Derin Paket İncelemesi ((DPI)Ağ Paket Aracılarında (NPB'ler) ağ paketlerinin içeriğini ayrıntılı düzeyde incelemek ve analiz etmek için kullanılan bir teknolojidir. Paketlerdeki yük, başlıklar ve diğer protokole özgü bilgilerin incelenmesini ve ağ trafiği hakkında ayrıntılı bilgi edinilmesini içerir.
DPI, basit başlık analizinin ötesine geçerek, bir ağ üzerinden akan verilerin derinlemesine anlaşılmasını sağlar. HTTP, FTP, SMTP, VoIP veya video akışı protokolleri gibi uygulama katmanı protokollerinin derinlemesine incelenmesine olanak tanır. Paketlerin içindeki gerçek içeriği inceleyerek DPI, belirli uygulamaları, protokolleri ve hatta belirli veri modellerini tespit edip tanımlayabilir.
Kaynak adresleri, hedef adresleri, kaynak bağlantı noktaları, hedef bağlantı noktaları ve protokol türlerinin hiyerarşik analizine ek olarak, DPI ayrıca çeşitli uygulamaları ve içeriklerini belirlemek için uygulama katmanı analizi de ekler. 1P paket, TCP veya UDP verileri DPI teknolojisine dayalı bant genişliği yönetim sisteminden geçtiğinde, sistem 1P paket yükünün içeriğini okuyarak OSI Katman 7 protokolündeki uygulama katmanı bilgilerini yeniden düzenler, böylece tüm uygulama programının içeriğini elde eder ve ardından trafiği sistem tarafından tanımlanan yönetim politikasına göre şekillendirir.
DPI nasıl çalışır?
Geleneksel güvenlik duvarları, büyük hacimli trafikte kapsamlı gerçek zamanlı kontroller gerçekleştirmek için genellikle yeterli işlem gücüne sahip değildir. Teknoloji ilerledikçe, DPI, başlıkları ve verileri kontrol etmek için daha karmaşık kontroller gerçekleştirmek üzere kullanılabilir. Genellikle, saldırı tespit sistemlerine sahip güvenlik duvarları genellikle DPI kullanır. Dijital bilginin en önemli olduğu bir dünyada, her dijital bilgi parçası internet üzerinden küçük paketler halinde iletilir. Bu, e-postaları, uygulama aracılığıyla gönderilen mesajları, ziyaret edilen web sitelerini, görüntülü görüşmeleri ve daha fazlasını içerir. Gerçek verilere ek olarak, bu paketler trafik kaynağını, içeriği, hedefi ve diğer önemli bilgileri tanımlayan meta verileri de içerir. Paket filtreleme teknolojisiyle, veriler doğru yere iletildiğinden emin olmak için sürekli olarak izlenebilir ve yönetilebilir. Ancak ağ güvenliğini sağlamak için geleneksel paket filtreleme yeterli olmaktan çok uzaktır. Ağ yönetiminde derin paket incelemesinin bazı temel yöntemleri aşağıda listelenmiştir:
Eşleştirme Modu/İmza
Her paket, saldırı tespit sistemi (IDS) özelliklerine sahip bir güvenlik duvarı tarafından bilinen ağ saldırıları veritabanıyla eşleşip eşleşmediği açısından kontrol edilir. IDS, bilinen kötü amaçlı belirli kalıpları arar ve kötü amaçlı kalıplar tespit edildiğinde trafiği devre dışı bırakır. İmza eşleştirme politikasının dezavantajı, yalnızca sık sık güncellenen imzalar için geçerli olmasıdır. Ayrıca, bu teknoloji yalnızca bilinen tehditlere veya saldırılara karşı koruma sağlayabilir.
Protokol İstisnası
Protokol istisna tekniği, imza veritabanıyla eşleşmeyen tüm verilere izin vermediği için, IDS güvenlik duvarı tarafından kullanılan protokol istisna tekniği, desen/imza eşleştirme yönteminin doğasında bulunan kusurlara sahip değildir. Bunun yerine, varsayılan reddetme politikasını benimser. Protokol tanımı gereği, güvenlik duvarları hangi trafiğe izin verileceğine karar verir ve ağı bilinmeyen tehditlerden korur.
Saldırı Önleme Sistemi (IPS)
IPS çözümleri, zararlı paketlerin iletimini içeriklerine göre engelleyerek şüpheli saldırıları gerçek zamanlı olarak durdurabilir. Bu, bir paket bilinen bir güvenlik riski oluşturuyorsa, IPS'nin tanımlanmış bir dizi kurala göre ağ trafiğini proaktif olarak engelleyeceği anlamına gelir. IPS'nin bir dezavantajı, yeni tehditler hakkındaki ayrıntılarla bir siber tehdit veritabanını düzenli olarak güncelleme ihtiyacı ve yanlış pozitif olasılığıdır. Ancak bu tehlike, muhafazakâr politikalar ve özel eşikler oluşturarak, ağ bileşenleri için uygun temel davranışlar belirleyerek ve izleme ve uyarıları geliştirmek için uyarıları ve bildirilen olayları periyodik olarak değerlendirerek azaltılabilir.
