Փաթեթների խորը ստուգում (DPI)տեխնոլոգիա է, որն օգտագործվում է Network Packet Brokers-ում (NPBs) ցանցային փաթեթների բովանդակությունը հատիկավոր մակարդակով ստուգելու և վերլուծելու համար: Այն ներառում է փաթեթների մեջ օգտակար բեռի, վերնագրերի և այլ արձանագրություններին վերաբերող տեղեկատվության ուսումնասիրություն՝ ցանցային տրաֆիկի վերաբերյալ մանրամասն պատկերացումներ ձեռք բերելու համար:
DPI-ն դուրս է գալիս վերնագրի պարզ վերլուծությունից և ապահովում է ցանցի միջոցով հոսող տվյալների խորը պատկերացում: Այն թույլ է տալիս խորը ստուգել կիրառական շերտի արձանագրությունները, ինչպիսիք են HTTP, FTP, SMTP, VoIP կամ վիդեո հոսքային արձանագրությունները: Փաթեթների ներսում իրական բովանդակությունը ուսումնասիրելով՝ DPI-ն կարող է հայտնաբերել և բացահայտել կոնկրետ հավելվածներ, արձանագրություններ կամ նույնիսկ տվյալների հատուկ օրինաչափություններ:
Ի լրումն սկզբնաղբյուրի հասցեների, նպատակակետ հասցեների, աղբյուրի նավահանգիստների, նպատակակետ նավահանգիստների և արձանագրության տեսակների հիերարխիկ վերլուծությանը, DPI-ն ավելացնում է նաև կիրառական շերտի վերլուծություն՝ տարբեր հավելվածները և դրանց բովանդակությունը բացահայտելու համար: Երբ 1P փաթեթը, TCP կամ UDP տվյալները հոսում են թողունակության կառավարման համակարգի միջոցով՝ հիմնված DPI տեխնոլոգիայի վրա, համակարգը կարդում է 1P փաթեթի բեռնվածության բովանդակությունը՝ OSI Layer 7 արձանագրությունում կիրառական շերտի տեղեկատվությունը վերակազմավորելու համար, որպեսզի ստանա բովանդակությունը: ամբողջ կիրառական ծրագիրը, իսկ հետո տրաֆիկի ձևավորումը՝ համաձայն համակարգի կողմից սահմանված կառավարման քաղաքականության:
Ինչպե՞ս է աշխատում DPI-ն:
Ավանդական firewalls-ը հաճախ զուրկ է վերամշակող հզորությունից՝ իրական ժամանակում մանրակրկիտ ստուգումներ կատարելու մեծ ծավալների տրաֆիկի վրա: Տեխնոլոգիայի զարգացման հետ մեկտեղ, DPI-ն կարող է օգտագործվել ավելի բարդ ստուգումներ կատարելու համար՝ վերնագրերը և տվյալները ստուգելու համար: Սովորաբար, ներխուժման հայտնաբերման համակարգերով firewalls-ները հաճախ օգտագործում են DPI: Մի աշխարհում, որտեղ թվային տեղեկատվությունը առաջնային է, յուրաքանչյուր թվային տեղեկատվություն առաքվում է ինտերնետի միջոցով փոքր փաթեթներով: Սա ներառում է էլ.փոստը, հավելվածի միջոցով ուղարկված հաղորդագրությունները, այցելած կայքերը, տեսազրույցները և այլն: Բացի փաստացի տվյալներից, այս փաթեթները ներառում են մետատվյալներ, որոնք նույնականացնում են երթևեկության աղբյուրը, բովանդակությունը, նպատակակետը և այլ կարևոր տեղեկություններ: Փաթեթների զտման տեխնոլոգիայի միջոցով տվյալները կարող են շարունակաբար վերահսկվել և կառավարվել՝ ապահովելու համար, որ դրանք փոխանցվեն ճիշտ տեղում: Սակայն ցանցի անվտանգությունն ապահովելու համար ավանդական փաթեթների զտումը հեռու է բավարար լինելուց: Ցանցի կառավարման մեջ խորը փաթեթների ստուգման հիմնական մեթոդներից մի քանիսը թվարկված են ստորև.
