Identificação de aplicativos de corretor de pacotes de rede com base no DPI - Inspeção de pacotes profundos

Inspeção profunda de pacotes (Dpi)é uma tecnologia usada em corretores de pacotes de rede (NPBs) para inspecionar e analisar o conteúdo dos pacotes de rede em nível granular. Envolve examinar a carga útil, cabeçalhos e outras informações específicas do protocolo em pacotes para obter informações detalhadas sobre o tráfego de rede.

O DPI vai além da análise simples do cabeçalho e fornece uma compreensão profunda dos dados que fluem através de uma rede. Ele permite uma inspeção aprofundada dos protocolos da camada de aplicativos, como protocolos de streaming HTTP, FTP, SMTP, VoIP ou de streaming de vídeo. Ao examinar o conteúdo real nos pacotes, o DPI pode detectar e identificar aplicativos, protocolos ou até padrões de dados específicos.

Além da análise hierárquica dos endereços de origem, endereços de destino, portas de origem, portas de destino e tipos de protocolo, o DPI também adiciona análise da camada de aplicativo para identificar várias aplicações e seus conteúdos. Quando o pacote 1P, os dados TCP ou UDP fluem através do sistema de gerenciamento de largura de banda com base na tecnologia DPI, o sistema lê o conteúdo da carga do pacote 1P para reorganizar as informações da camada de aplicativos no protocolo da camada OSI 7, de modo a obter o conteúdo de todo o programa de aplicativos e, em seguida, moldar o tráfego de acordo com a política de gerenciamento definida pelo sistema.

Como funciona o DPI?

Os firewalls tradicionais geralmente não têm o poder de processamento para realizar verificações completas em tempo real em grandes volumes de tráfego. À medida que a tecnologia avança, o DPI pode ser usado para executar verificações mais complexas para verificar cabeçalhos e dados. Normalmente, os firewalls com sistemas de detecção de intrusão geralmente usam DPI. Em um mundo onde as informações digitais são fundamentais, todas as informações digitais são entregues pela Internet em pacotes pequenos. Isso inclui email, mensagens enviadas pelo aplicativo, sites visitados, conversas em vídeo e muito mais. Além dos dados reais, esses pacotes incluem metadados que identificam a fonte de tráfego, o conteúdo, o destino e outras informações importantes. Com a tecnologia de filtragem de pacotes, os dados podem ser monitorados e gerenciados continuamente para garantir que sejam encaminhados para o lugar certo. Mas, para garantir a segurança da rede, a filtragem tradicional de pacotes está longe de ser suficiente. Alguns dos principais métodos de inspeção de pacotes profundos no gerenciamento de rede estão listados abaixo:

Modo de correspondência/assinatura

Cada pacote é verificado para obter uma correspondência com um banco de dados de ataques de rede conhecidos por um firewall com recursos do Sistema de Detecção de Intrusão (IDS). O IDS procura padrões específicos maliciosos conhecidos e desativa o tráfego quando padrões maliciosos são encontrados. A desvantagem da política de correspondência de assinatura é que ela se aplica apenas a assinaturas que são atualizadas com frequência. Além disso, essa tecnologia só pode se defender contra ameaças ou ataques conhecidos.

DPI

Exceção de protocolo

Como a técnica de exceção do protocolo não permite simplesmente todos os dados que não correspondem ao banco de dados de assinatura, a técnica de exceção do protocolo usada pelo firewall do IDS não possui as falhas inerentes ao método de correspondência padrão/assinatura. Em vez disso, adota a política de rejeição padrão. Por definição de protocolo, os firewalls decidem qual o tráfego deve ser permitido e proteger a rede de ameaças desconhecidas.

Sistema de Prevenção de Intrusão (IPS)

As soluções IPS podem bloquear a transmissão de pacotes nocivos com base em seu conteúdo, impedindo que os suspeitos de ataques em tempo real. Isso significa que, se um pacote representar um risco de segurança conhecido, o IPS bloqueará proativamente o tráfego de rede com base em um conjunto definido de regras. Uma desvantagem da IPS é a necessidade de atualizar regularmente um banco de dados de ameaças cibernéticas com detalhes sobre novas ameaças e a possibilidade de falsos positivos. Mas esse perigo pode ser atenuado pela criação de políticas conservadoras e limiares personalizados, estabelecendo o comportamento de linha de base apropriado para componentes de rede e avaliando periodicamente avisos e eventos relatados para melhorar o monitoramento e o alerta.

