ディープパケットインスペクション (DPI)ネットワークパケットブローカー(NPB)で使用される技術で、ネットワークパケットの内容をきめ細かなレベルで検査・分析します。パケット内のペイロード、ヘッダー、その他のプロトコル固有の情報を調べ、ネットワークトラフィックに関する詳細な情報を取得します。
DPIは単純なヘッダー分析にとどまらず、ネットワークを流れるデータの詳細な理解を提供します。HTTP、FTP、SMTP、VoIP、ビデオストリーミングプロトコルといったアプリケーション層プロトコルの詳細な検査を可能にします。パケット内の実際のコンテンツを検査することで、DPIは特定のアプリケーション、プロトコル、さらには特定のデータパターンを検出・識別できます。
DPIは、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル種別といった階層的な分析に加え、アプリケーション層分析も追加することで、様々なアプリケーションとその内容を識別します。1Pパケット、TCP、またはUDPデータがDPI技術に基づく帯域幅管理システムを通過する際、システムは1Pパケットのロード内容を読み取り、OSI第7層プロトコルにおけるアプリケーション層情報を再編成することで、アプリケーションプログラム全体の内容を把握し、システムによって定義された管理ポリシーに従ってトラフィックをシェーピングします。
DPIはどのように機能しますか?
従来のファイアウォールは、大量のトラフィックを徹底的にリアルタイムでチェックする処理能力が不足していることがよくあります。技術の進歩に伴い、DPI(ディープ・パケット・インスペクション)は、ヘッダーとデータをチェックするより複雑なチェックを実行できるようになりました。通常、侵入検知システムを備えたファイアウォールはDPIを使用しています。デジタル情報が最重要視される世界では、あらゆるデジタル情報は小さなパケットでインターネット上に配信されます。これには、電子メール、アプリで送信されたメッセージ、アクセスしたウェブサイト、ビデオ通話などが含まれます。これらのパケットには、実際のデータに加えて、トラフィックの送信元、コンテンツ、宛先、その他の重要な情報を識別するメタデータが含まれています。パケットフィルタリング技術により、データを継続的に監視および管理し、適切な場所に転送されるようにすることができます。しかし、ネットワークセキュリティを確保するには、従来のパケットフィルタリングだけでは十分ではありません。ネットワーク管理におけるディープ・パケット・インスペクションの主な手法を以下に示します。
マッチングモード/署名
各パケットは、侵入検知システム(IDS)機能を備えたファイアウォールによって、既知のネットワーク攻撃データベースとの照合が行われます。IDSは既知の悪意のある特定のパターンを検索し、悪意のあるパターンが見つかった場合はトラフィックを無効化します。シグネチャマッチングポリシーの欠点は、頻繁に更新されるシグネチャにしか適用されないことです。さらに、この技術は既知の脅威や攻撃に対してしか防御できません。
プロトコル例外
プロトコル例外技術は、シグネチャデータベースに一致しないすべてのデータを単純に許可するわけではないため、IDSファイアウォールで使用されるプロトコル例外技術には、パターン/シグネチャマッチング方式に固有の欠陥はありません。代わりに、デフォルトの拒否ポリシーが適用されます。ファイアウォールはプロトコル定義に基づいて、どのトラフィックを許可するかを決定し、未知の脅威からネットワークを保護します。
侵入防止システム(IPS)
IPSソリューションは、有害なパケットの内容に基づいてその送信をブロックし、疑わしい攻撃をリアルタイムで阻止します。つまり、パケットが既知のセキュリティリスクを示す場合、IPSは定義された一連のルールに基づいてネットワークトラフィックをプロアクティブにブロックします。IPSの欠点の一つは、新たな脅威に関する詳細情報をサイバー脅威データベースに定期的に更新する必要があることと、誤検知の可能性です。しかし、この危険性は、保守的なポリシーとカスタムしきい値の設定、ネットワークコンポーネントの適切なベースライン動作の設定、そして警告や報告されたイベントの定期的な評価によって監視とアラートを強化することで軽減できます。
1- ネットワークパケットブローカーのDPI(ディープパケットインスペクション)
「ディープ」レベルは通常のパケット分析と比較し、「通常パケット検査」は送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコルタイプなどを含むIPパケットの4層以下の分析のみを行い、DPIを除く階層分析により、アプリケーション層分析も強化され、さまざまなアプリケーションとコンテンツを識別し、主な機能を実現します。
