การตรวจสอบแพ็คเก็ตลึก (ดีพีไอ)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPBs) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับละเอียด โดยเกี่ยวข้องกับการตรวจสอบเพย์โหลด ส่วนหัว และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็กเก็ตเพื่อรับข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการรับส่งข้อมูลเครือข่าย
DPI เป็นมากกว่าการวิเคราะห์ส่วนหัวง่ายๆ และให้ความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่าย ช่วยให้สามารถตรวจสอบโปรโตคอลชั้นแอปพลิเคชันในเชิงลึก เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลการสตรีมวิดีโอ ด้วยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลเฉพาะเจาะจงได้
นอกเหนือจากการวิเคราะห์ลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆ และเนื้อหาต่างๆ เมื่อข้อมูลแพ็กเก็ต 1P, TCP หรือ UDP ไหลผ่านระบบการจัดการแบนด์วิธที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของโหลดแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลเลเยอร์แอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อรับเนื้อหาของ โปรแกรมแอปพลิเคชันทั้งหมด จากนั้นจัดรูปแบบการรับส่งข้อมูลตามนโยบายการจัดการที่กำหนดโดยระบบ
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบเดิมมักจะขาดพลังในการประมวลผลเพื่อทำการตรวจสอบแบบเรียลไทม์อย่างละเอียดกับการรับส่งข้อมูลปริมาณมาก เนื่องจากความก้าวหน้าทางเทคโนโลยี DPI สามารถใช้ในการตรวจสอบส่วนหัวและข้อมูลที่ซับซ้อนมากขึ้นได้ โดยทั่วไปแล้ว ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักจะใช้ DPI ในโลกที่ข้อมูลดิจิทัลเป็นสิ่งสำคัญยิ่ง ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตในรูปแบบแพ็กเก็ตขนาดเล็ก ซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอป เว็บไซต์ที่เยี่ยมชม การสนทนาทางวิดีโอ และอื่นๆ นอกเหนือจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังรวมถึงข้อมูลเมตาที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆ ด้วยเทคโนโลยีการกรองแพ็คเก็ต สามารถตรวจสอบและจัดการข้อมูลได้อย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลจะถูกส่งต่อไปยังสถานที่ที่ถูกต้อง แต่เพื่อให้มั่นใจถึงความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบเดิมยังไม่เพียงพอ วิธีการหลักบางประการในการตรวจสอบแพ็คเก็ตเชิงลึกในการจัดการเครือข่ายมีดังต่อไปนี้:
โหมดการจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบการจับคู่กับฐานข้อมูลของการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีความสามารถของระบบตรวจจับการบุกรุก (IDS) IDS ค้นหารูปแบบเฉพาะที่เป็นอันตรายและปิดใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตราย ข้อเสียของนโยบายการจับคู่ลายเซ็นคือ ใช้กับลายเซ็นที่มีการอัปเดตบ่อยครั้งเท่านั้น นอกจากนี้เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่ทราบเท่านั้น
ข้อยกเว้นของโปรโตคอล
เนื่องจากเทคนิคข้อยกเว้นโปรโตคอลไม่เพียงแต่อนุญาตข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็น เทคนิคข้อยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS จึงไม่มีข้อบกพร่องโดยธรรมชาติของวิธีจับคู่รูปแบบ/ลายเซ็น แต่จะใช้นโยบายการปฏิเสธเริ่มต้นแทน ตามคำจำกัดความของโปรโตคอล ไฟร์วอลล์จะตัดสินใจว่าการรับส่งข้อมูลใดควรได้รับอนุญาตและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็กเก็ตที่เป็นอันตรายตามเนื้อหา ดังนั้นจึงหยุดการโจมตีที่น่าสงสัยแบบเรียลไทม์ ซึ่งหมายความว่าหากแพ็กเก็ตแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบ IPS จะบล็อกการรับส่งข้อมูลเครือข่ายในเชิงรุกตามกฎที่กำหนดไว้ ข้อเสียประการหนึ่งของ IPS คือความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์เป็นประจำพร้อมรายละเอียดเกี่ยวกับภัยคุกคามใหม่ๆ และความเป็นไปได้ที่จะเกิดผลบวกลวง แต่อันตรายนี้สามารถบรรเทาได้ด้วยการสร้างนโยบายอนุรักษ์นิยมและเกณฑ์ที่กำหนดเอง การสร้างพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบเครือข่าย และการประเมินคำเตือนและเหตุการณ์ที่รายงานเป็นระยะๆ เพื่อปรับปรุงการตรวจสอบและการแจ้งเตือน
1- DPI (Deep Packet Inspection) ใน Network Packet Broker
