ღრმა პაკეტების შემოწმება (DPI)არის ტექნოლოგია, რომელიც გამოიყენება ქსელური პაკეტების ბროკერებში (NPB) ქსელური პაკეტების შინაარსის დეტალური შემოწმებისა და ანალიზისთვის. ის გულისხმობს პაკეტებში არსებული დატვირთვის, სათაურების და სხვა პროტოკოლის სპეციფიკური ინფორმაციის შესწავლას ქსელური ტრაფიკის შესახებ დეტალური ინფორმაციის მისაღებად.
DPI სცილდება უბრალო სათაურის ანალიზს და უზრუნველყოფს ქსელში გამავალი მონაცემების ღრმა გაგებას. ის საშუალებას იძლევა, სიღრმისეულად შემოწმდეს აპლიკაციის დონის პროტოკოლები, როგორიცაა HTTP, FTP, SMTP, VoIP ან ვიდეო სტრიმინგის პროტოკოლები. პაკეტებში არსებული რეალური შინაარსის შესწავლით, DPI-ს შეუძლია აღმოაჩინოს და ამოიცნოს კონკრეტული აპლიკაციები, პროტოკოლები ან თუნდაც კონკრეტული მონაცემთა ნიმუშები.
წყაროს მისამართების, დანიშნულების მისამართების, წყაროს პორტების, დანიშნულების პორტების და პროტოკოლის ტიპების იერარქიული ანალიზის გარდა, DPI ასევე ამატებს აპლიკაციის დონის ანალიზს სხვადასხვა აპლიკაციებისა და მათი შინაარსის იდენტიფიცირებისთვის. როდესაც 1P პაკეტი, TCP ან UDP მონაცემები გადის DPI ტექნოლოგიაზე დაფუძნებულ გამტარუნარიანობის მართვის სისტემაში, სისტემა კითხულობს 1P პაკეტის შინაარსს, რათა რეორგანიზაცია გაუკეთოს აპლიკაციის დონის ინფორმაციას OSI მე-7 დონის პროტოკოლში, რათა მიიღოს მთელი აპლიკაციის პროგრამის შინაარსი და შემდეგ ტრაფიკი ჩამოაყალიბოს სისტემის მიერ განსაზღვრული მართვის პოლიტიკის შესაბამისად.
როგორ მუშაობს DPI?
ტრადიციულ firewall-ებს ხშირად არ აქვთ საკმარისი გამომთვლელი სიმძლავრე, რათა ჩაატარონ რეალურ დროში ტრაფიკის დიდი მოცულობის საფუძვლიანი შემოწმება. ტექნოლოგიების განვითარებასთან ერთად, DPI შეიძლება გამოყენებულ იქნას უფრო რთული შემოწმებების შესასრულებლად, რათა შემოწმდეს სათაურები და მონაცემები. როგორც წესი, შეჭრის აღმოჩენის სისტემების მქონე firewall-ები ხშირად იყენებენ DPI-ს. სამყაროში, სადაც ციფრული ინფორმაცია უმნიშვნელოვანესია, ციფრული ინფორმაციის ყველა ნაწილი ინტერნეტით მიეწოდება მცირე პაკეტებად. ეს მოიცავს ელფოსტას, აპლიკაციის საშუალებით გაგზავნილ შეტყობინებებს, მონახულებულ ვებსაიტებს, ვიდეო საუბრებს და სხვა. ფაქტობრივი მონაცემების გარდა, ეს პაკეტები მოიცავს მეტამონაცემებს, რომლებიც განსაზღვრავს ტრაფიკის წყაროს, შინაარსს, დანიშნულების