クラウドゲートウェイに基づくディープパケットインスペクション技術についての簡単な説明

1. システムアーキテクチャ

DPI システム アーキテクチャは、転送と制御の分離という考え方に基づいて設計されており、主にデータ転送プレーンと制御管理プレーンで構成されています。制御管理プレーンは主にルールの構成管理を完了する役割を担い、データ転送プレーンは主にメッセージ アプリケーション層プロトコルの解析と転送を完了する役割を担います。データ転送プレーンと制御および管理プレーンを分離することで、サービスの保守と管理が改善され、システムの保守性とスケーラビリティが向上します。

制御管理の観点からは、各 DPI ビジネス モジュールの要件を「ルール」に抽象化し、これらのルール定義に基づいてさまざまな「分類」オブジェクトを生成できます。ルールには「有効化ステータス、メッセージアクション」などの属性もあり、機能やオプションなどのキーワードコンポーネントも内部に設定されます。制御管理レベルでの作業はユーザー状態で完了し、主なタスクは次のとおりです。

• 統一されたオープン形式でのルール管理。
• 統合オープンフォーマット機能ライブラリの読み込みとファイル解析。
• エンジンのコンパイルと配信、ルールの配信、およびそれらのボード間同期を含む、構成の変更と配信プロセスの管理。

データ転送の観点から見ると、各 DPI ビジネス要件には、アプリケーション層プロトコルの解析、デコード、および検索が必要です。従来のファイアウォールの設計コンセプトとは異なり、効率的な転送と単一メッセージ処理を保証するために、新世代のセキュリティ製品の実装には、メッセージが可能な限り 1 回だけ処理されるようにする並列検出エンジンが必要です。データ転送レベルの要件は主にカーネル状態で処理され、関連する機能モジュールは次のとおりです。

• プロトコル パーサー。
• 検索アルゴリズムエンジン。
• 検出結果処理モジュール（メッセージアクション処理モジュールとも呼ばれる）は、通常、I/O インターフェースの処理フローに含まれます。

図1 DPIシステムフレームワーク

DPI システム アーキテクチャを図 1 に示します。制御管理層とデータ転送層を分離するこの設計モデルにより、CPU を集中的に使用するエンジンの前処理 (コンパイルと配布) と高性能検索アルゴリズムのプロセスをユーザー モードとカーネル モードで分離できます。また、前処理とマッチングを異なるボードや異なるデバイスで実行できるため、転送プロセスの検出の継続性と安定性を簡単に確保できます。マッチングは、ソフトウェア テーブルの検索からハードウェア プロセッサの完了まで簡単に拡張できます。

2. メッセージ検出

DPI は Deep Packet Inspection の略です。いわゆる「深さ」は、従来の IP データ パケット検査テクノロジを指します。図 2 に示すように、従来の IP データ パケット検査では、IP メッセージのアプリケーション層以下のコンテンツのみが分析されます。たとえば、データ メッセージは、受信した IP メッセージの 5 組の情報 (送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル タイプなど) に従って分類および処理されます。 DPI は、メッセージのアプリケーション層分析やトラフィック特性に基づく検出、メッセージに対応するアプリケーション層サービス タイプの識別、後続のビジネス処理のための重要なアプリケーション層情報の抽出など、メッセージのより詳細なレベルの検査を実行します。

通常のメッセージ検出では、ポート番号によってアプリケーションの種類を識別します。たとえば、ポート番号が 80 として検出された場合、アプリケーション プロトコルは HTTP であると見なされます。ポート番号が 443 として検出された場合、アプリケーション プロトコルは HTTPS であると見なされます。しかし実際には、アプリケーションのセキュリティを考慮して、デフォルトのポートはビジネス機能を公開するために使用されないのが一般的です。この場合、L2～L4 層の従来の検出方法は無力です。 DPI テクノロジーは、バックグラウンドで巨大なアプリケーション機能データベースを維持する必要がある場合、ネットワーク上のさまざまなアプリケーション タイプを効率的に識別できます。トラフィックが通過すると、DPI は、解凍後に取得したアプリケーション情報をバックグラウンドで機能データベースと照合して、アプリケーションの種類を判断します。したがって、新しいアプリケーションが登場すると、新しいアプリケーションを識別して制御できるように、バックグラウンド アプリケーション機能データベースも更新する必要があります。

