Фильтрация данных в компьютерных системах работает на основе установленных и настроенных заранее правил безопасности. 5 В случае несоответствия потоков одному или нескольким пунктам этих правил происходит блокировка передачи информации. 5

Один из примеров технологии фильтрации данных — Deep Packet Inspection (DPI). 13 Процесс глубокой проверки пакетов состоит из нескольких этапов: 3

1. Перехват пакетов. 1 DPI-оборудование устанавливают в контрольных точках сети — это маршрутизаторы, коммутаторы и другие устройства. 1 Они работают как шлюзы или фильтры: анализируют данные, которые через них проходят, и принимают решения о том, как их обработать. 1 DPI перехватывает каждый пакет данных, который передаётся по сети, и распаковывает его. 1
2. Классификация пакетов. 1 Когда DPI-устройство перехватило пакет данных, оно вычисляет, какое приложение или протокол он использует. 1 То есть начинает искать в пакете сигнатуры — определённые комбинации символов или битов. 1 Например, трафик из приложения Zoom имеет характерные признаки, по которым DPI может его распознать. 1 Сигнатуры хранятся в базе данных. 1 Устройства DPI сравнивают пакеты с шаблонами и затем определяют, что делать с полученными данными. 1
3. Анализ содержимого. 1 На этом этапе Deep Packet Inspection извлекает содержимое пакетов и выявляет запрещённые URL-адреса, ключевые слова и опасные программы. 1 Помимо непосредственного контента устройство получает и метаданные: IP-адреса отправителя и получателя, номера портов, временные метки. 1

DPI может не только идентифицировать существование угроз, но и, используя содержимое пакета и его заголовок, выяснить, откуда они исходили. 3