Суть работы
Технологию DPI (Deep Packet Inspection) используют для организации безопасного сетевого трафика и контроля по управлению им. В отличие от брандмауэров в DPI анализ делается не только по заголовкам пакетов, но и по всем уровням сетевой модели OSI (со второго и выше). Результат работы технологии – распознавание спама, вирусной активности, кибератак, кражи информации, а также управление доступом к сетевым сервисам и накопление статистических данных.
Используя DPI, поставщики интернета контролируют сетевой трафик на уровне сервисов и приложений, т. е. могут более тонко регулировать качество клиентских услуг.
В канал передачи данных подключают ПО, построенное на DPI, чтобы оно перехватывало весь массив проходящих пакетов сетевого трафика или пакеты определенного протокола (например, почтовый POP3). Каждый проверяемый пакет «распаковывается», анализируются его содержимое и параметры на предмет незапротоколированных данных, например:
- Сетевой атаки.
- Спама.
- Информации с ограничением прав доступа.
- Информации, нарушающей законодательство.
Если с проверяемыми пакетами все в порядке с точки зрения данных, они идут дальше к получателю. Если есть неправомерный контент или зафиксировано нарушение установленных правил, пакеты идут по одному из трех путей:
- Удаляются.
- Отправляются на хранение в карантин.
- Проходят дальше, но после удаления небезопасного контента.
В результате такого анализа DPI-сервисы собирают статистические данные, которые можно использовать в различных целях:
- Улучшить клиентский сервис (QoS).
- Выявить аномальный трафик.
- Проводить оперативно-разыскные мероприятия в радио-, телефонной, мобильной связи.
Области применения DPI
- IDPS-системы, где применяется поведенческий и сигнатурный анализ трафика, чтобы оперативно находить и блокировать несанкционированные команды и коды.
- Для предотвращений информационных утечек (DLP) – здесь глубокий анализ пакетов нужен, чтобы вычленить конфиденциальную информацию в общем сетевом потоке посредством сигнатурного и контент-анализа.
- В программах-анализаторах сетевого трафика, где перехватываются сетевые пакеты, содержащие искомый контент.
- Файерволлы, в которых используется DPI с анализом трафика, чтобы обнаружить и предотвратить кибератаки и воздействие вредоносного программного обеспечения (ВПО), характерного для онлайн-приложений.
- Фильтры контента для анализа трафика по содержимому.
- Спам-фильтры для анализа «мусорных» сообщений в электронной почте.
- Сервисы по оптимизации и управлению сетевым трафиком, где DPI используют, чтобы улучшить клиентский сервис и контроль за трафиком клиентов.
Задачи DPI
Технология DPI помогает решить ряд задач в области информационной безопасности и не только.
URL-фильтрация
Это основная функция безопасности. Используется для блокировки подозрительных и запрещенных URL-адресов (например, входящих в реестр запрещенных сайтов Роскомнадзора). Здесь к DPI-средствам предъявляют повышенные требования по производительности: они должны анализировать огромные массивы адресов в режиме реального времени.
Качество обслуживания (QoS)
Внедренная технология DPI здесь служит для присваивания меток трафику по заданным значениям. Если весь трафиковый массив «не влезет» в полосу пропускания, часть его с наименьшим приоритетом будет отброшена. Глубокий анализ сетевых пакетов также используется, чтобы оптимизировать трафик абонентов. Для них – это аудиофайл без заикания, быстрые видеоролики и максимальная скорость загрузки файлов из интернета.
QoS в DPI решает задачи информационной безопасности:
- Приоритизация и разграничение трафика.
- Организация равномерного прохождения трафика.
- Рост качества и скорости сетевого соединения.
- Профилактика перегрузок в сети.
Например, в периоды повышенной нагрузки на сеть (например, вечером) благодаря DPI видео с YouTube, веб-страницы и онлайн-игры получают приоритет выше, чем торрент-трекеры, обновление и загрузка файлов. Такая платформа, как СКАТ DPI, распознает сетевые пакеты популярных мессенджеров (Viber, Skype, WhatsApp и «Телеграм») и создает для них собственную политику доступа пользователей.
Восприятие услуг связи конечным абонентом (QoE)
В системе СКАТ DPI функция QoE (Quality of Experience) отвечает за сбор статистических данных, позволяющих оценить уровень восприятия услуг. Полученная статистика анализируется и учитывается в пользовательском опыте и действиях по повышению качества интернет-услуг.
Маркетинговые мероприятия
Функция не относится напрямую к информационной безопасности, но позволяет более тесно взаимодействовать с пользователями – привлекать дополнительную аудиторию и удерживать клиентов. Благодаря DPI можно:
- Разделять по сегментам клиентскую базу и предлагать им новые и более выгодные услуги.
- Проводить анкетирование и опросы.
- Отправлять уведомления о нулевом балансе.
- Бороться с несанкционированной раздачей доступа в интернет.
- Гибко настраивать коммерческие предложения под каждого пользователя.
Заключение
Благодаря технологии DPI и основанным на ней решениям (СКАТ DPI) можно выполнять важные задачи по информационной безопасности юридических и физических лиц:
- Мониторинг и предотвращение несанкционированного трафика.
- Перехват сетевых пакетов на законных основаниях.
- Управление качеством оказания интернет-услуг.
- Раздача приоритетов веб-сервисам.
- Сбор статических данных из сети.
- Тонкая настройка рекламных кампаний.
- Защита авторских прав.