การตรวจสอบแพ็คเก็ตลึก (DPI)เป็นเทคโนโลยีที่ใช้ในเครือข่ายแพ็คเก็ตโบรกเกอร์ (NPBS) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็คเก็ตเครือข่ายในระดับละเอียด มันเกี่ยวข้องกับการตรวจสอบข้อมูลส่วนหัวและข้อมูลเฉพาะโปรโตคอลอื่น ๆ ภายในแพ็คเก็ตเพื่อรับข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการรับส่งข้อมูลเครือข่าย
DPI นอกเหนือไปจากการวิเคราะห์ส่วนหัวอย่างง่ายและให้ความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่าย ช่วยให้การตรวจสอบเชิงลึกของโปรโตคอลเลเยอร์แอปพลิเคชันเช่น HTTP, FTP, SMTP, VOIP หรือโปรโตคอลการสตรีมวิดีโอ โดยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชันเฉพาะโปรโตคอลหรือแม้แต่รูปแบบข้อมูลเฉพาะ
นอกเหนือจากการวิเคราะห์ตามลำดับชั้นของที่อยู่ต้นทางที่อยู่ปลายทางพอร์ตต้นทางพอร์ตปลายทางและประเภทโปรโตคอล DPI ยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆและเนื้อหาของพวกเขา เมื่อแพ็คเก็ต 1p, TCP หรือ UDP Data Flow ผ่านระบบการจัดการแบนด์วิดท์ที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของโหลดแพ็คเก็ต 1p เพื่อจัดระเบียบข้อมูลเลเยอร์แอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อรับเนื้อหาของโปรแกรมแอปพลิเคชันทั้งหมด
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบดั้งเดิมมักจะขาดพลังการประมวลผลในการตรวจสอบเรียลไทม์อย่างละเอียดเกี่ยวกับปริมาณการใช้งานจำนวนมาก ในฐานะที่เป็นความก้าวหน้าทางเทคโนโลยี DPI สามารถใช้ในการตรวจสอบที่ซับซ้อนมากขึ้นเพื่อตรวจสอบส่วนหัวและข้อมูล โดยทั่วไปไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักจะใช้ DPI ในโลกที่ข้อมูลดิจิทัลเป็นสิ่งสำคัญยิ่งข้อมูลดิจิตอลทุกชิ้นจะถูกส่งผ่านทางอินเทอร์เน็ตในแพ็คเก็ตขนาดเล็ก ซึ่งรวมถึงอีเมลข้อความที่ส่งผ่านแอพเว็บไซต์ที่เยี่ยมชมการสนทนาวิดีโอและอื่น ๆ นอกเหนือจากข้อมูลจริงแพ็กเก็ตเหล่านี้ยังมีข้อมูลเมตาที่ระบุแหล่งข้อมูลการรับส่งข้อมูลเนื้อหาปลายทางและข้อมูลสำคัญอื่น ๆ ด้วยเทคโนโลยีการกรองแพ็คเก็ตข้อมูลสามารถตรวจสอบและจัดการอย่างต่อเนื่องเพื่อให้แน่ใจว่ามันถูกส่งต่อไปยังสถานที่ที่เหมาะสม แต่เพื่อความปลอดภัยของเครือข่ายการกรองแพ็คเก็ตแบบดั้งเดิมนั้นยังไม่เพียงพอ วิธีการหลักบางอย่างของการตรวจสอบแพ็คเก็ตลึกในการจัดการเครือข่ายแสดงอยู่ด้านล่าง:
โหมดจับคู่/ลายเซ็น
แต่ละแพ็คเก็ตจะถูกตรวจสอบสำหรับการจับคู่กับฐานข้อมูลของการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีความสามารถในการตรวจจับการบุกรุก (IDS) IDS ค้นหารูปแบบเฉพาะที่เป็นอันตรายและปิดการใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตราย ข้อเสียของนโยบายการจับคู่ลายเซ็นคือใช้เฉพาะกับลายเซ็นที่อัปเดตบ่อยครั้ง นอกจากนี้เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่รู้จักเท่านั้น
ข้อยกเว้นโปรโตคอล
