זיהוי יישומי מנות מנות רשת מבוסס על DPI - בדיקת מנות עמוק

בדיקת מנות עמוקה (Dpi)היא טכנולוגיה המשמשת במתווכי מנות רשת (NPBS) כדי לבדוק ולנתח את תוכן מנות הרשת ברמה גרגרית. זה כרוך בבחינת עומס, כותרות ומידע ספציפי לפרוטוקול בתוך מנות כדי לקבל תובנות מפורטות על תנועת הרשת.

DPI חורג מניתוח כותרות פשוט ומספק הבנה מעמיקה של הנתונים הזורמים ברשת. זה מאפשר בדיקה מעמיקה של פרוטוקולי שכבת היישום, כגון HTTP, FTP, SMTP, VoIP או פרוטוקולי הזרמת וידאו. על ידי בחינת התוכן בפועל בתוך מנות, DPI יכול לאתר ולזהות יישומים, פרוטוקולים ספציפיים או אפילו דפוסי נתונים ספציפיים.

בנוסף לניתוח ההיררכי של כתובות מקור, כתובות יעד, יציאות מקור, יציאות יעד וסוגי פרוטוקול, DPI מוסיף גם ניתוח שכבת יישומים לזיהוי יישומים שונים ותוכנם. כאשר מנות 1P, נתוני TCP או UDP זורמים דרך מערכת ניהול רוחב הפס המבוססת על טכנולוגיית DPI, המערכת קוראת את התוכן של עומס המנות 1P כדי לארגן מחדש את מידע שכבת היישומים בפרוטוקול שכבת OSI 7, כדי לקבל את התוכן של תוכנית היישום כולה, ואז מעצב את התנועה על פי מדיניות הניהול שהוגדרה על ידי המערכת.

איך DPI עובד?

חומות אש מסורתיות לעיתים קרובות חסרות את כוח העיבוד לבצע בדיקות יסודיות בזמן אמת על נפחי תנועה גדולים. ככל שהטכנולוגיה מתקדמת, ניתן להשתמש ב- DPI לביצוע בדיקות מורכבות יותר לבדיקת כותרות ונתונים. בדרך כלל, חומות אש עם מערכות גילוי חדירות משתמשות לרוב ב- DPI. בעולם בו המידע הדיגיטלי הוא Paramount, כל פיסת מידע דיגיטלי מועברת דרך האינטרנט בחבילות קטנות. זה כולל דוא"ל, הודעות שנשלחו דרך האפליקציה, אתרים שביקרו בהם, שיחות וידאו ועוד. בנוסף לנתונים בפועל, מנות אלה כוללות מטא נתונים המזהים את מקור התנועה, התוכן, היעד ומידע חשוב אחר. בעזרת טכנולוגיית סינון מנות, ניתן לפקח על נתונים ברציפות ולהצליח להבטיח שהם מועברים למקום הנכון. אך כדי להבטיח אבטחת רשת, סינון מנות מסורתי רחוק מלהיות מספיק. להלן כמה מהשיטות העיקריות לבדיקת מנות עמוק בניהול רשת מופיעות להלן:

מצב התאמה/חתימה

כל מנות נבדקות התאמה מול מסד נתונים של התקפות רשת ידועות על ידי חומת אש עם יכולות מערכת גילוי חדירות (IDS). IDS מחפש דפוסים ספציפיים זדוניים ידועים ומשבית תנועה כאשר נמצאים דפוסים זדוניים. החיסרון של מדיניות התאמת החתימה הוא שהיא חל רק על חתימות שמתעדכנות לעתים קרובות. בנוסף, טכנולוגיה זו יכולה להתגונן רק מפני איומים או התקפות ידועות.

DPI

חריג לפרוטוקול

מכיוון שטכניקת חריגת הפרוטוקול אינה מאפשרת פשוט לכל הנתונים שאינם תואמים את מסד הנתונים החתימה, לטכניקת חריג הפרוטוקול המשמשת את חומת האש של IDS ​​אין את הפגמים המובנים בשיטת ההתאמה של התבנית/חתימה. במקום זאת, היא מאמצת את מדיניות דחיית ברירת המחדל. על פי הגדרת הפרוטוקול, חומות אש מחליטות איזו תנועה צריכה להיות מאפשרת ולהגן על הרשת מפני איומים לא ידועים.

מערכת למניעת חדירות (IPS)

פתרונות IPS יכולים לחסום את העברת המנות המזיקות על סמך תוכן, ובכך להפסיק להתקפות חשדות בזמן אמת. המשמעות היא שאם חבילה מייצגת סיכון אבטחה ידוע, IPS תחסום באופן יזום את תנועת הרשת על בסיס מערך כללים מוגדר. חסרון אחד של IPS הוא הצורך לעדכן באופן קבוע מסד נתונים של איומי סייבר עם פרטים על איומים חדשים, והאפשרות של חיובי שווא. אולם ניתן להקל על סכנה זו על ידי יצירת מדיניות שמרנית וספים בהתאמה אישית, קביעת התנהגות בסיסית מתאימה לרכיבי רשת, והערכה מעת לעת אזהרות ודיווחו על אירועים כדי לשפר את הניטור וההתראה.

