您的位置:奥门新浦京网址 > 奥门新浦新京官方网站 > 互联网架构革时局动掀起,应用流量识其余难度

互联网架构革时局动掀起,应用流量识其余难度

发布时间:2019-10-23 05:49编辑:奥门新浦新京官方网站浏览(161)

    深度数据包检测(DPI)工具主要用于服务提供商网络,而今企业网络管理员越来越多地采用这种技术,优化应用程序性能管理和保证更高水平的安全性。

    “智能化”已不再是手机的专有名词,网络架构同样也在走向“智能化”。转发层和控制层的分离实现了软硬件的分离和底层硬件的虚拟化,为网络的发展提供了一个良好的发展平台。因此SDN成为了网络的热门话题,而OpenFlow作为一个标准化SDN应用的协议也备受关注和推崇。Extreme Networks产品和技术行销总监Darius Goodall形象的将OpenFlow比喻成为未来网络的Android。

    在网络的入口处对应用程序的识别是非常重要的,无论是网络安全产品,还是专业的流量分析引擎,应用流量的准确识别不但可洞悉整个网络的运行情况,而且可针对具体需求做用户行为的准确管控,这在一定程度上既可保证业务流的高效运行,也可预防由于内网中毒引起的断网事件。

    基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

    SDNs和OpenFlow是一个类似Linux的运动

    然而,要准确识别应用流量,从技术实现上讲并不简单,难度主要体现在识别的算法及检测深度。算法不但要解决流量的分类,而且要负责在多个分类中查找特征,所以最好的算法往往带来的是精确的识别;另一个就是检查数据的深度,深度总是和性能关联,检查的越多,消耗的系统资源越多。因此,检查一个流的前20个包所付出的性能代价往往是超乎想象的,这就是我们提到的识别难度。

    DPI工具:基于流与基于代理

    移动互联网、云计算以及物联网等应用驱动着数据中心的重大变革。随着应用的不断发展,网络带宽的需求提升,对数据中心提出了更多的要求,而传统的网络架构已经无法满足日益增长的需求。传统的数据中心面临着一场变革,而SDNs和OpenFlow的出现将会对其产生革命性的影响。“就像当初Linux的出现一样,SDNs和OpenFlow是一个类似Linux的运动。SDNs将成为网络的第三代代表。”Extreme Networks企业营销资深总监DougWills认为。

    对于识别方法来说,从技术角度看,检查一个应用特征主要有三种方法。第一种方法称为标准检测,主要靠识别报头信息的地址和端口,这种方法常见于做QoS的网关设备。第二种方法称为DPI深度包检测),这是业界常用的术语,绝大多数设备声称具有这样的技术,常见于"下一代内容检测系统"及UTM类设备。从理论上,数据流中每个报文的任意字段或数据流传输过程中的任何特征都可以作为应用协议识别的依据,但实际上,如何快速选择最有效的数据流特征信息的难度远远超过了您的想象。第三种方法称为解密检测方法,就是将数据流送入一个分类器,数据流被分类之后,将加密数据流送入一个解密引擎,解密引擎通过预置的解密算法对数据解密,解密后再次返回分类器进行检查。如天融信TopFlow就采用这种技术来识别加密数据,通过这种独有的技术,使得精确识别率能达到99%以上。

    数据包检测方法可以分成两类:基于流和基于代理。

    那么什么是SDN呢?是由美国斯坦福大学cleanslate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。简单来说,SDN可以实现网络如电脑般可编程,可以创建易于管理的网络虚拟化层。而OpenFlow则是一个标准化SDN应用协议。

    当然,在我们介绍应用流量识别时有几个概念需要介绍:

    基于流的检测方式可以检查每一个到达数据包中的数据。如果没有发现威胁,就将数据包转到目标位置。基于代理的检测方式会缓冲构成一个事务的一系列数据包,在接收到所有数据包之后进行威胁扫描。基于流和基于代理的检测技术都能够将数据序列与威胁签名进行匹配,并且能够利用试探法检测零日攻击。

    SDN和OpenFlow技术在刚刚结束的拉斯韦加斯Interop活动里被认定为“网络最热门话题”,也是2012年6月13日-15日举办的东京国际网络通信展览会中高度传播与讨论话题。

    数据流:基于应用层协议识别的对象不能只是简单的检查单个报文,而是要将数据流作为一个整体来检测。因此,数据流是指在某个会话生命周期内,通过网络上一个检测节点的IP数据报文的集合。实际上,一个节点发送的数据流的所有属性是相同的。

