Déif Paketinspektioun (DPI)ass eng Technologie, déi a Network Packet Brokers (NPBs) benotzt gëtt, fir den Inhalt vun Netzwierkpakete granular z'inspektéieren an z'analyséieren. Et ëmfaasst d'Untersuchung vun der Payload, Header an aner protokollspezifesch Informatiounen an de Pakete fir detailléiert Abléck an den Netzwierkverkéier ze kréien.
DPI geet iwwer eng einfach Headeranalyse eraus a bitt e grëndlecht Verständnis vun den Daten, déi duerch en Netzwierk fléissen. Et erméiglecht eng grëndlech Inspektioun vun de Protokoller op der Applikatiounsschicht, wéi HTTP, FTP, SMTP, VoIP oder Videostreamingprotokoller. Duerch d'Untersuchung vum aktuellen Inhalt a Päckchen kann DPI spezifesch Applikatiounen, Protokoller oder souguer spezifesch Datenmuster erkennen an identifizéieren.
Nieft der hierarchescher Analyse vu Quelladressen, Destinatiounsadressen, Quellporten, Destinatiounsporten a Protokolltypen, füügt DPI och eng Applikatiounsschichtanalyse bäi, fir verschidden Applikatiounen an hiren Inhalt z'identifizéieren. Wann den 1P-Paket, TCP- oder UDP-Daten duerch de Bandbreetmanagementsystem fléissen, deen op DPI-Technologie baséiert, liest de System den Inhalt vun der 1P-Paketluedung, fir d'Applikatiounsschichtinformatioun am OSI Layer 7 Protokoll nei z'organiséieren, fir den Inhalt vum ganze Applikatiounsprogramm ze kréien, an dann den Traffic no der vum System definéierter Gestiounspolitik ze formen.
Wéi funktionéiert DPI?
Traditionell Firewalls hunn dacks net d'Veraarbechtungsleistung fir grëndlech Echtzäitkontrollen op grousse Verkéiersmengen duerchzeféieren. Mat dem Fortschrëtt vun der Technologie kann DPI benotzt ginn, fir méi komplex Kontrollen duerchzeféieren, fir Headeren an Daten ze kontrolléieren. Typesch benotze Firewalls mat Intrusiounsdetektiounssystemer dacks DPI. An enger Welt, wou digital Informatioun iwwer all Virrang steet, gëtt all Stéck digital Informatioun iwwer den Internet a klenge Päckchen geliwwert. Dëst beinhalt E-Mailen, Messagen, déi iwwer d'App geschéckt ginn, besicht Websäiten, Videokonversatiounen a méi. Nieft den aktuellen Daten enthalen dës Päckchen Metadaten, déi d'Verkéiersquell, den Inhalt, d'Destinatioun an aner wichteg Informatiounen identifizéieren. Mat der Paketfiltertechnologie kënnen d'Donnéeën kontinuéierlech iwwerwaacht a geréiert ginn, fir sécherzestellen, datt se op déi richteg Plaz weidergeleet ginn. Awer fir d'Netzwierksécherheet ze garantéieren, ass traditionell Paketfilterung wäit net genuch. E puer vun den Haaptmethoden vun der Déifpaketinspektioun am Netzwierkmanagement sinn hei ënnendrënner opgezielt:
Matching-Modus/Ënnerschrëft
All Pakett gëtt vun enger Firewall mat Intrusiounsdetektiounssystem (IDS) op e Match géint eng Datebank vu bekannte Netzwierkattacken iwwerpréift. IDS sicht no bekannte béiswëllege spezifesche Musteren a deaktivéiert den Traffic wann béiswëlleg Mustere fonnt ginn. Den Nodeel vun der Signature Matching Policy ass, datt se nëmme fir Signaturen gëllt, déi dacks aktualiséiert ginn. Zousätzlech kann dës Technologie sech nëmme géint bekannt Bedrohungen oder Attacken verdeedegen.