ადგილს და სხვა მნიშვნელოვან ინფორმაციას. პაკეტების ფილტრაციის ტექნოლოგიით, მონაცემების მუდმივი მონიტორინგი და მართვა შესაძლებელია იმის უზრუნველსაყოფად, რომ ისინი სწორ ადგილას გადამისამართდეს. თუმცა, ქსელის უსაფრთხოების უზრუნველსაყოფად, ტრადიციული პაკეტების ფილტრაცია საკმარისი არ არის. ქსელის მართვაში ღრმა პაკეტების შემოწმების ზოგიერთი ძირითადი მეთოდი ქვემოთ არის ჩამოთვლილი:
შესაბამისობის რეჟიმი/ხელმოწერა
თითოეული პაკეტი მოწმდება ცნობილი ქსელური შეტევების მონაცემთა ბაზასთან შესაბამისობაზე შეჭრის აღმოჩენის სისტემის (IDS) შესაძლებლობების მქონე firewall-ის მიერ. IDS ეძებს ცნობილ მავნე სპეციფიკურ ნიმუშებს და გამორთავს ტრაფიკს მავნე ნიმუშების აღმოჩენის შემთხვევაში. ხელმოწერის შესაბამისობის პოლიტიკის ნაკლი ის არის, რომ ის ვრცელდება მხოლოდ იმ ხელმოწერებზე, რომლებიც ხშირად განახლდება. გარდა ამისა, ამ ტექნოლოგიას შეუძლია დაცვა მხოლოდ ცნობილი საფრთხეებისგან ან შეტევებისგან.
პროტოკოლის გამონაკლისი
ვინაიდან პროტოკოლის გამონაკლისის ტექნიკა უბრალოდ არ უშვებს ყველა მონაცემს, რომელიც არ ემთხვევა ხელმოწერის მონაცემთა ბაზას, IDS firewall-ის მიერ გამოყენებულ პროტოკოლის გამონაკლისის ტექნიკას არ გააჩნია შაბლონის/ხელმოწერის შესაბამისობის მეთოდის თანდაყოლილი ნაკლოვანებები. ამის ნაცვლად, ის იყენებს ნაგულისხმევ უარყოფის პოლიტიკას. პროტოკოლის განმარტების მიხედვით, firewall-ები წყვეტენ, თუ რა ტრაფიკი უნდა იყოს დაშვებული და იცავს ქსელს უცნობი საფრთხეებისგან.
შეჭრის პრევენციის სისტემა (IPS)
IPS გადაწყვეტილებებს შეუძლიათ მავნე პაკეტების გადაცემის დაბლოკვა მათი შინაარსის მიხედვით, რითაც რეალურ დროში შეაჩერებენ საეჭვო შეტევებს. ეს ნიშნავს, რომ თუ პაკეტი წარმოადგენს ცნობილ უსაფრთხოების რისკს, IPS პროაქტიულად დაბლოკავს ქსელის ტრაფიკს განსაზღვრული წესების საფუძველზე. IPS-ის ერთ-ერთი ნაკლი არის კიბერ საფრთხეების მონაცემთა ბაზის რეგულარული განახლების აუცილებლობა ახალი საფრთხეების შესახებ დეტალებით და ცრუ დადებითი შედეგების შესაძლებლობით. თუმცა, ამ საფრთხის შემცირება შესაძლებელია კონსერვატიული პოლიტიკისა და მორგებული ზღურბლების შექმნით, ქსელის კომპონენტებისთვის შესაბამისი საბაზისო ქცევის დადგენით და გაფრთხილებებისა და მოხსენებული მოვლენების პერიოდული შეფასებით მონიტორინგისა და განგაშის გასაუმჯობესებლად.
