Dərin Paket Təftişi (DPI)şəbəkə paketlərinin məzmununu təfərrüatlı səviyyədə yoxlamaq və təhlil etmək üçün Şəbəkə Paket Brokerlərində (NPB) istifadə olunan texnologiyadır.Şəbəkə trafiki haqqında ətraflı məlumat əldə etmək üçün paketlər daxilində faydalı yükün, başlıqların və digər protokola aid məlumatların araşdırılmasını əhatə edir.
DPI sadə başlıq təhlilindən kənara çıxır və şəbəkə vasitəsilə axan məlumatların dərindən başa düşülməsini təmin edir.O, HTTP, FTP, SMTP, VoIP və ya video axın protokolları kimi tətbiq səviyyəsinin protokollarını dərindən yoxlamağa imkan verir.Paketlərdəki faktiki məzmunu araşdıraraq, DPI xüsusi proqramları, protokolları və ya hətta xüsusi məlumat nümunələrini aşkarlaya və müəyyən edə bilər.
Mənbə ünvanlarının, təyinat ünvanlarının, mənbə portlarının, təyinat portlarının və protokol növlərinin iyerarxik təhlilinə əlavə olaraq, DPI müxtəlif proqramları və onların məzmununu müəyyən etmək üçün tətbiq səviyyəsinin təhlilini də əlavə edir.1P paketi, TCP və ya UDP məlumatları DPI texnologiyasına əsaslanan bant genişliyi idarəetmə sistemi vasitəsilə axdıqda, sistem OSI Layer 7 protokolunda tətbiq səviyyəsi məlumatını yenidən təşkil etmək üçün 1P paket yükünün məzmununu oxuyur, beləliklə məzmunu əldə etmək üçün bütün tətbiq proqramı və sonra sistem tərəfindən müəyyən edilmiş idarəetmə siyasətinə uyğun olaraq trafikin formalaşdırılması.
DPI necə işləyir?
Ənənəvi firewalllar çox vaxt böyük həcmdə trafikdə hərtərəfli real vaxt yoxlamaları aparmaq üçün emal gücünə malik deyillər.Texnologiya inkişaf etdikcə, DPI başlıqları və məlumatları yoxlamaq üçün daha mürəkkəb yoxlamalar aparmaq üçün istifadə edilə bilər.Tipik olaraq, müdaxilə aşkarlama sistemləri olan firewalllar tez-tez DPI-dən istifadə edirlər.Rəqəmsal məlumatın Paramount olduğu bir dünyada hər bir rəqəmsal məlumat kiçik paketlərdə İnternet üzərindən çatdırılır.Buraya e-poçt, proqram vasitəsilə göndərilən mesajlar, ziyarət edilən vebsaytlar, video söhbətlər və s. daxildir.Faktiki məlumatlara əlavə olaraq, bu paketlərə trafik mənbəyini, məzmununu, təyinatını və digər vacib məlumatları müəyyən edən metadata daxildir.Paket filtrləmə texnologiyası ilə verilənlərin düzgün yerə ötürülməsini təmin etmək üçün davamlı olaraq izlənilə və idarə oluna bilər.Lakin şəbəkə təhlükəsizliyini təmin etmək üçün ənənəvi paket filtrləmə kifayət deyil.Şəbəkə idarəetməsində paketlərin dərin təftişinin əsas üsullarından bəziləri aşağıda verilmişdir:
Uyğunluq Rejimi/İmza
Hər bir paket intrusion aşkarlama sistemi (IDS) imkanlarına malik bir firewall tərəfindən məlum şəbəkə hücumlarının verilənlər bazası ilə uyğunluğu yoxlanılır.IDS məlum zərərli xüsusi nümunələri axtarır və zərərli nümunələr aşkar edildikdə trafiki söndürür.İmza uyğunluğu siyasətinin dezavantajı ondan ibarətdir ki, o, yalnız tez-tez yenilənən imzalara şamil edilir.Bundan əlavə, bu texnologiya yalnız məlum təhlükələrdən və ya hücumlardan müdafiə edə bilər.
