ディープパケットインスペクション (DPI)これは、ネットワークパケットブローカー(NPB)で使用される技術で、ネットワークパケットの内容を詳細なレベルで検査および分析します。パケット内のペイロード、ヘッダー、およびその他のプロトコル固有の情報を検査することで、ネットワークトラフィックに関する詳細な情報を得ることができます。
DPIは、単なるヘッダー分析にとどまらず、ネットワークを流れるデータの詳細な理解を可能にします。HTTP、FTP、SMTP、VoIP、ビデオストリーミングプロトコルといったアプリケーション層プロトコルを詳細に検査できます。パケット内の実際のコンテンツを分析することで、DPIは特定のアプリケーション、プロトコル、さらには特定のデータパターンを検出・識別できます。
DPIは、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコルタイプの階層分析に加えて、アプリケーション層分析も行い、様々なアプリケーションとその内容を識別します。1Pパケット、TCP、またはUDPデータがDPI技術に基づく帯域幅管理システムを通過する際、システムは1Pパケットの内容を読み取り、OSIレイヤー7プロトコルのアプリケーション層情報を再編成して、アプリケーションプログラム全体の内容を取得し、システムで定義された管理ポリシーに従ってトラフィックを整形します。
DPIはどのように機能するのですか?
従来のファイアウォールは、大量のトラフィックに対して徹底的なリアルタイムチェックを実行する処理能力が不足していることがよくあります。技術の進歩に伴い、DPIを使用してヘッダーやデータをチェックするより複雑なチェックを実行できるようになりました。通常、侵入検知システムを備えたファイアウォールはDPIを使用します。デジタル情報が最重要視される現代社会では、あらゆるデジタル情報が小さなパケットでインターネット経由で配信されます。これには、電子メール、アプリ経由で送信されるメッセージ、アクセスしたWebサイト、ビデオ通話などが含まれます。これらのパケットには、実際のデータに加えて、トラフィックの送信元、コンテンツ、宛先、その他の重要な情報を識別するメタデータが含まれています。パケットフィルタリング技術を使用すると、データを継続的に監視および管理して、適切な場所に転送されるようにすることができます。しかし、ネットワークセキュリティを確保するには、従来のパケットフィルタリングだけでは不十分です。ネットワーク管理におけるディープパケットインスペクションの主な方法を以下に示します。
マッチングモード/署名
各パケットは、侵入検知システム(IDS)機能を備えたファイアウォールによって、既知のネットワーク攻撃のデータベースと照合されます。IDSは既知の悪意のある特定のパターンを検索し、悪意のあるパターンが見つかった場合はトラフィックを無効化します。シグネチャマッチングポリシーの欠点は、頻繁に更新されるシグネチャにしか適用されないことです。さらに、この技術は既知の脅威や攻撃に対してのみ防御できます。
プロトコル例外
プロトコル例外技術は、署名データベースに一致しないすべてのデータを単純に許可するわけではないため、IDSファイアウォールで使用されるプロトコル例外技術は、パターン/署名照合方式に内在する欠陥を持ちません。代わりに、デフォルトの拒否ポリシーを採用しています。プロトコルの定義によれば、ファイアウォールは許可すべきトラフィックを決定し、未知の脅威からネットワークを保護します。
侵入防止システム(IPS)
IPSソリューションは、パケットの内容に基づいて有害なパケットの送信をブロックし、疑わしい攻撃をリアルタイムで阻止できます。つまり、パケットが既知のセキュリティリスクを示す場合、IPSは定義されたルールに基づいてネットワークトラフィックを事前にブロックします。IPSの欠点の1つは、新しい脅威に関する詳細情報をサイバー脅威データベースに定期的に更新する必要があることと、誤検知の可能性があることです。しかし、保守的なポリシーとカスタムしきい値を作成し、ネットワークコンポーネントの適切なベースライン動作を確立し、警告と報告されたイベントを定期的に評価して監視とアラートを強化することで、この危険性を軽減できます。
1. ネットワークパケットブローカーにおけるDPI(ディープパケットインスペクション)
「ディープ」レベルと通常のパケット分析の比較では、「通常のパケット検査」は、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコルタイプを含む、IPパケットの4層のみを分析します。DPIは階層分析に加えて、アプリケーション層の分析も追加し、さまざまなアプリケーションと内容を識別して、主な機能を実現します。
