Adnabod Cais Brocer Pecyn Rhwydwaith yn seiliedig ar DPI - Archwiliad Pecyn Dwfn

Archwiliad Pecyn dwfn (DPI)yn dechnoleg a ddefnyddir mewn Broceriaid Pecyn Rhwydwaith (NPBs) i archwilio a dadansoddi cynnwys pecynnau rhwydwaith ar lefel gronynnog. Mae'n cynnwys archwilio'r llwyth tâl, penawdau, a gwybodaeth arall sy'n benodol i brotocol o fewn pecynnau i gael mewnwelediad manwl i draffig rhwydwaith.

Mae DPI yn mynd y tu hwnt i ddadansoddi penawdau syml ac yn darparu dealltwriaeth ddofn o'r data sy'n llifo trwy rwydwaith. Mae'n caniatáu ar gyfer archwiliad manwl o'r protocolau haen cais, megis HTTP, FTP, SMTP, VoIP, neu brotocolau ffrydio fideo. Trwy archwilio'r cynnwys gwirioneddol mewn pecynnau, gall DPI ganfod a nodi cymwysiadau penodol, protocolau, neu hyd yn oed batrymau data penodol.

Yn ogystal â'r dadansoddiad hierarchaidd o gyfeiriadau ffynhonnell, cyfeiriadau cyrchfan, porthladdoedd ffynhonnell, porthladdoedd cyrchfan, a mathau o brotocolau, mae DPI hefyd yn ychwanegu dadansoddiad haen-cymhwysiad i nodi cymwysiadau amrywiol a'u cynnwys. Pan fydd y pecyn 1P, TCP neu ddata CDU yn llifo trwy'r system rheoli lled band yn seiliedig ar dechnoleg DPI, mae'r system yn darllen cynnwys y llwyth pecyn 1P i ad-drefnu gwybodaeth haen y cais yn y protocol OSI Haen 7, er mwyn cael cynnwys y y rhaglen gais gyfan, ac yna siapio'r traffig yn unol â'r polisi rheoli a ddiffinnir gan y system.

Sut mae DPI yn gweithio?

Yn aml nid oes gan waliau tân traddodiadol y pŵer prosesu i gynnal gwiriadau amser real trylwyr ar niferoedd mawr o draffig. Wrth i dechnoleg ddatblygu, gellir defnyddio DPI i wneud gwiriadau mwy cymhleth i wirio penawdau a data. Yn nodweddiadol, mae waliau tân gyda systemau canfod ymyrraeth yn aml yn defnyddio DPI. Mewn byd lle mae gwybodaeth ddigidol yn hollbwysig, mae pob darn o wybodaeth ddigidol yn cael ei gyflwyno dros y Rhyngrwyd mewn pecynnau bach. Mae hyn yn cynnwys e-bost, negeseuon a anfonir trwy'r ap, gwefannau yr ymwelwyd â nhw, sgyrsiau fideo, a mwy. Yn ogystal â'r data gwirioneddol, mae'r pecynnau hyn yn cynnwys metadata sy'n nodi ffynhonnell y traffig, cynnwys, cyrchfan, a gwybodaeth bwysig arall. Gyda thechnoleg hidlo pecynnau, gellir monitro a rheoli data yn barhaus i sicrhau ei fod yn cael ei anfon ymlaen i'r lle iawn. Ond er mwyn sicrhau diogelwch rhwydwaith, mae hidlo pecynnau traddodiadol ymhell o fod yn ddigon. Rhestrir rhai o'r prif ddulliau o archwilio pecynnau dwfn mewn rheolaeth rhwydwaith isod:

Modd Cyfatebol/Llofnod

Mae pob pecyn yn cael ei wirio am gyfatebiaeth yn erbyn cronfa ddata o ymosodiadau rhwydwaith hysbys gan wal dân gyda galluoedd system canfod ymyrraeth (IDS). Mae IDS yn chwilio am batrymau penodol maleisus hysbys ac yn analluogi traffig pan ganfyddir patrymau maleisus. Anfantais y polisi paru llofnod yw ei fod yn berthnasol i lofnodion sy'n cael eu diweddaru'n aml yn unig. Yn ogystal, dim ond yn erbyn bygythiadau neu ymosodiadau hysbys y gall y dechnoleg hon amddiffyn.

