بازرسی عمیق بستهها (دی پی آی)فناوریای است که در کارگزاران بستههای شبکه (NPB) برای بازرسی و تجزیه و تحلیل محتوای بستههای شبکه در سطح جزئی استفاده میشود. این شامل بررسی بار داده، هدرها و سایر اطلاعات خاص پروتکل در بستهها برای به دست آوردن بینش دقیق در مورد ترافیک شبکه است.
DPI فراتر از تحلیل ساده هدر عمل میکند و درک عمیقی از دادههای جاری در شبکه ارائه میدهد. این فناوری امکان بررسی عمیق پروتکلهای لایه کاربرد، مانند HTTP، FTP، SMTP، VoIP یا پروتکلهای پخش ویدئو را فراهم میکند. DPI با بررسی محتوای واقعی درون بستهها، میتواند برنامهها، پروتکلها یا حتی الگوهای دادهای خاص را شناسایی و تشخیص دهد.
علاوه بر تحلیل سلسله مراتبی آدرسهای مبدا، آدرسهای مقصد، پورتهای مبدا، پورتهای مقصد و انواع پروتکل، DPI همچنین تحلیل لایه کاربرد را برای شناسایی برنامههای مختلف و محتوای آنها اضافه میکند. هنگامی که بسته 1P، دادههای TCP یا UDP از طریق سیستم مدیریت پهنای باند مبتنی بر فناوری DPI جریان مییابند، سیستم محتوای بار بسته 1P را میخواند تا اطلاعات لایه کاربرد را در پروتکل لایه 7 OSI سازماندهی مجدد کند، به طوری که محتوای کل برنامه کاربردی را دریافت کند و سپس ترافیک را مطابق با سیاست مدیریتی تعریف شده توسط سیستم شکل دهد.
دی پی آی چگونه کار میکند؟
فایروالهای سنتی اغلب فاقد قدرت پردازش برای انجام بررسیهای کامل و بلادرنگ بر روی حجم زیادی از ترافیک هستند. با پیشرفت فناوری، میتوان از DPI برای انجام بررسیهای پیچیدهتر برای بررسی هدرها و دادهها استفاده کرد. معمولاً، فایروالهای دارای سیستمهای تشخیص نفوذ اغلب از DPI استفاده میکنند. در جهانی که اطلاعات دیجیتال در اولویت قرار دارد، هر قطعه از اطلاعات دیجیتال از طریق اینترنت در بستههای کوچک تحویل داده میشود. این شامل ایمیل، پیامهای ارسال شده از طریق برنامه، وبسایتهای بازدید شده، مکالمات ویدیویی و موارد دیگر میشود. علاوه بر دادههای واقعی، این بستهها شامل فرادادههایی هستند که منبع ترافیک، محتوا، مقصد و سایر اطلاعات مهم را شناسایی میکنند. با فناوری فیلترینگ بسته، میتوان دادهها را به طور مداوم نظارت و مدیریت کرد تا از ارسال آنها به مکان مناسب اطمینان حاصل شود. اما برای اطمینان از امنیت شبکه، فیلترینگ بستههای سنتی به هیچ وجه کافی نیست. برخی از روشهای اصلی بازرسی عمیق بستهها در مدیریت شبکه در زیر ذکر شده است:
حالت تطبیق/امضا
هر بسته توسط یک فایروال با قابلیتهای سیستم تشخیص نفوذ (IDS) برای مطابقت با پایگاه دادهای از حملات شناختهشده شبکه بررسی میشود. IDS الگوهای خاص مخرب شناختهشده را جستجو میکند و در صورت یافتن الگوهای مخرب، ترافیک را غیرفعال میکند. عیب سیاست تطبیق امضا این است که فقط در مورد امضاهایی اعمال میشود که مرتباً بهروزرسانی میشوند. علاوه بر این، این فناوری فقط میتواند در برابر تهدیدها یا حملات شناختهشده دفاع کند.
