監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關閉

設備管理系統(tǒng)維護技巧:準確識別應用流量的基本概念

申請免費試用、咨詢電話:400-8352-114

介紹準確識別應用流量之前,有幾個概念需要介紹:

數(shù)據(jù)流:基于應用層協(xié)議識別的對象不能只是簡單的檢查單個報文,而是要將數(shù)據(jù)流作為一個整體來檢測。因此,數(shù)據(jù)流是指在某個會話生命周期內,通過網(wǎng)絡上一個檢測節(jié)點的IP數(shù)據(jù)報文的集合。實際上,一個節(jié)點發(fā)送的數(shù)據(jù)流的所有屬性是相同的。

數(shù)據(jù)流分類:利用數(shù)據(jù)流以及數(shù)據(jù)流中報文的某些信息,可將網(wǎng)絡上的數(shù)據(jù)流進行分類,這種分類可加速應用流量的分類,如游戲應用數(shù)據(jù)流通常是小報文,而P2P流一般稱為大報文。

數(shù)據(jù)流類別:數(shù)據(jù)流類別是一個大型網(wǎng)狀結構的分類器,按照行為特征及簽名進行歸類。在數(shù)據(jù)流分類問題中,每個類別可能包含某些屬性類似的多種協(xié)議,典型的如IE下載即包括了多個類別,有分塊下載,有偽IE下載等,有另存單線程下載等,而協(xié)議識別必須對流進行更精細的分類,使得每個類別中的流只使用一種應用層協(xié)議。

協(xié)議識別:協(xié)議識別是指檢測引擎根據(jù)協(xié)議特征,識別出網(wǎng)絡數(shù)據(jù)流使用的應用層協(xié)議。

應用協(xié)議特征字符串:特征字符串是協(xié)議歸類的關鍵依據(jù),字符串特征舉例協(xié)議特征字符串

ftp特征字符串a(chǎn)cct、cwd、smnt、port;

smtp特征字符串HELO、EHLO、MAIL FROM:、RCPT TO:、VRFY、EXPN;

pop3特征字符串+OK、-ERR、APOP、TOP、UIDL;

msn 特征字符串包括msg、nln、out、qng、ver、msnp;

OICQ特征字符串開頭第一個字節(jié):0x02,第四、五字節(jié):協(xié)議號;

sip特征字符串REGISTER、INV設備管理系統(tǒng)E、ACK、BYE、CANCEL、SIP;

eMule特征字符串開頭第一個字節(jié):0xe3 或 0xc5 或 0xd4;

應用流量協(xié)議特征檢測方法

數(shù)據(jù)流檢測方法主要分為四個層次,讓我們描述一下從最簡單到最復雜的檢測過程。

首先,互聯(lián)網(wǎng)眾所周知的網(wǎng)絡應用都是建立在固定網(wǎng)絡協(xié)議或端口上,如http、ftp等等常用協(xié)議,這些協(xié)議的特征非常明顯,在一定程度上幾乎不使用檢測引擎就可識別。

其次,但當應用變得復雜時,很多應用都會啟用隨機端口進行通信,因此,新啟用的端口我們事先無法預知,此時DPI必須實時監(jiān)控會話,通過監(jiān)測數(shù)以千計的并發(fā)會話來判斷其應用特征。

很多新的網(wǎng)絡應用偽裝使用已知的固定端口,如使用80、8080、443等知名端口,特別像使用80端口的偽裝,偽裝的目的首先是被防火墻認可,不至于在防火墻上被阻斷,被作為正常的web訪問而通行。這種應用如P2P偽裝、視頻偽裝,都使用這些知名端口。此時設備需要在多個會話中開始尋找所謂的簽名,通常這是一個復雜的字符串,是檢測引擎預先定義好的,而且是唯一一個應用。隨著應用的增加,DPI特征庫需要不斷更新。如下圖迅雷采用偽IE下載就屬于典型的偽裝。

第三,對于完全加密的應用,我們稱為加密流,對于加密數(shù)據(jù)流,去尋求一個端口或簽名是毫無意義的。因此,檢測引擎需要開發(fā)出一種新方法,著眼于數(shù)據(jù)包長度和它們的順序排序。而實際上,其中的一些加密應用總是使用同一系列的包長度、在同一位置、在同一順序,這就是所謂的行為特征。通常,檢測引擎能夠這些加密流進行行為分析,而實際上,這里存在兩個難度,一個是加密流特征字符串的獲取本身需要扎實的獨特的算法,另外,單單對于位置的檢測還遠遠不夠,如加密傳輸?shù)膽脜f(xié)議的加密方法幾乎每周都在變換位置。

如何評價應用識別引擎:

應用識別引擎是應用流量管理系統(tǒng)的核心,所以下面五點則能較好的評價產(chǎn)品。

第一、應用程序的識別數(shù)量多少,特別對復雜協(xié)議及新協(xié)議的識別數(shù)量成為產(chǎn)品的核心,而不是單單用端口號來標識的簡單應用或標準應用。

第二、應用協(xié)議識別的準確性。一個好的引擎或好的算法才能保證低的誤報和漏報。

第三、應用檢測的時間消耗。一個好的引擎能夠花費很少的時間即可檢查出特征。

第四、對高性能和高帶寬處理。一個好的引擎才能部署到大的網(wǎng)絡環(huán)境中,如高校、大集團用戶、運營商網(wǎng)絡。

第五、協(xié)議庫更新的頻率及協(xié)議庫庫更新的難易程度。一個好的引擎才能保證協(xié)議庫的更新有驗證、計算、校對,使系統(tǒng)不斷網(wǎng)、不重啟,即使出現(xiàn)升級失敗,也能保證原有特征庫不被損壞,正常運行。
 

推薦閱讀】

設備管理系統(tǒng)運維管理專區(qū)

管理人員如何過網(wǎng)絡拓撲圖實現(xiàn)查詢

中小型數(shù)據(jù)安全和管理安全應對之策

企業(yè)設備管理系統(tǒng)運維管理軟件趨勢

設備管理軟件軟件專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:21    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
相關文章:

泛普設備管理系統(tǒng)其他應用

員工管理軟件 工作日程管理軟件 門禁考勤系統(tǒng) 門禁管理系統(tǒng) 電話管理系統(tǒng) 設備管理系統(tǒng) 工單管理系統(tǒng) 設備管理系統(tǒng)免費版 免費工單管理系統(tǒng) 免費日程管理軟件 日程管理軟件免費下載 電話管理軟件下載 門禁管理系統(tǒng) 工單管理軟件