Chuqur paket tekshiruvi (DPI)Tarmoq paketlari brokerlarida (NPB) tarmoq paketlari tarkibini batafsil tekshirish va tahlil qilish uchun ishlatiladigan texnologiya. Bu tarmoq trafigi haqida batafsil ma'lumot olish uchun paketlar ichidagi foydali yuklama, sarlavhalar va boshqa protokolga xos ma'lumotlarni tekshirishni o'z ichiga oladi.
DPI oddiy sarlavha tahlilidan tashqariga chiqadi va tarmoq orqali oqib o'tadigan ma'lumotlarni chuqur tushunishni ta'minlaydi. Bu HTTP, FTP, SMTP, VoIP yoki video oqim protokollari kabi dastur qatlami protokollarini chuqur tekshirish imkonini beradi. Paketlar ichidagi haqiqiy tarkibni tekshirish orqali DPI ma'lum ilovalarni, protokollarni yoki hatto ma'lum ma'lumotlar naqshlarini aniqlay oladi va aniqlay oladi.
Manba manzillari, manzil manzillari, manba portlari, manzil portlari va protokol turlarining ierarxik tahlilidan tashqari, DPI turli xil ilovalar va ularning tarkibini aniqlash uchun dastur qatlami tahlilini ham qo'shadi. 1P paketi, TCP yoki UDP ma'lumotlari DPI texnologiyasiga asoslangan o'tkazish qobiliyatini boshqarish tizimi orqali oqayotganida, tizim 1P paket yukining tarkibini o'qiydi va OSI 7-qavat protokolidagi dastur qatlami ma'lumotlarini qayta tashkil qiladi, shunda butun dastur dasturining tarkibini oladi va keyin tizim tomonidan belgilangan boshqaruv siyosatiga muvofiq trafikni shakllantiradi.
DPI qanday ishlaydi?
An'anaviy xavfsizlik devorlari ko'pincha katta hajmdagi trafikni real vaqt rejimida puxta tekshirish uchun ishlov berish kuchiga ega emas. Texnologiya rivojlanib borishi bilan DPI sarlavhalar va ma'lumotlarni tekshirish uchun murakkabroq tekshiruvlarni amalga oshirish uchun ishlatilishi mumkin. Odatda, buzg'unchilikni aniqlash tizimlariga ega xavfsizlik devorlari ko'pincha DPI dan foydalanadi. Raqamli ma'lumotlar Paramount bo'lgan dunyoda har bir raqamli ma'lumot Internet orqali kichik paketlarda yetkazib beriladi. Bunga elektron pochta, ilova orqali yuborilgan xabarlar, tashrif buyurilgan veb-saytlar, video suhbatlar va boshqalar kiradi. Haqiqiy ma'lumotlardan tashqari, ushbu paketlarga trafik manbai, kontent, manzil va boshqa muhim ma'lumotlarni aniqlaydigan metama'lumotlar kiradi. Paketlarni filtrlash texnologiyasi yordamida ma'lumotlar doimiy ravishda kuzatib borilishi va to'g'ri joyga yuborilishini ta'minlash uchun boshqarilishi mumkin. Ammo tarmoq xavfsizligini ta'minlash uchun an'anaviy paketlarni filtrlash yetarli emas. Tarmoqni boshqarishda chuqur paketlarni tekshirishning ba'zi asosiy usullari quyida keltirilgan:
Moslashtirish rejimi/imzo
Har bir paket ma'lum tarmoq hujumlari ma'lumotlar bazasiga mos kelishi uchun buzg'unchiliklarni aniqlash tizimi (IDS) imkoniyatlariga ega xavfsizlik devori tomonidan tekshiriladi. IDS ma'lum zararli dasturlarning o'ziga xos naqshlarini qidiradi va zararli naqshlar topilganda trafikni o'chiradi. Imzo mosligi siyosatining kamchiligi shundaki, u faqat tez-tez yangilanadigan imzolarga nisbatan qo'llaniladi. Bundan tashqari, ushbu texnologiya faqat ma'lum tahdidlar yoki hujumlardan himoya qila oladi.