1- DPI (ღრმა პაკეტების შემოწმება) ქსელურ პაკეტების ბროკერში
„ღრმა“ არის დონისა და ჩვეულებრივი პაკეტის ანალიზის შედარება, „ჩვეულებრივი პაკეტის შემოწმების“ შემდეგნაირად ანალიზდება მხოლოდ IP პაკეტის მე-4 ფენა, მათ შორის წყაროს მისამართი, დანიშნულების მისამართი, წყაროს პორტი, დანიშნულების პორტი და პროტოკოლის ტიპი, და DPI გარდა იერარქიული ანალიზისა, ასევე გაიზარდა აპლიკაციის ფენის ანალიზი, სხვადასხვა აპლიკაციებისა და შინაარსის იდენტიფიცირება, ძირითადი ფუნქციების რეალიზებისთვის:
1) აპლიკაციის ანალიზი -- ქსელის ტრაფიკის შემადგენლობის ანალიზი, მუშაობის ანალიზი და ნაკადის ანალიზი
2) მომხმარებლის ანალიზი -- მომხმარებელთა ჯგუფის დიფერენციაცია, ქცევის ანალიზი, ტერმინალის ანალიზი, ტენდენციების ანალიზი და ა.შ.
3) ქსელის ელემენტების ანალიზი -- ანალიზი, რომელიც დაფუძნებულია რეგიონულ ატრიბუტებზე (ქალაქი, რაიონი, ქუჩა და ა.შ.) და საბაზო სადგურის დატვირთვაზე
4) ტრაფიკის კონტროლი -- P2P სიჩქარის შეზღუდვა, QoS უზრუნველყოფა, გამტარუნარიანობის უზრუნველყოფა, ქსელის რესურსების ოპტიმიზაცია და ა.შ.
5) უსაფრთხოების უზრუნველყოფა -- DDoS შეტევები, მონაცემთა გადაცემის შტორმი, მავნე ვირუსული შეტევების პრევენცია და ა.შ.
2- ქსელური აპლიკაციების ზოგადი კლასიფიკაცია
დღეს ინტერნეტში უამრავი აპლიკაციაა, მაგრამ გავრცელებული ვებ-აპლიკაციები შეიძლება ამომწურავი იყოს.
რამდენადაც ვიცი, საუკეთესო აპლიკაციების ამოცნობის კომპანია Huawei-ა, რომელიც აცხადებს, რომ 4000 აპლიკაციას ამოიცნობს. პროტოკოლის ანალიზი ბევრი firewall-ის კომპანიის (Huawei, ZTE და ა.შ.) ძირითადი მოდულია და ასევე ძალიან მნიშვნელოვანი მოდულია, რომელიც მხარს უჭერს სხვა ფუნქციური მოდულების რეალიზაციას, აპლიკაციების ზუსტ იდენტიფიკაციას და მნიშვნელოვნად აუმჯობესებს პროდუქტების მუშაობას და საიმედოობას. ქსელური ტრაფიკის მახასიათებლების მიხედვით მავნე პროგრამების იდენტიფიკაციის მოდელირებისას, როგორც ამას ახლა ვაკეთებ, ასევე ძალიან მნიშვნელოვანია პროტოკოლის ზუსტი და ვრცელი იდენტიფიკაცია. კომპანიის ექსპორტის ტრაფიკიდან საერთო აპლიკაციების ქსელური ტრაფიკის გამორიცხვით, დარჩენილი ტრაფიკი მცირე ნაწილს შეადგენს, რაც უკეთესია მავნე პროგრამების ანალიზისა და განგაშისთვის.
ჩემი გამოცდილებიდან გამომდინარე, არსებული ხშირად გამოყენებული აპლიკაციები კლასიფიცირდება მათი ფუნქციების მიხედვით:
PS: განაცხადის კლასიფიკაციის პირადი გაგების მიხედვით, თქვენ გაქვთ რაიმე კარგი წინადადება, მისასალმებელია შეტყობინების დატოვების წინადადება
1). ელ. ფოსტა
2). ვიდეო
3). თამაშები
4). ოფისის OA კლასი
5). პროგრამული უზრუნველყოფის განახლება
6). ფინანსური (ბანკი, Alipay)
7). აქციები
8). სოციალური კომუნიკაცია (IM პროგრამული უზრუნველყოფა)
9). ვებ-გვერდების დათვალიერება (ალბათ უკეთ იდენტიფიცირდება URL-ებით)
10). ჩამოტვირთვის ინსტრუმენტები (ვებ დისკი, P2P ჩამოტვირთვა, BT-სთან დაკავშირებული)
შემდეგ, როგორ მუშაობს DPI (ღრმა პაკეტების შემოწმება) NPB-ში:
1). პაკეტების აღება: NPB იჭერს ქსელურ ტრაფიკს სხვადასხვა წყაროდან, როგორიცაა კომუტატორები, როუტერები ან ონკანები. ის იღებს ქსელში გამავალ პაკეტებს.
