နက်ရှိုင်းသောပက်ကက်စစ်ဆေးခြင်း (DPI)သည် Network Packet Brokers (NPBs) တွင် ကွန်ရက်ပက်ကက်များ၏ အကြောင်းအရာများကို အသေးစိတ်အဆင့်တွင် စစ်ဆေးပြီး ခွဲခြမ်းစိတ်ဖြာရန်အတွက် အသုံးပြုသည့် နည်းပညာတစ်ခုဖြစ်သည်။ ၎င်းတွင် ကွန်ရက်အသွားအလာဆိုင်ရာ အသေးစိတ်အချက်အလက်များရရှိရန် ပက်ကက်များအတွင်းရှိ payload၊ headers နှင့် အခြား protocol-specific အချက်အလက်များကို စစ်ဆေးခြင်း ပါဝင်သည်။
DPI သည် ရိုးရှင်းသော header analysis ထက်ကျော်လွန်ပြီး network မှတစ်ဆင့် စီးဆင်းနေသော data ကို နက်နက်ရှိုင်းရှိုင်း နားလည်စေပါသည်။ ၎င်းသည် HTTP၊ FTP၊ SMTP၊ VoIP သို့မဟုတ် video streaming protocols များကဲ့သို့သော application layer protocols များကို နက်နက်ရှိုင်းရှိုင်း စစ်ဆေးနိုင်စေပါသည်။ packet များအတွင်းရှိ တကယ့် content ကို စစ်ဆေးခြင်းဖြင့် DPI သည် သီးခြား application များ၊ protocol များ သို့မဟုတ် သီးခြား data pattern များကိုပင် ထောက်လှမ်းဖော်ထုတ်နိုင်သည်။
source address များ၊ destination address များ၊ source port များ၊ destination port များနှင့် protocol အမျိုးအစားများကို အဆင့်ဆင့်ခွဲခြမ်းစိတ်ဖြာခြင်းအပြင်၊ DPI သည် application အမျိုးမျိုးနှင့် ၎င်းတို့၏ content များကို ခွဲခြားသတ်မှတ်ရန် application-layer analysis ကိုလည်း ထည့်သွင်းထားသည်။ 1P packet၊ TCP သို့မဟုတ် UDP data သည် DPI နည်းပညာကိုအခြေခံသည့် bandwidth management system မှတစ်ဆင့် စီးဆင်းသောအခါ၊ system သည် 1P packet load ၏ content ကိုဖတ်ပြီး OSI Layer 7 protocol ရှိ application layer information ကို ပြန်လည်စီစဉ်သည်၊ ထို့ကြောင့် application program တစ်ခုလုံး၏ content ကိုရယူပြီးနောက် system မှသတ်မှတ်ထားသော management policy အရ traffic ကိုပုံဖော်သည်။
DPI ဘယ်လိုအလုပ်လုပ်သလဲ။
ရိုးရာ firewall များသည် များပြားလှသော traffic ပမာဏများကို အချိန်နှင့်တပြေးညီ စစ်ဆေးမှုများ ပြုလုပ်ရန်အတွက် processing power ချို့တဲ့လေ့ရှိသည်။ နည်းပညာတိုးတက်လာသည်နှင့်အမျှ headers များနှင့် data များကို စစ်ဆေးရန် ပိုမိုရှုပ်ထွေးသော စစ်ဆေးမှုများ ပြုလုပ်ရန်အတွက် DPI ကို အသုံးပြုနိုင်သည်။ ယေဘုယျအားဖြင့် intrusion detection systems များပါရှိသော firewall များသည် DPI ကို အသုံးပြုလေ့ရှိသည်။ ဒစ်ဂျစ်တယ်သတင်းအချက်အလက်များသည် Paramount ဖြစ်သော ကမ္ဘာတွင် ဒစ်ဂျစ်တယ်အချက်အလက်တိုင်းကို အင်တာနက်မှတစ်ဆင့် packets