Protokol istisnosi
Protokol istisno texnikasi imzo ma'lumotlar bazasiga mos kelmaydigan barcha ma'lumotlarga shunchaki ruxsat bermagani uchun, IDS xavfsizlik devori tomonidan ishlatiladigan protokol istisno texnikasi naqsh/imzo moslashtirish usulining ichki kamchiliklariga ega emas. Buning o'rniga, u standart rad etish siyosatini qo'llaydi. Protokol ta'rifiga ko'ra, xavfsizlik devorlari qaysi trafikka ruxsat berilishi kerakligini hal qiladi va tarmoqni noma'lum tahdidlardan himoya qiladi.
Bosqinchilikning oldini olish tizimi (IPS)
IPS yechimlari zararli paketlarning tarkibiga qarab uzatilishini blokirovka qilishi va shu bilan shubhali hujumlarni real vaqt rejimida to'xtatishi mumkin. Bu shuni anglatadiki, agar paket ma'lum xavfsizlik xavfini anglatsa, IPS belgilangan qoidalar to'plamiga asoslanib tarmoq trafikini proaktiv ravishda bloklaydi. IPSning bir kamchiligi shundaki, kiber tahdidlar ma'lumotlar bazasini yangi tahdidlar va noto'g'ri ijobiy natijalar ehtimoli haqidagi ma'lumotlar bilan muntazam ravishda yangilab turish zarurati. Ammo bu xavfni konservativ siyosatlar va maxsus chegaralarni yaratish, tarmoq komponentlari uchun tegishli asosiy xatti-harakatlarni o'rnatish va monitoring va ogohlantirishni kuchaytirish uchun ogohlantirishlar va xabar qilingan hodisalarni vaqti-vaqti bilan baholash orqali kamaytirish mumkin.
1- Tarmoq paket brokerida DPI (chuqur paket tekshiruvi)
"Chuqur" daraja va oddiy paket tahlilini taqqoslash, "oddiy paket tekshiruvi" faqat IP paketining 4-qavatini, jumladan, manba manzili, manzil manzili, manba porti, manzil porti va protokol turini tahlil qilish va ierarxik tahlildan tashqari DPIni tahlil qilish, shuningdek, dastur qatlamini tahlil qilishni kuchaytirish, turli ilovalar va tarkibni aniqlash, asosiy funktsiyalarni amalga oshirishdir:
1) Ilova tahlili -- tarmoq trafik tarkibini tahlil qilish, ishlash tahlili va oqim tahlili
2) Foydalanuvchi tahlili -- foydalanuvchi guruhini farqlash, xulq-atvor tahlili, yakuniy tahlil, trend tahlili va boshqalar.
3) Tarmoq elementlarini tahlil qilish -- mintaqaviy xususiyatlar (shahar, tuman, ko'cha va boshqalar) va bazaviy stansiya yuklamasiga asoslangan tahlil
4) Trafikni boshqarish -- P2P tezligini cheklash, QoS kafolati, o'tkazish qobiliyatini ta'minlash, tarmoq resurslarini optimallashtirish va boshqalar.
5) Xavfsizlikni ta'minlash -- DDoS hujumlari, ma'lumotlar uzatish bo'roni, zararli virus hujumlarining oldini olish va boshqalar.
2- Tarmoq ilovalarining umumiy tasnifi
Bugungi kunda Internetda son-sanoqsiz dasturlar mavjud, ammo keng tarqalgan veb-ilovalar to'liq bo'lishi mumkin.
Bilishimcha, eng yaxshi ilovalarni aniqlash kompaniyasi Huawei bo'lib, u 4000 ta ilovani taniy olishini da'vo qilmoqda. Protokol tahlili ko'plab xavfsizlik devori kompaniyalarining (Huawei, ZTE va boshqalar) asosiy moduli bo'lib, u boshqa funktsional modullarni amalga oshirishni qo'llab-quvvatlaydi, ilovalarni aniq identifikatsiya qiladi va mahsulotlarning ishlashi va ishonchliligini sezilarli darajada yaxshilaydi. Hozir qilayotganimdek, tarmoq trafik xususiyatlariga asoslangan zararli dasturlarni identifikatsiyalashni modellashtirishda aniq va keng qamrovli protokol identifikatsiyasi ham juda muhimdir. Kompaniyaning eksport trafikidan keng tarqalgan ilovalarning tarmoq trafikini chiqarib tashlasak, qolgan trafik kichik bir ulushni tashkil qiladi, bu esa zararli dasturlarni tahlil qilish va signalizatsiya qilish uchun yaxshiroqdir.
