Diepe pakketinspectie (DPI)is een technologie die wordt gebruikt in Network Packet Brokers (NPB's) om de inhoud van netwerkpakketten op een korrelig niveau te inspecteren en te analyseren. Het omvat het onderzoeken van de payload, headers en andere protocolspecifieke informatie in pakketten om gedetailleerde inzichten in netwerkverkeer te verkrijgen.
DPI gaat verder dan eenvoudige header -analyse en biedt een diep begrip van de gegevens die door een netwerk stromen. Het maakt een diepgaande inspectie mogelijk van de applicatielaagprotocollen, zoals HTTP-, FTP-, SMTP-, VoIP- of videostreaming-protocollen. Door de werkelijke inhoud in pakketten te onderzoeken, kan DPI specifieke toepassingen, protocollen of zelfs specifieke gegevenspatronen detecteren en identificeren.
Naast de hiërarchische analyse van bronadressen, bestemmingsadressen, bronpoorten, bestemmingspoorten en protocoltypen, voegt DPI ook een analyse van applicatielayer toe om verschillende toepassingen en hun inhoud te identificeren. Wanneer het 1P -pakket-, TCP- of UDP -gegevensstroom door het bandbreedtemanagementsysteem op basis van DPI -technologie stroomt, leest het systeem de inhoud van de 1P -pakketbelasting om de toepassingslaaginformatie in het OSI Layer 7 -protocol te reorganiseren, dus om de inhoud van het gehele applicatieprogramma te krijgen en vervolgens het verkeer te vormen volgens het managementbeleid.
Hoe werkt DPI?
Traditionele firewalls missen vaak de verwerkingskracht om grondige realtime controles uit te voeren op grote hoeveelheden verkeer. Naarmate de technologie vordert, kan DPI worden gebruikt om complexere controles uit te voeren om headers en gegevens te controleren. Meestal gebruiken firewalls met inbraakdetectiesystemen vaak DPI. In een wereld waar digitale informatie voorop staat, wordt elk stukje digitale informatie op internet in kleine pakketten afgeleverd. Dit omvat e -mail, berichten die via de app zijn verzonden, websites bezocht, video -gesprekken en meer. Naast de werkelijke gegevens bevatten deze pakketten metagegevens die de verkeersbron, inhoud, bestemming en andere belangrijke informatie identificeert. Met pakketfilteringstechnologie kunnen gegevens continu worden gecontroleerd en beheerd om ervoor te zorgen dat deze naar de juiste plaats wordt doorgestuurd. Maar om netwerkbeveiliging te garanderen, is de traditionele pakketfiltering verre van voldoende. Enkele van de belangrijkste methoden van diepe pakketinspectie in netwerkbeheer worden hieronder vermeld:
Matching -modus/handtekening
Elk pakket wordt gecontroleerd op een match tegen een database met bekende netwerkaanvallen door een firewall met mogelijkheden voor Intrusion Detection System (IDS). IDS zoekt naar bekende kwaadaardige specifieke patronen en schakelt verkeer uit wanneer kwaadaardige patronen worden gevonden. Het nadeel van het kenmerkende matching -beleid is dat het alleen van toepassing is op handtekeningen die vaak worden bijgewerkt. Bovendien kan deze technologie zich alleen verdedigen tegen bekende bedreigingen of aanvallen.
Protocoluitzondering
Aangezien de protocol -uitzonderingstechniek niet alleen alle gegevens toestaat die niet overeenkomen met de handtekeningdatabase, heeft de protocol -uitzonderingstechniek die wordt gebruikt door de IDS -firewall niet de inherente gebreken van de patroon/handtekening -matching -methode. In plaats daarvan gaat het het standaardafwijzingsbeleid aan. Volgens protocoldefinitie beslissen firewalls welke verkeer het netwerk moet worden toegestaan en beschermen het netwerk tegen onbekende bedreigingen.
Intrusion Prevention System (IPS)
IPS -oplossingen kunnen de overdracht van schadelijke pakketten blokkeren op basis van hun inhoud, waardoor verdachte aanvallen in realtime worden gestopt. Dit betekent dat als een pakket een bekend beveiligingsrisico vertegenwoordigt, IPS proactief netwerkverkeer zal blokkeren op basis van een gedefinieerde set regels. Een nadeel van IPS is de noodzaak om regelmatig een cyberdreigingsdatabase bij te werken met details over nieuwe bedreigingen en de mogelijkheid van valse positieven. Maar dit gevaar kan worden beperkt door het creëren van conservatief beleid en aangepaste drempels, het vaststellen van passend basisgedrag voor netwerkcomponenten en het periodiek evalueren van waarschuwingen en gerapporteerde gebeurtenissen om monitoring en alarmering te verbeteren.
