Sareko Pakete Broker aplikazioaren identifikazioa DPI - Pakete sakonen ikuskapenean oinarritutako

Pakete sakonen ikuskapena (Dpi)Sareko pakete-bitartekarietan (NPBS) erabiltzen den teknologia da maila granularreko sareko paketeen edukia ikuskatzeko eta aztertzeko. Paketetan, goiburuak eta bestelako protokolo espezifikoak aztertzea dakar sareko trafikoari buruzko ikuspegi zehatzak lortzeko.

DPI goiburuaren azterketa soil haratago doa eta sare baten bidez isurtzen diren datuen ulermen sakona eskaintzen du. Aplikazioaren geruzaren protokoloen ikuskapen sakona egiteko aukera ematen du, hala nola HTTP, FTP, SMTP, VOIP edo bideo streaming protokoloak. Paketeen barruan dagoen benetako edukia aztertuz, DPIk aplikazio, protokolo zehatzak edo datu eredu zehatzak antzeman eta antzeman ditzake.

Iturriaren helbideen, helmuga helbideen, iturrien helbideren, iturburu-portuen, helmugako portuen eta protokolo moten analisi hierarkikoaz gain, DPIk aplikazioen geruzaren analisia gehitzen du hainbat aplikazio eta edukia identifikatzeko. DPI teknologiari dagokionez, TCP edo UDP datuen bidez, Sistemak 1P paketearen karga bidez irakurtzen du aplikazioaren geruzaren informazioa OSI geruzaren 7 protokoloan berrantolatzeko, aplikazio programa osoaren edukia lortzeko eta, ondoren, trafikoa sistemak definitutako kudeaketa politikaren arabera.

Nola funtzionatzen du dpi?

Suebaki tradizionalek askotan prozesatzeko ahalmena falta da trafiko bolumen handietan denbora errealeko egiaztapenak egiteko. Teknologiaren aurrerapen gisa, DPI erabil daiteke txeke konplexuagoak egiteko goiburuak eta datuak egiaztatzeko. Normalean, intrusioak hautemateko sistemak dituzten suebakiak DPI erabiltzen dute askotan. Informazio digitala funtsezkoa den mundu batean, informazio digital bakoitza Internet bidez ematen da pakete txikietan. Honek mezu elektronikoak, aplikazioaren bidez bidalitako mezuak, webguneak bisitatutako webguneak, bideo elkarrizketak eta beste. Benetako datuekin gain, pakete hauek trafiko iturria, edukia, helmuga eta bestelako informazio garrantzitsua identifikatzen dituen metadatuak dira. Pakete iragazketa teknologiarekin, datuak etengabe kontrolatu eta leku egokira birbidaltzen direla ziurtatu daiteke. Baina sareko segurtasuna ziurtatzeko, pakete iragazketa tradizionala nahikoa da. Sareko kudeaketan paketeen ikuskapen sakonaren metodo nagusietako batzuk jarraian agertzen dira:

Bat datozen modua / sinadura

Pakete bakoitza suebaki batek suebaki batek (IDS) gaitasunak dituzten suebaki batek egindako erasoen datu base baten bidez egiaztatzen da. IDak eredu zehatzak ezagutzen ditu eta trafikoa desgaitzen du patroi maltzurrak aurkitzen direnean. Sinaduraren bat datorren politikaren desabantaila da maiz eguneratzen diren sinadurak soilik aplikatzen direla. Gainera, teknologia honek mehatxu edo eraso ezagunen aurka bakarrik defendatu dezake.

Dpi

Protokolo salbuespena

Protokoloaren salbuespeneko teknikak ez baitu sinadura datu-basearekin bat datorren datu guztiak, IDS Firewall-ek erabiltzen dituen protokoloaren salbuespen teknika ez du eredu / sinaduraren bat datorren metodoaren berezko akatsik. Horren ordez, arbuiatzeko politika lehenetsia hartzen du. Protokoloaren definizioaren arabera, suebaki erabakitzen dute zer trafiko baimendu behar den eta sarea mehatxu ezezagunetatik babestu.

Intrusioaren prebentzio sistema (IPS)

IPS soluzioek edukiaren arabera pakete kaltegarriak transmititu ditzakete, beraz, ustezko erasoak denbora errealean geldituz. Horrek esan nahi du pakete batek segurtasun arrisku ezaguna irudikatzen badu, IPSek sareko trafikoa modu proaktiboan blokeatuko duela zehaztutako arau multzo batean oinarrituta. IPen desabantaila bat da cyber mehatxu datu-basea aldizka eguneratzeko beharra mehatxu berriei buruzko xehetasunak eta positibo faltsuak izateko aukera. Arrisku hori arindu daiteke politika kontserbadoreak eta atalase pertsonalizatuak sortuz, sareko osagaien oinarri-portaera egokiak ezarriz eta aldian-aldian ebaluazioak ebaluatzea eta jarraipena eta abisua hobetzeko gertaerak jakinarazi baitituzte.