Protokol İstisnası
Protokol istisnası texnikası sadəcə olaraq imza verilənlər bazasına uyğun gəlməyən bütün məlumatlara icazə vermədiyindən, IDS firewall tərəfindən istifadə edilən protokol istisnası texnikasında nümunə/imza uyğunluğu metodunun xas qüsurları yoxdur.Bunun əvəzinə, o, standart rədd siyasətini qəbul edir.Protokol tərifinə görə, firewalllar hansı trafikə icazə verilməli olduğuna qərar verir və şəbəkəni naməlum təhlükələrdən qoruyur.
Hücumun qarşısının alınması sistemi (IPS)
IPS həlləri zərərli paketlərin məzmununa görə ötürülməsini əngəlləyə bilər və bununla da real vaxt rejimində şübhəli hücumları dayandıra bilər.Bu o deməkdir ki, əgər paket məlum təhlükəsizlik riskini təmsil edirsə, IPS müəyyən edilmiş qaydalar toplusuna əsaslanaraq şəbəkə trafikini fəal şəkildə bloklayacaq.IPS-in bir dezavantajı, yeni təhdidlər və yalan pozitivlərin mümkünlüyü ilə bağlı kibertəhlükə verilənlər bazasını mütəmadi olaraq yeniləmək ehtiyacıdır.Lakin bu təhlükəni mühafizəkar siyasətlər və fərdi həddlər yaratmaq, şəbəkə komponentləri üçün müvafiq ilkin davranışı qurmaq və monitorinq və xəbərdarlıqları artırmaq üçün vaxtaşırı xəbərdarlıqları və bildirilmiş hadisələri qiymətləndirmək yolu ilə azaltmaq olar.
1- Şəbəkə Paket Brokerində DPI (Dərin Paket Təftişi).
"Dərin" səviyyə və adi paket təhlili müqayisəsidir, "adi paket yoxlanışı" yalnız mənbə ünvanı, təyinat ünvanı, mənbə portu, təyinat portu və protokol növü və iyerarxik parametrlər istisna olmaqla, DPI daxil olmaqla, IP paket 4 səviyyəsinin aşağıdakı təhlilidir. təhlili, həmçinin tətbiq səviyyəsinin təhlilini artırdı, müxtəlif tətbiqləri və məzmunu müəyyənləşdirin, əsas funksiyaları həyata keçirin:
1) Tətbiq Təhlili -- şəbəkə trafikinin tərkibinin təhlili, performans təhlili və axın təhlili
2) İstifadəçi Analizi -- istifadəçi qrupunun fərqləndirməsi, davranış təhlili, terminal təhlili, trend təhlili və s.
3) Şəbəkə Elementlərinin Təhlili -- regional atributlara (şəhər, rayon, küçə və s.) və baza stansiyasının yüklənməsinə əsaslanan təhlil
4) Trafikə Nəzarət -- P2P sürətinin məhdudlaşdırılması, QoS təminatı, bant genişliyi təminatı, şəbəkə resursunun optimallaşdırılması və s.
5) Təhlükəsizlik Təminatı -- DDoS hücumları, məlumat yayımı fırtınası, zərərli virus hücumlarının qarşısının alınması və s.
2- Şəbəkə Tətbiqlərinin Ümumi Təsnifatı
Bu gün İnternetdə saysız-hesabsız proqramlar var, lakin ümumi veb proqramlar hərtərəfli ola bilər.
Bildiyimə görə, ən yaxşı proqram tanınması şirkəti 4000 tətbiqi tanıdığını iddia edən Huawei şirkətidir.Protokol təhlili bir çox firewall şirkətlərinin (Huawei, ZTE və s.) əsas moduludur və o, həm də digər funksional modulların reallaşdırılmasına, tətbiqin dəqiq identifikasiyasına dəstək verən və məhsulların performansını və etibarlılığını xeyli yaxşılaşdıran çox vacib moduldur.Şəbəkə trafikinin xüsusiyyətlərinə əsaslanan zərərli proqram identifikasiyasının modelləşdirilməsində, indi etdiyim kimi, dəqiq və geniş protokol identifikasiyası da çox vacibdir.Şirkətin ixrac trafikindən ümumi proqramların şəbəkə trafiki istisna olmaqla, qalan trafik zərərli proqramların təhlili və həyəcan siqnalı üçün daha yaxşı olan kiçik bir hissəni təşkil edəcək.
