Гүн пакетийн үзлэг (DPI)нь сүлжээний пакетийн агуулгыг нарийн түвшинд шалгаж, шинжлэхэд Сүлжээний пакет зуучлагчид (NPB) ашигладаг технологи юм. Энэ нь сүлжээний урсгалын талаар дэлгэрэнгүй мэдээлэл авахын тулд пакет доторх ачаалал, толгой хэсэг болон бусад протоколын онцлог мэдээллийг шалгахыг хамардаг.
DPI нь энгийн толгойн шинжилгээнээс давж, сүлжээгээр урсаж буй өгөгдлийн талаар гүнзгий ойлголт өгөх боломжийг олгодог. Энэ нь HTTP, FTP, SMTP, VoIP эсвэл видео урсгалын протокол зэрэг програмын давхаргын протоколуудыг гүнзгий шалгах боломжийг олгодог. Пакет доторх бодит агуулгыг шалгаснаар DPI нь тодорхой програмууд, протоколууд эсвэл бүр тодорхой өгөгдлийн хэв маягийг илрүүлж, тодорхойлж чаддаг.
Эх сурвалжийн хаяг, очих хаяг, эх сурвалжийн порт, очих порт, протоколын төрлүүдийн шаталсан шинжилгээнээс гадна DPI нь янз бүрийн програмууд болон тэдгээрийн агуулгыг тодорхойлохын тулд програмын давхаргын шинжилгээг нэмдэг. 1P пакет, TCP эсвэл UDP өгөгдөл DPI технологид суурилсан зурвасын өргөний удирдлагын системээр дамжих үед систем нь 1P пакетийн ачааллын агуулгыг уншиж, OSI Layer 7 протокол дахь програмын давхаргын мэдээллийг дахин зохион байгуулж, програмын бүхэл бүтэн агуулгыг авч, дараа нь системийн тодорхойлсон удирдлагын бодлогын дагуу урсгалыг хэлбэржүүлдэг.
DPI хэрхэн ажилладаг вэ?
Уламжлалт галт хана нь их хэмжээний урсгал дээр бодит цагийн нарийн шалгалт хийх боловсруулах хүч дутмаг байдаг. Технологи хөгжихийн хэрээр толгой болон өгөгдлийг шалгах илүү нарийн төвөгтэй шалгалт хийхэд DPI ашиглаж болно. Ерөнхийдөө халдлага илрүүлэх системтэй галт хана нь ихэвчлэн DPI ашигладаг. Дижитал мэдээлэл хамгийн чухал болсон ертөнцөд дижитал мэдээлэл бүрийг интернетээр жижиг пакетуудаар дамжуулдаг. Үүнд имэйл, аппликейшнаар илгээсэн мессеж, зочилсон вэбсайтууд, видео яриа гэх мэт орно. Бодит өгөгдлөөс гадна эдгээр пакетуудад урсгалын эх үүсвэр, контент, очих газар болон бусад чухал мэдээллийг тодорхойлдог мета өгөгдөл багтдаг. Пакет шүүлтүүрийн технологийн тусламжтайгаар өгөгдлийг тасралтгүй хянаж, зөв газарт нь дамжуулж байгаа эсэхийг баталгаажуулах боломжтой. Гэхдээ сүлжээний аюулгүй байдлыг хангахын тулд уламжлалт пакет шүүлтүүр нь хангалтгүй юм. Сүлжээний менежментийн гүнзгий пакет шалгалтын зарим үндсэн аргуудыг доор жагсаав.
Тохирох горим/Гарын үсэг
Халдлага илрүүлэх систем (IDS) чадвартай галт хана нь пакет бүрийг мэдэгдэж буй сүлжээний халдлагын мэдээллийн сантай тохирч байгаа эсэхийг шалгадаг. IDS нь мэдэгдэж буй хортой тодорхой хэв маягийг хайж, хортой хэв маяг олдсон үед урсгалыг идэвхгүй болгодог. Гарын үсэг тохируулах бодлогын сул тал нь зөвхөн байнга шинэчлэгддэг гарын үсэгт хамаарна. Нэмж дурдахад, энэ технологи нь зөвхөн мэдэгдэж буй аюул заналхийлэл эсвэл халдлагаас хамгаалж чадна.
Протоколын онцгой тохиолдол
Протоколын үл хамаарах арга нь гарын үсгийн мэдээллийн сантай тохирохгүй бүх өгөгдлийг зөвшөөрдөггүй тул IDS галт ханын ашигладаг протоколын үл хамаарах арга нь загвар/гарын үсэг тохируулах аргын төрөлхийн дутагдалтай талуудтай байдаггүй. Үүний оронд анхдагч татгалзах бодлогыг ашигладаг. Протоколын тодорхойлолтоор галт хана нь ямар урсгалыг зөвшөөрөх ёстойг шийдэж, сүлжээг үл мэдэгдэх аюулаас хамгаалдаг.
