Identificatie van Network Packet Broker-applicaties op basis van DPI – Deep Packet Inspection

Diepe pakketinspectie (DPI)is een technologie die wordt gebruikt in Network Packet Brokers (NPB's) om de inhoud van netwerkpakketten op granulair niveau te inspecteren en analyseren. Het omvat het onderzoeken van de payload, headers en andere protocolspecifieke informatie in pakketten om gedetailleerd inzicht te krijgen in het netwerkverkeer.

DPI gaat verder dan eenvoudige headeranalyse en biedt een diepgaand inzicht in de gegevens die door een netwerk stromen. Het maakt diepgaande inspectie van de applicatielaagprotocollen mogelijk, zoals HTTP, FTP, SMTP, VoIP of videostreamingprotocollen. Door de feitelijke inhoud van pakketten te onderzoeken, kan DPI specifieke applicaties, protocollen of zelfs specifieke datapatronen detecteren en identificeren.

Naast de hiërarchische analyse van bronadressen, bestemmingsadressen, bronpoorten, bestemmingspoorten en protocoltypen, voegt DPI ook applicatielaaganalyse toe om verschillende applicaties en hun inhoud te identificeren. Wanneer de 1P-pakket-, TCP- of UDP-gegevens door het op DPI-technologie gebaseerde bandbreedtebeheersysteem stromen, leest het systeem de inhoud van de 1P-pakketlading om de applicatielaaginformatie in het OSI Layer 7-protocol te reorganiseren, om zo de inhoud te verkrijgen van het volledige applicatieprogramma, en vervolgens het verkeer vormgeven volgens het beheerbeleid dat door het systeem is gedefinieerd.

Hoe werkt DPI?

Traditionele firewalls missen vaak de verwerkingskracht om grondige realtime controles uit te voeren op grote hoeveelheden verkeer. Naarmate de technologie vordert, kan DPI worden gebruikt om complexere controles uit te voeren om headers en gegevens te controleren. Doorgaans maken firewalls met inbraakdetectiesystemen vaak gebruik van DPI. In een wereld waar digitale informatie van het allergrootste belang is, wordt elk stukje digitale informatie in kleine pakketjes via internet afgeleverd. Dit omvat e-mail, berichten verzonden via de app, bezochte websites, videogesprekken en meer. Naast de daadwerkelijke gegevens bevatten deze pakketten metagegevens die de verkeersbron, inhoud, bestemming en andere belangrijke informatie identificeren. Met pakketfiltertechnologie kunnen gegevens continu worden gemonitord en beheerd om ervoor te zorgen dat deze naar de juiste plaats worden doorgestuurd. Maar om de netwerkbeveiliging te garanderen is traditionele pakketfiltering verre van voldoende. Enkele van de belangrijkste methoden voor deep packet inspection bij netwerkbeheer worden hieronder opgesomd:

Overeenkomende modus/handtekening

Elk pakket wordt gecontroleerd op een overeenkomst met een database met bekende netwerkaanvallen door een firewall met mogelijkheden voor een inbraakdetectiesysteem (IDS). IDS zoekt naar bekende kwaadaardige specifieke patronen en schakelt verkeer uit wanneer kwaadaardige patronen worden gevonden. Het nadeel van het beleid voor het matchen van handtekeningen is dat het alleen van toepassing is op handtekeningen die regelmatig worden bijgewerkt. Bovendien kan deze technologie alleen verdedigen tegen bekende bedreigingen of aanvallen.

DPI

Protocoluitzondering

Omdat de protocoluitzonderingstechniek niet eenvoudigweg alle gegevens toestaat die niet overeenkomen met de handtekeningdatabase, heeft de protocoluitzonderingstechniek die door de IDS-firewall wordt gebruikt niet de inherente gebreken van de patroon/handtekening-matchingmethode. In plaats daarvan hanteert het het standaard afwijzingsbeleid. Volgens protocoldefinitie bepalen firewalls welk verkeer moet worden toegestaan ​​en beschermen ze het netwerk tegen onbekende bedreigingen.

Inbraakpreventiesysteem (IPS)

IPS-oplossingen kunnen de verzending van schadelijke pakketten blokkeren op basis van hun inhoud, waardoor vermoedelijke aanvallen in realtime worden tegengehouden. Dit betekent dat als een pakket een bekend beveiligingsrisico vertegenwoordigt, IPS proactief netwerkverkeer zal blokkeren op basis van een gedefinieerde set regels. Een nadeel van IPS is de noodzaak om een ​​database met cyberdreigingen regelmatig bij te werken met details over nieuwe bedreigingen, en de mogelijkheid van valse positieven. Maar dit gevaar kan worden verzacht door conservatief beleid en aangepaste drempelwaarden te creëren, passend basisgedrag voor netwerkcomponenten vast te stellen en periodiek waarschuwingen en gerapporteerde gebeurtenissen te evalueren om de monitoring en waarschuwingen te verbeteren.