ငယ်များဖြင့် ပေးပို့သည်။ ၎င်းတွင် အီးမေးလ်၊ အက်ပ်မှတစ်ဆင့် ပေးပို့သော မက်ဆေ့ချ်များ၊ ဝင်ရောက်ကြည့်ရှုသော ဝဘ်ဆိုက်များ၊ ဗီဒီယိုစကားပြောဆိုမှုများနှင့် အခြားအရာများ ပါဝင်သည်။ တကယ့်ဒေတာအပြင် ဤ packets များတွင် traffic အရင်းအမြစ်၊ အကြောင်းအရာ၊ ဦးတည်ရာနှင့် အခြားအရေးကြီးသော အချက်အလက်များကို ဖော်ထုတ်သည့် metadata ပါဝင်သည်။ packet filtering နည်းပညာဖြင့် data ကို အဆက်မပြတ် စောင့်ကြည့်ပြီး မှန်ကန်သောနေရာသို့ ပေးပို့ကြောင်း သေချာစေရန် စီမံခန့်ခွဲနိုင်သည်။ သို့သော် ကွန်ရက်လုံခြုံရေးကို သေချာစေရန် ရိုးရာ packet filtering သည် မလုံလောက်ပါ။ ကွန်ရက်စီမံခန့်ခွဲမှုတွင် deep packet inspection ၏ အဓိကနည်းလမ်းအချို့ကို အောက်တွင်ဖော်ပြထားသည်-
ကိုက်ညီမှုမုဒ်/လက်မှတ်
ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းစနစ် (IDS) စွမ်းရည်များပါရှိသော firewall မှ လူသိများသော ကွန်ရက်တိုက်ခိုက်မှုများ၏ database နှင့် ကိုက်ညီမှုရှိမရှိ packet တစ်ခုချင်းစီကို စစ်ဆေးသည်။ IDS သည် လူသိများသော အန္တရာယ်ရှိသော သီးခြားပုံစံများကို ရှာဖွေပြီး အန္တရာယ်ရှိသော ပုံစံများကို တွေ့ရှိသောအခါ traffic ကို ပိတ်သည်။ signature matching မူဝါဒ၏ အားနည်းချက်မှာ မကြာခဏ အပ်ဒိတ်လုပ်သော signature များအတွက်သာ အကျုံးဝင်သည်။ ထို့အပြင်၊ ဤနည်းပညာသည် လူသိများသော ခြိမ်းခြောက်မှုများ သို့မဟုတ် တိုက်ခိုက်မှုများကိုသာ ကာကွယ်နိုင်သည်။
ပရိုတိုကော ခြွင်းချက်
protocol exception နည်းပညာသည် signature database နှင့် မကိုက်ညီသော data အားလုံးကို ခွင့်ပြုရုံမျှမက၊ IDS firewall မှ အသုံးပြုသော protocol exception နည်းပညာတွင် pattern/signature matching နည်းလမ်း၏ ချို့ယွင်းချက်များ မရှိပါ။ ယင်းအစား၊ ၎င်းသည် default rejection policy ကို လက်ခံကျင့်သုံးသည်။ protocol definition အရ၊ firewall များသည် မည်သည့် traffic ကို ခွင့်ပြုသင့်သည်ကို ဆုံးဖြတ်ပြီး မသိရသေးသော ခြိမ်းခြောက်မှုများမှ network ကို ကာကွယ်ပေးသည်။
ကျူးကျော်ဝင်ရောက်မှုကာကွယ်ရေးစနစ် (IPS)
IPS ဖြေရှင်းချက်များသည် အန္တရာယ်ရှိသော packet များ၏ ပို့လွှတ်မှုကို ၎င်းတို့၏ အကြောင်းအရာအပေါ် အခြေခံ၍ ပိတ်ဆို့နိုင်ပြီး သံသယရှိသော တိုက်ခိုက်မှုများကို အချိန်နှင့်တပြေးညီ ရပ်တန့်စေနိုင်သည်။ ဆိုလိုသည်မှာ packet တစ်ခုက သိရှိထားသော လုံခြုံရေးအန္တရာယ်ကို ကိုယ်စားပြုပါက IPS သည် သတ်မှတ်ထားသော စည်းမျဉ်းများပေါ်တွင် အခြေခံ၍ ကွန်ရက်အသွားအလာကို