Халдлагаас урьдчилан сэргийлэх систем (IPS)
IPS шийдлүүд нь хортой пакетуудын дамжуулалтыг тэдгээрийн агуулгад үндэслэн хааж, улмаар сэжигтэй халдлагыг бодит цаг хугацаанд зогсоох боломжтой. Энэ нь хэрэв пакет нь мэдэгдэж буй аюулгүй байдлын эрсдэлийг илэрхийлж байвал IPS нь тодорхой дүрмийн дагуу сүлжээний урсгалыг урьдчилан сэргийлэх байдлаар хаах болно гэсэн үг юм. IPS-ийн нэг сул тал бол кибер аюулын мэдээллийн санг шинэ аюул заналхийллийн талаарх дэлгэрэнгүй мэдээлэл, хуурамч эерэг үр дүнгийн магадлалаар тогтмол шинэчлэх шаардлагатай байдаг. Гэхдээ энэ аюулыг консерватив бодлого, захиалгат босгыг бий болгох, сүлжээний бүрэлдэхүүн хэсгүүдийн зохих суурь зан төлөвийг тогтоох, хяналт, сэрэмжлүүлгийг сайжруулахын тулд анхааруулга, мэдээлэгдсэн үйл явдлуудыг үе үе үнэлэх замаар бууруулж болно.
1- Сүлжээний пакет брокер дахь DPI (Гүн пакет шалгалт)
"Гүнзгий" гэдэг нь түвшин ба ердийн пакет шинжилгээний харьцуулалт бөгөөд "ердийн пакет шалгалт" нь зөвхөн IP пакет 4-р давхаргын шинжилгээнд эх үүсвэрийн хаяг, очих хаяг, эх үүсвэрийн порт, очих порт болон протоколын төрөл, DPI-г багтаасан бөгөөд шаталсан шинжилгээнээс бусад тохиолдолд хэрэглээний давхаргын шинжилгээг сайжруулж, янз бүрийн програмууд болон агуулгыг тодорхойлж, үндсэн функцуудыг хэрэгжүүлнэ.
1) Хэрэглээний шинжилгээ -- сүлжээний урсгалын найрлагын шинжилгээ, гүйцэтгэлийн шинжилгээ, урсгалын шинжилгээ
2) Хэрэглэгчийн шинжилгээ -- хэрэглэгчийн бүлгийн ялгаварлан гадуурхалт, зан үйлийн шинжилгээ, эцсийн дүн шинжилгээ, чиг хандлагын шинжилгээ гэх мэт.
3) Сүлжээний элементүүдийн шинжилгээ -- бүс нутгийн шинж чанарууд (хот, дүүрэг, гудамж гэх мэт) болон суурь станцын ачаалалд үндэслэсэн шинжилгээ
4) Замын хөдөлгөөний хяналт -- P2P хурдны хязгаарлалт, QoS баталгаажуулалт, зурвасын өргөн баталгаажуулалт, сүлжээний нөөцийн оновчлол гэх мэт.
5) Аюулгүй байдлын баталгаа -- DDoS халдлага, өгөгдөл дамжуулах шуурга, хортой вирусын халдлагаас урьдчилан сэргийлэх гэх мэт.
2- Сүлжээний хэрэглээний ерөнхий ангилал
Өнөөдөр Интернет дээр тоо томшгүй олон програмууд байдаг ч нийтлэг вэб програмууд нь бүрэн гүйцэд байж болно.
Миний мэдэхийн хамгийн шилдэг апп таних компани бол Huawei бөгөөд 4000 апп танидаг гэж мэдэгддэг. Протоколын шинжилгээ нь олон галт ханын компаниудын (Huawei, ZTE гэх мэт) үндсэн модуль бөгөөд бусад функциональ модулиудыг хэрэгжүүлэх, програмыг үнэн зөв тодорхойлох, бүтээгдэхүүний гүйцэтгэл, найдвартай байдлыг эрс сайжруулахад дэмжлэг үзүүлдэг маш чухал модуль юм. Миний одоо хийж байгаачлан сүлжээний урсгалын шинж чанарт үндэслэн хортой програмыг таних загварчлалд протоколыг үнэн зөв, өргөн хүрээнд тодорхойлох нь бас маш чухал юм. Компанийн экспортын урсгалаас нийтлэг програмуудын сүлжээний урсгалыг хасвал үлдсэн урсгал нь бага хувийг эзлэх бөгөөд энэ нь хортой програмын шинжилгээ, дохиололд илүү тохиромжтой.