1- Network Packet Broker'da DPI (Derin Paket İncelemesi)
"Derin" seviye ve sıradan paket analizi karşılaştırmasıdır, "sıradan paket denetimi" yalnızca IP paketinin 4. katmanının kaynak adresi, hedef adresi, kaynak portu, hedef portu ve protokol türü ve DPI dahil olmak üzere hiyerarşik analizle birlikte aşağıdaki analizi yapar, ayrıca uygulama katmanı analizini artırır, çeşitli uygulamaları ve içeriği belirler, ana işlevleri gerçekleştirir:
1) Uygulama Analizi - ağ trafiği kompozisyon analizi, performans analizi ve akış analizi
2) Kullanıcı Analizi - kullanıcı grubu farklılaştırması, davranış analizi, terminal analizi, trend analizi, vb.
3) Ağ Elemanı Analizi - bölgesel özelliklere (şehir, ilçe, sokak vb.) ve baz istasyonu yüküne dayalı analiz
4) Trafik Kontrolü - P2P hız sınırlaması, QoS güvencesi, bant genişliği güvencesi, ağ kaynağı optimizasyonu, vb.
5) Güvenlik Güvencesi - DDoS saldırıları, veri yayın fırtınası, kötü amaçlı virüs saldırılarının önlenmesi, vb.
2- Ağ Uygulamalarının Genel Sınıflandırılması
Günümüzde internette sayısız uygulama bulunmaktadır, ancak yaygın web uygulamaları çok sayıda olabilir.
Bildiğim kadarıyla, en iyi uygulama tanıma şirketi, 4.000 uygulamayı tanıdığını iddia eden Huawei'dir. Protokol analizi, birçok güvenlik duvarı şirketinin (Huawei, ZTE vb.) temel modülüdür ve aynı zamanda diğer işlevsel modüllerin gerçekleştirilmesini, doğru uygulama tanımlamasını ve ürünlerin performansını ve güvenilirliğini büyük ölçüde iyileştirmesini destekleyen çok önemli bir modüldür. Şu anda yaptığım gibi, ağ trafiği özelliklerine göre kötü amaçlı yazılım tanımlama modellemesinde, doğru ve kapsamlı protokol tanımlaması da çok önemlidir. Şirketin dışa aktarım trafiğinden yaygın uygulamaların ağ trafiğini hariç tuttuğumuzda, kalan trafik küçük bir orana sahip olacaktır ve bu da kötü amaçlı yazılım analizi ve alarmı için daha iyidir.
Deneyimlerime dayanarak, yaygın olarak kullanılan mevcut uygulamalar işlevlerine göre sınıflandırılır:
PS: Uygulama sınıflandırmasının kişisel anlayışına göre, iyi önerileriniz varsa bir mesaj önerisi bırakmaktan memnuniyet duyarız.
1). E-posta
2). Video
3). Oyunlar
4). Office OA sınıfı
5). Yazılım güncellemesi
6). Finansal (banka, Alipay)
7). Hisse senetleri
8). Sosyal İletişim (IM yazılımı)
9). Web'de gezinme (muhtemelen URL'lerle daha iyi tanımlanabilir)
10). İndirme araçları (web diski, P2P indirme, BT ile ilgili)
Peki DPI (Derin Paket İncelemesi) NPB'de nasıl çalışır:
1). Paket Yakalama: NPB, anahtarlar, yönlendiriciler veya dinleme cihazları gibi çeşitli kaynaklardan gelen ağ trafiğini yakalar. Ağ üzerinden akan paketleri alır.
2). Paket Ayrıştırma: Yakalanan paketler, çeşitli protokol katmanlarını ve ilişkili verileri çıkarmak için NPB tarafından ayrıştırılır. Bu ayrıştırma işlemi, paketlerdeki Ethernet başlıkları, IP başlıkları, taşıma katmanı başlıkları (örneğin TCP veya UDP) ve uygulama katmanı protokolleri gibi farklı bileşenlerin tanımlanmasına yardımcı olur.
3). Yük Analizi: DPI ile NPB, başlık incelemesinin ötesine geçerek paketlerdeki gerçek veriler de dahil olmak üzere yüke odaklanır. Kullanılan uygulama veya protokolden bağımsız olarak, ilgili bilgileri çıkarmak için yük içeriğini derinlemesine inceler.
4). Protokol Tanımlama: DPI, NPB'nin ağ trafiğinde kullanılan belirli protokolleri ve uygulamaları tanımlamasını sağlar. HTTP, FTP, SMTP, DNS, VoIP veya video akışı protokolleri gibi protokolleri tespit edip sınıflandırabilir.
5). İçerik Denetimi: DPI, NPB'nin paketlerin içeriğini belirli kalıplar, imzalar veya anahtar sözcükler açısından incelemesine olanak tanır. Bu, kötü amaçlı yazılımlar, virüsler, izinsiz giriş girişimleri veya şüpheli etkinlikler gibi ağ tehditlerinin tespit edilmesini sağlar. DPI ayrıca içerik filtreleme, ağ politikalarını uygulama veya veri uyumluluğu ihlallerini belirleme için de kullanılabilir.
6). Meta Veri Çıkarımı: DPI sırasında, NPB paketlerden ilgili meta verileri çıkarır. Bu, kaynak ve hedef IP adresleri, bağlantı noktası numaraları, oturum ayrıntıları, işlem verileri veya diğer ilgili nitelikler gibi bilgileri içerebilir.
7). Trafik Yönlendirme veya Filtreleme: DPI analizine dayanarak, NPB belirli paketleri güvenlik cihazları, izleme araçları veya analiz platformları gibi daha ileri işlemler için belirlenmiş hedeflere yönlendirebilir. Ayrıca, belirlenen içerik veya kalıplara göre paketleri atmak veya yönlendirmek için filtreleme kuralları uygulayabilir.
Gönderi zamanı: 25 Haz 2023
