Network Packet Broker Application Identification Base sa DPI – Deep Packet Inspection

Deep Packet Inspection (DPI)maoy usa ka teknolohiya nga gigamit sa Network Packet Brokers (NPBs) sa pagsusi ug pag-analisar sa sulod sa mga network packet sa granular nga lebel. Naglakip kini sa pagsusi sa payload, mga ulohan, ug uban pang impormasyon nga piho sa protocol sulod sa mga pakete aron makakuha og detalyadong mga panabut sa trapiko sa network.

Ang DPI labaw pa sa yano nga pagtuki sa header ug naghatag usa ka lawom nga pagsabut sa datos nga nag-agay sa usa ka network. Gitugotan niini ang lawom nga pagsusi sa mga protocol sa layer sa aplikasyon, sama sa HTTP, FTP, SMTP, VoIP, o mga protocol sa streaming sa video. Pinaagi sa pagsusi sa aktuwal nga sulod sulod sa mga pakete, ang DPI makamatikod ug makaila sa mga piho nga aplikasyon, protocol, o bisan sa piho nga mga sumbanan sa datos.

Dugang pa sa hierarchical analysis sa source addresses, destination addresses, source ports, destination ports, ug protocol type, ang DPI usab midugang sa application-layer analysis aron mailhan ang lain-laing aplikasyon ug ang sulod niini. Kung ang 1P packet, TCP o UDP data modagayday pinaagi sa bandwidth management system base sa DPI nga teknolohiya, ang sistema magbasa sa sulod sa 1P packet load aron maorganisar pag-usab ang application layer nga impormasyon sa OSI Layer 7 protocol, aron makuha ang sulod sa ang tibuok nga programa sa aplikasyon, ug dayon paghulma sa trapiko sumala sa polisiya sa pagdumala nga gihubit sa sistema.

Giunsa pagtrabaho ang DPI?

Ang tradisyonal nga mga firewall kasagaran kulang sa gahum sa pagproseso sa paghimo sa hingpit nga real-time nga mga pagsusi sa daghang mga volume sa trapiko. Sa pag-uswag sa teknolohiya, ang DPI mahimong magamit sa paghimo sa mas komplikado nga mga pagsusi aron masusi ang mga ulohan ug datos. Kasagaran, ang mga firewall nga adunay mga intrusion detection system kanunay nga naggamit sa DPI. Sa usa ka kalibutan diin ang digital nga impormasyon mao ang Labaw sa tanan, ang matag piraso sa digital nga impormasyon gihatag sa Internet sa gagmay nga mga pakete. Naglakip kini sa email, mga mensahe nga gipadala pinaagi sa app, mga website nga gibisita, mga panag-istoryahanay sa video, ug uban pa. Dugang pa sa aktuwal nga datos, kini nga mga pakete naglakip sa metadata nga nagpaila sa tinubdan sa trapiko, sulod, destinasyon, ug uban pang importanteng impormasyon. Uban sa teknolohiya sa pagsala sa pakete, ang datos mahimong padayon nga mamonitor ug madumala aron masiguro nga kini mapasa sa husto nga lugar. Apan aron masiguro ang seguridad sa network, ang tradisyonal nga pagsala sa pakete dili igo. Ang pipila sa mga nag-unang pamaagi sa lawom nga pag-inspeksyon sa pakete sa pagdumala sa network gilista sa ubos:

Pagpares nga Mode/Signature

Ang matag pakete gisusi alang sa usa ka tugma batok sa usa ka database sa nahibal-an nga mga pag-atake sa network sa usa ka firewall nga adunay mga kapabilidad sa intrusion detection system (IDS). Gipangita sa IDS ang nahibal-an nga malisyosong piho nga mga sumbanan ug gibabagan ang trapiko kung makit-an ang mga malisyoso nga sumbanan. Ang disbentaha sa palisiya sa pagpares sa pirma mao nga kini magamit lamang sa mga pirma nga kanunay nga gi-update. Dugang pa, kini nga teknolohiya makapanalipod lamang batok sa nahibal-an nga mga hulga o pag-atake.

