Diepe pakketinspectie (DPI)is een technologie die in Network Packet Brokers (NPB's) wordt gebruikt om de inhoud van netwerkpakketten op gedetailleerd niveau te inspecteren en analyseren. Het omvat het onderzoeken van de payload, headers en andere protocolspecifieke informatie in pakketten om gedetailleerde inzichten in het netwerkverkeer te verkrijgen.
DPI gaat verder dan simpele headeranalyse en biedt diepgaand inzicht in de data die door een netwerk stroomt. Het maakt diepgaande inspectie van de protocollen op applicatielaag mogelijk, zoals HTTP, FTP, SMTP, VoIP of videostreamingprotocollen. Door de daadwerkelijke inhoud van pakketten te onderzoeken, kan DPI specifieke applicaties, protocollen of zelfs specifieke datapatronen detecteren en identificeren.
Naast de hiërarchische analyse van bronadressen, bestemmingsadressen, bronpoorten, bestemmingspoorten en protocoltypen, voegt DPI ook analyse op applicatielaag toe om verschillende applicaties en hun inhoud te identificeren. Wanneer 1P-pakketten, TCP- of UDP-gegevens door het bandbreedtebeheersysteem op basis van DPI-technologie stromen, leest het systeem de inhoud van de 1P-pakketbelasting om de informatie op applicatielaag te reorganiseren in het OSI Layer 7-protocol. Dit resulteert in de inhoud van het volledige applicatieprogramma. Vervolgens wordt het verkeer vormgegeven volgens het door het systeem gedefinieerde beheerbeleid.
Hoe werkt DPI?
Traditionele firewalls beschikken vaak niet over voldoende rekenkracht om grondige realtime controles uit te voeren op grote hoeveelheden verkeer. Naarmate de technologie vordert, kan DPI worden gebruikt om complexere controles uit te voeren om headers en data te controleren. Firewalls met inbraakdetectiesystemen gebruiken doorgaans DPI. In een wereld waar digitale informatie van het grootste belang is, wordt elk stukje digitale informatie in kleine pakketjes via internet verzonden. Dit omvat e-mails, berichten verzonden via de app, bezochte websites, videogesprekken en meer. Naast de daadwerkelijke data bevatten deze pakketjes metadata die de bron van het verkeer, de inhoud, de bestemming en andere belangrijke informatie identificeren. Met pakketfiltertechnologie kunnen gegevens continu worden bewaakt en beheerd om ervoor te zorgen dat ze naar de juiste locatie worden doorgestuurd. Maar om de netwerkbeveiliging te garanderen, is traditionele pakketfiltering verre van voldoende. Hieronder staan enkele van de belangrijkste methoden voor diepe pakketinspectie in netwerkbeheer:
Matching Mode/Handtekening
Elk pakket wordt door een firewall met IDS-functionaliteit (Intrusion Detection System) gecontroleerd op een match met een database van bekende netwerkaanvallen. IDS zoekt naar bekende, specifieke patronen van kwaadaardige aard en schakelt het verkeer uit wanneer er patronen worden gevonden. Het nadeel van het signature matching-beleid is dat het alleen van toepassing is op handtekeningen die regelmatig worden bijgewerkt. Bovendien biedt deze technologie alleen bescherming tegen bekende bedreigingen of aanvallen.
Protocoluitzondering
Omdat de protocoluitzonderingstechniek niet zomaar alle gegevens toestaat die niet overeenkomen met de handtekeningendatabase, heeft de protocoluitzonderingstechniek die door de IDS-firewall wordt gebruikt niet de inherente tekortkomingen van de patroon-/handtekeningmatchingmethode. In plaats daarvan hanteert deze het standaard afwijzingsbeleid. Volgens de protocoldefinitie bepalen firewalls welk verkeer wordt toegestaan en beschermen ze het netwerk tegen onbekende bedreigingen.
Intrusion Prevention System (IPS)
IPS-oplossingen kunnen de overdracht van schadelijke pakketten blokkeren op basis van hun inhoud, waardoor vermoedelijke aanvallen in realtime worden gestopt. Dit betekent dat IPS proactief netwerkverkeer blokkeert op basis van een gedefinieerde set regels als een pakket een bekend beveiligingsrisico vormt. Een nadeel van IPS is de noodzaak om een database met cyberdreigingen regelmatig bij te werken met informatie over nieuwe bedreigingen en de kans op foutpositieve meldingen. Dit gevaar kan echter worden beperkt door conservatief beleid en aangepaste drempelwaarden te creëren, passend basisgedrag voor netwerkcomponenten in te stellen en waarschuwingen en gerapporteerde gebeurtenissen periodiek te evalueren om de monitoring en waarschuwingen te verbeteren.
