内容安全(DPI和DFI解析)

内容安全前言:

防火墙的本质其实就是包过滤,我们通常所说的安全设备(如:IPS、IDS、AV、WAF)的检测重心是应用层。下一代防火墙基于传统防火墙的拓展能力,就是可以将以上的安全设备模块集成在一起,对流量进行检测。这些就体现在安全策略中的内容检测中。
注意:攻击可能只是一个点,防御需要全方面进行

华为中 IAE引擎 的运行流程:

是一种并联检测系统,类似于统一威胁网关(UTM),但是在共享部分是串联部署,之后采用的是并联部署,效率更高。而这个引擎的核心则是DPI和DFI技术。

DFI和DPI技术 --- 深度行为检测技术

DPI --- 深度包检测技术

深度包检测技术包括以下三种类型:

主要针对完整的数据包(数据包分片,分段需要重组,也就是加强检测的可靠性),之后对数据包的内容进行识别(主要用于应用层中)

  • 基于"特征字"的检测技术:最常用的识别手段,基于一些协议的字段来识别特征(可以基于一些特殊的字段来进行检测,如:Host,UA)。以下是用wireshark抓取的HTTP数据包,因为是明文传输,所以可以很清楚的看到UA字段及浏览器和平台信息
  • 基于应用网关的检测技术:有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺少可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。因为后面的UDP传输一般是纯流量传输,无法识别。
  • 基于行为模式的检测技术:比如我们需要拦截一些垃圾邮件,但是从特征字中很难区分垃圾邮件和正常邮件,所以可以基于行为来进行判断。垃圾邮件可能存在高频,群发等特性,如果出现就可以将其认定为垃圾邮件,进行拦截,并对IP进行封锁。

DFI --- 深度流检测技术

一种基于流量行为的应用识别技术(针对数据流来检测)。这种方法比较适合判断P2P流量。
不同应用的流量本身的特点是不一样的。在企业中,一般会禁用P2P流(看视频或娱乐),因为P2P流会大量消耗带宽,影响办公。

结论:

1、DFI仅对流量进行分析,所以只能对应用类型进行笼统的分类,无法识别出具体的应用;
      DPI进行检测会更加精细和精准;
2、如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密手段;
      但是,加密并不会影响数据流本身的特征,所以DFI的方式不受影响。
所以在真实环境中,两种深度检测技术一般会同时使用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/832958.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

智慧应急三维电子沙盘系统

深圳易图讯科技有限公司(www.3dgis.top)自主研发的智慧应急三维电子沙盘系统依托大数据融合物联网、云计算、移动互联、5G、BIM、三维GIS等新一代信息技术,集成了高清卫星影像、地形数据、实景三维模型、现场环境数据、物联感知信息、人口、建…

Java作业8-泛型和模板类

编程1 题目 自定义堆栈类 用泛型数组实现自定义堆栈类GenericStack,可处理任意类型数据。 堆栈类中包含三个成员,一为泛型类型数组list,保存栈中元素,一为整型成员length表示数组的长度,一为整型成员count表示当前…

SRC公益漏洞挖掘思路分享

0x00 前言 第一次尝试挖SRC的小伙伴可能会觉得挖掘漏洞非常困难,没有思路,不知道从何下手,在这里我分享一下我的思路 0x01 挖掘思路 确定自己要挖的漏洞,以及该漏洞可能存在的功能点,然后针对性的进行信息收集 inurl…

LeetCode 每日一题 ---- 【741.摘樱桃】

LeetCode 每日一题 ---- 【741.摘樱桃】 741.摘樱桃方法:动态规划 741.摘樱桃 方法:动态规划 这是一道动态规划的题目,enmmmm,依旧是做不出来,尤其是看到困难两个标红的字体,就更不想做了,然后…

一起深度学习(AlexNet网络)

AlexNet神经网络 代码实现: 代码实现: import torch from torch import nn from d2l import torch as d2lnet nn.Sequential(# 采用了11*11的卷积核来捕捉对象,因为原始输入数据比较大#步幅为4 ,可减少输出的高度核宽度。#输出通…

【算法刷题day41】Leetcode:343. 整数拆分、96. 不同的二叉搜索树

文章目录 Leetcode 343. 整数拆分解题思路代码总结 Leetcode 96. 不同的二叉搜索树解题思路代码总结 草稿图网站 java的Deque Leetcode 343. 整数拆分 题目:343. 整数拆分 解析:代码随想录解析 解题思路 通过两轮循环,分别找到每个数的最大…

