DPI системы анализа и фильтрации трафика

Актуальность глубокого анализа и фильтрации трафика

С начала 2000-х ежедневный объем мирового интернет-трафика вырос с 8 миллиардов гигабайт до 1,4 триллионов, и угроз стало не просто пропорционально больше – выросло их «качество». Атаки на прикладном уровне, DNS-тунелирование, DOS-техники (Denial of Service), APT-кампании (Advance Persistent Threat) часто проникают сквозь стандартные сетевые экраны, потому что не нарушают формальных правил «IP-порт-протокол».

Традиционная периметровая модель защиты больше не является гарантирующей безопасность. Без понимания структуры и контуров трафика, его контекста и поведения выстроить эффективную фильтрацию уже невозможно.

Технология Deep Packet Inspection (DPI) – выход из кризиса. Благодаря такой фильтрации даже в условиях повсеместного шифрования удается выстроить основу IDS/IPS, WAF и комплексных систем сетевой аналитики с упреждающим обнаружением угроз. Подробнее об этом важном компоненте безопасности ниже.

Что такое Deep Packet Inspection простыми словами?

Технология Deep Packet Inspection – больше, чем обычная проверка пакетов. Если стандартные межсетевые экраны анализируют только заголовки – IP-адреса, порты и протоколы, – DPI глубоко изучает содержимое самих пакетов. Другими словами, такая фильтрация фиксирует не только «откуда и куда» движется трафик, но и «что» в нем передают.

DPI обнаруживает виды приложений и их команды, отдельные типы данных и, что немаловажно, поведение соединений. DPI контролирует целые сессии, понимает контекст обмена данными и видит угрозы безопасности, которые маскируют под легальный трафик HTTPS, DNS или SMTP HTTPS, DNS или SMTP. DPI проводит фильтрацию трафика в реальном времени, принимает решения о блокировке, ограничении или пропуске соединений и, тем самым, обеспечивает детализированный и осмысленный контроль сетевых потоков.

Как работает технология DPI-анализа

Deep Packet Inspection проводит глубокий анализ сетевых данных на нескольких уровнях модели OSI, начиная с канального.

На первом этапе DPI фиксирует все пакеты, независимо от того, выглядят ли они безопасными или нет. На втором начинаются анализ и фильтрация: DPI разбирает заголовки, определяет источник, назначение и порт, но ключевое внимание уделяет содержимому. Модуль безопасности сопоставляет тело каждого пакета с его заголовком и проверяет, соответствует ли заявленный протокол по косвенным или прямым признакам фактическому содержанию данных.

Следующий шаг – классификация трафика, фильтрация продолжается. Deep Packet Inspection выявляет характерные закономерности потока данных и тип передаваемой информации: голосовой ли это трафик, потоковое ли видео, передача файлов, вредоносный код или другие угрозы безопасности. При этом параллельный анализ расширенного набора метаданных и данных приложений, позволяет обнаружить скрытые атаки, замаскированные под легальный сетевой обмен.

Далее DPI сравнивает содержимое пакетов с сигнатурами известных атак, проверяет соблюдение протокольных правил и оценивает поведение трафика. Современные решения DPI используют не только методы сигнатурного анализа и контроль аномалий протокола, но и эвристические алгоритмы наряду с элементами машинного обучения. Благодаря этому удается выявить как известные, так и новые типы атак, включая уязвимости нулевого дня, утечки данных и нарушения политик безопасности.

Наконец, фильтрация, Deep Packet Inspection решает:

• разрешить всю сессию и пропускать пакеты дальше;
• разорвать сессию целиком (например, отправив TCP RST);
• заблокировать последующие пакеты этой сессии;
• перенаправить поток на IDS/IPS или песочницу;
• пометить сессию для логирования и расследования.

Где используется Deep Packet Inspection?

Deep Packet Inspection используют там, где важны осмысленный контроль и фильтрация сетевого трафика. DPI используют, например, администраторы корпоративных сетей, специалисты службы информационной безопасности, интернет-провайдеры и государственные структуры.

При этом правила анализа и фильтрации трафика специфичны, их настраивают в соответствии с базовыми задачами:

• оптимизация работы сети;
• безопасность IT-инфраструктуры;
• контроль трафика.

Чтобы лучше понять особенности фильтрации DPI, рассмотрим эти сценарии подробнее.

