การตรวจสอบแพ็กเก็ตเชิงลึก (ด.พี.ไอ.)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPBs) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับรายละเอียด ซึ่งเกี่ยวข้องกับการตรวจสอบเพย์โหลด เฮดเดอร์ และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็กเก็ต เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับปริมาณการรับส่งข้อมูลบนเครือข่าย
DPI ไม่เพียงแต่วิเคราะห์ส่วนหัวอย่างง่าย แต่ยังช่วยให้เข้าใจข้อมูลที่ไหลผ่านเครือข่ายได้อย่างลึกซึ้ง ช่วยให้ตรวจสอบโปรโตคอลของชั้นแอปพลิเคชัน เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลสตรีมมิ่งวิดีโอได้อย่างละเอียด โดยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลเฉพาะได้
นอกจากการวิเคราะห์ลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆ และเนื้อหาของแอปพลิเคชันเหล่านั้นอีกด้วย เมื่อข้อมูลแพ็กเก็ต 1P, TCP หรือ UDP ไหลผ่านระบบการจัดการแบนด์วิดท์ที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของโหลดแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลชั้นแอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อให้ได้เนื้อหาของโปรแกรมแอปพลิเคชันทั้งหมด จากนั้นจึงกำหนดรูปแบบการรับส่งข้อมูลตามนโยบายการจัดการที่กำหนดโดยระบบ
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบดั้งเดิมมักขาดพลังการประมวลผลเพื่อทำการตรวจสอบแบบเรียลไทม์อย่างละเอียดถี่ถ้วนกับปริมาณการรับส่งข้อมูลจำนวนมาก เมื่อเทคโนโลยีก้าวหน้าขึ้น DPI สามารถใช้ทำการตรวจสอบที่ซับซ้อนยิ่งขึ้นเพื่อตรวจสอบส่วนหัวและข้อมูลได้ โดยทั่วไป ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักใช้ DPI ในโลกที่ข้อมูลดิจิทัลมีความสำคัญสูงสุด ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตเป็นแพ็กเก็ตขนาดเล็ก ซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอป เว็บไซต์ที่เข้าชม การสนทนาผ่านวิดีโอ และอื่นๆ นอกเหนือจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังมีข้อมูลเมตาที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆ ด้วยเทคโนโลยีการกรองแพ็กเก็ต สามารถตรวจสอบและจัดการข้อมูลได้อย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลจะถูกส่งต่อไปยังสถานที่ที่ถูกต้อง แต่เพื่อให้แน่ใจว่ามีความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบดั้งเดิมยังไม่เพียงพอ วิธีการหลักบางส่วนในการตรวจสอบแพ็กเก็ตเชิงลึกในการจัดการเครือข่ายมีดังต่อไปนี้:
โหมดจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบการจับคู่กับฐานข้อมูลการโจมตีเครือข่ายที่ทราบโดยไฟร์วอลล์ที่มีความสามารถในการตรวจจับการบุกรุก (IDS) IDS จะค้นหารูปแบบเฉพาะที่เป็นอันตรายที่ทราบและปิดการใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตราย ข้อเสียของนโยบายการจับคู่ลายเซ็นคือจะใช้ได้กับลายเซ็นที่อัปเดตบ่อยครั้งเท่านั้น นอกจากนี้ เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่ทราบเท่านั้น
ข้อยกเว้นโปรโตคอล
เนื่องจากเทคนิคการยกเว้นโปรโตคอลไม่อนุญาตเฉพาะข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็น เทคนิคข้อยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS จึงไม่มีข้อบกพร่องโดยธรรมชาติของวิธีการจับคู่รูปแบบ/ลายเซ็น แต่จะใช้หลักนโยบายการปฏิเสธเริ่มต้นแทน ตามคำจำกัดความของโปรโตคอล ไฟร์วอลล์จะตัดสินใจว่าควรอนุญาตการรับส่งข้อมูลใดและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็กเก็ตที่เป็นอันตรายโดยอิงจากเนื้อหาในแพ็กเก็ตได้ จึงสามารถหยุดการโจมตีที่น่าสงสัยได้แบบเรียลไทม์ ซึ่งหมายความว่าหากแพ็กเก็ตแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบ IPS จะบล็อกการรับส่งข้อมูลบนเครือข่ายโดยอิงตามกฎที่กำหนดไว้ ข้อเสียประการหนึ่งของ IPS คือ จำเป็นต้องอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์เป็นประจำด้วยรายละเอียดเกี่ยวกับภัยคุกคามใหม่ และความเสี่ยงที่อาจเกิดผลบวกปลอม แต่สามารถบรรเทาอันตรายนี้ได้โดยการสร้างนโยบายที่อนุรักษ์นิยมและเกณฑ์ที่กำหนดเอง กำหนดพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบของเครือข่าย และประเมินคำเตือนและรายงานเหตุการณ์เป็นระยะเพื่อปรับปรุงการตรวจสอบและแจ้งเตือน
1- DPI (การตรวจสอบแพ็กเก็ตเชิงลึก) ใน Network Packet Broker