Миний туршлага дээр үндэслэн одоо түгээмэл хэрэглэгддэг програмуудыг тэдгээрийн чиг үүргийн дагуу ангилдаг:
Жич: Өргөдлийн ангиллын талаарх хувийн ойлголтын дагуу танд ямар нэгэн сайн санал байвал мессеж үлдээж болно.
1). И-мэйл
2). Видео
3). Тоглоомууд
4). Оффисын OA анги
5). Програм хангамжийн шинэчлэлт
6). Санхүүгийн (банк, Alipay)
7). Хувьцаа
8). Нийгмийн харилцаа холбоо (IM програм хангамж)
9). Вэб үзэх (магадгүй URL-үүдээр илүү сайн тодорхойлогддог байх)
10). Татаж авах хэрэгслүүд (вэб диск, P2P татаж авах, BT холбоотой)
Дараа нь, DPI (Deep Packet Inspection) нь NPB дээр хэрхэн ажилладаг вэ:
1). Пакет барих: NPB нь унтраалга, чиглүүлэгч эсвэл цорго гэх мэт янз бүрийн эх үүсвэрээс сүлжээний урсгалыг барьж авдаг. Энэ нь сүлжээгээр урсаж буй пакетуудыг хүлээн авдаг.
2). Пакет задлан шинжлэх: Баригдсан пакетуудыг NPB задлан шинжилж, янз бүрийн протоколын давхаргууд болон холбогдох өгөгдлийг гаргаж авдаг. Энэхүү задлан шинжлэх үйл явц нь пакет доторх Ethernet толгой, IP толгой, тээврийн давхаргын толгой (жишээ нь, TCP эсвэл UDP) болон програмын давхаргын протоколууд гэх мэт өөр өөр бүрэлдэхүүн хэсгүүдийг тодорхойлоход тусалдаг.
3). Ачааллын шинжилгээ: DPI-ийн тусламжтайгаар NPB нь толгой хэсгийн шалгалтаас хальж, пакет доторх бодит өгөгдлийг оролцуулан ачааны ачаалалд анхаарлаа хандуулдаг. Энэ нь холбогдох мэдээллийг гаргаж авахын тулд ашигласан програм эсвэл протоколоос үл хамааран ачааны агуулгыг гүнзгийрүүлэн шалгадаг.
4). Протокол таних: DPI нь NPB-д сүлжээний урсгал дотор ашиглагдаж буй тодорхой протокол болон програмуудыг тодорхойлох боломжийг олгодог. Энэ нь HTTP, FTP, SMTP, DNS, VoIP эсвэл видео урсгалын протоколууд зэрэг протоколуудыг илрүүлж, ангилж чаддаг.
5). Агуулгын шалгалт: DPI нь NPB-д пакетуудын агуулгыг тодорхой хэв маяг, гарын үсэг эсвэл түлхүүр үг байгаа эсэхийг шалгах боломжийг олгодог. Энэ нь хортой програм хангамж, вирус, халдлагын оролдлого, эсвэл сэжигтэй үйл ажиллагаа зэрэг сүлжээний аюул заналыг илрүүлэх боломжийг олгодог. DPI-г мөн контентыг шүүх, сүлжээний бодлогыг хэрэгжүүлэх, эсвэл өгөгдлийн нийцлийн зөрчлийг тодорхойлоход ашиглаж болно.
6). Мета өгөгдлийг гаргаж авах: DPI-ийн үед NPB нь пакетуудаас холбогдох мета өгөгдлийг гаргаж авдаг. Үүнд эх үүсвэр болон очих IP хаяг, портын дугаар, сессийн дэлгэрэнгүй мэдээлэл, гүйлгээний өгөгдөл эсвэл бусад холбогдох шинж чанарууд зэрэг мэдээлэл орж болно.
7). Траффикийн чиглүүлэлт эсвэл шүүлтүүр: DPI шинжилгээнд үндэслэн NPB нь тодорхой пакетуудыг аюулгүй байдлын хэрэгсэл, хяналтын хэрэгсэл эсвэл аналитик платформ гэх мэт цаашид боловсруулах зорилгоор тогтоосон чиглэл рүү чиглүүлж чадна. Мөн тодорхойлсон контент эсвэл хэв маягт үндэслэн пакетуудыг хаях эсвэл дахин чиглүүлэхийн тулд шүүлтүүрийн дүрмийг ашиглаж болно.
Нийтэлсэн цаг: 2023 оны 6-р сарын 25
