Назад

DPI система

DPI как инструмент кибербезопасности и оптимизации трафика

Deep Packet Inspection (DPI) – это технология глубокой проверки пакетов данных, передаваемых по сети, которая позволяет проводить их расширенный анализ. Она позволяет проводить усовершенствованный мониторинг трафика данных в интернете при их прохождении через контрольную точку. DPI анализирует не только заголовки передаваемых пакетов данных, но и их содержимое, поэтому с ее помощью вы можете управлять трафиком, фильтруя контент по заданным правилам, повышать или снижать скорость передачи трафика разного вида, эффективно выявлять и устранять киберугрозы, такие как вирусы или другие вредоносные программы.

DPI система

По какому принципу работает Deep Packet Inspection?

В терминах модели OSI (Open Systems Interconnection) технология работает начиная со второго, канального уровня. Все данные, отправляемые в сети разбиваются на небольшие блоки, называемые пакетами. Каждый из них содержит заголовок и контент, которые вместе дают представление об источнике, назначении и цели информации. Функция глубокой проверки пакетов позволяет обнаруживать, классифицировать, перенаправлять или блокировать пакеты, содержащие определенные данные или фрагменты кода. В этом отличие технологии от стандартных решений для фильтрации данных, которые просто проверяют состав заголовков пакета, а именно:

  • адрес интернет-протокола назначения (IP),
  • IP-адрес источника,
  • номер порта.

DPI анализирует более широкий спектр метаданных и данных, с которыми взаимодействуют сетевые устройства. В дополнение к возможностям обычных технологий проверки DPI может обнаруживать в потоке скрытые угрозы, например попытки удаления данных, нарушения политики размещения контента, вирусы и многое другое.

Процесс глубокой проверки пакетов состоит из нескольких этапов. Во-первых, система фиксирует пакеты, проходящие через сеть. Затем она проверяет соответствие заголовка содержимому. Этот анализ позволяет выявить закономерности, указывающие на определенные типы трафика, такие как разговоры по VoIP, потоковое содержимое или вредоносное ПО. При этом система использует сложные алгоритмы для эффективной и точной обработки данных.

Технология DPI используется в брендмауэрах (межсетевых экранах) с функциями IDS (обнаружение вторжений) и IPS (предотвращение вторжений). В качестве методов используются следующие техники:

  1. “Аномалия протокола” - разрешен только тот контент, который описан определениями протокола, и блокирует весь остальной контент (“запрет по умолчанию”). Данная техника позволяет избежать атак еще неизвестного вида.
  2. “Сопоставление шаблонов или сигнатур” - пакеты трафика сравниваются с уже известными и хранящимися в базе данных пакетами сетевых атак. Данная техника обладает существенным недостатком: она способна предотвратить только уже известные атаки.
  3. Брендмауэры с функцией IPS способны блокировать угрозы в режиме реального времени, но проблемой данного применения DPI являются ложные срабатывания. В силу этого, приходится разрабатывать очень продуманные политики и правила.

DPI может не только идентифицировать существование угроз, но и, используя содержимое пакета и его заголовок, выяснить, откуда они исходили. Систему можно настроить для работы с фильтрами, которые позволят ей идентифицировать и перенаправлять трафик, поступающий с определенного онлайн-сервиса или IP-адреса.

Для чего используется Deep Packet Inspection

DPI система

Глубокая проверка пакетов имеет широкий спектр применения: от анализа производительности сети, обнаружения вредоносного кода или подозрительного поведения до наблюдения и цензурирования контента. В некоторых областях это полезный инструмент, который может улучшить работу сети и выявить подозрительное поведение.

Особенно интересной сферой применения DPI является сетевая безопасность. Поскольку киберугрозы носят более изощренный характер, обычных мер безопасности часто бывает недостаточно. DPI позволяет заранее выявлять аномалии и потенциальные риски. Тщательно проверяя трафик, системы DPI могут обнаруживать нестандартное поведение, указывающее на DDoS-атаки, вирусы или другое вредоносное ПО.

