Network Packet Broker Applikatioun Identifikatioun Baséiert op DPI - Deep Packet Inspection

Deep Packet Inspection (DPI)ass eng Technologie déi an Network Packet Brokers (NPBs) benotzt gëtt fir den Inhalt vun Netzwierkpäck op granulärem Niveau z'inspektéieren an ze analyséieren. Et beinhalt d'Untersuchung vun der Notzlaascht, Header an aner Protokollspezifesch Informatioun a Pakete fir detailléiert Abléck an den Netzwierkverkéier ze kréien.

DPI geet doriwwer eraus einfach Header Analyse a bitt en déiwe Verständnis vun den Daten, déi duerch e Netzwierk fléissen. Et erlaabt eng detailléiert Inspektioun vun den Uwendungsschichtprotokoller, wéi HTTP, FTP, SMTP, VoIP oder Video Streaming Protokoller. Andeems Dir den aktuellen Inhalt a Paketen ënnersicht, kann DPI spezifesch Uwendungen, Protokoller oder souguer spezifesch Datemuster entdecken an identifizéieren.

Zousätzlech zu der hierarchescher Analyse vu Quelladressen, Destinatiounsadressen, Quellhäfen, Destinatiounshäfen a Protokolltypen, füügt DPI och Applikatiounsschicht Analyse fir verschidden Uwendungen an hiren Inhalter z'identifizéieren. Wann den 1P Paket, TCP oder UDP Daten duerch de Bandbreedungsmanagementsystem baséiert op DPI Technologie fléissen, liest de System den Inhalt vun der 1P Paketbelaaschtung fir d'Applikatiounsschichtinformatioun am OSI Layer 7 Protokoll ze reorganiséieren, fir den Inhalt vun de ganze Applikatiounsprogramm, an dann de Verkéier formen no der Gestiounspolitik, déi vum System definéiert ass.

Wéi funktionéiert DPI?

Traditionell Firewalls feelen dacks d'Veraarbechtungskraaft fir grëndlech Echtzäitkontrollen op grousse Volumen vum Traffic auszeféieren. Wéi d'Technologie weidergeet, kann DPI benotzt ginn fir méi komplex Kontrollen auszeféieren fir Header an Daten ze kontrolléieren. Typesch benotze Firewalls mat Intrusiounserkennungssystemer dacks DPI. An enger Welt wou digital Informatioun Paramount ass, gëtt all Stéck digital Informatioun iwwer Internet a klenge Päck geliwwert. Dëst beinhalt E-Mail, Messagen déi duerch d'App geschéckt ginn, Websäite besicht, Videokonversatiounen a méi. Zousätzlech zu den aktuellen Donnéeën enthalen dës Pakete Metadaten, déi d'Trafficquell, Inhalt, Destinatioun an aner wichteg Informatioun identifizéiert. Mat Paketfiltertechnologie kënnen d'Donnéeë kontinuéierlech iwwerwaacht a geréiert ginn fir sécherzestellen datt se op déi richteg Plaz weidergeleet ginn. Awer fir d'Netzwierksécherheet ze garantéieren, ass traditionell Paketfilterung wäit net genuch. E puer vun den Haaptmethoden fir déif Paketinspektioun am Netzwierkverwaltung sinn hei ënnen opgezielt:

Passende Modus / Ënnerschrëft

All Paket gëtt fir e Match géint eng Datebank vu bekannte Netzwierkattacke vun enger Firewall mat Intrusiounserkennungssystem (IDS) Fäegkeeten gepréift. IDS sicht no bekannte béiswëlleg spezifesch Musteren an deaktivéiert de Traffic wann béiswëlleg Mustere fonnt ginn. Den Nodeel vun der Ënnerschrëft Matching Politik ass datt et nëmme fir Ënnerschrëften gëlt déi dacks aktualiséiert ginn. Zousätzlech kann dës Technologie nëmme géint bekannte Bedrohungen oder Attacke verteidegen.

