DPI-ga asoslangan tarmoq paketli broker dasturini identifikatsiya qilish - chuqur paketli tekshiruv

Chuqur paket tekshiruvi (DPI)Tarmoq paketlari brokerlarida (NPBs) tarmoq paketlarining mazmunini granulyar darajada tekshirish va tahlil qilish uchun ishlatiladigan texnologiya. Tarmoq trafigini batafsil tushunish uchun paketlar ichidagi foydali yuk, sarlavhalar va boshqa protokolga xos ma'lumotlarni tekshirishni o'z ichiga oladi.

DPI oddiy sarlavha tahlilidan tashqariga chiqadi va tarmoq orqali oqayotgan ma'lumotlarni chuqur tushunish imkonini beradi. U HTTP, FTP, SMTP, VoIP yoki video oqim protokollari kabi amaliy qatlam protokollarini chuqur tekshirish imkonini beradi. Paketlardagi haqiqiy tarkibni o'rganish orqali DPI muayyan ilovalarni, protokollarni yoki hatto ma'lum ma'lumotlar naqshlarini aniqlashi va aniqlashi mumkin.

Manba manzillari, maqsad manzillari, manba portlari, maqsad portlari va protokol turlarining ierarxik tahliliga qo'shimcha ravishda, DPI turli ilovalar va ularning mazmunini aniqlash uchun amaliy qatlam tahlilini ham qo'shadi. 1P paketi, TCP yoki UDP ma'lumotlari DPI texnologiyasiga asoslangan tarmoqli kengligini boshqarish tizimi orqali oqib o'tganda, tizim OSI Layer 7 protokolidagi dastur qatlami ma'lumotlarini qayta tashkil qilish uchun 1P paket yukining mazmunini o'qiydi, shu sababli tarkibni olish uchun. butun dastur dasturi, so'ngra tizim tomonidan belgilangan boshqaruv siyosatiga muvofiq trafikni shakllantirish.

DPI qanday ishlaydi?

An'anaviy xavfsizlik devorlari ko'pincha katta hajmdagi trafikni real vaqt rejimida sinchkovlik bilan tekshirish uchun ishlov berish quvvatiga ega emas. Texnologiyaning rivojlanishi bilan DPI sarlavhalar va ma'lumotlarni tekshirish uchun yanada murakkab tekshiruvlarni amalga oshirish uchun ishlatilishi mumkin. Odatda, hujumni aniqlash tizimlariga ega xavfsizlik devorlari ko'pincha DPI dan foydalanadi. Raqamli axborot Paramount bo'lgan dunyoda har bir raqamli ma'lumot kichik paketlarda Internet orqali yetkaziladi. Bunga elektron pochta, ilova orqali yuborilgan xabarlar, tashrif buyurilgan veb-saytlar, video suhbatlar va boshqalar kiradi. Haqiqiy ma'lumotlarga qo'shimcha ravishda, bu paketlar trafik manbasini, mazmunini, boradigan joyini va boshqa muhim ma'lumotlarni aniqlaydigan metama'lumotlarni o'z ichiga oladi. Paketli filtrlash texnologiyasi yordamida ma'lumotlarni to'g'ri joyga yo'naltirish uchun doimiy ravishda kuzatib borish va boshqarish mumkin. Ammo tarmoq xavfsizligini ta'minlash uchun an'anaviy paketli filtrlash etarli emas. Tarmoqni boshqarishda paketlarni chuqur tekshirishning asosiy usullaridan ba'zilari quyida keltirilgan:

Moslash rejimi/imzo

Har bir paket tajovuzni aniqlash tizimi (IDS) imkoniyatlariga ega xavfsizlik devori tomonidan ma'lum tarmoq hujumlari ma'lumotlar bazasiga mos kelishi tekshiriladi. IDS ma'lum zararli naqshlarni qidiradi va zararli naqshlar topilganda trafikni o'chiradi. Imzolarni moslashtirish siyosatining kamchiligi shundaki, u faqat tez-tez yangilanadigan imzolarga tegishli. Bundan tashqari, ushbu texnologiya faqat ma'lum tahdidlar yoki hujumlardan himoya qilishi mumkin.

