Identificazione di l'Applicazione di Broker di Pacchetti di Rete Basatu nantu à DPI - Inspeczione Profonda di Pacchetti

Ispezione Profonda di Pacchetti (DPI)hè una tecnulugia utilizata in Network Packet Brokers (NPB) per inspeccionà è analizà u cuntenutu di i pacchetti di rete à un livellu granulare. Implica l'esaminazione di u payload, intestazioni è altre informazioni specifiche di u protokollu in i pacchetti per acquistà insights detallati in u trafficu di a rete.

DPI va oltre l'analisi di l'intestazione simplice è furnisce una cunniscenza prufonda di e dati chì scorri in una rete. Permette l'ispezione approfondita di i protokolli di a capa di l'applicazione, cum'è HTTP, FTP, SMTP, VoIP, o protokolli di streaming video. Esaminendu u cuntenutu attuale in i pacchetti, DPI pò detectà è identificà applicazioni specifiche, protokolli, o ancu mudelli di dati specifichi.

In più di l'analisi gerarchica di l'indirizzi di l'urighjini, l'indirizzi di destinazione, i porti di l'urighjini, i porti di destinazione è i tipi di protokollu, DPI aghjunghjenu ancu l'analisi di l'applicazione per identificà diverse applicazioni è u so cuntenutu. Quandu u pacchettu 1P, TCP o UDP flussu di dati à traversu u sistema di gestione di larghezza di banda basatu nantu à a tecnulugia DPI, u sistema leghje u cuntenutu di a carica di pacchettu 1P per riurganizà l'infurmazioni di u stratu di l'applicazione in u protocolu OSI Layer 7, per ottene u cuntenutu di u pacchettu 1P. tuttu u prugramma di l'applicazioni, è poi furmà u trafficu secondu a pulitica di gestione definita da u sistema.

Cumu funziona DPI?

I firewalls tradiziunali spessu mancanu a putenza di trasfurmazioni per fà cuntrolli approfonditi in tempu reale nantu à grandi volumi di trafficu. Cume a tecnulugia avanza, DPI pò esse usatu per eseguisce cuntrolli più cumplessi per verificà intestazioni è dati. Di genere, i firewalls cù sistemi di rilevazione di intrusioni spessu usanu DPI. In un mondu induve l'infurmazione digitale hè Paramount, ogni pezzu di infurmazione digitale hè mandatu in Internet in picculi pacchetti. Questu include email, missaghji mandati attraversu l'app, siti web visitati, video conversations, è più. In più di i dati attuali, sti pacchetti includenu metadata chì identificanu a fonte di u trafficu, u cuntenutu, a destinazione è altre informazioni impurtanti. Cù a tecnulugia di filtrazione di pacchetti, i dati ponu esse monitorati è gestiti continuamente per assicurà chì sò trasmessi à u locu ghjustu. Ma per assicurà a sicurità di a rete, u filtru tradiziunale di pacchetti hè luntanu da abbastanza. Alcuni di i metudi principali di l'ispezione di pacchetti profonda in a gestione di a rete sò elencati quì sottu:

Modu currispundente / Firma

Ogni pacchettu hè verificatu per un match contra una basa di dati di attacchi di rete cunnisciuti da un firewall cù capacità di sistema di rilevazione di intrusioni (IDS). IDS cerca mudelli specifichi maliziusi cunnisciuti è disattiva u trafficu quandu si trovanu mudelli maliziusi. U svantaghju di a pulitica di corrispondenza di a firma hè chì s'applica solu à e firme chì sò aghjurnati spessu. Inoltre, sta tecnulugia pò solu difende contru minacce o attacchi cunnisciuti.

DPI

Eccezzioni di u protocolu

Siccomu a tecnica di l'eccezzioni di u protokollu ùn permette micca solu tutte e dati chì ùn currispondenu micca à a basa di dati di a firma, a tecnica d'eccezzioni di u protokollu utilizata da u firewall IDS ùn hà micca i difetti inherenti di u metudu di currispundenza di mudellu / firma. Invece, adopta a pulitica di rifiutu predeterminata. Per a definizione di u protokollu, i firewalls decidenu chì u trafficu deve esse permessu è prutegge a reta da minacce scunnisciute.

Sistema di Prevenzione di Intrusioni (IPS)

I suluzioni IPS ponu bluccà a trasmissione di pacchetti dannosi in basa di u so cuntenutu, fermendu cusì attacchi suspettati in tempu reale. Questu significa chì, se un pacchettu rapprisenta un risicu di sicurità cunnisciutu, IPS bluccarà in modu proattivu u trafficu di a rete basatu annantu à un settore definitu di regule. Un svantaghju di IPS hè a necessità di aghjurnà regularmente una basa di dati di minaccia cibernetica cù dettagli nantu à e novi minacce, è a pussibilità di falsi pusitivi. Ma stu periculu pò esse mitigatu creendu pulitiche conservative è soglie persunalizate, stabiliscenu un cumpurtamentu di basa adattatu per i cumpunenti di a rete, è evaluendu periodicamente avvisi è avvenimenti riportati per rinfurzà u monitoraghju è l'alerta.

