ქსელის პაკეტის ბროკერის აპლიკაციის იდენტიფიკაცია DPI-ზე დაფუძნებული – Deep Packet Inspection

ღრმა პაკეტის შემოწმება (DPI)არის ტექნოლოგია, რომელიც გამოიყენება ქსელის პაკეტების ბროკერებში (NPB) ქსელის პაკეტების შინაარსის მარცვლოვან დონეზე შესამოწმებლად და გასაანალიზებლად. იგი მოიცავს პაკეტებში დატვირთვის, სათაურების და სხვა პროტოკოლის სპეციფიკური ინფორმაციის შემოწმებას, რათა მიიღოთ დეტალური ინფორმაცია ქსელის ტრაფიკის შესახებ.

DPI სცილდება მარტივი სათაურის ანალიზს და უზრუნველყოფს ქსელში გადინებული მონაცემების ღრმა გაგებას. ის იძლევა აპლიკაციის ფენის პროტოკოლების სიღრმისეულ შემოწმებას, როგორიცაა HTTP, FTP, SMTP, VoIP ან ვიდეო ნაკადის პროტოკოლები. პაკეტებში ფაქტობრივი შინაარსის შესწავლით, DPI-ს შეუძლია აღმოაჩინოს და ამოიცნოს კონკრეტული აპლიკაციები, პროტოკოლები ან თუნდაც კონკრეტული მონაცემთა შაბლონები.

წყაროს მისამართების, დანიშნულების მისამართების, წყაროს პორტების, დანიშნულების პორტებისა და პროტოკოლის ტიპების იერარქიული ანალიზის გარდა, DPI ასევე ამატებს განაცხადის ფენის ანალიზს სხვადასხვა აპლიკაციებისა და მათი შინაარსის იდენტიფიცირებისთვის. როდესაც 1P პაკეტი, TCP ან UDP მონაცემები მიედინება DPI ტექნოლოგიაზე დაფუძნებული გამტარუნარიანობის მართვის სისტემაში, სისტემა კითხულობს 1P პაკეტის დატვირთვის შინაარსს, რათა მოახდინოს განაცხადის ფენის ინფორმაციის რეორგანიზაცია OSI Layer 7 პროტოკოლში, რათა მიიღოს შინაარსი. მთელი აპლიკაციის პროგრამა და შემდეგ ტრაფიკის ჩამოყალიბება სისტემის მიერ განსაზღვრული მართვის პოლიტიკის მიხედვით.

როგორ მუშაობს DPI?

ტრადიციულ ფეიერვოლებს ხშირად არ გააჩნიათ დამუშავების ძალა დიდი მოცულობის ტრაფიკის საფუძვლიანი რეალურ დროში შესამოწმებლად. ტექნოლოგიის წინსვლისას, DPI შეიძლება გამოყენებულ იქნას უფრო რთული შემოწმების შესასრულებლად სათაურებისა და მონაცემების შესამოწმებლად. როგორც წესი, შეჭრის აღმოჩენის სისტემების მქონე ბუხარები ხშირად იყენებენ DPI-ს. მსოფლიოში, სადაც ციფრული ინფორმაცია უმნიშვნელოვანესია, ციფრული ინფორმაციის ყველა ნაწილი მიეწოდება ინტერნეტს მცირე პაკეტებში. ეს მოიცავს ელფოსტას, აპის მეშვეობით გაგზავნილ შეტყობინებებს, მონახულებულ ვებსაიტებს, ვიდეო საუბრებს და სხვა. ფაქტობრივი მონაცემების გარდა, ეს პაკეტები მოიცავს მეტამონაცემებს, რომლებიც განსაზღვრავს ტრაფიკის წყაროს, შინაარსს, დანიშნულებას და სხვა მნიშვნელოვან ინფორმაციას. პაკეტის ფილტრაციის ტექნოლოგიით, მონაცემების მუდმივი მონიტორინგი და მართვა შესაძლებელია იმის უზრუნველსაყოფად, რომ ისინი გადაგზავნიან სწორ ადგილას. მაგრამ ქსელის უსაფრთხოების უზრუნველსაყოფად, პაკეტების ტრადიციული ფილტრაცია შორს არის საკმარისი. ქსელის მენეჯმენტში ღრმა პაკეტის შემოწმების ზოგიერთი ძირითადი მეთოდი ჩამოთვლილია ქვემოთ:

შესატყვისი რეჟიმი/ხელმოწერა

თითოეული პაკეტი მოწმდება შესატყვისად ქსელის ცნობილი თავდასხმების მონაცემთა ბაზასთან შეჭრის გამოვლენის სისტემის (IDS) შესაძლებლობების მქონე ფეიერვალით. IDS ეძებს ცნობილ მავნე სპეციფიკურ შაბლონებს და თიშავს ტრაფიკს მავნე შაბლონების აღმოჩენისას. ხელმოწერების შესატყვისი პოლიტიკის მინუსი არის ის, რომ ის ეხება მხოლოდ ხელმოწერებს, რომლებიც ხშირად განახლდება. გარდა ამისა, ამ ტექნოლოგიას შეუძლია დაიცვას მხოლოდ ცნობილი საფრთხეებისგან ან თავდასხმებისგან.

DPI

პროტოკოლის გამონაკლისი

ვინაიდან პროტოკოლის გამონაკლისის ტექნიკა უბრალოდ არ იძლევა ყველა მონაცემს, რომელიც არ ემთხვევა ხელმოწერის მონაცემთა ბაზას, IDS firewall-ის მიერ გამოყენებული პროტოკოლის გამონაკლისის ტექნიკას არ აქვს ნიმუში/ხელმოწერის შესატყვისი მეთოდის თანდაყოლილი ხარვეზები. ამის ნაცვლად, ის იღებს ნაგულისხმევი უარყოფის პოლიტიკას. პროტოკოლის განმარტებით, firewalls წყვეტენ რა ტრაფიკი უნდა იყოს დაშვებული და იცავს ქსელს უცნობი საფრთხეებისგან.

შეჭრის პრევენციის სისტემა (IPS)

IPS გადაწყვეტილებებს შეუძლია დაბლოკოს მავნე პაკეტების გადაცემა მათი შინაარსიდან გამომდინარე, რითაც შეაჩეროს სავარაუდო თავდასხმები რეალურ დროში. ეს ნიშნავს, რომ თუ პაკეტი წარმოადგენს უსაფრთხოების ცნობილ რისკს, IPS პროაქტიულად დაბლოკავს ქსელის ტრაფიკს წესების განსაზღვრული ნაკრების საფუძველზე. IPS-ის ერთი მინუსი არის კიბერ საფრთხეების მონაცემთა ბაზის რეგულარულად განახლების აუცილებლობა ახალი საფრთხეების შესახებ დეტალებით და ცრუ პოზიტივის შესაძლებლობით. მაგრამ ამ საფრთხის შერბილება შესაძლებელია კონსერვატიული პოლიტიკისა და მორგებული ზღვრების შექმნით, ქსელის კომპონენტებისთვის შესაბამისი საბაზისო ქცევის დადგენით და გაფრთხილებებისა და მოხსენებული მოვლენების პერიოდული შეფასებით, მონიტორინგისა და გაფრთხილების გასაუმჯობესებლად.

