Network Packet Broker זיהוי יישום מבוסס על DPI – Deep Packet Inspection

בדיקת מנות עמוקה (DPI)היא טכנולוגיה המשמשת ב-Network Packet Brokers (NPBs) כדי לבדוק ולנתח את התוכן של מנות רשת ברמה פרטנית. זה כולל בחינת המטען, הכותרות ומידע ספציפי אחר לפרוטוקול בתוך מנות כדי לקבל תובנות מפורטות על תעבורת הרשת.

DPI חורג מניתוח כותרות פשוט ומספק הבנה עמוקה של הנתונים הזורמים ברשת. זה מאפשר בדיקה מעמיקה של פרוטוקולי שכבת האפליקציה, כגון HTTP, FTP, SMTP, VoIP או פרוטוקולי הזרמת וידאו. על ידי בחינת התוכן בפועל בתוך מנות, DPI יכול לזהות ולזהות יישומים, פרוטוקולים או אפילו דפוסי נתונים ספציפיים.

בנוסף לניתוח ההיררכי של כתובות מקור, כתובות יעד, יציאות מקור, יציאות יעד וסוגי פרוטוקולים, DPI מוסיף גם ניתוח שכבת יישומים כדי לזהות יישומים שונים ואת תוכנם. כאשר חבילת 1P, TCP או UDP זורמים דרך מערכת ניהול רוחב הפס המבוססת על טכנולוגיית DPI, המערכת קוראת את התוכן של עומס מנות 1P כדי לארגן מחדש את מידע שכבת היישום בפרוטוקול OSI Layer 7, כדי לקבל את התוכן של תוכנית היישום כולה, ולאחר מכן עיצוב התעבורה בהתאם למדיניות הניהול שהוגדרה על ידי המערכת.

איך עובד DPI?

חומות אש מסורתיות לרוב חסרות את כוח העיבוד לביצוע בדיקות יסודיות בזמן אמת בכמויות גדולות של תעבורה. ככל שהטכנולוגיה מתקדמת, ניתן להשתמש ב-DPI לביצוע בדיקות מורכבות יותר לבדיקת כותרות ונתונים. בדרך כלל, חומות אש עם מערכות זיהוי חדירה משתמשות לעתים קרובות ב-DPI. בעולם שבו המידע הדיגיטלי הוא פרימאונט, כל פיסת מידע דיגיטלי מועברת דרך האינטרנט בחבילות קטנות. זה כולל דוא"ל, הודעות שנשלחו דרך האפליקציה, אתרים שביקרו בהם, שיחות וידאו ועוד. בנוסף לנתונים בפועל, מנות אלה כוללות מטא נתונים המזהים את מקור התנועה, התוכן, היעד ומידע חשוב אחר. עם טכנולוגיית סינון מנות, ניתן לנטר ולנהל נתונים באופן רציף כדי להבטיח שהם מועברים למקום הנכון. אבל כדי להבטיח אבטחת רשת, סינון מנות מסורתי רחוק מלהיות מספיק. כמה מהשיטות העיקריות של בדיקת מנות עמוקה בניהול רשת מפורטות להלן:

מצב התאמה/חתימה

כל מנה נבדקת להתאמה מול מסד נתונים של התקפות רשת ידועות על ידי חומת אש עם יכולות מערכת זיהוי חדירה (IDS). IDS מחפש דפוסים זדוניים ספציפיים ידועים ומשבית את התעבורה כאשר מתגלים דפוסים זדוניים. החיסרון של מדיניות התאמת החתימות הוא שהיא חלה רק על חתימות שמתעדכנות בתדירות גבוהה. בנוסף, טכנולוגיה זו יכולה להתגונן רק מפני איומים או התקפות ידועים.

DPI

חריג פרוטוקול

מאחר שטכניקת חריג הפרוטוקול אינה מאפשרת פשוט את כל הנתונים שאינם תואמים למסד הנתונים של החתימות, לטכניקת חריג הפרוטוקול המשמשת את חומת האש של IDS ​​אין את הפגמים המובנים של שיטת התאמת הדפוס/חתימה. במקום זאת, הוא מאמץ את מדיניות הדחייה המוגדרת כברירת מחדל. לפי הגדרת הפרוטוקול, חומות אש מחליטות איזו תעבורה יש לאפשר ולהגן על הרשת מפני איומים לא ידועים.

מערכת למניעת חדירות (IPS)

פתרונות IPS יכולים לחסום שידור של מנות מזיקות על סמך התוכן שלהן, ובכך לעצור התקפות חשודות בזמן אמת. משמעות הדבר היא שאם מנה מייצגת סיכון אבטחה ידוע, IPS יחסום באופן יזום תעבורת רשת בהתבסס על מערכת מוגדרת של כללים. חסרון אחד של IPS הוא הצורך לעדכן באופן שוטף מסד נתונים של איומי סייבר עם פרטים על איומים חדשים, ואפשרות של תוצאות שווא. אך ניתן לצמצם סכנה זו על ידי יצירת מדיניות שמרנית וספים מותאמים אישית, קביעת התנהגות בסיסית מתאימה עבור רכיבי רשת, והערכה תקופתית של אזהרות ואירועים מדווחים כדי לשפר את הניטור וההתראה.

