การตรวจสอบแพ็กเก็ตเชิงลึก (ดีพีไอ)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPBs) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับละเอียด โดยจะตรวจสอบข้อมูลส่วนเนื้อหา (payload), ส่วนหัว (headers) และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็กเก็ต เพื่อให้ได้ข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการรับส่งข้อมูลในเครือข่าย
DPI ก้าวข้ามการวิเคราะห์ส่วนหัวแบบธรรมดาและให้ความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่าย ช่วยให้สามารถตรวจสอบโปรโตคอลระดับแอปพลิเคชันได้อย่างละเอียด เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลการสตรีมวิดีโอ โดยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลเฉพาะได้
นอกจากการวิเคราะห์แบบลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์ระดับแอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆ และเนื้อหาของแอปพลิเคชันเหล่านั้น เมื่อแพ็กเก็ต 1P ข้อมูล TCP หรือ UDP ไหลผ่านระบบจัดการแบนด์วิดท์ที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลระดับแอปพลิเคชันในโปรโตคอล OSI Layer 7 เพื่อให้ได้เนื้อหาของโปรแกรมแอปพลิเคชันทั้งหมด จากนั้นจึงกำหนดรูปแบบการรับส่งข้อมูลตามนโยบายการจัดการที่ระบบกำหนด
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบดั้งเดิมมักขาดกำลังประมวลผลในการตรวจสอบแบบเรียลไทม์อย่างละเอียดถี่ถ้วนกับปริมาณการรับส่งข้อมูลจำนวนมาก เมื่อเทคโนโลยีพัฒนาขึ้น DPI สามารถนำมาใช้ในการตรวจสอบที่ซับซ้อนมากขึ้นเพื่อตรวจสอบส่วนหัวและข้อมูล โดยทั่วไปแล้ว ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักใช้ DPI ในโลกที่ข้อมูลดิจิทัลมีความสำคัญสูงสุด ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตในรูปแบบแพ็กเก็ตขนาดเล็ก ซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอป เว็บไซต์ที่เข้าชม การสนทนาทางวิดีโอ และอื่นๆ นอกจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังรวมถึงเมตาเดต้าที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆ ด้วยเทคโนโลยีการกรองแพ็กเก็ต ข้อมูลสามารถถูกตรวจสอบและจัดการได้อย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลถูกส่งต่อไปยังที่ที่ถูกต้อง แต่เพื่อให้มั่นใจในความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบดั้งเดิมนั้นยังไม่เพียงพอ วิธีการหลักบางส่วนของการตรวจสอบแพ็กเก็ตเชิงลึกในการจัดการเครือข่ายมีดังต่อไปนี้:
โหมดการจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบเพื่อหาการจับคู่กับฐานข้อมูลการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุก (IDS) IDS จะค้นหารูปแบบเฉพาะที่เป็นอันตรายที่รู้จักและปิดกั้นการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตราย ข้อเสียของนโยบายการจับคู่ลายเซ็นคือใช้ได้เฉพาะกับลายเซ็นที่ได้รับการอัปเดตบ่อยเท่านั้น นอกจากนี้ เทคโนโลยีนี้สามารถป้องกันได้เฉพาะภัยคุกคามหรือการโจมตีที่รู้จักเท่านั้น
ข้อยกเว้นโปรโตคอล
