DPI に基づくネットワーク パケット ブローカー アプリケーションの識別 - ディープ パケット インスペクション

ディープパケットインスペクション (DPI)は、ネットワーク パケット ブローカー (NPB) でネットワーク パケットの内容を詳細なレベルで検査および分析するために使用されるテクノロジーです。これには、パケット内のペイロード、ヘッダー、およびその他のプロトコル固有の情報を調べて、ネットワーク トラフィックに関する詳細な洞察を得ることが含まれます。

DPI は、単純なヘッダー分析を超えて、ネットワークを流れるデータを深く理解します。これにより、HTTP、FTP、SMTP、VoIP、ビデオ ストリーミング プロトコルなどのアプリケーション層プロトコルの詳細な検査が可能になります。DPI は、パケット内の実際のコンテンツを検査することで、特定のアプリケーション、プロトコル、さらには特定のデータ パターンを検出して識別できます。

DPI は、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル タイプの階層分析に加えて、さまざまなアプリケーションとその内容を識別するためのアプリケーション層分析も追加します。1P パケット、TCP、または UDP データが DPI テクノロジに基づく帯域幅管理システムを通過するとき、システムは 1P パケットロードの内容を読み取り、OSI レイヤ 7 プロトコルのアプリケーション層情報を再編成して、次の内容を取得します。アプリケーション プログラム全体を処理し、システムによって定義された管理ポリシーに従ってトラフィックをシェーピングします。

DPIはどのように機能しますか?

従来のファイアウォールには、大量のトラフィックをリアルタイムで徹底的にチェックするための処理能力が不足していることがよくあります。テクノロジーが進歩するにつれて、DPI を使用してヘッダーとデータをチェックするためのより複雑なチェックを実行できるようになります。通常、侵入検知システムを備えたファイアウォールでは DPI が使用されることがよくあります。デジタル情報が最も重要な世界では、あらゆるデジタル情報が小さなパケットでインターネット経由で配信されます。これには、電子メール、アプリを通じて送信されたメッセージ、訪問した Web サイト、ビデオ会話などが含まれます。これらのパケットには、実際のデータに加えて、トラフィックの送信元、コンテンツ、宛先、その他の重要な情報を識別するメタデータが含まれています。パケット フィルタリング テクノロジを使用すると、データを継続的に監視および管理して、データが適切な場所に確実に転送されるようにすることができます。しかし、ネットワークのセキュリティを確保するには、従来のパケット フィルタリングだけでは十分ではありません。ネットワーク管理におけるディープ パケット インスペクションの主な方法のいくつかを以下に示します。

マッチングモード/署名

各パケットは、侵入検知システム (IDS) 機能を備えたファイアウォールによって、既知のネットワーク攻撃のデータベースとの一致がチェックされます。IDS は既知の悪意のある特定のパターンを検索し、悪意のあるパターンが見つかった場合はトラフィックを無効にします。署名一致ポリシーの欠点は、頻繁に更新される署名にのみ適用されることです。さらに、このテクノロジーは既知の脅威や攻撃に対してのみ防御できます。

プロトコル例外

プロトコル例外技術は、署名データベースに一致しないすべてのデータを単純に許可するわけではないため、IDS ファイアウォールで使用されるプロトコル例外技術には、パターン/署名照合方式に固有の欠陥はありません。代わりに、デフォルトの拒否ポリシーが採用されます。ファイアウォールはプロトコル定義に基づいて、どのトラフィックを許可するかを決定し、未知の脅威からネットワークを保護します。

侵入防御システム (IPS)

IPS ソリューションは、有害なパケットの送信をその内容に基づいてブロックできるため、疑わしい攻撃をリアルタイムで阻止できます。これは、パケットが既知のセキュリティ リスクを表す場合、IPS は定義された一連のルールに基づいてネットワーク トラフィックを積極的にブロックすることを意味します。IPS の欠点の 1 つは、新しい脅威に関する詳細と誤検知の可能性を備えたサイバー脅威データベースを定期的に更新する必要があることです。ただし、この危険は、保守的なポリシーとカスタムしきい値を作成し、ネットワーク コンポーネントの適切なベースライン動作を確立し、警告と報告されたイベントを定期的に評価して監視とアラートを強化することで軽減できます。

1- ネットワーク パケット ブローカーの DPI (ディープ パケット インスペクション)

「詳細」はレベルと通常のパケット分析の比較であり、「通常のパケット検査」は、送信元アドレス、宛先アドレス、送信元ポート、宛先ポートとプロトコル タイプ、および階層を除く DPI を含む IP パケット 4 層の次の分析のみです。分析、アプリケーション層分析も強化され、さまざまなアプリケーションとコンテンツを特定して、主な機能を実現します。

1) アプリケーション分析 -- ネットワークトラフィック構成分析、パフォーマンス分析、フロー分析

2) ユーザー分析 -- ユーザーグループの差別化、行動分析、端末分析、傾向分析など。

3) ネットワーク要素分析 -- 地域属性 (都市、地区、街路など) と基地局負荷に基づく分析

4) トラフィック制御 -- P2P 速度制限、QoS 保証、帯域幅保証、ネットワーク リソースの最適化など。

5) セキュリティ保証 -- DDoS 攻撃、データブロードキャストストーム、悪意のあるウイルス攻撃の防止など。

2- ネットワーク アプリケーションの一般的な分類

現在、インターネット上には無数のアプリケーションがありますが、一般的な Web アプリケーションだけでは膨大な場合があります。

私の知る限り、最も優れたアプリ認識企業は Huawei であり、4,000 個のアプリを認識すると主張しています。プロトコル分析は、多くのファイアウォール企業 (Huawei、ZTE など) の基本モジュールであり、他の機能モジュールの実現、アプリケーションの正確な識別をサポートし、製品のパフォーマンスと信頼性を大幅に向上させる非常に重要なモジュールでもあります。私が現在行っているように、ネットワーク トラフィックの特性に基づいてマルウェア識別をモデル化する場合、正確かつ広範なプロトコル識別も非常に重要です。企業の輸出トラフィックから一般的なアプリケーションのネットワーク トラフィックを除くと、残りのトラフィックが占める割合は小さく、マルウェアの分析や警報に適しています。

私の経験に基づいて、既存の一般的に使用されるアプリケーションは、その機能に従って次のように分類されます。

PS: アプリケーション分類の個人的な理解によると、何か良い提案がありましたら、メッセージ提案を残してください。

1)。Eメール

2)。ビデオ

3)。ゲーム

4)。オフィスOAクラス

5)。ソフトウェアの更新

6)。金融（銀行、Alipay）

7）。株式

8)。ソーシャルコミュニケーション（IMソフトウェア）

9)。Web ブラウジング (おそらく URL でより適切に識別できる)

10)。ダウンロードツール（Webディスク、P2Pダウンロード、BT関連）