深いパケット検査 (DPI)ネットワークパケットブローカー(NPBS)で使用されるテクノロジーであり、粒状レベルでネットワークパケットの内容を検査および分析します。パケット内のペイロード、ヘッダー、およびその他のプロトコル固有の情報を調べて、ネットワークトラフィックに関する詳細な洞察を得ることが含まれます。
DPIは単純なヘッダー分析を超えており、ネットワークを介して流れるデータを深く理解しています。これにより、HTTP、FTP、SMTP、VoIP、またはビデオストリーミングプロトコルなどのアプリケーションレイヤープロトコルの詳細な検査を可能にします。パケット内の実際のコンテンツを調べることにより、DPIは特定のアプリケーション、プロトコル、または特定のデータパターンを検出および識別できます。
ソースアドレス、宛先アドレス、ソースポート、宛先ポート、およびプロトコルタイプの階層分析に加えて、DPIはアプリケーション層分析を追加して、さまざまなアプリケーションとその内容を特定します。 DPIテクノロジーに基づいて帯域幅管理システムを介して1Pパケット、TCP、またはUDPデータフローがフローすると、システムは1Pパケットロードのコンテンツを読み取り、OSIレイヤー7プロトコルのアプリケーションレイヤー情報を再編成して、アプリケーションプログラム全体のコンテンツを取得し、システムによって定義された管理ポリシーに従ってトラフィックをシェイピングします。
DPIはどのように機能しますか?
従来のファイアウォールには、多くの場合、大量のトラフィックを徹底的にリアルタイムでチェックするための処理能力がありません。テクノロジーが進むにつれて、DPIを使用して、より複雑なチェックを実行してヘッダーとデータをチェックできます。通常、侵入検知システムを備えたファイアウォールは、しばしばDPIを使用します。デジタル情報が最も重要な世界では、すべてのデジタル情報が小さなパケットでインターネットを介して配信されます。これには、電子メール、アプリを介して送信されたメッセージ、訪問されたWebサイト、ビデオ会話などが含まれます。実際のデータに加えて、これらのパケットには、トラフィックソース、コンテンツ、宛先、およびその他の重要な情報を識別するメタデータが含まれています。パケットフィルタリングテクノロジーを使用すると、データを継続的に監視し、適切な場所に転送できるように管理できます。しかし、ネットワークセキュリティを確保するために、従来のパケットフィルタリングは十分ではありません。ネットワーク管理における深いパケット検査の主な方法のいくつかを以下に示します。
一致モード/署名
各パケットは、侵入検知システム(IDS)機能を備えたファイアウォールによる既知のネットワーク攻撃のデータベースとの一致がチェックされます。 IDは、悪意のあるパターンが見つかった場合に既知の悪意のある特定のパターンを検索し、トラフィックを無効にします。署名マッチングポリシーの欠点は、頻繁に更新される署名にのみ適用されることです。さらに、この技術は、既知の脅威または攻撃に対してのみ防御できます。
プロトコル例外
プロトコルの例外手法は、署名データベースと一致しないすべてのデータを単純に許可しているわけではないため、IDSファイアウォールで使用されるプロトコル例外手法には、パターン/署名マッチング方法の固有の欠陥がありません。代わりに、デフォルトの拒否ポリシーを採用します。プロトコルの定義により、ファイアウォールはトラフィックを許可するものを決定し、未知の脅威からネットワークを保護します。
侵入予防システム(IPS)
IPSソリューションは、コンテンツに基づいて有害なパケットの送信をブロックする可能性があるため、攻撃の疑いをリアルタイムで停止できます。これは、パケットが既知のセキュリティリスクを表す場合、IPSは定義された一連のルールに基づいてネットワークトラフィックを積極的にブロックすることを意味します。 IPSの欠点の1つは、新しい脅威に関する詳細と誤検知の可能性を備えたサイバー脅威データベースを定期的に更新する必要性です。しかし、この危険は、保守的なポリシーとカスタムしきい値を作成し、ネットワークコンポーネントの適切なベースライン動作を確立し、監視と警告を強化するための警告と報告されたイベントを定期的に評価することにより、軽減できます。
1-ネットワークパケットブローカーのDPI(ディープパケット検査)
「ディープ」はレベルと通常のパケット分析の比較であり、「通常のパケット検査」は、階層分析を除き、ソースアドレス、宛先アドレス、宛先ポート、宛先ポートおよびプロトコルタイプ、およびDPIを含むIPパケット4レイヤーの次の分析のみです。