DPI

Protokoll Ausnam

Zënter der Protokoll Ausnam Technik erlaabt net einfach all Donnéeën déi net mat der Ënnerschrëft Datebank passen, huet d'Protokoll Ausnam Technik déi vun der IDS Firewall benotzt gëtt net déi inherent Mängel vun der Muster / Ënnerschrëft passende Method. Amplaz adoptéiert et d'Standard Oflehnungspolitik. Duerch Protokolldefinitioun entscheede Firewalls wat fir Traffic erlaabt ass a schützen d'Netzwierk virun onbekannte Geforen.

Intrusion Prevention System (IPS)

IPS-Léisungen kënnen d'Iwwerdroung vu schiedleche Päckchen op Basis vun hirem Inhalt blockéieren, an doduerch verdächtegt Attacken an Echtzäit stoppen. Dëst bedeit datt wann e Paket e bekannte Sécherheetsrisiko duerstellt, wäert IPS de Netzverkéier proaktiv blockéieren op Basis vun engem definéierte Set vu Reegelen. Een Nodeel vun IPS ass de Besoin fir regelméisseg eng Cyber ​​​​Bedrohungsdatebank mat Detailer iwwer nei Bedrohungen ze aktualiséieren, an d'Méiglechkeet vu falsche Positiven. Awer dës Gefor kann ofgeschaaft ginn andeems konservativ Politiken a personaliséiert Schwellen erstallt ginn, entspriechend Basisverhalen fir Netzwierkkomponenten etabléieren, a periodesch d'Warnungen a gemellt Eventer evaluéieren fir d'Iwwerwaachung an d'Alarm ze verbesseren.

1- Den DPI (Deep Packet Inspection) am Network Packet Broker

Déi "déif" ass Niveau an normal Paketanalysevergleich, "gewéinlech Paketinspektioun" nëmmen déi folgend Analyse vum IP Paket 4 Layer, dorënner d'Quelladress, Destinatiounsadress, Quellport, Destinatiounsport a Protokolltyp, an DPI ausser mat der hierarchescher Analyse, erhéicht och d'Applikatiounsschichtanalyse, identifizéieren déi verschidden Uwendungen an Inhalter, fir d'Haaptfunktiounen ze realiséieren:

1) Applikatioun Analyse - Netzverkéier Zesummesetzung Analyse, Leeschtung Analyse, a Flux Analyse

2) Benotzer Analyse - Benotzer Grupp Differenzéierung, Verhalen Analyse, Terminal Analyse, Trend Analyse, etc.

3) Network Element Analyse - Analyse baséiert op regionalen Attributer (Stad, Distrikt, Strooss, asw.)

4) Traffic Kontroll - P2P Geschwindegkeetsbegrenzung, QoS Versécherung, Bandbreedungssécherung, Netzwierkressourceoptimiséierung, asw.

5) Sécherheet Assurance - DDoS Attacken, Daten Sendung Stuerm, Präventioun vu béiswëlleg Virusattacken, etc.

2- Allgemeng Klassifikatioun vun Netzwierkapplikatiounen

Haut ginn et eng Onmass Uwendungen um Internet, awer déi gemeinsam Webapplikatiounen kënnen ustrengend sinn.

Sou wäit wéi ech weess, ass déi bescht App Unerkennung Firma Huawei, déi behaapt 4,000 Apps ze erkennen. Protokollanalyse ass de Basismodul vu ville Firewallfirmen (Huawei, ZTE, asw.), an et ass och e ganz wichtege Modul, deen d'Realiséierung vun anere funktionnelle Moduler ënnerstëtzt, d'korrekt Applikatiounsidentifikatioun an d'Performance an d'Zouverlässegkeet vun de Produkter staark verbessert. Bei der Modelléierung vun Malware Identifikatioun baséiert op Netzwierkverkéierseigenschaften, wéi ech elo maachen, ass eng korrekt an extensiv Protokollidentifikatioun och ganz wichteg. Ausgeschloss vum Netzverkéier vun allgemenge Applikatiounen aus dem Exportverkéier vun der Firma, wäert de verbleiwen Verkéier e klengen Undeel ausmaachen, wat besser ass fir Malware Analyse an Alarm.