1- U DPI (Deep Packet Inspection) in Network Packet Broker

U "prufondu" hè u nivellu è u paragunu di l'analisi di u pacchettu ordinariu, "l'ispezione di u pacchettu ordinariu" solu l'analisi seguente di u pacchettu IP 4 stratu, cumpresu l'indirizzu fonte, l'indirizzu di destinazione, u portu d'origine, u portu di destinazione è u tipu di protokollu, è DPI eccettu cù u gerarchicu. analisi, hà ancu aumentatu l'analisi di strati di l'applicazione, identificà e diverse applicazioni è cuntenutu, per rializà e funzioni principali:

1) Analisi di l'applicazioni - analisi di a cumpusizioni di u trafficu di a rete, analisi di rendiment è analisi di flussu

2) Analisi di l'utilizatori - differenziazione di u gruppu d'utilizatori, analisi di cumportamentu, analisi di terminal, analisi di tendenza, etc.

3) Analisi di l'Elementi di Rete - analisi basatu annantu à l'attributi regiunale (città, distrittu, strada, etc.) è a carica di a stazione di basa

4) Cuntrollu di u trafficu - Limitazione di velocità P2P, assicurazione QoS, assicurazione di larghezza di banda, ottimisazione di risorse di rete, etc.

5) Assicuranza di Sicurezza - Attacchi DDoS, tempesta di trasmissione di dati, prevenzione di attacchi di virus maliziusi, etc.

2- Classificazione generale di l'applicazioni di a rete

Oghje ci sò innumerevoli applicazioni in Internet, ma l'applicazioni web cumuni ponu esse exhaustive.

In quantu à sapè, a megliu cumpagnia di ricunniscenza di l'app hè Huawei, chì dice di ricunnosce 4 000 app. L'analisi di u protocolu hè u modulu di basa di parechje cumpagnie di firewall (Huawei, ZTE, etc.), è hè ancu un modulu assai impurtante, chì sustene a realizazione di altri moduli funziunali, identificazione precisa di l'applicazioni, è migliurà assai u rendiment è l'affidabilità di i prudutti. In u mudellu di l'identificazione di malware basatu nantu à e caratteristiche di u trafficu di a rete, cum'è aghju fattu avà, l'identificazione di protokollu precisa è estensiva hè ancu assai impurtante. Escludendu u trafficu di a reta di l'applicazioni cumuni da u trafficu di l'esportazione di a cumpagnia, u trafficu restante contarà per una piccula proporzione, chì hè megliu per l'analisi di malware è l'alarma.

Basatu nantu à a mo sperienza, l'applicazioni esistenti cumunimenti usate sò classificate secondu e so funzioni:

PS: Sicondu a cunniscenza persunale di a classificazione di l'applicazione, avete qualchì suggerimentu bonu benvenutu per lascià una proposta di missaghju

1). E-mail

2). Video

3). Ghjochi

4). Classe di Office OA

5). Actualizazione di u software

6). Finanza (banca, Alipay)

7). Azioni

8). A cumunicazione suciale (software IM)

9). Navigazione Web (probabilmente megliu identificata cù URL)

10). Strumenti di scaricamentu (discu web, download P2P, BT relatatu)

20191210153150_32811

Allora, cumu DPI (Deep Packet Inspection) funziona in un NPB:

1). Packet Capture: U NPB cattura u trafficu di a rete da diverse fonti, cum'è switches, routers o taps. Riceve i pacchetti chì passanu attraversu a reta.

2). Analisi di pacchetti: I pacchetti catturati sò analizati da u NPB per estrae diverse strati di protokollu è dati assuciati. Stu prucessu di analisi aiuta à identificà e diverse cumpunenti in i pacchetti, cum'è intestazioni Ethernet, intestazioni IP, intestazioni di strati di trasportu (per esempiu, TCP o UDP), è protokolli di strati di applicazione.

3). Analisi di Payload: Cù DPI, u NPB va oltre l'ispezione di l'intestazione è si cuncentra nantu à a carica utile, cumprese i dati reali in i pacchetti. Esamina in profondità u cuntenutu di a carica utile, indipendentemente da l'applicazione o u protokollu utilizatu, per estrae l'infurmazioni pertinenti.

4). Identificazione di u protocolu: DPI permette à u NPB di identificà i protokolli è l'applicazioni specifichi chì sò usati in u trafficu di a rete. Pò detectà è classificà protokolli cum'è HTTP, FTP, SMTP, DNS, VoIP, o protokolli di streaming video.

5). Inspeczione di cuntenutu: DPI permette à a NPB di inspeccionà u cuntenutu di i pacchetti per mudelli specifichi, firme, o parole chjave. Questu permette a rilevazione di minacce di rete, cum'è malware, virus, tentativi di intrusione, o attività sospette. DPI pò ancu esse aduprata per u filtru di cuntenutu, per rinfurzà e pulitiche di a rete, o per identificà e violazioni di cunfurmità di dati.

6). Estrazione di metadati: Durante u DPI, u NPB estrae metadata pertinenti da i pacchetti. Questu pò include infurmazioni cum'è l'indirizzi IP di a fonte è di destinazione, numeri di portu, dettagli di sessione, dati di transazzione, o qualsiasi altri attributi pertinenti.

7). Traffic Routing or Filtering: Basatu nantu à l'analisi DPI, u NPB pò indirizzà pacchetti specifichi à destinazioni designate per un ulteriore trasfurmazioni, cum'è apparecchi di sicurezza, strumenti di monitoraghju o piattaforme analitiche. Puderà ancu applicà e regule di filtrazione per scartà o reindirizzà i pacchetti basati nantu à u cuntenutu o mudelli identificati.

ML-NPB-5660 3d


Tempu di post: 25-ghjugnu-2023