DPI

Eithriad Protocol

Gan nad yw techneg eithrio'r protocol yn caniatáu'r holl ddata nad yw'n cyd-fynd â'r gronfa ddata llofnod yn unig, nid oes gan y dechneg eithriad protocol a ddefnyddir gan wal dân yr IDS ddiffygion cynhenid ​​​​y dull paru patrwm/llofnod. Yn lle hynny, mae'n mabwysiadu'r polisi gwrthod rhagosodedig. Yn ôl diffiniad protocol, mae waliau tân yn penderfynu pa draffig y dylid ei ganiatáu ac yn amddiffyn y rhwydwaith rhag bygythiadau anhysbys.

System Atal Ymyrraeth (IPS)

Gall atebion IPS rwystro trosglwyddo pecynnau niweidiol yn seiliedig ar eu cynnwys, a thrwy hynny atal ymosodiadau a amheuir mewn amser real. Mae hyn yn golygu, os yw pecyn yn cynrychioli risg diogelwch hysbys, bydd IPS yn rhwystro traffig rhwydwaith yn rhagweithiol yn seiliedig ar set ddiffiniedig o reolau. Un anfantais i IPS yw'r angen i ddiweddaru cronfa ddata bygythiadau seiber yn rheolaidd gyda manylion am fygythiadau newydd, a'r posibilrwydd o bethau cadarnhaol ffug. Ond gellir lliniaru'r perygl hwn trwy greu polisïau ceidwadol a throthwyon arfer, sefydlu ymddygiad sylfaenol priodol ar gyfer cydrannau rhwydwaith, a gwerthuso rhybuddion a digwyddiadau yr adroddir amdanynt o bryd i'w gilydd i wella monitro a rhybuddio.

1- Y DPI (Archwiliad Pecyn dwfn) yn Network Packet Broker

Mae'r "dwfn" yn lefel a chyffredin pecyn dadansoddi cymhariaeth, "archwiliad pecyn arferol" dim ond y dadansoddiad canlynol o IP pecyn 4 haen, gan gynnwys y cyfeiriad ffynhonnell, cyfeiriad cyrchfan, porthladd ffynhonnell, porthladd cyrchfan a math protocol, a DPI ac eithrio gyda'r hierarchaidd dadansoddiad, hefyd yn cynyddu'r dadansoddiad haen cais, nodi'r gwahanol gymwysiadau a chynnwys, i wireddu'r prif swyddogaethau:

1) Dadansoddiad Cais - dadansoddiad cyfansoddiad traffig rhwydwaith, dadansoddi perfformiad, a dadansoddi llif

2) Dadansoddiad Defnyddiwr - gwahaniaethu grŵp defnyddwyr, dadansoddi ymddygiad, dadansoddiad terfynol, dadansoddi tueddiadau, ac ati.

3) Dadansoddiad Elfen Rhwydwaith - dadansoddiad yn seiliedig ar briodoleddau rhanbarthol (dinas, ardal, stryd, ac ati) a llwyth gorsaf sylfaenol

4) Rheoli Traffig - cyfyngu cyflymder P2P, sicrwydd QoS, sicrwydd lled band, optimeiddio adnoddau rhwydwaith, ac ati.

5) Sicrwydd Diogelwch - Ymosodiadau DDoS, storm darlledu data, atal ymosodiadau firws maleisus, ac ati.

2- Dosbarthiad Cyffredinol o Gymwysiadau Rhwydwaith

Heddiw mae yna lawer o gymwysiadau ar y Rhyngrwyd, ond gall y cymwysiadau gwe cyffredin fod yn gynhwysfawr.

Hyd y gwn i, y cwmni adnabod apiau gorau yw Huawei, sy'n honni ei fod yn cydnabod 4,000 o apps. Dadansoddiad protocol yw modiwl sylfaenol llawer o gwmnïau wal dân (Huawei, ZTE, ac ati), ac mae hefyd yn fodiwl pwysig iawn, gan gefnogi gwireddu modiwlau swyddogaethol eraill, adnabod cymwysiadau cywir, a gwella perfformiad a dibynadwyedd cynhyrchion yn fawr. Wrth fodelu adnabod malware yn seiliedig ar nodweddion traffig rhwydwaith, fel yr wyf yn ei wneud nawr, mae adnabod protocol yn gywir ac yn helaeth hefyd yn bwysig iawn. Heb gynnwys traffig rhwydwaith ceisiadau cyffredin o draffig allforio'r cwmni, bydd y traffig sy'n weddill yn cyfrif am gyfran fach, sy'n well ar gyfer dadansoddi malware a larwm.

