بازرسی عمیق بسته (DPI)فناوری است که در Network Packet Brokers (NPBs) برای بازرسی و تجزیه و تحلیل محتویات بسته های شبکه در سطح دانه ای استفاده می شود.این شامل بررسی بار، هدرها و سایر اطلاعات خاص پروتکل در بسته ها برای به دست آوردن بینش دقیق در مورد ترافیک شبکه است.
DPI فراتر از تجزیه و تحلیل هدر ساده است و درک عمیقی از داده های جریان یافته از طریق شبکه ارائه می دهد.این امکان را برای بازرسی عمیق پروتکل های لایه برنامه، مانند پروتکل های HTTP، FTP، SMTP، VoIP یا جریان ویدئو فراهم می کند.با بررسی محتوای واقعی درون بستهها، DPI میتواند برنامهها، پروتکلها یا حتی الگوهای داده خاص را شناسایی و شناسایی کند.
علاوه بر تجزیه و تحلیل سلسله مراتبی آدرس های مبدا، آدرس های مقصد، پورت های مبدأ، پورت های مقصد و انواع پروتکل، DPI همچنین تجزیه و تحلیل لایه برنامه را برای شناسایی برنامه های مختلف و محتوای آنها اضافه می کند.هنگامی که بسته 1P، TCP یا UDP از طریق سیستم مدیریت پهنای باند مبتنی بر فناوری DPI جریان می یابد، سیستم محتوای بار بسته 1P را می خواند تا اطلاعات لایه برنامه را در پروتکل OSI Layer 7 سازماندهی مجدد کند، به طوری که محتوای آن را دریافت کند. کل برنامه کاربردی و سپس شکل دادن به ترافیک طبق سیاست مدیریتی که توسط سیستم تعریف شده است.
DPI چگونه کار می کند؟
فایروالهای سنتی اغلب فاقد قدرت پردازشی برای انجام بررسیهای بیدرنگ در حجم زیادی از ترافیک هستند.با پیشرفت تکنولوژی، از DPI می توان برای انجام بررسی های پیچیده تر برای بررسی هدرها و داده ها استفاده کرد.به طور معمول، دیوارهای آتش با سیستم های تشخیص نفوذ اغلب از DPI استفاده می کنند.در دنیایی که اطلاعات دیجیتالی از اهمیت بالایی برخوردار است، هر بخش از اطلاعات دیجیتال در بسته های کوچک از طریق اینترنت تحویل داده می شود.این شامل ایمیل، پیامهای ارسال شده از طریق برنامه، وبسایتهای بازدید شده، مکالمات ویدیویی و موارد دیگر میشود.علاوه بر داده های واقعی، این بسته ها شامل ابرداده هایی هستند که منبع ترافیک، محتوا، مقصد و سایر اطلاعات مهم را شناسایی می کنند.با استفاده از فناوری فیلتر بسته، داده ها می توانند به طور مداوم نظارت و مدیریت شوند تا اطمینان حاصل شود که به مکان مناسب ارسال می شوند.اما برای اطمینان از امنیت شبکه، فیلتر کردن بسته های سنتی کافی نیست.برخی از روش های اصلی بازرسی بسته های عمیق در مدیریت شبکه در زیر ذکر شده است:
تطبیق حالت / امضا
هر بسته برای مطابقت با پایگاه داده حملات شبکه شناخته شده توسط یک فایروال با قابلیت های سیستم تشخیص نفوذ (IDS) بررسی می شود.IDS الگوهای خاص مخرب شناخته شده را جستجو می کند و در صورت یافتن الگوهای مخرب، ترافیک را غیرفعال می کند.نقطه ضعف سیاست تطبیق امضا این است که فقط برای امضاهایی اعمال می شود که مرتباً به روز می شوند.علاوه بر این، این فناوری تنها می تواند در برابر تهدیدات یا حملات شناخته شده دفاع کند.
