Identifikácia aplikácie Network Packet Broker na základe DPI – Deep Packet Inspection

Hlboká kontrola paketov (DPI)je technológia používaná v Network Packet Brokers (NPB) na kontrolu a analýzu obsahu sieťových paketov na granulárnej úrovni. Zahŕňa skúmanie užitočného zaťaženia, hlavičiek a ďalších informácií špecifických pre protokol v paketoch, aby ste získali podrobné informácie o sieťovej prevádzke.

DPI presahuje jednoduchú analýzu hlavičiek a poskytuje hlboké pochopenie údajov prúdiacich cez sieť. Umožňuje hĺbkovú kontrolu protokolov aplikačnej vrstvy, ako sú HTTP, FTP, SMTP, VoIP alebo protokoly streamovania videa. Skúmaním skutočného obsahu v paketoch dokáže DPI odhaliť a identifikovať špecifické aplikácie, protokoly alebo dokonca špecifické dátové vzory.

Okrem hierarchickej analýzy zdrojových adries, cieľových adries, zdrojových portov, cieľových portov a typov protokolov pridáva DPI aj analýzu aplikačnej vrstvy na identifikáciu rôznych aplikácií a ich obsahu. Keď paket 1P, TCP alebo UDP preteká cez systém riadenia šírky pásma založený na technológii DPI, systém načíta obsah zaťaženia paketov 1P, aby reorganizoval informácie aplikačnej vrstvy v protokole OSI Layer 7 tak, aby získal obsah celý aplikačný program a potom tvarovanie prevádzky podľa politiky riadenia definovanej systémom.

Ako funguje DPI?

Tradičným firewallom často chýba výpočtový výkon na vykonanie dôkladných kontrol veľkých objemov prevádzky v reálnom čase. Ako technológia napreduje, DPI sa môže použiť na vykonávanie zložitejších kontrol na kontrolu hlavičiek a údajov. Firewally so systémami detekcie narušenia zvyčajne používajú DPI. Vo svete, kde sú digitálne informácie prvoradé, sa každá digitálna informácia dodáva cez internet v malých balíkoch. To zahŕňa e-maily, správy odoslané prostredníctvom aplikácie, navštívené webové stránky, videokonverzácie a ďalšie. Okrem skutočných údajov tieto pakety obsahujú metadáta, ktoré identifikujú zdroj návštevnosti, obsah, cieľ a ďalšie dôležité informácie. Pomocou technológie filtrovania paketov je možné dáta nepretržite monitorovať a spravovať, aby sa zabezpečilo ich posielanie na správne miesto. Na zaistenie bezpečnosti siete však tradičné filtrovanie paketov zďaleka nestačí. Niektoré z hlavných metód hĺbkovej kontroly paketov v správe siete sú uvedené nižšie:

Režim zhody/podpis

Každý paket sa kontroluje, či sa zhoduje s databázou známych sieťových útokov prostredníctvom brány firewall s funkciami systému detekcie prienikov (IDS). IDS hľadá známe škodlivé špecifické vzory a zakáže prevádzku, keď sa nájdu škodlivé vzory. Nevýhodou politiky párovania podpisov je, že sa vzťahuje len na podpisy, ktoré sa často aktualizujú. Okrem toho sa táto technológia dokáže brániť len proti známym hrozbám alebo útokom.

DPI

Výnimka protokolu

Keďže technika protokolových výnimiek jednoducho nepovoľuje všetky údaje, ktoré sa nezhodujú s databázou podpisov, technika protokolových výnimiek používaná firewallom IDS nemá prirodzené nedostatky metódy porovnávania vzorov/podpisov. Namiesto toho prijme predvolenú politiku odmietnutia. Podľa definície protokolu firewally rozhodujú o tom, aká prevádzka by mala byť povolená a chránia sieť pred neznámymi hrozbami.

Systém prevencie vniknutia (IPS)

Riešenia IPS dokážu blokovať prenos škodlivých paketov na základe ich obsahu, čím v reálnom čase zastavia podozrivé útoky. To znamená, že ak paket predstavuje známe bezpečnostné riziko, IPS proaktívne zablokuje sieťovú prevádzku na základe definovaného súboru pravidiel. Jednou nevýhodou IPS je potreba pravidelne aktualizovať databázu kybernetických hrozieb s podrobnosťami o nových hrozbách a možnosť falošných poplachov. Toto nebezpečenstvo však možno zmierniť vytvorením konzervatívnych politík a vlastných prahových hodnôt, stanovením vhodného základného správania pre sieťové komponenty a pravidelným vyhodnocovaním varovaní a hlásených udalostí na zlepšenie monitorovania a varovania.

1- DPI (Deep Packet Inspection) v Network Packet Broker

"Hlboké" je porovnanie úrovne a bežnej analýzy paketov, "obyčajná kontrola paketov" iba nasledujúca analýza vrstvy IP paketov 4 vrátane zdrojovej adresy, cieľovej adresy, zdrojového portu, cieľového portu a typu protokolu a DPI s výnimkou hierarchického analýza, tiež zvýšila analýzu aplikačnej vrstvy, identifikovala rôzne aplikácie a obsah, aby ste si uvedomili hlavné funkcie:

1) Analýza aplikácií -- analýza zloženia sieťovej prevádzky, analýza výkonu a analýza tokov

2) Analýza používateľov -- diferenciácia skupín používateľov, analýza správania, analýza terminálov, analýza trendov atď.