ကြိုတင်ပိတ်ဆို့မည်ဖြစ်သည်။ IPS ၏ အားနည်းချက်တစ်ခုမှာ ခြိမ်းခြောက်မှုအသစ်များနှင့် မှားယွင်းသော အပြုသဘောဆောင်သည့် ဖြစ်နိုင်ခြေများအကြောင်း အသေးစိတ်အချက်အလက်များဖြင့် ဆိုက်ဘာခြိမ်းခြောက်မှုဒေတာဘေ့စ်ကို မှန်မှန် အပ်ဒိတ်လုပ်ရန် လိုအပ်ခြင်းဖြစ်သည်။ သို့သော် ဤအန္တရာယ်ကို ရှေးရိုးစွဲမူဝါဒများနှင့် စိတ်ကြိုက်ကန့်သတ်ချက်များ ဖန်တီးခြင်း၊ ကွန်ရက်အစိတ်အပိုင်းများအတွက် သင့်လျော်သော အခြေခံအပြုအမူကို ချမှတ်ခြင်းနှင့် စောင့်ကြည့်ခြင်းနှင့် အသိပေးခြင်းကို မြှင့်တင်ရန် သတိပေးချက်များနှင့် အစီရင်ခံထားသော ဖြစ်ရပ်များကို ပုံမှန် အကဲဖြတ်ခြင်းဖြင့် လျော့ပါးစေနိုင်သည်။
၁- Network Packet Broker မှာ DPI (Deep Packet Inspection)
"နက်ရှိုင်းသော" အဆင့်နှင့် သာမန်ပက်ကက် ခွဲခြမ်းစိတ်ဖြာမှု နှိုင်းယှဉ်ချက်၊ "သာမန်ပက်ကက် စစ်ဆေးခြင်း" သည် IP ပက်ကက် ၄ အလွှာ၏ အောက်ပါခွဲခြမ်းစိတ်ဖြာမှုသာဖြစ်ပြီး၊ ရင်းမြစ်လိပ်စာ၊ ဦးတည်ရာလိပ်စာ၊ ရင်းမြစ်ဆိပ်ကမ်း၊ ဦးတည်ရာဆိပ်ကမ်းနှင့် ပရိုတိုကောအမျိုးအစားနှင့် အဆင့်ဆင့်ခွဲခြမ်းစိတ်ဖြာမှုမှလွဲ၍ DPI အပါအဝင်၊ အပလီကေးရှင်းအလွှာ ခွဲခြမ်းစိတ်ဖြာမှုကိုလည်း တိုးမြှင့်ထားပြီး၊ အပလီကေးရှင်းများနှင့် အကြောင်းအရာအမျိုးမျိုးကို ဖော်ထုတ်ပြီး အဓိကလုပ်ဆောင်ချက်များကို အကောင်အထည်ဖော်သည်-
၁) အပလီကေးရှင်း ခွဲခြမ်းစိတ်ဖြာခြင်း -- ကွန်ရက်အသွားအလာဖွဲ့စည်းပုံ ခွဲခြမ်းစိတ်ဖြာခြင်း၊ စွမ်းဆောင်ရည် ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် စီးဆင်းမှု ခွဲခြမ်းစိတ်ဖြာခြင်း
၂) အသုံးပြုသူ ခွဲခြမ်းစိတ်ဖြာခြင်း -- အသုံးပြုသူအုပ်စု ခွဲခြားခြင်း၊ အပြုအမူ ခွဲခြမ်းစိတ်ဖြာခြင်း၊ နောက်ဆုံးအဆင့် ခွဲခြမ်းစိတ်ဖြာခြင်း၊ ခေတ်ရေစီးကြောင်း ခွဲခြမ်းစိတ်ဖြာခြင်း စသည်တို့။
၃) ကွန်ရက်ဒြပ်စင် ခွဲခြမ်းစိတ်ဖြာခြင်း -- ဒေသဆိုင်ရာ ባህሪများ (မြို့၊ ခရိုင်၊ လမ်း၊ စသည်) နှင့် အခြေစိုက်စခန်း ဝန်အားကို အခြေခံ၍ ခွဲခြမ်းစိတ်ဖြာခြင်း
၄) ယာဉ်ကြောပိတ်ဆို့မှု ထိန်းချုပ်ရေး -- P2P မြန်နှုန်း ကန့်သတ်ခြင်း၊ QoS အာမခံချက်၊ bandwidth အာမခံချက်၊ ကွန်ရက် အရင်းအမြစ် အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်ခြင်း စသည်တို့။
၅) လုံခြုံရေးအာမခံချက် -- DDoS တိုက်ခိုက်မှုများ၊ ဒေတာထုတ်လွှင့်မှုမုန်တိုင်း၊ အန္တရာယ်ရှိသောဗိုင်းရပ်စ်တိုက်ခိုက်မှုများကို ကာကွယ်တားဆီးခြင်း စသည်တို့။
၂- ကွန်ရက်အပလီကေးရှင်းများ၏ အထွေထွေခွဲခြားမှု