Protokollausnam
Well d'Protokollausnahmetechnik net einfach all Daten erlaabt, déi net mat der Signaturdatebank iwwereneestëmmen, huet d'Protokollausnahmetechnik, déi vun der IDS Firewall benotzt gëtt, net déi inherent Mängel vun der Muster-/Signatur-Matching-Method. Amplaz adoptéiert se déi standardméisseg Oflehnungspolitik. No der Protokolldefinitioun entscheede Firewalls, wéi en Traffic erlaabt soll ginn, a schützen d'Netzwierk virun onbekannte Bedrohungen.
Intrusiounsschutzsystem (IPS)
IPS-Léisunge kënnen d'Iwwerdroung vu schiedleche Paketen op Basis vun hirem Inhalt blockéieren, wouduerch verdächteg Attacken a Echtzäit gestoppt ginn. Dëst bedeit, datt wann e Pakett e bekannte Sécherheetsrisiko duerstellt, d'IPS proaktiv den Netzwierkverkéier op Basis vun engem definéierte Regelsaz blockéiert. En Nodeel vun IPS ass d'Noutwendegkeet, eng Cyberbedrohungsdatebank regelméisseg mat Detailer iwwer nei Bedrohungen an d'Méiglechkeet vu falschen Positiven z'aktualiséieren. Awer dës Gefor kann gemildert ginn, andeems konservativ Richtlinnen a personaliséiert Schwellen erstallt ginn, e passend Basisverhalen fir Netzwierkkomponenten festgeluecht ginn, a Warnungen an gemellt Eventer periodesch evaluéiert ginn, fir d'Iwwerwaachung an d'Alarméierung ze verbesseren.
1- Den DPI (Deep Packet Inspection) am Network Packet Broker
Déi "Déif"-Analyse ass e Verglach tëscht der Niveau- a gewéinlecher Pakettanalyse. Bei der "gewéinlecher Pakettkontrolle" gëtt nëmmen déi folgend Analyse vun der IP-Paket-4-Schicht gemaach, dorënner d'Quelladress, d'Destinatiounsadress, de Quellport, den Destinatiounsport an de Protokolltyp, an den DPI, ausser mat der hierarchescher Analyse. Si gëtt och d'Applikatiounsschichtanalyse erhéicht, fir déi verschidden Applikatiounen an den Inhalt z'identifizéieren, fir déi wichtegst Funktiounen ëmzesetzen:
1) Applikatiounsanalyse -- Analyse vun der Zesummesetzung vum Netzwierkverkéier, Performanceanalyse a Flowanalyse
2) Benotzeranalyse -- Differenzéierung vu Benotzergruppen, Verhalensanalyse, Terminalanalyse, Trendanalyse, etc.
3) Netzwierkelementanalyse -- Analyse baséiert op regionalen Attributer (Stad, Distrikt, Strooss, etc.) a Basisstatiounsbelaaschtung
4) Verkéierskontroll -- P2P Geschwindegkeetsbeschränkung, QoS-Garantie, Bandbreetgarantie, Optimiséierung vun Netzwierkressourcen, etc.
5) Sécherheetsgarantie -- DDoS-Attacken, Dateniwwerdroungsstuerm, Préventioun vu béiswëllege Virenattacken, etc.
2- Allgemeng Klassifikatioun vun Netzwierkapplikatiounen
Hautdesdaags gëtt et onzueleg Applikatiounen um Internet, awer déi üblech Webapplikatioune kënne komplett sinn.
Souwäit ech weess, ass déi bescht App-Erkennungsfirma Huawei, déi behaapt 4.000 Apps ze erkennen. Protokollanalyse ass de Basismodul vu ville Firewallfirmen (Huawei, ZTE, etc.), an et ass och e ganz wichtege Modul, deen d'Realiséierung vun anere funktionelle Moduler ënnerstëtzt, eng korrekt Applikatiounsidentifikatioun an d'Performance a Zouverlässegkeet vu Produkter staark verbessert. Beim Modelléiere vun der Malware-Identifikatioun baséiert op Netzwierkverkéierscharakteristiken, wéi ech et elo maachen, ass eng korrekt an extensiv Protokollidentifikatioun och ganz wichteg. Wann een den Netzwierkverkéier vun allgemengen Applikatiounen aus dem Exportverkéier vun der Firma erausschléisst, wäert de Reschtverkéier e klengen Undeel ausmaachen, wat besser fir Malware-Analyse an Alarm ass.