เนื่องจากเทคนิคการยกเว้นโปรโตคอลไม่ได้อนุญาตข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็น เทคนิคการยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS จึงไม่มีข้อบกพร่องโดยเนื้อแท้ของวิธีการจับคู่รูปแบบ/ลายเซ็น แต่จะใช้หลักการปฏิเสธตามค่าเริ่มต้นแทน ตามคำจำกัดความของโปรโตคอล ไฟร์วอลล์จะตัดสินใจว่าควรอนุญาตการรับส่งข้อมูลใดและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็กเก็ตที่เป็นอันตรายโดยพิจารณาจากเนื้อหาของแพ็กเก็ตนั้น ๆ ซึ่งจะช่วยหยุดการโจมตีที่ต้องสงสัยได้แบบเรียลไทม์ หมายความว่า หากแพ็กเก็ตใดแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบแล้ว IPS จะบล็อกการรับส่งข้อมูลเครือข่ายโดยอัตโนมัติตามชุดกฎที่กำหนดไว้ ข้อเสียอย่างหนึ่งของ IPS คือ ความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอด้วยรายละเอียดเกี่ยวกับภัยคุกคามใหม่ ๆ และความเป็นไปได้ที่จะเกิดการแจ้งเตือนผิดพลาด แต่ความเสี่ยงนี้สามารถลดลงได้โดยการสร้างนโยบายที่เข้มงวดและเกณฑ์ที่กำหนดเอง การกำหนดพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบเครือข่าย และการประเมินคำเตือนและเหตุการณ์ที่รายงานเป็นระยะเพื่อเพิ่มประสิทธิภาพการตรวจสอบและการแจ้งเตือน
1. การตรวจสอบแพ็กเก็ตเชิงลึก (DPI - Deep Packet Inspection) ใน Network Packet Broker
"การตรวจสอบแบบละเอียด" (Deep Packet Inspection หรือ DPI) เป็นการเปรียบเทียบระหว่างการตรวจสอบแบบละเอียดและการตรวจสอบแบบทั่วไป โดย "การตรวจสอบแบบทั่วไป" จะวิเคราะห์แพ็กเก็ต IP เพียง 4 เลเยอร์ ได้แก่ ที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอล ในขณะที่ DPI นอกจากการวิเคราะห์แบบลำดับชั้นแล้ว ยังเพิ่มการวิเคราะห์ในเลเยอร์แอปพลิเคชัน เพื่อระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อให้ได้ฟังก์ชันหลักดังนี้:
1) การวิเคราะห์แอปพลิเคชัน -- การวิเคราะห์องค์ประกอบการรับส่งข้อมูลเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์การไหลของข้อมูล
2) การวิเคราะห์ผู้ใช้ -- การจำแนกกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์ปลายทาง การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย -- การวิเคราะห์โดยพิจารณาจากคุณลักษณะระดับภูมิภาค (เมือง เขต ถนน ฯลฯ) และภาระการใช้งานสถานีฐาน
4) การควบคุมปริมาณการรับส่งข้อมูล -- การจำกัดความเร็ว P2P, การรับประกันคุณภาพบริการ (QoS), การรับประกันแบนด์วิดท์, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย เป็นต้น
5) การรับประกันความปลอดภัย -- การโจมตีแบบ DDoS, การโจมตีด้วยการกระจายข้อมูลจำนวนมาก, การป้องกันการโจมตีจากไวรัสที่เป็นอันตราย ฯลฯ
2. การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันมากมายนับไม่ถ้วนบนอินเทอร์เน็ต แต่แอปพลิเคชันบนเว็บทั่วไปก็อาจครอบคลุมจนครบถ้วนแล้ว
