深度包檢測設備測試方法

工業(yè)和信息化部電信研究院。2100433B

馬克、田輝等。

1.應用層加密/解密

SSL廣泛被應用于各種場合，以確保相關數(shù)據(jù)的安全性。這就對防火墻提出了新要求：必須能夠處理數(shù)據(jù)加密/解密。如果不對SSL加密的數(shù)據(jù)進行解密，防火墻就不能對負載的信息進行分析，更不可能判斷數(shù)據(jù)包中是否含有應用層攻擊信息。如果沒有解密功能，深度檢測的所有優(yōu)點都無法體現(xiàn)出來。

由于SSL加密的安全性很高，企業(yè)常使用SSL技術(shù)，以確保關鍵應用程序的通訊數(shù)據(jù)的安全性。如果深度檢測不能對企業(yè)中關鍵應用程序提供深度檢測安全性的話，整個深度檢測的優(yōu)勢將失去意義。

2.正?；?/p>

防范應用層攻擊，很大程度上依賴于字符串匹配。不正常的匹配會造成安全漏洞。比如，為了探知某種請求的安全策略是否被啟用，防火墻通常根據(jù)請求的URL與安全策略來進行匹配。一旦與某種策略條件完全匹配，防火墻就采用對應的安全策略。指向同一個資源的URL或許有多種不同形態(tài)，如果該URL的編碼方式不同的話，二進制方式的比較就不起作用了。攻擊者會利用各種技術(shù)，對輸入的URL進行偽裝，企圖避開字符串匹配，以達到越過安全設備的目的。

這些攻擊行為，在欺騙IDS和IPS方面，特別有效，因為攻擊代碼只要與安全設備的特征庫有一點點不同的話，就能夠達到目的。解決字符串匹配問題需要利用正常化技術(shù)，深度檢測能夠識別和阻止大量的攻擊。對于防范隱藏在幀數(shù)據(jù)、Unicode、URL編碼，雙重URL編碼和多形態(tài)的Shell等類型的攻擊行為，必須要用到正?；夹g(shù)。

3.協(xié)議一致性

應用層協(xié)議，如HTTP、SMTP、POP3、DNS、IMAP和FTP，在應用程序中經(jīng)常用到。每個協(xié)議，都由RFC（Request For Comments）相關規(guī)范創(chuàng)建。

深度檢測防火墻，必須確認應用層數(shù)據(jù)流是否與這些協(xié)議定義相一致，以防止隱藏其中的攻擊。深度檢測在應用層進行狀態(tài)檢測。協(xié)議一致性，通過對協(xié)議報文的不同字段進行解密而實現(xiàn)，當協(xié)議中的字段被識別出來后，防火墻采用RFC定義的應用規(guī)則，來檢查其合法性。

4.雙向負載檢測

深度檢測具有強大功能，能夠允許數(shù)據(jù)包通過，拒絕數(shù)據(jù)包，檢查或修改第4到7層數(shù)據(jù)包，包括包頭或負載。HTTP深度檢測能夠查看到消息體中的URL，包頭和參數(shù)等信息。深度檢測防火墻能夠自動進行動態(tài)配置，以便正確檢測服務變量，如最大長度，隱藏字段和Radio按鈕等等。如果請求的變量不匹配，不存在或者不正確的話，深度檢測防火墻會將請求丟棄掉，將該事件寫入日志，并給管理員發(fā)出警告信息。

1.業(yè)務識別

一般而言，對于業(yè)務識別有兩種方法，一種是對運營商開通的合法業(yè)務，另外一種是運營商需要進行監(jiān)管的業(yè)務。前者可以通過業(yè)務流的五元組來標識，如VOD業(yè)務，其業(yè)務流的地址是屬于VOD服務器網(wǎng)段的地址，其端口是一個固定的端口。系統(tǒng)一般采用ACL的方式，識別出該類業(yè)務。后者需求DPI技術(shù)，通過前述的業(yè)務識別方法，通過對IP數(shù)據(jù)包的內(nèi)容進行分析，通過特征字的查找或者業(yè)務的行為統(tǒng)計，得到業(yè)務流的類型。

2.業(yè)務控制

通過DPI 技術(shù)識別出各類業(yè)務流之后，根據(jù)網(wǎng)絡配置的組合條件，如用戶、時間、帶寬、歷史流量等，對業(yè)務流進行控制。控制方法包括：正常轉(zhuǎn)發(fā)、阻塞、限制帶寬、整形、重標記優(yōu)先級等。為了便于業(yè)務的運營，業(yè)務控制策略一般集中配置在策略服務器中，用戶上線后動態(tài)下發(fā)。

3.業(yè)務統(tǒng)計

DPI 的業(yè)務統(tǒng)計功能是為了直觀的統(tǒng)計網(wǎng)絡的業(yè)務流量分布和用戶的各種業(yè)務使用情況，從而更好的發(fā)現(xiàn)促進業(yè)務發(fā)展和影響網(wǎng)絡正常運營的因素，為網(wǎng)絡和業(yè)務優(yōu)化提供依據(jù)。如：發(fā)掘?qū)τ脩粲形Φ臉I(yè)務、驗證業(yè)務提供水平是否達到了用戶的服務等級協(xié)議SLA、統(tǒng)計分析出網(wǎng)絡中的攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務、哪幾種業(yè)務最消耗網(wǎng)絡的帶寬和哪些用戶使用了非法VOIP等等。2100433B

1.基于“特征字”的識別技術(shù)

不同的應用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列。基于“特征字”的識別技術(shù)通過對業(yè)務流中特定數(shù)據(jù)報文中的“指紋”信息的檢測以確定業(yè)務流承載的應用。

根據(jù)具體檢測方式的不同，基于“特征字”的識別技術(shù)又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過對“指紋”信息的升級，基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。如：Bittorrent 協(xié)議的識別，通過反向工程的方法對其對等協(xié)議進行分析，所謂對等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對等協(xié)議由一個握手開始，后面是循環(huán)的消息流，每個消息的前面，都有一個數(shù)字來表示消息的長度。在其握手過程中，首先是先發(fā)送19，跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。

2.應用層網(wǎng)關識別技術(shù)

某些業(yè)務的控制流和業(yè)務流是分離的，業(yè)務流沒有任何特征。這種情況下，我們就需要采用應用層網(wǎng)關識別技術(shù)。應用層網(wǎng)關需要先識別出控制流，并根據(jù)控制流的協(xié)議通過特定的應用層網(wǎng)關對其進行解析，從協(xié)議內(nèi)容中識別出相應的業(yè)務流。

對于每一個協(xié)議，需要有不同的應用層網(wǎng)關對其進行分析如SIP、H323協(xié)議都屬于這種類型。SIP/H323通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流。也就是說，純粹檢測RTP流并不能得出這條RTP流是通過哪種協(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交互，才能得到其完整的分析。

3.行為模式識別技術(shù)

行為模式識別技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務的識別。例如：SPAM（垃圾郵件）業(yè)務流和普通的Email業(yè)務流從Email的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準確的識別出SPAM業(yè)務。

以上三種識別技術(shù)分別用于不同類型協(xié)議的識別，無法相互替代。而在應用DPI 技術(shù)部署DPI 系統(tǒng)時采用了分層DPI 解決方案，綜合運用了這三種技術(shù)，在檢測效率和靈活性方面均達到最優(yōu)。