ღრმა პაკეტის შემოწმება (DPI)არის ტექნოლოგია, რომელიც გამოიყენება ქსელის პაკეტის ბროკერებში (NPBs), ქსელის პაკეტების შინაარსის შემოწმებისა და ანალიზისთვის, მარცვლოვანი დონეზე. იგი მოიცავს დატვირთვის, სათაურების და სხვა პროტოკოლის სპეციფიკური ინფორმაციის განხილვას პაკეტებში, რათა მიიღოთ დეტალური შეხედულებისამებრ ქსელური ტრაფიკის შესახებ.
DPI სცილდება მარტივი სათაურის ანალიზს და უზრუნველყოფს ქსელის მეშვეობით მიედინება მონაცემების ღრმა გაგებას. ეს საშუალებას იძლევა სიღრმისეული შემოწმება განაცხადის ფენის ოქმების, როგორიცაა HTTP, FTP, SMTP, VOIP ან ვიდეო ნაკადის ოქმები. პაკეტებში ფაქტობრივი შინაარსის შემოწმებით, DPI– ს შეუძლია გამოავლინოს და დაადგინოს კონკრეტული პროგრამები, ოქმები ან თუნდაც მონაცემთა სპეციფიკური ნიმუშები.
წყაროს მისამართების, დანიშნულების მისამართების, წყაროს პორტების, დანიშნულების პორტების და პროტოკოლის ტიპების იერარქიული ანალიზის გარდა, DPI ასევე დასძენს განაცხადის ფენის ანალიზს სხვადასხვა პროგრამებისა და მათი შინაარსის დასადგენად. როდესაც 1P პაკეტი, TCP ან UDP მონაცემები გადის სიჩქარის მართვის სისტემის საშუალებით, რომელიც დაფუძნებულია DPI ტექნოლოგიაზე, სისტემაში კითხულობს 1P პაკეტის დატვირთვის შინაარსს, რათა მოახდინოს OSI ფენის 7 პროტოკოლში განაცხადის ფენის ინფორმაციის რეორგანიზაცია, რათა მიიღოთ მთელი სააპლიკაციო პროგრამის შინაარსი და შემდეგ შექმნას ტრაფიკი სისტემის მიერ განსაზღვრული მართვის პოლიტიკის შესაბამისად.
როგორ მუშაობს DPI?
ტრადიციულ firewalls- ს ხშირად არ აქვს გადამამუშავებელი ძალა, რომ შეასრულოს რეალურ დროში შემოწმებები დიდი ტრეფიკის დიდი მოცულობის შესახებ. როგორც ტექნოლოგიის მიღწევები, DPI შეიძლება გამოყენებულ იქნას უფრო რთული ჩეკების შესასრულებლად, სათაურებისა და მონაცემების შესამოწმებლად. როგორც წესი, Firewalls, რომელთაც აქვთ შეჭრის გამოვლენის სისტემები, ხშირად იყენებენ DPI. სამყაროში, სადაც ციფრული ინფორმაცია უმთავრესია, ციფრული ინფორმაციის ყველა ნაჭერი ინტერნეტით მიეწოდება მცირე პაკეტებში. ეს მოიცავს ელ.ფოსტს, აპლიკაციის საშუალებით გაგზავნილ შეტყობინებებს, ვებსაიტების მონახულებას, ვიდეო საუბრებს და სხვა. ფაქტობრივი მონაცემების გარდა, ამ პაკეტებში შედის მეტამონაცემები, რომლებიც განსაზღვრავს ტრაფიკის წყაროს, შინაარსის, დანიშნულების ადგილს და სხვა მნიშვნელოვან ინფორმაციას. პაკეტის ფილტრაციის ტექნოლოგიით, მონაცემების მუდმივად მონიტორინგი შესაძლებელია და მოახერხოს მისი გადაგზავნა სწორ ადგილას. ქსელის უსაფრთხოების უზრუნველსაყოფად, ტრადიციული პაკეტის ფილტრაცია შორს არის საკმარისი. ქსელის მენეჯმენტში ღრმა პაკეტის შემოწმების ზოგიერთი ძირითადი მეთოდი ქვემოთ მოცემულია:
შესატყვისი რეჟიმი/ხელმოწერა
თითოეული პაკეტი შემოწმებულია მატჩის შესატყვისად ცნობილი ქსელის შეტევების მონაცემთა ბაზასთან, რომელიც შედის შეჭრის გამოვლენის სისტემის (IDS) შესაძლებლობებით. IDS ეძებს ცნობილ მავნე სპეციფიკურ შაბლონებს და გამორთავს ტრეფიკს, როდესაც მავნე ნიმუშები გვხვდება. ხელმოწერის შესაბამისი პოლიტიკის მინუსი ის არის, რომ იგი ეხება მხოლოდ ხელმოწერებს, რომლებიც ხშირად განახლებულია. გარდა ამისა, ამ ტექნოლოგიას შეუძლია დაიცვას მხოლოდ ცნობილი საფრთხეები ან შეტევები.
