การตรวจสอบแพ็คเก็ตแบบลึก (ป.ป.ส.)เป็นเทคโนโลยีที่ใช้ใน Network Packet Brokers (NPB) เพื่อตรวจสอบและวิเคราะห์เนื้อหาของแพ็กเก็ตเครือข่ายในระดับละเอียดมันเกี่ยวข้องกับการตรวจสอบเพย์โหลด ส่วนหัว และข้อมูลเฉพาะโปรโตคอลอื่นๆ ภายในแพ็คเก็ตเพื่อรับข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับทราฟฟิกเครือข่าย
DPI เป็นมากกว่าการวิเคราะห์ส่วนหัวแบบธรรมดาและให้ความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อมูลที่ไหลผ่านเครือข่ายช่วยให้สามารถตรวจสอบเชิงลึกของโปรโตคอลชั้นแอปพลิเคชัน เช่น HTTP, FTP, SMTP, VoIP หรือโปรโตคอลการสตรีมวิดีโอด้วยการตรวจสอบเนื้อหาจริงภายในแพ็กเก็ต DPI สามารถตรวจจับและระบุแอปพลิเคชัน โปรโตคอล หรือแม้แต่รูปแบบข้อมูลเฉพาะเจาะจงได้
นอกเหนือจากการวิเคราะห์ลำดับชั้นของที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอลแล้ว DPI ยังเพิ่มการวิเคราะห์ชั้นแอปพลิเคชันเพื่อระบุแอปพลิเคชันและเนื้อหาต่างๆเมื่อแพ็กเก็ต 1P, TCP หรือ UDP ไหลผ่านระบบจัดการแบนด์วิธที่ใช้เทคโนโลยี DPI ระบบจะอ่านเนื้อหาของโหลดแพ็กเก็ต 1P เพื่อจัดระเบียบข้อมูลชั้นแอปพลิเคชันใหม่ในโปรโตคอล OSI Layer 7 เพื่อให้ได้เนื้อหาของ โปรแกรมแอปพลิเคชันทั้งหมด จากนั้นสร้างทราฟฟิกตามนโยบายการจัดการที่กำหนดโดยระบบ
DPI ทำงานอย่างไร
ไฟร์วอลล์แบบดั้งเดิมมักจะไม่มีพลังในการประมวลผลในการตรวจสอบตามเวลาจริงอย่างละเอียดเกี่ยวกับทราฟฟิกปริมาณมากเมื่อเทคโนโลยีก้าวหน้าขึ้น สามารถใช้ DPI ในการตรวจสอบที่ซับซ้อนมากขึ้นเพื่อตรวจสอบส่วนหัวและข้อมูลโดยทั่วไป ไฟร์วอลล์ที่มีระบบตรวจจับการบุกรุกมักจะใช้ DPIในโลกที่ข้อมูลดิจิทัลมีความสำคัญอย่างยิ่ง ข้อมูลดิจิทัลทุกชิ้นจะถูกส่งผ่านอินเทอร์เน็ตเป็นแพ็กเก็ตเล็กๆซึ่งรวมถึงอีเมล ข้อความที่ส่งผ่านแอป เว็บไซต์ที่เยี่ยมชม การสนทนาทางวิดีโอ และอื่นๆนอกจากข้อมูลจริงแล้ว แพ็กเก็ตเหล่านี้ยังมีข้อมูลเมตาที่ระบุแหล่งที่มาของการรับส่งข้อมูล เนื้อหา ปลายทาง และข้อมูลสำคัญอื่นๆด้วยเทคโนโลยีการกรองแพ็กเก็ต ทำให้สามารถตรวจสอบและจัดการข้อมูลได้อย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลจะถูกส่งต่อไปยังสถานที่ที่เหมาะสมแต่เพื่อให้มั่นใจถึงความปลอดภัยของเครือข่าย การกรองแพ็กเก็ตแบบเดิมยังไม่เพียงพอวิธีการหลักบางประการในการตรวจสอบแพ็กเก็ตเชิงลึกในการจัดการเครือข่ายมีดังต่อไปนี้:
โหมดจับคู่/ลายเซ็น
แต่ละแพ็กเก็ตจะถูกตรวจสอบเพื่อให้ตรงกับฐานข้อมูลของการโจมตีเครือข่ายที่รู้จักโดยไฟร์วอลล์ที่มีความสามารถของระบบตรวจจับการบุกรุก (IDS)IDS ค้นหารูปแบบเฉพาะที่เป็นอันตรายที่รู้จักและปิดการใช้งานการรับส่งข้อมูลเมื่อพบรูปแบบที่เป็นอันตรายข้อเสียของนโยบายการจับคู่ลายเซ็นคือจะใช้กับลายเซ็นที่มีการอัพเดทบ่อยครั้งเท่านั้นนอกจากนี้ เทคโนโลยีนี้สามารถป้องกันภัยคุกคามหรือการโจมตีที่รู้จักเท่านั้น
ข้อยกเว้นโปรโตคอล
เนื่องจากเทคนิคการยกเว้นโปรโตคอลไม่อนุญาตเฉพาะข้อมูลทั้งหมดที่ไม่ตรงกับฐานข้อมูลลายเซ็น เทคนิคการยกเว้นโปรโตคอลที่ใช้โดยไฟร์วอลล์ IDS จึงไม่มีข้อบกพร่องโดยธรรมชาติของวิธีการจับคู่รูปแบบ/ลายเซ็นแต่จะใช้นโยบายการปฏิเสธเริ่มต้นแทนตามคำจำกัดความของโปรโตคอล ไฟร์วอลล์จะตัดสินใจว่าทราฟฟิกใดควรได้รับอนุญาตและปกป้องเครือข่ายจากภัยคุกคามที่ไม่รู้จัก
ระบบป้องกันการบุกรุก (IPS)
โซลูชัน IPS สามารถบล็อกการส่งแพ็กเก็ตที่เป็นอันตรายตามเนื้อหา ดังนั้นจึงหยุดการโจมตีที่ต้องสงสัยได้แบบเรียลไทม์ซึ่งหมายความว่าหากแพ็กเก็ตแสดงถึงความเสี่ยงด้านความปลอดภัยที่ทราบ IPS จะบล็อกทราฟฟิกเครือข่ายเชิงรุกตามกฎที่กำหนดไว้ข้อเสียประการหนึ่งของ IPS คือความจำเป็นในการอัปเดตฐานข้อมูลภัยคุกคามทางไซเบอร์เป็นประจำโดยมีรายละเอียดเกี่ยวกับภัยคุกคามใหม่ๆ และความเป็นไปได้ที่จะเกิดผลบวกปลอมแต่อันตรายนี้สามารถบรรเทาได้ด้วยการสร้างนโยบายแบบอนุรักษ์นิยมและเกณฑ์ที่กำหนดเอง สร้างพฤติกรรมพื้นฐานที่เหมาะสมสำหรับส่วนประกอบเครือข่าย และประเมินคำเตือนและเหตุการณ์ที่รายงานเป็นระยะเพื่อปรับปรุงการตรวจสอบและการแจ้งเตือน
1- DPI (การตรวจสอบแพ็กเก็ตลึก) ใน Network Packet Broker
"ลึก" คือการเปรียบเทียบระดับและการวิเคราะห์แพ็กเก็ตธรรมดา "การตรวจสอบแพ็กเก็ตธรรมดา" เฉพาะการวิเคราะห์ต่อไปนี้ของ IP แพ็กเก็ต 4 ชั้น รวมถึงที่อยู่ต้นทาง ที่อยู่ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง และประเภทโปรโตคอล และ DPI ยกเว้นแบบลำดับชั้น การวิเคราะห์ ยังเพิ่มการวิเคราะห์เลเยอร์แอปพลิเคชัน ระบุแอปพลิเคชันและเนื้อหาต่างๆ เพื่อตระหนักถึงหน้าที่หลัก:
1) การวิเคราะห์แอปพลิเคชัน -- การวิเคราะห์องค์ประกอบการรับส่งข้อมูลเครือข่าย การวิเคราะห์ประสิทธิภาพ และการวิเคราะห์โฟลว์
2) การวิเคราะห์ผู้ใช้ -- การแยกความแตกต่างของกลุ่มผู้ใช้ การวิเคราะห์พฤติกรรม การวิเคราะห์ปลายทาง การวิเคราะห์แนวโน้ม ฯลฯ
3) การวิเคราะห์องค์ประกอบของเครือข่าย -- การวิเคราะห์ตามคุณลักษณะของภูมิภาค (เมือง อำเภอ ถนน ฯลฯ) และโหลดของสถานีฐาน
4) Traffic Control -- การจำกัดความเร็ว P2P, การรับประกัน QoS, การรับประกันแบนด์วิธ, การเพิ่มประสิทธิภาพทรัพยากรเครือข่าย ฯลฯ
5) การประกันความปลอดภัย -- การโจมตี DDoS, ดาต้าบรอดคาสต์สตอร์ม, การป้องกันการโจมตีของไวรัสที่เป็นอันตราย ฯลฯ
2- การจำแนกประเภททั่วไปของแอปพลิเคชันเครือข่าย
ปัจจุบันมีแอปพลิเคชันมากมายบนอินเทอร์เน็ต แต่แอปพลิเคชันบนเว็บทั่วไปอาจครบถ้วนสมบูรณ์
เท่าที่ฉันรู้ บริษัทที่จดจำแอปได้ดีที่สุดคือ Huawei ซึ่งอ้างว่าจดจำแอปได้ 4,000 แอปการวิเคราะห์โปรโตคอลเป็นโมดูลพื้นฐานของบริษัทไฟร์วอลล์หลายแห่ง (Huawei, ZTE ฯลฯ) และยังเป็นโมดูลที่สำคัญมาก รองรับการใช้งานโมดูลการทำงานอื่นๆ การระบุแอปพลิเคชันที่แม่นยำ และการปรับปรุงประสิทธิภาพและความน่าเชื่อถือของผลิตภัณฑ์อย่างมากในการสร้างแบบจำลองการระบุมัลแวร์ตามลักษณะการรับส่งข้อมูลเครือข่าย อย่างที่ฉันกำลังทำอยู่ การระบุโปรโตคอลที่แม่นยำและกว้างขวางก็มีความสำคัญเช่นกันหากไม่รวมทราฟฟิกเครือข่ายของแอปพลิเคชันทั่วไปจากทราฟฟิกการส่งออกของบริษัท ทราฟฟิกที่เหลือจะคิดเป็นสัดส่วนเล็กน้อย ซึ่งดีกว่าสำหรับการวิเคราะห์มัลแวร์และการเตือนภัย
จากประสบการณ์ของฉัน แอปพลิเคชันที่ใช้กันทั่วไปที่มีอยู่ถูกจัดประเภทตามหน้าที่การใช้งาน:
PS: ตามความเข้าใจส่วนตัวของการจัดหมวดหมู่แอปพลิเคชัน คุณมีข้อเสนอแนะที่ดีใด ๆ ยินดีที่จะฝากข้อความไว้
1).อีเมล
2).วิดีโอ
3).เกม
4).ชั้นเรียน Office OA
5).อัพเดตซอฟต์แวร์
6).การเงิน (ธนาคาร, Alipay)
7).หุ้น
8).การสื่อสารทางสังคม (ซอฟต์แวร์ IM)
9).การท่องเว็บ (อาจระบุได้ดีกว่าด้วย URL)
