Derin Paket Denetimi (DPI)Ağ paketlerinin içeriğini ayrıntılı düzeyde incelemek ve analiz etmek için Ağ Paket Aracılarında (NPB'ler) kullanılan bir teknolojidir. Ağ trafiğine ilişkin ayrıntılı bilgiler elde etmek için paketlerdeki yükün, başlıkların ve diğer protokole özgü bilgilerin incelenmesini içerir.
DPI, basit başlık analizinin ötesine geçer ve bir ağ üzerinden akan verilerin derinlemesine anlaşılmasını sağlar. HTTP, FTP, SMTP, VoIP veya video akışı protokolleri gibi uygulama katmanı protokollerinin derinlemesine incelenmesine olanak tanır. DPI, paketlerin içindeki gerçek içeriği inceleyerek belirli uygulamaları, protokolleri ve hatta belirli veri modellerini tespit edip tanımlayabilir.
Kaynak adreslerinin, hedef adreslerin, kaynak bağlantı noktalarının, hedef bağlantı noktalarının ve protokol türlerinin hiyerarşik analizine ek olarak DPI, çeşitli uygulamaları ve içeriklerini tanımlamak için uygulama katmanı analizini de ekler. 1P paket, TCP veya UDP verileri, DPI teknolojisine dayalı bant genişliği yönetim sistemi üzerinden aktığında, sistem, OSI Katman 7 protokolündeki uygulama katmanı bilgilerini yeniden düzenlemek için 1P paket yükünün içeriğini okur. uygulama programının tamamının oluşturulması ve ardından sistemin tanımladığı yönetim politikasına göre trafiğin şekillendirilmesi.
DPI nasıl çalışır?
Geleneksel güvenlik duvarları genellikle büyük hacimli trafik üzerinde kapsamlı gerçek zamanlı kontroller gerçekleştirecek işlem gücünden yoksundur. Teknoloji ilerledikçe DPI, başlıkları ve verileri kontrol etmek amacıyla daha karmaşık kontroller gerçekleştirmek için kullanılabilir. Tipik olarak, izinsiz giriş tespit sistemlerine sahip güvenlik duvarları sıklıkla DPI kullanır. Dijital bilginin öncelikli olduğu bir dünyada, her dijital bilgi parçası küçük paketler halinde İnternet üzerinden iletilmektedir. Buna e-posta, uygulama aracılığıyla gönderilen mesajlar, ziyaret edilen web siteleri, görüntülü konuşmalar ve daha fazlası dahildir. Bu paketler, gerçek verilere ek olarak trafik kaynağını, içeriğini, hedefini ve diğer önemli bilgileri tanımlayan meta verileri içerir. Paket filtreleme teknolojisi ile veriler sürekli olarak izlenebiliyor ve yönetilebiliyor ve doğru yere iletilmesi sağlanıyor. Ancak ağ güvenliğini sağlamak için geleneksel paket filtreleme yeterli olmaktan uzaktır. Ağ yönetiminde derin paket incelemesinin ana yöntemlerinden bazıları aşağıda listelenmiştir:
Eşleştirme Modu/İmza
Her paket, izinsiz giriş tespit sistemi (IDS) özelliklerine sahip bir güvenlik duvarı tarafından, bilinen ağ saldırılarından oluşan bir veritabanıyla eşleşme açısından kontrol edilir. IDS, bilinen kötü amaçlı belirli kalıpları arar ve kötü amaçlı kalıplar bulunduğunda trafiği devre dışı bırakır. İmza eşleştirme ilkesinin dezavantajı yalnızca sık sık güncellenen imzalara uygulanmasıdır. Ayrıca bu teknoloji yalnızca bilinen tehditlere veya saldırılara karşı savunma yapabilmektedir.
Protokol İstisnası
Protokol istisna tekniği, imza veritabanıyla eşleşmeyen tüm verilere izin vermediğinden, IDS güvenlik duvarı tarafından kullanılan protokol istisna tekniği, model/imza eşleştirme yönteminin doğasında olan kusurlara sahip değildir. Bunun yerine varsayılan reddetme politikasını benimser. Protokol tanımı gereği, güvenlik duvarları hangi trafiğe izin verilmesi gerektiğine karar verir ve ağı bilinmeyen tehditlere karşı korur.
İzinsiz Giriş Önleme Sistemi (IPS)
IPS çözümleri, zararlı paketlerin aktarımını içeriklerine göre engelleyerek şüpheli saldırıları gerçek zamanlı olarak durdurabilir. Bu, bir paketin bilinen bir güvenlik riskini temsil etmesi durumunda IPS'nin, tanımlanmış bir dizi kurala göre ağ trafiğini proaktif olarak engelleyeceği anlamına gelir. IPS'nin bir dezavantajı, bir siber tehdit veritabanını yeni tehditler ve yanlış pozitif olasılıklarla ilgili ayrıntılarla düzenli olarak güncelleme ihtiyacıdır. Ancak bu tehlike, ihtiyatlı politikalar ve özel eşikler oluşturarak, ağ bileşenleri için uygun temel davranışı belirleyerek ve izleme ve uyarıyı geliştirmek için uyarıları ve bildirilen olayları periyodik olarak değerlendirerek hafifletilebilir.