استثناء پروتکل
از آنجایی که تکنیک استثنای پروتکل به سادگی اجازه نمی دهد تمام داده هایی که با پایگاه داده امضا مطابقت ندارند، تکنیک استثنای پروتکل مورد استفاده توسط فایروال IDS دارای نقص های ذاتی روش تطبیق الگو/امضا نیست.در عوض، سیاست رد پیش فرض را اتخاذ می کند.طبق تعریف پروتکل، فایروال ها تصمیم می گیرند که چه ترافیکی باید مجاز باشد و شبکه را از تهدیدات ناشناخته محافظت می کند.
سیستم پیشگیری از نفوذ (IPS)
راهحلهای IPS میتوانند انتقال بستههای مضر را بر اساس محتوای آنها مسدود کنند و در نتیجه حملات مشکوک را در زمان واقعی متوقف کنند.این بدان معنی است که اگر یک بسته یک خطر امنیتی شناخته شده را نشان دهد، IPS به طور فعال ترافیک شبکه را بر اساس مجموعه ای از قوانین تعریف شده مسدود می کند.یکی از معایب IPS، نیاز به به روز رسانی منظم پایگاه داده تهدیدات سایبری با جزئیات مربوط به تهدیدات جدید و احتمال وجود موارد مثبت کاذب است.اما این خطر را می توان با ایجاد سیاست های محافظه کارانه و آستانه های سفارشی، ایجاد رفتار پایه مناسب برای اجزای شبکه، و ارزیابی دوره ای هشدارها و رویدادهای گزارش شده برای افزایش نظارت و هشدار کاهش داد.
1- DPI (Deep Packet Inspection) در Network Packet Broker
"عمیق" سطح و مقایسه تجزیه و تحلیل بسته معمولی است، "بازرسی بسته معمولی" تنها تجزیه و تحلیل زیر از بسته IP لایه 4، شامل آدرس مبدا، آدرس مقصد، پورت مبدأ، پورت مقصد و نوع پروتکل، و DPI به جز با سلسله مراتبی است. تجزیه و تحلیل، همچنین تجزیه و تحلیل لایه برنامه را افزایش داد، برنامه ها و محتواهای مختلف را شناسایی کرد تا توابع اصلی را درک کند:
1) تجزیه و تحلیل برنامه -- تجزیه و تحلیل ترکیب ترافیک شبکه، تجزیه و تحلیل عملکرد، و تجزیه و تحلیل جریان
2) تجزیه و تحلیل کاربر -- تمایز گروه کاربر، تجزیه و تحلیل رفتار، تجزیه و تحلیل پایانه، تجزیه و تحلیل روند و غیره.
3) تجزیه و تحلیل عناصر شبکه - تجزیه و تحلیل بر اساس ویژگی های منطقه ای (شهر، منطقه، خیابان، و غیره) و بار ایستگاه پایه
4) کنترل ترافیک - محدود کردن سرعت P2P، تضمین QoS، تضمین پهنای باند، بهینه سازی منابع شبکه و غیره.
5) تضمین امنیت - حملات DDoS، طوفان پخش داده، جلوگیری از حملات ویروس های مخرب و غیره.
2- طبقه بندی کلی برنامه های کاربردی شبکه
امروزه برنامه های کاربردی بی شماری در اینترنت وجود دارد، اما برنامه های کاربردی وب رایج می توانند جامع باشند.
تا اونجایی که من میدونم بهترین شرکت تشخیص اپلیکیشن هواوی هست که ادعا میکنه 4000 اپلیکیشن رو میشناسه.تجزیه و تحلیل پروتکل ماژول اصلی بسیاری از شرکت های فایروال (Huawei، ZTE و غیره) است و همچنین یک ماژول بسیار مهم است که از تحقق سایر ماژول های عملکردی، شناسایی دقیق برنامه ها و بهبود عملکرد و قابلیت اطمینان محصولات پشتیبانی می کند.در مدلسازی شناسایی بدافزار بر اساس ویژگیهای ترافیک شبکه، همانطور که اکنون انجام میدهم، شناسایی دقیق و گسترده پروتکل نیز بسیار مهم است.بدون در نظر گرفتن ترافیک شبکه برنامه های رایج از ترافیک صادراتی شرکت، ترافیک باقیمانده سهم کمی را به خود اختصاص می دهد که برای تجزیه و تحلیل بدافزار و هشدار بهتر است.
