设备管理系统维护技巧:准确识别应用流量的基本概念
介绍准确识别应用流量之前,有几个概念需要介绍:
数据流:基于应用层协议识别的对象不能只是简单的检查单个报文,而是要将数据流作为一个整体来检测。因此,数据流是指在某个会话生命周期内,通过网络上一个检测节点的IP数据报文的集合。实际上,一个节点发送的数据流的所有属性是相同的。
数据流分类:利用数据流以及数据流中报文的某些信息,可将网络上的数据流进行分类,这种分类可加速应用流量的分类,如游戏应用数据流通常是小报文,而P2P流一般称为大报文。
数据流类别:数据流类别是一个大型网状结构的分类器,按照行为特征及签名进行归类。在数据流分类问题中,每个类别可能包含某些属性类似的多种协议,典型的如IE下载即包括了多个类别,有分块下载,有伪IE下载等,有另存单线程下载等,而协议识别必须对流进行更精细的分类,使得每个类别中的流只使用一种应用层协议。
协议识别:协议识别是指检测引擎根据协议特征,识别出网络数据流使用的应用层协议。
应用协议特征字符串:特征字符串是协议归类的关键依据,字符串特征举例协议特征字符串
ftp特征字符串acct、cwd、smnt、port;
smtp特征字符串HELO、EHLO、MAIL FROM:、RCPT TO:、VRFY、EXPN;
pop3特征字符串+OK、-ERR、APOP、TOP、UIDL;
msn 特征字符串包括msg、nln、out、qng、ver、msnp;
OICQ特征字符串开头第一个字节:0x02,第四、五字节:协议号;
sip特征字符串REGISTER、INV设备管理系统E、ACK、BYE、CANCEL、SIP;
eMule特征字符串开头第一个字节:0xe3 或 0xc5 或 0xd4;
应用流量协议特征检测方法
数据流检测方法主要分为四个层次,让我们描述一下从最简单到最复杂的检测过程。
首先,互联网众所周知的网络应用都是建立在固定网络协议或端口上,如http、ftp等等常用协议,这些协议的特征非常明显,在一定程度上几乎不使用检测引擎就可识别。
其次,但当应用变得复杂时,很多应用都会启用随机端口进行通信,因此,新启用的端口我们事先无法预知,此时DPI必须实时监控会话,通过监测数以千计的并发会话来判断其应用特征。
很多新的网络应用伪装使用已知的固定端口,如使用80、8080、443等知名端口,特别像使用80端口的伪装,伪装的目的首先是被防火墙认可,不至于在防火墙上被阻断,被作为正常的web访问而通行。这种应用如P2P伪装、视频伪装,都使用这些知名端口。此时设备需要在多个会话中开始寻找所谓的签名,通常这是一个复杂的字符串,是检测引擎预先定义好的,而且是唯一一个应用。随着应用的增加,DPI特征库需要不断更新。如下图迅雷采用伪IE下载就属于典型的伪装。
第三,对于完全加密的应用,我们称为加密流,对于加密数据流,去寻求一个端口或签名是毫无意义的。因此,检测引擎需要开发出一种新方法,着眼于数据包长度和它们的顺序排序。而实际上,其中的一些加密应用总是使用同一系列的包长度、在同一位置、在同一顺序,这就是所谓的行为特征。通常,检测引擎能够这些加密流进行行为分析,而实际上,这里存在两个难度,一个是加密流特征字符串的获取本身需要扎实的独特的算法,另外,单单对于位置的检测还远远不够,如加密传输的应用协议的加密方法几乎每周都在变换位置。
如何评价应用识别引擎:
应用识别引擎是应用流量管理系统的核心,所以下面五点则能较好的评价产品。
第一、应用程序的识别数量多少,特别对复杂协议及新协议的识别数量成为产品的核心,而不是单单用端口号来标识的简单应用或标准应用。
第二、应用协议识别的准确性。一个好的引擎或好的算法才能保证低的误报和漏报。
第三、应用检测的时间消耗。一个好的引擎能够花费很少的时间即可检查出特征。
第四、对高性能和高带宽处理。一个好的引擎才能部署到大的网络环境中,如高校、大集团用户、运营商网络。
第五、协议库更新的频率及协议库库更新的难易程度。一个好的引擎才能保证协议库的更新有验证、计算、校对,使系统不断网、不重启,即使出现升级失败,也能保证原有特征库不被损坏,正常运行。
【推荐阅读】
◆设备管理系统运维管理专区
◆管理人员如何过网络拓扑图实现查询
◆中小型数据安全和管理安全应对之策
◆企业设备管理系统运维管理软件趋势
◆设备管理软件软件专区
本文来自互联网,仅供参考- 1智能化设备管理系统的建设意义
- 2IT运维手册之企业网络故障解决步骤
- 3建筑设备管理软件解决方案?主要功能
- 4如何备份才能避免惨重的数据丢失?
- 5运维人员须时刻谨记的十条安全法则
- 6数据中心服务管理标准详解
- 7求设备管理软件破解版免费版?
- 8IT业界面临的九大最严峻安全威胁
- 9系统管理员之企业生存守则
- 10系统管理员如何应势而变面对未卜前途?
- 11IT比任何时候都更重要的四个原因
- 12企业网络安全管理:IP网络安全管理的主要问题
- 13工厂生产设备管理台账怎样制作?
- 14设备管理系统经验:网络安全管理工作总结
- 15智能设备管理软件的功能优势
- 16顶级CIO必不可犯的八大IT失误
- 17思索未来的“IT运维管理之路”
- 18IT网络运维的标准指标有哪些
- 19软件定义网络SDN的安全优点和缺点
- 20设备管理系统维护技巧:在网上隐藏自己的IP地址技巧
- 21IT运维管理安全五大错误解析
- 22数据中心设备管理系统之采购分布式设备管理系统系统五项注意
- 23实验室设备管理系统的主要功能?
- 24网站性能测试实例:5分钟内定位线上问题
- 25如何确保虚拟化应用过程中的安全
- 26数据中心运维管理的问题和对策
- 27设备管理系统维护技巧:在SSL内加密任意TCP连接
- 28设备管理系统员经验:路由器怎么设置防止局域网病毒传播
- 29十大IT运维管理经验解析
- 30虚拟化让数据中心网络监控复杂化