Baséierend op menger Erfahrung ginn déi existent üblech Uwendungen no hire Funktiounen klasséiert:
PS: Nom perséinleche Verständnis vun der Applikatiounsklassifikatioun, hutt Dir gutt Virschléi, déi Dir gären e Message hannerloosse kënnt.
1). E-Mail
2). Video
3). Spiller
4). Büro OA Klass
5). Softwareupdate
6). Finanziell (Bank, Alipay)
7). Aktien
8). Sozial Kommunikatioun (IM-Software)
9). Websurfen (wahrscheinlech besser mat URLen identifizéiert)
10). Download-Tools (Webdisk, P2P-Download, BT-bezunnen)
Dann, wéi DPI (Deep Packet Inspection) an engem NPB funktionéiert:
1). Pakettfang: Den NPB erfaasst Netzwierkverkéier vu verschiddene Quellen, wéi Switchen, Routeren oder Taps. Hie empfänkt Paketen, déi duerch den Netzwierk fléissen.
2). Pakettparsing: Déi erfaasst Pakete gi vum NPB analyséiert fir verschidde Protokollschichten an déi domat verbonne Daten ze extrahéieren. Dëse Parsingprozess hëlleft déi verschidde Komponenten an de Pakete z'identifizéieren, wéi Ethernet-Header, IP-Header, Transportschicht-Header (z.B. TCP oder UDP) a Protokoller vun der Applikatiounsschicht.
3). Payload-Analyse: Mat DPI geet den NPB iwwer d'Header-Inspektioun eraus a konzentréiert sech op d'Payload, inklusiv déi tatsächlech Donnéeën an de Paketen. En ënnersicht den Inhalt vun der Payload grëndlech, onofhängeg vun der Applikatioun oder dem benotzte Protokoll, fir relevant Informatiounen ze extrahéieren.
4). Protokollidentifikatioun: DPI erméiglecht et dem NPB, déi spezifesch Protokoller an Uwendungen z'identifizéieren, déi am Netzwierkverkéier benotzt ginn. Et kann Protokoller wéi HTTP, FTP, SMTP, DNS, VoIP oder Videostreamingprotokoller erkennen a klassifizéieren.
5). Inhaltsinspektioun: DPI erlaabt dem NPB, den Inhalt vu Paketen op spezifesch Musteren, Signaturen oder Schlësselwierder z'inspektéieren. Dëst erméiglecht d'Detektioun vu Netzwierkbedrohungen, wéi Malware, Viren, Abrochversich oder verdächteg Aktivitéiten. DPI kann och fir Inhaltsfilterung, Ëmsetzung vun Netzwierkrichtlinnen oder Identifikatioun vu Verstéiss géint d'Datenkonformitéit benotzt ginn.
6). Metadatenextraktioun: Wärend DPI extrahéiert den NPB relevant Metadaten aus de Paketen. Dëst kann Informatiounen wéi Quell- an Destinatiouns-IP-Adressen, Portnummeren, Sessiounsdetailer, Transaktiounsdaten oder all aner relevant Attributer enthalen.
7). Verkéiersroutéierung oder Filterung: Baséierend op der DPI-Analyse kann den NPB spezifesch Paketen op designéiert Destinatiounen fir weider Veraarbechtung routéieren, wéi z.B. Sécherheetsapparater, Iwwerwaachungsinstrumenter oder Analyseplattformen. Hie kann och Filterregelen uwenden, fir Paketen op Basis vum identifizéierten Inhalt oder Musteren ze verworf oder ëmzeleeden.
Zäitpunkt vun der Verëffentlechung: 25. Juni 2023