1- De DPI (Deep Packet Inspection) in Network Packet Broker

De "diepe" is niveau- en gewone pakketanalysevergelijking, "gewone pakketinspectie" alleen de volgende analyse van IP-pakket 4-laag, inclusief het bronadres, bestemmingsadres, bronpoort, bestemmingspoort en protocoltype, en DPI behalve met de hiërarchische analyse, verhoogde ook de analyse van de applicatielaag, identificeert de verschillende applicaties en inhoud, om de belangrijkste functies te realiseren:

1) Applicatieanalyse - analyse van de samenstelling van het netwerkverkeer, prestatieanalyse en stroomanalyse

2) Gebruikersanalyse - differentiatie van gebruikersgroepen, gedragsanalyse, terminalanalyse, trendanalyse, enz.

3) Netwerkelementanalyse - analyse op basis van regionale kenmerken (stad, wijk, straat, etc.) en basisstationbelasting

4) Verkeerscontrole - P2P-snelheidsbeperking, QoS-garantie, bandbreedtegarantie, optimalisatie van netwerkbronnen, enz.

5) Beveiligingsgarantie - DDoS-aanvallen, data-uitzendingsstorm, preventie van kwaadaardige virusaanvallen, enz.

2- Algemene classificatie van netwerktoepassingen

Tegenwoordig zijn er talloze toepassingen op internet, maar de gebruikelijke webtoepassingen kunnen uitputtend zijn.

Voor zover ik weet is Huawei het beste app-herkenningsbedrijf, dat beweert 4.000 apps te herkennen. Protocolanalyse is de basismodule van veel firewallbedrijven (Huawei, ZTE, enz.), en het is ook een zeer belangrijke module, die de realisatie van andere functionele modules ondersteunt, nauwkeurige applicatie-identificatie en de prestaties en betrouwbaarheid van producten aanzienlijk verbetert. Bij het modelleren van malware-identificatie op basis van netwerkverkeerskenmerken, zoals ik nu doe, is nauwkeurige en uitgebreide protocolidentificatie ook erg belangrijk. Als we het netwerkverkeer van veelgebruikte applicaties buiten beschouwing laten van het exportverkeer van het bedrijf, zal het resterende verkeer een klein deel voor zijn rekening nemen, wat beter is voor malware-analyse en alarmering.

Op basis van mijn ervaring worden de bestaande veelgebruikte applicaties geclassificeerd op basis van hun functies:

PS: Afhankelijk van uw persoonlijke begrip van de applicatieclassificatie, heeft u goede suggesties en kunt u een berichtvoorstel achterlaten

1). E-mail

2). Video

3). Spellen

4). Office OA-klasse

5). Software-update

6). Financieel (bank, Alipay)

7). Voorraden

8). Sociale communicatie (IM-software)

9). Surfen op het web (waarschijnlijk beter geïdentificeerd met URL's)

10). Downloadtools (webschijf, P2P-download, BT-gerelateerd)

20191210153150_32811

Hoe DPI (Deep Packet Inspection) werkt in een NPB:

1). Packet Capture: De NPB legt netwerkverkeer vast van verschillende bronnen, zoals switches, routers of taps. Het ontvangt pakketten die door het netwerk stromen.

2). Pakketparsing: De vastgelegde pakketten worden door de NPB geparseerd om verschillende protocollagen en bijbehorende gegevens te extraheren. Dit parseerproces helpt bij het identificeren van de verschillende componenten binnen de pakketten, zoals Ethernet-headers, IP-headers, transportlaagheaders (bijvoorbeeld TCP of UDP) en applicatielaagprotocollen.

3). Payload-analyse: Met DPI gaat de NPB verder dan header-inspectie en richt zich op de payload, inclusief de daadwerkelijke gegevens in de pakketten. Het onderzoekt de inhoud van de payload diepgaand, ongeacht de gebruikte applicatie of het gebruikte protocol, om relevante informatie te extraheren.

4). Protocolidentificatie: DPI stelt de NPB in staat de specifieke protocollen en applicaties te identificeren die binnen het netwerkverkeer worden gebruikt. Het kan protocollen zoals HTTP, FTP, SMTP, DNS, VoIP of videostreamingprotocollen detecteren en classificeren.

5). Inhoudsinspectie: Met DPI kan de NPB de inhoud van pakketten inspecteren op specifieke patronen, handtekeningen of trefwoorden. Dit maakt de detectie mogelijk van netwerkbedreigingen, zoals malware, virussen, inbraakpogingen of verdachte activiteiten. DPI kan ook worden gebruikt voor het filteren van inhoud, het afdwingen van netwerkbeleid of het identificeren van schendingen van de gegevenscompliance.

6). Extractie van metadata: Tijdens DPI extraheert de NPB relevante metadata uit de pakketten. Dit kan informatie omvatten zoals bron- en bestemmings-IP-adressen, poortnummers, sessiedetails, transactiegegevens of andere relevante kenmerken.

7). Verkeersroutering of -filtering: op basis van de DPI-analyse kan de NPB specifieke pakketten routeren naar aangewezen bestemmingen voor verdere verwerking, zoals beveiligingsapparatuur, monitoringtools of analyseplatforms. Het kan ook filterregels toepassen om pakketten te verwijderen of om te leiden op basis van de geïdentificeerde inhoud of patronen.

ML-NPB-5660 3d


Posttijd: 25 juni 2023