بر اساس تجربه من، برنامه های کاربردی رایج موجود بر اساس عملکرد آنها طبقه بندی می شوند:
PS: با توجه به درک شخصی از طبقه بندی برنامه، شما هر گونه پیشنهاد خوبی برای ارسال یک پیشنهاد پیام دارید
1).پست الکترونیک
2).ویدیو
3).بازی ها
4).کلاس OA Office
5).به روز رسانی نرم افزار
6).مالی (بانک، Alipay)
7).سهام
8).ارتباطات اجتماعی (نرم افزار IM)
9).مرور وب (احتمالاً با URL ها بهتر شناسایی می شود)
10).ابزارهای دانلود (وب دیسک، دانلود P2P، مربوط به BT)
سپس، چگونه DPI (بازرسی بسته عمیق) در NPB کار می کند:
1).Packet Capture: NPB ترافیک شبکه را از منابع مختلف مانند سوئیچ ها، روترها یا تپ ها ضبط می کند.بسته هایی را دریافت می کند که از طریق شبکه جریان دارند.
2).Packet Parsing: بسته های ضبط شده توسط NPB برای استخراج لایه های پروتکل مختلف و داده های مرتبط تجزیه می شوند.این فرآیند تجزیه به شناسایی اجزای مختلف درون بسته ها کمک می کند، مانند هدرهای اترنت، هدرهای IP، سربرگ های لایه انتقال (به عنوان مثال، TCP یا UDP)، و پروتکل های لایه برنامه.
3).تجزیه و تحلیل Payload: با DPI، NPB فراتر از بازرسی هدر می رود و بر محموله، از جمله داده های واقعی درون بسته ها تمرکز می کند.برای استخراج اطلاعات مرتبط، محتوای محموله را بدون توجه به برنامه یا پروتکل مورد استفاده، به طور عمیق بررسی می کند.
4).شناسایی پروتکل: DPI NPB را قادر میسازد تا پروتکلها و برنامههای خاصی را که در ترافیک شبکه استفاده میشوند شناسایی کند.این می تواند پروتکل هایی مانند HTTP، FTP، SMTP، DNS، VoIP یا پروتکل های پخش ویدئو را شناسایی و طبقه بندی کند.
5).بازرسی محتوا: DPI به NPB اجازه می دهد تا محتوای بسته ها را برای الگوها، امضاها یا کلمات کلیدی خاص بازرسی کند.این امکان شناسایی تهدیدات شبکه، مانند بدافزار، ویروس، تلاش برای نفوذ یا فعالیت های مشکوک را فراهم می کند.DPI همچنین میتواند برای فیلتر کردن محتوا، اجرای خطمشیهای شبکه یا شناسایی موارد نقض انطباق دادهها استفاده شود.
6).استخراج فراداده: در طول DPI، NPB ابرداده مربوطه را از بسته ها استخراج می کند.این می تواند شامل اطلاعاتی مانند آدرس IP مبدا و مقصد، شماره پورت، جزئیات جلسه، داده تراکنش یا هر ویژگی مرتبط دیگری باشد.
7).مسیریابی یا فیلتر کردن ترافیک: بر اساس تجزیه و تحلیل DPI، NPB میتواند بستههای خاصی را به مقصدهای تعیینشده برای پردازش بیشتر، مانند وسایل امنیتی، ابزارهای نظارت، یا پلتفرمهای تحلیلی هدایت کند.همچنین می تواند قوانین فیلتر را برای دور انداختن یا تغییر مسیر بسته ها بر اساس محتوا یا الگوهای شناسایی شده اعمال کند.
زمان ارسال: ژوئن-25-2023
