日韩欧美国产极速不卡一区,国产手机视频在线观看尤物,国产亚洲欧美日韩蜜芽一区,亚洲精品国产免费,亚洲二区三区无码中文,A大片亚洲AV无码一区二区三区,日韩国语国产无码123

您好,歡迎來到維庫電子市場網(wǎng) 登錄 | 免費(fèi)注冊(cè)

深度包檢測技�(shù)
閱讀�12370�(shí)間:2011-10-10 15:14:36

  深度包檢測技�(shù)即DPI技�(shù)是一種基于應(yīng)用層的流量檢測和控制技�(shù),當(dāng)IP�(shù)�(jù)�、TCP或UDP�(shù)�(jù)流通過基于DPI技�(shù)的帶寬管理系�(tǒng)�(shí),該系統(tǒng)通過深入讀取IP包載荷的�(nèi)容來�(duì)OSI七層�(xié)議中的應(yīng)用層信息�(jìn)行重�,從而得到整�(gè)�(yīng)用程序的�(nèi)�,然后按照系�(tǒng)定義的管理策略對(duì)流量�(jìn)行整形操��

分類

 ?�?)基于“特征字”的�(shí)別技�(shù)

  不同的應(yīng)用通常依賴于不同的�(xié)�,而不同的�(xié)議都有其特殊的指紋,這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列?;凇疤卣髯帧钡淖R(shí)別技�(shù)通過�(duì)�(yè)�(wù)流中特定�(shù)�(jù)�(bào)文中的“指紋”信息的檢測以確定業(yè)�(wù)流承載的�(yīng)��

  根據(jù)具體檢測方式的不同,基于“特征字”的�(shí)別技�(shù)又可以被分為固定位置特征字匹�、變�(dòng)位置的特征匹配以及狀�(tài)特征匹配三種技�(shù)�

  通過�(duì)“指紋”信息的升級(jí),基于特征的�(shí)別技�(shù)可以很方便的�(jìn)行功能擴(kuò)�,實(shí)�(xiàn)�(duì)新協(xié)議的檢測�

  如:Bittorrent �(xié)議的�(shí)�,通過反向工程的方法對(duì)其對(duì)等協(xié)議�(jìn)行分析,所謂對(duì)等協(xié)議指的是peer與peer之間交換信息的協(xié)�。對(duì)等協(xié)議由一�(gè)握手開始,后面是循環(huán)的消息流,每�(gè)消息的前�,都有一�(gè)�(shù)字來表示消息的長�。在其握手過程中,首先是先發(fā)�19,跟著是字符串“BitTorrent protocol�。那么�19BitTorrent Protocol”就是Bittorrent的“特征字��

 ?�?)應(yīng)用層�(wǎng)�(guān)�(shí)別技�(shù)

  某些�(yè)�(wù)的控制流和業(yè)�(wù)流是分離的,�(yè)�(wù)流沒有任何特�。這種情況�,我們就需要采用應(yīng)用層�(wǎng)�(guān)�(shí)別技�(shù)�

  �(yīng)用層�(wǎng)�(guān)需要先�(shí)別出控制�,并根據(jù)控制流的�(xié)議通過特定的應(yīng)用層�(wǎng)�(guān)�(duì)其�(jìn)行解析,從協(xié)議內(nèi)容中�(shí)別出相應(yīng)的業(yè)�(wù)��

  �(duì)于每一�(gè)�(xié)�,需要有不同的應(yīng)用層�(wǎng)�(guān)�(duì)其�(jìn)行分��

  如SIP、H323�(xié)議都屬于這種類型。SIP/H323通過信令交互過程,協(xié)商得到其�(shù)�(jù)通道,一般是RTP格式封裝的語音流。也就是說,純粹檢測RTP流并不能得出這條RTP流是那通過那種�(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交互,才能得到其完整的分析�

 ?�?)行為模式識(shí)別技�(shù)

  行為模式�(shí)別技�(shù)基于�(duì)終端已經(jīng)�(shí)施的行為的分析,判斷出用戶正在�(jìn)行的�(dòng)作或者即將實(shí)施的�(dòng)�。行為模式識(shí)別技�(shù)通常用于無法根據(jù)�(xié)議判斷的�(yè)�(wù)的識(shí)別。例如:SPAM(垃圾郵件)�(yè)�(wù)流和普通的Email�(yè)�(wù)流從Email的內(nèi)容上看是完全一致的,只有通過�(duì)用戶行為的分�,才能夠�(zhǔn)確的�(shí)別出SPAM�(yè)�(wù)�

  以上三種�(shí)別技�(shù)分別用于不同類型�(xié)議的�(shí)�,無法相互替�。而華為公司在�(yīng)用DPI 技�(shù)部署DPI 系統(tǒng)�(shí)采用了多�(yè)�(wù)控制�(wǎng)�(guān)MSCG分層DPI 解決方案,綜合運(yùn)用了這三種技�(shù),在檢測效率和靈活性方面均�(dá)到�

原理

  深度包檢測技�(shù)是一種基于應(yīng)用層的流量檢測和控制技�(shù),當(dāng)IP�(shù)�(jù)�、TCP或UDP�(shù)�(jù)流通過基于DPI技�(shù)的帶寬管理系�(tǒng)�(shí),該系統(tǒng)通過深入讀取IP包載荷的�(nèi)容來�(duì)OSI七層�(xié)議中的應(yīng)用層信息�(jìn)行重�,從而得到整�(gè)�(yīng)用程��

特征

  1、應(yīng)用層加密/解密

  SSL廣泛被應(yīng)用于各種場合,以確保相關(guān)�(shù)�(jù)的安全�。這就�(duì)防火墻提出了新要求:必須能夠處理�(shù)�(jù)加密/解密。如果不�(duì)SSL加密的數(shù)�(jù)�(jìn)行解�,防火墻就不能對(duì)�(fù)載的信息�(jìn)行分析,更不可能判斷�(shù)�(jù)包中是否含有�(yīng)用層攻擊信息。如果沒有解密功能,深度檢測的所有優(yōu)�(diǎn)都無法體�(xiàn)出來�

  由于SSL加密的安全性很高,企業(yè)常使用SSL技�(shù),以確保�(guān)鍵應(yīng)用程序的通訊�(shù)�(jù)的安全�。如果深度檢測不能對(duì)企業(yè)中關(guān)鍵應(yīng)用程序提供深度檢測安全性的話,整�(gè)深度檢測的優(yōu)勢將失去意義�

  2、正常化

  防范�(yīng)用層攻擊,很大程度上依賴于字符串匹配。不正常的匹配會(huì)造成安全漏洞。比如,為了探知某種�(qǐng)求的安全策略是否被啟�,防火墻通常根據(jù)�(qǐng)求的URL與安全策略來�(jìn)行匹配。一旦與某種策略條件完全匹配,防火墻就采用對(duì)�(yīng)的安全策�。指向同一�(gè)資源的URL或許有多種不同形�(tài),如果該URL的編碼方式不同的�,二�(jìn)制方式的比較就不起作用了。攻擊者會(huì)利用各種技�(shù),對(duì)輸入的URL�(jìn)行偽裝,企圖避開字符串匹�,以�(dá)到越過安全設(shè)備的目的�

  這些攻擊行為,在欺騙IDS和IPS方面,特別有�,因?yàn)楣舸a只要與安全設(shè)備的特征庫有一�(diǎn)�(diǎn)不同的話,就能夠�(dá)到目��

  解決字符串匹配問題需要利用正常化技�(shù),深度檢測能夠識(shí)別和阻止大量的攻擊。對(duì)于防范隱藏在幀�(shù)�(jù)、Unicode、URL編碼,雙重URL編碼和多形態(tài)的Shell等類型的攻擊行為,必須要用到�?;夹g(shù)�

  3、協(xié)議一致�

  �(yīng)用層�(xié)�,如HTTP、SMTP、POP3、DNS、IMAP和FTP,在�(yīng)用程序中�(jīng)常用�。每�(gè)�(xié)�,都由RFC(Request For Comments)相�(guān)�(guī)范創(chuàng)建�

  深度檢測防火�,必須確�(rèn)�(yīng)用層�(shù)�(jù)流是否與這些�(xié)議定義相一�,以防止隱藏其中的攻��

  深度檢測在應(yīng)用層�(jìn)行狀�(tài)檢測。協(xié)議一致�,通過�(duì)�(xié)議報(bào)文的不同字段�(jìn)行解密而實(shí)�(xiàn),當(dāng)�(xié)議中的字段被�(shí)別出來后,防火墻采用RFC定義的應(yīng)用規(guī)�,來檢查其合法��

  4、雙向負(fù)載檢�

  深度檢測具有�(qiáng)大功�,能夠允許數(shù)�(jù)包通過,拒絕數(shù)�(jù)包,檢查或修改第4�7層數(shù)�(jù)�,包括包頭或�(fù)載。HTTP深度檢測能夠查看到消息體中的URL,包頭和參數(shù)等信息。深度檢測防火墻能夠自動(dòng)�(jìn)行動(dòng)�(tài)配置,以便正確檢測服�(wù)變量,如長度,隱藏字段和Radio按鈕等等。如果請(qǐng)求的變量不匹�,不存在或者不正確的話,深度檢測防火墻�(huì)將請(qǐng)求丟棄掉,將該事件寫入日�,并給管理員�(fā)出警告信息�

功能

  1、業(yè)�(wù)�(shí)�

  一般而言,對(duì)于業(yè)�(wù)�(shí)別有兩種方法,一種是�(duì)�(yùn)營商開通的合法�(yè)�(wù),另外一種是�(yùn)營商需要�(jìn)行監(jiān)管的�(yè)�(wù)�

  前者可以通過�(yè)�(wù)流的五元組來�(biāo)�(shí),如VOD�(yè)�(wù),其�(yè)�(wù)流的地址是屬于VOD服務(wù)器網(wǎng)段的地址,其端口是一�(gè)固定的端�。系�(tǒng)一般采用ACL的方式,�(shí)別出該類�(yè)�(wù)�

  后者需求DPI技�(shù),通過前述的業(yè)�(wù)�(shí)別方法,通過�(duì)IP�(shù)�(jù)包的�(nèi)容�(jìn)行分�,通過特征字的查找或者業(yè)�(wù)的行為統(tǒng)�(jì),得到業(yè)�(wù)流的類型�

  2、業(yè)�(wù)控制

  通過DPI 技�(shù)�(shí)別出各類�(yè)�(wù)流之后,根據(jù)�(wǎng)�(luò)配置的組合條�,如用戶、時(shí)�、帶�、歷史流量等,對(duì)�(yè)�(wù)流�(jìn)行控�??刂品椒òǎ赫^D(zhuǎn)�(fā)、阻�、限制帶寬、整�、重�(biāo)記優(yōu)先級(jí)��

  為了便于�(yè)�(wù)的運(yùn)營,�(yè)�(wù)控制策略一般集中配置在策略服務(wù)器中,用戶上線后�(dòng)�(tài)下發(fā)�

  3、業(yè)�(wù)�(tǒng)�(jì)

  DPI 的業(yè)�(wù)�(tǒng)�(jì)功能是為了直觀的統(tǒng)�(jì)�(wǎng)�(luò)的業(yè)�(wù)流量分布和用戶的各種�(yè)�(wù)使用情況,從而更好的�(fā)�(xiàn)促�(jìn)�(yè)�(wù)�(fā)展和影響�(wǎng)�(luò)正常�(yùn)營的因素,為�(wǎng)�(luò)和業(yè)�(wù)�(yōu)化提供依�(jù)。如:發(fā)�?qū)τ脩粲形Φ臉I(yè)�(wù)、驗(yàn)證業(yè)�(wù)提供水平是否�(dá)到了用戶的服�(wù)等級(jí)�(xié)議SLA、統(tǒng)�(jì)分析出網(wǎng)�(luò)中的攻擊流量占多少比�、多少用戶正在使用某種游戲業(yè)�(wù)、哪幾種�(yè)�(wù)最消耗網(wǎng)�(luò)的帶寬和哪些用戶使用了非法VOIP等等�

�(fā)�

  DPI 的檢測技�(shù)和網(wǎng)�(luò)上非正常�(yīng)用的反檢測是矛和盾的�(guān)�。前面談到的DPI技�(shù)不是靜止不變�,隨著檢測技�(shù)的發(fā)�,非正常�(yīng)用的隱藏技�(shù)也在演�(jìn)。如�(duì)�(shù)�(jù)部分加密、隱藏特征字和通過隧道技�(shù)躲避檢測等等�

  DPI 技�(shù)在發(fā)展中將不斷調(diào)整上述的檢測方法,從而達(dá)到比較高的檢測精��

  總之,DPI 技�(shù)將逐漸在安�、業(yè)�(wù)控制、UART接口模塊等方面廣泛應(yīng)�,為�(yùn)營商精細(xì)控制和運(yùn)營網(wǎng)�(luò)提供一種利��

更多精彩�(nèi)容,�(qǐng)登入維庫電子�http://www.3575.com.cn

維庫電子�,電子知�(shí),一查百通!

已收錄詞�161703�(gè)