เท่าที่ผมทราบ บริษัทที่เก่งที่สุดในการระบุแอปพลิเคชันคือ Huawei ซึ่งอ้างว่าสามารถระบุได้ถึง 4,000 แอป การวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (Huawei, ZTE เป็นต้น) และยังเป็นโมดูลที่สำคัญมาก ซึ่งสนับสนุนการทำงานของโมดูลฟังก์ชันอื่นๆ การระบุแอปพลิเคชันที่แม่นยำ และการปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมาก ในการสร้างแบบจำลองการระบุไวรัสโดยอิงจากลักษณะการรับส่งข้อมูลเครือข่ายอย่างที่ผมกำลังทำอยู่ตอนนี้ การระบุโปรโตคอลที่แม่นยำและครอบคลุมก็มีความสำคัญมากเช่นกัน การแยกการรับส่งข้อมูลเครือข่ายของแอปพลิเคชันทั่วไปออกจากการรับส่งข้อมูลส่งออกของบริษัท จะทำให้การรับส่งข้อมูลที่เหลือมีสัดส่วนน้อยลง ซึ่งดีกว่าสำหรับการวิเคราะห์และแจ้งเตือนไวรัส
จากประสบการณ์ของผม แอปพลิเคชันที่ใช้กันทั่วไปในปัจจุบันนั้นถูกจำแนกตามฟังก์ชันการใช้งานดังนี้:
ปล. จากความเข้าใจส่วนตัวเกี่ยวกับการจำแนกประเภทแอปพลิเคชัน หากคุณมีข้อเสนอแนะที่ดีใด ๆ โปรดฝากข้อความไว้ได้เลย
1). อีเมล
2). วิดีโอ
3). เกมส์
4). คลาส Office OA
5). การอัปเดตซอฟต์แวร์
6). ด้านการเงิน (ธนาคาร, Alipay)
7). หุ้น
8). การสื่อสารทางสังคม (โปรแกรมแชท)
9). การท่องเว็บ (อาจระบุได้ชัดเจนกว่าด้วย URL)
10). เครื่องมือดาวน์โหลด (เว็บดิสก์, การดาวน์โหลดแบบ P2P, ที่เกี่ยวข้องกับบลูทูธ)
ต่อไปนี้คือวิธีการทำงานของ DPI (Deep Packet Inspection) ใน NPB:
1). การดักจับแพ็กเก็ต: NPB จะดักจับข้อมูลเครือข่ายจากแหล่งต่างๆ เช่น สวิตช์ เราเตอร์ หรือแทป โดยจะรับแพ็กเก็ตที่ไหลผ่านเครือข่าย
2). การแยกวิเคราะห์แพ็กเก็ต: แพ็กเก็ตที่ถูกจับได้จะถูกแยกวิเคราะห์โดย NPB เพื่อแยกเลเยอร์โปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้อง กระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวอีเธอร์เน็ต ส่วนหัว IP ส่วนหัวเลเยอร์การขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลเลเยอร์แอปพลิเคชัน
3) การวิเคราะห์เพย์โหลด: ด้วย DPI (Digital Profiler) NPB จะก้าวข้ามการตรวจสอบเฉพาะส่วนหัวและมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ต โดยจะตรวจสอบเนื้อหาของเพย์โหลดอย่างละเอียด ไม่ว่าจะเป็นแอปพลิเคชันหรือโปรโตคอลใด เพื่อดึงข้อมูลที่เกี่ยวข้องออกมา
4) การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ในทราฟฟิกเครือข่ายได้ สามารถตรวจจับและจำแนกโปรโตคอลต่างๆ เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลการสตรีมวิดีโอได้
5) การตรวจสอบเนื้อหา: DPI ช่วยให้ NPB สามารถตรวจสอบเนื้อหาของแพ็กเก็ตเพื่อหารูปแบบ ลายเซ็น หรือคำสำคัญที่เฉพาะเจาะจง ซึ่งช่วยให้ตรวจจับภัยคุกคามเครือข่าย เช่น มัลแวร์ ไวรัส การพยายามบุกรุก หรือกิจกรรมที่น่าสงสัยได้ นอกจากนี้ DPI ยังสามารถใช้สำหรับการกรองเนื้อหา การบังคับใช้นโยบายเครือข่าย หรือการระบุการละเมิดการปฏิบัติตามข้อกำหนดด้านข้อมูลได้อีกด้วย
6). การดึงข้อมูลเมตา: ในระหว่าง DPI นั้น NPB จะดึงข้อมูลเมตาที่เกี่ยวข้องจากแพ็กเก็ต ซึ่งอาจรวมถึงข้อมูลต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือคุณลักษณะอื่นๆ ที่เกี่ยวข้อง
7). การกำหนดเส้นทางหรือการกรองข้อมูล: จากการวิเคราะห์ DPI ระบบ NPB สามารถกำหนดเส้นทางแพ็กเก็ตเฉพาะไปยังปลายทางที่กำหนดเพื่อประมวลผลเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มวิเคราะห์ นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อทิ้งหรือเปลี่ยนเส้นทางแพ็กเก็ตตามเนื้อหาหรือรูปแบบที่ระบุได้
วันที่โพสต์: 25 มิถุนายน 2023