ယနေ့ခေတ်တွင် အင်တာနက်ပေါ်တွင် အပလီကေးရှင်းများစွာ ရှိသော်လည်း၊ အဖြစ်များသော ဝဘ်အပလီကေးရှင်းများသည် ပြည့်စုံနိုင်ပါသည်။
ကျွန်တော်သိသလောက်တော့ အကောင်းဆုံး app recognition ကုမ္ပဏီက Huawei ပါ။ သူက app ၄၀၀၀ ကို recognize လုပ်နိုင်တယ်လို့ ဆိုပါတယ်။ Protocol analysis က firewall ကုမ္ပဏီအများစု (Huawei၊ ZTE စသည်) ရဲ့ အခြေခံ module တစ်ခုဖြစ်ပြီး တခြား functional module တွေကို အကောင်အထည်ဖော်ဖို့၊ application identification တိကျဖို့နဲ့ product တွေရဲ့ performance နဲ့ reliability ကို သိသိသာသာ တိုးတက်ကောင်းမွန်စေဖို့အတွက် အရမ်းအရေးကြီးတဲ့ module တစ်ခုလည်း ဖြစ်ပါတယ်။ network traffic characteristics တွေအပေါ် အခြေခံပြီး malware identification ကို model လုပ်တဲ့အခါ အခု ကျွန်တော်လုပ်နေသလိုပဲ protocol identification တိကျဖို့နဲ့ ကျယ်ပြန့်ဖို့လည်း အရမ်းအရေးကြီးပါတယ်။ company ရဲ့ export traffic ကနေ common application တွေရဲ့ network traffic ကို ဖယ်ထုတ်လိုက်ရင် ကျန်နေတဲ့ traffic က အချိုးအစားအနည်းငယ်ပဲ ရှိမှာဖြစ်ပြီး malware analysis နဲ့ alarm အတွက် ပိုကောင်းပါတယ်။
ကျွန်တော့်ရဲ့ အတွေ့အကြုံအပေါ် အခြေခံပြီး လက်ရှိ အသုံးများတဲ့ application တွေကို သူတို့ရဲ့ function တွေအလိုက် အမျိုးအစားခွဲခြားထားပါတယ်-
PS: အပလီကေးရှင်းခွဲခြားမှုအပေါ် ကိုယ်ပိုင်နားလည်မှုအရ၊ ကောင်းမွန်သော အကြံပြုချက်များရှိပါက မက်ဆေ့ချ်ချန်ထားခဲ့ရန် ကြိုဆိုပါသည်။
၁။ အီးမေးလ်
၂။ ဗီဒီယို
၃)။ ဂိမ်းများ
၄။ ရုံး OA အတန်း
၅။ ဆော့ဖ်ဝဲလ် အပ်ဒိတ်
၆။ ငွေကြေးဆိုင်ရာ (ဘဏ်၊ Alipay)
၇။ စတော့ရှယ်ယာများ
၈။ လူမှုဆက်သွယ်ရေး (IM ဆော့ဖ်ဝဲ)
၉။ ဝဘ်ကြည့်ရှုခြင်း (URL များဖြင့် ပိုမိုကောင်းမွန်စွာ ခွဲခြားသိရှိနိုင်ပါသည်)
၁၀။ ဒေါင်းလုဒ်ကိရိယာများ (ဝဘ်ဒစ်ခ်၊ P2P ဒေါင်းလုဒ်၊ BT ဆက်စပ်)
ထို့နောက် DPI (Deep Packet Inspection) သည် NPB တွင် မည်သို့အလုပ်လုပ်သည်-
၁။ Packet Capture: NPB သည် switches၊ routers သို့မဟုတ် taps ကဲ့သို့သော အရင်းအမြစ်အမျိုးမျိုးမှ ကွန်ရက်အသွားအလာကို ဖမ်းယူသည်။ ၎င်းသည် ကွန်ရက်မှတစ်ဆင့် စီးဆင်းနေသော packets များကို လက်ခံရရှိသည်။
၂။ Packet Parsing: ရယူထားသော packet များကို NPB မှ protocol layer အမျိုးမျိုးနှင့် ဆက်စပ်ဒေတာများကို ထုတ်ယူရန် parsing လုပ်သည်။ ဤ parsing လုပ်ငန်းစဉ်သည် Ethernet headers၊ IP headers၊ transport layer headers (ဥပမာ TCP သို့မဟုတ် UDP) နှင့် application layer protocols များကဲ့သို့သော packet များအတွင်းရှိ မတူညီသော အစိတ်အပိုင်းများကို ဖော်ထုတ်ရန် ကူညီပေးသည်။
