심층 패킷 검사(DPI) 기반 네트워크 패킷 브로커 애플리케이션 식별

심층 패킷 검사 (DPI)패킷 분석(PMI)은 네트워크 패킷 브로커(NPB)에서 네트워크 패킷의 내용을 세부적으로 검사하고 분석하는 데 사용되는 기술입니다. 패킷 내의 페이로드, 헤더 및 기타 프로토콜 관련 정보를 검사하여 네트워크 트래픽에 대한 자세한 정보를 얻는 것을 포함합니다.

DPI는 단순한 헤더 분석을 넘어 네트워크를 통해 흐르는 데이터에 대한 심층적인 이해를 제공합니다. HTTP, FTP, SMTP, VoIP 또는 비디오 스트리밍 프로토콜과 같은 애플리케이션 계층 프로토콜을 자세히 검사할 수 있습니다. 패킷 내의 실제 콘텐츠를 분석함으로써 DPI는 특정 애플리케이션, 프로토콜 또는 특정 데이터 패턴까지 감지하고 식별할 수 있습니다.

DPI는 소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 유형에 대한 계층적 분석 외에도 다양한 애플리케이션과 그 내용을 식별하기 위한 애플리케이션 계층 분석을 추가합니다. 1P 패킷, TCP 또는 UDP 데이터가 DPI 기술 기반 대역폭 관리 시스템을 통과할 때, 시스템은 1P 패킷의 내용을 읽어 OSI 계층 7 프로토콜의 애플리케이션 계층 정보를 재구성하여 전체 애플리케이션 프로그램의 내용을 파악한 다음, 시스템에서 정의한 관리 정책에 따라 트래픽을 제어합니다.

DPI는 어떻게 작동하나요?

기존 방화벽은 대량의 트래픽에 대한 철저한 실시간 검사를 수행할 처리 능력이 부족한 경우가 많습니다. 기술이 발전함에 따라 DPI(심층 패킷 검사)를 사용하여 헤더와 데이터를 검사하는 등 더욱 복잡한 검사를 수행할 수 있게 되었습니다. 일반적으로 침입 탐지 시스템이 탑재된 방화벽은 DPI를 활용합니다. 디지털 정보가 매우 중요한 이 시대에 모든 디지털 정보는 작은 패킷 형태로 인터넷을 통해 전송됩니다. 여기에는 이메일, 앱을 통해 전송되는 메시지, 방문한 웹사이트, 화상 통화 등이 포함됩니다. 이러한 패킷에는 실제 데이터 외에도 트래픽의 출처, 콘텐츠, 목적지 및 기타 중요한 정보를 식별하는 메타데이터가 포함됩니다. 패킷 필터링 기술을 사용하면 데이터를 지속적으로 모니터링하고 관리하여 올바른 위치로 전달되도록 할 수 있습니다. 그러나 네트워크 보안을 보장하기 위해서는 기존 패킷 필터링만으로는 충분하지 않습니다. 네트워크 관리에서 사용되는 주요 심층 패킷 검사 방법은 다음과 같습니다.

매칭 모드/시그니처

각 패킷은 침입 탐지 시스템(IDS) 기능을 갖춘 방화벽에 의해 알려진 네트워크 공격 데이터베이스와 일치하는지 검사됩니다. IDS는 알려진 악성 패턴을 검색하고 악성 패턴이 발견되면 트래픽을 차단합니다. 시그니처 일치 정책의 단점은 자주 업데이트되는 시그니처에만 적용된다는 것입니다. 또한 이 기술은 알려진 위협이나 공격에 대해서만 방어할 수 있습니다.

프로토콜 예외

프로토콜 예외 처리 기법은 서명 데이터베이스와 일치하지 않는 모든 데이터를 단순히 허용하는 방식이 아니기 때문에, IDS 방화벽에서 사용하는 프로토콜 예외 처리 기법은 패턴/서명 일치 방식의 고유한 결함을 가지고 있지 않습니다. 대신, 기본 차단 정책을 채택합니다. 방화벽은 프로토콜 정의에 따라 어떤 트래픽을 허용할지 결정하고 알려지지 않은 위협으로부터 네트워크를 보호합니다.