DPI

Protocol Exception

Tungod kay ang protocol exception technique dili basta-basta motugot sa tanang data nga dili motakdo sa signature database, ang protocol exception technique nga gigamit sa IDS firewall walay mga depekto sa pattern/signature matching method. Hinuon, gisagop niini ang default nga palisiya sa pagsalikway. Pinaagi sa kahulugan sa protocol, ang mga firewall nagdesisyon kung unsang trapiko ang kinahanglan tugutan ug panalipdan ang network gikan sa wala mailhi nga mga hulga.

Intrusion Prevention System (IPS)

Ang mga solusyon sa IPS mahimong makababag sa pagpadala sa makadaot nga mga pakete base sa ilang sulud, sa ingon mapahunong ang gidudahang mga pag-atake sa tinuud nga oras. Kini nagpasabut nga kung ang usa ka pakete nagrepresentar sa usa ka nahibal-an nga peligro sa seguridad, ang IPS aktibo nga mag-block sa trapiko sa network base sa usa ka gitakda nga hugpong sa mga lagda. Usa ka disbentaha sa IPS mao ang panginahanglan sa kanunay nga pag-update sa database sa hulga sa cyber nga adunay mga detalye bahin sa mga bag-ong hulga, ug ang posibilidad sa mga sayup nga positibo. Apan kini nga kapeligrohan mahimong maminusan pinaagi sa paghimo sa konserbatibo nga mga palisiya ug naandan nga mga sukaranan, pag-establisar sa angay nga pamatasan sa baseline alang sa mga sangkap sa network, ug matag karon nga pagtimbangtimbang sa mga pasidaan ug gitaho nga mga panghitabo aron mapauswag ang pag-monitor ug pag-alerto.

1- Ang DPI (Deep Packet Inspection) sa Network Packet Broker

Ang "lawom" mao ang lebel ug ordinaryo nga packet analysis pagtandi, "ordinaryong packet inspection" lamang ang mosunod nga pagtuki sa IP packet 4 layer, lakip ang source address, destination address, source port, destination port ug protocol type, ug DPI gawas sa hierarchical pagtuki, usab sa pagdugang sa aplikasyon layer pagtuki, pag-ila sa lain-laing mga aplikasyon ug sulod, sa pagkaamgo sa mga nag-unang mga gimbuhaton:

1) Pagtuki sa Aplikasyon -- pagtuki sa komposisyon sa trapiko sa network, pagtuki sa pasundayag, ug pagtuki sa dagan

2) Pagtuki sa Gumagamit -- pagkalainlain sa grupo sa tiggamit, pagtuki sa pamatasan, pagtuki sa terminal, pagtuki sa uso, ug uban pa.

3) Pagtuki sa Elemento sa Network -- pagtuki base sa rehiyonal nga mga hiyas (siyudad, distrito, dalan, ug uban pa) ug karga sa base station

4) Pagkontrol sa Trapiko -- P2P speed limiting, QoS assurance, bandwidth assurance, network resource optimization, etc.

5) Kasegurohan sa Seguridad -- Pag-atake sa DDoS, bagyo sa pagsibya sa datos, pagpugong sa mga pag-atake sa malisyosong virus, ug uban pa.

2- Kinatibuk-ang Klasipikasyon sa mga Aplikasyon sa Network

Karon adunay dili maihap nga mga aplikasyon sa Internet, apan ang kasagaran nga mga aplikasyon sa web mahimong kompleto.

Sa akong nahibal-an, ang labing kaayo nga kompanya sa pag-ila sa app mao ang Huawei, nga nag-angkon nga nakaila sa 4,000 nga mga aplikasyon. Ang pag-analisa sa protocol mao ang sukaranan nga module sa daghang mga kompanya sa firewall (Huawei, ZTE, ug uban pa), ug kini usa usab ka hinungdanon nga module, nga nagsuporta sa katumanan sa uban pang mga functional module, tukma nga pag-ila sa aplikasyon, ug labi nga nagpauswag sa pasundayag ug kasaligan sa mga produkto. Sa pagmodelo sa pag-ila sa malware base sa mga kinaiya sa trapiko sa network, sama sa akong gibuhat karon, ang tukma ug halapad nga pag-ila sa protocol importante usab kaayo. Wala’y labot ang trapiko sa network sa mga sagad nga aplikasyon gikan sa trapiko sa pag-eksport sa kompanya, ang nahabilin nga trapiko mag-asoy sa gamay nga proporsiyon, nga mas maayo alang sa pag-analisar sa malware ug alarma.