DPI

Protokoldan istisno

Protokolni istisno qilish texnikasi oddiygina imzo ma'lumotlar bazasiga mos kelmaydigan barcha ma'lumotlarga ruxsat bermaganligi sababli, IDS xavfsizlik devori tomonidan qo'llaniladigan protokolni istisno qilish texnikasi naqsh/imzoni moslashtirish usulining o'ziga xos kamchiliklariga ega emas. Buning o'rniga u standart rad etish siyosatini qabul qiladi. Protokol ta'rifiga ko'ra, xavfsizlik devorlari qanday trafikka ruxsat berish kerakligini hal qiladi va tarmoqni noma'lum tahdidlardan himoya qiladi.

Intrusion oldini olish tizimi (IPS)

IPS yechimlari zararli paketlarni ularning mazmuniga ko'ra uzatishni bloklashi va shu bilan real vaqtda shubhali hujumlarni to'xtatishi mumkin. Bu shuni anglatadiki, agar paket ma'lum xavfsizlik xavfini bildirsa, IPS belgilangan qoidalar to'plamiga asoslanib tarmoq trafigini faol ravishda bloklaydi. IPS ning kamchiliklaridan biri - yangi tahdidlar va noto'g'ri pozitivlar ehtimoli haqidagi ma'lumotlar bilan kiber tahdidlar ma'lumotlar bazasini muntazam yangilab turish zarurati. Ammo bu xavfni konservativ siyosatlar va maxsus chegaralarni yaratish, tarmoq komponentlari uchun tegishli asosiy xatti-harakatlarni o'rnatish va monitoring va ogohlantirishni kuchaytirish uchun vaqti-vaqti bilan ogohlantirishlar va xabar qilingan hodisalarni baholash orqali kamaytirish mumkin.

1- Tarmoq paketi brokerida DPI (chuqur paketli tekshiruv).

"Chuqur" - bu darajadagi va oddiy paket tahlilini taqqoslash, "oddiy paket tekshiruvi" faqat IP-paket 4-qatlamining quyidagi tahlili, shu jumladan manba manzili, maqsad manzili, manba porti, maqsad porti va protokol turi va ierarxikdan tashqari DPI. tahlil, shuningdek, amaliy qatlam tahlilini oshirdi, asosiy funktsiyalarni amalga oshirish uchun turli xil ilovalar va tarkiblarni aniqlang:

1) Ilovalarni tahlil qilish -- tarmoq trafigi tarkibi tahlili, ishlash tahlili va oqim tahlili

2) Foydalanuvchilarni tahlil qilish -- foydalanuvchilar guruhini farqlash, xatti-harakatlar tahlili, terminal tahlili, trend tahlili va boshqalar.

3) Tarmoq elementlarini tahlil qilish -- mintaqaviy atributlar (shahar, tuman, ko'cha va boshqalar) va tayanch stansiya yukiga asoslangan tahlil.

4) Traffic Control -- P2P tezligini cheklash, QoS kafolati, tarmoqli kengligi kafolati, tarmoq resurslarini optimallashtirish va boshqalar.

5) Xavfsizlik kafolati -- DDoS hujumlari, ma'lumotlarni uzatish bo'roni, zararli virus hujumlarining oldini olish va boshqalar.

2- Tarmoq ilovalarining umumiy tasnifi

Bugungi kunda Internetda son-sanoqsiz ilovalar mavjud, ammo umumiy veb-ilovalar to'liq bo'lishi mumkin.

Men bilishimcha, ilovalarni tanib olish bo‘yicha eng yaxshi kompaniya Huawei bo‘lib, u 4000 ta ilovani tan olishni da’vo qiladi. Protokol tahlili ko'plab xavfsizlik devori kompaniyalarining (Huawei, ZTE va boshqalar) asosiy moduli bo'lib, u boshqa funktsional modullarni amalga oshirishni, ilovalarni aniq identifikatsiyalashni qo'llab-quvvatlaydigan va mahsulotlarning ishlashi va ishonchliligini sezilarli darajada yaxshilaydigan juda muhim moduldir. Tarmoq trafigining xususiyatlariga asoslangan zararli dastur identifikatsiyasini modellashtirishda, men hozir qilayotganimdek, protokolni aniq va keng identifikatsiyalash ham juda muhimdir. Kompaniyaning eksport trafigidan umumiy ilovalarning tarmoq trafigini hisobga olmaganda, qolgan trafik kichik ulushga to'g'ri keladi, bu zararli dasturlarni tahlil qilish va ogohlantirish uchun yaxshiroqdir.

