Enspeksyon Pakè Pwofon (DPI)se yon teknoloji yo itilize nan Koutye Pakè Rezo (NPB) pou enspekte ak analize kontni pakè rezo yo nan yon nivo detaye. Li enplike egzamine chaj itil la, antèt yo, ak lòt enfòmasyon espesifik pwotokòl ki nan pakè yo pou jwenn enfòmasyon detaye sou trafik rezo a.
DPI ale pi lwen pase yon senp analiz header epi li bay yon konpreyansyon pwofon sou done k ap koule nan yon rezo. Li pèmèt yon enspeksyon apwofondi sou pwotokòl kouch aplikasyon yo, tankou HTTP, FTP, SMTP, VoIP, oswa pwotokòl difizyon videyo. Lè li egzamine kontni reyèl ki nan pake yo, DPI ka detekte epi idantifye aplikasyon espesifik, pwotokòl, oswa menm modèl done espesifik.
Anplis analiz yerarchik adrès sous, adrès destinasyon, pò sous, pò destinasyon, ak kalite pwotokòl, DPI ajoute tou analiz kouch aplikasyon pou idantifye divès aplikasyon ak kontni yo. Lè pake 1P, done TCP oswa UDP yo ap koule nan sistèm jesyon Pleasant ki baze sou teknoloji DPI a, sistèm nan li kontni chaj pake 1P a pou reòganize enfòmasyon kouch aplikasyon an nan pwotokòl OSI Layer 7 la, pou jwenn kontni tout pwogram aplikasyon an, epi answit mete trafik la an fòm dapre politik jesyon sistèm nan defini an.
Kijan DPI fonksyone?
Pare-feu tradisyonèl yo souvan pa gen ase puisans pwosesis pou fè verifikasyon konplè an tan reyèl sou gwo volim trafik. Tank teknoloji ap avanse, yo ka itilize DPI pou fè verifikasyon ki pi konplèks pou tcheke header ak done yo. Tipikman, pare-feu ki gen sistèm deteksyon entrizyon yo souvan itilize DPI. Nan yon mond kote enfòmasyon dijital enpòtan anpil, chak enfòmasyon dijital delivre sou Entènèt la nan ti pake. Sa gen ladan imèl, mesaj voye atravè aplikasyon an, sit entènèt yo vizite, konvèsasyon videyo, ak plis ankò. Anplis done aktyèl yo, pake sa yo gen ladan metadone ki idantifye sous trafik la, kontni, destinasyon, ak lòt enfòmasyon enpòtan. Avèk teknoloji filtraj pake, yo ka kontwole ak jere done yo kontinyèlman pou asire yo voye nan bon kote a. Men, pou asire sekirite rezo a, filtraj pake tradisyonèl la pa ase ditou. Men kèk nan metòd prensipal enspeksyon pake pwofon nan jesyon rezo a:
Mòd/Siyati Matche
Yon pare-feu ki gen kapasite sistèm deteksyon entrizyon (IDS) verifye chak pake pou wè si li koresponn ak yon baz done atak rezo li te ye. IDS ap chèche modèl espesifik move li te ye epi li dezaktive trafik la lè li jwenn modèl move. Dezavantaj règleman matche siyati a se ke li sèlman aplike pou siyati ki mete ajou souvan. Anplis de sa, teknoloji sa a ka sèlman defann kont menas oswa atak li te ye.
Eksepsyon Pwotokòl
Piske teknik eksepsyon pwotokòl la pa sèlman pèmèt tout done ki pa koresponn ak baz done siyati a, teknik eksepsyon pwotokòl ke pare-feu IDS la itilize a pa gen defo natirèl metòd matche modèl/siyati a. Okontrè, li adopte politik rejè pa defo a. Selon definisyon pwotokòl la, pare-feu yo deside ki trafik ki ta dwe otorize epi pwoteje rezo a kont menas enkoni.
Sistèm Prevansyon Entrizyon (IPS)
Solisyon IPS yo ka bloke transmisyon pake danjere yo ki baze sou kontni yo, kidonk bloke atak sispèk yo an tan reyèl. Sa vle di ke si yon pake reprezante yon risk sekirite li te ye, IPS pral bloke trafik rezo a aktivman ki baze sou yon seri règ byen defini. Yon dezavantaj IPS se nesesite pou mete ajou regilyèman yon baz done menas sibernetik ak detay sou nouvo menas yo, ak posiblite pou fo pozitif. Men, danje sa a ka diminye lè w kreye règleman konsèvatif ak papòt pèsonalize, etabli konpòtman debaz apwopriye pou konpozan rezo yo, epi evalye avètisman ak evènman rapòte yo detanzantan pou amelyore siveyans ak alèt.
1- DPI a (Enspeksyon Pwofon Pakè) nan Broker Pakè Rezo a
"Pwofon" an se konparezon analiz nivo pake òdinè, "enspeksyon pake òdinè" sèlman analiz sa a nan kouch pake IP 4, ki gen ladan adrès sous, adrès destinasyon, pò sous, pò destinasyon ak kalite pwotokòl, ak DPI eksepte ak analiz yerarchik la, ogmante tou analiz kouch aplikasyon an, idantifye divès aplikasyon ak kontni, pou reyalize fonksyon prensipal yo:
1) Analiz Aplikasyon -- analiz konpozisyon trafik rezo a, analiz pèfòmans, ak analiz koule
2) Analiz Itilizatè -- diferansyasyon gwoup itilizatè, analiz konpòtman, analiz tèminal, analiz tandans, elatriye.