1- De DPI (Deep Packet Inspection) in Network Packet Broker
"Diep" is een vergelijking van de analyse van gewone en niveau-pakketten. "Gewone pakketinspectie" omvat alleen de volgende analyse van IP-pakketten op laag 4, met inbegrip van bronadres, bestemmingsadres, bronpoort, bestemmingspoort en protocoltype, en DPI, behalve bij de hiërarchische analyse. Ook de analyse op applicatieniveau wordt uitgebreid, de verschillende applicaties en inhoud worden geïdentificeerd om de belangrijkste functies te realiseren:
1) Toepassingsanalyse – analyse van de samenstelling van het netwerkverkeer, prestatieanalyse en stroomanalyse
2) Gebruikersanalyse – onderscheid tussen gebruikersgroepen, gedragsanalyse, terminalanalyse, trendanalyse, enz.
3) Netwerkelementanalyse - analyse op basis van regionale kenmerken (stad, wijk, straat, enz.) en basisstationbelasting
4) Verkeersregeling - P2P-snelheidsbeperking, QoS-garantie, bandbreedtegarantie, optimalisatie van netwerkbronnen, etc.
5) Beveiligingsgaranties – DDoS-aanvallen, datastorm, preventie van schadelijke virusaanvallen, etc.
2- Algemene classificatie van netwerktoepassingen
Tegenwoordig zijn er talloze toepassingen op het internet, maar de gangbare webtoepassingen kunnen zeer uitgebreid zijn.
Voor zover ik weet is Huawei het beste bedrijf voor app-herkenning, dat beweert 4000 apps te herkennen. Protocolanalyse is de basismodule van veel firewallbedrijven (Huawei, ZTE, enz.), en het is tevens een zeer belangrijke module die de realisatie van andere functionele modules ondersteunt, nauwkeurige applicatie-identificatie mogelijk maakt en de prestaties en betrouwbaarheid van producten aanzienlijk verbetert. Bij het modelleren van malware-identificatie op basis van netwerkverkeerskenmerken, zoals ik nu doe, is nauwkeurige en uitgebreide protocolidentificatie ook erg belangrijk. Als het netwerkverkeer van veelgebruikte applicaties niet wordt meegerekend in het exportverkeer van het bedrijf, zal het resterende verkeer een klein deel uitmaken, wat beter is voor malware-analyse en alarmering.
Op basis van mijn ervaring worden de bestaande, veelgebruikte applicaties ingedeeld op basis van hun functies:
PS: Volgens mijn persoonlijke begrip van de toepassingsclassificatie, heb je goede suggesties? Laat dan gerust een bericht achter.
1). E-mail
2). Video
3). Spelletjes
4). Kantoor OA-klasse
5). Software-update
6). Financieel (bank, Alipay)
7). Aandelen
8). Sociale communicatie (IM-software)
9) Web browsen (waarschijnlijk beter te identificeren met URL's)
10). Downloadtools (webdisk, P2P-download, BT-gerelateerd)
Vervolgens hoe DPI (Deep Packet Inspection) werkt in een NPB:
1). Pakketregistratie: De NPB registreert netwerkverkeer van verschillende bronnen, zoals switches, routers of taps. Het ontvangt pakketten die door het netwerk stromen.
2). Pakketparsing: De vastgelegde pakketten worden door de NPB geparseerd om verschillende protocollagen en bijbehorende gegevens te extraheren. Dit parsingproces helpt bij het identificeren van de verschillende componenten in de pakketten, zoals Ethernet-headers, IP-headers, transportlaagheaders (bijv. TCP of UDP) en applicatielaagprotocollen.
3). Payloadanalyse: Met DPI gaat de NPB verder dan alleen headerinspectie en richt zich op de payload, inclusief de daadwerkelijke gegevens in de pakketten. Het onderzoekt de inhoud van de payload grondig, ongeacht de gebruikte applicatie of het gebruikte protocol, om relevante informatie te extraheren.
4). Protocolidentificatie: DPI stelt de NPB in staat om de specifieke protocollen en applicaties te identificeren die binnen het netwerkverkeer worden gebruikt. Het kan protocollen zoals HTTP, FTP, SMTP, DNS, VoIP en videostreamingprotocollen detecteren en classificeren.
5). Inhoudsinspectie: Met DPI kan de NPB de inhoud van pakketten inspecteren op specifieke patronen, handtekeningen of trefwoorden. Dit maakt de detectie van netwerkbedreigingen mogelijk, zoals malware, virussen, inbraakpogingen of verdachte activiteiten. DPI kan ook worden gebruikt voor het filteren van inhoud, het handhaven van netwerkbeleid of het identificeren van schendingen van de data-compliance.
6). Metadata-extractie: Tijdens DPI extraheert de NPB relevante metadata uit de pakketten. Dit kan informatie omvatten zoals bron- en bestemmings-IP-adressen, poortnummers, sessiegegevens, transactiegegevens of andere relevante kenmerken.
7). Verkeersroutering of -filtering: Op basis van de DPI-analyse kan de NPB specifieke pakketten routeren naar aangewezen bestemmingen voor verdere verwerking, zoals beveiligingsapparaten, monitoringtools of analyseplatforms. Het kan ook filterregels toepassen om pakketten te verwijderen of om te leiden op basis van de geïdentificeerde inhoud of patronen.
Plaatsingstijd: 25 juni 2023
