随着混合工作成为生活的正常部分,新技术每天都在使用,同时总是通过网络传输数据的山体滑坡。通过高正常运行时间、快速解决问题和富有洞察力的情报提供无缝的用户体验至关重要。为此,对网络进行端到端监控非常重要。
深度数据包检测是一种用于在数据包流经网络时实时检查和分析数据包内容的技术,从而实现实时分析和决策。它用于各种目的,包括安全性、流量管理、数据泄露、违反策略、恶意软件和服务质量。DPI允许在网络的应用层检查数据包数据,而不仅仅是标头信息,这提供了有关数据包内容的更多信息。它涉及查看数据包的实际有效负载或内容,包括正在传输的数据和生成它的应用程序。
深度数据包检测 (DPI)
- 什么是深度数据包检测
- 为什么需要深度数据包检测
- 深度数据包检测如何工作
- 深度数据包检测的工作原理
- 深度数据包检测与传统数据包过滤
什么是深度数据包检测
深度数据包检测是检查网络流量的高级方法。它分析数据包标头和有效负载,这与仅分析标头部分的传统数据包过滤技术不同。
为什么需要深度数据包检测
深度数据包检测有利于企业分析网络数据包,并通过收集响应时间等数据来识别瓶颈。
深度数据包检测如何工作
深度数据包检测是分析网络流量的过程,以提供流经端点的数据包的完整图片,以验证哪个有故障;无论是应用程序还是网络。
深度数据包检测的工作原理
深度数据包检测根据网络管理员或 ISP 分配的规则评估数据包。与传统的数据包过滤不同,深度数据包检测监控这些数据包的内容,并确定其来源以及发送该数据包的服务或应用程序。然后,它根据预定义的规则决定如何处理此流量,并可以使用筛选器重定向来自特定在线服务或 IP 地址的非业务关键流量。
深度数据包检测软件与防火墙和入侵检测系统一起使用,作为传统安全系统的补充,以应对数据量增加、数据的复杂性以及安全威胁或异常。
深度数据包检测与传统数据包过滤
在组织中,作为数据包传输的信息通过整个网络的不同控制点。直到几年前,传统的数据包过滤还是在不完全减慢组织网络速度的情况下管理网络流量的最佳可用选项。但是,这有其局限性。传统的数据包过滤只读取每个数据包的标头信息,其中包括IP地址和端口号等数据。这使得威胁更容易避开防火墙。随着当今处理能力的提高和对更好可见性的需求,深度数据包检测监控每个数据包,包括来自网络上每个设备的数据和元数据,而不会完全降低网络速度。
然后,系统可以根据这些规则自动决定如何处理每个传入数据包,使组织能够防止隐藏的威胁和攻击。
深度数据包检测技术
DPI 主要由防火墙和入侵检测系统用于检测恶意软件和其他安全威胁,并作为监视网络基础结构整体运行状况和性能的主动方法。有几种技术用于执行 DPI,主要包括:
- 图案或签名匹配
- 协议异常
- 入侵防御系统
- 启发式和行为分析
图案或签名匹配
特征码或特征码匹配是一种监视每个网络数据包的方法,以分析其内容并将其内容与常见攻击和先前识别的威胁的索引进行比较。不断更新此威胁情报数据库可以有效防止攻击。但是,这也是此方法的主要限制,因为模式或签名匹配仅限于检测已知攻击,而无法识别新的或不熟悉的攻击。
协议异常
协议异常可确保防止通过组织网络的未知攻击。它使用“默认拒绝”方法,该方法默认拒绝对系统或网络的所有访问,然后有选择地仅允许访问允许的那些资源。它通常用于防火墙和其他安全系统,以防止未经授权访问网络。正确配置后,此方法可确保仅允许业务关键型连接通过网络,只有授权的用户和设备才能访问这些资源,并且不会阻止合法流量。
入侵防御系统
IPS 是一种入侵检测系统,它不仅仅是检测恶意流量。它是一种监控网络流量以查找潜在威胁或恶意活动迹象并采取措施防止或阻止这些威胁的技术。它通常通过实时检查网络流量来运行,查找指示潜在攻击的常见攻击或异常的模式或特征。IPS 可以使用一系列技术,包括基于签名的检测、基于行为的检测和基于异常的检测。