1- ה- DPI (בדיקת מנות עמוק) במתווך מנות רשת

"עמוק" הוא השוואה ברמה וניתוח מנות רגילות, "בדיקת מנות רגילה" רק את הניתוח הבא של שכבת מנות IP 4, כולל כתובת המקור, כתובת היעד, יציאת המקור, יציאת היעד וסוג הפרוטוקול ו- DPI למעט עם הניתוח ההיררכי, הגבירו גם את ניתוח שכבת היישום, לזהות את היישומים והתכנים השונים, כדי לממש את הפונקציות העיקריות:

1) ניתוח יישומים - ניתוח הרכב תנועה ברשת, ניתוח ביצועים וניתוח זרימה

2) ניתוח משתמשים - בידול בקבוצת משתמשים, ניתוח התנהגות, ניתוח מסוף, ניתוח מגמות וכו '.

3) ניתוח אלמנטים ברשת - ניתוח המבוסס על תכונות אזוריות (עיר, מחוז, רחוב וכו ') ועומס תחנת בסיס

4) בקרת תנועה - הגבלת מהירות P2P, אבטחת QoS, אבטחת רוחב פס, אופטימיזציה של משאבי רשת וכו '.

5) אבטחת אבטחה - התקפות DDOS, סערת שידור נתונים, מניעת התקפות וירוסים זדוניות וכו '.

2- סיווג כללי של יישומי רשת

כיום ישנם אינספור יישומים באינטרנט, אך יישומי האינטרנט הנפוצים יכולים להיות ממצים.

עד כמה שידוע לי, חברת הכרת האפליקציות הטובה ביותר היא Huawei, הטוענת כי היא מכירה ב -4,000 אפליקציות. ניתוח פרוטוקול הוא המודול הבסיסי של חברות חומת אש רבות (Huawei, ZTE וכו '), והוא גם מודול חשוב מאוד, התומך במימוש מודולים פונקציונליים אחרים, זיהוי יישומים מדויק ושיפור מאוד את הביצועים והאמינות של המוצרים. במודלים של זיהוי תוכנות זדוניות המבוססות על מאפייני תנועה ברשת, כפי שאני עושה כעת, גם זיהוי פרוטוקול מדויק ונרחב הוא חשוב מאוד. לא כולל תנועת הרשת של יישומים נפוצים מתעבורת הייצוא של החברה, התנועה שנותרה תסביר חלק קטן, וזה טוב יותר לניתוח ותוכנות זדוניות.

בהתבסס על הניסיון שלי, היישומים הקיימים הנפוצים מסווגים לפי תפקידיהם:

נ.ב: על פי ההבנה האישית של סיווג היישומים, יש לך הצעות טובות ברוך הבא להשאיר הצעת הודעה

1). אֶלֶקטרוֹנִי

2). וִידֵאוֹ

3). משחקים

4). Office OA Class

5). עדכון תוכנה

6). פיננסי (בנק, אליפיי)

7). מניות

8). תקשורת חברתית (תוכנת IM)

9). גלישה באינטרנט (ככל הנראה מזוהה טוב יותר עם כתובות אתרים)

10). כלים להורדה (דיסק אינטרנט, הורדת P2P, BT קשורה)

20191210153150_32811

ואז, איך DPI (בדיקת מנות עמוק) עובד ב- NPB:

1). לכידת מנות: ה- NPB לוכד את תנועת הרשת ממקורות שונים, כגון מתגים, נתבים או ברזים. הוא מקבל מנות שזורמות ברשת.

2). ניתוח מנות: המנות שנלכדו מנותחות על ידי ה- NPB כדי לחלץ שכבות פרוטוקול שונות ונתונים נלווים. תהליך ניתוח זה מסייע בזיהוי הרכיבים השונים בתוך המנות, כגון כותרות Ethernet, כותרות IP, כותרות שכבת הובלה (למשל, TCP או UDP) ופרוטוקולי שכבת יישומים.

3). ניתוח מטענים: עם DPI, ה- NPB חורג מבדיקת כותרת ומתמקד בעומס המשא, כולל הנתונים בפועל בתוך המנות. הוא בוחן את תוכן עומס המשא מעמיק, ללא קשר ליישום או לפרוטוקול המשמש, כדי לחלץ מידע רלוונטי.

4). זיהוי פרוטוקול: DPI מאפשר ל- NPB לזהות את הפרוטוקולים והיישומים הספציפיים המשמשים בתעבורת הרשת. זה יכול לאתר ולסווג פרוטוקולים כמו HTTP, FTP, SMTP, DNS, VOIP או פרוטוקולי הזרמת וידאו.

5). בדיקת תוכן: DPI מאפשר ל- NPB לבדוק את תוכן המנות עבור דפוסים, חתימות או מילות מפתח ספציפיות. זה מאפשר איתור איומי רשת, כמו תוכנות זדוניות, וירוסים, ניסיונות חדירה או פעילויות חשודות. ניתן להשתמש ב- DPI גם לסינון תוכן, אכיפת מדיניות רשת או זיהוי הפרות תאימות לנתונים.

6). מיצוי מטא נתונים: במהלך DPI, ה- NPB מחלץ מטא נתונים רלוונטיים מהמנות. זה יכול לכלול מידע כגון כתובות IP של מקור ויעד, מספרי יציאה, פרטי הפעלה, נתוני עסקאות או כל תכונות רלוונטיות אחרות.

7). ניתוב תנועה או סינון: בהתבסס על ניתוח DPI, ה- NPB יכול לנתב מנות ספציפיות ליעדים ייעודיים לצורך עיבוד נוסף, כגון מכשירי אבטחה, כלי ניטור או פלטפורמות ניתוח. זה יכול גם להחיל כללי סינון כדי להשליך או להפנות מנות על בסיס התוכן או התבניות המזוהות.

ML-NPB-5660 3D


זמן ההודעה: יוני-25-2023