การตรวจสอบแพ็คเก็ตลึก (ดีพีไอ)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPBs) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับละเอียดโดยเกี่ยวข้องกับการตรวจสอบเพย์โหลด ส่วนหัว และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็กเก็ตเพื่อรับข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการรับส่งข้อมูลเครือข่าย
DPI เป็นมากกว่าการวิเคราะห์ส่วนหัวง่ายๆ และให้ความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่ายช่วยให้สามารถตรวจสอบโปรโตคอลชั้นแอปพลิเคชันในเชิงลึก เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลการสตรีมวิดีโอด้วยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลเฉพาะเจาะจงได้
นอกเหนือจากการวิเคราะห์ลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชันเพื่อระบุแอปพลิเคชันต่างๆ และเนื้อหาต่างๆเมื่อข้อมูลแพ็กเก็ต 1P, TCP หรือ UDP ไหลผ่านระบบการจัดการแบนด์วิธที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของโหลดแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลเลเยอร์แอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อรับเนื้อหาของ โปรแกรมแอปพลิเคชันทั้งหมด จากนั้นจัดรูปแบบการรับส่งข้อมูลตามนโยบายการจัดการที่กำหนดโดยระบบ
DPI ทำงานอย่างไร?
ไฟร์วอลล์แบบเดิมมักจะขาดพลังในการประมวลผลเพื่อทำการตรวจสอบแบบเรียลไทม์อย่างละเอียดกับการรับส่งข้อมูลปริมาณมากเนื่องจากความก้าวหน้าทางเทคโนโลยี DPI สามารถใช้ในการตรวจสอบส่วนหัวและข้อมูลที่ซับซ้อนมากขึ้นได้โดยทั่วไปแล้ว ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักจะใช้ DPIในโลกที่ข้อมูลดิจิทัลเป็นสิ่งสำคัญยิ่ง ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตในรูปแบบแพ็กเก็ตขนาดเล็กซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอป เว็บไซต์ที่เยี่ยมชม การสนทนาทางวิดีโอ และอื่นๆนอกเหนือจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังรวมถึงข้อมูลเมตาที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆด้วยเทคโนโลยีการกรองแพ็คเก็ต สามารถตรวจสอบและจัดการข้อมูลได้อย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลจะถูกส่งต่อไปยังสถานที่ที่ถูกต้องแต่เพื่อให้มั่นใจถึงความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบเดิมยังไม่เพียงพอวิธีการหลักบางประการในการตรวจสอบแพ็คเก็ตเชิงลึกในการจัดการเครือข่ายมีดังต่อไปนี้:
โหมดการจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบการจับคู่กับฐานข้อมูลของการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีความสามารถของระบบตรวจจับการบุกรุก (IDS)IDS ค้นหารูปแบบเฉพาะที่เป็นอันตรายและปิดใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตรายข้อเสียของนโยบายการจับคู่ลายเซ็นคือ ใช้กับลายเซ็นที่มีการอัปเดตบ่อยครั้งเท่านั้นนอกจากนี้เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่ทราบเท่านั้น
ข้อยกเว้นของโปรโตคอล
เนื่องจากเทคนิคข้อยกเว้นโปรโตคอลไม่เพียงแต่อนุญาตข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็น เทคนิคข้อยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS จึงไม่มีข้อบกพร่องโดยธรรมชาติของวิธีจับคู่รูปแบบ/ลายเซ็นแต่จะใช้นโยบายการปฏิเสธเริ่มต้นแทนตามคำจำกัดความของโปรโตคอล ไฟร์วอลล์จะตัดสินใจว่าการรับส่งข้อมูลใดควรได้รับอนุญาตและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็กเก็ตที่เป็นอันตรายตามเนื้อหา ดังนั้นจึงหยุดการโจมตีที่น่าสงสัยแบบเรียลไทม์ซึ่งหมายความว่าหากแพ็กเก็ตแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบ IPS จะบล็อกการรับส่งข้อมูลเครือข่ายในเชิงรุกตามกฎที่กำหนดไว้ข้อเสียประการหนึ่งของ IPS คือความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์เป็นประจำพร้อมรายละเอียดเกี่ยวกับภัยคุกคามใหม่ๆ และความเป็นไปได้ที่จะเกิดผลบวกลวงแต่อันตรายนี้สามารถบรรเทาได้ด้วยการสร้างนโยบายอนุรักษ์นิยมและเกณฑ์ที่กำหนดเอง การสร้างพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบเครือข่าย และการประเมินคำเตือนและเหตุการณ์ที่รายงานเป็นระยะๆ เพื่อปรับปรุงการตรวจสอบและการแจ้งเตือน
1- DPI (Deep Packet Inspection) ใน Network Packet Broker