เนื่องจากเทคนิคการยกเว้นโปรโตคอลไม่เพียงอนุญาตให้ข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็นเทคนิคการยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS ไม่มีข้อบกพร่องโดยธรรมชาติของวิธีการจับคู่รูปแบบ/ลายเซ็น แต่จะใช้นโยบายการปฏิเสธเริ่มต้น ตามคำจำกัดความของโปรโตคอลไฟร์วอลล์ตัดสินใจว่าควรอนุญาตให้รับส่งข้อมูลใดและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็คเก็ตที่เป็นอันตรายตามเนื้อหาของพวกเขาซึ่งจะหยุดการโจมตีที่น่าสงสัยในเวลาจริง ซึ่งหมายความว่าหากแพ็คเก็ตแสดงถึงความเสี่ยงด้านความปลอดภัยที่รู้จัก IPS จะบล็อกการรับส่งข้อมูลเครือข่ายเชิงรุกตามชุดของกฎที่กำหนดไว้ ข้อเสียอย่างหนึ่งของ IPS คือความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามไซเบอร์เป็นประจำพร้อมรายละเอียดเกี่ยวกับภัยคุกคามใหม่และความเป็นไปได้ของผลบวกที่ผิดพลาด แต่อันตรายนี้สามารถบรรเทาได้โดยการสร้างนโยบายอนุรักษ์นิยมและเกณฑ์ที่กำหนดเองการสร้างพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบเครือข่ายและการประเมินคำเตือนเป็นระยะและรายงานเหตุการณ์เพื่อเพิ่มการตรวจสอบและแจ้งเตือน
1- DPI (การตรวจสอบแพ็คเก็ตลึก) ในโบรกเกอร์แพ็คเก็ตเครือข่าย
การเปรียบเทียบระดับ "ลึก" คือการเปรียบเทียบการวิเคราะห์แพ็คเก็ตทั่วไป "การตรวจสอบแพ็คเก็ตธรรมดา" เฉพาะการวิเคราะห์ต่อไปนี้ของ IP Packet 4 Layer รวมถึงที่อยู่ต้นทางที่อยู่ปลายทางพอร์ตต้นทางพอร์ตปลายทางและประเภทโปรโตคอลและ DPI ยกเว้นการวิเคราะห์ลำดับชั้นยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชัน
1) การวิเคราะห์แอปพลิเคชัน - การวิเคราะห์องค์ประกอบการจราจรเครือข่ายการวิเคราะห์ประสิทธิภาพและการวิเคราะห์การไหล
2) การวิเคราะห์ผู้ใช้ - ความแตกต่างของกลุ่มผู้ใช้การวิเคราะห์พฤติกรรมการวิเคราะห์เทอร์มินัลการวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย - การวิเคราะห์ตามคุณลักษณะระดับภูมิภาค (เมือง, อำเภอ, ถนน, ฯลฯ ) และโหลดสถานีฐาน
4) การควบคุมการจราจร - การ จำกัด ความเร็ว P2P, การประกัน QoS, การประกันแบนด์วิดธ์, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย - การโจมตี DDOS, พายุออกอากาศข้อมูล, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
วันนี้มีแอพพลิเคชั่นนับไม่ถ้วนบนอินเทอร์เน็ต แต่เว็บแอปพลิเคชันทั่วไปสามารถครบถ้วนสมบูรณ์
เท่าที่ฉันรู้ บริษัท รับรู้แอพที่ดีที่สุดคือ Huawei ซึ่งอ้างว่ารับรู้แอพ 4,000 แอพ การวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของ บริษัท ไฟร์วอลล์หลายแห่ง (Huawei, ZTE ฯลฯ ) และเป็นโมดูลที่สำคัญมากสนับสนุนการตระหนักถึงโมดูลการทำงานอื่น ๆ การระบุแอปพลิเคชันที่แม่นยำและปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมาก ในการสร้างแบบจำลองการระบุมัลแวร์ตามลักษณะการจราจรของเครือข่ายในขณะที่ฉันกำลังทำอยู่ตอนนี้การระบุโปรโตคอลที่ถูกต้องและกว้างขวางก็มีความสำคัญเช่นกัน หากไม่รวมการรับส่งข้อมูลเครือข่ายของแอปพลิเคชันทั่วไปจากปริมาณการส่งออกของ บริษัท การรับส่งข้อมูลที่เหลือจะมีสัดส่วนเล็กน้อยซึ่งดีกว่าสำหรับการวิเคราะห์มัลแวร์และการเตือนภัย