1- Network Packet Broker'daki DPI (Derin Paket Denetimi)
"Derin" seviye ve sıradan paket analizi karşılaştırmasıdır, "sıradan paket incelemesi" yalnızca kaynak adresi, hedef adresi, kaynak bağlantı noktası, hedef bağlantı noktası ve protokol türü ve hiyerarşik olanlar hariç DPI dahil olmak üzere IP paketi 4 katmanının aşağıdaki analizidir. analiz, ayrıca ana işlevleri gerçekleştirmek için uygulama katmanı analizini artırdı, çeşitli uygulamaları ve içerikleri belirledi:
1) Uygulama Analizi - ağ trafiği kompozisyon analizi, performans analizi ve akış analizi
2) Kullanıcı Analizi - kullanıcı grubu farklılaşması, davranış analizi, terminal analizi, trend analizi vb.
3) Ağ Elemanı Analizi - bölgesel özelliklere (şehir, ilçe, cadde vb.) ve baz istasyonu yüküne dayalı analiz
4) Trafik Kontrolü - P2P hız sınırlaması, QoS güvencesi, bant genişliği güvencesi, ağ kaynağı optimizasyonu vb.
5) Güvenlik Güvencesi - DDoS saldırıları, veri yayını fırtınası, kötü niyetli virüs saldırılarının önlenmesi vb.
2- Ağ Uygulamalarının Genel Sınıflandırılması
Bugün internette sayısız uygulama var, ancak yaygın web uygulamaları kapsamlı olabilir.
Bildiğim kadarıyla en iyi uygulama tanıma şirketi 4.000 uygulamayı tanıdığını iddia eden Huawei. Protokol analizi, birçok güvenlik duvarı şirketinin (Huawei, ZTE, vb.) temel modülüdür ve aynı zamanda diğer işlevsel modüllerin gerçekleştirilmesini, doğru uygulama tanımlamasını destekleyen ve ürünlerin performansını ve güvenilirliğini büyük ölçüde artıran çok önemli bir modüldür. Kötü amaçlı yazılım tanımlamanın ağ trafiği özelliklerine göre modellenmesinde, şu anda yaptığım gibi, doğru ve kapsamlı protokol tanımlaması da çok önemlidir. Ortak uygulamaların ağ trafiğini şirketin ihracat trafiğinden hariç tutarsak, kalan trafik küçük bir oran oluşturacaktır; bu da kötü amaçlı yazılım analizi ve alarmı için daha iyidir.
Deneyimlerime dayanarak, mevcut yaygın olarak kullanılan uygulamalar işlevlerine göre sınıflandırılmaktadır:
Not: Uygulama sınıflandırmasının kişisel anlayışına göre, herhangi bir iyi öneriniz varsa, mesaj teklifini bırakabilirsiniz.
1). E-posta
2). Video
3). Oyunlar
4). Ofis OA sınıfı
5). Yazılım güncellemesi
6). Finansal (banka, Alipay)
7). Hisse senetleri
8). Sosyal İletişim (IM yazılımı)
9). Web'de gezinme (muhtemelen URL'lerle daha iyi tanımlanır)
10). İndirme araçları (web diski, P2P indirme, BT ile ilgili)
Ardından, bir NPB'de DPI (Derin Paket Denetimi) nasıl çalışır:
1). Paket Yakalama: NPB, anahtarlar, yönlendiriciler veya musluklar gibi çeşitli kaynaklardan ağ trafiğini yakalar. Ağ üzerinden akan paketleri alır.
2). Paket Ayrıştırma: Yakalanan paketler, çeşitli protokol katmanlarını ve ilgili verileri çıkarmak için NPB tarafından ayrıştırılır. Bu ayrıştırma işlemi, Ethernet başlıkları, IP başlıkları, taşıma katmanı başlıkları (örn. TCP veya UDP) ve uygulama katmanı protokolleri gibi paketlerdeki farklı bileşenlerin tanımlanmasına yardımcı olur.
3). Yük Analizi: DPI ile NPB, başlık incelemesinin ötesine geçer ve paketlerin içindeki gerçek veriler de dahil olmak üzere yüke odaklanır. İlgili bilgileri çıkarmak için kullanılan uygulama veya protokolden bağımsız olarak yük içeriğini derinlemesine inceler.
4). Protokol Tanımlaması: DPI, NPB'nin ağ trafiğinde kullanılan belirli protokolleri ve uygulamaları tanımlamasını sağlar. HTTP, FTP, SMTP, DNS, VoIP veya video akışı protokolleri gibi protokolleri algılayabilir ve sınıflandırabilir.
5). İçerik Denetimi: DPI, NPB'nin paketlerin içeriğini belirli kalıplar, imzalar veya anahtar kelimeler açısından incelemesine olanak tanır. Bu, kötü amaçlı yazılımlar, virüsler, izinsiz giriş girişimleri veya şüpheli etkinlikler gibi ağ tehditlerinin algılanmasını sağlar. DPI ayrıca içerik filtrelemek, ağ politikalarını uygulamak veya veri uyumluluğu ihlallerini belirlemek için de kullanılabilir.
6). Meta Veri Çıkarma: DPI sırasında NPB, paketlerden ilgili meta verileri çıkarır. Bu, kaynak ve hedef IP adresleri, bağlantı noktası numaraları, oturum ayrıntıları, işlem verileri veya diğer ilgili özellikler gibi bilgileri içerebilir.
7). Trafik Yönlendirme veya Filtreleme: DPI analizine dayanarak NPB, belirli paketleri güvenlik cihazları, izleme araçları veya analiz platformları gibi daha ileri işlemler için belirlenmiş hedeflere yönlendirebilir. Ayrıca, tanımlanan içerik veya kalıplara göre paketleri atmak veya yeniden yönlendirmek için filtreleme kuralları da uygulayabilir.
Gönderim zamanı: Haz-25-2023