Derin Paket Denetimi (DPI)ağ paketlerinin içeriğini ayrıntılı bir seviyede incelemek ve analiz etmek için ağ paketi brokerlerinde (NPBS) kullanılan bir teknolojidir. Ağ trafiğine ilişkin ayrıntılı bilgiler elde etmek için paketler içindeki yükün, başlıkların ve diğer protokole özgü bilgilerin incelenmesini içerir.
DPI basit başlık analizinin ötesine geçer ve bir ağdan akan verilerin derin bir şekilde anlaşılmasını sağlar. HTTP, FTP, SMTP, VoIP veya video akışı protokolleri gibi uygulama katmanı protokollerinin derinlemesine incelenmesini sağlar. Paketlerdeki gerçek içeriği inceleyerek DPI, belirli uygulamaları, protokolleri ve hatta belirli veri modellerini algılayabilir ve tanımlayabilir.
DPI, kaynak adreslerinin, hedef adreslerinin, kaynak bağlantı noktalarının, hedef bağlantı noktalarının ve protokol türlerinin hiyerarşik analizine ek olarak, çeşitli uygulamaları ve içeriklerini tanımlamak için uygulama tabakası analizi ekler. DPI teknolojisine dayalı bant genişliği yönetim sistemi üzerinden 1P paketi, TCP veya UDP veri akışı olduğunda, sistem tüm uygulama programının içeriğini elde etmek ve daha sonra sistem tarafından tanımlanan yönetim politikasına göre trafiği şekillendirmek için 1P paket yükünün içeriğini okur.
DPI nasıl çalışır?
Geleneksel güvenlik duvarları genellikle büyük miktarlarda trafikte gerçek zamanlı kontroller yapmak için işleme gücünden yoksundur. Teknoloji ilerledikçe, DPI başlıkları ve verileri kontrol etmek için daha karmaşık kontroller yapmak için kullanılabilir. Tipik olarak, saldırı algılama sistemlerine sahip güvenlik duvarları genellikle DPI kullanır. Dijital bilgilerin çok önemli olduğu bir dünyada, her dijital bilgi küçük paketler halinde internet üzerinden teslim edilir. Buna e -posta, uygulama aracılığıyla gönderilen mesajlar, ziyaret edilen web siteleri, video konuşmaları ve daha fazlası dahildir. Gerçek verilere ek olarak, bu paketler trafik kaynağını, içeriği, hedefi ve diğer önemli bilgileri tanımlayan meta verileri içerir. Paket filtreleme teknolojisi ile veriler sürekli olarak izlenebilir ve doğru yere iletilmesini sağlamak için yönetilebilir. Ancak ağ güvenliğini sağlamak için, geleneksel paket filtreleme yeterince uzaktır. Ağ yönetiminde derin paket denetiminin ana yöntemlerinden bazıları aşağıda listelenmiştir:
Eşleştirme Modu/İmza
Her paket, saldırı algılama sistemi (IDS) özelliklerine sahip bir güvenlik duvarı tarafından bilinen ağ saldırıları veritabanına karşı bir eşleşme için kontrol edilir. IDS bilinen kötü niyetli spesifik kalıpları arar ve kötü niyetli kalıplar bulunduğunda trafiği devre dışı bırakır. İmza eşleştirme politikasının dezavantajı, yalnızca sıklıkla güncellenen imzalar için geçerli olmasıdır. Ayrıca, bu teknoloji sadece bilinen tehditlere veya saldırılara karşı savunabilir.
Protokol istisnası
Protokol istisna tekniği sadece imza veritabanıyla eşleşmeyen tüm verilere izin vermediğinden, IDS güvenlik duvarı tarafından kullanılan protokol istisna tekniğinin desen/imza eşleştirme yönteminin doğal kusurları yoktur. Bunun yerine, varsayılan ret politikasını benimser. Protokol tanımı ile, güvenlik duvarları trafiğe hangi trafiğe izin verilmesi gerektiğine karar verir ve ağı bilinmeyen tehditlerden korur.
Saldırı Önleme Sistemi (IPS)
IPS çözümleri, zararlı paketlerin içeriğine göre iletimini engelleyebilir, böylece şüpheli saldırıları gerçek zamanlı olarak durdurabilir. Bu, bir paket bilinen bir güvenlik riskini temsil ederse, IPS'nin ağ trafiğini tanımlanmış bir kural kümesine göre proaktif olarak engelleyeceği anlamına gelir. IP'lerin bir dezavantajı, siber tehdit veritabanını düzenli olarak yeni tehditler ve yanlış pozitif olasılıklarla ilgili ayrıntılarla güncelleme ihtiyacıdır. Ancak bu tehlike, muhafazakar politikalar ve özel eşikler oluşturarak, ağ bileşenleri için uygun temel davranışlar oluşturarak ve izlemeyi ve uyarmayı geliştirmek için uyarıları ve bildirilen olayları periyodik olarak değerlendirerek azaltılabilir.
1- Network Packet Aracı'ndaki DPI (Derin Paket Denetimi)
"Derin" seviye ve sıradan paket analizi karşılaştırması, "Sıradan Paket İncelemesi "dir, Hiyerarşik analiz hariç, kaynak adresi, hedef adresi, kaynak bağlantı noktası, hedef bağlantı noktası ve protokol türü ve DPI dahil olmak üzere aşağıdaki IP paketi 4 katmanının analizini, uygulama katmanı analizini de artırır, ana işlevleri gerçekleştirmek için çeşitli uygulamaları ve içeriği tanımlar,"
1) Uygulama Analizi - Ağ Trafiği Kompozisyonu Analizi, Performans Analizi ve Akış Analizi
2) Kullanıcı Analizi - Kullanıcı grubu farklılaşması, davranış analizi, terminal analizi, trend analizi vb.