"เชิงลึก" คือการเปรียบเทียบการวิเคราะห์ระดับและแพ็คเก็ตธรรมดา "การตรวจสอบแพ็คเก็ตธรรมดา" เฉพาะการวิเคราะห์ต่อไปนี้ของชั้น IP แพ็คเก็ต 4 รวมถึงที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทางและประเภทโปรโตคอล และ DPI ยกเว้นแบบลำดับชั้น การวิเคราะห์ยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชัน ระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อให้ทราบถึงฟังก์ชันหลัก:
1) การวิเคราะห์แอปพลิเคชัน -- การวิเคราะห์องค์ประกอบการรับส่งข้อมูลเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์โฟลว์
2) การวิเคราะห์ผู้ใช้ - การแยกกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์เทอร์มินัล การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบเครือข่าย -- การวิเคราะห์ตามคุณลักษณะของภูมิภาค (เมือง เขต ถนน ฯลฯ) และภาระงานของสถานีฐาน
4) การควบคุมการรับส่งข้อมูล -- การจำกัดความเร็ว P2P, การรับประกัน QoS, การรับประกันแบนด์วิธ, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย - การโจมตี DDoS, พายุการเผยแพร่ข้อมูล, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันมากมายบนอินเทอร์เน็ต แต่แอปพลิเคชันบนเว็บทั่วไปอาจมีจำนวนครบถ้วนสมบูรณ์
เท่าที่ฉันรู้ บริษัทจดจำแอปที่ดีที่สุดคือ Huawei ซึ่งอ้างว่ารู้จักแอปถึง 4,000 แอปการวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (Huawei, ZTE ฯลฯ) และยังเป็นโมดูลที่สำคัญมาก ซึ่งสนับสนุนการใช้งานโมดูลการทำงานอื่นๆ การระบุแอปพลิเคชันที่แม่นยำ และปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมากในการสร้างแบบจำลองการระบุมัลแวร์ตามลักษณะการรับส่งข้อมูลเครือข่าย ดังที่ฉันกำลังทำอยู่ การระบุโปรโตคอลที่แม่นยำและครอบคลุมก็มีความสำคัญมากเช่นกันหากไม่รวมการรับส่งข้อมูลเครือข่ายของแอปพลิเคชันทั่วไปจากปริมาณการส่งออกของบริษัท ปริมาณการใช้งานที่เหลือจะคิดเป็นสัดส่วนเล็กน้อย ซึ่งจะดีกว่าสำหรับการวิเคราะห์และการเตือนมัลแวร์
จากประสบการณ์ของฉัน แอปพลิเคชันที่ใช้กันทั่วไปที่มีอยู่จะถูกจำแนกตามฟังก์ชัน:
PS: ตามความเข้าใจส่วนตัวเกี่ยวกับการจำแนกประเภทของแอปพลิเคชัน คุณมีข้อเสนอแนะที่ดีใด ๆ ยินดีที่จะฝากข้อเสนอข้อความไว้
1).อีเมล
2).วีดีโอ
3).เกม
4)ชั้นเรียน OA ของสำนักงาน
5).อัพเดตซอฟต์แวร์
6).การเงิน (ธนาคาร, อาลีเพย์)
7).หุ้น
8).การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9)การท่องเว็บ (อาจระบุได้ดีกว่าด้วย URL)
10)ดาวน์โหลดเครื่องมือ (เว็บดิสก์, ดาวน์โหลด P2P, เกี่ยวข้องกับ BT)
จากนั้น DPI (Deep Packet Inspection) ทำงานอย่างไรใน NPB:
1).การจับแพ็คเก็ต: NPB จับการรับส่งข้อมูลเครือข่ายจากแหล่งต่างๆ เช่น สวิตช์ เราเตอร์ หรือการแตะรับแพ็กเก็ตที่ไหลผ่านเครือข่าย
2).การแยกวิเคราะห์แพ็คเก็ต: NPB แพ็คเก็ตที่จับได้จะถูกแยกวิเคราะห์เพื่อแยกเลเยอร์โปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้องกระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวของอีเทอร์เน็ต ส่วนหัวของ IP ส่วนหัวของเลเยอร์การขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลของเลเยอร์แอปพลิเคชัน
3).การวิเคราะห์เพย์โหลด: ด้วย DPI NPB จะไปไกลกว่าการตรวจสอบส่วนหัวและมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ตโดยจะตรวจสอบเนื้อหาเพย์โหลดในเชิงลึก โดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้ เพื่อดึงข้อมูลที่เกี่ยวข้อง
4)การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ภายในการรับส่งข้อมูลเครือข่ายสามารถตรวจจับและจัดประเภทโปรโตคอล เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลการสตรีมวิดีโอ
5).การตรวจสอบเนื้อหา: DPI อนุญาตให้ NPB ตรวจสอบเนื้อหาของแพ็คเก็ตเพื่อหารูปแบบ ลายเซ็น หรือคำสำคัญที่เฉพาะเจาะจงช่วยให้สามารถตรวจจับภัยคุกคามเครือข่าย เช่น มัลแวร์ ไวรัส การพยายามบุกรุก หรือกิจกรรมที่น่าสงสัยDPI สามารถใช้สำหรับการกรองเนื้อหา การบังคับใช้นโยบายเครือข่าย หรือการระบุการละเมิดการปฏิบัติตามข้อมูล
6).การดึงข้อมูลเมตา: ในระหว่าง DPI NPB จะแยกข้อมูลเมตาที่เกี่ยวข้องออกจากแพ็กเก็ตซึ่งอาจรวมถึงข้อมูล เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือคุณลักษณะอื่นๆ ที่เกี่ยวข้อง
7).การกำหนดเส้นทางหรือการกรองการรับส่งข้อมูล: จากการวิเคราะห์ DPI นั้น NPB สามารถกำหนดเส้นทางแพ็กเก็ตเฉพาะไปยังปลายทางที่กำหนดเพื่อการประมวลผลเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มการวิเคราะห์นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อละทิ้งหรือเปลี่ยนเส้นทางแพ็กเก็ตตามเนื้อหาหรือรูปแบบที่ระบุ
เวลาโพสต์: 25 มิ.ย.-2023