Yn seiliedig ar fy mhrofiad, mae'r cymwysiadau presennol a ddefnyddir yn gyffredin yn cael eu dosbarthu yn ôl eu swyddogaethau:

PS: Yn ôl dealltwriaeth bersonol o'r dosbarthiad cais, mae gennych unrhyw awgrymiadau da croeso i chi adael cynnig neges

1). E-bost

2). Fideo

3). Gemau

4). Dosbarth OA Swyddfa

5). Diweddariad meddalwedd

6). Ariannol (banc, Alipay)

7). Stociau

8). Cyfathrebu Cymdeithasol (meddalwedd IM)

9). Pori gwe (yn fwy na thebyg wedi'i adnabod yn well gyda URLs)

10). Offer lawrlwytho (disg we, lawrlwytho P2P, cysylltiedig â BT)

20191210153150_32811

Yna, sut mae DPI (Archwiliad Pecyn dwfn) yn gweithio mewn NPB:

1). Dal Pecyn: Mae'r NPB yn dal traffig rhwydwaith o wahanol ffynonellau, megis switshis, llwybryddion neu dapiau. Mae'n derbyn pecynnau sy'n llifo drwy'r rhwydwaith.

2). Dosrannu Pecynnau: Mae'r pecynnau sydd wedi'u dal yn cael eu dosrannu gan yr NPB i echdynnu gwahanol haenau protocol a data cysylltiedig. Mae'r broses dosrannu hon yn helpu i nodi'r gwahanol gydrannau yn y pecynnau, megis penawdau Ethernet, penawdau IP, penawdau haenau trafnidiaeth (ee, TCP neu CDU), a phrotocolau haen cais.

3). Dadansoddiad Llwyth Tâl: Gyda DPI, mae'r NPB yn mynd y tu hwnt i arolygu pennawd ac yn canolbwyntio ar y llwyth tâl, gan gynnwys y data gwirioneddol yn y pecynnau. Mae'n archwilio cynnwys y llwyth tâl yn fanwl, beth bynnag fo'r cymhwysiad neu'r protocol a ddefnyddir, i echdynnu gwybodaeth berthnasol.

4). Adnabod Protocol: Mae DPI yn galluogi'r NPB i nodi'r protocolau a'r cymwysiadau penodol sy'n cael eu defnyddio o fewn y traffig rhwydwaith. Gall ganfod a dosbarthu protocolau fel HTTP, FTP, SMTP, DNS, VoIP, neu brotocolau ffrydio fideo.

5). Arolygu Cynnwys: Mae DPI yn galluogi'r NPB i archwilio cynnwys pecynnau ar gyfer patrymau, llofnodion neu eiriau allweddol penodol. Mae hyn yn galluogi canfod bygythiadau rhwydwaith, megis malware, firysau, ymdrechion ymyrraeth, neu weithgareddau amheus. Gellir defnyddio DPI hefyd ar gyfer hidlo cynnwys, gorfodi polisïau rhwydwaith, neu nodi troseddau cydymffurfio data.

6). Echdynnu Metadata: Yn ystod DPI, mae'r NPB yn echdynnu metadata perthnasol o'r pecynnau. Gall hyn gynnwys gwybodaeth fel cyfeiriadau IP ffynhonnell a chyrchfan, rhifau porthladdoedd, manylion sesiynau, data trafodion, neu unrhyw briodoleddau perthnasol eraill.

7). Llwybro neu Hidlo Traffig: Yn seiliedig ar y dadansoddiad DPI, gall yr NPB gyfeirio pecynnau penodol i gyrchfannau dynodedig i'w prosesu ymhellach, megis offer diogelwch, offer monitro, neu lwyfannau dadansoddeg. Gall hefyd gymhwyso rheolau hidlo i daflu neu ailgyfeirio pecynnau yn seiliedig ar y cynnwys neu'r patrymau a nodwyd.

ML-NPB-5660 3d


Amser postio: Mehefin-25-2023