DPI-д суурилсан сүлжээний пакет зуучлагчийн програмыг тодорхойлох - Пакетийн гүн шалгалт

Пакетийн гүн шалгалт (DPI)нь сүлжээний пакетуудын агуулгыг нарийн түвшинд шалгаж, дүн шинжилгээ хийхэд Network Packet Brokers (NPBs)-д ашигладаг технологи юм. Энэ нь сүлжээний хөдөлгөөний талаар нарийвчилсан ойлголттой болохын тулд багц доторх ачааны ачаалал, толгой хэсэг болон бусад протоколд хамаарах мэдээллийг шалгахад оршино.

DPI нь энгийн толгойн шинжилгээнээс давж, сүлжээгээр дамжиж буй өгөгдлийн талаар гүнзгий ойлголт өгдөг. Энэ нь HTTP, FTP, SMTP, VoIP, эсвэл видео дамжуулалтын протокол гэх мэт хэрэглээний түвшний протоколуудыг гүнзгий шалгах боломжийг олгодог. Пакет доторх бодит агуулгыг шалгаснаар DPI нь тодорхой програмууд, протоколууд, тэр ч байтугай тодорхой өгөгдлийн хэв маягийг илрүүлж, тодорхойлох боломжтой.

Эх хаяг, очих хаяг, эх порт, очих порт, протоколын төрлүүдийн шаталсан шинжилгээнээс гадна DPI нь төрөл бүрийн програмууд болон тэдгээрийн агуулгыг тодорхойлохын тулд програмын давхаргын шинжилгээг нэмдэг. 1P пакет, TCP эсвэл UDP өгөгдөл нь DPI технологид суурилсан зурвасын өргөнийг удирдах системээр дамжих үед систем нь OSI Layer 7 протокол дахь хэрэглээний түвшний мэдээллийг дахин зохион байгуулахын тулд 1P пакет ачааллын агуулгыг уншдаг. хэрэглээний программыг бүхэлд нь, дараа нь системээс тодорхойлсон удирдлагын бодлогын дагуу урсгалыг төлөвшүүлнэ.

DPI хэрхэн ажилладаг вэ?

Уламжлалт галт хана нь ихэвчлэн их хэмжээний траффик дээр бодит цагийн нарийн шалгалт хийх боловсруулах хүчин чадалгүй байдаг. Технологи хөгжихийн хэрээр DPI нь толгой болон өгөгдлийг шалгахын тулд илүү нарийн төвөгтэй шалгалтуудыг хийхэд ашиглаж болно. Ихэвчлэн халдлага илрүүлэх систем бүхий галт хана нь ихэвчлэн DPI ашигладаг. Дижитал мэдээлэл нь хамгийн чухал болсон дэлхийд дижитал мэдээлэл бүрийг интернетээр жижиг багцаар дамжуулдаг. Үүнд имэйл, апп-аар дамжуулан илгээсэн мессеж, зочилсон вэбсайтууд, видео харилцан яриа болон бусад зүйлс орно. Бодит өгөгдлөөс гадна эдгээр пакетууд нь хөдөлгөөний эх үүсвэр, агуулга, очих газар болон бусад чухал мэдээллийг тодорхойлсон мета өгөгдлийг агуулдаг. Пакет шүүлтүүрийн технологийн тусламжтайгаар өгөгдлийг тасралтгүй хянаж, зөв ​​газар руу нь дамжуулах боломжтой. Гэхдээ сүлжээний аюулгүй байдлыг хангахын тулд уламжлалт пакет шүүлтүүр нь хангалттай биш юм. Сүлжээний менежментийн багцын гүн шалгах үндсэн аргуудын заримыг доор жагсаав.

Тохирох горим/Гарын үсэг

Пакет бүрийг халдлага илрүүлэх систем (IDS) бүхий галт ханаар мэдэгдэж байгаа сүлжээний халдлагын мэдээллийн сантай таарч байгаа эсэхийг шалгадаг. IDS нь мэдэгдэж буй хортой хэв маягийг хайж, хортой загвар олдсон үед урсгалыг идэвхгүй болгодог. Гарын үсэг тохируулах бодлогын сул тал нь зөвхөн байнга шинэчлэгддэг гарын үсэгт хамаарна. Нэмж дурдахад энэ технологи нь зөвхөн мэдэгдэж буй аюул заналхийлэл, халдлагаас хамгаалах боломжтой.

