بازرسی بسته عمیق (DPI)یک فناوری است که در کارگزاران بسته شبکه (NPBS) برای بازرسی و تجزیه و تحلیل محتوای بسته های شبکه در سطح گرانول استفاده می شود. این شامل بررسی بار ، هدر و سایر اطلاعات خاص پروتکل در بسته ها برای به دست آوردن بینش دقیق در مورد ترافیک شبکه است.
DPI فراتر از تجزیه و تحلیل هدر ساده است و درک عمیقی از داده های جریان از طریق یک شبکه ارائه می دهد. این امکان را برای بازرسی عمیق پروتکل های لایه برنامه مانند HTTP ، FTP ، SMTP ، VOIP یا پروتکل های پخش ویدیو فراهم می کند. با بررسی محتوای واقعی در بسته ها ، DPI می تواند برنامه های خاص ، پروتکل ها یا حتی الگوهای داده خاص را شناسایی و شناسایی کند.
علاوه بر تجزیه و تحلیل سلسله مراتبی آدرس های منبع ، آدرس های مقصد ، درگاه های منبع ، درگاه های مقصد و انواع پروتکل ، DPI همچنین تجزیه و تحلیل لایه های کاربردی را برای شناسایی برنامه های مختلف و محتوای آنها اضافه می کند. هنگامی که بسته های 1P ، TCP یا UDP از طریق سیستم مدیریت پهنای باند مبتنی بر فناوری DPI جریان می یابد ، این سیستم محتوای بار بسته 1P را برای سازماندهی مجدد اطلاعات لایه برنامه در پروتکل OSI Layer 7 می خواند ، تا محتوای کل برنامه کاربردی را بدست آورد و سپس ترافیک را مطابق با خط مشی مدیریت تعریف شده توسط سیستم شکل می دهد.
DPI چگونه کار می کند؟
فایروال های سنتی اغلب فاقد قدرت پردازش برای انجام چک های کامل در زمان واقعی در حجم زیاد ترافیک هستند. با پیشرفت فناوری ، از DPI می توان برای انجام چک های پیچیده تر برای بررسی هدرها و داده ها استفاده کرد. به طور معمول ، فایروال ها با سیستم های تشخیص نفوذ اغلب از DPI استفاده می کنند. در دنیایی که اطلاعات دیجیتالی مهم است ، هر قطعه اطلاعات دیجیتالی از طریق اینترنت در بسته های کوچک تحویل داده می شود. این شامل ایمیل ، پیام های ارسال شده از طریق برنامه ، وب سایت های بازدید شده ، مکالمات ویدیویی و موارد دیگر است. علاوه بر داده های واقعی ، این بسته ها شامل ابرداده هستند که منبع ترافیک ، محتوا ، مقصد و سایر اطلاعات مهم را مشخص می کند. با استفاده از فناوری فیلتر کردن بسته ، داده ها می توانند به طور مداوم کنترل شوند و از آن استفاده کنند تا اطمینان حاصل شود که به مکان مناسب ارسال می شود. اما برای اطمینان از امنیت شبکه ، فیلتر بسته های سنتی به اندازه کافی دور نیست. برخی از روشهای اصلی بازرسی بسته های عمیق در مدیریت شبکه در زیر ذکر شده است:
حالت/امضای تطبیق
هر بسته برای مسابقه در برابر پایگاه داده از حملات شبکه شناخته شده توسط یک فایروال با قابلیت های سیستم تشخیص نفوذ (IDS) بررسی می شود. IDS جستجو برای الگوهای خاص مخرب شناخته شده و در صورت یافتن الگوهای مخرب ، ترافیک را غیرفعال می کند. ضرر خط مشی تطبیق امضا این است که فقط در مورد امضایی که مرتباً به روز می شوند ، صدق می کند. علاوه بر این ، این فناوری فقط می تواند در برابر تهدیدها یا حملات شناخته شده دفاع کند.