პროტოკოლის გამონაკლისი
იმის გამო, რომ პროტოკოლის გამონაკლისის ტექნიკა უბრალოდ არ იძლევა ყველა მონაცემს, რომელიც არ შეესაბამება ხელმოწერის მონაცემთა ბაზას, IDS Firewall- ის მიერ გამოყენებული პროტოკოლის გამონაკლისის ტექნიკას არ გააჩნია ნიმუშის/ხელმოწერის შესატყვისი მეთოდის თანდაყოლილი ხარვეზები. ამის ნაცვლად, იგი იღებს ნაგულისხმევი უარყოფის პოლიტიკას. პროტოკოლის განმარტებით, firewalls გადაწყვიტეს, თუ რა უნდა დაიშვას ტრეფიკი და დაიცვას ქსელი უცნობი საფრთხეებისგან.
შეჭრის პრევენციის სისტემა (IPS)
IPS Solutions– ს შეუძლია დაბლოკოს მავნე პაკეტების გადაცემა მათი შინაარსის საფუძველზე, რითაც შეაჩერებს ეჭვმიტანილ შეტევებს რეალურ დროში. ეს ნიშნავს, რომ თუ პაკეტი წარმოადგენს უსაფრთხოების ცნობილ რისკს, IPS პროაქტიულად დაბლოკავს ქსელის ტრაფიკს განსაზღვრული წესების საფუძველზე. IPS– ის ერთ - ერთი მინუსი არის კიბერ საფრთხის მონაცემთა ბაზის რეგულარულად განახლება, სადაც მოცემულია ახალი საფრთხეების შესახებ დეტალები და ცრუ პოზიტივის შესაძლებლობა. მაგრამ ეს საფრთხე შეიძლება შემცირდეს კონსერვატიული პოლიტიკის შექმნით და საბაჟო ბარიერების შექმნით, ქსელის კომპონენტებისთვის სათანადო საწყის ქცევის დადგენის გზით, და პერიოდულად შეაფასოს გაფრთხილებები და დაფიქსირდეს მოვლენები მონიტორინგისა და გაფრთხილების გასაუმჯობესებლად.
1- DPI (ღრმა პაკეტის შემოწმება) ქსელის პაკეტის ბროკერში
"ღრმა" არის დონის და ჩვეულებრივი პაკეტის ანალიზის შედარება, "ჩვეულებრივი პაკეტის შემოწმება" მხოლოდ IP პაკეტის 4 ფენის შემდეგი შემდეგი ანალიზი, მათ შორის წყაროს მისამართი, დანიშნულების მისამართი, წყაროს პორტი, დანიშნულების პორტი და პროტოკოლის ტიპი და DPI, გარდა იერარქიული ანალიზისა, ასევე გაზარდა განაცხადის ფენის ანალიზი, დაადგინეთ სხვადასხვა პროგრამები და შინაარსი, ძირითადი ფუნქციების გააზრება:
1) განაცხადის ანალიზი - ქსელის ტრაფიკის შემადგენლობის ანალიზი, შესრულების ანალიზი და ნაკადის ანალიზი
2) მომხმარებლის ანალიზი - მომხმარებლის ჯგუფის დიფერენციაცია, ქცევის ანალიზი, ტერმინალის ანალიზი, ტენდენციის ანალიზი და ა.შ.
3) ქსელის ელემენტების ანალიზი - ანალიზი რეგიონალური ატრიბუტების საფუძველზე (ქალაქი, უბანი, ქუჩა და ა.შ.) და საბაზო სადგურის დატვირთვა
4) ტრაფიკის კონტროლი - P2P სიჩქარის შეზღუდვა, QoS– ის უზრუნველყოფა, სიჩქარის უზრუნველყოფა, ქსელის რესურსების ოპტიმიზაცია და ა.შ.
5) უსაფრთხოების უზრუნველყოფა - DDOS შეტევები, მონაცემთა სამაუწყებლო ქარიშხალი, მავნე ვირუსის შეტევების პრევენცია და ა.შ.
2- ქსელის პროგრამების ზოგადი კლასიფიკაცია
დღეს ინტერნეტში უამრავი პროგრამაა, მაგრამ საერთო ვებ - პროგრამები შეიძლება ამომწურავი იყოს.
რამდენადაც მე ვიცი, საუკეთესო აპლიკაციების ამოცნობის კომპანია არის Huawei, რომელიც აცხადებს, რომ აღიარებს 4000 აპლიკაციას. პროტოკოლის ანალიზი არის მრავალი firewall კომპანიის ძირითადი მოდული (Huawei, ZTE და ა.შ.), და ის ასევე ძალიან მნიშვნელოვანი მოდულია, რომელიც ხელს უწყობს სხვა ფუნქციური მოდულების რეალიზაციას, ზუსტი გამოყენების იდენტიფიკაციას და მნიშვნელოვნად აუმჯობესებს პროდუქციის შესრულებას და საიმედოობას. მავნე პროგრამების იდენტიფიკაციის მოდელირებისას ქსელის ტრაფიკის მახასიათებლებზე დაყრდნობით, როგორც ახლა ვაკეთებ, ძალიან მნიშვნელოვანია ზუსტი და ვრცელი პროტოკოლის იდენტიფიკაცია. კომპანიის საექსპორტო ტრაფიკიდან საერთო პროგრამების ქსელის ტრაფიკის გამოკლებით, დანარჩენი ტრეფიკი მცირე ნაწილს შეადგენს, რაც უკეთესია malware ანალიზისა და განგაშისთვის.
