DPI를 기반으로 한 네트워크 패킷 브로커 응용 프로그램 식별 - 심층 검사

깊은 패킷 검사 (DPI)NPBS (Network Packet Brokers)에 사용되는 기술은 세분가 수준에서 네트워크 패킷의 내용을 검사하고 분석하는 데 사용됩니다. 여기에는 페이로드, 헤더 및 패킷 내의 기타 프로토콜 별 정보를 검사하여 네트워크 트래픽에 대한 자세한 통찰력을 얻습니다.

DPI는 간단한 헤더 분석을 넘어 네트워크를 통해 흐르는 데이터에 대한 깊은 이해를 제공합니다. HTTP, FTP, SMTP, VOIP 또는 비디오 스트리밍 프로토콜과 같은 응용 프로그램 계층 프로토콜을 심층적으로 검사 할 수 있습니다. 패킷 내에서 실제 컨텐츠를 검사함으로써 DPI는 특정 응용 프로그램, 프로토콜 또는 특정 데이터 패턴을 감지하고 식별 할 수 있습니다.

소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 유형의 계층 적 분석 외에도 DPI는 다양한 응용 프로그램 및 해당 내용을 식별하기 위해 응용 프로그램 계층 분석을 추가합니다. 1P 패킷, TCP 또는 UDP 데이터가 DPI 기술을 기반으로 대역폭 관리 시스템을 통해 흐르면 시스템은 1P 패킷로드의 컨텐츠를 읽어 OSI 계층 7 프로토콜에서 응용 프로그램 계층 정보를 재구성하여 전체 애플리케이션 프로그램의 컨텐츠를 얻을 수 있도록 시스템에서 정의한 관리 정책에 따라 트래픽을 형성합니다.

DPI는 어떻게 작동합니까?

전통적인 방화벽은 종종 대량의 트래픽에 대한 철저한 실시간 점검을 수행 할 수있는 처리 능력이 부족합니다. 기술이 발전함에 따라 DPI를 사용하여 더욱 복잡한 검사를 수행하여 헤더 및 데이터를 확인할 수 있습니다. 일반적으로 침입 탐지 시스템이있는 방화벽은 종종 DPI를 사용합니다. 디지털 정보가 가장 중요한 세상에서는 모든 디지털 정보가 인터넷을 통해 작은 패킷으로 전달됩니다. 여기에는 이메일, 앱을 통해 전송 된 메시지, 방문한 웹 사이트, 비디오 대화 등이 포함됩니다. 실제 데이터 외에도 이러한 패킷에는 트래픽 소스, 컨텐츠, 대상 및 기타 중요한 정보를 식별하는 메타 데이터가 포함되어 있습니다. 패킷 필터링 기술을 사용하면 데이터를 지속적으로 모니터링하고 올바른 위치로 전달할 수 있도록 데이터를 관리 할 수 ​​있습니다. 그러나 네트워크 보안을 보장하기 위해 기존 패킷 필터링은 충분하지 않습니다. 네트워크 관리에서 심층 패킷 검사의 주요 방법 중 일부는 다음과 같습니다.

일치하는 모드/서명

각 패킷은 침입 감지 시스템 (IDS) 기능이있는 방화벽에서 알려진 네트워크 공격 데이터베이스와 일치하는지 확인합니다. IDS는 알려진 악의적 인 특정 패턴을 검색하고 악의적 인 패턴이 발견 될 때 트래픽을 비활성화합니다. 서명 매칭 정책의 단점은 자주 업데이트되는 서명에만 적용된다는 것입니다. 또한이 기술은 알려진 위협이나 공격 으로부터만 방어 할 수 있습니다.

프로토콜 예외

프로토콜 예외 기술은 단순히 시그니처 데이터베이스와 일치하지 않는 모든 데이터를 허용하지 않기 때문에 IDS 방화벽에서 사용하는 프로토콜 예외 기술에는 패턴/서명 매칭 방법의 고유 한 결함이 없습니다. 대신, 기본 거부 정책을 채택합니다. 프로토콜 정의에 의해 방화벽은 허용 할 트래픽을 결정하고 알 수없는 위협으로부터 네트워크를 보호합니다.

