심층 패킷 검사 ((디피에이)네트워크 패킷 브로커(NPB)에서 네트워크 패킷의 내용을 세부적으로 검사하고 분석하는 데 사용되는 기술입니다. 패킷 내의 페이로드, 헤더 및 기타 프로토콜별 정보를 검사하여 네트워크 트래픽에 대한 자세한 정보를 얻습니다.
DPI는 단순한 헤더 분석을 넘어 네트워크 데이터 흐름에 대한 심층적인 이해를 제공합니다. HTTP, FTP, SMTP, VoIP 또는 비디오 스트리밍 프로토콜과 같은 애플리케이션 계층 프로토콜을 심층적으로 검사할 수 있습니다. DPI는 패킷 내의 실제 내용을 검사하여 특정 애플리케이션, 프로토콜 또는 특정 데이터 패턴을 감지하고 식별할 수 있습니다.
DPI는 소스 주소, 목적지 주소, 소스 포트, 목적지 포트 및 프로토콜 유형의 계층적 분석 외에도 다양한 애플리케이션과 그 내용을 식별하기 위한 애플리케이션 계층 분석을 추가합니다. 1P 패킷, TCP 또는 UDP 데이터가 DPI 기술 기반 대역폭 관리 시스템을 통과할 때, 시스템은 1P 패킷의 내용을 읽고 OSI 7계층 프로토콜의 애플리케이션 계층 정보를 재구성하여 전체 애플리케이션 프로그램의 내용을 파악한 후, 시스템에서 정의한 관리 정책에 따라 트래픽을 조정합니다.
DPI는 어떻게 작동하나요?
기존 방화벽은 대량 트래픽에 대한 실시간 검사를 철저히 수행할 만큼의 처리 능력이 부족한 경우가 많습니다. 기술이 발전함에 따라 DPI(데이터 무결성 검사)를 사용하여 헤더와 데이터를 검사하는 더욱 복잡한 검사를 수행할 수 있습니다. 일반적으로 침입 탐지 시스템이 탑재된 방화벽은 DPI를 사용하는 경우가 많습니다. 디지털 정보가 중요한 세상에서 모든 디지털 정보는 작은 패킷 형태로 인터넷을 통해 전달됩니다. 여기에는 이메일, 앱을 통해 전송된 메시지, 방문한 웹사이트, 화상 대화 등이 포함됩니다. 이러한 패킷에는 실제 데이터 외에도 트래픽 출처, 콘텐츠, 목적지 및 기타 중요한 정보를 식별하는 메타데이터가 포함됩니다. 패킷 필터링 기술을 사용하면 데이터가 올바른 위치로 전달되도록 지속적으로 모니터링하고 관리할 수 있습니다. 하지만 네트워크 보안을 위해서는 기존의 패킷 필터링만으로는 충분하지 않습니다. 네트워크 관리에서 심층 패킷 검사의 주요 방법은 다음과 같습니다.
매칭 모드/서명
각 패킷은 침입 탐지 시스템(IDS) 기능이 있는 방화벽에 의해 알려진 네트워크 공격 데이터베이스와 일치하는지 검사됩니다. IDS는 알려진 악성 특정 패턴을 검색하고, 악성 패턴이 발견되면 트래픽을 차단합니다. 시그니처 매칭 정책의 단점은 자주 업데이트되는 시그니처에만 적용된다는 것입니다. 또한, 이 기술은 알려진 위협이나 공격에 대해서만 방어할 수 있습니다.
프로토콜 예외
프로토콜 예외 기법은 단순히 시그니처 데이터베이스와 일치하지 않는 모든 데이터를 허용하는 것이 아니므로, IDS 방화벽에서 사용하는 프로토콜 예외 기법은 패턴/시그니처 매칭 방식의 고유한 단점을 가지고 있지 않습니다. 대신, 기본 거부 정책을 채택합니다. 프로토콜 정의에 따라 방화벽은 허용할 트래픽을 결정하고 알려지지 않은 위협으로부터 네트워크를 보호합니다.
침입 방지 시스템(IPS)
IPS 솔루션은 유해 패킷의 전송을 콘텐츠 기반으로 차단하여 의심되는 공격을 실시간으로 차단할 수 있습니다. 즉, 패킷이 알려진 보안 위험을 나타낼 경우 IPS는 정의된 규칙 집합에 따라 네트워크 트래픽을 사전에 차단합니다. IPS의 한 가지 단점은 새로운 위협에 대한 세부 정보와 오탐지 가능성을 고려하여 사이버 위협 데이터베이스를 정기적으로 업데이트해야 한다는 것입니다. 하지만 이러한 위험은 보수적인 정책과 사용자 지정 임계값을 생성하고, 네트워크 구성 요소에 대한 적절한 기준 동작을 설정하고, 경고 및 보고된 이벤트를 정기적으로 평가하여 모니터링 및 알림 기능을 강화함으로써 완화할 수 있습니다.
1- 네트워크 패킷 브로커의 DPI(Deep Packet Inspection)
"심층"은 수준별 패킷 분석과 일반 패킷 분석을 비교한 것으로, "일반 패킷 검사"는 소스 주소, 목적지 주소, 소스 포트, 목적지 포트 및 프로토콜 유형을 포함한 IP 패킷의 4계층 분석만 수행하며, DPI는 계층적 분석을 제외하고 애플리케이션 계층 분석까지 추가하여 다양한 애플리케이션과 콘텐츠를 식별하고 주요 기능을 실현합니다.