1- DPI (Pakete sakoneko ikuskapena) sareko pakete-brokeran

"Sakona" maila eta ohiko paketeen analisiaren konparazioa da, "ohiko paketeen ikuskapena" 4 geruza, helmuga helbidea, iturriaren helmuga, helmuga eta protokolo mota, eta, gainera, aplikazioaren geruzaren analisia areagotu, hainbat aplikazio eta eduki identifikatu, funtzio nagusiak gauzatzeko:

1) Aplikazioen analisia - Sareko trafikoaren konposizioaren azterketa, errendimenduaren azterketa eta fluxuen analisia

2) Erabiltzailearen analisia - Erabiltzaileen taldearen bereizketa, portaera analisia, terminalen analisia, joera analisia eta abar.

3) Sareko elementuen azterketa - eskualdeko atributuetan oinarritutako azterketa (hiria, barrutia, kalea ...) eta base geltokiaren karga

4) Trafikoaren kontrola - P2P abiadura mugatzea, QOS ziurtasuna, banda zabalera bermatzea, sareko baliabideen optimizazioa, etab.

5) Segurtasuna bermatzea - ​​DDoS erasoak, datuen emisioa ekaitza, birusaren aurkako eraso maltzurrak, etab.

2- Sareko aplikazioen sailkapen orokorra

Gaur egun Interneten aplikazio ugari daude, baina web aplikazio arruntak ager daitezke.

Dakidanez, aplikazioen aitorpen konpainia onena Huawei da, izan ere, 4.000 aplikazio aitortzen ditu. Protokoloaren analisia suebaki konpainia askoren oinarrizko modulua da (Huawei, ZTE, etab.) Gainera, oso modulu garrantzitsua da, beste modulu funtzional batzuk, aplikazio zehatza identifikatzea eta produktuen errendimendua eta fidagarritasuna asko hobetzen laguntzea. Sareko trafikoaren ezaugarrietan oinarritutako malware identifikazioa modelizatzeko, orain egiten ari naizen bezala, protokolo identifikazio zehatza eta zabala ere oso garrantzitsua da. Enpresaren esportazio trafikoaren aplikazio arrunten sareko trafikoa kenduta, gainerako trafikoa proportzio txiki bat izango da, eta hori hobea da malware analisia eta alarma.

Nire esperientziaren arabera, normalean erabilitako aplikazioak beren funtzioen arabera sailkatzen dira:

PS: Aplikazioaren sailkapenaren ulermen pertsonalaren arabera, iradokizun onik ongietorria duzu mezuen proposamen bat uzteko

1). PLEI

2). Bidetsio

3). Asdun

4). OA OA KLASA

5). Software eguneratzea

6). Finantza (Bankua, Alipay)

7). Ikuskapen

8). Gizarte Komunikazioa (IM softwarea)

9). Web arakatzea (seguruenik URLekin hobeto identifikatuta)

10). Deskargatu tresnak (Web Diskoa, P2P deskarga, BT erlazionatuak)

20191210153150_32811

Orduan, nola funtzionatzen du DPIk (Pakete sakonen ikuskapena) NPB batean:

1). Paketeen harrapaketa: NPBk sareko trafikoa ateratzen du hainbat iturritatik, hala nola etengailuak, bideratzaileak edo txorrotak. Sarean zehar isurtzen diren paketeak jasotzen ditu.

2). Paketeen analisia: harrapatutako paketeak NPB-k analizatzen ditu protokoloaren hainbat geruza eta lotutako datuak ateratzeko. Analisi prozesu honek paketeen barruan osagai ezberdinak identifikatzen laguntzen du, hala nola Ethernet goiburuak, IP goiburuak, Garraio geruzaren goiburuak (adibidez, TCP edo UDP) eta aplikazioaren geruzaren protokoloak.

3). Karga-analisia: DPIrekin, NPB goiburuko ikuskapenaz harago doa eta karga bideratzen da, paketeen barruan dauden datuak barne. Karga-edukia sakonki aztertzen du, erabilitako aplikazioa edo protokoloa edozein dela ere, informazio garrantzitsua ateratzeko.

4). Protokoloaren identifikazioa: DPI-k NPB sareko trafikoan erabiltzen diren protokolo eta aplikazio espezifikoak identifikatzeko aukera ematen du. HTTP, FTP, SMTP, DNS, VOIP edo bideo streaming protokoloak bezalako protokoloak antzeman eta sailka ditzake.

5). Edukien ikuskapena: DPIk NPBari aukera ematen dio paketeen edukia ikuskatzeko patroi, sinadura edo gako-hitz zehatzetarako. Horrek sareko mehatxuak hautematea ahalbidetzen du, hala nola malware, birusak, intrusio saiakerak edo jarduera susmagarriak. DPI ere erabil daiteke edukien iragazketarako, sareko politikak betearazteko edo datuen betetze urraketak identifikatzeko.

6). Metadatuen erauzketa: DPI garaian, NPBk paketeen metadata garrantzitsuak ateratzen ditu. Horrek, hala nola iturria eta helmuga IP helbideak, portu zenbakiak, saioaren xehetasunak, transakzio datuak edo beste edozein ezaugarri garrantzitsu ere izan ditzake.

7). Trafiko bideratzea edo iragaztea: DPI analisian oinarrituta, NPBk pakete zehatzak bideratu ditzake izendatutako helmugetara, hala nola, segurtasun tresnak, kontrolatzeko tresnak edo analitika plataformak. Identifikatutako edukietan edo patroietan oinarritutako paketeak baztertzeko edo birbideratzeko arauak ere aplikatu ditzake.

ML-NPB-5660 3D


Ordua: 2012-20 ekainaren 25a