심층 패킷 검사 (DPI)NPB(Network Packet Broker)에서 네트워크 패킷의 내용을 세부적인 수준으로 검사하고 분석하는 데 사용되는 기술입니다.여기에는 네트워크 트래픽에 대한 자세한 통찰력을 얻기 위해 패킷 내의 페이로드, 헤더 및 기타 프로토콜 관련 정보를 검사하는 작업이 포함됩니다.
DPI는 단순한 헤더 분석을 넘어 네트워크를 통해 흐르는 데이터에 대한 깊은 이해를 제공합니다.이를 통해 HTTP, FTP, SMTP, VoIP 또는 비디오 스트리밍 프로토콜과 같은 애플리케이션 계층 프로토콜을 심층적으로 검사할 수 있습니다.DPI는 패킷 내의 실제 콘텐츠를 검사하여 특정 애플리케이션, 프로토콜 또는 특정 데이터 패턴을 감지하고 식별할 수 있습니다.
소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 유형의 계층적 분석 외에도 DPI는 다양한 애플리케이션과 해당 콘텐츠를 식별하기 위해 애플리케이션 계층 분석도 추가합니다.1P 패킷, TCP 또는 UDP 데이터가 DPI 기술 기반 대역폭 관리 시스템을 통해 흐를 때 시스템은 1P 패킷 로드의 내용을 읽어 OSI 레이어 7 프로토콜의 애플리케이션 계층 정보를 재구성하여 내용을 얻습니다. 전체 응용 프로그램을 처리한 후 시스템에서 정의한 관리 정책에 따라 트래픽을 형성합니다.
DPI는 어떻게 작동하나요?
기존 방화벽에는 대량의 트래픽을 실시간으로 철저하게 검사할 수 있는 처리 능력이 부족한 경우가 많습니다.기술이 발전함에 따라 DPI를 사용하여 헤더와 데이터를 확인하는 보다 복잡한 검사를 수행할 수 있습니다.일반적으로 침입 탐지 시스템을 갖춘 방화벽은 DPI를 사용하는 경우가 많습니다.디지털 정보가 가장 중요한 세상에서 모든 디지털 정보는 작은 패킷으로 인터넷을 통해 전달됩니다.여기에는 이메일, 앱을 통해 전송된 메시지, 방문한 웹사이트, 화상 대화 등이 포함됩니다.실제 데이터 외에도 이러한 패킷에는 트래픽 소스, 콘텐츠, 대상 및 기타 중요한 정보를 식별하는 메타데이터가 포함됩니다.패킷 필터링 기술을 통해 데이터를 지속적으로 모니터링하고 관리하여 올바른 위치로 전달할 수 있습니다.그러나 네트워크 보안을 보장하기 위해서는 기존의 패킷 필터링만으로는 충분하지 않습니다.네트워크 관리에서 심층 패킷 검사의 주요 방법 중 일부는 다음과 같습니다.
일치 모드/서명
각 패킷은 침입 탐지 시스템(IDS) 기능을 갖춘 방화벽을 통해 알려진 네트워크 공격 데이터베이스와 일치하는지 확인됩니다.IDS는 알려진 악성 특정 패턴을 검색하고 악성 패턴이 발견되면 트래픽을 비활성화합니다.서명 일치 정책의 단점은 자주 업데이트되는 서명에만 적용된다는 것입니다.또한 이 기술은 알려진 위협이나 공격에 대해서만 방어할 수 있습니다.
프로토콜 예외
프로토콜 예외 기법은 단순히 시그니처 데이터베이스와 일치하지 않는 모든 데이터를 허용하는 것이 아니기 때문에 IDS 방화벽에서 사용하는 프로토콜 예외 기법은 패턴/시그니처 매칭 방식의 고유한 결함이 없다.대신 기본 거부 정책을 채택합니다.프로토콜 정의에 따라 방화벽은 어떤 트래픽을 허용해야 하는지 결정하고 알려지지 않은 위협으로부터 네트워크를 보호합니다.
침입 방지 시스템(IPS)
IPS 솔루션은 콘텐츠를 기반으로 유해한 패킷의 전송을 차단하여 의심되는 공격을 실시간으로 차단할 수 있습니다.즉, 패킷이 알려진 보안 위험을 나타내는 경우 IPS는 정의된 규칙 세트에 따라 네트워크 트래픽을 사전에 차단합니다.IPS의 한 가지 단점은 새로운 위협에 대한 세부 정보와 오탐 가능성이 포함된 사이버 위협 데이터베이스를 정기적으로 업데이트해야 한다는 것입니다.그러나 이러한 위험은 보수적인 정책과 사용자 지정 임계값을 만들고, 네트워크 구성 요소에 대한 적절한 기본 동작을 설정하고, 경고 및 보고된 이벤트를 주기적으로 평가하여 모니터링 및 알림을 향상함으로써 완화될 수 있습니다.
1- 네트워크 패킷 브로커의 DPI(심층 패킷 검사)
"심층"은 수준 및 일반 패킷 분석 비교이며, "일반 패킷 검사"는 계층적을 제외하고 소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 유형, DPI를 포함하는 IP 패킷 4 계층의 다음 분석만 수행합니다. 분석은 또한 애플리케이션 계층 분석을 강화하고 다양한 애플리케이션과 콘텐츠를 식별하여 주요 기능을 실현합니다.