3) Analiz Eleman Rezo -- analiz ki baze sou atribi rejyonal yo (vil, distri, lari, elatriye) ak chaj estasyon baz la
4) Kontwòl Trafik -- Limite vitès P2P, asirans QoS, asirans Pleasant, optimize resous rezo, elatriye.
5) Asirans Sekirite -- Atak DDoS, tanpèt difizyon done, prevansyon atak viris move, elatriye.
2- Klasifikasyon Jeneral Aplikasyon Rezo yo
Jodi a gen anpil aplikasyon sou Entènèt la, men aplikasyon entènèt komen yo ka konplè.
Dapre sa m konnen, pi bon konpayi rekonesans aplikasyon an se Huawei, ki pretann rekonèt 4,000 aplikasyon. Analiz pwotokòl se modil debaz anpil konpayi pare-feu (Huawei, ZTE, elatriye), epi li se tou yon modil trè enpòtan, ki sipòte realizasyon lòt modil fonksyonèl, idantifikasyon aplikasyon egzat, epi amelyore pèfòmans ak fyab pwodwi yo anpil. Nan modèl idantifikasyon malveyan ki baze sou karakteristik trafik rezo a, jan m ap fè kounye a, idantifikasyon pwotokòl egzat ak konplè trè enpòtan tou. Si nou eskli trafik rezo aplikasyon komen yo nan trafik ekspòtasyon konpayi an, trafik ki rete a pral konte pou yon ti pwopòsyon, ki pi bon pou analiz malveyan ak alam.
Baze sou eksperyans mwen, aplikasyon ki deja itilize yo klase selon fonksyon yo:
PS: Selon konpreyansyon pèsonèl ou sou klasifikasyon aplikasyon an, si ou gen bon sijesyon, ou ka kite yon mesaj pou pwopozisyon.
1). Imèl
2). Videyo
3). Jwèt
4). Klas OA Biwo
5). Mizajou lojisyèl
6). Finansye (bank, Alipay)
7). Aksyon
8). Kominikasyon Sosyal (lojisyèl IM)
9). Navigasyon sou entènèt (pwobableman pi byen idantifye ak URL)
10). Zouti telechaje (disk entènèt, telechaje P2P, ki gen rapò ak BT)
Apre sa, kijan DPI (Deep Packet Inspection) fonksyone nan yon NPB:
1). Kaptire Pakè: NPB a kaptire trafik rezo a soti nan plizyè sous, tankou switch, routeurs, oswa tap. Li resevwa pakè k ap sikile nan rezo a.
2). Analiz Pakè: NPB a analize pakè yo kaptire pou ekstrè divès kouch pwotokòl ak done ki asosye yo. Pwosesis analiz sa a ede idantifye diferan konpozan ki nan pakè yo, tankou antèt Ethernet, antèt IP, antèt kouch transpò (pa egzanp, TCP oswa UDP), ak pwotokòl kouch aplikasyon.
3). Analiz Chaj Òdinatè: Avèk DPI, NPB a ale pi lwen pase enspeksyon header la epi li konsantre sou chaj la, ki gen ladan done reyèl ki nan pake yo. Li egzamine kontni chaj la an pwofondè, kèlkeswa aplikasyon an oswa pwotokòl ki itilize a, pou ekstrè enfòmasyon ki enpòtan.
4). Idantifikasyon Pwotokòl: DPI pèmèt NPB a idantifye pwotokòl ak aplikasyon espesifik k ap itilize nan trafik rezo a. Li ka detekte epi klase pwotokòl tankou HTTP, FTP, SMTP, DNS, VoIP, oswa pwotokòl difizyon videyo.
5). Enspeksyon Kontni: DPI pèmèt NPB a enspekte kontni pakè yo pou modèl espesifik, siyati, oswa mo kle. Sa pèmèt deteksyon menas rezo, tankou malveyan, viris, tantativ entrizyon, oswa aktivite sispèk. DPI kapab itilize tou pou filtraj kontni, aplike règleman rezo, oswa idantifye vyolasyon konfòmite done.
6). Ekstraksyon Metadone: Pandan DPI a, NPB a ekstrè metadone ki enpòtan yo nan pakè yo. Sa ka gen ladan enfòmasyon tankou adrès IP sous ak destinasyon, nimewo pò, detay sesyon, done tranzaksyon, oswa nenpòt lòt atribi ki enpòtan.
7). Routaj oswa Filtraj Trafik: Baze sou analiz DPI a, NPB a ka dirije pakè espesifik nan destinasyon deziyen pou plis tretman, tankou aparèy sekirite, zouti siveyans, oswa platfòm analiz. Li kapab aplike tou règ filtraj pou jete oswa redireksyon pakè ki baze sou kontni oswa modèl idantifye yo.
Dat piblikasyon: 25 jen 2023