Управление трафиком

Здесь DPI – часть механизма безопасности, который оптимизирует сеть и определяет степень важности для пакетов в потоке передачи. Особенности анализа:

• классификация типов трафика;
• приоритизация приложений;
• управление полосой пропускания;
• выявление перегрузок;
• контроль качества обслуживания (QoS).

В ходе анализа DPI система выделяет голосовые вызовы VoIP, видеоконференции и бизнес-приложения, чем обеспечивает им более высокий приоритет по сравнению с фоновыми сервисами.

Нередко в некоторых сетях DPI ограничивает или блокирует фоновые приложения, например, социальные сети, стриминговые сервисы или P2P-торренты. Такая фильтрация существенно снижает нагрузку на инфраструктуру.

Информационная безопасность внутри периметра

В этой важнейшей нише анализ DPI обнаруживает угрозы и блокирует их посредством систем IPS, фильтрации вредоносного ПО и предотвращения утечек данных (DLP).

Фильтрация в системах предотвращения вторжений (IPS):

• анализ L7-протоколов;
• поиск сигнатур сетевых атак;
• выявление аномального поведения сессий;
• обнаружение эксплуатаций уязвимостей;
• принудительный разрыв соединений.

Фильтрация в системах предотвращения утечек данных (DLP):

• анализ содержимого трафика;
• выявление чувствительных данных;
• сравнение с шаблонами и регулярными выражениями;
• учет контекста передачи информации;
• блокировка несанкционированных отправок.

В целом, в ходе анализа DPI ищет в трафике аномалии и подозрительные шаблоны, выявляет вирусы, попытки эксплуатации уязвимостей и признаки DDoS-атак. При борьбе с целевыми атаками (APT) система безопасности позволяет обнаруживать скрытую активность, замаскированную под легитимный сетевой обмен.

Контроль трафика, соблюдение требований регуляторов

Операторы связи применяют DPI для выполнения законов о хранении и обработке данных. Анализ и фильтрация здесь выполняют задачи:

• идентификации типов трафика и протоколов;
• классификации пользовательских сессий;
• выделения и маркировки метаданных соединений;
• привязки трафика к абонентам;
• выборочного зеркалирования и записи потоков;
• контроля и аудита передаваемой информации.

Дополнительно системы на основе DPI-технологий используют для фильтрации и блокировки запрещённого контента:

• анализ прикладных протоколов и содержимого пакетов;
• определение типа запрашиваемого ресурса;
• выявление доменных имён и URL (в том числе в HTTP-заголовках и TLS SNI);
• сопоставление трафика с реестрами запрещённых ресурсов;
• сигнатурное и поведенческое обнаружение запрещённого контента;
• принудительный разрыв соединений;
• подмена ответов (redirect/block page);
• ограничение или полная фильтрация отдельных протоколов и сервисов;
• обход простых методов маскировки трафика.

Ключевые компоненты DPI-систем

DPI-система – это комплекс взаимосвязанных компонентов информационной безопасности, в основе которого модуль перехвата трафика. Его аналитическое ядро отслеживает сессии и изучает потоки по заданным правилам. Настраивают политики фильтрации, логирование и интеграцию с другими средствами безопасности через отдельные управляющие модули.

В ходе фильтрации DPI сравнивает трафик с шаблонами известных атак, с сигнатурами вредоносного кода и с индикаторами компрометации. Все это храниться в локальных и удаленных базах данных, в облачных threat intelligence-сервисах. Эти ресурсы обеспечивают регулярные и экстренные обновления, тем самым повышают готовность к отражению угроз и усиливают точность анализа систем информационной безопасности.

Важнейшая технология, на которую опирается Deep Packet Inspection – анализ зашифрованного трафика. Другими словами, современные DPI системы могут использовать TLS/SSL-инспекцию (SSL/TLS interception), при которой DPI расшифровывает соединение посредством легального, но подменного сертификата. После проверки содержимое повторно шифруются и передается получателю.

Без такого механизма значительная часть сетевого трафика остается в «слепой зоне», что снижает эффективность анализа и поиска утечек информации. В то же время его использование поднимает серьёзные этические, правовые и технические вопросы.