1- DPI (Deep Packet Inspection) ქსელის პაკეტის ბროკერში

"ღრმა" არის დონის და ჩვეულებრივი პაკეტის ანალიზის შედარება, "ჩვეულებრივი პაკეტის შემოწმება" მხოლოდ IP პაკეტის მე-4 ფენის შემდეგი ანალიზი, მათ შორის წყაროს მისამართი, დანიშნულების მისამართი, წყაროს პორტი, დანიშნულების პორტი და პროტოკოლის ტიპი და DPI, გარდა იერარქიულისა. ანალიზი, ასევე გაიზარდა განაცხადის ფენის ანალიზი, იდენტიფიცირება სხვადასხვა აპლიკაციებისა და შინაარსის ძირითადი ფუნქციების რეალიზებისთვის:

1) განაცხადის ანალიზი -- ქსელის ტრაფიკის შემადგენლობის ანალიზი, შესრულების ანალიზი და ნაკადის ანალიზი

2) მომხმარებლის ანალიზი -- მომხმარებელთა ჯგუფის დიფერენციაცია, ქცევის ანალიზი, ტერმინალის ანალიზი, ტენდენციის ანალიზი და ა.შ.

3) ქსელის ელემენტების ანალიზი -- ანალიზი, რომელიც დაფუძნებულია რეგიონალურ ატრიბუტებზე (ქალაქი, რაიონი, ქუჩა და ა.შ.) და საბაზო სადგურის დატვირთვაზე.

4) Traffic Control - P2P სიჩქარის შეზღუდვა, QoS უზრუნველყოფა, გამტარუნარიანობის უზრუნველყოფა, ქსელის რესურსების ოპტიმიზაცია და ა.შ.

5) უსაფრთხოების უზრუნველყოფა - DDoS შეტევები, მონაცემთა გადაცემის ქარიშხალი, მავნე ვირუსის შეტევების პრევენცია და ა.შ.

2- ქსელური აპლიკაციების ზოგადი კლასიფიკაცია

დღეს ინტერნეტში უამრავი აპლიკაციაა, მაგრამ ჩვეულებრივი ვებ აპლიკაციები შეიძლება იყოს ამომწურავი.

რამდენადაც ვიცი, საუკეთესო აპლიკაციების ამომცნობი კომპანიაა Huawei, რომელიც აცხადებს, რომ აღიარებს 4000 აპლიკაციას. პროტოკოლის ანალიზი არის მრავალი Firewall კომპანიის ძირითადი მოდული (Huawei, ZTE და ა.შ.) და ასევე არის ძალიან მნიშვნელოვანი მოდული, რომელიც მხარს უჭერს სხვა ფუნქციური მოდულების რეალიზაციას, აპლიკაციის ზუსტ იდენტიფიკაციას და მნიშვნელოვნად აუმჯობესებს პროდუქციის მუშაობას და საიმედოობას. ქსელური ტრაფიკის მახასიათებლების საფუძველზე მავნე პროგრამის იდენტიფიკაციის მოდელირებისას, როგორც ახლა ვაკეთებ, პროტოკოლის ზუსტი და ვრცელი იდენტიფიკაცია ასევე ძალიან მნიშვნელოვანია. კომპანიის საექსპორტო ტრაფიკიდან საერთო აპლიკაციების ქსელური ტრაფიკის გამოკლებით, დარჩენილი ტრაფიკი იქნება მცირე ნაწილი, რაც უკეთესია მავნე პროგრამების ანალიზისა და განგაშისთვის.

ჩემი გამოცდილებიდან გამომდინარე, არსებული ხშირად გამოყენებული აპლიკაციები კლასიფიცირებულია მათი ფუნქციების მიხედვით:

PS: განაცხადის კლასიფიკაციის პირადი გაგების მიხედვით, თქვენ გაქვთ რაიმე კარგი შემოთავაზება, რომ დატოვოთ შეტყობინების შეთავაზება

1). ელ.ფოსტა

2). ვიდეო

3). თამაშები

4). Office OA კლასი

5). პროგრამული უზრუნველყოფის განახლება

6). ფინანსური (ბანკი, Alipay)

7). აქციები

8). სოციალური კომუნიკაცია (IM პროგრამული უზრუნველყოფა)

9). ვებ დათვალიერება (ალბათ უკეთესად იდენტიფიცირებული URL-ებით)

10). ჩამოტვირთვის ხელსაწყოები (ვებ დისკი, P2P ჩამოტვირთვა, BT დაკავშირებული)

20191210153150_32811

შემდეგ, როგორ მუშაობს DPI (Deep Packet Inspection) NPB-ში:

1). პაკეტის გადაღება: NPB იჭერს ქსელის ტრაფიკს სხვადასხვა წყაროდან, როგორიცაა კონცენტრატორები, მარშრუტიზატორები ან ონკანები. ის იღებს პაკეტებს, რომლებიც მიედინება ქსელში.

