Как работает механизм DPI в современных системах сетевой безопасности?

DPI (Deep Packet Inspection, англ. «глубокая инспекция пакетов») — это технология анализа данных, которые проходят через контрольную точку в сети. 1 Вся информация в интернете распределена по блокам данных, то есть пакетам. 1 DPI как бы заглядывает внутрь каждого пакета и тщательно изучает всё, что в нём содержится. 1

Принцип работы DPI состоит из трёх шагов: 1

1. Перехват пакетов. 1 DPI-оборудование устанавливают в контрольных точках сети — это маршрутизаторы, коммутаторы и другие устройства. 1 Они работают как шлюзы или фильтры: анализируют данные, которые через них проходят, и принимают решения о том, как их обработать. 1 DPI перехватывает каждый пакет данных, который передаётся по сети, и распаковывает его. 1
2. Классификация пакетов. 1 Когда DPI-устройство перехватило пакет данных, оно вычисляет, какое приложение или протокол он использует. 1 То есть начинает искать в пакете сигнатуры — определённые комбинации символов или битов. 1 Например, трафик из приложения Zoom имеет характерные признаки, по которым DPI может его распознать. 1 Сигнатуры хранятся в базе данных. 1 Устройства DPI сравнивают пакеты с шаблонами и затем определяют, что делать с полученными данными. 1
3. Анализ содержимого. 1 На этом этапе Deep Packet Inspection извлекает содержимое пакетов и выявляет запрещённые URL-адреса, ключевые слова и опасные программы. 1 Помимо непосредственного контента устройство получает и метаданные: IP-адреса отправителя и получателя, номера портов, временные метки. 1

Некоторые задачи, которые решает DPI в системах сетевой безопасности:

• Обнаружение и предотвращение вторжений. 2 DPI анализирует сетевой трафик в реальном времени, сопоставляя его с известными сигнатурами угроз для выявления и блокировки вредоносной активности. 2
• Антивирус и защита от вредоносных программ. 2 DPI может обнаруживать и блокировать вредоносное ПО, скрытое в сетевом трафике, путём анализа содержимого пакетов на наличие известных сигнатур вирусов, троянов и других угроз. 2
• Контроль приложений и фильтрация веб-контента. 2 DPI позволяет организациям контролировать, какие приложения и веб-сайты доступны пользователям, блокируя доступ к нежелательному или небезопасному контенту. 2