၃။ Payload ခွဲခြမ်းစိတ်ဖြာခြင်း- DPI ဖြင့် NPB သည် header စစ်ဆေးခြင်းထက် ကျော်လွန်ပြီး packet များအတွင်းရှိ တကယ့်ဒေတာများအပါအဝင် payload ကို အာရုံစိုက်သည်။ သက်ဆိုင်ရာအချက်အလက်များကို ထုတ်ယူရန်အတွက် အသုံးပြုထားသော application သို့မဟုတ် protocol မည်သို့ပင်ရှိစေကာမူ payload အကြောင်းအရာကို နက်နက်နဲနဲ စစ်ဆေးသည်။
၄။ ပရိုတိုကော ခွဲခြားသတ်မှတ်ခြင်း- DPI သည် NPB အား ကွန်ရက်အသွားအလာအတွင်း အသုံးပြုနေသော သီးခြားပရိုတိုကောများနှင့် အပလီကေးရှင်းများကို ခွဲခြားသတ်မှတ်နိုင်စေပါသည်။ ၎င်းသည် HTTP၊ FTP၊ SMTP၊ DNS၊ VoIP သို့မဟုတ် ဗီဒီယို streaming ပရိုတိုကောများကဲ့သို့သော ပရိုတိုကောများကို ထောက်လှမ်းပြီး အမျိုးအစားခွဲခြားနိုင်သည်။
၅။ အကြောင်းအရာစစ်ဆေးခြင်း- DPI သည် NPB အား သတ်မှတ်ထားသောပုံစံများ၊ လက်မှတ်များ သို့မဟုတ် သော့ချက်စာလုံးများအတွက် packet များ၏ အကြောင်းအရာကို စစ်ဆေးခွင့်ပြုသည်။ ၎င်းသည် malware၊ ဗိုင်းရပ်စ်များ၊ ကျူးကျော်ဝင်ရောက်ရန်ကြိုးပမ်းမှုများ သို့မဟုတ် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကဲ့သို့သော ကွန်ရက်ခြိမ်းခြောက်မှုများကို ရှာဖွေတွေ့ရှိနိုင်စေပါသည်။ DPI ကို အကြောင်းအရာစစ်ထုတ်ခြင်း၊ ကွန်ရက်မူဝါဒများကို ပြဋ္ဌာန်းခြင်း သို့မဟုတ် ဒေတာလိုက်နာမှုချိုးဖောက်မှုများကို ဖော်ထုတ်ခြင်းအတွက်လည်း အသုံးပြုနိုင်သည်။
၆။ မက်တာဒေတာထုတ်ယူခြင်း- DPI အတွင်း၊ NPB သည် သက်ဆိုင်ရာ မက်တာဒေတာများကို packet များမှ ထုတ်ယူသည်။ ၎င်းတွင် ရင်းမြစ်နှင့် ဦးတည်ရာ IP လိပ်စာများ၊ port နံပါတ်များ၊ session အသေးစိတ်အချက်အလက်များ၊ ငွေပေးငွေယူဒေတာ သို့မဟုတ် အခြားသက်ဆိုင်ရာ attribute များကဲ့သို့သော အချက်အလက်များ ပါဝင်နိုင်သည်။
၇။ ယာဉ်ကြောလမ်းကြောင်းရှာဖွေခြင်း သို့မဟုတ် စစ်ထုတ်ခြင်း- DPI ခွဲခြမ်းစိတ်ဖြာမှုအပေါ် အခြေခံ၍ NPB သည် လုံခြုံရေးပစ္စည်းများ၊ စောင့်ကြည့်ရေးကိရိယာများ သို့မဟုတ် ခွဲခြမ်းစိတ်ဖြာမှုပလက်ဖောင်းများကဲ့သို့သော နောက်ထပ်လုပ်ဆောင်မှုများအတွက် သတ်မှတ်ထားသောနေရာများသို့ သီးခြားပက်ကေ့ချ်များကို လမ်းကြောင်းပြောင်းပေးနိုင်သည်။ ၎င်းသည် ဖော်ထုတ်ထားသော အကြောင်းအရာ သို့မဟုတ် ပုံစံများအပေါ် အခြေခံ၍ ပက်ကေ့ချ်များကို စွန့်ပစ်ရန် သို့မဟုတ် ပြန်ညွှန်းရန် စစ်ထုတ်ခြင်းစည်းမျဉ်းများကိုလည်း အသုံးပြုနိုင်သည်။
ပို့စ်တင်ချိန်: ၂၀၂၃ ခုနှစ်၊ ဇွန်လ ၂၅ ရက်