С помощью анализа TLS/SSL DPI система получает доступ ко всем передаваемым данным, что затрагивает конфиденциальность пользователей и нередко противоречит требованию законодательства о защите персональной информации. Кроме того, возникают новые точки атаки в инфраструктуре, а использование подменных сертификатов нередко приводит к предупреждениям браузеров и операционных систем, дезавуируя инспекцию и усложняя ее внедрение в корпоративных и публичных сетях.

В ситуациях, когда SSL/TLS-инспекция недоступна или запрещена, Deep Packet Inspection ведет анализ зашифрованного содержимого в ограниченном режиме. Шифрование делает основную нагрузку пакетов (payload) нечитаемой, но система проверяет метаданные и поведенческие закономерности.

DPI отслеживает адреса назначения, номера портов, типы протоколов и характеристики соединений, определяет типы трафика, применяет сетевые политики и выявляет аномалии. Даже в таком ограниченном режиме анализ обнаруживает и осуществляет фильтрацию подозрительного поведения в зашифрованных потоках и решает задачи информационной безопасности.

Архитектура Deep Packet Inspection решений

Различают аппаратные, смешанные и программные DPI-системы. Первые и вторые для анализа используют специализированные ускорители, сетевые процессоры и DPI-серверы.

Аппаратные DPI системы обрабатывают большие объемы трафика с минимальной задержкой. Они встречаются в магистральных сетях, дата-центрах и у операторов связи.

В смешанных системах в основе DPI фильтрации перепрограммируемые модули. Их микросхемы медленнее микросхем с фиксированной прошивкой, но более универсальны.

Программные DPI разворачивают на стандартных серверах или в виртуальной среде. Они проще в масштабировании и интеграции с другими системами безопасности, но сильнее зависят от доступных вычислительных ресурсов. Приведем производительность анализа DPI для актуальных архитектур в цифрах:

• ASIC (полностью аппаратный модуль): 100+ Gbps, < 10 мкс, нулевая гибкость.
• FPGA (вентильные матрицы): 10 – 40 Gbps, перепрограммируемая логика.
• CPU (исключительно программные решения): 1 – 10 Gbps, максимальная гибкость.

Место DPI-технологий в современных средствах защиты информации (СЗИ)

Современные DPI работают в комплексе с другими средствами защиты информации. В таких смешанных системах DPI поставляет контекстные данные и классифицирует сетевую активность для анализа хостовыми, корреляционными и управленческими контурами.

В NGFW, межсетевых экранах нового поколения, DPI система становится «мозгом», центром анализа и обеспечивает понимание сетевой активности приложений и пользователей.

Примеры подобных российских систем безопасности: Континент 4 (Код Безопасности), UserGate NGFW, Ideco NGFW.

Интеграция с SIEM и SOC. DPI формирует поток событий безопасности (Events), которые поступают в SIEM для поиска корреляций, поведенческого анализа и расследования инцидентов. Для SOC лучше чем любые другие системы информационной безопасности DPI подсвечивает сетевой ландшафт.

Примеры соответствующих отечественных продуктов: MaxPatrol SIEM (Positive Technologies), KUMA (Лаборатория Касперского), SIEM RuSIEM.

В DLP (Data Loss Prevention – системы предотвращения утечек данных) DPI используют как транспорт, который осуществляет анализ сетевых потоков и выявляет несанкционированную передачу конфиденциальной информации.

Примеры данных российских систем: InfoWatch Traffic Monitor, SearchInform DLP.

EDR/XDR. DPI дополняет телеметрию с конечных точек сетевым контекстом. Так при анализе удается восстановить всю цепочку атаки – от хоста до сетевого взаимодействия.

Отечественные решения в данной сфере: Kaspersky EDR/XDR, Solar MDR (Ростелеком-Солар).

Security Fabric и платформенные решения. Здесь DPI – базовый модуль. Он обеспечивает общую видимость, согласованное применение политик, фильтрацию и сквозной контроль трафика.

Примеры российских платформенных решений: Solar Security Platform, экосистема Код Безопасности.

Таким образом, DPI главный компонент в комплексных ИБ-системах. Он связывает сетевой уровень с аналитикой, реагированием и управлением безопасностью и служит «двигателем» внутри комплексных средств информационной безопасности.

Приблизительно доли использования DPI-технологий по классам решений можно оценить в следующем соотношении (в процентах):

• NGFW ≈ 50;
• IDS/IPS ≈ 30;
• Network Detection&Response ≈ 10;
• Задачи QoS/управление трафиком ≈ 10.