1- O DPI (Inspeção de Pacotes Deep) no corretor de pacotes de rede

A "Deep" é a comparação de análise de pacotes níveis e comuns, "Inspeção de pacotes comuns" apenas a seguinte análise da camada IP Packet 4, incluindo o endereço de origem, endereço de destino, porta de origem, porta de destino e tipo de protocolo e DPI, exceto com as análises hierárquicas, também aumentou a análise da camada de aplicação, identifica as várias aplicações e o conteúdo, para realizar as funções principais:

1) Análise de aplicativos - Análise de composição de tráfego de rede, análise de desempenho e análise de fluxo

2) Análise do usuário - diferenciação do grupo de usuários, análise de comportamento, análise de terminais, análise de tendências etc.

3) Análise de elementos de rede - Análise com base em atributos regionais (cidade, distrito, rua etc.) e carga da estação base

4) Controle de tráfego - limitação de velocidade P2P, garantia de QoS, garantia de largura de banda, otimização de recursos de rede, etc.

5) Garantia de segurança - ataques de DDoS, tempestade de transmissão de dados, prevenção de ataques maliciosos de vírus, etc.

2- Classificação geral de aplicativos de rede

Hoje, existem inúmeros aplicativos na Internet, mas os aplicativos da Web comuns podem ser exaustivos.

Até onde eu sei, a melhor empresa de reconhecimento de aplicativos é a Huawei, que afirma reconhecer 4.000 aplicativos. A análise de protocolo é o módulo básico de muitas empresas de firewall (Huawei, ZTE etc.), e também é um módulo muito importante, apoiando a realização de outros módulos funcionais, identificação precisa de aplicativos e melhorando bastante o desempenho e a confiabilidade dos produtos. Ao modelar a identificação de malware com base nas características do tráfego de rede, como estou fazendo agora, a identificação precisa e extensa do protocolo também é muito importante. Excluindo o tráfego de rede de aplicativos comuns do tráfego de exportação da empresa, o tráfego restante será responsável por uma pequena proporção, o que é melhor para análise e alarme de malware.

Com base na minha experiência, os aplicativos comumente usados ​​são classificados de acordo com suas funções:

PS: De acordo com a compreensão pessoal da classificação do aplicativo, você tem boas sugestões bem -vindas para deixar uma proposta de mensagem

1). E-mail

2). Vídeo

3). Jogos

4). Classe OA do Office

5). Atualização de software

6). Financeiro (Banco, Alipay)

7). Ações

8). Comunicação Social (IM Software)

9). Navegação na web (provavelmente melhor identificado com URLs)

10). Download Tools (Web Disk, P2P Download, BT relacionado)

20191210153150_32811

Então, como o DPI (Inspeção de Pacotes Deep) funciona em um NPB:

1). Captura de pacotes: o NPB captura o tráfego de rede de várias fontes, como interruptores, roteadores ou torneiras. Recebe pacotes que fluem pela rede.

2). Pacotes Parsing: Os pacotes capturados são analisados ​​pelo NPB para extrair várias camadas de protocolo e dados associados. Esse processo de análise ajuda a identificar os diferentes componentes dentro dos pacotes, como cabeçalhos Ethernet, cabeçalhos de IP, cabeçalhos da camada de transporte (por exemplo, TCP ou UDP) e protocolos de camada de aplicação.

3). Análise de carga útil: com o DPI, o NPB vai além da inspeção do cabeçalho e se concentra na carga útil, incluindo os dados reais nos pacotes. Ele examina o conteúdo da carga útil em profundidade, independentemente do aplicativo ou protocolo usado, para extrair informações relevantes.

4). Identificação do protocolo: o DPI permite que o NPB identifique os protocolos e aplicativos específicos que estão sendo usados ​​no tráfego de rede. Ele pode detectar e classificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de streaming de vídeo.

5). Inspeção de conteúdo: o DPI permite que o NPB inspecione o conteúdo de pacotes para padrões, assinaturas ou palavras -chave específicas. Isso permite a detecção de ameaças de rede, como malware, vírus, tentativas de intrusão ou atividades suspeitas. O DPI também pode ser usado para filtragem de conteúdo, aplicar políticas de rede ou identificar violações de conformidade de dados.

6). Extração de metadados: durante o DPI, o NPB extrata metadados relevantes dos pacotes. Isso pode incluir informações como endereços IP de origem e destino, números de porta, detalhes da sessão, dados de transações ou quaisquer outros atributos relevantes.

7). Roteamento ou filtragem de tráfego: Com base na análise DPI, o NPB pode rotear pacotes específicos para destinos designados para processamento adicional, como aparelhos de segurança, ferramentas de monitoramento ou plataformas de análise. Ele também pode aplicar regras de filtragem para descartar ou redirecionar pacotes com base no conteúdo ou padrões identificados.

ML-NPB-5660 3D


Hora de postagem: Jun-25-2023