ჩემი გამოცდილებიდან გამომდინარე, არსებული ხშირად გამოყენებული პროგრამები კლასიფიცირდება მათი ფუნქციების შესაბამისად:
PS: განაცხადის კლასიფიკაციის პირადი გაგების თანახმად, თქვენ გაქვთ რაიმე კარგი შემოთავაზება, რომლითაც შეგიძლიათ დატოვოთ შეტყობინებების წინადადება
1). ელ.ფოსტა
2). ვიდეო
3). თამაშები
4). Office OA კლასი
5). პროგრამული უზრუნველყოფის განახლება
6). ფინანსური (ბანკი, ალიპეი)
7). მარაგი
8). სოციალური კომუნიკაცია (IM პროგრამა)
9). ვებ - ათვალი
10). ჩამოტვირთვა ინსტრუმენტები (ვებ დისკი, P2P ჩამოტვირთვა, BT დაკავშირებული)
შემდეგ, როგორ მუშაობს DPI (ღრმა პაკეტის შემოწმება) NPB- ში:
1). პაკეტის დაჭერა: NPB იკავებს ქსელის ტრაფიკს სხვადასხვა წყაროდან, მაგალითად, კონცენტრატორები, მარშრუტიზატორები ან ონკანები. იგი იღებს პაკეტებს, რომლებიც მიედინება ქსელში.
2). პაკეტის გაანალიზება: დატყვევებულ პაკეტებს NPB– ს მიერ გაანალიზებულია სხვადასხვა პროტოკოლის ფენებისა და მასთან დაკავშირებული მონაცემების ამოღება. ეს გაანალიზების პროცესი ხელს უწყობს პაკეტების შიგნით სხვადასხვა კომპონენტის იდენტიფიცირებას, მაგალითად, Ethernet თავსაბურავებს, IP თავსაბურავებს, სატრანსპორტო ფენის სათაურებს (მაგ., TCP ან UDP) და განაცხადის ფენის პროტოკოლებს.
3). დატვირთვის ანალიზი: DPI– ით, NPB სცილდება სათაურის შემოწმებას და ფოკუსირდება დატვირთვაზე, მათ შორის პაკეტებში არსებული ფაქტობრივი მონაცემების ჩათვლით. იგი განიხილავს დატვირთვის შინაარსს სიღრმისეულად, გამოყენებული განაცხადის ან პროტოკოლის მიუხედავად, შესაბამისი ინფორმაციის ამოღების მიზნით.
4). პროტოკოლის იდენტიფიკაცია: DPI საშუალებას აძლევს NPB- ს დაადგინოს ქსელის ტრაფიკის შიგნით გამოყენებული კონკრეტული ოქმები და პროგრამები. მას შეუძლია ოქმების აღმოჩენა და კლასიფიკაცია, როგორიცაა HTTP, FTP, SMTP, DNS, VOIP ან ვიდეო ნაკადის ოქმები.
5). შინაარსის შემოწმება: DPI საშუალებას აძლევს NPB- ს შეამოწმოს პაკეტების შინაარსი კონკრეტული შაბლონებისთვის, ხელმოწერებისთვის ან საკვანძო სიტყვებისთვის. ეს საშუალებას იძლევა ქსელის საფრთხეების გამოვლენა, როგორიცაა malware, ვირუსები, შეჭრის მცდელობები ან საეჭვო მოქმედებები. DPI ასევე შეიძლება გამოყენებულ იქნას შინაარსის ფილტრაციისთვის, ქსელის პოლიტიკის შესასრულებლად ან მონაცემთა შესაბამისობის დარღვევების იდენტიფიცირებისთვის.
6). მეტამონაცემების მოპოვება: DPI– ს დროს, NPB– ს ამონაწერი შესაბამისი მეტამონაცემები პაკეტებიდან. ეს შეიძლება შეიცავდეს ინფორმაციას, როგორიცაა წყარო და დანიშნულების IP მისამართები, პორტის ნომრები, სესიის დეტალები, გარიგების მონაცემები ან სხვა შესაბამისი ატრიბუტები.
7). ტრაფიკის მარშრუტიზაცია ან ფილტრაცია: DPI– ს ანალიზზე დაყრდნობით, NPB– ს შეუძლია კონკრეტული პაკეტების გადატანა დანიშნულ დანიშნულების ადგილებზე შემდგომი დამუშავებისთვის, როგორიცაა უსაფრთხოების ტექნიკა, მონიტორინგის ინსტრუმენტები ან ანალიტიკური პლატფორმები. მას ასევე შეუძლია გამოიყენოს ფილტრაციის წესები პაკეტების გაუქმების ან გადამისამართების მიზნით, იდენტიფიცირებული შინაარსის ან ნიმუშების საფუძველზე.
პოსტის დრო: ივნ -25-2023