استثناء پروتکل
از آنجا که تکنیک استثناء پروتکل به سادگی تمام داده هایی را که با پایگاه داده امضا مطابقت ندارند ، اجازه نمی دهد ، تکنیک استثناء پروتکل مورد استفاده توسط Firewall IDS دارای نقص ذاتی روش تطبیق الگوی/امضا نیست. در عوض ، این سیاست رد پیش فرض را اتخاذ می کند. با تعریف پروتکل ، فایروال ها تصمیم می گیرند که چه ترافیکی باید مجاز باشد و شبکه را از تهدیدهای ناشناخته محافظت می کند.
سیستم پیشگیری از نفوذ (IPS)
راه حل های IPS می تواند انتقال بسته های مضر را بر اساس محتوای آنها مسدود کند و از این طریق حملات مشکوک در زمان واقعی را متوقف کند. این بدان معناست که اگر یک بسته یک ریسک امنیتی شناخته شده را نشان دهد ، IPS به طور فعال ترافیک شبکه را بر اساس مجموعه ای از قوانین مشخص می کند. یکی از مضرات IPS ، نیاز به به روزرسانی منظم یک پایگاه داده تهدید سایبری با جزئیات در مورد تهدیدهای جدید و امکان مثبت کاذب است. اما این خطر را می توان با ایجاد سیاست های محافظه کارانه و آستانه های سفارشی ، ایجاد رفتار پایه مناسب برای اجزای شبکه و ارزیابی دوره ای هشدارها و وقایع گزارش شده برای تقویت نظارت و هشدار کاهش داد.
1- DPI (بازرسی بسته عمیق) در کارگزار بسته شبکه
مقایسه تجزیه و تحلیل بسته های "عمیق" سطح و معمولی ، "بازرسی بسته های معمولی" فقط تجزیه و تحلیل زیر از لایه IP 4 لایه ، از جمله آدرس منبع ، آدرس مقصد ، درگاه منبع ، نوع پروتکل و پروتکل و DPI ، به جز با تجزیه و تحلیل سلسله مراتبی ، همچنین تجزیه و تحلیل لایه برنامه را افزایش می دهد ، برنامه های مختلف و محتوا را شناسایی می کند تا عملکردهای اصلی را تحقق بخشد:
1) تجزیه و تحلیل برنامه - تجزیه و تحلیل ترکیب ترافیک شبکه ، تجزیه و تحلیل عملکرد و تجزیه و تحلیل جریان
2) تجزیه و تحلیل کاربر - تمایز گروه کاربر ، تجزیه و تحلیل رفتار ، تجزیه و تحلیل ترمینال ، تجزیه و تحلیل روند و غیره.
3) تجزیه و تحلیل عناصر شبکه - تجزیه و تحلیل بر اساس ویژگی های منطقه ای (شهر ، منطقه ، خیابان و غیره) و بار ایستگاه پایه
4) کنترل ترافیک - محدودیت سرعت P2P ، تضمین QoS ، اطمینان از پهنای باند ، بهینه سازی منابع شبکه و غیره.
5) تضمین امنیت - حملات DDOS ، طوفان پخش داده ها ، پیشگیری از حملات ویروس مخرب و غیره.
2- طبقه بندی عمومی برنامه های شبکه
امروزه برنامه های بی شماری در اینترنت وجود دارد ، اما برنامه های مشترک وب می توانند جامع باشند.
تا آنجا که من می دانم ، بهترین شرکت تشخیص برنامه Huawei است که ادعا می کند 4000 برنامه را به رسمیت می شناسد. تجزیه و تحلیل پروتکل ماژول اصلی بسیاری از شرکت های فایروال (هواوی ، ZTE و غیره) است و همچنین یک ماژول بسیار مهم است که از تحقق سایر ماژول های عملکردی ، شناسایی دقیق برنامه و بهبود عملکرد و قابلیت اطمینان محصولات پشتیبانی می کند. در مدل سازی شناسایی بدافزار بر اساس ویژگی های ترافیک شبکه ، همانطور که اکنون انجام می دهم ، شناسایی پروتکل دقیق و گسترده نیز بسیار مهم است. به استثنای ترافیک شبکه برنامه های متداول از ترافیک صادرات شرکت ، ترافیک باقیمانده بخش کمی را به خود اختصاص می دهد ، که برای تجزیه و تحلیل بدافزار و زنگ خطر بهتر است.