การวิเคราะห์แพ็กเก็ตแบบ "เจาะลึก" เป็นการเปรียบเทียบระดับและแบบธรรมดา "การตรวจสอบแพ็กเก็ตแบบธรรมดา" จะทำการวิเคราะห์แพ็กเก็ต IP 4 ชั้นเท่านั้น ได้แก่ ที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอล และ DPI ยกเว้นการวิเคราะห์แบบลำดับชั้น นอกจากนี้ยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชัน ระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อบรรลุฟังก์ชันหลัก:
1) การวิเคราะห์แอปพลิเคชัน - การวิเคราะห์องค์ประกอบของปริมาณการรับส่งข้อมูลบนเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์การไหล
2) การวิเคราะห์ผู้ใช้ - การแยกกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์ปลายทาง การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย – การวิเคราะห์ตามคุณลักษณะของภูมิภาค (เมือง เขต ถนน ฯลฯ) และโหลดของสถานีฐาน
4) การควบคุมการจราจร -- การจำกัดความเร็ว P2P, การรับประกัน QoS, การรับประกันแบนด์วิดท์, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย - การโจมตี DDoS, การกระจายข้อมูล, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันบนอินเทอร์เน็ตมากมาย แต่แอปพลิเคชันเว็บทั่วไปก็มีอยู่มากเช่นกัน
เท่าที่ฉันทราบ บริษัทที่รู้จักแอปพลิเคชันที่ดีที่สุดคือ Huawei ซึ่งอ้างว่าสามารถจดจำแอปพลิเคชันได้ 4,000 รายการ การวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (Huawei, ZTE เป็นต้น) และยังเป็นโมดูลที่สำคัญมากอีกด้วย โดยรองรับการใช้งานโมดูลฟังก์ชันอื่นๆ การระบุแอปพลิเคชันที่แม่นยำ และปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมาก ในการสร้างแบบจำลองการระบุมัลแวร์โดยอิงจากลักษณะการรับส่งข้อมูลบนเครือข่าย การระบุโปรโตคอลที่แม่นยำและครอบคลุมก็มีความสำคัญเช่นกัน หากไม่นับรวมการรับส่งข้อมูลบนเครือข่ายของแอปพลิเคชันทั่วไปจากการรับส่งข้อมูลการส่งออกของบริษัท การรับส่งข้อมูลที่เหลือจะมีสัดส่วนเพียงเล็กน้อย ซึ่งดีกว่าสำหรับการวิเคราะห์และแจ้งเตือนมัลแวร์
จากประสบการณ์ของฉัน แอปพลิเคชันที่ใช้กันทั่วไปในปัจจุบันจะถูกจัดประเภทตามฟังก์ชันดังนี้:
ปล. ตามความเข้าใจส่วนตัวของการจำแนกประเภทแอปพลิเคชัน หากคุณมีข้อเสนอแนะดีๆ โปรดฝากข้อความไว้ได้
1). อีเมล์
2). วีดีโอ
3). เกมส์
4). ห้องเรียน OA สำนักงาน
5). อัพเดตซอฟต์แวร์
6). การเงิน (ธนาคาร, Alipay)
7). หุ้น
8). การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9) การท่องเว็บ (อาจจะระบุได้ดีกว่าด้วย URL)
10) เครื่องมือดาวน์โหลด (เว็บดิสก์, ดาวน์โหลด P2P, เกี่ยวข้องกับ BT)
แล้ว DPI (Deep Packet Inspection) ทำงานอย่างไรใน NPB:
1) การจับแพ็กเก็ต: NPB จะจับข้อมูลการรับส่งข้อมูลบนเครือข่ายจากแหล่งต่าง ๆ เช่น สวิตช์ เราเตอร์ หรือแท็ป โดยจะรับแพ็กเก็ตที่ไหลผ่านเครือข่าย
2) การแยกวิเคราะห์แพ็กเก็ต: แพ็กเก็ตที่จับได้จะถูกแยกวิเคราะห์โดย NPB เพื่อแยกชั้นโปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้อง กระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวของอีเทอร์เน็ต ส่วนหัวของ IP ส่วนหัวของชั้นการขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลของชั้นแอปพลิเคชัน
3) การวิเคราะห์เพย์โหลด: ด้วย DPI NPB จะตรวจสอบมากกว่าแค่ส่วนหัวและมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ต โดยจะตรวจสอบเนื้อหาของเพย์โหลดอย่างละเอียด โดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้ เพื่อดึงข้อมูลที่เกี่ยวข้องออกมา
4) การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ในเครือข่ายได้ สามารถตรวจจับและจำแนกโปรโตคอลต่างๆ เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลสตรีมมิ่งวิดีโอ
5) การตรวจสอบเนื้อหา: DPI ช่วยให้ NPB ตรวจสอบเนื้อหาของแพ็กเก็ตสำหรับรูปแบบ ลายเซ็น หรือคำสำคัญที่เฉพาะเจาะจง ซึ่งช่วยให้สามารถตรวจจับภัยคุกคามบนเครือข่าย เช่น มัลแวร์ ไวรัส การพยายามบุกรุก หรือกิจกรรมที่น่าสงสัย นอกจากนี้ DPI ยังใช้สำหรับการกรองเนื้อหา การบังคับใช้นโยบายเครือข่าย หรือการระบุการละเมิดการปฏิบัติตามข้อกำหนดของข้อมูลได้อีกด้วย
6) การดึงข้อมูลเมตา: ระหว่าง DPI, NPB จะดึงข้อมูลเมตาที่เกี่ยวข้องจากแพ็กเก็ต ซึ่งอาจรวมถึงข้อมูล เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือแอตทริบิวต์ที่เกี่ยวข้องอื่นๆ
7) การกำหนดเส้นทางหรือการกรองข้อมูล: จากการวิเคราะห์ DPI NPB สามารถกำหนดเส้นทางแพ็คเก็ตเฉพาะไปยังปลายทางที่กำหนดเพื่อดำเนินการเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มวิเคราะห์ นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อทิ้งหรือเปลี่ยนเส้นทางแพ็คเก็ตตามเนื้อหาหรือรูปแบบที่ระบุได้อีกด้วย
เวลาโพสต์: 25 มิ.ย. 2566