Təcrübəmə əsasən, mövcud tez-tez istifadə olunan proqramlar funksiyalarına görə təsnif edilir:
PS: Tətbiq təsnifatının şəxsi anlayışına əsasən, hər hansı yaxşı təklifləriniz var, mesaj təklifi buraxmağa xoş gəlmisiniz
1).E-poçt
2).Video
3).Oyunlar
4).Office OA sinfi
5).Proqram təminatı yenilənməsi
6).Maliyyə (bank, Alipay)
7).Səhmlər
8).Sosial Ünsiyyət (IM proqramı)
9).Veb baxışı (yəqin ki, URL-lərlə daha yaxşı müəyyən edilir)
10).Yükləmə alətləri (veb disk, P2P yükləmə, BT ilə əlaqəli)
Sonra, DPI (Dərin Paket Təftişi) NPB-də necə işləyir:
1).Paket ələ keçirmə: NPB, açarlar, marşrutlaşdırıcılar və ya kranlar kimi müxtəlif mənbələrdən şəbəkə trafikini çəkir.Şəbəkə vasitəsilə axan paketləri qəbul edir.
2).Paket təhlili: Tutulan paketlər müxtəlif protokol təbəqələrini və əlaqəli məlumatları çıxarmaq üçün NPB tərəfindən təhlil edilir.Bu təhlil prosesi Ethernet başlıqları, IP başlıqları, nəqliyyat qatının başlıqları (məsələn, TCP və ya UDP) və tətbiq səviyyəsinin protokolları kimi paketlər daxilində müxtəlif komponentləri müəyyən etməyə kömək edir.
3).Yükün Təhlili: DPI ilə NPB başlıq yoxlamasından kənara çıxır və paketlərdəki faktiki məlumatlar da daxil olmaqla faydalı yükə diqqət yetirir.Müvafiq məlumatı çıxarmaq üçün istifadə olunan proqram və ya protokoldan asılı olmayaraq faydalı yükün məzmununu dərindən araşdırır.
4).Protokol İdentifikasiyası: DPI NPB-yə şəbəkə trafikində istifadə olunan xüsusi protokolları və proqramları müəyyən etməyə imkan verir.HTTP, FTP, SMTP, DNS, VoIP və ya video axın protokolları kimi protokolları aşkarlaya və təsnif edə bilər.
5).Məzmun Təftişi: DPI NPB-yə paketlərin məzmununu xüsusi nümunələr, imzalar və ya açar sözlər üçün yoxlamağa imkan verir.Bu, zərərli proqramlar, viruslar, müdaxilə cəhdləri və ya şübhəli fəaliyyətlər kimi şəbəkə təhdidlərini aşkar etməyə imkan verir.DPI məzmunun filtrasiyası, şəbəkə siyasətlərinin tətbiqi və ya məlumatlara uyğunluq pozuntularının müəyyən edilməsi üçün də istifadə edilə bilər.
6).Metadata çıxarılması: DPI zamanı NPB müvafiq metaməlumatları paketlərdən çıxarır.Buraya mənbə və təyinat IP ünvanları, port nömrələri, sessiya təfərrüatları, əməliyyat məlumatları və ya hər hansı digər müvafiq atributlar kimi məlumatlar daxil ola bilər.
7).Trafikin Yönləndirilməsi və ya Filtrlənməsi: DPI təhlilinə əsasən, NPB xüsusi paketləri təhlükəsizlik cihazları, monitorinq alətləri və ya analitik platformalar kimi sonrakı emal üçün təyin olunmuş istiqamətlərə yönləndirə bilər.O, həmçinin müəyyən edilmiş məzmun və ya nümunələrə əsasən paketləri silmək və ya yönləndirmək üçün filtrləmə qaydalarını tətbiq edə bilər.
Göndərmə vaxtı: 25 iyun 2023-cü il
