การตรวจสอบแพ็กเก็ตเชิงลึก (ดีพีไอ)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPBs) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับละเอียด เกี่ยวข้องกับการตรวจสอบเพย์โหลด เฮดเดอร์ และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็กเก็ต เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับทราฟฟิกเครือข่ายอย่างละเอียด
DPI เหนือกว่าการวิเคราะห์ส่วนหัวแบบธรรมดา และให้ความเข้าใจเชิงลึกเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่าย ช่วยให้สามารถตรวจสอบโปรโตคอลในชั้นแอปพลิเคชัน เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลการสตรีมวิดีโอได้อย่างลึกซึ้ง ด้วยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลที่เฉพาะเจาะจงได้
นอกจากการวิเคราะห์ลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆ และเนื้อหา เมื่อข้อมูลแพ็กเก็ต 1P, TCP หรือ UDP ไหลผ่านระบบการจัดการแบนด์วิดท์ที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลชั้นแอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อให้ได้เนื้อหาของโปรแกรมแอปพลิเคชันทั้งหมด จากนั้นจึงกำหนดรูปแบบการรับส่งข้อมูลตามนโยบายการจัดการที่ระบบกำหนดไว้
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบดั้งเดิมมักขาดพลังการประมวลผลที่เพียงพอสำหรับการตรวจสอบปริมาณการรับส่งข้อมูลขนาดใหญ่แบบเรียลไทม์อย่างละเอียดถี่ถ้วน ด้วยความก้าวหน้าทางเทคโนโลยี DPI จึงสามารถใช้ตรวจสอบส่วนหัวและข้อมูลที่ซับซ้อนยิ่งขึ้นได้ โดยทั่วไป ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักใช้ DPI ในโลกที่ข้อมูลดิจิทัลมีความสำคัญสูงสุด ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตเป็นแพ็กเก็ตขนาดเล็ก ซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอปพลิเคชัน เว็บไซต์ที่เข้าชม การสนทนาทางวิดีโอ และอื่นๆ นอกจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังมีข้อมูลเมตาที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆ ด้วยเทคโนโลยีการกรองแพ็กเก็ต สามารถตรวจสอบและจัดการข้อมูลอย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลถูกส่งต่อไปยังตำแหน่งที่ถูกต้อง แต่เพื่อความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบดั้งเดิมยังไม่เพียงพอ วิธีการหลักๆ ของการตรวจสอบแพ็กเก็ตเชิงลึกในการจัดการเครือข่ายมีดังนี้:
โหมดการจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบความตรงกันกับฐานข้อมูลการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุก (IDS) IDS จะค้นหารูปแบบเฉพาะที่เป็นอันตรายที่รู้จัก และจะปิดใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตราย ข้อเสียของนโยบายการจับคู่ลายเซ็นคือจะใช้ได้กับลายเซ็นที่มีการอัปเดตบ่อยครั้งเท่านั้น นอกจากนี้ เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่รู้จักได้เท่านั้น
ข้อยกเว้นโปรโตคอล
เนื่องจากเทคนิคการยกเว้นโปรโตคอลไม่ได้อนุญาตเฉพาะข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็นเท่านั้น เทคนิคการยกเว้นโปรโตคอลที่ไฟร์วอลล์ IDS ใช้จึงไม่มีข้อบกพร่องโดยธรรมชาติของวิธีการจับคู่รูปแบบ/ลายเซ็น แต่จะใช้นโยบายการปฏิเสธเริ่มต้นแทน ตามนิยามของโปรโตคอล ไฟร์วอลล์จะเป็นผู้ตัดสินใจว่าควรอนุญาตการรับส่งข้อมูลใด และปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการรับส่งข้อมูลแพ็กเก็ตที่เป็นอันตรายโดยพิจารณาจากเนื้อหา จึงสามารถหยุดยั้งการโจมตีที่น่าสงสัยได้แบบเรียลไทม์ ซึ่งหมายความว่าหากแพ็กเก็ตนั้นแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบ IPS จะบล็อกการรับส่งข้อมูลเครือข่ายเชิงรุกตามกฎที่กำหนดไว้ ข้อเสียอย่างหนึ่งของ IPS คือความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์เป็นประจำด้วยรายละเอียดเกี่ยวกับภัยคุกคามใหม่ๆ และความเสี่ยงที่อาจเกิดผลบวกลวง อย่างไรก็ตาม อันตรายนี้สามารถบรรเทาได้โดยการสร้างนโยบายและเกณฑ์มาตรฐานที่กำหนดเอง การกำหนดพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบของเครือข่าย และการประเมินคำเตือนและเหตุการณ์ที่รายงานเป็นระยะๆ เพื่อเพิ่มประสิทธิภาพในการตรวจสอบและแจ้งเตือน
1- DPI (การตรวจสอบแพ็กเก็ตเชิงลึก) ใน Network Packet Broker
การวิเคราะห์แพ็กเก็ตแบบ "ลึก" เป็นการเปรียบเทียบระดับและแบบธรรมดา ส่วน "การตรวจสอบแพ็กเก็ตแบบธรรมดา" จะทำการวิเคราะห์แพ็กเก็ต IP 4 ชั้น ได้แก่ ที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอล รวมถึง DPI ยกเว้นการวิเคราะห์แบบลำดับชั้น ซึ่งยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชัน ระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อบรรลุฟังก์ชันหลัก:
1) การวิเคราะห์แอปพลิเคชัน - การวิเคราะห์องค์ประกอบปริมาณการรับส่งข้อมูลเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์การไหล
2) การวิเคราะห์ผู้ใช้ - การแยกกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์ปลายทาง การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย – การวิเคราะห์ตามคุณลักษณะของภูมิภาค (เมือง อำเภอ ถนน ฯลฯ) และโหลดสถานีฐาน
4) การควบคุมการจราจร -- การจำกัดความเร็ว P2P, การรับรอง QoS, การรับรองแบนด์วิดท์, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย -- การโจมตี DDoS, การกระจายข้อมูล, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันบนอินเทอร์เน็ตมากมาย แต่แอปพลิเคชันเว็บทั่วไปก็อาจมีปริมาณมากเกินไป
เท่าที่ผมทราบ บริษัทที่รู้จักแอปพลิเคชันที่ดีที่สุดคือ Huawei ซึ่งอ้างว่าสามารถจดจำแอปพลิเคชันได้ถึง 4,000 แอป การวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (เช่น Huawei, ZTE) และยังเป็นโมดูลที่สำคัญมาก ซึ่งช่วยให้สามารถใช้งานโมดูลอื่นๆ ได้อย่างมีประสิทธิภาพ ระบุแอปพลิเคชันได้อย่างแม่นยำ และช่วยปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์ได้อย่างมาก ในการสร้างแบบจำลองการระบุมัลแวร์โดยอิงจากลักษณะเฉพาะของทราฟฟิกเครือข่าย ดังที่ผมกำลังทำอยู่นี้ การระบุโปรโตคอลที่แม่นยำและครอบคลุมก็มีความสำคัญเช่นกัน หากไม่รวมทราฟฟิกเครือข่ายของแอปพลิเคชันทั่วไปจากทราฟฟิกที่ส่งออกของบริษัท ทราฟฟิกที่เหลือจะมีสัดส่วนเพียงเล็กน้อย ซึ่งเหมาะสำหรับการวิเคราะห์และแจ้งเตือนมัลแวร์
จากประสบการณ์ของฉัน แอปพลิเคชันที่ใช้กันทั่วไปในปัจจุบันจะถูกจัดประเภทตามฟังก์ชันดังนี้:
ปล. ตามความเข้าใจส่วนบุคคลของการจำแนกประเภทแอปพลิเคชัน หากคุณมีข้อเสนอแนะดีๆ โปรดฝากข้อความไว้
1). อีเมล์
2). วิดีโอ
3). เกม
4). ชั้นเรียน OA ของสำนักงาน
5). อัปเดตซอฟต์แวร์
6). การเงิน (ธนาคาร, Alipay)
7). หุ้น
8). การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9) การท่องเว็บ (อาจจะระบุได้ดีกว่าด้วย URL)
10) เครื่องมือดาวน์โหลด (เว็บดิสก์, ดาวน์โหลด P2P, เกี่ยวข้องกับ BT)
แล้ว DPI (Deep Packet Inspection) ทำงานอย่างไรใน NPB:
1) การจับแพ็กเก็ต: NPB จะจับทราฟฟิกเครือข่ายจากแหล่งต่างๆ เช่น สวิตช์ เราเตอร์ หรือแท็ป โดยจะรับแพ็กเก็ตที่ไหลผ่านเครือข่าย
2) การแยกวิเคราะห์แพ็กเก็ต: แพ็กเก็ตที่ถูกจับจะถูกแยกวิเคราะห์โดย NPB เพื่อแยกชั้นโปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้อง กระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวของอีเทอร์เน็ต ส่วนหัวของ IP ส่วนหัวของชั้นการขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลของชั้นแอปพลิเคชัน
3) การวิเคราะห์เพย์โหลด: ด้วย DPI NPB จะตรวจสอบเพย์โหลดได้มากกว่าการตรวจสอบเฮดเดอร์ และมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ต ระบบจะตรวจสอบเนื้อหาเพย์โหลดอย่างละเอียด โดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้ เพื่อดึงข้อมูลที่เกี่ยวข้องออกมา
4) การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ภายในการรับส่งข้อมูลเครือข่าย สามารถตรวจจับและจำแนกโปรโตคอลต่างๆ เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลสตรีมมิ่งวิดีโอ
5) การตรวจสอบเนื้อหา: DPI ช่วยให้ NPB สามารถตรวจสอบเนื้อหาของแพ็กเก็ตเพื่อหารูปแบบ ลายเซ็น หรือคำสำคัญที่เฉพาะเจาะจง ซึ่งช่วยให้สามารถตรวจจับภัยคุกคามบนเครือข่าย เช่น มัลแวร์ ไวรัส การพยายามบุกรุก หรือกิจกรรมที่น่าสงสัย นอกจากนี้ DPI ยังสามารถใช้สำหรับการกรองเนื้อหา การบังคับใช้นโยบายเครือข่าย หรือการระบุการละเมิดการปฏิบัติตามข้อกำหนดด้านข้อมูล
6) การดึงข้อมูลเมตา: ระหว่าง DPI, NPB จะดึงข้อมูลเมตาที่เกี่ยวข้องจากแพ็กเก็ต ซึ่งอาจรวมถึงข้อมูลต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือแอตทริบิวต์อื่นๆ ที่เกี่ยวข้อง
7) การกำหนดเส้นทางหรือการกรองข้อมูลการรับส่งข้อมูล: จากการวิเคราะห์ DPI NPB สามารถกำหนดเส้นทางแพ็กเก็ตเฉพาะไปยังปลายทางที่กำหนดเพื่อดำเนินการประมวลผลเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มวิเคราะห์ นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อยกเลิกหรือเปลี่ยนเส้นทางแพ็กเก็ตตามเนื้อหาหรือรูปแบบที่ระบุ
เวลาโพสต์: 25 มิ.ย. 2566