1)アプリケーション分析 - ネットワークトラフィック構成分析、パフォーマンス分析、フロー分析
2)ユーザー分析 - ユーザーグループの差別化、行動分析、端末分析、トレンド分析など。
3)ネットワーク要素分析 - 地域の属性(都市、地区、通りなど)および基地局の負荷に基づく分析
4)トラフィックコントロール - P2P速度制限、QoS保証、帯域幅保証、ネットワークリソースの最適化など。
5)セキュリティ保証 - DDOS攻撃、データブロードキャストストーム、悪意のあるウイルス攻撃の防止など。
2-ネットワークアプリケーションの一般的な分類
今日、インターネットには無数のアプリケーションがありますが、一般的なWebアプリケーションは網羅的なものです。
私の知る限り、最高のアプリ認識会社はHuaweiであり、4,000のアプリを認識していると主張しています。プロトコル分析は、多くのファイアウォール企業(Huawei、ZTEなど)の基本モジュールであり、他の機能モジュールの実現、正確なアプリケーション識別、製品のパフォーマンスと信頼性を大幅に改善することをサポートする非常に重要なモジュールでもあります。ネットワークトラフィックの特性に基づいたマルウェア識別のモデリングでは、私が現在行っているように、正確で広範なプロトコル識別も非常に重要です。会社の輸出トラフィックからの一般的なアプリケーションのネットワークトラフィックを除くと、残りのトラフィックはわずかな割合を占め、これはマルウェア分析とアラームに適しています。
私の経験に基づいて、既存の一般的に使用されるアプリケーションは、その機能に従って分類されます。
PS:アプリケーション分類の個人的な理解によると、メッセージ提案を残すための良い提案があります
1)。電子メール
2)。ビデオ
3)。ゲーム
4)。オフィスOAクラス
5)。ソフトウェアアップデート
6)。金融(銀行、アリパイ)
7)。在庫
8)。ソーシャルコミュニケーション(IMソフトウェア)
9)。 Webブラウジング(おそらくURLでよりよく識別される)
10)。ダウンロードツール(Webディスク、P2Pダウンロード、BT関連)
次に、NPBでDPI(ディープパケット検査)がどのように機能するか:
1)。パケットキャプチャ:NPBは、スイッチ、ルーター、タップなど、さまざまなソースからネットワークトラフィックをキャプチャします。ネットワークを流れるパケットを受信します。
2)。パケット解析:キャプチャされたパケットは、さまざまなプロトコル層と関連するデータを抽出するためにNPBによって解析されます。この解析プロセスは、イーサネットヘッダー、IPヘッダー、トランスポートレイヤーヘッダー(TCPまたはUDPなど)、アプリケーションレイヤープロトコルなど、パケット内のさまざまなコンポーネントを識別するのに役立ちます。
3)。ペイロード分析:DPIを使用すると、NPBはヘッダー検査を超えており、パケット内の実際のデータを含むペイロードに焦点を当てています。関連情報を抽出するために、使用されたアプリケーションまたはプロトコルに関係なく、ペイロードコンテンツを詳細に調べます。
4)。プロトコル識別:DPIでは、NPBがネットワークトラフィック内で使用されている特定のプロトコルとアプリケーションを識別できます。 HTTP、FTP、SMTP、DNS、VoIP、ビデオストリーミングプロトコルなどのプロトコルを検出および分類できます。
5)。コンテンツ検査:DPIでは、NPBが特定のパターン、署名、またはキーワードについてパケットのコンテンツを検査できます。これにより、マルウェア、ウイルス、侵入の試み、疑わしいアクティビティなどのネットワークの脅威を検出できます。 DPIは、コンテンツフィルタリング、ネットワークポリシーの実施、またはデータコンプライアンス違反の識別にも使用できます。
6)。メタデータ抽出:DPI中、NPBはパケットから関連するメタデータを抽出します。これには、ソースおよび宛先IPアドレス、ポート番号、セッションの詳細、トランザクションデータ、またはその他の関連属性などの情報が含まれます。
7)。トラフィックルーティングまたはフィルタリング:DPI分析に基づいて、NPBは特定のパケットを指定された宛先にルーティングして、セキュリティアプライアンス、監視ツール、分析プラットフォームなどのさらなる処理を行うことができます。また、識別されたコンテンツまたはパターンに基づいて、パケットを破棄またはリダイレクトするフィルタリングルールを適用することもできます。
投稿時間:6月25日 - 2023年