    对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

    利用OpenFlow和SDN,用户便可定制网络来满足本地需求,消除不必要的功能,创建虚拟的、隔离的网络。据DougWills介绍,移动运营商使用OpenFlow能降低30-50%的管理和服务成本。

    数据流分类:利用数据流以及数据流中报文的某些信息,可将网络上的数据流进行分类,这种分类可加速应用流量的分类,如游戏应用数据流通常是小报文,而P2P流一般称为大报文。

    例如,为了解决缓冲区大小的问题,Fortinet推出了一个产品,其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说,缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外,基于代理的检测的支持者则认为,基于流和基于代理的工具性能差别只是一种错觉,实际的事务处理时间非常接近。

    虽然OpenFlow发展还处于早期阶段,但是在今年的前四个月,OpenFlow已经发放了1.0、1.2、1.3版本。DougWills透露,今年7月份将全部的Extreme Networks设备中嵌入Open Flow模块,到2013年第一季度整个软件将会启动发行。而且随着Open Flow标准的制定,Extreme Networks还将每隔6个月对其操作系统进行更新升级。

    数据流类别:数据流类别是一个大型网状结构的分类器,按照行为特征及签名进行归类。在数据流分类问题中,每个类别可能包含某些属性类似的多种协议,典型的如IE下载即包括了多个类别,有分块下载,有伪IE下载等,有另存单线程下载等,而协议识别必须对流进行更精细的分类,使得每个类别中的流只使用一种应用层协议。

    同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

    据了解,Extreme Networks在中国的用户包括中国移动、中国联通运营商,7月份ExtremeNetworks所有设备中将嵌入OpenFlow模块,是否就意味着中国移动以及联通采用的设备中拥有Open Flow技术?Doug Wills表示中国移动在实验室在采用Open Flow软件进行工程释放,实验室将会持续使用该技术。据悉,越来越多的主流厂商开始部署Open Flow网络架构,谷歌、雅虎、eBay等互联网巨头已经成功部署了Open Flow SDN网络架构。Extreme已宣布了对Big Switch、日本NTT、及Nicira的Open Flow控制器提供类似的支持。

    协议识别:协议识别是指检测引擎根据协议特征,识别出网络数据流使用的应用层协议。

    Wedge Networks提出了另一种DPI机制:深度内容检测。Wedge的产品会收集一系列的数据包,然后执行解压缩和解码,将它们转换为应用程序级对象。这样,Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查,从中发现威胁。

    “Extreme Networks对OpenFlow的部署十分积极,OpenFlow将成为未来网络的Android。”DariusGoodall表示,“我们希望可以打破思科在网络方面的垄断地位。”

    应用协议特征字符串:特征字符串是协议归类的关键依据,字符串特征举例协议特征字符串

    将DPI整合到其他网络安全和管理设备上

    事实上,就在最近CiscoLive2012大会上,思科公布了其SDN策略。思科CTO Padmasree Warrior表示,针对客户不同需求,思科将采取更广泛和深入多层次SDN策略。

    ftp特征字符串acct、cwd、smnt、port;

    DPI功能越来越多地整合到其他网络安全和管理设备上,用于优化网络访问控制,甚至保证服务质量(QoS)。入侵防御系统(IPS)、统一威胁管理 (UTM)和数据泄漏保护(DLP)设备中的DPI功能不仅能够抵御恶意软件,还能够降低企业网络中个人设备引起的安全风险。

    推类似AppStore应用商店

    smtp特征字符串HELO、EHLO、MAIL FROM:、RCPT TO:、VRFY、EXPN;

    此外,DPI工具能够显示每一个应用程序所使用的带宽比例。所以,有一些DPI设备甚至帮助网络管理员基于这些数据控制带宽分配。DPI还可以用在网络测试设备中,帮助网络管理员诱捕和记录应用层发生的特定事件。

    据了解,Extreme Networks还推出了类似AppStore应用商店,可以为用户提供免费的产品。就目前来说,Extreme Networks免费提供了4个产品,分别是关于自动化网络管理器、身份管理器、移动运营商可实现应用程序加速的产品、网络分析工具。另外还有24个其他Extreme Networks顾客开发的应用,包括移动运营商、数据中心企业。

    pop3特征字符串+OK、-ERR、APOP、TOP、UIDL;

    本文由奥门新浦京网址发布于奥门新浦新京官方网站,转载请注明出处:互联网架构革时局动掀起,应用流量识其余难度

    关键词:

上一篇:没有了

下一篇:没有了