Как работает система глубокого пакетного анализа в интернете?

Система глубокого пакетного анализа в интернете (Deep Packet Inspection, DPI) позволяет в режиме реального времени проверять содержимое пакетов данных, проходящих через сеть. 2

Процесс состоит из нескольких этапов: 1

1. Перехват пакетов. 1 DPI-оборудование устанавливают в контрольных точках сети — это маршрутизаторы, коммутаторы и другие устройства. 1 Они работают как шлюзы или фильтры: анализируют данные, которые через них проходят, и принимают решения о том, как их обработать. 1 DPI перехватывает каждый пакет данных, который передаётся по сети, и распаковывает его. 1
2. Классификация пакетов. 1 Когда DPI-устройство перехватило пакет данных, оно вычисляет, какое приложение или протокол он использует. 1 То есть начинает искать в пакете сигнатуры — определённые комбинации символов или битов. 1 Например, трафик из приложения Zoom имеет характерные признаки, по которым DPI может его распознать. 1 Сигнатуры хранятся в базе данных. 1
3. Анализ содержимого. 1 На этом этапе DPI извлекает содержимое пакетов и выявляет запрещённые URL-адреса, ключевые слова и опасные программы. 1 Помимо непосредственного контента устройство получает и метаданные: IP-адреса отправителя и получателя, номера портов, временные метки. 1

Некоторые возможности DPI:

• Контроль над интернетом. 1 Можно контролировать, какую информацию люди видят в сети, регулировать, какие данные можно передавать через сеть, ускорять или замедлять передачу определённых пакетов, приостанавливать доступ к конкретным сайтам или приложениям. 1
• Обнаружение и блокировка вредоносных программ. 4 DPI позволяет идентифицировать неизвестное ПО, которое пытается проникнуть в сеть. 4
• Обнаружение атак. 4 Используя поведенческий, эвристический анализ и опираясь на новейшие решения в области искусственного интеллекта, DPI позволяет легко обнаруживать атаки на устройства в компьютерной сети, прежде чем они смогут нанести серьёзный ущерб. 4