzonderingstechniek die door de IDS-firewall wordt gebruikt niet de inherente gebreken van de patroon-/handtekeningvergelijkingsmethode. In plaats daarvan hanteert deze het standaard afwijzingsbeleid. Volgens de protocoldefinitie bepalen firewalls welk verkeer is toegestaan en beschermen ze het netwerk tegen onbekende bedreigingen.
Inbraakpreventiesysteem (IPS)
IPS-oplossingen kunnen de verzending van schadelijke pakketten blokkeren op basis van hun inhoud, waardoor verdachte aanvallen in realtime worden gestopt. Dit betekent dat als een pakket een bekend beveiligingsrisico vormt, IPS proactief netwerkverkeer blokkeert op basis van een vooraf gedefinieerde set regels. Een nadeel van IPS is de noodzaak om regelmatig een database met cyberdreigingen bij te werken met details over nieuwe dreigingen, en de mogelijkheid van valse positieven. Dit risico kan echter worden beperkt door conservatieve beleidsregels en aangepaste drempelwaarden te creëren, passend basisgedrag voor netwerkcomponenten vast te stellen en periodiek waarschuwingen en gerapporteerde gebeurtenissen te evalueren om de monitoring en het alarmsysteem te verbeteren.
1- De DPI (Deep Packet Inspection) in Network Packet Broker
"Deep Packet Inspection" (DPI) is een vergelijking tussen een diepgaande analyse en een gewone pakketanalyse. Bij "gewone pakketinspectie" wordt alleen de vierde laag van een IP-pakket geanalyseerd, inclusief het bronadres, het bestemmingsadres, de bronpoort, de bestemmingspoort en het protocoltype. DPI biedt naast deze hiërarchische analyse ook een uitgebreidere analyse van de applicatielaag, waarbij verschillende applicaties en hun inhoud worden geïdentificeerd om de belangrijkste functies te realiseren.
1) Applicatieanalyse -- analyse van de samenstelling van het netwerkverkeer, prestatieanalyse en stroomanalyse
2) Gebruikersanalyse -- differentiatie van gebruikersgroepen, gedragsanalyse, terminalanalyse, trendanalyse, enz.
3) Netwerkelementanalyse -- analyse gebaseerd op regionale kenmerken (stad, district, straat, enz.) en de belasting van het basisstation.
4) Verkeersbeheer -- P2P-snelheidsbeperking, QoS-garantie, bandbreedtegarantie, optimalisatie van netwerkbronnen, enz.
5) Beveiligingsgarantie -- DDoS-aanvallen, data-broadcaststormen, preventie van aanvallen met kwaadaardige virussen, enz.
2. Algemene classificatie van netwerktoepassingen
Tegenwoordig zijn er talloze applicaties op het internet, maar de meest gebruikte webapplicaties kunnen erg uitgebreid zijn.
Voor zover ik weet, is Huawei het beste bedrijf op het gebied van app-herkenning, met de claim dat het 4000 apps kan herkennen. Protocolanalyse is de basismodule van veel firewallbedrijven (Huawei, ZTE, enz.) en tevens een zeer belangrijke module die de realisatie van andere functionele modules ondersteunt, nauwkeurige applicatie-identificatie mogelijk maakt en de prestaties en betrouwbaarheid van producten aanzienlijk verbetert. Bij het modelleren van malware-identificatie op basis van netwerkverkeerskenmerken, zoals ik nu doe, is nauwkeurige en uitgebreide protocolidentificatie ook erg belangrijk. Door het netwerkverkeer van gangbare applicaties uit te sluiten van het exportverkeer van het bedrijf, zal het resterende verkeer een klein deel uitmaken, wat beter is voor malware-analyse en -waarschuwing.
Op basis van mijn ervaring worden de bestaande, veelgebruikte applicaties ingedeeld naar hun functies:
PS: Als ik de classificatie van de applicatie goed begrijp, hoor ik graag uw suggesties. Laat gerust een bericht achter.
1). E-mail
2). Video
3). Spellen
4). Office OA-les
5). Software-update
6). Financieel (bank, Alipay)
7). Aandelen
8). Sociale communicatie (IM-software)
9). Webbrowsen (waarschijnlijk beter te herkennen aan URL's)
10). Downloadtools (webdisk, P2P-download, BT-gerelateerd)
Hoe werkt DPI (Deep Packet Inspection) dan in een NPB?
1). Pakketregistratie: De NPB registreert netwerkverkeer van verschillende bronnen, zoals switches, routers of taps. Het ontvangt pakketten die door het netwerk stromen.
2) Pakketanalyse: De vastgelegde pakketten worden door de NPB geanalyseerd om de verschillende protocollagen en bijbehorende gegevens te extraheren. Dit analyseproces helpt bij het identificeren van de verschillende componenten binnen de pakketten, zoals Ethernet-headers, IP-headers, transportlaagheaders (bijv. TCP of UDP) en applicatielaagprotocollen.
3) Payloadanalyse: Met DPI gaat de NPB verder dan alleen het inspecteren van de header en richt zich op de payload, inclusief de daadwerkelijke gegevens in de pakketten. Het onderzoekt de payloadinhoud grondig, ongeacht de gebruikte applicatie of het protocol, om relevante informatie te extraheren.
4) Protocolidentificatie: DPI stelt de NPB in staat om de specifieke protocollen en applicaties te identificeren die in het netwerkverkeer worden gebruikt. Het kan protocollen zoals HTTP, FTP, SMTP, DNS, VoIP of videostreamingprotocollen detecteren en classificeren.
5) Inhoudsinspectie: DPI stelt de NPB in staat de inhoud van pakketten te inspecteren op specifieke patronen, signaturen of trefwoorden. Dit maakt de detectie van netwerkdreigingen mogelijk, zoals malware, virussen, inbraakpogingen of verdachte activiteiten. DPI kan ook worden gebruikt voor inhoudsfiltering, het afdwingen van netwerkbeleid of het identificeren van schendingen van de gegevensbeschermingsregels.
6) Extractie van metadata: Tijdens DPI extraheert de NPB relevante metadata uit de pakketten. Dit kan informatie bevatten zoals bron- en bestemmings-IP-adressen, poortnummers, sessiegegevens, transactiegegevens of andere relevante kenmerken.
7) Verkeersroutering of -filtering: Op basis van de DPI-analyse kan de NPB specifieke pakketten routeren naar aangewezen bestemmingen voor verdere verwerking, zoals beveiligingsapparaten, monitoringtools of analyseplatformen. Het kan ook filterregels toepassen om pakketten te verwijderen of om te leiden op basis van de geïdentificeerde inhoud of patronen.
Geplaatst op: 25 juni 2023