2). პაკეტების დამუშავება: შეგროვებული პაკეტები დამუშავებულია NPB-ის მიერ სხვადასხვა პროტოკოლის ფენების და მათთან დაკავშირებული მონაცემების ამოსაღებად. დამუშავების ეს პროცესი ხელს უწყობს პაკეტებში არსებული სხვადასხვა კომპონენტების იდენტიფიცირებას, როგორიცაა Ethernet-ის სათაურები, IP სათაურები, ტრანსპორტის ფენის სათაურები (მაგ., TCP ან UDP) და აპლიკაციის ფენის პროტოკოლები.
3). დატვირთვის ანალიზი: DPI-ს გამოყენებით, NPB სცილდება სათაურის შემოწმებას და ფოკუსირებულია დატვირთვაზე, მათ შორის პაკეტებში არსებულ ფაქტობრივ მონაცემებზე. ის სიღრმისეულად იკვლევს დატვირთვის შინაარსს, გამოყენებული აპლიკაციის ან პროტოკოლის მიუხედავად, შესაბამისი ინფორმაციის მისაღებად.
4). პროტოკოლის იდენტიფიკაცია: DPI საშუალებას აძლევს NPB-ს, იდენტიფიციროს ქსელური ტრაფიკის ფარგლებში გამოყენებული კონკრეტული პროტოკოლები და აპლიკაციები. მას შეუძლია აღმოაჩინოს და დააკლასიფოს ისეთი პროტოკოლები, როგორიცაა HTTP, FTP, SMTP, DNS, VoIP ან ვიდეო სტრიმინგის პროტოკოლები.
5). კონტენტის შემოწმება: DPI საშუალებას აძლევს NPB-ს შეამოწმოს პაკეტების შინაარსი კონკრეტული შაბლონების, ხელმოწერების ან საკვანძო სიტყვების აღმოსაჩენად. ეს საშუალებას იძლევა ქსელის საფრთხეების აღმოსაჩენად, როგორიცაა მავნე პროგრამები, ვირუსები, შეჭრის მცდელობები ან საეჭვო აქტივობები. DPI ასევე შეიძლება გამოყენებულ იქნას კონტენტის ფილტრაციისთვის, ქსელის პოლიტიკის აღსრულებისთვის ან მონაცემთა შესაბამისობის დარღვევების იდენტიფიცირებისთვის.
6). მეტამონაცემების ექსტრაქცია: DPI-ის დროს, NPB პაკეტებიდან იღებს შესაბამის მეტამონაცემებს. ეს შეიძლება მოიცავდეს ინფორმაციას, როგორიცაა წყაროს და დანიშნულების IP მისამართები, პორტის ნომრები, სესიის დეტალები, ტრანზაქციის მონაცემები ან სხვა შესაბამისი ატრიბუტები.
7). ტრაფიკის მარშრუტიზაცია ან ფილტრაცია: DPI ანალიზის საფუძველზე, NPB-ს შეუძლია კონკრეტული პაკეტების მარშრუტიზაცია დანიშნულ დანიშნულების ადგილებზე შემდგომი დამუშავებისთვის, როგორიცაა უსაფრთხოების მოწყობილობები, მონიტორინგის ინსტრუმენტები ან ანალიტიკური პლატფორმები. მას ასევე შეუძლია გამოიყენოს ფილტრაციის წესები პაკეტების გაუქმების ან გადამისამართებისთვის იდენტიფიცირებული შინაარსის ან ნიმუშების საფუძველზე.
გამოქვეყნების დრო: 2023 წლის 25 ივნისი