Համապատասխան ռեժիմ/ստորագրություն
Յուրաքանչյուր փաթեթ ստուգվում է ներխուժման հայտնաբերման համակարգի (IDS) հնարավորություններով firewall-ի կողմից հայտնի ցանցային հարձակումների տվյալների բազայի հետ համապատասխանության համար: IDS-ը որոնում է հայտնի վնասակար օրինաչափություններ և անջատում է երթևեկությունը, երբ հայտնաբերվում են վնասակար նախշեր: Ստորագրությունների համապատասխանության քաղաքականության թերությունն այն է, որ այն վերաբերում է միայն հաճախակի թարմացվող ստորագրություններին: Բացի այդ, այս տեխնոլոգիան կարող է պաշտպանվել միայն հայտնի սպառնալիքներից կամ հարձակումներից:
Արձանագրության բացառություն
Քանի որ արձանագրության բացառության տեխնիկան պարզապես թույլ չի տալիս բոլոր տվյալները, որոնք չեն համընկնում ստորագրության տվյալների բազայի հետ, IDS firewall-ի կողմից օգտագործվող արձանագրության բացառության տեխնիկան չունի օրինաչափության/ստորագրության համապատասխանության մեթոդի բնորոշ թերությունները: Փոխարենը, այն ընդունում է լռելյայն մերժման քաղաքականությունը: Արձանագրության սահմանմամբ, firewalls-ը որոշում է, թե ինչ երթևեկություն պետք է թույլատրվի և պաշտպանում է ցանցը անհայտ սպառնալիքներից:
Ներխուժման կանխարգելման համակարգ (IPS)
IPS լուծումները կարող են արգելափակել վնասակար փաթեթների փոխանցումը՝ հիմնվելով դրանց բովանդակության վրա՝ դրանով իսկ իրական ժամանակում դադարեցնելով կասկածելի հարձակումները: Սա նշանակում է, որ եթե փաթեթը ներկայացնում է անվտանգության հայտնի ռիսկ, IPS-ն ակտիվորեն կարգելափակի ցանցային տրաֆիկը` հիմնվելով սահմանված կանոնների վրա: IPS-ի թերությունը կիբեր սպառնալիքների տվյալների բազան կանոնավոր կերպով թարմացնելու անհրաժեշտությունն է՝ նոր սպառնալիքների մասին մանրամասներով և կեղծ պոզիտիվների հնարավորությամբ: Սակայն այս վտանգը կարելի է մեղմել՝ ստեղծելով պահպանողական քաղաքականություն և սովորական շեմեր, սահմանելով համապատասխան ելակետային վարքագիծ ցանցի բաղադրիչների համար և պարբերաբար գնահատելով նախազգուշացումներն ու հաղորդվող իրադարձությունները՝ մոնիտորինգն ու զգուշացումն ուժեղացնելու համար:
1- DPI (Deep Packet Inspection) Network Packet Broker-ում
«Խորը» մակարդակի և սովորական փաթեթների վերլուծության համեմատություն է, «սովորական փաթեթի ստուգում» միայն IP փաթեթի 4-րդ շերտի հետևյալ վերլուծությունը՝ ներառյալ սկզբնաղբյուրի հասցեն, նպատակակետի հասցեն, աղբյուրի միացքը, նպատակակետ միացքը և արձանագրության տեսակը և DPI, բացառությամբ հիերարխիկության: վերլուծություն, ինչպես նաև ավելացրել է կիրառական շերտի վերլուծությունը, բացահայտել տարբեր հավելվածներն ու բովանդակությունը՝ իրականացնելու հիմնական գործառույթները.
1) Դիմումների վերլուծություն - ցանցի երթևեկության կազմի վերլուծություն, կատարողականի վերլուծություն և հոսքի վերլուծություն
2) Օգտագործողի վերլուծություն - օգտագործողների խմբի տարբերակում, վարքագծի վերլուծություն, տերմինալի վերլուծություն, միտումների վերլուծություն և այլն:
3) Ցանցի տարրերի վերլուծություն – վերլուծություն՝ հիմնված տարածաշրջանային հատկանիշների (քաղաք, թաղամաս, փողոց և այլն) և բազային կայանի ծանրաբեռնվածության վրա
4) Երթևեկության վերահսկում - P2P արագության սահմանափակում, QoS ապահովում, թողունակության ապահովում, ցանցային ռեսուրսների օպտիմալացում և այլն:
5) Անվտանգության ապահովում - DDoS հարձակումներ, տվյալների հեռարձակման փոթորիկ, վնասակար վիրուսների հարձակումների կանխարգելում և այլն:
2- Ցանցային հավելվածների ընդհանուր դասակարգում
Այսօր ինտերնետում կան անթիվ հավելվածներ, սակայն սովորական վեբ հավելվածները կարող են սպառիչ լինել:
Որքան գիտեմ, հավելվածների ճանաչման լավագույն ընկերությունը Huawei-ն է, որը պնդում է, որ ճանաչում է 4000 հավելված: Արձանագրության վերլուծությունը շատ firewall ընկերությունների հիմնական մոդուլն է (Huawei, ZTE և այլն), և այն նաև շատ կարևոր մոդուլ է, որն աջակցում է այլ ֆունկցիոնալ մոդուլների իրականացմանը, հավելվածների ճշգրիտ նույնականացմանը և զգալիորեն բարելավում է արտադրանքի արդյունավետությունն ու հուսալիությունը: Ցանցային տրաֆիկի բնութագրերի հիման վրա չարամիտ նույնականացման մոդելավորման ժամանակ, ինչպես ես անում եմ հիմա, արձանագրության ճշգրիտ և ընդարձակ նույնականացումը նույնպես շատ կարևոր է: Ընկերության արտահանման տրաֆիկից բացառելով սովորական հավելվածների ցանցային տրաֆիկը, մնացած տրաֆիկը կկազմի փոքր մասնաբաժինը, որն ավելի լավ է չարամիտ ծրագրերի վերլուծության և ահազանգման համար:
Իմ փորձից ելնելով, գոյություն ունեցող սովորաբար օգտագործվող հավելվածները դասակարգվում են ըստ իրենց գործառույթների.