启发式和行为分析
- 启发式分析和行为分析是检测和防止安全威胁活动的两种常用技术。
- 启发式分析是一种自动安全工具或软件分析网络流量行为以识别可能指示威胁的模式或属性的方法。它使用一组规则或算法来检测已知的攻击模式或可疑行为,然后标记任何潜在的匹配项。启发式分析通常用于识别以前未知或“零日”攻击,其中正在使用可能没有已知签名的新恶意软件或恶意行为。
- 行为分析是一种监视系统或软件活动以发现异常或可疑行为的技术。它的工作原理是为被视为正常行为的行为设置基线,并在发生或阻止任何破坏模式和偏离这些基线的活动时发出警报。行为分析用于识别可能没有已知模式或签名的恶意软件或其他恶意活动。
- 通过使安全工具来识别和响应新的和以前未知的威胁,从而补充了传统的基于签名的检测方法。
深度数据包检测的挑战和局限性
所有技术,无论多么有益,都有其挑战和局限性。DPI的三大挑战和局限性是:
- 虽然DPI是检测和防止拒绝服务,溢出和缓冲攻击的极其有效的工具,但它可以促进创建类似的攻击,使网络容易受到其提供安全性的相同威胁的攻击。
- 深度数据包检测可能是一个带宽消耗,由于涉及大量数据,会对网络和防火墙造成压力。
- 高效的深度数据包检测工具可能很复杂且难以管理。它还需要不断更新和修订以获得最佳功能。
深度数据包检测的优势
深度数据包检测解决方案的一些主要优势包括:
- 提高网络安全性:DPI 可用于检测和预防各种安全威胁,包括恶意软件和垃圾邮件。通过分析每个数据包的内容,它可以检测可能超过传统防火墙和入侵检测系统的攻击。
- 服务质量和合规性监控:DPI 可用于根据网络流量的内容或来源确定其优先级,确保任务关键型应用程序和用户获得必要的带宽。这提高了整体网络性能和用户体验。DPI 还可用于确保策略合规性,并检测和标记任何违反法规的流量。
- 故障排除:DPI 可用于通过精细分析网络流量来确定网络流量问题的根本原因,例如数据包丢失过多、延迟或抖动。
- 带宽管理:DPI 主要用作安全系统,用于检测占用带宽的应用程序。它还可以有效地监视和控制网络带宽使用情况,减少拥塞并防止网络速度变慢。
深度数据包检测(DPI)工具
使用 NetFlow Analyzer 的网络数据包传感器支持网络的性能和安全性。这是一种基于流量的带宽监控工具,可让管理员实时了解应用程序、接口和设备的网络流量。使用流数据,管理员可以找到可能占用带宽的应用程序、端口或协议以及 IP 地址。为了获得最佳和准确的带宽监控,NetFlow Analyzer提供了一个网络数据包传感器。
- 网络数据包传感器是基于代理的安装,结合了NetFlow Analyzer的NetFlow Generator和DPI引擎的功能。允许管理员监控来自非流量导出设备的流量,而深度数据包检测工具使管理员能够识别网络问题的根源。
- 借助 NetFlow DPI 软件,管理员可以测量应用程序响应时间 (ART) 和网络响应时间 (NRT),并通过查找带宽瓶颈的根本原因(无论是应用程序端还是网络端)来最大限度地减少故障排除时间。
使用 NetFlow 深度数据包检测 (DPI) 的优势
- 通过对 ART 和 NRT 数据的可见性,您可以避免在升级带宽方面的昂贵投资,并分配可用资源以简化操作。
- 识别可能的攻击并在威胁影响整个网络之前将其隔离。
- 通过过滤不合规的数据来保护易受攻击的网络系统。
- 检测源和目标 IP 地址,这有助于识别和禁止组织中的流量。
深度数据包检测在组织的网络安全和流量方面提供了许多好处,NetFlow Analyzer 提供深度数据包检测引擎,可监控和测量应用程序响应时间和网络响应时间,以确定网络流量问题和异常的根源。