침입 방지 시스템(IPS)

IPS 솔루션은 패킷 내용을 기반으로 악성 패킷의 전송을 차단하여 의심스러운 공격을 실시간으로 막을 수 있습니다. 즉, 패킷이 알려진 보안 위험을 나타내는 경우 IPS는 정의된 규칙에 따라 네트워크 트래픽을 사전에 차단합니다. IPS의 단점 중 하나는 새로운 위협에 대한 세부 정보를 사이버 위협 데이터베이스에 정기적으로 업데이트해야 한다는 점과 오탐이 발생할 가능성이 있다는 것입니다. 하지만 이러한 위험은 보수적인 정책과 사용자 지정 임계값을 설정하고, 네트워크 구성 요소에 적절한 기준 동작을 설정하며, 경고 및 보고된 이벤트를 주기적으로 평가하여 모니터링 및 알림 기능을 강화함으로써 완화할 수 있습니다.

1. 네트워크 패킷 브로커의 DPI(심층 패킷 검사)

"심층 패킷 검사(DPI)"는 일반 패킷 분석과 계층적 분석을 비교하는 것으로, "일반 패킷 검사"는 IP 패킷의 4계층(발신 주소, 도착 주소, 출발 포트, 도착 포트, 프로토콜 유형)만 분석합니다. DPI는 계층적 분석 외에도 응용 프로그램 계층 분석을 추가하여 다양한 응용 프로그램과 콘텐츠를 식별함으로써 주요 기능을 구현합니다.

1) 애플리케이션 분석 - 네트워크 트래픽 구성 분석, 성능 분석 및 흐름 분석

2) 사용자 분석 - 사용자 그룹 구분, 행동 분석, 단말기 분석, 추세 분석 등

3) 네트워크 요소 분석 - 지역 속성(도시, 구역, 거리 등) 및 기지국 부하를 기반으로 한 분석

4) 트래픽 제어 - P2P 속도 제한, QoS 보장, 대역폭 보장, 네트워크 자원 최적화 등

5) 보안 보장 - DDoS 공격, 데이터 폭주, 악성 바이러스 공격 방지 등

2. 네트워크 애플리케이션의 일반적인 분류

오늘날 인터넷에는 수많은 애플리케이션이 있지만, 흔히 볼 수 있는 웹 애플리케이션만으로도 기능이 매우 다양합니다.

제가 아는 한, 앱 인식 분야에서 최고 기업은 화웨이이며, 4,000개 이상의 앱을 인식할 수 있다고 주장합니다. 프로토콜 분석은 화웨이, ZTE 등 많은 방화벽 회사의 기본 모듈이며, 다른 기능 모듈의 구현, 정확한 애플리케이션 식별, 제품 성능 및 신뢰성 향상을 지원하는 매우 중요한 모듈입니다. 제가 현재 진행하고 있는 네트워크 트래픽 특성 기반 악성코드 식별 모델링에서도 정확하고 광범위한 프로토콜 식별은 매우 중요합니다. 기업의 수출 트래픽에서 일반 애플리케이션의 네트워크 트래픽을 제외하면 나머지 트래픽은 작은 비중을 차지하게 되는데, 이는 악성코드 분석 및 경보에 더 적합합니다.

제 경험에 비추어 볼 때, 현재 일반적으로 사용되는 애플리케이션들은 기능에 따라 다음과 같이 분류됩니다.

추신: 제 개인적인 이해에 따르면, 애플리케이션 분류에 대한 좋은 제안이 있으시면 언제든지 메시지로 남겨주세요.

1) 이메일

2) 비디오

3) 게임

4) 오피스 OA 클래스

5) 소프트웨어 업데이트

6) 금융(은행, 알리페이)

7) 주식

8) 소셜 커뮤니케이션(인스턴트 메시징 소프트웨어)

9) 웹 브라우징 (아마도 URL과 더 잘 연관될 수 있을 것입니다)

10) 다운로드 도구 (웹 디스크, P2P 다운로드, 블루투스 관련)