침입 방지 시스템 (IPS)

IPS 솔루션은 콘텐츠에 따라 유해 패킷의 전송을 차단하여 의심되는 공격을 실시간으로 중지 할 수 있습니다. 즉, 패킷이 알려진 보안 위험을 나타내는 경우 IPS는 정의 된 규칙 세트를 기반으로 네트워크 트래픽을 적극적으로 차단합니다. IPS의 한 가지 단점 중 하나는 새로운 위협에 대한 세부 사항과 잘못된 긍정적 인 가능성으로 사이버 위협 데이터베이스를 정기적으로 업데이트해야한다는 것입니다. 그러나 보수적 인 정책과 맞춤형 임계 값을 만들고 네트워크 구성 요소에 적합한 기준 동작을 설정하고 주기적으로 경고 및보고 된 이벤트를 모니터링 및 경고를 향상시켜 이러한 위험을 완화 할 수 있습니다.

1- 네트워크 패킷 브로커의 DPI (Deep Packet Inspection)

"딥"은 레벨 및 일반 패킷 분석 비교입니다. "일반 패킷 검사"소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 유형 및 DPI를 포함하여 IP 패킷 4 계층의 다음 분석 만 계층 적 분석을 제외하고는 애플리케이션 계층 분석을 증가시키고 다양한 응용 프로그램 및 컨텐츠를 식별하여 주 기능을 실현합니다.

1) 응용 분석 - 네트워크 트래픽 구성 분석, 성능 분석 및 흐름 분석

2) 사용자 분석 - 사용자 그룹 차별화, 행동 분석, 터미널 분석, 추세 분석 등

3) 네트워크 요소 분석 - 지역 속성 (도시, 지구, 거리 등) 및 기지국 부하를 기반으로 한 분석

4) 트래픽 제어 - P2P 속도 제한, QOS 보증, 대역폭 보증, 네트워크 리소스 최적화 등

5) 보안 보증 - DDOS 공격, 데이터 방송 폭풍, 악의적 인 바이러스 공격 방지 등

2- 네트워크 응용 프로그램의 일반적인 분류

오늘날 인터넷에는 수많은 응용 프로그램이 있지만 일반적인 웹 응용 프로그램은 철저 할 수 있습니다.

내가 아는 한, 최고의 앱 인식 회사는 4,000 개의 앱을 인식한다고 주장하는 Huawei입니다. 프로토콜 분석은 많은 방화벽 회사 (Huawei, ZTE 등)의 기본 모듈이며, 다른 기능 모듈의 실현, 정확한 응용 프로그램 식별 및 제품의 성능 및 신뢰성을 크게 향상시키는 매우 중요한 모듈이기도합니다. 네트워크 트래픽 특성을 기반으로 한 맬웨어 식별 모델링에서 현재 수행중인 것처럼 정확하고 광범위한 프로토콜 식별도 매우 중요합니다. 회사의 수출 트래픽에서 공통 애플리케이션의 네트워크 트래픽을 제외하면 나머지 트래픽은 적은 비율을 차지하며, 이는 맬웨어 분석 및 경보에 더 좋습니다.

내 경험을 바탕으로 기존의 일반적으로 사용되는 응용 프로그램은 기능에 따라 분류됩니다.

추신 : 응용 프로그램 분류에 대한 개인적인 이해에 따르면 좋은 제안이 있습니다. 메시지 제안을 남겨주는 데 오신 것을 환영합니다.

1). 이메일

2). 동영상

3). 계략

4). 사무실 OA 클래스

5). 소프트웨어 업데이트

6). 금융 (은행, Alipay)

7). 주식

8). 소셜 커뮤니케이션 (IM 소프트웨어)

9). 웹 브라우징 (아마도 URL로 더 잘 식별)

10). 다운로드 도구 (웹 디스크, P2P 다운로드, BT 관련)