بر اساس تجربه من ، برنامه های متداول موجود با توجه به کارکردهای آنها طبقه بندی می شوند:
PS: با توجه به درک شخصی از طبقه بندی برنامه ، شما پیشنهادات خوبی دارید که از پیشنهاد پیام خوش آمدید
1) نامه الکترونیکی
2) ویدئو
3) بازی
4) کلاس OA
5) بروزرسانی نرم افزار
6) مالی (بانک ، آلیپای)
7) سهام
8) ارتباطات اجتماعی (نرم افزار IM)
9) مرور وب (احتمالاً بهتر با URL ها مشخص شده است)
10) ابزارهای بارگیری (دیسک وب ، بارگیری P2P ، مرتبط با BT)
سپس ، چگونه DPI (بازرسی بسته عمیق) در NPB کار می کند:
1) ضبط بسته: NPB ترافیک شبکه را از منابع مختلف مانند سوئیچ ، روتر یا شیر آب ضبط می کند. بسته هایی را که از طریق شبکه جریان می یابد دریافت می کند.
2) تجزیه بسته: بسته های ضبط شده توسط NPB تجزیه می شوند تا لایه های مختلف پروتکل و داده های مرتبط را استخراج کنند. این فرایند تجزیه به شناسایی اجزای مختلف موجود در بسته ها ، مانند هدرهای اترنت ، هدرهای IP ، هدرهای لایه حمل و نقل (به عنوان مثال ، TCP یا UDP) و پروتکل های لایه کاربردی کمک می کند.
3) تجزیه و تحلیل بار: با DPI ، NPB فراتر از بازرسی هدر است و بر روی بار ، از جمله داده های واقعی درون بسته ها تمرکز دارد. این محتوای بار را صرف نظر از کاربرد یا پروتکل مورد استفاده ، برای استخراج اطلاعات مربوطه ، به صورت عمیق بررسی می کند.
4) شناسایی پروتکل: DPI NPB را قادر می سازد پروتکل ها و برنامه های خاص مورد استفاده در ترافیک شبکه را شناسایی کند. این پروتکل ها می تواند پروتکل های HTTP ، FTP ، SMTP ، DNS ، VOIP یا پروتکل های پخش ویدیویی را شناسایی و طبقه بندی کند.
5) بازرسی محتوا: DPI به NPB اجازه می دهد تا محتوای بسته ها را برای الگوهای خاص ، امضاها یا کلمات کلیدی بازرسی کند. این امکان تشخیص تهدیدات شبکه مانند بدافزار ، ویروس ها ، تلاش های نفوذ یا فعالیت های مشکوک را فراهم می کند. DPI همچنین می تواند برای فیلتر کردن محتوا ، اجرای خط مشی شبکه یا شناسایی نقض انطباق داده ها استفاده شود.
6) استخراج ابرداده: در طول DPI ، NPB ابرداده مربوطه را از بسته ها استخراج می کند. این می تواند شامل اطلاعاتی مانند آدرس های منبع و مقصد IP ، شماره پورت ، جزئیات جلسه ، داده های معامله یا سایر ویژگی های مربوطه باشد.
7) مسیریابی یا فیلتر ترافیک: بر اساس تجزیه و تحلیل DPI ، NPB می تواند بسته های خاص را به مقصد تعیین شده برای پردازش بیشتر ، مانند لوازم امنیتی ، ابزارهای نظارت یا سیستم عامل های تحلیلی منتقل کند. همچنین می تواند قوانین فیلتر را برای دور انداختن یا تغییر مسیر بسته ها بر اساس محتوای یا الگوهای مشخص شده اعمال کند.
زمان پست: ژوئن 25-2023