1) アプリケーション分析 - ネットワークトラフィック構成分析、パフォーマンス分析、フロー分析
2) ユーザー分析 - ユーザーグループの差別化、行動分析、端末分析、傾向分析など
3) ネットワーク要素分析 - 地域属性(都市、地区、通りなど)と基地局負荷に基づく分析
4) トラフィック制御 - P2P 速度制限、QoS 保証、帯域幅保証、ネットワーク リソースの最適化など。
5) セキュリティ保証 - DDoS 攻撃、データ ブロードキャスト ストーム、悪意のあるウイルス攻撃の防止など。
2- ネットワークアプリケーションの一般的な分類
今日、インターネット上には無数のアプリケーションが存在しますが、一般的な Web アプリケーションは膨大なものになる可能性があります。
私の知る限り、最高のアプリ認識企業はHuaweiで、4,000個のアプリを認識できると主張しています。プロトコル分析は、多くのファイアウォール企業(Huawei、ZTEなど)の基本モジュールであり、非常に重要なモジュールでもあり、他の機能モジュールの実現をサポートし、正確なアプリケーション識別を実現し、製品の性能と信頼性を大幅に向上させます。私が現在行っているように、ネットワークトラフィックの特性に基づいてマルウェア識別をモデル化する場合、正確で広範なプロトコル識別も非常に重要です。企業のエクスポートトラフィックから一般的なアプリケーションのネットワークトラフィックを除外すると、残りのトラフィックの割合はわずかになり、マルウェア分析とアラームに適しています。
私の経験に基づくと、既存のよく使われるアプリケーションは、機能に応じて次のように分類されます。
PS: アプリケーション分類の個人的な理解に応じて、良い提案があれば、メッセージ提案を残すことを歓迎します
1)電子メール
2)ビデオ
3)ゲーム
4)オフィスOAクラス
5)ソフトウェアアップデート
6). 金融(銀行、Alipay)
7)株式
8). ソーシャルコミュニケーション(IMソフトウェア)
9). Webブラウジング(URLで識別する方が適切でしょう)
10)ダウンロードツール(Webディスク、P2Pダウンロード、BT関連)
次に、NPB での DPI (ディープ パケット インスペクション) の動作について説明します。
1). パケットキャプチャ:NPBは、スイッチ、ルーター、タップなど、様々なソースからネットワークトラフィックをキャプチャし、ネットワークを流れるパケットを受信します。
2). パケット解析:キャプチャされたパケットはNPBによって解析され、様々なプロトコル層と関連データが抽出されます。この解析プロセスは、イーサネットヘッダー、IPヘッダー、トランスポート層ヘッダー(TCPまたはUDPなど)、アプリケーション層プロトコルなど、パケット内の様々なコンポーネントを識別するのに役立ちます。
3) ペイロード分析:DPIでは、NPBはヘッダー検査にとどまらず、パケット内の実際のデータを含むペイロードに焦点を当てます。使用されるアプリケーションやプロトコルに関係なく、ペイロードの内容を詳細に調査し、関連情報を抽出します。
4) プロトコル識別:DPIにより、NPBはネットワークトラフィック内で使用されている特定のプロトコルとアプリケーションを識別できます。HTTP、FTP、SMTP、DNS、VoIP、ビデオストリーミングなどのプロトコルを検出・分類できます。
5) コンテンツ検査:DPIにより、NPBはパケットのコンテンツを検査し、特定のパターン、シグネチャ、またはキーワードを検出できます。これにより、マルウェア、ウイルス、侵入の試み、不審なアクティビティなどのネットワーク脅威を検出できます。DPIは、コンテンツフィルタリング、ネットワークポリシーの適用、データコンプライアンス違反の特定にも使用できます。
6) メタデータ抽出:DPIの実行中、NPBはパケットから関連するメタデータを抽出します。これには、送信元および宛先IPアドレス、ポート番号、セッションの詳細、トランザクションデータ、その他の関連属性などの情報が含まれます。
7) トラフィックルーティングまたはフィルタリング:DPI分析に基づき、NPBは特定のパケットをセキュリティアプライアンス、監視ツール、分析プラットフォームなどの指定の宛先にルーティングし、さらに処理させることができます。また、特定されたコンテンツやパターンに基づいてパケットを破棄またはリダイレクトするフィルタリングルールを適用することもできます。
投稿日時: 2023年6月25日