FineReport高频面试题及参考答案

FineReport是一款利用什么语言开发的报表工具? FineReport是一款基于Java语言开发的报表工具。Java是一种广泛使用的编程语言,特别适合于跨平台的软件开发。FineReport利用Java语言的诸多优势,如稳定性、安全性、可移植性和强大的网络功能&a…

Compose 状态管理

文章目录 Compose 状态管理概述使用MutableStaterememberStatelessComposable & StatefulComposable状态提升rememberSaveable支持parceable不支持parceable 使用ViewModelViewModelProvider.Factory 使用Flow Compose 状态管理 概述 当应用程序的状态发生变化时&#xf…

(40)4.30数据结构(队列)

1.队列的基本概念 2.队列的顺序 #define MaxSize 10 #define ElemType int typedef struct { ElemType data[MaxSize]; int front, rear; }SqQueue;//1.初始化操作 void InitQueue(SqQueue& Q) { //初始化 队头,队尾指针指向0 Q.rear Q.fron…

环形链表理解||QJ141.环形链表

在链表中,不光只有普通的单链表。之前写过的的一个约瑟夫环形链表是尾直接连向头的。这里的环形链表是从尾节点的next指针连向这链表的任意位置。 那么给定一个链表,判断这个链表是否带环。qj题141.环形链表就是一个这样的题目。 这里的思路是用快慢指…

B3966 [语言月赛 202404] 道法考试

题目背景 你正在参加一场道法考试。这次的道法考试题目全部都是问答题。 题目描述 有 n 道题目,每道题标准答案都是 m 个整数,代表答案包含的知识点的编号。 而你对于第 i(1≤i≤n)道题的作答是 li​ 个整数,代表作…

jenkins+gitlab+ansible-tower实现发布

前提准备: gitlab中上传相应的jenkinsfile文件和源码。 安装和破解ansible-tower。 安装jenkins。 大致流程:从gitlab中拉取文件,存放到windows机器上,使用nuget等进行打包到windows中,使用sshPublisher语句传输到远程…

使用QRegularExpression从样式表中提取颜色

QRegularExpression 类是 Qt 框架中用于处理正则表达式的类。 首先定义一个函数(很多代码都来自chat gtp的生成,不得不说确实很棒) from PySide6.QtCore import QRegularExpressiondef find_text_between_strings(text, start_str, end_st…

LLMs之RAG:LangChain-Chatchat(一款中文友好的全流程本地知识库问答应用)的简介(支持 FastChat 接入的ChatGLM-2/LLaMA-2等多款主流LLMs+多款embe

LLMs之RAG:LangChain-Chatchat(一款中文友好的全流程本地知识库问答应用)的简介(支持 FastChat 接入的ChatGLM-2/LLaMA-2等多款主流LLMs多款embedding模型m3e等多种TextSplitter分词器)、安装(镜像部署【AutoDL云平台/Docker镜像】,离线私有部署支持RTX3…

yum仓库及NFS共享

yum简介 yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系。 yum 实现过程 先在yum服务器上创建 yum repository(仓库),在仓…

stm32f103zet6_DAC_2_输出电压

实现效果 DAC输出的电压 同过电压表测量电压 1.DAC配置的步骤 初始化DAC时钟。配置DAC的GPIO端口。设置DAC的工作模式(例如,是否使用触发功能,是否启用DAC中断等)。启动DAC。 2常用的函数 函数 HAL_DAC_Start() - 开启指定…

EtherCAT开发_4_分布时钟知识点摘抄笔记1

分布时钟 (DC,Distributed Cl ock) 可以使所有EtherCAT设备使用相同的系统时间,从而控制各设备任务的同步执行。从站设备可以根据同步的系统时间产生同步信号,用于中断控制或触发数字量输入输出。支持分布式时钟的从站称为 DC 从站。分布时钟…

ATA-2161高压放大器用途有哪些种类

高压放大器是一种电子设备,其主要功能是将输入信号放大到较高的电压水平,同时保持信号的形状和特性。这种设备在各种应用领域中都有重要作用,它的种类繁多,根据不同的用途可以分为多种类型。 1.医学领域 在医学设备中,…

Sermant在异地多活场景下的实践

Sermant社区在1.3.0和1.4.0版本相继推出了消息队列禁止消费插件和数据库禁写插件,分别用于解决异地多活场景下的故障切流和保护数据一致性问题。本文将对Sermant在异地多活场景下的实践进行剖析。 一、异地多活 1.1 什么是异地多活 对于一个软件系统,…