استثنای پروتکل
از آنجایی که تکنیک استثنای پروتکل به سادگی به تمام دادههایی که با پایگاه داده امضا مطابقت ندارند، اجازه عبور نمیدهد، تکنیک استثنای پروتکل مورد استفاده توسط فایروال IDS، معایب ذاتی روش تطبیق الگو/امضا را ندارد. در عوض، سیاست رد پیشفرض را اتخاذ میکند. طبق تعریف پروتکل، فایروالها تصمیم میگیرند که به چه ترافیکی باید اجازه ورود داده شود و از شبکه در برابر تهدیدات ناشناخته محافظت میکنند.
سیستم پیشگیری از نفوذ (IPS)
راهکارهای IPS میتوانند انتقال بستههای مضر را بر اساس محتوای آنها مسدود کنند و در نتیجه حملات مشکوک را در لحظه متوقف کنند. این بدان معناست که اگر یک بسته نشاندهنده یک خطر امنیتی شناخته شده باشد، IPS به طور فعال ترافیک شبکه را بر اساس مجموعهای از قوانین تعریف شده مسدود میکند. یکی از معایب IPS، نیاز به بهروزرسانی منظم پایگاه داده تهدیدات سایبری با جزئیات مربوط به تهدیدات جدید و احتمال مثبت کاذب است. اما این خطر را میتوان با ایجاد سیاستهای محافظهکارانه و آستانههای سفارشی، ایجاد رفتار پایه مناسب برای اجزای شبکه و ارزیابی دورهای هشدارها و رویدادهای گزارش شده برای بهبود نظارت و هشدار، کاهش داد.
۱- DPI (بازرسی عمیق بستهها) در Network Packet Broker
«عمیق» مقایسهای بین تحلیل سطح و تحلیل بستههای معمولی است، «بازرسی بسته معمولی» فقط تحلیل زیر را از لایه ۴ بسته IP، شامل آدرس مبدا، آدرس مقصد، پورت مبدا، پورت مقصد و نوع پروتکل، و DPI انجام میدهد، به جز تحلیل سلسله مراتبی، همچنین تحلیل لایه کاربرد را افزایش میدهد، برنامهها و محتوای مختلف را شناسایی میکند تا عملکردهای اصلی را تحقق بخشد:
۱) تحلیل برنامه -- تحلیل ترکیب ترافیک شبکه، تحلیل عملکرد و تحلیل جریان
۲) تحلیل کاربر -- تمایز گروههای کاربری، تحلیل رفتار، تحلیل ترمینال، تحلیل روند و غیره
۳) تحلیل عناصر شبکه -- تحلیل بر اساس ویژگیهای منطقهای (شهر، منطقه، خیابان و غیره) و بار ایستگاه پایه
۴) کنترل ترافیک -- محدود کردن سرعت P2P، تضمین کیفیت خدمات (QoS)، تضمین پهنای باند، بهینهسازی منابع شبکه و غیره
۵) تضمین امنیت -- حملات DDoS، طوفان پخش دادهها، جلوگیری از حملات ویروسهای مخرب و غیره
۲- طبقهبندی کلی کاربردهای شبکه
امروزه برنامههای بیشماری در اینترنت وجود دارد، اما برنامههای وب رایج میتوانند جامع باشند.
تا جایی که من میدانم، بهترین شرکت تشخیص برنامه، هواوی است که ادعا میکند ۴۰۰۰ برنامه را شناسایی میکند. تجزیه و تحلیل پروتکل، ماژول اساسی بسیاری از شرکتهای فایروال (هواوی، ZTE و غیره) است و همچنین یک ماژول بسیار مهم است که از تحقق سایر ماژولهای عملکردی، شناسایی دقیق برنامه و بهبود چشمگیر عملکرد و قابلیت اطمینان محصولات پشتیبانی میکند. در مدلسازی شناسایی بدافزار بر اساس ویژگیهای ترافیک شبکه، همانطور که من اکنون انجام میدهم، شناسایی دقیق و گسترده پروتکل نیز بسیار مهم است. با حذف ترافیک شبکه برنامههای رایج از ترافیک صادراتی شرکت، ترافیک باقی مانده بخش کوچکی را تشکیل میدهد که برای تجزیه و تحلیل و هشدار بدافزار بهتر است.