10).ดาวน์โหลดเครื่องมือ (เว็บดิสก์, ดาวน์โหลด P2P, BT ที่เกี่ยวข้อง)
จากนั้น วิธีการทำงานของ DPI (Deep Packet Inspection) ใน NPB:
1).การจับแพ็กเก็ต: NPB จับทราฟฟิกเครือข่ายจากแหล่งที่มาต่างๆ เช่น สวิตช์ เราเตอร์ หรือการแตะมันรับแพ็คเก็ตที่ไหลผ่านเครือข่าย
2).การแยกวิเคราะห์แพ็กเก็ต: แพ็กเก็ตที่จับไว้จะถูกแยกวิเคราะห์โดย NPB เพื่อแยกเลเยอร์โปรโตคอลต่างๆ และข้อมูลที่เกี่ยวข้องกระบวนการแยกวิเคราะห์นี้ช่วยระบุส่วนประกอบต่างๆ ภายในแพ็กเก็ต เช่น ส่วนหัวของอีเธอร์เน็ต ส่วนหัวของ IP ส่วนหัวของชั้นการขนส่ง (เช่น TCP หรือ UDP) และโปรโตคอลชั้นแอปพลิเคชัน
3).การวิเคราะห์เพย์โหลด: ด้วย DPI ทำให้ NPB เป็นมากกว่าการตรวจสอบส่วนหัวและมุ่งเน้นไปที่เพย์โหลด รวมถึงข้อมูลจริงภายในแพ็กเก็ตโดยจะตรวจสอบเนื้อหาเพย์โหลดในเชิงลึก โดยไม่คำนึงถึงแอปพลิเคชันหรือโปรโตคอลที่ใช้ เพื่อดึงข้อมูลที่เกี่ยวข้อง
4).การระบุโปรโตคอล: DPI ช่วยให้ NPB สามารถระบุโปรโตคอลและแอปพลิเคชันเฉพาะที่ใช้ภายในการรับส่งข้อมูลเครือข่ายสามารถตรวจจับและจัดประเภทโปรโตคอล เช่น HTTP, FTP, SMTP, DNS, VoIP หรือโปรโตคอลการสตรีมวิดีโอ
5).การตรวจสอบเนื้อหา: DPI ช่วยให้ NPB ตรวจสอบเนื้อหาของแพ็กเก็ตเพื่อหารูปแบบ ลายเซ็น หรือคำหลักที่เฉพาะเจาะจงซึ่งช่วยให้สามารถตรวจจับภัยคุกคามเครือข่าย เช่น มัลแวร์ ไวรัส ความพยายามในการบุกรุก หรือกิจกรรมที่น่าสงสัยนอกจากนี้ยังสามารถใช้ DPI สำหรับการกรองเนื้อหา บังคับใช้นโยบายเครือข่าย หรือระบุการละเมิดการปฏิบัติตามข้อมูล
6).การสกัดข้อมูลเมตา: ระหว่าง DPI NPB จะแยกข้อมูลเมตาที่เกี่ยวข้องออกจากแพ็กเก็ตซึ่งอาจรวมถึงข้อมูล เช่น ที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต รายละเอียดเซสชัน ข้อมูลธุรกรรม หรือแอตทริบิวต์ที่เกี่ยวข้องอื่นๆ
7).การกำหนดเส้นทางหรือการกรองการรับส่งข้อมูล: จากการวิเคราะห์ DPI ทำให้ NPB สามารถกำหนดเส้นทางแพ็กเก็ตเฉพาะไปยังปลายทางที่กำหนดไว้สำหรับการประมวลผลเพิ่มเติม เช่น อุปกรณ์รักษาความปลอดภัย เครื่องมือตรวจสอบ หรือแพลตฟอร์มการวิเคราะห์นอกจากนี้ยังสามารถใช้กฎการกรองเพื่อละทิ้งหรือเปลี่ยนเส้นทางแพ็คเก็ตตามเนื้อหาหรือรูปแบบที่ระบุ
เวลาโพสต์: Jun-25-2023
