15、网络安全中的深度包检测与NotPetya勒索软件解析

网络安全中的深度包检测与NotPetya勒索软件解析

深度包检测（DPI）概述

随着网络攻击数量的持续增加，数据保护的需求也日益增长。深度包检测（Deep Packet Inspection，DPI）是一种非常有效的方法，可在任何数据包处理层的报头或有效负载中揭示可疑内容，但有效负载加密时除外。DPI可应用于OSI模型的多个不同层，其任务包括入侵检测、数据外泄检测和家长过滤等。它能对所有层进行攻击检查，这在跨层攻击日益普遍的今天是一个巨大的优势。

不过，DPI也面临一些挑战，比如系统吞吐量下降、通过安全套接层（SSL）的攻击以及入侵指纹匹配等问题。但这些挑战并不足以否定DPI作为一种方法的价值，而是在实施过程中需要注意的障碍。

DPI的应用现状与问题

目前，DPI的使用主要局限于终端主机。这是因为边缘路由器和核心路由器没有足够的处理能力以线速检查数据包的全部内容。边缘路由器通常只检查数据包的头部，核心路由器则检查数据包的目的地址以进行转发。由于这些路由器以非常高的线路速度运行，用于分析整个数据包内容的时间非常少。随着边缘路由器和核心路由器之间线路速率的增加，处理每个字节数据包的时间减少，任务变得更加困难。

通常，用于深度包检测的入侵检测系统由两部分组成：一是对数据包报头执行5元组数据包分类的报头规则；二是关注数据包有效负载内特定位置的内容。然而，在网络入侵检测中，只有60 - 80%的指令能在40 - 70%的时间内执行。任何提高网络安全性的设计都必须考虑效率问题，不能单纯通过增加处理能力来进行字符串匹配，因为这会增加成本，如冷却需求增加和维护费用上升。

DPI非常复杂且难以定制。如果没有专门的团队来实施定制的网络入