1) アプリケーション分析 - ネットワークトラフィック構成分析、パフォーマンス分析、フロー分析
2) ユーザー分析 - ユーザーグループの差別化、行動分析、端末分析、トレンド分析など
3) ネットワーク要素分析 - 地域属性(都市、地区、通りなど)と基地局負荷に基づく分析
4) トラフィック制御 - P2P速度制限、QoS保証、帯域幅保証、ネットワークリソース最適化など。
5) セキュリティ保証 - DDoS攻撃、データブロードキャストストーム、悪意のあるウイルス攻撃の防止など。
2.ネットワークアプリケーションの一般的な分類
今日、インターネット上には無数のアプリケーションが存在するが、一般的なウェブアプリケーションだけでも網羅的と言えるだろう。
私の知る限り、アプリ認識のベストカンパニーはHuaweiで、4,000のアプリを認識できると主張しています。プロトコル分析は、多くのファイアウォール企業(Huawei、ZTEなど)の基本モジュールであり、他の機能モジュールの実現、正確なアプリケーション識別、製品のパフォーマンスと信頼性の大幅な向上をサポートする非常に重要なモジュールでもあります。私が現在行っているように、ネットワークトラフィック特性に基づいてマルウェア識別をモデル化する場合、正確で広範なプロトコル識別も非常に重要です。会社のエクスポートトラフィックから一般的なアプリケーションのネットワークトラフィックを除外すると、残りのトラフィックの割合は小さくなり、マルウェア分析とアラームに適しています。
私の経験に基づくと、現在一般的に使用されているアプリケーションは、その機能に応じて以下のように分類されます。
PS: アプリケーション分類に関する個人的な理解に基づき、何か良い提案があればメッセージでお知らせください。
1) 電子メール
2) ビデオ
3) ゲーム
4) オフィスOAクラス
5) ソフトウェアアップデート
6) 金融(銀行、Alipay)
7) 株式
8) ソーシャルコミュニケーション(インスタントメッセージングソフトウェア)
9) ウェブブラウジング(URLで識別するのが最も適切でしょう)
10)ダウンロードツール(ウェブディスク、P2Pダウンロード、BT関連)
では、NPBにおけるDPI(ディープパケットインスペクション)の仕組みについて説明します。
1) パケットキャプチャ:NPBは、スイッチ、ルーター、タップなど、さまざまなソースからのネットワークトラフィックをキャプチャします。ネットワークを流れるパケットを受信します。
2) パケット解析:キャプチャされたパケットはNPBによって解析され、さまざまなプロトコル層と関連データが抽出されます。この解析プロセスにより、イーサネットヘッダー、IPヘッダー、トランスポート層ヘッダー(TCPやUDPなど)、アプリケーション層プロトコルなど、パケット内のさまざまなコンポーネントを識別することができます。
3) ペイロード分析:DPIでは、NPBはヘッダー検査にとどまらず、パケット内の実際のデータを含むペイロードに焦点を当てます。使用されるアプリケーションやプロトコルに関係なく、ペイロードの内容を詳細に検査し、関連情報を抽出します。
4) プロトコル識別:DPIにより、NPBはネットワークトラフィック内で使用されている特定のプロトコルとアプリケーションを識別できます。HTTP、FTP、SMTP、DNS、VoIP、ビデオストリーミングプロトコルなどのプロトコルを検出および分類できます。
5) コンテンツ検査:DPI(ディープパケットインスペクション)により、NPB(ネットワーク保護局)はパケットの内容を検査し、特定のパターン、シグネチャ、またはキーワードを検出できます。これにより、マルウェア、ウイルス、侵入試行、不審な活動などのネットワーク脅威を検出できます。DPIは、コンテンツフィルタリング、ネットワークポリシーの適用、データコンプライアンス違反の特定にも使用できます。
6) メタデータの抽出:DPI処理中、NPBはパケットから関連するメタデータを抽出します。これには、送信元および宛先IPアドレス、ポート番号、セッションの詳細、トランザクションデータ、その他の関連属性などの情報が含まれます。
7) トラフィックのルーティングまたはフィルタリング:DPI分析に基づいて、NPBは特定のパケットをセキュリティ機器、監視ツール、分析プラットフォームなどの指定された宛先にルーティングして、さらに処理することができます。また、識別されたコンテンツやパターンに基づいて、フィルタリングルールを適用してパケットを破棄またはリダイレクトすることもできます。
投稿日時:2023年6月25日