AI решения – необходимость и будущее методов Deep Packet Inspection

Новейшие версии протоколов шифрования повышают информационную безопасность, но существенно усложняют DPI фильтрацию и контроль. TLS 1.3 сократил этапы «рукопожатия». Обязательный для протокола стандарт Perfect Forward Secrecy (ключ не передается по сети и новый для каждой сессии) стал использоваться повсеместно. Поэтому даже располагая ключом сеанса, расшифровать ранее перехваченный трафик стало невозможно.

Сложности возникают и с косвенным анализом – технология Encrypted Client Hello (ECH) скрывает даже метаданные соединения, включая имя целевого сервера, и лишает DPI возможности опираться на SNI (Server Name Indication).

Параллельно эволюционируют методы обхода фильтрации: обфускация протоколов, туннелирование, использование нестандартных портов и полиморфные сигнатуры. Распространение QUIC и HTTP/3, работающих поверх зашифрованного UDP, делает значительную долю сетевого трафика неотличимой от случайных потоков.

Все перечисленное радикально снижает эффективность классических сигнатурных и протокольных методов анализа и возможности по фильтрации контента. В ответ на актуальные вызовы разработчики различных систем DPI активно внедряют методы машинного обучения и искусственного интеллекта.

Акцент смещается с анализа содержимого пакетов на поведенческий анализ: с помощью AI DPI изучает интервалы передачи, распределение размеров пакетов, динамику потоков и частотные характеристики соединений.

Нейросетевые модели классифицируют зашифрованный трафик и выявляют аномалии без расшифровки. Приемлемая точность фильтрации достигается даже в условиях TLS 1.3 и QUIC.

Использование федеративного обучения снижает риски утечки данных, а перенос AI анализа на граничные узлы позволяет удерживать задержки на уровне микросекунд. Это особенно ценно при работе систем информационной безопасности в высоконагруженных корпоративных сетях и сетях телеком операторов.

Подбор и внедрение решений

Эффективный DPI обрабатывает характерный для сети объем трафика без потерь, задержек и деградации точности. Поэтому главный критерий при выборе решения не формальная пропускная способность в Gbps, а реальная сетевая нагрузка.

Важно учесть PPS (Packets Per Second), CPS (Connections Per Second) и емкости state-таблиц (максимальное число одновременно отслеживаемых сессий), особенно когда для сети характерна передача миллионов пакетов в секунду, NAT/CG-NAT и большое число кратковременных соединений.

Кроме того, современные DPI уже безальтернативно поддерживают передовые протоколы и методы шифрования. Высокая доля TLS 1.3, QUIC и HTTP/3 соединений требует, чтобы DPI классифицировал приложения по метаданным и поведенческим признакам.

Чтобы подобрать адекватное по производительности решение, стоит учитывать и то, как DPI будет включен в сеть:

• фильтрация в Inline-режиме – повышает требования к надёжности и задержкам;
• фильтрация SPAN/TAP – риски существенно ниже, но возможности активного воздействия ограничены.

При внедрении DPI в корпоративную или операторскую среду важны интегрируемость с системами безопасности NGFW, SIEM и SOC, кластеризация и масштабируемость.

Преимущества обращения в УЦ ПРОФИ

Системы с Deep Packet Inspection – необходимый эшелон защиты в современных сетях и ключевой элемент комплексной системы безопасности. DPI обеспечивает видимость трафика и фильтрацию его содержимого, распознает в трафике атаки, вирусы, запрещенный контент и утечки данных. Как ответ на усложнение задач информационной безопасности, увеличивается технологичность DPI, трудности внедрения и владения.

Компания УЦ ПРОФИ предлагает профессиональный подбор, внедрение и поддержку эксплуатации средств защиты информации на основе современных DPI-технологий. Являемся сертифицированными партнерами ведущих отечественных вендоров и имеем необходимые лицензии ФСТЭК и ФСБ.

Лучше заранее оценить стоимость владения – лицензии, обновления сигнатур, поведенческих и аналитических моделей, требования к оборудованию. Важным аспектом является и соответствие регуляторным требованиям. Наш опыт позволяет оказать вам профессиональные помощь и поддержку на экспертном уровне.