1) 애플리케이션 분석 - 네트워크 트래픽 구성 분석, 성능 분석, 흐름 분석
2) 사용자 분석 - 사용자 그룹 차별화, 행동 분석, 터미널 분석, 추세 분석 등
3) 네트워크 요소 분석 - 지역 속성(도시, 지구, 거리 등) 및 기지국 부하 기반 분석
4) 트래픽 제어 -- P2P 속도 제한, QoS 보장, 대역폭 보장, 네트워크 리소스 최적화 등.
5) 보안 보장 - DDoS 공격, 데이터 브로드캐스트 스톰, 악성 바이러스 공격 방지 등
2- 네트워크 애플리케이션의 일반 분류
오늘날 인터넷에는 셀 수 없이 많은 애플리케이션이 있지만, 일반적인 웹 애플리케이션은 매우 포괄적일 수 있습니다.
제가 아는 한, 최고의 앱 인식 업체는 화웨이로, 4,000개의 앱을 인식한다고 합니다. 프로토콜 분석은 많은 방화벽 업체(화웨이, ZTE 등)의 기본 모듈이며, 다른 기능 모듈의 구현, 정확한 애플리케이션 식별, 그리고 제품의 성능과 안정성을 크게 향상시키는 매우 중요한 모듈입니다. 제가 지금 하고 있는 것처럼 네트워크 트래픽 특성을 기반으로 악성코드 식별을 모델링할 때, 정확하고 광범위한 프로토콜 식별 또한 매우 중요합니다. 회사의 외부 트래픽에서 일반적인 애플리케이션의 네트워크 트래픽을 제외하면, 나머지 트래픽은 적은 비중을 차지할 것이며, 이는 악성코드 분석 및 경보에 더 효과적입니다.
내 경험에 따르면, 현재 널리 사용되는 애플리케이션은 기능에 따라 다음과 같이 분류됩니다.
PS: 응용 프로그램 분류에 대한 개인적인 이해에 따르면 좋은 제안이 있으면 메시지 제안을 남겨 주시기 바랍니다.
1) 이메일
2) 비디오
3) 게임
4) 오피스 OA 수업
5) 소프트웨어 업데이트
6) 금융(은행, 알리페이)
7) 주식
8). 소셜 커뮤니케이션(IM 소프트웨어)
9) 웹 브라우징(URL로 더 잘 식별될 수 있음)
10) 다운로드 도구(웹디스크, P2P 다운로드, BT 관련)
그렇다면 NPB에서 DPI(Deep Packet Inspection)가 어떻게 작동하는지 살펴보겠습니다.
1) 패킷 캡처: NPB는 스위치, 라우터, 탭 등 다양한 소스에서 네트워크 트래픽을 캡처합니다. 네트워크를 통해 흐르는 패킷을 수신합니다.
2) 패킷 파싱: NPB는 캡처된 패킷을 파싱하여 다양한 프로토콜 계층과 관련 데이터를 추출합니다. 이 파싱 과정은 패킷 내의 다양한 구성 요소(예: 이더넷 헤더, IP 헤더, 전송 계층 헤더(예: TCP 또는 UDP), 애플리케이션 계층 프로토콜)를 식별하는 데 도움이 됩니다.
3) 페이로드 분석: DPI를 통해 NPB는 헤더 검사를 넘어 패킷 내 실제 데이터를 포함한 페이로드에 집중합니다. 사용된 애플리케이션이나 프로토콜에 관계없이 페이로드 내용을 심층적으로 분석하여 관련 정보를 추출합니다.
4) 프로토콜 식별: DPI는 NPB가 네트워크 트래픽에서 사용되는 특정 프로토콜과 애플리케이션을 식별할 수 있도록 지원합니다. HTTP, FTP, SMTP, DNS, VoIP 또는 비디오 스트리밍 프로토콜과 같은 프로토콜을 감지하고 분류할 수 있습니다.
5) 콘텐츠 검사: DPI를 통해 NPB는 패킷 콘텐츠에서 특정 패턴, 시그니처 또는 키워드를 검사할 수 있습니다. 이를 통해 맬웨어, 바이러스, 침입 시도 또는 의심스러운 활동과 같은 네트워크 위협을 탐지할 수 있습니다. DPI는 콘텐츠 필터링, 네트워크 정책 시행 또는 데이터 규정 위반 식별에도 사용할 수 있습니다.
6) 메타데이터 추출: DPI 동안 NPB는 패킷에서 관련 메타데이터를 추출합니다. 여기에는 소스 및 목적지 IP 주소, 포트 번호, 세션 세부 정보, 트랜잭션 데이터 또는 기타 관련 속성과 같은 정보가 포함될 수 있습니다.
7) 트래픽 라우팅 또는 필터링: NPB는 DPI 분석을 기반으로 특정 패킷을 보안 장비, 모니터링 도구 또는 분석 플랫폼과 같은 추가 처리를 위해 지정된 목적지로 라우팅할 수 있습니다. 또한, 식별된 콘텐츠 또는 패턴을 기반으로 패킷을 삭제하거나 리디렉션하는 필터링 규칙을 적용할 수 있습니다.
게시 시간: 2023년 6월 25일
