Identifizierung von Network Packet Broker-Anwendungen basierend auf DPI – Deep Packet Inspection

Deep Packet Inspection (DPI)ist eine Technologie, die in Network Packet Brokers (NPBs) verwendet wird, um den Inhalt von Netzwerkpaketen auf granularer Ebene zu überprüfen und zu analysieren. Dabei werden Nutzlast, Header und andere protokollspezifische Informationen in Paketen untersucht, um detaillierte Einblicke in den Netzwerkverkehr zu erhalten.

DPI geht über die einfache Header-Analyse hinaus und bietet ein tiefes Verständnis der Daten, die durch ein Netzwerk fließen. Es ermöglicht eine detaillierte Untersuchung der Protokolle der Anwendungsschicht, wie z. B. HTTP, FTP, SMTP, VoIP oder Video-Streaming-Protokolle. Durch die Untersuchung des tatsächlichen Inhalts in Paketen kann DPI bestimmte Anwendungen, Protokolle oder sogar bestimmte Datenmuster erkennen und identifizieren.

Neben der hierarchischen Analyse von Quelladressen, Zieladressen, Quellports, Zielports und Protokolltypen fügt DPI auch eine Analyse auf Anwendungsebene hinzu, um verschiedene Anwendungen und deren Inhalte zu identifizieren. Wenn 1P-Pakete, TCP- oder UDP-Daten durch das auf DPI-Technologie basierende Bandbreitenverwaltungssystem fließen, liest das System den Inhalt der 1P-Paketlast, um die Informationen der Anwendungsschicht im OSI-Schicht-7-Protokoll neu zu organisieren und so den Inhalt abzurufen das gesamte Anwendungsprogramm und formt dann den Datenverkehr gemäß der vom System definierten Verwaltungsrichtlinie.

Wie funktioniert DPI?

Herkömmlichen Firewalls fehlt häufig die Rechenleistung, um große Datenverkehrsmengen gründlich in Echtzeit zu prüfen. Mit fortschreitender Technologie kann DPI zur Durchführung komplexerer Prüfungen zur Überprüfung von Headern und Daten verwendet werden. Typischerweise verwenden Firewalls mit Intrusion-Detection-Systemen häufig DPI. In einer Welt, in der digitale Informationen an erster Stelle stehen, wird jede digitale Information in kleinen Paketen über das Internet übermittelt. Dazu gehören E-Mails, über die App gesendete Nachrichten, besuchte Websites, Videogespräche und mehr. Zusätzlich zu den eigentlichen Daten enthalten diese Pakete Metadaten, die die Verkehrsquelle, den Inhalt, das Ziel und andere wichtige Informationen identifizieren. Mit der Paketfiltertechnologie können Daten kontinuierlich überwacht und verwaltet werden, um sicherzustellen, dass sie an den richtigen Ort weitergeleitet werden. Um die Netzwerksicherheit zu gewährleisten, reicht die herkömmliche Paketfilterung jedoch bei weitem nicht aus. Nachfolgend sind einige der wichtigsten Methoden der Deep Packet Inspection im Netzwerkmanagement aufgeführt:

Matching-Modus/Signatur

Jedes Paket wird von einer Firewall mit IDS-Funktionen (Intrusion Detection System) auf Übereinstimmung mit einer Datenbank bekannter Netzwerkangriffe überprüft. IDS sucht nach bekannten schädlichen spezifischen Mustern und deaktiviert den Datenverkehr, wenn schädliche Muster gefunden werden. Der Nachteil der Signaturabgleichsrichtlinie besteht darin, dass sie nur für Signaturen gilt, die häufig aktualisiert werden. Darüber hinaus kann diese Technologie nur gegen bekannte Bedrohungen oder Angriffe abwehren.

DPI

Protokollausnahme

Da die Protokollausnahmetechnik nicht einfach alle Daten zulässt, die nicht mit der Signaturdatenbank übereinstimmen, weist die von der IDS-Firewall verwendete Protokollausnahmetechnik nicht die inhärenten Mängel der Muster-/Signaturabgleichsmethode auf. Stattdessen wird die standardmäßige Ablehnungsrichtlinie übernommen. Durch die Protokolldefinition entscheiden Firewalls, welcher Datenverkehr zugelassen werden soll, und schützen das Netzwerk vor unbekannten Bedrohungen.

Intrusion Prevention System (IPS)

IPS-Lösungen können die Übertragung schädlicher Pakete anhand ihres Inhalts blockieren und so mutmaßliche Angriffe in Echtzeit stoppen. Das heißt, wenn ein Paket ein bekanntes Sicherheitsrisiko darstellt, blockiert IPS proaktiv den Netzwerkverkehr auf der Grundlage eines definierten Regelsatzes. Ein Nachteil von IPS ist die Notwendigkeit, eine Cyber-Bedrohungsdatenbank regelmäßig mit Details zu neuen Bedrohungen zu aktualisieren, und die Möglichkeit von Fehlalarmen. Diese Gefahr kann jedoch gemindert werden, indem konservative Richtlinien und benutzerdefinierte Schwellenwerte erstellt, ein geeignetes Grundverhalten für Netzwerkkomponenten festgelegt und Warnungen und gemeldete Ereignisse regelmäßig ausgewertet werden, um die Überwachung und Alarmierung zu verbessern.