3) Ağ Elemanı Analizi - Bölgesel özelliklere (şehir, bölge, sokak vb.) Ve baz istasyon yüküne dayalı analiz
4) Trafik kontrolü - P2P hız sınırlaması, QoS güvencesi, bant genişliği güvencesi, ağ kaynağı optimizasyonu vb.
5) Güvenlik güvencesi - DDOS saldırıları, veri yayın fırtınası, kötü amaçlı virüs saldırılarının önlenmesi, vb.
2- Ağ uygulamalarının genel sınıflandırması
Bugün internette sayısız uygulama var, ancak ortak web uygulamaları kapsamlı olabilir.
Bildiğim kadarıyla, en iyi uygulama tanıma şirketi 4.000 uygulamayı tanıdığını iddia eden Huawei'dir. Protokol analizi, birçok güvenlik duvarı şirketinin (Huawei, ZTE, vb.) Temel modülüdür ve aynı zamanda diğer fonksiyonel modüllerin gerçekleştirilmesini, doğru uygulama tanımlamasını ve ürünlerin performansını ve güvenilirliğini büyük ölçüde iyileştiren çok önemli bir modüldür. Ağ trafik özelliklerine dayalı kötü amaçlı yazılım tanımlamasının modellenmesinde, şu anda yaptığım gibi, doğru ve kapsamlı protokol tanımlaması da çok önemlidir. Ortak uygulamaların ağ trafiğini şirketin ihracat trafiğinden hariç tutarak, kalan trafik küçük bir oranı açıklayacaktır, bu da kötü amaçlı yazılım analizi ve alarmı için daha iyidir.
Deneyimlerime dayanarak, mevcut yaygın olarak kullanılan uygulamalar işlevlerine göre sınıflandırılmıştır:
Not: Uygulama sınıflandırması ile ilgili kişisel anlayışa göre, bir mesaj teklifini bırakmaya hoş geldiniz iyi önerileriniz var
1). E-posta
2). Video
3). Oyun
4). Ofis OA Sınıfı
5). Yazılım Güncellemesi
6). Finans (Banka, Alipay)
7). Hisse senetleri
8). Sosyal İletişim (IM yazılımı)
9). Web tarama (muhtemelen URL'lerle daha iyi tanımlanmıştır)
10). İndir Araçlar (Web Disk, P2P İndir, BT İlgili)
Ardından, bir NPB'de DPI (Derin Paket İncelemesi) nasıl çalışır:
1). Paket yakalama: NPB, anahtarlar, yönlendiriciler veya musluklar gibi çeşitli kaynaklardan ağ trafiğini yakalar. Ağdan akan paketler alır.
2). Paket ayrıştırma: Yakalanan paketler, çeşitli protokol katmanlarını ve ilişkili verileri çıkarmak için NPB tarafından ayrıştırılır. Bu ayrıştırma işlemi, paketlerdeki Ethernet başlıkları, IP başlıkları, taşıma katmanı başlıkları (örn. TCP veya UDP) ve uygulama katmanı protokolleri gibi farklı bileşenlerin tanımlanmasına yardımcı olur.
3). Yük analizi: DPI ile NPB, başlık denetiminin ötesine geçer ve paketlerdeki gerçek veriler de dahil olmak üzere yüke odaklanır. İlgili bilgileri çıkarmak için kullanılan uygulama veya protokolden bağımsız olarak, yük içeriğini derinlemesine inceler.
4). Protokol Tanımlama: DPI, NPB'nin ağ trafiğinde kullanılan belirli protokolleri ve uygulamaları tanımlamasını sağlar. HTTP, FTP, SMTP, DNS, VoIP veya video akışı protokolleri gibi protokolleri algılayabilir ve sınıflandırabilir.
5). İçerik İncelemesi: DPI, NPB'nin paketlerin içeriğini belirli kalıplar, imzalar veya anahtar kelimeler için incelemesine izin verir. Bu, kötü amaçlı yazılım, virüs, saldırı girişimleri veya şüpheli faaliyetler gibi ağ tehditlerinin tespit edilmesini sağlar. DPI ayrıca içerik filtreleme, ağ politikalarını uygulamak veya veri uyumluluk ihlallerini tanımlamak için de kullanılabilir.
6). Meta Veri Ekstraksiyonu: DPI sırasında NPB, paketlerden ilgili meta verileri çıkarır. Bu, kaynak ve hedef IP adresleri, bağlantı noktası numaraları, oturum ayrıntıları, işlem verileri veya diğer ilgili özellikler gibi bilgileri içerebilir.
7). Trafik yönlendirme veya filtreleme: DPI analizine dayanarak, NPB, güvenlik cihazları, izleme araçları veya analitik platformları gibi daha fazla işlem için belirli paketleri belirlenmiş hedeflere yönlendirebilir. Ayrıca, tanımlanan içeriğe veya desenlere göre paketleri atmak veya yönlendirmek için filtreleme kurallarını da uygulayabilir.
Gönderme Zamanı:-25-2023 Haziran