Հ.Գ. Հավելվածի դասակարգման անձնական ըմբռնման համաձայն, դուք ունեք որևէ լավ առաջարկ, ողջունելի է թողնել հաղորդագրության առաջարկ
1). Էլ.փոստ
2). Տեսանյութ
3). Խաղեր
4). Office OA դաս
5). Ծրագրային ապահովման թարմացում
6). Ֆինանսական (բանկ, Alipay)
7). Բաժնետոմսեր
8). Սոցիալական հաղորդակցություն (IM ծրագրակազմ)
9): Վեբ զննարկում (հավանաբար ավելի լավ է նույնականացնել URL-ներով)
10): Ներբեռնման գործիքներ (վեբ սկավառակ, P2P ներբեռնում, BT-ի հետ կապված)
Այնուհետև, ինչպես է աշխատում DPI (Deep Packet Inspection) NPB-ում.
1). Փաթեթների գրավում. NPB-ն ֆիքսում է ցանցի երթևեկությունը տարբեր աղբյուրներից, ինչպիսիք են անջատիչները, երթուղիչները կամ հպումները: Այն ստանում է ցանցի միջոցով հոսող փաթեթներ:
2). Փաթեթների վերլուծություն. գրավված փաթեթները վերլուծվում են NPB-ի կողմից՝ տարբեր արձանագրությունների շերտեր և հարակից տվյալներ հանելու համար: Այս վերլուծման գործընթացը օգնում է բացահայտել փաթեթների ներսում տարբեր բաղադրիչները, ինչպիսիք են Ethernet վերնագրերը, IP վերնագրերը, փոխադրման շերտերի վերնագրերը (օրինակ՝ TCP կամ UDP) և կիրառական շերտերի արձանագրությունները:
3). Օգտակար բեռի վերլուծություն. DPI-ի միջոցով NPB-ն դուրս է գալիս վերնագրի ստուգումից և կենտրոնանում է օգտակար բեռի վրա, ներառյալ փաթեթների մեջ առկա իրական տվյալները: Այն խորությամբ ուսումնասիրում է ծանրաբեռնվածության բովանդակությունը՝ անկախ օգտագործված հավելվածից կամ արձանագրությունից՝ համապատասխան տեղեկատվություն հանելու համար:
4). Արձանագրության նույնականացում. DPI-ն NPB-ին հնարավորություն է տալիս նույնականացնել ցանցի տրաֆիկի շրջանակներում օգտագործվող հատուկ արձանագրությունները և հավելվածները: Այն կարող է հայտնաբերել և դասակարգել այնպիսի արձանագրություններ, ինչպիսիք են HTTP, FTP, SMTP, DNS, VoIP կամ վիդեո հոսքային արձանագրությունները:
5). Բովանդակության ստուգում. DPI-ն NPB-ին թույլ է տալիս ստուգել փաթեթների բովանդակությունը՝ որոշակի օրինաչափությունների, ստորագրությունների կամ հիմնաբառերի համար: Սա հնարավորություն է տալիս հայտնաբերել ցանցի սպառնալիքները, ինչպիսիք են չարամիտ ծրագրերը, վիրուսները, ներխուժման փորձերը կամ կասկածելի գործողությունները: DPI-ն կարող է օգտագործվել նաև բովանդակության զտման, ցանցային քաղաքականության կիրառման կամ տվյալների համապատասխանության խախտումները հայտնաբերելու համար:
6). Մետատվյալների արդյունահանում. DPI-ի ընթացքում NPB-ն փաթեթներից հանում է համապատասխան մետատվյալներ: Սա կարող է ներառել այնպիսի տեղեկություններ, ինչպիսիք են աղբյուրի և նպատակակետի IP հասցեները, նավահանգիստների համարները, նիստի մանրամասները, գործարքների տվյալները կամ որևէ այլ համապատասխան հատկանիշ:
7). Երթևեկության երթուղավորում կամ զտում. հիմնվելով DPI-ի վերլուծության վրա՝ NPB-ն կարող է ուղղորդել որոշակի փաթեթներ դեպի նշանակված ուղղություններ՝ հետագա մշակման համար, ինչպիսիք են անվտանգության սարքերը, մոնիտորինգի գործիքները կամ վերլուծական հարթակները: Այն կարող է նաև կիրառել զտման կանոններ՝ հայտնաբերված բովանդակության կամ օրինաչափությունների հիման վրա փաթեթները մերժելու կամ վերահղելու համար:
Հրապարակման ժամանակը` հունիս-25-2023