Mening tajribamga asoslanib, mavjud tez-tez ishlatiladigan ilovalar vazifalariga ko'ra tasniflanadi:

PS: Ilova tasnifini shaxsiy tushunishga ko'ra, sizda yaxshi takliflar bor, xabar taklifini qoldirishingiz mumkin

1). E-mail

2). Video

3). O'yinlar

4). Office OA klassi

5). Dasturiy ta'minotni yangilash

6). Moliyaviy (bank, Alipay)

7). Aktsiyalar

8). Ijtimoiy aloqa (IM dasturi)

9). Veb-saytlarni ko'rish (ehtimol, URL manzillari bilan yaxshiroq aniqlangan)

10). Yuklab olish vositalari (veb-disk, P2P yuklab olish, BT bilan bog'liq)

20191210153150_32811

Keyin, DPI (chuqur paketli tekshiruv) NPBda qanday ishlaydi:

1). Packet Capture: NPB turli manbalardan, masalan, kalitlar, marshrutizatorlar yoki kranlar kabi tarmoq trafigini ushlaydi. U tarmoq orqali oqayotgan paketlarni qabul qiladi.

2). Paketlarni tahlil qilish: olingan paketlar NPB tomonidan turli protokol qatlamlari va tegishli ma'lumotlarni ajratib olish uchun tahlil qilinadi. Ushbu tahlil qilish jarayoni chekilgan sarlavhalari, IP sarlavhalari, transport qatlami sarlavhalari (masalan, TCP yoki UDP) va dastur sathi protokollari kabi paketlardagi turli komponentlarni aniqlashga yordam beradi.

3). Yuk yukini tahlil qilish: DPI bilan NPB sarlavhani tekshirishdan tashqariga chiqadi va foydali yukga, shu jumladan paketlardagi haqiqiy ma'lumotlarga e'tibor beradi. U tegishli ma'lumotlarni olish uchun ishlatiladigan dastur yoki protokoldan qat'i nazar, foydali yuk tarkibini chuqur o'rganadi.

4). Protokol identifikatsiyasi: DPI NPB ga tarmoq trafigida foydalaniladigan maxsus protokollar va ilovalarni aniqlash imkonini beradi. U HTTP, FTP, SMTP, DNS, VoIP yoki video oqim protokollari kabi protokollarni aniqlashi va tasniflashi mumkin.

5). Kontentni tekshirish: DPI NPBga paketlar tarkibini muayyan naqshlar, imzolar yoki kalit so'zlar uchun tekshirish imkonini beradi. Bu zararli dasturlar, viruslar, bosqinga urinishlar yoki shubhali harakatlar kabi tarmoq tahdidlarini aniqlash imkonini beradi. DPI kontentni filtrlash, tarmoq siyosatini qo'llash yoki ma'lumotlarga muvofiqlik buzilishini aniqlash uchun ham ishlatilishi mumkin.

6). Metadata ekstraktsiyasi: DPI davomida NPB tegishli metama'lumotlarni paketlardan ajratib oladi. Bunga manba va maqsad IP manzillari, port raqamlari, seans tafsilotlari, tranzaksiya ma'lumotlari yoki boshqa tegishli atributlar kabi ma'lumotlar kirishi mumkin.

7). Trafikni yo'naltirish yoki filtrlash: DPI tahliliga asoslanib, NPB xavfsizlik moslamalari, monitoring vositalari yoki tahlil platformalari kabi keyingi ishlov berish uchun maxsus paketlarni belgilangan manzillarga yo'naltirishi mumkin. Shuningdek, u aniqlangan tarkib yoki naqshlar asosida paketlarni yo'q qilish yoki qayta yo'naltirish uchun filtrlash qoidalarini qo'llashi mumkin.

ML-NPB-5660 3d


Yuborilgan vaqt: 25-iyun-2023