2). პაკეტის გაანალიზება: დაჭერილი პაკეტები ანალიზდება NPB-ის მიერ, რათა ამოიღონ პროტოკოლის სხვადასხვა ფენები და ასოცირებული მონაცემები. ეს ანალიზის პროცესი ეხმარება პაკეტებში სხვადასხვა კომპონენტების იდენტიფიცირებას, როგორიცაა Ethernet სათაურები, IP სათაურები, სატრანსპორტო ფენის სათაურები (მაგ., TCP ან UDP) და განაცხადის ფენის პროტოკოლები.

3). დატვირთვის ანალიზი: DPI-ით NPB სცილდება სათაურის ინსპექტირებას და ფოკუსირებულია დატვირთვაზე, მათ შორის პაკეტებში არსებულ რეალურ მონაცემებზე. იგი სიღრმისეულად იკვლევს დატვირთვის შინაარსს, განურჩევლად აპლიკაციისა თუ გამოყენებული პროტოკოლისა, შესაბამისი ინფორმაციის მოსაპოვებლად.

4). პროტოკოლის იდენტიფიკაცია: DPI საშუალებას აძლევს NPB-ს დაადგინოს კონკრეტული პროტოკოლები და აპლიკაციები, რომლებიც გამოიყენება ქსელის ტრაფიკში. მას შეუძლია აღმოაჩინოს და დაალაგოს პროტოკოლები, როგორიცაა HTTP, FTP, SMTP, DNS, VoIP ან ვიდეო ნაკადის პროტოკოლები.

5). შინაარსის შემოწმება: DPI საშუალებას აძლევს NPB-ს შეამოწმოს პაკეტების შინაარსი კონკრეტული შაბლონების, ხელმოწერების ან საკვანძო სიტყვებისთვის. ეს საშუალებას იძლევა აღმოაჩინოს ქსელის საფრთხეები, როგორიცაა მავნე პროგრამები, ვირუსები, შეჭრის მცდელობები ან საეჭვო აქტივობები. DPI ასევე შეიძლება გამოყენებულ იქნას შინაარსის გაფილტვრისთვის, ქსელის პოლიტიკის განსახორციელებლად ან მონაცემთა შესაბამისობის დარღვევების იდენტიფიცირებისთვის.

6). მეტამონაცემების ამოღება: DPI-ის დროს NPB ამოიღებს შესაბამის მეტამონაცემებს პაკეტებიდან. ეს შეიძლება შეიცავდეს ინფორმაციას, როგორიცაა წყაროს და დანიშნულების IP მისამართები, პორტის ნომრები, სესიის დეტალები, ტრანზაქციის მონაცემები ან სხვა შესაბამისი ატრიბუტები.

7). ტრაფიკის მარშრუტირება ან გაფილტვრა: DPI ანალიზის საფუძველზე, NPB-ს შეუძლია კონკრეტული პაკეტების მარშრუტირება დანიშნულ დანიშნულებამდე შემდგომი დამუშავებისთვის, როგორიცაა უსაფრთხოების მოწყობილობები, მონიტორინგის ხელსაწყოები ან ანალიტიკური პლატფორმები. მას ასევე შეუძლია გამოიყენოს ფილტრაციის წესები პაკეტების გაუქმების ან გადამისამართების მიზნით, იდენტიფიცირებული შინაარსის ან შაბლონების საფუძველზე.

ML-NPB-5660 3d


გამოქვეყნების დრო: ივნ-25-2023