Baséierend op menger Erfahrung ginn déi existent allgemeng benotzt Uwendungen no hire Funktiounen klasséiert:

PS: No perséinleche Verständnis vun der Applikatioun Klassifikatioun, Dir hutt all gutt Virschléi wëllkomm engem Message Propositioun ze verloossen

1). E-Mail

2). Video

3). Spiller

4). Büro OA Klass

5). Software Update

6). Finanzen (Bank, Alipay)

7). Aktien

8). Sozial Kommunikatioun (IM Software)

9). Websurfen (wahrscheinlech besser mat URLen identifizéiert)

10). Download Tools (Webdisk, P2P Download, BT Zesummenhang)

20191210153150_32811

Dann, wéi DPI (Deep Packet Inspection) funktionnéiert an engem NPB:

1). Packet Capture: Den NPB erfaasst Netzwierkverkéier vu verschiddene Quellen, wéi Schalter, Router oder Krunn. Et kritt Päckchen déi duerch d'Netz fléissen.

2). Packet Parsing: Déi ageholl Pakete gi vum NPB parséiert fir verschidde Protokollschichten an assoziéiert Daten ze extrahieren. Dëse Parsingprozess hëlleft déi verschidde Komponenten bannent de Päck z'identifizéieren, sou wéi Ethernet Header, IP Header, Transportschicht Header (zB TCP oder UDP), an Applikatiounsschichtprotokoller.

3). Notzlaaschtanalyse: Mat DPI geet den NPB iwwer d'Headerinspektioun a konzentréiert sech op d'Notzlaascht, inklusiv déi aktuell Donnéeën an de Päckchen. Et ënnersicht de Notzlaaschtinhalt am-Déift, onofhängeg vun der Applikatioun oder Protokoll benotzt, fir relevant Informatioun ze extrahieren.

4). Protokollidentifikatioun: DPI erméiglecht den NPB déi spezifesch Protokoller an Uwendungen ze identifizéieren déi am Netzverkéier benotzt ginn. Et kann Protokoller wéi HTTP, FTP, SMTP, DNS, VoIP oder Video Streaming Protokoller erkennen a klassifizéieren.

5). Inhaltsinspektioun: DPI erlaabt den NPB den Inhalt vu Pakete fir spezifesch Musteren, Ënnerschrëften oder Schlësselwieder z'inspektéieren. Dëst erméiglecht d'Erkennung vun Netzwierkbedrohungen, wéi Malware, Viren, Andréngenversuche oder verdächteg Aktivitéiten. DPI kann och fir Inhaltsfilterung benotzt ginn, Netzwierkpolitik ëmzesetzen oder Verstouss géint Datenkonformitéit z'identifizéieren.

6). Metadaten Extraktioun: Wärend DPI extrahéiert den NPB relevant Metadaten aus de Päckchen. Dëst kann Informatioun enthalen wéi Quell an Destinatioun IP Adressen, Portnummeren, Sessiounsdetailer, Transaktiounsdaten oder all aner relevant Attributer.

7). Traffic Routing oder Filtering: Baséierend op der DPI Analyse kann den NPB spezifesch Päckchen op designéierte Destinatiounen fir weider Veraarbechtung routen, sou wéi Sécherheetsapparater, Iwwerwaachungsinstrumenter oder Analytikplattformen. Et kann och Filterregelen uwenden fir Päckchen ze verwerfen oder ze redirecten op Basis vum identifizéierten Inhalt oder Mustere.

ML-NPB-5660 3d


Post Zäit: Jun-25-2023