3. 特徴認識

シグネチャベースの認識技術は、既存のネットワーク DPI 分析におけるトラフィック ヒットに対する最も重要な DPI 技術です。その原理は、異なるサービスやアプリケーションには通常、特別な「指紋」があるというものです。これらのフィンガープリントは、特定の文字列またはビット ストリームである場合があります。たとえば、URL は典型的な署名です。これらの署名に基づいて、データ フロー内の特定のデータ パケット内の「指紋」情報を検出することで、サービス フローによって伝送されるアプリケーション タイプが決定されます。また、荷物の特性に応じて識別することも可能です。アプリケーション層プロトコルの相互作用中にメッセージの内容を分析することで、他のプロトコルとは異なるパターン特性を見つけることができ、さまざまなプロトコルの固有のパターン特性に基づいてプロトコルの種類を判別できます。負荷ベースのプロトコル識別では、通常、固定文字列と正規表現を使用して機能を表します。正規表現は固定文字列よりも表現力が強く、柔軟性も優れているため、DPI 技術の研究で注目されています。この記事で紹介したクラウド ゲートウェイ ベースのディープ パケット インスペクション システムも、正規表現に基づいて実装されています。正規表現で構成されたアプリケーション機能ライブラリを図 3 に示します。

DPI は、独自のアプリケーション機能ライブラリに従ってデータ メッセージを一致させます。 DPI はデータ メッセージを受信すると、まずデータ メッセージを解析し、メッセージの 5 タプル情報と特徴語情報を抽出します。図に示すように、 ４、メッセージアプリケーション層から抽出された特徴語情報はホスト情報である。ホスト情報は、アプリケーション特性ライブラリ内の特性情報と順番に照合され、対応するマーキング結果が得られます。

メッセージアプリケーション層から取得した特徴語情報がアプリケーション機能ライブラリ内の特徴情報と正常に一致した場合、特徴情報に対応するサービスタイプがアプリケーション機能ライブラリ内で見つかり、メッセージフローに対応するサービスタグがマークされます。一致が失敗した場合、メッセージは不明なタグでマークされ、メッセージの特徴語情報とそのマーク結果が特徴テーブルに更新されます。その後、クラウド ゲートウェイは、機能テーブルに従ってメッセージ フローに対してポリシー転送処理を実行します。機能テーブル内の一部の機能情報は表 1 に示されています。

表1 特性表

4. 戦略転換

機能のマッチングが完了すると、ビジネス メッセージはアプリケーション タイプのマーキング結果のレイヤーでマークされます。クラウド ゲートウェイは、マーキング結果に基づいてメッセージに対してポリシー ルーティングを実行します。不明マークが付けられたメッセージは、アンロードのためにパブリック ネットワーク サーバーに送信されますが、その他のマーク結果が付けられたビジネス メッセージは、転送処理のために別のビジネス サーバーに送信されます。メッセージの内部転送プロセスを図 5 に示します。機能識別後、上記の QQ サービス タイプのメッセージにはタグ 8 が付けられます。クラウド ゲートウェイは、マーキング結果に応じて対応するポリシー ルーティングを構成し、ネクスト ホップ転送を指定します。このようにして、QQ サービス メッセージは、サービス処理のために IP 192.168.2.10 のサービス サーバーに送信されます。

5. まとめ

クラウド ゲートウェイ ベースのディープ パケット インスペクション システムは、パケットのアプリケーション情報を感知して識別し、主にサービス識別、サービス制御、サービス統計機能など、ネットワーク内の特定のサービスの動作を効果的に管理します。

1) 営業の特定：主に、事業者が開設する適法な営業の特定と、事業者が監督する必要がある営業の特定に分かれます。最初のタイプのビジネスは IP 5 重化によって識別できますが、2 番目のタイプのビジネスでは、データ パケットを解析してビジネスの特定のコンテンツと情報を判断するために、DPI テクノロジによる詳細な検出が必要です。

2) ビジネス制御:転送方向、帯域幅制限、ブロッキング、シェーピング、破棄、その他の処理を含むビジネス フローを制御するために、確立されたポリシーに従ってネットワークを構成できます。

3) ビジネス統計: DPI 識別結果に基づいて、トラフィックの方向、ビジネスの割合、訪問された上位 10 の Web サイトなど、一定期間内のトラフィックの動作に関する統計が収集されます。アプリケーションの種類の使用率に関する統計を使用して、ビジネスのサービス優先順位を調整できます。統計を使用すると、ユーザーがビデオの再生、インスタント メッセージング、ショッピングの支払い、ゲーム エンターテイメントにどのサービスを使用しているかをカウントできます。統計は、ネットワーク帯域幅を消費する違法な P2P、VOIP、その他のサービスをカウントするためにも使用できます。