"เชิงลึก" คือการเปรียบเทียบการวิเคราะห์ระดับและแพ็คเก็ตธรรมดา "การตรวจสอบแพ็คเก็ตธรรมดา" เฉพาะการวิเคราะห์ต่อไปนี้ของชั้น IP แพ็คเก็ต 4 รวมถึงที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทางและประเภทโปรโตคอล และ DPI ยกเว้นแบบลำดับชั้น การวิเคราะห์ยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชัน ระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อให้ทราบถึงฟังก์ชันหลัก:
1) การวิเคราะห์แอปพลิเคชัน -- การวิเคราะห์องค์ประกอบการรับส่งข้อมูลเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์โฟลว์
2) การวิเคราะห์ผู้ใช้ - การแยกกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์เทอร์มินัล การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย -- การวิเคราะห์ตามคุณลักษณะของภูมิภาค (เมือง เขต ถนน ฯลฯ) และภาระงานของสถานีฐาน
4) การควบคุมการรับส่งข้อมูล -- การจำกัดความเร็ว P2P, การรับประกัน QoS, การรับประกันแบนด์วิธ, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย - การโจมตี DDoS, พายุการเผยแพร่ข้อมูล, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันมากมายบนอินเทอร์เน็ต แต่แอปพลิเคชันบนเว็บทั่วไปอาจมีจำนวนครบถ้วนสมบูรณ์
เท่าที่ฉันรู้ บริษัทจดจำแอปที่ดีที่สุดคือ Huawei ซึ่งอ้างว่ารู้จักแอปถึง 4,000 แอป การวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (Huawei, ZTE ฯลฯ) และยังเป็นโมดูลที่สำคัญมาก ซึ่งสนับสนุนการใช้งานโมดูลการทำงานอื่นๆ การระบุแอปพลิเคชันที่แม่นยำ และปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมาก ในการสร้างแบบจำลองการระบุมัลแวร์ตามลักษณะการรับส่งข้อมูลเครือข่าย ดังที่ฉันกำลังทำอยู่ การระบุโปรโตคอลที่แม่นยำและครอบคลุมก็มีความสำคัญมากเช่นกัน หากไม่รวมการรับส่งข้อมูลเครือข่ายของแอปพลิเคชันทั่วไปจากปริมาณการส่งออกของบริษัท ปริมาณการใช้งานที่เหลือจะคิดเป็นสัดส่วนเล็กน้อย ซึ่งจะดีกว่าสำหรับการวิเคราะห์และการเตือนมัลแวร์
จากประสบการณ์ของฉัน แอปพลิเคชันที่ใช้กันทั่วไปที่มีอยู่จะถูกจำแนกตามฟังก์ชัน:
PS: ตามความเข้าใจส่วนตัวเกี่ยวกับการจำแนกประเภทของแอปพลิเคชัน คุณมีข้อเสนอแนะที่ดีใด ๆ ยินดีที่จะฝากข้อเสนอข้อความไว้
1). อีเมล
2). วีดีโอ
3). เกมส์
4) ชั้นเรียน OA ของสำนักงาน
5). อัพเดตซอฟต์แวร์
6). การเงิน (ธนาคาร, อาลีเพย์)
7). หุ้น
8). การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9) การท่องเว็บ (อาจระบุได้ดีกว่าด้วย URL)
10) ดาวน์โหลดเครื่องมือ (เว็บดิสก์, ดาวน์โหลด P2P, เกี่ยวข้องกับ BT)
จากนั้น DPI (Deep Packet Inspection) ทำงานอย่างไรใน NPB:
1). การจับแพ็คเก็ต: NPB จับการรับส่งข้อมูลเครือข่ายจากแหล่งต่างๆ เช่น สวิตช์ เราเตอร์ หรือการแตะ รับแพ็กเก็ตที่ไหลผ่านเครือข่าย
2). การแยกวิเคราะห์แพ็คเก็ต: NPB แพ็คเก็ตที่จับได้จะถูกแยกวิเคราะห์เพื่อแยกเลเยอร์โปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้อง กระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวของอีเทอร์เน็ต ส่วนหัวของ IP ส่วนหัวของเลเยอร์การขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลของเลเยอร์แอปพลิเคชัน
3). การวิเคราะห์เพย์โหลด: ด้วย DPI NPB จะไปไกลกว่าการตรวจสอบส่วนหัวและมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ต โดยจะตรวจสอบเนื้อหาเพย์โหลดในเชิงลึก โดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้ เพื่อดึงข้อมูลที่เกี่ยวข้อง
4) การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ภายในการรับส่งข้อมูลเครือข่าย สามารถตรวจจับและจัดประเภทโปรโตคอล เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลการสตรีมวิดีโอ
5). การตรวจสอบเนื้อหา: DPI อนุญาตให้ NPB ตรวจสอบเนื้อหาของแพ็คเก็ตเพื่อหารูปแบบ ลายเซ็น หรือคำสำคัญที่เฉพาะเจาะจง ช่วยให้สามารถตรวจจับภัยคุกคามเครือข่าย เช่น มัลแวร์ ไวรัส การพยายามบุกรุก หรือกิจกรรมที่น่าสงสัย DPI สามารถใช้สำหรับการกรองเนื้อหา การบังคับใช้นโยบายเครือข่าย หรือการระบุการละเมิดการปฏิบัติตามข้อมูล
6). การดึงข้อมูลเมตา: ในระหว่าง DPI NPB จะแยกข้อมูลเมตาที่เกี่ยวข้องออกจากแพ็กเก็ต ซึ่งอาจรวมถึงข้อมูล เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือคุณลักษณะอื่นๆ ที่เกี่ยวข้อง
7). การกำหนดเส้นทางหรือการกรองการรับส่งข้อมูล: จากการวิเคราะห์ DPI นั้น NPB สามารถกำหนดเส้นทางแพ็กเก็ตเฉพาะไปยังปลายทางที่กำหนดเพื่อการประมวลผลเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มการวิเคราะห์ นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อละทิ้งหรือเปลี่ยนเส้นทางแพ็กเก็ตตามเนื้อหาหรือรูปแบบที่ระบุ
เวลาโพสต์: 25 มิ.ย.-2023