DPI

Протоколын онцгой тохиолдол

Протоколын үл хамаарах техник нь гарын үсгийн мэдээллийн сантай таарахгүй бүх өгөгдлийг зүгээр л зөвшөөрдөггүй тул IDS галт хананд ашигладаг протоколын онцгой арга техник нь загвар/гарын үсэг тохируулах аргын төрөлхийн дутагдалтай байдаггүй. Үүний оронд энэ нь үндсэн татгалзах бодлогыг баталдаг. Протоколын тодорхойлолтоор галт хана нь ямар урсгалыг зөвшөөрөх ёстойг шийдэж, сүлжээг үл мэдэгдэх аюулаас хамгаалдаг.

Халдлагаас урьдчилан сэргийлэх систем (IPS)

IPS шийдэл нь агуулгад нь тулгуурлан хортой пакетуудын дамжуулалтыг хааж, улмаар сэжигтэй халдлагыг бодит цаг хугацаанд зогсоож чадна. Энэ нь хэрэв пакет нь мэдэгдэж буй аюулгүй байдлын эрсдэлийг илэрхийлдэг бол IPS нь тодорхой дүрмийн дагуу сүлжээний траффикийг идэвхтэй хаах болно гэсэн үг юм. IPS-ийн нэг сул тал бол кибер аюулын мэдээллийн санг шинэ аюулын талаарх дэлгэрэнгүй мэдээлэл, худал эерэг үр дүн гарах магадлал бүхий тогтмол шинэчлэх хэрэгцээ юм. Гэхдээ энэ аюулыг консерватив бодлого, захиалгат босго бий болгож, сүлжээний бүрэлдэхүүн хэсгүүдэд тохирсон суурь зан үйлийг бий болгож, хяналт, сэрэмжлүүлэгийг сайжруулахын тулд анхааруулга, мэдээлсэн үйл явдлыг үе үе үнэлж байж багасгаж болно.

1- Сүлжээний пакет брокер дахь DPI (Deep Packet Inspection).

"Гүн" нь түвшний болон энгийн багцын шинжилгээний харьцуулалт, "энгийн пакетийн шалгалт" нь зөвхөн IP пакет 4-р давхаргын дараах шинжилгээ, үүнд эх хаяг, очих хаяг, эх порт, очих порт болон протоколын төрөл, шатлалаас бусад нь DPI зэрэг орно. дүн шинжилгээ хийх, мөн хэрэглээний давхаргын шинжилгээг нэмэгдүүлж, янз бүрийн хэрэглээ, агуулгыг тодорхойлох, үндсэн функцийг хэрэгжүүлэх:

1) Хэрэглээний шинжилгээ -- сүлжээний хөдөлгөөний бүтэц, гүйцэтгэлийн шинжилгээ, урсгалын шинжилгээ

2) Хэрэглэгчийн шинжилгээ -- хэрэглэгчийн бүлгийг ялгах, зан төлөвийн шинжилгээ, терминалын шинжилгээ, чиг хандлагын шинжилгээ гэх мэт.

3) Сүлжээний элементийн шинжилгээ -- бүс нутгийн шинж чанар (хот, дүүрэг, гудамж гэх мэт) болон суурь станцын ачаалалд суурилсан шинжилгээ.

4) Замын хөдөлгөөний хяналт -- P2P хурдны хязгаарлалт, QoS баталгаа, зурвасын өргөний баталгаа, сүлжээний нөөцийн оновчлол гэх мэт.

5) Аюулгүй байдлын баталгаа -- DDoS халдлага, өгөгдөл дамжуулах шуурга, хортой вирусын халдлагаас урьдчилан сэргийлэх гэх мэт.

2- Сүлжээний хэрэглээний ерөнхий ангилал

Өнөөдөр Интернетэд тоо томшгүй олон програмууд байдаг ч нийтлэг вэб програмууд нь бүрэн гүйцэд байж болно.

Миний мэдэж байгаагаар хамгийн сайн програм таних компани бол Huawei бөгөөд 4000 програмыг таньдаг гэж мэдэгддэг. Протоколын шинжилгээ нь олон галт ханын компаниудын (Huawei, ZTE гэх мэт) үндсэн модуль бөгөөд энэ нь бусад функциональ модулиудыг хэрэгжүүлэх, програмыг үнэн зөв тодорхойлох, бүтээгдэхүүний гүйцэтгэл, найдвартай байдлыг ихээхэн сайжруулахад тусалдаг маш чухал модуль юм. Сүлжээний траффикийн шинж чанарт суурилсан хортой программыг таних загварчлалд миний одоо хийж байгаа шиг протоколын үнэн зөв, өргөн хүрээтэй таних нь маш чухал юм. Компанийн экспортын траффикаас нийтлэг хэрэглээний сүлжээний траффикийг тооцохгүйгээр үлдэгдэл траффик нь багахан хувийг эзэлдэг бөгөөд энэ нь хортой програмын шинжилгээ, дохиололд илүү тохиромжтой.