1- De DPI (diepe pakketinspectie) in netwerkpakketmakelaar
De "diepe" is niveau en gewone pakketanalysevergelijking, "gewone pakketinspectie" Alleen de volgende analyse van IP -pakket 4 -laag, inclusief het bronadres, bestemmingsadres, bronpoort, bestemmingspoort en protocoltype en DPI, behalve met de hiërarchische analyse, verhoogde ook de analyse van de applicatielaag, identificeer de verschillende applicaties en inhoud om de hoofdfuncties te realiseren:
1) Toepassingsanalyse - analyse van netwerkverkeersamenstelling, prestatieanalyse en flow -analyse
2) Gebruikersanalyse - Differentiatie van gebruikersgroep, gedragsanalyse, terminalanalyse, trendanalyse, enz.
3) Netwerkelementanalyse - Analyse op basis van regionale attributen (stad, district, straat, enz.) En basisstationbelasting
4) Verkeersregeling - P2P -snelheidsbeperking, QoS -verzekering, bandbreedte -verzekering, optimalisatie van netwerkbron, enz.
5) Beveiligingsbeveiliging - DDoS -aanvallen, gegevensuitzendingsstorm, preventie van kwaadwillende virusaanvallen, enz.
2- Algemene classificatie van netwerktoepassingen
Tegenwoordig zijn er talloze applicaties op internet, maar de gemeenschappelijke webapplicaties kunnen uitputtend zijn.
Voor zover ik weet, is het beste app -herkenningsbedrijf Huawei, dat beweert 4.000 apps te herkennen. Protocolanalyse is de basismodule van veel firewallbedrijven (Huawei, ZTE, enz.), En het is ook een zeer belangrijke module, die de realisatie van andere functionele modules, nauwkeurige applicatie -identificatie ondersteunt en de prestaties en betrouwbaarheid van producten aanzienlijk verbetert. Bij het modelleren van malware -identificatie op basis van netwerkverkeerskenmerken, zoals ik nu doe, is nauwkeurige en uitgebreide protocolidentificatie ook erg belangrijk. Exclusief het netwerkverkeer van gemeenschappelijke toepassingen van het exportverkeer van het bedrijf, is het resterende verkeer een klein deel, wat beter is voor malware -analyse en alarm.
Op basis van mijn ervaring worden de bestaande veelgebruikte toepassingen geclassificeerd volgens hun functies:
PS: Volgens persoonlijk begrip van de applicatieclassificatie heeft u goede suggesties welkom om een berichtvoorstel achter te laten
1). E-mail
2). Video
3). Spellen
4). Office OA -klas
5). Software -update
6). Financieel (bank, Alipay)
7). Aandelen
8). Sociale communicatie (IM -software)
9). Webbrowsing (waarschijnlijk beter geïdentificeerd met URL's)
10). Download Tools (Web Disk, P2P Download, BT gerelateerd)
Dan, hoe DPI (Deep Packet Inspection) werkt in een NPB:
1). Pakketopname: de NPB legt netwerkverkeer vast uit verschillende bronnen, zoals schakelaars, routers of kranen. Het ontvangt pakketten die door het netwerk stromen.
2). Packet Parsing: de vastgelegde pakketten worden door de NPB ontleed om verschillende protocollagen en bijbehorende gegevens te extraheren. Dit parsingproces helpt bij het identificeren van de verschillende componenten in de pakketten, zoals Ethernet -headers, IP -headers, transportlaagkoppen (bijv. TCP of UDP) en applicatielaagprotocollen.
3). Payload -analyse: met DPI gaat de NPB verder dan koptekstinspectie en richt zich op de payload, inclusief de werkelijke gegevens in de pakketten. Het onderzoekt de payload-inhoud diepgaand, ongeacht de gebruikte toepassing of het protocol, om relevante informatie te extraheren.
4). Protocolidentificatie: DPI stelt de NPB in staat om de specifieke protocollen en toepassingen te identificeren die worden gebruikt binnen het netwerkverkeer. Het kan protocollen zoals HTTP, FTP, SMTP-, DNS-, VoIP- of videostreamingprotocollen detecteren en classificeren.
5). Inhoudsinspectie: DPI kan de NPB de inhoud van pakketten inspecteren op specifieke patronen, handtekeningen of trefwoorden. Dit maakt de detectie van netwerkbedreigingen mogelijk, zoals malware, virussen, inbraakpogingen of verdachte activiteiten. DPI kan ook worden gebruikt voor het filteren van inhoud, het afdwingen van netwerkbeleid of het identificeren van schendingen van gegevenscompliance.
6). Metadata -extractie: tijdens DPI extraheert de NPB relevante metagegevens uit de pakketten. Dit kan informatie bevatten zoals bron- en bestemmings -IP -adressen, poortnummers, sessiegegevens, transactiegegevens of andere relevante attributen.
7). Verkeersroutering of filtering: op basis van de DPI -analyse kan de NPB specifieke pakketten naar aangewezen bestemmingen routeren voor verdere verwerking, zoals beveiligingsapparatuur, monitoringtools of analyseplatforms. Het kan ook filterregels toepassen om pakketten weg te gooien of om te leiden op basis van de geïdentificeerde inhoud of patronen.
Posttijd: juni-25-2023