Mening tajribamga asoslanib, mavjud keng tarqalgan ilovalar o'z funktsiyalariga ko'ra tasniflanadi:
PS: Ilova tasnifini shaxsiy tushunishingizga ko'ra, sizda biron bir yaxshi taklif bo'lsa, xabar taklifini qoldirishingiz mumkin.
1). Elektron pochta
2). Video
3). O'yinlar
4). Ofis OA klassi
5). Dasturiy ta'minotni yangilash
6). Moliyaviy (bank, Alipay)
7). Aksiyalar
8). Ijtimoiy aloqa (IM dasturi)
9). Veb-brauzer (ehtimol URL manzillari bilan yaxshiroq aniqlangan)
10). Yuklab olish vositalari (veb-disk, P2P yuklab olish, BT bilan bog'liq)
Keyin, DPI (Chuqur Paket Tekshirish) NPBda qanday ishlaydi:
1). Paketlarni ushlash: NPB tarmoq trafikini turli manbalardan, masalan, kommutatorlardan, marshrutizatorlardan yoki ulanishlardan ushlaydi. U tarmoq orqali oqayotgan paketlarni qabul qiladi.
2). Paketlarni tahlil qilish: Olingan paketlar NPB tomonidan turli protokol qatlamlari va tegishli ma'lumotlarni ajratib olish uchun tahlil qilinadi. Ushbu tahlil qilish jarayoni paketlar ichidagi turli komponentlarni, masalan, Ethernet sarlavhalari, IP sarlavhalari, transport qatlami sarlavhalari (masalan, TCP yoki UDP) va dastur qatlami protokollarini aniqlashga yordam beradi.
3). Yuk tahlili: DPI bilan NPB sarlavha tekshiruvidan tashqariga chiqadi va paketlar ichidagi haqiqiy ma'lumotlarni o'z ichiga olgan holda yukga e'tibor qaratadi. U tegishli ma'lumotlarni olish uchun ishlatilgan dastur yoki protokoldan qat'i nazar, yuk tarkibini chuqur tekshiradi.
4). Protokolni identifikatsiya qilish: DPI NPBga tarmoq trafigi ichida foydalanilayotgan aniq protokollar va ilovalarni aniqlash imkonini beradi. U HTTP, FTP, SMTP, DNS, VoIP yoki video oqim protokollari kabi protokollarni aniqlay va tasniflay oladi.
5). Kontentni tekshirish: DPI NPBga paketlar tarkibini ma'lum naqshlar, imzolar yoki kalit so'zlar uchun tekshirish imkonini beradi. Bu zararli dasturlar, viruslar, buzib kirishga urinishlar yoki shubhali faoliyatlar kabi tarmoq tahdidlarini aniqlash imkonini beradi. DPI shuningdek, kontentni filtrlash, tarmoq siyosatini amalga oshirish yoki ma'lumotlarga muvofiqlik buzilishlarini aniqlash uchun ham ishlatilishi mumkin.
6). Metadatalarni ajratib olish: DPI davomida NPB paketlardan tegishli metama'lumotlarni ajratib oladi. Bunga manba va manzil IP-manzillari, port raqamlari, sessiya tafsilotlari, tranzaksiya ma'lumotlari yoki boshqa tegishli atributlar kabi ma'lumotlar kirishi mumkin.
7). Trafikni yo'naltirish yoki filtrlash: DPI tahliliga asoslanib, NPB ma'lum paketlarni xavfsizlik moslamalari, monitoring vositalari yoki tahlil platformalari kabi keyingi ishlov berish uchun belgilangan manzillarga yo'naltirishi mumkin. Shuningdek, u aniqlangan kontent yoki naqshlarga asoslanib paketlarni tashlab yuborish yoki qayta yo'naltirish uchun filtrlash qoidalarini qo'llashi mumkin.
Nashr vaqti: 2023-yil 25-iyun
