ПЕРВАЯ КЛАССИФИКАЦИЯ ПАКЕТОВ В ЗАШИФРОВАННОМ МИРЕ

Классификация первого пакета

Классификация первого пакета относится к точной и надежной классификации самого первого пакета в потоке вместо ожидания по крайней мере 3-5 пакетов, прежде чем будет идентифицировано основное приложение. Таким образом, политики трафика могут быть выпущены для первого пакета и реализованы для всех последующих пакетов для обеспечения согласованности в масштабе всего приложения. Сетевые провайдеры, включая поставщиков SD-WAN и SASE, которые выполняют управление трафиком в реальном времени и применение политик, полагаются на первую классификацию пакетов, чтобы гарантировать, что решения о маршрутизации и политики трафика применяются ко всем пакетам потока в реальном времени.

R&S PACE 2

R&S PACE 2 - это усовершенствованное программное обеспечение OEM для глубокой проверки пакетов (DPI). Он классифицирует протоколы и приложения до уровня 7 и выше и выполняет извлечение метаданных. Комбинируя следующие традиционные методы DPI, R&S®PACE 2 обеспечивает новейшие протоколы и осведомленность о приложениях:
►Соответствие шаблонов - благодаря своей библиотеке сигнатур, содержащей тысячи сигнатур протоколов и приложений, обновляемых еженедельно, R & S®PACE 2 сканирует пакеты на соответствие строковым и числовым шаблонам для идентификации протоколов, приложений и типов сервисов.
►Поведенческий анализ - R&S®PACE 2 анализирует IP-пакеты в потоке на предмет их размера, порядка и частоты в сочетании с информацией об абоненте и хосте.
►Статистический / эвристический анализ - R&S®PACE 2 вычисляет статистические атрибуты, такие как среднее значение и медиана по поведенческим индикаторам, для определения более широких атрибутов трафика, включая энтропию потока.

В совокупности эти методы обеспечивают детальную видимость каждого потока пакетов в реальном времени. Однако, чтобы обеспечить классификацию первого пакета, R&S®PACE 2 предлагает передовые методы кэширования, основанные на интеллекте, разработанном на основе традиционных методов DPI.

Кеширование для классификации первого пакета

Кэширование означает хранение тысяч IP-адресов и доменов в обширном списке проверенных веб-сервисов и приложений, что позволяет R&S®PACE 2 классифицировать первый пакет в потоке в реальном времени. После классификации пакеты обрабатываются дальше для извлечения метаданных и идентификации типа услуги. R&S®PACE 2 использует следующие два метода кэширования:
► Кэширование DNS - этот метод считывает имя хоста из запроса системы доменных имен (DNS) и сохраняет предоставленные IP-адреса из соответствующего ответа DNS.
►Кэширование службы - этот метод идентифицирует службу или приложение через механизм DPI и кэширует их IP-адрес. Любой пакет с тем же IP-адресом немедленно распознается и освобождается от дальнейшей фильтрации с помощью других алгоритмов DPI. Однако по мере того, как новые технологии шифрования, такие как DNS через HTTPS (DoH), становятся все более распространенными, классификация первого пакета на основе кеширования в будущем станет менее эффективной. Кроме того, эти методы демонстрируют слабые стороны, когда речь идет об активном использовании прокси-серверов и сетей доставки контента (CDN). Они могут привести к ложным срабатываниям, поскольку IP-адреса определенных приложений скрыты и, следовательно, не могут быть надежно сопоставлены с правильными приложениями или службами.

Увеличение зашифрованного, скрытого и анонимного трафика

Шифрование, обфускация и анонимность трафика неуклонно растет. Например, шифрование будет распространяться с появлением новых методов шифрования, таких как TLS 1.3, TLS 1.3 0-RTT и ESNI, а также DNS через TLS и DNS через HTTPS. Также наблюдается резкий рост анонимности трафика, что означает маскировку истинной идентичности базового трафика. В то же время методы запутывания трафика, такие как рандомизация, туннелирование и имитация, становятся все более распространенными и обычно используются злоумышленниками для сокрытия вредоносной активности. Чтобы справиться с этими типами трафика, провайдеры DPI должны инвестировать в перспективную классификацию первого пакета, развертывая новые, более продвинутые методы, использующие машинное обучение (ML) и глубокое обучение (DL).

ML / DL для обеспечения полной осведомленности о приложениях в будущем

R&S®PACE 2 предлагает передовые возможности ML и DL, которые в сочетании с традиционными методами DPI обеспечивают сети с помощью интеллектуального анализа зашифрованного трафика (ETI). ETI использует сочетание передовых алгоритмов машинного обучения в сочетании с различными уровнями DL. Например, для расширения библиотеки подписей алгоритмы машинного обучения автоматизируют обнаружение и проверку новых подписей, а также обнаружение возможно неточных или слабых подписей. Функциональность ETI в R&S®PACE 2 улучшена за счет обширного сотрудничества с ведущими университетами в области исследования передовых методов классификации трафика, зашифрованного с помощью TLS 1.3, DoH и ESNI, а также трафика, скрытого с помощью фронтинга домена. Это позволяет Rohde & Schwarz использовать передовые методы, такие как самообучающееся управление сетью, для классификации запутанных приложений. Благодаря команде собственных специалистов по обработке данных, которые применяют передовые статистические методы, а также классическое машинное обучение, многомерный анализ данных и DL, Rohde & Schwarz может постоянно расширять возможности R&S®PACE 2 по классификации и извлечению метаданных из любых зашифрованных данных. Запутанный или анонимный трафик точно.