DPI используется интернет-провайдерами, администраторами корпоративных сетей и государственными органами для развертывания безопасности или контроля сетевой активности. Он является частью расширенных брандмауэров, где поддерживает фильтрацию и анализ трафика. Правила, определяющие реакцию на содержимое пакета, устанавливаются сетевым администратором согласно требованиям локальной или национальной сети.

С помощью DPI поставщики услуг связи могут предоставлять доступные ресурсы для оптимизации потока данных. Например, сообщение, помеченное как особо важное, будет доставлено в пункт назначения быстрее, чем обычные данные из интернет-браузера. DPI также позволяет ограничить передачу данных, чтобы предотвратить злоупотребление одноранговым (P2P) файлообменом и в то же время обеспечить высокую производительность сети для других пользователей.

Какие задачи решает Deep Packet Inspection

Технология имеет ряд преимуществ:

  1. Оптимизация сетевой инфраструктуры – DPI позволяет детально анализировать сетевой трафик, чтобы интернет-провайдеры могли лучше понять, как пользователи используют свою сеть. Это позволяет более эффективно управлять сетевыми ресурсами, устранять узкие места и улучшать качество обслуживания.
  2. Обнаружение и блокировка вредоносных программ – DPI позволяет идентифицировать неизвестное ПО, которое пытается проникнуть в сеть. Анализируя в режиме реального времени все проходящие через нее данные, защита, основанная на DPI, может быстро выявлять угрозы и блокировать их до того, как они достигнут конечных устройств.
  3. Обнаружение атак – используя поведенческий, эвристический анализ и опираясь на новейшие решения в области искусственного интеллекта, DPI позволяет легко обнаруживать атаки на устройства в компьютерной сети, прежде чем они смогут нанести серьезный ущерб.

Если трафик зашифрован?

DPI анализирует содержимое каждого пакета данных, что позволяет отслеживать, что пользователи делают в сети. При использовании зашифрованного трафика традиционные системы Deep Packet Inspection не могут просматривать все содержимое пакета данных – шифрование делает их нечитаемыми для посторонних. Однако DPI все еще может анализировать метаданные и определенные закономерности в трафике. Даже при зашифрованном трафике остаются видимыми такие метаданные, как:

  • адрес назначения,
  • номера портов,
  • тип протокола.

Эта информация может быть использована для определения типа трафика, применения сетевых правил и проведения проверок безопасности. Таким образом, DPI может помочь обнаружить аномалии в зашифрованном трафике, даже если сам контент не виден.

Особенности коммерческого использования DPI

Глубокая проверка пакетов может использоваться для блокировки доступа к определенному контенту в Интернете. С помощью DPI компания имеет возможность решать, какими приложениями могут пользоваться ее сотрудники на рабочем месте. При наличии приложений, которые могут либо угрожать корпоративной сети, либо снижать производительность, DPI определяет, осуществляется ли к ним доступ, и перенаправляет их входящий трафик.

Данные, собранные системой, могут использоваться для создания подробных профилей пользователей, содержащих данные об их интересах и поведении. Рекламные компании могут использовать эти профили для точного таргетинга аудитории.

Внедрение Deep Packet Inspection все чаще встречается в корпоративных сетях. Однако важно, чтобы организации, использующие DPI, имели четкие правила использования и конфиденциальности данных. Возможность проверять содержимое пакетов данных означает, что личные данные, коммуникации и схемы использования интернета потенциально могут отслеживаться и регистрироваться. Таким образом, в случае неправильного или незаконного использования межсетевые экраны DPI могут создавать серьезные проблемы с конфиденциальностью.

Кроме того, DPI увеличивает сложность и затрудняет работу с существующими брандмауэрами и другим программным обеспечением, связанным с безопасностью. Система может ограничивать скорость работы компьютера, поскольку увеличивает нагрузку на процессор, поэтому для поддержания оптимальной работы DPI требует регулярных обновлений.