3) Analýza sieťových prvkov -- analýza založená na regionálnych atribútoch (mesto, okres, ulica atď.) a zaťažení základňovej stanice

4) Riadenie premávky - obmedzenie rýchlosti P2P, zabezpečenie QoS, zabezpečenie šírky pásma, optimalizácia sieťových zdrojov atď.

5) Zabezpečenie bezpečnosti - DDoS útoky, búrka vysielania údajov, prevencia útokov škodlivých vírusov atď.

2- Všeobecná klasifikácia sieťových aplikácií

Dnes je na internete nespočetné množstvo aplikácií, ale bežné webové aplikácie môžu byť vyčerpávajúce.

Pokiaľ viem, najlepšou spoločnosťou na rozpoznávanie aplikácií je spoločnosť Huawei, ktorá tvrdí, že rozpoznáva 4 000 aplikácií. Protokolová analýza je základným modulom mnohých firewallových spoločností (Huawei, ZTE, atď.) a je tiež veľmi dôležitým modulom, ktorý podporuje realizáciu ďalších funkčných modulov, presnú identifikáciu aplikácií a výrazne zlepšuje výkon a spoľahlivosť produktov. Pri modelovaní identifikácie malvéru na základe charakteristík sieťovej prevádzky, ako to robím teraz, je veľmi dôležitá aj presná a rozsiahla identifikácia protokolu. Ak vylúčime sieťovú prevádzku bežných aplikácií z exportnej prevádzky spoločnosti, zvyšná prevádzka bude predstavovať malý podiel, čo je lepšie pre analýzu škodlivého softvéru a alarm.

Na základe mojich skúseností sú existujúce bežne používané aplikácie klasifikované podľa ich funkcií:

PS: Podľa osobného chápania klasifikácie aplikácií máte akékoľvek dobré návrhy, ktoré môžete zanechať návrh správy

1). E-mail

2). Video

3). Hry

4). Trieda Office OA

5). Aktualizácia softvéru

6). Finančné (banka, Alipay)

7). Zásoby

8). Sociálna komunikácia (IM softvér)

9). Prehliadanie webu (pravdepodobne lepšie identifikovateľné pomocou adries URL)

10). Nástroje na stiahnutie (webový disk, sťahovanie P2P, súvisiace s BT)

20191210153150_32811

Potom, ako funguje DPI (Deep Packet Inspection) v NPB:

1). Zachytávanie paketov: NPB zachytáva sieťovú prevádzku z rôznych zdrojov, ako sú prepínače, smerovače alebo odbočky. Prijíma pakety prúdiace cez sieť.

2). Parsovanie paketov: Zachytené pakety analyzuje NPB na extrahovanie rôznych protokolových vrstiev a súvisiacich údajov. Tento proces analýzy pomáha identifikovať rôzne komponenty v paketoch, ako sú hlavičky Ethernet, hlavičky IP, hlavičky transportnej vrstvy (napr. TCP alebo UDP) a protokoly aplikačnej vrstvy.

3). Analýza užitočného zaťaženia: S DPI ide NPB nad rámec kontroly hlavičky a zameriava sa na užitočné zaťaženie vrátane skutočných údajov v paketoch. Skúma obsah užitočného zaťaženia do hĺbky, bez ohľadu na použitú aplikáciu alebo protokol, na získanie relevantných informácií.

4). Identifikácia protokolu: DPI umožňuje NPB identifikovať špecifické protokoly a aplikácie používané v rámci sieťovej prevádzky. Dokáže detekovať a klasifikovať protokoly ako HTTP, FTP, SMTP, DNS, VoIP alebo video streamingové protokoly.

5). Kontrola obsahu: DPI umožňuje NPB kontrolovať obsah paketov na špecifické vzory, podpisy alebo kľúčové slová. To umožňuje detekciu sieťových hrozieb, ako je malvér, vírusy, pokusy o prienik alebo podozrivé aktivity. DPI je možné použiť aj na filtrovanie obsahu, presadzovanie sieťových zásad alebo identifikáciu porušení súladu s údajmi.

6). Extrakcia metadát: Počas DPI NPB extrahuje relevantné metadáta z paketov. To môže zahŕňať informácie, ako sú zdrojové a cieľové adresy IP, čísla portov, podrobnosti o reláciách, údaje o transakciách alebo akékoľvek iné relevantné atribúty.

7). Smerovanie alebo filtrovanie prevádzky: Na základe analýzy DPI môže NPB smerovať špecifické pakety do určených cieľov na ďalšie spracovanie, ako sú bezpečnostné zariadenia, monitorovacie nástroje alebo analytické platformy. Môže tiež použiť pravidlá filtrovania na vyradenie alebo presmerovanie paketov na základe identifikovaného obsahu alebo vzorov.

ML-NPB-5660 3d


Čas odoslania: 25. júna 2023