返回
构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt

构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt

ID:56427441

大小:1.84 MB

页数:46页

时间:2020-06-18

构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt_第1页
构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt_第2页
构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt_第3页
构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt_第4页
构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt_第5页
资源描述:

《构建内容安全网络(CSSN)Lab Guide:第6章 深度业务监控技术 .ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC120330006UTMV3R1V1.0开发/优化者时间审核人开发类型(新开发/优化)姚传哲2012/9/12余雷优化本页不打印第六章深度报文检测技术目标学完本课程后,您将能够:了解深度报文检测技术产生的背景;掌握主要的深度报文检测技术;掌握深度报文检测技术的应用。目录深度报文检测技术产生背景深度报文检测技术介绍深度报文检测技术应用互联网现状及发展趋势网络用户规模呈几何级数增长网络应用种类日益扩展网络带宽需求不断扩大网络流量怎么了?运营商的苦恼网络宽带设备的不断升级,依然无法跟上网络应用“

2、多样化”带来的带宽需求;针对不同类型的流量如何进行分类计费策略?新应用对网络的冲击管道化现象严重P2P、VoIP、共享接入等已经给网络运营带来极大的影响!网络流量怎么了?企业管理的困惑公司业务的开展无法得到足够的带宽保障;员工在工作时间内的在线视频、聊天等行为,降低企业工作效率,并带来安全上的隐患。上网行为无法管理P2P、不可控的上网行为等已经给企业网络带来极大的影响!HTTP承载了太多传统网页浏览新趋势我们如何区分和控制HTTP流量?下载类-断点续传传统P2P下载网络存储流媒体运营商面临的威胁无监管的VoIP业务、无限制的P2P业务、不受控

3、的宽带私接已经严重威胁运营商业务的正常运行。企业网面临的威胁网络安全访问非法网站,木马、蠕虫、病毒在企业网中肆意传播,竞争对手的恶意攻击,导致网络中断、业务严重受阻;信息安全不受控邮件发送、即时聊天,竞争对手的恶意入侵,导致商业机密外泄,企业发展承受严重威胁;运营成本不受控网络访问,网络游戏、P2P网络媒体、BT/Emule下载,导致网络带宽浪费、项目周期延长,变相增加企业运营成本。网络攻击网络入侵蠕虫网络滥用企业IT系统病毒、木马、间谍软件DDoS攻击分支机构通信安全目录深度报文检测技术产生背景深度报文检测技术介绍2.1传统业务识别技术介绍

4、2.2深度业务识别技术介绍深度报文检测技术应用传统业务识别技术早期网络的业务流量分析,主要从物理端口、IP层和TCP/UDP层了解流量的状态。端口检测根据TCP/UDP的端口来识别应用,检测效率高。但随着IP网络技术的发展,端口检测技术适用的范围越来越小。DNS协议采用53端口;BGP协议采用179端口;RPC远程过程调用采用135号端口;……传统方法无法满足现网流量分析传统方法无法准确识别出网络流量中的应用协议类型五元组数据流基于物理端口、IP层和TCP/UDP层了解流量状态基于TCP/UDP的端口识别应用协议基于IP的流量统计以五元组的形

5、式提供数据流的信息,用于分析用户的行为典型:Netflow、NetStream等技术无法分辨业务类型端口误用与重用改变格局的利器—DPI准确感知流量中的应用,是保证网络可用性、可测量性和可管理性的必备技术手段!目录深度报文检测技术产生背景深度报文检测技术介绍2.1传统业务识别技术介绍2.2深度业务识别技术介绍深度报文检测技术应用深度业务识别技术介绍DPI的定义通过对报文的应用层数据进行内容检测,分析报文或流在IP和UDP/TCP层以上及各种隧道内部的应用类型。DeepPackageInspectionADSL用户VoIPHTTPP2PInte

6、rnet深度业务识别技术特征检测协议解析关联识别行为检测DPI业务流程流量解析引擎负责加载协议特征知识库,对输入的7层数据进行识别,输出识别出的各类协议或应用的类型。知识库升级服务知识库升级系统知识库管理流量解析引擎网络数据流预处理基于协议类型的网络数据流/网络报文处理待处理数据流DPI-ModuelDPI流量解析引擎通过模式匹配算法,根据已知协议的内容特征,对网络报文的应用层内容进行匹配检索;单包匹配、多包匹配、多流匹配。特征检测对通讯控制通道和数据传输通道分开的应用协议,将多个通道流量进行协同检测;对于某些业务类型已经判定的流量,可以通过

7、三元组对与同一主机端口进行通讯的不同流量进行关联判断。关联识别通过分析各种应用连接数、单IP连接模式、上下行流量比例、数据包发送频率等指标来区分应用类型。行为检测DPI报文过滤-FTP过滤FTP过滤概述:理解用户传输的信息类型,过滤无关信息的获取,阻止企业内部数据的外传企图。启用该功能的设备,通常应用于企业与互联网的网络边界。DPI报文过滤-FTP过滤报文处理流程目录深度报文检测技术产生背景深度报文检测技术介绍深度报文检测技术应用DPI两种应用场景DPI流量限制连接数限制:对指定用户,IP地址或者网络发起的连接数量或接收的连接数量进行限制。带

8、宽限制:对指定I用户,P地址或者网络的带宽进行限制。DPI流量阻断是对数据流中的应用层数据进行内容检测的技术。在匹配成功后,根据应用的需求,可以对识别的网络流量进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。