1) 애플리케이션 분석 - 네트워크 트래픽 구성 분석, 성능 분석, 흐름 분석
2) 사용자 분석 - 사용자군 차별화, 행동분석, 단말분석, 추세분석 등
3) 네트워크 요소 분석 - 지역 속성(시, 군, 거리 등) 및 기지국 부하 기반 분석
4) 트래픽 제어 - P2P 속도 제한, QoS 보장, 대역폭 보장, 네트워크 자원 최적화 등
5) 보안 보증 - DDoS 공격, 데이터 방송 폭풍, 악성 바이러스 공격 방지 등
2- 네트워크 애플리케이션의 일반 분류
오늘날 인터넷에는 수많은 애플리케이션이 있지만 일반적인 웹 애플리케이션은 포괄적일 수 있습니다.
제가 아는 한, 최고의 앱 인식 회사는 Huawei입니다. Huawei는 4,000개의 앱을 인식한다고 주장합니다.프로토콜 분석은 많은 방화벽 회사(Huawei, ZTE 등)의 기본 모듈이자 기타 기능 모듈의 실현, 정확한 애플리케이션 식별을 지원하고 제품의 성능과 신뢰성을 크게 향상시키는 매우 중요한 모듈이기도 합니다.지금 하고 있는 것처럼 네트워크 트래픽 특성을 기반으로 악성 코드 식별을 모델링하는 데 있어서 정확하고 광범위한 프로토콜 식별도 매우 중요합니다.회사의 내보내기 트래픽에서 일반 애플리케이션의 네트워크 트래픽을 제외하면 나머지 트래픽은 작은 비율을 차지하므로 악성 코드 분석 및 경보에 더 좋습니다.
내 경험에 따르면 기존에 일반적으로 사용되는 응용 프로그램은 기능에 따라 분류됩니다.
추신: 응용 프로그램 분류에 대한 개인적인 이해에 따라 좋은 제안이 있으면 메시지 제안을 남겨주세요.
1).이메일
2).동영상
삼).계략
4).사무실 OA 수업
5).소프트웨어 업데이트
6).금융(은행, 알리페이)
7).주식
8).소셜 커뮤니케이션(IM 소프트웨어)
9).웹 탐색(아마도 URL로 더 잘 식별될 수 있음)
10).다운로드 도구(웹디스크, P2P 다운로드, BT 관련)
그런 다음 NPB에서 DPI(심층 패킷 검사)가 작동하는 방식은 다음과 같습니다.
1).패킷 캡처: NPB는 스위치, 라우터 또는 탭과 같은 다양한 소스에서 네트워크 트래픽을 캡처합니다.네트워크를 통해 흐르는 패킷을 수신합니다.
2).패킷 구문 분석: 캡처된 패킷은 NPB에서 구문 분석하여 다양한 프로토콜 계층과 관련 데이터를 추출합니다.이 구문 분석 프로세스는 이더넷 헤더, IP 헤더, 전송 계층 헤더(예: TCP 또는 UDP) 및 애플리케이션 계층 프로토콜과 같은 패킷 내의 다양한 구성 요소를 식별하는 데 도움이 됩니다.
삼).페이로드 분석: DPI를 사용하면 NPB는 헤더 검사를 넘어 패킷 내의 실제 데이터를 포함한 페이로드에 중점을 둡니다.사용된 애플리케이션이나 프로토콜에 관계없이 페이로드 콘텐츠를 심층적으로 검사하여 관련 정보를 추출합니다.
4).프로토콜 식별: DPI를 통해 NPB는 네트워크 트래픽 내에서 사용되는 특정 프로토콜과 애플리케이션을 식별할 수 있습니다.HTTP, FTP, SMTP, DNS, VoIP 또는 비디오 스트리밍 프로토콜과 같은 프로토콜을 감지하고 분류할 수 있습니다.
5).콘텐츠 검사: DPI를 통해 NPB는 특정 패턴, 서명 또는 키워드에 대한 패킷 콘텐츠를 검사할 수 있습니다.이를 통해 맬웨어, 바이러스, 침입 시도 또는 의심스러운 활동과 같은 네트워크 위협을 탐지할 수 있습니다.DPI는 콘텐츠 필터링, 네트워크 정책 시행 또는 데이터 규정 준수 위반 식별에도 사용할 수 있습니다.
6).메타데이터 추출: DPI 중에 NPB는 패킷에서 관련 메타데이터를 추출합니다.여기에는 소스 및 대상 IP 주소, 포트 번호, 세션 세부 정보, 트랜잭션 데이터 또는 기타 관련 속성과 같은 정보가 포함될 수 있습니다.
7).트래픽 라우팅 또는 필터링: NPB는 DPI 분석을 기반으로 보안 어플라이언스, 모니터링 도구 또는 분석 플랫폼과 같은 추가 처리를 위해 특정 패킷을 지정된 대상으로 라우팅할 수 있습니다.또한 식별된 콘텐츠나 패턴을 기반으로 패킷을 삭제하거나 리디렉션하는 필터링 규칙을 적용할 수도 있습니다.
게시 시간: 2023년 6월 25일