จากประสบการณ์ของฉันแอปพลิเคชันที่ใช้กันทั่วไปที่มีอยู่จะถูกจัดประเภทตามฟังก์ชั่นของพวกเขา:
PS: ตามความเข้าใจส่วนบุคคลของการจำแนกประเภทแอปพลิเคชันคุณมีข้อเสนอแนะที่ดียินดีต้อนรับที่จะทิ้งข้อเสนอข้อความ
1). อีเมล
2). วิดีโอ
3). เกม
4). Office OA Class
5). การอัปเดตซอฟต์แวร์
6). การเงิน (ธนาคาร, Alipay)
7). สต็อก
8). การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9). การท่องเว็บ (อาจระบุได้ดีกว่าด้วย URL)
10). ดาวน์โหลดเครื่องมือ (Web Disk, P2P ดาวน์โหลด, BT ที่เกี่ยวข้อง)
จากนั้น DPI (การตรวจสอบแพ็คเก็ตลึก) ทำงานอย่างไรใน NPB:
1). การจับแพ็คเก็ต: NPB จับการรับส่งข้อมูลเครือข่ายจากแหล่งต่าง ๆ เช่นสวิตช์เราเตอร์หรือก๊อก ได้รับแพ็คเก็ตที่ไหลผ่านเครือข่าย
2). การแยกวิเคราะห์แพ็คเก็ต: แพ็คเก็ตที่จับได้จะถูกแยกวิเคราะห์โดย NPB เพื่อแยกชั้นโปรโตคอลต่าง ๆ และข้อมูลที่เกี่ยวข้อง กระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบที่แตกต่างกันภายในแพ็คเก็ตเช่นส่วนหัวอีเธอร์เน็ตส่วนหัว IP, ส่วนหัวของชั้นการขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลเลเยอร์แอปพลิเคชัน
3). การวิเคราะห์น้ำหนักบรรทุก: ด้วย DPI NPB นั้นนอกเหนือจากการตรวจสอบส่วนหัวและมุ่งเน้นไปที่น้ำหนักบรรทุกรวมถึงข้อมูลจริงภายในแพ็กเก็ต มันตรวจสอบเนื้อหาเพย์โหลดในเชิงลึกโดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้เพื่อแยกข้อมูลที่เกี่ยวข้อง
4). การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ภายในการรับส่งข้อมูลเครือข่าย มันสามารถตรวจจับและจำแนกโปรโตคอลเช่น HTTP, FTP, SMTP, DNS, VOIP หรือโปรโตคอลการสตรีมวิดีโอ
5). การตรวจสอบเนื้อหา: DPI อนุญาตให้ NPB ตรวจสอบเนื้อหาของแพ็กเก็ตสำหรับรูปแบบเฉพาะลายเซ็นหรือคำหลัก สิ่งนี้ช่วยให้การตรวจจับภัยคุกคามเครือข่ายเช่นมัลแวร์ไวรัสความพยายามในการบุกรุกหรือกิจกรรมที่น่าสงสัย DPI ยังสามารถใช้สำหรับการกรองเนื้อหาการบังคับใช้นโยบายเครือข่ายหรือระบุการละเมิดการปฏิบัติตามข้อมูล
6). การสกัดข้อมูลเมตา: ในระหว่าง DPI สารสกัด NPB ที่เกี่ยวข้องกับเมตาดาต้าที่เกี่ยวข้องจากแพ็คเก็ต ซึ่งอาจรวมถึงข้อมูลเช่นที่อยู่ IP ต้นทางและปลายทางหมายเลขพอร์ตรายละเอียดเซสชันข้อมูลธุรกรรมหรือแอตทริบิวต์อื่น ๆ ที่เกี่ยวข้อง
7). การกำหนดเส้นทางการจราจรหรือการกรอง: ขึ้นอยู่กับการวิเคราะห์ DPI NPB สามารถกำหนดเส้นทางแพ็คเก็ตเฉพาะไปยังจุดหมายปลายทางที่กำหนดสำหรับการประมวลผลเพิ่มเติมเช่นเครื่องใช้ความปลอดภัยเครื่องมือตรวจสอบหรือแพลตฟอร์มการวิเคราะห์ นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อยกเลิกหรือเปลี่ยนเส้นทางแพ็คเก็ตตามเนื้อหาหรือรูปแบบที่ระบุ
เวลาโพสต์: มิ.ย. 25-2023