1- ה-DPI (בדיקת מנות עמוקה) ב-Network Packet Broker

ה"עמוק" הוא השוואת ניתוח מנות ברמה ורגילה, "בדיקת מנות רגילה" רק הניתוח הבא של חבילת IP 4 שכבת, כולל כתובת המקור, כתובת היעד, יציאת המקור, יציאת היעד וסוג הפרוטוקול, ו-DPI למעט עם ההיררכיה ניתוח, גם הגדיל את ניתוח שכבת היישום, לזהות את היישומים והתכנים השונים, כדי לממש את הפונקציות העיקריות:

1) ניתוח יישומים - ניתוח הרכב תעבורת הרשת, ניתוח ביצועים וניתוח זרימה

2) ניתוח משתמשים -- בידול קבוצת משתמשים, ניתוח התנהגות, ניתוח מסוף, ניתוח מגמות וכו'.

3) ניתוח רכיבי רשת -- ניתוח המבוסס על תכונות אזוריות (עיר, מחוז, רחוב וכו') ועומס תחנת בסיס

4) בקרת תנועה -- הגבלת מהירות P2P, הבטחת QoS, הבטחת רוחב פס, אופטימיזציה של משאבי רשת וכו'.

5) אבטחת אבטחה - התקפות DDoS, סערת שידור נתונים, מניעת התקפות וירוסים זדוניות וכו'.

2- סיווג כללי של יישומי רשת

כיום יש אינספור אפליקציות באינטרנט, אך אפליקציות האינטרנט הנפוצות יכולות להיות ממצות.

עד כמה שידוע לי, חברת זיהוי האפליקציות הטובה ביותר היא Huawei, שמתיימרת לזהות 4,000 אפליקציות. ניתוח פרוטוקול הוא המודול הבסיסי של חברות פיירוול רבות (Huawei, ZTE וכו'), והוא גם מודול חשוב מאוד, התומך במימוש מודולים פונקציונליים אחרים, זיהוי יישומים מדויק, ומשפר מאוד את הביצועים והאמינות של המוצרים. במודלים של זיהוי תוכנות זדוניות על סמך מאפייני תעבורת רשת, כפי שאני עושה כעת, זיהוי פרוטוקול מדויק ונרחב הוא גם חשוב מאוד. להוציא את תעבורת הרשת של אפליקציות נפוצות מתעבורת הייצוא של החברה, שאר התעבורה תהווה חלק קטן, מה שעדיף לניתוח תוכנות זדוניות ואזעקה.

בהתבסס על הניסיון שלי, היישומים הקיימים בשימוש נפוץ מסווגים לפי הפונקציות שלהם:

נ.ב: על פי הבנה אישית של סיווג היישום, יש לך הצעות טובות מוזמן להשאיר הצעה בהודעה

1). אֶלֶקטרוֹנִי

2). וִידֵאוֹ

3). משחקים

4). כיתת OA Office

5). עדכון תוכנה

6). פיננסי (בנק, Alipay)

7). מניות

8). תקשורת חברתית (תוכנת IM)

9). גלישה באינטרנט (כנראה מזוהה טוב יותר עם כתובות URL)

10). כלים להורדה (דיסק אינטרנט, הורדת P2P, קשור ל-BT)

20191210153150_32811

לאחר מכן, כיצד פועלת DPI (בדיקת מנות עמוקה) ב-NPB:

1). לכידת מנות: ה-NPB לוכד תעבורת רשת ממקורות שונים, כגון מתגים, נתבים או ברזים. הוא מקבל מנות שזורמות דרך הרשת.

2). ניתוח מנות: החבילות שנלכדו מנותחות על ידי ה-NPB כדי לחלץ שכבות פרוטוקול שונות ונתונים קשורים. תהליך ניתוח זה עוזר לזהות את הרכיבים השונים בתוך החבילות, כגון כותרות Ethernet, כותרות IP, כותרות שכבת תחבורה (למשל, TCP או UDP), ופרוטוקולי שכבת יישומים.

3). ניתוח מטען: עם DPI, ה-NPB חורג מבדיקת כותרת ומתמקד במטען, כולל הנתונים בפועל בתוך החבילות. הוא בוחן את תוכן המטען לעומק, ללא קשר ליישום או לפרוטוקול בשימוש, כדי לחלץ מידע רלוונטי.

4). זיהוי פרוטוקול: DPI מאפשר ל-NPB לזהות את הפרוטוקולים והיישומים הספציפיים הנמצאים בשימוש בתעבורת הרשת. זה יכול לזהות ולסווג פרוטוקולים כמו HTTP, FTP, SMTP, DNS, VoIP או פרוטוקולי הזרמת וידאו.

5). בדיקת תוכן: DPI מאפשר ל-NPB לבדוק את התוכן של מנות עבור דפוסים, חתימות או מילות מפתח ספציפיות. זה מאפשר זיהוי של איומי רשת, כגון תוכנות זדוניות, וירוסים, ניסיונות חדירה או פעילויות חשודות. ניתן להשתמש ב-DPI גם עבור סינון תוכן, אכיפת מדיניות רשת או זיהוי הפרות של תאימות נתונים.

6). חילוץ מטא נתונים: במהלך DPI, ה-NPB מחלץ מטא נתונים רלוונטיים מהמנות. זה יכול לכלול מידע כגון כתובות IP מקור ויעד, מספרי יציאה, פרטי הפעלה, נתוני עסקאות או כל מאפיינים רלוונטיים אחרים.

7). ניתוב או סינון תנועה: בהתבסס על ניתוח DPI, ה-NPB יכול לנתב מנות ספציפיות ליעדים ייעודיים לעיבוד נוסף, כגון מכשירי אבטחה, כלי ניטור או פלטפורמות ניתוח. זה יכול גם להחיל כללי סינון כדי להשליך או להפנות מנות על סמך התוכן או הדפוסים שזוהו.

ML-NPB-5660 3d


זמן פרסום: 25 ביוני 2023