بر اساس تجربه من، برنامههای کاربردی رایج موجود بر اساس عملکردشان طبقهبندی میشوند:
پینوشت: با توجه به برداشت شخصی از طبقهبندی درخواست، اگر پیشنهاد خوبی دارید، خوشحال میشوم که پیام بگذارید.
۱) ایمیل
۲) ویدئو
۳) بازیها
4) کلاس OA دفتر
5) بهروزرسانی نرمافزار
۶) امور مالی (بانک، علیپی)
7) سهام
۸) ارتباطات اجتماعی (نرمافزار پیامرسان فوری)
۹) وبگردی (احتمالاً بهتر است با URLها شناخته شود)
۱۰) ابزارهای دانلود (دیسک وب، دانلود P2P، مرتبط با BT)
سپس، نحوه عملکرد DPI (بازرسی عمیق بستهها) در یک NPB:
۱) ضبط بستهها: NPB ترافیک شبکه را از منابع مختلف مانند سوئیچها، روترها یا شیرهای برق ضبط میکند. این دستگاه بستههایی را که در شبکه جریان دارند، دریافت میکند.
۲) تجزیه بسته: بستههای گرفته شده توسط NPB تجزیه میشوند تا لایههای مختلف پروتکل و دادههای مرتبط با آنها استخراج شود. این فرآیند تجزیه به شناسایی اجزای مختلف درون بستهها، مانند هدرهای اترنت، هدرهای IP، هدرهای لایه انتقال (مثلاً TCP یا UDP) و پروتکلهای لایه کاربرد کمک میکند.
۳) تحلیل بار مفید: با DPI، NPB فراتر از بازرسی هدر میرود و بر بار مفید، از جمله دادههای واقعی درون بستهها، تمرکز میکند. این روش، محتوای بار مفید را صرف نظر از برنامه یا پروتکل مورد استفاده، به طور عمیق بررسی میکند تا اطلاعات مرتبط را استخراج کند.
۴) شناسایی پروتکل: DPI به NPB این امکان را میدهد که پروتکلها و برنامههای خاص مورد استفاده در ترافیک شبکه را شناسایی کند. این فناوری میتواند پروتکلهایی مانند HTTP، FTP، SMTP، DNS، VoIP یا پروتکلهای پخش ویدئو را شناسایی و طبقهبندی کند.
5) بازرسی محتوا: DPI به NPB اجازه میدهد تا محتوای بستهها را برای الگوهای خاص، امضاها یا کلمات کلیدی بررسی کند. این امر امکان تشخیص تهدیدات شبکه مانند بدافزار، ویروسها، تلاشهای نفوذ یا فعالیتهای مشکوک را فراهم میکند. DPI همچنین میتواند برای فیلتر کردن محتوا، اجرای سیاستهای شبکه یا شناسایی نقض انطباق دادهها استفاده شود.
6) استخراج فراداده: در طول DPI، NPB فرادادههای مرتبط را از بستهها استخراج میکند. این میتواند شامل اطلاعاتی مانند آدرسهای IP منبع و مقصد، شماره پورتها، جزئیات جلسه، دادههای تراکنش یا هر ویژگی مرتبط دیگر باشد.
۷) مسیریابی یا فیلترینگ ترافیک: بر اساس تحلیل DPI، NPB میتواند بستههای خاص را برای پردازش بیشتر به مقاصد تعیینشده، مانند دستگاههای امنیتی، ابزارهای نظارتی یا پلتفرمهای تحلیلی، مسیریابی کند. همچنین میتواند قوانین فیلترینگ را برای حذف یا تغییر مسیر بستهها بر اساس محتوا یا الگوهای شناساییشده اعمال کند.
زمان ارسال: 25 ژوئن 2023