Base sa akong kasinatian, ang kasamtangan nga kasagarang gigamit nga mga aplikasyon giklasipikar sumala sa ilang mga gimbuhaton:

PS: Sumala sa personal nga pagsabot sa klasipikasyon sa aplikasyon, aduna kay maayong mga sugyot nga giabi-abi sa pagbilin ug sugyot sa mensahe

1). E-mail

2). Video

3). Mga dula

4). Opisina sa OA nga klase

5). Pag-update sa software

6). Pinansyal (bangko, Alipay)

7). Mga stock

8). Sosyal nga Komunikasyon (IM software)

9). Pag-browse sa web (tingali mas maayo nga giila sa mga URL)

10). Mga himan sa pag-download (web disk, pag-download sa P2P, may kalabotan sa BT)

20191210153150_32811

Unya, kung giunsa ang pagtrabaho sa DPI (Deep Packet Inspection) sa usa ka NPB:

1). Pagkuha sa Packet: Gikuha sa NPB ang trapiko sa network gikan sa lainlaing mga gigikanan, sama sa mga switch, router, o gripo. Nakadawat kini og mga packet nga nagdagayday sa network.

2). Packet Parsing: Ang nakuha nga mga packet gi-parse sa NPB aron makuha ang lainlaing mga layer sa protocol ug kauban nga datos. Kini nga proseso sa pag-parse makatabang sa pag-ila sa lain-laing mga sangkap sulod sa mga pakete, sama sa Ethernet header, IP header, transport layer header (eg, TCP o UDP), ug application layer protocols.

3). Pag-analisar sa Payload: Uban sa DPI, ang NPB labaw pa sa pag-inspeksyon sa header ug nagpunting sa payload, lakip ang aktwal nga datos sa sulod sa mga pakete. Kini nagsusi sa payload sulod sa lawom nga, sa walay pagtagad sa aplikasyon o protocol nga gigamit, sa pagkuha sa may kalabutan nga impormasyon.

4). Pag-ila sa Protocol: Gitugotan sa DPI ang NPB nga mailhan ang piho nga mga protocol ug aplikasyon nga gigamit sulod sa trapiko sa network. Kini makamatikod ug makaklasipikar sa mga protocol sama sa HTTP, FTP, SMTP, DNS, VoIP, o mga video streaming protocol.

5). Pag-inspeksyon sa Kontento: Gitugotan sa DPI ang NPB nga susihon ang sulud sa mga pakete alang sa piho nga mga sumbanan, pirma, o mga keyword. Makapahimo kini nga makit-an ang mga hulga sa network, sama sa malware, mga virus, pagsulay sa pagsulod, o mga kadudahang kalihokan. Magamit usab ang DPI alang sa pagsala sa sulud, pagpatuman sa mga palisiya sa network, o pag-ila sa mga paglapas sa pagsunod sa datos.

6). Pagkuha sa Metadata: Atol sa DPI, ang NPB nagkuha sa may kalabutan nga metadata gikan sa mga pakete. Mahimong maglakip kini sa kasayuran sama sa gigikanan ug destinasyon nga mga IP address, mga numero sa pantalan, mga detalye sa sesyon, datos sa transaksyon, o bisan unsang uban pang may kalabutan nga mga kinaiya.

7). Pag-ruta o Pagsala sa Trapiko: Base sa pagtuki sa DPI, ang NPB mahimong magruta sa mga piho nga pakete ngadto sa gitudlo nga mga destinasyon alang sa dugang nga pagproseso, sama sa mga kasangkapan sa seguridad, mga himan sa pagmonitor, o mga plataporma sa analytics. Mahimo usab kini nga magamit ang mga lagda sa pagsala aron isalikway o i-redirect ang mga pakete base sa giila nga sulud o sumbanan.

ML-NPB-5660 3d


Oras sa pag-post: Hun-25-2023