1- Die DPI (Deep Packet Inspection) im Network Packet Broker

„Deep“ ist ein Vergleich zwischen Ebene und normaler Paketanalyse, und „normale Paketinspektion“ ist nur die folgende Analyse von IP-Paketen auf der 4. Ebene, einschließlich Quelladresse, Zieladresse, Quellport, Zielport und Protokolltyp sowie DPI, außer hierarchisch Analyse, erhöht auch die Analyse der Anwendungsschicht, identifiziert verschiedene Anwendungen und Inhalte und implementiert die Hauptfunktionen:

1) Anwendungsanalyse – Analyse der Zusammensetzung des Netzwerkverkehrs, Leistungsanalyse und Flussanalyse

2) Benutzeranalyse – Differenzierung von Benutzergruppen, Verhaltensanalyse, Terminalanalyse, Trendanalyse usw.

3) Netzwerkelementanalyse – Analyse basierend auf regionalen Attributen (Stadt, Bezirk, Straße usw.) und Basisstationslast

4) Verkehrskontrolle – P2P-Geschwindigkeitsbegrenzung, QoS-Sicherung, Bandbreitensicherung, Netzwerkressourcenoptimierung usw.

5) Sicherheitsgarantie – DDoS-Angriffe, Data-Broadcast-Sturm, Verhinderung bösartiger Virenangriffe usw.

2- Allgemeine Klassifizierung von Netzwerkanwendungen

Heutzutage gibt es unzählige Anwendungen im Internet, aber die gängigen Webanwendungen können erschöpfend sein.

Soweit ich weiß, ist Huawei das beste App-Erkennungsunternehmen, das behauptet, 4.000 Apps zu erkennen. Die Protokollanalyse ist das Grundmodul vieler Firewall-Unternehmen (Huawei, ZTE usw.) und auch ein sehr wichtiges Modul, das die Implementierung anderer Funktionsmodule, eine genaue Anwendungsidentifizierung und eine erhebliche Verbesserung der Leistung und Zuverlässigkeit von Produkten unterstützt. Bei der Modellierung der Malware-Identifizierung auf der Grundlage von Netzwerkverkehrsmerkmalen, wie ich es jetzt tue, ist auch eine genaue und umfassende Protokollidentifizierung sehr wichtig. Wenn man den Netzwerkverkehr gängiger Anwendungen vom Exportverkehr des Unternehmens ausschließt, macht der verbleibende Verkehr einen kleinen Anteil aus, was für die Malware-Analyse und -Alarmierung besser ist.

Aufgrund meiner Erfahrung werden die vorhandenen häufig verwendeten Anwendungen nach ihren Funktionen klassifiziert:

PS: Nach persönlichem Verständnis der Anwendungsklassifizierung haben Sie gute Vorschläge und können gerne eine Nachricht hinterlassen

1). E-Mail

2). Video

3). Spiele

4). Office OA-Kurs

5). Software-Update

6). Finanzen (Bank, Alipay)

7). Aktien

8). Soziale Kommunikation (IM-Software)

9). Surfen im Internet (wahrscheinlich besser mit URLs zu identifizieren)

10). Download-Tools (Webdisk, P2P-Download, BT-bezogen)

20191210153150_32811

Dann funktioniert DPI (Deep Packet Inspection) in einem NPB:

1). Paketerfassung: Der NPB erfasst Netzwerkverkehr von verschiedenen Quellen, wie z. B. Switches, Routern oder Taps. Es empfängt Pakete, die durch das Netzwerk fließen.

2). Paketanalyse: Die erfassten Pakete werden vom NPB analysiert, um verschiedene Protokollschichten und zugehörige Daten zu extrahieren. Dieser Parsing-Prozess hilft bei der Identifizierung der verschiedenen Komponenten in den Paketen, wie z. B. Ethernet-Header, IP-Header, Transportschicht-Header (z. B. TCP oder UDP) und Protokolle der Anwendungsschicht.

3). Nutzlastanalyse: Mit DPI geht der NPB über die Header-Inspektion hinaus und konzentriert sich auf die Nutzlast, einschließlich der tatsächlichen Daten in den Paketen. Es untersucht den Inhalt der Nutzlast eingehend, unabhängig von der verwendeten Anwendung oder dem verwendeten Protokoll, um relevante Informationen zu extrahieren.

4). Protokollidentifikation: DPI ermöglicht es dem NPB, die spezifischen Protokolle und Anwendungen zu identifizieren, die im Netzwerkverkehr verwendet werden. Es kann Protokolle wie HTTP, FTP, SMTP, DNS, VoIP oder Video-Streaming-Protokolle erkennen und klassifizieren.

5). Inhaltsprüfung: DPI ermöglicht es dem NPB, den Inhalt von Paketen auf bestimmte Muster, Signaturen oder Schlüsselwörter zu prüfen. Dies ermöglicht die Erkennung von Netzwerkbedrohungen wie Malware, Viren, Einbruchsversuchen oder verdächtigen Aktivitäten. DPI kann auch zum Filtern von Inhalten, zur Durchsetzung von Netzwerkrichtlinien oder zur Identifizierung von Verstößen gegen die Datenkonformität verwendet werden.

6). Metadatenextraktion: Während der DPI extrahiert der NPB relevante Metadaten aus den Paketen. Dazu können Informationen wie Quell- und Ziel-IP-Adressen, Portnummern, Sitzungsdetails, Transaktionsdaten oder andere relevante Attribute gehören.

7). Verkehrsrouting oder -filterung: Basierend auf der DPI-Analyse kann der NPB bestimmte Pakete zur weiteren Verarbeitung an bestimmte Ziele weiterleiten, z. B. Sicherheitsgeräte, Überwachungstools oder Analyseplattformen. Es kann auch Filterregeln anwenden, um Pakete basierend auf den identifizierten Inhalten oder Mustern zu verwerfen oder umzuleiten.

ML-NPB-5660 3d


Zeitpunkt der Veröffentlichung: 25. Juni 2023