Миний туршлага дээр үндэслэн одоо байгаа түгээмэл хэрэглэгддэг програмуудыг функцээр нь ангилдаг.

Жич: Өргөдлийн ангиллын талаарх хувийн ойлголтын дагуу танд сайн санал байвал мессеж саналаа үлдээнэ үү.

1). И-мэйл

2). Видео

3). Тоглоомууд

4). Office OA анги

5). Програм хангамжийн шинэчлэл

6). Санхүү (банк, Alipay)

7). Хувьцаа

8). Нийгмийн харилцаа холбоо (IM програм хангамж)

9). Вэб хайлт (URL-уудаар илүү сайн тодорхойлогдсон байх)

10). Татаж авах хэрэгслүүд (вэб диск, P2P татаж авах, BT холбоотой)

20191210153150_32811

Дараа нь NPB-д DPI (Deep Packet Inspection) хэрхэн ажилладаг вэ:

1). Пакет барих: NPB нь шилжүүлэгч, чиглүүлэгч, цорго гэх мэт янз бүрийн эх сурвалжаас сүлжээний урсгалыг авдаг. Энэ нь сүлжээгээр дамжиж буй пакетуудыг хүлээн авдаг.

2). Пакет задлан шинжлэх: Баригдсан пакетуудыг NPB задлан шинжилж, протоколын янз бүрийн давхарга болон холбогдох өгөгдлийг гаргаж авдаг. Энэхүү задлан шинжлэх процесс нь Ethernet толгой, IP толгой, тээврийн давхаргын толгой (жишээ нь, TCP эсвэл UDP) болон хэрэглээний түвшний протоколууд зэрэг багц доторх өөр өөр бүрэлдэхүүн хэсгүүдийг тодорхойлоход тусалдаг.

3). Ачааллын шинжилгээ: DPI-ийн тусламжтайгаар NPB нь толгойн үзлэгээс давж, багц доторх бодит өгөгдөл зэрэг ачааллыг анхаарч үздэг. Энэ нь холбогдох мэдээллийг гаргаж авахын тулд ашигласан програм эсвэл протоколоос үл хамааран ачааллын агуулгыг нарийвчлан судалж үздэг.

4). Протоколын таних тэмдэг: DPI нь NPB-д сүлжээний траффик дотор ашиглагдаж буй тусгай протокол болон програмуудыг тодорхойлох боломжийг олгодог. Энэ нь HTTP, FTP, SMTP, DNS, VoIP, эсвэл видео дамжуулалтын протокол гэх мэт протоколуудыг илрүүлж, ангилах боломжтой.

5). Агуулгын шалгалт: DPI нь NPB-д багцын агуулгыг тодорхой загвар, гарын үсэг эсвэл түлхүүр үгээр шалгах боломжийг олгодог. Энэ нь хортой программ хангамж, вирус, халдлага хийх оролдлого, сэжигтэй үйл ажиллагаа гэх мэт сүлжээний аюулыг илрүүлэх боломжийг олгодог. DPI нь контентыг шүүх, сүлжээний бодлогыг хэрэгжүүлэх, мэдээллийн нийцлийн зөрчлийг илрүүлэхэд ашиглаж болно.

6). Мета өгөгдлийг задлах: DPI үед NPB нь пакетуудаас холбогдох мета өгөгдлийг гаргаж авдаг. Үүнд эх сурвалж болон очих газрын IP хаяг, портын дугаар, сессийн мэдээлэл, гүйлгээний өгөгдөл эсвэл бусад холбогдох шинж чанарууд зэрэг мэдээлэл багтаж болно.

7). Хөдөлгөөний чиглүүлэлт эсвэл шүүлт: DPI шинжилгээнд үндэслэн NPB нь хамгаалалтын хэрэгсэл, хяналтын хэрэгсэл эсвэл аналитик платформ зэрэг цаашдын боловсруулалтанд зориулж тодорхой пакетуудыг зориулалтын газар руу чиглүүлж болно. Энэ нь мөн тодорхойлсон агуулга эсвэл загвар дээр үндэслэн пакетуудыг устгах эсвэл дахин чиглүүлэхийн тулд шүүлтүүрийн дүрмийг хэрэглэж болно.

ML-NPB-5660 3d


Шуудангийн цаг: 2023 оны 6-р сарын 25-ны хооронд